防火墙技术_计算机硬件及网络_it计算机_专业资料

* 1第 13章 防火墙技术广州大学华软软件学院软件工程系 网络信息安全 课程组主要内容13.1 防火 墙 的基本概念13.2 防火 墙 的 类 型与技 术13.3 防火 墙 的体系 结 构13.4 防火 墙 技 术 的几个新方向*213.2.1 包 过滤 防火 墙13.2.2 状 态检测 防火墙 13.2.3 应 用 层 网关13.2.4 代理服 务 器13.3.1 双宿 /多宿主机模式13.3.2 屏蔽主机模式13.3.3 屏蔽子网模式13.1 防火 墙 的基本概念13.1.1 定 义防火 墙 是一种装置：由 软 件 /硬件 设备组 合而成，通常 处 于企 业 的内部局域网与 Internet之 间 ，限制 Internet用 户对 内部网 络 的 访问 以及管理内部用 户访问 Internet的 权 限。防火 墙 隔离安全可信的内部网 络 和不安全可信的外部网 络 ，是一个 网 络边 界安全系 统 。*3防火墙在网络中的位置*4防火墙存在的必要性1）无防火 墙时 整个内网安全性完全依 赖 每个主机，所有主机都必 须 达到一致的高度安全水平。2）而防火 墙 只运行 专 用的 访问 控制 软 件（没有普通主机运行的服 务 ），相 对 少一些缺陷和安全漏洞，安全管理更 为 方便，使内部网 络 更加安全。防火墙的原则是在 保证网络畅通的情况下 ，尽可能保证内部网络的安全。它是一种被动的技术，是一种静态安全部件。*513.1.2 防火 墙应满 足的条件*6（ 1）内外网之 间 所有数据流必 须经过 防火 墙 。防火墙 无法 监 控不通 过 防火 墙 的流量，不能 处 理内部攻击 。（ 2）只有符合安全策略的数据流才能通 过 防火 墙 。（ 3）防火 墙 具有高可靠性， 应对 渗透免疫，即它本身是不可被侵入的，否 则 黑客就相当于 进 入内网。防火墙对数据流的处理方式： 允许数据流通过； 拒绝数据流通过； 将这些数据流丢弃。13.1.3 防火 墙 的功能（ 1）隔离不同的网 络 ，限制安全 问题 的 扩 散。（ 2） 记录经过 防火 墙 的数据包， 监视 网 络 的安全性。（ 3）部署 NAT的地点。（ 4） 审计 和 记录 Internet使用 费 用的一个最佳地点。（ 5）作 为 IPSec的平台。（ 6）内容控制功能。*713.1.4 防火 墙 的局限性（ 1）有些网 络 攻 击 可以 绕过 防火 墙 。（ 2）不能防范来自内部网 络 的攻 击 。（ 3）内部用 户 可能会 过 于信任和依 赖 防火 墙 。（ 4）防火 墙 不能完全防止后 门 攻 击 。（ 5）不能 对 被病毒感染的程序和文件 进 行 过滤 。（ 6） 过滤规则 静 态 的，不能防范全新的网 络 威 胁。（ 7）与虚 拟专 用网的 结 合使用存在 问题 。（ 8）可能 带 来 传输 延 迟 、瓶 颈 以及 单 点失效 问题。（ 9）防火 墙 不能防止数据 驱动 式攻 击 。* 813.2 防火 墙 的 类 型与技 术*913.2.1 包过滤防火墙分组过滤路由器，网络层防火墙最基本、最早期的防火墙技术（静态） 不检查数据包的数据内容，只检查包头中的地址、协议、端口等信息来决定是否允许此数据包通过。过滤规则设 置的默 认 原 则 ：（ 1） 默 认 拒 绝 ： 规则 允 许 的数据包才可以通 过 防火 墙 ，其他都不能通 过 ，是安全 实 用的方法。（ 2） 默 认 允 许 ： 规则 拒 绝 的数据包才不可通 过 防火 墙 ，其他都可以通 过 ，是灵活的方法。静态包过滤的判断依据数据包 协议类 型 TCP、 UDP、 ICMP、 IGMP等。 源 /目的 IP地址。 源 /目的端口 FTP、 HTTP、 DNS等。 IP选项 ：源路由、 记录 路由等。 TCP选项 SYN、 ACK、 FIN、 RST等。 其他 协议选项 ICMP ECHO、 ICMP REPLY等。 数据包流向 in或 out。 数据包流 经 网 络 接口 eth0、 eth1。*10静态包过滤防火墙的缺陷（ 1）通常不能 对 付某些 类 型的拒 绝 服 务 攻 击 基于包 损 坏、 SYN Flood或其他基于 TCP/IP的异常。（ 2）静 态 包 过滤 防火 墙 不能跟踪会 话 的状 态 数据。管理 员 被迫保持所有 1024以上的端口。（ 3）支持极繁忙网 络 的包 过滤 防火 墙 会引起网 络 性能降 级 和更高的 CPU负载 。*1113.2.2 状态检测防火墙状 态检测 （ Stateful Inspection）防火 墙 又称 动态 防火 墙 。1） 静 态 包 过滤 ：由于缺少 “状 态 感知 ”（ State Aware）能力，在遇到利用 动态 端口的 协议时 会 发 生困难 。防火 墙 需要将所有可能用到的端口打开。2） 状 态检测 ：通 过检查应 用程序信息（如 FTP的PORT和 PASV命令），来判断此端口是否需要 临时 打开；当 传输结 束 时 ，端口又恢复 为 关 闭 状 态。*12状态检测技术的特点1）状 态检测 是一种相当于 4、 5层 的 过滤 技 术 ；2）采用一种基于 连 接的状 态检测 机制，在防火 墙的核心部分建立数据包的 连 接状 态 表，将属于同一个 连 接的所有包作 为 一个会 话 整体看待；3）可以收集并检查许多状态信息，过滤更加准确；4）提供比包过滤防火墙更高的安全性和更灵活的处理，几乎支持所有服务，且比应用层网关速度快。举 例：状 态检测 防火 墙 适合 过滤 SYN+ACK扫 描包*13网络层防火墙的优缺点*14优 点： 实现简单 、速度快、 费 用低， 对 用 户 透明。缺点： 过滤规则 制定复 杂 ，容易出 现 配置 问题 ； 只 检查 地址和端口，而源地址 /端口可以 伪 造； 不能 彻 底防止地址欺 骗 攻 击 、微小分片攻 击 ； 容易造成数据 驱动 式攻 击 、 隐 藏通道攻 击 的潜在危 险 ； 不能理解特定服 务 内容，只能 进 行主机 级认证 ； 有些 协议 不适合使用包 过滤 ，如 FTP。13.2.3 应 用 层 网关应用层防火墙 检查进出的数据包，通过自身复制传递数据（即直接路由转发），防止在受信主机与非受信主机间直接建立联系。基本工作过程：客户机首先将数据请求发给代理服务器，代理服务器根据这一请求向服务器索取数据，代理服务器将来自服务器的数据返回给客户机。在这个过程中，应用层网关对 数据包的内容 进行逐个检查和过滤。*15应用层网关的优缺点优 点：1）常用的 应 用 层 网关已有相 应 的代理服 务软 件；2） 较 好的 访问 控制能力，是目前最安全的防火 墙 ；3）具有很 强 的日志、 统计 、 报 告和 审计 功能；4）提供内容 过滤 、用 户认证 、 页 面 缓 存和 NAT功能。缺点：1） 实现 麻 烦 ，新 应 用没有相 应 的代理服 务 ，它 们只能使用网 络层 防火 墙 和一般的代理服 务 ；2） 维护 比 较 困 难 ，效率明 显 不如网 络层 防火 墙 。*1613.2.4 代理服务器在 应 用网关上运行的 专门 的 应 用代理程序，一方面代替服 务 器与客 户 程序建立 连 接，另一方面代替客户 程序与服 务 器建立 连 接。代理服 务 器将内部网客 户 和 Internet隔离，从 Internet中只能看到 该 代理服 务 器而无法 获 得任何内部客户 的信息。TIS的 Firewall Toolkit（ FWTK ）：包括 Telnet网关、FTP网关、 rlogin网关和 SSL网关等。*17代理服务器的优缺点*18优 点：1） 缓 解公有 IP地址空 间 短缺 问题 ；2） 隐 蔽内部网 络 拓扑信息；3）理解 应 用 协议 ，可以 实 施更 细 粒度的 访问 控制；4） 较 强 的数据流 监 控、 记录 和 报 告功能；5）能 实现 用 户级 （ 应 用 层 ） 认证 。缺点：1）每一 类应 用都需要一个 专门 的代理，灵活性不 够；2）每种网 络应 用服 务 的安全 问题 不同，分析和 实现困 难 而且速度慢。13.3 防火 墙 的体系 结 构*19堡 垒 主机（ Bastion Host）1）硬件：一台普通主机（操作系 统 要求可靠性好、可配置性好）；2） 软 件：配置 应 用网关和服 务 代理程序。作用 ：内部网 络 和 Internet的通信 桥 梁，中 继 所有网络 通信服 务 ，具有 认证 、 访问 控制、日志、 审计 功能。位置 ：位于内部网 络 最外 层 ，最容易遭受入侵。它是内部网 络 上外界惟一可以 访问 的点，在整个防火 墙系 统 中起着重要作用，是整个系 统 安全关 键 点。13.3.1 双宿 /多宿主机模式*20双宿 /多宿主机模式的原理双宿主机内外的网络通过双宿主机的应用层代理服务实施通信，但内外网络之间不可直接通信。1）禁止网络层的路由转发功能；2）应具有强大的身份认证系统；3）尽量少安装应用程序和服务；4）尽量减少防火墙上用户的账户数。*2113.3.2 屏蔽主机模式*22屏蔽主机模式的原理1） 过滤 路由器 ：将所有 进 入的信息先送往堡 垒 主机，并且只 发 出来自堡 垒 主机的数据。2） 堡 垒 主机 ： Internet上的主机能 连 接到的唯一的内部网 络 上的系 统 。屏蔽主机防火 墙 ： 强 迫所有外部网 络 到内部网 络 的连 接通 过 此 过滤 路由器和堡 垒 主机，而不会直接连 接到内部网 络 ，反之亦然。安全性更好一些。过滤路由器的路由表应当受到严格的保护，否则数据包直接进入内部网。*2313.3.3 屏蔽子网模式*24屏蔽子网模式的原理增加了一个隔离内部网 络 与 Internet的周 边 网 络 （DMZ）， DMZ中的 堡 垒 主机 运行可向 Internet开放的各种网 络应 用（如 Web 、 SMTP、 FTP、外部DNS服 务 ）。外部路由器 用来保护堡垒主机免受侵害，内部路由器 用来防备因堡垒主机被攻破而对内部网络造成危害。 安全性好，成本昂 贵*2513.4 防火 墙 技 术 的几个新方向13.4.1 透明接入技 术不透明接入：需要修改网 络 拓扑 结 构，内部子网用户 要更改网关，路由器要更改路由配置，路由器和子网用 户 需要知道堡 垒 主机的 IP地址。具有透明代理功能的堡 垒 主机 对 路由器和子网用 户而言是完全透明的，犹如网 桥 一 样 。典型的透明接入技 术 包括 ARP代理和路由 转发 。*2613.4.2 分布式防火墙技术分布式防火墙是三部分组成的立体防护系统：（ 1）网 络 防火 墙 （ Network Firewall）：它承担着传统边 界防火 墙 看守大 门 的 职责 ；（ 2）主机防火 墙 （ Host Firewall）：它解决了 边 界防火 墙 不能很好解决的 问题 （例如来自内部的攻击 和 结 构限制等）；（ 3）集中管理（ Central Management）：它解决了由分布技 术 而 带 来的管理 问题 。保证系统的安全、性能稳定高效、扩展性。*2713.4.3 以防火 墙为 核心的网 络 安全体系充分 发挥 各自 长处 ， 协 同配合，共同建立一个有效的安全防范体系：（ 1）把入侵 检测 系 统 、病毒 监测 “做 ”到防火 墙 中，使防火 墙 具有 简单 的入侵 检测 和病毒 检测 功能。（ 2）各个 产 品分离，但是通 过 某种通信方式形成一个整体，即 专业检测 系 统专职 于某一 类 安