【大学课件】信息安全技术----系讲10.doc

第十讲: 防火墙关键技术 防火墙只是保护网络安全与保密的一种概念，并无严格的定义。防火墙的研究与开发正日新月异。各种新产品、新功能不断涌现。到目前为止，防火墙所涉及的关键技术包括：包过滤技术、代理技术、电路级网关技术、状态检查技术、地址翻译技术、加密技术、虚拟网技术、安全审计技术、安全内核技术、身份认证技术、负载平衡技术、内容安全技术等。其中有些技术（比如加密、认证等）已经在前一讲中作了介绍，所以，此处再介绍一些关键技术。A: 包过滤技术 包过滤技术一般由一个包检查模块来实现。包过滤可以安装在一个双宿网关上或一个路由器上实现，当然也可以安装在一台服务器上。数据包过滤可以控制站点与站点、站点与网络、网络与网络之间的相互访问，但不能控制传输的数据的内容，因为内容是应用层数据，不是包过滤系统所能辨认的，数据包过滤允许你在单个地方为整个网络提供特别的保护。包检查模块深入到操作系统的核心，在操作系统或路由器转发包之前拦截所有的数据包。当把包过滤防火墙安装在网关上之后，包过滤检查模块深入到系统的在网络层和数据链路层之间。因为数据链路层是事实上的网卡（NIC），网络层是第一层协议堆栈，所以防火墙位于软件层次的最底层。 通过检查模块，防火墙能拦截和检查所有出站和进站的数据。防火墙检查模块首先验证这个包是否符合过滤规则，不管是否符合过滤规则，防火墙一般要记录数据包情况，不符合规则的包要进行报警或通知管理员。对丢弃的数据包，防火墙可以给发方一个消息，也可以不发。这要取决于包过滤策略，如果都返回一个消息，攻击者可能会根据拒绝包的类型猜测包过滤规则的大致情况。所以对是否发一个返回消息给发送者要慎重。包检查模块能检查包中的所有信息，一般是网络层的IP头和传输层的头。包过滤一般要检查下面几项：l IP源地址l IP目标地址l 协议类型（TCP包、UDP包、ICMP包）l TCP或UDP的源端口l TCP或UDP的目标端口l ICMP消息类型l TCP报头中的ACK位此外，TCP的序列号、确认号，IP校验和、分割偏移也往往是要检查的选项。 IP分段字段用来确定数据包在传输过程中是否被重新分段。分段带来的问题是只有第一个段有高层协议的报头（如TCP头），而其它的段中没有。数据包过滤器一般是让非首段包通过，而仅对第一个分段进行过滤。因为目标主机如果得不到第一个分段，也就不能组装一个完整的数据包，因此这样做是可以接受的。强大的防火墙应该考虑非第一个分段有可能泄露有用的信息。比如出站的NFS数据包几乎肯定要分段，内部网中的敏感数据经过NFS传输可能会泄露。因此防火墙要根据第一个分段的操作策略来决定是否转发非第一个分段。 IP分段也经常用来进行拒绝服务器攻击。攻击者向目标主机发非第一个分段包，防火墙对这种包不作处理而直接让其通过，目标主机得不到第一个分段来重组数据包时，会放弃该包，同时发一个ICMP“数据组装超时”的包给源主机。如果目标主机大量收到这种非第一个分段包，它需要占用大量的CPU时间来进行处理。当达到一定极限之后，目标主机就不能处理正常的服务，而造成拒绝服务攻击。此外返回的ICMP也会泄露有用的消息，因此对这种ICMP，防火墙应该过滤掉。TCP是面向连接的可靠传输协议，TCP的可靠主要是通过下面三个条来保证的：l 目标主机将按发送的顺序接受应用数据，l 目标主机将接受所有的应用数据，l 目标主机将不重复接受任何数据。 TCP协议通过对错误的数据重传来保证数据可靠到达，并且事先要建立起连接才能传输。如果要阻止TCP的连接，仅阻止第一个连接请求包就够了。因为没有第一个数据包，接收端不会把之后的数据组装成数据流，且不会建立起连接。UDP数据包和TCP数据包有相似之处，UDP数据包中也有源端口和目标端口，但没有确认号、序列号、ACK位，故UDP数据包的过滤特性和TCP数据包有所不同。包过滤系统无法检查UDP包是客户到服务器的请求，还是服务器对客户的响应。 要对UDP数据包进行过滤，防火墙应有动态数据包过滤的特点，就是说防火墙应记住流出的UDP数据包，当一个UDP数据包要进入防火墙时，防火墙会看它是否和流出的UDP数据包相配，若相匹配则允许它进入，否则阻塞该数据包。 UDP的返回包的特点是目标端口是请求包的源端口，目标地址是请求包的源地址，源端口是请求包的目的端口，源地址是请求包的目标地址。 ICMP数据包是用来响应请求、应答、超时、无法到达目标和重定向等。包过滤应根据ICMP的类型来进行过滤。 ICMP数据包用于主机之间、主机和路由器之间的路径、流量控制、差错控制和阻塞控制等，包过滤应根据ICMP的类型来进行过滤。ICMP数据包被封装在IP包中。不同的消息类型用于不同类型的机器，如有的消息只能由路由器发出，由主机来接受。比如当路由器禁止一个数据包通过，通常路由器将返回一个ICMP报文给发送主机。黑客如果攻击内部网，通过分析返回的ICMP报文的类型可以知道哪种类型的数据包被禁止，他可以大致分析出防火墙采用的过滤规则。所以防火墙应该禁止返回有用的ICMP报文，因为ICMP报文会泄露一些信息。在决定包过滤防火墙是否返回ICMP错误代码时，应作以下几点考虑：1. 防火墙应该发送什么消息；2. 你是否负担得起生成和返回错误代码的高额费用；3. 返回错误代码能使得侵袭者得到很多你的数据包过滤信息；4. 什么错误代码对你的站点有意义。包过滤对用户来说以下的优点：l 帮组保护整个网络，减少暴露的风险。l 对用户完全透明，不需要对客户端作任何改动，也不需要对用户作任何培训。l 很多路由器可以作数据包过滤，因此不需要专门添加设备。包过滤最明显的缺陷是即使是最基本的网络服务和协议，它也不能提供足够的安全保护，包过滤是不够安全的，因为它不能提供防火墙所必须的防护能力。它的缺点主要表现在：l 包过滤规则难于配置。一旦配置，数据包过滤规则也难于检验。l 包过滤仅可以访问包头信息中的有限信息。l 包过滤是无状态的，因为包过滤不能保持与传输相关的状态信息或与应用相关的状态信息。l 包过虑对信息的处理能力非常有限。l 一些协议不适合用数据包过滤，如基于远程过程调用的应用。B: 代理技术 代理（Proxy）技术与包过滤技术完全不同，包过滤技术是在网络层拦截所有的信息流，代理技术是针对每一个特定应用都有一个程序。代理是企图在应用层实现防火墙的功能，代理的主要特点是有状态性。代理能提供部分与传输有关的状态，能完全提供提供与应用相关的状态和部分传输方面的信息，代理也能处理和管理信息。 代理使得网络管理员能够实现比包过滤路由器更严格的安全策略。应用层网关不用依赖包过滤工具来管理英特网服务在防火墙系统中的进出，而是采用为每种所需服务而安装在网关上特殊代码（代理服务）的方式来管理英特网服务，应用层网关能够让网络管理员对服务进行全面的控制。如果网络管理员没有为某种应用安装代理编码，那么该项服务就不支持并不能通过防火墙系统来转发。同时，代理编码可以配置成只支持网络管理员认为必须的部分功能。 提供代理服务的可以是一台双宿网关，也可以是一台堡垒主机。允许用户访问代理服务是很重要的，但是用户是绝对不允许注册到应用层网关中的。假如允许用户注册到防火墙系统中，防火墙系统的安全就会受到威胁，因为入侵者可能会在暗地里进行某些损害防火墙有效性运动作。例如，入侵者获取Root权限，安装特洛伊马来截取口令，并修改防火墙的安全配置文件。提供代理的应用层网关主要有以下优点：1. 应用层网关有能力支持可靠的用户认证并提供详细的注册信息。2. 用于应用层的过滤规则相对于包过滤路由器来说更容易配置和测试。3. 代理工作在客户机和真实服务器之间，完全控制会话，所以可以提供很详细的日志和安全审计功能。4. 提供代理服务的防火墙可以被配置成唯一的可被外部看见的主机，这样可以隐藏内部网的IP地址，可以保护内部主机免受外部主机的进攻。5. 通过代理访问Internet可以解决合法的IP地址不够用的问题，因为Internet所见到只是代理服务器的地址，内部不合法的IP通过代理可以访问Internet。 然而，应用层代理也有明显的缺点，主要包括：1. 有限的连接性。代理服务器一般具有解释应用层命令的功能，如解释FTP命令、Telnet命令等，那么这种代理服务器就只能用于某一种服务。因此，可能需要提供很多种不同的代理服务器，如FTP代理服务器、Telnet代理服务器等等。所以能提供的服务和可伸缩性是有限的。2. 有限的技术。应用层网关不能为RPC、talk和其它一些基于通用协议族的服务提供代理。3. 性能。应用层实现的防火墙会造成明显的性能下降。4. 每个应用程序都必须有一个代理服务程序来进行安全控制，每一种应用升级时，一般代理服务程序也要升级。5. 应用层网关要求用户改变自己的行为，或者在访问代理服务的每个系统上安装特殊的软件。比如，透过应用层网关Telnet访问要求用户通过两步而不是一步来建立连接。不过，特殊的端系统软件可以让用户在Telnet命令中指定目标主机而不是应用层网关来使应用层网关透明。 此外，代理对操作系统和应用层的漏洞也是脆弱的，不能有效检查底层的信息，传统的代理也很少是透明的。 从历史发展的观点来说，应用层网关适应英特网的通用用途和需要。但是，英特网的环境在不断动态变化，现在，新的协议、服务和应用在不断出现，代理不再能处理英特网上的各种类型的传输，不能满足新的商业需求，不能胜任对网络高带宽和安全性的需要。C: 电路级网关技术 应用层代理为一种特定的服务（如FTP，Telnet等）提供代理服务。代理服务器不但转发流量而且对应用层协议做出解释。而电路级网关也是一种代理，但是只是建立起一个回路，对数据包只起转发的作用。电路级网关只依赖于TCP连接，并不进行任何附加的包处理或过滤。 在电路级网关中，数据包被提交给用户应用层来处理，网关只用来在两个通信终点之间转接数据包，只是简单的字节回来拷贝，由于连接似乎是起源于防火墙，其隐藏了受保护网络的有关信息。 这种代理的优点是它可以对各种不同的协议提供服务，但这种代理需要改进客户程序。这种网关对外像一个代理，而对内则是一个过滤路由器。 一个简单的电路级网关仅传输TCP的数据段，增强的电路级网关还应该具有认证的功能。电路级网关的一个缺点是，同应用层网关技术一样，新的应用出现可能会要求对电路级网关的代码作相应的修改。D: 其它关键技术 1：状态检查技术状态检查技术能在网络层实现所需要的防火墙能力。防火墙上的状态检查模块访问和分析从各层次得到的数据，并存储和更新状态数据和上下文信息，为跟踪无连接的协议提供虚拟的会话信息。防火墙根据从传输过程和应用状态所获得的数据以及网络设置和安全规则来产生一个合适的操作，要么拒绝，要么允许，或者是加密传输。任何安全规则没有明确允许的数据包将被丢弃或者产生一个安全警告，并向系统管理员提供整个网络的状态。 这种防火墙的安全特性是非常好的，它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。与其它安全方案不同，当用户访问到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全规定，安全报警器就会拒绝该访问，并作记录，向系统管理器报告网络状态。状态监视器的另一个优点是它会监测RPC和UDP之类的端口信息。包过滤和代理网关都不支持此类端口。这种防火墙无疑是非常坚固的，但它的配置非常复杂，而且会降低网络的速度。 2：地址翻译技术地址翻译NAT就是将一个IP地址用另一个IP地址代替。地址翻译主要用在两个方面：l 网络管理员希望隐藏内部网络的IP地址。这样英特网上的主机无法判断内部网络的情况。l 内部网络的IP地址是无效的IP地址。 这种情况主要是因为现在的IP地址不够用，要申请到足够多的合法IP地址很难办到，因此需要翻译IP地址。 在上面两种情况下，内部网对外面是不可见的，英特网不能访问内部网，但是内部网内主机之间可以相互访问。应用网关防火墙可以部分解决这个问题，例如，也可以隐藏内部IP，一个内部用户可以Telnet到网关，然后通过网关上的代理连接到Internet。但是应用层网关有它的缺陷：l 要为每一种应用定制代理，如果没有为某种服务的提供入站或出站的代理，这种服务就不能使用。l 代理是不透明的，因此即使合法的出站用户通过应用网关，也会给网关代来很大的开销。因为代理对数据包转发是在应用层进行的，一旦通过代理建立起到目标主机的连接，代理一般就不作控制。l 不能为基于TCP以外的的应用很好的提供代理。 地址翻译可以提供一种透明的完善的解决方案。网络管理员可以决定哪些内部的IP地址需要隐藏，哪些地址需要映射成为一个对英特网可见的IP地址。地址翻译可以实现一种“单向路由”，这样不存在从英特网到内部网