防火墙技术基础

,第五章防火墙技术基础,本章目标,了解防火墙的概念及其功能掌握防火墙的分类掌握包过滤防火墙的工作原理及其优缺点掌握代理服务器的工作原理及其优缺点了解防火墙上可以应用的其他技术,5.1防火墙基础技术,对黒客来说，只要有一点系统漏洞就足够了保护网络安全的第一个建议就是安装防火墙,5.1.1什么是防火墙,防火墙定义隔离在本地网络与外界网络之间的一道防御系统隔离风险区域与安全区域的连接不会妨碍人们对风险区域的访问设置防火墙简化网络的安全管理,5.1.1什么是防火墙(续)防火墙示意图,内部网络,5.1.1什么是防火墙(续)防火墙实现方式,路由器主机子网,5.1.2防火墙的功能,防火墙是企业网络中实施安全保护的核心防火墙能够拒绝进出网络的数据流量,5.1.2防火墙的功能(续),防火墙的主要功能有：过滤不安全的服务和非法用户控制对特殊站点的访问提供监视Internet安全访问和预警的可靠节点实现公司的安全策略防止暴露内部网的结构审计和记录Internet使用费用在物理上设置一个单独的网段，放置服务器,5.1.3防火墙的缺陷,防火墙防范功能不完备防火墙的缺陷：防火墙不能防范不经过防火墙的攻击防火墙不能防止感染了病毒的软件或文件的传输防火墙不能防止数据驱动式攻击防火墙需要其他的安全策略配合,5.1.4防火墙的分类,按照防火墙对内外来往数据的处理方法分类包过滤防火墙以色列的Checkpoint防火墙Cisco公司的PIX防火墙代理防火墙（应用层网关防火墙）美国NAI公司的Gauntlet防火墙,5.2包过滤技术,5.2.1包过滤的原理5.2.2包过滤技术的优点5.2.3包过滤技术的缺点,5.2.1包过滤的原理,第一代包过滤称为静态包过滤根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配过滤规则是根据数据包的报头信息进行定义的“没有明确允许的都被禁止”,5.2.1包过滤的原理(续)IP地址过滤,UNIX服务器,防火墙,PC客户机,5.2.1包过滤的原理(续)防火墙阻止IP流,UNIX服务器,防火墙过滤目标IP为UNIX主机地址的IP分组,Telnet客户,Telnet服务器,Telnet产生目标地址为服务器地址的IP分组,防火墙可以把所有发给UNIX计算机的数据包都给过滤掉防火墙可以根据IP地址判断是否过滤数据包IP地址欺骗技术可以破坏上面的防范措施采用TCP/UDP端口过滤技术,5.2.1包过滤的原理(续)防火墙阻止IP流(续),5.2.1包过滤的原理(续)服务器端TCP/UDP端口过滤,UNIX服务器,Telnet客户,Telnet服务器,PC客户机,Telnet应用程序产生目标IP为UNIX服务器地址TCP端口号为23的IP分组,防火墙阻断目标地址为UNIX服务器，TCP端口号为23的IP分组，让其他分组通行,TCP/IP客户程序使用大于1023的随机分配的端口号打开所有高于1023的端口不安全可以要求防火墙放行已知服务的数据包，其他的全部挡在防火墙之外,5.2.1包过滤的原理(续)服务器端TCP/UDP端口过滤(续),5.2.1包过滤的原理(续)TCP/UDP端口,UNIX服务器,Web服务器,PC客户机,Web客户,客户机向服务器发送目标地址是Web服务器，目标TCP端口为80的分组，防火墙则放行，其他的IP包均过滤。,用户无法知道要访问的服务器正在运行的端口号源地址不能相信，目标端口也不可信任对于TCP协议，利用ACK位,5.2.1包过滤的原理(续)TCP/UDP端口(续),5.2.1包过滤的原理(续)使用ACK位,外部Web服务器,PC客户机,1）客户发起连接请求(ACK没有置位),2）服务器应答(ACK置位）,5.2.1包过滤的原理(续)动态包过滤技术,使用ACK位无法解决一些问题FTP协议UDP协议使用动态包过滤技术动态设置包过滤规则发展成为状态检测（StatefulInspection）技术仍然存在问题，可以使用代理服务器,5.2.2包过滤技术的优点,优越的通信性能仅在第三层进行数据包的过滤，可以通过硬件实现对用户来说是完全透明可以通过普通的路由器实现，节省投资,5.2.3包过滤技术的缺点,包过滤技术的缺陷主要为：包过滤准则非常复杂，在实现上非常困难，对包过滤准则难以进行检验包过滤技术对于高层的协议无法实现有效的过滤包过滤技术只能够实现基于主机和端口的过滤，无法实现针对用户和应用程序的过滤当网络安全的方案十分复杂时，不能用数据包过滤技术来单独解决,5.3代理技术,代表企业内部网络和外界打交道的服务器不允许存在任何网络内外的直接连接提供公共和专用的DNS、邮件服务器等多种功能代理服务器重写数据包时会修改一些数据,5.3.1代理技术的工作层次,代理服务技术工作于OSI模型的应用层代理服务技术支持对高层协议的过滤代理服务中可以做到基于用户的认证也叫应用层网关（ApplicationGateway）防火墙代理技术可以隐藏内部网结构,5.3.1代理技术的工作层次(续)传统代理型防火墙,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用层,表示层,会话层,传输层,网络层,链路层,物理层,5.3.1代理技术的工作层次(续)传统代理型防火墙(续),安全每一个内外网络之间的连接都要通过Proxy的介入和转换，保证了安全速度相对比较慢当用户对内外网络网关的吞吐量要求比较高时，代理防火墙就会成为内外网络之间的瓶颈,5.3.1代理技术的工作层次(续)适应代理技术,适应代理技术（adaptiveproxy）代理防火墙的安全性包过滤防火墙的高速度组成适应代理技术的基本要素自适应代理服务器（adaptiveproxyserver）动态包过滤器（dynamicpacketfilter）,5.3.1代理技术的工作层次(续)自适应代理防火墙,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用层,表示层,会话层,传输层,网络层,链路层,物理层,5.3.1代理技术的工作层次(续)自适应代理防火墙(续),在自适应代理与动态包过滤器之间存在一个控制通道用户配置防火墙十分简单自适应代理根据用户的配置信息，决定是从应用层代理请求还是从网络层转发包,5.3.2代理技术的优点,实现基于用户级的身份认证和访问控制提供非常详细的日志功能使用第三方的身份认证系统和日志记录系统具有内部地址的屏蔽及转换功能简化包过滤规则的设定,5.3.3代理技术的缺点,代理技术需要对每一种网络服务都必须有特定的服务代理，十分烦琐和不便代理版本总是落后于现实环境代理技术使网络的性能受到影响,包过滤防火墙和代理防火墙技术特点,5.4其他技术,NAT技术对Internet隐藏内部地址，防止内部地址公开VPN技术通过公共介质如Internet扩展公司的网络。对传输数据进行加密，然后将数据封装在IP包里，通过Internet路由出去内容检查技术通过对信息流内容的分析，从而确保数据流的安全加密技术加密技术可以提供保密性、可认证性和完整性,5.4其他技术(续),安全审计对网络上发生的事件进行记载和分析对某些被保护网络的敏感信息访问保持不间断的记录通过各种不同类型的报表、报警等方式向系统管理人员进行报告身份认证用户认证客户认证会话认证负载均衡平衡服务器的负载，由多个服务器为外部网络用户提供相同的应用服务,5.4.1NAT,NAT，NetworkAddressTranslation，网络地址翻译将一个IP地址用另一个IP地址代替应用场合隐藏内部网络地址内部网络地址使用私有的IP地址内部网对外部是不可见Internet不能访问内部网，内部网主机之间可以相互访问,5.4.1NAT(续),使用应用级网关防火墙解决访问问题应用级网关的缺陷应用级网关要为每一种应用定制代理代理不透明不能为基于TCP以外的应用提供很好的代理,5.4.2VPN,VPN定义通过一个公共网络建立的一个临时的、安全的连接一条穿过混乱的公共网络的安全、稳定的隧道对企业内部网的扩展VPN建立可信的安全连接，并保证数据的安全传输VPN帮助企业降低花费VPN简化网络的设计和管理,5.4.3状态检查,状态检查定义对每一个通过防火墙的数据包都要进行检查看数据包是否属于一个已经通过防火墙并且正在进行连接的会话，或者基于一组与包过滤规则相似的规则集对数据包进行处理,5.4.3状态检查(续)执行步骤,检查数据包是否是一个已经建立并且正在使用的通信流的一部分不同的协议的数据包的检查程度不同如果数据包和连接表的各项都不匹配，防火墙会检测数据包是否与它所配置的规则集相匹配数据包通过检查后，防火墙会在其连接表中为此次对话创建或者更新一个连接项防火墙通常对TCP包中被设置的FIN位进行检测或者通过使用计时器来决定何时从连接表中删除某连接项,5.5案例分析,防火墙安装和投入使用后，并非就万无一失防火墙安全防护功能的发挥需要依赖很多因素结合其他的安全技术，提高防火墙的安全性及时更新防火墙,5.5.1未制定完整的企业安全策略网络环境,5.5.1未制定完整的企业安全策略问题描述,防火墙投入运行后，实施了一套较为严格的安全规则，导致公司员工无法使用QQ聊天软件员工自己拨号上网，导致感染了特洛依木马和蠕虫等病毒，并立刻在公司内部局域网中传播开来，造成内部网大面积瘫痪,5.5.1未制定完整的企业安全策略问题分析,防火墙必须部署在受保护网络的边界处被保护网络的边界不惟一，有很多出入口，只部署一台防火墙是不够的在该案例中，没有禁止私自拨号上网行为，使得许多PC机通过电话线和Internet相连，导致网络边界不惟一,5.5.1未制定完整的企业安全策略解决办法,根据自身特点，制定一整套安全策略，彻底贯彻实施严禁员工私自拨号上网封掉拨号上网的电话号码购买检测拨号上网的软件充分考虑员工的实际感受，妥善处理在非工作时间打开QQ使用的TCP/UDP端口,5.5.1未制定完整的企业安全策略结论和忠告,防火墙只是保证安全的一种技术手段安全策略是安全的核心问题,5.5.2未考虑与其他安全产品的配合使用问题描述,购买了防火墙后，紧接着又购买了漏洞扫描和IDS产品系统管理员利用IDS发现入侵行为后，必须每次都要手工调整防火墙安全策略，使管理员工作量剧增经常调整安全策略，给整个网络带来不良影响,5.5.2未考虑与其他安全产品的配合使用问题分析,选购防火墙时未充分考虑到与其他安全产品如IDS的联动功能不能最大程度地发挥安全系统的作用,5.5.2未考虑与其他安全产品的配合使用解决办法,购买防火墙前应查看企业网是否安装了漏洞扫描或IDS等其他安全产品确定所要购买的防火墙是否有联动功能选择能同已有安全产品联动的防火墙,5.5.2未考虑与其他安全产品的配合使用结论和忠告,具有保护网络安全功能不仅仅是防火墙一种产品只有将多种安全产品无缝地结合起来，充分利用它们各自的优点，才能最大限度地保证网络安全。,5.6当前主流产品介绍,NetScreen硬件防火墙集防火墙、VPN、流量控制三种功能于一体CheckpointFirewallCheckPointFireWall-1v4.1软件防火墙在世界范围内的软件防火墙中销售量排名第一NAIGauntlet将防毒集于一身GauntletFirewall2.1forNT/UNIX基于软件的防火墙支持NT和UN