网络安全技术-防火墙

第16课防火墙,四川工程职业技术学院计算机科学系,本章目标,了解防火墙的定义和类型掌握防火墙的原理了解防火墙技术的发展趋势学习ISA的应用,四川工程职业技术学院计算机科学系,防火墙(Firewall)的定义,在互联网上，防火墙是一种有效的网络安全系统，通过它可以隔离风险区域（Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问。名称来源：建筑行业,四川工程职业技术学院计算机科学系,防火墙,防火墙是什么？可以是一套软件，也可以是一套硬件可以是一台路由器，也可以是一台PC机可能是一台专业防火墙防火墙的基本设计目标所有通过“内部”和“外部”的网络流量都要经过防火墙通过安全策略，保证只有经过授权的流量才可以通过防火墙防火墙本身必须建立在安全操作系统的基础上防火墙的控制能力服务控制，确定哪些服务可以被访问方向控制，对于特定的服务，可以确定允许哪个方向能够通过防火墙用户控制，根据用户来控制对服务的访问,四川工程职业技术学院计算机科学系,防火墙的局限性,防火墙不能防范网络内部的攻击比如：防火墙无法禁止内部间谍将敏感数据拷贝到软盘上。防火墙也不能防范社会行为那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限。防火墙不能防止传送己感染病毒的软件或文件不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。对于绕过防火墙的攻击，它无能为力例如，在防火墙内部通过拨号出去,四川工程职业技术学院计算机科学系,防火墙的分类,按技术分类分组过滤（PacketFiltering）：作用在协议组的网络层和传输层，根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过。应用代理（ApplicationProxy）：也叫应用网关（ApplicationGateway），它作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。电路级网关，又叫状态检测（StatusDetection）：是前面两种防火墙的结合体，它在包过滤的基础上加了状态连接表，将进出的数据包连成一个个的事件来处理，规范了应用层的行为。按软硬件分类软件防火墙通用OS+防火墙软件硬件防火墙“硬化”了的软件防火墙芯片级防火墙专用的OS+专用的芯片,四川工程职业技术学院计算机科学系,包过滤路由器,基本思想简单对于每个进来的包，适用一组规则，然后决定转发或丢弃往往配置成双向的如何过滤过滤的规则以IP和传输层的头中的域(字段)为基础，包括源和目标IP地址、IP协议域、源和目标端口号过滤器往往建立一组规则，根据IP包是否匹配规则中指定的条件来作出决定。如果匹配到一条规则，则根据此规则决定转发或者丢弃如果所有规则都不匹配，则根据缺省策略缺省策略只有两种：默认允许、默认拒绝回顾：从上到下，点到为止的ACL原则,四川工程职业技术学院计算机科学系,包过滤防火墙(小结),在网络层上进行监测并没有考虑连接状态信息通常在路由器上实现实际上是一种网络的访问控制机制优点实现简单对用户透明效率高缺点正确制定规则并不容易不可能引入认证机制（为什么？）,四川工程职业技术学院计算机科学系,应用层网关,也称为代理服务器特点所有的连接都通过防火墙，防火墙作为网关在应用层上实现可以监视包的内容可以实现基于用户的认证所有的应用需要单独实现可以提供理想的日志功能非常安全，但是开销比较大,四川工程职业技术学院计算机科学系,应用层网关,应用代理（ApplicationProxy）是运行在防火墙上的一种服务器程序，防火墙主机可以是一个具有两个网络接口的双重宿主主机，也可以是一个堡垒主机。代理服务器被放置在内部服务器和外部服务器之间，用于转接内外主机之间的通信，它可以根据安全策略来决定是否为用户进行代理服务。,四川工程职业技术学院计算机科学系,MicrosoftProxyServer2.0,一个功能强大的代理服务器提供常用的Internet服务除了基本的WebProxy，还有SocksProxy和WinsockProxy强大的cache和log功能对于软硬件的要求比较低安装管理简单与NT/2000集成的认证机制扩展的一些功能反向proxy:proxy作为Internet上的一个Webserver反向hosting，以虚拟WebServer的方式为后面的WebServer独立地发布到Internet上安全报警,四川工程职业技术学院计算机科学系,电路层网关,本质上，也是一种代理服务器有状态的包过滤器动态包过滤器例子：socksSOCK代理协议，只要你向外连接，它就给你代理，并不管你用的是什么协议，极大的弥补了HTTP代理协议的不足。问题：需不需要外部服务器接应？,四川工程职业技术学院计算机科学系,代理服务器,分类HTTP代理：能够代理客户机的HTTP访问，主要是代理浏览器访问网页，它的端口一般为80、8080、3128等；FTP代理：能够代理客户机上的FTP软件访问FTP服务器，它的端口一般为21、2121；RTSP代理：代理客户机上的Realplayer访问Real流媒体服务器的代理，其端口一般为554；POP3代理：代理客户机上的邮件软件用POP3方式收发邮件，端口一般为110；,四川工程职业技术学院计算机科学系,代理服务器,SOCKS代理：SOCKS代理与其他类型的代理不同，它只是简单地传递数据包，而并不关心是何种应用协议，既可以是HTTP请求，也可以是其它协议SOCKS代理服务器比其他类型的代理服务器速度要快得多。SOCKS代理又分为SOCKS4和SOCKS5二者不同的是SOCKS4代理只支持TCP协议（即传输控制协议），而SOCKS5代理则既支持TCP协议又支持UDP协议（即用户数据包协议），还支持各种身份验证机制、服务器端域名解析等。SOCK4能做到的SOCKS5都可得到，但SOCKS5能够做到的SOCKS则不一定能做到，比如我们常用的聊天工具QQ在使用代理时就要求用SOCKS5代理，因为它需要使用UDP协议来传输数据。,四川工程职业技术学院计算机科学系,防火墙三种类型的比较,四川工程职业技术学院计算机科学系,常见防火墙系统模型,常见防火墙系统一般按照四种模型构建筛选路由器模型单宿主堡垒主机（屏蔽主机防火墙）模型双宿主堡垒主机模型（屏蔽防火墙系统模型）屏蔽子网模型。几个概念堡垒主机(BastionHost)：对外部网络暴露，同时也是内部网络用户的主要连接点单宿主主机(single-homedhost)：只有一个网络接口的通用计算机系统双宿主主机(dual-homedhost)：至少有两个网络接口的通用计算机系统DMZ(DemilitarizedZone，非军事区或者停火区)：在内部网络和外部网络之间增加的一个子网,四川工程职业技术学院计算机科学系,筛选路由器模型,筛选路由器模型是网络的第一道防线，功能是实施包过滤。创建相应的过滤策略时对工作人员的TCP/IP的知识有相当的要求，如果筛选路由器被黑客攻破那么内部网络将变得十分的危险。该防火墙不能够隐藏内部网络的信息，不具备监视和日志记录功能。,四川工程职业技术学院计算机科学系,单宿主堡垒主机模型,单宿主堡垒主机（屏蔽主机防火墙）模型由包过滤路由器和堡垒主机组成。该防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。所以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。,四川工程职业技术学院计算机科学系,双宿主堡垒主机模型,双宿主堡垒主机模型（屏蔽防火墙系统）可以构造更加安全的防火墙系统。双宿主堡垒主机有两种网络接口但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行将所有去往内部网络的信息经过堡垒主机。,四川工程职业技术学院计算机科学系,屏蔽子网模型,屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一，因为在定义了“中立区”(DMZ，DemilitarizedZone)网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组，以及其它公用服务器放在DMZ网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备。,四川工程职业技术学院计算机科学系,配置方案一,屏蔽主机方案：单宿主堡垒主机只允许堡垒主机可以与外界直接通讯优点：两层保护：包过滤+应用层网关；灵活配置缺点：一旦包过滤路由器被攻破，则内部网络被暴露,四川工程职业技术学院计算机科学系,配置方案二,屏蔽主机方案：双宿主堡垒主机从物理上把内部网络和Internet隔开，必须通过两层屏障优点：两层保护：包过滤+应用层网关；配置灵活,四川工程职业技术学院计算机科学系,配置方案三,屏蔽子网防火墙优点三层防护，用来阻止入侵者外面的router只向Internet暴露屏蔽子网中的主机内部的router只向内部私有网暴露屏蔽子网中的主机,四川工程职业技术学院计算机科学系,防火墙的发展,常见的专业防火墙芯片级这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等其它级CheckPointFirewall软件防火墙中排名第一Linux的防火墙工具IPCHAINS，全手工打造分布式防火墙C/S模式，每个主机统一设防，适合关键部门应用层网关的进一步发展认证机制、智能代理与其他技术的集成比如NAT、VPN(IPSec)、IDS,四川工程职业技术学院计算机科学系,安装ISA2004,1，系统需求CPU：P550，最多支持四个CPURAM：256MDISK：150M，不包括缓存空间。OS：Windows2000+sp4+ie6+kb821887/2003网卡：缓存服务器一块，防火墙二块。DNS：要求内网DNS或外网DNS服务器，如果使用WEB代理和防火墙客户端，建议使用稳定的内部DNS，如果是NAT客户可使用外部DNS。网络：正常工作的外网接入和内部局域网,四川工程职业技术学院计算机科学系,案例学习,ISA安装安装环境ISA发布内网web服务ISA其它设置,四川工程职业技术学院计算机科学系,