第十章 网络与信息安全 防火墙.ppt

第10章防火墙技术,10.1防火墙的基本概念10.2防火墙的类型及主要技术10.3防火墙的体系结构10.4典型的防火墙产品10.5防火墙技术的发展趋势,本章学习目标,（1）了解防火墙的定义、发展简史、目的、功能、局限性及其发展动态和趋势。（2）掌握包过滤防火墙、代理防火墙的工作原理、技术特点和实现方式；熟悉防火墙的常见体系结构。（3）熟悉典型的防火墙的产品。,10.1防火墙的基本概念,10.1.1防火墙的概念10.1.2防火墙的功能10.1.3防火墙的局限性10.1.4防火墙的发展历史,何谓防火墙,防火墙的角色大门警卫,确认网络封包内容的安全性与合法性,确认使用者身份,10.1.1防火墙的概念,防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问，达到保护系统安全的目的。防火墙是控制外部用户访问内部网络的第一道关口。,图10.1防火墙示意图,防火墙的设计思想就是在内部、外部两个网络之间建立一个具有安全控制机制的安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，来实现对内部网服务和访问的安全审计和控制。需要指出的是，防火墙虽然可以在一定程度上保护内部网的安全，但内部网还应有其他的安全保护措施，这是防火墙所不能代替的。,10.1.2设置防火墙的功能,（1）集中化的安全管理，强化安全策略由于Internet上每天都有上百万人在那里收集信息、交换信息，不可避免地会出现个别品德不良的人，或违反规则的人，防火墙是为了防止不良现象发生的“交通警察”，它执行站点的安全策略，仅仅容许“认可的”和符合规则的请求通过。（2）网络日志及使用统计因为防火墙是所有进出信息必须通路，所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点，防火墙能在被保护的网络和外部网络之间进行记录，对网络存取访问进行和统计。,（3）保护那些易受攻击的服务防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。（4）增强的保密用来封锁有关网点系统的DNS信息。因此，网点系统名字和IP地址都不要提供给Internet。（5）实施安全策略防火墙是一个安全策略的检查站，控制对特殊站点的访问。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。,10.1.3防火墙的局限性,(1)不能防范来自内部恶意的知情者的攻击防火墙不能防止专用网中内部用户对资源的攻击。它只是设在专用网和Internet之间，对其间的信息进行干预的安全设施。防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。(2)不能防范不通过它的连接只对所有通过防火墙的进行Internet数据流进行处理，才能发挥防火墙的作用。防火墙能够有效地防止通过它进行传输信息，然而不能防止不通过它而传输的信息。如果用网中有些资源绕过防火墙直接与Internet连通，则得不到防火墙的保护。,(3)防火墙不能防范病毒一般防火墙不对专用网提供防护外部病毒的侵犯。病毒可以通过FTP或其它工具传至专用网。如果要实现这种防护，防火墙中应设置检测病毒的逻辑。(4)不能防备全部的威胁防火墙被用来防备已知的威胁，如果是一个很好的防火墙设计方案，可以防备新的威胁，但没有一个防火墙能自动防御所有的新的威胁。,10.1.4防火墙的发展简史,第一代防火墙：采用了包过滤（PacketFilter）技术。第二、三代防火墙：1989年，推出了电路层防火墙，和应用层防火墙的初步结构。第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。第五代防火墙：1998年，NAI公司推出了一种自适应代理技术，可以称之为第五代防火墙。,防火墙技术的简单发展历史,10.2防火墙的类型及主要技术,1.从软、硬件形式上分为：,软件防火墙,硬件防火墙,芯片级防火墙,（1）软件防火墙：运行于特定的计算机上，这台计算机就是整个网络的网关。（2）硬件防火墙：基于PC架构，在这些PC架构计算机上运行一些经过裁剪和简化的操作系统。采用的依然是别人的内核，依然会受到OS本身的安全性影响。（3）芯片级防火墙：基于专门的硬件平台，没有操作系统。转悠的ASIC芯片使它们比其他类的防火墙速度快，处理能力更强，性能更好。,2.按防火墙的部署位置分类，防火墙可以分为：,边界防火墙,个人防火墙,混合式防火墙,（1）边界防火墙边界防火墙是最为传统的那种，它们位于内外网的边界，所起的作用是对内、外部网络实施隔离，这类防火墙一般都是硬件类型，价格较贵，性能较好。（2）个人防火墙安装于单台主机中，防护的也只是单台主机，通常为软件防火墙，价格最便宜，性能也最差。（3）混合式防火墙就是“分布式防火墙”和“嵌入式防火墙”，它是一整套防火墙系统，由若干软件和硬件组件组成，分布于内、外部网络边界和内部主机之间，既对内外网之间的通信进行过滤，又对网络内部个主机之间的通信进行过滤。性能最好，价格也最贵。,3.从防火墙体系结构上，可以分为包过滤防火墙和代理服务器防火墙两大类。（1）包过滤防火墙：工作在OSI参考模型的网络层和传输层，它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。（2）代理服务器防火墙：工作在OSI的应用层，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层数据流的作用。,10.2.2包过滤技术,1.包过滤技术的工作原理包过滤防火墙技术是在网络的出入口（如路由器）对通过的数据包进行检查和选择的，选择的依据是系统内设置的过滤逻辑（包过滤规则），称为访问控制表。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态或它们的组合，来确定是否允许该数据包通过。包过滤防火墙要遵循的一条基本原则是“最小特权原则”，即明确允许管理员希望通过的那些数据包，禁止其他的数据包。,在网络上传输的每个数据包都可分为两部分：数据部分和包头。包过滤器就是根据包头信息来判断该包是否符合网络管理员设定的规则表中的规则，以确定是否允许该数据包通过。包过滤规则一般是基于部分或全部包头信息的，如IP协议类型、IP源地址、IP选择域的内容、TCP源端口号、TCP目的端口号等。,2.过滤路由器和普通路由器,增加了包过滤防火墙软件、具备了过滤特性的路由器叫做过滤路由器。普通路由器只简单地查看每一个数据包的目的地址，并选择数据包发往目的地址的最佳路径。在对数据包做出路由决定时，普通路由器只依据包的目的地址引导包，而过滤路由器将更严格地检查数据包。除了决定它是否发送数据包到达其目的地址外，过滤路由器还决定数据包是否应该发送。过滤路由器以包的目的地址、包的源地址和包的传输协议为依据，确定允许或不允许某些包在网上传输。,3.包过滤规则,包过滤防火墙的过滤规则的主要描述形式有逻辑过滤规则表、文件过滤规则表和内存过滤规则表。大多数包过滤系统判断是否传输包时都不关心包的具体内容，而是让用户进行如下操作：（1）不允许用户从外部网络用TELNET登录。（2）允许任何用户使用SMTP往内部网发送电子邮件。（3）只允许某台机器通过NNTP（网络新闻传输协议）往内部网络发送新闻。但包过滤系统不同意进行如下操作：（1）允许某用户从外部网络用TELNET登录而不允许其他用户进行这种操作。（2）允许某用户传送一些文件而不允许该用户传送其他文件。,4.包过滤防火墙的特点,包过滤的优点：不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高。包过滤的缺点：不能彻底防止地址欺骗；一些应用协议不适合于数据包过滤；一些应用协议不适合于数据包过滤；正常的数据包过滤路由器无法执行某些安全策略；安全性较差；数据包工具存在很多局限性。,10.2.3代理服务技术,1.代理服务技术的原理代理服务器型防火墙（ProxyServiceFirewall）通过在主机上运行代理的服务程序，直接对特定的应用层进行服务，因此也称为应用级网关。它担任应用级通信量的中继，其核心是运行于防火墙主机上的代理服务器进程，代理网络用户完成TCP/IP功能，应用网关与ISO七层模型如下图所示。,应用网关与OSI七层模型,从内部网用户发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。代理服务器是指它代表客户处理在服务器连接请求的程序。代理服务器通常运行在两个网络之间，它对于客户来说像是一台真的服务器，而对于外部网的服务器来说，它又似一台客户机。代理服务器并非将用户的全部网络请求都提交给Internet上的真正服务器，而是依据安全规则和用户的请求做出判断，是否代理执行该请求，有的请求可能被否决。当用户提供了正确的用户身份及认证信息后，代理服务器建立与外部Internet服务器的连接，为两个通信点充当中继。代理服务器通常都拥有一个高速cache，这个cache存储用户频繁访问的站点内容（页面）。,2.代理服务器的实现,代理服务技术控制对应用程序的访问，它能够代替网络用户完成特定的TCP/IP功能。代理服务器适用于特定的互联网服务，对每种不同的服务都应用一个相应的代理。如代理HTTP、FTP、E-mail、TELNET、WWW、DNS、POP3、IRC等。代理服务器的实现方式有以下几种：应用代理服务器、回路级代理服务器、智能代理服务器、隔离代理服务器、邮件转发服务器。,3.代理服务器特点,代理服务器比分组过滤器更安全。这种防火墙能完全控制网络信息的交换、控制会话过程，具有灵活性和安全性，但可能影响网络的性能，对用户不透明，且对每一种服务器都要设计1个代理模块，应用层网关能让网络管理员对服务进行全面的控制。在应用层对所有进入的通信量记录日志和审计也很容易。支持可靠的用户认证并提供详细的注册信息；用于应用层的过滤规则相对于包过滤路由器来说更容易配置和测试。,缺点：是每个连接上增加了额外的处理负载。从效果上看，最终用户之间存在两个串接的连接，网关处于串接点，网关必须在两个方向上检查和转发所有通信量。要求用户改变自己的行为，或者在访问代理服务的每个系统上安装特殊的软件。例如，透过应用层网关Telnet访问要求用户通过二步而不是一步来建立连接。不过，特殊的端系统软件可以让用户在Telnet命令中指定目标主机而不是应用层网关来应用层网关透明。,10.2.4状态检测技术,1.状态检测技术的工作原理这是继“包过滤”技术和“应用代理”技术后发展的防火墙技术，它是checkpoint技术公司率先提出，又称“动态包过滤”。这种防火墙技术通过一种被称为“状态监视”的模块，在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测，并根据各种过滤规则作出安全决策。基于状态检测技术的防火墙不仅仅对数据包进行检测，还对控制通信的基本因素状态信息（状态信息包括通信信息、通信状态、应用状态和信息操作性）进行检测。通过状态检测虚拟机维护一个动态的状态表，记录所有的连接通信信息、通信状态，以完成对数据包的检测和过滤。,2.状态检测防火墙提供的额外服务,状态检测防火墙可提供的额外服务有：（1）将某些类型的连接重定向到审核服务中去。如与专用Web服务器的连接，在Web服务器连接被允许之前，可能重定向到SecurID服务器（使用一次性口令）。（2）拒绝携带某些数据的网络通信。如拒绝携带带有附加可执行程序的传入电子消息，或包含AtiveX程序的Web页面。,3.通过状态检测防火墙的数据包类型,跟踪连接状态的方式取决于包通过防火墙的类國：（1）TCP刅。当幺立起一个TCP连接时，通过的第一个包被标有包的SYN标志。通常情况下，防火墙丢弃所有外部的连接企图，除霞已经建立起某条特定规则来处理它们。对内部的连接试图连到外部主机，防火墙注明连接包允许响应及阎后再两个系统之间的包，直到连接结束个止。在这种方式下，传入的包只有在嬃是响应一个已建立的连接时，才会被允许通过。（2）UDP包。UDP包比TCP包简单，因为它们不包含任何连接或序列信息。它们只包含源地址、目的地址、校验和携带的数据。这种信息的缺乏使得防火墙确定包的合法性很困难，因为没有打开的连接可利用，以测试传入的包是否应被允许通过。可是，如果防火墙跟踪包的状态，就可以确定。对传入的包，若它所使用的地址和UDP包携带的协议与传出的连接请求匹配，该包就被允许通过。和TCP包一样，没有传入的UDP包会被允许通过，除非它是响应传出的请求或已经建立了指定的规则来处理它。对其他种类的包，情况和UDP包类似。防火墙仔细地跟踪传出的请求，记录下所使用的地址、协议和包的类型，然后对照保存过的信息核对传入的包，以确保这些包是被请求的。,4.状态检测防火墙的特点和应用,状态检测防火墙结合了包过滤防火墙和代理防火墙的特点。与包过滤防火墙一样，它能够在OSI网络层上通过IP地址和端口号过滤进出的数据包；它也像代理服务器防火墙那样，可以在OSI应用层上检查数据包内容，查看这些内容是否符合公司网络的安全规则。状态/动态检测防火墙唯一的缺点就是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞，特别是在同时有许多连接激活的时候，或者是有大量的过滤网络通信的规则存在时。可是，硬件速度越快，这个问题就越不易察觉，而且防火墙的制造商一直致力于提高他们产品的速度。,10.2.5自适应代理技术,新近推出的自适应代理（AdaptiveProxy）防火墙技术，本质上也属于代理服务技术，但它也结合了动态包过滤（状态检测）技术。组成这种防火墙的基本要素有两个：自适应代理服务器和动态包过滤器。它结合了代理服务防火墙的安全性和包过滤防火墙的高速度等优点，在保证安全性的基础上将代理服务器防火墙的性能提高10倍以上。,10.3防火墙的体系结构,由于用户的网络安全需求和防范目的不同，在实现具体的防火墙系统时，通过不同部署，可以形成下面四种不同类型：,包过滤防火墙,双穴主机结构防火墙,屏蔽主机防火墙,屏蔽子网防火墙,10.3.1包过滤防火墙,包过滤防火墙也称作包过滤路由器，它是最基本、最简单的一种防火墙，可以再一般的路由器上实现，也可以在基于主机的路由器上实现，如图：,如果在内部网络与外界之间已有一台路由器，那么只需简单地加一包过滤软件进去，就可以实现网络保护。过滤路由器允许被保护网络的多台主机与外部网络比如Internet网络的多台主机进行直接通信，其危险性分布在被保护网络的全部主机以及允许访问的各种服务类型上。它很少或没有日志记录能力，当网络被击破时，几乎无法保留攻击者的踪迹，所以网络管理员很难确认系统是否正在被入侵或已经被入侵了。一旦该设备发生故障，就会使网络门户大开，而管理员甚至不知道。包过滤防火墙适用于规模小的简单网络。,10.3.2双宿主机结构防火墙,双宿主机体系结构是多宿主机的一个特例，是连接两个网络的计算机系统，是围绕具有双宿主的主机计算机而构筑的，这样的主机可以充当与这些接口相连的网络之间的路由器，并能够从一个网络到另一个网络发送IP数据包。然而，实现双宿主机的作为防火墙的双宿主机体系结构禁止这种发送IP数据包功能。,双宿主机体系结构,网络1上的主A可以访双宿主机的应用程序A。类似的，主机B以访问双宿主机上的应用程序B。双宿主机上的这个两个应用程序甚至可以共享数据来交换信息是完全可能的，屶且，在双宯主机上相连的两个网络段之间没有网络流量的交换。双宿主机网关是在堡垒主机中插装两坓网络口卡，并在其上运行服务器软件，受保护网与Internet之间不能直挥进行通信，必须经过壁垒主机，因此，不必现实的列出保护网与外部网之间的路由，从而达到受保护网除了看到壁垒主机之外，不胙看到其他任何系统效果。,因而，IP数据分组从一个网络（例如，Internet）并不是直接发送到其它网络（例如，内部的、被保护的网络）。防火墙内部的系统能与双宿主机通信，同时防火墙外部的系统（在Internet上）能与双宿主机通信，但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。双宿主机的防火墙体系结构很简单，双宿主机位于两者之间，并且被连接到Internet和内部的网络。如图所示.,双宿主机是防火墙使用的最基本配置，双宿主防火墙主机的重要性是路由被禁；网段之间唯一的路径是通过应用层的功能。如果路由意外地设有配置，且IP转发允许，那么双宿主防火墙的应用层功能就可能被越过。,10.3.3屏蔽主机防火墙,屏蔽主机体系结构防火墙配置需要一个带数据分组过滤功能的路由器和一台堡垒主机，如图所示。,在这种体系结构中，防火墙系统提供的安全等级较高，因为它实现了网络层安全和应用层安全。所以入侵者在破坏内部网络安全之前，必须首先渗透两种不同的安全系统。使用一个单独的路由器控制所有出入内部网的访问，并将所有的请求传送给堡垒主机。主要的安全由数据包过滤。代理服务将通过防火墙的通信链路分为两段：防火墙内外的计算机系统的应用层链路优先两个终止于ProxyServer瘄“链路”来现：外部计朸的潑络链路能达到2oXyServer，从而内网丆外网计箓机系统实现隔离。,10.3.4屏蔽子网防火墙,屏蔽子网体系结构添加额外的安全层到屏蔽主机体系结构。用两个分组过滤路由器和一个堡垒主机，在内部网络与Internet之间有一个小型的独立网络，即通过添加周边网络更进一步地把内部网络与Internet隔离开，如图所示。,对外服务器,隔离区DMZ,两个分组过滤路由器，一个位于周边网与内部的网络之间，另一个位于周边网与外部网络之间。通过屏蔽子网防火墙访问内部网络要受到路由器过滤规则的保护。堡垒主机、信息服务器、调制解调器组以及其他公用服务器放在子网中。屏蔽子网中的主机是内部网和Internet都能访问唯一系统，他支持网络层和应用层安全功能。（1）周边网络周边网络是另一个安全层，是在外部网络与用户的被保护的内部网络之间的附加的网络。如果侵袭者成功地侵入用户的防火墙的外层领域，周边网络在那个侵袭者与用户的内部系统之间提供一个附加的保护层。,（2）堡垒主机将过滤和代理服务等功能结合起来形成新的防火墙，所用主机称为堡垒主机（bastionHosts）。堡垒主机是一个组织的网络安全的中心主机。它是一个专门的系统，具有特殊的装备，并能抵御攻击。堡垒主机提供安全性功能的几种特点如下：堡垒主机的硬件执行一个安全版本的操作系统。只有网络管理员认为必需的服务才能在堡垒主机上安装。每个代理在堡垒主机上都以非特权用户的身份运行在其自己的并且是安全的目录中。,设计堡垒主机的原则,最简化原则堡垒主机越简单，堡垒主机本身的安全越有保证。因为堡垒主机提供的任何服务都可能出现软件缺陷或配置错误，而且缺陷或错误都可能导致安全问题。因此，堡垒主机尽可能少些服务，它应当在完成其作用的前提下，提供它能提供的最小特权的最少的服务。预防原则尽管用户尽了最大努力确保堡垒主机的安全，侵入仍可能发生。但只有预先考虑最坏的情况，并提出对策，才能可能避免它。万一堡垒主机受到侵袭，用户又不愿看到侵袭导致整个防火墙受到损害，可以通过不再让内部的机器信任堡垒主机来防止侵袭蔓延。,堡垒主机负责提供代理服务。一般采用以下几种技术：动态包过滤；内核透明技术；用户认证机制；内容和策略感知能力；内部信息隐藏；智能日志、审计和实时报警；防火墙的交互操作性等。,（3）内部路由器内部路由器（有时被称为阻塞路由器）保护内部的网络使之免受Internet和周边网的侵犯。内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网到Internet的有选择的出站服务。这些服务是用户的站点能使用数据包过滤而不是代理服务安全支持和安全提供的服务。内部路由器所允许的在堡垒主机（在周边网上）和用户的内部网之间服务可以不同于内部路由器所允许的在Internet和用户的内部网之间的服务。限制堡垒主机和内部网之间服务的理由是减少由此而导致的受到来自堡垒主机侵袭的机器的数量。,（4）外部路由器外部路由器有时也被称为访问路由器，起着保护周边网和内部网免受来自Internet的攻击。实际上，外部路由器倾向于允许几乎任何信息从周边网出站，并且它们通常只执行非常少的数据包过滤。保护内部机器的数据包过滤规则在内部路由器和外部路由器上基本上应该是一样的；如果在规则中有允许攻击者访问的错误，错误就可能出现在两个路由器上。实际上外部路由器能有效地执行的安全任务之一是：阻止从Internet上伪造源地址进来的任何数据包。这样的数据包自称来自内部的网络，但实际上是来自Internet。,10.4典型防火墙产品,选择防火墙需要注意一些原则：1.防火墙的基本功能（1）防火墙本身支持安全策略，而不是添加上去的。（2）有先进的认证手段或有挂钩程序，可以安装先进的认证方法。（3）可以根据数据包的性质进行包过滤。（4）检查、认