网络安全技术与实践教学资料 项目五 防火墙应用技术

项目五 防火墙应用技术,防火墙是当今网络系统最基本的安全基础设施，侧重于网络层安全，对于从事网络建设与管理工作而言，充分发挥防火墙的安全防护功能和网络管理功能至关重要。本项目的教学将围绕防火墙的应用，结合实验和工程案例来展开。另外作为本章的教学前提，学生应当对 TCP/IP协议有较深入的了解，这样才能理解防火墙访问控制规则的具体含义和设置方法。,目录,配置防火墙,配置防火墙,防火墙概述防火墙部署类型防火墙的主要应用,1. 防火墙概述,防火墙技术是现代网络通信和计算机安全防护体系中的一种重要设备，它通常位于两个或多个网络的边界处，是实施网络之间互连访问控制的一种组件集合。早期的防火墙通常是基于访问控制的包过滤技术构建的，随着网络安全威胁的日益增加和网络技术的发展，当今的防火墙技术也得到了极大地发展，出现了很多新的防火墙技术，如电路级网关技术、状态检测技术、应用网关技术、分布式防火墙技术、嵌入式防火墙技术等，它们有的工作在OSI参考模型的网络层，有的工作在传输层，还有的工作在应用层；在网络部署上，现代防火墙也已经不再是一个单兵作战的系统了，很多防火墙都和入侵检测系统、安全审计系统、身份识别系统实现了安全联动，从而形成了一个整体的安全解决方案。,1. 防火墙概述,（1）防火墙的定义和安全要素防火墙英文名称为Firewall，是一种设置在不同网络或网络安全域之间的设备或软件，它能根据用户的安全策略允许和限制出入安全区域的信息传输流，且本身必须具有较强的抗攻击能力，由于它是不同网络或网络安全域之间信息流通的唯一出入口，因此也是构建用户信息安全服务，实现网络和信息安全的一种基础设施和安全屏障。,防火墙基本架构示意图,1. 防火墙概述,随着网络技术的不断发展以及互联网结构的复杂化，网络即网络域边界安全成为最重要的安全问题之一，需要对其进行有效的管理和安全控制，主要可体现在以下几个方面：1）网络隔离需求2）攻击防范能力3）病毒抵御能力4）用户管理需求5）具有高吞吐量、低延时的快速转发需求6）网络优化需求7）网络可视化监控,1. 防火墙概述,（2）防火墙技术的发展历程和未来趋势防火墙的发展从采用的基本技术上大致经历了五个阶段，分别是：1）第一代防火墙：包过滤技术第一代防火墙出现于上个世纪80年代，它几乎与路由器同时出现，主要基于包过滤的技术，是一种依附于路由器包过滤功能实现的防火墙，但随着网络安全的重要性和对性能要求的提高，防火墙逐渐发展成为一个具有独立结构的专用设备。,包过滤防火墙基本架构示意图,1. 防火墙概述,2）第二代防火墙：电路层防火墙它主要工作在OSI七层模型的会话层，仅依赖于TCP连接，并不进行任何附加的包处理和过滤处理。电路级网关防火墙首先接收客户端发出的TCP连接请求，如果认证通过，就可以代表该客户端向服务器建立一个全新的TCP连接，如果建立成功，电路级网关就可以简单地在两个连接之间传递数据，因此电路级网关仅仅是一种连接代理，它通过在传输层建立起来的回路完成对数据包的转发和隔离内外网的功能，如图所示。,电路级防火墙基本架构示意图,1. 防火墙概述,3）第三代防火墙：应用层代理防火墙第三代防火墙，即应用层代理防火墙。应用层代理防火墙除具有电路级网关的所有优点外，还提供了一个重要的安全和管理功能：代理服务器。代理服务器是设置在防火墙系统中的一种应用级程序，这种代理功能允许管理员对网络应用程序或对一个应用的特定功能进行安全控制；同时代理服务还具有较强的数据流监控、过滤、记录和报告等功能。应用代理网关防火墙如图所示。,应用代理网关防火墙的工作示意图,1. 防火墙概述,4）第四代防火墙：动态包过滤第四代防火墙主要是基于第一代防火墙的包过滤技术发展而来的，1992年USC信息科学院的BobBraden开发出了基于动态包过滤技术的防火墙，这也是目前我们常见的状态检测技术的雏形。早期的动态包过滤是基于TCP协议三次握手机制实现的一种状态检测技术，通过对TCP连接状态的检查，检测数据包的动态连接过程是否合法，如图所示。,状态检测的基本流程示意图,1. 防火墙概述,5）第五代防火墙：自适应代理技术第五代防火墙采用了自适应代理技术，它结合了代理网关防火墙安全性和包过滤技术的高速性等优点，是商业防火墙中实现的一种革命性的技术，目前主流防火墙采用的基本技术模型仍是以自适应代理技术为主，并在此基础上进行了更多的扩展、优化和加强。组成这种类型防火墙的基本要素有两个：自适应代理服务器（Adaptive Proxy Server）与动态包过滤器（Dynamic Packet filter），并在自适应代理与动态包过滤器之间存在一个控制通道。自适应代理防火墙可以根据用户定义的安全策略，灵活配置规则，对于安全性要求高的规则，这类防火墙首先在应用层进行安全检查，保证实现传统代理型防火墙的最大安全性，而一旦代理网关明确了会话的所有细节符合安全规则要求后，后续的数据包就可以直接经过速度更快的网络层，通过基于状态检测的包过滤技术来实现数据的安全。通过这样的自适应技术，使得第五代防火墙既具有和传统代理型防火墙一样的安全性，又具有了传统包过滤型防火墙的高速性，因此具有非常强的实用性。,1. 防火墙概述,（3）影响防火墙性能的关键指标一般地，衡量防火墙的性能指标主要包括吞吐量、报文转发率、最大并发连接数、每秒新建连接数、平均时延、丢包率以及数据包分类性能等。其中吞吐量是指防火墙在没有丢失数据包的情况下，以全双工方式接收和发送64字节数据包的最大数据传输速率，它反映了防火墙的数据包转发能力，因此该指标也包含了对报文转发率的反映，同时它也是其他技术指标的基础， 拥有高吞吐量的防火墙更能适应网络对高流量的要求，减少防火墙成为网络性能瓶颈的可能性。防火墙的最大并发连接数是指防火墙能够维持的最大连接总数，而每秒新建连接数反映了防火墙最大的TCP连接速率，它直接影响了防火墙对连接请求的实时反应能力，所以防火墙的每秒新建连接数非常重要。,防火墙的丢包率测试通常是指防火墙在不同传输速率下丢失数据包的百分数，目的在于测试防火墙在超负载情况下的性能。这对于对数据传输的丢包率要求非常苛刻的场合，是非常重要的，因此丢包率指标对于像银行系统这样的网络是至关重要的。,拓展提高：,1. 防火墙概述,（4）分布式防火墙当前分布式防火墙技术已悄然兴起，由于其优越的安全防护体系，使之更符合未来的发展趋势。1）分布式防火墙的产生背景传统防火墙通常部署在网络的边界，所以又称“边界防火墙”。但随着网络各种新应用的迅层出不穷，黑客技术的不断翻新和网络病毒的肆虐，边界防火墙已经明显感觉到力不从心，因为给网络带来威胁的不仅是外部网络，而更多的是来自内部网络。因此一种新型的防火墙技术，分布式防火墙（Distributed Firewalls）技术产生了。它不但可以很好地解决边界防火墙的不足，另一方面也保证了用户的投资不会很高。分布式防火墙是一种主机驻留式的安全系统，它是以主机为保护对象，它的设计理念是主机以外的任何用户访问都是不可信任的，都需要进行识别和过滤。在实际应用中，考虑到安全成本的效益，分布式防火墙通常只用于保护用户网络中的关键结点服务器、数据及工作站免受非法入侵的破坏。,1. 防火墙概述,2）分布式防火墙的主要特点分布式防火墙是一个完整的系统，而不仅仅是一个单一的产品，根据其功能划分，它通常至少包含了网络防火墙、主机防火墙和集中管理模块三个组件。分布式防火墙主要具有以下特点：主机驻留方式内核守护方式统一安全策略，便于集中管理适用于服务器托管,1. 防火墙概述,3）分布式防火墙的主要优势分布式防火墙的优势主要体现在以下几个方面：增强了系统的安全性提高了整个网络的安全处理性能，消除了边界防火墙结构性的瓶颈问题便于整个网络的安全扩展便于控制主机安全策略分布式防火墙的应用更广泛,1. 防火墙概述,4）分布式防火墙的主要功能分布式防火墙的主要功能体现在以下几个方面：Internet访问控制应用访问控制网络状态监控抵御网络攻击具有日志功能,2. 防火墙部署类型,防火墙在实际网络环境中部署时，一般是利用防火墙将网络分为三个安全区域，即内部网络、外部网络和DMZ区，其中内部网络通常定义为最高安全级，外部网络通常定义为最低安全级，而DMZ区通常为服务器网段，它的安全级介于内部网络和外部网络之间；在防火墙处理数据通信时，遵循高安全级可任意访问低安全级网络域的原则，因此内部网络可以自由访问外部网络和DMZ区，DMZ区可以自由访问外部网络，而外部网络必须符合安全策略规则才能访问DMZ区和内网，这种规则的体现典型的就是思科的早期PIX防火墙。,由于目前内网安全的复杂性，DMZ区的安全级别被大大提高了，默认情况下DMZ区的访问无论是针对内网还是外网，都需要进行安全规则的检查。,拓展提高：,2. 防火墙部署类型,1）防火墙工作模式路由模式传统防火墙一般工作于路由模式，在这种模式下，防火墙的接口配置了IP地址，各接口所在的安全区域是一个三层网络，即不同接口连接的网络域属于不同的子网。透明模式防火墙的透明模式是一种桥接工作方式，工作在透明模式下的防火墙可以部署在同一个网段内，因此可以不用修改周边网络设备的配置，就能将其加入到一个网段中。NAT工作模式防火墙的NAT模式并不是一个独立的工作模式，它一般工作在路由模式或混合模式下，主要负责IP地址的转换和映射工作。混合模式防火墙的路由模式和透明模式在不同的网络环境中各有所用，在使用时由用户根据实际情况进行选择。,2. 防火墙部署类型,2）防火墙部署的拓扑类型防火墙的单机部署类型顾名思义，防火墙的单机部署就是在两个网络之间部署一台防火墙，它的优点是安全成本低，配置和管理简单；其缺点也非常明显，一方面它会成为整个网络的一个瓶颈，另一方面它也是整个网络中的一个单点故障。防火墙的单机部署又分为单机单出口拓扑类型和单机多出口拓扑类型两种。防火墙的集群部署类型防火墙的单机部署模式最大的优点是安全成本低，但是由于存在单点故障，因此在一些对网络可靠性要求高的网络中会存在较大的问题。这时我们可以采用防火墙的集群部署来解决这一问题，提高边界网络的可靠性。,采用单台防火墙部署时常见的两个方式就是单出口类型和多出口类型，单出口类型对应一台路由器，由一台路由器实现多出口网络的互连，它的优点是成本低、易于管理，同时便于实现链路的负载和互备，但缺点是路由器负荷过大，同时路由器本身又会成为一个单点故障。,拓展提高：,3. 防火墙的主要应用,（1）应用包过滤技术实现访问控制规则包过滤技术是防火墙最基本的实现技术，也是防火墙最早采用的技术之一，其原理总结为一句话就是监视并过滤网络上流入流出的数据包，并拒绝发送那些可疑的包。1）数据包的构造数据通过通信子网传输时可以有报文（Message）与分组（Packet）两种方式。报文传输不管发送数据的长度是多少，都把它当做一个逻辑单元发送；而分组传输方式则限制一次传输数据的最大长度，如果传输数据超过规定的最大长度，发送节点就将它分成多个分组来发送。,3. 防火墙的主要应用,2）数据包的过滤技术包过滤技术可以允许或不允许某些包在网络上传递，传统的包过滤技术主要根据IP数据包的以下信息作为判断数据包是否可以通过网络的依据：将目的地址作为判断依据。将源地址作为判断依据。将传送协议（IP、ICMP、TCP、UDP等）作为判断依据。将TCP/UDP源端口号作为判断依据。将TCP/UDP目的端口号作为判断依据。将ICMP的报文类型域和代码域作为判断依据。将TCP报文中的SYN、ACK等标志位作为判断依据。,3. 防火墙的主要应用,（2）应用状态检测技术实现动态包过滤传统包过滤技术依靠事先设定好的访问控制列表（简称ACL），对流经防火墙的每个数据包进行审查，通过和访问控制列表的匹配检查，根据对比的结果决定防火墙是允许还是拒绝数据包的访问，从而实现对数据包的过滤功能。这是一种静态包过滤技术，包过滤防火墙处理每个包的行为是孤立的，它并不知道当前处理的包和以前处理的包之间的联系，因此通过伪造数据包可以轻易欺骗防火墙。为此防火墙厂商提出了基于状态检测的动态包过滤的技术，动态包过滤技术除了拥有静态包过滤技术的所有特征外，还可以对任何网络连接和会话的当前状态进行分析和监控，并在此基础上动态添加相应的过滤规则。,3. 防火墙的主要应用,1）状态检测技术的工作原理状态检测技术使用一种机制来保持并跟踪会话连接的状态，在防火墙建立连接进行会话处理的过程中，依据会话表的信息动态增加、修改和删除过滤规则，决定数据流的转发与丢弃行为。基于状态检测的防火墙会监控一个连接会话的建立和对话过程，当它接收到一个包含TCP或UDP连接请求的数据包时，会首先采用静态包过滤的方式检查预设的安全策略，如果允许建立连接，则将该数据包中连接建立的信息记录到一个基于状态的会话表中，该会话表包含了该连接的源IP地址、目的IP地址、端口、TCP序列号信息，以及和该会话有关的标志信息。,3. 防火墙的主要应用,2）状态会话表的维持时间由于状态防火墙利用会话表来保持对连接状态的跟踪，那么一个连接在会话表中的生存时间必须至少维持到该连接的结束，如果表项过早在会话表中被删除，则正常的会话就会被中断；如果表项在连接拆除后在会话表中仍存在较长时间，则会过度占用防火墙的会话连接数。一般防火墙会根据源地址、目的地址、端口号及序列号等一些标志信息区分数据包是否同属一个会话。当防火墙将一个带有SYN标志的请求连接数据包信息加入会话表时，会设置一个SYN会话老化时间，默认为60秒；然后防火墙会期待一个返回的确认连接数据包，当接收到该应答包的时候，防火墙会认为三次握手建立成功，防火墙会将会话连接的老化时间设定为默认的1800秒（不同防火墙该值的设定也不同），当然这个老化时间也可以由用户自行设定。不过针对不同的连接类型，这个值也可以进行不同的设定。例如长连接类型的应用，例如telnet、FTP等，可将该值设定长一些，否则可能会中断正常的会话连接；而对于短连接类型的应用，应将该值设定短一些，否则会过度占用系统资源，造成会话表过长甚至溢出。,3. 防火墙的主要应用,3）状态会话表项的拆除当连接被通讯双方关闭后，防火墙会话表中的连接表项并不会立即被删除，直到老化时间到来时，才会在会话表中拆除该连接。这样做是为了会话表项的复用，例如当通信双发关闭一个连接后马上拆除会话表项时，此时双方又很快开启了一个新的连接，这时防火墙就要为这个新的连接重建会话表，这样就降低了防火墙的处理性能。因此当一个连接关闭后，防火墙会话表中的连接仍会被维护一段时间。当防火墙检测到一个带有FIN或RST数据包与会话表中某个表项属于同一连接时，会减少连接的老化时间，例如从1800秒减少到50秒，如果在这个时间内没有数据包交换，这个状态表项将会在会话表中被删除。,3. 防火墙的主要应用,（3）应用层代理网关技术由于早期包过滤技术的缺陷，在它出现后不久，许多安全机构，如DARPQA，美国国防部研究开发中心等就开始寻找一种更好的安全方案，即应用层代理网关技术。这种技术的核心思想是不允许透过防火墙直接建立连接，所有进出的数据都要在网络的最高层协议组中进行检查。这种应用代理防火墙模式提供了很高的安全控制，因为它通过在协议组的最高层的检测而使全部应用级了解正进行的连接。并且由于它在应用层是完全可见的，所以应用代理防火墙可以很容易的预先看到每一个正试图连接的细节，从而可以扩展出更多地安全检查方式，例如这种防火墙可以很容易地辨别出一些命令，如FTP中的“put”和“get”，并为每个命令提供相应的安全策略规则。,3. 防火墙的主要应用,1）自适应代理技术的结构原理自适应代理技术结合了传统应用代理网关技术和灵活地动态包过滤技术，在防火墙管理员设定的安全策略基础上来控制流经防火墙的数据包。虽然自适应代理技术也采用了包过滤技术，但是仍由代理网关决定所有的安全措施。,自适应代理防火墙结构示意图,3. 防火墙的主要应用,2）结合了动态包过滤的自适应代理技术的应用使用带有动态包过滤技术的自适应代理防火墙，当建立一个连接时，动态包过滤器通知代理服务器并告知其包含了源地址及目的地址的连接数据。为了检测一个特殊的连接，代理服务器运用了结构化信息，当连接通过时必须由防火墙管理员预设的策略来决定是否同意使用其应用层信息。如果防火墙管理员认为该连接具有较低的危险性，则会为它赋予较高的权限。这样动态包过滤就为