计算机系统安全课件 第8章 防火墙技术.ppt

8.1防火墙的基本概念8.2防火墙类型8.3防火墙的体系结构8.4防火墙的基本技术与附加功能8.5防火墙技术的几个新方向8.6常见的防火墙产品,返回目录,8.1防火墙的基本概念,8.1.1有关的定义8.1.2防火墙的功能8.1.3防火墙的局限性,返回本章首页,防火墙本意是砌起的一道墙用于防止火势蔓延。信息时代，防火墙是用来阻断来自外部网络对本地网络的威胁和入侵，提供保护本地网络安全和审计的关卡。,8.1防火墙的基本概念,防火墙是在内部网与外部网之间实施安全防范的系统。它是一种访问控制机制，用于确定哪些内部服务允许外部访问，以及允许哪些外部服务访问内部服务。内部网和因特网之间常用防火墙隔开。防火墙是一种有效的网络安全机制。防火墙的作用：它限制人们进入一个被严格控制的站点它防止进攻者更接近其他的防御设备它限制人们离开一个被严格控制的站点,返回本章首页,8.1防火墙的基本概念,防火墙通常安装在被保护的内部网与互联网的连接点上。从互联网或从内部网上产生的任何活动都必须经过防火墙，防火墙有可能来确定这种活动是否可以接受。可以接受是指活动是否符合站点的安全规定。从逻辑上，防火墙是一个分离器，是一个限制器，是一个分析器。各个站点的防火墙构造是相同的，通常由一套硬件和适当的软件构成。,返回本章首页,8.1.1有关的定义,概括地说，防火墙是位于两个（或多个）网络间用于实施网络间访问控制的一组组件的集合。下图为防火墙示意图。,返回本节,防火墙结构示意图,返回本节,（1）防火墙：限制被保护的网络与互联网之间，或与其他网络之间相互进行信息存取、传递操作的部件集。（2）主机：与网络系统相连的计算机系统。（3）堡垒主机：是指一个计算机系统，它对外部网络暴露，同时又是内部网络用户的主要连接点，非常容易被侵入，需要严加保护。（4）双宿主主机：具有至少两个网络接口的通用计算机系统。（5）包：在互联网络上进行通信时的基本信息单位。,（6）路由：为转发的包分组选择正确的接口和下一个路径片段的过程。（7）包过滤：设备对进出网络的数据流进行有选择的控制与操作。（8）参数网络：为了增加一层安全控制，而在外部网络与内部网络之间增加的一个网络。也称停火带。（9）代理服务器：代表内部网络用户与外部网络服务器进行信息交换的程序。它将内部用户的请求送达外部服务器，同时将外部服务器的响应再回送给用户。,8.1.2防火墙的功能,（1）隔离不同的网络，限制安全问题的扩散。防火墙作为一个中心“遏制点”，它将局域网的安全进行集中化管理，简化了安全管理的复杂程度。（2）防火墙可以方便地记录网络上的各种非法活动，监视网络的安全性，遇到紧急情况报警。,返回本节,（3）防火墙可以作为部署NAT（NetworkAddressTranslation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题或者隐藏内部网络的结构。（4）防火墙是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。,（5）防火墙也可以作为IPSec（Internet协议安全性）的平台。（6）防火墙可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署WWW服务器和FTP服务器，将其作为向外部发布内部信息的地点。从技术角度来讲，就是所谓的停火协议区（DMZ）。,返回本节,8.1.3防火墙的局限性,（1）网络上有些攻击可以绕过防火墙，而防火墙却不能对绕过它的攻击提供阻挡。（2）防火墙管理控制的是内部与外部网络之间的数据流，它不能防范来自内部网络的攻击。（防火墙是用来防外网攻击的，就是防黑客的。内部网络攻击有好多都是攻击交换机或者攻击内网其他电脑的，根本不经过防火墙，所以就失效了。）（3）防火墙不能对被病毒感染的程序和文件的传输提供保护。,返回本节,（4）防火墙不能防范全新的网络威胁。（5）当使用端到端的加密时，防火墙的作用会受到很大的限制。（6）防火墙对用户不完全透明，可能带来传输延迟、瓶颈以及单点失效等问题。,返回本节,8.2防火墙类型,8.2.1防火墙的类型8.2.2分组过滤路由器8.2.3应用级网关8.2.4电路级网关,返回本章首页,8.2.1防火墙的类型,随着Internet和Intranet的发展，防火墙的技术也在不断发展，其分类和功能不断细化，但总的来说，可以分为三类：（1）分组过滤路由器。（2）应用级网关。（3）电路级网关。,返回本节,8.2.2分组过滤路由器,分组过滤路由器也称包过滤防火墙，又称网络级防火墙，因为它是工作在网络层。它一般是通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过，有静态和动态两种过滤方式。路由器就是一个网络级防火墙。,返回本节,8.2.2分组过滤路由器,包过滤防火墙可以提供内部信息来说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较。规则表中定义了各种规则来表明是否同意或拒绝包的通过，检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则相符，则使用默认规则。一般默认规则就是要求防火墙丢弃该包。通过定义基于TCP或者UDP数据包的端口号，能够判断是否允许建立特定的连接。,返回本节,8.2.2分组过滤路由器,有些防火墙在此基础上进行了功能扩展，如状态检测。状态监测又称为动态包过滤。状态检测通过检查应用程序信息来判断此端口是否允许需要临时打开，而当传输结束时，端口又马上恢复到关闭状态。动态包过滤防火墙是就是包状态监测（StatefulInspection）技术，监控每一个连接，自动临时增加适当的规则。,返回本节,1包过滤防火墙（1）数据包过滤技术的发展：静态包过滤、动态包过滤。（2）包过滤的优点：简洁、速度快、费用低，并且对用户透明；不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高。,（3）包过滤的缺点：不能彻底防止地址欺骗；一些应用协议不适合于数据包过滤；正常的数据包过滤路由器无法执行某些安全策略；安全性较差；数据包工具存在很多局限性。,2.包过滤处理,3.静态包过滤防火墙,4.动态包过滤防火墙,返回本节,8.2.3应用级网关,1.层次应用级网关可以工作在OSI七层模型的任一层上，主要工作在应用层。应用级网关往往又称为应用级防火墙。应用级网关检查进出的数据包，通过网关复制传递数据，防止受信主机与非受信主机间直接建立联系。应用级网关能理解应用层上的协议，能做复杂一些的访问控制，并做精细的注册和审核。应用级网关具有较好的访问控制能力，是目前最安全的防火墙技术。,返回本节,2.功能主要保存Internet上那些最常用和最近访问过的内容：在Web上，代理首先试图在本地寻找数据，如果没有，再到远程服务器上去查找。为用户提供了更快的访问速度，并且提高了网络安全性。,3.基本工作过程当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到内部网络。,4.常用的应用级网关已有一些代理服务软件HTTP；SMTP；FTP；Telnet等。,5.应用级网关的不足实现麻烦，而且有的应用级网关缺乏“透明度”。用户在受信网络上通过防火墙访问Internet时，经常出现延迟和多次登录才能访问外部网络的问题。应用级网关每一种协议需要相应的代理软件，使用时工作量大，速度相对较慢，效率明显不如网络级防火墙。,6.应用层网关的工作原理示意图,返回本节,8.2.4电路级网关,1.电路级网关原理电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,来决定该会话是否合法。(1)不允许端到端的TCP连接。(2)在网关本身和内部主机上的一个TCP用户之间建立连接；(3)在网关和外部主机上的一个TCP用户之间建立连接。一旦两个连接建立起来，网关从一个连接向另一个连接转发TCP报文段，而不检查内容。其安全性体现在决定哪些连接是允许的。,返回本节,(3)电路级网关的原理图,2.电路层网关防火墙(1)原理在电路层网关中，包被提交用户应用层处理。电路层网关用来在两个通信的终点之间转换包。电路层网关防火墙的特点是将所有跨越防火墙的网络通信链路分为两段。,(2)电路层网关防火墙原理图,返回本节,各种防火墙各有优缺点，当前的防火墙已经不再是单一的防火墙，而是将各种防火墙技术结合起来，形成一个混合的多级防火墙，以提高防火墙的灵活性和安全性。一般采用以下技术：动态包过滤、内核透明技术、用户认证机制、内容和策略感知能力、内部信息隐藏、智能日志、审核检测和实时报警、防火墙的交互操作性等。,类似的还有老牌的天网,8.3防火墙的体系结构,8.3.1双宿/多宿主机模式8.3.2屏蔽主机模式8.3.3屏蔽子网模式,堡垒主机的硬件是一台普通的主机，它使用软件配置应用网关程序，具有强大而完备的功能。它是内部网络和互联网之间的通信桥梁，中继所有的网络通信服务，并具有认证、访问控制、日志记录和审计监控等功能。作为内部网络上外界唯一可以访问的点，在整个防火墙系统中起着重要的作用，是整个系统的关键点。,8.3.1双宿/多宿主机模式,1.双宿主主机结构双宿主主机结构是最简单的防火墙体系结构。双宿主主机结构是围绕着至少具有两个网络接口的双宿主主机而构成的。双宿主主机内外的网络均可与双宿主主机实施通信，但内外网络之间不可直接通信。内外网络之间的IP数据流被双宿主主机完全切断。,返回本节,双宿主主机可以通过代理或让用户直接到其上注册来提供很高程度的网络控制。为了保证内部网的安全，双宿主主机首先要禁止网络层的路由功能，还应具有强大的身份认证系统，尽量减少防火墙上用户的账户数。,2.典型的双宿主主机模式。,返回本节,8.3.2屏蔽主机模式,1.结构屏蔽主机由包过滤器和堡垒主机组成。屏蔽主机模式的安全等级比包过滤防火墙系统要高。屏蔽主机模式中的过滤路由器为保护堡垒主机的安全建立了一道屏障。它将所有进入的信息先送往堡垒主机，并且只接受来自堡垒主机的数据作为发出的数据。这种结构高度依赖过滤路由器和堡垒主机,只要有一个失败，就将威胁整个网络。过滤路由器的路由表应当受到严格的保护，否则如果遭到破坏，则数据包就不会被转发到堡垒主机上。,2.典型的屏蔽主机模式,返回本节,8.3.3屏蔽子网模式,1.结构屏蔽子网模式增加了一个把内部网与互联网隔离的周边网络（也称为非军事区DMZ），通过使用周边网络隔离堡垒主机能够削弱外部网络对堡垒主机的攻击。其结构有两个屏蔽路由器，分别位于周边网与内部网之间、周边网与外部网之间，攻击者要攻入这种结构的内部网络，必须通过两个路由器，因而不存在危害内部网的单一入口点。这种结构安全性好，但成本高。只有当两个安全单元被破坏时，网络才会暴露。,返回本节,2.典型的屏蔽子网模式,Internet,返回本节,实际应用中还存在着一些由以上三种模式组合而成的体系结构。如多堡垒主机，合并内外部路由器，合并堡垒主机与外部路由器，合并堡垒主机与内部路由器，使用多台内部路由器，使用多台外部路由器，使用多个周边网络，使用双重宿主主机与屏蔽子网。,返回本节,8.4防火墙的基本技术与附加功能,8.4.1基本技术8.4.2附加功能,返回本章首页,三种基本防火墙技术包过滤型代理服务型复合型,8.4.1基本技术,1包过滤技术包过滤技术的原理在于监视并过滤网络上流入流出的包，拒绝发送那些可疑的包。由于包过滤技术无法有效地区分同一地址的不同用户（如在网络地址转换环境中），它的安全性相对较差。,返回本节,包过滤技术又分为两种:（1）静态包过滤根据定义好的过滤规则审查每个数据包（主要根据流经该设备的数据包地址信息）决定是否允许该数据包通过。,判断依据有：数据包协议类型TCP、UDP、ICMP、IGMP等；源目的IP地址；源目的端口FTP、HTTP、DNS等；IP选项源路由记录路由等；,TCP选项SYN、ACK、FIN、RST等；其他协议选项ICMPECHO、ICMPECHOREPLY等；数据包流向in或out；数据包流经网络接口etho、eth1。,（2）动态包过滤采用动态设置包过滤规则的方法，避免了静态包过滤所存在的问题。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。,自适应代理防火墙中的动态包过滤器允许代理请求新的连接，然后代理可以检查特定的连接信息并告诉动态包过滤对该连接如何处理，选择包括拒绝、转发或传送到应用层。代理为每个新连接自动地调整动态包过滤规则库。,普通路由器和包过滤路由器的区别主要是：普通路由器值检查数据包的目的地址，并为其选择一个最佳路由，将该数据包发往目的地址。包过滤路由器除了上述操作之外还要根据安全规则决定该包是否能被路由到目的地之外，还要决定是否对该包进行路由。,2代理服务技术代理服务技术的原理是在应用网关上运行代理程序。（1）代替客户程序与服务器建立连接，使得用户可以通过应用网关安全使用Internet服务，而对于非法用户的请求将不予理睬。切断了内外部站点的直接连接，所有数据包都通过代理服务器转发。,返回本节,（2）透明性是其优点。在用户端用户感觉是直接与外部服务器连接，而在服务器端外部服务器是之间面对代理服务器上的用户的。如果内外部主机之间能够通过其他通信链路直接互相通信的话，用户可能绕过代理服务器，起不到保护作用。,返回本节,代理服务器依据一定的安全规则来评测代理客户的网络服务请求，然后决定是支持还是否决该请求。在一些代理服务系统中，用户只需要设置一定的普通客户的特定工作步骤而不用再安装客户端的代理服务程序。代理服务是一种软件防火墙的解决方案，不是防火墙的完整结构。,返回本节,常用代理服务器软件SYGATE，WINGATE演示()只要局域网内有一台机器能够上网，其他机器就可以通过这台机器上安装的CCProxy来代理共享上网，最大程度的减少了硬件费用和上网费用。只需要在服务器上CCProxy代理服务器软件里进行帐号设置，就可以方便的管理客户端代理上网的权限。在提高员工工作效率和企业信息安全管理方面，CCProxy充当了重要的角色。,在线代理（等）翻墙：我们直接或者通过一定的手段浏览境外的网页。翻墙软件：一些外国网站由于一些特殊的原因往往被屏蔽掉了，我们不能通过通用浏览器打开，这就需要一些特定的软件来打开，使我们能够正常浏览境外的网页，大家可以使用网页代理直接去浏览。,3多种技术的混合使用在实际应用中要根据提供给客户的服务种类和安全保护级别，分析由此产生的各类问题，然后混合使用多种技术方可保障网络安全。,返回本节,8.4.2附加功能,1多级的过滤技术(1)分组过滤一级，能过滤掉所有非法的源路由（SourceRouter）分组和IP源地址；(2)应用网关一级，能利用FTP、SMTP等各种网关，控制和检测Internet提供的所有通用服务；(3)电路网关一级，实现内部主机与外部站点的透明连接，并对服务进行严格的控制。,返回本节,2审计和报警机制审计是一种重要的安全措施，用以监控通信行为和完善安全策略，检查安全漏洞和错误配置，并对入侵者起到一定的威慑作用。报警机制是在通信违反相关策略以后，以多种方式如声音、邮件、电话、手机短信息等形式及时报告给管理人员。,3网络地址转换NAT（NetworkAddressTranslation）(1)可解决地址与外网的IP地址相互转换；(2)解决IP地址空间不足的问题。使用NAT以后，可以使用很少的外部实地址，而内部可以采用大量的虚地址（如10.X.X.X），从而减缓了IP地址紧张；另外，它也向外界隐藏内部结构，从而也提高了安全性。,4虚拟专用网（VPN）VPN是指在公共网络中建立专用网络，数据通过安全的“加密通道”在公共网络中传播。VPN的基本原理是通过对IP包的封装及加密、认证等手段，从而达到保证安全的目的。它往往是在防火墙上附加一个加密模块来实现。,5Internet网关技术由于防火墙直接串接在网络之中，因此它必须支持用户在Internet上的所有服务，同时还要防止与Internet服务有关的安全漏洞，故它要以多种安全的应用服务器（包括FTP、News、WWW等）来实现网关功能。,6安全服务器网络（SSN）利用一张网卡将对外服务器作为一个独立网关完全隔离，这就是安全服务网络（SSN）技术。对SSN上的主机既可以单独管理，也可设置成通过FTP、Telnet等方式从内部网上管理。SSN与外部网之间有防火墙保护，SSN与内部网间也有防火墙保护，一旦SSN受破坏，内部网络仍会处于防火墙的保护之下。,7用户鉴别与加密为了降低在Telnet、FTP等服务和远程管理上的风险，防火墙采用一次性使用的口令字系统作为用户的鉴别手段，并实现了对邮件的加密。防火墙的一些附加功能还有路由安全管理、远程管理、流量控制（带宽管理）和统计分析、流量计费、URL级信息过滤和扫毒等。,返回本节,8.5防火墙技术的几个新方向,8.5.1透明接入技术8.5.2分布式防火墙技术8.5.3以防火墙为核心的网络安全体系,8.5.1透明接入技术,1.不透明接入技术的不足不透明的堡垒主机的接入需要修改网络拓扑结构，内部子网用户要更改网关，路由器要更改路由配置等。而且路由器和子网用户都需要知道堡垒主机的IP，一旦整个子网的IP地址改动了，针对堡垒主机的相关改动则非常麻烦。,2.透明接入技术的优点具有透明代理功能的堡垒主机对路由器和子网用户而言是完全透明的，也就是说，它们根本感觉不到防火墙的存在，犹如网桥一样。一种典型的透明接入关键技术包括ARP代理和路由转发。,8.5.2分布式防火墙技术,1边界防火墙的缺陷边界防火墙是最为传统的那种，它们于内、外部网络的边界，所起的作用的对内、外部网络实施隔离，保护边界内部网络。这类防火墙一般都是硬件类型的，价格较贵，性能较好。（1）结构性限制（业务系统庞杂，边界模糊）；（2）内部威胁（80%的攻击来自内部）；（3）效率和故障（容易受攻击或者故障）。,2分布式防火墙的产生及其优势三部分组成：网络防火墙：承担看守网络大门的职责。主机防火墙解决边界防火墙不能很好解决的问题。集中管理：解决了由分布技术带来的管理问题。,2分布式防火墙的优势（1）保证系统的安全性（增加了针对主机的入侵检测和防护功能，加强了对来自内部攻击的防范，实施全方位的安全策略）。（2）保证系统性能稳定高效（消除结构性的瓶颈问题）。（3）保证系统的扩展性。,8.5.3以防火墙为核心的网络安全体系,（1）把IDS、病毒检测部分“做”到防火墙中，使防火墙具有简单的IDS和病毒检测的功能。（2）各个产品分离，但是通过某种通信方式形成一个整体，即相关专业检测系统专职于某一类安全事件的检测，一旦发现安全事件，则立即通知防火墙，由防火墙完成过滤和报告。,8.6常见的防火墙产品,8.6.1常见的防火墙产品8.6.2选购防火墙的一些基本原则8.6.3防火墙设计策略,返回本章首页,8.6.1常见的防火墙产品,1Checkpoint公司的FireWall-I防火墙作为开放安全企业互联联盟（OPSEC）的组织者和倡导者之一，CheckPoint公司在企业级安全部品开发方面占有世界市场的主导地位。FireWall-I是第三代防火墙，可以提供7层应用识别，支持160种以上预定义应用程序。,返回本节,2Sonicwail系列防火墙Sonicwall系列防火墙都具有以下主要功能：阻止未授权用户访问防火墙内网络；阻止拒绝服务攻击，并可完成Internet内容过滤；IP地址管理，网络地址转换（NAT），也可作为Proxy；制定网络访问规则，规定对某些网站访问的限制；提供VPN功能等。,3NetScreen防火墙NetScreen科技公司推出的NetScreen防火墙产品是一种新型的网络安全硬件产品，具有Trusted（可信端口）、Untrusted（非信任端口）、Optional（可选端口）三个RJ-45网络接口，配有PCMCIA插槽，支持10MB、20MB、40MB和150MB快闪存储器。,4AlkatelInternetDevices系列防火墙InternetDevices系列产品都支持自定义插件组合，所有产品都具备以下特性：企业级防火墙安全性、集中策略管理、网络地址转换（NAT，NetworkAddressTranslation）、完整的LDAP数据库、SPAME-mail过滤器、Web高速缓存、全面的报告以及广泛的诊断。,5Cisco公司的PIXPIX防火墙的内核采用的是基于适用的安全策略（AdaptiveSecurityAlgorithm）的保护机制，ASA把内部网络与未经认证的用户完全隔离。PIX防火墙还具有审计日志功能，并支持SNMP协议，用户可以利用防火墙系统包含的实时报警功能的网络浏览器，产生报警报告。,返回本节,6AbirNet公司的SessionWall-3防火墙SessionWall-3在windows平台上运行，它既可以安装在防火墙内，也可以安装在防火墙外。它不是在两个网络间存储转发数据包，而是检测所有进入、发出及在网络内部传输的TCP/IP数据包，以分析网络使用状况。,7北京天融信息公司的防火墙系列产品其功能是：对站点、子网、服务进行过滤；对访问事件进行记录、跟踪、告警；进行网络地址转换；用户数据加密传输等。因此该系统能为与公共网络互联的企业内部网(Intranet)提供全面的安全保护，防止信息被非法泄漏、篡改以及在TCPIP环境上网络资源的非法使用等。,8广东天海威公司的蓝盾防火墙系统蓝盾防火墙根据系统管理者设定的安全规则（SecurityRules）守护企业网络，提供访问控制、身份认证、应用选通、网络地址转换、信息过滤、流量控制等功能。,8.6.2选购防火墙的一些基本原则,(1)要支持“除非明确允许，否则就禁止”的设计策略。(2)安全策略是防火墙本身所支持的，而不是另外添加上去的。(3)如果组织机构的安全策略发生改变，可以加入新的服务。(4)所选购的防火墙应有先进的认证手段或有挂钩程序，装有先进的认证方法。,返回本节,(5)如果需要，可以运用过滤技术和禁止服务。(6)可以使用FTP和Telnet等服务代理，以便先进的认证手段可以被安装和运行在防火墙上。(7)拥有界面友好、易于编程的IP过滤语言，并可以根据数据包的性质进行包过滤。,返回本节,8.6.3防火墙设计策略,1防火墙的系统环境取消危险的系