网络管理与安全技术52

1、网络管理与平安技术.第7章 防火墙 防火墙作为网络平安的一种防护手段得到了广泛的运用，已成为各企业网络中实施平安维护的中心，平安管理员可以经过其选择性地回绝进出网络的数据流量，加强了对网络的维护作用 。. 防火墙是位于两个信任程度不同的网络之间的软件或硬件设备的组合，它对两个网络之间的通讯进展控制，经过强迫实施一致的平安战略，防止对重要信息资源的非法存取和访问，以到达维护系统平安的目的。 防火墙通常是运转在一台单独计算机之上的一个特别的效力软件，用来维护由许多台计算机组成的内部网络，可以识别并屏蔽非法恳求，有效防止跨越权限的数据访问。防火墙可以是非常简单的过滤器，也能够是精心配置的网关。但都可

2、用于监测并过滤一切内部网和外部网之间的信息交换。 防火墙维护着内部网络的敏感数据不被窃取和破坏，并记录内外通讯的有关形状信息日志，如通讯发生的时间和进展的操作等等。新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输，并对网络数据的流动实现有效地管理。 7.1 防火墙根本概念 .防火墙表示图 .UF3500/3100防火墙运用 三端口NAT方式交换机路由器集线器防火墙UF3500/3100WWW 效力器Mail效力器PCPCFTP 效力器.7.1.1 防火墙技术开展情况 自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统后，防火墙技术得到了飞速的开展。许多公

3、司推出了功能不同的防火墙系统产品。第一代防火墙，又称为包过滤防火墙，其主要经过对数据包源地址、目的地址、端口号等参数来决议能否允许该数据包经过或进展转发，但这种防火墙很难抵御IP地址欺骗等攻击，而且审计功能很差。第二代防火墙，也称代理效力器，它用来提供网络效力级的控制，起到外部网络向被维护的内部网络恳求效力时中间转接作用，这种方法可以有效地防止对内部网络的直接攻击，平安性较高。第三代防火墙有效地提高了防火墙的平安性，称为形状监控功能防火墙，它可以对每一层的数据包进展检测和监控。.第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。第五代防火墙：1998年，NAI公司推出了一种自

4、顺应代理技术，可以称之为第五代防火墙。7.1.1 防火墙技术开展情况 .7.1.2 防火墙的义务 防火墙应可以确保满足以下四个目的 ：1. 实现平安战略 防火墙的主要目的是强迫执行人们所设计的平安战略。比如，平安战略中只需对效力器的SMTP流量作些限制，那么就要在防火墙中直接设置并执行这一战略。 防火墙普通实施两个根本设计战略之一 ：n 凡是没有明确表示允许的就要被制止；n 凡是没有明确表示制止的就要被允许。.2. 创建检查点 防火墙在内部网络和公网间建立一个检查点。经过检查点防火墙设备可以监视、过滤和检查一切进来和出去的流量。网络管理员可以在检查点上集中实现平安目的。7.1.2 防火墙的义务

5、.7.1.2 防火墙的义务 九运会信息网络系统曾经受并胜利地抵御了87万多次网络攻击. 3. 记录Internet活动 防火墙可以进展日志记录，并且提供警报功能。经过在防火墙上实现日志效力，平安管理员可以监视一切从外部网或互联网的访问。好的日志战略是实现网络平安的有效工具之一。防火墙对于管理员进展日志存档提供了更多的信息。 .7.1.2 防火墙的义务维护内部网络 对于公网防火墙隐藏了内部系统的一些信息以添加其严密性。当远程节点探测内部网络时，其仅仅能看到防火墙。远程节点不会知道内部网络构造和资源。防火墙以提高认证功能和对网络加密来限制网络信息的暴露，并经过对一切输入的流量时行检查，以限制从外部

6、发动的攻击。 .7.2 防火墙技术 目前大多数防火墙都采用几种技术相结合的方式来维护网络不受恶意的攻击，其根本技术通常分为两类：l 网络数据单元过滤l 网络效力代理.7.2.1 数据包过滤数据包过滤Packet Filtering技术是在网络层对数据包进展分析、选择，选择的根据是系统内设置的过滤逻辑，称为访问控制表Access Control Table。经过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议形状等要素，或它们的组合来确定能否允许该数据包经过。 .7.2.1 数据包过滤包过滤技术任务在OIS七层模型的网络层上并有两个功能，即允许和阻止；假设检查数据包一切的条件都符合规

7、那么，那么允许进展路由；假设检查到数据包的条件不符合规那么，那么阻止经过并将其丢弃。包检查是对IP头和传输层的头进展过滤，普通要检查下面几项： .7.2.1 数据包过滤l 源IP地址l 目的IP地址l TCP/UDP源端口l TCP/UDP目的端口l 协议类型TCP包、UDP包、ICMP包l TCP报头中的ACK位l ICMP音讯类型.7.2.1 数据包过滤例如：假想象制止从Internet的远程登录到内部网设备中，那么需求建立一条包过滤规那么。由于Telnet效力是运用TCP协议的23端口，那么制止Telnet的包过滤规那么 为： 规那么号 功能源IP地址目的IP地址源端口 目的端口协议1

8、Discard* * 23 * TCP2 Discard* * * 23 TCP 上表列出的信息是路由器丢弃一切从TCP23端口出去和进来的数据包。其它一切的数据包都允许经过。 .例如：FTP运用TCP的20和21端口。假设包过滤要制止一切的数据包只允许特殊的数据包经过。 规那么号 功能 源IP地址 目的IP地址 源端口 目的端口 协议 1 Allow * * * TCP 2 Allow * 20 * TCP第一条是允许地址为的网段内而其源端口和目的端口为恣意的主机进展TCP的会话。第二条是允许端口为20的任何远程IP地址都可以衔接到的恣意端口上。第二条规那么不能限制目的端口是由于自动的FTP

9、客户端是不运用20端口的。当一个自动的FTP客户端发起一个FTP会话时，客户端是运用动态分配的端口号。而远程的FTP效力器只检查这个网络内端口为20的设备。有阅历的黑客可以利用这些规那么非法访问内部网络中的任何资源。所以要对FTP包过滤的规那么加以相应修正 .7.2.1 数据包过滤规那么号 功能 源IP地址 目的IP地址 源端口 目的端口 协议1 Allow * * 21 TCP2 Block* 20 1024 TCP3 Allow * 20 * TCP ACK=1第一条是允许网络地址为内的任何主机与目的地址为恣意且端口为21建立TCP的会话衔接。第二条是阻止任何源端口为20的远程IP地址访问

10、内部网络地址为且端口小于1024的恣意主机。第三条规那么是允许源端口为20的恣意远程主机可以访问网络内主机恣意端口。这些规那么的运用是按照顺序执行的。第三条看上去好似是矛盾的。假设任何包违反第二条规那么，它会被立刻丢弃掉，第三条规那么不会执行。但第三条规那么依然需求是由于包过滤对一切进来和出去的流量进展过滤直到遇到特定的允许规那么。 .7.2.1 数据包过滤包过滤防火墙的优点 速度快、逻辑简单、本钱低、易于安装和运用，网络性能和透明度好。它通常安装在路由器上，因内部网络与Internet衔接必需经过路由器，所以在原有网络上添加这类防火墙，几乎不需求任何额外的费用。包过滤防火墙的缺陷 不能对数据

11、内容进展控制，缺乏用户级的授权；非法访问一旦突破防火墙，即可对主机上的系统和配置进展攻击。数据包的源地址、目的地址以及IP端口号都在数据包的头部，很有能够被冒充或窃取。 .7.2.2 运用级网关 运用层网关技术是在网络的运用层上实现协议过滤和转发功能。它针对特定的网络运用效力协议运用指定的数据过滤逻辑，并在过滤的同时，对数据包进展必要的分析、记录和统计，构成报告。实践的运用网关通常安装在公用任务站系统上 .7.2.2 运用级网关运用级网关可以了解运用层上的协议，进展复杂一些的访问控制。但每一种协议需求相应的代理软件，运用时任务量大，效率不如网络级防火墙。常用的运用级防火墙有相应的代理效力器，运

12、用级网关有较好的访问控制，但实现困难，而且有的运用级网关缺乏“透明度 .7.2.2 运用级网关运用层网关防火墙和数据包过滤有一个共同的特点，就是它们仅仅依托特定的逻辑来判别能否允许数据包经过。一旦符合条件，防火墙内外的计算机系统便可以建立直接联络，外部的用户便有能够直接了解到防火墙内部的网络构造和运转形状，这大大添加了非法访问和攻击的时机。 .7.2.3 代理效力 运用代理效力技术可以将一切跨越防火墙的网络通讯链路分为两段。防火墙内外计算机系统间运用层的衔接是由两个代理效力器之间的衔接来实现，外部计算机的网络链路只能到达代理效力器，从而起到隔离防火墙内外计算机系统的作用。另外，代理效力器也对过

13、往的数据包进展分析、记录、构成报告，当发现攻击迹象时会向网络管理员发出警告，并保管攻击痕迹。 .7.2.3 代理效力 运用代理效力器对客户端的恳求行使“代理职责。客户端衔接到防火墙并发出恳求，然后防火墙衔接到效力器，并代表这个客户端反复这个恳求。前往时数据发送到代理效力器，然后再传送给用户，从而确保内部IP地址和口令不在Internet上出现。 .7.2.3 代理效力代理技术与包过滤技术完全不同，包过滤技术是在网络层拦截一切的信息流，代理技术是针对每一个特定运用都有一个程序。根据其处置协议的不同，可分为FTP网关型、WWW网关型、Telnet网关型等防火墙，其优点在于既能进展平安控制，又可加速

14、访问，但实现起来比较困难，对于每一种效力协议必需设计一个代理软件方式，以进展平安控制。 .7.2.3 代理效力运用层代理主要的优点：支持用户认证并提供详细的注册信息；过滤规那么相对于包过滤路由器更容易配置和测试；可提供详细的日志和平安审计功能；可以隐藏内部网的IP地址以维护内部主机不受外部主机的进攻；内部网中的一切主机经过代理可以访问Internet。运用层代理也有明显的缺陷：运用层实现的防火墙会呵斥执行速度慢，其性能明显下降；每个运用程序都必需有一个代理效力程序来进展平安控制，并随运用晋级面晋级。其顺应性和衔接性都是有限的。.7.2.4 形状检测 形状检测是对包过滤功能的扩展。传统的包过滤在

15、用动态端口的协议时，事先无法知道哪些端口需求翻开，就会将一切能够用到的端口翻开，而这会给平安带来不用要的隐患。形状检测将经过检查运用程序信息来判别此端口能否需求暂时翻开，并当传输终了时，端口马上恢复为封锁形状。 .7.2.4 形状检测形状检测防火墙抑制了包过滤防火墙和运用代理效力器的局限性，不要求每个被访问的运用都有代理。形状检测模块可以了解并学习各种协议和运用，以支持各种最新的运用效力。形状检测模块截获、分析并处置一切试图经过防火墙的数据包，保证网络的高度平安和数据完好。网络和各种运用的通讯形状动态存储、更新到动态形状表中，结合预定义好的规那么，实现平安战略。形状检测是检查OSI七层模型的一

16、切层，以决议能否过滤，而不仅仅是对网络层检测。 .7.3 防火墙体系构造及其运用 防火墙体系构造通常分为四类：l 屏蔽路由器Screening Routerl 屏蔽主机网关 (Screened Host Gateway)l双穴主机网关 (Dual-Homed Gateway)l 屏蔽子网 (Screened Subnet). 7.3.1屏蔽路由器 屏蔽路由器就是实施过滤的路由器 包过滤路由器在网络之间完成数据包转发的普通路由功能，并利用包过滤规那么来允许或回绝数据包。通常过滤规那么定义为：内部网络上的主机可以直接访问Internet，Internet上的主机对内部网络上的主机进展访问是有限制的

17、，即没有特别允许的数据包都回绝。 . 7.3.1屏蔽路由器 INTERNET包过滤路由器内部网络屏蔽路由器. 7.3.1屏蔽路由器 优点是价钱低且易于运用，缺陷需求掌握TCP/IP知识才干创建相应的过滤规那么，假设有配置错误将会导致不期望的流量经过或回绝一些应接受的流量。包过滤路由器不隐藏内部网络的配置，任何允许访问屏蔽路由器的用户都可看到网络的规划和构造。其监视和日志功能较弱，通常也没有警报的功能。这就意味着网络管理员要不断地检查网络以确定其能否遭到攻击。防火墙一旦被攻陷后很难发现攻击者。 .7.3.2 屏蔽主机网关 防火墙系统采用了包过滤路由器和堡垒主机组成的防火墙。提供的平安等级比包过滤

18、防火墙要高，其实现了网络层平安包过滤和运用层平安代理效力。堡垒主机可以经过网络地址解析来隐藏内部网络的配置信息。 INTERNET包过滤路由器内部网络屏蔽主机防火墙信息效力器堡垒主机.7.3.2 屏蔽主机网关屏蔽主机防火墙是针对一切进出的信息都要经过堡垒主机而设计的。堡垒主机配置在内部网络上，而包过滤路由器那么放置在内部网络和Internet之间。在路由器上进展过滤规那么配置，使得外部系统只能访问堡垒主机，内部系统的其他主机的信息全部被阻塞。确保了内部网络不受外部攻击。 由于内部主机与堡垒主机处于同一网络，平安战略之一就是决议能否允许内部系统直接访问Internet或运用堡垒主机上的代理效力来

19、访问Internet。假设要强迫内部用户运用代理效力，那么可在路由器配置过滤规那么时，让Internet只接受来自堡垒主机的内部数据包。 .7.3.2 屏蔽主机网关该防火墙系统的优点内网的变化不影响堡垒主机和屏蔽路由器的配置。可将提供公开的信息效力的效力器放置在由包过滤路由器和堡垒主机共用的网段上。假设要求有特别高的平安特性，可让堡垒主机运转代理效力，使得内部和外部用户在与信息效力器通讯之前，必需先经过堡垒主机。假设平安等级较低，那么可将路由器配置成让外部用户直接访问公共的信息效力器。 .7.3.2 屏蔽主机网关与包过滤比较，这种方法的缺陷是：添加了本钱并降低了性能。由于堡垒主机处置信息时，网

20、络经常需求更多的时间来对用户的恳求做出呼应。运用户访问Internet变得较慢。假设堡垒主机效力器作为运用级网关，内部客户端必需被配置成运用运用网关效力。 .7.3.3 双宿主机网关 用一台装有两块网卡的堡垒主机做防火墙，一块与内网相连，一块与外部网相连。堡垒主机上运转着防火墙软件，可以转发运用程序，提供效力等。这种防火墙由于在内部网络和外部网络之间创建了完全的物理隔断，添加了更有效的平安性。 INTERNET包过滤路由器内部网络 双宿堡垒主机防火墙信息效力器堡垒主机.7.3.3 双宿主机网关在单宿主堡垒主机构造上，一切外部的流量直接转发到堡垒主机上执行。黑客可修正路由器而不把数据包转发给堡垒

21、主机，这样将会绕过堡垒主机且直接进入到内部网络中。双宿堡垒主机有两个网络接口，但主机不能在两个端口之间直接转发信息。这种物理构造强行让一切去往内部网络的信息经过堡垒主机。 .7.3.3 双宿主机网关双宿主机网关优于屏蔽路由器的地方是：堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。便于日后的检查之用。由于堡垒主机是独一能从Internet上直接访问的内部系统，所以有能够遭到攻击的主机就只需堡垒主机本身。对于入侵者来说，允许其注册到堡垒主机，就可容易的破坏堡垒主机而整个内部网络遭到攻击的要挟。因此，防止被浸透和不允许非法用户注册对堡垒主机来说是至关重要的。 .7.3.4 屏蔽子网

22、实施防火墙最常见的方法就是屏蔽子网。在内部网络和外部网络之间建立一个被隔离的子网，称之为非军事区DMZ。其是用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开，网络管理员将堡垒主机、信息效力器以及其他公用效力器放在DMZ网络中。内部网络和外部网络均可访问被屏蔽子网，但制止其穿过被屏蔽子网直接通讯。屏蔽子网中的堡垒主机作为独一可访问点，并作为运用网关代理。 INTERNET包过滤路由器内部网络屏蔽子网防火墙信息效力器堡垒主机包过滤路由器.7.3.4 屏蔽子网对于进来的信息，外面的路由器用于防备通常的外部攻击，并管理Internet到DMZ网络的访问。它只允许外部系统访问堡垒主机和信息效力

23、器 。里面的路由器提供第二层防御，只接受源于堡垒主机的数据包，担任的是管理DMZ到内部网络的访问。对于出来的信息，里面的路由器管理内部网络到DMZ的访问。它允许内部系统只访问堡垒主机和信息效力器。外面的路由器上的过滤规那么要求运用代理效力，即只接受来自堡垒主机的去往Internet的数据包。 .7.3.4 屏蔽子网屏蔽子网防火墙系统有以下几个优点： 入侵者必需攻克三个不同的设备且不被发现才干侵袭内部网络。 内部网络对Internet来说是不可见的，由于一切进出的数据包都会直接送到DMZ。并且只需在DMZ网络上选定的系统才对Internet开放。这使黑客想得到内部系统的信息几乎不太能够的。由于内

24、部路由器只向内部网络通告DMZ的存在，内部网络上的系统不能直接通往Internet，这样就保证了内部网络上的用户必需经过驻留在堡垒主机上的代理效力才干访问Internet。这种配置防止了内部用户绕过内网的平安机制。 .7.3.4 屏蔽子网 外部路由器直接将数据引向DMZ网络上所指定的系统，无必要设置双宿堡垒主机。内部路由器作为内部网络与公网之间的防火墙系统并支持比双宿堡垒主机更大的数据包吞吐量。 在DMZ网络上可以安装NAT于堡垒主机上，从而防止在内部网络上重新编址或重新划分子网。 在实践运用中，详细采用哪一种防火墙主要取决于网络向用户提供什么样的效力及网络所接受的风险等级。还要取决于经费和技

25、术人员的技术及时间等要素。 .7.4 防火墙的类型 大多数防火墙都可以实现上述所讨论的功能，在实践运用中的防火墙以其实现方式可以分为以下四种类型： l 嵌入式防火墙l 软件防火墙l 硬件防火墙l 运用程序防火墙. 7.4.1 嵌入式防火墙 当防火墙功能被集成到路由器或者交换机上时，这种防火墙称为嵌入式embedded防火墙。其通常只对分组信息进展IP级的检查，可获得较高的性能，易于实现并有较好的性价比。 .7.4.2 软件防火墙 软件防火墙又分有两种类型:一是企业级软件防火墙，其用于大型网络上并执行路由选择功能。另一种是SOHO(Small Office Home Office)级。软件防火墙

26、通常会提供全面的防火墙功能.基于效力器的防火墙实践上是在操作系统之上运转的运用程序。其系统平台有Unix、Linux以及Windows NT、2000、XP和.NET等。 .7.4.3 硬件防火墙 由于硬件路由器也要运用软件，所以将硬件防火墙又称为设备防火墙。其设计成一种总体系统，不需求复杂的安装或配置就可以提供防火墙功能。硬件防火墙与软件防火墙类似，可以针对企业运用市场来设计，也可以针对SOHO环境。基于设备的防火墙也为集成处理方案，是指运转在公用的硬件和软件上的防火墙产品。如Cisco PIX防火墙就属于这种集成设备，其整个系统不能实现除防火墙之外的其他任何功能，并且也没有硬盘或效力器的其他常规组件。由于它的集成性和公用性，其速度、稳定性和平安性方面都比基于效力器的防火墙更好。但基于效力器的防火墙会提供一些额外的配置和支持选项，并且价钱比集成处理方案要廉价。 .7.4.4 运用程序防火墙 运用程序防火