网络安全课件：第6章 防火墙技术

第六章防火墙技术

什么是防火墙古代人们在房屋之间修建的一道防止火灾发生时火势蔓延的砖墙

防火墙作为安全防护体系中的一个重要组成部分，一般配置于网关的位置，主要防范围网络层的威胁（扫描攻击、漏洞溢出攻击、拒绝服务攻击等）。什么是防火墙防火墙的定义隔离内部网络与外界网络的一道安全防御系统网络安全最主要和最基本的基础设施不会妨碍人们对风险区域的访问内部网络Internet什么是防火墙防火墙的基本概念数据包过滤：检查IP数据包决定允许和拒绝。代理服务器：负责数据的转发。状态检测：根据事先确定合法过程模式，判断非法与合法。DMZ区：隔离区或非军事区。

隧道路由器：通过加密实现安全通过非安全网络。虚拟专用网：使用隧道路由器连接的网络。IP地址欺骗/DNS欺骗防火墙的主要作用1、过滤进出网络的数据包2、管理进出网络的访问行为3、封堵某些禁止的访问行为4、记录通过防火墙的信息内容和活动5、对网络攻击进行检测和告警防火墙的局限性1、不能防范不经过防火墙的攻击2、不能解决来自内部网络的攻击和安全问题3、不能防止策略配置不当或错误配置引起的安全威胁4、不能防止可接触的人为或自然的破坏5、不能防止利用标准网络协议设计缺陷的攻击6、不能防止利用服务器漏洞进行的攻击7、不能防止受病毒感染的文件的传输8、不能防止数据驱动式攻击9、不能防止内部的泄密行为10、不能防止本身的安全漏洞和威胁主机A主机B人力资源网络研发网络使用ACL阻止某指定网络访问另一指定网络

基于路由器的防火墙其实防火墙的完成主要是靠访问控制列表(ACL)的控制策略。那么什么是访问控制列表呢？基于路由器的防火墙特点：

利用路由器本身对分组的解析，以访问控制表方式实现对分组的过滤

过滤依据：IP地址，端口号，ICMP报文类型等

只有分组过滤的功能，路由器与防火墙一体（安全要求较低环境）缺陷：

路由器本身具有安全漏洞

配置复杂

伪造IP欺骗防火墙

降低路由器的性能用户化的防火墙特点：

过滤功能独立，并加上审计和告警的功能

根据用户需求，提供模块化设计软件可通过网络发送，用户可以自己手动构造防火墙缺陷：配置和维护复杂用户技术要求高全软件实现，安全性和处理速度有局限

实践表明，使用中出现差错的情况很多通用操作系统的防火墙特点：批量上市的防火墙专用产品包括分组过滤或者借用路由器的分组过滤功能有专用的代理系统，监控所有协议的数据和指令保护用户编程空间和用户可配置内核参数的设置安全性和速度大为提高缺陷：

因操作系统缘故，安全性和保密性无从保护通用操作系统的厂商不会对操作系统的安全负责即要防止外部攻击，还要防止通用操作系统厂商的攻击安全支持需要操作系统厂商和防火墙厂商同时提供安全操作系统的防火墙特点：

防火墙厂商具有操作系统源码，可实现安全内核

可以从内核来定制操作系统并实现加固

对每个服务器和子系统都作了安全处理

有分组过滤，应用网关，电路级网关，加密和鉴别功能透明性好，易于使用包过滤型防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配过滤规则是根据数据包的报头信息进行定义的“没有明确允许的都被禁止”7应用层6表示层3网络层防火墙检查模块4传输层5会话层2数据链路层1物理层IPTCPSessionApplicationData与过滤规则匹配吗审计/报警还有另外的规则吗转发包吗发送NACK丢弃包结束通过分析IP数据包包头信息，进行判断（这里IP所承载的上层协议为TCP）IP报头TCP报头数据源地址目的地址源端口目的端口访问控制列表利用这4个或更多元素定义的规则访问控制列表的工作原理匹配下一步拒绝允许允许允许到达访问控制组接口的数据包匹配第一步目的接口隐含的拒绝丢弃YYYYYYNNN匹配下一步拒绝拒绝拒绝防火墙对访问控制列表的处理过程进入数据包源地址匹配吗？有更多条目吗？应用条件拒绝允许是是否是否Icmp消息转发数据包接口上有访问控制列表吗？列表中的下一个条目否访问控制列表的入与出外出数据包查找路由表接口上有访问控制列表吗？源地址匹配吗？拒绝允许列表中的下一个条目是是转发数据包Icmp消息否否否

有更多条目吗？应用条件是访问控制列表的入与出标准访问控制列表3-1标准访问控制列表根据数据包的源IP地址来允许或拒绝数据包访问控制列表号从1到99标准访问控制列表3-2标准访问控制列表只使用源地址进行过滤，表明是允许还是拒绝从/24来的数据包可以通过！从/24来的数据包不能通过！路由器如果在访问控制列表中有的话应用条件拒绝允许更多条目？列表中的下一个条目否

有访问控制列表吗？源地址不匹配是匹配是否Icmp消息转发数据包标准访问控制列表3-3标准访问控制列表的配置第一步，使用access-list命令创建访问控制列表第二步，使用ipaccess-group命令把访问控制列表应用到某接口Router(config)#access-listaccess-list-number{permit|deny}source[

source-wildcard][log]Router(config-if)#ipaccess-groupaccess-list-number

{in|out}标准ACL应用：允许特定源的流量2-1Non-E0E1S03标准ACL应用：允许特定源的流量2-2第一步，创建允许来自的流量的ACL第二步，应用到接口E0和E1的出方向上Router(config)#access-list1permit55Router(config)#interfacefastethernet0/0Router(config-if)#ipaccess-group1outRouter(config)#interfacefastethernet0/1Router(config-if)#ipaccess-group1out标准ACL应用：拒绝特定主机的通信流量第一步，创建拒绝来自3的流量的ACL第二步，应用到接口E0的出方向Router(config)#access-list1denyhost3Router(config)#access-list1permit55Router(config)#interfacefastethernet0/0Router(config-if)#ipaccess-group1outany标准ACL应用：拒绝特定子网的流量第一步，创建拒绝来自子网的流量的ACL第二步，应用到接口E0的出方向Router(config)#access-list1deny55Router(config)#access—list1permitanyRouter(config)#interfacefastethernet0/0Router（config-if）#ipaccess-group1out55扩展访问控制列表4-1扩展访问控制列表基于源和目的地址、传输层协议和应用端口号进行过滤每个条件都必须匹配，才会施加允许或拒绝条件使用扩展ACL可以实现更加精确的流量控制访问控制列表号从100到199扩展访问控制列表4-2扩展访问控制列表使用更多的信息描述数据包，表明是允许还是拒绝从/24来的,到3的，使用TCP协议，利用HTTP访问的数据包可以通过！路由器

有访问控制列表吗？源地址目的地址协议协议任选项应用条件拒绝允许更多条目？列表中的下一个条目不匹配否是匹配匹配匹配匹配是否Icmp消息转发数据包如果在访问控制列表中有的话扩展访问控制列表4-3不匹配不匹配不匹配端口号关键字描述TCP/UDP20FTP-DATA（文件传输协议）FTP（数据）TCP21FTP（文件传输协议）FTPTCP23TELNET终端连接TCP25SMTP简单邮件传输协议TCP42NAMESERVER主机名字服务器UDP53DOMAIN域名服务器（DNS)TCP/UDP69TFTP普通文件传输协议（TFTP)UDP80WWW万维网TCP扩展访问控制列表4-4扩展访问控制列表的配置3-1第一步，使用access-list命令创建扩展访问控制列表Router(config)#access-listaccess-list-number{permit|deny}protocol

[sourcesource-wildcarddestinationdestination-wildcard][operatorport][established][log]扩展访问控制列表操作符的含义操作符及语法意义eqportnumber等于端口号portnumbergtportnumber大于端口号portnumberltportnumber小于端口号portnumberneqportnumber不等于端口号portnumber扩展访问控制列表的配置3-2扩展访问控制列表的配置3-3第二步，使用ipaccess-group命令将扩展访问控制列表应用到某接口Router（config-if）#ipaccess-groupaccess-list-number{in|out}扩展ACL应用：拒绝ftp流量通过E0第一步，创建拒绝来自、去往、ftp流量的ACL第二步，应用到接口E0的出方向Router(config)#access-list101denytcp5555eq21Router(config)#access-list101permitipanyanyRouter(config)#interfacefastthernet0/0Router（config-if）#ipaccess-group101out扩展ACL应用：拒绝telnet流量通过E0第一步，创建拒绝来自、去往、telnet流量的ACL第二步，应用到接口E0的出方向上Router(config)#access-list101denytcp5555eq23Router(config)#access-list101permitipanyanyRouter(config)#interfacefastethernet0/0Router（config-if）#ipaccess-group101out命名的访问控制列表2-1标准ACL和扩展ACL中可以使用一个字母数字组合的字符串（名字）代替来表示ACL的表号命名IP访问列表允许从指定的访问列表删除单个条目如果添加一个条目到列表中，那么该条目被添加到列表末尾不能以同一个名字命名多个ACL在命名的访问控制列表下，permit和deny命令的语法格式与前述有所不同命名的访问控制列表2-2第一步，创建名为cisco的命名访问控制列表第二步，指定一个或多个permit及deny条件第三步，应用到接口E0的出方向Router（config）#interfacefastethernet0/0Router（config-if）#ipaccess-groupciscooutRouter(config)#ipaccess-listextendedciscoRouter（config-ext-nacl）#denytcp5555eq23Router（config-ext-nacl）#permitipanyany查看访问控制列表2-1Router#showipinterfacefastethernet0/0FastEthernet0/0isup,lineprotocolisupInternetaddressis/24Broadcastaddressis55AddressdeterminedbysetupcommandMTUis1500bytesHelperaddressisnotsetDirectedbroadcastforwardingisdisabledOutgoingaccesslistisciscoInboundaccesslistisnotsetProxyARPisenabledLocalProxyARPisdisabledSecuritylevelisdefaultSplithorizonisenabledICMPredirectsarealwayssentICMPunreachablesarealwayssentICMPmaskrepliesareneversentIPfastswitchingisenabledIPfastswitchingonthesameinterfaceisdisabled……查看访问控制列表2-2Router#showaccess-listExtendedIPaccesslistcisco10denytcp5555eqtelnet20permitipanyany代理型防火墙代理技术也称为应用层网关技术，针对每一个特定应用都有一个程序。代理技术是在应用层实现防火墙的功能。代理服务器位于客户机与服务器之间,完全阻挡二者间的数据流。可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒十分有效

应用层

表示层

会话层

传输层

网络层

链路层

物理层

应用层

表示层

会话层

传输层

网络层

链路层

物理层

应用层

表示层

会话层

传输层

网络层

链路层

物理层

应用层

表示层

会话层

传输层

网络层

链路层

物理层

状态检测型防火墙状态检测型防火墙检测每一个有效连接的状态，并根据这些信息决定网络数据包是否能够通过防火墙应用层表示层

会话层

传输层

网络层

链路层

物理层

应用层表示层会话层传输层

网络层

链路层

物理层

应用层

表示层

会话层

传输层

网络层

链路层

物理层

应用层

表示层

会话层

传输层

网络层

链路层

物理层

连接状态表防火墙三种类型的比较包过滤型代理型状态检测型优点速度快防火墙是透明的，用户端不需要进行设置针对应用层数据进行过滤，增强了可控性日志功能加强了对不安全因素的追踪与排查屏蔽了内网细节减少了传统的包过滤防火墙的大量开放端口等一些安全问题降低了管理员配置访问规则的难度缺点无法过滤审核数据包的内容无法详细记录细致的日志速度较慢新的网络协议和应用都需要一套代理程序无法过滤审核数据包的内容无法详细记录细致的日志网络地址转换概述2-1地址转换的提出背景合法的IP地址资源日益短缺一个局域网内部有很多台主机，但不是每台主机都有合法的IP地址，为了使所有内部主机都可以连接因特网，需要使用地址转换地址转换技术可以有效地隐藏内部局域网中的主机，具有一定的网络安全保护作用地址转换可以在局域网内部提供给外部FTP、WWW、Telnet服务网络地址转换概述2-2NAT的原理改变IP包头，使目的地址、源地址或两个地址在包头中被不同地址替换NAT的3种实现方式静态转换动态转换端口多路复用NAT的术语2-2外部主机B外部主机CinternetNAT主机A1234SA=DA＝1内部局部地址外部局部地址主机A发出的包SA=DA=经过路由器转换的包2内部全局地址外部全局地址经过路由器转换的包SA=DA=4外部局部地址内部局部地址SA=DA=外部主机B返回的包3外部全局地址内部全局地址NAT的优缺点NAT的优点节省公有合法IP地址处理地址交叉增强灵活性安全性NAT的缺点延迟增大配置和维护的复杂性不支持某些应用什么是VPNVPN（VirtualPrivateNetwork）在公用网络中,按照相同的策略和安全规则,建立的私有网络连接Internet北京总部广州分公司虚拟专用网络VPN的结构和分类总部分支机构