BIT8-1信息系统安全防御-防火墙

1防火墙技术孙建伟计算机网络攻防对抗技术实验室北京理工大学2

防火墙技术NAT防火墙技术概述包过滤型防火墙状态检测防火墙应用级网关型防火墙代理服务型防火墙复合型防火墙3NAT（NetworkAddressTranslation）在RFC1597中定义了内部网地址（或称专网，PrivateInternet，Intranet）有部分IP地址被IANA组织定义用作内部网地址:

-55

AsingleClassAnetwork-172.31

.255.255

16contiguousClassBnetworks-55

256contiguousClassCnetworks4NAT技术（RFC1631）NAT技术可以在路由器(边界)、防火墙上实现内外地址的翻译工作NAT可以划分为以下两种类型（从发起者的报文）：源网络地址转换（SourceNAT，缩写为SNAT），即IP伪装（masquerade）目的网络地址转换（DestinationNAT，缩写为DNAT）。实现方式(从地址转换的对应关系看)：静态NAT（staticNAT）-一一对应动态NAT（DynamicNAT）-多对多过载（Overloading）-一对多作用SNAT解缓IP地址不足的压力向外部网络隐藏内部网络的IP地址DNAT流量均衡5NAT技术举例静态方式下，内部地址与外部IP地址总是一一对应的。如：0总是翻译成10.

在动态方式下，有一组全局IP地址与内部IP地址对应。例如：0总是翻译成00to50.范围内第一个可用的IP地址过载（Overloading）也是一种动态方式，用一个全局IP地址加上端口号实现与内部IP地址的翻译。6InternetWebserverabcNAT0Connectionrequesttoport80from‘c‘to<webserver>source,port1025.,port1025mappedto0,port2000Connectionrequestfrom‘c’forwardedto<webserver>source0,port2000.Requestreceivedandaccepted.

OutgoingWebClientThroughNAT

InsideIPInsidePortOutIPOutPort1034020051025020007InternetWebserverabcNATResponsesentto0,port2000.OutgoingWebClientThroughNAT

InsideIPInsidePortOutIPOutPort103402005102502000Translate0,port2000toport1025InternetRouter7withNATthatMasqueradesHost0WebClient

0Host0Host0WebServerport80FTPServerport21WebServer

5To5:80from0:Y

To5:80from7:x

To7:xfrom5:80To0:Y

from5:809防火墙技术概述什么是防火墙防火墙是建立在两个网络的边界上的实现安全策略和网络通信监控的系统或系统组，强制执行对内部网和外部网的访问控制。通过建立一整套规则和策略来监测、限制、更改跨越防火墙的数据流，达到保护内部网络的目的。InternetIntranetFirewall10防火墙技术概述所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，实际上是一种隔离技术。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过，而且防火墙本身也必须能够免于渗透。11与防火墙联动的其他安全技术基于网络的入侵检测系统（IDS)应急响应系统IPSecVPN网关安全审计12防火墙的局限性不能阻止那些绕开防火墙的攻击不能防止内部攻击不能防止病毒感染程序或文件的传输13访问控制加密(IPSecVPN)授权认证地址翻译负载均衡内容安全：病毒扫描、URL扫描、HTTP过滤日志记帐、审计报警防火墙的功能14防火墙的技术分类包过滤型防火墙状态检测防火墙应用级网关型防火墙代理服务型防火墙复合型防火墙15包过滤型防火墙包过滤(PacketFiltering)技术是在网络层对数据包进行选择选择的依据是系统内设置的过滤逻辑，被称为访问控制表(AccessControlTable)通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。工作在网络层和传输层。

16包过滤防火墙包过滤设置规则：丢弃或通过默认丢弃：不被明确允许的将被禁止。比较保守默认转发：不被明确禁止的允许通过数据包头部信息IP源地址和目标地址协议（TCP、UDP或ICMP包）TCP/UDP源和目的端口TCP头中的ACK位ICMP信息类型17过滤规则举例组序号动作源IP目的IP源端口目的端口协议类型1允许***TCP2允许*20*TCP3禁止*20<1024TCP第一条规则：主机任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。第二条规则：任何主机的20端口访问主机的任何端口，基于TCP协议的数据包允许通过。第三条规则：任何主机的20端口访问主机小于1024的端口，如果基于TCP协议的数据包都禁止通过。18包过滤防火墙几种包过滤系统用过滤路由器进行包过滤用双宿主主机进行包过滤用堡垒主机进行包过滤19IP过滤路由器双宿主主机防火墙Internet内部网外部网防火墙InternetR内部网外部网路由器20包过滤的优点：一个包过滤路由器即可保护整个网络不需要用户软件支撑，不需要对用户作特别培训包过滤产品比较容易获得包过滤的缺点：包过滤规则配置比较困难对包过滤规则配置的测试比较麻烦包过滤功能有种种局限性21状态检测防火墙包过滤防火墙局限性：包过滤防火墙只通过简单的规则控制数据流的进出，没考虑高层的上下文信息具有未授权用户可利用的漏洞通过建立一个出网的TCP连接目录而加强TCP数据流的检测规则报文过滤机制只允许那些和目录中某个连接匹配的数据流通过防火墙源地址源端口目的地址目的端口连接状台001030980已连接0210312380已连接0110332225已连接061035280已连接22应用级网关型防火墙应用级网关(ApplicationLevelGateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。23应用级网关(ApplicationLevelGateway)

建立在网络应用层上基于主机的协议过滤、转发器，在用户和应用层之间提供访问控制。Internet应用程序网关24HTTP网关端口号

要访问的端口号限制时间

检查限制时间，结束用户访问最大进程个数

能访问的进程个数要切断的Contents Contents(JavaApplet,JavaScript,ActiveX)25前三种防火墙的比较包过滤防火墙状态检测防火墙应用层防火墙26代理服务型防火墙代理服务(ProxyService)也称电路级网关或TCP通道(CircuitLevelGatewaysorTCPTunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信分为两段。防火墙内外计算机系统间应用层的"链接"，由两个终止代理服务器上的"链接"来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。27代理服务器防火墙(ProxyServer)不允许外部网与内部网的直接通信由防火墙建立两个TCP连接，一个是内主机与防火墙，另一个是防火墙与外主机InternetR内部网代理服务器路由器28复合型防火墙屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与Internet相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒机成为Internet上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个分组过滤路由器放在这一子网的两端，使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。29屏蔽主机防火墙体系结构30堡垒主机堡垒主机可以充当应用层网关和电路级网关的平台堡垒主机运行了安全加固的操作系统只有必须的服务才会安装在堡垒主机上包括一些代理应用，如TELNET、FTP等用户在访问代理服务之前，要先通过堡垒主机的附加认证机制屏蔽子网防火墙体系结构在主机过滤结构中增加一层停火区(DMZ)的安全机制，使内部网与外部网之间有两层隔断。InternetR内部路由器外部网外部路由器内部网R堡垒主机停火区DMZ32屏蔽子网防火墙体系结构(续）外部防火墙抵挡外部的攻击并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第二道安全防线，当外部防火墙失效的时候，它还可以起到保护内部网络的功能。而局域网内对于internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里，一个黑客必须通过三个独立的区域（外部防火墙、内部防火墙和堡垒主机）才能够到达局域网。33防火墙产品形态主机防护Windows自带其他网关：软件形式Windows:WinrouteWindows：MicrosoftISAserverLinux：IPTable+Netfilter独立硬件工控机平台ASIC加速34防火墙产品介绍以色列Checkpoint公司的FireWall-1Cisco公司的PIXNAI公司的GauntletCyberGuard公司的FireWallNetscreen中国的：天融信主机防火墙类35防火墙的发展支持NATVPN等分布式防火墙应用层网关的进一步发展认证机制智能代理过滤深度加强，URL(页面)过滤、关键字过滤、ActiveX过滤、病毒扫描等集成部分IDS功能主动检测与报警日志分析工具36练习题了解WindowsXP系统的防火墙配置及功能，与其他第三方的window主机防火墙做分析比较（Comodo防火墙、天网）。研究专题：目前僵尸网络（Botnet）已成为发动DDOS攻击的主要平台，对互联网安全危害极大，查阅相关技术文献及论文等，理解Botnet的原理，思考如何通过利用本地防火墙，阻断本地主机加入僵尸网络和成为攻击源。提交一篇研究论文37WindowsXP防火墙配置38WindowsXP防火墙

操作系统WINDOWSXP增加了许多十分重要的新的网络功能，例如Internet连接防火墙（ICF）就是充当网络与外部世界之间的保卫边界的安全系统。Internet连接防火墙（ICF）是用来限制哪些信息可以从你的家庭或小型办公网络进入Internet以及从Internet进入你的家庭或小型办公网络的一种软件。Windows防火墙是在WindowsXPServicePack2中取代原来的InternetConnectionFirewall的更新版本.默认状态下防火墙在所有的网卡界面均为开启状态.无论是windowsxp全新安装还是升级安装，这个选项都可以在默认的情况下给网络连接提供更多的保护。39

打开Windows防火墙1、可以从安全中心中打开，安全中心位于控制面板。2、也可以直接从控制面板中打开Windows防火墙控制台3、可以从网络连接的高级选项卡中进入防火墙控制台。Windows防火墙安全策略：除非在例外中明确允许，否则默认全部禁止。在主选项卡中有3个选项：

常规、例外、高级1.启用或禁用Internet连接防火墙打开“网络连接”，（桌面网络邻居的属性）单击要保护的拨号、LAN或高速Internet连接，然后在“网络任务”→“更改该连接的设置”→“高级”→“Internet连接防火墙”下，选择下面的一项：若要启用Internet连接防火墙，选中“通过启用或关闭来自Internet的对此计算机的访问来保护我的计算机和网络”复选框。若要禁用Internet连接防火