第6章防火墙技术

第6章防火墙技术防火墙技术ACL访问控制列表防火墙技术防火墙定义防火墙的作用防火墙的分类方法防火墙的体系和典型安装方式防火墙的主要技术种类防火墙的体系结构ACL访问控制列表防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。防火墙Internet一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。两个安全域之间通信流的唯一通道UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为内部网防火墙定义

所有从内到外和从外到内的数据都必须通过防火墙只有符合安全策略的数据流才能通过防火墙防火墙自身应具有非常强的抗攻击免疫力Intranet通过部署防火墙，可以实现比VLAN、路由器更为强大、有效的访问控制功能；大大提高抗攻击的能力禁止访问禁止访问防火墙的作用网络的安全屏障在逻辑上，防火墙是一个分离器、一个限制器、也是一个分析器，有效地监控了内部网和internet之间的任何活动，保证了内部网络的安全HostCHostD访问控制功能AccesslisttoAccessnattoanypassAccesstoblockAccessdefaultpass1010010101规则匹配成功基于源IP地址基于目的IP地址基于源端口基于目的端口基于时间基于用户基于流量基于文件基于网址基于MAC地址InternetRADIUS服务器S/KEY认证服务器RADIUS服务器TACAS+服务器chenaifeng12354876防火墙将认证信息传给真正的RADIUS服务器将认证结果传给防火墙根据认证结果决定用户对资源的访问权限身份认证功能审计功能----日志分析通信日志：即传统日志通信源地址、目的地址、源目端口、通信时间、通信协议、字节数、是否允许通过应用层命令日志：在通信日志的基础之上，记录下各个应用层命令及其参数。例如HTTP请求及其要取的网页名。访问日志：即在通信日志的基础之上，记录下用户对网络资源的访问。它和应用层命令日志的区别是：应用层命令日志可以记录下大量的数据，有些用户可能不需要，如协商通信参数过程等。例如针对FTP协议，访问日志只记录下读、写文件的动作

内容日志：即在应用层命令日志的基础之上，还记录下用户传输的内容。如用户发送的邮件，用户取下的网页等。但因为这个功能涉及到隐私问题，所以在普通的防火墙中没有包含

Firewall5G对所有的应用层协议都可以进行通信日志，而命令日志、访问日志、内容日志目前支持HTTP、FTP、SMTP、POP3、TELNET、RSH、RLOGIN等协议

日志分析工具自动产生各种报表，智能化的指出网络可能的安全漏洞简单地说，就是要为管理人员提供下列问题的答案：–

谁在使用网络？–

他们在网络上做什么？–

他们什么时间使用了网络？–

他们上网去了何处？–

谁试图上网但没有成功？支持集中审计安全审计中心1010101Intranet灵活的带宽管理功能WWWMailDNS出口带宽512KDMZ区保留256K分配70K带宽分配90K带宽分配96K带宽DMZ区域内部网络总带宽512K内网256KDMZ256K70K90K96K+++财务子网采购子网生产子网财务子网采购子网生产子网InternetInternetHostA

HostBHostCHostD00-50-04-BB-71-A600-50-04-BB-71-BCBINDTo00-50-04-BB-71-A6BINDTo00-50-04-BB-71-BCIP与MAC地址绑定后，不允许HostB假冒HostA的IP地址上网防火墙允许HostA上网跨路由器IP与MAC（用户）绑定功能Internet4HostA受保护网络HostCHostD15防火墙Eth2：3Eth0：数据IP报头数据IP报头源地址：1目地址：4源地址：目地址：4隐藏了内部网络的结构内部网络可以使用私有IP地址公开地址不足的网络可以使用这种方式提供IP复用功能NAT(地址转换)功能13防火墙的分类方法14单机防火墙VS网络防火墙15软件防火墙VS硬件防火墙防火墙安装方式之一安装方式之二备份防火墙19防火墙的主要技术种类包过滤技术状态包检测技术代理服务技术应用层表示层会话层传输层网络层数据链路层物理层包过滤技术包过滤技术是防火墙最常用的技术。对一个充满危险的网络，这种方法可以阻塞某些主机或网络连入内部网络，也可以限制内部人员对一些危险站点的访问包过滤技术指在网络中适当的位置对数据包有选择的通过，选择的依据是系统内设置的过滤规则，只有满足过滤规则的数据包才被转发到相应的网络接口，其余数据包则被从数据流中删除。包过滤规则一般是基于部分或全部报文内容.一般由屏蔽路由器来完成。屏蔽路由器也叫过滤路由器，是一种可以根据过滤规则对数据包进行阻塞和转发的路由器。21数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包企业内部网屏蔽路由器数据包包过滤技术的基本原理

数据包UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource控制策略应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101只检查报头101001001001010010000011100111101111011001001001010010000011100111101111011包过滤工作过程简单包过滤防火墙不检查数据区简单包过滤防火墙不建立连接状态表前后报文无关应用层控制很弱优点：速度快，性能高对应用程序透明应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101只检查报头101001001001010010000011100111101111011001001001010010000011100111101111011包过滤工作过程简单包过滤防火墙不检查数据区简单包过滤防火墙不建立连接状态表前后报文无关应用层控制很弱优点：速度快，性能高对应用程序透明状态检测技术状态检测技术是包过滤技术的延伸，常被称为“动态包过滤”。是与包过滤相类似但是更为有效的安全控制方法。对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。适合网络流量大的环境。主要特点高安全性：工作在数据链路层和网络层之间，确保截取和检测所有通过网络的原始数据包。虽然工作在协议栈的较低层，但可以监视所有应用层的数据包，从中提取有用信息，安全性得到很大提高。高效性：一方面，通过防火墙的数据包都在协议栈的较低层处理，减少了高层协议栈的开销；另一方面，由于不需要对每个数据包进行规则检查，从而使得性能得到了较大提高。可伸缩和易扩展：由于状态表是动态的，当有一个新的应用时，它能动态的产生新的应用的新的规则，无须另外写代码，因而具有很好的可伸缩和易扩展。应用范围广：不仅支持基于TCP的应用，而且支持基于无连接协议的应用。应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层状态检测技术介绍应用层表示层会话层传输层网络层链路层物理层安全性高能够检测所有进入防火墙网关的数据包根据通信和应用程序状态确定是否允许包的通行性能高在数据包进入防火墙时就进行识别和判断伸缩性好可以识别不同的数据包已经支持160多种应用，包括Internet应用、数据库应用、多媒体应用等用户可方便添加新应用对用户、应用程序透明抽取各层的状态信息建立动态状态表应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101只检查报头101001001001010010000011100111101111011001001001010010000011100111101111011状态检测包过滤防火墙的工作原理不检查数据区建立连接状态表前后报文相关应用层控制很弱建立连接状态表应用代理应用层网关（Applicationgateway)技术代理服务代理（Proxy）代理服务器是运行于内部网络与外部网络之间的主机（堡垒主机）之上的一种应用。当用户需要访问代理服务器另一侧主机时，对符合安全规则的连接，代理服务器会代替主机响应，并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后，内部主机同外部主机之间的通信将通过代理程序将相应连接映射来实现。应用代理代理服务技术主要优点：代理放火墙的最大好处是透明性。对用户来说，代理服务器提供了一个“用户正在与目标服务器直接打交道”的假象；对目标服务器来说，代理服务器提供了一个“目标服务器正在与用户的主机系统直接打交道”的假象。由于代理机制完全阻断了内部网络与外部网络的直接联系，保证了内部网络拓扑结构等重要信息被限制在代理网关内侧，不会外泄，从而减少了黑客攻击时所需的必要信息。通过代理访问Internet可以隐藏真实IP地址，同时解决合法IP地址不够用的问题。因为Internet见到的只是代理服务器的地址，内部不合法的IP地址可以通过代理访问Internet.用于应用层的过滤规则相对于包过滤路由器来说更容易配置和测试。应用层网关有能力支持可靠的拥护认证并提供详细的注册信息。代理工作在客户机和真实服务器之间，可提供很详细的日志和安全审记功能。应用代理代理服务技术的不足：有限的连接：某种代理服务器只能用于某种特定的服务，如FTP服务器提供FTP服务，Telnet服务器提供Telnet服务，所以能提供的服务和可伸缩性是有限的。所以代理服务器主要应用于安防要求较高但网络流量不太大的环境。有限的技术：代理服务器不能为RPC,Talk和其他一些基于通用协议族的服务提供代理。有限的性能：处理性能远不及状态检测高。有限的应用：代理服务器的应用也受到诸多限制。首先是当一项新的应用加入时，如果代理服务程序不予支持，则此应用不能使用。解决的方法之一是自行编制特定服务的代理服务程序，但工作量大，而且技术水平要求很高，一般的应用单位无法完成。应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层应用代理技术介绍应用层表示层会话层传输层网络层链路层物理层FTPHTTPSMTP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101只检查数据101001001001010010000011100111101111011001001001010010000011100111101111011应用代理防火墙的工作原理不检查IP、TCP报头不建立连接状态表网络层保护比较弱32防火墙的体系结构筛选路由器

双宿主主机屏蔽主机屏蔽子网防火墙可以设置成不同的体系结构，提供不同级别的安全。常见的体系结构有：33筛选路由器式体系结构内部网外部网包过滤筛选路由器筛选路由器是防火墙最基本的构件。它一般作用在网络层（IP层），按照一定的安全策略，对进出内部网络的信息进行分析和限制，实现报文过滤功能。该防火墙优点在于速度快等，但安全性能差。34双宿主主机式体系结构内部网外部网双宿主主机双宿主主机插有两块网卡，分别连接到内网和外网。防火墙内、外的系统均可以与双宿主主机进行通信，但防火墙两边的系统之间不能直接进行通信。使用此结构，必须关闭双宿主主机上的路由分配功能。多宿主主机35屏蔽主机式体系结构Internet堡垒主机防火墙屏蔽路由器屏蔽主机网关结构中堡垒机与内部网相连，用筛选路由器连接到外部网上，筛选路由器作为第一道防线，堡垒机作为第二道防线。这确保了内部网络不受未被授权的外部用户的攻击。该防火墙系统提供的安全等级比前面两种防火墙系统要高，主要用于企业小型或中型网络。

堡垒主机（BastionHost）:一个高度安全的计算机系统。通常是暴露于外部网络，作为连接内部网络用户的桥梁，易受攻击。36屏蔽子网式体系结构Internet堡垒主机屏蔽路由器屏蔽路由器DMZ屏蔽子网结构，就是在内部网络和外部网络之间建立一个被隔离的子网，这个子网可有堡垒主机等公用服务器组成，用两台筛选路由器将这一子网分别与内部网络和外部网络分开。内部网络和外部网络均可访问屏蔽子网，但禁止它们穿过屏蔽子网进行通信，从而进一步实现屏蔽主机的安全性防火墙技术ACL访问控制列表ACL概述ACL的工作过程ACL分类ACL配置通配符掩码访问控制列表（AccessControlList，ACL）应用在路由器接口的指令列表指定哪些数据报可以接收、哪一些需要拒绝

ACL用途（1）限制网络流量、提高网络性能；（2）提供对通信流量的控制手段；（3）提供网络访问的基本安全手段；（4）在路由器（交换机）接口处，决定哪种类型的通信流量被转发、哪种被阻塞。ACL概述实现访问控制列表的核心技术是包过滤Internet公司总部内部网络未授权用户办事处访问控制列表通过分析IP数据包包头信息，进行判断（这里IP所承载的上层协议为TCP）IP报头TCP报头数据源地址目的地址源端口目的端口访问控制列表利用这4个元素定义的规则ACL的工作过程入站访问控制操作过程相对网络接口来说，从网络上流入该接口的数据包，为入站数据流。对入站数据流的过滤控制称为入站访问控制。如果一个入站数据包被访问控制列表禁止（deny），那么该数据包被直接丢弃（discard）。只有那些被ACL允许（permit）的入站数据包才进行路由查找与转发处理。入站访问控制节省了那些不必要的路由查找转发的开销,包在进入路由器之前要经过访问列表的处理,路由器不能路由任何被拒绝的包，因为在路由之前这些包就会被丢弃掉。进入数据包源地址匹配吗？有更多条目吗？应用条件拒绝允许路由到接口查找路由表是是否是否Icmp消息转发数据包接口上有访问控制列表吗？列表中的下一个条目否入站访问控制操作过程出站访问控制操作过程

从网络接口流出的网络数据包，称为出站数据流。出站访问控制是对出站数据流的过滤控制。那些被允许的入站数据流需要进行路由转发处理。在转发之前，交由出站访问控制进行过滤控制操作。外出数据包查找路由表接口上有访问控制列表吗？源地址匹配吗？拒绝允许列表中的下一个条目是是转发数据包Icmp消息否否否

有更多条目吗？出站访问控制操作过程应用条件是YDenyYPermitNDenyPermitDenyYYNYYPermit强制丢弃若无任何匹配则丢弃DenyNACL的逻辑测试过程数据报文目的接口报文丢弃桶匹配第一条规则?匹配下一条规则?匹配最后一条规则

?范围/标识IP

1-99100-199,1300-1999,2000-2699Name(CiscoIOS11.2andlater)800-899900-9991000-1099Name(CiscoIOS11.2.Fandlater)StandardExtendedSAPfiltersNamedStandardExtendedNamedACL类型IPXACL分类标准IPACL（1到99）根据IP报文的源地址测试扩展IPACL（100到199）可以测试IP报文的源、目的地址、协议、端口号源地址段Segment（例如，TCP首部）数据Data报文Packet（IP首部）帧Frame首部（例如，HDLC）DenyPermit使用ACL规则语句1-99标准ACL目的地址源地址协议（例如TCP）端口号使用ACL规则语句100-199DenyPermit扩展ACL帧Frame首部（例如，HDLC）报文Packet（IP首部）段Segment（例如，TCP首部）数据Data第一步：创建ACLRouter(config)#第二步：将ACL绑定到指定接口

{protocol}access-groupaccess-list-number{in|out}Router(config-if)#ACL配置access-listaccess-list-number{permit|deny}{test

conditions}标准ACL的配置access-listaccess-list-number{permit|deny}source[mask]Router(config)#为访问控制列表增加一条测试语句标准IPACL的参数access-list-number取值范围从1到99缺省通配符掩码=“noaccess-listaccess-list-number”命令删除指定号码的ACLaccess-listaccess-list-number{permit|deny}source[mask]Router(config)#在特定接口上启用ACL设置测试为入站（in）控制还是出站（out）控制缺省为出站（out）控制“noipaccess-groupaccess-list-number”

命令在特定接口禁用ACLRouter(config-if)#ipaccess-groupaccess-list-number{in|out}为访问控制列表增加一条测试语句标准IPACL的参数access-list-number取值范围从1到99缺省通配符掩码=“noaccess-listaccess-list-number”命令删除指定号码的ACL标准ACL的配置0代表检查对应地址位的值1代表忽略对应地址位的值donotcheckaddress

(ignorebitsinoctet)=001111111286432168421=00000000=00001111=11111100=11111111ignorelast6addressbitscheckalladdressbits(matchall)ignorelast4addressbitschecklast2addressbits示例通配符掩码例如：9表示检查所有的地址位可以使用关键字host将上语句简写为：host9测试条件：检查所有的地址位（matchall）9

一个IPhost关键字的示例如下：通配符掩码：host关键字接受任何地址：55可以使用关键字any将上语句简写为：any测试条件：忽略所有的地址位（matchany）

55任何IP地址通配符掩码：any关键字CheckforIPsubnets/24to/24Network.host

00010000Wildcardmask: 00001111 |<----match---->|<-----don’tcare----->|

00010000 = 16

00010001 = 17

00010010 = 18 : :

00011111 = 31Addressandwildcardmask:

55通配符掩码和IP子网的

对应562023/2/6通配符掩码例