《防火墙》PPT完整版

第4章防火墙重点和难点防火墙的主要功能、类别和相关安全标准防火的设计原理掌握防火墙的设计原理应用防火墙的典型案例防火墙的使用方法、目的及其存在的缺陷了解防火墙的基本概念、功能特点、主要作用及分类防火墙的安全标准4.1概述

防火墙〔Firewall〕是位于两个或多个网络间实施网络间访问控制的一组组件的集合.这组组件包括：主机系统、路由器、网络安全策略和用于网络安全控制与管理的软硬件系统等.并且需要满足以下三个条件：1〕网络内部和外部之间的所有数据流必须经过防火墙；2〕只有符合安全策略的数据流才能通过防火墙；3〕防火墙自身具有高可靠性,应对渗透免疫.4.1.1什么是防火墙防火墙是提供信息安全服务、实现网络和信息安全的基础设施之一,一般安装在被保护区域的边界处,如图4.1所示.在图中,被保护区域与Internet网之间的防火墙可以有效控制区域内部网络与外部网络之间的访问和数据传输,进而达到保护区域内部信息安全的目的,同时,通过防火墙的检查控制可以过滤掉很多非法信息.Internet防火墙DMZ图4.1Internet上的防火墙4.1.2使用防火墙的主要目的使用防火墙的主要目的包括以下两个方面：1〕严格限制进入被保护区域的访问,防止外部入侵和信息污染；例如,对来自外部网络的各种访问进行访问控制、信息过滤等.2〕严格限制离开被保护区域的信息,防止信息泄漏；例如,对来访者在保护区域内的各种活动进行审计跟踪、检查需要离开被保护区域的信息资源等.4.1.3防火墙的功能1．包过滤包过滤是防火墙所要实现的最基本功能,它可将不符合要求的包过滤掉.静态包过滤只是在网络层上对包的地址、端口等信息进行判定控制,而动态包过滤是在所有通信层上对包的状态进行检测分析,判断包是否符合安全要求.动态包过滤技术支持多种协议和应用程序,易扩展、易实现.2．审计和报警机制审计是一种重要的安全措施,用以监控通信行为和完善安全策略,检查安全漏洞和错误配置,并对入侵者起到一定的威慑作用.报警机制是在通信违反相关策略以后,以多种方式如声音、邮件、、手机短信息及时报告给管理人员.3．远程管理目前防火墙的远程管理主要使用三种技术.一是基于Web界面的管理方式；二是GUI界面的管理方式；三是基于命令行的CLI管理方式.这三种技术各有其优点,前两种均采用可视化管理界面来完成对防火墙的配置、管理和监控操作.Web管理方式提供了简单的管理界面,适合那些功能不是很多的防火墙的管理工作.而GUI管理方式能提供丰富的管理界面,适合对防火墙进行复杂的配置,管理多台防火墙,同时支持丰富的审计和日志的功能.4．NAT绝大多数防火墙都具有网络地址转换〔NAT〕功能.目前防火墙一般采用双向NAT,即：SNAT和DNAT.SNAT用于对内部网络地址进行转换,对外部网络隐藏内部网络的结构,使得对内部的攻击更加困难；并可以节省IP资源,有利于降低成本.DNAT主要用于实现外网主机对内网和DMZ区主机的访问.

5．代理

目前代理主要有如下几种实现方式：

1〕透明代理〔Transparent

proxy〕：透明代理实质上属于DNAT的一种,它主要指内网主机需要访问外网主机时,不需要做任何设置,完全意识不到防火墙的存在而完成内外网的通信.其原理是防火墙截取内网主机与外网通信,由防火墙本身完成与外网主机通信,然后把结果传给内网主机,在这个过程中,无论内网主机还是外网主机都意识不到它们在和防火墙通信.2〕传统代理：传统代理工作原理与透明代理相似,所不同的是它需要在客户端设置代理服务器,并由该服务器实现内网与外网间的通信.6．MAC与IP地址的绑定把MAC地址与IP地址绑定在一起,主要用于防止那些受到控制〔不允许访问外网〕的内部用户通过更换IP地址来访问外网.7．流量控制〔带宽管理〕和统计分析、流量计费

流量控制可以分为基于IP地址的控制和基于用户的控制.基于IP地址的控制是对通过防火墙各个网络接口的流量进行控制,基于用户的控制是通过用户登录来控制每个用户的流量,从而防止某些应用或用户占用过多的资源.流量统计是建立在流量控制基础之上的.一般防火墙通过对基于IP、服务、时间、协议等进行统计,并可以与管理界面实现挂接,实时或者以统计报表的形式输出结果.流量计费从而也是非常容易实现的.

8．VPN

在以往的网络安全产品中,VPN是一个单独产品,现在大多数厂商把VPN与防火墙捆绑在一起,进一步增强和扩展了防火墙的功能,这也是一种产品整合的趋势.

4.1.4防火墙的作用及分类1．防火墙的主要作用在计算机网络中,增加防火墙设备的投入可以提高内部网络的安全性能,这些安全性主要表现在以下几个方面：1〕防止来自被保护区域外部的攻击.2〕防止信息外泄和屏蔽有害信息.3〕集中安全管理.4〕安全审计和告警.5〕增强保密性和强化私有权；6〕访问控制和其他安全作用等.2．防火墙的分类根据防火墙的应用与发展可将其分为五种类型：包过滤防火墙、电路层防火墙、应用层防火墙、动态包过滤防火墙和自适应代理防火墙.根据防火墙所采用的技术特点可将其分为三种类型:包过滤技术防火墙、代理技术防火墙和混合技术防火墙.包过滤技术和代理技术原理分别如下：〔1〕包过滤防火墙包过滤防火墙又称分组过滤路由器,或网络级防火墙,它工作在网络层上,如图4.2〔a〕所示.数据包从源发地发出并需要穿过防火墙时,一般通过检查单个包的源地址、目的地址、所封装的协议〔TCP、UDP等〕、端口、ICMP包的类型、输入/输出接口等信息来决定是否允许此数据包穿过防火墙.有时还需要进一步检查数据包中的路由选择表、特定的IP选项、校验特殊的IP分段参数等以防止发生电子欺骗攻击.包过滤的处理方式分静态包过滤和动态包过滤两种,参见图4.2〔b〕、〔c〕.静态包过滤只是在网络层上对当前数据包进行过滤处理；而动态包过滤则是利用状态表在所有通信层上对当前数据包进行过滤处理,判断该数据包是否符合安全要求.〔b〕静态包过滤〔c〕动态包过滤状态表包过滤〔a〕包过滤原理包过滤的主要优点：不用改动应用程序；一个过滤路由器能协助保护整个网络；数据包过滤对用户透明；过滤路由器速度快、效率高.包过滤的主要缺点：不能彻底防止地址欺骗；某些应用协议不适合于数据包过滤；正常的数据包过滤路由器无法执行某些安全策略；数据包工具存在很多局限性.图4.2包过滤防火墙原理通常,路由器便是一个"传统"的包过滤防火墙,这种防火墙是基于源地址和目的地址、应用或协议以及每个IP包的端口作出是否允许通过的判断的,而大多数路由器仅是通过这些信息来决定是否转发包,它不能判断出一个IP包来自何方,将去向何方.包过滤防火墙使用所有规则对包中的信息进行逐个检查,只要被检查的包能满足所要求的几项规则即可,如果没有一条规则能符合,防火墙就使用默认规则,要求丢弃该包.其次,通过定义基于TCP或UDP数据包的端口号,防火墙能判断是否允许建立特定的连接,如TELNET、FTP连接.专门的防火墙系统一般在包过滤基础上增加了某些功能,如状态检测等.〔2〕代理防火墙代理防火墙又称网关,它是通过编制的专门软件〔代理软件〕来弄清用户应用层的信息流量,并能在用户层和应用协议层间提供访问控制；而且还可用来保持一个所有应用程序使用的记录.

代理防火墙工作在应用层或会话层上,使用代理软件来完成对数据报的检测判断,最后决定其能否穿过防火墙.这种代理软件主要由代理服务器、客户代理和协议分析三个部分构成.代理防火墙的工作原理如图4.3所示.代理防火墙分应用层代理和电路层代理两种.应用层代理防火墙〔称应用层网关〕工作在应用层上,主要保存Internet上那些最常用和最近访问过的内容.应用层代理增强了网络安全性,并为用户提供方便快捷的访问,其工作原理如图4.4所示.电路层代理防火墙〔称电路层网关〕工作在会话层上,主要实现两个通信节点间的包转换任务,并将包提交给应用层进行处理,其工作原理如图4.5所示.协议分析代理服务器客户代理应用层网关电路层网关TCPSocketTCPSocket图4.3代理防火墙的工作原理图4.4应用层网关防火墙

图4.5电路层网关防火墙代理技术的优点：易于配置和生成各项记录；能灵活控制进出流量和过滤数据内容；能为用户提供透明的加密机制；可以灵活集成各种安全手段.代理技术的缺点：与路由器相比其速度较慢；对用户的透明度不高；不同的服务代理需要不同的服务器支持,并且不能保证免受各种协议弱点的限制；不能保证底层协议的安全性.〔3〕两类防火墙技术的比较根据包过滤和代理技术的原理,两类防火墙技术对比见表4.1.比较包过滤防火墙代理防火墙优点价格较低；系统开销少，处理速度较快内置安全的Proxy应用程序，并将数据包进行安全化处理；不允许数据包穿过防火墙，能较好地禁止数据驱动式攻击缺点系统配置较复杂，容易造成配置缺陷，从而产生漏洞；由于仅对数据包进行包过滤处理，而不对数据包进行安全化处理，所以允许数据包直接穿过防火墙，无法禁止数据驱动式攻击；不能理解网络的其他协议层信息系统开销大，处理速度较慢；对用户的透明度低，不能确保底层协议的安全性表4.1包过滤防火墙与代理防火墙的优缺点对比4.1.5防火墙的安全标准防火墙是一种用于网络安全保护的专用设备,其设计和使用必须遵照有关的安全准则.在国内,防火墙设备必须符合国家制定的相关标准,必须通过安全部门的安全技术检验和相关认证才能有效使用.1．关于防火墙的国家标准2．有关安全产品检验和销售方面的规定4.2防火墙设计原理

在防火墙安全策略中,应包括安全目标、防火墙设备选购、配置和设计等主要内容.1．防火墙设备选购策略选购防火墙需要考虑防火墙的安全性、高效性、实用性和可管理性问题,同时,还应考虑防火墙设备的完善性和及时的售后服务体系.〔1〕了解防火墙的基本性能防火墙设备其基本性能一般应包括如下内容：1〕防火墙能严格执行所配置的安全策略,并能灵活改变所需的安全策略.4.2.1防火墙的安全策略2〕防火墙除具备基本的鉴别功能外,还应支持多种先进技术,如包过滤技术、加密技术、身份识别与验证、信息的保密性保护、信息的完整性校验、系统的访问控制机制和授权管理等技术.3〕防火墙过滤语言应该具有灵活性,支持多种过滤属性,如源和目的IP地址、协议类型、源和目的TCP/UDP端口以及入出接口等.4〕防火墙应包含集中化的SMTP访问能力,以简化本地与远程系统的SMTP连接,实现本地E-mail集中处理,还应具备集中处理和过滤拔号访问的能力.5〕安全操作系统是防火墙设备的一个组成部分,当使用其他安全工具时,要保证防火墙主机的完整性,而且安全操作系统应能整体安装.防火墙及操作系统应该可更新,并能用简易的方法解决系统故障等.〔2〕制定和理解防火墙的安全政策选购防火墙前,应认真制定和理解安全政策,要事先考虑把防火墙放在网络系统的哪一个位置上,才能满足网络安全需求,才能确定选购防火墙时所能接受的风险水平.选购防火墙必须是切合实际,既要考虑满足整个网络系统的安全要求,又要考虑网络安全措施的可行性.无论如何考虑,最终选购的防火墙设备应能将网络风险水平降到可接受的程度,而且是以较小的代价换来的.〔3〕防火墙的经济性关于经济性问题,除价格因素外,还应考虑管理费用、维护费用以及耗材费用等因素.按照购买或实现防火墙需要的经费来度量所提出的解决方案是十分重要的.在满足安全性、实用性的基础上考虑经济性问题是切合实际的.〔4〕防火墙的完善性和售后服务体系防火墙不是一般的网络设备,也不是随意买卖的产品,因此,必须选购经国家安全部门检测通过的设备2．配置策略在制订防火墙的配置策略时,首先要根据安全目标要求全面列出策略要点,然后认真分析和配置,通常需要考虑：〔1〕哪些服务是允许的、哪些是被禁止的和如何使用服务；〔2〕如何限制和过滤网络安全策略中指定的服务,才能达到网络安全的目标.另外,防火墙系统环境配置也是防火墙配置策略中的一个重要环节.依据网络安全目标,防火墙系统环境配置需要考虑：1〕取消危险的系统调用；2〕限制命令的执行权限；3〕取消IP的转发功能；4〕检查每个分组的接口；5〕采用复杂的随机连接序号；6〕驻留分组过滤模块；7〕取消动态路由功能；8〕采用多个安全内核等可能导致安全问题发生的内容.3．服务访问策略防火墙的一般服务访问策略是：严格限制或禁止外部用户对网络的访问,特殊情况下,可通过强认证方式允许外部用户访问某些内部主机和服务；严格限制内部用户对外部网络的访问,必要时,严格控制访问所规定的外部主机和服务.4．防火墙设计策略通常有三种设计策略,第一种：安全策略中明确禁止的服务一律关闭,其余服务全部开放；第二种：安全策略中明确允许的服务一律开放,其余服务全部关闭；第三种：安全策略中有明确规定的服务一律按规定执行,其余服务均酌情考虑.4.2.2防火墙的体系结构1．双宿/多宿主机模式这种模式是在堡垒主机上配置两块或两块以上的网卡实现的.其中,一块网卡用于外部网络,而其余网卡则用于内部网络,并通过代理服务系统来实现防火墙的各种功能.其网络拓朴结构如图4.6所示.2．屏蔽主机模式这种模式是在双宿/多宿主机模式的基础上增加外部过滤路由设备实现的.堡垒主机通过一个外部过滤路由器与外部网络进行连接,再通过代理服务系统将外部过滤路由器传来的信息与内部网络联系在一起,从而起到保护内部网络的作用.其网络拓朴结构如图4.7所示.图4.6双宿/多宿主机模式堡垒主机外部网络图4.7屏蔽主机模式堡垒主机外部网络R3．屏蔽子网模式这种模式是在屏蔽主机模式的基础上增加内部过滤路由设备实现的.堡垒主机使用两个过滤路由器,分别与内部网络和外部网络连接,再通过代理服务系统处理经过过滤路由器的信息.其网络拓朴结构如图4.8所示.堡垒主机外部网络RR外部过滤路由内部过滤路由图4.8屏蔽子网模式4.2.3应用防火墙的典型案例1．网络安全解决方案在众多的网络安全解决方案中,使用防火墙技术的典型拓朴结构有以下两种形式,分别如图4.9和图4.10所示.InternetR防火墙DMZWINSDHCP专线MailServerWebServerDNSServerRR专线专线总部第二分部第一分部代理服务器三层交换机图4.9典型网络安全解决方案之一Internet各种专用网RRPSTN拨号用户VPN通道DDN专线VPN通道各种网络服务图4.10典型网络安全解决方案之二拨号访问服务器在网络安全解决方案一中,防火墙是主要的安全防护设备,把它放在连接外网的路由器后,再把整个企业的Web服务器、邮件服务器mailServer、域名服务器放在DMZ区,就能有效保护这些服务器的安全,同时,能够严格控制外部网络对内部企业网络的访问.采用方案一实现网络安全防护的具体措施如下：1〕由防火墙实现NAT功能,限制企业内部的代理服务器执行NAT功能,只允许代理服务器去外网访问,企业内部所有VLAN之间通过内部的三层交换机实现互访,企业内部的其他用户只能通过代理服务器上网访问,可根据安全需要直接在三层交换机上进行访问控制.在三层交换机上指定代理服务器为其缺省路由,同时,在代理服务器上指明防火墙的内网IP地址为其缺省网关.2〕把Web服务器、邮件服务器、电子邮件服务器和域名服务器放到DMZ区,并设置安全策略允许内部网和外部网的所有机器访问DMZ区.3〕在防火墙上设置到企业内部各子网的静态路由以保证企业内部各子网都能通过防火墙连接到internet.4〕如果企业总部需要通过专线与其他分部安全连接时,也需要在防火墙上增加静态路由以保证各分部与总部的Web服务器和邮件服务器间的联系.在网络安全解决方案二中,一台防火墙设备将企业内部各种专用网络与外部网络安全隔离,并允许内部网络的所有用户访问外部网络.对于企业内部各种专用网中的用户,允许其通过DDN专线访问Internet；对于企业许可的拨号用户,允许其通过拨号VPN并经严格访问控制后可获取企业内部网中的各种服务资源,还可以通过防火墙与企业内部各专用网中的用户进行加密通信.2．网络安全配置方案为了实现网络安全解决方案,还需要进一步落实安全策略,制定网络安全配置方案,例如：假设某企业采用一个防火墙后的网络解决方案为：1〕建立DMZ网络,把邮件服务器、流媒体服务器等放入该区,并将该区中的服务器映射到外网地址上以供Internet网络用户访问；2〕禁止Internet网络用户访问企业内部网；3〕允许企业内部网络用户通过地址转换方式<NAT>访问Internet网络；4〕允许拨号用户通过拨号访问服务器访问企业内部网.根据上述解决方案,可为该网络制定如图4.11所示的安全配置方案.R邮件服务器<>DNS<>镜像服务器<>流媒体服务器<>InternetPSTN~DMZ图4.11网络安全配置方案举例拨号访问服务器3．某校信息安全实验室解决方案图4.12是某校为解决网络安全技术实践而建立的基于防火墙体系的实验室解决方案.该方案通过四台堡垒主机〔每台主机带四块网卡〕将3个内网和1个外网互连成一个安全网络.内网中的任何一台主机都可以访问外网资源,任意两台主机都可以相互访问.内网到外网的访问,以及两个内网间的互访等都是通过代理技术实现的.外网2134图4.12某校信息安全实验室解决方案从图4.12可以看出,数据包从一个网络到另一个网络〔包括到外网〕必须经过两台堡垒主机的严密监控才可能实现,这样就可以通过灵活配置两台堡垒主机的功能来实现较复杂的网络安全技术,以满足实践教学的需要.图4.12所示的解决方案与图4.9所示的解决方案十分类似,区别在于一个是面向企业应用,另一个是面向教学实践,另外,图4.12中的4个堡垒主机间是直连的.4．网站托管主机网络安全方案一个企业为了拥有自己的Internet服务平台,如属于自己的Web、Email和FTP服务器等,除了自己投资创建外,还可以选择服务器托管方案.相比之下,服务器托管方案既方便快捷、又经济实用.目前,服务器托管方案主要有两种形式,"整机托管"和"虚拟主机".当企业选择托管方式建立网站后,网站安全问题是不容忽视的,关于网站托管主机的安全问题涉及内容较多,例如管理问题、法律问题、经济问题、技术问题等.在图4.13所示的方案中,由于托管主机都具有合法IP地址,所以无须进行地址转换,故直接将防火墙配置为透明模式,这种模式可以有效防止基于IP的攻击.防火墙的非信任端与路由器相连,而信任端则与交换机相连,并且将所托管的主机也连接到该交换机上.配置防火墙时可重点考虑以下内容：1〕严格配置安全策略2〕设置完整的日志记录并实时监控网络流量及时发现和屏蔽恶意访问.3〕采取多重过滤措施,保证服务器的安全.R网站托管主机Internet图4.13网站托管主机网络安全方案WebDNSEmail防火墙远程控制管理4.2.4防火墙的缺陷防火墙作为网络边界上的主要安全设备,并不是坚不可摧的,据有关资料报道,防火墙被攻破的概率已接近