《网络安全》课件NS-CH12

1目录（CONTENTS）防火墙的基本原理001防火墙技术010防火墙的配置方案011WAF100防火墙(firewall)是位于两个(或多个)网络间实施网间访问控制的组件的集合满足以下条件:内网和外网的所有网络数据流必须经过防火墙只有符合安全策略的数据流才能通过防火墙防火墙自身对渗透(penetration)是免疫的例如，在企业网络与Internet之间加一道防护2防火墙的基本原理防火墙通常是单独的计算机、路由器或专有硬件设备，充当访问网络的唯一入口点只有来自授权主机的连接请求才会被处理，其他连接请求被丢弃主要用于保护内部网络免受外部不安全网络的侵害防火墙也可用于Intranet各部门网络之间（内部防火墙）财务部与教务部之间3防火墙的基本原理Internet1.企业内部网2.部门子网3.分公司网络4防火墙示意图防火墙实现数据流控制通过预先设定安全规则来实现安全规则由匹配条件和处理方式两部分组成：如果满足某种条件，将执行某种动作规则根据组织的访问控制策略来制订大多数防火墙规则中的处理方式包括：Accept：允许数据包或信息通过Reject：拒绝数据包或信息通过，并且通知信息源该信息被禁止Drop：直接将数据包或信息丢弃，不通知信息源5防火墙的基本原理防火墙常采用以下两种基本策略之一：“默认允许”原则：没有明确禁止的都是允许的主要由Reject或Drop规则组成信息逐条与规则匹配，一旦匹配就会被防火墙丢弃或禁止，如果不能与任何规则匹配，则通过防火墙“默认拒绝”原则：没有明确允许的都是禁止的主要由Accept规则构成信息逐条与规则匹配，只要与其中一条匹配，则允许通过；如果不能与任何规则匹配则信息不能通过防火墙6防火墙的基本策略按照使用对象可分为：个人防火墙：一般以软件服务的形式实现，为个人计算机提供简单的防火墙功能。可能会随操作系统附带，价格较低企业防火墙：隔离本地网络与外界网络的一道防御系统。可以使企业内部网与Internet或与其他外部网络互相隔离、限制网络互访来保护内部网络。实现形式：软件、硬件7防火墙的分类从技术上，防火墙可以分为：包过滤防火墙（PacketFiltering）静态包过滤防火墙动态包过滤防火墙(状态检测防火墙)代理技术应用层代理（应用网关，代理服务器）电路级网关混和型防火墙8防火墙的分类包过滤防火墙：工作在网络层和传输层。设定访问控制列表ACL（AccessControlList），检查所有通过的数据包，并按照给定的规则进行访问控制和过滤如果防火墙设定某一IP地址的站点为不宜访问，那么来自这个地址的所有信息都会被防火墙屏蔽掉可在路由器中实现：许多路由器产品都可以实现包过滤功能，如Cisco、华为、H3C、DEC、IBM、锐捷等路由器产品9包过滤防火墙华为AR3200-S商业旗舰级系列企业路由器包过滤防火墙的操作方式：对包过滤装置的端口设置包过滤规则数据包到达过滤端口时，对数据包头部进行分析。大多数包过滤装置只检查IP、TCP/UDP头部字段包过滤规则按一定的顺序存储。当包到达时，按过滤规则的存储顺序对包进行检查如果一条规则禁止接收包，则不允许该数据包通过如果一条规则允许接收包，则允许该数据包通过如果一个数据包不满足任何规则，则该包被阻塞或允许通过，（由防火墙默认规则决定）Remark：规则顺序非常重要——否则有可能将本要拒绝的数据包通过10包过滤防火墙包过滤技术的发展：第一代：静态包过滤防火墙只在OSI模型的网络层工作，能够准许或阻止IP地址和端口等一个纯静态包过滤防火墙根据如下信息过滤：源IP地址、目标IP地址源端口、目标端口包类型：ICMP/EGP/TCP/UDPTCP选项标志：SYN、ACK、FIN、RST第二代：动态包过滤防火墙（状态检测）除有静态包过滤防火墙的能力外，还跟踪连接状态；并根据需要可动态的在过滤规则中增加或更新条目11包过滤防火墙12静态包过滤原理规则序号操作源IP目的IP源端口目的端口协议1丢弃**23*TCP2丢弃***23TCP13例1：阻止Telnet访问Telnet使用TCP端口23建立如下规则：静态包过滤规则建立举例例2：FTP客户端包过滤—允许FTP访问FTP协议使用双向的多个连接，而且使用的端口很难预计

一个控制连接(controlconnection)

：传递客户端的命令和服务器对命令的响应。使用服务器的21端口，生存期是整个FTP会话时间几个数据连接(dataconnection)

：传输文件和其它数据。在需要数据传输时建立，数据传输完毕就关闭。每次使用的端口不一定相同FTP的两种运行模式：主动模式（ActiveMode）——数据连接由服务器发起（默认模式）被动模式（PassiveMode）——数据连接由客户端发起14包过滤规则建立举例15包过滤规则建立举例

主动模式被动模式端口20数据端口21命令端口4998命令端口4999数据端口20数据端口21命令端口4998命令端口4999数据①客户端以一个随机高端口向FTP服务器的端口21初始化连接②FTP服务器回应③服务器从端口20用PORT命令指定的端口初始化连接④客户端回应并开始传输数据①客户端以一个随机高端口向FTP服务器的端口21初始化连接②FTP服务器回应③客户端以一个不同的高端口向服务器指定高端口的连接④服务器回应并开始传输数据端口3266数据规则序号操作源IP目的IP源端口目的端口协议1允许/24*>102321TCP2允许*/2421>1023TCP3允许*/2420>1023TCP4允许/24*>102320TCP16主动模式(假定网络的IP网段为/24)包过滤规则建立举例规则序号操作源IP目的IP源端口目的端口协议1允许/24*>102321TCP2允许*/2421>1023TCP3允许/24*>1023>1023TCP4允许*/24>1023>1023TCP17被动模式(假定网络的IP网段为/24)包过滤规则建立举例优点：通用性强，速度快，性能高对应用程序透明设备和软件比较成熟，价格低廉——可以直接在路由器上实现缺点：不能区分好包与坏包（不检查包内数据）不能对付某些类型的攻击，如包损坏或syn泛滥过滤规则比较死板，不能很好的适应网络环境的变化18静态包过滤防火墙的优缺点状态防火墙可以跟踪序列号（关键）如果攻击者没有猜对序列号，即使他能成功欺骗其余的四个字段，攻击者也无法插入到一个已建立的会话中根据需要打开关闭端口常有内建的TCPSYN泛洪保护当服务器达到一定的半开连接限制时进行保护总之，在对包进行过滤时，不仅依据规则表，还要考虑数据包状态是否符合会话所处的状态；会话状态信息是临时的，当会话结束时，有关该会话的信息及相应的过滤规则就被删除19状态检测防火墙状态表（StateTable）：状态监测防火墙则记录一台计算机与其它计算机的连接情况每个当前建立的连接都要在状态信息表里面有相应的条目。只有当数据包符合某条目时，包过滤器才允许相应的流量通过20状态检测防火墙源地址源端口目的地址目的端口连接状态101107980已建立2310987980已建立63456225已建立456432138已建立4123280已建立423448080已建立21状态检测防火墙CiscoPIX（）WinRoute（）CheckPointFireWall（动态包过滤防火墙）（）Linux操作系统自带的防火墙工具iptables（版本2.3及以后版本）22常见包过滤防火墙和路由器产品优点:逻辑简单，价格便宜，对网络性能的影响较小，有较强的透明性与应用层无关，无需改动任何客户机和主机上的应用程序，易于安装和使用缺点:需要对IP、TCP、UDP等协议有深入了解，否则容易出现因配置不当而带来问题过滤判别的只有网络层和传输层的有限信息，所以各种安全要求难以得到充分满足数据包的地址及端口号都在数据包的头部，因而不能彻底防止地址欺骗，不提供用户的鉴别机制23包过滤防火墙的优缺点应用层代理/代理服务器通过在主机上运行代理服务程序，直接对特定的应用层进行服务，因此也称应用型防火墙/应用级网关核心是运行于防火墙主机上的代理服务器程序代理服务器通常运行在两个网络之间，对于客户来说像是一台真的服务器，而对于服务器来说，它又是一台客户机代理服务器接收到用户的访问请求后会检查该请求是否符合规定，如果规则允许用户访问，代理服务器像一个客户一样去站点取回所需信息再转发给客户24应用层代理/代理服务器针对不同应用程序，代理服务器需要不同的代理模块代理服务可以实现用户认证、详细日志、审计跟踪和数据加密等功能，并实现对具体协议及应用的过滤能完全控制网络信息的交换，控制会话过程，具有灵活性和安全性，但影响网络的性能，对用户不透明，且对每一种服务都要设计一个代理模块，建立对应的网关层，实现起来比较复杂25代理服务器型防火墙代理服务器通常都有高速缓存，存储着用户经常访问的站点内容，在用户访问同一站点时，服务器直接将缓存内容发出即可，既节约时间也节约网络资源代理服务器像一堵墙一样挡在内部用户与外界之间，从外部只能看到该代理服务器而无法获知任何的内部资源，诸如用户的IP地址等26代理服务器型防火墙客户服务器代理服务器服务器客户应答请求应答请求自适应代理防火墙是在商业防火墙中广泛应用的防火墙类型。结合代理防火墙的安全性和包过滤防火墙的高速度等优点，在不损失安全的基础上将代理防火墙的性能提高10倍以上组成这种类型防火墙的基本要素有两个：自适应代理服务器（AdaptiveProxyServer）动态包过滤器（DynamicPacketFilter）自适应代理服务器与动态包过滤之间存在一个控制通道。配置防火墙时，仅将所需要的服务类型、安全级别等信息通过代理服务器的管理界面进行设置即可。自适应代理根据配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发包如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求27自适应代理防火墙易于配置，界面友好不允许内外网主机的直接连接可以提供比包过滤更详细的日志记录，例如在一个HTTP连接中，包过滤只能记录单个的数据包，而应用网关还可以记录文件名，URL等信息可以隐藏用户内部IP地址可以给单个用户授权可以为用户提供透明的加密机制可以与认证、授权等安全手段方便的集成28代理防火墙的优点最大缺点：速度相对比较慢，当用户对内外部网络网关的吞吐量要求比较高时，代理防火墙就会成为内外部网络之间的瓶颈代理防火墙需要为不同的网络服务建立专门的代理服务，用户不能使用代理防火墙不支持的服务29代理防火墙的缺点按照代理服务器工作的层次不同可以将其分为应用级网关/应用级代理（ApplicationProxy）电路级网关/电路级代理（Circuit-levelProxy）30代理防火墙的缺点应用级网关起到应用级中继器的作用。用户使用TCP/IP协议连接到网关，网关要求用户提供要访问的远程主机名。当用户应答并提供有效用户ID和认证信息后，网关会代理用户连接远程主机并在用户和服务器之间中继包含应用程序数据的TCP报文。如果网关没有为特定应用程序实现代理代码，则该应用程序不被支持，并且不能通过防火墙转发。因工作在应用层，可设置为只支持应用程序中被认可的部分功能比包过滤器防火墙更安全。网关只需要审查几个合法的应用程序，而不需要尝试处理TCP和IP级上的允许和禁止规则。在应用级上可以很容易地实现入站流量的记录，以方便审计不足：带来了对每条连接的额外处理开销。终端之间的连接有原来的一条变为两条接合连接，网关起到中间人的作用，要对所有双向的流量进行检查和转发HTTP代理服务器是最常用的应用层网关，端口通常为80或8080。浏览器可以利用HTTP代理浏览网页31应用级网关电路级网关/电路级代理：监控受信任的客户或服务器与不受信任的主机间的TCP握手信息，以决定会话是否合法在TCP握手过程中，检查SYN、ACK和序列数据是否为合理逻辑，以判断会话是否合法。认为会话合法，就为双方建立连接——网关仅复制、传递数据，而不进行过滤通用代理服务器，工作于OSI模型的会话层或TCP/IP协议的TCP层适用于多个协议，但不能识别在同一个协议栈上运行的不同应用，也就不需要对不同的应用设置不同的代理模块remark：电路级网关并非作为独立的产品存在，通常与其他应用级网关结合在一起，它在会话层上过滤数据包，无法检查应用层的数据包32电路级网关网络地址转换（NAT，NetworkAddressTranslation）：属接入广域网技术，一种将私有IP地址转化为合法广域网IP地址的转换技术——电路级网关通常具备该功能解决lPv4地址不足的问题能够有效地避免来自网络外部的攻击，隐藏并保护网络内部主机网络地址转换NAT对用户是透明的33电路级网关Q：所有返回数据包目的IP都是00，防火墙如何识别并送回真正主机？方法：防火墙记住所有发送包的目的端口防火墙记住所有发送包的TCP序列号NAT类型:静态NAT（StaticNAT）动态NAT（DynamicNAT）端口转换NAPT（NetworkAddressPortTranslation）34网络地址转换静态NAT：内部网络的每个私有IP地址都被永久转换为某个公有IP地址，是一对一固定不变的动态NAT：将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定、随机的。在外部网络中定义一系列的合法IP地址，采用动态分配的方法映射到内部网络当ISP提供的合法IP地址略少于内部网络计算机时网络端口地址转换NAPT：将多个内部地址映射为一个合法公网地址，但以不同的协议端口号与不同的内部地址相对应。即<内部地址+内部端口>与<外部地址+外部端口>之间的转换35NAT的类型静态NAT:把内部网络中的每个主机都永久映射成外部网络中的某个合法的地址36网络地址转换动态NAT:在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络37网络地址转换什么时候用NAPT？缺乏全局IP地址；甚至没有专门申请的全局IP地址，只有一个连接ISP的全局IP地址内部网要求上网的主机数很多提高内网的安全性NAPT可分为：静态NAPT需要向外网络提供信息服务的主机永久的一对一“IP地址+端口”映射关系动态NAPT只访问外网服务，不提供信息服务的主机临时的一对一“IP地址＋端口”映射关系38网络地址转换39NAPT示例为更好地实现网络安全，需要将几种防火墙技术组合起来构建防火墙系统。目前比较流行的几种防火墙配置方案:屏蔽路由器——最简单的防火墙配置，直接在内网和外网之间加装一个包过滤路由器或者应用网关双宿主机模式屏蔽主机模式屏蔽子网模式40防火墙的配置方案双宿主机结构采用主机替代路由器执行安全控制功能，类似于包过滤防火墙，是外部网络用户进入内部网络的唯一通道双宿主机用两个网络适配器分别连接两个网络，又称堡垒主机堡垒主机运行防火墙软件，可转发数据，提供服务等41双宿主机模式双宿主机可以在内网和外网之间进行寻径，内/外网都可以执行由它提供的网络应用，如果允许的话，它们可以共享数据如果寻径被禁止，则可以隔离内网和外网之间的通信，内网和外网节点可通过双宿主机上的共享数据传递信息，但内网与外网之间不能传递信息，从而达到保护内网的作用特点：主机的路由功能被禁止，两个网络之间的通信通过双宿主机来完成致命弱点：一旦侵入堡垒主机并使该主机具有路由功能，则任何用户均可以随便访问有保护的内部网络42双宿主机模式43双宿主机模式内部网络外部网络禁止内外网络之间直接通信双宿主机

通过应用代理通过登陆到双宿主主机上获得服务缺点：如何保护双宿主机本身的安全

所有的通信必须经过双宿主主机屏蔽主机模式：包过滤路由器连接外网，堡垒主机安装在内网在路由器上设立过滤规则，并使堡垒主机成为从外网唯一可直达的主机，确保内网不受未被授权的外部用户的攻击实现了网络层和应用层的安全，比单独的包过滤或应用网关更安全44屏蔽主机模式过滤路由器是否配置正确是安全与否的关键45屏蔽主机模式进行规则配置，只允许外部主机与堡垒主机通讯互联网对内部其他主机的访问必须经过堡垒主机缺点：堡垒主机与其他主机在同一个子网一旦堡垒主机被攻破或被越过，整个内网和堡垒主机之间就再也没有任何阻挡不允许外部主机直接访问除堡垒主机之外的其他主机过滤器堡垒主机屏蔽子网防火墙：较流行的一种结构，采用两个包过滤路由器和一个堡垒主机，在内外网络之间建立一个被隔离的子网，称为DMZ（非军事区、隔离区，demilitarizedzone）46屏蔽子网模式DMZ：为解决安装防火墙后外网不能访问内网服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区，位于企业内部网络和外部网络之间的小网络区域内，放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器等DMZ区域更加有效地保护了内部网络，因为对攻击者来说又多了一道关卡两个包过滤路由器放在子网两端，一个控制Intranet数据流，一个控制Internet数据流，Intranet和Internet均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信47屏蔽子网模式48屏蔽子网模式可根据需要在屏蔽子网中安装堡垒主机，为内部网络和外部网络的互相访问提供代理服务，但来自两网络的访问都必须通过两个包过滤路由器的检查即使堡垒主机被入侵者控制，内部网仍受到内部包过滤路由器的保护这种结构的防火墙安全性能高，具有很强的抗攻击能力，但需要的设备多，造价高49屏蔽子网模式50屏蔽子网模式内部网络外部网络堡垒主机内部筛选路由器外部筛选路由器禁止内外网络直接进行通讯内外部网络之间的通信都经过堡垒主机防火墙的主要功能:网络安全的屏障强化网络安全策略对网络存取和访问进行监控审计防止内部信息的外泄51防火墙的主要功能52防火墙的主要功能

安全内核访问控制内容安全

IP与MAC绑定安全远程管理多种管理方式灵活接入授权认证双机热备安全审计加密端口映射流量控制规则模拟测试入侵检测本地&远程管理

NAT转换&IP复用多端口结构安全联动双系统网络管理

基于源地址、目的地址基于源端口、目的端口基于用户基于时间基于流量基于时间的控制用户级权限控制防火墙Netfilter/Iptables可称为Linux的第三代防火墙（前两代是Ipfwadm和IPchains）53防火墙实例——Netfilter/IptablesShell

Iptables

NetfilterSourceCodeLinuxKernelSourceCode

Iptables是防火墙管理人员的规则编辑管理工具Netfilter的工作的位置54防火墙实例——Netfilter/Iptables应用程序Kernel硬件Netfiltereth0eth1Netfilter的功能模块：Filter：是Netfilter最为重要的机制，任务是执行封包的过滤动作NAT：网络地址转换Mangle：修改经过防火墙的封包内容RAW：加快封包穿越防火墙的速度，借此提高防火墙的性能55防火墙实例——Netfilter/IptablesTableChainFilterINPUTFORWARDOUTPUTNatPREROUTINGPOSTROUTINGOUTPUTManglePREROUTINGINPUTFORWARDOUTPUTPOSTROUTINGRAWPREROUTINGOUTPUT56防火墙实例——Netfilter/Iptables表间的优先顺序：RAWmanglenatfilter链内的匹配规则：自上向下按顺序依次检查，找到相匹配的规则即停止（LOG选项表示记录相关日志）若在链内找不到相关规则，则按照默认规则执行，（未修改的情况下，默认规则为允许）57防火墙实例——Netfilter/Iptables58防火墙实例——Netfilter/Iptablesserviceiptablesstart/stop/restartchkconfigiptableson/offiptables是配置规则的工具，其语法格式大致如下：iptables[–t表名]管理选项[链名][条件匹配][-j目标动作或跳转]其中[]内部分为可选项。表名即为filter、nat、mangle、raw四个表之一，不指定默认为filter表59防火墙实例——Netfilter/Iptables选项（区分大小写）说明-L列出表的内容-F清除表的内容-A添加规则-P设定默认规则-I插入新规则-R取代规则-D删除规则60防火墙实例——Netfilter/Iptablesiptables–tfilter–AINPUT–picmp–jACCEPTiptables–tfilter–PFORWARDDROP#把FORWARD链的默认规则设为DROPiptables–tfilter–DINPUT2 #删除filter表中INPUT链里的第2条规则remark:-p:protocol将送到本机的ICMP数据包丢弃拒绝主机通过本机的DNS服务来执行域名解析

remark:--dport:目标端口--sport：源端口

--dprot或--sport参数前一定要指明是TCP还是UDP协议61防火墙实例——Netfilter/Iptablesiptables–AINPUT–picmp–s–jDROPiptables–AINPUT–pudp–s--dport53–jREJECT根据企业的安全策略，需要实现如下的访问规则：任何主机都可以正常访问29上SSH及Telnet以外的服务网络上只有30的主机可以正常访问29上的所有服务62防火墙实例——Netfilter/Iptablesiptables–PINPUTDROPiptables–AINPUT–ptcp–d29–-dport25–jACCEPTiptables–AINPUT–ptcp–d29–-dport80–jACCEPTiptables–AINPUT–ptcp–d29–-dport110–jACCEPTiptables–AINPUT–ptcp–s30–d29–-dport22–jACCEPTiptables–AINPUT–ptcp–s