保障与安全12防火墙.ppt

1、1,12 防火墙,2,防火墙的定义,防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋，如图所示。,3,防火墙的定义,这里所说的防火墙不是指为了防火而造的墙，而是指隔离在本地网络与外界网络之间的一道防御系统。 在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域（Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问，网络防火墙结构如图所示。,4,一、防火墙概述,什么是防火墙(Firewall) ？,防火墙：在两个信任程度不同的网络之间设置的、用于加强访问控制的软硬件保护设施。 从逻辑上讲，防火

2、墙是分离器、限制器和分析器。,5,防火墙的发展简史,第一代防火墙：采用了包过滤（Packet Filter）技术。 第二、三代防火墙：1989年，推出了电路层防火墙，和应用层防火墙的初步结构。 第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。 第五代防火墙：1998年，NAI公司推出了一种自适应代理技术，可以称之为第五代防火墙。,6,防火墙技术的简单发展历史,返回本节,7,防火墙的作用, 确保一个单位内的网络与因特网的通信符合该 单位的安全方针,为管理人员提供下列问题的答 案: 谁在使用网络 他们在网络上做什么 他们什么时间使用了网络 他们上网去了何处 谁要上网没有成功,8

3、,防火墙的作用,一、防火墙概述,1、作为“扼制点”，限制信息的进入或离开； 2、防止侵入者接近并破坏你的内部设施； 3、监视、记录、审查重要的业务流； 4、实施网络地址转换，缓解地址短缺矛盾。 防火墙只允许已授权的业务流通过，而且本身也应抵抗渗透攻击。 建立防火墙必须全面考虑安全策略，否则形同虚设。,9,防火墙的优点,1防火墙对企业内部网实现了集中的安全管理，可以强化网络安全策略，比分散的主机管理更经济易行。 2防火墙能防止非授权用户进入内部网络。 3防火墙可以方便地监视网络的安全性并报警。 4可以作为部署网络地址转换（Network Address Translation）的地点，利用NAT

4、技术，可以缓解地址空间的短缺，隐藏内部网的结构。 5利用防火墙对内部网络的划分，可以实现重点网段的分离，从而限制安全问题的扩散。 6由于所有的访问都经过防火墙，防火墙是审计和记录网络的访问和使用的最佳地方。,10,防火墙的局限性(1),1为了提高安全性，限制或关闭了一些有用但存在安全缺陷的网络服务，给用户带来使用的不便。 2目前防火墙对于来自网络内部的攻击还无能为力。比如：防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。 3防火墙能够有效地防止通过它进行传输信息，然而不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨

5、号入侵。 4. 防火墙配置复杂,11,防火墙的局限性(2),5.防火墙也不能完全防止受病毒感染的文件或软件的传输，由于病毒的种类繁多，如果要在防火墙完成对所有病毒代码的检查，防火墙的效率就会降到不能忍受的程度。 6.防火墙不能有效地防范数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到内部网主机上并被执行而发起攻击时，就会发生数据驱动攻击。特别是随着Java、JavaScript、ActiveX的应用，这一问题更加突出。,12,防火墙的局限性(2),7.作为一种被动的防护手段，防火墙不能防范因特网上不断出现的新的威胁和攻击。 8、防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没

6、有防范心理的用户公开其口令，并授予其临时的网络访问权限。 9防火墙对用户不完全透明，可能带来传输延迟、瓶颈及单点失效。,13,防火墙的功能,根据不同的需要，防火墙的功能有比较大差异，但是一般都包含以下三种基本功能。 1、可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户 2、防止入侵者接近网络防御设施 3、限制内部用户访问特殊站点 由于防火墙假设了网络边界和服务，因此适合于相对独立的网络，例如Intranet等种类相对集中的网络。Internet上的Web网站中，超过三分之一的站点都是有某种防火墙保护的，任何关键性的服务器，都应该放在防火墙之后。,14,防火墙的必要性,随着世界各国

7、信息基础设施的逐渐形成，国与国之间变得“近在咫尺”。Internet已经成为信息化社会发展的重要保证。已深入到国家的政治、军事、经济、文教等诸多领域。许多重要的政府宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据等重要信息都通过网络存贮、传输和处理。因此，难免会遭遇各种主动或被动的攻击。例如信息泄漏、信息窃取、数据篡改、数据删除和计算机病毒等。因此，网络安全已经成为迫在眉睫的重要问题，没有网络安全就没有社会信息化。,15,防火墙策略, 在构筑防火墙之前,需要制定一套完整有效的安全战略 1、网络服务访问策略 一种高层次的具体到事件的策略，主要用于定义在网络中允许或禁止的

8、服务。 2、防火墙设计策略 一种是“一切未被允许的就是禁止的”，一种是“一切未被禁止的都是允许的”。第一种的特点是安全性好，但是用户所能使用的服务范围受到严格限制。 第二种的特点是可以为用户提供更多的服务，但是在日益增多的网络服务面前，很难为用户提供可靠的安全防护。,16,防火墙的分类,常见的放火墙有三种类型： 1、包过滤防火墙； 2、应用代理防火墙； 3、状态检测防火墙。 1、包过滤（Packet Filtering）：作用在协议组的网络层和传输层，根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包

9、则从数据流中丢弃。,17,防火墙的分类,2、应用代理（Application Proxy）：也叫应用网关（Application Gateway），它作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。 3、状态检测（Status Detection）：直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。,18,1包过滤防火墙,（1）数据包过滤技术的发展：静态包过滤、动态包过滤。 （2）包过滤的优点：不用改动应用程序、一个过滤路由器能协助保护整个网络

10、、数据包过滤对用户透明、过滤路由器速度快、效率高。 （3）包过滤的缺点：不能彻底防止地址欺骗；一些应用协议不适合于数据包过滤；正常的数据包过滤路由器无法执行某些安全策略；安全性较差 ；数据包工具存在很多局限性。,19,包过滤防火墙,包是网络上信息流动的单位。在网上传输的文件一般在发出端被划分成一串数据包，经过网上的中间站点，最终传到目的地，然后这些包中的数据又重新组成原来的文件。 每个包有两个部分：数据部分和包头。包头中含有源地址和目标地址等信息。 包过滤一直是一种简单而有效的方法。通过拦截数据包，读出并拒绝那些不符合标准的包头，过滤掉不应入站的信息。,20,包过滤作为最早、最简单的防火墙技术

11、，正是基于协议头的内容进行过滤的。术语“包过滤”通过将每一输入/输出包中发现的信息同访问控制规则相比较来决定阻塞或放行包。通过检查数据流中每一个数据包的源地址、目的地址、所用端口、协议状态等因素，或它们的组合来确定是否允许该数据包通过。如果包在这一测试中失败，将在防火墙处被丢弃。,21,包过滤器,每个数据包都包含有特定信息的一组报头，其主要信息是： （1）IP协议类型（TCP、UDP，ICMP等）； （2）IP源地址； （3）IP目标地址； （4）IP选择域的内容； （5）TCP或UDP源端口号； （6）TCP或UDP目标端口号； （7）ICMP消息类型。,22,包过滤器操作,（l）包过滤标准

12、必须由包过滤设备端口存储起来，这些包过滤标准叫包过滤规则。 （2）当包到达端口时，对包的报头进行语法分析，大多数包过滤设备只检查IP、TCP或UDP报头中的字段，不检查包体的内容。 （3）包过滤器规则以特殊的方式存储。 （4）如果一条规则阻止包传输或接收，此包便不被允许通过。 （5）如果一条规则允许包传输或接收，该包可以继续处理。 （6）如果一个包不满足任何一条规则，该包被阻塞。,23,包过滤操作流程图,24,包过滤防火墙,数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃各个数据包。 通常情况下，如果规则中没有明确允许指定数据包的出入，那么数据包将被丢弃,25,防火墙示意图,I

13、nternet,公司总部,内部网络,未授权用户,办事处,对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。,26,ACL的分类,利用数字标识访问控制列表 利用数字范围标识访问控制列表的种类,27,标准访问控制列表,标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。,28,ACL的机理,一个IP数据包如下图所示（图中IP所承载的上层协议为TCP）：,29,一个可靠的包过滤防火墙依赖于规则集，下表列出了几条典型的规则集。 第一条规则：主机任何端口访问任何主机的任何端口，基于TCP

14、协议的数据包都允许通过。第二条规则：任何主机的20端口访问主机的任何端口，基于TCP协议的数据包允许通过。第三条规则：任何主机的20端口访问主机小于1024的端口，如果基于TCP协议的数据包都禁止通过。,30,按照实际需求可以扩展以下应用： 设置防火墙的缺省过滤模式 允许或禁止时间段过滤 设定特殊时间段 指定日志主机,Internet,公司总部网络,启用防火墙,将访问控制列表应用到接口上,31,访问控制列表配置举例,Quidwayfirewall enable Quidwayfirewall default permit Quidwayacl 101 Quidw

15、ay-acl-101rule deny ip source any destination any Quidway-acl-101rule permit ip source destination any Quidway-acl-101rule permit ip source destination any Quidway-acl-101rule permit ip source destination any Quidway-acl-101rule permit ip sour

16、ce destination any Quidwayacl 102 Quidway-acl-102rule permit tcp source destination 0 Quidway-acl-102rule permit tcp source any destination destination-port great-than 1024 Quidway-Ethernet0firewall packet-filter 101 inbound Qui

17、dway-Serial0firewall packet-filter 102 inbound,32,包过滤路由器与守卫有些相似，当装载有包的运输卡车到达时，“包过滤”守卫快速的察看包的住户地址是否正确，检查卡车的标识(证件)以确保它也是正确的，接着送卡车通过关卡传递包。虽然这种方法比没有关卡更安全，但是它还是比较容易通过并且会使整个内部网络暴露于危险之中。,33,包过滤防火墙是最快的防火墙，这是因为它们的操作处于网络层并且只是粗略检查特定的连接的合法性。例如HTTP通常为Web服务连接使用80号端口。如果公司的安全策略允许内部职员访问网站，包过滤防火墙可能设置允许所有的连接通过80号这一缺省端

18、口。不幸的是，像这样的假设会造成实质上的安全危机。当包过滤防火墙假设来自80端口的传输通常是标准Web服务连接时，它对于应用层实际所发生的事件的能见度为零。任何意识到这一缺陷的人都可通过在80端口上绑定其它没有被认证的服务，从而进入私有网络而不会被阻塞。,34,许多安全专家也批评包过滤防火墙，因为端点之间可以通过防火墙建立直接连接。一旦防火墙允许某一连接，就会允许外部源直接连接到防火墙后的目标，从而潜在的暴露了内部网络，使之容易遭到攻击。,35,包过滤特点, 包过滤防火墙的优点是逻辑简单，价格便宜，对网络性能的影响较小，有较强的透明性。并且它的工作与应用层无关，无须改动任何客户机和主机上的应用

19、程序，易于安装和使用。 他的弱点是：配置基于包过滤方式的防火墙，需要对IP、TCP、UDP、ICMP等各种协议有深入的了解，否则容易出现因配置不当带来的问题；据以过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不能得到充分满足；由于数据包的地址及端口号都在数据包的头部，不能彻底防止地址欺骗；允许外部客户和内部主机的直接连接；不提供用户的鉴别机制。,36,应用代理防火墙,应用代理（Application Proxy）是运行在防火墙上的一种服务器程序，防火墙主机可以是一个具有两个网络接口的双重宿主主机，也可以是一个堡垒主机（而这台主机是外部网服务于内部网的主节点）。代理服务器被放置在内部服

20、务器和外部服务器之间，用于转接内外主机之间的通信，它可以根据安全策略来决定是否为用户进行代理服务。代理服务器运行在应用层，因此又被称为“应用网关”。,37,允许,拒绝,防火墙设计政策,防火墙一般实施两个基本设计方针之一: 1. “没有明确允许的都是被禁止的”，即拒绝一切未予特许的东西。 2. “没有明确禁止的都是被允许的”；也即是允许一切未被特别拒绝的东西,允许,拒绝,38,常见防火墙系统模型,常见防火墙系统一般按照四种模型构建： 筛选路由器模型、单宿主堡垒主机（屏蔽主机防火墙）模型、双宿主堡垒主机模型（屏蔽防火墙系统模型）和屏蔽子网模型。,39,筛选路由器模型,筛选路由器模型是网络的第一道防线，功能是实施包过滤。创建相应的过滤策略时对工作人员的TCP/IP的知识有相当的要求，如果筛选路由器被黑客攻破那么内部网络将变的十分的危险。该防火墙不能够隐藏你的内部网络的信息、不具备监视和日志记录功能。典型的筛选路由器模型如图所示。,40,单宿主堡垒主机模型,单宿主堡垒主机（屏蔽主机防火墙）模型由包过滤路由器和堡垒主机组成。该防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。所以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系