信息安全概论第17讲.ppt

1、信息安全概论,第17讲 2008年x月y日,6.3.2 防火墙技术原理,Digital公司1986年在Internet上安装了全球第一个商用防火墙系统后，相关技术与应用得到了快速的发展，经历三个阶段： 包过滤技术 代理服务技术 状态检测技术,1. 包过滤技术,包过滤（Packet Filtering）是指防火墙在网络层中（如图6.7所示），通过检查网络数据流中数据包的报头（如源、目的地址、协议类型、端口等），将报头信息与事先设定的过滤规则相比较，据此决定是否允许该数据包通过，其关键是过滤规则的设计。 包过滤技术是最早应用于防火墙的技术，也是最简单、某些情形下最有效的防火墙技术。,包过滤技术检查

2、的数据包报头信息主要有： （1）IP数据包的源IP地址、目的IP地址、协议类型、选项字段等。 （2）TCP数据包的源端口、目标端口、标志段等。,TCP端口号1024以下被用于一些标准的通信服务。表6.2 一些常用的TCP端口. 如只允许HTTP通信，而不允许Telnet通信，则通过设定允许TCP端口80的通信、禁止TCP端口23的通信，即可简单方便地对这两项服务进行过滤。,（3）UDP数据包的源端口、目标端口。 UDP的应用有DNS（Domain Name System，域名系统）、RPC（Remote Procedure Call，远程调用）、实时多媒体应用RTP（Real-time Tra

3、nsport Protocol，实时传输协议）等，同样通过设定基于UDP端口的过滤规则，可以方便地对各项服务进行过滤。 （4）ICMP类型。 ICMP（Intenet Control Message Protocol，Internet控制消息协议）主要用于传递控制或错误消息，如常用的端到端故障查找工具Ping就是利用ICMP中的“回应请求”（ICMP类型编号8）实现的。因此通过设定ICMP关键字或类型编号的过滤规则，就可以对ICMP通信进行过滤，如表6.3所示。,表6.3 一些常见的ICMP类型,包过滤防火墙优点与弱点,包过滤防火墙优点： 不需内部网络用户做任何配置，对用户来说是完全透明的。

4、简单、有效。 包过滤防火墙弱点： 只能检查数据包的报头信息，无法检查数据包的内容，不能进行数据内容级别的访问控制。 没有考虑数据包的上下文关系，每一个数据包都要与设定的规则匹配，影响数据包的通过速率，无法满足一些访问控制的要求。 过滤规则的制定很复杂，容易产生冲突或漏洞，出现因配置不当带来的安全问题。,2. 状态检测技术,一个正常网络连接中的源和目的地址、协议类型、协议信息（如TCP/UDP端口、ICMP类型）、标志（如TCP连接状态标志）等构成该连接的状态表，将数据包报头的相关信息与状态表进行对比，就可以知道该数据包是一个新的网络连接还是某个已有连接中的数据包。 状态检测技术也叫动态包过滤技

5、术，是包过滤技术的延伸。 基于状态检测（Stateful Inspection）在包过滤技术防火墙的基础上，增加了对状态的检测：,状态检查流程 检测数据包是否是状态表中已有连接的数据包，如果是已有连接的数据包而且状态正确，则允许通过。 如果不是已有连接的数据包，则进行包过滤技术的检查。 包过滤允许通过，则在状态表中添加其所在的连接。 某个连接结束或超时，则在状态表中删除该连接信息。,状态检查原理 状态检测防火墙的数据包过滤规则是预先设定的，但状态表是动态建立的，可以实现对一些复杂协议建立的临时端口进行有效的管理。 如FTP协议只是通过21端口进行控制连接，其数据传送是通过动态端口建立的另一个子

6、连接进行传送。如果边界部署的是一个基于包过滤技术的防火墙，就需要将所有端口打开，将会带来很大的安全隐患。但对于基于状态检测技术的防火墙，则能够通过跟踪、分析控制连接中的信息，得知控制连接所协商的数据传送子连接端口，在防火墙上将该端口动态开启，并在连接结束后关闭，保证内部网络的安全。 2. 状态检测技术是为每一个会话连接建立、维护其状态信息，并利用这些状态信息对数据包进行过滤。 如状态检测可以很容易实现只允许一个方向通信的“单向通信规则”，在允许通信方向上的一个通信请求被防火墙允许后，将建立该通信的状态表，该连接在另一个方向的回应通信属于同一个连接，因此将被允许通过。这样就不必在过滤规则中为回应

7、通信制定规则，可以大大减少过滤规则的数量和复杂性；而且也不需对同一个连接的数据包进行检查，从而提高过滤效率和通信速度。 3. 动态状态表是状态检测防火墙的核心，利用其可以实现比包过滤防火墙更强的控制访问能力。 4. 但其弱点是也没有对数据包的内容进行检查，不能进行数据内容级别的控制，而且也允许外部主机与内部主机的直接连接，容易遭受黑客的攻击。,3. 代理服务,（1）应用级代理 应用级代理也被称为应用级网关（Application Gateway），工作在应用层，是一组特殊的应用服务程序。,代理服务（Proxy Server）是代表内部网络与外部网络进行通信的服务器，通信发起方首先与代理服务建立

8、连接，然后代理服务再另外建立到目标主机的连接，通信双方通过代理进行间接连接、通信，不允许端到端的直接连接。各种网络应用服务也是通过代理提供，由此达到访问控制的目的。,原理如下 当接收到客户方发出的连接请求后，应用代理检查客户的源和目的IP 地址，并依据事先设定的过滤规则决定是否允许该连接请求。 如果允许该连接请求，进行客户身份识别。否则，则阻断该连接请求。 通过身份识别后，应用代理建立该连接请求的连接，并根据过滤规则传递和过滤该连接之间的通信数据。 当一方关闭连接后，应用代理关闭对应的另一方连接，并将这次的连接记录在日志内。 应用代理服务器一般运行在具有两个网络接口的双重宿主主机的防火墙上，两

9、个网络接口分别连接内、外网络，并且禁止IP转发，切断内外网络之间直接的IP通信，由代理服务器按照一定的安全策略提供Internet连接和服务。 以电子邮件应用代理为例。代理工作在应用层，可以对数据内容进行审查，对垃圾邮件等含有不良信息的邮件进行过滤。,优点是： 内部网络的拓扑、IP地址等被代理防火墙屏蔽，能有效实现内外网络的隔离。 具有强鉴别和日志能力，支持用户身份识别，实现用户级的安全。 能进行数据内容的检查，实现基于内容的过滤，对通信进行严密的监控。 过滤规则比数据包过滤规则简单。 缺点是： 代理服务的额外处理请求降低了过滤性能，其过滤速度比包过滤器速度慢。 需要为每一种应用服务编写代理软

10、件模块，提供的服务数目有限。 对操作系统的依赖程度高，容易因操作系统和应用软件的缺陷而受到攻击。,（2）电路级代理 电路级代理也被称为电路级网关，是一个通用代理服务器，工作在传输层（TCP层）。,电路级代理也可以认为是包过滤技术的延伸，但它不象包过滤技术那样只是基于IP地址、端口号等报头信息进行过滤，还能进行用户身份鉴别。而且对于已经建立连接的网络数据包，电路级代理不再对其进行过滤。 与应用级代理相比较，电路级代理不用为不同的应用开发不同的代理模块，具有较好的通用性。但因也对网络数据包进行了复制、转发，因此同样具有占用资源大、速度慢的缺点。而且包过滤技术的缺点在这里也同样存在。,4. 安全策略

11、与规则,在上述防火墙技术的叙述中，不论是包过滤技术，还是状态检测技术或代理服务技术，都是以安全策略及其展开的过滤规则为基础，实现防火墙的访问控制目的。 访问的畅通与控制是网络边界安全策略的一对矛盾，组建网络的目的就是为了提供方便的访问功能，提供多种服务，保证网络传输的性能；而控制则是要检查、拒绝未授权的访问或服务，保护内部网络的安全。防火墙的基本控制策略有两类： （1）没有被明确允许的，就是禁止的。 这是一种以控制为中心的控制策略。 （2）没有被明确禁止的，就是允许的。 这是一种以畅通访问为中心的控制策略。,制定一个网络安全策略，有如下一些基本步骤： 确定内部网络访问控制的策略，是以控制为中心，还