防火墙技术7教学课件

1、第6章 防火墙技术,本章学习目标,本章主要介绍了防火墙的概念、分类、体系结构以及有关产品。通过本章的学习，读者应该掌握以下内容： 防火墙及相关概念 包过滤与代理 防火墙的体系结构 分布式防火墙与嵌入式防火墙 天网个人防火墙的使用,6.1防火墙概述,防火墙的发展简史 第一代防火墙：采用了包过滤技术。 第二、三代防火墙：1989年，推出了电路层防火墙，和应用层防火墙的初步结构。 第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。 第五代防火墙：1998年，NAI公司推出了一种自适应代理技术，可以称之为第五代防火墙。,6.1.1 防火墙及相关概念,防火墙是设置在被保护网络和外部网络

2、之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。 防火墙把内部网和外部网隔离，通过事先设定规则来决定哪些情况下防火墙应该隔断内网与外网的通信，哪些情况下允许两者通信。从而 抵挡来自外网对内网的攻击和入侵，保障内网的网络安全； 限制内网用户对外网的访问。,防火墙从逻辑上看，是分离器、限制器和分析器；而从实现方式上看，它可分为硬件防火墙和软件防火墙。 作用是监控进出网络的信息，仅让安全的、符合规则的信息进入内网，为用户提供一个安全的网络环境。,目的 过滤掉不安全的服务和非法用户 防治入侵者接近内网的防御设施 限定内网用户访问特殊站点 为监视Internet安全提供方便

3、广泛的服务支持 数据的加密支持 实现内外网的通信记录 限制暴露用户点 防止电子欺骗,相关概念 外网：防火墙以外的网络 内网：防火墙以内的网络 非军事化区：将用于向外网提供服务的服务器放置在内、外网之间的一个单独网段 包过滤：在网络层对数据包实施有选择的通过，依据系统事先设定好的过滤规则，检查数据流中的每一个数据包，根据其源地址、目的地址及端口等信息来确定是否允许其通过,代理服务器：代表内部用户向外网中的服务器进行连接请求的程序 状态检测技术：抽取相关数据对网络通信的各个层次实行检测，并作为安全决策的依据 虚拟专用网（VPN）：在Internet中配置的专用网络 数据驱动攻击：攻击者将具有破坏性

4、的数据藏匿在普通数据中传送到Internet主机上，当该数据被激活使用时即发生数据驱动攻击,防火墙的基本功能和特性,防火墙的基本功能 过滤进出网络的数据包 管理进出网络的访问行为 封堵某些禁止的访问行为 记录通过防火墙的信息内容和活动 对网络攻击进行检测和告警,防火墙的特性 所有内外网的数据通信都必须通过防火墙 只有被授权的合法数据可以通过防火墙 防火墙本身具有预防入侵的功能 使用目前新的安全技术 人机界面良好，用户配置使用方便，易于管理,防火墙的安全策略,防火墙包括一对矛盾（机制） 禁止数据的流通 允许数据的流通 防火墙的安全策略 除非明确允许，否则就禁止特点：安全 不好用 除非明确禁止，否

5、则就允许特点： 好用不安全,防火墙的优缺点,防火墙的优点 强化安全策略 有效记录Internet上的活动 安全策略的检查点 防火墙的缺点 防火墙防外不防内 不能防范不通过防火墙的连接 不能防范全部的威胁 不能防范病毒,网络防火墙和病毒防火墙的区别,病毒防火墙 病毒实时检测和清除系统，是反病毒软件的一种工作模式，监控所有应用程序。 网络防火墙 隔离在内网络与外网之间的一道防御系统，只对存在网络访问的应用程序进行监控。,防火墙的技术分类,包过滤防火墙 代理防火墙 两种防火墙技术的对比,包过滤防火墙,又称筛选路由器，或网络层防火墙 工作在网络层 信息过滤规则是以数据包头信息为基础 在网络层中对数据包

6、实施有选择的通过 分析进出内部网络的所有信息，按照系统事先设定好的过滤规则，检查数据流中每个数据包，根据数据包的特定信息，确定是否允许数据包通过,优点 一个过滤路由器能协助保护整个网络 数据包过滤对用户透明 过滤路由器速度快、效率高 缺点 没有用户的使用记录，无法从访问记录中发现入侵者的攻击记录 不能在用户级别上进行过滤 不支持应用层协议,包过滤防火墙的发展 静态包过滤 这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。 动态包过滤 这种类型的防火墙采用动态设置包过滤规则的方法，采用这种技术的防火墙对通过其建立的每一

7、个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。,代表内网用户向外网服务器进行连接请求的程序，工作在应用层 代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用 工作过程,代理服务,代理的工作方式,特点 抵挡来自外网对内网的攻击和入侵，保障内网的网络安全； 限制内网用户对外网的访问。 优点 代理易于配置 代理能生成各项记录 代理能灵活、完全地控制进出流量、内容 代理能过滤数据内容 代理能为用户提供透明的加密机制,缺点 代理速度较路由器慢 代理对用户不透明 不同服务，可能要求不同的代理服务器 代理访问通常要求对客户或过程进行限制 代理服务受到协议弱点的限制 代理不能改进

8、底层协议的安全性,两种基本的代理服务器,应用级代理服务器 电路级代理服务器,电路级代理服务器 又称电路层网关，适用于多个协议 用来在两个通信的终点之间转换包，但无法解释应用协议，如套接字服务器（SOCKETS），套接字是网络应用层的一种国际标准。 特点：将所有跨越防火墙的网络通信链路分为两段。,电路级网关,数据包过滤型防火墙,较高的网络性能 成本较低,仅识别有限的通信信息 无通信状态记录 定义过滤规则非常复杂 允许外部机器直接连接内部主机，安全性能较低 无用户认证机制,应用级代理服务器 又称应用层网关，基于软件 可在应用层提供授权检查及代理服务，不但转发信息，而且对应用层协议作出解释 外网中某

9、台主机试图以某种服务访问内网，它必须首先通过防火墙上的身份认证，由防火墙运行一个专门为该服务设计的程序，将内外网主机连接起来 优点：安全 缺点：速度相对比较慢 需要为每一个应用写专门的程序,应用级网关型防火墙,应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。 数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计

10、算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击,应用级网关,应用代理型防火墙,代理服务型防火墙,代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。 它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术， 其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的 链接，由两个终止代理服务器上的 链接来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统

11、的作用,代理服务型防火墙,代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。 应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作 用。同时也常结合入过滤器的功能。它工作在OSI模型的最高层，掌握着应用系统中可用作安全决策的全部信,代理服务器的发展,第一代：代理防火墙 也叫应用层网关防火墙 它的核心技术就是代理服务器技术 这种防火墙通过一种代理技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。,第二代：自适应代理防火墙

12、 可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点 在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上 组成这种类型防火墙的基本要素有两个：自适应代理服务器与动态包过滤器,复合型防火墙,由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。这种结合通常是以下两种方案: 屏蔽主机防火墙体系结构 屏蔽子网防火墙体系结构,防火墙的位置,6.2防火墙的常见体系结构,双重宿主主机结构 屏蔽主机结构 屏蔽子网结构,双重宿主主机结构,双宿主机：又称堡垒主机或双穴主机，是一台配有多个网络接口的主机，可用来在内网和外网之间进行寻径。 实现双重宿主主机

13、的防火墙体系结构禁止这种寻径功能。此时，双宿主主机一方面隔离内外网之间的直接通信，同时可以分别作为内网和外网的一个组成部分，分别向它们提供网络应用。 优点：可以维护系统日志 缺点：容易受侵袭，尽量减少服务，关闭路由,双宿主机防火墙示意图,优点：可以维护系统日志 缺点：双重宿主主机被侵入，并使其具有路由功能，则内网对外开放。 措施：双重宿主主机尽量简单，保留最少服务，关闭路由功能。随时准备修复。,屏蔽主机结构,屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。在这种体系结构中，其安全主要由数据包过滤来保障。 堡垒主机是因特网上的主机能连接到内部网络上的系统的桥梁。即使

14、这样，也仅有某些确定类型的连接被允许。任何外部的系统试图访问内部的系统或者服务将必须连接到这台堡垒主机上。,屏蔽路由器中数据包过滤配置可以按下列之一执行： 允许其它的内部主机为了某些服务与因特网上的主机连接（即允许那些已经由数据包过滤的服务）。 不允许来自内部主机的所有连接（强迫那些主机经由堡垒主机使用代理服务）。 屏蔽主机结构的缺点:如果被侵入堡垒主 机，则整个网络开放。,屏蔽主机网关示意图,屏蔽的主机防火墙(单地址堡垒主机),屏蔽的主机防火墙(双地址堡垒主机),屏蔽子网结构,又称子网过滤结构，是在屏蔽主机结构的基础上添加额外的安全层，即添加周边网络，更进一步的把内网与外网隔离开。 屏蔽子网

15、结构的组成部分: 周边网络 堡垒主机 内部路由器 外部路由器,屏蔽子网防火墙示意图,屏蔽的子网防火墙系统,6.3 内部防火墙,边界防火墙：VPN的应用使物理边界模糊。并且不能保证内部用户之间的安全访问。 而80%的攻击来自内部。 内部防火墙：将内部网络的一部分与其余部分隔离，在内网的两个部分之间再建立防火墙。,传统边界防火墙的缺点,网络应用收到结构性限制 内部安全隐患依然存在 效率较低，故障率较高,分布式防火墙,类似于个人防火墙主机驻留式的安全系统，用于保护内部网络，把外部、内部网络均视为不友好网络。 增强系统安全，可以扩展，应用广泛，支持VPN,嵌入式防火墙：将防火墙技术集成在硬件上，作成P

16、CI卡或PCMCIA卡形式。适用于安全要求较高的场合。 个人防火墙：天网、NORTON 、PC-CILLIN、金山、瑞星。,防火墙的系统环境,防火墙应该建立在安全的操作系统之上，而安全的操作系统来自于对专用操作系统的安全加固和改造，从现有的诸多产品看，对安全操作系统内核的固化与改造主要从以下几方面进行： 取消危险的系统调用；限制命令的执行权限；取消IP的转发功能；检查每个分组的接口；采用随机连接序号；驻留分组过滤模块；取消动态路由功能；采用多个安全内核，等等,防火墙的抗攻击能力,作为一种安全防护设备，防火墙在网络中自然是众多攻击者的目标，故抗攻击能力也是防火墙的必备功能。 网络攻击手段一般包括

17、IP地址假冒攻击、病毒攻击、口令字探询攻击、网络安全性分析攻击、邮件诈骗攻击等,防火墙的局限性,尽管利用防火墙可以保护安全网免受外部黑客的攻击，但其目的只是能够提高网络的安全性，不可能保证网络绝对安全。 事实上仍然存在着一些防火墙不能防范的安全威胁，如防火墙不能防范不经过防火墙的攻击。例如，如果允许从受保护的网络内部向外拨号，一些用户就可能形成与Internet的直接连接。另外，防火墙很难防范来自于网络内部的攻击以及病毒的威胁,黑客利用QQProxy绕过防火墙,防火墙不能防范什么,防火墙不能防范不经过防火墙的攻击 防火墙不能真正保护你防止的另一种危险是你网络内部的叛变者或白痴。尽管一个工业间谍

18、可以通过防火墙传送信息，但他更有可能利用电话、传真机或软盘来传送信息。软盘远比防火墙更有可能成为泄露你机构秘密的媒介！防火墙同样不能保护你避免愚蠢行为的发生,6.4防火墙产品介绍,CISCO SYMANTEC CHECK POINT Juniper MS-ISA 2004,返回本节,联想 网御 天融信 清华紫光 东软 Neteye 天网,防火墙产品提供商：,一 、Cisco PIX防火墙 实时嵌入式操作系统 基于自适应安全算法（ASA），可以确保最高的安全性 用于验证和授权的“直通代理”技术 最多支持250 000个同时连接 URL过滤。,6.4.1典型防火墙产品介绍,HP Open View集成 通过电子邮件和寻呼机提供报警和告警通知 通过专用链路加密卡提供VPN支持 通过美国安全事务处（NSA）的认证；通过中国公安部安全检测中心的认证。,一 、 Cisco PIX防火墙(续),二、Microsoft ISA 防火墙,Microsoft 著名路由级网络防火墙 2004 年7 月13日发布了ISA Server 2004 （ Int