防火墙技术.ppt

1、2020/10/9,第 08 讲 防火墙技术,2020/10/9,FireWall,在网络安全技术中，防火墙是第一道防御屏障。一般它位于路由器之后，为进出网络的连接提供安全访问控制。本节通过以下内容介绍防火墙技术的原理和应用。 防火墙基本概念 防火墙的核心技术 防火墙的体系结构 防火墙的分类,2020/10/9,一、防火墙基本概念,防火墙的基本知识 防火墙是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，目的是保护网络不被他人侵扰。本质上，它遵循的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。 通常，防火墙就是位于内部网或Web站点

2、与因特网之间的一个路由器或一台计算机，又称为堡垒主机。其目的如同一个安全门，为门内的部门提供安全，控制那些可被允许出入该受保护环境的人或物。就像工作在前门的安全卫士，控制并检查站点的访问者。,安全体系结构,一、防火墙基本概念（续）,防火墙是由管理员为保护自己的网络免遭外界非授权访问但又允许与因特网联接而发展起来的。从网际角度，防火墙可以看成是安装在两个网络之间的一道栅栏，根据安全计划和安全策略中的定义来保护其后面的网络。由软件和硬件组成的防火墙应该具有以下功能。 （1）所有进出网络的通信流都应该通过防火墙。 （2）所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。 （3）理论上说，防火

3、墙是穿不透的。,2020/10/9,一、防火墙基本概念（续）,内部网需要防范的三种攻击有： 间谍：试图偷走敏感信息的黑客、入侵者和闯入者。 盗窃：盗窃对象包括数据、Web表格、磁盘空间和CPU资源等。 破坏系统：通过路由器或主机服务器蓄意破坏文件系统或阻止授权用户访问内部网 （外部网）和服务器。 这里，防火墙的作用是保护Web站点和公司的内部网，使之免遭因特网上各种危险的侵犯。,2020/10/9,一、防火墙基本概念（续）,从逻辑上讲，防火墙是分离器、限制器和分析器。从物理角度看，各站点防火墙物理实现的方式有所不同。通常防火墙是一组硬件设备，即路由器、主计算机或者是路由器、计算机和配有适当软件

4、的网络的多种组合。,2020/10/9,防火墙在网络中的位置,安装防火墙以前的网络,2020/10/9,防火墙在网络中的位置,安装防火墙后的网络,2020/10/9,防火墙在网络中的位置,DMZ区(demilitarized zone，也称非军事区) DMZ是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。 通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙

5、方案，对攻击者来说又多了一道关卡。这样，不管是外部还是内部与对外服务器交换信息数据也要通过防火墙，实现了真正意义上的保护。,2020/10/9,一、防火墙基本概念（续）,防火墙的基本功能 （1）防火墙能够强化安全策略 （2）防火墙能有效地记录因特网上的活动 （3）防火墙限制暴露用户点 （4）防火墙是一个安全策略的检查站 附加功能： NAT（Network Address Translation）网络地址转换 VPN（Virtual Personal Network ）虚拟专用网 RM（Route Management）路由管理,2020/10/9,一、防火墙基本概念（续）,防火墙的不足之处 （

6、1）不能防范恶意的知情者 （2）防火墙不能防范不通过它的连接 （3）防火墙不能防备全部的威胁 （4）防火墙不能防范病毒,2020/10/9,二、防火墙的核心技术,包过滤 代理服务 状态监视,2020/10/9,1.包过滤,包过滤是一种保安机制，它控制哪些数据包可以进出网络而哪些数据包应被网络拒绝。我们在这儿首先简单介绍一些高层IP（因特网协议）网络的概念。 一个文件要穿过网络，必须将文件分成小块，每小块文件单独传输。把文件分成小块的做法主要是为了让多个系统共享网络，每个系统可以依次发送文件块。在IP网络中，这些小块被称为包。所有的信息传输都是以包的方式来实施的。,2020/10/9,1.包过滤

7、（续）,每个数据包都包含有特定信息的一组报头，其主要信息是： （1）IP协议类型（TCP、UDP，ICMP等）； （2）IP源地址； （3）IP目标地址； （4）IP选择域的内容； （5）TCP或UDP源端口号； （6）TCP或UDP目标端口号； （7）ICMP消息类型。 路由器也会得到一些在数据包头部信息种没有得到的关于数据包得其他信息。,2020/10/9,1.包过滤（续）,数据包的封装,2020/10/9,包过滤操作流程图,1.包过滤（续）,2020/10/9,1.包过滤（续）,包过滤是如何工作的 包过滤技术可以允许或不允许某些包在网络上传递，它依据以下的判据： （1）将包的目的地址作为

8、判据； （2）将包的源地址作为判据； （3）将包的传送协议作为判据。,2020/10/9,数据包过滤特性,2020/10/9,1.包过滤（续）,包过滤系统只能让我们进行类似以下情况的操作： （1）不让任何用户从外部网用Telnet登录； （2）允许任何用户使用SMTP往内部网发电子邮件； （3）只允许某台机器通过NNTP往内部网发新闻 包过滤不能允许我们进行如下的操作： （1）允许某个用户从外部网用Telnet登录而不允许其它用户进行这种操作。 （2）允许用户传送一些文件而不允许用户传送其它文件。,2020/10/9,1.包过滤（续）,包过滤的优点 包过滤方式有许多优点，而其主要优点之一是仅用

9、一个放置在重要位置上的包过滤路由器就可保护整个网络。如果我们的站点与因特网间只有一台路由器，那么不管站点规模有多大，只要在这台路由器上设置合适的包过滤，我们的站点就可获得很好的网络安全保护。 包过滤的缺点 （1）在机器中配置包过滤规则比较困难； （2）对系统中的包过滤规则的配置进行测试也较麻烦； （3）许多产品的包过滤功能有这样或那样的局限性，要找一个比较完整的包过滤产品比较困难。,2020/10/9,2.代理服务,代理服务的条件是具有访问因特网能力的主机才可以作为那些无权访问因特网的主机的代理，这样使得一些不能访问因特网的主机通过代理服务也可以完成访问因特网的工作。 代理服务是在双重宿主主机

10、或堡垒主机上运行一个具有特殊协议或一组协议。使一些仅能与内部用户交谈的主机同样也可以与外界交谈，这些用户的客户程序通过与该代理服务器交谈来代替直接与外部因特网中的服务器的“真正的”交谈。代理服务器判断从客户端来的请求并决定哪些请求允许传送而哪些应被拒绝。当某个请求被允许时，代理服务器就代表客户与真正的服务器进行交谈，并将从客户端来的请求传送给真实服务器，将真实服务器的回答传送给客户。,2020/10/9,2.代理服务（续）,代理的实现过程,2020/10/9,2.代理服务（续）,代理服务的工作方法 代理工作的细节对每一种服务是不同的，代理服务在服务器上要求运行合适的代理服务器软件。在客户端可以

11、有以下不同的方法。 （1）定制客户软件。 （2）定制客户过程。,2020/10/9,2.代理服务（续）,用于因特网服务的代理特性 因特网上的主要服务功能有电子邮件E-mail简单邮件传输协议SMTP、邮局协议POP、文件传输FTP、远程登录Telnet、存储转发协议NNTP、万维网WWW、域名服务DNS等。 1电子邮件（E-mail） （1）一个服务器，用来向外部主机发送邮件或从外部主机接收邮件。 （2）发信代理，用于将邮件正确地放入本地主机邮箱中。 （3）用户代理，用于让收信人阅读邮件并编排出站邮件。,2020/10/9,2.代理服务（续）,2简单邮件传输协议（SMTP）的代理特点 因为SM

12、TP是一个存储转发协议，所以它特别适合于进行代理。由于任何一个SMTP服务器都有可能为其它站点进行邮件转发，因而很少将它设置成一个单独的代理。大多数站点将输入的SMTP连接到一台安全运行SMTP服务的堡垒主机上，该堡垒主机就是一个代理。 3邮局协议（POP）的代理特点 邮局协议（POP）对于代理系统来说是非常简单的，因为它采用单个连接。内置的支持代理的POP客户程序还很少，主要原因是POP多用于局域网，而很少用于因特网。,2020/10/9,2.代理服务（续）,4文件传输FTP 在开始使用一个FTP连接时，客户程序首先为自己分配两个大于1023的TCP端口，它使用第一个端口作为命令通道端口与服

13、务器连接，然后发出端口命令，告诉服务器它的第二个作为数据通道的端口号，这样服务器就能打开数据通道了。大多数FTP服务器（特别是那些用在因特网上的主要匿名FTP站点）和许多FTP客户程序都支持一种允许客户程序打开命令通道和数据通道来连接到FTP服务器的方式，这种方式被称为“反向方式”。 在使用反向方式时，一个FTP客户程序需要分配两个TCP端口供其使用。它使用第一个TCP端口与FTP服务器连接，但客户程序通过反向方式命令代替原来的端口命令来告诉服务器客户程序的第二个TCP端口。,2020/10/9,2.代理服务（续）,这样就能使服务器为本身的数据通道分配第二个TCP端口，并通知客户程序所分配的那

14、个端口号。这时，客户程序就从它的数据通道的端口连接到服务器刚才通知它的那个端口上。 5远程登录（Telnet） 代理系统能够很好地支持Telnet。 6存储转发协议（NNTP） NNTP是一个存储转发的协议，有能力进行自己的代理。它作为一个简单的单个连接协议很容易实现代理。,2020/10/9,2.代理服务（续）,7万维网（WWW） 各种HTTP客户程序（如Netscape Navigator或因特网Explorer等）都支持代理的方案。 8域名服务（DNS） DNS具有这样的结构：可以使服务器充当客户程序的代理。利用DNS能够转发自身的特点，可以使一个DNS服务器成为另一个DNS服务器的代理

15、。在真正的实现时，大多数情况可以修改DNS库来使用修改的客户程序代理。在不支持动态连接的机器上，使用DNS的修改客户程序的代理需要重新编译网络中使用的每个程序。,2020/10/9,2.代理服务（续）,代理服务的优缺点 1代理服务的优点 （1）代理服务允许用户“直接”访问因特网 （2）代理服务适合于做日志 2代理服务的缺点 （1）代理服务落后于非代理服务 （2）每个代理服务要求不同的服务器 （3）代理服务一般要求对客户或程序进行修改 （4）代理服务对某些服务来说是不合适的 （5）代理服务不能保护你不受协议本身缺点的限制,2020/10/9,3.状态检测,状态检测技术是防火墙近几年才应用的新技术

16、。 传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝， 状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。 这里动态连接状态表中的记录可以是以前的通信信息，也可以是其他相关应用程序的信息 与传统包过滤防火墙的静态过滤规则表相比，状态检测技术具有更好的灵活性和安全性。,2020/10/9,3.状态检测（续）,通信信息：即所有7层协议的当前信息。防火墙的检测模块位于操作系统的内核，在网络层之下，能在数据包到达网关操作系统之前对它们进行分析。防火墙先

17、在低协议层上检查数据包是否满足企业的安全策略，对于满足的数据包，再从更高协议层上进行分析。它验证数据的源地址、目的地址和端口号、协议类型、应用信息等多层的标志，因此具有更全面的安全性。,2020/10/9,3.状态检测（续）,通信状态：即以前的通信信息。对于简单的包过滤防火墙，如果要允许FTP通过，就必须作出让步而打开许多端口，这样就降低了安全性。状态检测防火墙在状态表中保存以前的通信信息，记录从受保护网络发出的数据包的状态信息，例如FTP请求的服务器地址和端口、客户端地址和为满足此次FTP临时打开的端口，然后，防火墙根据该表内容对返回受保护网络的数据包进行分析判断，这样，只有响应受保护网络请

18、求的数据包才被放行。这里，对于UDP或者RPC等无连接的协议，检测模块可创建虚会话信息用来进行跟踪。,2020/10/9,3.状态检测（续）,应用状态：即其他相关应用的信息。状态检测模块能够理解并学习各种协议和应用，以支持各种最新的应用，它比代理服务器支持的协议和应用要多得多；并且，它能从应用程序中收集状态信息存入状态表中，以供其他应用或协议做检测策略。例如，已经通过防火墙认证的用户可以通过防火墙访问其他授权的服务。,2020/10/9,3.状态检测（续）,操作信息：即在数据包中能执行逻辑或数学运算的信息。状态监测技术，采用强大的面向对象的方法，基于通信信息、通信状态、应用状态等多方面因素，利

19、用灵活的表达式形式，结合安全规则、应用识别知识、状态关联信息以及通信数据，构造更复杂的、更灵活的、满足用户特定安全要求的策略规则,2020/10/9,3.状态检测（续）,工作在TCP/IP各层，检查由防火墙转发的包，并创建相应的结构记录连接的状态。 它的检查项包括链路层、网络层、传输层、应用层的各种信息，并根据规则表或状态表来决定是否允许转发包通过。,2020/10/9,状态检测原理,2020/10/9,3.状态检测（续）,优点 安全强度高 配置灵活 缺点： 速度慢 管理复杂,2020/10/9,三、防火墙的体系结构,防火墙的体系结构一般有以下几种: 1）双重宿主主机体系结构。 2）屏蔽主机体

20、系结构。 3）屏蔽子网体系结构。,2020/10/9,三、防火墙的体系结构,1、双重宿主主机体系结构 双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的，该计算机至少有两个网络接口。可充当与这些接口相连的网络之间的路由器；它能够从一个网络到另一个网络发送IP数据包。 实现双重宿主主机的防火墙体系结构禁止这种发送功能。因而，IP数据包从一个网络（例如，因特网）并不是直接发送到其他网络（例如，内部的、被保护的网络）。防火墙内部的系统能与双重宿主主机通信，同时防火墙外部的系统（在因特网上）能与双重宿主主机通信，但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。,2020/10/9,

21、2、屏蔽主机体系结构,屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。,堡垒主机是互联网上的主机能连接到内部网络上的系统的桥梁,数据包过滤也许堡垒主机开放可允许的连接到外部世界,三、防火墙的体系结构,2020/10/9,3、屏蔽子网体系结构,屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步地把内部网络和外部网络（通常是Internet）隔离开。,三、防火墙的体系结构,2020/10/9,最简单的形式为：两个屏蔽路由器，每一个都连接到周边网。 一个位于周边网络与内部网络之间，另一个位于周边网与外部网络（通常为Internet）之间。这

22、样就在内部网络与外部网络之间形成了一个“隔离带”。,3、屏蔽子网体系结构(续),侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机，它将仍然必须通过内部路由器。,三、防火墙的体系结构,2020/10/9,软件防火墙和硬件防火墙以及芯片级防火墙。,1、按物理实体分类,X86架构 （PC架构工控机）,NP架构 （网络处理器）,ASIC架构 （专用集成电路）,至少应具备三个端口，分别接内网、外网和DMZ区（非军事区）,四、防火墙的类型与特点,2020/10/9,防火墙的工作方式主要分包过滤型和应用代理型两种。,2、按工作方式分类,1）包过滤型,包过滤（Packet filtering）型防火墙工作在O

23、SI网络参考模型的网络层和传输层，它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。,四、防火墙的类型与特点,2020/10/9,2、按工作方式分类（续）,2）应用代理型,应用代理型防火墙(Application Proxy) 是工作在OSI的最高层，即应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。,四、防火墙的类型与特点,2020/10/9,3、按部署结构分类,从防火墙结构分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三

24、种。,单一主机防火墙：是最为传统的防火墙，独立于其它网络设备，它位于网络边界。与一台计算机结构差不多，价格昂贵。,路由器集成式防火墙：这种防火墙通常是较低级的包过滤型。许多中、高档路由器中集成了防火墙功能，如CiscoIOS防火墙系列。这样企业就不用再同时购买路由器和防火墙，大大降低了网络设备购买成本。,分布式防火墙：不只是位于网络边界，而是渗透于网络的每一台主机，对整个内部网络的主机实施保护。在网络服务器中，通常会安装一个用于防火墙系统管理软件，在服务器及各主机上安装有集成网卡功能的PCI防火墙卡。,四、防火墙的类型与特点,2020/10/9,4、按部署位置分类,按防火墙的应用部署位置分为边

25、界防火墙、个人防火墙和混合式防火墙三大类。,5、按性能分类,按防火墙性能分为百兆级防火墙和千兆级防火墙两类。目前还针对小企业用户（网络流量小、用户数量较少）生产出了桌面型防火墙。,四、防火墙的类型与特点,2020/10/9,防火墙的工作模式有路由模式、透明桥模式和混合模式三大类。,路由模式：防火墙可以充当路由器，提供路由功能。,透明桥模式：防火墙可以方便的接入到网络，而且保持所有的网络设备配置完全不变。,混合模式：防火墙同时工作在路由模式和桥模式。,五、防火墙的工作模式,2020/10/9,路由模式,防火墙缺省工作模式，防火墙可以充当路由器，提供路由功能,FTP,www,DMZ区,内部网络,连

26、接DMZ的接口需要设置成公网地址或在出接口启用destination nat,防火墙的各个接口处于不同的网段,Internet,2020/10/9,桥模式,L3 Switch,Router,防火墙可以方便的接入到网络，而且保持所有的网络设备配置完全不变,此时防火墙类似网桥的工作方式，降低网络管理的复杂度,Internet,内部网络,2020/10/9,混合模式,桥,防火墙同时工作在路由模式和桥模式,FTP,www,DMZ区,内部网络,Internet,路由,NAT,2020/10/9,防火墙的网桥接口启用NAT转换,外部接口和DMZ接口组成透明方式,混合模式防火墙的应用,2020/10/9,A

27、ll-In-One技术：大集成，需解决模块安全,大多数防火墙的功能都比较全面，几乎包括了所有的安全功能，如VPN、防病毒、IDS、安全审计等。性能不断提升，国内已有千兆线速防火墙；架构已发生变化，从X86架构，开始向ASIC、NP等网络设备标准架构蜕变。,功能性能不断突破：需解决集成、核心技术,下一代网络的新需求：IPv6网络需求,高速、安全、可用：高性能、抗毁、业务连续,六、防火墙的发展趋势,2020/10/9,案例分析中型企业,2020/10/9,案例分析单计算机保护,利用防火墙软件实现。目前可选天网、瑞星、趋势、诺顿等。此处以单机版软件为例，介绍防火墙规则设置与使用。(有条件的应该安排3-4次防火墙实验，如端口设置、NAT、规则管理、VPN及与IDS的联动等。),2020/10/9,瑞星个人防火墙的设置与使用,2020/10/9,瑞星个人防火墙的设置与使用,2020/10/9,瑞星个人防火墙的设置与使用,2020/10/9,瑞星个人防火墙的设置与使用,2020/10/9,防火墙功能要求,管理界面良好，配置容易、监控方便 病毒扫描，堵截非法URL和Java过滤 进行用户验证，防止网