计算机网络安全课件 ch4 防火墙技术

1、第4章 防火墙技术,内容提要： 防火墙概述 防火墙的体系结构 数据包过滤防火墙 代理防火墙 防火墙应用举例 防火墙脆弱性及其防护对策 防火墙技术发展动态和趋势,4.1 概述,防火墙的定义 防火墙是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，构成一道屏障，以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。,防火墙的要点： 防火墙配置在不同网络或网络安全域之间,它遵循的是一种允许或阻止业务来往的网络通信安全机制，只允许授权的通信，尽可能地对外部屏蔽网络内部的信息、结构和运行状况,防火墙的发展简史,第一代防火墙采用了包过滤（Packet filter）技术。 第

2、二代防火墙电路层防火墙 第三代防火墙应用层防火墙（代理防火墙）的初步结构 第四代防火墙1992年，基于动态包过滤（Dynamic packet filter）技术 第五代防火墙自适应代理（Adaptive proxy）技术,防火墙的基本功能模块,4.2 防火墙体系结构,防火墙可以在OSI七层中的五层设置。 防火墙组成结构图,防火墙的体系结构,目前，防火墙的体系结构一般有以下几种： （1）双重宿主主机体系结构； （2）屏蔽主机体系结构； （3）屏蔽子网体系结构。,4.2.1 双重宿主主机体系结构,围绕具有双重宿主的主机计算机而构筑； 计算机至少有两个网络接口； 计算机充当与这些接口相连的网络之间

3、的路由器； 防火墙内部的系统能与双重宿主主机通信； 防火墙外部的系统（在因特网上）能与双重宿主主机通信。,双重宿主主机体系结构,4.2.2 屏蔽主机体系结构,提供安全保护的堡垒主机仅仅与被保护的内部网络相连； 是外部网络上的主机连接内部网络的桥梁； 堡垒主机需要拥有高等级的安全； 还使用一个单独的过滤路由器来提供主要安全； 路由器中有数据包过滤策略。,屏蔽主机体系结构,4.2.3 屏蔽子网体系结构,1周边网络 周边网络是另一个安全层,是在外部网络与被保护的内部网络之间的附加网络,提供一个附加的保护层防止内部信息流的暴露 . 2堡垒主机 堡垒主机为内部网络服务的功能有： （1）接收外来的电子邮件

4、（SMTP），再分发给相应的站点； （2）接收外来的FTP连接，再转接到内部网的匿名FTP服务器； （3）接收外来的对有关内部网站点的域名服务（DNS）查询。,堡垒主机向外的服务功能按以下方法实施： （1）在路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器。 （2）设置代理服务器在堡垒主机上运行，允许内部网的用户间接地访问外部网的服务器。也可以设置数据包过滤，允许内部网的用户与堡垒主机上的代理服务器进行交互，但是禁止内部网的用户直接与外部网进行通信。,3内部路由器 保护内部的网络使之免受外部网和周边网的侵犯，内部路由器完成防火墙的大部分数据包过滤工作。 4外部路由器 保护周边网和内

5、部网使之免受来自外部网络的侵犯，通常只执行非常少的数据包过滤。 外部路由器一般由外界提供。,4.2.4 防火墙体系结构的组合形式,（1）使用多堡垒主机； （2）合并内部路由器与外部路由器； （3）合并堡垒主机与外部路由器； （4）合并堡垒主机与内部路由器； （5）使用多台内部路由器； （6）使用多台外部路由器； （7）使用多个周边网络； （8）使用双重宿主主机与屏蔽子网。,4.3 包过滤防火墙,包过滤防火墙工作在网络层 利用访问控制列表（ACL）对数据包进行过滤 过滤依据是TCP/IP数据包： 源地址和目的地址 源端口和目的端口 优点是效率比较高，对用户透明 缺点是难于配置、监控和管理,无法有

6、效地区分同一IP地址的不同用户,数据包过滤的主要依据有：,（1）数据包的源地址； （2）数据包的目的地址； （3）数据包的协议类型（TCP、UDP、ICMP等）； （4）TCP或UDP的源端口； （5）TCP或UDP的目的端口； （6）ICMP消息类型；,包过滤系统能进行以下情况的操作： （1）不让任何用户从外部网用Telnet登录； （2）允许任何用户使用SMTP往内部网发电子邮件； （3）只允许某台机器通过NNTP往内部网发新闻。 不能进行以下情况的操作： （1）允许某个用户从外部网用Telnet登录而不允许其他用户进行这种操作。 （2）允许用户传送一些文件而不允许用户传送其他文件。,（1

7、）包过滤标准必须由包过滤设备端口存储起来，这些包过滤标准叫包过滤规则。 （2）当包到达端口时，对包的报头进行语法分析，大部分的包过滤设备只检查IP、TCP或UDP报头中的字段，不检查数据的内容。 （3）包过滤器规则以特殊的方式存储。 （4）如果一条规则阻止包传输或接收，此包便不允许通过。 （5）如果一条规则允许包传输或接收，该包可以继续处理。 （6）如果一个包不满足任何一条规则，该包被丢弃。,包过滤器操作,包过滤路由器的配置时要注意的问题,（l）协议的双向性。 （2）“往内”与“往外”的含义。 （3）“默认允许”与“默认拒绝”。,注意:,（1）过滤规则的排列顺序是非常重要的。 （2）应该遵循自

8、动防止故障的原理：未明确表示允许的便被禁止。,包过滤防火墙的缺陷,（1）不能彻底防止地址欺骗。 （2）无法执行某些安全策略 （3）安全性较差 （4）一些应用协议不适合于数据包过滤 （5）管理功能弱,4.4 应用代理防火墙,代理防火墙（Proxy）是一种较新型的防火墙技术，它分为：应用层网关 电路层网关。 所谓代理服务器，是指代表客户处理连接请求的程序。当代理服务器得到一个客户的连接意图时，它将核实客户请求，并用特定的安全化的Proxy应用程序来处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处理后，将答复交给发出请求的最终客户。,代理的工作方式,代理防火墙工作于

9、应用层； 针对特定的应用层协议； 代理服务器（Proxy Server）作为内部网络客户端的服务器，拦截住所有请求，也向客户端转发响应； 代理客户机（Proxy Client）负责代表内部客户端向外部服务器发出请求，当然也向代理服务器转发响应；,应用层网关型防火墙,应用层网关防火墙,传统代理型防火墙； 核心技术就是代理服务器技术； 基于软件实现，通常安装在专用工作站系统上； 参与到一个TCP连接的全过程； 在网络应用层上建立协议过滤和转发功能； 优点就是安全，是内部网与外部网的隔离点； 最大缺点就是速度相对比较慢。,应用层网关型防火墙,电路层网关防火墙,将所有跨越防火墙的网络通信链路分为两段。

10、通过电路层网关中继TCP连接。 一般采用自适应代理技术 有两个基本要素： 自适应代理服务器（Adaptive Proxy Server） 动态包过滤器（Dynamic Packet Filter）,代理技术的优点,（1）代理易于配置 （2）代理能生成各项记录 （3）代理能灵活、完全地控制进出流量、内容 （4）代理能过滤数据内容 （5）代理能为用户提供透明的加密机制 （6）代理可以方便地与其他安全手段集成,代理技术的缺点:,（1）代理速度较路由器慢； （2）代理对用户不透明； （3）对于每项服务代理可能要求不同的服务器； （4）代理服务不能保证免受所有协议弱点的限制； （5）代理不能改进底层协议

11、的安全性。,4.5 状态检测技术,状态检测包过滤防火墙,复合型防火墙,4.6 NAT,NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force，Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。 NAT屏蔽了内部网络，所有内部网计算机对于公共网络来说是不可见的，而内部网计算机用户通常不会意识到NAT的存在。 这

12、里提到的内部地址，是指在内部网络中分配给节点的私有IP地址，这个地址只能在内部网络中使用，不能被路由。虽然内部地址可以随机挑选，但是通常使用的是下面的地址：55，55，55。NAT将这些无法在互联网上使用的保留IP地址翻译成可以在互联网上使用的合法IP地址。而全局地址，是指合法的IP地址，它是由NIC（网络信息中心）或者ISP(网络服务提供商)分配的地址，对外代表一个或多个内部局部地址，是全球统一的可寻址的地址。 NAT功能通常被集成到路由器、防火墙、ISDN路由

13、器设备中。,NAT有三种类型：静态NAT (Static NAT)、动态地址NAT (Pooled NAT)、网络地址端口转换NAPT（PortLevel NAT）。 其中静态NAT设置起来最为简单和最容易实现的一种，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。 动态地址NAT只是转换IP地址，它为每一个内部的IP地址分配一个临时的外部IP地址，主要应用于拨号，对于频繁的远程联接也可以采用动态NAT。当远程用户联接上之后，动态地址NAT就会分配给他一个IP地址，用户断开时，这个IP地址就会被释放而留待以后使用。 网络地址端口转换NAPT是人们比较熟悉的一种转换方式。NAPT普

14、遍应用于接入设备中，它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。 在Internet中使用NAPT时，所有不同的信息流看起来好像来源于同一个IP地址。这个优点在小型办公室内非常实用，通过从ISP处申请的一个IP地址，将多个连接通过NAPT接入Internet。实际上，许多SOHO远程访问设备支持基于PPP的动态IP地址。这样，ISP甚至不需要支持NAPT，就可以做到多个内部IP地址共用一个外部IP地址上Internet，虽然这样会导致信道的一定拥塞，但考

15、虑到节省的ISP上网费用和易管理的特点，用NAPT还是很值得的。,4.7 防火墙攻防概述,防火墙不能确保网络的绝对安全； 每种防火墙产品几乎每年都有安全脆弱点被发现； 大多数防火墙往往配置不当且无人维护和监视； 从设计到配置再到维护都做得很好的防火墙几乎是不可渗透的； 要了解攻击者是如何绕过防火墙的。,获取防火墙标识 穿透防火墙扫描 利用分组过滤脆弱点 利用应用代理脆弱点,防火墙遭受的威胁,1直接扫描 2路径跟踪 3标志获取 4使用nmap简单推断,获取防火墙标识的方法,（1）方法 查找防火墙最容易的方法是对特定的缺省端口执行扫描。 （2）对策 可以在防火墙前面的路由器上阻塞这些端口。 通过部

16、署入侵检测系统也能够检查出这些攻击者。,1直接扫描,（1）方法 使用路径跟踪traceroute。到达目标之前的最后一跳（6）是防火墙的机会很大。 （2）对策 解决traceroute信息泄漏的措施是限制尽可能多的防火墙和路由器对TTL已过期分组做出响应。,2路径跟踪,（1）方法 扫描防火墙端口有助于定位防火墙。标志信息在标识防火墙上能给攻击者提供有价值的信息。使用这些信息，他们就能发掘众所周知的脆弱点或常见的配置错误。 （2）对策 补救这种信息泄漏脆弱点的办法就是限制给出标志信息。,3标志获取,（1）方法 nmap在发现防火墙信息上是个比较好的工具。通过分析端口扫描报

17、告可以分析出防火墙及其访问控制规则。,4使用nmap简单推断,下面是Nmap支持的四种最基本的扫描方式: TCP connect()端口扫描(-sT参数)。 TCP同步(SYN)端口扫描(-sS参数)。 UDP端口扫描(-sU参数)。 Ping扫描(-sP参数)。,/download.html,（2）对策 为了防止攻击者使用nmap技巧查找路由器和防火墙的ACL规则，应该禁止路由器响应以类型为3（Destination Unreachable）、代码为13(Communication Administratively Prohibited)的ICMP分组的能力。,透

18、过防火墙从而发现隐藏在防火墙后面的目标，这是网络黑客和网络入侵者梦寐以求的事情。穿透防火墙扫描方法有： 1原始分组传送 2firewalk工具 3源端口扫描,穿透防火墙扫描,1原始分组传送,（1）方法 工具hping通过向一个目的喘口发送TCP分组并报告由它引回的分组进行工作。依据多种条件，hping返回各种各样的响应。每个分组部分或全面地提供了防火墙具体访问控制的相当清晰的细节。 （2）对策 防止hping攻击比较困难。最好是简单地阻塞类型为3代码为13的ICMP消息（与前面讨论的nmap扫描的对策一样）。,Hping是一个命令行下使用的TCP/IP数据包组装/分析工具，其命令模式很像Uni

19、x下的ping命令，但是它不是只能发送ICMP回应请求，它还可以支持TCP、UDP、ICMP和RAW-IP协议，它有一个路由跟踪模式，能够在两个相互包含的通道之间传送文件。Hping常被用于检测网络和主机，其功能非常强大，可在多种操作系统下运行。 Hping的当前版本为hping2.0，其官方网站是：，可到此下载Hping的最新版本 。,2firewalk工具,（1）方法 firewalk能够像端口扫描程序那样能够发现在防火墙之后打开着的端口。它尝试测定指定网关允许哪些传输协议数据包通过。Firewalk扫描的工作原理是发送IP TTL值比到目标网关跳数(

20、hop)大1的TCP或UDP数据包。如果该网关允许此类网络通信，它将转发此探测包到下一路由器或主机，而此路由器或主机将因为TTL过期而立即向探测主机回送“TTL过期”的消息。如果该网关禁止此类网络通信，则会丢弃该数据包，探测主机将无法得到响应。通过连续发送这种探测数据包和分析监听到的响应，将能够确定该网关上的访问控制列表 。 （2）对策 在外部接口级别上可以阻塞LMP TTL EXHRED分组不过这可能负面影响其性能，因为合法的客户连接请求永远不知道发生了什么。,3源端口扫描,（1）方法 传统的包过滤防火墙有一个主要的缺点：它们不能保持状态。因此，就可以将源端口设置为通常允许通过的TCP 53（区域传送）和TCP 20喘口（FTP），从而可以扫描（或攻击）核心的内容。 （2）对策 要么是禁止那些需要多个端口组合（比如系统的FTP）的通信，要么是切换到一个基于状态或应用的代理防火墙，从而对进、出的连接作更好的控制。,分组过滤脆弱点,1不严格的ACL规则 ACL规则设置容易犯不严格的错误。 确保自己的防火墙规则严格限制谁能连接到哪儿。