第五章-防火墙.ppt

第五章,防火墙,,本节内容,防火墙概述防火墙的种类包过滤防火墙策略应用代理防火墙策略地址伪装,1.防火墙概述,1.1防火墙的概念1.2防火墙的作用1.3防火墙的不足,1.1防火墙的概念,防火墙是在两个网络之间执行控制和安全策略的系统，他可以是软件的，也可以是硬件的，或者两者并用防火墙作为内外部的访问控制设备，常常被安装在内外网边界的节点上防火墙图标,普通防火墙,具备单向导通性的防火墙,具备防火墙能力的路由器,1.2防火墙的作用,限制他人进入内部网络过滤掉不安全的服务和非法用户限定人们访问特殊的站点为监视局域网安全提供方便,1.3防火墙的不足,会限制很多有用的网络服务无法防护内网用户的攻击无法防护通过防火墙以外的其他攻击途径无法完全防范传送受到病毒感染的软件无法防范新的网络安全问题,2.防火墙的种类,硬件/软件防火墙包过滤防火墙应用代理防火墙（也称堡垒主机防火墙）地址伪装防火墙,2.1包过滤防火墙,包过滤防火墙是目前使用最多的防火墙，占到市场的80%左右这种防火墙是基于源、目的、协议、端口号等来确定对目标数据包的动作，并不查看数据包中的内容，所以执行速度很快，但无法阻止对正常端口送入送出的数据中夹带攻击信息或者病毒等。

这种防火墙工作在OSI的3、4层面上包过滤防火墙工作原理,过滤动作基于过滤策略，一条过滤策略由以下3个元素组成：动作元素：阻止(deny)或允许(permit)协议元素：协议与端口号码对象元素：来源与目的,路由器中防火墙策略举例,access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.200.0 0.0.0.255 eq 80 access-list 1 deny 192.168.1.0 0.0.0.63,元素的父子集关系与策略的执行顺序,在策略中使用协议元素时，一定要注意父子集关系，这种父子集关系在与策略的执行顺序进行组合时，将产生不同的效果，这点尤其要注意策略的执行顺序,防火墙中的策略按照生成的先后依次排列，（先入栈的在栈顶），当防火墙对进入的数据包进行策略匹配时，只要匹配上就不再匹配下边的策略，如果都没有匹配上，就匹配默认存在的隐含拒绝策略，该策略默认拒绝所有数据的通信元素的父子集关系,由于策略执行的特殊方式，导致了如果协议的父集在子集之前，就会导致子集策略无法执行如：ip协议的子集有：icmp、UDP、TCP、GRE、ESP、AH等网段的子集：如192.168.1.1/24是192.168.1.0/24的子集,例1（错误的）：access-list 1 permit 192.168.1.0 0.0.0.255access-list 1 deny 192.168.1.0 0.0.0.63例1(正确的):access-list 1 deny 192.168.1.0 0.0.0.63access-list 1 permit 192.168.1.0 0.0.0.255例2（错误的）：access-list 100 permit ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 access-list 100 deny tcp 10.10.10.0 0.0.0.255 10.10.20 0.0.0.255 eq 80例2（正确的）：access-list 100 deny tcp 10.10.10.0 0.0.0.255 10.10.20 0.0.0.255 eq 80access-list 100 permit ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255例3（错误的）：access-list 100 deny tcp any any eq 445（注意隐含拒绝条件）例3（正确的）：access-list 100 deny tcp any any eq 445access-list 100 permit ip any any,策略放置的位置,,,10.1.0.0/24,11.1.0.0/24,12.1.0.0/24,在大型防火墙上，策略制定完毕后，还要正确的放置在相应端口的相应方向上，不然策略是不起作用的。

方向分为in或者out，in指流入防火墙，out指流出防火墙例：只允许10.1.0.0网段访问11.1.0.0网段access-list 100 permit ip 10.1.0.0 0.0.0.255 11.1.0.0 0.0.0.255当放置在E1口的in方向上，可以起到正确的效果，但是当放在E1的out方向上，就不起效果，还会导致全网不通2.2应用代理防火墙,应用代理型防火墙是工作在应用层的防火墙，这种防火墙可以针对某种应用看到该应用里的内容，目前常见的有：邮件代理防火墙，主要监视pop、smtp、imap协议web代理防火墙，主要监视http、https协议DNS防火墙，主要监视DNS协议,应用代理防火墙的特点,优点：防护等级高，可以过滤的更细致缺点：速度太慢，并且只能针对个别应用，无法做到全面防护,2.3地址伪装防火墙,这种防火墙的任务是将到达的数据包按照事先指定好的映射规则或者是随机的映射规则，把数据包中的源地址进行更换，使其他人无法看到原来的地址是什么这样起到将保护对象隐藏起来的作用地址伪装的应用,静态NAT动态NATUPnP,静态NAT,静态nat分为两种：基于IP的静态nat基于TCP/UDP端口的静态nat,基于IP的静态nat,这种NAT的特点是将被隐藏的IP整体按照事先的定义映射到一个外网IP上，当访问这个外网IP时的数据都将忠实的被对应的映射到内网的IP上。

这种关系将一直保持，直到管理员拆除这个规则这种方式下起不到太大的保护作用用途是将内网的计算机整体暴露给公网在部分宽带路由器中称为DMZ方式基于TCP/UDP端口的静态nat,大多数情况下，我们并不希望将整个受保护的计算机暴露给公网，而是把某些服务暴露给公网，让其能够被访问，这时候就要用到基于端口的静态nat了动态NAT,动态NAT也有两种方式：基于IP的动态nat基于TCP/UDP端口号的动态nat,基于IP的动态nat,基于IP的动态nat主要是为了解决基于ip的静态大量占用公网ip的矛盾，在静态方式下，当一个公网ip被映射到某个内网ip后，即使这个内网ip没有上线，该公网ip也不能够被别人使用，而基于ip的动态nat就可以解决这个矛盾每个映射关系是随机的，只要该用户一定时间没有数据流动，这个映射关系就自动删除缺点是每次外网用户要访问时就得知道这次新的映射关系是什么针对这个问题可以使用DDNS（动态域名解析）解决基于TCP/UDP端口号的动态nat,这种方式主要是为了解决大量没有公网地址（或者没有能够上网地址）的用户共享一个或者几个能够上网的地址，从而达到共享上网的目的，目前所有的共享上网（宽带路由器、代理服务器）均是这种方式。

举例：内网两个用户，192.168.1.2、192.168.1.3，共享一个公网地址221.11.11.11，都使用ie访问一个网站，其中用户发来的数据包如下：192.168.1.2 TCP 1157218.55.68.188 TCP 80192.168.1.3 TCP 1157218.55.68.188 TCP 80假定这次很巧，两个用户都是使用的1157作为源端口，实际环境中这种概率相对较小，但存在经过基于端口的nat：192.168.1.2 TCP 1157221.11.11.11 TCP 1157221.11.11.11 TCP 1157  218.55.68.188 TCP 80192.168.1.3 TCP 1157221.11.11.11 TCP 1190221.11.11.11 TCP 1190  218.55.68.188 TCP 80此时，在218.55.68.188看来，就如同从221.11.11.11的1157和1190端口发来的两个http请求，但他却不知道实际上这是两个计算机发来的NAT设备上的实际转换条目输出：Pro Inside global Inside local Outside localtcp 123.139.158.71:139 192.168.12.31:139 192.168.202.1:1236 tcp 123.139.158.71:1025 192.168.12.31:4089 117.34.70.154:80tcp 123.139.158.71:1029 192.168.12.31:4084 117.34.70.154:80tcp 123.139.158.71:1030 192.168.12.31:4087 117.34.70.154:80tcp 123.139.158.71:2745 192.168.12.114:2745 222.51.11.52:9204tcp 123.139.158.71:2751 192.168.12.113:2751 222.51.11.52:9203,关于带机数量问题,由于一个IP地址的TCP和UDP端口号各有65535个，所以可以支持大量内部用户建立连接，如果内部用户将一个ip上的TCP端口全部耗尽，则可以建立公网地址池，放入多个公网ip，以便继续消耗下一个ip的TCP端口，但是全部耗尽后则将无法进行转换了。

uPnP,内网的多个用户如果希望临时把自己的某个应用端口暴露给公网，以便外网用户能够临时访问时，在基于端口的动态nat就无法做到了，因为很有可能这个端口被占用了例：某P2P（如迅雷）程序需要把自己的TCP 1972端口临时暴露给公网，即他需要nat设备上公网地址的tcp 1972对应自己的tcp1972，以便其他迅雷用户能够从自己这里下载数据，但是TCP 1972可能已经被另一个内网用户的非迅雷程序占用的，此时迅雷的upnp插件就要向nat设备的upnp服务发起请求，要求这一端口，而nat设备的upnp进程就会将源占用tcp1972的非迅雷程序用另外一个端口替代，以便释放tcp1972并保持该客户的应用继续而不中断，并把tcp1972交给申请的迅雷程序，直到该程序下线或者一段时间没有数据传输即删除这个映射关系例：内网192.168.1.2的迅雷申请TCP1972端口，但该端口被192.168.1.10的IE占用Nat设备的Upnp进程得到192.168.1.2upnp客户的申请，将空闲的tcp5532端口分配给192.168.1.110的IE，以便该进程继续此时tcp1972被释放192.168.1.2的迅雷程序顺利申请到tcp1972建立192.168.1.2 tcp 1972->公网ip tcp 1972此时其他公网迅雷程序即可通过该映射关系从192.168.1.2的迅雷中下载数据。

实际上，所有的P2P程序均需要使用这个技术，upnp可以有效的提高下载速度。