
网络安全技术及应用第七章.ppt
33页第第7章章 防火墙及其应用防火墙及其应用本章学习重点掌握内容:本章学习重点掌握内容:n防火墙功能防火墙功能n防火墙核心技术防火墙核心技术n防火墙体系结构防火墙体系结构第第7章章 防火墙及其应用防火墙及其应用7.1 防火墙概述防火墙概述7.2 防火墙技术与分类防火墙技术与分类7.3防火墙体系结构防火墙体系结构7.4 防火墙安全规则防火墙安全规则7.5防火墙应用防火墙应用7.1 防火墙概述防火墙概述n7.1.1 防火墙概念与发展历程防火墙概念与发展历程n 1. 防火墙概念防火墙概念 防火墙是指设置在不同网络之间,例如可防火墙是指设置在不同网络之间,例如可信任的内部网和不可信的公共网,或者不同网信任的内部网和不可信的公共网,或者不同网络安全域之间的软硬件系统组合它可通过监络安全域之间的软硬件系统组合它可通过监测、限制、更改跨越防火墙的数据流,尽可能测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状地对外部屏蔽网络内部的信息、结构和运行状况,以此来保护企业内部网络的安全况,以此来保护企业内部网络的安全 2. 防火墙的发展防火墙的发展n第一代防火墙:第一代防火墙技术几乎与路由器同时第一代防火墙:第一代防火墙技术几乎与路由器同时出现,主要基于包过滤技术(出现,主要基于包过滤技术(Packet Filter),是依),是依附于路由器的包过滤功能实现的防火墙。
附于路由器的包过滤功能实现的防火墙n第二代防火墙:第二代防火墙:1989年,贝尔实验室的年,贝尔实验室的Dave Presotto和和Howard Trickey最早推出了第二代防火最早推出了第二代防火墙,即电路层防火墙墙,即电路层防火墙n第三代防火墙:到第三代防火墙:到20世纪世纪90年代初,开始推出第三代年代初,开始推出第三代防火墙,即应用层防火墙(或者叫做代理防火墙)防火墙,即应用层防火墙(或者叫做代理防火墙)n第四代防火墙:到第四代防火墙:到1992年,年,USC信息科学院的信息科学院的BobBraden开发出了基于动态包过滤(开发出了基于动态包过滤(Dynamic Packet Filter)技术的的第四代防火墙技术的的第四代防火墙n第五代防火墙:到了第五代防火墙:到了1998年,年,NAI公司推出了一种自公司推出了一种自适应代理(适应代理(Adaptive Proxy)技术,可以称之为第五)技术,可以称之为第五代防火墙代防火墙 3.防火墙的发展趋势防火墙的发展趋势n高安全性和高效率高安全性和高效率n对数据包的全方位检查对数据包的全方位检查 n分布式防火墙技术分布式防火墙技术 n建立与部署适用于建立与部署适用于IP V6协议下的防火墙体系协议下的防火墙体系架构架构7.1.2 防火墙的功能防火墙的功能n对防火墙有两个基本需求:一是保证内部网的安全性;对防火墙有两个基本需求:一是保证内部网的安全性;二是保证内部网与外部网之间的连通性。
二是保证内部网与外部网之间的连通性 ((1)过滤不安全数据和非法用户过滤不安全数据和非法用户 ((2)报警与审计报警与审计 ((3)透明代理透明代理 ((4)抗攻击能力抗攻击能力 ((5))VPN 功能 ((6)路由管理路由管理 7.1.3 防火墙局限性防火墙局限性n7.1.3 防火墙局限性防火墙局限性 1.对某些正常服务的限制对某些正常服务的限制 2.无法抵御来自内网的威胁无法抵御来自内网的威胁 3.无法阻挡旁路攻击及潜在后门无法阻挡旁路攻击及潜在后门 4.无法控制对病毒文件的传输无法控制对病毒文件的传输 5.内网瓶颈问题内网瓶颈问题 7.2 防火墙技术与分类防火墙技术与分类n7.2.1 包过滤防火墙技术包过滤防火墙技术 1. 简单包过滤技术简单包过滤技术 2. 状态检测包过滤技术状态检测包过滤技术n7.2.2 代理服务防火墙技术代理服务防火墙技术 1. 电路级网关电路级网关 2. 应用级网关应用级网关 3. 自适应代理自适应代理7.2.1包过滤防火墙技术包过滤防火墙技术n包过滤包过滤(Packet Filter)是所有防火墙中最核心的功能,与代理服是所有防火墙中最核心的功能,与代理服务器技术相比,其优势是传输信息时不占用网络带宽。
包过滤路务器技术相比,其优势是传输信息时不占用网络带宽包过滤路由器在网络上的物理位置和逻辑位置如图由器在网络上的物理位置和逻辑位置如图7-2和图和图7-3所示包过所示包过滤型防火墙根据一组过滤规则集合,逐个检查滤型防火墙根据一组过滤规则集合,逐个检查IP数据包,确定是数据包,确定是否允许该数据包通过否允许该数据包通过 图图7-2 7-2 包过滤路由器的物理位置包过滤路由器的物理位置图图7-3 包过滤路由器的逻辑位置包过滤路由器的逻辑位置两类包过滤防火墙技术两类包过滤防火墙技术 包过滤防火墙技术根据所使用的过滤方法又具包过滤防火墙技术根据所使用的过滤方法又具体可分为:简单包过滤技术和状态检测包过滤体可分为:简单包过滤技术和状态检测包过滤技术 1. 简单包过滤技术简单包过滤技术 也称作称静态包过滤简单包过滤防火墙也称作称静态包过滤简单包过滤防火墙在检查数据包报头时,只是根据定义好的过滤在检查数据包报头时,只是根据定义好的过滤规则集来检查所有进出防火墙的数据包报头信规则集来检查所有进出防火墙的数据包报头信息,并根据检查结果允许或者拒绝数据包,并息,并根据检查结果允许或者拒绝数据包,并不关心服务器和客户机之间的连接状态。
不关心服务器和客户机之间的连接状态 2. 状态检测包过滤技术状态检测包过滤技术 也称动态包过滤,是包过滤器和应用级网也称动态包过滤,是包过滤器和应用级网关的一种折衷方案该技术具有包过滤机制的关的一种折衷方案该技术具有包过滤机制的高速和灵活性,也有应用级网关的应用层安全高速和灵活性,也有应用级网关的应用层安全的优点状态检测包过滤防火墙除了有一个过的优点状态检测包过滤防火墙除了有一个过滤规则集外,还要跟踪通过自身的每一个连接,滤规则集外,还要跟踪通过自身的每一个连接,提取有关的通信和应用程序的状态信息,构成提取有关的通信和应用程序的状态信息,构成当前连接的状态列表当前连接的状态列表7.2.2代理服务防火墙技术代理服务防火墙技术 代理服务(代理服务(Proxy Service)是指运行于内部网)是指运行于内部网络与外网之间的主机络与外网之间的主机(堡垒主机堡垒主机)上的一种应用当用上的一种应用当用户需要访问代理服务器另一侧主机时,代理服务器对户需要访问代理服务器另一侧主机时,代理服务器对于符合安全规则的连接,会代替主机响应访问请求,于符合安全规则的连接,会代替主机响应访问请求,并重新向主机发出一个相同的请求。
当此连接请求得并重新向主机发出一个相同的请求当此连接请求得到回应并建立起连接之后,内部主机同外部主机之间到回应并建立起连接之后,内部主机同外部主机之间的通信将通过代理程序的相应连接映射来实现代理的通信将通过代理程序的相应连接映射来实现代理既是客户端(既是客户端(Client),也是服务器端(),也是服务器端(Server)代理服务防火墙的工作原理如图代理服务防火墙的工作原理如图7-4图图7-4应用代理防火墙的原理图应用代理防火墙的原理图 代理服务防火墙主要包含以下三类:代理服务防火墙主要包含以下三类:1.电路级网关电路级网关 也称线路级网关,工作在会话层,在两主机首次也称线路级网关,工作在会话层,在两主机首次建立建立TCP连接时建立通信屏障它作为服务器接收外连接时建立通信屏障它作为服务器接收外来请求,转发请求;与被保护的主机连接时则扮演客来请求,转发请求;与被保护的主机连接时则扮演客户机角色、起到代理服务的作用它监视两主机建立户机角色、起到代理服务的作用它监视两主机建立连接时的握手信息,如连接时的握手信息,如SYN,,ACK和序列数据等是否和序列数据等是否合乎逻辑,然后由网关复制、传递数据,而不进行数合乎逻辑,然后由网关复制、传递数据,而不进行数据包过滤。
电路级网关中特殊的客户程序只在初次连据包过滤电路级网关中特殊的客户程序只在初次连接时进行安全协商控制,此后则不再参与内外网之间接时进行安全协商控制,此后则不再参与内外网之间的通信控制的通信控制 2. 应用级网关应用级网关 应用级网关使用软件来转发和过滤特定的应用级网关使用软件来转发和过滤特定的应用服务,如应用服务,如TELNET,,FTP服务等这也是服务等这也是一种代理服务,只允许被认为是可信的服务通一种代理服务,只允许被认为是可信的服务通过防火墙此外,代理服务也可以过滤协议,过防火墙此外,代理服务也可以过滤协议,如过滤如过滤FTP连接、拒绝使用连接、拒绝使用FTP命令等 3.自适应代理自适应代理 自适应代理自适应代理(Adaptive Proxy) 技术结合了代理服技术结合了代理服务器防火墙的安全性和包过滤防火墙的高速度等优点务器防火墙的安全性和包过滤防火墙的高速度等优点组成自适应代理防火墙的基本要素有两个:自适应代组成自适应代理防火墙的基本要素有两个:自适应代理服务器理服务器(Adaptive Proxy Server)与动态包过滤器。
与动态包过滤器在自适应代理防火墙中,初始的安全检查仍在应用层在自适应代理防火墙中,初始的安全检查仍在应用层中进行,保证实现传统防火墙的最大安全性而一旦中进行,保证实现传统防火墙的最大安全性而一旦可信任身份得到认证,建立了安全通道,随后的数据可信任身份得到认证,建立了安全通道,随后的数据包就可以重新定向到网络层这种技术能够在确保安包就可以重新定向到网络层这种技术能够在确保安全性的基础上提高代理服务器防火墙的性能全性的基础上提高代理服务器防火墙的性能 7.2.3 防火墙常见分类防火墙常见分类 7.2.3 防火墙常见分类防火墙常见分类n1. 按照实现方法分类按照实现方法分类 ((1)软件防火墙)软件防火墙 运行于特定的计算机上,一般来说这台计算运行于特定的计算机上,一般来说这台计算机就是整个网络的网关机就是整个网络的网关 ((2)硬件防火墙)硬件防火墙 由计算机硬件、通用操作系统和防火墙软件组由计算机硬件、通用操作系统和防火墙软件组成 ((3)专用防火墙)专用防火墙 采用特别优化设计的硬件体系结构,使用专用采用特别优化设计的硬件体系结构,使用专用的操作系统。
的操作系统 n2. 按照体系结构分类按照体系结构分类 ((1)个人防火墙)个人防火墙 安装在计算机系统里的软件防火墙,该软件检查安装在计算机系统里的软件防火墙,该软件检查到达防火墙两端的所有数据包,无论是进入还是发出,到达防火墙两端的所有数据包,无论是进入还是发出,从而决定该拦截数据包还是允许其通过从而决定该拦截数据包还是允许其通过 ((2)分布式防火墙)分布式防火墙 分布式防火墙负责对网络边界、各子网和网络内分布式防火墙负责对网络边界、各子网和网络内部各结点之间的安全防护分布式防火墙是一个完整部各结点之间的安全防护分布式防火墙是一个完整的系统,而不是单一的产品的系统,而不是单一的产品 7.3 防火墙体系结构防火墙体系结构 目前,防火墙的体系结构,一般主要有以下几种目前,防火墙的体系结构,一般主要有以下几种n7.3.1 双宿主主机结构双宿主主机结构n7.3.2 屏蔽主机结构屏蔽主机结构n7.3.3 屏蔽子网结构屏蔽子网结构7.3.1 双宿主主机结构双宿主主机结构 双宿主主机防火墙体系结构是围绕着至少双宿主主机防火墙体系结构是围绕着至少具有两个网络接口、带有两块网卡的堡垒主机具有两个网络接口、带有两块网卡的堡垒主机构成,主机上的两块网卡分别与外部网以及内构成,主机上的两块网卡分别与外部网以及内部受保护网相连。
堡垒主机上运行防火墙软件,部受保护网相连堡垒主机上运行防火墙软件,可以转发数据,提供服务等,这种主机可以充可以转发数据,提供服务等,这种主机可以充当与其接口相连的网络之间的路由器,它能够当与其接口相连的网络之间的路由器,它能够从一个网络到另一个网络发送从一个网络到另一个网络发送IP数据包 n图图7-5 双宿主主机结构双宿主主机结构7.3.2 屏蔽主机结构屏蔽主机结构 双宿主主机防火墙是由一台同时连接在内双宿主主机防火墙是由一台同时连接在内外部网络的堡垒主机来提供安全保障,而屏蔽外部网络的堡垒主机来提供安全保障,而屏蔽主机结构中提供安全保护的主机仅仅与内部网主机结构中提供安全保护的主机仅仅与内部网相连此外还有一台单独的包过滤路由器,它相连此外还有一台单独的包过滤路由器,它的作用是避免用户直接与内部网络相连屏蔽的作用是避免用户直接与内部网络相连屏蔽主机结构如图主机结构如图7-6所示 n图图7-6 屏蔽主机结构屏蔽主机结构7.3.3 屏蔽子网结构屏蔽子网结构 在屏蔽子网结构中,有二台与边界网络直在屏蔽子网结构中,有二台与边界网络直接相连的过滤路由器,一台位于边界网络与外接相连的过滤路由器,一台位于边界网络与外部网之间,我们称之为外部路由器;另一台位部网之间,我们称之为外部路由器;另一台位于边界网络与内部网络之间,我们称之为内部于边界网络与内部网络之间,我们称之为内部路由器;在这种结构下,黑客要攻击到内部网路由器;在这种结构下,黑客要攻击到内部网必须通过二台路由器的安全控制,即使入侵者必须通过二台路由器的安全控制,即使入侵者通过了堡垒主机,他还必须通过内部路由器才通过了堡垒主机,他还必须通过内部路由器才能抵达内部网。
能抵达内部网 n图图7-7 屏蔽子网结构屏蔽子网结构7.4 防火墙安全规则防火墙安全规则n通常情况下,网络管理员在防火墙设备的访问通常情况下,网络管理员在防火墙设备的访问控制列表控制列表ACL((Access Control List)中设定)中设定包过滤规则,以此来表明是否允许或者拒绝数包过滤规则,以此来表明是否允许或者拒绝数据包通过包过滤防火墙检查数据流中每个数据包通过包过滤防火墙检查数据流中每个数据包的报头信息,例如源地址、目标地址、协据包的报头信息,例如源地址、目标地址、协议类型、协议标志、服务类型等,并与过滤规议类型、协议标志、服务类型等,并与过滤规则进行匹配,从而在内外网络之间实施访问控则进行匹配,从而在内外网络之间实施访问控制功能制功能.n图图7-8 包过滤防火墙的安全规则包过滤防火墙的安全规则 防火墙规则设置中所涉及的动作主要有以防火墙规则设置中所涉及的动作主要有以下几种:下几种:n允许允许: 允许数据包通过防火墙传输,并按照路由表允许数据包通过防火墙传输,并按照路由表中的信息被转发中的信息被转发 n放弃放弃: 不允许数据包通过防火墙传输,但仅丢弃,不允许数据包通过防火墙传输,但仅丢弃,不发任何相应数据包。
不发任何相应数据包 n拒绝拒绝: 不允许数据包通过防火墙传输,并向数据包不允许数据包通过防火墙传输,并向数据包的源端发送目的主机不可达的的源端发送目的主机不可达的ICMP数据包n返回返回: 没有发现匹配的规则,执行默认动作没有发现匹配的规则,执行默认动作 n所有的防火墙都是在以下两种模式下配置安全所有的防火墙都是在以下两种模式下配置安全规则:规则:n“白名单白名单”模式模式 系统默认为拒绝所有的流量,这需要在你的网系统默认为拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型,络中特殊指定能够进入和出去的流量的一些类型,因此白名单上的规则是具有合法性访问的安全规则因此白名单上的规则是具有合法性访问的安全规则n“黑名单黑名单”模式模式 系统默认为允许所有的流量,这种情况需要特系统默认为允许所有的流量,这种情况需要特殊指定要拒绝的流量的类型,因此在黑名单上定义殊指定要拒绝的流量的类型,因此在黑名单上定义的安全规则属于非法的、被禁止的网络访问,这种的安全规则属于非法的、被禁止的网络访问,这种模式是一种开放的默认管理模式模式是一种开放的默认管理模式。
n包过滤防火墙一般有两类过滤规则的设置方法包过滤防火墙一般有两类过滤规则的设置方法 1. 按地址过滤按地址过滤 用于拒绝伪造的数据包若想阻止伪造原地址的数用于拒绝伪造的数据包若想阻止伪造原地址的数据包进入内部网,可按表据包进入内部网,可按表7-1设置规则设置规则 2. 按服务类型过滤按服务类型过滤 即是按数据包的服务端口号来过滤在即是按数据包的服务端口号来过滤在TCP协议中,协议中,协议是双向的,以协议是双向的,以Telnet为例,其为例,其IP包的交换也是双包的交换也是双向的服务器端包过滤应该按照表向的服务器端包过滤应该按照表7-2设置规则设置规则7.5 防火墙应用防火墙应用n7.5.1 构建防火墙的基本步骤构建防火墙的基本步骤 1. 配置内外部网络配置内外部网络 2. 用户自定义安全策略用户自定义安全策略 3. 搭建防火墙安全体系结构搭建防火墙安全体系结构 4. 配置防火墙安全规则配置防火墙安全规则 5 .审计日志管理审计日志管理7.5.2 Windows系统中的防火墙实例系统中的防火墙实例n7.5.2 Windows系统中的防火墙实例系统中的防火墙实例 Windows防火墙提供某种程度的保护,避免那些依赖防火墙提供某种程度的保护,避免那些依赖未请求的传入流量来攻击的恶意用户和程序。
本小节未请求的传入流量来攻击的恶意用户和程序本小节对目前常用的对目前常用的Windows XP Service Pack 2自带防自带防火墙为实例,介绍它的基本配置及应用火墙为实例,介绍它的基本配置及应用n7.5.3 Linux系统下的配置实例系统下的配置实例 。
