1、112 防火墻2防火墻的定義 防火墻的本義原是指古代人們房屋之間修建的墻，這道墻可以防止火災發(fā)生的時候蔓延到別的房屋，如圖所示。3防火墻的定義 這里所說的防火墻不是指為了防火而造的墻，而是指指隔離在本地網絡與外界網絡之間的一道防御系統(tǒng)。隔離在本地網絡與外界網絡之間的一道防御系統(tǒng)。 在互聯網上，防火墻是一種非常有效的網絡安全系統(tǒng)，通過它可以隔離風險區(qū)域（internet或有一定風險的網絡）與安全區(qū)域（局域網）的連接，同時不會妨礙安全區(qū)域對風險區(qū)域的訪問，網絡防火墻結構如圖所示。防火墻服務器工作站臺式pc打印機服務器安全區(qū)域服務器工作站臺式pc打印機服務器安全區(qū)域internet網絡4一、防火墻概

2、述 什么是防火墻什么是防火墻( (firewall) ？防火墻防火墻：在兩個信任程度不同的網絡之間設置的、用于加強訪問控制的軟硬件保護設施。從邏輯上講，防火墻是分離器、限制器和分析器。5防火墻的發(fā)展簡史 第一代防火墻：采用了包過濾（packet filter）技術。 第二、三代防火墻：1989年，推出了電路層防火墻，和應用層防火墻的初步結構。 第四代防火墻：1992年，開發(fā)出了基于動態(tài)包過濾技術的第四代防火墻。 第五代防火墻：1998年，nai公司推出了一種自適應代理技術，可以稱之為第五代防火墻。6防火墻技術的簡單發(fā)展歷史防火墻技術的簡單發(fā)展歷史 返回本節(jié)7防火墻的作用 確保一個單位內的網絡與

3、因特網的通信符合該 單位的安全方針,為管理人員提供下列問題的答 案: 誰在使用網絡 他們在網絡上做什么 他們什么時間使用了網絡 他們上網去了何處 誰要上網沒有成功8防火墻的作用一、防火墻概述1、作為“扼制點”，限制信息的進入或離開；2、防止侵入者接近并破壞你的內部設施；3、監(jiān)視、記錄、審查重要的業(yè)務流；4、實施網絡地址轉換，緩解地址短缺矛盾。防火墻只允許已授權的業(yè)務流通過，而且本身也應抵抗?jié)B透攻擊。建立防火墻必須全面考慮安全策略，否則形同虛設。9防火墻的優(yōu)點 1防火墻對企業(yè)內部網實現了集中的安全管理，可以強化網絡安全策略，比分散的主機管理更經濟易行。 2防火墻能防止非授權用戶進入內部網絡。 3

4、防火墻可以方便地監(jiān)視網絡的安全性并報警。 4可以作為部署網絡地址轉換（network address translation）的地點，利用nat技術，可以緩解地址空間的短缺，隱藏內部網的結構。 5利用防火墻對內部網絡的劃分，可以實現重點網段的分離，從而限制安全問題的擴散。 6由于所有的訪問都經過防火墻，防火墻是審計和記錄網絡的訪問和使用的最佳地方。10防火墻的局限性(1) 1為了提高安全性，限制或關閉了一些有用但存在安全缺陷的網絡服務，給用戶帶來使用的不便。 2目前防火墻對于來自網絡內部的攻擊還無能為力。比如：防火墻無法禁止變節(jié)者或內部間諜將敏感數據拷貝到軟盤上。 3防火墻能夠有效地防止通過它

5、進行傳輸信息，然而不能防止不通過它而傳輸的信息。例如，如果站點允許對防火墻后面的內部系統(tǒng)進行撥號訪問，那么防火墻絕對沒有辦法阻止入侵者進行撥號入侵。 4. 防火墻配置復雜11防火墻的局限性(2) 5.防火墻也不能完全防止受病毒感染的文件或軟件的傳輸，由于病毒的種類繁多，如果要在防火墻完成對所有病毒代碼的檢查，防火墻的效率就會降到不能忍受的程度。 6.防火墻不能有效地防范數據驅動式攻擊。當有些表面看來無害的數據被郵寄或復制到內部網主機上并被執(zhí)行而發(fā)起攻擊時，就會發(fā)生數據驅動攻擊。特別是隨著java、javascript、activex的應用，這一問題更加突出。12防火墻的局限性(2) 7.作為一

6、種被動的防護手段，防火墻不能防范因特網上不斷出現的新的威脅和攻擊。 8、防火墻也不能防范那些偽裝成超級用戶或詐稱新雇員的黑客們勸說沒有防范心理的用戶公開其口令，并授予其臨時的網絡訪問權限。 9防火墻對用戶不完全透明，可能帶來傳輸延遲、瓶頸及單點失效。13防火墻的功能 根據不同的需要，防火墻的功能有比較大差異，但是一般都包含以下三種基本功能一般都包含以下三種基本功能。1、可以限制未授權的用戶進入內部網絡，過濾掉不安全的服務和非法用戶2、防止入侵者接近網絡防御設施3、限制內部用戶訪問特殊站點 由于防火墻假設了網絡邊界和服務，因此適合于相對獨立的網絡，例如intranet等種類相對集中的網絡。int

7、ernet上的web網站中，超過三分之一的站點都是有某種防火墻保護的，任何關鍵性的服務器，都應該放在防火墻之后。14防火墻的必要性 隨著世界各國信息基礎設施的逐漸形成，國與國之間變得“近在咫尺”。internet已經成為信息化社會發(fā)展的重要保證。已深入到國家的政治、軍事、經濟、文教等諸多領域。許多重要的政府宏觀調控決策、商業(yè)經濟信息、銀行資金轉帳、股票證券、能源資源數據、科研數據等重要信息都通過網絡存貯、傳輸和處理。因此，難免會遭遇各種主動或被動的攻擊。例如信息泄漏、信息竊取、數據篡改、數據刪除和計算機病毒等。因此，網絡安全已經成為迫在眉睫的重要問題，沒有網絡安全就沒有社會信息化。 15防火墻

8、策略 在構筑防火墻之前,需要制定一套完整有效的安全戰(zhàn)略1、網絡服務訪問策略 一種高層次的具體到事件的策略，主要用于定義在網絡中允許或禁止的服務。2、防火墻設計策略 一種是“一切未被允許的就是禁止的”，一種是“一切未被禁止的都是允許的”。第一種的特點是安全性好，但是用戶所能使用的服務范圍受到嚴格限制。 第二種的特點是可以為用戶提供更多的服務，但是在日益增多的網絡服務面前，很難為用戶提供可靠的安全防護。16防火墻的分類 常見的放火墻有三種類型： 1、包過濾防火墻； 2、應用代理防火墻； 3、狀態(tài)檢測防火墻。 1、包過濾（packet filtering）：作用在協(xié)議組的網絡層和傳輸層，根據分組包頭

9、源地址、目的地址和端口號、協(xié)議類型等標志確定是否允許數據包通過，只有滿足過濾邏輯的數據包才被轉發(fā)到相應的目的地的出口端，其余的數據包則從數據流中丟棄。17防火墻的分類 2、應用代理（application proxy）：也叫應用網關（application gateway），它作用在應用層，其特點是完全“阻隔”網絡通信流，通過對每種應用服務編制專門的代理程序，實現監(jiān)視和控制應用層通信流的作用。實際中的應用網關通常由專用工作站實現。 3、狀態(tài)檢測（status detection）：直接對分組里的數據進行處理，并且結合前后分組的數據進行綜合判斷，然后決定是否允許該數據包通過。181包過濾防火墻

10、（1）數據包過濾技術的發(fā)展：靜態(tài)包過濾、動態(tài)包過濾。 （2）包過濾的優(yōu)點：不用改動應用程序、一個過濾路由器能協(xié)助保護整個網絡、數據包過濾對用戶透明、過濾路由器速度快、效率高。 （3）包過濾的缺點：不能徹底防止地址欺騙；一些應用協(xié)議不適合于數據包過濾；正常的數據包過濾路由器無法執(zhí)行某些安全策略；安全性較差 ；數據包工具存在很多局限性。 19包過濾防火墻包是網絡上信息流動的單位。在網上傳輸的文件一般在發(fā)出端被劃分成一串數據包，經過網上的中間站點，最終傳到目的地，然后這些包中的數據又重新組成原來的文件。每個包有兩個部分：數據部分和包頭。包頭中含有源地址和目標地址等信息。包過濾一直是一種簡單而有效的方

11、法。通過攔截數據包，讀出并拒絕那些不符合標準的包頭，過濾掉不應入站的信息。20 包過濾作為最早、最簡單的防火墻技術，正是基于協(xié)議頭的內容進行過濾的。術語“包過濾”通過將每一輸入/輸出包中發(fā)現的信息同訪問控制規(guī)則相比較來決定阻塞或放行包。通過檢查數據流中每一個數據包的源地址、目的地址、所用端口、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數據包通過。如果包在這一測試中失敗，將在防火墻處被丟棄。21包過濾器每個數據包都包含有特定信息的一組報頭，其主要信息是：（1）ip協(xié)議類型（tcp、udp，icmp等）；（2）ip源地址；（3）ip目標地址；（4）ip選擇域的內容；（5）tcp或udp源端口號；

12、（6）tcp或udp目標端口號；（7）icmp消息類型。22包過濾器操作（l）包過濾標準必須由包過濾設備端口存儲起來，這些包過濾標準叫包過濾規(guī)則。（2）當包到達端口時，對包的報頭進行語法分析，大多數包過濾設備只檢查ip、tcp或udp報頭中的字段，不檢查包體的內容。（3）包過濾器規(guī)則以特殊的方式存儲。（4）如果一條規(guī)則阻止包傳輸或接收，此包便不被允許通過。（5）如果一條規(guī)則允許包傳輸或接收，該包可以繼續(xù)處理。（6）如果一個包不滿足任何一條規(guī)則，該包被阻塞。23包過濾操作流程圖包過濾操作流程圖 24包過濾防火墻 數據包過濾可以在網絡層截獲數據。使用一些規(guī)則來確定是否轉發(fā)或丟棄各個數據包。 通常情

13、況下，如果規(guī)則中沒有明確允許指定數據包的出入，那么數據包將被丟棄 防火墻服務器工作站臺式pc打印機服務器數據包安全區(qū)域數據包服務器控制策略查找對應的策略 數據ip報頭tcp報頭分組過濾判斷25防火墻示意圖rinternet公司總部內部網絡未授權用戶辦事處l對路由器需要轉發(fā)的數據包，先獲取包頭信息，然后和設定的規(guī)則進行比較，根據比較的結果對數據包進行轉發(fā)或者丟棄。而實現包過濾的核心技術是訪問控制列表。26acl的分類 利用數字標識訪問控制列表 利用數字范圍標識訪問控制列表的種類列表的種類列表的種類數字標識的范圍數字標識的范圍ip standard list199ip extended list1

14、0019927標準訪問控制列表 標準訪問控制列表只使用源地址描述數據，表明是允許還是拒絕。從/24來的數據包可以通過！從/24來的數據包不能通過！路由器28acl的機理一個ip數據包如下圖所示（圖中ip所承載的上層協(xié)議為tcp）：ip報頭報頭tcp報頭報頭數據數據協(xié)議號協(xié)議號源地址源地址目的地址目的地址源端口源端口目的端口目的端口對于tcp來說，這5個元素組成了一個tcp相關，訪問控制列表就是利用這些元素定義的規(guī)則29 一個可靠的包過濾防火墻依賴于規(guī)則集，下表列出了幾條典型的規(guī)則集。 第一條規(guī)則：主機任何端口訪問任何主機的任何端口

15、，基于tcp協(xié)議的數據包都允許通過。第二條規(guī)則：任何主機的20端口訪問主機的任何端口，基于tcp協(xié)議的數據包允許通過。第三條規(guī)則：任何主機的20端口訪問主機小于1024的端口，如果基于tcp協(xié)議的數據包都禁止通過。組序號動作源ip目的ip源端口目的端口協(xié)議類型1允許*tcp2允許*20*tcp3禁止*201024tcp30 按照實際需求可以擴展以下應用： 設置防火墻的缺省過濾模式 允許或禁止時間段過濾 設定特殊時間段 指定日志主機internet公司總部網絡啟用防火墻將訪問控制列表應用到接口上31訪問控制列表配置舉

16、例訪問控制列表配置舉例quidwayfirewall enablequidwayfirewall default permit quidwayacl 101quidway-acl-101rule deny ip source any destination any quidway-acl-101rule permit ip source destination anyquidway-acl-101rule permit ip source destination anyquidway-acl-101rule permi

17、t ip source destination anyquidway-acl-101rule permit ip source destination anyquidwayacl 102quidway-acl-102rule permit tcp source destination 0quidway-acl-102rule permit tcp source any destination destination

18、-port great-than 1024quidway-ethernet0firewall packet-filter 101 inbound quidway-serial0firewall packet-filter 102 inbound 32 包過濾路由器與守衛(wèi)有些相似，當裝載有包的運輸卡車到達時，“包過濾”守衛(wèi)快速的察看包的住戶地址是否正確，檢查卡車的標識(證件)以確保它也是正確的，接著送卡車通過關卡傳遞包。雖然這種方法比沒有關卡更安全，但是它還是比較容易通過并且會使整個內部網絡暴露于危險之中。33 包過濾防火墻是最快的防火墻，這是因為它們的操作處于網絡層并且只是粗略檢查特定的連接的

19、合法性。例如http通常為web服務連接使用80號端口。如果公司的安全策略允許內部職員訪問網站，包過濾防火墻可能設置允許所有的連接通過80號這一缺省端口。不幸的是，像這樣的假設會造成實質上的安全危機。當包過濾防火墻假設來自80端口的傳輸通常是標準web服務連接時，它對于應用層實際所發(fā)生的事件的能見度為零。任何意識到這一缺陷的人都可通過在80端口上綁定其它沒有被認證的服務，從而進入私有網絡而不會被阻塞。 34 許多安全專家也批評包過濾防火墻，因為端點之間可以通過防火墻建立直接連接。一旦防火墻允許某一連接，就會允許外部源直接連接到防火墻后的目標，從而潛在的暴露了內部網絡，使之容易遭到攻擊。35包過

20、濾特點 包過濾防火墻的優(yōu)點是邏輯簡單，價格便宜，對網絡性能的影響較小，有較強的透明性。并且它的工作與應用層無關，無須改動任何客戶機和主機上的應用程序，易于安裝和使用。 他的弱點是：配置基于包過濾方式的防火墻，需要對ip、tcp、udp、icmp等各種協(xié)議有深入的了解，否則容易出現因配置不當帶來的問題；據以過濾判別的只有網絡層和傳輸層的有限信息，因而各種安全要求不能得到充分滿足；由于數據包的地址及端口號都在數據包的頭部，不能徹底防止地址欺騙；允許外部客戶和內部主機的直接連接；不提供用戶的鑒別機制。36應用代理防火墻 應用代理（application proxy）是運行在防火墻上的一種服務器程序，

21、防火墻主機可以是一個具有兩個網絡接口的雙重宿主主機，也可以是一個堡壘主機（而這臺主機是外部網服務于內部網的主節(jié)點）。代理服務器被放置在內部服務器和外部服務器之間，用于轉接內外主機之間的通信，它可以根據安全策略來決定是否為用戶進行代理服務。代理服務器運行在應用層，因此又被稱為“應用網關”。37允許拒絕防火墻設計政策防火墻設計政策 防火墻一般實施兩個基本設計方針之一: 1. “沒有明確允許的都是被禁止的”，即拒絕一切未予特許的東西。 2. “沒有明確禁止的都是被允許的”；也即是允許一切未被特別拒絕的東西 允許拒絕38常見防火墻系統(tǒng)模型 常見防火墻系統(tǒng)一般按照四種模型構建： 篩選路由器模型、單宿主堡

22、壘主機（屏蔽主機防火墻）模型、雙宿主堡壘主機模型（屏蔽防火墻系統(tǒng)模型）和屏蔽子網模型。39篩選路由器模型 篩選路由器模型是網絡的第一道防線，功能是實施包過濾。創(chuàng)建相應的過濾策略時對工作人員的tcp/ip的知識有相當的要求，如果篩選路由器被黑客攻破那么內部網絡將變的十分的危險。該防火墻不能夠隱藏你的內部網絡的信息、不具備監(jiān)視和日志記錄功能。典型的篩選路由器模型如圖所示。路由器內部網絡外部網絡進行包過濾40單宿主堡壘主機模型 單宿主堡壘主機（屏蔽主機防火墻）模型由包過濾路由器和堡壘主機組成。該防火墻系統(tǒng)提供的安全等級比包過濾防火墻系統(tǒng)要高，因為它實現了網絡層安全（包過濾）和應用層安全（代理服務）。所以入侵者在破壞內部網絡的安全性之前，必須首先滲透兩種不同的安全系統(tǒng)。單宿主堡壘主機的模型如圖所示。防火墻服務器工作站臺式pc打印機堡壘主機數據包安全區(qū)域數據包不準訪問除堡壘主機以外的主機只允許外部與堡壘主機通信查找對應的策略internet網絡41雙宿主堡壘主機模型 雙宿主堡壘