第五講：防火墻知識1TCP/IP與防火墻防火墻的發展歷程簡單包過濾防火墻TCP/IP與防火墻——協議2目的物理地址源物理地址類型數據數據鏈路層網絡層傳輸層TCP/IP與防火墻——協議3防火墻TCP/IP與防火墻——IP地址通過TCP/IP協議形成的互聯網是一個虛擬的網絡，它隱藏了底層各種物理網絡的細節。一個邏輯的、通用的、虛擬的TCP/IP互聯網盡管各底層網絡可能不一樣，但在網絡層（及以上層）是一致的。在這個一致的TCP/IP互聯網上實現源端和目的端間的數據通信，需要有一個統一的、邏輯的通信端點標識方案，TCP/IP在網絡層上使用IP地址編址方案。IP地址是以TCP/IP協議進行數據通信的雙方必須的、符合標準格式的節點（主機或路由器等）地址標識符，同一網絡上聯網的節點IP地址不能重復（沖突）。在互聯網上進行數據通信，每個節點必須擁有全球認可的、統一管理的、唯一的IP地址。（內部網絡不受此限制，只要它的設備不直接與互聯網通信；而通過代理服務器或地址轉換設備可以間接與互聯網通信。）每個具體的PC、服務器、路由器的各通信端口（如網卡）均需賦予IP地址；一個物理通信端口可以賦予多個IP地址，每個IP地址成為一個通信節點（連接點）4TCP/IP與防火墻——端口端口（Port）傳輸層提供應用程序與網絡之間的各接口點稱為端口，它是個預定義的內部地址（編號），以16位字標識，提供從應用程序到傳輸層或從傳輸層到應用程序之間的一條通路，如：80端口。在TCP/IP系統中，應用程序根據端口號通過TCP或UDP軟件將數據送往目的主機或從源主機接收數據。源主機和目的主機上的應用程序間要進行傳輸層及以上的通信，必須將該應用程序綁定在某個端口上。因此，通信除了需要IP地址外，還需要源和目的端口。這樣，通信根據網絡層（IP層）的IP地址指明了源、目的主機，而根據傳輸層（TCP或UDP）的端口指明主機上各應用程序。端口的分配有2種方式：靜態端口（統一管理的靜態指定和應用程序的靜態指定）和動態端口（操作系統的動態綁定）。5TCP/IP與防火墻——端口知名（Well-known）端口應用程序在使用端口時不能重復（沖突）。通常，端口0～255保留歸系統使用；256～1023是通用服務端口；1024以上用戶程序可使用。應用程序在通信時需要知道對方的端口號。典型的情況，在C/S模型下，Client（應用程序）向Server（服務程序）請求服務時，Client需要知道Server的服務端口。通用的服務使用所謂“知名”端口號，如：FTP－21，Telnet－23，SMTP－25，DNS－53，TFTP－69，Gopher－70，Finger－79，HTTP－80，POP3－110，NNTP－119，SNMP－161，BGP－179等。6TCP/IP與防火墻——端口端口應用例7數據鏈路層網絡層TCP…21,22,23,80…UDP…9,11,161…FTPTCP21WebTCP80SNMPUDP161計算機A至計算機B，TCP端口21計算機B至計算機B，TCP端口80TCP：2340TCP：2349……10permittedtcp(1828)(25)11permittedtcp(2310)21(80)12permittedtcp(1828)5(445)13permittedtcp(8428)10(445)14permittedtcp(1240)21(80)15permittedtcp(2311)21(80)16permittedtcp(2312)21(80)17permittedtcp(2121)(80)18permittedtcp0(1840)(25)19permittedtcp0(2311)(80)20permittedudp(1833)(161)21permittedtcp(3210)21(80)822permittedtcp(2003)4(445)23permittedtcp10(6500)0(21)24permittedtcp00(5328)10(445)25permittedtcp00(4433)5(445)26permittedtcp0(2433)(80)27permittedtcp0(2433)(25)28permittedtcp0(6783)(80)29permittedtcp(2439)0(80)30permittedtcp(4139)0(80)31permittedtcp8(5577)0(80)32permittedtcp4(5432)0(80)……TCP/IP與防火墻——防火墻日志第五講：防火墻知識9TCP/IP與防火墻防火墻的發展歷程簡單包過濾防火墻200010基于實現方式基于技術手段防火墻的發展歷程11由于多數路由器中本身就包含有分組過濾功能，故網絡訪問控制可通過路由控制來實現，從而使具有分組過濾功能的路由器成為第一代防火墻產品。第一代：基于路由器的防火墻基于路由器的防火墻特點：利用路由器本身對數據包的解析，以訪問控制表方式控制數據包的過濾；過濾判決的依據可以是：IP地址、端口號、以及其它網絡特征；只有數據包過濾功能，配置簡單。12基于路由器的防火墻13工作原理：檢查數據鏈路層的物理地址檢查網絡層的IP地址網段網段基于路由器的防火墻14缺點：本身具有安全漏洞；過濾規則的設置存在安全隱患；最大的隱患是：攻擊者可以“假冒”地址進行攻擊；本質性缺陷是：會大大降低路由器的性能。代表產品：Cisco路由器第二代：防火墻工具套件15用戶化的防火墻，將過濾功能從路由器中獨立出來，并加上審計和告警功能。針對用戶需求，提供模塊化的軟件包，是純軟件產品。防火墻工具套件特點：將過濾功能從路由器中獨立出來，并加上審計和告警功能；提供模塊化的軟件包；用戶可以自己動手構造防火墻（iptable）；與第一代防火墻相比，安全性提高了，價格降低了。16防火墻工具套件17缺點：配置和維護過程復雜、費時；對用戶的技術要求高；全軟件實現，安全性和處理速度均有限制。代表產品： iptable、TIS

FWTK、AXNET

Raptor、SecureZone第三代：通用操作系統防火墻18建立在通用操作系統上的防火墻，近年來在市場上廣泛使用的就是這一代產品。包括分組過濾和代理功能。有以純軟件實現的，也有以硬件方式實現的。通用操作系統防火墻特點：是批量生產的專用防火墻；具備數據包過濾功能；具備專用的代理系統；安全性和速度大大提高。19通用操作系統防火墻20缺點：由于大多數防火墻廠商并非通用操作系統的廠商，通用操作系統廠商不會對操作系統的安全性負責；該類防火墻既要防止外部網絡的攻擊，還要防止來自針對操作系統的攻擊；用戶必須依賴防火墻廠商和操作系統廠商兩方面的安全支持。通用操作系統防火墻21代表產品：CheckPointfireWall-1CAEtrustFireWallMicrosoftProxyServer天融信網絡衛士東大阿派NetEyes聯想網御...…第四代：安全操作系統防火墻22具有安全操作系統的防火墻本身就是一個操作系統，因而在安全性上得到提高。安全操作系統防火墻特點：防火墻廠商具有操作系統的源代碼，并可實現安全內核；對安全內核實現加固處理：去掉不必要的系統特性，強化安全保護；在功能上包括了數據包過濾、應用網關、電路級網關，具有加密與鑒別功能；透明性好，易于使用；取消危險的系統調用；限制命令的執行權限；采用隨機連接序號；采用多個安全內核；…

…23安全操作系統防火墻24代表產品：Cisco

PIXNetScreen第五講：防火墻知識25TCP/IP與防火墻防火墻的發展歷程簡單包過濾防火墻防火墻技術分類26簡單包過濾/分組過濾防火墻狀態檢測包過濾防火墻應用代理防火墻電路中繼防火墻應用層傳輸層網絡層數據鏈路層傳輸層網絡層應用層傳輸層網絡層簡單包過濾/分組過濾防火墻原理27作用在網絡層和傳輸層，它根據數據包的包頭源地址、目的地址和源端口號、目的端口號、協議類型等標志確定是否允許數據包通過。只有滿足過濾邏輯的數據包才被轉發到相應的目的地出口端，其余數據包則被從數據流中丟棄。包過濾防火墻設計目標與能力28防火墻的基本設計目標首先能夠區分“內部”與“外部”網絡。所有通過“內部”和“外部”的網絡流量都要經過防火墻通過設置安全策略，來保證只有經過授權的數據才可以通過防火墻防火墻本身具備較高的性能與安全防火墻的控制能力設備控制，確定哪些設備可以被訪問服務/應用控制，確定哪些服務/應用可以被訪問方向控制，對于特定的服務，可以確定允許哪個方向能夠通過防火墻用戶控制，根據用戶來控制對服務的訪問如何過濾？29對于每個進來的數據包，適用一組規則，然后決定轉發或者丟棄該包過濾的規則以網絡層和傳輸層為基礎，包括源和目標IP地址、協議類型、源和目標端口號過濾器往往建立一組規則，根據IP數據包是否匹配規則中指定的條件來作出決定如果匹配到一條規則，則根據此規則決定轉發或者丟棄如果所有規則都不匹配，則根據缺省策略過濾依據30協議類型：TCP、UDP、ICMP等源IP地址、目的IP地址源端口、目的端口：FTP(21)、HTTP(80)等數據包流向：in或outIP選項：

源路由選項等TCP選項：SYN、ACK、FIN、RST等數據包流經網絡接口：eth0、eth1等包過濾防火墻工作協議31應用層傳輸層網絡層數據鏈路層物理層物理層數據鏈路層網絡層應用層傳輸層網絡層數據鏈路層物理層外部網絡主機內部網絡主機包過濾型防火墻IPTCP傳輸層過濾規則設置32方向類型源地址目的地址源端口目的端口動作inside