第7章防火墻技術

2

課程主要內容防火墻概述防火墻體系結構防火墻分類防火墻配置

2

3

防火墻的英文名稱為Firewall，該詞是早期建筑領域的專用術語，原指建筑物間的一堵隔離墻，用途是在建筑物失火時阻止火勢的蔓延。

在現代計算機網絡中，防火墻通常位于一個可信任的內部網絡與一個不可信任的外界網絡之間，用于保護內部網絡免受非法用戶的入侵。它在網絡環境下構筑內部網和外部網之間的保護層，并通過網絡路由和信息過濾的安全實現網絡的安全，其會依照特定的規則，允許或是限制傳輸的數據通過。

§7.1

防火墻概述

3

4防火墻系統的邏輯部署下圖所示。防火墻邏輯部署示意圖

4

通常防火墻建立在內部網和Internet之間的一個路由器或計算機上，該計算機也叫堡壘主機。它就如同一堵帶有安全門的墻，可以阻止外界對內部網資源的非法訪問和通行合法訪問，也可以防止內部對外部網的不安全訪問和通行安全訪問。

5

防火墻一般具有三個顯著的特性：

（1）內部網絡和外部網絡之間的所有網絡數據流都必須經過防火墻；只有當防火墻是內、外部網絡之間通信的唯一通道，才可以全面、有效地保護企業網內部網絡不受侵害。

（2）只有符合安全策略的數據流才能通過防火墻

；

防火墻最基本的功能是確保網絡流量的合法性，并在此前提下將網絡的流量快速的從一條鏈路轉發到另外的鏈路上去。

（3）防火墻自身應具有非常強的抗攻擊免疫力。

這是防火墻之所以能擔當企業內部網絡安全防護重任的先決條件。

6

7防火墻的功能：

防火墻最基本的功能就是控制在計算機網絡中不同信任程度區域間傳送的數據流。

具體體現在以下四個方面：

（1）防火墻是網絡安全的屏障；

（2）防火墻可以強化網絡安全策略；

（3）防火墻可以對網絡存取和訪問進行監控審計；

（4）防火墻可以防范內部信息的外泄。

除此上述的安全防護功能之外，防火墻上還可以提供網絡地址轉換（NAT），虛擬專用網（VPN）等其他功能。§7.1

防火墻概述

7

8防火墻的缺陷：

防火墻是網絡安全體系中的重要組成部分，但是僅通過防火墻技術是不能解決所有的安全問題的，防火墻在安全防范中的主要缺陷包括：傳統的防火墻不能防范來自內部網絡的攻擊；防火墻不能防范不通過防火墻的攻擊；防火墻不能防范惡意代碼的傳輸；防火墻不能防范利用標準協議缺陷進行的攻擊；防火墻不能防范利用服務器系統漏洞進行的攻擊；防火墻不能防范未知的網絡安全問題；防火墻對已有的網絡服務有一定的限制。§7.1

防火墻概述

8

防火墻技術分代出現時間采用技術第一代防火墻1984年包過濾技術第二代防火墻1989年應用網關技術第三代防火墻1992年狀態檢測技術第四代防火墻1998年自適應代理技術基于防火墻技術原理分類：有包過濾防火墻、代理服務器防火墻、狀態檢測防火墻和自適應代理防火墻§7.2

防火墻分類

9

101.包過濾技術

包過濾技術也稱為分組過濾技術。它在網絡層截獲網絡數據包，根據防火墻的規則表，來檢測攻擊行為，在網絡層提供較低級別的安全防護和控制。過濾規則以用于IP順行處理的包頭信息為基礎，不理會包內的正文信息內容。

包過濾工作原理示意圖§7.2

防火墻分類

10

11分組過濾防火墻的過濾規則示例

上例中，規則庫中僅有4條規則。規則1允許內網的機器（10.1.1.*網段）訪問外網服務；規則2允許外界通過端口80訪問內網的服務器，即打開的web服務器對外的HTTP服務；規則3允許外界通過端口53訪問內網的服務器，53號端口是DNS服務；規則4禁止了所有其它類型的數據包。組序號動作源IP目的IP源端口目的端口協議類型1允許10.1.1.****TCP2允許*>102380TCP3允許*>102353UDP4禁止任意任意任意任意任意§7.2

防火墻分類

11

包過濾防火墻是最簡單的防火墻，通常它只包括對源IP地址和目的IP地址及端口的檢查。包過濾防火墻通常是一個具有包過濾功能的路由器。因為路由器工作在網絡層，因此包過濾防火墻又叫網絡層防火墻。包過濾是在網絡的出口(如路由器上)對通過的數據包進行檢測，只有滿足條件的數據包才允許通過，否則被拋棄。這樣可以有效地防止惡意用戶利用不安全的服務對內部網進行攻擊。

12

13包過濾技術的優勢包過濾技術的優勢在于其容易實現，費用少，對性能的影響不大，對流量的管理較出色；使用一個過濾路由器就能協助保護整個網絡，目前多數Internet防火墻系統只用一個包過濾路由器；包過濾速度快、效率高。執行包過濾，由于只檢查報頭相應的字段，不查看數據報的內容；包過濾對終端用戶和應用程序是透明的。當數據包過濾路由器決定讓數據包通過時，它與普通路由器沒什么區別，甚至用戶沒有認識到它的存在，因此不需要專門的用戶培訓或在每個主機上設置特別的軟件。

13

14包過濾技術的局限性

定義包過濾器可能是一項復雜的工作。網絡管理人員需要詳細地了解Internet各種服務、包頭格式和希望每個域查找的特定的值。

路由器數據包的吞吐量隨過濾器數量的增加而減少。

不能徹底防止地址欺騙。大多數包過濾路由器都是基于源IP地址、目的IP地址而進行過濾的，而IP地址的偽造是很容易、很普遍的。

一些包過濾路由器不提供或只提供有限的日志能力，有可能直到入侵發生后，危險的包才可能檢測出來。

包過濾技術不能進行應用層的深度檢查，因此不能發現傳輸的惡意代碼及攻擊數據包。§7.2

防火墻分類

14

152.應用網關技術

應用網關（ApplicationGateway）技術又被稱為代理技術。它的邏輯位置在OSI7層協議的應用層上。應用代理防火墻比分組過濾防火墻提供更高層次的安全性，但這是以喪失對應用程序的透明性為代價的。

應用代理防火墻工作流程圖§7.2

防火墻分類

15

代理服務是運行在防火墻主機上的特定的應用程序或服務程序。防火墻主機可以是具有一個內部網接口和一個外部網接口的雙穴(DuelHomed)主機，也可以是一些可以訪問Internet并可被內部主機訪問的堡壘主機。代理服務位于內部用戶和外部服務之間。代理程序在幕后處理所有用戶和Internet服務之間的通信以代替相互間的直接交談。感覺的連接實際的連接代理服務器內部網絡Internet真正的服務器客戶機

16

17應用代理防火墻能夠提供更高層次的安全性：首先應用代理防火墻將保護網絡與外界完全隔離，并提供更細致的日志。這有助于發現入侵行為；應用代理防火墻本身是一臺主機，可以執行諸如身份驗證等功能；應用代理防火墻檢測的深度更深，能夠進行應用級的過濾。

例如，有的應用代理防火墻可以過濾FTP連接并禁止FTP的“put”命令，從而保證用戶不能往匿名FTP服務器上寫入數據；由于域名系統（DNS）的信息不會從受保護的內部網絡傳到外界，所以站點系統的名字和IP地址對Internet是隱蔽的。§7.2

防火墻分類

17

對于用戶，代理服務器給用戶一種直接使用“真正”服務器的感覺；對于真正的服務器，代理服務器給真正服務器一種在代理主機上直接處理用戶的假象。用戶將對“真正”服務器的請求交給代理服務器，代理服務器評價來自客戶的請求，并作出認可或否認的決定。如果一個請求被認可，代理服務器就代表客戶將請求轉發給“真正”的服務器，并將服務器的響應返回給代理客戶。

18

193.狀態檢測技術

狀態檢測技術采用的是一種基于連接的狀態檢測機制，將屬于同一連接的所有包作為一個整體的數據流看待，構成連接狀態表，通過規則表與狀態表的共同配合，對表中的各個連接狀態因素加以識別。

與傳統包過濾防火墻的靜態過濾規則表相比，狀態檢測技術具有更好的靈活性和安全性。狀態檢測防火墻是包過濾技術及應用代理技術的一個折衷。。

§7.2

防火墻分類

19

狀態檢測防火墻監視每一個有效連接的狀態，并根據這些信息決定網絡數據包是否能通過防火墻。它在協議底層截取數據包，然后分析這些數據包，并且將當前數據包和狀態信息與前一時刻的數據包和狀態信息進行比較，從而得到該數據包的控制信息，來達到保護網絡安全的目的。狀態檢測防火墻克服了包過濾防火墻和應用代理服務器的局限性，能夠根據協議、端口及源地址、目的地址的具體情況決定數據包是否可以通過。對于每個安全策略允許的請求，狀態檢測防火墻啟動相應的進程，可以快速地確認符合授權標準的數據包，這使得本身的運行速度很快。§7.2

防火墻分類

20

狀態檢測防火墻試圖跟蹤通過防火墻的網絡連接和包，這樣它就可以使用一組附加的標準，以確定是否允許和拒絕通信。狀態檢測防火墻是在使用了基本包過濾防火墻的通信上應用一些技術來做到這點的。由狀態檢測防火墻跟蹤的不僅是包中包含的信息，為了跟蹤包的狀態，防火墻還記錄有用的信息以幫助識別包，例如已有的網絡連接、數據的傳出請求等。狀態檢測技術還能監視RPC(遠程調用請求)和UDP的端口信息。包過濾防火墻和代理服務防火墻都不支持此類端口的檢測。§7.2

防火墻分類

21

4.自適應代理技術新型的自適應代理(Adaptiveproxy)防火墻，本質上也屬于代理服務技術，但它也結合了動態包過濾(狀態檢測)技術。自適應代理技術是在商業應用防火墻中實現的一種革命性的技術。組成這類防火墻的基本要素有兩個：自適應代理服務器與動態包過濾器。它結合了代理服務防火墻安全性和包過濾防火墻的高速度等優點，在保證安全性的基礎上將代理服務器防火墻的性能提高10倍以上。§7.2

防火墻分類

22

在自適應代理與動態包過濾器之間存在一個控制通道。在對防火墻進行配置時，用戶僅僅將所需要的服務類型、安全級別等信息通過相應代理的管理界面進行設置就可以了。然后，自適應代理就可以根據用戶的配置信息，決定是使用代理服務器從應用層代理請求，還是使用動態包過濾器從網絡層轉發包。如果是后者，它將動態地通知包過濾器增減過濾規則，滿足用戶對速度和安全性的雙重要求。§7.2

防火墻分類

23

常見的免費個人防火墻有：天網防火墻個人版、瑞星個人防火墻、360木馬防火墻、江民黑客防火墻和金山網標等。著名的個人防火墻產品如著名Symantec公司的諾頓、NetworkIce公司的BlackIceDefender、McAfee公司的思科及ZoneLab的FreeZoneAlarm

等。§7.2

防火墻分類

24

瑞星個人防火墻的設置與使用

25

瑞星個人防火墻的設置與使用

26

瑞星個人防火墻的設置與使用

27

瑞星個人防火墻的設置與使用

28

29防火墻的體系結構

防火墻在網絡中的部署位置也稱為防火墻的體系結構，常見防火墻系統的體系結構有4種：

篩選路由器體系結構

單宿主堡壘主機體系結構

雙宿主堡壘主機體系結構

屏蔽子網體系結構§7.3

防火墻的體系結構

29

安裝防火墻以前的網絡

§7.3

防火墻的體系結構

30

安裝防火墻后的網絡

§7.3

防火墻的體系結構

31

DMZ是為了解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題，而設立的一個非安全系統與安全系統之間的緩沖區，這個緩沖區位于企業內部網絡和外部網絡之間的小網絡區域內，在這個小網絡區域內可以放置一些必須公開的服務器設施，如企業Web服務器、FTP服務器和論壇等。通過這樣一個DMZ區域，更加有效地保護了內部網絡，因為這種網絡部署，比起一般的防火墻方案，對攻擊者來說又多了一道關卡。這樣，不管是外部還是內部與對外服務器交換信息數據也要通過防火墻，實現了真正意義上的保護。

DMZ區(demilitarizedzone，也稱非軍事區)§7.3

防火墻的體系結構

32

1、雙重宿主主機體系結構雙重宿主主機體系結構是圍繞具有雙重宿主的主機計算機而構筑的，該計算機至少有兩個網絡接口。可充當與這些接口相連的網絡之間的路由器；它能夠從一個網絡到另一個網絡發送IP數據包。

實現雙重