第五章防火墙技术课件.ppt

网络安全与病毒防范,第五章,防火墙技术,5.1,防火墙的基本概念,?,?,5.2,?,5.3,?,5.4,2018/11/5,电子科技大学成都学院,2,防火墙的主要技术,防火墙的体系结构,防火墙的局限性及发展,5.1,防火墙的基本概念,?,?,防火墙是一种高级访问控制设备，是在被保护,网和外网之间执行访问控制策略的一种或一系,列部件的组合，是不同网络安全域间通信流的,通道，能根据企业有关安全策略控制进出网络,的访问行为。,防火墙是设置在可信网络,(Trusted Network),和,不可信任的外界之间的一道屏障，可以实施比,较广泛的安全策略来控制信息流进入可信网络，,防止不可预料的潜在的入侵破坏；另一方面能,够限制可信网络中的用户对外部网络的非授权,访问。,电子科技大学成都学院,3,2018/11/5,?,防火墙都必须具有以下三种基本性质：,?,进出网络的双向通信信息必须通过防火墙；,?,只能允许经过本地安全策略授权的通信信息,通过；,?,防火墙本身不能影响网络信息的流通。,2018/11/5,电子科技大学成都学院,4,?,防火墙的功能,主要表现在如下四个方面：,?,（,1,）防火墙是网络安全的屏障,?,（,2,）防火墙可以强化网络安全策略,?,（,3,）对网络存取和访问进行监控审计,?,（,4,）防止内部信息的外泄,?,由于防火墙所处的优越位置，在实际应用中往往加,入其他功能，如,NAT,（网络地址转换）、路由管理、,VPN,等。,2018/11/5,电子科技大学成都学院,5,?,从总体上来看，防火墙应具有以下五个基本功,能：,?,过滤进、出网络的数据；,?,管理进、出网络的访问行为；,?,封堵某些禁止的业务；,?,记录通过防火墙的信息内容和活动；,?,对网络攻击进行检测和告警。,2018/11/5,电子科技大学成都学院,6,5.2,防火墙技术,?,常见的防火墙技术有三种：,?,1,、包,(,分组,),过滤技术,?,2,、代理技术,?,3,、状态检测技术,2018/11/5,电子科技大学成都学院,7,?,1,包,(,分组,),过滤技术,?,包过滤技术,指在网络中适当的位置对数据包,有选择的通过，选择的依据是系统内设置的,过滤规则，只有满足过滤规则的数据包才被,转发到相应的网络接口，其余数据包则从数,据流中删除。,?,包过滤防火墙一般位于内部网络和外部网络,的边界上，是内外网络通信的唯一出入点，,所有进出内部网络的流量首先都要经过包过,滤防火墙的审查。,2018/11/5,电子科技大学成都学院,8,?,包过滤防火墙作用在网络层和传输层，它根据通过防,火墙的每个数据包的首部信息确定是否允许数据包通,过。只有满足过滤逻辑的数据包才被转发到相应的目,的地出口端，其余数据包则被从数据流中丢弃。,?,过滤依据特性：,?,?,?,?,?,?,?,?,IP,源地址,IP,目标地址,协议类型（,TCP,包、,UDP,包和,ICMP,包）,TCP,或,UDP,包的目的端口,TCP,或,UDP,包的源端口,ICMP,消息类型,TCP,包头的,ACK,位,TCP,包的序列号、,IP,校验和等,2018/11/5,电子科技大学成都学院,9,分组过滤原理,2018/11/5,控制策略,查找对应的,控制策略,安全网域,根据策略决定如,何处理该数据包,Host C,Host D,拆开数据包,数,据,数据包,数据包,数据包,包,IP,报头,TCP,报头,数据,分组过滤判断信息,过滤依据主要是,TCP/IP,报头里面的,信息，不能对应用层数据进行处理,电子科技大学成都学院,10,?,?,包过滤设备,(,不管是路由器还是防火墙,),配置有一系列的,数据包过滤规则，定义了什么包可以通过防火墙，什,么包必须丢弃，这些规则常称为数据包过滤访问扩展,列表,(ACL),。,各个厂商的防火墙产品都有自己的语法用于创建规则。,一些常用的包过滤规则使用与厂商无关但可理解的定,义语言，如表,5-1,所示。,2018/11/5,电子科技大学成都学院,11,?,一般地，应该阻止如下几种,IP,包进入内部网：,?,（,1,）源地址是内部地址的外来数据包。这类数据包很,可能是为实行,IP,地址诈骗攻击而设计的，其目的是装,扮成内部主机混过防火墙的检查进入内部网。,?,（,2,）指定中转路由器的数据包。这类数据包很可能是,为绕过防火墙而设计的数据包。,?,（,3,）有效载荷很小的数据包。这类数据包很可能是为,抵御过滤规则而设计的数据包，其目的是将,TCP,包首,部分封装成两个或多个,IP,包送出，比如将起始端口和,目标端口分别放在两个不同的,TCP,包中，使防火墙的,过滤规则对这类数据包失效，这种方法称为,TCP,碎片,攻击。,2018/11/5,电子科技大学成都学院,12,?,除了阻止从外部网送来的恶意数据包外，过滤规则还,应阻止某些类型的内部网数据包进入外部网，特别是,用于建立局域网和提供内部网通信服务的各种协议数,据包，包括,:,?,启动程序协议,(Bootp),?,动态主机配置协议,(DHCP),?,简易文件传输协议,(TFTP),?,微软网络基本输入输出系统,(NetBIOS),?,公共互联网文件系统,(CIFS),?,远程行式打印机,(LPR),?,网络文件系统,(NFS),2018/11/5,电子科技大学成都学院,13,?,优点,?,包过滤防火墙的优点在于处理效率上，安全性体现,在根据过滤规则对,TCP,、,UDP,数据包进行检测。,?,缺点,?,制定包过滤路由器的安全规则非常复杂，且不易配,置和维护，有时为了允许正常情况下被阻塞的访问,服务而需要制定规则的例外情形，这使得过滤规则,复杂到难以管理的地步。,?,包过滤防火墙不能很好的处理动态端口连接的情况。不能,根据每一连接的情况，开放实际使用的端口。,2018/11/5,电子科技大学成都学院,14,?,例,1,：包过滤防火墙不能很好的处理动态端口,连接的情况。不能根据每一连接的情况，开放,实际使用的端口。,?,例,2,：包过滤防火墙对于,TCP ACK,隐蔽扫描无,能为力,。,2018/11/5,电子科技大学成都学院,15,?,2,状态包过滤技术,?,状态包过滤,(Stateful Packet Filter),是一种基于连接的,状态检测机制，将属于同一连接的所有包作为一个整,体的数据流看待，对接收到的数据包进行分析，判断,其是否属于当前合法连接，从而进行动态的过滤。,?,跟传统包过滤只有一张过滤规则表不同，状态包过滤,同时维护过滤规则表和状态表。过滤规则表是静态的，,而状态表中保留着当前活动的合法连接，它的内容是,动态变化的，随着数据包来回经过设备而实时更新。,当新的连接通过验证，在状态表中则添加该连接条目，,而当一条连接完成它的通信任务后，状态表中的该条,目将自动删除。,2018/11/5,电子科技大学成都学院,16,?,工作过程,2018/11/5,电子科技大学成都学院,17,?,针对前例的优势,?,状态包过滤借助状态表，可以按需开放端口，,分配到哪个动态端口，就只开放这个端口，,一旦连接结束，该端口重新被关闭，这样很,好的弥补了前面提到的传统包过滤缺陷，大,大增强了安全性。,?,在状态过滤防火墙中，状态过滤器记住了原,来,Web,请求的外出,SYN,包，如果攻击者试图,从早先没有,SYN,的地址和端口发送,ACK,数据,包，则状态包过滤器会丢弃这些包。,2018/11/5,电子科技大学成都学院,18,?,此外，状态数据包过滤能够帮助保护更复杂,2018/11/5,的服务，如,FTP,。,FTP,传输一个文件需要两,个连接：一个,FTP,控制连接,(,通过这个连接发,送获取目录列表和传输文件的命令,),，以及,一个,FTP,数据连接,(,通过这个连接发送文件列,表和文件本身,),。可以配置状态数据包过滤,器，使之只在建立了,FTP,控制连接之后才允,许,FTP,数据连接，从而比传统的,(,非状态,),数,据包过滤器更好地维护协议。,电子科技大学成都学院,19,?,状态数据包过滤器比传统数据包过滤具有强得多的,安全能力。但是，由于必须查询状态表，状态数据,包过滤器通常要比传统数据包过滤器慢一些。不过，,由于大大提高了安全性，性能上的这点变化通常可,以忽略。而且，使用定制的专用芯片，状态过滤处,理仍然可以相当快速。由于这些极大的好处，现在,许多防火墙解决方案都是基于状态数据包过滤技术。,2018/11/5,电子科技大学成都学院,20,?,3.,代理技术,?,代理服务一般分为应用层代理与传输层代理两种。,?,应,用,层,代,理,，,也,称,为,应,用,层,网,关,(Application,Gateway),技术。,?,它工作在网络体系结构的最高层,应用层，通过,对每一种应用服务编制专门的代理程序，实现监视,和,控,制,应,用,层,信,息,流,的,作,用,。,防,火,墙,可,以,代,理,HTTP,、,FTP,、,SMTP,、,POP3,、,Telnet,等协议，使,得内网用户可以在安全的情况下实现浏览网页、收,发邮件、远程登录等应用。,2018/11/5,电子科技大学成都学院,21,?,应用代理防火墙的优点,?,基于代理的防火墙没有传统数据包过滤器遇到的,ACK,攻击扫描问题，因为,ACK,不是有意义的应用请求的一,部分，它将被代理丢弃。,?,基于代理的防火墙可以梳理应用级协议，以确保所有,交换都严格遵守协议消息集。例如，一个,Web,代理可,以确保所有消息都是正确格式化的,HTTP,，而不是仅,仅检查确保它们是前往目标,TCP,端口,80,。,?,代理可以允许或拒绝应用级功能。因此，对于,FTP,，,代理可以允许,FTP,GET,，从而使用户可以将文件带入,网络，同时拒绝,FTP,PUT,，禁止用户使用,FTP,将文件,传送出去。,2018/11/5,电子科技大学成都学院,22,?,应用层网关有能力支持可靠的用户认证并提供详细,的注册信息。因为它在应用级操作，并可以显示用,户,ID,和口令提示或其他验证请求。,?,用于应用层的过滤规则相对于包过滤路由器来说更,容易配置和测试。,?,代理工作在客户机和真实服务器之间，完全控制会,话，所以可以提供很详细的日志和安全审计功能。,?,提供代理服务的防火墙可以被配置成惟一的可被外,部看见的主机，这样可以隐藏内部网的,IP,地址，可,以保护内部主机免受外部主机的进攻。,?,通过代理访问,Internet,可以解决合法,IP,地址不够用的,问题，因为,Internet,所见到只是代理服务器的地址，,内部的,IP,则通过代理可以访问,Internet,。,2018/11/5,电子科技大学成都学院,23,?,缺点,?,尽管特定厂商的实现差别很大，一般来讲，,因为基于代理的防火墙注重于应用层，并详,细搜索协议，因此它们比数据包过滤器防火,墙稍慢。代理对数据流的控制要多得多，但,是控制需要,CPU,开销和内存开销。因此，要,处理相同量的数据流，基于代理的防火墙通,常需要更高性能的处理器。,?,有限的连接性。,?,有限的技术。,2018/11/5,电子科技大学成都学院,24,5.3,防火墙体系结构,?,防火墙体系结构一般分为：,?,包过滤路由器,?,双宿主机防火墙,?,屏蔽主机防火墙,?,屏蔽子网防火墙,2018/11/5,电子科技大学成都学院,25,屏蔽子网防火墙,?,几个概念：,?,1,、周边网络,周边网络是一个防护层，在其上可放置一些信息服,务器，它们是牺牲主机，可能会受到攻击，因此又,被称为非军事区（,DMZ,）。,?,周边网络的作用：即使堡垒主机被入侵者控制，它,仍可消除对内部网的侦听。,E.g.:netxray,等的工作原,理。,?,2018/11/5,电子科技大学成都学院,26,屏蔽子网防火墙,?,2,、堡垒主机,堡垒主机位于周边网络，是整个防御体系的核心。,?,堡垒主机可被认为是应用层网关，可以运行各种代,理服务程序。,?,对于出站服务不一定要求所有的服务经过堡垒主机,代理，但对于入站服务应要求所有服务都通过堡垒,主机。,?,2018/11/5,电子科技大学成都学院,27,屏蔽子网防火墙,?,3,、外部路由器（访问路由器）,作用：保护周边网络和内部网络不受外部网络的侵,犯。,?,它把入站的数据包路由到堡垒主机。,?,防止部分,IP,欺骗，它可分辨出数据包是否真正来自,周边网络，而内部路由器不可。,?,?,4,、内部路由器（阻塞路由器）,作用：保护内部网络不受外部网络和周边网络的侵,害，它执行大部分过滤工作。,?,外部路由器一般与内部路由器应用相同的规则。,?,2018/11/5,电子科技大学成都学院,28,包过滤路由器,进行包过滤,包过滤器,内部网络,外部网络,2018/11/5,电子科技大学成都学院,29,双宿主主机防火墙,双宿主主机,2018/11/5,所有的通信必须经过双宿主主机,?,通过应用代理,?,通过登陆到双宿主主机上获得服务,缺点：如何保护双宿主,主机本身的安全,内部网络,外部网络,?,禁止内外网络之间直接通信,电子科技大学成都学院,30,双宿主主机防火墙,?,?,?,双重宿主主机体系结构是围绕双重宿主主机构筑的。,双重宿主主机至少有两个网络接口，它位于内部网络和外,部网络之间，这样的主机可以充当与这些接口相连的网络,之间的路由器，它能从一个网络接收,IP,数据包并将之发往,另一网络。然而实现双重宿主主机的防火墙体系结构禁止,这种发送功能，完全阻止了内外网络之间的,IP,通信。,两个网络之间的通信可通过应用层数据共享和应用层代理,服务的方法实现。一般情况下采用代理服务的方法,。,2018/11/5,电子科技大学成都学院,31,双宿主主机防火墙,?,双重宿主主机的特性：,?,安全至关重要（唯一通道），其用户口,令控制安全是关键。,?,必须支持很多用户的访问（中转站），,其性能非常重要。,?,缺点：双重宿主主机是隔开内外网络的唯一屏障，,一旦它被入侵，内部网络便向入侵者敞开大门。,2018/11/5,电子科技大学成都学院,32,2018/11/5,缺点：,屏蔽主机,?,堡垒主机与其他主机在同一个子,互联网,网,?,一旦堡垒主机被攻破或被越过，,整个内网和,堡垒主机之间就再也,没有任何阻挡。,过滤器,不允许外部主机直接,进行规则配置，只允许外部,访问除堡垒主机之外,主机与堡垒主机通讯,的其他主机,对内部其他主机的访问,必须经过堡垒主机,电子科技大学成都学院,堡垒主机,33,屏蔽主机防火墙,?,?,屏蔽主机体系结构由防火墙和内部网络的堡垒主,机承担安全责任。一般这种防火墙较简单，可能,就是简单的路由器。,典型构成：包过滤路由器堡垒主机。,?,包过滤路由器配置在内部网和外部网之间，保证外部,系统对内部网络的操作只能经过堡垒主机。,?,堡垒主机配置在内部网络上，是外部网络主机连接到,内部网络主机的桥梁，它需要拥有高等级的安全。,2018/11/5,电子科技大学成都学院,34,屏蔽主机防火墙,?,屏蔽路由器可按如下规则之一进行配置：,?,允许内部主机为了某些服务请求与外部网上的主机建,立直接连接（即允许那些经过过滤的服务）。,?,不允许所有来自内部主机的直接连接。,?,?,安全性更高，双重保护：实现了网络层安全（包,过滤）和应用层安全（代理服务）。,缺点：过滤路由器能否正确配置是安全与否的关,键。,如果路由器被损害，堡垒主机将被穿过，整,个网络对侵袭者是开放的。,2018/11/5,电子科技大学成都学院,35,屏蔽子网体系结构,Internet,外部路由器,堡垒主机,周边网络,内部路由器,内部网络,2018/11/5,电子科技大学成都学院,36,屏蔽子网防火墙,?,?,屏蔽子网体系结构在本质上与屏蔽主机体系结构,一样，但添加了额外的一层保护体系,周边网,络。,堡垒主机位于周边网络上,，周边网络和内部,网络被内部路由器分开。,原因：堡垒主机是用户网络上最容易受侵袭的机,器。通过在周边网络上隔离堡垒主机，能减少在,堡垒主机被侵入的影响。,2018/11/5,电子科技大学成都学院,37,5.3,防火墙,5.3.4,防火墙的局限性和发展,?,没有万能的网络安全技术，防火墙也不例外。防火墙,有以下三方面的局限：,?,防火墙不能防范网络内部的攻击。比如：防火墙无法,禁止变节者或内部间谍将敏感数据拷贝到软盘上。,?,防火墙也不能防范那些伪装成超级用户或诈称新雇员,的黑客们劝说没有防范心理的用户公开其口令，并授,予其临时的网络访问权限。,?,防火墙不能防止传送己感染病毒的软件或文件，不能,期望防火墙去对每一个文件进行扫描，查出潜在的病,毒。,2018/11/5,电子科技大学成都学院,38,防火墙的发展趋势,?,优良的性能,?,可扩展的结构和功能,?,简化的安装与管理,?,主动过滤,?,防病毒与防黑客,2018/11/5,电子科技大学成都学院,39,