防火墙技术的原理与应用.ppt

第8章防火墙技术的原理与应用,8.1 防火墙概述 8.2 防火墙技术与类型 8.3 防火墙主要技术参数 8.4 防火墙防御体系结构类型 8.5 防火墙部署与应用案例8.6 本章小结 本章思考与练习,8.1 防 火 墙 概 述,8.1.1 防火墙技术背景目前，各组织机构都是通过便利的公共网络与客户、合作伙伴进行信息交换的，但是，一些敏感的数据有可能泄露给第三方，特别是连上因特网的网络将面临黑客的攻击和入侵。为了应对网络威胁，连网的机构或公司将自己的网络与公共的不可信任的网络进行隔离，其方法是根据网络的安全信任程度和需要保护的对象，人为地划分若干安全区域，这些安全区域有：,*公共外部网络，如Internet。*内联网(Intranet)，如某个公司或组织的专用网络，网络访问限制在组织内部。*Extranet，是内联网的扩展延伸，常用作组织与合作伙伴之间进行通信。*军事缓冲区域，简称DMZ，该区域是介于内部网络和外部网络之间的网络段，常放置公共服务设备，向外提供信息服务。,在安全区域划分的基础上，通过一种网络安全设备，控制安全区域间的通信，就能实现隔离有害通信的作用，进而可以阻断网络攻击。这种安全设备的功能类似于防火使用的墙，因而人们就把这种安全设备俗称为“防火墙”，它一般安装在不同的安全区域边界处，用于网络通信安全控制，由专用硬件或软件系统组成。,8.1.2 防火墙工作原理防火墙是由一些软、硬件组合而成的网络访问控制器，它根据一定的安全规则来控制流过防火墙的网络包，如禁止或转发，能够屏蔽被保护网络内部的信息、拓扑结构和运行状况，从而起到网络安全屏障的作用。防火墙一般用来将内部网络与Internet或者其他外部网络互相隔离，限制网络互访，保护内部网络的安全，如图8-1所示。,图8-1 防火墙部署安装示意图,防火墙根据网络包所提供的信息实现网络通信访问控制：如果网络通信包符合网络访问控制策略，就允许该网络通信包通过防火墙，否则不允许，如图8-2所示。防火墙的安全策略有两种类型，即：(1)只允许符合安全规则的包通过防火墙，其他通信包禁止。(2)禁止与安全规则相冲突的包通过防火墙，其他通信包都允许。,图8-2 防火墙工作示意图,防火墙简单的可以用路由器、交换机实现，复杂的就要用一台计算机，甚至一组计算机实现。按照TCP/IP协议的层次，防火墙的访问控制可以作用于网络接口层、网络层、传输层、应用层，首先依据各层所包含的信息判断是否遵循安全规则，然后控制网络通信连接，如禁止、允许。防火墙简化了网络的安全管理。如果没有它，网络中的每个主机都处于直接受攻击的范围之内。为了保护主机的安全，就必须在每台主机上安装安全软件，并对每台主机都要定时检查和配置更新。归纳起来，防火墙的功能有：*过滤非安全网络访问。将防火墙设置为只有预先被允许的服务和用户才能通过防火墙，禁止未授权的用户访问受保护的网络，降低被保护网络受非法攻击的风险。,*限制网络访问。防火墙只允许外部网络访问受保护网络的指定主机或网络服务，通常受保护网络中的Mail、FTP、WWW服务器等可让外部网络访问，而其他类型的访问则予以禁止。防火墙也用来限制受保护网络中的主机访问外部网络的某些服务，例如某些不良网址。*网络访问审计。防火墙是外部网络与受保护网络之间的惟一网络通道，可以记录所有通过它的访问并提供网络使用情况的统计数据。依据防火墙的日志，可以掌握网络的使用情况，例如网络通信带宽和访问外部网络的服务数据。防火墙的日志也可用于入侵检测和网络攻击取证。,*网络带宽控制。防火墙可以控制网络带宽的分配使用，实现部分网络质量服务(QoS)保障。*协同防御。目前，防火墙和入侵检测系统通过交换信息实现联动，根据网络的实际情况配置并修改安全策略，增强网络安全。,8.1.3 防火墙缺陷尽管防火墙有许多防范功能，但它也有一些力不能及的地方，因为防火墙只能对通过它的网络通信包进行访问控制，所以对未经过它的网络通信就无能为力了。例如，如果允许从内部网络直接拨号访问外部网络，则防火墙就失效了，攻击者通过用户拨号连接直接访问内部网络，绕过防火墙控制，也能造成潜在的攻击途径。,除此之外，防火墙还有一些脆弱点，例如:*防火墙不能完全防止感染病毒的软件或文件传输。防火墙是网络通信的瓶颈，因为已有的病毒、操作系统以及加密和压缩二进制文件的种类太多，以致于不能指望防火墙逐个扫描每个文件查找病毒，而只能在每台主机上安装反病毒软件。*防火墙不能防止基于数据驱动式的攻击。当有些表面看来无害的数据被邮寄或复制到主机上并被执行而发起攻击时，就会发生数据驱动攻击效果。防火墙对此无能为力。*防火墙不能完全防止后门攻击。防火墙是粗粒度的网络访问控制，某些基于网络隐蔽通道的后门能绕过防火墙的控制，例如http tunnel等。,8.2 防火墙技术与类型,8.2.1 包过滤包过滤是在IP层实现的防火墙技术。包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。此外，还有一种可以分析包中数据区内容的智能型包过滤器。基于包过滤技术的防火墙，简称包过滤型防火墙，英文表示就是Packet Filter，其工作机制如图8-3所示。,图8-3 包过滤工作机制,目前，包过滤是防火墙的基本功能之一。多数现代的IP路由软件或设备都支持包过滤功能，并默认转发所有的包。ipf、ipfw、ipfwadm是有名的自由过滤软件，可以运行在Linux操作系统平台上。包过滤的控制依据是规则集，典型的过滤规则表示格式由规则号、匹配条件、匹配操作三部分组成，包过滤规则格式随所使用的软件或防火墙设备的不同而略有差异，但一般的包过滤防火墙都用源IP地址、目的IP地址、源端口号、目的端口号、协议类型(UDP，TCP，ICMP)、通信方向及规则运算符来描述过滤规则条件。而匹配操作有拒绝、转发、审计等三种。表8-1是包过滤型防火墙过滤规则表，这些规则的作用在于只允许内、外网的邮件通信，其他的通信都禁止。,表8-1 防火墙过滤规则表,包过滤型防火墙对用户透明，合法用户在进出网络时，感觉不到它的存在，使用起来很方便。在实际网络安全管理中，包过滤技术经常用来进行网络访问控制。下面以Cisco IOS为例，说明包过滤器的作用。Cisco IOS有两种访问规则形式，即标准IP访问表和扩展IP访问表，它们的区别主要是访问控制的条件不一样。标准IP访问表只是根据IP包的源地址进行。标准IP访问控制规则的格式如下：assess-list list-mumberdeny|pernitsourcesource-wildcardlog,而扩展IP访问规则的格式是:assess-list list-mumberdeny|pernitprotocolsource source-wildcard source-qualifiersdestination destination-wildcard destination-qualifierslog|log-input其中：*标准IP访问控制规则的list-number 规定为199，而扩展IP访问规则的list-number规定为100199；,*deny表示若经过Cisco IOS过滤器的包条件匹配，则禁止该包通过；*permit表示若经过Cisco IOS过滤器的包条件匹配，则允许该包通过；*source表示来源的IP地址；*source-wildcard 表示发送数据包的主机IP地址的通配符掩码，其中1代表“忽略”，0代表“需要匹配”，any代表任何来源的IP包；*destination表示目的IP地址；*destination-wildcard 表示接收数据包的主机IP地址的通配符掩码；*protocol 表示协议选项，如IP、ICMP、UDP、TCP等；*log 表示记录符合规则条件的网络包。,下面给出一个例子，用Cisco路由器防止DDoS攻击，配置信息如下：!the TRINOO DDoS systemsaccess-list 170 deny tcp any any eq 27665 logaccess-list 170 deny udp any any eq 31335 logaccess-list 170 deny udp any any eq 27444 log!the Stacheldraht DDoS systemsaccess-list 170 deny tcp any any eq 16660 logaccess-list 170 deny tcp any any eq 65000 log!the TrinityV3 systems,access-list 170 deny tcp any any eq 33270 logaccess-list 170 deny tcp any any eq 39268 log!the Subseven systems and some variantsaccess-list 170 deny tcp any any range 6711 6712 logaccess-list 170 deny tcp any any eq 6776 logaccess-list 170 deny tcp any any eq 6669 logaccess-list 170 deny tcp any any eq 2222 logaccess-list 170 deny tcp any any eq 7000 log,简而言之，包过滤成为当前解决网络安全问题的重要技术之一，不仅可以用在网络边界上，而且也可应用在单台主机上。例如，现在的个人防火墙以及Windows 2000和Windows XP都提供了对TCP、UDP等协议的过滤支持，用户可以根据自己的安全需求，通过过滤规则的配置来限制外部对本机的访问。图8-4是利用Windows 2000系统自带的包过滤功能对139端口进行过滤，这样可以阻止基于RPC的漏洞攻击。,图8-4 Windows 2000过滤配置示意图,包过滤防火墙技术的优点是低负载、高通过率、对用户透明；但是包过滤技术的弱点是不能在用户级别进行过滤，如不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设置成一个合法主机的IP地址，就可以轻易通过包过滤器。,8.2.2 应用服务代理应用服务代理防火墙扮演着受保护网络的内部网主机和外部网络主机的网络通信连接“中间人”的角色，代理防火墙代替受保护网络的主机向外部网络发送服务请求，并将外部服务请求响应的结果返回给受保护网络的主机，如图8-5所示。,图8-5 代理服务工作流程示意图,采用代理服务技术的防火墙简称代理服务器，它能够提供在应用级的网络安全访问控制。代理服务器按照所代理的服务可以分为FTP代理、TELENET、HTTP代理、SOCKET代理、邮件代理等。代理服务器通常由一组按应用分类的代理服务程序和身份验证服务程序构成。每个代理服务程序应用到一个指定的网络端口，代理客户程序通过该端口获得相应的代理服务。例如，IE浏览器支持多种代理配置，包括HTTP、FTP、SOCKs等，如图8-6所示。,图8-6 IE浏览器配置示意图,代理服务技术也是常用的防火墙技术，安全管理员为了对内部网络用户进行应用级上的访问控制，常安装代理服务器，如图8-7所示。受保护内部用户对外部网络访问时，首先需要通过代理服务器的认可，才能向外提出请求，而外网的用户只能看到代理服务器，从而隐藏了受保护网的内部结构及用户的计算机信息。因而，代理服务器可以提高网络系统的安全性。应用服务代理技术的优点是：,图8-7 代理服务器工作示意图,*不允许外部主机直接访问内部主机；*支持多种用户认证方案；*可以分析数据包内部的应用命令；*可以提供详细的审计记录。而它的缺点是：*速度比包过滤慢；*对用户不透明；*与特定应用协议相关联，代理服务器并不能支持所有的网络协议。,8.2.3 网络地址转换NAT是“Network Address Translation”的英文缩写，中文的意思是“网络地址转换”。NAT技术主要是为了解决公开地址不足而出现的，它可以缓解少量因特网IP地址和大量主机之间的矛盾。但NAT技术用在网络安全应用方面，则能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，从而提高内部网络的安全性。基于NAT技术的防火墙上装有一个合法的IP地址集，当内部某一用户访问外网时，防火墙动态地从地址集中选一个未分配的地址分配给该用户，该用户即可使用这个合法地址进行通信。,实现网络地址转换的方式有：静态NAT(staticNAT)、NAT池(pooledNAT)和端口NAT(PAT)三种类型。其中，静态NAT设置起来最为简单，此时内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而NAT池则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。NAT的三种方式目前已被许多的路由器产品支持。在路由器上定义启用NAT的一般步骤如下：,第一步，确定使用NAT的接口，通常将连接到内部网络的接口设定为NAT内部接口，将连接到外网的接口设定为NAT的外部接口。第二步，设定内部全局地址的转换地址及转换方式。第三步，根据需要将外部全局地址转换为外部本地地址。目前，专用的防火墙产品都支持地址转换技术，比较常见的有：IP-Filter和iptable。IP-Filter的功能强大，它可完成ipfwadm、ipchains、ipfw等防火墙的功能，而且安装配置相对比较简单。,8.3 防火墙主要技术参数,8.3.1 防火墙功能指标防火墙主要功能类指标项如表8-2所示。,表8-2 防火墙主要功能类指标项,8.3.2 防火墙性能指标评估防火墙性能指标涉及到防火墙所采用的技术，根据现有防火墙产品，防火墙在性能方面的指标主要有：*最大吞吐量：检查防火墙在只有一条默认允许规则和不丢包的情况下达到的最大吞吐速率。*转送速率：检查防火墙在通常安全规则发生作用的情况下，能以多快的速度转送正常的网络通信量。*最大规则数：检查在添加大数量访问规则的情况下，防火墙的性能变化状况。*并发连接数：防火墙在单位时间内所能建立的最大TCP 连接数，即每秒的连接数。,8.3.3 防火墙安全指标由于防火墙在网络安全中扮演着重要的角色，因此防火墙的自身安全至关重要。当前，评价防火墙的安全功能的指标主要有：*入侵实时警告：防火墙能够对自身和受保护网络的非法攻击进行多种告警，如声音、日志、邮件、呼机、手机等。*实时入侵防范：提供实时入侵响应功能，当发生入侵事件时，防火墙能够动态响应，调整安全策略，阻挡恶意报文。,*抗攻击性要求：防火墙具有抵抗针对本身和受保护网络的攻击能力，这些攻击包括IP地址欺骗、拒绝服务攻击、渗透性攻击等。*防火墙所采用的操作系统应是安全可信的：防火墙应采用安全的操作系统或安全增强型的操作系统。,8.4 防火墙防御体系结构类型,8.4.1 基于双宿主主机防火墙结构基于双宿主主机结构是最基本的防火墙系统结构。这种系统实质上是至少具有两个网络接口卡的主机系统。在这种结构中，一般都是将一个内部网络和外部网络分别连接在不同的网卡上，使内外网络不能直接通信。对从一块网卡上送来的IP包，经过一个安全检查模块检查后，如果是合法的，则转发到另一块网卡上，以实现网络的正常通信；如果不合法，则阻止通信。这样，内外网络直接的IP数据流完全在双宿主主机的控制之中，如图8-8所示。,图8-8 双宿主主机防火墙结构,8.4.2 基于代理型防火墙结构双宿主主机结构由一台同时连接内外网络的主机提供安全保障，代理型结构则不同。代理型结构中由一台主机同外部网连接，该主机代理内部网和外部网的通信。同时，代理型结构中还包括过滤路由器，即代理服务器和路由器共同构建了一个网络安全边界防御架构，如图8-9所示。,图8-9 代理型防火墙结构,在这种结构中，代理主机位于内部网络。一般情况下，过滤路由器可按如下规则进行配置：*允许其他内部主机为某些类型的服务请求与外部网络建立直接连接。*任何外部网(或Internet)的主机只能与内部网络的代理主机建立连接。*任何外部系统对内部网络的操作都必须经过代理主机。同时，代理主机本身要求要有较全面的安全保护。,由于这种结构允许包从外部网络直接传送到内部网(代理主机)，因此这种结构的安全控制看起来似乎比双宿主主机结构差。在双宿主主机结构中，外部网络的包理论上不可能直接抵达内部网。但实际上，应用双宿主主机结构防护数据包从外部网络进入内部网络也很容易失败，并且这种失败是随机的，所以无法有效地预先防范。一般来说，代理型结构比双宿主主机结构能提供更好的安全保护，同时操作也更加简便。代理型结构的主要缺点是，只要攻击者设法攻破了代理主机，那么对于攻击者来说，整个内部网络与代理主机之间就没有任何障碍了，攻击者变成了内部合法用户，完全可以侦听到内部网络上的所有信息。,8.4.3 基于屏蔽子网的防火墙结构如图8-10所示，子网过滤结构是在代理型结构中增加了一层周边网络的安全机制，使内部网络和外部网络有两层隔离带。周边网络隔离堡垒主机与内部网，减轻攻击者攻破堡垒主机时对内部网络的冲击力。攻击者即使攻破了堡垒主机，也不能侦听到内部网络的信息，不能对内部网络直接操作。基于屏蔽子网的防火墙结构的特点是：*应用代理位于被屏蔽子网中，内部网络向外公开的服务器也放在被屏蔽子网中，外部网络只能访问被屏蔽子网，不能直接进入内部网络。,*两个包过滤路由器的功能和配置是不同的，包过滤路由器A的作用是过滤外部网络对被屏蔽子网的访问。包过滤路由器B的作用是过滤被屏蔽子网对内部网络的访问。所有外部网络经由被屏蔽子网对内部网络的访问，都必须经过代理服务器的检查和认证。*优点：安全级别最高。*缺点：成本高，配置复杂。,图8-10 屏蔽子网防火墙结构,8.5 防火墙部署与应用案例,8.5.1 防火墙部署的基本方法与步骤防火墙部署是指根据受保护的网络环境和安全策略，如网络物理结构或逻辑区域，将防火墙安装在网络系统中的过程。防火墙部署的基本过程包含以下几个步骤：第一步，根据组织或公司的安全策略要求，将网络划分成若干安全区域；第二步，在安全区域之间设置针对网络通信的访问控制点；第三步，针对不同访问控制点的通信业务需求，制定相应的边界安全策略；,第四步，依据控制点的边界安全策略，采用合适的防火墙技术和防范结构；第五步，在防火墙上，配置实现对应的边界安全策略；第六步，测试并验证边界安全策略是否正常执行。第七步，运行和维护防火墙。,8.5.2 基于Cisco路由器的安全应用案例,图8-11 某公司的网络结构,为了保证内部网络和路由器的安全，特定义如下安全策略：*只允许指定的主机收集SNMP管理信息；*禁止来自外部网络的非法通信流通过；*禁止来自内部网络的非法通信流通过；*只允许指定的主机远程访问路由器。,Cisco 路由器的安全配置信息如下：Hostname East!interface Ethernet 0ipip access-group 100 in!interface Ethernet 1 ip ip access-group 102 in,!router ospf 44network 14.1.0.0 0.0.255.255 area 0network 14.2.6.0 0.0.0.255 area 1!access-list 75 applies to hosts allowed to gather SNMP info!from this routerno access-list 75!,!access-list 100 applies to traffic from external networks!to the internal network or to the routerno access-list 100access-list 100 deny ip 14.2.6.0 0.0.0.255 any logaccess-list 100 deny ip host 14.1.1.20 host 14.1.1.20 logaccess-list 100 deny ip 127.0.0.0 0.255.255.255any logaccess-list 100 deny ip 10.0.0.0 0.255.255.255any log,access-list 100 deny ip 0.0.0.0 0.255.255.255 any logaccess-list 100 deny ip 172.16.0.0 0.15.255.255 any log access-list 100 deny ip 192.168.0.00.0.255.255 any logaccess-list 100 deny ip 192.0.2.0 0.0.0.255 any logaccess-list 100 deny ip 169.254.0.00.0.255.255 any logaccess-list 100 deny ip 224.0.0.0 15.255.255.255any logaccess-list 100 deny ip any host 14.2.6.255 logaccess-list 100 deny ip any host 14.2.6.0 logaccess-list 100 permit tcp any 14.2.6.0 0.0.0.255 establishedaccess-list 100 deny icmp any any echo log access-list 100 deny icmp any any redirect log,access-list 100 deny icmp any any mask-request logaccess-list 100 permit icmpaccess-list 100 permit ospfaccess-list 100 deny tcp any any range 6000 6063 logaccess-list 100 deny tcp any any eq 6667 log access-list 100 deny tcp any any range 12345 12346 logaccess-list 100 deny tcp any any eq 31337 log access-list 100 permit tcp gt 1023access-list 100 deny udp any any eq 2049 log access-list 100 deny udp any any eq 31337 log,access-list 100 deny udp any any range 33400 34400 logaccess-list 100 permit udp any eq gt 1023access-list 100 deny tcp any range 0 65535 any range 0 65535 logaccess-list 100 deny udp any range 0 65535 any range 0 65535 logaccess-list 100 deny ip any any log!access-list 102 applies to traffic from the internal network!to external networks or to the router itselfno access-list 102 access-list 102 deny ip host 14.2.6.250 host 14.2.6.250 logaccess-list 102 permit icmp 14.2.6.0 0.0.0.255 any echo access-list 102 permit icmp 14.2.6.0 0.0.0.255 any parameter-problem,access-list 102 permit icmp 14.2.6.0 0.0.0.255 any packet-too-bigaccess-list 102 permit icmp 14.2.6.0 0.0.0.255 any source-quenchaccess-list 102 deny tcp any any range 1 19 logaccess-list 102 deny tcp any any eq 43 logaccess-list 102 deny tcp any any eq 93 logaccess-list 102 deny tcp any any range 135 139 logaccess-list 102 deny tcp any any eq 445 logaccess-list 102 deny tcp any any range 512 518 logaccess-list 102 deny tcp any any eq 540 logaccess-list 102 permit tcp gt 1023 any lt 1024access-list 102 permit tcp gt 1023 any eq 53access-list 102 permit tcp 14.2.6.0 0.0.0.255 any range 33400,34400 logaccess-list 102 deny tcp any range 0 65535 any range 0 65535 logaccess-list 102 deny udp any range 0 65535 any range 0 65535 logaccess-list 102 deny ip any any log!access-list 150 applies to remote access from specific hosts!(14.2.6.10,14.2.6.11 and 14.2.6.12)to the router itselfno access-list 150access-list 150 permit tcp eq 23 logaccess-list 150 permit tcp eq 23 logaccess-list 150 permit tcp eq 23 log,access-list 150 deny ip any any log!snmp-server community n3t-manag3m3nt ro 75!line vty 0 4 access-class 150 inlogintransport imput telnet,8.6 本 章 小 结,本章介绍了防火墙的概念及其工作机制，重点分析了防火墙所采用的技术原理和防火墙的评价指标。本章对防火墙的防御体系类型进行了归纳分析，主要有双宿主主机结构、代理型结构、屏蔽子网结构。同时，本章还给出了防火墙的应用案例。,本章思考与练习,1.简述各种不同类型防火墙的工作机制。2.试比较分析防火墙所采用的技术的优缺点。3.防火墙体系结构类型有哪些？请举例说明其应用。4.请给出防火墙防范网络蠕虫的案例。5.防火墙是如何保护网站服务器的？6.请从网上下载Linux Netfilter(iptables和ipchains)等常用防火墙软件，并安装配置，掌握其用法。,