1．1防火墻概論

1、防火墻,一、 防火墻概論,一般說來，防火墻是指設置在不同網(wǎng)絡(如可信任的企業(yè)內部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全策略控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。,安裝防火墻以前的網(wǎng)絡,安裝防火墻后的網(wǎng)絡,,在邏輯上，防火墻既是一個分離器，一個限制器，它也是一個分析器，它有效地

2、監(jiān)控了內部網(wǎng)和Internet之問的任何活動，保證了內部網(wǎng)絡的安全。從具體實現(xiàn)上來看，防火墻是一個獨立的進程或一組緊密聯(lián)系的進程，運行于路由器或服務器上，控制經(jīng)過它們的網(wǎng)絡應用服務及傳輸?shù)臄?shù)據(jù)。安全、管理、速度是防火墻的三大要素。,防火墻的優(yōu)點,防火墻是網(wǎng)絡安全的屏障控制對主機系統(tǒng)的訪問監(jiān)控和審計網(wǎng)絡訪問防止內部信息的外泄部署NAT機制,防火墻的弱點,防火墻不能防范來自內部網(wǎng)絡的攻擊 防火墻不能防范不經(jīng)由防火墻的攻擊 防火

3、墻不能防范感染了病毒的軟件或文件的傳輸 防火墻不能防范數(shù)據(jù)驅動式攻擊 防火墻不能防范利用標準網(wǎng)絡協(xié)議中的缺陷進行的攻擊 防火墻不能防范利用服務器系統(tǒng)漏洞進行的攻擊 防火墻不能防范新的網(wǎng)絡安全問題 防火墻限制了有用的網(wǎng)絡服務,防火墻的后門,二、防火墻技術,防火墻技術是一種綜合技術，主要包括：包過濾技術、網(wǎng)絡地址轉換技術和代理技術。,包過濾技術,包過濾原理 包過濾是最早應用到防火墻當中的技術之一。它針對網(wǎng)絡

4、數(shù)據(jù)包由信息頭和數(shù)據(jù)信息兩部分組成這一特點而設計。防火墻通過對信息頭的檢測就可以決定是否將數(shù)據(jù)包發(fā)往目的地址，從而達到對進入和流出網(wǎng)絡的數(shù)據(jù)進行監(jiān)測和限制的目的。,包過濾技術,IP頭格式,TCP頭格式,包過濾技術,包過濾模型 包過濾防火墻的核心是包檢查模塊。包檢查模塊深入到操作系統(tǒng)的核心，在操作系統(tǒng)或路由器轉發(fā)包之前攔截所有的數(shù)據(jù)包。當把包過濾防火墻安裝在網(wǎng)關上之后，包過濾檢查模塊深入到系統(tǒng)的傳輸層和網(wǎng)絡層之間，

5、即TCP層和IP層之間，在操作系統(tǒng)或路由器的TCP層對IP包處理以前對IP包進行處理。,包過濾技術,,包過濾技術,包過濾技術 數(shù)據(jù)包過濾功能的實現(xiàn)依賴于包過濾規(guī)則，有時人們也稱之為訪問控制列表(ACL，Access Control List)。只有滿足訪問控制列表的數(shù)據(jù)才被轉發(fā)，其余數(shù)據(jù)則被從數(shù)據(jù)流中刪除。為了保證所有流人和流出網(wǎng)絡的數(shù)據(jù)包都被監(jiān)控和檢測，包過濾器必須放置在網(wǎng)絡單點訪問點的位置。,包過濾技術,1．

6、配置訪問控制列表(配置包過濾防火墻策略)從本質上講，一個包過濾防火墻由一個臟端口、一個凈端口和一組訪問控制列表規(guī)則組成。 訪問控制列表通過控制在防火墻的接口上轉發(fā)還是阻斷數(shù)據(jù)包分組來過濾網(wǎng)絡數(shù)據(jù)流，防火墻檢查每一個數(shù)據(jù)分組，并根據(jù)訪問控制列表規(guī)則對數(shù)據(jù)分組進行操作,包過濾技術,,包過濾策略實例,包過濾技術,訪問控制列表的配置有兩種方式： 限制策略：接受受信任的IP包，拒絕其他所有IP包 寬松策略：拒絕不受信任的IP包，接受其

7、他所有IP包,包過濾技術,2．動態(tài)訪問控制列表(動態(tài)包過濾技術)當配置了動態(tài)訪問控制列表，可以實現(xiàn)指定用戶的IP數(shù)據(jù)流臨時通過防火墻時，進行會話連接。當動態(tài)訪問控制列表被觸發(fā)后，動態(tài)訪問控制列表重新配置接口上的已有的訪問控制列表，允許指定的用戶訪問指定的IP地址。在會話結束后，將接口配置恢復到原來的狀態(tài)。動態(tài)包過濾技術一般結合身份認證機制進行實現(xiàn)。,包過濾技術,,動態(tài)訪問控制列表工作原理圖,包過濾技術,第一步，用戶打開發(fā)起一個到防火

8、墻的Telnet會話，該防火墻已經(jīng)配置了動態(tài)訪問控制列表。第二步，防火墻接收到Telnet數(shù)據(jù)包分組后，打開Telnet會話，提示用戶輸入認證信息(例如，用戶名和口令)并對用戶身份進行驗證。只有用戶通過身份驗證后，用戶才能通過防火墻訪問內部網(wǎng)絡，身份驗證也可由其他安全認證服務器來完成(例如，RADIUS服務器等)。第三步，通過身份認證后，用戶退出Telnet會話，防火墻訪問控制列表內創(chuàng)建一個臨時條目。根據(jù)配置，該臨時條目可以限制用戶

9、臨時訪問的網(wǎng)絡范圍。第四步，用戶通過防火墻交換數(shù)據(jù)。第五步，超過預設定超時時間(Timeout)后，防火墻將刪除這個臨時訪問控制列表規(guī)則，系統(tǒng)管理員也可以手動刪除它。,包過濾技術,3．狀態(tài)包檢查(SPI，Stateful Packet Inspection)技術狀態(tài)包檢查技術又稱為反射訪問控制列表技術。反射訪問控制列表能夠動態(tài)建立訪問控制列表條目，在這些臨時條目中不僅包含必要的包過濾信息，還包含了網(wǎng)絡會話的狀態(tài)信息。這些臨時條目在

10、新會話開始(如內部主機向外部主機發(fā)起連接請求)時創(chuàng)建，并在會話結束時被刪除。,,,狀態(tài)檢測包過濾技術防火墻的工作邏輯流程圖,包過濾技術,,狀態(tài)檢查訪問控制列表工作原理圖,包過濾技術優(yōu)缺點,包過濾技術的優(yōu)點：幫助保護整個網(wǎng)絡，減少暴露的風險；對用戶完全透明，不需要對客戶端做任何改動，也不需要對用戶做任何培訓；很多路由器可以作數(shù)據(jù)包過濾，因此不需要專門添加設備。在應用中依然存在著以下問題 ： 訪問控制列表的配置和維護困難 包過濾

11、防火墻難以詳細了解主機之間的會話關系 基于網(wǎng)絡層和傳輸層實現(xiàn)的包過濾防火墻難以實現(xiàn)對應用層服務的過濾,網(wǎng)絡地址翻譯技術,NAT(Network Address Translation，網(wǎng)絡地址翻譯)的最初設計目的是用來增加私有組織的可用地址空間和解決將現(xiàn)有的私有TCP／IP網(wǎng)絡連接到互聯(lián)網(wǎng)上的IP地址編號問題。,網(wǎng)絡地址翻譯技術,私有IP地址只能作為內部網(wǎng)絡號，不在互聯(lián)網(wǎng)主干網(wǎng)上使用。網(wǎng)絡地址翻譯技術通過地址映射保證了使用私有IP地址

12、的內部主機或網(wǎng)絡能夠連接到公用網(wǎng)絡。NAT網(wǎng)關被安放在網(wǎng)絡末端區(qū)域(內部網(wǎng)絡和外部網(wǎng)絡之間的邊界點上)，并且在源自內部網(wǎng)絡的數(shù)據(jù)包發(fā)送到外部網(wǎng)絡之前把數(shù)據(jù)包的源地址轉換為惟一的IP地址。,網(wǎng)絡地址翻譯技術,靜態(tài)網(wǎng)絡地址翻譯技術NAT網(wǎng)關位于內部和外部網(wǎng)絡接口卡之間，只有在內部和外部網(wǎng)絡接口之間傳輸?shù)臄?shù)據(jù)包才進行轉換。如果網(wǎng)絡地址翻譯技術完全依賴于手工指定內部局部地址和內部全局地址之間映射關系來運行，我們稱之為靜態(tài)網(wǎng)絡地址翻譯技術,,

13、,靜態(tài)網(wǎng)絡地址翻譯 地址轉換原理圖,第一步，在防火墻手工建立靜態(tài)NAT映射表。第二步，網(wǎng)絡內部主機建立一條到外部主機的會話連接。如圖2—7所示，主機10．1．1．1發(fā)送數(shù)據(jù)包到主機B。第三步，防火墻從內部網(wǎng)絡接收到一個數(shù)據(jù)包時檢查NAT映射表：如果已為該地址配置了靜態(tài)地址轉換，防火墻使用內部全局地址，并轉發(fā)該數(shù)據(jù)包。如圖2—7所示，防火墻使用202．168．2．2來替換內部局部地址10．1．1．1；否則，防火墻不對內部地址進行任何轉

14、換，直接將數(shù)據(jù)包進行轉發(fā)或丟棄。第四步，外部主機收到數(shù)據(jù)包后進行應答。如圖2—7所示，主機B將收到來自202．168．2．2的數(shù)據(jù)包(已經(jīng)經(jīng)過NAT轉換后)，并進行應答。第五步，當防火墻接收到來自外部網(wǎng)絡的數(shù)據(jù)包時，防火墻檢查NAT映射表：如果NAT映射表中存在匹配項，則使用內部局部地址替換數(shù)據(jù)包的目的IP地址，并將數(shù)據(jù)包轉發(fā)到內部網(wǎng)絡主機。如圖2—7所示，防火墻使用10．1．1．1替換202．168．2．2，并進行轉發(fā)；如果NAT

15、映射表中不存在匹配項，則拒絕數(shù)據(jù)包。對于每個數(shù)據(jù)包，防火墻都將執(zhí)行第二步到第五步的操作。,網(wǎng)絡地址翻譯技術,動態(tài)網(wǎng)絡地址翻譯技術 如果NAT映射表由防火墻動態(tài)建立，對網(wǎng)絡管理員和用戶透明，我們稱之為動態(tài)網(wǎng)絡地址翻譯技術。 網(wǎng)絡地址翻譯技術允許將多個內部IP地址映射成為一個外部IP地址。從本質上講網(wǎng)絡地址映射并不是簡單的IP地址之間的映射，而是網(wǎng)絡套接字映射，網(wǎng)絡套接字由IP地址和端口號共同組成。當多個不同的內部局部地址映射到同一

16、個內部全局地址時，可以使用不同端口號來區(qū)分它們,網(wǎng)絡地址翻譯技術,,動態(tài)網(wǎng)絡地址翻譯地址轉換原理圖,網(wǎng)絡地址翻譯技術,第一步，網(wǎng)絡內部主機建立到外部主機的會話連接。如圖2—8所示，主機10．1．1．1訪問外部主機B：64．21．7．3。第二步，防火墻接收到來自某內部主機的數(shù)據(jù)包時檢查NAT映射表：如果還沒有為該內部主機建立地址轉換映射項，防火墻會決定對該地址進行轉換。如圖所示，防火墻收到來自10．1．1．1的第一個數(shù)據(jù)包時，建立：10

17、．1．1．1：2492一一202．168．2．2：2492，并記錄會話狀態(tài)。 如果已經(jīng)有其他地址轉換映射存在，那么防火墻將使用該記錄進行地址轉換，并記錄會話狀態(tài)信息。第三步，防火墻進行地址轉換后轉發(fā)數(shù)據(jù)包。第四步，外部主機收到訪問信息，并進行應答。第五步，當防火墻接收到來自外部網(wǎng)絡的數(shù)據(jù)包，檢查NAT映射表查詢匹配項：如果NAT映射表中存在地址映射和會話狀態(tài)匹配的選項時，轉發(fā)數(shù)據(jù)包，如圖2—8所示；否則，拒絕數(shù)據(jù)包。對于

18、每個數(shù)據(jù)包，防火墻都將執(zhí)行第二步到第五步的操作。,網(wǎng)絡地址翻譯技術,網(wǎng)絡地址翻譯技術實現(xiàn)負載均衡網(wǎng)絡地址翻譯技術不僅僅具有隱蔽內部網(wǎng)絡結構的作用，同時可以用于網(wǎng)絡負載均衡,網(wǎng)絡地址翻譯技術,,網(wǎng)絡地址翻譯實現(xiàn)TCP負載均衡原理圖,第一步，外部內部主機建立到內部服務器的會話連接。如圖2—9所示，外部主機B建立到內部網(wǎng)絡虛擬www服務器202．168．2．1：80的一個會話連接。 第二步，防火墻從主機10．1．1．1接收到這個連接

19、請求，為其建立一個新的地址轉換映射，為該內部全局IP地址202．168．2．1分配一個真實內部主機地址(例如，10．1．1．1)。 第三步，防火墻用所選的真實內部主機地址替換原目的地址，并轉發(fā)該數(shù)據(jù)包。 第四步，內部主機10．1．1．1接收到該數(shù)據(jù)包，并做出應答。 第五步，防火墻接收到應答數(shù)據(jù)包，用內部局部地址及端口號和外部地址及端口號從NAT映射表中查找出對應的內部全局地址(虛擬主機地址)和端口號。然后將源地址

20、轉換成虛擬主機地址，并轉發(fā)該數(shù)據(jù)包。,網(wǎng)絡地址翻譯技術,網(wǎng)絡地址翻譯技術本身依然存在一些問題難以解決： 一些應用層協(xié)議的工作特點導致了它們無法使用網(wǎng)絡地址翻譯技術 靜態(tài)和動態(tài)網(wǎng)絡地址映射安全問題 對內部主機的引誘和特洛伊木馬攻擊 狀態(tài)表超時問題,網(wǎng)絡代理技術,網(wǎng)絡代理技術---應用層代理包過濾技術在網(wǎng)絡層實現(xiàn)數(shù)據(jù)包的攔截、分析和過濾等應用。代理(Proxy)技術針對每一個特定應用進行實現(xiàn)，在應用層實現(xiàn)網(wǎng)絡數(shù)據(jù)流保護功能，代理的

21、主要特點是具有狀態(tài)性。代理能夠提供部分與傳輸有關的狀態(tài)，能完全提供與應用相關的狀態(tài)部分傳輸信息，代理也能夠處理和管理信息。,網(wǎng)絡代理技術,Telnet代理服務,網(wǎng)絡代理技術,應用層代理服務器起到了內部網(wǎng)絡向外部網(wǎng)絡申請服務時的中間轉接作用對外部網(wǎng)來說，外部網(wǎng)所見到的只是代理服務器，因為它收到的請求都是從代理服務器來的，對內部網(wǎng)來說，客戶機所能直接訪問的只是代理服務器，它的請求首先是發(fā)給了代理服務器。,網(wǎng)絡代理技術,外部網(wǎng)絡主機通過應用

22、層代理訪問內部網(wǎng)絡主機，內部網(wǎng)絡主機只接受應用層代理提出的服務請求，拒絕外部網(wǎng)絡節(jié)點的直接請求,網(wǎng)絡代理技術,,INTERNET客戶通過應用層代理訪問內部網(wǎng)絡主機,網(wǎng)絡代理技術,在具體應用中，應用層代理往往通過一臺雙宿主機或堡壘主機進行實現(xiàn)，應用層代理允許用戶訪問，但是不應該允許用戶注冊到應用層代理主機上。 應用層代理一般只向單個主機或一部分主機提供網(wǎng)絡服務，而不是向所有的主機提供此服務 針對不同服務的代理功能需要開發(fā)不同的代理服務

23、程序，對于一些服務可以容易或自動提供代理，對于這些服務可以通過對正常服務器的配置來設置代理。,應用層代理技術的優(yōu)缺點分析 應用層代理的主要優(yōu)點 應用層代理有能力支持可靠的用戶認證并提供詳細的注冊信息；用于應用層的過濾規(guī)則相對于包過濾路由器來說更容易配置和測試；應用層代理工作在客戶機和真實服務器之間，可以完全控制網(wǎng)絡會話，所以可以提供很詳細的日志和安全審計功能；提供代理服務的防火墻可以被配置成惟一的可被外部看見的主機，這樣可以

24、隱藏內部網(wǎng)的IP地址，可以保護內部主機免受外部主機的進攻；通過代理訪問Internet可以解決合法的IP地址不夠用的問題，因為Internet所見到只是代理服務器的地址，內部IP通過代理可以訪問Intenet。,網(wǎng)絡代理技術,2．應用層代理的缺點 有限的連接性 有限的技術 應用層實現(xiàn)的防火墻會造成明顯的性能下降； 每個應用程序都必須有一個代理服務程序來進行安全控制，每一種應用升級時，相應代理服務程序也要升級，維護相對復雜；

25、應用層代理要求用戶改變自己的行為，或者在訪問代理服務的每個系統(tǒng)上安裝特殊的軟件。 應用層代理對操作系統(tǒng)和應用層的漏洞也是脆弱的，,網(wǎng)絡代理技術,電路級代理 應用層代理為一種特定的服務(如FTP，Telnet等)提供代理服務，它不但轉發(fā)流量而且對應用層協(xié)議做出解釋。而電路級代理(通常也稱為電路級網(wǎng)關)也是一種代理，但是只是建立起一個回路，對數(shù)據(jù)包只起轉發(fā)的作用。電路級網(wǎng)關依賴于TCP連接，并不進行任何附加的包處理或過濾。,網(wǎng)絡代理技

26、術,在電路級網(wǎng)關中，數(shù)據(jù)包被提交給應用層來處理。電路級網(wǎng)關只用來在兩個通信終點之間轉接數(shù)據(jù)包，只是將簡單的字節(jié)回來復制，由于連接似乎是起源于防火墻，其隱藏了受保護網(wǎng)絡的有關信息 電路級網(wǎng)關對外像一個代理，而對內則是一個過濾路由器,網(wǎng)絡代理技術,,電路級網(wǎng)關工作原理示意圖,網(wǎng)絡代理技術,SOCKS代理技術 SOCKS協(xié)議是一個電路級網(wǎng)關的標準，它在1991年是由Koblas等提出，IETF也建立了SOCKS標準。SOCKS協(xié)議可以通

27、過中繼TCP數(shù)據(jù)包實現(xiàn)功能強大的電路級網(wǎng)關防火墻，而對應用層不需要作任何改變。,網(wǎng)絡代理技術,,SOCKS服務器的工作原理圖,網(wǎng)絡代理技術,SOCKS代理可以使那些運行在防火墻后面的主機能夠充分地訪問Internet，而無須內部主機直接與外部主機建立連接；可以實現(xiàn)管理員明確地控制一個組織內部如何與Intetnet通{信；可以實現(xiàn)在特定的主機上提供特定的服務；可以禁止對Intenet上的某些主機的訪問；可以實現(xiàn)詳細的日志記錄。,網(wǎng)絡代理技

28、術,SOCKS代理主要由兩部分組成： SOCKS服務程序：這是一個可以直接同Intenet和內部網(wǎng)絡通信的程序； SOCKS客戶程序：這是一個經(jīng)過修改的Internet客戶程序。它將使運行客戶程序的{主機同運行服務程序的主機通信，而不是直接與Intenet通信。,三、防火墻的基本結構,1、屏蔽路由器2、雙宿主機防火墻 3、屏蔽主機防火墻4、屏蔽子網(wǎng)防火墻5、其他的防火墻結構,屏蔽路由器,屏蔽路由器作為內外連接的惟一通

29、道，要求所有的報文都必須在此通過檢查,雙宿主機防火墻,這種配置是用一臺裝有兩塊網(wǎng)卡的堡壘主機做防火墻。兩塊網(wǎng)卡分別與受保護網(wǎng)和外部網(wǎng)相連。堡壘主機上運行著防火墻軟件，可以轉發(fā)應用程序，提供服務等,屏蔽主機防火墻,屏蔽主機防火墻易于實現(xiàn)也很安全，因此應用廣泛。,屏蔽子網(wǎng)防火墻,這種方法是在內部網(wǎng)絡和外部網(wǎng)絡之間建立一個被隔離的子網(wǎng)，用兩臺分組過濾路由器將這一子網(wǎng)分別與內部網(wǎng)絡和外部網(wǎng)絡分開。在很多實現(xiàn)中，兩個分組過濾路由器放在子網(wǎng)的兩端，

30、在子網(wǎng)內構成一個非軍事區(qū)(DMZ)。,其他的防火墻結構,一個堡壘主機和一個非軍事區(qū),,兩個堡壘主機和兩個非軍事區(qū),,兩個堡壘主機和一個非軍事區(qū),,典型的防火墻結構,練習題,1．包過濾防火墻適合應用的場合有( )。A．機構是集中化的管理 B．網(wǎng)絡主機數(shù)比較少C．機構有強大的集中安全策略 D．使用了DHCP這樣的動態(tài)IP地址分配協(xié)議2．數(shù)據(jù)包不屬于包過濾一般需要檢查的部分是( )。A．IP源地址和目的地址

31、 B．源端口和目的端口C．協(xié)議類型 D．TCP序列號3．包過濾的優(yōu)點不包括( )。A．處理包的數(shù)據(jù)比代理服務器快 B．不需要額外費用C．對用戶是透明的 D．包過濾防火墻易于維護,4．關于狀態(tài)檢查技術，說法錯誤的是( )。A．跟蹤流經(jīng)防火墻的所有通信信息B．采用一個“監(jiān)測模塊”執(zhí)行網(wǎng)絡安全策略C．對通信連接的狀態(tài)進行跟蹤與分析D．狀態(tài)檢查防火墻工作在協(xié)議的最底層，所以不能有效地監(jiān)測應用層的數(shù)據(jù)

32、5．狀態(tài)檢查防火墻的優(yōu)點不包括( )。A．高安全性 B．高效性C．可伸縮性和易擴展性 D．易配置性6．關于網(wǎng)絡地址翻譯技術的說法，錯誤的是( )。A．只能進行一對一的網(wǎng)絡地址翻譯B．解決IP地址空間不足問題C．向外界隱藏內部網(wǎng)結構 D．有多種地址翻譯模式,7．網(wǎng)絡地址翻譯的模式不包括( )。A．靜態(tài)翻譯 B．動態(tài)翻譯C．負載平衡翻譯 D．隨機地址翻譯8．關于代理技術的說法，

33、錯誤的是( )。A．代理技術又稱為應用層網(wǎng)關技術B．代理技術針對每一個特定應用都有一個程序C．代理是企圖在網(wǎng)絡層實現(xiàn)防火墻的功能D．代理也能處理和管理信息9．關于代理技術的特點的說法，錯誤的是( )。A．速度比包過濾防火墻要快得多B．對每一類應用，都需要一個專門的代理C．靈活性不夠D．代理能理解應用協(xié)議，可以實施更細粒度的訪問控制10．關于代理技術優(yōu)點的說法，錯誤的是( )。A．易于配置，界面友好