第8章 防火墻技術復習

1、網(wǎng)絡安全與管理,第8章 防火墻技術,本章學習目標,防火墻及相關概念 包過濾與代理 防火墻的體系結構 分布式防火墻與嵌入式防火墻,8.1 防火墻概述,8.1.1 相關概念8.1.2 防火墻的作用8.1.3 防火墻的優(yōu)、缺點,8.1.1 相關概念,防火墻的概念防火墻（Firewall）是指隔離在內部網(wǎng)絡與外部網(wǎng)絡之間的一道防御系統(tǒng)，它能擋住來自外部網(wǎng)絡的攻擊和入侵，保障著內部網(wǎng)絡的安全。,,8.1.1 相關

2、概念,防火墻安全策略一個防火墻應該使用以下兩種基本策略中的一種: 除非明確允許，否則就禁止 除非明確禁止，否則就允許,,8.1.2 防火墻的作用,防火墻的基本功能從總體上看，防火墻應具有以下基本功能：可以限制未授權用戶進入內部網(wǎng)絡，過濾掉不安全服務和非法用戶；防止入侵者接近內部網(wǎng)絡的防御設施，對網(wǎng)絡攻擊進行檢測和告警；限制內部用戶訪問特殊站點；記錄通過防火墻的信息內容和活動，監(jiān)視Internet安全提供方便。,,8.1

3、.3 防火墻的優(yōu)、缺點,1．優(yōu)點 防火墻是加強網(wǎng)絡安全的一種有效手段，它有以下優(yōu)點：防火墻能強化安全策略，僅允許符合規(guī)則的信息通過；防火墻能有效地記錄Internet上的活動；防火墻是一個安全策略的檢查站。,8.1.3 防火墻的優(yōu)、缺點,2．缺點 有人認為只要安裝了防火墻，所有的安全問題就會迎刃而解。但事實上，防火墻并不是萬能的，安裝了防火墻的系統(tǒng)仍然存在著安全隱患。以下是防火墻的一些缺點：不能防范惡意

4、的內部用戶；不能防范不通過防火墻的連接；不能防范全部的威脅；防火墻不能防范病毒；,8.2 防火墻技術分類,8.2.1 包過濾技術8.2.2 代理技術8.2.3 防火墻技術的發(fā)展趨勢,8.2.1 包過濾技術,包過濾（Packet Filtering）技術在網(wǎng)絡層中對數(shù)據(jù)包實施有選擇的通過，依據(jù)系統(tǒng)事先設定好的過濾規(guī)則，檢查數(shù)據(jù)流中的每個包，根據(jù)包頭信息來確定是否允許數(shù)據(jù)包通過，拒絕發(fā)送可疑的包。,,包過濾防火墻工作示意圖,

5、包過濾防火墻的工作原理,包過濾模型圖,包過濾防火墻的工作原理,8.2.1 包過濾技術,包過濾防火墻（Packet Filter）一般由屏蔽路由器（Screening Router）實現(xiàn)。具有明顯的優(yōu)點： 一個屏蔽路由器能保護整個網(wǎng)絡 包過濾對用戶透明 屏蔽路由器速度快、效率高,8.2.1 包過濾技術,包過濾防火墻的缺點： 它沒有用戶的使用記錄，這樣就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄 配置繁瑣，沒有一定的經(jīng)驗

6、，是不可能將過濾規(guī)則配置得完美 不能在用戶級別上進行過濾，只能認為內部用戶是可信任的、外部用戶是可疑的,8.2.1 包過濾技術,包過濾防火墻的發(fā)展階段 第一代：靜態(tài)包過濾防火墻 第二代：動態(tài)包過濾（Dynamic Packet Filter）防火墻 第三代：全狀態(tài)檢測（Stateful Inspection）防火墻 第四代：深度包檢測（Deep Packet Inspection）防火墻,,靜態(tài)包過濾：根據(jù)事先設定的過

7、濾規(guī)則決定數(shù)據(jù)允許或拒絕通過。動態(tài)包過濾（Dynamic Packet Filter）：動態(tài)設置過濾規(guī)則，只有在用戶請求下才打開端口，服務完畢之后關閉端口。,全狀態(tài)檢測（Stateful Inspection）,防火墻接收到一個初始化tcp連接的syn包，這個帶有syn的數(shù)據(jù)包被防火墻的規(guī)則庫檢查。決定接受或拒絕該次連接。如果該包被接受，那么本次會話被記錄到狀態(tài)監(jiān)測表里。隨后的數(shù)據(jù)包(沒有帶有一個syn標志)就和該狀態(tài)監(jiān)測表的內容進

8、行比較。如果會話是在狀態(tài)表內，而且該數(shù)據(jù)包是會話的一部分，該數(shù)據(jù)包被接受。否則該數(shù)據(jù)包被丟棄。這種方式提高了系統(tǒng)的性能，因為每一個數(shù)據(jù)包不是和規(guī)則庫比較，而是和狀態(tài)監(jiān)測表比較。只有在syn的數(shù)據(jù)包到來時才和規(guī)則庫比較。所有的數(shù)據(jù)包和狀態(tài)檢測表的比較都在內核模式下進行所以非?？?。,,全狀態(tài)檢測防火墻的工作流程,狀態(tài)檢測防火墻的工作示意圖,全狀態(tài)檢測防火墻的工作流程,,深度包檢測（Deep Packet Inspection）：具有全面檢

9、測包有效載荷的功能。更為有效的辨識緩沖區(qū)溢出攻擊、DOS攻擊以及各種蠕蟲病毒的侵擾。是未來防火墻的發(fā)展方向。,8.2.2 代理技術,所謂代理服務器，是指代表內網(wǎng)用戶向外網(wǎng)服務器進行連接請求的服務程序，是一種軟件。代理服務器運行在兩個網(wǎng)絡之間，它對于客戶機來說像是一臺真的服務器，而對于外網(wǎng)的服務器來說，它又是一臺客戶機。代理服務器的基本工作過程是：當客戶機需要使用外網(wǎng)服務器上的數(shù)據(jù)時，首先將請求發(fā)給代理服務器，代理服務器再根據(jù)這一請求

10、向服務器索取數(shù)據(jù)，然后再由代理服務器將數(shù)據(jù)傳輸給客戶機。,代理防火墻的工作原理,,,8.2.2 代理技術,代理的優(yōu)點代理易于配置代理能生成各項記錄代理能靈活、完全地控制進出信息代理能過濾數(shù)據(jù)內容,8.2.2 代理技術,代理的缺點：代理速度比路由器慢代理對用戶不透明對于每項服務，代理可能要求不同的服務器代理服務通常要求對客戶或過程進行限制代理服務受協(xié)議弱點的限制代理不能改進底層協(xié)議的安全性,8.2.2 代理技術,代

11、理防火墻的發(fā)展階段：應用層代理（Application Proxy）電路層代理（Circuit Proxy）自適應代理（Adaptive Proxy）,應用層代理（Application Proxy）防火墻,,,2． 應用層代理防火墻的應用特點 代理防火墻具有以下的主要特點： （1） 代理防火墻可以針對應用層進行檢測和掃描，可有效地防止應用層的惡意入侵和病毒。 （2） 代理防火墻具有較

12、高的安全性。由于每一個內外網(wǎng)絡之間的連接都要通過代理服務器的介入和轉換，而且在代理防火墻上會針對每一種網(wǎng)絡應用（如HTTP）使用特定的應用程序來處理。,（3） 代理服務器通常擁有高速緩存，緩存中保存了用戶最近訪問過的站點內容。 （4） 代理防火墻的缺點是對系統(tǒng)的整體性能有較大的影響，系統(tǒng)的處理效率會有所下降，因為代理型防火墻對數(shù)據(jù)包進行內部結構的分析和處理，這會導致數(shù)據(jù)包的吞吐能力降低（低于包過濾防火墻）。,電路層網(wǎng)關防火墻

13、（Circuit Gateway）,電路層網(wǎng)關在網(wǎng)絡的傳輸層上實施訪問策略，是在內、外網(wǎng)絡主機之間建立一個虛擬電路，進行通信，相當于在防火墻上直接開了個口子進行傳輸，不像應用層防火墻那樣能嚴密地控制應用層的信息。電路層網(wǎng)關就象電線一樣，只是在內部連接和外部連接之間來回拷貝字節(jié)。但由于連接似乎是起源于防火墻，從而隱藏了受保護網(wǎng)絡的有關信息。,建立兩個TCP連接，一個是在網(wǎng)關本身和內部主機上的一個TCP用戶之間，一個是在網(wǎng)關和外部主機上的

14、一個TCP用戶之間。連接建立后，網(wǎng)關的中繼程序從一個連接向另一個連接轉發(fā)TCP報文，而不檢查其內容。其安全功能具體體現(xiàn)在決定哪些連接是允許的。,自適應代理（Adaptive Proxy）,自適應代理防火墻可以根據(jù)用戶定義的安全規(guī)則,動態(tài)“適應”傳送中的分組流量。它允許用戶根據(jù)具體需求,自己定義防火墻策略,而不會犧牲速度或安全性。如果安全要求高,那么最初的安全檢查仍在應用層進行,保證實現(xiàn)傳統(tǒng)代理防火墻的最大安全性;而一旦代理明確了會話的

15、所有細節(jié),那么其后的數(shù)據(jù)包就可以直接經(jīng)過速度快得多的網(wǎng)絡層。自適應代理防火墻就擁有了和傳統(tǒng)代理防火墻一樣的安全性,同時又具有了分組狀態(tài)檢查防火墻的速度。,8.2.3 防火墻技術的發(fā)展趨勢,代理服務器在對應用層的數(shù)據(jù)過濾方面能力優(yōu)于包過濾防火墻，但是在性能方面的表現(xiàn)就會大大遜色?？傮w來說，傳統(tǒng)的防火墻已經(jīng)無法滿足人們的安全需求，其功能不足以應付眾多的安全威脅。 發(fā)展趨勢： 功能融合:加密技術、智能化、防病毒等 集成化管理

16、 分布式體系結構,8.3 防火墻體系結構,8.3.1 屏蔽路由器8.3.2 雙重宿主主機結構8.3.3 屏蔽主機結構8.3.4 屏蔽子網(wǎng)結構8.3.5 防火墻的組合結構,8.3.1 屏蔽路由器體系結構,屏蔽路由器（Screened Router）可以由廠家專門生產(chǎn)的路由器實現(xiàn)，也可以用主機來充當防火墻。屏蔽路由器作為內外連接的唯一通道，要求所有的報文都必須在此通過檢查。但不具備監(jiān)測，跟蹤和記錄的功能。,8.3.2 雙重宿主

17、主機結構,雙宿主機（Dual-homed host），又稱堡壘主機（Bastion host），是一臺至少配有兩個網(wǎng)絡接口的主機，它可以充當與這些接口相連的網(wǎng)絡之間的路由器，在網(wǎng)絡之間發(fā)送數(shù)據(jù)包。一般情況下雙宿主機的路由功能是被禁止的，這樣可以隔離內部網(wǎng)絡與外部網(wǎng)絡之間的直接通信，從而達到保護內部網(wǎng)絡的作用。,,8.3.2 雙重宿主主機結構（Dual-Homed Host Firewall）,又稱堡壘主機，有兩個網(wǎng)絡接口的計算機系統(tǒng)

18、，一個接口接內部網(wǎng)，一個接口接外部網(wǎng)。,,,缺點：堡壘主機的任何安全缺陷，都將直接影響到防火墻的安全性。一旦黑客侵入堡壘主機并使其只具有路由功能，任何網(wǎng)上用戶均可以隨便訪問內部網(wǎng)。設計原則：堡壘主機盡可能簡單，保留最少服務，關閉路由功能。,8.3.2 屏蔽主機結構（Screened Host Gateway）,又稱主機過濾結構，屏蔽主機結構需要配備一臺堡壘主機和一個有過濾功能的屏蔽路由器；屏蔽路由器連接外部網(wǎng)絡，堡壘主機安裝在內部

19、網(wǎng)絡上；通常在路由器上設立過濾規(guī)則，并使這個堡壘主機成為從外部網(wǎng)絡唯一可直接到達的主機；入侵者要想入侵內部網(wǎng)絡，必須過屏蔽路由器和堡壘主機兩道屏障，所以屏蔽主機結構比雙重宿主主機結構具有更好的安全性和可用性。,,8.3.2 屏蔽主機結構,,,8.3.3 屏蔽子網(wǎng)結構,屏蔽子網(wǎng)結構（Screened Subnet），它是在屏蔽主機結構的基礎上添加額外的安全層，即通過添加周邊網(wǎng)絡（即屏蔽子網(wǎng)）更進一步地把內部網(wǎng)絡與外部網(wǎng)絡隔離開。屏蔽

20、子網(wǎng)結構包含外部和內部兩個路由器。兩個屏蔽路由器放在子網(wǎng)的兩端，在子網(wǎng)內構成一個“非軍事區(qū)”DMZ。,,,8.3.3 屏蔽子網(wǎng)結構,屏蔽子網(wǎng)結構,,,,8.3.4 防火墻的組合結構,建造防火墻時，一般很少采用單一的結構，通常是多種結構的組合。一般有以下幾種形式： 使用多堡壘主機； 合并內部路由器與外部路由器； 合并堡壘主機與外部路由器； 合并堡壘主機與內部路由器； 使用多臺內部路由器； 使用多臺外部路由器； 使用多個周邊網(wǎng)

21、絡； 使用雙重宿主主機與屏蔽子網(wǎng)。,,,,8.4 內部防火墻,8.4.1 分布式防火墻（Distributed Firewall）8.4.2 嵌入式防火墻（Embedded Firewall）8.4.3 個人防火墻,8.4.1 分布式防火墻,分布式防火墻是一種全新的防火墻概念，是比較完善的一種防火墻技術，它是在邊界防火墻的基礎上開發(fā)的，目前主要以軟件形式出現(xiàn)。分布式防火墻是一種主機駐留式的安全系統(tǒng)，用以保護內部網(wǎng)絡免受非

22、法入侵的破壞。分布式防火墻把Internet和內部網(wǎng)絡均視為“不友好的”，對所有的信息流進行過濾與限制，無論是來自Internet，還是來自內部網(wǎng)絡。它們對個人計算機進行保護的方式如同邊界防火墻對整個網(wǎng)絡進行保護一樣。,8.4.1 分布式防火墻,分布式防火墻體系結構分布式防火墻包含以下三個部分：網(wǎng)絡防火墻（Network Firewall）:內外網(wǎng)之間、內網(wǎng)中各子網(wǎng)之間主機防火墻（Host Firewall）：服務器和工作

23、站中心管理（Central Management）：總體安全策略的策劃、管理、分發(fā)及日志的匯總。,分布式防火墻的工作模式,8.4.1 分布式防火墻,分布式防火墻的主要特點 主機駐留：針對網(wǎng)絡中的主機設定安全策略 嵌入操作系統(tǒng)內核：直接接管網(wǎng)卡，把所有數(shù)據(jù)進行檢查后再交給操作系統(tǒng)，彌補操作系統(tǒng)存在的缺陷。 類似于個人防火墻：安全策略由整個系統(tǒng)的管理員統(tǒng)一設置，對用戶透明且不能更改?？杀Ｗo主機，也可控制它對外的訪問。適用于服務

24、器托管：企業(yè)利用中心管理軟件對服務器進行遠程監(jiān)控。,8.4.1 分布式防火墻,分布式防火墻的優(yōu)勢 增強的系統(tǒng)安全性：加強了來自內部攻擊的防范。 提高了系統(tǒng)性能：去除單一接入點的瓶頸。 系統(tǒng)的擴展性：網(wǎng)絡擴展的同時，安全防護能力也在擴展。 應用更為廣泛，支持VPN通信：對邏輯上位于內部的主機納入到安全管理的范圍。遠程內部主機和網(wǎng)絡內部主機可直接通信，不必再繞過防火墻。,8.4.2 嵌入式防火墻,目前分布式防火墻主要是以軟件形式

25、出現(xiàn)的，也有一些網(wǎng)絡設備開發(fā)商（如3COM、CISCO等）開發(fā)生產(chǎn)了硬件分布式防火墻，做成PCI卡或PCMCIA卡的形式，將分布式防火墻技術集成在硬件上（一般可以兼有網(wǎng)卡的功能），通常稱之為嵌入式防火墻。嵌入式防火墻的代表產(chǎn)品是3Com公司的3Com 10/100安全服務器網(wǎng)卡（3Com 10/100 Secure Server NIC）、3Com 10/100安全網(wǎng)卡（3Com 10/100 Secure NIC）以及3Com公司嵌