第8章 防火墻技術(shù)復(fù)習(xí)

1、網(wǎng)絡(luò)安全與管理,第8章 防火墻技術(shù),本章學(xué)習(xí)目標(biāo),防火墻及相關(guān)概念 包過(guò)濾與代理 防火墻的體系結(jié)構(gòu) 分布式防火墻與嵌入式防火墻,8.1 防火墻概述,8.1.1 相關(guān)概念8.1.2 防火墻的作用8.1.3 防火墻的優(yōu)、缺點(diǎn),8.1.1 相關(guān)概念,防火墻的概念防火墻（Firewall）是指隔離在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一道防御系統(tǒng)，它能擋住來(lái)自外部網(wǎng)絡(luò)的攻擊和入侵，保障著內(nèi)部網(wǎng)絡(luò)的安全。,,8.1.1 相關(guān)

2、概念,防火墻安全策略一個(gè)防火墻應(yīng)該使用以下兩種基本策略中的一種: 除非明確允許，否則就禁止 除非明確禁止，否則就允許,,8.1.2 防火墻的作用,防火墻的基本功能從總體上看，防火墻應(yīng)具有以下基本功能：可以限制未授權(quán)用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，過(guò)濾掉不安全服務(wù)和非法用戶；防止入侵者接近內(nèi)部網(wǎng)絡(luò)的防御設(shè)施，對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警；限制內(nèi)部用戶訪問(wèn)特殊站點(diǎn)；記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)，監(jiān)視Internet安全提供方便。,,8.1

3、.3 防火墻的優(yōu)、缺點(diǎn),1．優(yōu)點(diǎn) 防火墻是加強(qiáng)網(wǎng)絡(luò)安全的一種有效手段，它有以下優(yōu)點(diǎn)：防火墻能強(qiáng)化安全策略，僅允許符合規(guī)則的信息通過(guò)；防火墻能有效地記錄Internet上的活動(dòng)；防火墻是一個(gè)安全策略的檢查站。,8.1.3 防火墻的優(yōu)、缺點(diǎn),2．缺點(diǎn) 有人認(rèn)為只要安裝了防火墻，所有的安全問(wèn)題就會(huì)迎刃而解。但事實(shí)上，防火墻并不是萬(wàn)能的，安裝了防火墻的系統(tǒng)仍然存在著安全隱患。以下是防火墻的一些缺點(diǎn)：不能防范惡意

4、的內(nèi)部用戶；不能防范不通過(guò)防火墻的連接；不能防范全部的威脅；防火墻不能防范病毒；,8.2 防火墻技術(shù)分類,8.2.1 包過(guò)濾技術(shù)8.2.2 代理技術(shù)8.2.3 防火墻技術(shù)的發(fā)展趨勢(shì),8.2.1 包過(guò)濾技術(shù),包過(guò)濾（Packet Filtering）技術(shù)在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)，依據(jù)系統(tǒng)事先設(shè)定好的過(guò)濾規(guī)則，檢查數(shù)據(jù)流中的每個(gè)包，根據(jù)包頭信息來(lái)確定是否允許數(shù)據(jù)包通過(guò)，拒絕發(fā)送可疑的包。,,包過(guò)濾防火墻工作示意圖,

5、包過(guò)濾防火墻的工作原理,包過(guò)濾模型圖,包過(guò)濾防火墻的工作原理,8.2.1 包過(guò)濾技術(shù),包過(guò)濾防火墻（Packet Filter）一般由屏蔽路由器（Screening Router）實(shí)現(xiàn)。具有明顯的優(yōu)點(diǎn)： 一個(gè)屏蔽路由器能保護(hù)整個(gè)網(wǎng)絡(luò) 包過(guò)濾對(duì)用戶透明 屏蔽路由器速度快、效率高,8.2.1 包過(guò)濾技術(shù),包過(guò)濾防火墻的缺點(diǎn)： 它沒(méi)有用戶的使用記錄，這樣就不能從訪問(wèn)記錄中發(fā)現(xiàn)黑客的攻擊記錄 配置繁瑣，沒(méi)有一定的經(jīng)驗(yàn)

6、，是不可能將過(guò)濾規(guī)則配置得完美 不能在用戶級(jí)別上進(jìn)行過(guò)濾，只能認(rèn)為內(nèi)部用戶是可信任的、外部用戶是可疑的,8.2.1 包過(guò)濾技術(shù),包過(guò)濾防火墻的發(fā)展階段 第一代：靜態(tài)包過(guò)濾防火墻 第二代：動(dòng)態(tài)包過(guò)濾（Dynamic Packet Filter）防火墻 第三代：全狀態(tài)檢測(cè)（Stateful Inspection）防火墻 第四代：深度包檢測(cè)（Deep Packet Inspection）防火墻,,靜態(tài)包過(guò)濾：根據(jù)事先設(shè)定的過(guò)

7、濾規(guī)則決定數(shù)據(jù)允許或拒絕通過(guò)。動(dòng)態(tài)包過(guò)濾（Dynamic Packet Filter）：動(dòng)態(tài)設(shè)置過(guò)濾規(guī)則，只有在用戶請(qǐng)求下才打開(kāi)端口，服務(wù)完畢之后關(guān)閉端口。,全狀態(tài)檢測(cè)（Stateful Inspection）,防火墻接收到一個(gè)初始化tcp連接的syn包，這個(gè)帶有syn的數(shù)據(jù)包被防火墻的規(guī)則庫(kù)檢查。決定接受或拒絕該次連接。如果該包被接受，那么本次會(huì)話被記錄到狀態(tài)監(jiān)測(cè)表里。隨后的數(shù)據(jù)包(沒(méi)有帶有一個(gè)syn標(biāo)志)就和該狀態(tài)監(jiān)測(cè)表的內(nèi)容進(jìn)

8、行比較。如果會(huì)話是在狀態(tài)表內(nèi)，而且該數(shù)據(jù)包是會(huì)話的一部分，該數(shù)據(jù)包被接受。否則該數(shù)據(jù)包被丟棄。這種方式提高了系統(tǒng)的性能，因?yàn)槊恳粋€(gè)數(shù)據(jù)包不是和規(guī)則庫(kù)比較，而是和狀態(tài)監(jiān)測(cè)表比較。只有在syn的數(shù)據(jù)包到來(lái)時(shí)才和規(guī)則庫(kù)比較。所有的數(shù)據(jù)包和狀態(tài)檢測(cè)表的比較都在內(nèi)核模式下進(jìn)行所以非?？臁?,全狀態(tài)檢測(cè)防火墻的工作流程,狀態(tài)檢測(cè)防火墻的工作示意圖,全狀態(tài)檢測(cè)防火墻的工作流程,,深度包檢測(cè)（Deep Packet Inspection）：具有全面檢

9、測(cè)包有效載荷的功能。更為有效的辨識(shí)緩沖區(qū)溢出攻擊、DOS攻擊以及各種蠕蟲(chóng)病毒的侵?jǐn)_。是未來(lái)防火墻的發(fā)展方向。,8.2.2 代理技術(shù),所謂代理服務(wù)器，是指代表內(nèi)網(wǎng)用戶向外網(wǎng)服務(wù)器進(jìn)行連接請(qǐng)求的服務(wù)程序，是一種軟件。代理服務(wù)器運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間，它對(duì)于客戶機(jī)來(lái)說(shuō)像是一臺(tái)真的服務(wù)器，而對(duì)于外網(wǎng)的服務(wù)器來(lái)說(shuō)，它又是一臺(tái)客戶機(jī)。代理服務(wù)器的基本工作過(guò)程是：當(dāng)客戶機(jī)需要使用外網(wǎng)服務(wù)器上的數(shù)據(jù)時(shí)，首先將請(qǐng)求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請(qǐng)求

10、向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。,代理防火墻的工作原理,,,8.2.2 代理技術(shù),代理的優(yōu)點(diǎn)代理易于配置代理能生成各項(xiàng)記錄代理能靈活、完全地控制進(jìn)出信息代理能過(guò)濾數(shù)據(jù)內(nèi)容,8.2.2 代理技術(shù),代理的缺點(diǎn)：代理速度比路由器慢代理對(duì)用戶不透明對(duì)于每項(xiàng)服務(wù)，代理可能要求不同的服務(wù)器代理服務(wù)通常要求對(duì)客戶或過(guò)程進(jìn)行限制代理服務(wù)受協(xié)議弱點(diǎn)的限制代理不能改進(jìn)底層協(xié)議的安全性,8.2.2 代理技術(shù),代

11、理防火墻的發(fā)展階段：應(yīng)用層代理（Application Proxy）電路層代理（Circuit Proxy）自適應(yīng)代理（Adaptive Proxy）,應(yīng)用層代理（Application Proxy）防火墻,,,2． 應(yīng)用層代理防火墻的應(yīng)用特點(diǎn) 代理防火墻具有以下的主要特點(diǎn)： （1） 代理防火墻可以針對(duì)應(yīng)用層進(jìn)行檢測(cè)和掃描，可有效地防止應(yīng)用層的惡意入侵和病毒。 （2） 代理防火墻具有較

12、高的安全性。由于每一個(gè)內(nèi)外網(wǎng)絡(luò)之間的連接都要通過(guò)代理服務(wù)器的介入和轉(zhuǎn)換，而且在代理防火墻上會(huì)針對(duì)每一種網(wǎng)絡(luò)應(yīng)用（如HTTP）使用特定的應(yīng)用程序來(lái)處理。,（3） 代理服務(wù)器通常擁有高速緩存，緩存中保存了用戶最近訪問(wèn)過(guò)的站點(diǎn)內(nèi)容。 （4） 代理防火墻的缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響，系統(tǒng)的處理效率會(huì)有所下降，因?yàn)榇硇头阑饓?duì)數(shù)據(jù)包進(jìn)行內(nèi)部結(jié)構(gòu)的分析和處理，這會(huì)導(dǎo)致數(shù)據(jù)包的吞吐能力降低（低于包過(guò)濾防火墻）。,電路層網(wǎng)關(guān)防火墻

13、（Circuit Gateway）,電路層網(wǎng)關(guān)在網(wǎng)絡(luò)的傳輸層上實(shí)施訪問(wèn)策略，是在內(nèi)、外網(wǎng)絡(luò)主機(jī)之間建立一個(gè)虛擬電路，進(jìn)行通信，相當(dāng)于在防火墻上直接開(kāi)了個(gè)口子進(jìn)行傳輸，不像應(yīng)用層防火墻那樣能嚴(yán)密地控制應(yīng)用層的信息。電路層網(wǎng)關(guān)就象電線一樣，只是在內(nèi)部連接和外部連接之間來(lái)回拷貝字節(jié)。但由于連接似乎是起源于防火墻，從而隱藏了受保護(hù)網(wǎng)絡(luò)的有關(guān)信息。,建立兩個(gè)TCP連接，一個(gè)是在網(wǎng)關(guān)本身和內(nèi)部主機(jī)上的一個(gè)TCP用戶之間，一個(gè)是在網(wǎng)關(guān)和外部主機(jī)上的

14、一個(gè)TCP用戶之間。連接建立后，網(wǎng)關(guān)的中繼程序從一個(gè)連接向另一個(gè)連接轉(zhuǎn)發(fā)TCP報(bào)文，而不檢查其內(nèi)容。其安全功能具體體現(xiàn)在決定哪些連接是允許的。,自適應(yīng)代理（Adaptive Proxy）,自適應(yīng)代理防火墻可以根據(jù)用戶定義的安全規(guī)則,動(dòng)態(tài)“適應(yīng)”傳送中的分組流量。它允許用戶根據(jù)具體需求,自己定義防火墻策略,而不會(huì)犧牲速度或安全性。如果安全要求高,那么最初的安全檢查仍在應(yīng)用層進(jìn)行,保證實(shí)現(xiàn)傳統(tǒng)代理防火墻的最大安全性;而一旦代理明確了會(huì)話的

15、所有細(xì)節(jié),那么其后的數(shù)據(jù)包就可以直接經(jīng)過(guò)速度快得多的網(wǎng)絡(luò)層。自適應(yīng)代理防火墻就擁有了和傳統(tǒng)代理防火墻一樣的安全性,同時(shí)又具有了分組狀態(tài)檢查防火墻的速度。,8.2.3 防火墻技術(shù)的發(fā)展趨勢(shì),代理服務(wù)器在對(duì)應(yīng)用層的數(shù)據(jù)過(guò)濾方面能力優(yōu)于包過(guò)濾防火墻，但是在性能方面的表現(xiàn)就會(huì)大大遜色?？傮w來(lái)說(shuō)，傳統(tǒng)的防火墻已經(jīng)無(wú)法滿足人們的安全需求，其功能不足以應(yīng)付眾多的安全威脅。 發(fā)展趨勢(shì)： 功能融合:加密技術(shù)、智能化、防病毒等 集成化管理

16、 分布式體系結(jié)構(gòu),8.3 防火墻體系結(jié)構(gòu),8.3.1 屏蔽路由器8.3.2 雙重宿主主機(jī)結(jié)構(gòu)8.3.3 屏蔽主機(jī)結(jié)構(gòu)8.3.4 屏蔽子網(wǎng)結(jié)構(gòu)8.3.5 防火墻的組合結(jié)構(gòu),8.3.1 屏蔽路由器體系結(jié)構(gòu),屏蔽路由器（Screened Router）可以由廠家專門(mén)生產(chǎn)的路由器實(shí)現(xiàn)，也可以用主機(jī)來(lái)充當(dāng)防火墻。屏蔽路由器作為內(nèi)外連接的唯一通道，要求所有的報(bào)文都必須在此通過(guò)檢查。但不具備監(jiān)測(cè)，跟蹤和記錄的功能。,8.3.2 雙重宿主

17、主機(jī)結(jié)構(gòu),雙宿主機(jī)（Dual-homed host），又稱堡壘主機(jī)（Bastion host），是一臺(tái)至少配有兩個(gè)網(wǎng)絡(luò)接口的主機(jī)，它可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，在網(wǎng)絡(luò)之間發(fā)送數(shù)據(jù)包。一般情況下雙宿主機(jī)的路由功能是被禁止的，這樣可以隔離內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的直接通信，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的作用。,,8.3.2 雙重宿主主機(jī)結(jié)構(gòu)（Dual-Homed Host Firewall）,又稱堡壘主機(jī)，有兩個(gè)網(wǎng)絡(luò)接口的計(jì)算機(jī)系統(tǒng)

18、，一個(gè)接口接內(nèi)部網(wǎng)，一個(gè)接口接外部網(wǎng)。,,,缺點(diǎn)：堡壘主機(jī)的任何安全缺陷，都將直接影響到防火墻的安全性。一旦黑客侵入堡壘主機(jī)并使其只具有路由功能，任何網(wǎng)上用戶均可以隨便訪問(wèn)內(nèi)部網(wǎng)。設(shè)計(jì)原則：堡壘主機(jī)盡可能簡(jiǎn)單，保留最少服務(wù)，關(guān)閉路由功能。,8.3.2 屏蔽主機(jī)結(jié)構(gòu)（Screened Host Gateway）,又稱主機(jī)過(guò)濾結(jié)構(gòu)，屏蔽主機(jī)結(jié)構(gòu)需要配備一臺(tái)堡壘主機(jī)和一個(gè)有過(guò)濾功能的屏蔽路由器；屏蔽路由器連接外部網(wǎng)絡(luò)，堡壘主機(jī)安裝在內(nèi)部

19、網(wǎng)絡(luò)上；通常在路由器上設(shè)立過(guò)濾規(guī)則，并使這個(gè)堡壘主機(jī)成為從外部網(wǎng)絡(luò)唯一可直接到達(dá)的主機(jī)；入侵者要想入侵內(nèi)部網(wǎng)絡(luò)，必須過(guò)屏蔽路由器和堡壘主機(jī)兩道屏障，所以屏蔽主機(jī)結(jié)構(gòu)比雙重宿主主機(jī)結(jié)構(gòu)具有更好的安全性和可用性。,,8.3.2 屏蔽主機(jī)結(jié)構(gòu),,,8.3.3 屏蔽子網(wǎng)結(jié)構(gòu),屏蔽子網(wǎng)結(jié)構(gòu)（Screened Subnet），它是在屏蔽主機(jī)結(jié)構(gòu)的基礎(chǔ)上添加額外的安全層，即通過(guò)添加周邊網(wǎng)絡(luò)（即屏蔽子網(wǎng)）更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離開(kāi)。屏蔽

20、子網(wǎng)結(jié)構(gòu)包含外部和內(nèi)部?jī)蓚€(gè)路由器。兩個(gè)屏蔽路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè)“非軍事區(qū)”DMZ。,,,8.3.3 屏蔽子網(wǎng)結(jié)構(gòu),屏蔽子網(wǎng)結(jié)構(gòu),,,,8.3.4 防火墻的組合結(jié)構(gòu),建造防火墻時(shí)，一般很少采用單一的結(jié)構(gòu)，通常是多種結(jié)構(gòu)的組合。一般有以下幾種形式： 使用多堡壘主機(jī)； 合并內(nèi)部路由器與外部路由器； 合并堡壘主機(jī)與外部路由器； 合并堡壘主機(jī)與內(nèi)部路由器； 使用多臺(tái)內(nèi)部路由器； 使用多臺(tái)外部路由器； 使用多個(gè)周邊網(wǎng)

21、絡(luò)； 使用雙重宿主主機(jī)與屏蔽子網(wǎng)。,,,,8.4 內(nèi)部防火墻,8.4.1 分布式防火墻（Distributed Firewall）8.4.2 嵌入式防火墻（Embedded Firewall）8.4.3 個(gè)人防火墻,8.4.1 分布式防火墻,分布式防火墻是一種全新的防火墻概念，是比較完善的一種防火墻技術(shù)，它是在邊界防火墻的基礎(chǔ)上開(kāi)發(fā)的，目前主要以軟件形式出現(xiàn)。分布式防火墻是一種主機(jī)駐留式的安全系統(tǒng)，用以保護(hù)內(nèi)部網(wǎng)絡(luò)免受非

22、法入侵的破壞。分布式防火墻把Internet和內(nèi)部網(wǎng)絡(luò)均視為“不友好的”，對(duì)所有的信息流進(jìn)行過(guò)濾與限制，無(wú)論是來(lái)自Internet，還是來(lái)自內(nèi)部網(wǎng)絡(luò)。它們對(duì)個(gè)人計(jì)算機(jī)進(jìn)行保護(hù)的方式如同邊界防火墻對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行保護(hù)一樣。,8.4.1 分布式防火墻,分布式防火墻體系結(jié)構(gòu)分布式防火墻包含以下三個(gè)部分：網(wǎng)絡(luò)防火墻（Network Firewall）:內(nèi)外網(wǎng)之間、內(nèi)網(wǎng)中各子網(wǎng)之間主機(jī)防火墻（Host Firewall）：服務(wù)器和工作

23、站中心管理（Central Management）：總體安全策略的策劃、管理、分發(fā)及日志的匯總。,分布式防火墻的工作模式,8.4.1 分布式防火墻,分布式防火墻的主要特點(diǎn) 主機(jī)駐留：針對(duì)網(wǎng)絡(luò)中的主機(jī)設(shè)定安全策略 嵌入操作系統(tǒng)內(nèi)核：直接接管網(wǎng)卡，把所有數(shù)據(jù)進(jìn)行檢查后再交給操作系統(tǒng)，彌補(bǔ)操作系統(tǒng)存在的缺陷。 類似于個(gè)人防火墻：安全策略由整個(gè)系統(tǒng)的管理員統(tǒng)一設(shè)置，對(duì)用戶透明且不能更改。可保護(hù)主機(jī)，也可控制它對(duì)外的訪問(wèn)。適用于服務(wù)

24、器托管：企業(yè)利用中心管理軟件對(duì)服務(wù)器進(jìn)行遠(yuǎn)程監(jiān)控。,8.4.1 分布式防火墻,分布式防火墻的優(yōu)勢(shì) 增強(qiáng)的系統(tǒng)安全性：加強(qiáng)了來(lái)自內(nèi)部攻擊的防范。 提高了系統(tǒng)性能：去除單一接入點(diǎn)的瓶頸。 系統(tǒng)的擴(kuò)展性：網(wǎng)絡(luò)擴(kuò)展的同時(shí)，安全防護(hù)能力也在擴(kuò)展。 應(yīng)用更為廣泛，支持VPN通信：對(duì)邏輯上位于內(nèi)部的主機(jī)納入到安全管理的范圍。遠(yuǎn)程內(nèi)部主機(jī)和網(wǎng)絡(luò)內(nèi)部主機(jī)可直接通信，不必再繞過(guò)防火墻。,8.4.2 嵌入式防火墻,目前分布式防火墻主要是以軟件形式

25、出現(xiàn)的，也有一些網(wǎng)絡(luò)設(shè)備開(kāi)發(fā)商（如3COM、CISCO等）開(kāi)發(fā)生產(chǎn)了硬件分布式防火墻，做成PCI卡或PCMCIA卡的形式，將分布式防火墻技術(shù)集成在硬件上（一般可以兼有網(wǎng)卡的功能），通常稱之為嵌入式防火墻。嵌入式防火墻的代表產(chǎn)品是3Com公司的3Com 10/100安全服務(wù)器網(wǎng)卡（3Com 10/100 Secure Server NIC）、3Com 10/100安全網(wǎng)卡（3Com 10/100 Secure NIC）以及3Com公司嵌