防火墻基礎

1、浙江金融職業(yè)學院,第八章 防火墻基礎,浙江金融職業(yè)學院,項目 包過濾,目的1. 通過實驗，了解普通包過濾的基本概念和原理，如方向、協(xié)議、端口、源地址、目的地址等等，掌握常用服務所對應的協(xié)議和端口。2. 會在防火墻中的配置普通包過濾的方法，學會判斷規(guī)則是否生效。任務1. ping命令傳輸數據包的過濾；2. 局域網數據傳輸數據包過濾；,浙江金融職業(yè)學院,相關知識,防火墻的概念防火墻的分類防火墻主要技術,浙江金融職業(yè)

2、學院,,0、引言　一、什么是防火墻 二、防火墻能做什么？（防火墻的五大功能 ） 三、防火墻分類四 、防火墻的體系結構五、小資料 ：防火墻的發(fā)展簡史,浙江金融職業(yè)學院,,Internet 的發(fā)展給政府機構、企事業(yè)單位帶來了革命性的改革和開放。他們正努力通過利用 Internet 來提高辦事效率和市場反應速度，以便更具競爭力。通過 Internet ，人們可以從異地取回重要數據，同時又要面對 Internet 開放帶來的數據安

3、全的新挑戰(zhàn)和新危險：各種用戶的安全訪問；以及保護機密信息不受黑客和工業(yè)間諜的入侵。因此，重要的系統(tǒng)必須加筑安全的 " 戰(zhàn)壕 " ，而這個 " 戰(zhàn)壕 " 就是防火墻。安全管理員的目的是選擇性地拒絕進出網絡的數據流量，防火墻現在已成為各企業(yè)網絡中實施安全保護的核心。,浙江金融職業(yè)學院,,防火最初的設計思想是對內部網絡總是信任的，而對外部網絡卻總是不信任的，所以最初的防火墻是只對外部進來的通信進行過濾，

4、而對內部網絡用戶發(fā)出的通信不作限制。 ----------單向導通性目前的防火墻在過濾機制上有所改變，不僅對外部網絡發(fā)出的通信連接要進行過濾，對內部網絡用戶發(fā)出的部分連接請求和數據包同樣需要過濾，但防火墻仍只對符合安全策略的通信通過，也可以說具有“單向導通”性。,浙江金融職業(yè)學院,,本義是指古代構筑和使用木制結構房屋的時侯，為防止火災的發(fā)生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構筑物就被稱之為“防火墻”,浙江金融職業(yè)

5、學院,一 ．什么是防火墻？,防火墻是指設置在不同網絡（如：可信任的企業(yè)內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據網絡系統(tǒng)的安全政策控制（允許、拒絕、監(jiān)測）出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。,浙江金融職業(yè)學院,,它具有以下三個方面的基本要求：內部網絡和外部網絡之間的所有網絡數據流都必須經過防火墻只有

6、符合安全策略的數據流才能通過防火墻 防火墻自身應具有非常強的抗攻擊免疫力,浙江金融職業(yè)學院,,在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內部網和 Internet 之間的任何活動，保證了內部網絡的安全。,防火墻邏輯位置示意圖,浙江金融職業(yè)學院,二 ．防火墻能做什么？,1、 實現一個網絡的安全策略 -----防火墻是網絡安全的屏障一個防火墻（作為阻塞點、控制點）能極大地提高一個內部網絡的安全性，并通過過濾

7、不安全的服務而降低風險。由于只有經過精心選擇的應用協(xié)議才能通過防火墻，所以網絡環(huán)境變得更安全。防火墻同時可以保護網絡免受基于路由的攻擊，如 IP 選項中的源路由攻擊和 ICMP 重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。,浙江金融職業(yè)學院,,通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理

8、更經濟。例如在網絡訪問時，一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各個主機上，而集中在防火墻一身上。,浙江金融職業(yè)學院,,2、創(chuàng)建一個阻塞點-----對網絡存取和訪問進行監(jiān)控： 防火墻在一個系統(tǒng)私有網絡和分網間建立一個檢查點。這種實現要求所有的流量都要通過這個檢查點。一旦這些檢查點清楚地建立，防火墻設備就可以監(jiān)視，過濾所有進來和出去的流量。網絡安全產業(yè)稱這些檢查點為阻塞點。通過強制所有進出流量都通過這些檢查點，網絡管理員

9、可以集中在較少的地方來實現安全目的。,浙江金融職業(yè)學院,,如果沒有這樣一個供監(jiān)視利控制信息的點，系統(tǒng)或安全管理員則要在大量的地方來進行監(jiān)測。檢查點的另一個名字叫做網絡邊界。,浙江金融職業(yè)學院,,3、記錄Internet活動----對網絡存取和訪問進行審計：防火墻還能夠強制日志記錄，并且提供警報功能。如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網絡使用情況的統(tǒng)計數據。當發(fā)生可疑動作時，防火墻能進

10、行適當的報警，并提供網絡是否受到監(jiān)測和攻擊的詳細信息。,浙江金融職業(yè)學院,,通過在防火墻上實現日志服務，安全管理員可以監(jiān)視所有從外部網或互聯網的訪問。好的日志策略是實現適當網絡安全的有效工具之一。防火墻對于管理員進行日志存檔提供了更多的信息。,浙江金融職業(yè)學院,,4、限制網絡暴露 -----防止內部信息的外泄：防火墻在你的網絡周圍創(chuàng)建了一個保護的邊界。并且對于公網隱藏了你內部系統(tǒng)的—些信息以增加保密性。當遠程節(jié)點偵測你的網絡時，他們僅

11、僅能看到防火墻。遠程設備將不會知道你內部網絡的布局以及都有些什么。防火墻提高認證功能和對網絡加密來限制網絡信息的暴露。通過對所能進來的流量時行源檢查，以限制從外部發(fā)動的攻擊。,浙江金融職業(yè)學院,,或者：防火墻的五大功能 　　1）．允許網絡管理員定義一個中心點來防止非法用戶進入內部網絡。 2）．可以很方便地監(jiān)視網絡的安全性，并報警。 　　3）．可以作為部署NAT（Network Address Translation，網

12、絡地址變換）的地點，利用NAT技術，將有限的IP地址動態(tài)或靜態(tài)地與內部的IP地址對應起來，用來緩解地址空間短缺的問題。,浙江金融職業(yè)學院,,4）．是審計和記錄Internet使用費用的一個最佳地點。網絡管理員可以在此向管理部門提供Internet連接的費用情況，查出潛在的帶寬瓶頸位置，并能夠依據本機構的核算模式提供部門級的計費。 5）．可以連接到一個單獨的網段上，從物理上和內部網段隔開，并在此部署WWW服務器和FTP服務器，將其作

13、為向外部發(fā)布內部信息的地點。從技術角度來講，就是所謂的?；饏^(qū)（DMZ）。,浙江金融職業(yè)學院,,防火墻的不足之處：P178（1）（2）（3）（4）（5）,浙江金融職業(yè)學院,三、防火墻的分類,1. 從防火墻的軟、硬件形式分：軟件防火墻、硬件防火墻。 2. 從防火墻技術來分： “包過濾型”，“應用代理型” 3. 從防火墻結構分：單一主機防火墻、路由器集成式防火墻、分布式防火墻 4. 按防火墻的應用部署位置分：邊界

14、防火墻、個人防火墻、混合防火墻三大類。,浙江金融職業(yè)學院,四、　防火墻技術的兩大分類,防火墻技術可根據防范的方式和側重點的不同而分為很多種類型，但總體來講可分為二大類：包過濾、應用代理。包過濾防火墻 以以色列的Checkpoint防火墻和 Cisco公司的PIX防火墻為代表代理防火墻（應用層網關防火墻） 以美國NAI公司的Gauntlet防火墻為代表。,浙江金融職業(yè)學院,,包過濾（ Pack

15、et filtering ）：作用在網絡層，它根據分組包頭源地址，目的地址和端口號、協(xié)議類型等標志確定是否允許數據包通過。只有滿足過濾邏輯的數據包才被轉發(fā)到相應的目的地出口端，其余數據包則被從數據流中丟棄。,浙江金融職業(yè)學院,,應用代理（ Application Proxy ）：也叫應用網關（ Application Gateway ） , 它作用在應用層，其特點是完全 " 阻隔 " 了網絡通信流，通過對每種應用服務

16、編制專門的代理程序，實現監(jiān)視和控制應用層通信流的作用。實際中的應用網關通常由專用工作站實現。,浙江金融職業(yè)學院,,1．包過濾第一代：靜態(tài)包過濾 這種類型的防火墻根據定義好的過濾規(guī)則審查每個數據包，以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數據包的報頭信息進行制訂。報頭信息中包括IP源地址、IP目標地址、傳輸協(xié)議(TCP、UDP、ICMP等等)、TCP/UDP目標端口、ICMP消息類型等。包過濾類型的防火墻要遵循的一條基本原則

17、是“最小特權原則”，即明確允許那些管理員希望通過的數據包，禁止其他的數據包。,浙江金融職業(yè)學院,,浙江金融職業(yè)學院,,第二代：動態(tài)包過濾這種類型的防火墻采用動態(tài)設置包過濾規(guī)則的方法，避免了靜態(tài)包過濾所具有的問題。這種技術后來發(fā)展成為所謂包狀態(tài)監(jiān)測（Stateful Inspection）技術。采用這種技術的防火墻對通過其建立的每一個連接都進行跟蹤，并且根據需要可動態(tài)地在過濾規(guī)則中增加或更改。,浙江金融職業(yè)學院,,圖2 動態(tài)包過濾防火墻

18、,浙江金融職業(yè)學院,,2． 代理防火墻 第一代：代理防火墻 代理防火墻也叫應用層網關（Application Gateway）防火墻。這種防火墻通過一種代理（Proxy）技術參與到一個TCP連接的全過程。從內部發(fā)出的數據包經過這樣的防火墻處理后，就好像是源于防火墻外部網卡一樣，從而可以達到隱藏內部網結構的作用。這種類型的防火墻被網絡安全專家和媒體公認為是最安全的防火墻。它的核心技術就是代理服務器技術。,浙江金融職業(yè)學院,,所謂代理服

19、務器，是指代表客戶處理在服務器連接請求的程序。當代理服務器得到一個客戶的連接意圖時，它們將核實客戶請求，并經過特定的安全化的Proxy應用程序處理連接請求，將處理后的請求傳遞到真實的服務器上，然后接受服務器應答，并做進一步處理后，將答復交給發(fā)出請求的最終客戶。代理服務器在外部網絡向內部網絡申請服務時發(fā)揮了中間轉接的作用。,浙江金融職業(yè)學院,,代理類型防火墻的最突出的優(yōu)點就是安全。由于每一個內外網絡之間的連接都要通過Proxy的介入和轉換

20、，通過專門為特定的服務如Http編寫的安全化的應用程序進行處理，然后由防火墻本身提交請求和應答，沒有給內外網絡的計算機以任何直接會話的機會，從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網。包過濾類型的防火墻是很難徹底避免這一漏洞的,浙江金融職業(yè)學院,,圖3 傳統(tǒng)代理型防火墻,浙江金融職業(yè)學院,,代理防火墻的最大缺點就是速度相對比較慢，當用戶對內外網絡網關的吞吐量要求比較高時，（比如要求達到75-100Mbps時）代理防火墻就會成為

21、內外網絡之間的瓶頸。所幸的是，目前用戶接入Internet的速度一般都遠低于這個數字。在現實環(huán)境中，要考慮使用包過濾類型防火墻來滿足速度要求的情況，大部分是高速網（ATM或千兆位以太網等）之間的防火墻。,浙江金融職業(yè)學院,,第二代：自適應代理防火墻 自適應代理技術（Adaptive proxy）是最近在商業(yè)應用防火墻中實現的一種革命性的技術。它可以結合代理類型防火墻的安全性和包過濾防火墻的高速度等優(yōu)點，在毫不損失安全性的基礎之上將代理

22、型防火墻的性能提高10倍以上。組成這種類型防火墻的基本要素有兩個：自適應代理服務器（Adaptive Proxy Server）與動態(tài)包過濾器（Dynamic Packet filter）。,浙江金融職業(yè)學院,,圖4 自適應代理防火墻,浙江金融職業(yè)學院,,在自適應代理與動態(tài)包過濾器之間存在一個控制通道。在對防火墻進行配置時，用戶僅僅將所需要的服務類型、安全級別等信息通過相應Proxy的管理界面進行設置就可以了。然后，自適應代理就可以根據

23、用戶的配置信息，決定是使用代理服務從應用層代理請求還是從網絡層轉發(fā)包。如果是后者，它將動態(tài)地通知包過濾器增減過濾規(guī)則，滿足用戶對速度和安全性的雙重要求。,浙江金融職業(yè)學院,,兩種防火墻技術的對比　　包過濾防火墻 優(yōu)點 ：　 價格較低 ， 　　 性能開銷小，處理速度較快 缺點 　　定義復雜，容易出現因配置不當帶來問題 　　允許數據包直接通過，容易造成數據驅動式攻擊的潛在危險,浙江金融職業(yè)學院,,代理

24、防火墻 　　內置了專門為了提高安全性而編制的Proxy應用程序，能夠透徹地理解相關服務的命令，對來往的數據包進行安全化處理 　　速度較慢，不太適用于高速網之間的應用,浙江金融職業(yè)學院,,復合型防火墻 　　由于對更高安全性的要求，常把基于包過濾的方法與基于應用代理的方法結合起來，形成復合型防火墻產品。這種結合通常是以下兩種方案。,浙江金融職業(yè)學院,,屏蔽主機防火墻體系結構：P180在該結構中，包過濾路由器或防火墻與 Inter

25、net 相連，同時一個堡壘機安裝在內部網絡，通過在包過濾路由器或防火墻上過濾規(guī)則的設置，使堡壘機成為 Internet 上其它節(jié)點所能到達的唯一節(jié)點，這確保了內部網絡不受未授權外部用戶的攻擊。,浙江金融職業(yè)學院,,屏蔽子網防火墻體系結構：P182堡壘機放在一個子網內，形成非軍事化區(qū)，兩個包過濾路由器放在這一子網的兩端，使這一子網與 Internet 及內部網絡分離。在屏蔽子網防火墻體系結構中，堡壘主機和包過濾路由器共同構成了整個防火墻

26、的安全基礎。,浙江金融職業(yè)學院,四、防火墻的體系結構,（1）雙重宿主主機體系結構。圍繞具有雙重宿主功能的主機而構筑的。（2）屏蔽主機體系結構。使用一個單獨的路由器來提供內部網絡主機之間的服務。（3）蔽子網體系結構。在屏蔽主機體系結構的基礎上添加額外的安全層，它通過添加周邊網絡把內部網絡更進一步地與因特網隔離開。,浙江金融職業(yè)學院,五 、 小資料 ：　防火墻的發(fā)展史,第一代防火墻 　　第一代防火墻技術幾乎與路由器同時出現，采用了包過

27、濾（Packet filter）技術。下圖表示了防火墻技術的簡單發(fā)展歷史。,浙江金融職業(yè)學院,,又稱包過濾防火墻，主要通過對數據包源地址、日的地址、端口號等參數來決定是否允許該數據包通過，對其進轉發(fā)，但這種防火墻很難抵御IP地址欺騙等攻擊，而且審計功能很差。,浙江金融職業(yè)學院,,第二、三代防火墻 　　1989年，貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火

28、墻——應用層防火墻（代理防火墻）的初步結構。第二代防火墻，也稱代理服務器，它用來提供網絡服務級的控制，起到外部網絡向被保護的內部網絡申請服務時中間轉接作用，這種方法可以有效地防止對內部網絡的直接攻擊，安全性較高。,浙江金融職業(yè)學院,,第三代防火墻有效地提高了防火墻的安全性，稱為狀態(tài)監(jiān)控功能防火墻，它可以對每一層的數據包進行檢測和監(jiān)控。,浙江金融職業(yè)學院,,第四代防火墻 1992年，USC信息科學院的BobBraden開發(fā)出了基

29、于動態(tài)包過濾（Dynamic packet filter）技術的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視（Stateful inspection）技術。1994年，以色列的CheckPoint公司開發(fā)出了第一個采用這種技術的商業(yè)化的產品。 它可以抵御目前常見的網絡攻擊手段，如IP地址欺騙、特洛伊木馬攻擊、Internet蠕蟲、口令探尋攻擊、郵件攻擊等等。,浙江金融職業(yè)學院,,第五代防火墻 　　1998年，NAI公司推出了一種自適