搜索
第4讲防火墙一、防火墙基本知识1、防火墙的提出2、防火墙示意图3、防火墙是什么4、防火墙概念5、防火墙实现层次6、防火墙功能7、争议及不足企业上网面临的安全问题之一:内部网与互联网的有效隔离解答:防火墙网络间的访问----需隔离FIREWALL1、防火墙的提出2、防火墙示意图Internet1.企业内联网2.部门子网3.分公司网络3、防火墙是什么(1)在一个受保护的企业内部网络与互联网间,用来强制执行企业安全策略的一个或一组系统.•防火墙主要用于保护内部安全网络免受外部网不安全网络的侵害。•典型情况:安全网络为企业内部网络,不安全网络为因特网。•但防火墙不只用于因特网,也可用于Intranet各部门网络之间(内部防火墙)。例:财务部与市场部之间。3、防火墙是什么(2)4、防火墙概念(1)最初含义:当房屋还处于木制结构的时侯,人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。RichKosinski(InternetSecurity公司总裁):防火墙是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问。换句话说,防火墙是一道门槛,控制进/出两个方向的通信。•WilliamCheswick和SteveBeilovin(1994):防火墙是放置在两个网络之间的一组组件,这组组件共同具有下列性质:1.只允许本地安全策略授权的通信信息通过2.双向通信信息必须通过防火墙3.防火墙本身不会影响信息的流通4、防火墙概念(2)4、防火墙概念(3)简单的说,网络安全的第一道防线防火墙是位于两个信任程度不同的网络之间(如企业内部网络和Internet之间)的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。5、防火墙实现层次6、防火墙功能(1)基本功能模块应用程序代理包过滤&状态检测用户认证NATVPN日志IDS与报警内容过滤防火墙的功能过滤进出网络的数据管理进出网络的访问行为封堵某些禁止的业务记录进出网络的信息和活动对网络攻击进行检测和告警6、防火墙功能(2)7、争议及不足使用不便,认为防火墙给人虚假的安全感对用户不完全透明,可能带来传输延迟、瓶颈及单点失效不能替代墙内的安全措施不能防范恶意的知情者不能防范不通过它的连接不能防范全新的威胁不能有效地防范数据驱动式的攻击当使用端-端加密时,其作用会受到很大的限制防火墙的姿态拒绝没有特别允许的任何事情允许没有特别拒绝的任何事情机构的安全策略防火墙不是独立的,是机构总体安全策略的一部分。安全策略必须建立在精心进行的安全分析、风险评估以及商业需求分析的基础上。成本因素。二、防火墙种类1、防火墙的种类2、包过滤防火墙3、NAT模式4、代理服务器5、全状态检查1、防火墙的种类防火墙的存在形式:软件、硬件。根据防范方式和侧重点的不同可分为四类:包过滤应用层代理电路层代理状态检测2、包过滤防火墙(1)2、包过滤防火墙(2)包的进入接口和出接口如果有匹配并且规则允许该数据包,那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包,那么该数据包就会被丢弃。如果没有匹配规则,用户配置的缺省参数会决定是转发还是丢弃数据包。包过滤防火墙使得防火墙能够根据特定的服务允许或拒绝流动的数据,因为多数的服务收听者都在已知的TCP/UDP端口号上。例如,Telnet服务器在TCP的23号端口上监听远地连接,而SMTP服务器在TCP的25号端口上监听人连接。为了阻塞所有进入的Telnet连接,防火墙只需简单的丢弃所有TCP端口号等于23的数据包。为了将进来的Telnet连接限制到内部的数台机器上,防火墙必须拒绝所有TCP端口号等于23并且目标IP地址不等于允许主机的IP地址的数据包。2、包过滤防火墙(3)2、包过滤防火墙(4)数据包过滤一般要检查网络层的IP头和传输层的头:IP源地址IP目标地址协议类型(TCP包、UDP包和ICMP包)TCP或UDP包的目的端口TCP或UDP包的源端口ICMP消息类型TCP包头的ACK位TCP包的序列号、IP校验和等2、包过滤防火墙(5)UDP的动态数据包过滤流入流出的UDP数据报的源地址、源端口号、目的地址、目的端口号要匹配优点:•速度快,性能高•对用户透明缺点:•维护比较困难(需要对TCP/IP了解)•安全性低•不提供有用的日志,或根本就不提供•不防范数据驱动型攻击•不能根据状态信息进行控制•无法对网络上流动的信息提供全面的控制2、包过滤防火墙(6)优缺点互连的物理介质应用层表示层会话层传输层应用层表示层会话层传输层网络层数据链路层物理层网络层数据链路层物理层网络层数据链路层物理层3、NAT模式(1)NAT的类型静态NATNAT池PAT(端口NAT)3、NAT模式(2)3、NAT模式(3)4、代理服务代理服务分类:代理服务可分为应用级代理与电路级代理:应用级代理针对每一个应用都有一个程序,它在应用协议中理解并解释命令。应用级代理的优点为它能解释应用协议从而获得更多的信息,缺点为只适用于单一协议。电路级代理是在客户和服务器之间不解释应用协议即建立回路。电路级代理的优点在于它能对各种不同的协议提供服务,缺点在于它对因代理而发生的情况几乎不加控制。4、应用级代理proxy(1)代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。不允许直接在外部网和内部网之间建立通信。将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。代理企图在应用层实现防火墙的功能,代理的主要特点就是有状态性。4、应用级代理proxy(2)Telnet代理服务器4、应用级代理proxy(4))应用层代理的优点应用层代理能够让网络管理员对服务进行全面的控制,因为代理应用限制了命令集并决定哪些内部主机可以被该服务访问。网络管理员可以完全控制提供那些服务,因为没有特定服务的代理就表示该服务不提供。防火墙可以被配置成唯一的可被外部看见的主机,这样可以保护内部主机免受外部主机的进攻。应用层代理有能力支持可靠的用户认证并提供详细的注册信息。另外,用于应用层的过滤规则相对于包过滤防火墙来说更容易配置和测试。代理工作在客户机和真实服务器之间,完全控制会话,所以可以提供很详细的日志和安全审计功能。•应用层代理的最大缺点是要求用户改变自己的行为,或者在访问代理服务的每个系统上安装特殊的软件。比如,透过应用层代理Telnet访问要求用户通过两步而不是一步来建立连接。不过,特殊的端系统软件可以让用户在Telnet命令中指定目标主机而不是应用层代理来使应用层代理透明。•每个应用程序都必须有一个代理服务程序来进行安全控制,每一种应用升级时,一般代理服务程序也要升级。4、应用级代理proxy(5)应用层代理的缺点4、电路级代理(1)电路级网关不允许端到端的TCP连接。网关建立两个TCP连接,一个是在网关本身和内部主机上的一个TCP用户之间,一个是在网关和外部主机上的一个TCP用户之间。一旦两个连接建立起来,网关从一个连接向另一个连接转发TCP报文段,而不检查其内容。4、电路级代理(2)电路级网关的典型应用场合是系统管理员信任内部用户的情况。网关可以配置成在进入连接上支持应用级代理服务,为输出连接支持电路级功能。在这种配置中,网关可能为了禁止功能而导致检查进入的应用数据的处理开支,但不会导致输出数据上的处理开支。5、状态检测技术(1)状态检测的特点是监测一个有效连接的状态,在抓获信息包后对其进行分析并将数据包的状态信息与前一时刻的状态进行比较,在此基础上决定是否允许该数据包通过或丢弃。5、全状态检查(2)状态检测的优缺点优点:一旦某个访问违反安全规定,就会拒绝该访问,并报告有关状态作日志记录。具有一定的智能化缺点:降低网络速度配置比较复杂不能根据实际传输的数据内容进行判断三、防火墙体系结构1、双重宿主主机体系结构2、屏蔽主机体系结构3、屏蔽子网体系结构4、其它的防火墙结构1、双重宿主主机体系结构(1)双重宿主主机体系结构是围绕双重宿主主机构筑的。双重宿主主机至少有两个网络接口,它位于内部网络和外部网络之间,这样的主机可以充当与这些接口相连的网络之间的路由器,它能从一个网络接收IP数据包并将之发往另一网络。然而实现双重宿主主机的防火墙体系结构禁止这种发送功能,完全阻止了内外网络之间的IP通信。双重宿主主机可以有两种方式提供服务,一种是用户直接登录到双重宿主主机上,另外一种是在双重宿主主机上运行代理服务器。前一种情况,由于需要在在双重宿主主机上开设很多账号,管理起来很麻烦,而且也很危险。Internet防火墙双重宿主主机内部网络……双重宿主主机体系结构1、双重宿主主机体系结构(2)双重宿主主机的特性:安全至关重要(唯一通道),其用户口令控制安全是关键。必须支持很多用户的访问(中转站),其性能非常重要。缺点:双重宿主主机是隔开内外网络的唯一屏障,一旦它被入侵,内部网络便向入侵者敞开大门。2、屏蔽主机体系结构(1)屏蔽主机体系结构由防火墙和内部网络的堡垒主机承担安全责任。一般这种防火墙较简单,可能就是简单的路由器。典型构成:包过滤路由器+堡垒主机。包过滤路由器配置在内部网和外部网之间,保证外部系统对内部网络的操作只能经过堡垒主机。堡垒主机配置在内部网络上,是外部网络主机连接到内部网络主机的桥梁,它需要拥有高等级的安全。……防火墙堡垒主机因特网2、屏蔽主机体系结构(2)屏蔽路由器可按如下规则之一进行配置:允许内部主机为了某些服务请求与外部网上的主机建立直接连接(即允许那些经过过滤的服务)。不允许所有来自外部主机的直接连接。安全性更高,双重保护:实现了网络层安全(包过滤)和应用层安全(代理服务)。缺点:过滤路由器能否正确配置是安全与否的关键。如果路由器被损害,堡垒主机将被穿过,整个网络对侵袭者是开放的。3、屏蔽子网体系结构(1)屏蔽子网体系结构在本质上与屏蔽主机体系结构一样,但添加了额外的一层保护体系——周边网络。堡垒主机位于周边网络上,周边网络和内部网络被内部路由器分开。原因:堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机,能减少在堡垒主机被侵入的影响。Internet周边网络内部网络……外部路由器堡垒主机内部路由器屏蔽子网体系结构3、屏蔽子网体系结构(2)周边网络是一个防护层,在其上可放置一些信息服务器,它们是牺牲主机,可能会受到攻击,因此又被称为非军事区(DMZ)。周边网络的作用:即使堡垒主机被入侵者控制,它仍可消除对内部网的侦听。3、屏蔽子网体系结构(3)堡垒主机堡垒主机位于周边网络,是整个防御体系的核心。堡垒主机可被认为是应用层网关,可以运行各种代理服务程序。对于出站服务不一定要求所有的服务经过堡垒主机代理,但对于入站服务应要求所有服务都通过堡垒主机。3、屏蔽子网体系结构(4)外部路由器(访问路由器)作用:保护周边网络和内部网络不受外部网络的侵犯。它把入站的数据包路由到堡垒主机。防止部分IP欺骗,它可分辨出数据包是否真正来自周边网络。内部路由器(阻塞路由器)作用:保护内部网络不受外部网络和周边网络的侵害,它执行大部分过滤工作。外部路由器一般与内部路由器应用相同的规则。4、其它的防火墙结构(1)一个堡垒主机和一个非军事区示意图……DMZ堡垒主机内部网外部路由器Internet4、其它的防火墙结构(3)两个堡垒主机和两个非军事区外部DMZ外部堡垒主机内部网外部路由器Internet……内部堡垒主机内部DMZ四、防火墙的选用1、整体安全策略2、防火墙的姿态3、防火墙的费用1、整体安全策略(1)如果企业想要对其网络作充分保护,就必须实施一套完整的策略。在一定的安全水平和用户获得信息的能力之间达成一种很好的平衡。安全策略是一个正式的规则声明,获准访问组织的技