搜索
引入随着Internet的日益普及,开放式的网络带来了许多不安全的隐患。在开放网络式的网络上,我们的周围存在着许多不能信任的计算机(包括在一个LAN之间),这种这些计算机对我们私有的一些敏感信息造成了很大的威胁。在大厦的构造中,防火墙被设计用来防止火灾从大厦的一部分传播到大厦的另一部分。我们所涉及的“防火墙”具有类似的目的:“防止Internet的危险传播到你的内部网络”。什么叫防火墙?防火墙(FireWall):简单的说,网络安全的第一道防线,是位于两个信任程度不同的网络之间(如企业内部网络和Internet之间)的设备,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。防火墙=硬件+软件+控制策略宽松控制策略:除非明确禁止,否则允许。限制控制策略:除非明确允许,否则禁止。防火墙的特性:内部和外部之间的所有网络数据流必须经过防火墙只有被安全政策允许的数据包才能通过防火墙防火墙本身要具有很强的抗攻击、渗透能力防火墙的简单定义简单的说,防火墙是保护一个网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。防火墙应该具有如下基本特征:经过防火墙保护的网络之间的通信必须都经过防火墙。只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。防火墙本身必须具有很强的抗攻击、渗透能力。防火墙可以保护内部网络的安全,可以使受保护的网络避免遭到外部网络的攻击。硬件防火墙应该可以支持若干个网络接口,这些接口都是LAN接口(如Ethernet、TokenRing、FDDI),这些接口用来连接几个网络。在这些网络中进行的连接都必须经过硬件防火墙,防火墙来控制这些连接,对连接进行验证、过滤。连接不受信网络区域连接受信网络区域在连接受信网络区域和非受信网络区域之间的区域,一般称为DMZ。防火墙在安全体系中的位置门防火墙监视器入侵检测系统加固的房间系统加固、免疫安全传输加密、VPN监控室安全管理中心门禁系统身份认证、访问控制保安员扫描器、漏洞查找防火墙的功能防火墙能提供的功能监控和审计网络的存取和访问:过滤进出网络的数据,管理进出网络的访问行为,封堵某些禁止的业务,记录通过防火墙的信息内容和活动,对网络攻击进行检测和告警。部署于网络边界,兼备提供网络地址翻译(NAT)、虚拟专用网(VPN)等功能防病毒、入侵检测、认证、加密、远程管理、代理……深度检测对某些协议进行相关控制攻击防范,扫描检测等应用程序代理包过滤&状态检测用户认证NATVPN日志IDS与报警内容过滤防火墙的基本功能模块防火墙的局限性防火墙不是解决所有网络安全问题的万能药方,只是网络安全政策和策略中的一个组成部分。防外不防内(内网用户和内外串通);不能防备全部的威胁,特别是新产生的威胁;在提供深度检测功能以及防火墙处理转发性能上需要平衡;当使用端-端加密时,即有加密隧道穿越防火墙的时候不能处理;目前的防火墙,在网络层可靠性组网中解决单点故障的组网不够灵活并且存在应用限制;防火墙本身可能会存在性能瓶颈,如抗攻击能力,会话数限制等;防火墙技术发展介绍-防火墙的分类按照防火墙实现的方式,一般把防火墙分为如下几类:包过滤防火墙(PacketFiltering)包过滤利用定义的特定规则过滤数据包,防火墙直接获得数据包的IP源地址、目的地址、TCP/UDP的源端口、和TCP/UDP的目的端口。利用以上的部分或者全部的信息按照规则进行比较,过滤通过防火墙的数据包。规则的定义就是按照IP数据包的特点定义的,可以充分利用上述的四个条件定义通过防火墙数据包的条件。包过滤防火墙简单,但是缺乏灵活性。另外包过滤防火墙每包需要都进行策略检查,策略过多会导致性能急剧下降。代理型防火墙(applicationgateway)代理型防火墙使得防火墙做为一个访问的中间节点,对Client来说防火墙是一个Server,对Server来说防火墙是一个Client。代理型防火墙安全性较高,但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的,因此代理型防火墙不能支持很丰富的业务,只能针对某些应用提供代理支持。状态检测防火墙状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。现在防火墙的主流产品为状态检测防火墙。防火墙的关键技术防火墙的关键技术包过滤技术代理技术状态检测技术网络地址翻译NAT虚拟专用网VPN应用协议特定的包过滤技术ASPF双机热备技术QOS技术应用层流控技术包括P2P限流防攻击技术,DPI技术包过滤防火墙(PacketFiltering)包过滤防火墙(PacketFiltering)此类防火墙布放在网络中的适当位置,利用数据包的五元组的部分或者全部的信息,按照定义的规则ACL对通过的数据包进行过滤。这是一种基于网络层的安全技术,对于应用层的黑客行为无能为力。包过滤防火墙简单,但是缺乏灵活性;包过滤防火墙每包需要都进行策略检查,策略过多会导致性能急剧下降;包过滤防火墙对于任何应用需要配置双方向的ACL规则,不能提供差异性保护IP报头TCP/UDP报头数据协议号源地址目的地址源端口目的端口访问控制列表由这5个元素来组成定义的规则包过滤技术介绍对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。实现包过滤的核心技术是访问控制列表ACL。InternetInternetACL规则从202.110.10.0/24来的数据包不能通过从192.110.10.0/24来的数据包能通过R办事未授权用户公司总部代理型防火墙(ApplicationGateway)代理型防火墙(applicationgateway)代理型防火墙使得防火墙做为一个访问的中间节点,对Client来说防火墙是一个Server,对Server来说防火墙是一个Client,转发性能低;此类防火墙安全性较高,但是开发代价很大。对每一种应用开发都需要一个对应的代理服务,因此代理型防火墙不能支持很丰富的业务,只能针对某些应用提供代理支持;代理型防火墙很难组成双机热备的组网,因为状态无法保持同步;状态检测防火墙状态检测防火墙状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。状态检测技术在网络层实现所有需要的防火墙能力,它既有包过滤机制的速度和灵活,也有代理型防火墙安全的优点。采用状态检测技术的防火墙产品是现在的主流状态检测防火墙工作原理(单通道协议)在状态防火墙中会动态维护着一个Session表项,通过Session表项来检测基于TCP/UDP连接的连接状态,动态地判断报文是否可以通过,从而决定哪些连接是合法访问,哪些是非法访问。防火墙基本概念——安全区域(Zone)域(Zone)域是防火墙上引入的一个重要的逻辑概念;通过将接口加入域并在安全区域之间启动安全检查(称为安全策略),从而对流经不同安全区域的信息流进行安全过滤。常用的安全检查主要包括基于ACL和应用层状态的检查接口1接口2接口3Untrust区域DMZ区域Trust区域Local区域防火墙的内部划分为多个区域,所有的转发接口都唯一的属于某个区域防火墙基本概念——安全区域(Zone)续SecPath防火墙上预定义了4个安全区域:本地区域Local(指防火墙本身)、受信区域Trust、非军事化区域DMZ(DemilitarizedZone)、非受信区域Untrust,用户可以根据需要自行添加新的安全区域Untrust区域外部网络Internet接口1接口2LANDMZ区域Server接口3LANTrust区域PC内部网络PCLocal区域根据防火墙的内部划分的安全区域关系,确定其所连接网络的安全区域防火墙基本概念——安全区域(Zone)配置#系统预定义的安全区域(例如trust、local、dmz和untrust),这些区域具有确定的安全级别,无需自行配置,可以通过如下命令进入。[SecPath]firewallzonetrust[SecPath-zone-trust]#创建新的自定义安全区域,需要该区域的安全优先级;[SecPath]firewallzonenamenewzone[SecPath-zone-newzone]setpriority30注:如果没有配置安全优先级则该域不能工作,另外两个域的安全优先级不能相同#接口加入到域,[SecPath]firewallzonedmz[SecPath-zone-dmz]addinterfaceethernet1/0/0注:如果接口没有加入域的话该接口将不能转发不报文,同样对于虚接口、虚模板、子接口也是如此防火墙基本概念——域间(InterZone)域间(InterZone):防火墙在引入域概念的同时也引入了域间概念;任何不同的安全域之间形成域间关系,SecPath防火墙上大部分规则都是配置在域间上,为了便于描述同时引入了域间方向的概念:inbound:报文从低优先级区域进入高优先级区域为入方向;outbound:报文从高优先级区域进入低优先级区域为出方向;说明:安全策略只能应用在安全区域之间(即配置在域间),从而对分属不同安全区域的接口之间的信息流根据配置的安全策略进行安全检查。一个安全域间的某个方向上只能配置一条域间包过滤规则。防火墙基本概念——域间(InterZone)配置接口3接口1Local区域Trust区域DMZ区域Untrust区域Eudemon外部网络接口2123456781091112内部网络#在Trust和Untrust区域间出方向(上图中箭头3所示)上应用安全策略(例如ACL3101规则)。[SecPath]firewallinterzoneuntrusttrust[SecPath-interzone-trust-untrust]packet-filter3101outbound注:在防火墙上包过滤规则,Natoutbound等只能配置在域间,这样防火墙基本概念——会话(Session)会话会话是状态防火墙的基础,每一个通过防火墙的会话都会在防火墙上建立一个会话表项,以五元组(源目的IP地址、源目的端口、协议号)为Key值;通过建立动态的会话表来可以提供高优先级域更高的安全性,即如下图所示高优先级域可以主动访问低优先级域,反之则不能够;防火墙通过会话表还能提供许多新的功能,如加速转发,基于流的等价路由,应用层流控等。SecPath200防火墙对于一个流只建立一个Session表,而SecPath1000会建立2个。用户A初始化一个telnet会话用户A的telnet会话返回报文被允许其它telnet报文被阻塞创建Session表项防火墙基本概念——多通道协议多通道协议是指某个应用在进行通讯或提供服务时需要建立两个以上的会话(通道),其中有一个控制通道,其他的通道是根据控制通道中双方协商的信息动态创建的,一般我们称之为数据通道或子通道;多通道协议在防火墙应用以及NAT设备的应用中需要特殊处理,因为数据通道的端口是不固定的(协商出来的)其报文方向也是不固定的多通道协议的典型应用这种典型应用有很多,最典型的是ftp,其他的一般都如很音频和视频通讯有关如:H.323(包括T.120、RAS、Q.931和H.245等)、SIP、MGCP,此外许多实时聊天通讯软件也是多通道协议的,如MSN,QQ,ICQ等防火墙基本概念——NATNAT(NetworkAddressTranslation,地址转换)是将IP数据报报头中的IP地址转换为另一个IP地址的过程PC202.130.10.3Serve