第8章防火墙技术的原理与应用第8章防火墙技术的原理与应用8.1防火墙概述8.2防火墙技术与类型8.3防火墙主要技术参数8.4防火墙防御体系结构类型8.5防火墙部署与应用案例8.6本章小结本章思考与练习第8章防火墙技术的原理与应用8.1防火墙概述8.1.1防火墙技术背景目前,各组织机构都是通过便利的公共网络与客户、合作伙伴进行信息交换的,但是,一些敏感的数据有可能泄露给第三方,特别是连上因特网的网络将面临黑客的攻击和入侵。为了应对网络威胁,连网的机构或公司将自己的网络与公共的不可信任的网络进行隔离,其方法是根据网络的安全信任程度和需要保护的对象,人为地划分若干安全区域,这些安全区域有:第8章防火墙技术的原理与应用*公共外部网络,如Internet。*内联网(Intranet),如某个公司或组织的专用网络,网络访问限制在组织内部。*Extranet,是内联网的扩展延伸,常用作组织与合作伙伴之间进行通信。*军事缓冲区域,简称DMZ,该区域是介于内部网络和外部网络之间的网络段,常放置公共服务设备,向外提供信息服务。第8章防火墙技术的原理与应用在安全区域划分的基础上,通过一种网络安全设备,控制安全区域间的通信,就能实现隔离有害通信的作用,进而可以阻断网络攻击。这种安全设备的功能类似于防火使用的墙,因而人们就把这种安全设备俗称为“防火墙”,它一般安装在不同的安全区域边界处,用于网络通信安全控制,由专用硬件或软件系统组成。第8章防火墙技术的原理与应用8.1.2防火墙工作原理防火墙是由一些软、硬件组合而成的网络访问控制器,它根据一定的安全规则来控制流过防火墙的网络包,如禁止或转发,能够屏蔽被保护网络内部的信息、拓扑结构和运行状况,从而起到网络安全屏障的作用。防火墙一般用来将内部网络与Internet或者其他外部网络互相隔离,限制网络互访,保护内部网络的安全,如图8-1所示。第8章防火墙技术的原理与应用图8-1防火墙部署安装示意图外部网络路由器防火墙内部网络第8章防火墙技术的原理与应用防火墙根据网络包所提供的信息实现网络通信访问控制:如果网络通信包符合网络访问控制策略,就允许该网络通信包通过防火墙,否则不允许,如图8-2所示。防火墙的安全策略有两种类型,即:(1)只允许符合安全规则的包通过防火墙,其他通信包禁止。(2)禁止与安全规则相冲突的包通过防火墙,其他通信包都允许。第8章防火墙技术的原理与应用图8-2防火墙工作示意图通信被禁止,因为不符合安全规则禁止允许外部网络到外网通信未知通信规定允许通信禁止允许访问指定的资源只有符合安全规则通信才允许通过允许通过通信流内部网络受到禁止通信流防火墙第8章防火墙技术的原理与应用防火墙简单的可以用路由器、交换机实现,复杂的就要用一台计算机,甚至一组计算机实现。按照TCP/IP协议的层次,防火墙的访问控制可以作用于网络接口层、网络层、传输层、应用层,首先依据各层所包含的信息判断是否遵循安全规则,然后控制网络通信连接,如禁止、允许。防火墙简化了网络的安全管理。如果没有它,网络中的每个主机都处于直接受攻击的范围之内。为了保护主机的安全,就必须在每台主机上安装安全软件,并对每台主机都要定时检查和配置更新。归纳起来,防火墙的功能有:*过滤非安全网络访问。将防火墙设置为只有预先被允许的服务和用户才能通过防火墙,禁止未授权的用户访问受保护的网络,降低被保护网络受非法攻击的风险。第8章防火墙技术的原理与应用*限制网络访问。防火墙只允许外部网络访问受保护网络的指定主机或网络服务,通常受保护网络中的Mail、FTP、服务器等可让外部网络访问,而其他类型的访问则予以禁止。防火墙也用来限制受保护网络中的主机访问外部网络的某些服务,例如某些不良网址。*网络访问审计。防火墙是外部网络与受保护网络之间的惟一网络通道,可以记录所有通过它的访问并提供网络使用情况的统计数据。依据防火墙的日志,可以掌握网络的使用情况,例如网络通信带宽和访问外部网络的服务数据。防火墙的日志也可用于入侵检测和网络攻击取证。第8章防火墙技术的原理与应用*网络带宽控制。防火墙可以控制网络带宽的分配使用,实现部分网络质量服务(QoS)保障。*协同防御。目前,防火墙和入侵检测系统通过交换信息实现联动,根据网络的实际情况配置并修改安全策略,增强网络安全。第8章防火墙技术的原理与应用8.1.3防火墙缺陷尽管防火墙有许多防范功能,但它也有一些力不能及的地方,因为防火墙只能对通过它的网络通信包进行访问控制,所以对未经过它的网络通信就无能为力了。例如,如果允许从内部网络直接拨号访问外部网络,则防火墙就失效了,攻击者通过用户拨号连接直接访问内部网络,绕过防火墙控制,也能造成潜在的攻击途径。第8章防火墙技术的原理与应用除此之外,防火墙还有一些脆弱点,例如:*防火墙不能完全防止感染病毒的软件或文件传输。防火墙是网络通信的瓶颈,因为已有的病毒、操作系统以及加密和压缩二进制文件的种类太多,以致于不能指望防火墙逐个扫描每个文件查找病毒,而只能在每台主机上安装反病毒软件。*防火墙不能防止基于数据驱动式的攻击。当有些表面看来无害的数据被邮寄或复制到主机上并被执行而发起攻击时,就会发生数据驱动攻击效果。防火墙对此无能为力。*防火墙不能完全防止后门攻击。防火墙是粗粒度的网络访问控制,某些基于网络隐蔽通道的后门能绕过防火墙的控制,例如httptunnel等。第8章防火墙技术的原理与应用8.2防火墙技术与类型8.2.1包过滤包过滤是在IP层实现的防火墙技术。包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。此外,还有一种可以分析包中数据区内容的智能型包过滤器。基于包过滤技术的防火墙,简称包过滤型防火墙,英文表示就是PacketFilter,其工作机制如图8-3所示。第8章防火墙技术的原理与应用图8-3包过滤工作机制禁止允许根据安全规则(源IP地址、目标IP、端口号、协议类型)对网络通信进行过滤控制允许输出的网络通信流输入的网络通信流1物理层2数据链路层3网络层(IP)4传输层(TCP)5应用层第8章防火墙技术的原理与应用目前,包过滤是防火墙的基本功能之一。多数现代的IP路由软件或设备都支持包过滤功能,并默认转发所有的包。ipf、ipfw、ipfwadm是有名的自由过滤软件,可以运行在Linux操作系统平台上。包过滤的控制依据是规则集,典型的过滤规则表示格式由规则号、匹配条件、匹配操作三部分组成,包过滤规则格式随所使用的软件或防火墙设备的不同而略有差异,但一般的包过滤防火墙都用源IP地址、目的IP地址、源端口号、目的端口号、协议类型(UDP,TCP,ICMP)、通信方向及规则运算符来描述过滤规则条件。而匹配操作有拒绝、转发、审计等三种。表8-1是包过滤型防火墙过滤规则表,这些规则的作用在于只允许内、外网的邮件通信,其他的通信都禁止。第8章防火墙技术的原理与应用表8-1防火墙过滤规则表规则编号通信方向协议类型源IP目标IP源端口目标端口操作AinTCP外部内部≥102425允许BoutTCP内部外部25≥1024允许CoutTCP内部外部≥102425允许DinTCP外部内部25≥1024允许Eeitheranyanyanyanyany拒绝第8章防火墙技术的原理与应用包过滤型防火墙对用户透明,合法用户在进出网络时,感觉不到它的存在,使用起来很方便。在实际网络安全管理中,包过滤技术经常用来进行网络访问控制。下面以CiscoIOS为例,说明包过滤器的作用。CiscoIOS有两种访问规则形式,即标准IP访问表和扩展IP访问表,它们的区别主要是访问控制的条件不一样。标准IP访问表只是根据IP包的源地址进行。标准IP访问控制规则的格式如下:assess-listlist-mumber{deny|pernit}source[source-wildcard][log]第8章防火墙技术的原理与应用而扩展IP访问规则的格式是:assess-listlist-mumber{deny|pernit}protocolsourcesource-wildcardsource-qualifiersdestinationdestination-wildcarddestination-qualifiers[log|log-input]其中:*标准IP访问控制规则的list-number规定为1~99,而扩展IP访问规则的list-number规定为100~199;第8章防火墙技术的原理与应用*deny表示若经过CiscoIOS过滤器的包条件匹配,则禁止该包通过;*permit表示若经过CiscoIOS过滤器的包条件匹配,则允许该包通过;*source表示来源的IP地址;*source-wildcard表示发送数据包的主机IP地址的通配符掩码,其中1代表“忽略”,0代表“需要匹配”,any代表任何来源的IP包;*destination表示目的IP地址;*destination-wildcard表示接收数据包的主机IP地址的通配符掩码;*protocol表示协议选项,如IP、ICMP、UDP、TCP等;*log表示记录符合规则条件的网络包。第8章防火墙技术的原理与应用下面给出一个例子,用Cisco路由器防止DDoS攻击,配置信息如下:!theTRINOODDoSsystemsaccess-list170denytcpanyanyeq27665logaccess-list170denyudpanyanyeq31335logaccess-list170denyudpanyanyeq27444log!theStacheldrahtDDoSsystemsaccess-list170denytcpanyanyeq16660logaccess-list170denytcpanyanyeq65000log!theTrinityV3systems第8章防火墙技术的原理与应用access-list170denytcpanyanyeq33270logaccess-list170denytcpanyanyeq39268log!theSubsevensystemsandsomevariantsaccess-list170denytcpanyanyrange67116712logaccess-list170denytcpanyanyeq6776logaccess-list170denytcpanyanyeq6669logaccess-list170denytcpanyanyeq2222logaccess-list170denytcpanyanyeq7000log第8章防火墙技术的原理与应用简而言之,包过滤成为当前解决网络安全问题的重要技术之一,不仅可以用在网络边界上,而且也可应用在单台主机上。例如,现在的个人防火墙以及Windows2000和WindowsXP都提供了对TCP、UDP等协议的过滤支持,用户可以根据自己的安全需求,通过过滤规则的配置来限制外部对本机的访问。图8-4是利用Windows2000系统自带的包过滤功能对139端口进行过滤,这样可以阻止基于RPC的漏洞攻击。第8章防火墙技术的原理与应用图8-4Windows2000过滤配置示意图第8章防火墙技术的原理与应用包过滤防火墙技术的优点是低负载、高通过率、对用户透明;但是包过滤技术的弱点是不能在用户级别进行过滤,如不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设置成一个合法主机的IP地址,就可以轻易通过包过滤器。第8章防火墙技术的原理与应用8.2.2应用服务代理应用服务代理防火墙扮演着受保护网络的内部网主机和外部网络主机的网络通信连接“中间人”的角色,代理防火墙代替受保护网络的主机向外部网络发送服务请求,并将外部服务请求响应的结果返回给受保护网络的主机,如图8-5所示。第8章防火墙技术的原理与应用图8-5代理服务工作流程示意图代理服务是否需要认证?等待代理服务请求接受代理服务请求读取代理服务安全策略执行代理服务认证