防火墙工作原理及应用

1信息安全技术与应用4.1防火墙概述•防火墙的概念•防火墙的功能•防火墙的历史•防火墙的原理•防火墙的分类•防火墙的组成及位置•防火墙的局限性•防火墙的发展趋势1信息安全技术与应用防火墙的概念•防火墙（firewall）这个术语来自建筑结构的安全技术。•在网络系统中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术，起到内部网与Internet之间的一道防御屏障。1信息安全技术与应用网络防火墙1信息安全技术与应用防火墙的功能•访问控制•防止外部攻击•进行网络地址转换•提供日志与报警•对用户身份认证1信息安全技术与应用防火墙的历史•最早的防火墙技术几乎与路由器同时出现，采用了分组过滤（packetfilter）技术；•1989年，贝尔实验室的Dave.Presotto和Howard.Trickey推出了第2代防火墙，即电路级防火墙，同时提出了第3代防火墙——应用层防火墙（代理防火墙）的初步结构；•1992年，南加洲大学（UniversityofSouthernCalifornia，USC）信息科学院的Bob.Braden开发出了基于动态分组过滤（dynamicpacketfilter）技术的第4代防火墙，后来演变为状态监视（statefulinspection）技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。•1998年，美国的网络联盟公司（networkassociatesinc，NAI）推出了一种自适应代理（adaptiveproxy）技术，并在其产品GauntletFirewallforNT中实现，给代理类型的防火墙赋予了全新的意义，可以称之为第5代防火墙。1信息安全技术与应用防火墙的原理•防火墙的主要目的是为了隔离外部网（Internet）和内部网（Extranet），以保护网络的安全；•从TCP/IP参考模型的网络结构来看，防火墙是建立在不同分层结构上的、具有一定安全级别和执行效率的安全通信技术；•按照网络分层结构的实现思想，若防火墙所采用的通信协议栈其层次越低，所能检测到的通信资源越少，其安全级别也就越低，但其执行效率却较好。反之，如果防火墙所采用的通信协议栈其层次越高，所能检测到的通信资源越多，其安全级别也就越高，但其执行效率却较差。1信息安全技术与应用防火墙分类•实现技术方式从实现技术方式的不同，防火墙可分为“分组过滤型”防火墙和“应用代理型”防火墙两大体系。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表，后者以NAI公司的Gauntlet防火墙为代表。•应用对象的不同分为企业级防火墙与个人防火墙；•实现形态上的不同分为软件防火墙、硬件防火墙和芯片级放火墙。1信息安全技术与应用防火墙的组成及位置•组成可以由一台路由器、一台PC或者一台主机构成，也可以是由多台主机构成的体系；•位置一般将防火墙放置在网络的边界；有时在网络边界内部也应该部署防火墙，以便为特定主机提供额外的、特殊的保护；1信息安全技术与应用防火墙的局限性•防火墙不能防范不经过防火墙的攻击；•防火墙不能防止来自内部的攻击。•防火墙只能按照对其配置的规则进行有效的工作，一个过于随意的规则可能会减弱防火墙的功效；•防火墙不能防止感染了病毒的软件或文件的传输；•防火墙不能修复脆弱的管理措施或者设计有问题的安全策略；•防火墙可以阻断攻击，但不能消灭攻击源；•防火墙不能抵抗最新的未设置策略的攻击漏洞；•防火墙的并发连接数限制容易导致拥塞或者溢出；•防火墙对服务器合法开放的端口的攻击大多无法阻止；•防火墙本身也会出现问题和受到攻击；1信息安全技术与应用防火墙的发展趋势•设计新的防火墙的技术架构是未来发展方向。•采用数据加密技术的，使安全地合法访问。•混合使用分组过滤技术、代理服务技术和其他的一些新技术。•新的IP协议IPv6的应用将对防火墙的建立与运行产生深刻的影响。•分布式防火墙。1信息安全技术与应用4.2防火墙技术•分组过滤技术•代理服务器技术•应用网关技术•电路级网关技术•状态监测技术•网络地址转换技术1信息安全技术与应用分组过滤技术•分组过滤（packetfilter）是所有防火墙中最核心的功能，进行分组过滤的标准是根据安全策略制定的；•分组过滤型防火墙工作在TCP/IP网络参考模型的网络层和传输层；1信息安全技术与应用分组过滤技术•分组过滤原理分组过滤通常安装在路由器上，并且大多数商用路由器都提供了分组过滤的功能。分组过滤是一种安全筛选机制，它控制哪些数据包可以进出网络而哪些数据包应被网络所拒绝。通常情况下靠网络管理员在防火墙设备的ACL中设定。1信息安全技术与应用分组过滤技术•分组过滤技术的特点因为CPU用来处理分组过滤的时间相对很少，且这种防护措施对用户透明，合法用户在进出网络时，根本感觉不到它的存在，使用起来很方便。因为分组过滤技术不保留前后连接信息，所以很容易实现允许或禁止访问。因为分组过滤技术是在TCP/IP层实现的，所以分组过滤的一个很大的弱点是不能在应用层级别上进行过滤，所以防护方式比较单一。1信息安全技术与应用分组过滤技术发展阶段•第一代静态分组过滤类型防火墙•第二代动态分组过滤类型防火墙动态分组过滤（dynamicpacketfilter）也叫状态分组检查（statefulpacketinspection，SPI）或者有状态分组过滤；1信息安全技术与应用代理服务器技术•早先代理服务器用于将常用的页面存储在缓冲区中，以便提高网络通信的速度。•后来代理服务器逐渐发展为能够提供强大安全功能的一种技术。•代理服务器防火墙作用在应用层，针对每一个特定应用都有一个程序，通过代理可以实现比分组过滤更严格的安全策略。1信息安全技术与应用应用级网关技术•应用级网关（applicationgateway）型防火墙主要工作在OSI参考模型的最高层，即应用层;•其特点是完全“隔离”了网络的通信，通过对每一种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用;1信息安全技术与应用应用级网关技术•工作原理应用网关接受内、外部网络的通信数据包，并根据自己的安全策略进行过滤，不符合安全协议的信息被拒绝或丢弃；通过自身（网关）复制传递数据，防止在内部网主机与Internet主机间直接建立联系；能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和审核；1信息安全技术与应用电路级网关技术电路级网关也被称为线路级网关，它工作在会话层。它在两个主机首次建立TCP连接时创建一个电子屏障。•工作原理电路级网关通过在TCP三次握手建立连接的过程中，监视两主机建立连接时的握手信息，检查双方的SYN、ASK和序列号是否合乎逻辑，来判断该请求的会话是否合法。一旦网关认为会话是合法的，就为双方建立连接，并维护一张合法会话连接表，当会话信息与表中的条目匹配时才允许数据通过，会话结束后，表中的条目就被删除；1信息安全技术与应用电路级网关技术•工作过程电路级网关依靠特定的逻辑来判断是否允许数据包通过，但其不允许内、外网的计算机直接建立连接，也就是不允许TCP端到端的连接，通常需要建立两个连接；其中一个连接是网关到内部主机，另一个是网关到外部主机；一旦两个连接被建立，网关只简单地进行数据中转；1信息安全技术与应用状态检测技术•状态检测防火墙是在有状态分组过滤防火墙基础上发展起来的一种新的防火墙技术，是分组过滤器和应用级网关的一种折中方案；•既具有分组过滤防火墙的速度和灵活，也有应用网关防火墙的安全优点；1信息安全技术与应用状态监测技术•状态检测防火墙工作原理状态检测技术首先由CheckPoint公司提出并实现；状态检测防火墙利用一个检测模块从网络层捕获数据包，并抽取与应用层状态有关的信息，并以此作为决定对该连接是接受还是拒绝依据；检测模块维护一个动态的状态信息表，当数据到达防火墙的接口时，防火墙判断数据包是不是一个已经存在的连接，如果是就对数据包进行特征检测，并依据策略是否允许通过，如果允许就转发到目的端口并记录日志，否则就丢弃；1信息安全技术与应用网络地址转换技术网络地址转换（NAT）技术是Internet网络应用中一项非常实用的技术，也就是说一种将一个IP地址域映射到另一个IP地址域的技术，从而为终端主机提供透明路由。1信息安全技术与应用4.3防火墙体系结构目前，最常见的防火墙体系结构有以下4种。•分组过滤路由器体系结构；•双宿主主机体系结构；•堡垒主机过滤体系结构；•被屏蔽子网体系结构；1信息安全技术与应用相关术语•堡垒主机“堡垒”一词来源于中世纪，得名于古代战争中用于防守的坚固堡垒，用于发现和抵御攻击者的进攻；在网络中堡垒主机（bastionhost）是经过加固，配置了安全防范措施，但没有IP转发功能的计算机，为网络之间的通信提供了一个阻塞点；在防火墙体系结构中，堡垒主机应该位于内部网的边缘，且高度暴露于外部网络用户面前；1信息安全技术与应用非军事区•为了配置和管理方便，通常将内部网中需要向外部提供服务的服务器设置在单独的网段，这个网段被称为非军事区（demilitarizedzone，DMZ），也被称为停火区或周边网络。•DMZ是防火墙的重要概念，在实际应用中经常用到。•DMZ位于内部网之外，使用与内部网不同的网络号连接到防火墙，并对外提供公共服务。•DMZ通过隔离内外网络，并为内、外网之间的通信起到缓冲作用。1信息安全技术与应用创建DMZ的方法•使用三脚防火墙•将DMZ置于公网和防火墙之间•将DMZ置于防火墙之外，但不在公网和防火墙之间的通道上•两个防火墙，一个DMZ•“脏”DMZ1信息安全技术与应用三脚防火墙创建DMZ1信息安全技术与应用DMZ置于公网和防火墙之间1信息安全技术与应用DMZ置于防火墙之外不在公网和防火墙之间的通道上1信息安全技术与应用两个防火墙一个DMZ1信息安全技术与应用“脏”DMZ1信息安全技术与应用分组过滤路由器体系结构分组过滤路由器（packetfilteringrouter）又称屏蔽路由器（screeningrouter）或筛选路由器，是最简单、最常见的防火墙。•工作模式分组过滤路由器通过在Internet和内部网之间放置一个路由器。在路由器上安装分组过滤软件，实现分组过滤功能。分组过滤路由器可以由厂家专门生产的路由器实现，也可以用主机来实现。1信息安全技术与应用双宿主主机体系结构双宿主主机体系结构（dualhomedhost）又称双重宿主主机体系结构，是围绕双宿主的堡垒主机构筑的，其双宿主主机至少有两个网络接口。•工作模式用一台装有两块网卡的堡垒主机做防火墙，两块网卡各自与内部网和Internet相连；内、外部网之间的通信必须经过堡垒主机；必须禁用路由选择功能，这样防火墙两边的网络才可以只与双宿主主机通信；内外网之间不能直接通信；1信息安全技术与应用双宿主主机体系结构优缺点•优点网络结构简单，由于内、外网络之间没有直接的数据通信，网络较为安全；双宿主主机体系结构相对于分组过滤路由器来说，堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程管理日志；采用应用层代理机制，可以方便形成应用层的数据与信息过滤；由于存在内部用户账号，可以保证对外资源进行有效控制；1信息安全技术与应用堡垒主机过滤体系结构堡垒主机过滤（screenedhost）体系结构也称作屏蔽主机体系结构或者筛选主机体系结构，由一个单独屏蔽路由器和内部网络上的堡垒主机共同构筑防火墙，主要通过数据分组过滤技术实现内、外网的隔离和对内部网络的保护。1信息安全技术与应用堡垒主机过滤体系结构•工作模式使用一个路由器把内部网和外部网隔离，其有两道防线，一道是屏蔽路由器，另一道是堡垒主机；屏蔽路由器位于网络的最边缘，负责与外网进行连接，并参与外网的的路由计算，仅提供路由和数据分组过滤功能，不提供任何服务，本身比较安全；堡垒主机安置在内部网络中，是内部网络系统连接到