计算机网络安全技术第5章防火墙技术第五章防火墙技术•5.1防火墙概述•5.2防火墙的分类•5.3防火墙的主要技术•5.4防火墙的选择原则•5.5防火墙技术发展趋势计算机网络安全技术第5章防火墙技术5.1防火墙概述•5.1.1防火墙的基本概念•5.1.2防火墙的功能特性计算机网络安全技术第5章防火墙技术5.1.1防火墙的基本概念•防火墙是一种用来增强内部网络安全性的系统,它将网络隔离为内部网和外部网,从某种程度上来说,防火墙是位于内部网和外部网之间的桥梁和检查站,它一般由一台或多台计算机构成,它对内部网和外部网之间的数据流量进行分析、检测、管理和控制,通过对数据的筛选和过滤,来防止未经授权的访问进出内部计算机网络,从而达到保护内部网资源和信息的目的。•防火墙基本上是一个独立的进程或一组紧密结合的进程,运行于路由器或服务器上,来控制经过防火墙的网络应用程序的通信流量。引入防火墙是因为传统的网络系统将自己暴露给一些不安全的服务,如NFS等。在没有防火墙的环境中,网络安全完全依赖主系统的安全性。计算机网络安全技术第5章防火墙技术5.1.2防火墙的功能特性•防火墙从本质上来说是一种保护装置,它保护的是内部网络中的数据和资源。防火墙作为外部网与内部网之间的一个中介系统,竖起一道安全屏障。这道屏障的作用就是阻断外部网络对本地网络的威胁和入侵,提供保护本地内部网络的一道关卡。计算机网络安全技术第5章防火墙技术•防火墙的主要功能有•1.网络安全的屏障•2.强化网络安全策略•3.对网络存取和访问进行监控审计•4.防止内部信息的外泄5.1.2防火墙的功能特性计算机网络安全技术第5章防火墙技术•1.网络安全的屏障•防火墙能极大地提高内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止不安全的NFS协议进出受保护网络,这样外部的攻击就不能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。5.1.2防火墙的功能特性计算机网络安全技术第5章防火墙技术•2.强化网络安全策略•通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其他的身份认证系统完全可以不必分散在各个主机上,而全部集中在防火墙上。5.1.2防火墙的功能特性计算机网络安全技术第5章防火墙技术•3.对网络存取和访问进行监控审计•如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以弄清防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。5.1.2防火墙的功能特性计算机网络安全技术第5章防火墙技术•4.防止内部信息的外泄•通过利用防火墙对内部网络的划分,可实现内部网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透露内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等,但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度、这个系统是否有用户正在连线上网、这个系统是否在被攻击时引起注意,等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN(VitualPrivateNetwork,虚拟专用网)。5.1.2防火墙的功能特性计算机网络安全技术第5章防火墙技术5.2防火墙的分类•防火墙按体系结构可以分为以下类型:•5.2.1包过滤型防火墙•5.2.2多宿主网关防火墙•5.2.3屏蔽主机型防火墙•5.2.4屏蔽子网型防火墙•5.2.5堡垒主机计算机网络安全技术第5章防火墙技术5.2.1包过滤型防火墙•包过滤型防火墙又叫筛选路由器或筛选过滤器,它一般作用在网络层(IP层),故也称网络层防火墙或IP过滤器。它对进出内部网络的所有信息进行分析,并按照一定的安全策略(信息过滤规则)对进出内部网络的信息进行限制和过滤,允许授权信息通过,拒绝非授权信息通过。信息过滤规则是以其所收到的数据包头信息为基础的。计算机网络安全技术第5章防火墙技术5.2.1包过滤型防火墙•数据包的包头信息包括源(IP)地址、目的IP地址、封装的协议类型(TCP、UDP、ICMP和IGMP等)、源TCP/IP端口、目的TCP/IP端口、ICMP报文类型及TCP包头中的ACK位。如果包的进入接口和出接口匹配,并且满足过滤规则,就允许包通过,数据包就按照路由表中的信息被转发到下一跳;否则拒绝该包通过,该包将被丢弃,相当于此数据包所要到达的网络与发出此包的主机在物理上被断开,起到了保护内部网络的作用。•包过滤型防火墙的核心技术就是安全策略设计即包过滤算法的设计。包过滤防火墙往往可以用一台过滤路由器来实现,根据所设定的过滤规则集,对所接收的每个数据包做出允许通过或是拒绝通过的决定,如图5.1所示。路由器审查每个数据包以便确定其是否与某一条包过滤规则匹配。计算机网络安全技术第5章防火墙技术5.2.1包过滤型防火墙•包过滤防火墙一般用在下列场合:•(1)机构是非集中化管理;•(2)机构没有强大的集中安全策略;•(3)网络的主机数非常少;•(4)主要依赖于主机安全来防止入侵,但是当主机数增加到一定程度的时候,仅靠主机安全是不够的;•(5)没有使用DHCP这样的动态IP地址分配协议。计算机网络安全技术第5章防火墙技术5.2.1包过滤型防火墙•包过滤路由器常见的攻击有以下几种。•(1)源IP地址欺骗式攻击。•(2)源路由攻击。•(3)极小数据段式攻击。计算机网络安全技术第5章防火墙技术5.2.2多宿主网关防火墙•多宿主主机拥有多个网络接口,每一个接口都连在物理上和逻辑上都分离的不同的网段上。每个不同的网络接口分别连接不同的子网,不同子网之间的相互访问实施不同的访问控制策略。•双宿主主机是一种防火墙,拥有两个连接到不同网络上的网络接口。例如,一个网络接口连接到外部的不可信任网络上,另一个网络接口连接到内部的可信任的网络上,它的结构如图5.2所示。计算机网络安全技术第5章防火墙技术5.2.2多宿主网关防火墙•双宿主主机防火墙采用主机取代路由器执行安全控制功能,故类似于包过滤防火墙,双宿主主机可以在内部网络和外部网络之间进行寻径。如果一台双宿主主机中寻径功能被禁止了,则这个主机可以隔离与它相连的内部网和外部网之间的通信,与它相连的内部网和外部网都可以执行由它所提供的网络应用,如果这个应用允许的话,他们就可以共享数据。这样就保证内部网和外部网的某些结点之间可以通过双宿主主机上的共享数据传递信息,但内部网和外部网之间不能传递信息,他们之间的信息必须通过双宿主主机这个隔离内部网与外部网的中介来传递,从而达到保护内部网的作用。•双宿主主机防火墙的最大特点是IP层的通信被阻止,两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成,而不能直接通信。一般情况下,人们采用代理服务的方法,因为这种方法为用户提供了更为方便的访问手段。计算机网络安全技术第5章防火墙技术5.2.2多宿主网关防火墙•双宿主主机防火墙可以通过提供代理服务来实现。代理服务相对来说比较安全。在双宿主机上,运行各种各样的代理服务器,当要访问外部站点时,必须先经过代理服务器认证,然后才可以通过代理服务器访问Internet。•使用双宿主主机作为防火墙,防火墙本身的安全性至关重要。现在出现的新型双宿主主机防火墙没有IP地址,也被称为透明防火墙。透明防火墙由于没有IP地址,黑客很难对防火墙实施攻击,因而安全性较高。对于非透明防火墙,则要禁止其路由功能,否则数据包就会绕过代理,防火墙也就失效了。计算机网络安全技术第5章防火墙技术5.2.3屏蔽主机型防火墙•屏蔽主机型防火墙由堡垒主机和包过滤路由器组成,所有的外部主机与一个堡垒主机相连接而不让它们与内部主机直接相连。堡垒主机位于内部网中,包过滤路由器则放置在内部网路和Internet之间。在包过滤路由器上进行规则配置,使得包过滤路由器强迫所有到达路由器的数据包被发送到堡垒主机。它的结构示意图如图所示。计算机网络安全技术第5章防火墙技术5.2.3屏蔽主机型防火墙•该防火墙系统的安全等级比包过滤防火墙系统高,因为它实现了网络层安全(包过滤)和应用层安全(代理服务)。所以入侵者在破坏内部网前,首先必须渗透两种不同的安全系统。当然,并不是所有服务的入站连接都会被路由到堡垒主机上,屏蔽路由器根据安全策略允许或禁止某种服务的入站连接(外部到内部的主动连接)。•对于出站连接(内部网络到外部不可信网络的主动连接),可以采用不同的策略。对于一些服务,如Telnet,可以允许经过屏蔽路由器连接到Internet,并在堡垒主机上运行该服务的代理服务器,怎样安排这些服务取决于安全策略。计算机网络安全技术第5章防火墙技术5.2.3屏蔽主机型防火墙•如果入侵者绕过包过滤路由器进入内部网,也要和堡垒主机竞争,而堡垒主机是一台安全性很高的主机,主机上没有任何入侵者可以利用的工具,不能作为黑客进一步入侵的基地。该防火墙系统的工作原理如图5.6所示。另外,过滤路由器是否正确配置是这种防火墙安全与否的关键,过滤路由器的路由表应当受到严格的保护,否则,如果路由表被攻击者破坏掉,数据包就不能被路由到堡垒主机上,导致堡垒主机被越过,从而导致严重后果。因而,用户趋向于使用另一种防火墙安全体系结构——屏蔽子网型防火墙。计算机网络安全技术第5章防火墙技术5.2.4屏蔽子网型防火墙•在被屏蔽主机结构中,堡垒主机最容易受到攻击。而且内部网对堡垒主机是完全公开的,入侵者只要破坏了这一层保护,那么内部网就暴露在入侵的攻击之下。屏蔽子网结构本质上和屏蔽主机是一样的,但是,通过在屏蔽主机结构中再增加一台路由器,它的作用在于在内部网和外部网之间构筑出一个安全子网(DMZ)。从而给内部网络增加了一层保护体系——周边网络,使得周边网络和内部网被内部屏蔽路由器分开,周边网络和外部网被外部屏蔽路由器隔开,这样内部网和外部网之间有两层保护体系。堡垒主机位于周边网络中,用于给外部网的用户提供应用服务,比如Web服务等。堡垒主机是内部网和外部网的连接点,这样增加了内部网的安全性。典型的屏蔽子网结构如图5.7所示。计算机网络安全技术第5章防火墙技术5.2.4屏蔽子网型防火墙计算机网络安全技术第5章防火墙技术5.2.4屏蔽子网型防火墙•在一般情况下,DMZ配置成使用Internet和内部网络系统能够访问DMZ网络上数目有限的系统,而通过DMZ网络直接进行传输是严格禁止的。•对于进来的信息,外部路由器用于防范通常的外部攻击(如源地址欺骗和源路由攻击),并管理Internet到DMZ网络的访问。它只允许外部系统访问堡垒主机(也可能是信息服务器)。里面的这个路由器提供第二层防御,只接受源于堡垒主机的数据包,负责的是管理DMZ到内部网络的访问。•而对于从内部网发往外部网的数据包,内部路由器管理内部网络到DMZ的访问。它允许内部系统只访问堡垒主机(或者信息服务器)。外部路由器上的过滤规则要求使用代理服务(只接受来自堡垒主机的去往Internet的数据包)。如果入侵者仅仅侵入到DMZ子网中的