第十二章 防火墙

2020/1/251第十二章防火墙2020/1/252内容基本概念防火墙相关技术防火墙配置模式几个新的方向2020/1/253基本概念防火墙定义为什么需要防火墙对防火墙的两大需求防火墙技术的发展过程引入防火墙技术的好处争议及不足2020/1/25412.1防火墙概述12.1.1.什么是防火墙防火墙是位于两个(或多个)网络间，实施网间访问控制的一组组件的集合，是一种广泛应用的网络安全技术(防火墙现在已成为将内部网接入外部网Internet时所必需的安全措施)，是不同网络或网络安全域之间信息的唯一出入口。防火墙是由软件和硬件组成的。它具有以下属性：内部和外部之间的所有网络数据流必须经过防火墙只有符合安全政策的数据流才能通过防火墙防火墙自身应对渗透(peneration)免疫，即自身不受各种攻击的影响注意：防火墙可能在一台计算机上运行，也可能在计算机群上运行。防火墙用于保护可信网络免受非可信网络的威胁，同时仍有限制地允许双方通信。2020/1/255防火墙简图通常防火墙建立在内部网和Internet之间的一个路由器或计算机上，该计算机也叫堡垒主机。它就如同一堵带有安全门的墙，可以阻止外界对内部网资源的非法访问和通行合法访问，也可以防止内部对外部网的不安全访问和通行安全访问。2020/1/2562020/1/257为什么需要防火墙2020/1/258为什么需要防火墙保护内部不受来自Internet的攻击为了创建安全域为了增强机构安全策略2020/1/259所有软件都是有错的通常情况下99.99%无错的程序很少会出问题同安全相关的99.99%无错的程序可以确信会被人利用那0.01%的错误0.01%安全问题等于100%的失败WhySecurityisHarderthanitLooks2020/1/251012.1.2防火墙的功能防火墙的主要作用如下：防火墙对内部网实现了集中管理，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上，可以强化网络安全策略，比分散到主机上管理更经济易行。防火墙能防止非授权用户进入内部网络。防火墙可以方便地监视网络的安全并及时报警。防火墙可以实现网络地址转换（NetworkAddressTranslationNAT），缓解资源短缺，隐藏内部网络所有的访问都经过防火墙，因此它是审计和记录网络的访问和使用的理想位置。防火墙对内部网络的划分，可以实现重点网段的分离，从而限制安全问题的扩散。2020/1/2511对防火墙的两大需求保障内部网安全保证内部网同外部网的连通2020/1/251212.1.3防火墙的基本规则一切未被允许的就是禁止的（No规则）防火墙封锁所有的信息流，只允许符合开放规则的信息进出。特点：提供安全的网络环境；应用不方便一切未被禁止的就是允许的（Yes规则）防火墙只禁止符合屏蔽规则的信息进出，而转发所有其他信息流。特点:灵活；很难提供可靠的安全防护。2020/1/2513IP包No规则YYNN防火墙规则表匹配规则1匹配规则2匹配规则3拒绝接受YNNN防火墙规则表匹配规则1匹配规则2匹配规则3接受拒绝YNYYIP包Yes规则2020/1/2514增加内容：个人防火墙现在网上流行很多个人防火墙软件，它是应用程序级的。个人防火墙是一种能够保护个人计算机系统安全的软件，它是可以直接在用户计算机操作系统上运行的软件服务，使用与状态检测防火墙相同的方式，来保护计算机免受攻击。通常，这些防火墙是安装在计算机网络接口的较低级别上，使它们可以监视通过网卡的所有网络通信。2020/1/2515(1)个人防火墙的优点增加了保护功能。它具有安全保护功能，可以抵挡外来攻击和内部的攻击。易于配置。它通常可以使用直接的配置选项获得基本可使用的配置。廉价。它不需要额外的硬件资源就为内部网的个人用户和公共网络中的单个系统提供安全保护。2020/1/2516(2)个人防火墙的缺点接口通信受限。个人防火墙对公共网络只有一个物理接口，而真正的防火墙应当监视并控制两个或更多的网络接口之间的通信。集中管理比较困难。个人防火墙需要在每个客户端进行配置，这将增加管理开销。性能限制。个人防火墙是为了保护单个计算机系统而设计的，在充当小型网络路由器时将导致性能下降。这种保护机制通常不如专用防火墙方案有效。2020/1/2517内部防火墙防火墙主要是保护内部网络资源免受外部用户的非法访问和侵袭。有时为了某些原因，我们还需要对内部网的部分站点再加以保护，以免受内部网其它站点的侵袭。因此，需要在同一结构的两个部分之间，或者在同一内部网的两个不同组织结构之间再建立一层防火墙，这就是内部防火墙。2020/1/2518企业内部网络是一个多层次、多节点、多业务的网络，各节点间的信任程度较低，但各节点和服务器群之间又要频繁地交换数据。通过在服务器群的入口处设置内部防火墙，可有效地控制内部网络的访问。企业内部网中设置内部防火墙后，一方面可以有效地防范来自外部网络的攻击行为，另一方面可以为内部网络制定完善的安全访问策略，从而使得整个企业网络具有较高的安全级别。2020/1/2519内部防火墙的用户包括内部网本单位的雇员（如内部网单位本部的用户、本单位外部的用户、本单位的远程用户或在家中办公的用户）和单位的业务合作伙伴。后者的信任级别比前者要低。许多用于建立外部防火墙的工具与技术也可用于建立内部防火墙。2020/1/2520内部防火墙具体可以实现以下功能：精确地制定每个用户的访问权限，保证内部网络用户只能访问必要的资源；记录网段间的访问信息，及时发现误操作和来自内部网络其他网段的攻击行为；通过安全策略的集中管理，每个网段上的主机不必再单独设立安全策略，降低人为因素导致的网络安全问题。2020/1/2521内容基本概念防火墙相关技术防火墙配置模式几个新的方向2020/1/252212.2防火墙技术静态包过滤动态包过滤应用程序网关(代理服务器)电路级网关网络地址翻译虚拟专用网数据包过滤2020/1/2523防火墙采用了两种基本的技术：数据包过滤和代理服务12.2.1数据包过滤技术数据包过滤是在网络的适当位置，根据系统设置的过滤规则，对数据包实施过滤，只允许满足过滤规则的数据包通过并被转发到目的地，而其他不满足规则的数据包被丢弃。大多数的商用路由器都具备一定的数据包过滤功能，路由器除了完成路由选择和转发的功能之外，还可进行数据包过滤。PC机上同样可以安装包过滤软件。包过滤规则以IP包信息为基础，对IP源地址、IP目的地址、封装协议（TCP/UDP/ICMP）、端口号等进行过滤。包过滤在OSI协议的网络层进行。2020/1/2524专用网安全边界包过滤处理（2）包过滤的优点：逻辑简单、价格便宜、易于安装和使用，网络性能和透明性好，他通常安装在路由器上。不用改动应用程序、一个过滤路由器能协助保护整个网络。数据包过滤对用户透明。过滤路由器速度快、效率高。（3）包过滤的缺点：不能彻底防止地址欺骗；一些应用协议不适合于数据包过滤；正常的数据包过滤路由器无法执行某些安全策略；安全性较差；数据包工具存在很多局限性。2020/1/2525在使用TCP/IP协议的IP数据包中，每个数据包的报头信息大致包括以下内容，根据流经该设备的数据包地址信息，决定是否允许该数据包通过判断依据有(只考虑IP包)：数据包协议类型：TCP、UDP、ICMP（网际控制报文协议）、IGMP等源、目的IP地址源、目的端口：FTP（20)、HTTP(80)、DNS（53）等IP选项：源路由、记录路由等TCP选项：SYN、ACK、FIN、RST等其它协议选项：ICMPECHO、ICMPECHOREPLY等数据包流向：in或out数据包流经网络接口：eth0、eth12020/1/2526普通路由器和包过滤路由器比较数据包过滤器在接收数据包时，一般不判断数据包的上下文，只根据目前的数据包的内容作决定（这避免不了重放攻击）。Internet上服务一般都与特定的端口号有关，如FTP一般工作在21端口，TELENT工作在23端口，WEB服务在80端口，因此可通过包过滤器来禁止某项服务，例如：可通过包过滤器禁止所有通过80端口的数据包来禁止WEB服务。数据包过滤还可根据设定的包过滤规则决定是否转发数据包；普通路由器只检查每个数据包的目的地址，为数据包选择最佳路由，将数据包发往目的地址。2020/1/252712.2.2代理服务代理服务是在防火墙主机上运行的专门的应用程序或服务器程序，这些程序根据安全策略处理用户对网络服务的请求，代理服务位于内部网和外部网之间，处理其间的通信以替代相互直接的通信。代理服务工作在OSI协议的应用层。OutOutOutInInIn外部连接内部连接外部主机内部主机代理服务型防火墙链路级网关2020/1/2528代理服务的分类:服务器端代理和客户端代理服务器端代理可以是一个运行代理服务程序的网络主机，具有网络地址转换的功能；客户端代理是经过配置的普通用户程序。代理服务器服务器客户请求请求应答应答客户端代理防火墙2020/1/252912.3过滤型防火墙数据包过滤防火墙包括：静态包过滤和动态包过滤数据包过滤防火墙具有地址转换功能(NAT)，从而使从防火墙流出的数据包源地址不同于原始发出数据包的主机地址。通过NAT可以隐藏内部网络拓扑和地址表。包过滤防火墙有一组接受（YES）和禁止(NO)规则，这些规则明确定义了哪个包将允许通过或被禁止通过网络接口。输入包和输出包的过滤分别对应不同的规则列表输入包的过滤包括：远程源地址过滤，本地目的地址过滤，远程端口过滤，本地目的端口过滤。输出包的过滤包括：本地源地址过滤，远程目的地址过滤，本地端口过滤，远程目的端口过滤。2020/1/253012.3.1静态包过滤防火墙静态包过滤防火墙工作示意图静态包过滤防火墙工作在TCP/IP协议IP的层2020/1/2531包过滤示例堡垒主机内部网外部网络在上图所示配置中，内部网地址为：192.168.0.0/24，堡垒主机内网卡eth1地址为：192.168.0.1，外网卡eth0地址为：10.11.12.13DNS地址为：10.11.15.4要求允许内部网所有主机能访问外网、FTP服务，外部网不能访问内部主机2020/1/2532包过滤示例(续)Setinternal=192.168.0.0/24Denyipfrom$internaltoanyinviaeth0Denyipfromnot$internaltoanyinviaeth1Allowudpfrom$internaltoanydnsAllowudpfromanydnsto$internalAllowtcpfromanytoanyestablishedAllowtcpfrom$internaltoany包过滤特点•包过滤防火墙的优点:逻辑简单，价格便宜，对网络性能的影响较小，有较强的透明性。并且它的工作与应用层无关，无须改动任何客户机和主机上的应用程序，易于安装和使用。•包过滤防火墙的弱点是：配置基于包过滤方式的防火墙，需要对IP、TCP、UDP、ICMP等各种协议有深入的了解，否则容易出现因配置不当带来的问题；据以过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不能得到充分满足；由于数据包的地址及端口号都在数据包的头部，不能彻底防止地址欺骗；允许外部客户和内部主机的直接连接；不提供用户的鉴别机制。2020/1/2534动态包过滤防火墙动态包过滤：这种防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态的在过滤规则中增加或更新条目。2020/1/2535动态包过滤