网络设备配置管理(高级)授课教师:程治国第八章防火墙概述1、网络设备(系统)简介路由器、(二/三)层交换机、防火墙、VPN、IDS/IPS、UTM、计费网关、AAA设备、流控(流量整形)系统、上网行为管理系统、日志系统、网络管理系统、桌面管理系统、物理网闸、负载均衡等。2、防火墙定义防火墙是位于两个或多个网络之间,执行访问控制策略的一个设备或一组系统的总称。3、防火墙的功能及作用它可以有效地保护本地系统或网络,抵制外部网络安全威胁,同时支持受限的通过WAN或Internet对外界进行访问。基本功能:(1)限定内部用户访问外部网络(内网对外网访问的控制)。(2)防止未授权用户访问内部网络(外部对内部的访问控制)。(3)允许内部网络中的用户访问外部网络而不泄漏自身的数据和资源(例如通过NAT后对外网不可见,单向PING)。(4)记录通过防火墙的信息内容和活动(日志功能)。(5)对网络攻击进行监测报警及防御(基本的网络安全检测防御能力)。(6)使用互连/NAT方式进行网络组建扩展功能:(1)路由和网桥模式的安全防御。(2)实现VPN的功能。(3)和IDS联动或集成IDS/IPS功能。(4)集成流量控制的功能,实现负载均衡功能。(5)集成网络计费,防范垃圾邮件,网页内容过滤,防范病毒/木马。3、防火墙的分类软/硬件类型软件防火墙:ISA,m0n0,Checkpoint,Iptables,pfsense,硬件防火墙:Netscreen,Ciscopix/ASA,H3Csecpath,天融信,神码DCFW,锐捷RG-wall,中软,联想网御等按照用途网间防火墙:服务器防火墙:Blackice,诺顿、Checkpoint服务防火墙:SecureIISWeb、Anti-ARP、抗DDos防火墙等、个人防火墙:瑞星、天网、费尔、ZoneAlarm电信级:华为Eudemon100E、DCFW-1800E企业级:ISA,DCFW-1800S,PIX515/525/525SOHO级:Cisco501/506,SONICWALL按硬件体系结构X86架构(PC架构工控机):国内大部分的SOHO防火墙NP架构(网络处理器):天融信,联想网御AISC架构(专用集成电路):Netscreen,Cicso,按工作原理状态监测防火墙:ISA,m0n0,大部分的硬件防火墙包过滤防火墙:Winroute,ROS,大部分的硬件路由器应用级代理防火墙:Wingate,Cgate,Ccproxy4、防火墙的工作原理(1)包过滤防火墙(静态包过滤)包过滤防火墙工作在网络层,对数据包的源及目地IP具有识别和控制作用,对于传输层,也只能识别数据包是TCP还是UDP及所用的端口信息。现在的路由器、三层交换机以及某些操作系统已经具有包过滤的控制能力。优点:由于只对数据包的IP地址、TCP/UDP协议和端口进行分析,包过滤防火墙的处理速度较快,并且易于配置。缺点:不能有效防范黑客入侵,不支持应用层协议,不能处理新的安全威胁。(2)应用代理技术防火墙:应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的TCP连接,应用层的协议会话过程必须符合代理的安全策略要求。优点:可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强,网络安全级别高。缺点,难于配置,处理速度非常慢,需配置各种代理。(3)状态检测防火墙(动态包过滤)状态检测防火墙摒弃了包过滤防火墙仅考查数据包的IP地址端口等几个参数,而不关心数据包连接状态变化的缺点,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。优缺点:包转发效率和网络安全性高,但对应用层的控制较差。5、防火墙的工作模式防火墙的工作模式有路由模式、透明桥模式和混合模式三大类。防火墙缺省工作模式,防火墙可以充当路由器,提供路由功能内部网络防火墙的各个接口处于不同的网段Internet(1)路由模式:防火墙可以充当路由器,提供路由功能。L3SwitchRouter防火墙可以方便的接入到网络,而且保持所有的网络设备配置完全不变此时防火墙类似网桥的工作方式,降低网络管理的复杂度Internet内部网络(2)网桥模式:防火墙可以方便的接入到网络(类似于交换机),而且保持所有的网络设备配置完全不变。(3)混合模式:防火墙同时工作在路由模式和桥模式(NAT基于路由模式)。桥防火墙同时工作在路由模式和桥模式FTP防火墙的网桥接口启用NAT转换外部接口和DMZ接口组成透明方式(4)混合模式配置实例:6、防火墙系统组网模型(1)屏蔽路由器结构:屏蔽路由器结构是防火墙最基本的结构。屏蔽路由器作为内外连接的惟一通道,要求所有的报文都必须在此通过IP地址或端口检查,屏蔽路由器一般为具备包过滤(静态或动态包过滤)功能的防火墙承担。优点为实现比较简单,屏蔽路由器对用户透明,而且设置灵活,所以应用比较广泛。这种体系结构存在以下缺点:(a)无法对应用层的网络攻击和入侵进行有效防御和保护。(b)规则表随着应用的深化会变得很大而且很复杂。(c)依靠单一的防火墙来保护网络,一旦防火墙出现问题会完全失去对内网保护Internet工作站工作站服务器内部网络工作站服务器防火墙屏蔽路由器(2)双穴主机网关结构这种配置是用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网和外部网相连,每块网卡都有独立的IP地址。堡垒主机上运行着防火墙软件(应用层代理防火墙),可以转发应用程序,也可提供服务等功能。双穴主机网关优于屏蔽路由器的地方是内网用户都通过代理上网,而没有发生和外网的真正链接,对网络的保护较好,而且资金投入较少。双穴主机网关的缺点是内网的安全性完全依赖于堡垒主机的安全性,而堡垒主机一旦遭受入侵,则内部网络将暴露无遗。另一个问题是使用应用层代理防火墙的上网数度慢,网络配置复杂,代理技术对某些网络应用有限制。此外工作站服务器防火墙双穴主机工作站工作站服务器内部网络10.162.88.5202.118.116.5Internet(3)屏蔽主机网关结构屏蔽主机网关易于实现也很安全,因此应用广泛。屏蔽主机网关包括一个包过滤路由器连接外部网络,同时一个堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机(应用层代理防火墙)成为从外部网络惟一可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。进出内部网络的数据只能沿图中的虚线流动。网络的安全性有极大的提高,可以实现网络底层和高层的立体防护,但由于应用层代理的加入会对网络的速度造成影响,而且设备投入较大,网络管理和实现复杂。工作站工作站服务器工作站防火墙堡垒主机屏蔽路由器内部网络XXInternet(4)屏蔽子网结构在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现过程中由两个包过滤路由器放在子网的两端,在子网内构成一个“非军事区(DMZ区)”,在该区可以放置供外网访问的Internet公共服务器,内部网络和外部网络均可访问被屏蔽子网,但禁止它们穿过被屏蔽子网通信,像中。有的屏蔽子网中还设有一台堡垒主机作为惟一可访问结点,该方法网络安全性高,而且网路的访问速度较快,由于Internet公共服务器放在独立的区域,所以即使DMZ出现入侵事件,内网也不会受到影响,缺点是设备的投入巨大,为此基于该方案可采用专业的硬件防火墙实现,以减少硬件投入。改进一:FTP区改进二:电脑内部服务器内部服务器电脑