[培训]防火墙技术及其应用

1防火墙技术及其应用2防火墙是位于两个或多个网络之间，执行访问控制策略的一个或一组系统，是一类防范措施的总称。它可以有效地保护本地系统或网络，抵制外部网络安全威胁，同时支持受限的通过WAN或Internet对外界进行访问。防火墙3防火墙嵌入在局域网和Internet连接的网关上所有从内到外和从外到内的数据都必须通过防火墙（物理上阻塞其它所有访问）只有符合安全政策的数据流才能通过防火墙防火墙系统自身应对渗透(peneration)免疫，一般情况下防火墙都是安装了在安全操作系统上防火墙特征4安装防火墙以前的网络防火墙的位置POWERFAULTDATAALARMPOWERFAULTDATAALARM交换机交换机服务器用户用户内网Internet路由器5安装防火墙后的网络防火墙的位置POWERFAULTDATAALARMPOWERFAULTDATAALARM交换机交换机服务器用户用户Internet路由器防火墙服务器内网DMZ区6确保一个单位内的网络与因特网的通信符合该单位的安全方针，简单地说，就是要为管理人员提供下列问题的答案：–谁在使用网络？–他们在网络上做什么？–他们什么时间使用了网络？–他们上网去了何处？–谁试图上网但没有成功？防火墙的作用7服务控制：确定可以访问的网络服务类型（如通过TCP端口、IP地址等限制方式；或提供代理软件；或执行服务器软件的功能如邮件）方向控制：确定特定数据允许通过防火墙流动的方向用户控制：控制用户对网络服务的访问权限，在控制外部用户时要求某种形式的安全认证技术（如IPSec）行为控制：控制如何使用特定的服务（如清除垃圾邮件等）防火墙的功能8防火墙对企业内部网实现了集中的安全管理，可以强化网络安全策略，比分散的主机管理更经济易行防火墙能防止非授权用户进入内部网络，有效地对抗外部网络入侵由于所有的访问都经过防火墙，防火墙成为审计和记录网络的访问和使用的最佳地点，可以方便地监视网络的安全性并报警。可以作为部署网络地址转换（NetworkAddressTranslation）的地点，利用NAT技术，可以缓解地址空间的短缺，隐藏内部网的结构。利用防火墙对内部网络的划分，可以实现重点网段的分离，从而限制安全问题的扩散。防火墙可以作为IPSec的平台，可以基于隧道模式实现VPN。防火墙的优点9为了提高安全性，限制或关闭了一些有用但存在安全缺陷的网络服务，给用户带来使用的不便。防火墙不能对绕过防火墙的攻击提供保护，如拨号上网等。不能对内部威胁提供防护支持。受性能限制，防火墙对病毒传输保护能力弱。防火墙对用户不完全透明，可能带来传输延迟、性能瓶颈及单点失效。防火墙不能有效地防范数据内容驱动式攻击。作为一种被动的防护手段，防火墙不能自动防范因特网上不断出现的新的威胁和攻击。防火墙的局限性10在构筑防火墙之前,需要制定一套完整有效的安全战略网络服务访问策略一种高层次的具体到事件的策略，主要用于定义在网络中允许或禁止的服务。防火墙安全规则设计策略一种是“一切未被允许的就是禁止的”，一种是“一切未被禁止的都是允许的”。第一种的特点是安全性好，但是用户所能使用的服务范围受到严格限制。第二种的特点是可以为用户提供更多的服务，但是在日益增多的网络服务面前，很难为用户提供可靠的安全防护。防火墙策略11包过滤应用级网关电路级网关防火墙的三种类型12包过滤13一个文件要穿过网络，必须将文件分成小块，每小块文件单独传输，这些小块被称为包包过滤技术可以允许或不允许某些包在网络上传递，它依据以下的判据：（1）将包的目的地址作为判据；（2）将包的源地址作为判据；（3）将包的传送协议作为判据。包的概念和包过滤技术14包过滤防火墙的工作机制15对每个经过的IP包应用安全规则集合检查，决定是转发或者丢弃该包过滤包是双向的过滤规则基于与IP或TCP包头中字段的匹配（如四元组：源IP地址、目的IP地址、源端口、目的端口）两种缺省策略（丢弃或允许）包过滤防火墙16包过滤规则设置实例（1）17Setinternal=192.168.0.0/24Denyipfrom$internaltoanyinviaeth0Denyipfromnot$internaltoanyinviaeth1Allowudpfrom$internaltoanydnsAllowudpfromanydnsto$internalAllowtcpfromanytoanyestablishedAllowtcpfrom$internaltoanyAllowtcpfrom$internaltoanyftpinviaeth1Allowtcpfromanyftp-datato$internalinviaeth0Denyipfromanytoany包过滤规则设置实例（2）18优点：1.简单2.对用户透明3.高速缺点：1.对于利用特定应用的攻击，防火墙无法防范2.配置安全规则比较困难3.缺少鉴别，不支持高级用户认证4.日志功能有限包过滤防火墙19IP地址欺骗：丢弃那些从外部接口到达的，但却具有内部IP地址的包路由选路攻击：丢弃所有设置该选项的包微小分片攻击：丢弃协议类型是TCP并且IP分片标志为1的分片包可能的攻击和相应对策20包过滤防攻击示例21应用级网关（代理服务器）22应用级网关外部网络（Internet）内部网络代理服务器网卡1网卡2123.123.123.12310.10.10.10双宿主主机23应用级网关的工作机制24优点：1.网关理解应用协议，可以实施更细粒度的访问控制，因此比包过滤更安全2.易于配置，界面友好3.不允许内外网主机的直接连接4.只需要详细检查几个允许的应用程序5.对进出数据进行日志和审计比较容易缺点：1.额外的处理负载，处理速度比包过滤慢2.对每一类应用，都需要一个专门的代理3.灵活性不够应用级网关25电路级网关26电路级网关的工作机制27安全功能体现在决定哪些连接是允许的，由代理服务器负责在客户和服务器间中转数据在TCP层上实现，不需要对不同的应用设置不同的代理模块，通用性强于应用级网关典型应用场合是系统管理员信任内部用户的情况典型例子是SOCKS代理软件电路级网关28堡垒主机:BastionHost堡垒主机是一种配置了安全防范措施的网络上的计算机，堡垒主机为网络之间的通信提供了一个阻塞点，也就是说如果没有堡垒主机，网络之间将不能相互访问。双宿主机:Dual-homedHost有两个网络接口的计算机系统,一个接口接内部网,一个接口接外部网。一些概念29安装安全操作系统只安装重要服务，如Telnet、DNS、FTP、SMTP等需要进行鉴别每个代理配置成只支持标准命令集的一个子集每个代理配置成只允许访问指定的主机所有连接、通信都执行日志审计各代理间相互独立每个代理都运行在专用和安全的目录中堡垒主机特征30防火墙配置之一（单地址堡垒主机）31典型的路由器安全规则配置：1.对于来自Internet的数据包，只有目标指定为堡垒主机的IP包才允许进入2.对于来自内部网的数据包，只有来自堡垒主机的IP包才允许发出堡垒主机执行鉴别和代理服务单地址堡垒主机32比简单地配置单独的包过滤路由器或应用级网关具有更大的安全性：1.既实现了包一级又实现了应用级的过滤2.一个入侵者必须同时渗透两个单独的系统同时也为支持直接的Internet访问提供了灵活性（如配置Web服务器，可以将路由器配置成允许直接通信）单地址堡垒主机33防火墙配置之二（双地址堡垒主机）34设置成双地址后，所有的专用网主机（如Web服务器）与Internet的通信都必须通过堡垒主机，比单地址方式对安全的要求更为严格双地址堡垒主机35防火墙配置之三（屏蔽的子网防火墙）采用了两个包过滤路由器和一个堡垒主机，在内外网络之间建立了一个被隔离的子网，定义为“非军事化区（de-militarizedzone；DMZ）”36网络管理员将堡垒主机，WEB服务器、Mail服务器等公用服务器放在DMZ中。内部网络和外部网络均可访问DMZ，但禁止它们穿过DMZ直接进行通信。这种模式是三种配置中最安全的，具有以下优点：1.具有三级防卫措施。即使堡垒主机被入侵者控制，内部网仍受到内部包过滤路由器的保护。2.存在DMZ，使得内部网络对于Internet不可见3.同样由于存在DMZ区，内部网络中的系统不能构造到Internet的直接路由屏蔽的子网防火墙37