12-防火墙

南京邮电大学2020/2/91第12讲防火墙技术王志伟zhwwang@njupt.edu.cn2020/2/92内容防火墙原理防火墙在OSI模型中的层次防火墙分类防火墙关键技术防火墙的优缺点及发展趋势2020/2/93网络安全保护急需解决的问题黑客网络攻击病毒，蠕虫禁止内容访问恶意网页/邮件Internet策略控制网络攻击防御内容级攻击防御数据安全加密黑客2020/2/941防火墙的引入和原理集中式防御的必要性在计算机网络中，防火墙是能加强机构内部网络安全的软硬件相结合的系统•防止外部用户非法进入•保护内部网络的资源不被破坏和窃取•哪些服务可以被外部网络访问•……防火墙通常部署在公共网络与内部网络的连接处实际上是一种隔离技术。防火墙本身也必须运行安全操作系统。2020/2/95防火墙主要提供的4种服务服务控制•确定可以访问的网络服务方向控制•决定在哪个方向上的服务请求可以被发起并通过防火墙用户控制•内部用户、外部用户所需的某种形式的认证机制行为控制•控制一个具体的服务怎样被实现2020/2/96内部工作子网与外网的访问控制进行访问规则检查发起访问请求合法请求则允许对外访问将访问记录写进日志文件合法请求则允许对外访问发起访问请求防火墙在此处的功能：1、工作子网与外部子网的物理隔离2、访问控制3、对工作子网做NAT地址转换4、日志记录Internet区域Internet边界路由器DMZ区域下属机构对总部的访问控制拨号服务器PSTNInternet区域Internet边界路由器内部工作子网管理子网一般子网内部专线DMZ区域进行规则检查将访问记录写进日志文件防火墙在此处的功能：1、将内部子网与连接下属机构的公网隔离开2、控制下属机构子网用户对总部内网的访问3、对下属机构网络与总部子网之间的通讯做日志和审计2020/2/98内容防火墙原理防火墙在OSI模型中的层次防火墙分类防火墙关键技术防火墙的优缺点及发展趋势2020/2/99OSI的七层模型应用层表示层会话层传输层网络层数据链路层物理层网关级电路级路由器级网桥级中继器级2020/2/910内容防火墙原理防火墙在OSI模型中的层次防火墙分类防火墙关键技术防火墙的优缺点及发展趋势2020/2/9113.1防火墙的类型按照工作原理分类•分组过滤路由器（包过滤防火墙）•应用层网关防火墙•电路级网关防火墙按照体系结构分类•双宿主主机•屏蔽主机•屏蔽子网2020/2/912包过滤路由器基本的思想很简单•对于每个进来的包，适用一组规则，然后决定转发或者丢弃该包•往往配置成双向的如何过滤•过滤的规则以IP和传输层的头中的域(字段)为基础，包括源和目标IP地址、IP协议域、源和目标端口号•过滤器往往建立一组规则，根据IP包是否匹配规则中指定的条件来作出决定。•如果匹配到一条规则，则根据此规则决定转发或者丢弃•如果所有规则都不匹配，则根据缺省策略2020/2/913安全缺省策略两种基本策略，或缺省策略•没有被拒绝的流量都可以通过•管理员必须针对每一种新出现的攻击，制定新的规则•没有被允许的流量都要拒绝•比较保守•根据需要，逐渐开放2020/2/914包过滤路由器示意图网络层链路层物理层外部网络内部网络2020/2/915包过滤防火墙的设置(1)从内往外的telnet服务clientserver外部内部往外包的特性(用户操作信息)IP源是内部地址目标地址为serverTCP协议，目标端口23源端口1023连接的第一个包ACK=0，其他包ACK=1往内包的特性(显示信息)IP源是server目标地址为内部地址TCP协议，源端口23目标端口1023所有往内的包都是ACK=12020/2/916包过滤防火墙的设置(2)从外往内的telnet服务clientserver内部外部往内包的特性(用户操作信息)IP源是外部地址目标地址为本地serverTCP协议，目标端口23源端口1023连接的第一个包ACK=0，其他包ACK=1往外包的特性(显示信息)IP源是本地server目标地址为外部地址TCP协议，源端口23目标端口1023所有往内的包都是ACK=12020/2/917针对telnet服务的防火墙规则*:第一个ACK=0,其他=1服务方向包方向源地址目标地址包类型源端口目标端口ACK往外外内部外部TCP102323*往外内外部内部TCP2310231往内外外部内部TCP102323*往内内内部外部TCP23102312020/2/918针对包过滤防火墙的攻击IP地址欺骗，例如，假冒内部的IP地址•对策：在外部接口上禁止内部地址小碎片攻击，利用IP分片功能把TCP头部切分到不同的分片中•对策：丢弃分片太小的分片利用复杂协议和管理员的配置失误进入防火墙•例如，利用ftp协议对内部进行探查2020/2/919只对网络级数据包做保护是不够的防火墙只检查包头–让带有攻击和禁止内容的“合法”数据包通过应用层内容过滤1.重新组装数据包FourscoreandsevenyearsagoourforefathersbroughtforthuponthisBANNEDWORDSanewliberty,anddedicatedtothepropositionthatall…URL过滤仅查找URL黑名单，遗漏了深入在内容里被禁止的词汇BADCONTENTBANNEDWORDSNASTYTHINGSNASTIERTHINGS不接受的内容攻击特征2.对比不允许内容和攻击列表网络层内容(数据包)基于数据包的病毒扫描可能觉察不到横跨在多个数据包里的攻击2020/2/920应用层网关也称为代理服务器特点•所有的连接都通过防火墙，防火墙作为网关•在应用层上实现•可以监视包的内容•可以实现基于用户的认证•所有的应用需要单独实现•可以提供理想的日志功能•非常安全，但是开销比较大2020/2/921高层协议控制应用控制可以对常用的高层应用做更细的控制如HTTP的GET、POST、HEAD如FTP的GET、PUT等物理层链路层网络层传输层会话层表示层应用层物理层链路层网络层传输层会话层表示层应用层内部网络外部网络防火墙内部接口外部接口根据策略检查应用层的数据符合策略应用层应用层应用层2020/2/922应用层网关的结构示意图应用级网关每一种协议都需要相应的代理软件，使用时工作量大，效率明显不如网络级防火墙。2020/2/923应用层网关实现编写代理软件•代理软件一方面是服务器软件•但是它所提供的服务可以是简单的转发功能•另一方面也是客户软件•对于外面真正的服务器来说，是客户软件•针对每一个服务都需要编写模块或者单独的程序•实现一个标准的框架，以容纳各种不同类型的服务2020/2/924应用层网关——代理服务器发展方向——智能代理•不仅仅完成基本的代理访问功能•还可以实现其他的附加功能，比如•对于内容的自适应剪裁•增加计费功能•提供数据缓冲服务两个代理服务器的实现例子•MPS–MicrosoftProxyServer•Squid--一种在Linux系统下使用的优秀的代理服务器软件。2020/2/925电路层网关不允许端到端的TCP连接，而是在网关和内部主机、网关和外部主机之间分别建立TCP连接。连接建立之后直接转发TCP报文，不再检查内容。在传输层上实施访问控制。电路层网关电路层网关常用于向外连接，这时网络管理员对内部用户是信任的。其优点是堡垒主机可以被设置成混合网关，对于入连接支持应用层或代理服务，而对于外连接支持电路层功能。这使防火墙系统对于要访问Internet服务的内部用户来说使用起来很方便，同时又能提供保护内部网络免于外部攻击的防火墙功能。2020/2/9262020/2/927防火墙的配置几个概念•堡垒主机(BastionHost)：对外部网络暴露，同时也是内部网络用户的主要连接点•多宿主主机(multi-homedhost)：至少有两个网络接口的通用计算机系统•DMZ(DemilitarizedZone，非军事区或者停火区)：在内部网络和外部网络之间增加的一个子网2020/2/928双宿主主机有两个网络接口的堡垒主机所有的流量都通过堡垒主机，内外网络之间不可直接通信。优点：简单2020/2/929屏蔽主机一个分组过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上，通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络唯一可直接到达的主机，这确保了内部网络不受未被授权的外部用户的攻击。两层保护：包过滤+应用层网关，安全性高、配置灵活2020/2/930屏蔽子网DMZ(DemilitarizedZone，非军事区或者停火区)：在内部网络和外部网络之间增加的一个子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。优点：•三层防护，用来阻止入侵者•外面的router只向Internet暴露屏蔽子网中的主机•内部的router只向内部私有网暴露屏蔽子网中的主机2020/2/931内容防火墙原理防火墙在OSI模型中的层次防火墙分类防火墙关键技术防火墙的优缺点及发展趋势2020/2/932几种关键技术包过滤技术代理技术2020/2/933包过滤技术判断包是否符合过滤规则常用的过滤规则有•IP源地址•IP目的地址•协议类型•IP选项•TCP或UPD的源端口•TCP或UPD的目的端口2020/2/934IP包头格式2020/2/935TCP包头格式2020/2/936过滤方式In_Rule1In_Rule2In_Rule3Rule1Rule2inputforwardoutputFirewall_opsuserAcceptDenyReject2020/2/937包过滤防火墙在网络层上进行监测•并没有考虑连接状态信息通常在路由器上实现•实际上是一种网络的访问控制机制优点：•保护整个网络，减少内网暴露的风险•实现简单，大多数路由器具有包过滤模块，节省投资•对用户透明•效率高缺点：•过滤规则配置复杂，正确制定规则并不容易•过滤仅可以访问包头中的有限信息•包过滤是无状态的•包过滤对信息的处理能力非常有限•不可能引入认证机制2020/2/938代理技术在应用层实现防火墙的功能代理服务器是内部网络向外部网络申请服务的中转站代理服务是有状态的更严格的安全策略2020/2/939应用层网关的优缺点优点•安全性高•配置简单•日志完备•隐匿内网•扩充地址缺点•有限的连接性•每个被代理的服务都要求专门的代理软件•有限的技术•不能为RPC等服务提供代理•有些服务要求建立直接连接，无法使用代理，比如聊天服务、或者即时消息服务•性能不高•使用不便•客户软件需要修改，重新编译或者配置2020/2/940内容防火墙原理防火墙在OSI模型中的层次防火墙分类防火墙关键技术防火墙的优缺点及发展趋势2020/2/941防火墙的优点统一制定网络安全管理策略保护网络中脆弱的服务集中安全性隐藏内部网络安全信息审计安全发布信息2020/2/942防火墙本身的一些局限性限制有用的网络服务防火墙不能防止内部的攻击，以及内部人员与外部人员的联合攻击(比如，通过tunnel进入)对于绕过防火墙的攻击，它无能为力，例如，在防火墙内部