Ch12 防火墙

网络集成与安全技术——防火墙天津工业大学计算机系丁刚2020/2/122主要内容防火墙基本知识防火墙的设计准则包过滤防火墙应用层网关线路层网关防火墙举例2020/2/123引言防火墙介绍防火墙是保护企业保密数据和保护网络设施免遭破坏的主要手段之一。可用于防止未授权的用户访问企业内部网，也可用于防止企业内部的保密数据未经授权而发出。也可保护内部网中的部分数据，防止来自网内破坏。2020/2/1241.防火墙基本知识防火墙定义防火墙——是用于在企业内部网和因特网之间实施安全策略的一个系统或一组系统，它决定内部服务中哪些可被外界访问，外界的哪些人可以访问内部的来自哪些可以访问的服务，同时还决定内部人员可以访问哪些外部服务。防火墙只允许已授权的业务流通过，而且其本身也应能够抵抗渗透攻击。2020/2/1251.防火墙基本知识防火墙系统2020/2/1261.防火墙基本知识防御体系的安全策略用户的安全责任单位规定的网络访问、服务访问本地和远程用户的认证、拨入和拨出磁盘和数据加密病毒防范措施路由器、堡垒主机等网络安全设备的组合职员的培训2020/2/1271.防火墙基本知识防火墙的用途管理因特网和公司内部网之间的相互访问，若没有防火墙，内部网将和系统中最弱的主机的安全性相同提供扼制点：防入防出，防止各种类型的路由攻击监视网络：网络管理员必须审计和记录所有通过防火墙的重要业务流逻辑上的网络地址转换器计算网络传输带宽和网络使用量是部署Web服务器和FTP服务器的理想位置2020/2/1281.防火墙基本知识因特网防火墙的局限性不能防止不经过防火墙的攻击，内部用户可通过SLIP连接或PPP连接与外界直接相连不能防止公司叛徒或职工误操作而产生的安全威胁不能防范已感染病毒的软件或文件传送不能防止数据驱动型攻击（数据驱动型攻击：指表面看起来无害的数据被邮寄或拷贝到内部网主机中，一旦执行就发起攻击，可能修改相关安全文件，使敌手容易进入系统）2020/2/1291.防火墙基本知识因特网防火墙的局限性2020/2/12102.防火墙的设计准则防火墙的设计准则防火墙的姿态机构的整体安全策略防火墙的费用防火墙系统的基本成份和基本构件2020/2/12112.防火墙的设计准则防火墙设计准则1——防火墙的姿态拒绝每件未被特别许可的事情：假定阻塞所有业务流，而每一希望被实现的服务和应用都被逐一实现，安全性的考虑优于使用性允许未被特别拒绝的每一件事情：假定转发所有业务流，任何可能有害的服务都被逐一关掉。使用性的考虑优于安全性2020/2/12122.防火墙的设计准则防火墙设计准则2——机构的安全策略因特网防火墙是机构总体安全策略的一部分机构应明确保护范围2020/2/12132.防火墙的设计准则防火墙设计准则3——防火墙的费用取决于防火墙的复杂程度和需保护的网络范围需满足管理和维护、处理事故等费用。2020/2/12142.防火墙的设计准则防火墙设计准则4——基本成份和构件防火墙系统的基本成份和基本构件：包过滤路由器应用层网关（即代理服务器）线路层网关2020/2/12153.包过滤防火墙包过滤防火墙介绍对收到的每一数据包作许可或拒绝决定。路由器对每一数据报文进行检查以决定它是否与包过滤规则中的某一条相匹配，包过滤规则基于可用于IP转发过程的数据包报头信息。规则允许则转发数据包；规则拒绝则丢弃数据包；若无匹配项则由用户默认参数决定。2020/2/12163.包过滤防火墙包过滤防火墙2020/2/12173.包过滤防火墙依赖于服务的过滤包过滤规则使得路由器能够根据特定的服务允许或拒绝业务流，因为多数服务接收者都位于已知的TCP/UDP端口号上。2020/2/12183.包过滤防火墙依赖于服务的过滤——典型的过滤规则仅允许进来的Telnet会话连接到制定的一些主机仅允许进来的FTP会话连接到指定的一些主机允许所有出去的Telnet会话允许所有出去的FTP会话拒绝从某个指定的外部网络进来的所有业务流2020/2/12193.包过滤防火墙不依赖于服务的过滤不依赖于服务的攻击包括：1IP源地址欺骗攻击：外部用户伪装成内部主机地址。如果有内部IP源地址的数据包到达路由器的一个外部接口，则丢弃这种数据包。2020/2/12203.包过滤防火墙不依赖于服务的过滤不依赖于服务的攻击包括：2源路由攻击：攻击者为数据包指定穿过因特网的路由，以绕过网络安全设施。防范通过丢弃所有包含源路由选项的数据包实现。2020/2/12213.包过滤防火墙不依赖于服务的过滤不依赖于服务的攻击包括：3小分段攻击：攻击者使用IP分段特性以建立起极小的分段，并将TCP报头信息分为分开的数据包分段，以使过滤路由器只检查第一分段，而允许其他所有分段通过。防范可通过丢弃所有协议类型为TCP、IP报头中字段FragmentOffset为1的数据包实现。2020/2/12223.包过滤防火墙包过滤路由器的优点包过滤特性已包含在标准的路由器中包过滤对路由器特性影响很小包过滤路由器对用户和应用程序是透明的2020/2/12233.包过滤防火墙包过滤路由器的局限性定义过滤规则需理解网络中各种服务、数据包报头格式以及报头中特定字段的含义过滤要求越复杂，过滤规则集就会越长需防范数据驱动型攻击多路由器环境中，数据包的转发增多，每一路由器应用包过滤规则也会增加，将消耗CPU时间、影响性能IP数据包过滤器可能无法对业务提供完全控制，不能理解上下文2020/2/12244.应用层网关应用层网关介绍应用层网关可提供比包过滤路由器更为严格的安全策略。应用层网关不使用包过滤工具对通过防火墙的因特网服务进行管理，而是在网关上对每个想要的应用程序安装一个专用目的的代码（代理服务）来对因特网服务进行管理增加了安全性和费用用户仅被允许访问代理服务，而不允许进入到应用级网关2020/2/12254.应用层网关堡垒主机堡垒主机——应用层网关包过滤路由器允许数据包在内部系统和外部系统之间直接流动应用层网关允许信息在系统间流动但不允许数据包在系统间直接交换2020/2/12264.应用层网关Telnet代理不允许远程用户直接进入或直接访问内部服务器（使用一次性口令认证用户）外部用户指定目标主机，由Telnet代理连接到内部服务器并代表外部用户向内部服务器转发用户的命令。外部客户认为Telnet代理就是真正的内部服务器，而内部服务器认为Telnet代理就是外部客户。2020/2/12274.应用层网关Telnet代理2020/2/12284.应用层网关应用层网关的优点可对每一服务进行完全控制有能力支持用户强认证并能提供详细的记录信息比包过滤服务器容易配置和检查2020/2/12294.应用层网关应用层网关的局限性最大的局限性：应用层网关要求用户改变自己的行为，或者在访问代理服务的每个系统上安装专门的软件。专门的端系统软件通过允许用户在Telnet命令中指定目标主机而不是应用层网关从而可使应用层网关是透明的。2020/2/12305.线路层网关线路层网关介绍线路层网关是能被应用层执行的专门功能组件，只简单的被用作TCP连接的中继点，而不对传输的数据包进行处理和过滤（多用于从内向外的连接）线路层网关的中继作用用于在内部连接和外部连接之间来回拷贝字节，然而由于连接似乎起源于防火墙系统，因此隐藏了受保护网络的有关信息。混合网关：对进来的连接支持应用层即代理服务，同时对出去的连接支持线路层功能2020/2/12315.线路层网关线路层网关线路层网关简单地被用作Telnet连接穿过防火墙地中继点，它不对Telnet协议进行另外地检查、过滤、管理。2020/2/12326.防火墙举例包过滤路由器系统由部署在内部网和因特网之间的包过滤路由器组成作用：在网络间执行转发业务流等典型的路由功能以及使用包过滤规则允许或拒绝业务流防火墙姿态：通常是拒绝每件未被特别许可的事情缺点：允许数据包在外部系统和内部系统之间进行直接交换2020/2/12336.防火墙举例屏蔽主机防火墙同时部署包过滤路由器和堡垒主机，实现网络层安全（包过滤）和应用层安全（代理服务）2020/2/12346.防火墙举例屏蔽主机防火墙使用双连接点的堡垒主机系统2020/2/12356.防火墙举例屏蔽子网防火墙使用两个包过滤路由器和一个堡垒主机2020/2/1236内容回顾防火墙基本知识防火墙的设计准则包过滤防火墙应用层网关线路层网关防火墙举例