(12)第四章防火墙

第四章防火墙4.1防火墙概念防火墙概述防火墙功能防火墙分类防火墙局限性一、防火墙概述防火墙是一种访问控制技术，在某个机构的网络和不安全的网络间设置障碍，阻止对信息资源的非法访问。防火墙使得内部网络与Internet之间或者与其他外部网络互相隔离，限制网络互相访问以达到保护内部网络的目的。防火墙有许多种形式，有的以软件形式运行在普通计算机之上，有的以硬件形式单独实现，也有的以固件形式设计在路由器之中。二、防火墙的功能数据包状态检测过滤管理进出网络的访问行为封堵某些禁止的业务记录进出网络的信息和活动对网络攻击进行检测和报警DoS/Ddos攻击防止入侵者扫描防止源路由攻击防止IP碎片攻击防止ICMP/IMP攻击抗IP假冒攻击防火墙的功能防火墙通过如下4种技术来控制访问和执行站点安全策略：（1）服务控制——确定可以访问的网络服务类型。防火墙可以在IP地址和TCP端口号的基础上过滤通信量。（2）方向控制——确定特定的服务请求可以发起和通过的方向。（3）用户控制——根据试图访问服务器的用户来控制服务器的访问权限。这个特征典型地应用于防火墙边界以内的用户(本地用户)，它也可能应用于来自外部用户的进入通信量。后一种情况要求某种类型的安全鉴别技术，如IPSec所提供的技术。（4）行为控制——控制怎样使用特定的服务。例如，防火墙可以过滤电子邮件来消除垃圾邮件，或者控制外部用户只能对本地WEB服务器上的部分信息进行访问。三、防火墙的基本类型包过滤技术状态检测技术应用代理技术电路级网关地址翻译防火墙技术FirewallMailServerWebServerInternet四、防火墙的局限性4.2防火墙结构包过滤防火墙双宿网关防火墙屏蔽主机防火墙屏蔽子网防火墙一、包过滤防火墙9包过滤防火墙包过滤防火墙也称作访问控制列表，它是根据已经定义好的过滤规则来审查每个数据包，并确定该数据包是否与过滤规则匹配，从而决定数据包是否能通过。包过滤防火墙对每一个数据包的包头进行分析，按照包过滤规则来进行判定，与规则相匹配的包根据路由信息继续转发，否则就将之丢弃。此外，包过滤防火墙会对每一个通过防火墙的数据包的包头长度，选项、数据段和标志等信息进行结构化检查，以防止错误的数据包通过防火墙。包过滤防火墙包过滤防火墙对所接收的每个数据包做允许/拒绝的决定。防火墙审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。包头信息中包括IP源地址、IP目标端地址、内装协议（TCP、UDP、ICMP）、TCP/UDP目标端口、ICMP消息类型、TCP包头中的ACK位。如果与某条规则匹配，则调用此规则来判断是传递还是丢弃包。如果没有匹配的规则，则执行默认操作。有两种默认策略：默认丢弃—没有明确准许的将被阻止；默认传递—没有明确阻止的将被准许。包过滤操作流程图12包过滤的例子动作我方主机端口对方主机端口内容规则集A阻止**SPIGOT*不信任这些人允许OUR-GW25**连接到我方SMTP端口规则集B阻止****默认规则集C允许***25连接到对方的SMTP端口规则集D允许{我方主机}**25我方包到对方SMTP端口允许*25**ACK对方回答规则集E允许{我方主机}***我方传出命令允许****ACK对我方命令的回答允许***1024到非服务器的通信包过滤防火墙的优缺点优点可以与现有的路由器集成，也可以用独立的包过滤软件来实现，而且数据包过滤对用户来说是透明的，成本低、速度快、效率高。缺点包维护比较困难(需要对TCP/IP了解）安全性低（IP欺骗等）不提供有用的日志，或根本就不提供不防范数据驱动型攻击不能根据状态信息进行控制不能处理网络层以上的信息无法对网络上流动的信息提供全面的控制二、双宿网关防火墙连接了两个网络的多宿主机称为双宿主机。多宿主机是具有多个网络接口卡的主机，每个接口都可以和一个网络连接，因为它能在不同的网络之间进行数据交换，因此也称为网关。双宿网关结构是用一台装有两块网卡的主机作为防火墙，将外部网络与内部网络实现物理上的隔开，这台处于防火墙关键部位且运行应用级网关软件的计算机系统称为堡垒主机。两个网络之间的通信可通过应用层数据共享和应用层代理服务的方法实现。一般情况下采用代理服务的方法。Internet防火墙双重宿主主机内部网络……双宿网关结构的优点是：它的安全性较高。缺点：双重宿主主机是隔开内外网络的唯一屏障，一旦它被入侵，内部网络便向入侵者敞开大门。因此在设置该应用级网关时应该注意以下几点。（1）在该应用级网关的硬件系统上运行安全可信任的安全操作系统。（2）安全应用代理软件，保留DNS、FTP、SMTP等必要的服务，删除不必要的服务与应用软件。（3）设计应用级网关的防攻击方法与被破坏后的应急方案。三、屏蔽主机防火墙屏蔽主机结构将所有的外部主机强制与一个堡垒主机相连，从而不允许它们直接与内部网络的主机相连，因此屏蔽主机结构是由包过滤路由器和堡垒主机组成的。屏蔽主机的优点是：安全性更高，双重保护：实现了网络层安全（包过滤）和应用层安全（代理服务）。缺点是：堡垒主机一旦被绕过，则堡垒主机和其他内部网络的主机之间没有任何保护网络安全的措施，内网将暴露。防火墙堡垒主机因特网例：下图为屏蔽主机结构中包过滤路由器的数据包转发过程。外部某主机想要访问内部网络某个IP地址为219.228.120.1的服务器，该主机发送了一个请求包。该请求包被包过滤路由器接收到以后，先从数据包中得到目的地址，检查这个IP地址是否合法，如果合法，再查询转发路由表，设得到的该IP地址相应的转发目的地址即为IP地址为219.228.120.30的堡垒主机，则将该数据包转发到这个堡垒主机，通过其判断这个请求的主机是否是该服务器的合法用户。如果合法，则将该请求数据包转发给该服务器。这个数据包实际的转发路径应为客户主机-包过滤路由器-堡垒主机-被请求的服务器。如果内部网络的主机要访问外部网络的服务器，也要经过堡垒主机与包过滤路由器的检查。四、屏蔽子网防火墙屏蔽子网结构使用了两个屏蔽路由器和两个堡垒主机。屏蔽子网体系结构在本质上与屏蔽主机体系结构一样，但添加了额外的一层保护体系——周边网络。堡垒主机位于周边网络上，周边网络和内部网络被内部路由器分开。原因：堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机，能减少在堡垒主机被侵入的影响。24周边网络是一个防护层，在其上可放置一些信息服务器，它们是牺牲主机，可能会受到攻击，因此又被称为非军事区（DMZ）。DMZ（demilitarizedzone），中文名称为“隔离区”，也称“非军事化区”。它是一个非安全系统与安全系统之间的缓冲区。周边网络的作用：即使堡垒主机被入侵者控制，它仍可消除对内部网的侦听。25堡垒主机堡垒主机位于周边网络，是整个防御体系的核心。堡垒主机可被认为是应用层网关，可以运行各种代理服务程序。对于出站服务不一定要求所有的服务经过堡垒主机代理，但对于入站服务应要求所有服务都通过堡垒主机。26外部路由器（访问路由器）作用：保护周边网络和内部网络不受外部网络的侵犯。它把入站的数据包路由到堡垒主机。防止部分IP欺骗，它可分辨出数据包是否真正来自周边网络，而内部路由器不可。内部路由器（阻塞路由器）作用：保护内部网络不受外部网络和周边网络的侵害，它执行大部分过滤工作。外部路由器一般与内部路由器应用相同的规则。27五、其它结构防火墙一个堡垒主机和一个非军事区示意图……DMZ堡垒主机内部网外部路由器Internet29两个堡垒主机和两个非军事区外部DMZ外部堡垒主机内部网外部路由器Internet……内部堡垒主机内部DMZ30