12防火墙技术

第四章防火墙技术第4章防火墙技术内容提要：防火墙概述防火墙的体系结构数据包过滤防火墙代理防火墙防火墙应用举例防火墙脆弱性及其防护对策防火墙技术发展动态和趋势第四章防火墙技术4.1概述防火墙的定义防火墙是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，构成一道屏障，以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。第四章防火墙技术防火墙的要点：防火墙配置在不同网络或网络安全域之间,它遵循的是一种允许或阻止业务来往的网络通信安全机制，只允许授权的通信，尽可能地对外部屏蔽网络内部的信息、结构和运行状况第四章防火墙技术防火墙的发展简史第一代防火墙——采用了包过滤（Packetfilter）技术。第二代防火墙——电路层防火墙第三代防火墙——应用层防火墙（代理防火墙）的初步结构第四代防火墙——1992年，基于动态包过滤（Dynamicpacketfilter）技术第五代防火墙——自适应代理（Adaptiveproxy）技术第四章防火墙技术防火墙的五大基本功能过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。第四章防火墙技术4.2防火墙体系结构防火墙可以在OSI七层中的五层设置。防火墙组成结构图第四章防火墙技术防火墙的体系结构目前，防火墙的体系结构一般有以下几种：（1）双重宿主主机体系结构；（2）屏蔽主机体系结构；（3）屏蔽子网体系结构。第四章防火墙技术4.2.1双重宿主主机体系结构围绕具有双重宿主的主机计算机而构筑；计算机至少有两个网络接口；计算机充当与这些接口相连的网络之间的路由器；防火墙内部的系统能与双重宿主主机通信；防火墙外部的系统（在因特网上）能与双重宿主主机通信。第四章防火墙技术双重宿主主机体系结构第四章防火墙技术4.2.2屏蔽主机体系结构提供安全保护的堡垒主机仅仅与被保护的内部网络相连；是外部网络上的主机连接内部网络的桥梁；堡垒主机需要拥有高等级的安全；还使用一个单独的过滤路由器来提供主要安全；路由器中有数据包过滤策略。第四章防火墙技术屏蔽主机体系结构第四章防火墙技术4.2.3屏蔽子网体系结构第四章防火墙技术1．周边网络周边网络是另一个安全层,是在外部网络与被保护的内部网络之间的附加网络,提供一个附加的保护层防止内部信息流的暴露.2．堡垒主机堡垒主机为内部网络服务的功能有：（1）接收外来的电子邮件（SMTP），再分发给相应的站点；（2）接收外来的FTP连接，再转接到内部网的匿名FTP服务器；（3）接收外来的对有关内部网站点的域名服务（DNS）查询。第四章防火墙技术堡垒主机向外的服务功能按以下方法实施：（1）在路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器。（2）设置代理服务器在堡垒主机上运行，允许内部网的用户间接地访问外部网的服务器。也可以设置数据包过滤，允许内部网的用户与堡垒主机上的代理服务器进行交互，但是禁止内部网的用户直接与外部网进行通信。第四章防火墙技术3．内部路由器保护内部的网络使之免受外部网和周边网的侵犯，内部路由器完成防火墙的大部分数据包过滤工作。4．外部路由器保护周边网和内部网使之免受来自外部网络的侵犯，通常只执行非常少的数据包过滤。外部路由器一般由外界提供。第四章防火墙技术4.2.4防火墙体系结构的组合形式（1）使用多堡垒主机；（2）合并内部路由器与外部路由器；（3）合并堡垒主机与外部路由器；（4）合并堡垒主机与内部路由器；（5）使用多台内部路由器；（6）使用多台外部路由器；（7）使用多个周边网络；（8）使用双重宿主主机与屏蔽子网。第四章防火墙技术4.3包过滤防火墙包过滤防火墙工作在网络层利用访问控制列表（ACL）对数据包进行过滤过滤依据是TCP/IP数据包：源地址和目的地址源端口和目的端口优点是效率比较高，对用户透明缺点是难于配置、监控和管理,无法有效地区分同一IP地址的不同用户第四章防火墙技术数据包过滤的主要依据有：（1）数据包的源地址；（2）数据包的目的地址；（3）数据包的协议类型（TCP、UDP、ICMP等）；（4）TCP或UDP的源端口；（5）TCP或UDP的目的端口；（6）ICMP消息类型；第四章防火墙技术包过滤系统能进行以下情况的操作：（1）不让任何用户从外部网用Telnet登录；（2）允许任何用户使用SMTP往内部网发电子邮件；（3）只允许某台机器通过NNTP往内部网发新闻。不能进行以下情况的操作：（1）允许某个用户从外部网用Telnet登录而不允许其他用户进行这种操作。（2）允许用户传送一些文件而不允许用户传送其他文件。第四章防火墙技术（1）包过滤标准必须由包过滤设备端口存储起来，这些包过滤标准叫包过滤规则。（2）当包到达端口时，对包的报头进行语法分析，大部分的包过滤设备只检查IP、TCP或UDP报头中的字段，不检查数据的内容。（3）包过滤器规则以特殊的方式存储。（4）如果一条规则阻止包传输或接收，此包便不允许通过。（5）如果一条规则允许包传输或接收，该包可以继续处理。（6）如果一个包不满足任何一条规则，该包被丢弃。包过滤器操作第四章防火墙技术包过滤路由器的配置时要注意的问题（l）协议的双向性。（2）“往内”与“往外”的含义。（3）“默认允许”与“默认拒绝”。注意:（1）过滤规则的排列顺序是非常重要的。（2）应该遵循自动防止故障的原理：未明确表示允许的便被禁止。第四章防火墙技术包过滤防火墙的缺陷（1）不能彻底防止地址欺骗。（2）无法执行某些安全策略（3）安全性较差（4）一些应用协议不适合于数据包过滤（5）管理功能弱第四章防火墙技术4.4应用代理防火墙代理防火墙（Proxy）是一种较新型的防火墙技术，它分为：应用层网关电路层网关。所谓代理服务器，是指代表客户处理连接请求的程序。当代理服务器得到一个客户的连接意图时，它将核实客户请求，并用特定的安全化的Proxy应用程序来处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处理后，将答复交给发出请求的最终客户。第四章防火墙技术代理的工作方式第四章防火墙技术代理防火墙工作于应用层；针对特定的应用层协议；代理服务器（ProxyServer）作为内部网络客户端的服务器，拦截住所有请求，也向客户端转发响应；代理客户机（ProxyClient）负责代表内部客户端向外部服务器发出请求，当然也向代理服务器转发响应；第四章防火墙技术应用层网关型防火墙应用层网关防火墙因特网层网络接口层传输层应用层因特网层网络接口层传输层应用层因特网层网络接口层传输层应用层第四章防火墙技术传统代理型防火墙；核心技术就是代理服务器技术；基于软件实现，通常安装在专用工作站系统上；参与到一个TCP连接的全过程；在网络应用层上建立协议过滤和转发功能；优点就是安全，是内部网与外部网的隔离点；最大缺点就是速度相对比较慢。应用层网关型防火墙第四章防火墙技术电路层网关防火墙通过电路层网关中继TCP连接一般采用自适应代理技术有两个基本要素：自适应代理服务器（AdaptiveProxyServer）动态包过滤器（DynamicPacketFilter）第四章防火墙技术电路层网关防火墙因特网层网络接口层传输层应用层网络接口层传输层应用层因特网层网络接口层传输层应用层因特网层第四章防火墙技术代理技术的优点（1）代理易于配置（2）代理能生成各项记录（3）代理能灵活、完全地控制进出流量、内容（4）代理能过滤数据内容（5）代理能为用户提供透明的加密机制（6）代理可以方便地与其他安全手段集成第四章防火墙技术代理技术的缺点:（1）代理速度较路由器慢；（2）代理对用户不透明；（3）对于每项服务代理可能要求不同的服务器；（4）代理服务不能保证免受所有协议弱点的限制；（5）代理不能改进底层协议的安全性。第四章防火墙技术4.5防火墙应用示例网络卫士防火墙3000系统组成一套专用防火墙设备（硬件）：具有3至10个网络接口，标准配置为3个网络接口。管理员通过一次性口令认证，对防火墙进行配置、管理和审计。一次性口令用户客户端（软件）：凡是需要对其身份进行认证的用户都需使用该软件，例如，管理者需要通过页面管理防火墙时，必须先进行一次性口令认证。第四章防火墙技术网络卫士防火墙3000典型应用拓扑图第四章防火墙技术典型应用的特点防火墙工作于路由和透明混合的综合模式；网络192.168.1.0/24、202.99.88.0/24和202.99.99.0/24均用边界路由器作路由；新增的支干路由器1（网络202.99.99.0/24）用防火墙作路由；网络192.168.1.0/24和202.99.88.0/24透明通过防火墙；采用严格安全策略。第四章防火墙技术1．配置防火墙接口地址（1）ifconfigeth0202.99.88.2255.255.255.0将eth0设置为合法IP地址进行NAT，与路由器内部接口的IP处于同一网段（2）ifconfigeth1202.99.88.9255.255.255.248将接口E1配上IP地址202.99.88.9（3）ifconfigeth2192.168.1.1255.255.255.0将接口E2配上IP地址192.168.1.1（4）ifconfigeth2:0202.99.99.1255.255.255.0eth2接内部网，此处设置为202.99.99.0/24这个网段的目的是为了实现对202.99.97.0/24和202.99.98.0/24做路由用。第四章防火墙技术2．设置路由表（1）eth0上：routeadd202.99.88.1255.255.255.255eth0添加到边界路由器202.99.88.1的单机路由routeadd202.99.88.2255.255.255.255eth0添加到防火墙外接口的单机路由（2）eth1上：routeadd202.99.88.8255.255.255.248添加到网络202.99.88.8的路由第四章防火墙技术（3）eth2上：routeadd192.168.1.0255.255.255.0添加到网络192.168.1.0的路由（4）eth2:0上routeadd202.99.99.1255.255.255.255eth2:0添加到202.99.99.1的单机路由routeadd202.99.99.2255.255.255.255eth2:0添加到路由器202.99.99.2的单机路由routeadd202.99.97.0255.255.255.0202.99.99.2定义到网络202.99.97.0/24的路由为内部网路由器202.99.99.2第四章防火墙技术routeadd202.99.98.0255.255.255.0202.99.99.2定义到网络202.99.98.0/24的路由为内部网路由器202.99.99.2（5）eth2:1上routeadd202.99.88.0255.255.255.0eth2:1添加到202.99.88.0的路由（6）routeadddefault202.99.88.1默认路由指向边界路由器。第四章防火墙技术3．指定防火墙接口属性（1）命令：fwipaddeth0202.99.88.2o指定E0为外接口（2）命令：fwipaddeth1202.99.88.9s指定E1为SSN接口，公共服务器所在的网络都是通过此接口出去。（3）命令：fwipaddeth2192.168.1.1i指定E2为内部接口，192.168.1.0/24的用户都是通过此接口到达防火墙。（4）命令：fwipaddeth2:0202.99.99.1i指定eth2:0为内部接口（5）命令：fwipaddeth2:1202.99.88.3I指定eth2:0为内部接口第四章防火墙技术命令：dns按照提示输入所在的域以及域名服务器。4．配置域名服务器命令：settra