防火墙原理

防火墙原理防火墙的概念防火墙技术防火墙的工作模式常见的防火墙系统设计防火墙的概念防火墙技术防火墙的工作模式常见的防火墙系统设计从物理角度看，各站点防火墙物理实现的方式有所不同。许多人认为防火墙是一台机器，有一些网络是这种情况。然而，防火墙这一术语和所执行的功能关系更紧密一些，而不是指物理设备。防火墙可以是一组硬件设备，即路由器、主计算机或者是路由器、计算机和配有适当软件的网络的多种组合。但是也有纯软件防火墙，如天网个人防火墙。防火墙逻辑位置结构示意图Email服务器Web服务器Internet内部客户机Intranet数据库服务器Web服务器外部客户机外部客户机防火墙防火墙类似于建筑物中的防火墙，它防止外部网络（主要指Internet）上的危险黑客入侵内部网络防火墙的基本概念什么是防火墙？防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，目的是保护网络不被他人侵扰。本质上，它遵循的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。目的：实现安全访问控制。防火墙的作用可以确保一个单位内的网络与Internet的通信是符合该单位的安全方针，为管理人员提供下列问题的答案：谁在使用网络；他们在网络上做什么；他们什么时间使用了网络他们上网去了何处；谁要上网没有成功。Email服务器Web服务器Internet内部客户机Intranet数据库服务器Web服务器外部客户机外部客户机防火墙防火墙一般实施两个基本设计方针之一：（1）只允许访问特定的服务。一切未被允许的就是禁止的。（2）只拒绝访问特定的服务。一切未被禁止的就是允许的。防火墙可以看成是安装在两个网络之间的一道栅栏，根据安全计划和安全策略中的定义来保护其后面的网络。它应该满足以下条件：（1）所有进出网络的通信流都应该通过防火墙。（2）所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。（3）理论上说，防火墙是穿不透的。一个好的防火墙应当具备的条件(1)所有的内部网络和外部网络之间传输的数据都必须通过防火墙；(2)只有被授权的合法数据，即防火墙系统中安全策略允许的数据，可以通过防火墙；(3)防火墙本身不受各种攻击的影响；(4)使用目前新的信息安全技术，比如现代密码技术、一次口令系统、智能卡；(5)人机界面良好，用户配置使用方便，易于管理。防火墙的缺陷：（1）防火墙不能防范不通过它的连接如果网络具有其他联接方式，比如一台WindowsPC使用一台调制解调器通过ISP联到Internet上，因为连接不经过防火墙，因此绕过了防火墙提供的安全控制。（2）防火墙不能防备全部的威胁防火墙不能防止许多常见的Internet问题，如病毒和特洛伊木马。防火墙的概念防火墙技术防火墙的工作模式常见的防火墙系统设计2、防火墙技术包过滤技术NAT网络地址翻译技术代理技术其它，如状态检查技术、VPN技术，内容检查技术等（1）包过滤技术包过滤技术依靠以下三个基本依据来实现“允许或不允许”某些包通过防火墙：(1)包的目的地址及目的端口。(2)包的源地址及源端口。(3)包的传送协议。包过滤技术的优缺点优点：•速度快，性能高•对用户透明•仅用一个放置在重要位置上的包过滤路由器就可保护整个网络。如果我们的站点与因特网间只有一台路由器，那么不管站点规模有多大，只要在这台路由器上设置合适的包过滤，我们的站点就可获得很好的网络安全保护。互连的物理介质应用层表示层会话层传输层应用层表示层会话层传输层网络层数据链路层物理层网络层数据链路层物理层网络层数据链路层物理层包过滤技术的优缺点（1）在机器中配置包过滤规则比较困难；（2）对系统中的包过滤规则的配置进行测试也较麻烦；（3）许多产品的包过滤功能有这样或那样的局限性，要找一个比较完整的包过滤产品比较困难。互连的物理介质应用层表示层会话层传输层应用层表示层会话层传输层网络层数据链路层物理层网络层数据链路层物理层网络层数据链路层物理层（2）网络地址转换NATNAT最初设计是用来增加私有组织的可用地址空间和解决现有的私有TCP/IP网络连接到互联网上IP地址编号不够用的问题。私有IP地址只能作为内部网络号，不在互联网主干网上使用通过NAT保证私有IP地址的内部主机或网络能够连接到公用网络上。InternetInternet转换前应用：目的端口映射80192.168.0.9600202.106.0.249192.168.0.9常用端口号：21：FTP23：Telnet25：SMTP80：HTTP110：EMail应用：防Flood攻击HackerICMPFloodUDPFloodTCPFlood目标网络•基于数据流的防范•基于数据包的防范当源主机在1秒内发起的连接数达到门限值时，在该秒内的剩余时段和下一秒中，丢弃该源主机发起的同类连接当源主机在1秒内发出的数据包达到门限值时，在该秒内的剩余时段和下一秒中，丢弃该源主机发出的同类数据（3）代理技术◆应用层代理(Application-layerproxies）(也称做应用层网关）◆链路层代理(Circuit-levelproxies）(也称做链路层网关）用户外部服务器代理服务器感觉上连接实际上连接应用代理客户机部分应用代理服务器部分Intranet客户机的请求转发服务器的回答Internet转发客户机的请求服务器回答Internet应用服务器代理服务器防火墙系统内部网客户机应用层代理服务器(Proxy)ApplicationPresentationSessionTransportDataLinkPhysicalNetworkDataLinkPhysicalApplicationPresentationSessionTransportDataLinkPhysicalApplicationPresentationSessionTransportNetworkNetworkTelnetHTTPFTPFirewall◆应用层代理到目前为止,最流行的代理服务器类型是那些对应用层流量的代理。代理服务器从内部网络客户端接受请求。然后,如果客户端被代理服务器授权了,代理服务器将代表客户端与外部服务器进行通信。应用层代理服务器的优缺点优点：•相对较高的安全性•可以实现访问的身份认证•可以在应用层控制服务的等级，权限缺点：•性能较差，速度慢•每种访问服务需要单独的代理服务器•用户不透明ApplicationPresentationSessionTransportNetworkDataLinkPhysical电路级网关的优缺点优点：提供NAT，在使用内部网络地址机制时为网络管理员实现安全提供了很大的灵活性。电路级网关是基于和包过滤防火墙一样的规则。缺点：网关仅复制、传递数据，因此不能很好地区别好包与坏包、电路级网关要求终端用户通过网关的认证。访问速度变慢，因为不允许用户直接访问网络，而且应用级网关需要对每一个特定的Internet服务安装相应的代理服务软件，其次，用户不能使用未被服务器支持的服务，对每一类服务要使用特殊的客户端软件，尤其是，并非所有的Internet应用软件都可以使用代理服务器。防火墙的概念防火墙技术防火墙的工作模式常见的防火墙系统设计防火墙的工作模式路由模式：防火墙可以充当路由器，提供路由功能。透明模式（桥模式）：防火墙可以方便的接入到网络，而且保持所有的网络设备配置完全不变。混合模式：防火墙同时工作在路由模式和桥模式。路由模式受保护网络Internet如果防火墙支持透明模式，则内部网络主机的配置不用调整HostA199.168.1.2HostC199.168.1.4HostD199.168.1.5HostB199.168.1.3199.168.1.8同一网段透明模式下，这里不用配置IP地址透明模式下，这里不用配置IP地址DefaultGateway=199.168.1.8防火墙相当于网桥，原网络结构没有改变解析所有通过它的数据包，既增加了网络的安全性，又降低了用户管理的复杂程度。透明接入：对用户是透明的，即用户意识不到防火墙的存在。混合模式外部接口和DMZ接口组成透明方式DNSServer混合模式防火墙的应用防火墙启用NAT转换防火墙的概念防火墙技术防火墙的工作模式常见的防火墙系统设计常见的防火墙系统设计内部工作子网与外网的访问控制进行访问规则检查发起访问请求合法请求则允许对外访问将访问记录写进日志文件合法请求则允许对内访问发起访问请求防火墙在此处的功能：1、工作子网与外部子网的物理隔离2、访问控制3、对工作子网做NAT地址转换4、日志记录Internet区域Internet边界路由器DMZ区域区域与外网的访问控制进行访问规则检查发起访问请求合法请求则允许对外访问将访问记录写进日志文件禁止对外发起连结请求发起访问请求防火墙在此处的功能：1、DMZ网段与外部子网的物理隔离2、访问控制3、对DMZ子网做MAP映射4、日志记录DMZ区域区的访问控制进行访问规则检查发起访问请求合法请求则允许对其访问将访问记录写进日志文件禁止对工作子网发起连结请求防火墙在此处的功能：1、DMZ网段与工作子网的物理隔离2、访问控制4、日志记录发起访问请求Internet区域Internet边界路由器DMZ区域进行一次性口令认证认证通过后允许访问内网防火墙在此处的功能：1、对拨号用户进行一次性口令认证2、控制拨号用户对内网的访问权限3、对拨号用户的访问做日志和审计将访问记录写进日志文件用户拨号内部工作子网管理子网一般子网内部专线DMZ区域进行规则检查将访问记录写进日志文件防火墙在此处的功能：1、将内部子网与连接下属机构的公网隔离开2、控制下属机构子网用户对总部内网的访问3、对下属机构网络与总部子网之间的通讯做日志和审计HostCHostD数据包数据包数据包查找对应的控制策略拆开数据包进行分析根据策略决定如何处理该数据包数据包控制策略基于源IP地址基于目的IP地址基于源端口基于目的端口基于时间基于用户基于