67防火墙技术

第6章防火墙技术-1-第6章防火墙技术6.1防火墙概述6.2防火墙的体系结构6.3防火墙技术6.4分布式防火墙6.5防火墙安全策略6.6WinXP防火墙6.7防火墙的选购6.8个人防火墙程序设计介绍第6章防火墙技术-2-6.1防火墙概述在内部网和Internet之间插入一个系统，即防火墙，用来防止各类黑客的破坏，阻断来自外部网络的威胁和入侵，扮演着防备潜在的恶意活动屏障。第6章防火墙技术-3-6.1.1防火墙的概念防火墙是保障网络安全的一个系统或一组系统，用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取。防火墙至少提供两个基本的服务，即：1．有选择的限制外部网用户对本地网的访问，保护本地网的特定资源。2．有选择的限制本地网用户对外地网的访问。安全、管理、速度是防火墙的三大要素。第6章防火墙技术-4-它可以嵌入到某种硬件产品中，以硬件设备形式出现，即硬件防火墙。它也可以是一种软件产品，即软件防火墙。6.1.2防火墙主要功能防火墙主要功能有：1．防止易受攻击的服务。2．控制访问网点。3．集中安全性管理。4．对网络存取和访问进行监控审计。第6章防火墙技术-5-5．检测扫描计算机的企图。6．防范特洛伊木马。7．防病毒功能。8．支持VPN技术。9．提供网络地址翻译NAT功能防火墙的主要缺陷有：1．不能防范内部攻击。2．不能防范不通过防火墙的连接入侵。3．不能自动防御所有新的威胁。第6章防火墙技术-6-6.1.3防火墙的基本类型从概念上来讲，可以将防火墙分成两种基本类型的防火墙：1．网络层防火墙网络层防火墙是作用于网络层的，一般根据源、目的地址做出决策，输入单个的IP包，通常需要分配有效的IP地址块。网络层防火墙一般速度都很快，对用户很透明。第6章防火墙技术-7-2．应用层防火墙应用层防火墙作用于网络应用层，是通过软件来分析用户应用层的数据流量，能对通过它的数据流进行记录和审计，能提供更详尽的审计报告。记录和控制所有进出流量的能力是应用层网关的主要优点之一。同时，应用层防火墙还可以充当网络地址翻译器。在某些情况下，设置了应用层防火墙后，可能会对性能造成影响，会使防火墙不太透明。应用层防火墙比网络层防火墙实施更保守的安全模型。第6章防火墙技术-8-从技术上来讲，可以将防火墙分成传统防火墙，分布式防火墙，嵌入式防火墙和智能防火墙等。1．嵌入式防火墙嵌入式防火墙就是将防火墙功能嵌入到路由器或交换机中。嵌入式防火墙的主要优点和缺点见教材。2．智能防火墙智能防火墙就是利用统计、记忆、概率和决策的智能方法来对数据进行识别，并达到访问控制的目的。第6章防火墙技术-9-6.2防火墙的体系结构6.2.1筛选路由器结构筛选路由器是防火墙最基本的构件。它一般作用在网络层（IP层），按照一定的安全策略，对进出内部网络的信息进行分析和限制，实现报文过滤功能。该防火墙优点在于速度快等，但安全性能差第6章防火墙技术-10-6.2.2双宿主主机结构双宿主主机结构是用一台装有两块网卡的堡垒机构成防火墙。堡垒机上运行着防火墙软件，可以转发应用程序，提供服务等。内外网络之间的IP数据流被双宿主主机完全切断。用堡垒机取代路由器执行安全控制功能。第6章防火墙技术-11-6.2.3屏蔽主机网关结构屏蔽主机网关结构中堡垒机与内部网相连，用筛选路由器连接到外部网上，筛选路由器作为第一道防线，堡垒机作为第二道防线。这确保了内部网络不受未被授权的外部用户的攻击。该防火墙系统提供的安全等级比前面两种防火墙系统要高，主要用于企业小型或中型网络。第6章防火墙技术-12-6.2.4屏蔽子网结构屏蔽子网结构，就是在内部网络和外部网络之间建立一个被隔离的子网，这个子网可有堡垒主机等公用服务器组成，用两台筛选路由器将这一子网分别与内部网络和外部网络分开。内部网络和外部网络均可访问屏蔽子网，但禁止它们穿过屏蔽子网进行通信，从而进一步实现屏蔽主机的安全性。第6章防火墙技术-13-6.3防火墙技术6.3.1包过滤技术包过滤技术是基于IP地址来监视并过滤网络上流入和流出的IP包，它只允许与指定的IP地址通信。它的作用是在可信任网络和不可信任网络之间有选择地安排数据包的去向。信息过滤规则是以其所收到的数据包头信息为基础，包头信息中包括IP源地址，IP目标端地址、封装协议类型等。当一个数据包满足过滤规则，则允许此数据包通过，否则拒绝此包通过，起到了保护内部网络的作用。第6章防火墙技术-14-1.过滤规则一般包过滤规则如下：（1）过滤规则序号FRNO（FilterruleNumber），它决定过滤算法执行时过滤规则排列的顺序。（2）过滤方式（Action）包括允许（Allow）和阻止（Block）。（3）源IP地址SIP（SourceIPaddress）。（4）源端口SP（SourcePort）。（5）目的IP地址DIP（DestinationIPaddress）。第6章防火墙技术-15-（6）目的端口DP（DestinationPort）。（7）协议标志PF（ProtocolFlags）。（8）最后一项是注释（Comment）。2.包过滤规则的制定过程（1）确定自己的安全需求及包过滤规则要达到的安全目标，明确什么是应该和不应该被允许的，然后制定合适的安全策略。（2）必须正式规定允许的包类型、包字段的逻辑表达。（3）必须用防火墙支持的语法重写表达式。第6章防火墙技术-16-3．包过滤策略包过滤路由器根据过滤规则来过滤基于标准的数据包，完成包过滤功能。这里主要从以下几个方面来考虑包过滤策略：（1）包过滤控制点（2）包过滤操作过程（3）包过滤规则（4）防止不安全设计的措施（5）对特定协议包的过滤第6章防火墙技术-17-4．OSI参考模型中包过滤控制点根据Internet的特性，防火墙在以下三层中设置控制点是科学的。（1）网络层控制点应该设在源和目的IP地址，以及IPOptions上。（2）传输层控制点应该设在TCP头中的源和目的端口号以及TCP标志位上。（3）应用层控制点应该基于特定协议分别设定。第6章防火墙技术-18-5.包过滤操作过程（1）包过滤规则必须被存储作为包过滤设备的端口上。（2）当数据包在端口到达时，包头被提取。同时包过滤设备检查IP，TCP，UDP等包头中的域。（3）包过滤规则以特定的次序被存储，每一规则按照被存储的次序作用于包。（4）如果一条规则阻止传输，包就被弃掉。（5）如果一条规则允许传输，包就被通过。（6）如果一个包不满足任意规则，它就被弃掉。第6章防火墙技术-19-6.3.2代理服务技术代理服务是运行在防火墙主机上的专门的应用程序，它位于内部网络上的用户和外部网上的服务之间，内部用户和外部网服务彼此不能直接通信，只能分别与代理打交道。代理负责接收外部网服务请求，再把它们转发到具体的服务中。代理服务防火墙可以配置成允许来自内部网络的任何连接，它也可以配置成要求用户认证后才建立连接，为安全性提供了额外的保证，使得从内部发动攻击的可能性大大减少。第6章防火墙技术-20-例如，一个公司决定将一个Telnet服务器作为主机，以使得远程的管理员能够对其执行某些特定的操作。它代理一个连接过程如下：1．有一个用户通过23端口Telnet到这个代理服务器上。屏蔽设备检测这个连接的源IP地址是否在允许的源地址列表中。如果在的话，就对该连接进行下一步的处理；如果不在的话，则拒绝该次连接。2．提示用户进行身份验证。3．在通过了身份验证后，系统就会提示用户给用户一个系统菜单来允许用户连接到目的主机。第6章防火墙技术-21-4．用户选择要连接的系统。5．如果有要求，系统会提示用户再输入另外的身份验证信息。6.3.3电路层网关技术电路层网关的运行方式与代理服务器相似，它把数据包提交给应用层过滤，并只依赖于TCP的连接。它遵循SOCKS协议，即电路层网关的标准。它是在网络的传输层实施访问策略，是在内部网和外部网之间建立一个虚拟电路进行通信。第6章防火墙技术-22-电路层网关的工作过程如下：1．假设有一个用户正在试图和一个目的URL进行连接。2．该用户所使用的客户应用程序是将请求发到地址已被解析的代理服务器的内部接口上。3．如果需要身份验证的话，网关就会提示用户进行身份验证。4．如果用户通过了身份验证的话，代理服务器就会执行一些另外的任务，然后代理服务器为目的URL发出一个DNS请求，接着它再用自己的源IP地址和目的IP地址建立一个连接。第6章防火墙技术-23-5．代理服务器将Web服务器上的应答转发给客户。6.3.4状态检测技术状态检测技术是包过滤技术的延伸，使用各种状态表（statetables）来追踪活跃的TCP会话。由用户定义的访问控制列表（ACL）决定允许建立哪些会话（session），只有与活跃会话相关联的数据才能穿过防火墙。状态检测技术防火墙的工作过程如下：1．防火墙检查数据包是否是一个已经建立并且正在使用的通信流的一部分。第6章防火墙技术-24-2．根据所使用的协议，决定对数据包的检查程度。3．如果数据包和连接表的各项都不匹配，那么防火墙就会检测数据包是否与它所配置的规则集相匹配。4．在数据包检测后，防火墙就会将该数据包转发到它的目的地址，并且防火墙会在其连接表中为此次对话创建或者更新一个连接项，防火墙将使用这个连接项对返回的数据包进行校验。第6章防火墙技术-25-5．防火墙通常对TCP包中被设置的FIN位进行检测或者通过使用计时器来决定何时从连接表中删除某连接项。状态检测技术防火墙是对包过滤技术、电路层网关和代理服务技术的折中，它的速度和灵活性没有包过滤机制好，但比代理服务技术好。它的应用级安全不如代理服务技术强，但又比包过滤的机制的高。这种结合是对包过滤技术和代理服务技术的折中。第6章防火墙技术-26-6.4分布式防火墙6.4.1传统边界式防火墙传统防火墙都是设置在网络边界上的，即在内部网和外部网之间构成一个屏障，进行网络存取控制，所以称这种类型的防火墙为边界防火墙（PerimeterFirewall）。传统边界式防火墙缺点：1．网络应用受到结构性限制2．内部安全隐患仍在3．效率较低和故障率高第6章防火墙技术-27-6.4.2分布式防火墙概述分布式防火墙把Internet和内部网络都视为不可靠的，它们对每个用户、每台服务器都进行保护，如同边界防火墙对整个网络进行保护一样。分布式防火墙是一种主机驻留式的安全系统，用以保护内部网络中的关键结点服务器、数据及工作站免受非法入侵的破坏。由于防火墙驻留在被保护的主机上，因此可以针对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略。因为分布式防火墙可以分布在整个内部网络或服务器中，所以它具有无限制的扩展能力。第6章防火墙技术-28-6.4.3分布式防火墙组成第6章防火墙技术-29-分布式防火墙是一个完整的系统，包含如下几个部分：1．网络防火墙（NetworkFirewall）它是用于内部网与外部网之间，以及内部网各子网之间的防护。2．主机防火墙（HostFirewall）是用于对网络中的服务器和桌面系统进行防护的。3．中心管理（CentralManagement）这是一个服务器软件，负责总体安全策略的策划、管理、分发及日志的汇总。第6章防火墙技术-30-6.4.4分布式防火墙工作原理分布式防火墙由中心管理定义策略，由分布在网络中的各个端点执行这些策略。它涉及到三个主要概念：可以被允许或被禁止连接的策略语言；系统管理工具；IP安全协议。策略语言主要用于表达所需要的策略，标志内部主机。使用IP安全协议中的密码凭证对各主机进行标志。系统管理工具用于将形成的策略文件分发给被防火墙保护的所有主机。第6章防火墙技术-31-分布式防火墙工作过程如下：首先由制定防火墙接入控制策略的中心通过编译器将策略语言描述转换成内部格式，形成策略文件；然后中心管理采用系统管理工具把策略文件分发给各台“内部”主机；“内部”主机将从两方面来判定是否接受收到的包，一方面是根据IP安全协议，另一方面是根据服务器