2012_12.防火墙原理

防火墙原理防火墙的概念防火墙技术防火墙的体系结构防火墙的工作模式常见的防火墙系统设计防火墙的概念防火墙技术防火墙的体系结构防火墙的工作模式常见的防火墙系统设计从物理角度看，各站点防火墙物理实现的方式有所不同。许多人认为防火墙是一台机器，有一些网络是这种情况。然而，防火墙这一术语和所执行的功能关系更紧密一些，而不是指物理设备。防火墙可以是一组硬件设备，即路由器、主计算机或者是路由器、计算机和配有适当软件的网络的多种组合。但是也有纯软件防火墙，如天网个人防火墙。防火墙逻辑位置结构示意图Email服务器Web服务器Internet内部客户机Intranet数据库服务器Web服务器外部客户机外部客户机防火墙防火墙类似于建筑物中的防火墙，它防止外部网络（主要指Internet）上的危险黑客入侵内部网络防火墙的基本概念什么是防火墙？防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，目的是保护网络不被他人侵扰。本质上，它遵循的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。目的：实现安全访问控制。防火墙的作用可以确保一个单位内的网络与Internet的通信是符合该单位的安全方针，为管理人员提供下列问题的答案：谁在使用网络；他们在网络上做什么；他们什么时间使用了网络他们上网去了何处；谁要上网没有成功。Email服务器Web服务器Internet内部客户机Intranet数据库服务器Web服务器外部客户机外部客户机防火墙防火墙一般实施两个基本设计方针之一：（1）只允许访问特定的服务。一切未被允许的就是禁止的。（2）只拒绝访问特定的服务。一切未被禁止的就是允许的。防火墙可以看成是安装在两个网络之间的一道栅栏，根据安全计划和安全策略中的定义来保护其后面的网络。它应该满足以下条件：（1）所有进出网络的通信流都应该通过防火墙。（2）所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。（3）理论上说，防火墙是穿不透的。一个好的防火墙应当具备的条件(1)所有的内部网络和外部网络之间传输的数据都必须通过防火墙；(2)只有被授权的合法数据，即防火墙系统中安全策略允许的数据，可以通过防火墙；(3)防火墙本身不受各种攻击的影响；(4)使用目前新的信息安全技术，比如现代密码技术、一次口令系统、智能卡；(5)人机界面良好，用户配置使用方便，易于管理。防火墙的缺陷：（1）防火墙不能防范不通过它的连接如果网络具有其他联接方式，比如一台WindowsPC使用一台调制解调器通过ISP联到Internet上，因为连接不经过防火墙，因此绕过了防火墙提供的安全控制。（2）防火墙不能防备全部的威胁防火墙不能防止许多常见的Internet问题，如病毒和特洛伊木马。防火墙的概念防火墙技术防火墙的体系结构防火墙的工作模式常见的防火墙系统设计2、防火墙技术包过滤技术NAT网络地址翻译技术代理技术其它，如状态检查技术、VPN技术，内容检查技术等（1）包过滤技术包过滤技术依靠以下三个基本依据来实现“允许或不允许”某些包通过防火墙：(1)包的目的地址及目的端口。(2)包的源地址及源端口。(3)包的传送协议。包过滤技术的优缺点优点：•速度快，性能高•对用户透明•仅用一个放置在重要位置上的包过滤路由器就可保护整个网络。如果我们的站点与因特网间只有一台路由器，那么不管站点规模有多大，只要在这台路由器上设置合适的包过滤，我们的站点就可获得很好的网络安全保护。互连的物理介质应用层表示层会话层传输层应用层表示层会话层传输层网络层数据链路层物理层网络层数据链路层物理层网络层数据链路层物理层包过滤技术的优缺点（1）在机器中配置包过滤规则比较困难；（2）对系统中的包过滤规则的配置进行测试也较麻烦；（3）许多产品的包过滤功能有这样或那样的局限性，要找一个比较完整的包过滤产品比较困难。互连的物理介质应用层表示层会话层传输层应用层表示层会话层传输层网络层数据链路层物理层网络层数据链路层物理层网络层数据链路层物理层（2）网络地址转换NATNAT最初设计是用来增加私有组织的可用地址空间和解决现有的私有TCP/IP网络连接到互联网上IP地址编号不够用的问题。私有IP地址只能作为内部网络号，不在互联网主干网上使用通过NAT保证私有IP地址的内部主机或网络能够连接到公用网络上。InternetInternet转换前应用：目的端口映射80192.168.0.9600202.106.0.249192.168.0.9常用端口号：21：FTP23：Telnet25：SMTP80：HTTP110：EMail应用：防Flood攻击HackerICMPFloodUDPFloodTCPFlood目标网络•基于数据流的防范•基于数据包的防范当源主机在1秒内发起的连接数达到门限值时，在该秒内的剩余时段和下一秒中，丢弃该源主机发起的同类连接当源主机在1秒内发出的数据包达到门限值时，在该秒内的剩余时段和下一秒中，丢弃该源主机发出的同类数据（3）代理技术◆应用层代理(Application-layerproxies）(也称做应用层网关）◆链路层代理(Circuit-levelproxies）(也称做链路层网关）用户外部服务器代理服务器感觉上连接实际上连接应用代理客户机部分应用代理服务器部分Intranet客户机的请求转发服务器的回答Internet转发客户机的请求服务器回答Internet应用服务器代理服务器防火墙系统内部网客户机应用层代理服务器(Proxy)ApplicationPresentationSessionTransportDataLinkPhysicalNetworkDataLinkPhysicalApplicationPresentationSessionTransportDataLinkPhysicalApplicationPresentationSessionTransportNetworkNetworkTelnetHTTPFTPFirewall◆应用层代理到目前为止,最流行的代理服务器类型是那些对应用层流量的代理。代理服务器从内部网络客户端接受请求。然后,如果客户端被代理服务器授权了,代理服务器将代表客户端与外部服务器进行通信。应用层代理服务器的优缺点优点：•相对较高的安全性•可以实现访问的身份认证•可以在应用层控制服务的等级，权限缺点：•性能较差，速度慢•每种访问服务需要单独的代理服务器•用户不透明ApplicationPresentationSessionTransportNetworkDataLinkPhysical应用层网关电路级网关电路级网关电路级网关防火墙它仅仅是一种代理，建立起一个回路，对数据包起转发的作用。电路级网关首先从客户端获的一个TCP链接请求，认证并授权该客户端，并代表客户端向源服务器建立TCP连接。如果成功建立好TCP连接，电路级网关则简单地在两个连接之间传递数据。用户外部服务器代理服务器感觉上连接实际上连接作为中介，代理服务器隐藏了关于用户的一些信息。假设用户正在从事一项高度保密的项目，那么用户就想对外(Internet)隐藏关于其所在网络的信息—IP地址等等。代理服务器会把用户地址改成自己的地址，使用一个内部表来解析到正确目的地的进出报文。对于外面的人而言，只有一个IP地址(代理服务器的IP地址)可见。电路级网关的优缺点优点：提供NAT，在使用内部网络地址机制时为网络管理员实现安全提供了很大的灵活性。电路级网关是基于和包过滤防火墙一样的规则。缺点：网关仅复制、传递数据，因此不能很好地区别好包与坏包、电路级网关要求终端用户通过网关的认证。访问速度变慢，因为不允许用户直接访问网络，而且应用级网关需要对每一个特定的Internet服务安装相应的代理服务软件，其次，用户不能使用未被服务器支持的服务，对每一类服务要使用特殊的客户端软件，尤其是，并非所有的Internet应用软件都可以使用代理服务器。防火墙的概念防火墙技术防火墙的体系结构防火墙的工作模式常见的防火墙系统设计防火墙的体系结构在防火墙和网络的配置上，有以下四种典型结构双宿/多宿主机模式屏蔽主机模式屏蔽子网模式其它，如混合结构模式•堡垒主机（BastionHost）相关术语堡垒主机一般是高度暴露于Internet的，也是网络中最容易受到侵害的主机检查点原则：堡垒主机把整个网络的安全问题集中在某个主机上解决，从而省时省力，其他内网主机不用考虑安全问题内网堡垒主机•双宿主机（DualHomedHost）相关术语双宿主机是指有两个网络接口的计算机系统，其中一个接口接内部网，另一个接口接外部网,双宿主机是在应用层上建立连接。(1)双重宿主主机体系结构双重宿主主机体系结构是围绕双重宿主主机构筑的。双重宿主主机至少有两个网络接口，它位于内部网络和外部网络之间，这样的主机可以充当与这些接口相连的网络之间的路由器，它能从一个网络接收IP数据包并将之发往另一网络。在这种结构下，外部网络与内部网络之间不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制。Internet防火墙双重宿主主机内部网络……双重宿主主机体系结构网络接口网络接口双重宿主主机体系结构（续）双重宿主主机的特性：安全至关重要（唯一通道），控制安全是关键。必须支持很多用户的访问（中转站），其性能非常重要缺点：双重宿主主机是隔开内外网络的唯一屏障，一旦它被入侵，内部网络便向入侵者敞开大门。(2)屏蔽主机模式这种防火墙强迫所有的外部主机与堡垒主机相连接，而不让它们与内部主机直接相连。此“过滤路由器”把所以来自外网到内网的连接都路由到了堡垒主机。屏蔽主机模式屏蔽主机型的典型构成是包过滤路由器+堡垒主机。配置过滤路由器，实现网络层的安全作为代理服务器，实现应用层的安全屏蔽主机防火墙安全性（案例)屏蔽主机防火墙（3）屏蔽子网防火墙）引入“周边网络DMZ”的目的？堡垒主机是用户网络上最容易受侵袭的机器。通过加入内部过滤路由器来隔离堡垒主机，使得万一堡垒主机被入侵者控制，入侵者仍不能直接侵袭内部网络。非军事化区屏蔽子网防火墙堡垒主机：堡垒主机被放置在周边网络上，它可以被认为是应用层网关，是这种防御体系的核心。可以在其上运行多种代理服务，如，FTP等。要求入站服务都要通过堡垒主机。屏蔽子网防火墙内部过滤路由器：位于内部网和周边网络之间，用于保护内部网不受周边网络和Internet的侵害，它执行了大部分的过滤工作。屏蔽子网防火墙外部路由器：可以防止部分IP欺骗，因为内部路由器分辨不出一个声称从周边网络来的数据包是否真的从周边网络来，而外部路由器很容易分辨出真伪。DMZ的访问控制策略1.内网可以访问外网内网的用户显然需要自由地访问外网。在这一策略中，防火墙需要进行源地址转换。2.内网可以访问DMZ此策略是为了方便内网用户使用和管理DMZ中的服务器。3.外网不能访问内网很显然，内网中存放的是公司内部数据，这些数据不允许外网的用户进行访问。4.外网可以访问DMZ