第6章防火墙技术与应用学习目标了解防火墙的基本概念掌握防火墙的主要功能和缺陷深入理解防火墙的工作原理和机制掌握防火墙的分类了解防火墙的基本部署掌握防火墙的基本指标引导案例:随着计算机信息技术的日益发展与完善,互联网技术的普及和发展,给教育信息化工作的开展提供了很多的便利,网络成为教育信息化的重要组成部分。然而,网络的快速发展也给黑客提供了更多的危及计算机网络信息安全的手段和方法,网络信息安全成为人们关注的焦点。上海市某教委计算机网络连接形式多样、终端分布不均匀且具有开放性特点,容易受到攻击。因此,如何针对该教委建立一个安全、高效的网络系统,最终为广大师生提供全面服务,成为了迫切需要解决的问题。本章内容防火墙概述6.1防火墙的类型6.2防火墙的体系结构6.3防火墙配置6.4防火墙产品介绍6.5古时候,建造和使用木质结构的房屋,为了在火灾发生时,防止火势蔓延,人们将坚固的石块堆砌在房屋周围形成一道墙作为屏障,这种防护构筑物被称之为防火墙。在今天的网络世界里,人们借用了防火墙这个概念,把隔离在内部网络和外界网络之间的一道防御系统称为防火墙。它在内部网和外部网之间构造一个保护层,并迫使所有的连接和访问都通过这一保护层,以便接受检查。只有被授权信息流才能通过保护层,进入内部网,从而保护内部网免受非法入侵。防火墙概述6.1防火墙是内部网络和外部网络之间的第一道闸门,被用来保护计算机网络免受非授权人员的骚扰和黑客的入侵。防火墙在网关位置过滤各种进出网络的数据,以保护内部网络的主机。6.1.1防火墙的概念防火墙(Firewall)——是指隔离在内部网络与外部网络之间的一道防御系统,它能挡住来自外部网络的攻击和入侵,保障内部网络的安全。。UF3500/3100防火墙应用三端口NAT模式交换机路由器集线器防火墙UF3500/3100服务器在网络中,硬件防火墙是一种用来加强网络之间访问控制的特殊网络互联设备,如路由器、网关等。它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略进行检查,以决定网络之间的通信是否被允许。其中被保护的网络称为内部网络,另一方则称为外部网络或公用网络。它能有效地控制内部网络与外部网络之间的访问及数据传送,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。从实现方式上看,防火墙可以分为硬件防火墙和软件防火墙两类:硬件防火墙是通过硬件和软件的结合来达到隔离内、外部网络的目的;软件防火墙是通过纯软件的方式来实现的防火墙可以是硬件防火墙也可以是软件1.相关概念外部网络,防火墙之外的网络,如Internet,默认为风险区域。内部联网(Intranet),防火墙之内的网络,一般为局域网,如某个公司或组织的专用网络,网络访问限制在组织内部。军事缓冲区域,简称DMZ,该区域是介于内部网络和外部网络之间的网络段,常放置公共服务设备,向外提供信息服务。吞吐量,在不丢包的情况下单位时间内通过防火墙数据包的数量,这是衡量防火墙性能的重要指标。最大连接数,该数据更贴近网络的实际情况,网络中大多数连接数是指所建立的一个虚拟通道。这也是衡量防火墙的一个重要指标。堡垒主机,一种被强化的可以防御进攻的计算机,被暴露于互联网之上,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某一个主机上解决问题,从而省时省力,不考虑其他主机的安全目的。包过滤,在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤规则,检查数据流中的每个数据包,根据数据包的源地址、目的地址及端口等信息来确定是否允许数据包通过。代理服务器,代表内部网络用户向外部网络中的服务器进行连接请求的程序。状态检测技术,状态监测模块在不影响网络安全、正常工作的前提下,采用抽取相关数据的方法对网络通信的各个层次实行检测,并作为安全决策的依据。虚拟专用网,在公用网络中配置的专用网络。漏洞,系统中的安全缺陷,漏洞可以导致入侵者获取信息并导致不正确的访问。数据驱动攻击,入侵者把一些具有破坏性的数据藏匿在普通数据中传送到互联网主机上,当这些数据被激活时就会发生数据驱动攻击。IP地址欺骗,一种突破防的火墙系统的常用方法。入侵者通过伪造的IP发送地址产生虚假的数据包,乔装成来自内部网络数据。在安全区域划分的基础上,通过一种网络安全设备,控制安全区域间的通信,就能实现隔离有害通信的作用,进而可以阻断网络攻击。这种安全设备的功能类似于防火使用的墙,因而人们就把这种安全设备俗称为“防火墙”,它一般安装在不同的安全区域边界处,用于网络通信安全控制,由专用硬件或软件系统组成。防火墙是由一些软、硬件组合而成的网络访问控制器,它根据一定的安全规则来控制流过防火墙的网络包,如禁止或转发,能够屏蔽被保护网络内部的信息、拓扑结构和运行状况,从而起到网络安全屏障的作用。防火墙一般用来将内部网络与Internet或者其他外部网络互相隔离,限制网络互访,保护内部网络的安全,如图所示。2.防火墙的安全策略防火墙部署安装示意图外部网络路由器防火墙内部网络防火墙根据网络包所提供的信息实现网络通信访问控制:如果网络通信包符合网络访问控制策略,就允许该网络通信包通过防火墙,否则不允许。防火墙的安全策略有两种类型,即:(1)只允许符合安全规则的包通过防火墙,其他通信包禁止。即除非明确允许,否则禁止。(2)禁止与安全规则相冲突的包通过防火墙,其他通信包都允许。即除非明确禁止,否则允许。图8-2防火墙工作示意图通信被禁止,因为不符合安全规则禁止允许外部网络到外网通信未知通信规定允许通信禁止允许访问指定的资源只有符合安全规则通信才允许通过允许通过通信流内部网络受到禁止通信流防火墙防火墙的发展简史防火墙发展史2.第二代防火墙——用户化的防火墙3.第三代防火墙——建立在通用操作系统上的防火墙4.第四代防火墙——具有安全操作系统的防火墙1.第一代防火墙——基于路由器的防火墙防火墙简单的可以用路由器、交换机实现,复杂的就要用一台计算机,甚至一组计算机实现。按照TCP/IP协议的层次,防火墙的访问控制可以作用于网络接口层、网络层、传输层、应用层,首先依据各层所包含的信息判断是否遵循安全规则,然后控制网络通信连接,如禁止、允许。防火墙简化了网络的安全管理。如果没有它,网络中的每个主机都处于直接受攻击的范围之内。为了保护主机的安全,就必须在每台主机上安装安全软件,并对每台主机都要定时检查和配置更新。6.1.2防火墙的功能与缺陷1.防火墙的基本功能包过滤这是防火墙的基本功能,现在的防火墙已经有最初的地址、端口判定控制,发展到判断通信报文协议头的各部分,以及通信协议的应用层命令、内容、用户特征、用户规则甚至状态监测等。将防火墙设置为只有预先被允许的服务和用户才能通过防火墙,禁止未授权的用户访问受保护的网络,降低被保护网络受非法攻击的风险。限制网络访问。防火墙只允许外部网络访问受保护网络的指定主机或网络服务,通常受保护网络中的Mail、FTP、服务器等可让外部网络访问,而其他类型的访问则予以禁止。防火墙也用来限制受保护网络中的主机访问外部网络的某些服务,例如某些不良网址。网络访问审计和预警。审计和预警是防火墙的在配置好相关参数后作出的丢弃、拒绝或接受的重要措施,防火墙的审计和预警机制在防火墙体系中很重要。防火墙是外部网络与受保护网络之间的惟一网络通道,可以记录所有通过它的访问并提供网络使用情况的统计数据。依据防火墙的日志,可以掌握网络的使用情况,例如网络通信带宽和访问外部网络的服务数据。防火墙的日志也可用于入侵检测和网络攻击取证。由于网络上的数据流量是比较大的,这里主要有两种解决方式:将日志挂接在内网的一台专门存放日志的服务器上;将日志直接存放在防火墙本身的服务器上。远程管理,管理界面一般完成对防火墙的配置、管理和监控等工作。管理界面的设计直接关系到防火墙的易用性和安全性。目前防火墙主要有两种远程管理界面:Web界面和GUI界面。NAT技术,该技术能够透明的对所有内部地址做转换,使外部网络无法了解内部网络的内部结构,同时使用NAT的网络与外部网络的连接只能有内部网络发起,这极大的提高了内部网络的安全性。同时NAT技术另外一个显著的用途是解决了IP地址匮乏的问题。代理透明代理,主要是在内网主机需要访问外网主机时,不需要做任何设置,完全意识不到防火墙的存在而完成内外网的通信,但其基本原理是防火墙截取内网主机与外网的通信,由防火墙本身完成与外网的通信,然后把结果传回给内网主机。传统代理,与透明代理类似,不同的是它需要在客户端设置代理服务器,代理可以实现较高的安全性,不足之处是响应缓慢。MAC与IP地址绑定,主要用于防止受控的内部用户通过更换IP地址访问外网,因其实现简单,内部只需要两个命令就可以实现,所以绝大多数防火墙都提供了该项功能。流量控制和统计分析、流量计费流量控制可以分为基于IP地址的控制和基于用户的控制。防火墙可以控制网络带宽的分配使用,实现部分网络质量服务(QoS)保障。流量统计是建立在流量控制基础之上的,一般防火墙对基于IP、服务、时间、协议等进行统计,并可以与管理界面实现挂接,实时或一统计报表的形式输出结果。URL级信息过滤通常是代理模块的一部分,许多防火墙将其功能单独的提取出来,但是实现是跟代理模块结合起来的。它用来控制内部网络对某些站点的访问,如禁止某些站点、禁止访问站点下的某些目录、只允许访问某些站点或其下目录等。2.防火墙缺陷尽管防火墙有许多防范功能,但它也有一些力不能及的地方,因为防火墙只能对通过它的网络通信包进行访问控制,所以对未经过它的网络通信就无能为力了。例如,如果允许从内部网络直接拨号访问外部网络,则防火墙就失效了,攻击者通过用户拨号连接直接访问内部网络,绕过防火墙控制,也能造成潜在的攻击途径。防火墙可以阻断攻击,但是不能消灭攻击源互联网上的病毒、木马、恶意试探等造成的攻击行为络绎不绝。如果防火墙的安全策略设置得当,就可以阻断这类攻击,但是不能够清除攻击源。防火墙不能抵抗最新的未设置策略的高级漏洞如同杀毒软件,总是先出现病毒,杀毒软件经过分析特征代码以后,将特征代码加入到特征库中才能给将其查杀。防火墙的各种策略也是在该攻击方式经过专家分析后给出其特征而设置的。也就是说防火墙的安全性具有滞后性。防火墙并发连接数限制容易导致拥塞或者溢出由于需要判断并处理流经防火墙的每一个数据包,所以防火墙在某些流量大,并发请求多的情况下,很容易造成拥塞,称为整个网络性能影响的瓶颈。而当防火墙溢出的时候,整个防线就如同虚设,原本被禁止的连接也能够通过。防火墙对服务器合法开放的端口的攻击大多无法阻止;攻击者利用服务器提供的服务进行缺陷攻击,由于这些行为在防火墙看来是“合理合法”的,因此会被误判。防火墙对待内部主动发起连接的攻击一般无法阻止外紧内松是一般局域网的特点,或许一道严密防守的防火墙内部网络是一片混乱的也是可能的,通过发送带有木马的URL等方式,然后由感染木马的主机主动对攻击者连接。另外防火墙对内部主机间的攻击行为,爱莫能助。防火墙本身也会出现问题和受到攻击防火墙也是一个OS,也有其硬件和如图案件系统,因此也就不可避免的会有BUG,其本身也会有软硬件方面的故障。防火墙不能防范人为因素的攻击;防火墙不能防止内奸或用户误操作造成的威胁,防火墙也不能防止用户由于口令泄露而遭受攻击。防火墙不能防止数据驱动式的攻击。有些表面看起来无害的数据通过邮件或复制到内部网的主机上被执行,就会发生数据驱动式攻击。如一种数据驱动式的攻击造成主机修改与系统安全有关的配置文件,从而使入侵者下次更加容易攻击该系统。除此之外,防火墙还有一些脆弱点,例如:*防火墙不能完全防止感染病毒的软件或文件传输。防火墙是网络通信的瓶颈,因为已有的病毒、操作系统以及加密和压缩二进制文件的种类太多,以致于不能指望防火墙逐个扫描每个文件查找病毒,而只能在每台主机上安装反病毒软件。*防火墙不能完全