信息安全技术之防火墙技术防火墙技术自我介绍自我介绍•启明星辰公司培训认证部孟雅辉•Mail:Meng_yahui@venustech.com.cnTCP/IP协议基础防火墙概述防火墙主要技术防火墙其它功能防火墙实用指导防火墙发展趋势防火墙TCP/IPTCP/IP简介简介••TCP/IPTCP/IP代表传输控制协议和网际协议,除了这两代表传输控制协议和网际协议,除了这两个重要协议外,还有许多相关的协议和工具,它个重要协议外,还有许多相关的协议和工具,它们组合在一起共同构成了们组合在一起共同构成了TCP/IPTCP/IP协议集(协议协议集(协议栈)。栈)。网络体系架构网络体系架构••ISO/OSIISO/OSI参考模型参考模型••TCP/IPTCP/IP参考模型参考模型物理层物理层数据链路层数据链路层网络层网络层传输层传输层会话层会话层表示层表示层应用层应用层网络接口层网络接口层(物理层)(物理层)网络层网络层传输层传输层应用层应用层TCP/IPTCP/IP协议栈协议栈ARPRARPICMPIPIGMPTCPUDPSNMPDNSTELNETSMTPHTTP应用层传输层网络层物理层用户数据经过协议栈的封装过程用户数据经过协议栈的封装过程IPIP协议协议•IP:是TCP/IP协议族中至关重要的组成部分,但它提供的是一种不可靠、无连接的的数据报传输服务。•不可靠(unreliable):不能保证一个IP数据报成功地到达其目的地。错误处理办法:扔掉该数据报,向其发送者传送一个ICMP消息。•无连接(connectionless):IP并不维护关于连续发送的数据报的任何状态信息。每个数据报单独处理,在传送过程中可能出现错序。MTUMTU•链路层封装的帧都有一个大小上的限度,即最大传输单元MTU.•取自RFC1191的一些典型的MTU,如果IP数据报大于链路层的MTU,将执行分段操作IPIP地址地址•在互联网中,通过IP层软件提供一种通用的地址格式,在统一管理下进行分配,确保一个地址对应一台主机。通称IP层所用的地址为互联网地址或IP地址。IPV4规定地址总长32比特,分为5类。特殊意义的特殊意义的IPIP地址地址•保留地址,只用于内部通信10.0.0.0-10.255.255.255172.16.0.0-172.31.255.255192.168.0.0-192.168.255.255•主机号全“0”全“1”的地址在TCP/IP协议中有特殊含义,不能用作一台主机的有效地址。网络地址:主机号所有位都为“0”的地址表示网络本身回送地址:127.xx.yy.zz保留做回路loopback)测试,大多数系统使用127.0.0.1ARPARP•在局域网中,现在用的最多的是以太网协议。每个以太网卡都有唯一的以太网物理地址。(也叫MAC地址)。ARP解决如何将MAC地址翻译成IP地址的问题。•ARP地址翻译通过查地址翻译表来实现的。ICMPICMP协议协议•InternetControlMessageProtocol,本身是IP的一部分–ICMP报文用于报告在传输报文的过程中发生的各种情况•在IP协议栈实现TCPTCP数据包格式数据包格式20字节UDPUDP数据包格式数据包格式TCPTCP连接的三次握手过程连接的三次握手过程TCPTCP的知名端口的知名端口•0保留•20FTP-data•21FTP-command•22SSH•23Telnet•25SMTP•53DNS•80•110POP3•139NetBIOSUDPUDP的知名端口的知名端口•0保留•49login•53DNS•69TFTP•80•110POP3•161SNMP•213IPX•2049NFSTCP/IP协议基础防火墙概述防火墙主要技术防火墙其它功能防火墙实用指导防火墙发展趋势防火墙防火墙的作用防火墙的类型防火墙发展历程防火墙相关术语防火墙设计结构防火墙相关标准防火墙概述一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同网络安全域网络安全域之间的一系列部之间的一系列部件的组合,它是不同网络安全域间通信流的件的组合,它是不同网络安全域间通信流的唯一通道唯一通道,能根据,能根据企业有关的安全政策企业有关的安全政策控制控制(允许、拒绝、监视、记录)进出网(允许、拒绝、监视、记录)进出网络的访问行为。络的访问行为。防火墙定义防火墙作用–过滤进出网络的数据包–管理进出网络的访问行为–封堵某些禁止的访问行为–记录通过防火墙的信息内容和活动–对网络攻击进行告警防火墙的作用防火墙的类型防火墙发展历程防火墙相关术语防火墙设计结构防火墙相关标准防火墙概述InternetInternet软件防火墙软件防火墙硬件防火墙硬件防火墙按形态分类按形态分类按保护对象分类按保护对象分类InternetInternet保护整个网络保护整个网络保护单台主保护单台主机机网络防火墙网络防火墙单机防火墙单机防火墙防火墙的分类防火墙的分类InternetInternetInternetInternet硬件防火墙硬件防火墙软件防火墙软件防火墙1.仅获得Firewall软件,需要准备额外的OS平台2.安全性依赖低层的OS3.网络适应性弱(主要以路由模式工作)4.稳定性高5.软件分发、升级比较方便1.硬件+软件,不用准备额外的OS平台2.安全性完全取决于专用的OS3.网络适应性强(支持多种接入模式)4.稳定性较高5.升级、更新不太灵活软件防火墙软件防火墙&&硬件防火墙硬件防火墙InternetInternet单机防火墙单机防火墙网络防火墙网络防火墙1.保护单台主机2.安全策略分散3.安全功能简单4.普通用户维护5.安全隐患较大6.策略设置灵活1.保护整个网络2.安全策略集中3.安全功能复杂多样4.专业管理员维护5.安全隐患小6.策略设置复杂单机防火墙单机防火墙&&网络防火墙网络防火墙防火墙的作用防火墙的类型防火墙发展历程防火墙相关术语防火墙设计结构防火墙相关标准防火墙概述防火墙厂家具有操作系统的源代码,并可实现安全内核去掉了不必要的系统特性、加固内核、强化安全保护在功能上包括了分组过滤、应用网关、电路级网关增加了许多附加的功能:加密、鉴别、地址转换、LB、HA等透明性好、易用性好基于路由器防火墙具有自主安全操作系统的防火墙基于通用操作系统的防火墙zz利用路由器本身的分组过滤功能,进行分组过滤z过滤依据:地址、端口号、IP旗标及其它网络特征z防火墙与路由器是一体,只有过滤功能z防火墙安全性不高批量上市的专用防火墙包括分组过滤或借用路由器的分组过滤功能兼有专用代理系统、监控所有协议的数据和指令保护用户编程空间和用户可配置内核参数的设置安全性高、速度快的特点套件式防火墙z将过滤功能从路由器中独立出来,并加上审计和报警功能z针对用户需求提供模块化的软件包z软件可通过网络发送用户可根据需要构造防火墙z与第一代防火墙相比,安全性提高了,价格降低了防火墙的发展历程防火墙的发展历程防火墙出现背景防火墙的作用防火墙的类型防火墙发展历程防火墙相关术语防火墙设计结构防火墙相关标准防火墙概述防火墙术语–主机–保垒主机–双宿主机–数据包过滤–屏蔽路由器–屏蔽主机–屏蔽子网–代理服务器防火墙的作用防火墙的类型防火墙发展历程防火墙相关术语防火墙设计结构防火墙相关标准防火墙概述••筛选路由器筛选路由器••双双((多多))宿主主机宿主主机••被屏蔽主机被屏蔽主机••被屏蔽子网被屏蔽子网防火墙构造体系防火墙构造体系内部网络外部网络包过滤器进行包过滤筛选路由器筛选路由器内部网络外部网络禁止内外网络之间直接通信禁止内外网络之间直接通信双宿主主机通过应用代理通过应用代理通过登陆到双宿主主机上获得服务通过登陆到双宿主主机上获得服务缺点:如何保护双宿主缺点:如何保护双宿主主机本身的安全主机本身的安全所有的通信必须经过双宿主主机所有的通信必须经过双宿主主机双双((多多))宿主主机宿主主机堡垒主机进行规则配置,只允许外部主机与堡垒主机通讯互联网互联网对内部其他主机的访问必须经过堡垒主机缺点:堡垒主机与其他主机在同一个子网一旦堡垒主机被攻破或被越过,整个内网和堡垒主机之间就再也没有任何阻挡。不允许外部主机直接访问除堡垒主机之外的其他主机过滤路由器被屏蔽主机被屏蔽主机内部网络外部网络堡垒主机禁止内外网络直接进行通讯内外部网络之间的通信都经过堡垒主机被屏蔽子网被屏蔽子网内部筛选路由器外部筛选路由器防火墙的作用防火墙的类型防火墙发展历程防火墙相关术语防火墙设计结构防火墙相关标准防火墙概述GB/T18019GB/T18019--19991999信息技术包过滤防火墙安全技术要求信息技术包过滤防火墙安全技术要求GB/T18020GB/T18020--19991999信息技术应用级防火墙安全技术要求信息技术应用级防火墙安全技术要求GB/T18336GB/T18336--20012001信息技术安全性评估准则信息技术安全性评估准则GB/T17900GB/T17900--19991999网络代理服务器的安全技术要求网络代理服务器的安全技术要求GB/T18018GB/T18018--19991999路由器安全技术要求路由器安全技术要求防火墙执行标准防火墙执行标准防火墙的作用防火墙的类型防火墙发展历程防火墙相关术语防火墙设计结构防火墙相关标准防火墙概述TCP/IP协议基础防火墙概述防火墙主要技术防火墙其它功能防火墙实用指导防火墙发展趋势防火墙简单包过滤技术状态检测技术应用代理技术复合技术防火墙核心技术简单包过滤防火墙原理•根据流经防火墙的数据包头信息,决定是否允许该数据包通过•创建包过滤规则–打算提供何种网络服务,并以什么方向提供这些服务?–需要限制任何内部主机与因特网连接的能力吗?–因特网上是否有可信任的主机,可以某种形式访问内部网络吗?用来生成规则的信息•判断依据有:–数据包协议类型:TCP、UDP、ICMP、IGMP等–源、目的IP地址–源、目的端口:FTP、HTTP、DNS等–IP选项:源路由选项等–TCP选项:SYN、ACK、FIN、RST等–其它协议选项:ICMPECHO、ICMPECHOREPLY等–数据包流向:in或out–数据包流经网络接口:eth0、eth1应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层物理层数据链路层网络层应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层外部网络主机内部网络主机分组过滤型防火墙分组过滤防火墙应用示例简单包过滤技术的优缺点•缺点–不能防范部分的黑客IP欺骗类攻击。–不支持应用层协议–不能处理新的安全威胁简单包过滤技术状态检测技术应用代理技术复合型技术防火墙核心技术状态检测技术介绍•最早源自Checkpoint一项称为“StatefulInspection”的技术又称动态包过滤防火墙•检测原理–对于新建立的应用连接,状态检测型防火墙先检查预先设置的安全规则,允许符合规则的连接通过,并记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要是符合状态表,就可以通过。•目前的状态检测技术仅可用于TCP/IP网络。•分析高层协议状态检测技术工作原理图1状态检测状态检测防火墙的工作原理防火墙的工作原理状态检测技术优特点•优点–提供了完整的对传输层的控制能力。–使防火墙性能得到较大的提高,特别是大流量的处理能力;–它根据从所有应用层中提取的与状态相关信息来做出安全决策,使得安全性也得到进一步的提高。任何一款高性能的防火墙,都会采用状态检测技术。简单包过滤防火墙状态检测包过滤防火墙应用代理防火墙复合型防火墙防火墙核心技术优点:安全性高提供应用层的安全缺点:性能差伸缩性差只支持有限的应用不透明应用代理技术介绍应用代理技术介绍应用代理应用代理防火墙的工作原理防火墙的工作原理应用代理应用代理防火墙的工作原理防火墙的工作原理外部Telnet服务器内部Telnet服务器日志系统Telnet代理FTP代理