搜索
第5章访问控制与防火墙2本章概要本章针对访问控制和防火墙技术展开详尽的描述:防火墙的分类;防火墙的工作原理;防火墙的不足;防火墙的部署方式。3课程目标通过本章的学习,读者应能够:了解访问控制与防火墙的基本原理;防火墙的部署方式;主流防火墙产品。45.1网络防火墙的基本概念防火墙是一种高级访问控制设备,是在被保护网和外网之间执行访问控制策略的一种或一系列部件的组合,是不同网络安全域间通信流的通道,能根据企业有关安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。它是网络的第一道防线,也是当前防止网络系统被人恶意破坏的一个主要网络安全设备。它本质上是一种保护装置,在两个网之间构筑了一个保护层。所有进出此保护网的传播信息都必须经过此保护层,并在此接受检查和连接,只有授权的通信才允许通过,从而使被保护网和外部网在一定意义下隔离,防止非法入侵和破坏行为。图1网络拓扑图不可信的网络及服务器可信任的网络防火墙路由器InternetIntranet供外部访问的服务及资源可信任的用户不可信的用户DMZ5防火墙的主要技术应用层代理技术(ApplicationProxy)包过滤技术(PacketFiltering)状态包过滤技术(StatefulPacketFiltering)应用层表示层会话层传输层网络层数据链路层物理层防火墙的主要技术种类65.2.1包过滤技术包过滤技术的基本概念包过滤技术指在网络中适当的位置对数据包有选择的通过,选择的依据是系统内设置的过滤规则,只有满足过滤规则的数据包才被转发到相应的网络接口,其余数据包则从数据流中删除。包过滤一般由屏蔽路由器来完成。屏蔽路由器也称过滤路由器,是一种可以根据过滤规则对数据包进行阻塞和转发的路由器。7包过滤技术的基本概念包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。图3防火墙示意图8•包过滤技术包过滤技术是防火墙最常用的技术。对一个充满危险的网络,这种方法可以阻塞某些主机或网络连入内部网络,也可以限制内部人员对一些危险和色情站点的访问。图4包过滤技术概念数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包数据TCP报头IP报头分组过滤判断信息企业内部网屏蔽路由器UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource控制策略9包过滤的优点和不足包过滤技术具有以下优点:用户透明;传输性能高;成本较低。同样,包过滤技术也存在着以下几方面的不足:该技术是安防强度最弱的防火墙技术;虽然有一些维护工具,但维护起来十分困难;IP包的源地址、目的地址、TCP端口号是唯一可以用于判断是否包允许通过的信息;10只能阻止一种类型的地址欺骗,即外部主机伪装内部主机的IP,而对外部主机伪装其他外部主机的IP却不能阻止,另外不能防止DNS欺骗;如果外部用户被允许访问内部主机,则他就可以直接访问内部网络上的任何主机。115.2.2状态包检测技术状态包检测技术是包过滤技术的延伸,常被称为“动态包过滤”,是一种与包过滤相类似但更为有效的安全控制方法。对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。适合网络流量大的环境。状态包检测技术有以下主要特点:a.高安全性:工作在数据链路层和网络层之间,确保截取和检测所有通过网络的原始数据包。虽然工作在协议栈的较低层,但可以监视所有应用层的数据包,从中提取有用的信息,安全性得到较大提高。12b.高效性:一方面,通过防火墙的数据包都在协议栈的较低层处理,减少了高层协议栈的开销;另一方面,由于不需要对每个数据包进行规则检查,从而使得性能得到了较大提高。C.可伸缩和易扩展:由于状态表是动态的,当有一个新的应用时,它能动态的产生新的规则,而无需另外写代码,因而具有很好的可伸缩和易扩展。d.应用范围广:不仅支持基于TCP的应用,而且支持基于无连接协议的应用。135.2.3代理服务技术代理(Proxy)服务技术又称为应用层网关(Applicationgateway)技术,是运行于内部网络与外部网络之间的主机(堡垒主机)之上的一种应用。当用户需要访问代理服务器另一侧主机时,对符合安全规则的连接,代理服务器将代替主机响应,并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后,内部主机同外部主机之间的通信将通过代理程序将相应连接映射来实现。141.代理服务技术的优点a.代理放火墙的最大好处是透明性。对用户来说,代理服务器提供了一个“用户正在与目标服务器直接打交道”的假象;对目标服务器来说,代理服务器提供了一个“目标服务器正在与用户的主机系统直接打交道”的假象。b.由于代理机制完全阻断了内部网络与外部网络的直接联系,保证了内部网络拓扑结构等重要信息被限制在代理网关内侧,不会外泄,从而减少了黑客攻击时所需的必要信息。15c.通过代理访问Internet可以隐藏真实IP地址,同时解决合法IP地址不够用的问题。因为Internet见到的只是代理服务器的地址,内部不合法的IP地址可以通过代理访问Internet。d.用于应用层的过滤规则相对于包过滤路由器来说更容易配置和测试。e.应用层网关有能力支持可靠的拥护认证并提供详细的注册信息。代理工作在客户机和真实服务器之间,可提供很详细的日志和安全审计功能。162.代理服务技术的不足a.有限的连接:某种代理服务器只能用于某种特定的服务,如FTP服务器提供FTP服务,Telnet服务器提供Telnet服务,所能提供的服务和可伸缩性是有限的。所以代理服务器主要应用于安防要求较高但网络流量不太大的环境。b.有限的技术:代理服务器不能为RPC、Talk和其他一些基于通用协议簇的服务提供代理。17c.有限的性能:处理性能远不及状态包检测技术高。d.有限的应用:代理服务器的应用也受到诸多限制。首先是当一项新的应用加入时,如果代理服务程序不予支持,则此应用不能使用。解决的方法之一是自行编制特定服务的代理服务程序,但工作量大,而且技术水平要求很高。185.3防火墙的功能利用防火墙保护内部网主要有以下几个主要功能:控制对网点的访问和封锁网点信息的泄露防火墙可看作检查点,所有进出的信息都必须穿过它,为网络安全起把关作用,有效地阻挡外来的攻击,对进出的数据进行监视,只允许授权的通信通过;保护网络中脆弱的服务。能限制被保护子网的泄露为防止影响一个网段的问题穿过整个网络传播,防火墙可隔离网络的一个网段和另一个网段,从而限制了局部网络安全问题对整个网络的影响。19具有审计作用防火墙能有效地记录Internet网的活动,因为所有传输的信息都必须穿过防火墙,防火墙能帮助记录有关内部网和外部网的互访信息和入侵者的任何企图。能强制安全策略Internt网上的许多服务是不安全的,防火墙是这些服务的“交通警察”,它执行站点的安全策略,仅仅允许“认可”和符合规则的服务通过。此外,防火墙还具有其他一些优点,如:监视网络的安全并产生报警;保密性好,强化私有权;提供加密和解密及便于网络实施密钥管理的能力。205.4防火墙的不足虽然网络防火墙在网络安全中起着不可替代的作用,但它不是万能的,有其自身的弱点,主要表现在:防火墙不能防备病毒虽然防火墙扫描所有通过的信息,但扫描多半是针对源与目标地址以及端口号,而并非数据细节,有太多类型的病毒和太多种方法可使病毒在数据中隐藏,防火墙在病毒的防范上是不适用的。防火墙对不通过它的连接无能为力虽然防火墙能有效的控制所有通过它的信息,但对从网络后门及调制解调器拨人的访问则无能为力。21防火墙不能防备内部人员的攻击目前防火墙只提供对外部网络用户攻击的防护,对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性。所以,如果入侵者来自防火墙的内部,防火墙则无能为力。限制有用的网络服务防火墙为了提高被保护网络的安全性,限制或关闭了很多有用但存在安全缺陷的网络服务。由于多数网络服务在设计之初根本没有考虑安全性,所以都存在安全问题。防火墙限制这些网络服务等于从一个极端走向了另一个极端。22防火墙不能防备新的网络安全问题防火墙是一种被动式的防护手段,只能对现在已知的网络威胁起作用。随着网络攻击手段的不断更新和新的网络应用的出现,不可能靠一次性的防火墙设置来解决永远的网络安全问题。235.5防火墙的体系结构防火墙可以设置成许多不同的结构,并提供不同级别的安全,而维护和运行的费用也不同。防火墙有多种分类方式。下面介绍四种常用的体系结构:筛选路由器、双网主机式体系结构~屏蔽主机式体系结构和屏蔽子网式体系结构。在介绍之前,先了解几个相关的基本概念:堡垒主机:高度暴露于Internet并且是网络中最容易受到侵害的主机。它是防火墙体系的大无畏者,把敌人的火力吸引到自己身上,从而达到保护其他主机的目的。堡垒主机的设计思想是检测点原则,把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其他主机的安全。堡垒主机必须有严格的安防系统,因其最容易遭到攻击。24屏蔽主机:被放置到屏蔽路由器后面网络上的主机称为屏蔽主机,该主机能被访问的程度取决于路由器的屏蔽规则。屏蔽子网:位于屏蔽路由器后面的子网,子网能被访问的程度取决于路由器的屏蔽规则。筛选路由式体系结构这种体系结构极为简单,路由器作为内部网和外部网的唯一过滤设备,如下图所示。25防火墙的体系结构内部网外部网筛选路由器式体系结构包过滤筛选路由器26双网主机式体系结构这种体系结构有一主机专门被用作内部网和外部网的分界线。该主机里插有两块网卡,分别连接到两个网络。防火墙里面的系统可以与这台双网主机进行通信,防火墙外面的系统(Internet上的系统)也可以与这台双网主机进行通信,但防火墙两边的系统之间不能直接进行通信。另外,使用此结构,必须关闭双网主机上的路由分配功能,这样就不会通过软件把两个网络连接在一起了。图6双网主机式体系结构内部网外部网双网主机27屏蔽主机式体系结构此类型的防火墙强迫所有的外部主机与一个堡垒主机相连接,而不让它们直接与内部主机相连。下图中的屏蔽路由器实现了把所有外部到内部的连接都路由到了堡垒主机上。堡垒主机位于内部网络,屏蔽路由器联接Internet和内部网络,构成防火墙的第一道防线。(参见下页图7)图7屏蔽主机式体系结构28防火墙的体系结构屏蔽主机式体系结构Internet堡垒主机防火墙屏蔽路由器29屏蔽路由器必须进行适当的配置,使所有外部到内部的连接都路由到了堡垒主机上,并且实现外部到内部的主动连接。此类型防火墙的安全级别较高,因为它实现了网络层安全(屏蔽路由器——包过滤)和应用层安全(堡垒主机——代理服务)。入侵者在破坏内部网络的安全性之前,必须首先渗透两种不同的安全系统。即使入侵了内部网络,也必须和堡垒主机相竞争,而堡垒主机是安全性很高的机器,主机上没有任何入侵者可以利用的工具,不能作为黑客进一步入侵的基地。此类型防火墙中屏蔽路由器的配置十分重要,如果路由表遭到破坏,则数据包不会路由到堡垒主机上,使堡垒主机被越过。30屏蔽子网(ScreenedSubNet)式体系结构这种体系结构本质上与屏蔽主机体系结构一样,但是增加了一层保护体系——周边网络,而堡垒主机位于周边网络上,周边网络和内部网络被内部屏蔽路由器分开。由前可知,当堡垒主机被人侵之后,整个内部网络就处于危险之中,堡垒主机是最易受侵袭的,虽然其很坚固,不易被入侵者控制,但万一被控制,仍有可能侵袭内部网络。如果采用了屏蔽子网(ScreenedSubNet)式体系结构,入侵者将不能直接侵袭内部网络,因为内部网络受到了内部屏蔽路由器的保护。屏蔽子网式体系结构如下图所示。图8屏蔽子网式体系结构31防火墙的体系结构屏蔽子网式体系结构Internet堡垒