第九章防火墙

第九章防火墙防火墙基础什么是防火墙？建立在内外网络边界上的过滤封锁机制，作用是用于确定哪些内部服务允许外部访问，以及允许哪些外部服务访问内部服务，通过边界控制强化内部网络的安全政策。内部网络防火墙为什么需要防火墙所有软件都是有错的通常情况下99.99%无错的程序很少会出问题同安全相关的99.99%无错的程序可以确信会被人利用那0.01%的错误0.01%安全问题等于100%的失败WhySecurityisHarderthanitLooks内部网特点组成结构复杂各节点通常自主管理信任边界复杂，缺乏有效管理有显著的内外区别机构有整体的安全需求最薄弱环节原则为什么需要防火墙保护内部不受来自Internet的攻击为了创建安全域为了增强机构安全策略对防火墙的两大需求保障内部网安全保证内部网同外部网的连通防火墙功能(1)过滤进出网络的数据包(2)管理进出网络的访问行为(3)封堵某些禁止的访问行为(4)记录通过防火墙的信息内容和活动(5)对网络攻击进行检测和告警默认安全策略没有明确禁止的行为都是允许的没有明确允许的行为都是禁止的防火墙主要实现技术数据包过滤静态包过滤动态包过滤（状态检查技术）应用层网关代理服务（电路层网关）网络地址转换静态包过滤根据流经该设备的数据包地址信息，决定是否允许该数据包通过判断依据有(只考虑IP包)：数据包协议类型：TCP(6)、UDP(17)、ICMP(1)、IGMP(2)等源、目的IP地址源、目的端口：FTP(data20/control21)、HTTP(80)、DNS(53)等IP选项：源路由、记录路由等TCP选项：SYN、ACK、FIN、RST等其它协议选项：ICMPECHO、ICMPECHOREPLY等数据包流向：in或out数据包流经网络接口：eth0、eth1动态包过滤Checkpoint一项称为“StatefulInspection”的技术可动态生成/删除规则分析高层协议应用层网关模型工作在应用层，针对特定的协议代理。外部主机内部主机代理客户机应用层网关代理服务器被代理截获的客户机和服务器之间的通信有全部的控制权优缺点网关理解应用协议，可以实施更细粒度的访问控制对每一类应用，都需要一个专门的代理灵活性不够地址转换地址转换（NAT）主要用于两个方面：网络管理员希望隐藏内部网络结构；解决IP地址不够的问题。方式M-1：多个内部网地址翻译到1个IP地址1-1：简单的地址翻译M-N：多个内部网地址翻译到N个IP地址池来源IP地址来源端口变更后的来源IP地址变更后的来源端口192.168.0.102222203.12.23.348061.11.22.333333203.12.23.3480192.168.0.10222261.11.22.333333203.12.23.348061.11.22.333333203.12.23.3480192.168.0.102222NAT运行的基本过程，就是执行IP地址与端口的转换工作，通过下表介绍工作原理（计算机通过NAT服务器访问Web服务器的过程）：内部网源IP包源地址目的地址192.168.3.153Sina.com.cn源地址目的地址Sina.com.cn192.168.3.153源地址目的地址Sina.com.cn222.18.1.23源地址目的地址222.18.1.23Sina.com.cn外部网NAT回应的包NAT原理防火墙体系结构双重宿主主机模式(dual-homed)被屏蔽主机模式屏蔽子网模式双重宿主主机体系内部网络Internet堡垒主机防火墙最少服务最小特权包过滤路由器在网络之间完成数据包转发的普通路由功能，并利用包过滤规则来允许或拒绝数据包。一般情况下，是这样来定义过滤规则的：内部网络上的主机可以直接访问Internet，Internet上的主机对内部网络上的主机进行访问是有限制的。这种类型的防火墙系统的外部姿态是对没有特别允许的数据包都拒绝。优点：价格低、易于使用。缺点：配置不当的路由器可能受到攻击。利用将攻击包裹在允许服务和系统内进行攻击。由于允许在内部和外部系统之间直接交换数据包，那么攻击面可能会扩展到所有主机和路由器所允许的全部服务上。这就意味着可以从Internet上直接访问的主机要支持复杂的用户认证，并且网络管理员要不断地检查网络以确定网络是否受到攻击。另外，如果有一个包过滤路由器被渗透，内部网络上的所有系统都可能会受到损害。被屏蔽主机体系内部网络Internet防火墙堡垒主机屏蔽路由器实现了网络层安全（包过滤）和应用层安全（代理服务）。堡垒主机配置在内部网络上，而包过滤路由器则放置在内部网络和Internet之间。路由器规则配置：外到内——外部系统只能访问堡垒主机，去往内部系统上其它主机的信息全部被阻塞。内到外——只接受来自堡垒主机的内部数据包，强制内部用户使用代理服务。优点——提供公开的信息服务的服务器，如Web，FTP等，可以放置在由包过滤路由器和堡垒主机共用的网段上。如果要求有特别高的安全特性，可以让堡垒主机运行代理服务，使得内部和外部用户在与信息服务器通信之前，必须先访问堡垒主机。如果较低的安全等级已经足够，则将路由器配置让外部用户直接去访问公共的信息服务器。风险——由于堡垒主机是唯一能从Internet上直接访问的内部系统，所以有可能受到攻击的主机就只有堡垒主机本身。但是，如果允许用户注册到堡垒主机，那么整个内部网络上的主机都会受到攻击的威胁。这是因为，对于入侵者来说，如果允许注册，破坏堡垒主机相对比较容易。被屏蔽子网体系功能：添加虚拟子网更进一步把内部网络与外部网络隔开。三层保护机制（外部路由器、堡垒主机、内部路由器）。Internet周边网络内部网络内部路由器外部路由器堡垒主机防火墙DMZ区解决了单点失效的问题。这是最安全的防火墙系统，因为在定义了“非军事区”（DMZ）网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机，信息服务器，Modem组，以及其它公用服务器放在DMZ网络中。DMZ网络很小，处于Internet和内部网络之间。在一般情况下对DMZ配置成使用Internet和内部网络系统能够访问DMZ网络上数目有限的系统，而通过DMZ网络直接进行信息传输是严格禁止的。外到内——外部路由器用于防范通常的外部攻击（如源地址欺骗和源路由攻击），并管理Internet到DMZ网络的访问。它只允许外部系统访问堡垒主机（还可能有信息服务器）。内部路由器提供第二层防御，只接受源于堡垒主机的数据包，负责的是管理DMZ到内部网络的访问。内到外——内部路由器管理内部网络到DMZ网络的访问。它允许内部系统只访问堡垒主机（还可能有信息服务器）。外部路由器上的过滤规则要求使用代理服务（只接受来自堡垒主机的去往Internet的数据包）。部署屏蔽子网防火墙系统有如下几个特别的好处：入侵者必须突破3个不同的设备（夫法探测）才能侵袭内部网络：外部路由器，堡垒主机，还有内部路由器。由于外部路由器只能向Internet通告DMZ网络的存在，Internet上的系统不需要有路由器与内部网络相对。这样网络管理员就可以保证内部网络是“不可见”的，并且只有在DMZ网络上选定的系统才对Internet开放（通过路由表和DNS信息交换）。由于内部路由器只向内部网络通告DMZ网络的存在，内部网络上的系统不能直接通往Internet，这样就保证了内部网络上的用户必须通过驻留在堡垒主机上的代理服务才能访问Internet。包过滤路由器直接将数据引向DMZ网络上所指定的系统，消除了堡垒主机双宿的必要。内部路由器在作为内部网络和Internet之间最后的防火墙系统时，能够支持比双宿堡垒主机更大的数据包吞吐量。由于DMZ网络是一个与内部网络不同的网络，NAT（网络地址变换）可以安装在堡垒主机上，从而避免在内部网络上重新编址或重新划分子网。常见防火墙产品企业级防火墙CheckPointFirewallAXENTRaptorCiscoPIXFirewall个人防火墙天网防火墙BlackIce蓝盾防火墙个人版