搜索
第10章防火墙技术目录10.2防火墙类型210.3防火墙的主要应用310.4防火墙安全应用实验410.1防火墙概述110.5本章小结5上海市精品课程网络安全技术教学目标●掌握防火墙的概念●掌握防火墙的功能●了解防火墙的不同分类●掌握SYNFlood攻击的方式●掌握用防火墙阻止SYNFlood攻击的方法重点重点教学目标上海市精品课程网络安全技术10.1.1防火墙的概念防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。10.1.1防火墙的概念根据已经设置好的安全规则,防火墙决定是允许(allow)或者拒绝(deny)内部网络和外部网络的连接10.1.2防火墙的功能防火墙的功能建立一个集中的监视点隔绝内、外网络,保护内部网络强化网络安全策略对网络存取和访问进行监控审计实现网络地址变换的理想平台10.1.3防火墙的主要优点(1)防火墙能强化安全策略每时每刻在Internet上都有上百万人在收集信息、交换信息,防火墙执行站点的安全策略,仅仅容许认可的和符合规则的请求通过。(2)防火墙能有效地记录Internet上的活动因为所有进出信息都必须通过防火墙,所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为唯一的访问点,防火墙能在被保护的网络和外部网络之间进行记录(3)防火墙限制暴露用户点防火墙能够用来隔开网络中一个网段与另一个网段。这样,能够防止影响一个网段的问题通过整个网络传播。(4)防火墙是一个安全策略的检查站所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。10.1.4防火墙的主要缺陷与不足防火墙的主要缺陷与不足不能防范恶意的知情者不能防范不通过它的连接不能防御全部的威胁防火墙不能防范病毒讨论思考(1)什么是防火墙?现实生活中有没有类似于防火墙功能的生活现象?(2)使用防火墙构建企业网络体系后,管理员是否可以高枕无忧?(3)能够提出一种思路,来快速响应网络攻击行为?10.2防火墙类型按照软硬件形式分类软件防火墙硬件防火墙芯片级防火墙按照技术分类包过滤防火墙应用代理防火墙应用网关防火墙电路级防火墙状态检测防火墙包过滤防火墙包过滤设备通常是根据IP、TCP或UDP包头信息如源地址、目的地址和端口号、协议类型等标志来确定是否允许数据包通过。包过滤防火墙-静态无状态数据包过滤也常被称作是第一代静态包过滤类型防火墙。无状态数据包过滤在做出是否丢弃一个数据包的决定时,并不关心连接的状态。但是无状态数据包过滤在需要完全阻塞从子网络和其他网络过来的通信时非常有用,并且数据包转发速度极快。过滤方法是建立规则集,这包含如下六个方面:①按IP数据包报头标准过滤②按照TCP或UDP端口号过滤③按照ICMP消息类型过滤④按段标记过滤⑤按ACK标记过滤⑥可疑的入站数据包的过滤包过滤防火墙-动态动态包过滤动态包过滤试图将数据包的上下文联系起来,建立一种基于状态的包过滤机制。对于新建的应用连接,防火墙检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,这些相关信息构成一个状态表。这样,当一个新的数据包到达,如果属于已经建立的连接,则检查状态表,参考数据流上下文决定当前数据包通过与否;如果是新建连接,则检查静态规则表。动态包过滤通过在内存中动态地建立和维护一个状态表,数据包到达时,对该数据包的处理方式将综合静态安全规则和数据包所处的状态进行。克服了传统包过滤仅仅孤立的检查单个数据包和安全规则静态不可变的缺陷,使得防火墙的安全控制力度更为细致包过滤防火墙-其他技术深度包检测深入检测数据包有效载荷,执行基于应用层的内容过滤,以此提高系统应用防御能力。应用防御的技术问题主要包括:①需要对有效载荷知道得更清楚;②也需要高速检查它的能力。流过滤技术以状态包过滤的形态实现应用层的保护能力;通过内嵌的专门实现的TCP/IP协议栈,实现了透明的应用信息过滤机制。流过滤技术的关键在于其架构中的专用TCP/IP协议栈,这个协议栈是一个标准的TCP协议的实现,依据TCP协议的定义对出入防火墙的数据包进行了完整的重组,重组后的数据流交给应用层过滤逻辑进行过滤,从而可以有效地识别并拦截应用层的攻击企图。应用代理防火墙应用代理型防火墙是工作在OSI的应用层。特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用控制策略安全区域查找对应的策略数据IP报头TCP报头分组过滤判断数据包Internet应用代理分析数据拆包检查第一代应用网关型防火墙从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙,它的核心技术就是代理服务器技术。表示层传输层应用层物理层会话层网络层数据链路层表示层传输层应用层物理层会话层网络层数据链路层表示层传输层应用层物理层会话层网络层数据链路层内网外网第二代自适应代理型防火墙结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上,组成这种类型防火墙的基本要素有两个:自适应代理服务器与动态包过滤器。表示层传输层应用层物理层会话层网络层数据链路层表示层传输层应用层物理层会话层网络层数据链路层表示层传输层应用层物理层会话层网络层数据链路层内网外网应用网关防火墙应用网关防火墙的是通过打破传统的客户机/服务器模式实现的,可伸缩性较差。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须要添加针对此应用的服务程序,否则不能用该服务。Internet应用级网关HTTPFTPTelnetSMTPIntranet外连接内连接电路级防火墙电路级防火墙通过在TCP三次握手建立连接的过程中,检查双方的SYN、ACK和序号是否合乎逻辑来判断该请求的会话是否合法。一旦防火墙认为该会话是合法的,就为双方建立连接并维护一张合法会话连接表,当会话信息与表中的条目匹配时才允许数据通过。会话结束后,表中相应的条目就被删除。Internet电路级防火墙Intranet外连接内连接OutOutOutInInIn状态检测防火墙当用户访问请求到达防火墙时,状态检测器要抽取有关的数据进行分析,结合网络配置和安全规定完成接纳拒绝身份认证报警或加密等处理动作。防火墙根据IP包头的信息与安全策略来决定是否转发IP包。通常的包过滤机制在接到每一个IP包时,IP包是被单独匹配和检查的。建立连接项将数据包转发给接口更新对话表日志记录丢弃数据包更新对话表给源主机发送ICMP消息数据包到达防火墙接口是否属于一个已存在的连接?内容是否符合规则集?规则集是否允许数据包内容通过YYNNNY10.2防火墙类型-按体系结构双重宿主主机体系结构Internet双重宿主主机防火墙内部服务器工作站工作站10.2防火墙类型-按体系结构被屏蔽主机体系结构防火墙Internet堡垒主机Internet10.2防火墙类型-按体系结构被屏蔽子网体系结构屏蔽子网内部网外部网过滤路由器过滤路由器应用级网关堡垒主机DMZ10.2防火墙类型-按体系结构云火墙云火墙”是目前最新的一种防火墙形式,它的基础是“云计算”、“云安全”。思科公司把云安全和防火墙结合到了一起,提出了“云火墙”的概念云火墙具有以下特点:基于SensorBase动态更新策略利用IPS(IntrusionPreventionSystem,入侵防御系统)模块建立信誉的关联协作提供虚拟云端的移动安全接入讨论思考(1)软件防火墙、硬件防火墙和芯片防火墙的主要区别是什么?(2)包过滤防火墙工作在OSI模型的哪一层?(3)应用代理防火墙为什么比包过滤防火墙的性能要好?(4)什么是DMZ(隔离区)?有什么作用?10.3防火墙的主要应用企业网络体系结构边界网络:此网络通过路由器直接面向Internet,应该以基本网络通信筛选的形式提供初始层面的保护。路由器通过外围防火墙将数据一直提供到外围网络。外围网络:此网络通常称为DMZ或者边缘网络,它将外来用户与Web服务器或其他服务链接起来。然后,Web服务器将通过内部防火墙链接到内部网络。内部网络:内部网络则链接各个内部服务器(如SQLServer)和内部用户。10.3.2内部防火墙系统应用内部防火墙规则①默认情况下,阻止所有数据包。②在外围接口上,阻止看起来好像来自内部IP地址的传入数据包,以阻止欺骗。③在内部接口上,阻止看起来好像来自外部IP地址的传出数据包以限制内部攻击。④允许从内部DNS服务器到DNS解析程序堡垒主机的基于UDP的查询和响应。⑤允许从DNS解析程序堡垒主机到内部DNS服务器的基于UDP的查询和响应。⑥允许从内部DNS服务器到DNS解析程序堡垒主机的基于TCP的查询,包括对这些查询的响应。⑦允许从DNS解析程序堡垒主机到内部DNS服务器的基于TCP的查询,包括对这些查询的响应。⑧允许从内部SMTP邮件服务器到出站SMTP堡垒主机的传出邮件。⑨允许从入站SMTP堡垒主机到内部SMTP邮件服务器的传入邮件。⑩允许来自VPN服务器上后端的通信到达内部主机并且允许响应返回到VPN服务器。⑪允许验证通信到达内部网络上的RADUIS服务器并且允许响应返回到VPN服务器。⑫来自内部客户端的所有出站Web访问将通过代理服务器,并且响应将返回客户端。⑬在所有连接的网段之间路由通信,而不使用网络地址转换。内部防火墙的可用性单一防火墙容错防火墙外围防火墙系统设计外围防火墙的目的是为保护企业基础结构不受来自Internet的不安全网络流量威胁而设计的防火墙解决方案。外围防火墙部署位置如前图10-13所示,入侵者必须破坏该防火墙才能进一步进入内部网络,因此,它将成为明显的攻击目标,特别容易受到外部攻击。边界位置中使用的防火墙是通向外部世界的通道。在很多大型组织中,此处实现的防火墙类别通常是高端硬件防火墙或者服务器防火墙,但是某些组织使用的是路由器防火墙。用智能防火墙阻止攻击SYNFlood攻击原理SYNFlood攻击所利用的是TCP协议存在的漏洞——三次握手假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接。如果有大量的等待丢失的情况发生,服务器端将为了维护一个非常大的半连接请求而消耗非常多的资源而导致系统崩溃,从而拒绝正常用户的访问(DoS)。用智能防火墙阻止攻击应用代理型防火墙的防御方法是客户端要与防火墙建立TCP连接的三次握手过程中,因为它位于客户端与服务器端(通常分别位于外、内部网络)中间,充当代理角色,这样客户端要与服务器端建立一个TCP连接,就必须先与防火墙进行三次TCP握手,当客户端和防火墙三次握手成功之后,再由防火墙与客户端进行三次TCP握手,完成后再进行一个TCP连接的三次握手。用智能防火墙阻止攻击包过滤型防火墙是工作于IP层或者IP层之下,对于外来的数据报文,它只是起一个过滤的作用。当数据包合法时,它就直接将其转发给服务器,起到的是转发作用。在包过滤型防火墙中,客户端同服务器的三次握手直接进行,并不需要通过防火墙来代理进行。包过滤型防火墙效率要较网关型防火墙高,允许数据流量大。但是这种防火墙如果配置不当的话,会让攻击者绕过防火墙而直接攻击到服务器。而且允