第9章防火墙应用技术上海教育高地建设项目高等院校规划教材(第2版)上海市精品课程网络安全技术目录9.2防火墙的类型29.3防火墙的主要应用39.4防火墙安全应用实验49.1防火墙概述19.5本章小结5目录教学目标●掌握防火墙的概念●掌握防火墙的功能●了解防火墙的不同分类●掌握SYNFlood攻击的方式及用防火墙阻止其攻击的方法●掌握防火墙安全应用实验重点重点9.1.1防火墙的概念和功能防火墙(firewall)是一种位于两个(或多个)网络之间,通过执行访问控制策略来保护网络安全的设备。它隔离了内部、外部网络,是内、外部网络通信的唯一途径,能够根据制定的访问规则对流经它的信息进行监控和审查,从而保护内部网络不受外界的非法访问和攻击。网络防火墙的结构如图9-1所示。9.1防火墙概述某中型企业购买了适合网络特点的防火墙,刚投入使用后,发现以前局域网中肆虐横行的蠕虫病毒不见了,企业网站遭受拒绝服务攻击的次数也大大减少了,为此,公司领导特意表扬了负责防火墙安装实施的信息部。案例9-1防火墙服务器工作站台式PC打印机服务器安全区域服务器工作站台式PC打印机服务器安全区域Internet网络图9-1网络防火墙的部署结构9.1防火墙概述2.防火墙的主要功能实际上,防火墙其实是一个分离器、限制器或分析器,它能够有效监控内部网络和外部网络之间的所有活动,主要功能如下:(1)建立一个集中的监视点。(2)隔绝内、外网络,保护内部网络。(3)强化网络安全策略。(4)有效记录和审计内、外网络之间的活动。9.1防火墙概述9.1.2防火墙的特性(1)安全、成熟、国际领先的特性。(2)具有专有的硬件平台和操作系统平台。(3)采用高性能的全状态检测(StatefulInspection)技术。(4)具有优异的管理功能,提供优异的GUI管理界面。(5)支持多种用户认证类型和多种认证机制。(6)需要支持用户分组,并支持分组认证和授权。(7)支持内容过滤。(8)支持动态和静态地址翻译(NAT)。(9)支持高可用性,单台防火墙的故障不能影响系统的正常运行。9.1防火墙概述9.1.2防火墙的特性(10)支持本地管理和远程管理。(11)支持日志管理和对日志的统计分析。(12)实时告警功能,在不影响性能的情况下,支持较大数量的连接数。(13)在保持足够的性能指标的前提下,能够提供尽量丰富的功能。(14)可以划分很多不同安全级别的区域,相同安全级别可控制是否相互通讯。(15)支持在线升级。(16)支持虚拟防火墙及对虚拟防火墙的资源限制等功能。(17)防火墙能够与入侵检测系统互动。9.1防火墙概述9.1.3防火墙的主要缺陷(1)不能防范不经由防火墙的攻击。(2)防火墙是一种被动安全策略执行设备,即对于新的未知攻击或者策略配置有误,防火墙就无能为力了。(3)防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙允许某些标准网络协议,就不能防止利用协议缺陷的攻击。(4)防火墙不能防止利用服务器系统漏洞进行的攻击。9.1防火墙概述9.1.3防火墙的主要缺点(5)防火墙不能防止数据驱动式的攻击。(6)防火墙无法保证准许服务的安全性。(7)防火墙不能防止本身的安全漏洞威胁。(8)防火墙不能防止感染了病毒的软件或文件的传输。此外,防火墙在性能上不具备实时监控入侵的能力,其功能与速度成反比。防火墙的功能越多,对CPU和内存的消耗越大,速度越慢。管理上,人为因素对防火墙安全的影响也很大。因此,仅仅依靠现有的防火墙技术,是远远不够的。9.1防火墙概述9.2.1以防火墙的软硬件形式分类从防火墙的软硬件形式来分:1.软件防火墙软件防火墙运行于特定的计算机上,需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。2.硬件防火墙这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片级防火墙说的。它们最大的差别在于是否基于专用的硬件平台。3.芯片级防火墙芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。9.2防火墙的类型9.2.2以防火墙的技术分类按照防火墙的技术分类,分为包过滤型和应用代理型1.包过滤(Packetfiltering)型包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。其网络结构如图9-2所示。防火墙服务器工作站台式PC打印机服务器数据包安全区域数据包服务器控制策略查找对应的策略数据IP报头TCP报头分组过滤判断图9-2包过滤防火墙的网络结构9.2防火墙的类型在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。(1)第一代静态包过滤类型防火墙这类防火墙几乎是与路由器同时产生的,它是根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。其数据通路如图9-3所示。图9-3第一代静态包过滤防火墙的数据通路9.2防火墙的类型(2)第二代动态包过滤类型防火墙这类防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测(StatefulInspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目,具体的数据通路如图9-4所示。图9-4第二代包过滤防火墙的数据通路9.2防火墙的类型2.应用代理(ApplicationProxy)型应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。其典型网络结构如图9-5所示。防火墙服务器工作站台式PC打印机服务器数据包安全区域数据包服务器控制策略查找对应的策略数据IP报头TCP报头拆开数据包分组过滤判断应用代理分析数据图9-5应用代理型防火墙的网络结构9.2防火墙的类型在代理型防火墙技术发展中,经历了两个不同的版本。(1)第一代应用网关(ApplicationGateway)型防火墙这类防火墙是通过一种代理(Proxy)技术参与到一个TCP连接的全过程。如图9-6所示,从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。图9-6第一代应用网关型防火墙数据通路9.2防火墙的类型(2)第二代自适应代理(Adaptiveproxy)型防火墙它是近几年才得到广泛应用的一种新防火墙类型。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。此类防火墙的数据通路如图9-7所示。组成这种类型防火墙的基本要素有两个:自适应代理服务器(AdaptiveProxyServer)与动态包过滤器(DynamicPacketfilter)。图9-7第二代自适应代理型防火墙数据通路9.2防火墙的类型*9.2.3以防火墙体系结构分类主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。(1)单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。(2)路由器集成式防火墙是将防火墙功能集成在中、高档路由器中,大大降低了网络设备购买成本。(3)分布式防火墙不是只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。9.2防火墙的类型9.2.4防火墙在性能等级上的分类如果按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽(Bandwidth),或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用代理所产生的延时也越小,对整个网络通信性能的影响也就越小。讨论思考:(1)软件防火墙、硬件防火墙和芯片防火墙的主要区别是什么?(2)包过滤防火墙工作在OSI模型的哪一层?(3)应用代理防火墙为什么比包过滤防火墙的性能要好?(4)什么是DMZ?有什么作用?9.2防火墙的类型9.3.1企业网络体系结构企业网络体系结构如图9-8所示,通常由三个区域组成:边界网络:此网络通过路由器直接面向Internet,应该以基本网络通信筛选的形式提供初始层面的保护。外围网络:此网络通常称为DMZ(demilitarizedzonenetwork,无戒备区网络)或者边缘网络,它将外来用户与Web服务器或其他服务链接起来。然后,Web服务器将通过内部防火墙链接到内部网络。内部网络:内部网络则链接各个内部服务器(如SQLServer)和内部用户。9.3防火墙的主要应用Internet边界路由器边界交换机外围防火墙交换机Web服务器交换机内部防火墙交换机内部路由器边界网络外围网络内部网络图9-8企业网络体系结构Ethernet天网防火墙Gold路由器网络集线器DDNInternet企业网服务器工作站工作站工作站工作站工作站图9-9使用天网防火墙典型企业结构以天网防火墙为例,组建的小型企业网络方案如图9-9所示。9.3防火墙的主要应用9.3.2内部防火墙系统应用内部防火墙用于控制对内网访问和从内网访问。用户类型:1)完全信任用户:例如组织的雇员,可以是要到外围区域或Internet的内部用户、外部用户(如分支办事处工作人员)、远程用户或在家中办公的用户。2)部分信任用户:例如组织的业务合作伙伴,这类用户的信任级别比不受信任的用户高。但是,其信任级别经常比组织的雇员要低。3)不信任用户:例如组织公共网站的用户。9.3防火墙的主要应用表9-1内部防火墙类别选择问题问题以此容量实现的防火墙的典型特征所需的防火墙功能,如安全管理员所指定的这是所需的安全程度与功能的成本以及增加的安全可能导致的性能的潜在下降之间的权衡。虽然许多组织希望这一容量的防火墙提供最高的安全性,但是有些组织并不愿意接受伴随而来的性能降低。例如,对于容量非常大的非电子商务网站,基于通过使用静态数据包筛选器而不是应用程序层筛选获得的较高级别的吞吐量,可能允许较低级别的安全。无论是专用物理设备,提供其他功能,还是物理设备上的逻辑防火墙这取决于所需的性能、数据的敏感性和需要从外围区域进行访问的频率。设备的管理功能要求如组织的管理体系结构所指定的。通常使用某种形式的日志,但是通常还需要事件监视机制。您可能在这里选择不允许远程管理以阻止恶意用户远程管理设备。吞吐量要求很可能由组织内的网络和服务管理员来确定。这些将根据每个环境而变化,但是设备或服务器中硬件的功能以及要使用的防火墙功能将确定整个网络的可用吞吐量。可用性要求也要取决于来自Web服务器的访问要求。如果它们主要用于处理提供网页的信息请求,则内部网络的通信量将很低。但是,电子商务环境将需要高级别的可用性1.内部防火墙规则堡垒(Bastion)主机,堡垒主机是位于外围网络中的服务器,向内部和外部用户提供服务。堡垒主机包括Web服务器和VPN服务器。2.内部防火墙的可用性为了增加防火墙的可用性,可以将它实现为具有或不具有冗余组件的单一防火墙设备,或者合并了某些类型的故障转移和/或负载平衡机制的防火墙的冗余对。9.3防火墙的主要应用(1)没有冗余组件的单一防火墙(2)具有冗余组件的单一防火墙图9-10没有冗余组件的单一防火墙图9-11具有冗余组件的单一防火墙9.3防火墙的主要应用Web服务器交换机带有冗余选项的内部防火墙:电源引擎结构交换机数据库服务器内部路由器Web服务器交换机内部防火墙交换机数据库服务器内部路由器(