搜索
第十二章防火墙技术—主流安全防护技术何路helu@nwu.edu.cn本章要求了解防火墙的定义、发展历史、目的、功能、局限性等掌握包过滤、应用代理、电路级代理和NAT代理等工作原理、技术特点和实现方式;掌握防火墙的规则配置方法熟悉防火墙的常见体系结构计算机网络安全何路本节主要内容一、防火墙概述二、防火墙技术分析三、防火墙部署计算机网络安全何路建筑业中的防火墙建筑业中的防火墙用在建筑单位间,防止火势的蔓延。计算机网络安全何路领域中的防火墙在网络安全领域中,防火墙用来指应用于内部网络(局域网)和外部网络(Internet)之间的,用来保护内部网络免受非法访问和破坏的网络安全系统。计算机网络安全何路防火墙功能示意两个不同网络安全域间通信流的唯一通道,对流过的网络数据进行检查,阻止攻击数据包通过。安全网域一安全网域二计算机网络安全何路防火墙主要功能过滤进、出网络的数据;防止不安全的协议和服务;管理进、出网络的访问行为;记录通过防火墙的信息内容与活动;对网络攻击进行检测与告警;防止外部对内部网络信息的获取提供与外部连接的集中管理;计算机网络安全何路防火墙不能防范的攻击来自内部的安全威胁;病毒开放应用服务程序的漏洞;特洛伊木马;社会工程;不当配置计算机网络安全何路衡量防火墙三大要求安全内部和外部间所有数据必须通过防火墙只有符合安全策略的数据流才能通过防火墙防火墙自身要安全管理良好的人机交互界面提供强劲的管理及扩展功能速度计算机网络安全何路防火墙发展历程主要经历了三个阶段:基于路由器的防火墙基于通用操作系统的防火墙基于安全操作系统的防火墙计算机网络安全何路防火墙基本结构防火墙构成四要素:外部网内部网安全策略技术手段计算机网络安全何路本节主要内容一、防火墙概述二、防火墙技术分析三、防火墙部署计算机网络安全何路防火墙分类按实现技术分类:包过滤型代理型防火墙按体系结构分类:双宿/多宿主机防火墙屏蔽主机防火墙屏蔽子网防火墙混合结构计算机网络安全何路包过滤防火墙包过滤防火墙在决定能否及如何传送数据包之外,还根据其规则集,看是否应该传送该数据包普通路由器当数据包到达时,查看IP包头信息,根据路由表决定能否以及如何传送数据包计算机网络安全何路路由与包过滤路由进行转发,过滤进行筛选源地址目标地址协议是否允许HostASeverXTCPYESHostASeverXUDPNOHostA外部网络目标路由SeverX接口1……………………SeverX计算机网络安全何路包过滤所检查的内容源和目的的IP地址IP选项IP的上层协议类型(TCP/UDP/ICMP)TCP和UDP的源及目的端口ICMP的报文类型和代码我们称这种对包头内容进行简单过滤的方式为静态包过滤计算机网络安全何路包过滤配置包过滤防火墙配置步骤:知道什么是应该和不应被允许,制定安全策略规定允许的包类型、包字段的逻辑表达用防火墙支持的语法重写表达式计算机网络安全何路规则制定的策略规则制定的基本策略:允许任何访问,除非规则特别地禁止拒绝任何访问,除非被规则特别允许允许拒绝允许拒绝计算机网络安全何路规则制定的策略过滤的两种基本方式按服务过滤:根据安全策略决定是否允许或拒绝某一种服务按规则过滤:检查包头信息,与过滤规则匹配,决定是否转发该数据包计算机网络安全何路依赖于服务的过滤多数服务对应特定的端口,如要封锁输Telnet、SMTP的连接,则Router丢弃端口值为23和25的所有数据包。典型的过滤规则有以下几种:只允许进来的Telnet会话连接到指定的内部主机只允许进来的FTP会话连接到指定的内部主机允许所有出去的Telnet会话允许所有出去的FTP会话拒绝从某些指定的外部网络进来的所有信息计算机网络安全何路按规则过滤有些类型的攻击很难用基本包头信息加以鉴别,因为独立于服务。如果防范则需要定义规则1)源IP地址欺骗攻击入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包;这些信息包似乎像包含了一个内部系统的源IP地址。如果这些信息包到达Router的外部接口,则舍弃每个含有这个源IP地址的信息包,就可以挫败这种源欺骗攻击。计算机网络安全何路)源路由攻击攻击者为信息包指定一个穿越Internet的路由,这类攻击企图绕过安全措施,并使信息包沿一条意外(疏漏)的路径到达目的地。可以通过舍弃所有包含这类源路由选项的信息包方式,来挫败这类攻击。3)残片攻击入侵者利用IP分段特性生成一个极小的片断并将TCP报头信息肢解成一个分离的信息包片断,使数据包绕过用户定义的过滤规则。黑客希望过滤路由器只检查第一分段,而允许其它分段通过。通过舍弃所有协议类型为TCP、IP报头中FragmentOffset=1的数据包,即可挫败残片的攻击。计算机网络安全何路推荐的规则任何进入内网的数据包不能将内部地址作为源地址任何进入内网的数据包必须将内部地址作为目标地址任何离开内网的数据包必须将内部地址作为源地址任何离开内网的数据包不能将内部地址作为目标地址任何进入或离开内网的数据包不能把一个私有地址或者127.0.0.0/8作为源或目标地址计算机网络安全何路静态包过滤的优缺点优点:速度快价格低对用户透明缺点:配置难把握防范能力低没有用户身份验证机制计算机网络安全何路动态包过滤动态包过滤是CheckPoint的一项称为“StatefulInspection”的专利技术,也称状态检测防火墙。动态包过滤防火墙不仅以一个数据包的内容作为过滤的依据,还根据这个数据包在信息流位置加以判断。动态包过滤防火墙可阻止未经内网请求的外部通信,而允许内网请求的外部网站传入的通信。计算机网络安全何路使用动态包过滤制定的规则Setinternal=192.168.0.0/24Denyipfrom$internaltoanyinviaeth0Denyipfromnot$internaltoanyinviaeth1Allow$internalaccessanydnsbyudpkeepstateAllow$Internalacessany计算机网络安全何路动态包过滤的优缺点优点:基于应用程序信息验证一个包状态的能力记录通过的每个包的详细信息缺点:造成网络连接的迟滞系统资源要求较高计算机网络安全何路防火墙分类:包过滤代理型防火墙:应用代理型代理型防火墙:电路代理型代理型防火墙:NAT计算机网络安全何路代理服务技术代理服务技术能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的连接,由两个代理服务器之间的连接来实现,外部计算机的网络链路只能到达代理服务器,从而起到隔离防火墙内外计算机系统的作用。计算机网络安全何路应用代理防火墙工作在应用层对所有规则内允许的应用程序作中转转发牺牲了对应用程序的透明性计算机网络安全何路应用代理应用代理工作原理示意缓冲文件应用请求回复应用请求回复计算机网络安全何路应用代理防火墙应用代理服务器的安全性屏蔽内网用户与外网的直接通信,提供更严格的检查提供对协议的控制,拒绝所有没有配置的连接提供用户级控制,可近一步提供身份认证等信息计算机网络安全何路应用代理的优缺点优点:可以隐藏内部网络的信息;可以具有强大的日志审核;可以实现内容的过滤;缺点:价格高速度慢失效时造成网络的瘫痪计算机网络安全何路防火墙分类:包过滤代理型防火墙:应用代理型代理型防火墙:电路代理型代理型防火墙:NAT计算机网络安全何路电路级代理电路级代理因此可以同时为不同的服务,如WEB、FTP、TELNET提供代理服即SOCKS代理,它工作在传输层。计算机网络安全何路应用代理应用代理工作在应用层,对于不同的服务,必须使用不同的代理软件。应用代理内部主机WEB服务FTP服务WEBFTP计算机网络安全何路电路级代理优缺点优点:隐藏内部网络信息配置简单,无需为每个应用程序配置一个代理缺点:多数电路级网关都是基于TCP端口配置,不对数据包检测,可能会有漏洞计算机网络安全何路防火墙分类:包过滤代理型防火墙:应用代理型代理型防火墙:电路代理型代理型防火墙:NAT计算机网络安全何路(NetworkAddressTransla-tion)网络地址翻译最初设计目的是用来增加私有组织的可用地址空间和解决将现有的私有TCP/IP网络连接到网上的IP地址编号问题计算机网络安全何路提供的功能内部主机地址隐藏网络负载均衡网络地址交叠计算机网络安全何路(网络地址翻译)根据内部IP地址和外部IP地址的数量对应关系,NAT分为:基本NAT:简单的地址翻译M-1,多个内部网地址翻译到1个IP地址M-N,多个内部网地址翻译到N个IP地址池计算机网络安全何路的优缺点优点管理方便并且节约IP地址资源。隐藏内部IP地址信息。仅当向某个外部地址发送过出站包时,NAT才允许来自该地址的流量入站。缺点外部应用程序却不能方便地与NAT网关后面的应用程序联系。计算机网络安全何路本节主要内容一、防火墙概述二、防火