第3章防火墙金陵科技学院教案【教学单元首页】第1次课授课学时4教案完成时间:2018.2章、节第3讲防火墙技术主要内容防火墙概述防火墙的类型和结构静态包过滤防火墙动态包过滤防火墙电路级网关应用级网关状态检测防火墙切换代理空气隙防火墙目的与要求掌握防火墙基本知识;了解防火墙体系结构,包括包过滤型、双宿主主机型、屏蔽子网型等;理解防火墙的关键技术,如包过滤、堡垒主机、NAT技术等;了解防火墙的相关安全标准;理解分布式防火墙产生的由来、发展历程以及关键技术。重点与难点重点:掌握防火墙基本知识;理解防火墙的关键技术,如包过滤、堡垒主机、NAT技术等;理解分布式防火墙产生的由来、发展历程以及关键技术。难点:理解防火墙的关键技术,如包过滤、堡垒主机、NAT技术等;教学方法与手段课堂教学,多媒体课件与板书相结合第3章防火墙授课内容内容备注防火墙概述防火墙是由软件和硬件组成的系统,它处于安全的网络和不安全的网络之间,根据由系统管理员设置的访问控制规则,对数据流进行过滤。在逻辑上,防火墙是一个分离器、限制器、分析器,能有效地监控内部网与Internet之间的任何活动,保证内部网络的安全。防火墙对数据流的处理方式:防火墙是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、丢弃)出入网络的信息流,且本身具有较强的抗攻击能力。允许数据流通过。拒绝数据流通过,并向发送者回复一条消息,提示发送者该数据流已被拒绝。将数据流丢弃,不对这些数据包进行任何处理,也不会向发送者发送任何提示信息。防火墙须满足的要求防火墙是Internet安全的最基本组成部分,但对于内部攻击以及绕过防火墙的连接却无能为力。防火墙不是一台普通的主机,它自身的安全性要比普通主机更高。那些与防火墙功能实现不相关但又可能带来安全威胁的网络服务和应用程序,都应当剥离出去。前提:所有进出网络的数据流都必须经过防火墙基本功能:只允许经过授权的数据流通过防火墙。先决条件:防火墙自身对入侵是免疫的。防火墙示意与组成过滤器:阻断数据传输外部过滤器:保护网关免受侵害内部过滤器:防备因网关被攻击而造成的伤害网关:提供中继服务的一台或多台机器堡垒主机:暴露在外面的网关主机DMZ:网关所在的网络称为“非军事区”堡垒主机在防火墙体系结构中起着至关重要的作用,它专门用来击退攻击行为。网第3章防火墙络防御的第一步,是寻找堡垒主机的最佳位置,堡垒主机为内网和外网之间的所有通道提供一个阻塞点。没有堡垒主机,就不能连接外网,同样,外网也不能访问内网。如果通过堡垒主机来集中网络权限,就可以轻松地配置软件来保护网络。防火墙本质:一种能够限制网络访问的设备或软件防火墙的类型和设计结构:防火墙分类:包过滤防火墙,电路级网关防火,墙应用级网关防火墙。防火墙设计结构:静态包过滤,动态包过滤,电路级网关OSI模型与防火墙类型的关系防火墙工作于OSI模型的层次越高,能提供的安全保护等级就越高。网络地址转换NATNAT的优点:隐藏内部网络的拓扑结构,提升网络安全性,解决地址紧缺的问题。NAT的分类:根据NAT的实现方式对NAT进行分类:静态NAT,动态AT,端口地址转换动态NAT:可用的InternetIP地址限定在一个范围内。静态NAT:在进行网络地址转换时,内部网络地址与外部的InternetIP地址是一一对应的关系。根据数据流进行分类:源NAT,目标NAT源NAT:当内部用户使用专用地址访问Internet时,必须将IP头部中的数据源地址转换成合法的Internet地址。目标NAT:必须将数据包中的目的地址转换成服务器的专用地址,使合法的InternetIP地址与内部网络(防火墙后面)中服务器的专用地址相对应。NAT转换过程第3章防火墙在外部数据包进入内部网络之前,其目的地址字段应包含NAT路由器的外部地址。因此,对于所有输入数据包,NAT路由器必须采用最终目标主机的IP地址替换数据包的目的地址。在内部数据包离开内部网络之前,其源地址字段应包含NAT路由器的外部地址因此,对于所有输出的数据包,NAT路由器用其外部地址替换数据包的源地址。NAT转换过程实例1:对于输出数据包,NAT的工作很简单:NAT路由器只需用NAT的外部地址来替换数据包中的源地址(内部主机地址)对于输入数据包,NAT如何知道该将数据包发给内网中的哪一台主机呢?NAT路由器需要维护一个转换表,该表将内部主机的地址映射到外部目标主机的地址。一旦某个内部主机发送一个数据包给外部主机,NAT路由器在此转换表中增加一个条目。一旦从外部主机返回了一个响应,NAT路由器便查询转换表,决定将此响应数据包发给内网中的哪台主机。第3章防火墙NAT转换过程实例2:如果有多个内部主机同时与外网的同一台主机通信,NAT路由器如何确定应该将响应包发给哪一台内部主机呢?——需要修改NAT转换表,添加几列新的参数。第3章防火墙防火墙的体系结构双宿主主机体系结构双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的,该计算机至少有两个网络接口,其中一些接口连接到一段网络,另一些接口连接另一网段,这样的主机可以充当与这些接口相连的网络之间的路由器,它能够从一个网络到另一个网络发送IP数据包。第3章防火墙屏蔽主机体系结构屏蔽主机体系结构如图所示,防火墙没有使用路由器,但能提供来自于多个网络相连的主机的服务,而屏蔽主机体系结构使用一个单独的路由器,提供来自仅仅与内部的网络相连的主机的服务。在这种体系结构中,主要的安全由数据包过滤提供。在这种体系结构中,主要的安全由数据包过滤提供(例如,数据包过滤用于防止人们绕过代理服务器直接相连)。数据包过滤也允许堡垒主机开放可允许的连接(什么是可允许,将由用户站点的安全策略决定)到外部世界。在屏蔽的路由器中,数据包过滤配置可以按下列之一执行:允许其他的内部主机为了某些服务与因特网上的主机连接,即允许那些已经由数据包过滤的服务。不允许来自内部主机的所有连接(强迫那些主机经由堡垒主机使用代理服务)。用户可以针对不同的服务混合使用这些手段,某些服务可以被允许直接经由数据包过滤,而其他服务可以被允许仅仅间接地经过代理。这完全取决于用户实行的安全策略。屏蔽子网体系结构屏蔽子网体系结构(如图11-5所示)添加额外的安全层到屏蔽主机体系结构,即通过添加周边网络,更进一步地把内部网络和外部网络(通常是Internet)隔离开。下面将对上面提到的几个名词进行说明,具体如下。1.内部路由器2.外部路由器3.周边网络(DMZ)防火墙体系结构的组合形式第3章防火墙在构造防火墙体系时,一般很少使用单一的技术,通常都是多种解决方案的组合。这种组合主要取决于网管中心向用户提供什么服务,以及网管中心能接受什么等级的风险。还要看投资经费、技术人员的水平和时间等问题。一般包括以下几种形式:使用多个堡垒主机。合并内部路由器和外部路由器。合并堡垒主机和外部路由器。合并堡垒主机和内部路由器。使用多个内部路由器。使用多个外部路由器。使用多个周边网络。使用双宿主主机与屏蔽子网。防火墙的技术静态包过滤防火墙静态包过滤防火墙实现三个功能:接收每个到达的数据包。对数据包采用过滤规则,对数据包的IP头和传输字段内容进行检查。如果没有规则与数据包头信息匹配,则对数据包施加默认规则。默认规则:1.容易使用;2.安全第一。容易使用:“允许一切”,没有明确拒绝则通过安全第一:“拒绝一切”,没有明确通过则拒绝静态包过滤防火墙是最原始的防火墙,静态数据包过滤发生在网络层上。对于静态包过滤防火墙来说,决定接收还是拒绝一个数据包,取决于对数据包中IP头和协议头等特定域的检查和判定。静态包过滤防火墙实例第3章防火墙包过滤器的工作原理:过滤内容:源地址、目的地址、源端口、目的端口、应用或协议若符合规则,则丢弃数据包.如果包过滤器没有发现一个规则与该数据包匹配,那么它将对其施加一个默认规则。过滤位置:可以在网络入口处过滤,也可在网络出口处过滤,在入口和出口同时对数据包进行过滤。访问控制策略:网管员预先编写一个访问控制列表,明确规定哪些主机或服务可接受,哪些主机或服务不可接受。访问控制列表(访问控制规则库)防火墙按照一定的次序描述规则库,直接到包过滤器发现一个特定域满足包过滤规则的特定要求时,才对数据包做出“接收”或“丢弃”的判决。包过滤器防火墙的配置1.管理员必须明确企业网络的安全策略2.必须用逻辑表达式清楚地表述数据包的类型3.必须用设备提供商可支持的语法重写这些表达式静态包过滤防火墙优缺点优点:对网络性能影响较小,成本较低。缺点:安全性较低,缺少状态感知能力,容易遭受IP欺骗攻击,创建访问控制规则比较困难。动态包过滤防火墙具有状态感知能力典型的动态包过滤防火墙工作在网络层先进的动态包过滤防火墙工作在传输层动态包过滤防火墙的工作原理:工作在传输层过滤内容:源地址、目的地址、源端口、目的端口、应用或协议数据包过滤与普通包过滤防火墙非常相似。不同点:对外出数据包进行身份记录,便于下次让具有相同连接的数据包通过。动态包过滤防火墙需要对已建连接和规则表进行动态维护,因此是动态的和有状态第3章防火墙的。典型的动态包过滤防火墙能够感觉到新建连接与已建连接之间的差别。动态包过滤防火墙优缺点优点:采用SMP技术时,对网络性能的影响非常小,安全性优于静态包过滤防火墙。“状态感知”能力使其性能得到了显著提高。如果不考虑操作系统成本,成本会很低。缺点:仅工作于网络层,仅检查IP头和TCP头。没过滤数据包的净荷部分,仍具有较低的安全性。容易遭受IP欺骗攻击。难于创建规则,管理员必须要考虑规则的先后次序。难于创建规则,管理员必须要考虑规则的先后次序。电路级网关电路级网关通常作为代理服务器的一部分在应用代理类型的电路级网关又称做线路级网关,当两个主机首次建立TCP连接时,电路级网关在两个主机之间建立一道屏障来自Internet的请求,作为服务器接收外来请求并转发。内部主机请求访问Internet,担当代理服务器。电路级网关工作时,IP数据包不会实现端到端的流动。工作于会话层与包过滤的区别:除了进行基本的包过滤检查外,还要增加对连接建立过程中的握手信息SYN、ACK及序列号合法性的验证。检查内容:源地址、目的地址、应用或协议、源端口号、目的端口号、握手信息及序列号。电路级网关所过滤的内容:电路级网关的工作原理:在转发一个数据包之前,首先将数据包的IP头和TCP头与由管理员定义的规则表相比较。如果会话合法,包过滤器就开始逐条扫描规则,直到发现一条与数据包中的有关信息一致。电路级网关在其自身与远程主机之间建立一个新连接,这一切对内网中用户都是完第3章防火墙全透明的。SOCKS连接SOCKS由David和MichelleKoblas设计并开发是现在已得到广泛应用的电路级网关(SSL)事实上,SOCKS是一种网络代理协议优点:性能比包过滤防火墙稍差,但是比应用代理防火墙好。切断了外部网络到防火墙后的服务器直接连接。比静态或动态包过滤防火墙具有更高的安全性。缺点:具有一些固有缺陷,例如,电路级网关不能对数据净荷进行检测,无法抵御应用层攻击等。仅提供一定程度的安全性。当增加新的内部程序或资源时,往往需要对许多电路级网关的代码进行修改。应用级网关只能过滤特定服务的数据流必须为特定的应用服务编写特定的代理程序,被称为“服务代理”,在网关内部分别扮演客户机代理和服务器代理的角色。当各种类型的应用服务通过网关时,必须经过客户机代理和服务器代理的过滤。应用级网关的工作层次必针对每个服务运行一个代理。对数据包进行逐个检查和过滤。采用“强应用代理”。当前最安全的防火墙结构之一。代理对整个数据包进行检查,因此能在应用层上对数据包进行过滤。应用代理程序与电路级网关有两个重要区别:代理是针对应用的。代理对整个数据包进行检查,因此能在OSI模型的应用层上对数据包进行过滤。提高了应用级网关的安全等级。第3章防火墙不是对用户的整个数据包进行复制,而是在防火墙