《第五章__防火墙》由会员分享,可在线阅读,更多相关《第五章__防火墙(82页珍藏版)》请在金锄头文库上搜索。
1、第五章 防火墙技术基础,由于系统的安全性是由它的最薄弱环节决定,因此,安全范围必须是整个系统性的。例如,在某个大企业的内部网络中,含有许多不同品牌和型号的机器,而这些机器的操作系统和应用程序又是千差万别。它们再通过不同供应商提供的不同性能和容量的网络设备和路由器连接起来。在这样不同种类、不断变化的环境中,检测整个系统和确保所有部件的安全是相当费时和复杂的。,防火墙的基本知识,防火墙是位于两个信任程度不同的网络之间(如企业内部网络和Internet之间)的软件或硬件设备的组合,目的是保护网络不被他人侵扰。本质上,它遵循的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的过滤网络通信,只
2、允许授权的通信。,防火墙的基本功能 (1)防火墙能有效地记录因特网上的活动 (2)防火墙限制暴露用户点 (3)防火墙是一个安全策略的检查站 (4)建立一个节流点。,防火墙作为中心控制点,易于实现和更新公司的安全策略。它能为网络提供安全的单访问点。所以用户可以在一个地方改变设置而无需改动每台机器。防火墙能在网络范围内加强安全,比如防止网络中的每个人都有权访问某些Internet 资源。,防火墙在因特网与内部网中的位置,防火墙可以看成是安装在两个网络之间的一道栅栏,根据安全计划和安全策略中的定义来保护其后面的网络。它应该满足以下条件: (1)所有进出网络的通信流都应该通过防火墙。 (2)所有穿过防
3、火墙的通信流都必须有安全策略和计划的确认和授权。 (3)理论上说,防火墙是穿不透的。,防火墙的不足之处 (1)防火墙不能防范不通过它的连接 如果网络具有其他联接方式,比如一台Windows PC 使用一台调制解调器通过I S P 联到Internet 上,因为连接不经过防火墙,因此绕过了防火墙提供的安全控制。 (2)防火墙不能防备全部的威胁 防火墙不能防止许多常见的Internet 问题,如病毒和特洛伊木马。,从物理角度看,各站点防火墙物理实现的方式有所不同。许多人认为防火墙是一台机器,有一些网络是这种情况。然而,防火墙这一术语和所执行的功能关系更紧密一些,而不是指物理设备。防火墙可以是一组硬
4、件设备,即路由器、主计算机或者是路由器、计算机和配有适当软件的网络的多种组合。 但是也有纯软件防火墙,如天网个人防火墙。,防火墙相关术语,防火墙通常由多个不同的部分组成,包括包过滤器(packet filters)、代理(proxies)和主机(hosts)等。我们需要了解这些概念,以及网络地址翻译和操作系统硬化的含义。,包过滤器 包过滤器在包对包的基础上进行网络流量的处理。它们只在OSI参考模型的网络层工作,因此,它们能够准许或阻止IP地址和端口,并且能够在标准的路由器上以及专门的防火墙设备上执行。一个纯包过滤器只关注下列信息:源IP地址 、目标IP地址、源端口、目标端口、包类型,包过滤器的
5、一个基本例子就是位于In ternet 和内部网络之间的路由器,它根据数据包的来源、目的地址和端口来过滤。这样的路由器被称为筛分路由器(screening router)。 标准路由器和筛分路由器的不同之处在于二者检查报文的方式。普通路由器只是查看IP地址并把报文发送到至目的地的正确路径上。筛分路由器检查报文头,不仅要决定怎样对其进行路由,还要基于一些规则决定是否应对其进行路由。,包过滤系统只能让我们进行类似以下情况的操作: (1)允许或不允许用户从外部网用Telnet登录; (2)允许或不允许用户使用SMTP往内部网发电子邮件; (3)允许或不允许某个IP通过NNTP往内部网发新闻。,包过滤
6、不能允许我们进行如下的操作: (1)允许某个用户从外部网用Telnet登录而不允许其它用户进行这种操作。 (2)允许用户传送一些文件而不允许用户传送其它文件。,包过滤的优点 包过滤方式有许多优点,而其主要优点之一是仅用一个放置在重要位置上的包过滤路由器就可保护整个网络。如果我们的站点与因特网间只有一台路由器,那么不管站点规模有多大,只要在这台路由器上设置合适的包过滤,我们的站点就可获得很好的网络安全保护。,包过滤的缺点 (1)在机器中配置包过滤规则比较困难; (2)对系统中的包过滤规则的配置进行测试也较麻烦; (3)许多产品的包过滤功能有这样或那样的局限性,要找一个比较完整的包过滤产品比较困难
7、。,包过滤路由器的配置 在配置包过滤路由器时,我们首先要确定哪些服务允许通过而哪些服务应被拒绝,并将这些规定翻译成有关的包过滤规则。 下面给出将有关服务翻译成包过滤规则时非常重要的几个概念。 (1)协议的双向性。 协议总是双向的,协议包括一方发送一个请求而另一方返回一个应答。在制定包过滤规则时,要注意包是从两个方向来到路由器的。,(2)“往内”与“往外”的服务的含义。 在我们制定包过滤规则时,必须准确理解“往内”与“往外”的包和“往内”与“往外”的服务这几个词的语义。 (3)“默认允许”与“默认拒绝”。 网络的安全策略中的有两种方法:默认拒绝与默认允许: 拒绝所有的信息传输在这种情况下,将指定
8、准许进出网络的某些类型的信息传输。 准许所有的信息传输在这种情况下,将指定你要拒绝的某些类型的信息传输。 从安全角度来看,用默认拒绝应该更合适。,包过滤器操作 (l)由于包过滤器是一台按照预先设定的内容对每一个包进行检查的设备,因此,必须告诉包过滤器阻塞什么,准许什么。这些包过滤标准必须由包过滤设备端口存储起来,叫做包过滤规则。 (2)包过滤器规则以特定的方式存储,比如包过滤器使用由安全管理员已经建立好的文本文件。这个文本文件由逐行顺序读取的一些规则组成。每一个规则包含明确的条目来帮助决定流入的包将如何被处理。 (3)当包到达端口时,对包的报头进行语法分析,大多数包过滤设备只检查IP、TCP或
9、UDP报头中的字段,不检查包体的内容。,(4)如果一条规则阻止包传输或接收,此包便不被允许通过。 (5)如果一条规则允许包传输或接收,该包允许通过。 (6)如果一个包不满足任何一条规则,该包被阻塞。 因为一旦包在过滤器中的某个部分没有通过,后续的规则将不再被读取。因此,要记住考虑一下在一个过滤器中规则的顺序。,包过滤操作流程图,代理服务器,一、何为proxy? 英文是Proxy Server,功能就是代理网络用户去取得网络信息。代理服务器位于网络和Internet 之间,接收、分析服务请求,并在允许的情况下对其进行转发。代理服务提供服务的替代连接,比如,网络内部的一个用户想要远程登录到Inte
10、rnet 上的一台主机,代理服务器会接收用户请求,决定是否准许其到远程的连接,之后建立自身与远程目标主机之间及自身与用户之间的Telnet 会话。,代理的实现过程,代理服务器是在双重宿主主机或堡垒主机上运行一个特殊程序。使一些仅能与内部用户交谈的主机同样也可以与外界交谈,这些用户的客户程序通过与该代理服务器交谈来代替直接与外部因特网中的服务器的“真正的”交谈。代理服务器判断从客户端来的请求并决定哪些请求允许传送而哪些应被拒绝。当某个请求被允许时,代理服务器就代表客户与真正的服务器进行交谈,并将从客户端来的请求传送给真实服务器,将真实服务器的回答传送给客户。,代理服务器有两种类型: 应用层代理(
11、Application-layer proxies)(也称做应用层网关) 链路层代理(Circuit-level proxies)(也称做链路层网关),应用层代理 到目前为止,最流行的代理服务器类型是那些对应用层流量的代理。代理服务器从内部网络客户端接受请求。然后,如果客户端被代理服务器授权了,代理服务器将代表客户端与外部服务器进行通信。,链路层代理 链路层代理工作在OSI参考模型的传输层。链路层代理的另一个名字是链路层网关(circuit-level gateway)。 链路层代理服务器常常提供网络地址翻译。意思是一台网络主机将内部网络主机的包进行修改,这样,它们就能够通过Internet发
12、出了。 最流行的链路层代理是使用协议SOCKS(SOCKS protocol)的一种代理。,作为中介,代理服务器隐藏了关于用户的一些信息。假设用户正在从事一项高度保密的项目,那么用户就想对外( Internet )隐藏关于其所在网络的信息IP 地址等等。代理服务器会把用户地址改成自己的地址,使用一个内部表来解析到正确目的地的进出报文。对于外面的人而言,只有一个IP 地址(代理服务器的IP 地址)可见。,代理服务器适用于特定的Internet服务,如HTTP、 FTP等。比如http代理服务器是介于浏览器和Web服务器之间的一台服务器,有了它之后,浏览器不是直接到Web服务器去取回网页而是向代理
13、服务器发出请求,Request信号会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。,HTTP代理服务器通常都拥有一个高速缓存,这个缓存存储用户经常访问的站点内容,在下一个用户要访问同一站点时,服务器就不用重复地获取相同的内容,直接将缓存内容发出即可,既节约了时间也节约了网络资源。,代理服务器的主要功能: 1 连接Internet与Intranet 充当防火墙: 因为所有内部网的用户通过代理服务器访问外界时,只映射为一个IP地址,所以外界不能直接访问到内部网;同时可以设置IP地址过滤,限制内部网对外部的访问权限;另外,两个没有互联的内部网,也可以通过第三方的代理服务器
14、进行互联来交换信息。,2 节省IP开销: 如前面所讲,所有用户对外只占用一个IP,所以不必租用过多的IP地址,降低网络的维护成本。这样,局域网内没有与外网相连的众多机器就可以通过内网的一台代理服务器连接到外网,大大减少费用。当然也有它不利的一面,如许多网络黑客通过这种方法隐藏自己的真实IP地址,而逃过监视。,3 提高访问速度: 本身带宽较小,通过带宽较大的proxy与目标主机连接。而且通常代理服务器都设置一个较大的硬盘缓冲区(可能高达几个GB或更大),当有外界的信息通过时,同时也将其保存到缓冲区中,当其他用户再访问相同的信息时,则直接由缓冲区中取出信息,传给用户,从而达到提高访问速度的目的。,
15、决定proxy的速度的因素: 1. proxy所在的网络。网络的出口带宽就直接决定着其中的proxy的速度。 2. proxy server的性能。 3. proxy server与你的机器之间的距离。 4. 你所访问的站点情况。,代理服务器的优点和特点 代理服务器的主要优点是能够提供NAT。对公共网络隐藏内部网络是极为重要的。除此以外,还有下列的好处:验证、日志记录和报警、缓存、较少的规则,面向代理的防火墙对IP包的查寻是很深入的,它们并不停留于OSI参考模型的网络层。它们可以在应用层上读取文本字符串,并且它们能够验证用户。由于代理服务器提供更多的特点,它们通常需要额外的系统资源。这样,在网
16、络上运行一个代理服务器可能需要更昂贵的硬件。,使用代理的不足之处: 首先它会使访问速度变慢,因为不允许用户直接访问网络,而且应用级网关需要对每一个特定的Internet服务安装相应的代理服务软件,其次,用户不能使用未被服务器支持的服务,对每一类服务要使用特殊的客户端软件,尤其是,并非所有的Internet应用软件都可以使用代理服务器。,使用代理服务器与远端TCP/IP连接的客户端,必须配置使用一个代理服务器并且具备所有指定参数的正确设置。同时代理服务不能保护我们不受协议本身缺点的限制。,防火墙体系结构,有四种常用的防火墙设计,每一个都提供了一个确定的安全级别。这四个选择是: 屏蔽路由器 双重宿主主机体系结构 主机过滤体系结构 子网过滤体系结构,1,屏蔽路由器 屏蔽路由器(screening router)被认为是出色的首道防线屏蔽路由器的选择是最简单和最常用的。 这个方法费用不高,但仍提供了显著的保护。,只使用一台屏蔽路由器的解决方案可能会有一些缺点。主要的一个缺点是建立恰当的过滤器需要高水平的TCP/IP知识。另一个缺点是只
