《项目7防火墙技术剖析》由会员分享,可在线阅读,更多相关《项目7防火墙技术剖析(92页珍藏版)》请在金锄头文库上搜索。
1、项目7 防火墙技术 项目1 双机互连对等网络的组建 7.1 项目提出 u在目前网络受攻击案件数量直线上升的情况下,用户随时都 可能遭到各种恶意攻击。 u张先生近期备受计算机病毒的骚扰,虽然了安装了反病毒软 件,但还是存在很多安全隐患,如上网账号被窃取、冒用、银 行账号被盗用、电子邮件密码被修改、财务数据被利用、机密 档案丢失、隐私曝光等,甚至黑客(Hacker)或骇客(Cracker)能 通过远程控制删除硬盘上所有的资料数据,整个计算机系统架 构全面崩溃。 u为了进一步提高计算机及网络的安全性,张先生需要安装一 款防火墙软件,并合理设置一些安全规则,拦截一些来历不明 、有害敌意访问或攻击行为,
2、消除安全隐患。 7.2 项目分析 u网络的发展虽然为人们带来了许多方便,可也带来了很多隐患。 随着网络的普及,病毒、木马、网络攻击等安全事故层出不穷,安 装一款好的防火墙软件必不可少。 uWindows系统自带了防火墙,能满足一般用户的需要。用Internet Explorer、Outlook Express等Windows系统自带的程序进行网络连 接,Windows防火墙是默认不干预的。微软在设置防火墙内置规则时 ,已经为自己公司的应用程序开启了“绿色通道”,即使打开 Windows防火墙并且启用“不允许例外”功能,未将Internet Explorer设置为“例外”程序也能正常上网,Win
3、dows防火墙也不会 询问是否允许Internet Explorer通过。 uWindows 防火墙能限制从其他计算机发送来的信息,使用户可以 更好地控制自己计算机上的数据,并针对那些未经邀请而尝试连接 的用户或程序(包括病毒和蠕虫)提供了一条安全防线。 u人们用得较多的还是第三方防火墙软件, 如天网防火墙软件等。 u天网防火墙软件是一款网络安全软件,根 据用户设定的安全规则把守网络,提供强大 的访问控制、信息过滤等功能,从而抵御网 络入侵和攻击,防止信息泄露。 u天网防火墙把网络分为本地网和互联网, 可针对来自不同网络的信息设置不同的安全 方案,适合于以任何方式上网的用户。 7.3 相关知识
4、点 7.3.1 防火墙概述 u以前当构筑和使用木结构房屋的时候,为防止火灾 的发生和蔓延,人们将坚固的石块堆砌在房屋周围作 为屏障,这种防护构筑物被称为防火墙(FireWall)。 u如今,人们借助这个概念,使用“防火墙”来保护 敏感的数据不被窃取和篡改。不过,这种防火墙是由 先进的计算机系统构成的。 u防火墙犹如一道护栏隔在被保护的内部网与不安全 的非信任网络之间,用来保护计算机网络免受非授权 人员的骚扰与黑客的入侵。 u防火墙可以是非常简单的过滤器,也可能 是精心配置的网关,但它们的原理是一样的 ,都用于监测并过滤所有内部网和外部网之 间的信息交换。 u防火墙通常是运行在一台单独计算机之上
5、 的一个特别的服务软件,它可以识别并屏蔽 非法的请求,保护内部网络敏感的数据不被 偷窃和破坏,并记录内外网通信的有关状态 信息,如通信发生的时间和进行的操作等。 u防火墙技术是一种有效的网络安全机制, 它主要用于确定哪些内部服务允许外部访问 ,以及允许哪些外部服务访问内部服务。 u其基本准则就是:一切未被允许的就是禁 止的;一切未被禁止的就是允许的。 u防火墙是建立在现代通信网络技术和信息 安全技术基础上的应用性安全技术,并越来 越多地应用于专用网与公用络的互联环境之 中。 u防火墙应该是不同网络或网络安全域之间 信息的唯一出入口,能根据企业的安全策略 控制(允许、拒绝、监测)出入网络的信息流
6、 ,且本身具有较强的抗攻击能力,是提供信 息安全服务,实现网络和信息安全的基础设 施。 u在逻辑上,防火墙是一个分离器,一个限 制器,也是一个分析器,它能有效监控内部 网和外部网之间的任何活动,保证了内部网 络的安全。 u防火墙具有如下作用。 (1) 防火墙是网络安全的屏障。由于只有经过精心 选择的应用协议才能通过防火墙,所以防火墙(作为 阻塞点、控制点)能极大地提高内部网络的安全性, 并通过过滤不安全的服务而降低风险,使网络环境 变得更安全。 (2) 防火墙可以强化网络安全策略。通过以防火墙 为中心的安全方案配置,能将所有安全软件(如口令 、加密、身份认证、审计等)配置在防火墙上。与将 网络
7、安全问题分散到各个主机上相比,防火墙的集 中安全管理更经济。 (3) 对网络存取和访问进行监控审计。如果所有的访问 都经过防火墙,那么,防火墙就能记录下这些访问并做 出日志记录,同时也能提供网络使用情况的统计数据。 当发生可疑动作时,防火墙能进行适当的报警,并提供 网络是否受到探测和攻击的详细信息。 (4) 防止内部信息的外泄。通过防火墙对内部网络的划 分,可实现对内部网络重点网段的隔离,从而限制局部 重点或敏感网络安全问题对全局网络造成的影响。再者 ,隐私是内部网络非常关心的问题,一个内部网络中不 引人注意的细节可能包含了有关安全的线索而引起外部 攻击者的兴趣,甚至因此而暴露了内部网络的某些
8、安全 漏洞。 u除了安全作用以外,防火墙通常还支持VPN(虚拟专用 网)功能。 u防火墙也有局限性,因为存在着一些防火 墙不能防范的安全威胁,如防火墙不能防范 不经过防火墙的攻击(例如,如果允许从受保 护的网络内部向外拨号,一些用户就可能形 成与因特网的直接连接)。 u另外,防火墙很难防范来自于网络内部的 攻击以及病毒的威胁等。 7.3.2 防火墙技术原理 1包过滤防火墙 u包过滤防火墙是目前使用最为广泛的防火墙,其作用于网络 层和传输层,通常安装在路由器上,对数据包进行过滤选择。 u它根据数据包中的源IP地址、目的IP地址、TCP/UDP的源端口 号和目的端口号、协议类型(TCP/UDP/I
9、CMP/IP tunnel)和数据 包中的各种标志位等参数,与用户预定的访问控制表进行比较 ,判断数据包是否符合预先制定的安全策略,决定数据包的转 发或丢弃,即实施信息过滤。 u实际上,它一般允许网络内部的主机直接访问外部网络,而 外部网络上的主机对内部网络的访问则要受到限制。 uInternet上的某些特定服务一般都使用相对固定 的端口号,因此路由器在设置包过滤规则时指定, 对于某些端口号允许数据包与该端口交换,或者阻 断数据包与它们的连接。 u包过滤规则定义在转发控制表中,数据包遵循自 上而下的次序依次运用每一条规则,直到遇到与其 相匹配的规则为止。 u对数据包可采取的操作有转发、丢弃、报
10、错等。 根据不同的实现方式,包过滤可以在进入防火墙时 进行,也可以在离开防火墙时进行。 u规则1、规则2允许外部主机访问本站点的WWW服务器 u规则3、规则4允许内部主机访问外部的WWW服务器。 u规则5表示除了规则14允许的数据包通过外,其他所有数据 包一律禁止通过,即一切未被允许的就是禁止的。 u包过滤防火墙的优点是简单、方便、速度快 ,对用户透明,对网络性能影响不大。 u其缺点是:不能彻底防止IP地址欺骗;一些 应用协议不适合于数据包过滤;缺乏用户认证 机制;正常的数据包过滤路由器无法执行某些 安全策略。 u因此,包过滤防火墙的安全性较差。 2代理防火墙 u一个完整的代理设备包含一个代理
11、服务器端和一个代理 客户端,代理服务器端接收来自用户的请求,调用自身的 代理客户端模拟一个基于用户请求的连接到目标服务器, 再把目标服务器返回的数据转发给用户,完成一次代理工 作过程。 u代理服务器通常运行在两个网络之间,是 客户机和真实服务器之间的中介,代理服务 器彻底隔断内部网络与外部网络的“直接” 通信,内部网络的客户机对外部网络的服务 器的访问,变成了代理服务器对外部网络的 服务器的访问,然后由代理服务器转发给内 部网络的客户机。 u代理服务器对内部网络的客户机来说像是 一台服务器,而对于外部网络的服务器来说 ,又像是一台客户机。 u如果在一台代理设备的代理服务器端和代 理客户端之间连
12、接一个过滤措施,就成了“ 应用代理”防火墙,这种防火墙实际上就是 一台小型的带有数据“检测、过滤”功能的 透明代理服务器,但是并不是单纯的在一个 代理设备中嵌入包过滤技术,而是一种被称 为“应用协议分析”(Application Protocol Analysis)的技术。 u所以也经常把代理防火墙称为代理服务器 、应用网关,工作在应用层,适用于某些特 定的服务,如HTTP、FTP等。 u “应用协议分析”技术工作在OSI模型的应用层 上,在这一层能接触到的所有数据都是最终形式, 也就是说,防火墙“看到”的数据与最终用户看到 的是一样的,而不是一个个带着地址端口协议等原 始内容的数据包,因而可
13、以实现更高级的数据检测 过程。 u“应用协议分析”模块便根据应用层协议处理这 个数据,通过预置的处理规则查询这个数据是否带 有危害。 u防火墙不仅能根据数据应用层提供的信息判断数 据,更能像管理员分析服务器日志那样“看”内容 辨别危害。 u代理防火墙就是一台小型的带有数据“检测、过滤 ”功能的透明“代理服务器”,有时人们把代理防火 墙也称为代理服务器 u代理服务器工作在应用层,针对不同的应用协议, 需要建立不同的服务代理,如HTTP代理、FTP代理、 POP3代理、Telnet代理、SSL代理、Socks代理等。 u代理防火墙的特点是完全“阻隔”了网络通信流, 通过对每种应用服务编制专门的代理
14、程序,实现监视 和控制应用层通信流的作用。 u与包过滤防火墙不同之处在于,内部网和外部网之 间不存在直接连接,同时提供审计和日志服务。实际 中的代理防火墙通常由专用工作站来实现,如图7-4所 示。 u代理防火墙是内部网与外部网的隔离点, 工作在OSI模型的最高层,掌握着应用系统中 可用作安全决策的全部信息,起着监视和隔 绝应用层通信流的作用。 u其优点是可以检查应用层、传输层和网络 层的协议特征,对数据包的检测能力比较强 。 u其缺点主要是难于配置和处理速度较慢。 3状态检测防火墙 u状态检测技术是基于会话层的技术,对外部 的连接和通信行为进行状态检测,阻止具有攻 击性可能的行为,从而可以抵御
15、网络攻击。 u根据TCP协议,每个可靠连接的建立需要经过 “客户端同步请求”、“服务器应答”、“客 户端再应答”3个阶段(即三次握手) u这反映出数据包并不是独立的,而是前后之 间有着密切的状态联系,基于这种状态变化, 引出了状态检测技术。 u状态检测防火墙摒弃了包过滤防火墙仅检 查数据包的IP地址等几个参数,而不关心数 据包连接状态变化的缺点,在防火墙的核心 部分建立状态连接表,并将进出网络的数据 当成一个个的会话,利用状态连接表跟踪每 一个会话状态。 u状态检测对每一个数据包的检查不仅根据 规则表,还考虑了数据包是否符合会话所处 的状态,因此提供了完整的对传输层的控制 能力。 u状态检测技
16、术采用了一系列优化技术,使 防火墙性能大幅度提升,能应用在各类网络 环境中,尤其是在一些规则复杂的大型网络 上。 u任何一款高性能的防火墙,都会采用状态 检测技术。国内著名的防火墙公司,如北京 天融信等公司,2000年就开始采用状态检测 技术,并在此基础上创新推出了核检测技术 ,在实现安全目标的同时可以得到极高的性 能。 7.3.3 防火墙体系结构 1包过滤路由器防火墙结构 u在传统的路由器中增加包过滤功能就能形成这种简单的防火墙 。 u这种防火墙的好处是完全透明,但由于是在单机上实现,形成 了网络中的“单失效点”。 u由于路由器的基础功能是转发数据包,一旦过滤机能失效,被 入侵就会形成网络直通状态,任何非法访问都可以进入内部网络 。这种防火墙尚不能提供有效的安全功能,仅在早期的网络中应 用。 6.4 项目实现 2双宿主主机防火墙结构 u该结构至少由具有两个接口(即两块网卡)的双宿主主机(堡垒 主机)构成。双宿主主机的一个接口接内部网络,另一个接口接 外部网络。内、外网络之间不能直接通信,必须通过双宿主主 机上的应用层代理服务来完成。如果一旦黑客侵入堡垒主机并 使其具有路由
