《网络安全课件第5章 防火墙工作原理及应用》由会员分享,可在线阅读,更多相关《网络安全课件第5章 防火墙工作原理及应用(123页珍藏版)》请在金锄头文库上搜索。
1、1,第五章 防火墙工作原理及应用,2,5.1 防火墙概念与分类 5.1.1 防火墙简介 5.1.2 包过滤防火墙 5.1.3 代理服务防火墙 5.1.4 复合防火墙 5.1.5 个人防火墙,第五章 防火墙工作原理及应用,3,5.2 防火墙体系结构 5.2.1. 堡垒主机 5.2.2. 非军事区 5.2.3. 屏蔽路由器 5.2.4 双宿主主机体系结构 5.2.5 主机过滤体系结构 5.2.6 子网过滤体系结构 5.2.7 组合体系结构,第五章 防火墙工作原理及应用(续),4,5.3 防火墙选型与产品简介 5.3.1 防火墙的局限性 5.3.2 开发防火墙安全策略 5.3.3 防火墙选型原则 5
2、.3.4 典型防火墙简介,第五章 防火墙工作原理及应用(续),5,第五章 防火墙工作原理及应用,当网络涉及不同的信任级别时(例如内部网、Internet或者网络划分),要保证安全必须安装控制设备。此类控制设备几乎总是某种形式的防火墙。 防火墙允许授权的数据通过,而拒绝未经授权的数据通信,并记录访问报告等。由于使用防火墙能增强内部网络的安全性,因此防火墙技术的研究已经成为网络信息安全技术的主导研究方向。 本章将介绍防火墙的基本功能、工作原理、分类、体系结构、局限性以及典型防火墙产品。,6,5.1 防火墙概念与分类,网络防火墙是隔离内部网与Internet之间的一道防御系统,这里有一个门,允许人们
3、在内部网和开放的Internet之间通信。 访问者必须首先穿越防火墙的安全防线,才能接触目标计算机,网络防火墙如图8.1所示。,7,图5.1,网络防火墙,8,5.1.1 防火墙简介,在没有防火墙时,局域网内部的每个节点都暴露给Internet上的其它主机,此时内部网的安全性要由每个节点的坚固程度来决定,且安全性等同于其中最薄弱的节点。使用防火墙后,防火墙会将内部网的安全性统一到它自身,网络安全性在防火墙系统上得到加固,而不是分布在内部网的所有节点上。 防火墙把内部网与Internet隔离,仅让安全、核准了的信息进入,而阻止对内部网构成威胁的数据,它防止黑客更改、拷贝、毁坏重要信息;同时又不会妨
4、碍人们对Internet的访问。,9,根据安全策略,从Intranet到Internet 的流量以及响应的返回流量允许通过防火墙。,根据安全策略,从Internet到 Intranet的流量受到阻塞,根据安全策略,从Internet来的特殊类型的流量可能被允许到达Intranet,图5.2,防火墙的工作原理,服务器,内部网,Internet,10,防火墙的基本功能,作为一个中心“遏制点”,将内部网的安全管理集中起来,所有的通信都经过防火墙; 只放行经过授权的网络流量,屏蔽非法请求,防止越权访问,并产生安全报警; 能经受得起对其自身的攻击。,11,防火墙能为管理人员提供对下列问题的答案: 什么人
5、在使用网络? 他们什么时间,使用了什么网络资源? 他们连接了什么站点? 他们在网上做什么? 谁要上网,但是没有成功?,防火墙的基本功能(续),12,防火墙工作在OSI参考模型上,13,防火墙的发展史,第一代防火墙技术由附加在边界路由器上的访问控制表ACL (Access Control Table)构成,采用了包过滤技术。 第二代代理防火墙即电路层网关和应用层网关。 1994年,以色列的Check Point公司开发出了第一个基于动态包过滤技术的防火墙产品。 1998年,美国的网络联盟公司NAI (Network Associates Inc.)又推出了一种自适应代理技术。,14,防火墙的两大
6、分类,尽管防火墙的发展经过了将近20年,但是按照防火墙对内外来往数据的处理方法,大致可以将防火墙分为两大体系:包过滤防火墙和代理防火墙。前者以Checkpoint防火墙和Cisco公司的PIX防火墙为代表,后者以NAI公司的Gauntlet防火墙为代表,表5.2为防火墙两大体系性能的比较。,15,防火墙两大体系性能的比较,16,防火墙两大体系性能的比较(续),17,防火墙的组成,防火墙既可以是一台路由器、一台PC或者一台主机,也可以是由多台主机构成的体系。 应该将防火墙放置在网络的边界。网络边界是一个本地网络的整个边界,本地网络通过输入点和输出点与其它网络相连,这些连接点都应该装有防火墙。 在
7、网络边界内部也应该部署防火墙,以便为特定主机提供额外的、特殊的保护。,18,图 5.3,防火墙放置的位置,19,防火墙放置的位置(续),图 5.3续,20,防火墙的分类,防火墙有很多种分类方法: 根据采用的技术不同,可分为包过滤防火墙和 代理服务防火墙; 按照应用对象的不同,可分为企业级防火墙与 个人防火墙; 依据实现的方法不同,又可分为软件防火墙、 硬件防火墙和专用防火墙。,21,软件防火墙,防火墙运行于特定的计算机上,一般来说这台计算机就是整个网络的网关。 软件防火墙像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。 使用这类防火墙,需要网络管理人员对所工作的操作系统平台比较熟
8、悉。,22,硬件防火墙,由PC硬件、通用操作系统和防火墙软件组成。 在定制的PC硬件上,采用通用PC系统、Flash盘、网卡组成的硬件平台上运行Linux、FreeBSD、Solaris等经过最小化安全处理后的操作系统及集成的防火墙软件。 特点是开发成本低、性能实用、稳定性和扩展性较好,价格也低廉。由于此类防火墙依赖操作系统内核,因此会受到操作系统本身安全性影响,处理速度也慢。,23,专用防火墙,采用特别优化设计的硬件体系结构,使用专用的操作系统,此类防火墙在稳定性和传输性能方面有着得天独厚的优势,速度快,处理能力强,性能高。 由于使用专用操作系统,容易配置和管理,本身漏洞也比较少,但是扩展能
9、力有限,价格也较高。 由于专用防火墙系列化程度好,用户可根据应用环境选择合适的产品。,24,5.1.2 包过滤防火墙,包过滤(Packet Filter)是所有防火墙中最核心的功能,进行包过滤的标准是根据安全策略制定的。通常情况下靠网络管理员在防火墙设备的ACL中设定。与代理服务器相比,它的优势是不占用网络带宽来传输信息。 包过滤规则一般存放于路由器的ACL中。在ACL中定义了各种规则来表明是否同意或拒绝数据包的通过。 如果没有一条规则能匹配,防火墙就会使用默认规则,一般情况下,默认规则要求防火墙丢弃该包。包过滤的核心是安全策略即包过滤算法的设计。,25,图5.4,ACL对数据包的过滤,26,
10、No,Yes,No,数据包到达 防火墙接口,与第一条 匹配吗?,接口上有ACL吗?,Yes,还有更多的条目 吗?,Yes,应用条件,拒绝,允许,转发给接口,No,ICMP消息,图5.5,ACL处理入数据包的过程,27,无状态包过滤防火墙,无状态包过滤也叫静态包过滤或者无检查包过滤。 防火墙在检查数据包报头时,不关心服务器和客户机之间的连接状态,只是根据定义好的过滤规则集来检查所有进出防火墙的数据包报头信息来允许或者拒绝数据包。,28,Internet,内部网,图5.6,无状态包过滤防火墙的执行,29,无状态包过滤防火墙的优缺点,无状态包过滤防火墙最大的好处是速度快、效率高,对流量的管理较出色;
11、由于所有的通信必须通过防火墙,所以绕过是困难的;同时对用户和应用是透明的。 无状态包过滤防火墙的缺点也很明显:它允许外部网络直接连接到内部网络主机;只要数据包符合ACL规则都可以通过,因此它不能区分包的“好”与“坏” ;它不能识别IP欺诈。它也不支持用户身份认证,不提供日志功能;虽然可以过滤端口,但是不能过滤服务。,30,IP欺骗,当外部主机伪装内部主机的IP地址时,防火墙能够阻止这种类型的IP欺骗。 但是当外部主机伪装成可信任的外部主机的IP地址时,防火墙却不能阻止它们。 由于无状态包过滤防火墙不能为挂起的通信维持一个记录,所以它就必须根据数据包的格式来判断该数据包是否属于先前所允许的对话。
12、这就使其有受到IP欺诈的可能性,并且无法识别UDP数据包和ICMP包的状态。,31,无法过滤服务,对于一些比较新的多媒体应用在会话开始之前端口号是未知的。 例如,Web服务器默认端口为80,而计算机上又安装了RealPlayer,那么它会搜寻可以允许连接到RealAudio服务器的端口,而不管这个端口是否被其他协议所使用,RealPlayer正好是使用80端口而搜寻的。就这样无意中,RealPlayer就利用了Web服务器的端口。,32,有状态包过滤防火墙,有状态包过滤也叫状态包检查SPI(State- fulPacket Inspection)或者动态包过滤 (Dynamic packet
13、filter),后来发展成为包状态监测技术,它是包过滤器和应用级网关的一种折衷方案。 具有包过滤机制的速度和灵活,也有应用级网关的应用层安全的优点。,33,SPI防火墙,采用SPI技术的防火墙除了有一个过滤规则集外,还要对通过它的每一个连接都进行跟踪,汲取相关的通信和应用程序的状态信息,形成一个当前连接的状态列表。 列表中至少包括源和目的IP地址、源和目的端口号、TCP序列号信息,以及与那个特定会话相关的每条TCP/UDP连接的附加标记。 当一个会话经过防火墙时,SPI防火墙把数据包与状态表、规则集进行对比,只允许与状态表和规则集匹配的项通过。,34,SPI防火墙(续),在维护了一张状态表后,
14、防火墙就可以利用更多的信息来决定是否允许数据包通过,大大降低了把数据包伪装成一个正在使用的连接的一部分的可能性。 SPI防火墙能够对特定类型数据包的数据进行检测。如运行FTP协议的服务器和客户端程序有许多漏洞,其中一部分漏洞来源于不正确的请求或者不正确的命令。 SPI防火墙不行使代理功能,即不在源主机和目的之间建立中转连接;也不提供与应用层网关相同程度的保护,而是仅在数据包的数据部分查找特定的字符串。,35,规则集是否允许数据包的内容通过 ?,数据包到达 防火墙接口,Yes,No,丢弃数据包 更新对话表 作日志记录 给源主机发送ICMP消息,No,No,数据包是否属于一个已存在的连接?,建立连
15、接项,数据包的内容是否符合规则集?,Yes,将数据包转发给接口 更新对话表 作日志记录,Yes,图 5.7,SPI防火墙的处理过程,36,举 例,例1:主机A试图访问,它必须通过路由器,而该路由器被配置成SPI防火墙,下面是主机A发出连接请求的工作过 程,见图5.8。 1)A发出连接请求到 ; 2)请求到达路由器,路由器检查状态表; 3)如果有连接存在,且状态表正常,允许数据包通过; 4)如果无连接存在,创建状态项,将请求与防火墙规则集进行比较; 5)如果规则允许内部主机可以访问TCP/80。则允许数据包通过; 6)数据包被Web服务器接收; 7)SYN/ACK信息回到路由器,路由器检查状态表
16、; 8)状态表正确,允许数据包通过,数据包到达最先发出请求的计算 机; 9)如果规则不允许内部主机访问TCP/80。则禁止数据包通过,路 由器发送ICMP消息。,37,以 太 网,步骤(3),步骤(2),步骤(4),步骤(6),步骤(5),步骤(7),步骤(9),Internet,图5.8,主机A发出连接请求通过SPI防火墙,38,SPI防火墙的优缺点,优点:具有识别带有欺骗性源IP地址包的能力;检查的层面能够从网络层至应用层;具有详细记录通过的每个包的信息的能力,其中包括应用程序对包的请求,连接的持续时间,内部和外部系统所做的连接请求等。 缺点:所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞,特别是在同时有许多连接激活的时候,或者是有大量的过滤网络通信的规则存在时。但是,硬件速度越快,这个问题就越不易察觉。,39,5.1.3 代理服务防火墙,最初,代理服务器将常用的页面存储在缓冲区中,以便提高网络通信的速度。后来代理服务器逐渐发展为能够提供强大安全功能的一种技术。 代理能在应用层实现防火墙功
