《第9章防火墙技术教学教材》由会员分享,可在线阅读,更多相关《第9章防火墙技术教学教材(84页珍藏版)》请在金锄头文库上搜索。
1、第9章 防火墙技术,9.1 防火墙概述 9.2 防火墙的设计策略和安全策略 9.3 防火墙的体系结 9.4 防火墙的主要技术,9.1.1 防火墙的基本概念 防火墙是在两个网络之间执行控制和安全策略的系统,它可以是软件,也可以是硬件,或两者并用。,9.1 防火墙概述,9.1.2 防火墙的作用与不足 总的来说,防火墙系统应具有以下5个方面的特性。 (1)内部网和外部网之间的数据传输都必须经过防火墙。 (2)只有被授权的合法数据,即符合安全策略的数据,才可以通过防火墙,其他的数据将被防火墙丢弃。,采用防火墙保护内部网有以下优点。 (1)防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户(如黑客
2、和网络破坏者等)进入内部网。 (2)保护网络中脆弱的服务。 (3)在防火墙上可以很方便地监视网络的安全性,并产生报警。 (4)可以集中安全性。 (5)防火墙可以作为部署(网络地址转换Network Address Translator,NAT)的逻辑地址。 (6)增强保密性和强化私有权。 (7)防火墙是审计和记录Internet使用量的一个最佳地方。 (8)防火墙也可以成为向客户发布信息的地点。,防火墙有如下的缺陷和不足。 (1)限制有用的网络服务。 (2)无法防护内部网用户的攻击。 (3)防火墙无法防范通过防火墙以外的其他途径的攻击。 (4)防火墙也不能完全防止传送已感染病毒的软件或文件。
3、(5)防火墙无法防范数据驱动型的攻击。 (6)不能防备新的网络安全问题。,图9.1 防火墙后门,9.2 防火墙的设计策略和安全策略,9.2.1 防火墙的设计策略 防火墙一般执行以下两种基本设计策略中的一种。 (1)除非明确不允许,否则允许某种服务。 (2)除非明确允许,否则将禁止某种服务。,9.2.2 防火墙的安全策略 研制和开发一个有效的防火墙,首先要设计和制定一个有效的安全策略。安全策略应包含以下主要内容: (1)用户账号策略;(2)用户权限策略; (3)信任关系策略;(4)包过虑策略; (5)认证策略; (6)签名策略; (7)数据加密策略; (8)密钥分配策略; (9)审计策略。,1用
4、户账号策略 2用户权限策略 3信任关系策略,图9.2 单向信任关系,图9.3 双向信任关系,图9.4 多重信任关系,4包过虑策略 这里主要从以下几个方面来讨论包过滤策略: 包过滤控制点; 包过滤操作过程; 包过滤规则; 防止两类不安全设计的措施; 对特定协议包的过滤。,(1)包过滤控制点 (2)包过滤操作过程 (3)包过滤规则 (4)防止两类不安全设计的措施 (5)对特定协议包的过滤,5认证、签名和数据加密策略 6密钥分配策略 7审计策略 审计是用来记录如下事件: (1)哪个用户访问哪个对象; (2)用户的访问类型; (3)访问过程是否成功。,9.3 防火墙的体系结构,防火墙按体系结构可以分为
5、包过滤防火墙、屏蔽主机防火墙、屏蔽子网防火墙、多宿主主机防火墙和通过混合组合而衍生的其他结构的防火墙。 9.3.1 包过滤型防火墙 包过滤型防火墙的核心技术就是安全策略设计即包过滤算法的设计。,图9.5 包过滤型防火墙,包过滤型防火墙具有以下优点。 (1)处理包的速度比代理服务器快,过滤路由器为用户提供了一种透明的服务,用户不用改变客户端程序或改变自己的行为。 (2)实现包过滤几乎不再需要费用(或极少的费用),因为这些特点都包含在标准的路由器软件中。 (3)包过滤路由器对用户和应用来讲是透明的。,包过滤型防火墙存在以下的缺点。 (1)防火墙的维护比较困难,定义数据包过滤器会比较复杂,因为网络管
6、理员需要对各种Internet服务、包头格式以及每个域的意义有非常深入的理解,才能将过滤规则集尽量定义得完善。 (2)只能阻止一种类型的IP欺骗,即外部主机伪装内部主机的IP,对于外部主机伪装其他可信任的外部主机的IP却不可阻止。 (3)任何直接经过路由器的数据包都有被用做数据驱动攻击的潜在危险。,(4)一些包过滤网关不支持有效的用户认证。 (5)不可能提供有用的日志,或根本就不提供,这使用户发觉网络受攻击的难度加大,也就谈不上根据日志来进行网络的优化、完善以及追查责任。 (6)随着过滤器数目的增加,路由器的吞吐量会下降。 (7)IP包过滤器无法对网络上流动的信息提供全面的控制。 (8)允许外
7、部网络直接连接到内部网络的主机上,易造成敏感数据的泄漏。,包过滤路由器常见的攻击有以下几种。 (1)源IP地址欺骗式攻击。 (2)源路由攻击。 (3)极小数据段式攻击。,9.3.2 多宿主主机(多宿主网关)防火墙 多宿主主机拥有多个网络接口,每一个接口都连在物理上和逻辑上都分离的不同的网段上。每个不同的网络接口分别连接不同的子网,不同子网之间的相互访问实施不同的访问控制策略。,图9.6 双宿主机防火墙,双宿主主机防火墙采用主机取代路由器执行安全控制功能,故类似于包过滤防火墙,双宿主主机可以在内部网络和外部网络之间进行寻径。 双宿主主机防火墙的最大特点是IP层的通信被阻止,两个网络之间的通信可通
8、过应用层数据共享或应用层代理服务来完成,而不能直接通信。,图9.7 应用层数据共享,图9.8 运行代理服务器的双宿主机,使用双宿主主机作为防火墙,防火墙本身的安全性至关重要。,图9.9 运行代理服务器的双宿主机,9.3.3 屏蔽主机型防火墙 屏蔽主机型防火墙由堡垒主机和包过滤路由器组成,所有的外部主机与一个堡垒主机相连接而不让它们与内部主机直接相连。,图9.10 被屏蔽主机结构,图9.11 堡垒主机转发数据包,9.3.4 屏蔽子网型防火,图9.12 被屏蔽子网防火墙系统(DMZ),墙根据堡垒主机和包过滤器的各种组合,基于屏蔽子网的防火墙系统衍生出了一些派生结构体系。 (1)合并“非军事区”的外
9、部路由器和堡垒主机的结构系统。,图9.13 使用合并外部路由器和堡垒主机体系结构,(2)合并DMZ的内部路由器和外部路由器结构如图9.14所示。,图9.14 使用合并内部路由器和外部路由器的体系结构,(3)使用多台堡垒主机的体系结构如图9.15所示。,图9.15 两个堡垒主机和两个“非军事区”,图9.16 牺牲主机结构,(4)使用多台外部路由器的体系结构,如图9.17所示。,图9.17 使用多台外部路由器的体系结构,9.3.5 堡垒主机 堡垒主机是一种被强化的可以防御进攻的计算机,是高度暴露于Internet中的,也是网络中最容易受到侵害的主机。 构筑堡垒主机的基本原则有以下两条。 (1)使堡
10、垒主机尽可能简单 (2)做好备份工作以防堡垒主机受损,1堡垒主机的主要结构 当前堡垒主机主要采用以下3种结构。 (1)无路由双宿主主机 (2)牺牲主机 (3)内部堡垒主机,2堡垒主机的选择 (1)选择主机时,应选择一个可以支持多个网络接口同时处于活跃状态,从而能够向内部网用户提供多个网络服务的机器。 (2)建议用户选择较为熟悉的UNIX操作系统作为堡垒主机的操作系统。 (3)选择堡垒主机时,不需要功能过高、速度过快的机器,而是争取做到物尽其用。但是应使堡垒主机的内存和硬盘足够大,以保证足够的信息交换空间。 (4)在网络上,堡垒主机应位于DMZ内没有机密信息流或信息流不太敏感的部分。 (5)在配
11、置堡垒主机的网络服务时,应注意除了不得不提供的基本网络服务(如SMTP,FTP,WAIS,HTTP,NNTP和Gopher)外,应把那些内部网不使用的服务统统关闭。而且应尽量减少堡垒主机上的用户账户数,如果有可能,应禁止一切用户账户。,9.4 防火墙的主要技术,9.4.1 数据包过滤技术 数据包过滤技术是在网络中的适当位置对数据包实施有选择的通过的技术。 1包过滤的模型,图9.18 包过滤模型,包过滤一般要检查下面几项: (1)IP源地址; (2)IP目的地址; (3)协议类型(TCP包、UDP包和ICMP包); (4)TCP或UDP的源端口; (5)TCP或UDP的目的端口; (6)ICMP
12、消息类型; (7)TCP报头中的ACK位。 另外,TCP的序列号、确认号,IP校验以及分段偏移也往往是要检查的选项。,2数据包过滤特性 (1)IP包过滤特性 (2)TCP包过滤特性 (3)UDP包的过滤特性 (4)ICMP包的过滤特性,图9.19 TCP的连接过程,图9.21 UDP动态数据包过滤,在决定包过滤防火墙是否返回ICMP错误代码时,应考虑以下几点。 防火墙应该发送什么消息。 是否负担得起生成和返回错误代码的高额费用。 返回错误代码能使得侵袭者得到很多有关你发送的数据包过滤信息。 什么错误代码对你的网站有意义。,(5)RPC服务中的包过滤的特点,图9.22 RPC的端口映射,(6)源
13、端口过滤的作用,表9.1过滤规则示例,图9.23 进攻X窗口服务,(7)ACK位在数据包过滤中的作用,表9.2 过滤规则示例,图9.24 用ACK位阻止欺骗,(8)包过滤技术的优点 帮助保护整个网络,减少暴露的风险; 对用户完全透明,不需要对客户端做任何改动,也不需要对用户做任何培训; 很多路由器可以作数据包过滤,因此不需要专门添加设备。,包过滤最明显的缺陷是即使是最基本的网络服务和协议,它也不能提供足够的安全保护,包过滤是不够安全的。 包过滤规则难于配置。一旦配置,数据包过滤规则也难于检验。 包过滤仅可以访问包头信息中的有限信息。 包过滤是无状态的,因为包过滤不能保持与传输相关的状态信息或与
14、应用相关的状态信息。 包过滤对信息的处理能力非常有限。 一些协议不适合用数据包过滤,如基于RPC的应用的“r”命令等。,9.4.2 代理技术 代理技术也称为应用层网关技术,代理技术与包过滤技术完全不同,包过滤技术是在网络层拦截所有的信息流,代理技术是针对每一个特定应用都有的一个程序。,1应用级代理 应用级代理有两种情况,一种是内部网通过代理访问外部网。另一种情况是,外部网通过代理访问内部网。 代理使得网络管理员能够实现比包过滤路由器更严格的安全策略,它会对应用程序的数据进行校验以确保数据格式可以接受。,图9.25 Telnet代理服务,图9.26 Internet客户通过代理服务器访问内部网主
15、机,提供代理应用层网关主要有以下优点。 (1)应用层网关有能力支持可靠的用户认证并提供详细的注册信息。 (2)应用层的过滤规则相对于包过滤路由器来说更容易配置和测试。 (3)代理工作在客户机和真实服务器之间,完全控制会话,所以可以提供很详细的日志和安全审计功能。 (4)提供代理服务的防火墙可以被配置成惟一的可被外部看见的主机,这样可以隐藏内部网的IP地址,可以保护内部主机免受外部网的进攻。 (5)通过代理访问Internet,可以解决合法的IP地址不够用的问题。,然而,应用层代理也有明显的缺点,主要包括以下几点。 (1)有限的连接性。 (2)有限的技术。应用层网关不能为RPC、Talk和其他一
16、些基于通用协议簇的服务提供代理。 (3)性能。应用层实现的防火墙会造成明显的性能下降。,(4)每个应用程序都必须有一个代理服务程序来进行安全控制,每一种应用程序升级时,一般代理服务程序也要升级。 (5)应用层网关要求用户改变自己的行为,或者在访问代理服务的每个系统上安装特殊的软件。(6)对用户不透明。在一个要求用户接口和用户体系结构友好易操作的今天,这种“不友好”性显得不合时宜。 (6)对用户不透明。在一个要求用户接口和用户体系结构友好易操作的今天,这种“不友好”性显得不合时宜。,图9.27 智能代理服务器,2电路级网关代理技术 应用层代理为一种特定的服务(如FTP和Telnet等)提供代理服务。 这种代理的优点是它可以对各种不同的协议提供服务,但这种代理需要改进客户程序。 Socks是一种非常强大的电路级网关防火墙,它只中继基于TCP的数据包,图9.28 电路级网关,图9.29 Socks服务器,9.4.3 状态检查技术 状态检查技术能在网络层实现所有需要的防火墙能力,它既有包过滤机制的速度和灵活,也有应用级网关安全的优点
