《{安全生产管理}计算机网络安全管理讲义第8章防火墙安全管理》由会员分享,可在线阅读,更多相关《{安全生产管理}计算机网络安全管理讲义第8章防火墙安全管理(30页珍藏版)》请在金锄头文库上搜索。
1、第8章 防火墙安全管理,8.1 防火墙概述,8.2 防火墙的类型,8.3 防火墙体系结构,8.4 防火墙的选择,8.5 常用防火墙的配置与管理,现代网络安全服务一般有两种:一是存取控制,禁止非法的通信和连网;二是通信安全服务,提供授权数据的完整性、可靠性,具有对同级通信者的访问否定权。当用户连上Internet,就可在中间插入一个或几个中介系统的控制关联,防止通过网络进行的攻击,并提供单一的安全和审计的安装控制点,这些中间系统就是防火墙。由于Internet的开放性,网络安全技术变化很大,Internet的安全技术包括传统的网络安全技术和分布式网络安全技术,主要技术是解决如何利用Interne
2、t进行安全通信,同时保护内部网络免受外部攻击。而防火墙正能实现这些技术。 防火墙是一种被动的防御技术,是一类防范措施的总称,是保护计算机网络安全技术性措施之一,是一种隔离控制技术,在内部专用网和外部网络间设置保护,防止对信息资源的非授权访问,防火墙也是目前在网络安全技术中使用最多、最广泛的,因此我们有必要在网络安全管理中专门来讲述。,8.1 防火墙概述,防火墙(Firewall),是现代网络安全技术中最常用的技术,它使得内部网络与外部网络(包括Internet等)之间的通信量必须经过防火墙进行筛选,符合标准的分组将被正常转发,不能通过检查的分组就被丢弃。设置防火墙,就形同装置一个防盗门。一般的
3、防火墙由两个组成部分:两个分组筛选器(路由器)和一个应用程序网关。 防火墙是用来保护由许多台计算机组成的大型网络,防火墙可以是非常简单的过滤器,也可能是精心配置的应用网关,但它们的原理是一样的,都是监测并过滤所有通向外部网和从外部网传来的信息,防火墙保护着内部敏感的数据不被偷窃和破坏,并用日志记录通信发生的时间和操作。防火墙通常是运行在一台计算机中的软件,它可以识别并屏蔽非法的请求。 防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。,
4、8.1.1 防火墙的特点,8.1.2 实现防火墙的技术,1. 包过滤技术(PacketFilter) 包过滤是在网络层中对数据包进行有选择的通过。依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址、所用的TCP端口与TCP链路状态等因素来确定是否允许数据包通过。包过滤是在IP层实现的,因此,它可以只用路由器完成。包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及报文传递方向等报头信息来判断是否允许报文通过。现在也出现了一种可以分析报文数据区内容的智能型包过滤器。包过滤器的应用非常广泛,因为CPU用来处理包过滤的时间可以忽略不计。而且这种防护措施对用户透
5、明,合法用户在进出网络时,根本感觉不到它的存在,使用起来很方便。包过滤另一个也是很关键的弱点是不能在用户级别上进行过滤,即不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址,就可以很轻易地通过报文过滤器。,2. 应用网关技术(ApplicationGateway) 应用网关技术是利用网络应用层上的协议过滤。它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数据被窃取。在实际工作中,应用网关一般由专用工作站系统来完成。 3. 代理服务
6、(ProxyServer) 是设置在Internet防火墙网关的专用应用级代码。这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过,一旦判断条件满足,防火墙内部网络的结构和运行状态便“暴露”在外来用户面前,这就引入了代理服务的概念,即防火墙内外计算机系统应用层的“链接”由两个终止于代理服务的“链接”来实现,这就成功地实现了防火墙内外计算机系统的隔离。同时,代理服务还可用于实施较强的数据流监控、过滤、记录和报告等功能。代理服务技术主要通过专用计算机硬件(如工作站)来承担。代理服务器则是代表网络内部用户的代理者
7、,它实际上是一个应用层上的网关。当用户使用TCP/IP应用时,给Proxy提供合法身份和授权信息,Proxy就和被访问主机联系,并在两个通信点之间中继传递IP数据包。IP包处理的过程对用户是透明的。,4. IP通道(IPTunnels) 当两个相关的网络相隔很远,要通过Internet通信的情况下,可以采用IPTunnels来防止Internet上的入侵者截取信息,实质是建立虚拟专用网。试分析一下其工作原理。子网A中一主机(IP地址为X.X.X.X)欲向子网B中某主机(IP地址为Y.Y.Y.Y)发送报文,该报文经过本网防火墙FW1(IP地址N.N.N.1)时,防火墙判断该报文是否发往子网B,若
8、是,则再增加一报头,变成从此防火墙到子网B防火墙FW2(N.N.N.2)的IP报文,而将原IP地址封装在数据区内,同原数据一起加密后经Internet发往FW2。FW2接收到报文后,若发现源IP地址是FW1的,则去掉附加报头,解密,在本网上传送。从Internet上看,就只是两个防火墙的通信。即使黑客伪装了从FW1发往FW2的报文,由于FW2在去掉报头后不能解密,会抛弃报文。,5. 网络地址转换器(NAT Network Address Translate) 当受保护网连到Internet上时,受保护网用户若要访问Internet,必须使用一个合法的IP地址。但由于合法InternetIP地址
9、有限,而且受保护网络往往有自己的一套IP地址规划(非正式IP地址)。网络地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet时,防火墙动态地从地址集中选一个未分配的地址分配给该用户,该用户即可使用这个合法地址进行通信。同时,对于内部的某些服务器如Web服务器,网络地址转换器允许为其分配一个固定的合法地址。外部网络的用户就可通过防火墙来访问内部的服务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾,又对外隐藏了内部主机的IP地址,提高了安全性。 6. 隔离域名服务器(Split Domain Name Server) 这种技术是通过防火墙将受保护网络的域名服
10、务器与外部网的域名服务器隔离,使外部网的域名服务器只能看到防火墙的IP地址,无法了解受保护网络的具体情况,这样可以保证受保护网络的IP地址不被外部网络知悉。,8.2 防火墙的类型,8.2.1 网络级防火墙 网络级防火墙是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来自何方,去向何处。 网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定义了各种规则来表明是否同意
11、或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包。另外,通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。,8.2.2 应用级防火墙,应用级网关防火墙你也许不熟悉,它的别名是代理服务器,这种防火墙有较好的访问控制,是目前最安全的防火墙技术,但它对用户是不透明的,用户在受信任的网络上通过防火墙访问Internet时,经常会发现存在延迟并且必须进行多次登录(Login)才能访问Internet或Intranet。应用级防火墙应
12、用于特定的Internet服务,HTTP、NNTP、FTP、Telnet等。代理服务器通常运行在两个网络之间,它对于客户来说是象是一台真的服务器一样,而对于外界的服务器来说,它又是一台客户机。当代理服务器接受到用户的请求后会检查用户请求的站点是否符合要求,如果允许用户访问该站点的话,代理服务器会象一个客户一样去那个站点取回所需信息再转发给客户。代理服务器都通常拥有一个高速缓存,这个缓存存储有用户经常访问站点的内容,在下一个用户要访问同样的站点时,服务器就用不着重复地去抓同样的内容,既节约了时间也节约了网络资源。代理服务器会象一堵真的墙那样挡在内部用户和外界之间,从外面只能看到代理服务器而看不到
13、任何的内部资源,诸如用户的IP等。应用级网关比单一的包过滤更为可靠,而且会详细地记录下所有的访问记录。但是应用级网关的访问速度慢,因为它不允许用户直接访问网络。而且应用级网关需要对每一个特定的互联网服务安装相应的代理服务软件,用户不能使用未被服务器支持的服务,它的效率不如网络级防火墙。,8.2.3 电路级网关防火墙,电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。 实际上电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结合在一起,如Trus
14、tInformationSystems公司的GauntletInternetFirewall;DEC公司的AltaVistaFirewall等产品。另外,电路级网关还提供一个重要的安全功能:代理服务器(ProxyServer),代理服务器是个防火墙,在其上运行一个叫做地址转移的进程,来将所有你公司内部的IP地址映射到一个安全的IP地址,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一些缺陷,因为该网关是在会话层工作的,它就无法检查应用层级的数据包。,8.2.4 规则检查防火墙,规则检查防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样,规则检查防火墙能够在OS
15、I网络层上通过IP地址和端口号,过滤进出的数据包。它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样,可以在OSI应用层上检查数据包的内容,查看这些内容是否能符合公司网络的安全规则。 规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,它并不打破客户机/服务机模式来分析应用层的数据,它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。,8.2.5 状态监视器,
16、状态防火墙的安全特性是非常好的,它采用了一个在网关上执行网络安全策略的软件引擎,称之为检测模块。检测模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施监测,抽取部分数据,即状态信息,并动态地保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。与其它安全方案不同,当用户访问到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全规定,安全报警器就会拒绝该访问,并作记录,向系统管理器报告网络状态。 状态监视器的另一个优点是它会监测RPC(Remote Procedure Call)和(UDP)User Data gram Protocol之类的端口信息。包过滤和代理网关都不支持此类端口。这种防火墙无疑是非常坚固的,但它的配置非常复杂,而且会降低网络的速度。,8.3 防火墙体系结构,防火墙体系结构主要有三种: 双重宿主主机体系结构; 被屏蔽主机体系结构; 被屏蔽子网体系结构。,8.3.1 双重宿主主机体系结构,双重宿主主机体系
