《计算机基础课件 第8章 防火墙技术》由会员分享,可在线阅读,更多相关《计算机基础课件 第8章 防火墙技术(94页珍藏版)》请在金锄头文库上搜索。
1、第8章 防火墙技术李 剑北京邮电大学信息安全中心 E-mail: 电话:13001936882版权所有,盗版必纠概 述防火墙是网络安全的第一道防线,在网络安 全中有着不可或缺的重要作用。本章主要介 绍防火墙的一些基本概念、实现技术、体系 结构和发展趋势等。版权所有,盗版必纠目 录 第8章 防火墙技术 8.1 防火墙概述 8.2 防火墙技术 8.3 防火墙的体系结构 8.4 防火墙的硬件实现技术 8.5 防火墙的性能指标 8.6 防火墙常见功能指标 8.7 防火墙的常见产品介绍 8.8 防火墙的发展趋势版权所有,盗版必纠8.1.1 防火墙的定义 防火墙(Firewall)一词来源于早期的欧式建
2、筑,它 是建筑物之间的一道矮墙,用来防止发生火灾时火势 蔓延。在计算机网络中,防火墙通过对数据包的筛选 和屏蔽,可以防止非法的访问进入内部或外部计算机 网络。因此,防火墙可以定义为:位于可信网络与不 可信网络之间并对二者之间流动的数据包进行检查的 一台、多台计算机或路由器。如图8.1所示。通常内 部网络是可信的和安全的,外部网(如Internet)是 不可信和不安全的。版权所有,盗版必纠防火墙通常是运行在一台或多台计算机之上的一组特别的服务软件 ,用于对网络进行防护和通信控制。但是在很多情况下防火墙以专 门的硬件形式出现,这种硬件也被称为防火墙,它是安装了防火墙 软件,并针对安全防护进行了专门
3、设计的网络设备,本质上还是软 件在进行控制。 内部网络与外部网络所有通信的数据包都必须经过防火墙,而防火 墙只放行合法的数据包,因此它在内部网络和外部网络之间建立了 一个屏障。只要安装一个简单的防火墙,就可以屏蔽掉大多数外部 的探测与攻击。 如果没有防火墙,那么内部网络的安全性是由内部网络中安全性最 差的主机决定。如果内部网络很大,那么维护并提高每一台主机的 安全性是非常困难的,即使能够成功,代价也是非常大的。但是如 果安装了防火墙,防火墙就是内部网络和外部网络通信的唯一通道 ,管理员不必去担心每一台主机的安全,只要把精力放在防火墙上 就可以了。8.1.1 防火墙的定义版权所有,盗版必纠 第一
4、代防火墙技术几乎与路由器同时出现,它采用包过 滤技术,主要由附加在边界路由器上的访问控制列表 ACL构成。实践证明,因为网络协议的复杂性,路由器 的ACL无法满足实际需要,于是诞生了代理型防火墙, 也就是电路层网关和应用层网关。当时具有非常重要的 意义。1992年,USC信息科学院的BobBraden开发了 基于动态包过滤技术(Dynamic Packet Filter)的新 一代防火墙,后来演变为所说的状态监视技术。1994 年,Check point公司开发了第一个基于动态包过滤技 术的防火墙产品。1998年,美国网络联盟公司NAI( Network Associate Inc.)发明了一
5、种自适应代理( Adaptive Proxy)技术,并在其产品Gauntlet Firewall for NT中得以实现,赋予了代理型防火墙全新 的意义。表8.1总结了防火墙的发展历史。8.1.2 防火墙的发展历史版权所有,盗版必纠8.1.2 防火墙的发展历史版权所有,盗版必纠 既然防火墙要对内部网络与外部网络的通信数 据包进行筛选,那么它必然要有一些规则来判 定哪些数据包是合法的,哪些是非法的。这种 安全规则也可称为安全策略。 防火墙安全规则由匹配条件和处理方式两部分 组成。匹配条件是一些逻辑表达式,用于对通 信流量是否合法做出判断。若匹配条件值为真 ,那么就进行处理。处理方式主要有以下几种
6、 : 接受:允许通过。 拒绝:拒绝信息通过,通知发送信息的信息源 。 丢弃:直接丢弃信息,不通知信息源。8.1.3 防火墙的规则版权所有,盗版必纠 网络安全防御从防病毒开始到防火墙再到入侵检测系统 ,以及到立体的、纵深的防御策略,经历了不同层次的 安全产品阶段,现在已经基本认识到防火墙只是网络安 全机构中的一部分。 防火墙的优点主要包括: 可以完成整个网络安全策略的实施。防火墙可以把通信 访问限制在可管理范围内。 可以限制对某种特殊对象的访问。如限制某些用户对重 要服务器的访问。 具有出色的审计功能,可以对网络连接的记录和审计、 历史记录、故障记录等都具有很好的审计功能。 可以对有关的管理人员
7、发出警告。 可以将内部网络结构隐藏起来。8.1.4 防火墙的特点版权所有,盗版必纠 对于个人用户来说,安装一个简单的个人防火墙就可以 屏蔽掉绝大数非法的探测和访问。它不仅可以防止入侵 者对主机的端口、漏洞进行扫描,还能阻止木马进入主 机。总之,防火墙能够减轻内部网络被入侵和破坏的危 险,使得内部网络的机密数据得到保护。 但是防火墙和其它任何技术一样,也有其弱点。 不能防止不经过它的攻击和不能防止授权访问的攻击。 只能对配置的规则有效,不能防止没有配置的访问。 不能防止通过社交工程手段的攻击和一个合法用户的攻 击行为 不能防止针对一个设计上有问题的系统攻击。8.1.4 防火墙的特点版权所有,盗版
8、必纠 防火墙好像大门上的锁,主要职能是保护内部 网络的安全。由于防火墙处于内部网络和外部 网络之间这个特殊位置,因此,防火墙上还可 以添加一些其它功能,主要包括: 网络地址转换:通过防火墙将内部私有地址转 换为全球公共地址。 用户身份验证:对一个特定用户的身份进行校 验,判断是否合法。 网络监控:对通过防火墙的信息进行监控。8.1.5 防火墙的其它功能版权所有,盗版必纠 防火墙技术已经成为网络安全中必不可少 的安全措施。到目前为止,防火墙技术发 展得已经比较成熟。下面对防火墙的核心 技术做一个介绍。 8.1.4 防火墙的特点版权所有,盗版必纠 包过滤(Packet Filtering)技术是防
9、火墙在网 络层中根据数据包中包头信息有选择地实施允 许通过或阻断。第一代防火墙也是最基本形式 的防火墙包过滤防火墙,按照防火墙内事 先设定的过滤规则,对每一个通过的网络包头 部进行检查,根据数据包的源地址、目的地址 、TCP/UDP源端口号、TCP/UDP目的端口号 及数据包头中的各种标志位等因素来确定是否 允许数据包通过,其核心是安全策略即过滤规 则的设计。包过滤原理如图8.2所示。8.2.1包过滤技术版权所有,盗版必纠8.2.1包过滤技术版权所有,盗版必纠 我们知道,Internet服务器的服务都驻留在特 定的端口,包过滤器通过规定适当的端口号可 以达到阻止或允许到特定服务连接的目的,也
10、可以通过规定协议号,来达到阻止或允许协议 的连接,并可进一步组成一套数据包过滤规则 。包过滤防火墙检查每一个传入包,查看包中 可用的基本信息(源地址和目的地址、端口号 、协议等)。然后,将这些信息与设立的规则 相比较。如果已经设立了阻断telnet连接,而包 的目的端口是23的话,那么该包就会被丢弃。 如果允许传入Web连接,而目的端口为80,则 包就会被放行。8.2.1包过滤技术版权所有,盗版必纠 多个复杂规则的组合也是可行的。如果允 许Web连接,但只针对特定的服务器,目 的端口和目的地址二者必须与规则相匹配 ,才可以让该包通过。 最后,可以确定当一个包到达时,如果对 该包没有规则被定义,
11、接下来将会发生什 么事情了。通常,为了安全起见,与传入 规则不匹配的包就被丢弃了。如果有理由 让该包通过,就要建立规则来处理它。8.2.1包过滤技术版权所有,盗版必纠建立包过滤防火墙规则的例子如下: 对来自专用网络的包,只允许来自内部地址的包通过,因为其它包 包含不正确的包头部信息。这条规则可以防止网络内部的任何人通 过欺骗性的源地址发起攻击。而且,如果黑客对专用网络内部的机 器具有了不知从何得来的访问权,这种过滤方式可以阻止黑客从网 络内部发起攻击。 在公共网络,只允许目的地址为80端口的包通过。这条规则只允许 传入的连接为Web连接。这条规则也允许与Web连接使用相同端 口的连接,所以它并
12、不是十分安全。 丢弃从公共网络传入的包,而这些包都有你的网络内的源地址,从 而减少IP欺骗性的攻击。 丢弃包含源路由信息的包,以减少源路由攻击。要记住,在源路由 攻击中,传入的包包含路由信息,它覆盖了包通过网络应采取得正 常路由,可能会绕过已有的安全程序。通过忽略源路由信息,防火 墙可以减少这种方式的攻击。8.2.1包过滤技术版权所有,盗版必纠 本质上,包过滤防火墙是多址的,表明它有两 个或两个以上网络适配器或接口。例如,作为 防火墙的设备可能有两块网卡(NIC),一块连 到内部网络,一块连到公共的Internet。防火 墙的任务,就是作为“通信警察”,指引包和截 住那些有危害的包。 包过滤技
13、术在防火墙上的应用非常广泛。因为 CPU用来处理包过滤的时间相对很少,且这种 防护措施对用户透明,合法用户在进出网络时 ,根本感觉不到它的存在,使用起来很方便。 此外,因为包过滤技术不保留前后连接信息, 所以很容易实现允许或禁止访问。8.2.1包过滤技术版权所有,盗版必纠 但是,因为包过滤技术是在TCP/IP层实现的, 所以包过滤的一个很大弱点是不能在应用层级 别上进行过滤,所以防护方式比较单一。但是 现在已经有一些在IP层重组应用层数据的技术 ,从而可以对应用层数据进行检查,可以辨认 一些入侵活动,达到很好的防护效果。 目前,包过滤技术作为防火墙的应用有两类: 一是路由设备在完成路由选择和数
14、据转发之外 ,同时进行包过滤,这是目前较常用的方式; 二是在一种称为屏蔽路由器的路由设备上启动 包过滤功能。8.2.1包过滤技术版权所有,盗版必纠 应用网关(Application Gateway)接受内、 外部网络的通信数据包,并根据自己的安全策 略进行过滤,不符合安全协议的信息被拒绝或 丢弃。与包过滤防火墙不同的是,它不使用通 用目标机制来允许各种不同种类的通信,而是 针对每个应用使用专用目的的处理方法。虽然 这样做看起来有些麻烦,但却比任何其它方法 安全得多,因为不必担心不同过滤规则集之间 的交互影响及对外部提供安全服务的主机中的 漏洞,而只需仔细检查选择的应用程序。8.2.2 应用网关
15、技术版权所有,盗版必纠 应用层网关在较高层次上实现了内外网络通信的监控与 管理,它的安全性较包过滤防火墙有了很大提高,但这 是以牺牲应用层的透明性为代价的。对于客户来说,它 是一个服务器,对服务器来说,它是一个客户。应用网 关在客户和服务器之间建立了一个虚拟连接。其工作原 理如图8.3所示。8.2.2 应用网关技术版权所有,盗版必纠 应用网关技术是建立在网络应用层上的协 议过滤,它针对特定的网络应用服务协议 进行过滤,并且能够对数据包进行分析并 形成相关的报告。它的另一个功能是对通 过的信息进行记录,如什么样的用户在什 么时间连接了什么站点。在实际工作中, 应用网关一般由专用工作站系统来完成。
16、8.2.2 应用网关技术版权所有,盗版必纠 该技术的优点是:它易于记录并控制所有 的进出通信,并对Internet的访问做到内 容级的过滤,控制灵活而全面,安全性高 ;应用级网关具有登记、日志、统计和报 告功能,又很好的审计功能,还可以具有 严格的用户认证功能。缺点是:需要为每 种应用写不同的代码,维护比较困难,另 外就是速度较慢。8.2.2 应用网关技术版权所有,盗版必纠电路级网关也被称为线路级网关,它工作在会话层。它在两个主机 首次建立TCP连接时创立一个电子屏障。它作为服务器接收外来请 求、转发请求;与被保护主机连接时,则担当客户机的角色,起代 理服务的作用。它监视两主机建立连接时的握手信息,如SYN、 ACK等标志和序列号等是否合乎逻辑,判定该会话请求是否合法。 一旦会话连接有效后,网关仅复制、传递数据,而不进行过滤。电 路网关中特殊的客户程序只在
