《网络安全》_第05章 防火墙

《《网络安全》_第05章 防火墙》由会员分享，可在线阅读，更多相关《《网络安全》_第05章 防火墙（72页珍藏版）》请在金锄头文库上搜索。

1、网 络 安 全网 络 安 全北京邮电大学信息安全中心北京邮电大学信息安全中心 郑康锋 2本次课程内容（防火墙）本次课程内容（防火墙）防火墙概述防火墙技术防火墙体系架构网络隔离技术防火墙概述防火墙技术防火墙体系架构网络隔离技术防火墙发展史防火墙发展史?第一代：包过滤防火墙。1985年Cisco的IOS软件公司研制；?第二代：电路级网关防火墙。19891990，AT&T贝尔实验室提出的基于电路中继的结构；?第三代：应用层网关防火墙。20世纪90年代初，贝尔实验室；?第四代：动态包过滤防火墙。19911994；?第五代：尚未有统一的说法。观点一：1996年的内核代理结构；另一观点：1998年NAI公

2、司的自适应代理技术。4本次课程内容（防火墙）本次课程内容（防火墙）防火墙概述防火墙概述防火墙技术防火墙体系架构网络隔离技术防火墙技术防火墙体系架构网络隔离技术什么是防火墙什么是防火墙传统防火墙传统防火墙概念：防火墙被设计用来防止火从大厦的一部分传播到另一部分概念：防火墙被设计用来防止火从大厦的一部分传播到另一部分防火墙示意图防火墙示意图Internet1. 企业内联网企业内联网2. 部门子网部门子网3. 分公司网络分公司网络防火墙定义防火墙定义?防火墙是位于两个(或多个)网络间实施网间访问控制的一组组件的集合。?它满足以下条件?所有进出被保护网络的通信必须通过防火墙所有进出被保护网络的通信必须

3、通过防火墙?所有通过防火墙的通信必须经过安全策略的过滤或者防火墙的授权所有通过防火墙的通信必须经过安全策略的过滤或者防火墙的授权?防火墙自身应对渗透防火墙自身应对渗透(peneration)免疫免疫一个典型的防火墙使用形态一个典型的防火墙使用形态进 行 访 问 规 则 检查进 行 访 问 规 则 检查发 起 访 问 请求合法请求则允 许对外访问发 起 访 问 请求合法请求则允 许对外访问将访问记录 写进日志文 件将访问记录 写进日志文 件合法请求 则允许对 外访问发起访问请求合法请求 则允许对 外访问发起访问请求Internet 区域Internet 边界路由器边界路由器DMZ区域WWW Ma

4、il DNS内部工作子网管理子网管理子网一般子网一般子网内部内部WWW重点子网重点子网 防火墙在此处的功能：防火墙在此处的功能： 1、工作子网与外部子网的物理 隔离、工作子网与外部子网的物理 隔离 2、访问控制、访问控制 3、对工作子网做、对工作子网做NAT地址转换地址转换 4、日志记录、日志记录IT 领域使用的防火墙概念IT 领域使用的防火墙概念一种高级访问控制设备，置于不同一种高级访问控制设备，置于不同网络安全域网络安全域之间的一系列部件的组合，它是不 同网络安全域间通信流的之间的一系列部件的组合，它是不 同网络安全域间通信流的唯一通道唯一通道，能根据企业有关的安全政策，能根据企业有关的安

5、全政策控制控制（允许、拒 绝、监视、记录）进出网络的访问行为。（允许、拒 绝、监视、记录）进出网络的访问行为。两个安全域之间通 信流的唯一通道两个安全域之间通 信流的唯一通道安全域安全域1Host A Host B安全域安全域2Host C Host D UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource根据访问控制规则决 定进出网络的行为根据访问控制规则决 定进出网络的行为为什么需要防火墙为什么需要防火墙?保护内部不受来自Internet的攻击。内部网特点：?组成结构复杂?各节点通常自主管理?信任边界复

6、杂，缺乏有效管理?有显著的内外区别?机构有整体的安全需求?最薄弱环节原则?为了创建安全域?为了增强机构安全策略11防火墙实现层次防火墙实现层次防火墙的功能防火墙的功能应用程序代理访问控制用户认证NATVPN日志IDS与报警内容过滤应用程序代理访问控制用户认证NATVPN日志IDS与报警内容过滤防 火 墙 的 功 能过滤进出网络的数据管理进出网络的访问行为封堵某些禁止的业务记录进出网络的信息和活动对网络攻击进行检测和告警防火墙的功能防火墙的功能防火墙访问控制方法防火墙访问控制方法?服务控制服务控制：确定可以访问的服务类型；?方向控制方向控制：确定特定的服务请求可以发起并允许通过防火墙；?用户控制

7、用户控制：不同的用户具有不同服务访问的权限；?行为控制行为控制：控制怎样使用特定服务。如过滤垃圾邮件防火墙技术带来的好处防火墙技术带来的好处?强化安全策略? 有效地记录Internet上的活动? 隔离不同网络限制安全问题扩散? 是一个安全策略的检查站16防火墙的局限性防火墙的局限性?使用不便认为防火墙给人虚假的安全感? 对用户不完全透明可能带来传输延迟瓶颈及单点失效? 无法做到绝对的安全?不能防不能防范恶意的内部人员侵入的内部人员侵入?不能防不能防范不通过它的连不通过它的连接?不能防不能防范全新的全新的威胁?不能有效地防不能有效地防范数据数据驱动式的攻击动式的攻击?当使用用端-端加密时其作用会

8、受用会受到很大的限制很大的限制17防火墙分类防火墙分类从形态上 分类软件防火墙硬件防火墙从实现技 术分类包过滤防火墙应用网关防火墙代理防火墙状态检测防火墙电路级网关从部署位 置分类主机防火墙网络防火墙19本次课程内容（防火墙）本次课程内容（防火墙）防火墙概述防火墙概述防火墙技术防火墙技术防火墙体系架构网络隔离技术防火墙体系架构网络隔离技术? 网络地网络地址翻译? 静态包过包过滤? 动动态包过包过滤? 电路级网关路级网关? 应用层网关应用层网关(代理代理服务器器)? 状态检查包过滤? 切换代理? 空气隙防火墙相关技术防火墙相关技术包过滤防火墙包过滤防火墙?包过滤防火墙对所接收的每个数据包做允许、

9、拒绝的决定。?防火墙审查每个数据报以便确定其是否与某一条包过滤规则匹配。?过滤规则基于可以提供给IP转发过程的包头信息。?分为静态包过滤与动态包过滤两类。?动态包过滤对外出数据包的身份做一个标记，对相同连接的进入的数据包也被允许通过，也就是说，它捕获了一个“连接”，而不是单个数据包头中的信息。包过滤判断依据包过滤判断依据?基本信息?地址信息：源、目的IP地址?协议信息：数据包协议类型TCP、 UDP、 ICMP 、IGMP等?源、目的端口FTP、 HTTP 、DNS等?协议具体信息?IP选项源路由、记录路由等?TCP选项SYN 、ACK、 FIN 、RST等?其它协议选项ICMP、 ECHO、

10、 ICMP、 ECHO 、REPLY等?流向及接口信息?数据包流向in或out?数据包流经网络接口eth0 eth1包过滤防火墙包过滤防火墙?优点：?逻辑简单，价格便宜，成本低；?对网络性能的影响较小，有较强的透明性。?易于匹配绝大多数网络层、传输层数据包，定制策略灵活。?并且它的工作与应用层无关，无须改动任何客户机和主机上的应用程序，易于安装和使用。包过滤防火墙包过滤防火墙?缺点?配置基于包过滤方式的防火墙，需要对IP、TCP、UDP、ICMP等各种协议有深入的了解，否则容易出现因配置不当带来的问题；?据以过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不能得到充分满足；?由于数据包

11、的地址及端口号都在数据包的头部，不能彻底防止IP地址欺骗；?允许外部客户和内部主机的直接连接；?不提供用户的鉴别机制；?仅工作在网络层，提供较低水平的安全性。包过滤防火墙原理包过滤防火墙原理安全网域安全网域Host C Host D UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource数据包数据包数据包查找对应的 控制策略数据包数据包数据包查找对应的 控制策略拆开数据包拆开数据包根据策略决定如 何处理该数据包控制策略数据包过滤依据主要是根据策略决定如 何处理该数据包控制策略数据包过滤依据主要是TCP/IP报

12、头里面的 信息，不能对应用层数据进行处理报头里面的 信息，不能对应用层数据进行处理数据数据TCP报头报头IP报头报头分组过滤判断信息分组过滤判断信息灵活的访问控制灵活的访问控制Host C Host D 数据包 数据包数据包查找对应的 控制策略数据包 数据包数据包查找对应的 控制策略拆开数据包进行分析拆开数据包进行分析根据策略决定如 何处理该数据包数据包根据策略决定如 何处理该数据包数据包控制策略控制策略? 基于源基于源IP地址地址? 基于目的基于目的IP地址地址? 基于源端口基于源端口? 基于目的端口基于目的端口? 基于时间基于时间? 基于基于IP旗标旗标? 基于用户基于用户? 基于流量基于

13、流量可以灵活的制定的控制策略可以灵活的制定的控制策略电路级网关电路级网关?是一个通用代理服务器，它工作于OSI互联模型的会话层或是TCP/IP协议的TCP层。?它适用于多个协议，但它不能识别在同一个协议栈上运行的不同的应用，当然也就不需要对不同的应用设置不同的代理模块，但这种代理需要对客户端作适当修改。?它接受客户端的连接请求，代理客户端完成网络连接，建立起一个回路，对数据包起转发作用，数据包被提交给用户的应用层来处理。?通过电路级网关传递的数据似乎起源于防火墙，隐藏了被保护网络的信息。电路级网关实现方式电路级网关实现方式?拓扑结构同应用程序网关相同?接收客户端连接请求代理客户端完成网络连接?

14、在客户和服务器间中转数据?通用性强?简单重定向?根据客户的地址及所请求端口将该连接重定向到指定的服务器地址及端口上?对客户端应用完全透明? 在转发前同客户端交换连接信息?需对客户端应用作适当修改电路级网关优缺点电路级网关优缺点?优点：?对网络性能有低度到适中程度的影响：工作的层次比包过滤防火墙高，因此过滤性能稍差，但比应用代理防火墙性能好；?切断了外部网络到防火墙后面的服务器的直接连接；?比静态、动态包过滤防火墙具有更高的安全性。?缺点：?具有一些包过滤防火墙固有的缺陷：比如无法对数据内容进行检测，以抵御应用层的攻击等；?仅提供低度到中等程度的安全性。应用网关应用网关?应 用 网 关 防 火

15、墙 （ AGF,ApplicationGatewayFirewall），又称代理防火墙或简称应用网关。?应用网关在应用层处理信息?AGF可以支持多个应用，如E-mail，Web，DNS，Telnet，FTP等应用网关应用网关?应用网关代理服务器的工作过程为：?首先，它对该用户的身份进行验证。?若为合法用户，则把请求转发给真正的某个内部网络的主机，同时监控用户的操作，拒绝不合法的访问（访问权限）。?当内部网络向外部网络申请服务时，代理服务器的工作过程刚好相反。（认证输入、输出两个方向的连接）应用网关的优点应用网关的优点?应用网关代理的优点是?不允许内外网主机的直接连接；?可以提供比包过滤更详细的

16、日志记录（应用层信息）；?可以隐藏内部IP地址；?认证用户而非设备；?可以为用户提供透明的加密机制；?可以与认证、授权等安全手段方便的集成；?监控、过滤应用层信息；应用网关应用网关?应用网关技术的缺点是：?代理速度比包过滤慢；?代理对用户不透明，给用户的使用带来不便，灵活性不够；?这种代理技术需要针对每种协议设置一个不同的代理服务器；?有时要求特定的客户端软件。应用网关应用网关安全网域安全网域Host C Host D 数据包数据包数据包查找对应的 控制策略数据包数据包数据包查找对应的 控制策略拆开数据包拆开数据包根据策略决定如 何处理该数据包数据包应用代理可以对数据包的数据区进 行分析，并以此判断数据是否允许 通过根据策略决定如 何处理该数据包数据包应用代理可以对数据包的数据区进 行分析，并以此判断数据是否允许 通过控制策略控制策略数据数据TCP报头报头IP报头报头分组过滤判断信息应用代理判断信息分组过滤判断信息应用代理判断信息内容安全内容安全? 应用控制可以对常用的高层应用做更细的控制应用控制可以对常用的高层应用做更细的控制? 如如