防火墙技术-精品课件

《防火墙技术-精品课件》由会员分享，可在线阅读，更多相关《防火墙技术-精品课件（235页珍藏版）》请在金锄头文库上搜索。

1、防火墙技术访问控制与防火墙技术1 计算机安全等级的划分 2 访问控制 3 防火墙技术4 包过滤技术5 应用代理技术6 防火墙应用实例防火墙技术防火墙的概念、原理 防火墙(Firewall)原是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，一旦汽车引擎着火，防火墙不但能保护乘客安全，同时还能让司机继续控制引擎。在电脑中，防火墙是一种设 备，可使个别网路不受公共部分(因特网)的影响。后来，将防火墙电脑简称为“防火墙”，它分别连接受保护网络和因特网。 防火墙技术防火墙作为网络防护的第一道防线，它由软件或/和硬件设备组合而成，它位于企业或网络群体计算机与外界通道(Internet)的边界

2、，限制着外界用户对内部网络的访问以及管理内部用户访问外界网络的权限。防火墙是一种必不可少的安全增强点，它将不可信网络同可信任网络隔离开(图8-1)。防火墙筛选两个网络间所有的连接，决定哪些传输应该被允许哪些应该被禁止，这取决于网络制定的某一形式的安全策略。防火墙技术图8-1 防火墙示意图 防火墙技术防火墙是放置在两个网络之间的一些组件，这组组件具有下列性质：(1) 双向通信必须通过防火墙； (2) 防火墙本身不会影响信息的流通； (3) 只允许本身安全策略授权的通信信息通过。防火墙技术防火墙是在内部网和外部网之间实施安全防范的系统。可认为它是一种访问控制机制，用于确定哪些内部服务对外开放，以及

3、允许哪些外部服务对内部开 放。它可以根据网络传输的类型决定IP包是否可以进出企业网、防止非授权用户访问企业内部、允许使用授权机器的用户远程访问企业内部、管理企业内部人 员对Internet的访问。防火墙的组成可用表达式说明如下：防火墙技术防火墙过滤器安全策略(网关)防火墙通过逐一审查收到的每个数据包，判断它是否有相匹配的过滤规则。即按表格中规则的先后顺序以及每条规则的条件逐项进行比较，直到满 足某一条规则的条件，并作出规定的动作(中止或向前转发)，从而来保护网络的安全。防火墙技术防火墙主要提供以下四种服务：(1) 服务控制：确定可以访问的网络服务类型。(2) 方向控制：特定服务的方向流控制。(

4、3) 用户控制：内部用户、外部用户所需的某种形式的认证机制。(4) 行为控制：控制如何使用某种特定的服务。防火墙技术8.1 防火墙技术第一代防火墙出现在大约十年前，它是一种简单的包过滤路由器形式。如今，有多种防火墙技术供网络安全管理员选择。防火墙一般可以分为以下几种：包过滤型防火墙、应用网关型防火墙、电路级网关防火墙、状态检测型防火墙、自适应代理型防火墙。下面具体分析各种防火墙技术。防火墙技术8.1.1 包过滤防火墙 (TCP、IP)包是网络上信息流动的基本单位，它由数据负载和协议头两个部分组成。包过滤作为最早、最简单的防火墙技术，正是基于协议头的内容进行过滤的 。术语“包过滤”通过将每一输入

5、/输出包中发现的信息同访问控制规则相比较来决定阻塞或放行包。通过检查数据流中每一个数据包的源地址、目的地址、所用端口、协议状态等因素，或它们的组合来确定是否允许该数据包通过。如果包在这一测试中失 败，将在防火墙处被丢弃。包过滤防火墙如图8-2所示。防火墙技术图8-2 包过滤防火墙 防火墙技术包过滤路由器与守卫有些相似，当装载有包的运输卡车到达时，“包过滤”守卫快速的察看包的住户地址是否正确，检查卡车的标识(证件)以确保它也是正确的，接着送卡车通过关卡传递包。虽然这种方法比没有关卡更安全，但是它还是比较容易通过并且会使整个内部网络暴露于危险之中。防火墙技术包过滤防火墙是最快的防火墙，这是因为它们

6、的操作处于网络层并且只是粗略检查特定的连接的合 法性。例如HTTP通常为Web服务连接使用80号端口。如果公司的安全策略允许内部职员访问网站，包 过滤防火墙可能设置允许所有的连接通过80号这一缺省端口。不幸的是，像这样的假设会造成实质上 的安全危机。当包过滤防火墙假设来自80端口的传输通常是标准Web服务连接时，它对于应用层实际所发生的事件的能见度为零。任何意识到这一缺陷的 人都可通过在80端口上绑定其它没有被认证的服务，从而进入私有网络而不会被阻塞。 防火墙技术许多安全专家也批评包过滤防火墙，因为端点之间可以通过防火墙建立直接连接。一旦防火墙允许某一连接，就会允许外部源直接连接到防火墙后的目

7、标，从而潜在的暴露了内部网络，使之容易遭到攻击。防火墙技术8.1.2 应用代理防火墙(Application Layer)在包过滤防火墙出现不久，许多安全专家开始寻找更好的防火墙安全机制。他们相信真正可靠的安全 防火墙应该禁止所有通过防火墙的直接连接在协议栈的最高层检验所有的输入数据。为测试这一理论 ，DARPA (Defense Advanced Research Projects Agency)同在华盛顿享有较高声望的以可信信息系统著称的高级安全研究机构签订了合同，以开发安全的 “应用级代理”防火墙。这一研究最终造就了Gauntlet(http:/ 识别重要的应用程序命令，像FTP的“pu

8、t”上传请求和“get”下载请求。防火墙技术图8-3 应用代理防火墙 防火墙技术应用级代理防火墙也具有内建代理功能的特性在防火墙处终止客户连接并初始化一条到受保护内部网络的新连接。这一内建代理机制提供额外的安全，这是因为它将内部和外部系统隔离开来，从外面只看到代理服务器，而看不到任何内部资源，而且代理服务器只允许被代理的服务通过。这使得系统外部的黑客要探测防火墙内部系统变得更加困难。防火墙技术考虑前面安全守卫的类比，和刚才在输入包中查找地址不同的是，“应用级代理”安全守卫打开每个包并检查其中内容并将发送者的信任书同已明确建立的评价标准相对比。如果每个传输包都通过了这种细致的检查，那么守卫签署传

9、送标记，并在内部送一份可信快递以传递该包到合适的住户，卡车及司机无法进入。这种安全检查不仅更可靠，而且司机看不到内部网络。尽管这些额外的安全机制将花费更多处理时间 ，但可疑行为绝不会被允许通过“应用级代理”安全守卫。防火墙技术代理服务安全性高，可以过滤多种协议，通常认为它是最安全的防火墙技术。其不足主要是不能完全透明地支持各种服务、应用，一种代理只提供一种服 务。另外需要消耗大量的CPU资源，导致相对低的性能。防火墙技术8.1.3 电路级网关型防火墙(Session Layer)电路级起一定的代理服务作用，它监视两主机建立连接时的握手信息，从而判断该会话请求是否合 法，如图8-4所示。一旦会话

10、连接有效，该网关仅复制、传递数据。它在IP层代理各种高层会话，具有隐藏内部网络信息的能力，且透明性高。但由于其对会话建立后所传输的具体内容不再作进一步地分析，因此安全性稍低。防火墙技术图8-4 电路级防火墙 防火墙技术电路级网关不允许进行端点到端点的TCP连接，而是建立两个TCP连接。一个在网关和内部主机上的TCP用户程序之间，另一个在网关和外部主机的TCP用户程序之间。一旦建立两个连接，网关通常就只是 把TCP数据包从一个连接转送到另一个连接中去而不检验其中的内容。其安全功能就是确定哪些连接是允许的。它和包过滤型防火墙有一个共同特点，都是依靠特定的逻辑来判断是否允许数据包通过，但包过滤型防火

11、墙允许内外计算机系统建立直接联系，而电路级 网关无法IP直达。防火墙技术电路级网关实现的一个例子就是SOCKS (http:/ SOCKS协议层次 防火墙技术1SOCKS代理服务器概念当一个应用程序客户需要连接到一个应用服务器时，客户先连接到SOCKS代理服务器，代理服务器代表客户连接到应用服务器，并在客户和应用服 务器之间中继(Relay)数据。对于应用服务器来说，代理服务器就是客户。防火墙技术2SOCKS模型SOCKS协议有两个版本：SOCKS v4和SOCKS v5。SOCKS v4协议完成以下三个功能：(1) 发起连接请求(2) 建立代理电路(3) 中继应用数据SOCKS v5协议在第

12、四版的基础上增加了认证功能。防火墙技术8.SOCKS控制流图8-6给出了SOCK v5的控制流模型。虚线范围内表示的是SOCK v4的功能。SOCKS v5对第四版功能的增强主要包括： 强认证：另定义了两种协议用于支持SOCKS v5的认证方法，分别是：用户名/口令认证(rfc1929)和GSS-API(通用安全服务API)认证(rfc1961)。 认证方法协商：应用客户和SOCKS v5服务器可以就使用的认证方法进行协商。 地址解析代理：SOCKS v5内置的地址解析代理简化了DNS管理和IP地址隐藏和转换。SOCKS v5可以为客户解析名字。 基于UDP应用程序的代理。防火墙技术图8-6

13、SOCKS协议控制流 防火墙技术4使用SOCKS的原因利用SOCKS v5所具有的强大而灵活的协议框架，支持SOCKS v5的应用程序有很多优势，例如，透明的网络访问、容易支持认证和加密方法、快速开发新的网络应用、简化网络安全策略管理和支持双向代理等。防火墙技术8.1.4 状态包检测(Stateful-Inspection)为了克服基本状态包过滤模式所带有的明显安全问题，一些包过滤防火墙厂商提出了所谓的状态包检测概念。上面提到的包过滤技术简单的查看每一个单一的输入包信息，而状态包检测模式则增加了更多的包和包之间的安全上下文检查，以达到与应用级代理防火墙相类似的安全性能。状态包检测防火墙在网络层

14、拦截输入包，并利用足够的企图连接 的状态信息做出决策(通过对高层的信息进行某种形式的逻辑或数学运算)，如图8-7所示。 防火墙技术图8-7 状态包检测防火墙 防火墙技术这些包在操作系统内核的私有检测模块中检测。安全决策所需的相关状态信息在检测模块中检测，然后 保留在为评价后续连接企图的动态状态表(库)中。被检查通过的包发往防火墙内部，允许直接连接内部、外 部主机系统。状态包检测防火墙工作在协议栈的较低层，通过防火墙的所有数据包都在低层处理，不需要协议栈的上 层来处理任何数据包，因此减少了高层协议头的开销 ，执行效率也大大提高了。另外，一旦一个连接在防 火墙中建立起来，就不用再对该连接进行更多的

15、处理 ，这样，系统就可以去处理其它连接，执行效率可以 得到进一步的提高。防火墙技术尽管状态包检测防火墙方法显著的增强了简单包过滤防火墙的安全，但它仍然不能提供和前面提及的应用级检测相似的充足能见度。状态包检测防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据。这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更加有效。但应用级代理防火墙对最高层的协议栈内容有足够的能见度，从而可以准确的知道它的意图，而状态包检测防火墙必须在没有这些信息的情况下做出安全决策。 防火墙技术例如，当应用级代理防火墙厂商声称支持微软 SQL Server时，你就知道任何到内部SQL Server服务 器的远程连接必须在应用层通过专门的微软SQL代理接受全面的检测。而对于状态包检