《保障与安全12防火墙》由会员分享,可在线阅读,更多相关《保障与安全12防火墙(45页珍藏版)》请在金锄头文库上搜索。
1、12 防火墙1防火墙的定义 防火墙的本义原是指古代人们房屋之间修建的墙,这 道墙可以防止火灾发生的时候蔓延到别的房屋,如图 所示。2防火墙的定义 这里所说的防火墙不是指为了防火而造的墙,而是指 隔离在本地网络与外界网络之间的一道防御系统。 在互联网上,防火墙是一种非常有效的网络安全系统 ,通过它可以隔离风险区域(Internet或有一定风险的网 络)与安全区域(局域网)的连接,同时不会妨碍安全区 域对风险区域的访问,网络防火墙结构如图所示。3一、防火墙概述 什么是防火墙(Firewall) ?防火墙:在两个信任程度不同的网络之间设置的、用于 加强访问控制的软硬件保护设施。从逻辑上讲,防火墙是分
2、离器、限制器和分析器。4防火墙的发展简史 第一代防火墙:采用了包过滤(Packet Filter)技术 。 第二、三代防火墙:1989年,推出了电路层防火墙, 和应用层防火墙的初步结构。 第四代防火墙:1992年,开发出了基于动态包过滤技 术的第四代防火墙。 第五代防火墙:1998年,NAI公司推出了一种自适应 代理技术,可以称之为第五代防火墙。5防火墙技术的简单发展历史 返回本节6防火墙的作用 确保一个单位内的网络与因特网的通信符合该 单位的安全方针,为管理人员提供下列问题的答 案: 谁在使用网络 他们在网络上做什么 他们什么时间使用了网络 他们上网去了何处 谁要上网没有成功7防火墙的作用一
3、、防火墙概述1、作为“扼制点”,限制信息的进入或离开;2、防止侵入者接近并破坏你的内部设施;3、监视、记录、审查重要的业务流;4、实施网络地址转换,缓解地址短缺矛盾。防火墙只允许已授权的业务流通过,而且本身也应抵抗渗 透攻击。建立防火墙必须全面考虑安全策略,否则形同虚设。8防火墙的优点 1防火墙对企业内部网实现了集中的安全管理,可以强 化网络安全策略,比分散的主机管理更经济易行。 2防火墙能防止非授权用户进入内部网络。 3防火墙可以方便地监视网络的安全性并报警。 4可以作为部署网络地址转换(Network Address Translation)的地点,利用NAT技术,可以缓解地址 空间的短缺
4、,隐藏内部网的结构。 5利用防火墙对内部网络的划分,可以实现重点网段的 分离,从而限制安全问题的扩散。 6由于所有的访问都经过防火墙,防火墙是审计和记录 网络的访问和使用的最佳地方。 9防火墙的局限性(1) 1为了提高安全性,限制或关闭了一些有用但存在安全缺陷的网络服务,给用户带来使用的不便。 2目前防火墙对于来自网络内部的攻击还无能为力。比如:防火墙无法禁止变节者或内部间谍将敏感数据拷贝到 软盘上。 3防火墙能够有效地防止通过它进行传输信息,然而不能防止不通过它而传输的信息。例如,如果站点允许对防 火墙后面的内部系统进行拨号访问,那么防火墙绝对没有 办法阻止入侵者进行拨号入侵。 4. 防火墙
5、配置复杂10防火墙的局限性(2) 5.防火墙也不能完全防止受病毒感染的文件或软件的传输,由于病毒的种类繁多,如果要在防火墙完成对 所有病毒代码的检查,防火墙的效率就会降到不能忍 受的程度。 6.防火墙不能有效地防范数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到内部网主机上并被 执行而发起攻击时,就会发生数据驱动攻击。特别是 随着Java、JavaScript、ActiveX的应用,这一问题更加突出。11防火墙的局限性(2) 7.作为一种被动的防护手段,防火墙不能防范因特网上不断出现的新的威胁和攻击。 8、防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其
6、口令, 并授予其临时的网络访问权限。 9防火墙对用户不完全透明,可能带来传输延迟、瓶颈及单点失效。12防火墙的功能 根据不同的需要,防火墙的功能有比较大差异,但是 一般都包含以下三种基本功能。 1、可以限制未授权的用户进入内部网络,过滤掉不 安全的服务和非法用户 2、防止入侵者接近网络防御设施3、限制内部用户访问特殊站点 由于防火墙假设了网络边界和服务,因此适合于相对 独立的网络,例如Intranet等种类相对集中的网络。 Internet上的Web网站中,超过三分之一的站点都是 有某种防火墙保护的,任何关键性的服务器,都应该 放在防火墙之后。13防火墙的必要性 随着世界各国信息基础设施的逐渐
7、形成,国与国之间 变得“近在咫尺”。Internet已经成为信息化社会发展的重要 保证。已深入到国家的政治、军事、经济、文教等诸多领 域。许多重要的政府宏观调控决策、商业经济信息、银行 资金转帐、股票证券、能源资源数据、科研数据等重要信 息都通过网络存贮、传输和处理。因此,难免会遭遇各种 主动或被动的攻击。例如信息泄漏、信息窃取、数据篡改 、数据删除和计算机病毒等。因此,网络安全已经成为迫 在眉睫的重要问题,没有网络安全就没有社会信息化。 14防火墙策略 在构筑防火墙之前,需要制定一套完整有效的安全战略1、网络服务访问策略 一种高层次的具体到事件的策略,主要用于定义在网 络中允许或禁止的服务。
8、2、防火墙设计策略 一种是“一切未被允许的就是禁止的”,一种是“一切 未被禁止的都是允许的”。第一种的特点是安全性好, 但是用户所能使用的服务范围受到严格限制。 第二种的特点是可以为用户提供更多的服务,但是在 日益增多的网络服务面前,很难为用户提供可靠的安 全防护。15防火墙的分类 常见的放火墙有三种类型: 1、包过滤防火墙; 2、应用代理防火墙; 3、状态检测防火墙。 1、包过滤(Packet Filtering):作用在协议组的网络层和传输层,根据分组包头源地址、目的地址和端 口号、协议类型等标志确定是否允许数据包通过,只 有满足过滤逻辑的数据包才被转发到相应的目的地的 出口端,其余的数据
9、包则从数据流中丢弃。16防火墙的分类 2、应用代理(Application Proxy):也叫应用网关( Application Gateway),它作用在应用层,其特点是 完全“阻隔”网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用 。实际中的应用网关通常由专用工作站实现。 3、状态检测(Status Detection):直接对分组里的数据进行处理,并且结合前后分组的数据进行综合判 断,然后决定是否允许该数据包通过。171包过滤防火墙 (1)数据包过滤技术的发展:静态包过滤、动态包过滤 。 (2)包过滤的优点:不用改动应用程序、一个过滤路由器能协助保护整个
10、网络、数据包过滤对用户透明、过滤 路由器速度快、效率高。 (3)包过滤的缺点:不能彻底防止地址欺骗;一些应用协议不适合于数据包过滤;正常的数据包过滤路由器无 法执行某些安全策略;安全性较差 ;数据包工具存在很 多局限性。 18包过滤防火墙包是网络上信息流动的单位。在网上传输的文件一般在发出端被划分成一串数据包,经过网上的中间 站点,最终传到目的地,然后这些包中的数据又重新 组成原来的文件。每个包有两个部分:数据部分和包头。包头中含有源地址和目标地址等信息。包过滤一直是一种简单而有效的方法。通过拦截数据包,读出并拒绝那些不符合标准的包头,过滤掉 不应入站的信息。19 包过滤作为最早、最简单的防火
11、墙技术,正是基于协 议头的内容进行过滤的。术语“包过滤”通过将每一输 入/输出包中发现的信息同访问控制规则相比较来决定阻塞或放行包。通过检查数据流中每一个数据包的源 地址、目的地址、所用端口、协议状态等因素,或它 们的组合来确定是否允许该数据包通过。如果包在这 一测试中失败,将在防火墙处被丢弃。20包过滤器每个数据包都包含有特定信息的一组报头,其主 要信息是: (1)IP协议类型(TCP、UDP,ICMP等); (2)IP源地址; (3)IP目标地址; (4)IP选择域的内容; (5)TCP或UDP源端口号; (6)TCP或UDP目标端口号; (7)ICMP消息类型。21包过滤器操作(l)包过
12、滤标准必须由包过滤设备端口存储起来,这些包过滤标准叫包过滤规则。(2)当包到达端口时,对包的报头进行语法分析,大多数 包过滤设备只检查IP、TCP或UDP报头中的字段,不检查包体的内容。(3)包过滤器规则以特殊的方式存储。(4)如果一条规则阻止包传输或接收,此包便不被允许通过。(5)如果一条规则允许包传输或接收,该包可以继续处理。(6)如果一个包不满足任何一条规则,该包被阻塞。22包过滤操作流程图 23包过滤防火墙 数据包过滤可以在网络层截获数据。使用一些规则来 确定是否转发或丢弃各个数据包。 通常情况下,如果规则中没有明确允许指定数据包的 出入,那么数据包将被丢弃 24防火墙示意图Inter
13、net公司总部内部网络未授权用户办事处l对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。 25ACL的分类 利用数字标识访问控制列表 利用数字范围标识访问控制列表的种类列表的种类数字标识的范围IP standard list199IP extended list10019926标准访问控制列表 标准访问控制列表只使用源地址描述数据 ,表明是允许还是拒绝。从 202.110.10.0/24 来的数据包可以 通过!从 192.110.10.0/24 来的数据包不能 通过!路由器27ACL的机理一个IP
14、数据包如下图所示(图中IP所承载的 上层协议为TCP):IP报头TCP报头数据协议号源地址目的地址源端口目的端口对于TCP来说,这5个元素组 成了一个TCP相关,访问控 制列表就是利用这些元素定 义的规则28 一个可靠的包过滤防火墙依赖于规则集,下表列出了几条 典型的规则集。 第一条规则:主机10.1.1.1任何端口访问任何主机的任何 端口,基于TCP协议的数据包都允许通过。第二条规则: 任何主机的20端口访问主机10.1.1.1的任何端口,基于 TCP协议的数据包允许通过。第三条规则:任何主机的20 端口访问主机10.1.1.1小于1024的端口,如果基于TCP协 议的数据包都禁止通过。组序
15、号动作源IP目的IP源端口目的端口协议类 型1允许10.1.1.1*TCP2允许*10.1.1.120*TCP3禁止*10.1.1.1201024TCP29 按照实际需求可以扩展以下应用: 设置防火墙的缺省过滤模式 允许或禁止时间段过滤 设定特殊时间段 指定日志主机Internet公司总部网络启用防火墙将访问控制列表应用到接 口上30访问控制列表配置举例Quidwayfirewall enable Quidwayfirewall default permit Quidwayacl 101 Quidway-acl-101rule deny ip source any destination an
16、y Quidway-acl-101rule permit ip source 129.38.1.4 0.0.0.0 destination any Quidway-acl-101rule permit ip source 129.38.1.1 0.0.0.0 destination any Quidway-acl-101rule permit ip source 129.38.1.2 0.0.0.0 destination any Quidway-acl-101rule permit ip source 129.38.1.3 0.0.0.0 destination any Quidwayacl 102 Quidway-acl-102rule permit
