《防火墙基础知识》由会员分享,可在线阅读,更多相关《防火墙基础知识(53页珍藏版)》请在金锄头文库上搜索。
1、防火墙介绍中国科学技术大学网络中心张焕杰 2002.05.251主要内容 网络知识回顾 防火墙系统简介 包过滤防火墙原理 在Linux系统上实现防火墙2网络知识回顾 OSI RM vs TCP/IP TCP/IP 地址转换 IP隧道方式VPN3OSI RM vs TCP/IP OSI参考模型 一个基于分层思路的模型、一种概念 7层 一种理论模型,可以用来分析多种网 络协议 TCP/IP 一个特定的协议,目前大量使用4TCP/IP IP地址 每个数据包都有源地址、目的地址 一个IP地址指定了一台主机 协议 TCP、UDP、ICMP5端口 对于TCP、UDP协议,区分一台服务器 上的多个服务程序
2、 每台机器上有65535个不同的端口 源端口、目的端口 (源地址、目的地址、源端口、目的端 口)定义一条连接6Well-known 熟知端口 服务程序在特定的端口接收用户的请求 这些端口大部分都被预定了,一般小于1024 常用的 21 FTP 23 TELNET 25 SMTP 80 WWW 53 DNS (udp) 161 snmp (udp) 68 dhcp(udp)7TCP连接过程 TCP数据包头部的标志 Flag,6个bit URG 紧急数据 ACK 确认标志 PSH 推进标志 RST reset复位标志 SYN 同步标志 FIN 结束标志8TCP连接过程AB(SYN, Ra,0)(S
3、YN、ACK, Ra+1,Rb)(ACK, Rb+1,Ra+2)连接建立,可以传输数据9地址换换 NATNAT设备客户机服务器10.0.0.1:1024 - 202.38.64.2:8061.132.182.2:8133 -202.38.64.2:8061.132.182.2:8133 202.38.64.2:102410.0.0.1:80 - 202.38.64.2:1024内部网络外部网络目的地址转换 DNAT11NAT的用途 隐藏内部网络结构 节省IP地址 内部地址 10.*.*.* 172.16.*.*-172.31.*.* 192.168.*.* 宽带网环境,比代理效率高12IP隧道
4、隧道设备隧道设备Internet 1.1.1.12.2.2.210.10.10.1020.20.20.20 10 - 201 - 210 - 2013IP隧道的利用 利用IP隧道,可以在公共网络上构建自己的网 络,公共网络提供传输通路 可以利用城域网取代传统的DDN线路 优点: 速度高(10Mbps)、成本低 标准,路由器、防火墙支持 缺点: 安全性(是否信任ISP) 加密时速度慢14安全问题的解决 防止信息泄密 加密 防止对系统的入侵 漏洞扫描 防火墙 入侵检测 防止个人机器的入侵 防病毒15防火墙 Firewall 在网络中设置一个设备,限制内部和外 部网络之间的通信 通过这种限制,禁止某
5、些网络中的通信 ,减少被攻击的可能 邮件服务器所用的操作系统可能有漏 洞,但是SMTP服务中有漏洞的可能性 极小,仅仅开放SMTP服务就比不做任 何限制安全的多16防火墙机在抵御入侵时作用 侦察 扫描 获得控制权 维持控制权 掩盖踪迹和隐藏17防火墙不是万能的 防火墙是提高系统安全性的一种手段 通过限制通信减少系统漏洞被利用的可 能,从而提高安全性 无法解决应用本身缺陷的问题 比如SQL漏洞 配置的正确性也很重要18防火墙分类 包过滤型 外在表现相当于交换机(网桥)或路 由器 对通过它的数据包进行过滤,限制通 过它的数据包 性能高 容易实现,很少影响现有网络结构19包过滤防火墙系统应用Inte
6、rnet内部网防火墙20防火墙分类 代理型 内外网不直接通信 所有通信由代理防火墙转发 安全性高,可以进行根据用户、协议、操作 进行复杂的控制 性能低 实现麻烦,每种应用都需要一个代理 http/smtp/telnet/pop/ftp21防火墙分类 电路级网关 Socks 代理 内外网不直接通信 所有通信由网关转发 性能低 实现麻烦,需要客户端支持22校园网防火墙应用 包过滤 用在出口,或者重点服务器 地址转换用在城域网出口利用 IP隧道、VPN互连 代理、socks 为了针对用户计费23包过滤防火墙基本功能 工作模式 交换模式(透明网桥)、路由模式(路由器 )、混合式 包过滤 地址转换 (路
7、由模式下支持) 用户认证 日志 良好的管理界面24其他功能 管理端口 只能通过管理端口管理系统,更高的安全性 黑白名单 多机备份、热切换 IP MAC地址绑定 防止DOS攻击、端口扫描 报警 流量统计、计费25包过滤原理 一般工作在网络层 系统中定义有一组规则 对经过的数据包,根据其内容逐一匹配 规则 如果匹配的规则的结果是拒绝,丢弃该 数据包 如果是允许,转发该数据包26包过滤防火墙 在路由器上附带实现包过滤功能 专门的设备实现 基于通用平台的软件系统 软件型 基于专用平台的集成产品 ASIC芯片实现包处理 硬件型 通用CPU实现包处理 ?27基于路由器的实现 成本低 能达到基本的安全性 性
8、能很难满足高速网络的要求 一般低端路由器产品的CPU都不快 不要在路由器上做地址转换,因为性 能太差 除非有广域网应用,否则不应该再购置 路由器28基于通用平台的软件产品 基于通用的硬件、软件平台 如基于Windows NT系统、Solaris系统 价格相对较低 功能丰富 强调认证的较多 安全性依赖于底层的操作系统 在国内商用的不多 Linux适合这种应用29专用ASIC芯片实现的 典型产品为Netscreen公司产品 利用ASIC芯片实现包过滤、地址转换、 加密处理 可以得到极高的性能 Netscreen 5400 12Gbps 3DES加密到6Gbps30大部分的防火墙 基于IA架构 CP
9、U: PII PIII 专用的软件 Cisco PIX,专门开发的操作系统 在Linux或Free BSD的基础上加固得到的操 作系统 减少不必要的模块 增强一些安全性 国内的产品90%多属于这类31包过滤防火墙的选择 为什么要加防火墙 安全、地址转换 需要达到多高的安全等级 价格 维护32Linux下的防火墙 为什么? 成本 技术 优点 灵活,程序控制 资料多 地址转换时,比Windows系统稳定33使用Linux防火墙的可行性 功能 Linux 中完善的包过滤实现能满足绝大多数 的应用需求 稳定性 Linux本身的稳定性足以满足要求 科大的出口 94年开始用Linux做访问控制 目前Lin
10、ux机器,2块3Com 1000Base- SX网卡 吞吐量到250Mbps34困难 Linux本身复杂,比Windows难管理 对管理员的要求高 第一次设置相对麻烦35Linux 2.4中的包过滤 Linux kernel 2.4中采用netfilter框架体系 http:/netfilter.samba.org/ Netfilter提供了一个通过程序对数据包进 行操作的接口 管理员用iptables 命令来控制netfilter的行 为36iptables概念 table table Kernel中有多个表 每个表负责不同的处理 filter 表处理包过滤 nat 表处理地址转换 ipta
11、bles t ? 指明对哪个表操作,缺省为 filter表 iptables -t nat 37规则链 chain 每个表table中有多条规则链 chain 每个规则链中有对条规则 rule 内定的规则链 filter INPUT、OUTPUT、FORWARD nat PREROUTING、POSTROUTING 可以增加自己的规则链38filter 中的内定规则链INPUTOUTPUTFORWARD进来的数据包 路由本机发出的数据包39对表的操作 iptables t ? 清空表中的规则 iptables t ? N 规则链名 新建一个规则链 iptables t ? Z 清空规则的统计值
12、40对规则链的操作 iptables t ? F 规则链名 清空表中指定的规则链 iptables t ? Z 规则链名 清空规则链中的统计值 iptables t ? P 规则链名 动作 设定规则链的缺省动作 iptables t ? A 规则链名 规则 增加规则 iptables t ? D 规则链名 规则 或编号 删除规则41规则 -j 动作 -p 协议 -s x.x.x.x/mask d y.y.y.y/mask i 接收接口 o 发送接口 其他选项 动作: ACCEPT、DROP、RETURN REJECT -reject-with tcp-reset LOG -log-prefix
13、 prefix42其他选项 对于tcp、udp -sport 源端口 -dport 目的端口 对于tcp -syn 仅仅匹配SYN标志43有状态的过滤 简单的过滤仅仅针对单个数据包,不考 虑前后数据包的关系 有状态的会记录下经过它的数据包的状 态,达到更好的过滤效果 连接数,某个时刻能记录多少条连接 可以更安全 如对udp包 速度的提升44状态过滤 -m state state INVALID | ESTABLISHED | NEW | RELATED ,. -m state -state ESTABLISHED, RELATED 匹配已经建立的连接 假定eth0接外部网 iptables A
14、 FORWARD j ACCEPT i eth0 -m state - -state ESTABLISHED,RELATED iptables A FORWARD j DROP i eth0 仅仅允许内部网连出去,避免被攻击45地址转换 需求 宽带网环境,代理慢、麻烦 Linux Kernel 2.4 支持完全的双向地址转 换 通过对nat表增加规则实现46nat 中的内定规则链PRE ROUTING进来的数据包 路由本机发出的数据包POST ROUTINGPREROUTING 处理DNAT POSTROUTING 处理SNAT47例子4849复杂的设置 #1增加一个IP地址, 含义是让网关能接收到发送给218.22.10.5的数 据包,以便进行地址转换。 ip addr add 218.22.10.5 dev eth0 #2将所有发送给218.22.10.5的数据包,转换成发送给192.168.0.2 的,但是由192.168.0.2发起的连接不会进行处理。 iptables -t nat -A PREROUTING -j DNAT -to 192.168.0.2 d 218.22.10.5 #3将所有由192.168.0.2发起连接的数据包,转换成由218.
