第10章防火墙与虚拟专用网

《第10章防火墙与虚拟专用网》由会员分享，可在线阅读，更多相关《第10章防火墙与虚拟专用网（64页珍藏版）》请在金锄头文库上搜索。

1、第10章 防火墙与虚拟专用网,本章主要内容：）,学习目标,1. 了解防火墙的属性和功能2熟悉防火墙的基本类型及工作原理3了解虚拟专用网的基本要求4. 熟悉虚拟专用网主要类型5了解VPN隧道技术原理,第10章 防火墙与虚拟专用网,10.1 防火墙概述,10.1.1 防火墙属性,防火墙的英文名为“firewall”，它是目前一种最重要的网络防护设备。从专业角度讲，防火墙是位于两个（或多个）网络间，实施网络之间访问控制的一组组件集合。一般认为，防火墙是放在两个网之间用于提高网络安全的软、硬件系统的集合，有如下属性： （1）所有从内到外的通信流量，都必须通过它。 （2）仅仅被本地安全策略定义的且被授权

2、的通信量允许通过。 （3）系统对外部攻击具有高抵抗力。,第10章 防火墙与虚拟专用网,10.1 防火墙概述,10.1.1 防火墙属性,防火墙工作原理防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间构造的保护屏障，是一种获取安全性方法的形象说法。它使互联网与内部网之间建立起一个安全网关（security gateway），保证流入流出的所有网络通信均要经过此防火墙，从而保护内部网免受非法用户的侵入，因此它实际上起到了一种隔离作用，防火墙的工作原理如图101所示。防火墙是在两个网络通信时执行的一种访问控制尺度，它能允许用户“同意”的人和数据进入内部网络，同时将“不

3、同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问内部网络。换句话说，如果不通过防火墙，公司内部的人就无法访问互联网，互联网上的人也无法和公司内部的人进行通信。,第10章 防火墙与虚拟专用网,10.1 防火墙概述,10.1.1 防火墙属性,防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成。防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口，而且它还能禁止特定端口的流出通信，封锁特洛伊木马，并且，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。,第10章 防火墙与虚拟专用网,10.1 防火墙概

4、述,防火墙的单向导通性,防火墙在网络中具有单向导通性。这看起来与现在防火墙过滤机制有些矛盾，不过它却完全体现了防火墙初期的设计思想，同时也在相当大程度上体现了当前防火墙的过滤机制。因为防火墙最初的设计思想是对内部网络总是信任的，而对外部网络却总是不信任的，所以最初的防火墙是只对外部进来的通信进行过滤，而对内部网络用户发出的通信不作限制。当然目前的防火墙在过滤机制上有所改变，不仅对外部网络发出的通信连接要进行过滤，对内部网络用户发出的部分连接请求和数据包同样需要过滤，但防火墙仍只对符合安全策略的信息通过，也可以说具有“单向导通”性。,第10章 防火墙与虚拟专用网,10.1 防火墙概述,10.1.

5、1 防火墙属性,防火墙本来是指早年居住木制结构房屋的时候，为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称之为“防火墙”。其实与防火墙一起起作用的还有“门”。如果没有门，房屋内的人如何与外界沟通呢？当火灾发生时，这些人又如何逃离现场呢？这个门就相当于我们这里所讲的防火墙的“安全策略”，所以我们所说的防火墙实际并不是一堵实心墙，而是带有一些小孔的墙。这些小孔就是用来留给那些允许进行的通信，在这些小孔中安装了过滤机制，也就是上面所指的“单向导通性”。,第10章 防火墙与虚拟专用网,10.1 防火墙概述,设置防火墙的意义,互联网是一个开放的世界，它在拥有丰富信息量

6、的同时也存在着许多不安全因素。自内部网与互联网相连，使它的用户能访问互联网上的服务时，非内部网用户也能通过互联网访问内部网用户，实现一些非法操作，如盗取重要资料、破坏文件等。这对于没有受到任何保护的内部网用户来说无疑是一种安全威胁。与人们在建筑物之间修建墙壁、保护建筑所用的“防火墙”类似，可以在内部网和互联网之间设置一堵“防火墙”，以保护内部网免受外部的非法入侵。在网络世界中，防火墙是被配置在内部网和互联网之间的系统（或一组系统），通过控制内外网络间信息的流动来达到增强内部网络安全性的目的；防火墙决定了内部的哪些服务可以被外部用户访问以及哪些外部服务可以被内部用户访问。防火墙对内部网具有很好的

7、保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。我们可以将防火墙配置成许多不同保护级别，最高级别的保护可能会禁止一些服务，这是用户自己的保护选择。,第10章 防火墙与虚拟专用网,10.1 防火墙概述,防火墙的运行方式,防火墙有不同的运行方式。一个防火墙可以是一个独立硬件，用户可以将互联网连接和计算机都插入其中；防火墙也可以在一个独立的机器上运行，该机器作为它背后网络中所有计算机的代理和防火墙；直接连在互联网上的机器还可以使用个人防火墙。,第10章 防火墙与虚拟专用网,10.1.2 防火墙的功能,1）防火墙是网络安全的屏障防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安

8、全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络；防火墙同时可以保护网络免受基于路由的攻击。防火墙应该可以拒绝所有以上类型的攻击并通知防火墙管理员。,第10章 防火墙与虚拟专用网,10.1.2 防火墙的功能,2）防火墙可以强化网络安全策略通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问

9、时，一次一密口令系统和其他的身份认证系统完全可以不必分散在各个主机上，而可以集中于防火墙一身。,第10章 防火墙与虚拟专用网,10.1.2 防火墙的功能,3）对网络存取和访问进行监控审计如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足，而网络使用统计对网络需求分析和威胁分析等也是非常重要的。,第10章 防火墙与虚拟专用

10、网,10.1.2 防火墙的功能,4）防止内部信息外泄通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节的服务，如Finger、DNS等。（1）Finger显示了主机的所有用户的注册名、真名、最后登录时间和使用shell的类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线

11、上网，这个系统是否在被攻击时引起注意等。（2）防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。,第10章 防火墙与虚拟专用网,10.1.3 防火墙特性,1）内部网络和外部网络之间的所有网络数据流都必须经过防火墙这是防火墙所处的网络位置特性，同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道时，才可以全面、有效地保护企业内部网络不受侵害。根据美国国家安全局制定的信息保障技术框架，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和互联网之间连接和其他业务往来单

12、位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络之间的连接处建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。典型的防火墙体系结构如图101所示。从图中可以看出，防火墙的一端连接企事业单位内部的局域网，而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。,第10章 防火墙与虚拟专用网,10.1.3 防火墙特性,2）只有符合安全策略的数据流才能通过防火墙防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起，原始的防火墙是一

13、台“双穴主机”，即具备两个网络接口，同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收过来，按照OSI协议栈的七层结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断。因此，从这个角度上来说，防火墙是一个类似于桥接或路由器的、多端口的（网络接口=2）转发设备，它跨接于多个分离的物理网段之间，并在报文转发过程中完成对报文的审查工作。,第10章 防火墙与虚拟专用网,10.1.3 防火墙特性,3）防火墙自身应具有非常强的抗攻击免疫力这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于

14、网络边缘，它就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领，防火墙操作系统本身是关键，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其他应用程序在防火墙上运行。当然这些安全性也只能说是相对的。,第10章 防火墙与虚拟专用网,10.1.4 防火墙硬件结构,1）通用CPU架构通用CPU架构最常见的是基于Intel X86架构的防火墙，在百兆防火墙中Intel X86架构的硬件以其高灵活性和扩展性一直受到防火墙厂商的青睐；由于采用了PCI总

15、线接口，Intel X86架构的硬件虽然理论上能达到2Gbps的吞吐量甚至更高，但是在实际应用中，尤其是在小包情况下，远远达不到标称性能，通用CPU的处理能力也很有限。国内安全设备主要采用的就是基于X86的通用CPU架构。,第10章 防火墙与虚拟专用网,10.1.4 防火墙硬件结构,2）ASIC架构ASIC（application specific integrated circuit，专用集成电路）技术是国外高端网络设备几年前广泛采用的技术。由于采用了硬件转发模式、多总线技术、数据层面与控制层面分离等技术，ASIC架构防火墙解决了带宽容量和性能不足的问题，稳定性也得到了很好的保证。ASIC技

16、术的性能优势主要体现在网络层转发上，而对于需要强大计算能力的应用层数据的处理则不占优势，而且面对频繁变异的应用安全问题，其灵活性和扩展性也难以满足要求。 由于该技术有较高的技术和资金门槛，主要是国内外知名厂商在采用，国外主要代表厂商是Netscreen，国内主要代表厂商为天融信。,第10章 防火墙与虚拟专用网,10.1.4 防火墙硬件结构,3）网络处理器架构由于网络处理器所使用的微码编写有一定技术难度，难以实现产品的最优性能，因此网络处理器架构的防火墙产品难以占有大量的市场份额。 随着网络处理器的主要供应商Intel,Broadcom,IBM等相继出售其网络处理器业务，目前该技术在网络安全产品

17、中的应用已经走到了尽头。,第10章 防火墙与虚拟专用网,10.2 防火墙体系结构,我们首先来熟悉几个用于防火墙的关键术语。 （1）主机：与网络系统相连的计算机系统。 （2）堡垒主机：某一个计算机系统，它既连接外部网络，又是内部网络用户的主要连接点，非常容易被入侵。 （3）双宿主机：是具有至少两个网络接口的通用计算机系统。 （4）包：在互联网络上，进行通信时的基本单位。 （5）路由：为转发的包分组选择正确的接口和下一个路段的过程。 （6）包过滤：设备对进出网络的数据流进行有选择的控制与操作。包过滤操作通常在选择路由的同时对数据包进行过滤操作。 数据包的头部信息主要包括： IP源地址。IP目标地址。 协议（表明该数据包是TCP、UDP或ICMP包）。TCP或者UDP源接口。 TCP或者UDP目标接口。ICMP信息类型。,