《网络安全应用技术chapter5防火墙》由会员分享,可在线阅读,更多相关《网络安全应用技术chapter5防火墙(61页珍藏版)》请在金锄头文库上搜索。
1、第5章 防火墙,本章提要,防火墙是位于两个或多个网络间,实施网络之间访问控制的一组组件集合 防火墙采用的主要技术包括包过滤技术、代理服务技术、网络地址转换技术、虚拟专用网VPN技术、审计技术、信息加密技术等 防火墙技术虽然有许多,但总体来讲可分为“包过滤防火墙”、“代理防火墙”以及“包过滤防火墙”与“代理防火墙”相结合的“状态检测防火墙”三大类 防火墙的三类构建方案为:双宿主机网关、屏蔽主机网关、屏蔽子网 攻击者进行防火墙渗透通常采取端口映射、通道技术、找防火墙本身的设计缺陷等 防火墙产品的功能、技术指标、选购方法及应用实例,引言,2000年8月下旬,在北京中关村曾发生了一场全球黑客与一台防火
2、墙的对决战。 事情是这样的:2000年8月,刘建伟博士带领20多人的海信防火墙课题组奔赴北京。他们研制的防火墙要在10天的时间里接受全球黑客的公开检测。,防火墙就是这一事件的主角。而这一事件给我们带来以下这些思考:防火墙是怎样一种技术?防火墙能够完成哪些工作?为什么防火墙能够阻挡住强大的攻击?怎样设置和使用防火墙呢?,5.1 防火墙概述,防火墙的概念,防火墙的英文名为“Firewall”,是位于两个或多个网络间,实施网络之间访问安全控制的一组组件集合。,简单的防火墙可以由路由器(Router),三层交换机(3 Layer Switch)的ACL(access control list)来充当,
3、也可以用一台主机,甚至是一个子网来实现。复杂的可以购买专门的硬件防火墙或软件防火墙来实现。,为什么要设置防火墙,(1)限制他人进入内部网络; (2)过滤掉不安全的服务和非法用户; (3)防止入侵者接近你的防御设施; (4)限定人们访问特殊站点; (5)为监视局域网安全提供方便。,防火墙在网络中所处的位置,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。所谓网络边界,即是采用不同安全策略的两个网络连接处,比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。,防火墙在网络中所处的位置(增加DMZ后),在实际应用中,为了解决安装防火墙后外部网
4、络不能访问内部网络服务器的问题,在非安全系统与安全系统之间经常设置一个缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡,这个区域被称为DMZ。,DMZ,DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事区”。它提供了一个区域放置公共服务器,从而又能有效地避免一些互联应用需要公开,而与内部安全策略相矛盾的情况发生。在DMZ区域
5、中通常包括堡垒主机、Modem池,以及所有的公共服务器,但要注意的是电子商务服务器只能用作用户连接,真正的电子商务后台数据需要放在内部网络中。,5.1.2 防火墙的分类与管理,1、防火墙的分类,按软、硬件形式划分 按防火墙技术划分 按防火墙结构划分 按防火墙的应用部署位置划分 按防火墙性能划分,防火墙的分类:按软、硬件形式划分,软件防火墙:软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。 硬件防火墙:传统硬件防火墙一般至少应具备三个端口,分别接内网,外网和DMZ区(非军事化区),现在一些新的硬件防火墙往往扩展了端口,常见四端口防
6、火墙一般将第四个端口做为配置口、管理端口。芯片级防火墙:芯片级防火墙基于专门的硬件平台,没有操作系统。,防火墙的分类:按防火墙技术划分,防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”、“应用代理型”以及“包过滤型”与“应用代理型”相结合的“状态检测型”三大类。“包过滤型”以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,“应用代理型”后者以美国NAI公司的Gauntlet防火墙为代表。,防火墙的分类:按防火墙结构划分,从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。,防火墙的分类:按防火墙的应用部署位置划分,如果按防火墙
7、的应用部署位置分,可以分为边界防火墙、个人防火墙和混合防火墙三大类。,防火墙的分类:按防火墙性能划分,按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。,2、防火墙的管理,防火墙管理是指对防火墙具有管理权限的管理员行为和防火墙运行状态的管理,管理员的行为主要包括:通过防火墙的身份鉴别,编写防火墙的安全规则,配置防火墙的安全参数,查看防火墙的日志等。,防火墙的管理分类,防火墙的管理一般分为本地管理、远程管理和集中管理等。 本地管理:是指管理员通过防火墙的Console口或防火墙提供的键盘和显示器对防火墙进行配置管理。 远程管理:是指管理员通过以太网或防火墙提供的广域网接口对防火墙进行管理
8、,管理的通信协议可以基于FTP、TELNET、HTTP等。 集中管理:是防火墙的一种管理手段,通常利用一个界面来管理网络中的多个防火墙。其效果和用一个遥控器管理家中所有电器一样简单,可大大简化管理员的管理工作。,5.2 防火墙主要技术,5.2.1 防火墙主要技术简介,防火墙采用的主要技术包括包过滤技术、代理服务技术、网络地址转换技术、虚拟专用网VPN技术、审计技术、信息加密技术几种。,(1)包过滤技术,其原理在于监视并过滤网络上流入流出的包,拒绝发送那些可疑的包。由于包过滤技术无法有效地区分相同IP地址的不同用户,安全性相对较差。,(2)代理服务技术,其原理是在网关计算机上运行应用代理程序,运
9、行时由两部分连接构成:一部分是应用网关同内部网用户计算机建立的连接,另一部分是代替原来的客户程序与服务器建立的连接。通过代理服务,内部网用户可以通过应用网关安全地使用Internet服务,而对于非法用户的请求将予拒绝。代理服务技术与包过滤技术不同之处,在于内部网和外部网之间不存在直接连接,同时提供审计和日志服务。,(3)网络地址转换技术,其原理如同电话交换总机,当不同的内部网络用户向外连接时,使用相同的IP地址(总机号码);内部网络用户互相通信时则使用内部IP地址(分机号码)。内部网络对外部网络来说是不可见的,防火墙能详尽记录每一个内部网计算机的通信,确保每个数据包的正确传送。,(4)虚拟专用
10、网VPN技术,虚拟专用网(VPN)是局域网在广域网上的扩展,是专用计算机网络在Internet上的延伸。VPN通过专用隧道技术在公共网络上仿真一条点到点的专线,实现安全的信息传输。虽然VPN不是真正的专用网络,但却能够实现专用网络的功能。,(5)审计技术,通过对网络上发生的各种访问过程进行记录和产生日志,并对日志进行统计处理,从而对网络资源的使用情况进行分析,对异常现象进行追踪监视。,(6)信息加密技术,加密路由器对路由的信息进行加密处理,然后通过Internet传输到目的端进行解密。,5.2.2 包过滤防火墙,包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。包过滤防火墙的
11、工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。,包过滤防火墙工作原理图,包过滤防火墙工作原理,包过滤是最早使用的一种防火墙技术,它的第一代模型是“静态包过滤”(Static Packet Filtering),使用包过滤技术的防火墙通常工作在OSI模型中的网络层上,后来发展更新的“动态包过滤”(Dynamic Packet Filtering)增加了传输层,简而言之,包过滤技术工作的地方就是各种基于TCP/IP协议的数据报文
12、进出的通道,它把这两层作为数据监控的对象,对每个数据包的头部、协议、地址、端口、类型等信息进行分析,并与预先设定好的防火墙过滤规则进行核对,一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候,这个包就会被丢弃。,包过滤防火墙的缺点,基于包过滤技术的防火墙,其缺点是很显著的:它得以进行正常工作的一切依据都在于过滤规则的实施,但是偏又不能满足建立精细规则的要求(规则数量和防火墙性能成反比),而且它只能工作于网络层和传输层,并不能判断高级协议里的数据是否有害,但是由于它廉价,容易实现,所以它依然服役在各种领域,在技术人员频繁的设置下为我们工作着。,5.2.3 代理防火墙,由于包过滤
13、技术无法提供完善的数据保护措施,而且一些特殊的报文攻击仅仅使用过滤的方法并不能消除危害(如SYN攻击、ICMP洪水等),因此人们需要一种更全面的防火墙保护技术,在这样的需求背景下,采用“应用代理”(Application Proxy)技术的防火墙诞生了,我们把它称为“代理防火墙”,或者“应用代理防火墙”,还有人称它为“应用网关”。,代理技术防火墙工作原理图,代理技术防火墙工作原理,“应用代理”防火墙实际上就是一台小型的带有数据检测过滤功能的透明代理服务器(Transparent Proxy),但是它并不是单纯的在一个代理设备中嵌入包过滤技术,而是一种被称为“应用协议分析”(Applicatio
14、n Protocol Analysis)的新技术。,代理防火墙的缺点,代理型防火墙的结构特征偏偏正是它的最大缺点,由于它是基于代理技术的,通过防火墙的每个连接都必须建立在为之创建的代理程序进程上,而代理进程自身是要消耗一定时间的,更何况代理进程里还有一套复杂的协议分析机制在同时工作,于是数据在通过代理防火墙时就不可避免的发生数据迟滞现象,5.2.4 状态检测防火墙,状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,
15、维护了连接,将进出网络的数据当成一个个的事件来处理。可以这样说,状态检测包过滤防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为。,状态检测防火墙工作原理图,“状态监视”技术,“状态监视”(Stateful Inspection)技术在保留了对每个数据包的头部、协议、地址、端口、类型等信息进行分析的基础上,进一步发展了“会话过滤”(Session Filtering)功能,在每个连接建立时,防火墙会为这个连接构造一个会话状态,里面包含了这个连接数据包的所有信息,以后这个连接都基于这个状态信息进行,这种检测的高明之处是能对每个数据包的内容进行监视,一旦建立了一个会
16、话状态,则此后的数据传输都要以此会话状态作为依据,例如一个连接的数据包源端口是8000,那么在以后的数据传输过程里防火墙都会审核这个包的源端口还是不是8000,否则这个数据包就被拦截,而且会话状态的保留是有时间限制的,在超时的范围内如果没有再进行数据传输,这个会话状态就会被丢弃。状态监视可以对包内容进行分析,从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点,而且这种防火墙不必开放过多端口,进一步杜绝了可能因为开放端口过多而带来的安全隐患。,由于状态监视技术相当于结合了包过滤技术和应用代理技术,因此是最先进的,但是由于实现技术复杂,在实际应用中还不能做到真正的完全有效的数据安全检测,而且在一般的计算机硬件系统上很难设计出基于此技术的完善防御措施。,5.2.5 防火墙技术的综合使用,最简单的防火墙,就是直接在内部网和外部网之间加装一个包过滤路由器或者应用网关。为更好地实现网络安全,有时还要将几种防火墙技术组合起来构建防火墙系统。目前比较流行的有以下三种防火墙构建方案。,方案一:双宿主机网关(Dual Homed Gateway),方案二:屏蔽主机网关(Screened Host Gateway),
