《计算机南理工计算机网络安全技术课件第八章防火墙》由会员分享,可在线阅读,更多相关《计算机南理工计算机网络安全技术课件第八章防火墙(68页珍藏版)》请在金锄头文库上搜索。
1、计算机网络安全技术,第八章 防火墙,8.1 防火墙概念 8.2 防火墙体系结构 8.3 防火墙配置 8.4 构造路由器访问列表,第八章 防火墙,8.1 防火墙概念,防火墙定义 防火墙是一个或一组实施访问控制策略的系统,是内部系统和外部网之间加强访问控制的系统。 防火墙本质上是一种保护装置,其基本手段是隔离。 当用户决定需要使用某种水平的连接时,就由防火墙来保证不允许出现其他超出此范围的访问行为。 防火墙用来保证所有用户都遵守访问控制策略。 从逻辑上看防火墙位于内部网络与外部网络的接口之上,所有进出内外网的流量均需通过防火墙的检查,防火墙是隔离器、限制器、分析器。 从物理上看防火墙可以是路由器、
2、专用设备、配有适当软件的计算机或网络。 防火墙的目的是控制网络传输。,防火墙的发展阶段 第一代防火墙 第一代防火墙技术几乎与路由器同时出现,采用了包过滤技术(Packet filter)。 第二、三代防火墙 1989年,贝尔实验室推出了第二代防火墙电路层防火墙,同时提出了第三代防火墙应用层防火墙(代理防火墙)的初步结构。 第四代防火墙 1992年,开发出基于动态包过滤技术的第四代防火墙,后来演变为状态监视(Stateful inspection)技术。1994年,以色列的CheckPoint公司开发出了第一个基于该技术的商业化的产品。,8.1 防火墙概念,第五代防火墙 1998年,NAI公司推
3、出了一种自适应代理(Adaptive proxy)技术,并在其产品Gauntlet proxy for NT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。,8.1 防火墙概念,防火墙特征 防火墙的特征是和其设计目标密切相关的。 防火墙的设计目标 内部网和外部网之间的所有通信都必须经过防火墙,物理地阻塞所有不经过防火墙的网络访问通道。 只有被访问控制列表ACL认可的网络通信量,才允许通过防火墙。 防火墙对渗透应是免疫的(理想之一),也就是说防火墙的运行平台应该是安全的。,8.1 防火墙概念,防火墙用来控制访问和执行站点安全策略的四种通用技术 服务控制 确定可以访问的In
4、ternet服务的类型,分为入站的和出站的。 防火墙可以在IP地址和TCP/UDP端口号的基础上过滤通信量,也可以提供应用程序代理在传递每个服务请求之前接收并解释这些服务请求。 方向控制 确定特定的服务请求可以发起并允许通过防火墙流动的方向。 用户控制 根据赋予用户访问服务的权限来控制对特定服务的访问。 行为控制 控制如何使用特定的服务。,防火墙的主要功能 定义了单个安全检查点。 单个检查点的使用简化了安全管理。 提供了监视与安全有关事件的场所。 在防火墙系统中可以实现审计和告警。 是一些与安全无关的Internet功能的自然集成平台。 这些功能包括网络地址转换、审计和记录Internet使用
5、日志等网络管理功能。 可以作为IPSec的平台。 防火墙可以被用来实现虚拟专用网。,8.1 防火墙概念,防火墙的局限性 不能对绕过防火墙的攻击提供保护。 例如,内部用户通过拨号访问拨号访问Internet就可以绕开防火墙。 不能对内部的威胁提供防护。 由内部合法用户发起的攻击,防火墙是无法防范的。 不能对病毒感染的程序或文件的传输提供保护。 无法使用防火墙来扫描所有进入的文件、电子邮件或报文来查找病毒。,8.1 防火墙概念,任何防火墙都能够为与互联网相连的私有网络提供安全防护,但防护的等级却不尽相同,与防火墙所选用的体系结构直接相关。 防火墙的体系结构包括了4种类型 静态包过滤(static
6、packet filter) 动态包过滤(stateful packet filter) 电路级网关(circuit level gateway) 应用级网关(application level gateway) 防火墙都是通过检查协议运行所产生的信息来实现安全防护的,因此需要通过了解防火墙工作的不同层次来理解不同类型的防火墙体系结构。,8.2 防火墙体系结构,静态包过滤 静态包过滤防火墙是最早的防火墙体系结构之一。 静态包过滤防火墙工作在网络层,通过检查IP首部和传输层首部中的特定字段来决定包的转发,包括源IP地址与目的IP地址、协议字段以及TCP或UDP端口号。 包过滤防火墙建立一组规则列
7、表,规则表是有序的。 防火墙将IP首部、传输层首部与预先定义的规则表进行比较,若匹配则防火墙允许或拒绝包的通过,若在表中没有发现与该包相匹配的规则,则使用缺省规则。 缺省规则典型情况是指示防火墙丢弃不满足任何规则的包。,8.2 防火墙体系结构,防火墙的两种处理策略 拒绝 允许 对于静态包过滤防火墙,管理员可以 根据IP首部的地址信息制定规则,拒绝或转发去往和来自某个IP地址或某个IP地址范围的数据包; 根据传输层首部信息制定规则,拒绝或转发去往与特定服务相关的端口的数据包; 根据IP首部的协议信息制定规则。 配置包过滤规则配置的难点是要特别注意过滤规则进入规则库的顺序,对包的过滤是根据规则库中
8、规则排列的先后顺序进行的。,8.2 防火墙体系结构,静态包过滤结构的优点 对网络性能的影响低; 成本低,目前许多操作系统都已具有该功能。 静态包过滤结构的缺点 由于工作在网络层和传输层,所以仅检查IP分组首部和TCP包首部,无法了解数据包的载荷; 缺乏状态感知能力; 创建规则表有一定难度; 只能提供低等级的安全防护。,8.2 防火墙体系结构,动态包过滤 动态包过滤器是由静态包过滤器演化而来,继承了静态包过滤器的局限性,但具有状态感知能力。 典型的动态包过滤防火墙工作在网络层,但高级的动态包过滤防火墙可以在传输层运行。 防火墙检查数据包的IP首部和传输层首部的特定字段:源IP地址、目的IP地址、
9、协议、源端口、目的端口及标志位。 动态包过滤器“知道”建立连接和已建立连接之间的区别,一旦一个连接被建立,该连接便被记入连接表中(该表驻留内存),随后到来的包都与内存中的连接表进行比较,若包属于一个现存的连接,就放行而不必进行其他检查,比较过程通常是由运行在操作系统核心级的软件来完成。 动态包过滤器的性能要优于静态包过滤器。,8.2 防火墙体系结构,动态包过滤结构的优点 当支持SMP时,对网络性能的影响是所有结构中最低的; 成本低; 具有状态感知能力。 动态包过滤结构的缺点 由于工作在网络层和传输层,所以仅检查IP分组首部和TCP包首部,无法了解数据包的载荷; 创建规则表有一定难度; 只能提供
10、低等级的安全防护; 易受IP欺骗攻击; 如果不按照RFC建议的三次握手过程确定连接的建立,将引入附加的风险。,8.2 防火墙体系结构,例子:CheckPoint公司的Firewall-1防火墙是最早使用动态包过滤技术防火墙产品之一,其工作过程如下: TCP 当防火墙收到一个初始化TCP连接的SYN包,首先进行静态包过滤操作,如果该数据包被拒绝,防火墙就向发出该包的远地主机回送一个RST包,终止或拒绝连接;如果该包被接收,则该包所要建立的会话被加入防火墙的连接状态表中。 连接表中有一个超时字段,当一个新连接被加入时,该字段置为60秒。此后防火墙便等待TCP连接建立过程所要求的其他包的到来,如果在
11、60秒之内连接正常建立,则将超时字段置为3600秒(缺省值),否则从表中删除该连接。 除了SYN包外,防火墙收到的其他TCP包不进行静态包过滤操作,而只进行连接表检查。 当防火墙收到属于连接表中某个连接的FIN包或RST包后,就将表中该连接的超时字段的值置为50秒,超时后连接被删除。,UDP 当防火墙收到的UDP包,通过静态包过滤检查后,也将其登记在连接表中,超时字段被置为40秒(缺省值)。 在此期间,任何源、目的IP地址和源、目的端口号与表中登记相匹配的UDP都被允许通过。 ICMP 对ICMP包,防火墙只进行静态包过滤检查,但不在连接表中登记。 IP分组分段(分片) 对于分段的IP分组,防
12、火墙将在重新组装后进行上述检查。,8.2 防火墙体系结构,电路级网关 电路级网关工作在会话层,实现通信量的中继。 在开放一个通过防火墙的连接(或电路)之前,电路级网关检查和验证TCP和UDP会话。因此,电路级网关进行判断时所依赖的数据比静态或动态包过滤器要多。 通常,接收或拒绝一个包是依据对包的IP首部和传输层首部的检查,检查的内容有: 源IP地址、目的IP地址、应用或协议、源端口、目的端口、握手标志和包序号。,8.2 防火墙体系结构,在转发数据包之前,电路级网关将该包的IP首部和传输层首部与用户预先定义的规则进行比较,规则指示防火墙是否应该让包通过。 然后,电路级网关将确定请求会话的合法性,
13、仅当TCP握手过程所包括的SYN标志、ACK标志和包序号是合法的,该会话才是合法的。 电路级网关不允许端到端的TCP连接 网关建立了两个TCP连接,一个是防火墙本身到内部可信任主机上某个TCP用户的连接,另一个是网关到外部不可信主机上某个TCP用户的连接。 一旦两个连接都已建立,网关从一个连接向另一个连接转发TCP报文段,而不检查其内容。 安全功能体现在决定哪些连接是允许建立的。,8.2 防火墙体系结构,电路级网关实现的例子是SOCKS软件包 该协议是设计用来为TCP和UDP范围的客户/服务器应用提供一个方便和安全使用网络防火墙服务的框架,该协议在概念上是在应用层和传输层之间的一个“薄层”,因
14、此没有提供网络层的网关服务。 SOCKS的组成 SOCKS服务器,运行在基于UNIX的防火墙上; SOCKS客户库,运行在防火墙保护的内部主机上; 几个使用SOCKS版本的标准客户程序。 当基于TCP的客户想要和只能通过防火墙联系的对象建立连接时,它必须打开SOCKS服务器系统上相应的SOCKS端口的TCP连接。 SOCKS服务位于TCP端口1080。 如果连接请求成功,客户进入协商、采用选择的方法进行认证、然后发送中继请求,SOCKS服务器评估、连接或拒绝该请求。,电路级网关的优点 对网络性能的影响小到适中; 不允许端到端的直接连接; 比动态包过滤的安全性要高。 电路级网关的缺点 允许任何数
15、据不经检查地通过已建立的连接; 所提供的安全防护能力仍然较低。,8.2 防火墙体系结构,应用级网关 应用级网关也称为代理服务器(proxy server),担任应用级通信量的中继。 用户使用TCP/IP应用程序(如Telnet或FTP)与网关通信,网关询问用户想要访问的远程主机的名字。 当用户回答并提供了一个合法的用户ID和认证信息后,网关联系远程主机上的应用程序,并在两个端点之间转送包含了应用数据的TCP报文段。 如果网关没有为特定的应用程序实现代理代码,服务就不被支持,就不能通过防火墙递送。 例如,一个运行FTP和HTTP代理的应用级网关,只允许由这两个服务产生的数据包通过,其他服务则被禁
16、止。,8.2 防火墙体系结构,在应用级网关中运行的代理检查和过滤每个通过网关的数据包,而不是简单地拷贝和转发它们。 代理对数据包的检查和过滤在应用层进行,因此可以过滤数据包中特殊的信息或应用层协议中的操作命令。 目前的技术已经实现了“强应用层代理“。 强应用层代理扩展了应用级网关的安全能力。 强应用层代理首先在防火墙内创建一个新的空报文,对于外来报文中的命令和数据,仅经过强应用层代理检查、认为可接受的部分才被拷贝到空报文中,也只有该重新生成的报文才能被传送到内部网的服务器。 通过使用这种方法,强应用层代理可以杜绝所有类型的秘密通道攻击。,8.2 防火墙体系结构,应用级网关的优点 支持SMP的应用级网关对网络性能的影响适中; 不允许端到端的直接连接; 可以对整个数据包的所有内容进行检查,是目前安全性最好的防火墙结构。 应用级网关的缺点 实现不理想的应用级网关对网络性能的影响很大; 使用的透明性会有些问题; 有可能遭受缓冲区溢出攻击; 对新出现的应用层协议必须添加新的代理。,8.2 防火墙体系结构,电路级网关与应用级网关结构,8
