《网络安全原理与应用教学课件戚文静 第5章 防火墙技术》由会员分享,可在线阅读,更多相关《网络安全原理与应用教学课件戚文静 第5章 防火墙技术(29页珍藏版)》请在金锄头文库上搜索。
1、第5章 防火墙技术, 防火墙及相关概念 包过滤与代理 防火墙的体系结构 分布式防火墙与嵌入式防火墙,5.1 防火墙概述,防火墙的概念 防火墙(Firewall)是指隔离在内部网络与外部网络之间的一道防御系统,它能挡住来自外部网络的攻击和入侵,保障着内部网络的安全, 外部网络(外网):防火墙之外的网络,一般为Internet,默认为风险区域。 内部网络(内网):防火墙之内的网络,一般为局域网,默认为安全区域。 非军事化区(DMZ):为了配置管理方便,内网中需要向外网提供服务的服务器(如WWW、FTP、SMTP、DNS等)往往放在Internet与内部网络之间一个单独的网段,这个网段便是非军事化区
2、。 包过滤,也被称为数据包过滤,是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤规则,检查数据流中的每个数据包,根据数据包的源地址、目标地址以及端口等信息来确定是否允许数据包通过。 代理服务器,是指代表内部网络用户向外部网络中的服务器进行连接请求的程序,2、几个常用概念,3. 防火墙安全策略,(1)除非明确允许,否则就禁止 这种方法堵塞了两个网络之间的所有数据传输,除了那些被明确允许的服务和应用程序。因此,应该逐个定义每一个允许的服务和应用程序,而任何一个可能成为防火墙漏洞的服务和应用程序都不能允许使用。这是一个最安全的方法,但从用户的角度来看,这样可能会有很多限制,不是很方便。
3、一般在防火墙配置中都会使用这种策略。 (2)除非明确禁止,否则就允许 这种方法允许两个网络之间所有数据传输,除非那些被明确禁止的服务和应用程序。因此,每一个不信任或有潜在危害的服务和应用程序都应该逐个拒绝。虽然这对用户是一个灵活和方便的方法,它却可能存在严重的安全隐患。,5.1.2 防火墙的作用,(1)可以限制未授权用户进入内部网络,过滤掉不安全服务和非法用户; (2)防止入侵者接近内部网络的防御设施,对网络攻击进行检测和告警; (3)限制内部用户访问特殊站点; (4)记录通过防火墙的信息内容和活动,监视Internet安全提供方便。,5.1.3 防火墙的优、缺点,1优点 防火墙是加强网络安全
4、的一种有效手段,它有以下优点: (1)防火墙能强化安全策略 (2)防火墙能有效地记录Internet上的活动 (3)防火墙是一个安全策略的检查站,2缺点 (1)不能防范恶意的内部用户 防火墙可以禁止内部用户经过网络发送机密信息,但用户可以将数据复制到磁盘上带出去。如果入侵者已经在防火墙内部,防火墙也是无能为力的。内部用户可以不经过防火墙窃取数据、破坏硬件和软件,这类攻击占了全部攻击的一半以上。 (2)不能防范不通过防火墙的连接 防火墙能够有效防范地通过它传输的信息,却不能防范不通过它传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。
5、 (3)不能防范全部的威胁 防火墙被用来防范已知的威胁,一个很好的防火墙设计方案可以防范某些新的威胁,但没有一个防火墙能自动防御所有的新的威胁。 (4)防火墙不能防范病毒 防火墙不能防范从网络上传染来的病毒,也不能消除计算机已存在的病毒。无论防火墙多么安全,用户都需要一套防毒软件来防范病毒。,5.2 防火墙技术分类,(1)包过滤防火墙 又称网络层防火墙,它对进出内部网络的所有信息进行分析,并按照一定的信息过滤规则对信息进行限制,允许授权信息通过,拒绝非授权信息通过。 (2)代理服务器 这种防火墙是目前最通用的一种,基本工作过程是:当客户机需要使用外网的服务器上的数据时,首先将数据请求发给代理服
6、务器,代理服务器根据请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。同样的道理,代理服务器在外网向内网申请服务时也发挥了中间转接的作用。,5.2.1 包过滤技术,包过滤(Packet Filtering)技术在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤规则,检查数据流中的每个包,根据包头信息来确定是否允许数据包通过,拒绝发送可疑的包。 使用包过滤技术的防火墙叫做包过滤防火墙(Packet filter),因为它工作在网络层,又叫网络层防火墙(Network level firewall)。,包过滤防火墙一般由屏蔽路由器(Screening Router,也称为过滤路
7、由器)来实现,这种路由器是在普通路由器基础上加入IP过滤功能而实现的,这是防火墙最基本的构件。 包过滤防火墙读取包头信息,与信息过滤规则比较,顺序检查规则表中每一条规则,直至发现包中的信息与某条规则相符。如果有一条规则不允许发送某个包,路由器就将它丢弃;如果有一条规则允许发送某个包,路由器就将它发送;如果没有任何一条规则能符合,路由器就会使用默认规则,一般情况下,默认规则就是禁止该包通过。,2. 包过滤防火墙的优点 包过滤防火墙具有明显的优点: (1)一个屏蔽路由器能保护整个网络 一个恰当配置的屏蔽路由器连接内部网络与外部网络,进行数据包过滤,就可以取得较好的网络安全效果。 (2)包过滤对用户
8、透明 不像在后面描述的代理(Proxy),包过滤不要求任何客户机配置。当屏蔽路由器决定让数据包通过时,它与普通路由器没什么区别,用户感觉不到它的存在。较强的透明度是包过滤的一大优势。 (3)屏蔽路由器速度快、效率高 屏蔽路由器只检查包头信息,一般不查看数据部分,而且某些核心部分是由专用硬件实现的,故其转发速度快、效率较高,通常作为网络安全的第一道防线。,3. 包过滤防火墙的缺点 屏蔽路由器的缺点也是很明显的,通常它没有用户的使用记录,这样就不能从访问记录中发现黑客的攻击记录。 配置繁琐也是包过滤防火墙的一个缺点。没有一定的经验,是不可能将过滤规则配置得完美。有的时候,因为配置错误,防火墙根本就
9、不起作用。 包过滤另一个关键的弱点就是不能在用户级别上进行过滤,只能认为内部用户是可信任的、外部用户是可疑的。 此外,单纯由屏蔽路由器构成的防火墙并不十分安全,危险地带包括路由器本身及路由器允许访问的主机,一旦屏蔽路由器被攻陷就会对整个网络产生威胁。,4包过滤防火墙的发展阶段,(1)第一代:静态包过滤防火墙 (2)第二代:动态包过滤(Dynamic Packet Filter)防火墙 (3)第三代:全状态检测(Stateful Inspection)防火墙 (4)第四代:深度包检测(Deep Packet Inspection)防火墙,5.2.2 代理技术,所谓代理服务器,是指代表内网用户向外
10、网服务器进行连接请求的服务程序。代理服务器运行在两个网络之间,它对于客户机来说像是一台真的服务器,而对于外网的服务器来说,它又是一台客户机。 代理服务器的基本工作过程是:当客户机需要使用外网服务器上的数据时,首先将请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。同样的道理,代理服务器在外部网络向内部网络申请服务时也发挥了中间转接的作用。,2. 代理的优点 (1)代理易于配置 代理因为是一个软件,所以它比过滤路由器容易配置,配置界面十分友好。如果代理实现得好,可以对配置协议要求较低,从而避免了配置错误。 (2)代理能生成各项记录 因代理在应用层
11、检查各项数据,所以可以按一定准则,让代理生成各项日志、记录。这些日志、记录对于流量分析、安全检验是十分重要和宝贵的。 (3)代理能灵活、完全地控制进出信息 通过采取一定的措施,按照一定的规则,可以借助代理实现一整套的安全策略,控制进出的信息。 (4)代理能过滤数据内容 可以把一些过滤规则应用于代理,让它在应用层实现过滤功能。,3. 代理的缺点 (1)代理速度比路由器慢 (2)代理对用户不透明 (3)对于每项服务,代理可能要求不同的服务器 (4)代理服务通常要求对客户或过程进行限制 (5)代理服务受协议弱点的限制 (6)代理不能改进底层协议的安全性,4代理防火墙的发展阶段 (1)应用层代理(Ap
12、plication Proxy) 代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。应用层代理为某个特定应用服务提供代理,它对应用协议进行解析并解释应用协议的命令。根据其处理协议的功能可分为FTP网关型防火墙、Telnet网关型防火墙、WWW网关型防火墙等。 应用层代理的优点是能解释应用协议,支持用户认证,从而能对应用层的数据进行更细粒度的控制。缺点是效率低,不能支持大规模的并发连接,只适用于单一协议。,(2)电路层代理(Circuit Proxy) 也称为电路级代理服务器。在电路层网关中,包被提交到用户应用层处理。电路层网关用来在两个通信的终点之间转换包。 它适用于多个协议,但无法
13、解释应用协议,需要通过其他方式来获得信息。所以,电路级代理服务器通常要求修改过的用户程序。其中,套接字服务器(Sockets Server)就是电路级代理服务器。 对用户来说,内网与外网的信息交换是透明的,感觉不到防火墙的存在,那是因为因特网络用户不需要登录到防火墙上。但是客户端的应用软件必须支持“SocketsifideAPI”,内部网络用户访问外部网所使用的IP地址也都是防火墙的IP地址。,(3)自适应代理(Adaptive Proxy) 自适应代理防火墙允许用户根据具体需求,定义防火墙策略,而不会牺牲速度或安全性。如果对安全要求较高,那么最初的安全检查仍在应用层进行,保证实现传统代理防火
14、墙的最大安全性。而一旦代理明确了会话的所有细节,其后的数据包就可以直接经过速度更快的网络层。 自适应代理可以和安全脆弱性扫描器、病毒安全扫描器和入侵检测系统之间实现更加灵活的集成。作为自适应安全计划的一部分,自适应代理将允许经过正确验证的设备在安全传感器和扫描仪发现重要的网络威胁时,根据防火墙管理员事先确定的安全策略,自动“适应”防火墙级别。,5.2.3 防火墙技术的发展趋势,1功能融合 (1)与VPN技术融合。 (2)与入侵检测技术和攻击防御技术的融合 (3)提供对应用层攻击行为的检测和对应用层内容的过滤功能。 (4)提供防病毒的功能。 2集成化管理 3分布式体系结构,5.3 防火墙体系结构
15、,(1)双重宿主主机结构; (2)被屏蔽主机结构; (3)被屏蔽子网结构。,5.3.1. 双重宿主主机结构,双宿主机(Dual-homed host),又称堡垒主机(Bastion host),是一台至少配有两个网络接口的主机,它可以充当与这些接口相连的网络之间的路由器,在网络之间发送数据包。一般情况下双宿主机的路由功能是被禁止的,这样可以隔离内部网络与外部网络之间的直接通信,从而达到保护内部网络的作用。,8.3.2屏蔽主机结构,屏蔽主机结构需要配备一台堡垒主机和一个有过滤功能的屏蔽路由器,如图5-3所示,屏蔽路由器连接外部网络,堡垒主机安装在内部网络上。通常在路由器上设立过滤规则,并使这个堡
16、垒主机成为从外部网络唯一可直接到达的主机。入侵者要想入侵内部网络,必须过屏蔽路由器和堡垒主机两道屏障,所以屏蔽主机结构比双重宿主主机结构具有更好的安全性和可用性。,5.3.3 屏蔽子网结构,屏蔽子网结构它是在屏蔽主机结构的基础上添加额外的安全层,即通过添加周边网络(即屏蔽子网)更进一步地把内部网络与外部网络隔离开。 一般情况下,屏蔽子网结构包含外部和内部两个路由器。两个屏蔽路由器放在子网的两端,在子网内构成一个“非军事区”DMZ。有的屏蔽子网中还设有一台堡垒主机作为唯一可访问点,支持终端交互或作为应用网关代理。这种配置的危险地带仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。,
