《第9章防火墙技术》由会员分享,可在线阅读,更多相关《第9章防火墙技术(84页珍藏版)》请在金锄头文库上搜索。
1、第第9 9章章 防火墙技术防火墙技术科展汇来妻拓灭凋锭叙婆涝忻砍树捕根但淖周铆嫌瞎赶琅癣缘玄啄柳降泡第9章防火墙技术第9章防火墙技术9.1 9.1 防火墙概述防火墙概述 9.2 9.2 防火墙的设计策略和安全策略防火墙的设计策略和安全策略9.3 9.3 防火墙的体系结防火墙的体系结9.4 9.4 防火墙的主要技术防火墙的主要技术撒枝祥庚盘概谱坎揩眩硅簧走嘲挺撞柜谢亚热刑谅扩象喘络垮振捎博衰雇第9章防火墙技术第9章防火墙技术9.1.1 防火墙的基本概念防火墙的基本概念 防火墙是在两个网络之间执行控制和安全策略防火墙是在两个网络之间执行控制和安全策略的系统,它可以是软件,也可以是硬件,或两者并的系
2、统,它可以是软件,也可以是硬件,或两者并用。用。 9.1 9.1 防火墙概述防火墙概述 切居蹋矩床臼润握遏虾偿肌诞但担己钱趾舆夏狈枣夷开婶问拦埔访乐愿篓第9章防火墙技术第9章防火墙技术9.1.2 防火墙的作用与不足防火墙的作用与不足 总的来说,防火墙系统应具有以下总的来说,防火墙系统应具有以下5个方面的特个方面的特性。性。(1)内部网和外部网之间的数据传输都必须经过防)内部网和外部网之间的数据传输都必须经过防火墙。火墙。(2)只有被授权的合法数据,即符合安全策略的数)只有被授权的合法数据,即符合安全策略的数据,才可以通过防火墙,其他的数据将被防火墙丢据,才可以通过防火墙,其他的数据将被防火墙丢
3、弃。弃。药烟韵氏橙桂抵佃停酶候牙巧骋旱玛项诣砒樊构健颁扣篙畜未小寡酉拉贵第9章防火墙技术第9章防火墙技术(3)防火墙本身不受各种攻击的影响,否则,防)防火墙本身不受各种攻击的影响,否则,防火墙的保护功能将大大降低。火墙的保护功能将大大降低。(4)采用目前新的信息安全技术,如现代加密技)采用目前新的信息安全技术,如现代加密技术、一次口令系统、智能卡等增强防火墙的保护术、一次口令系统、智能卡等增强防火墙的保护功能,为内部网提供更好的保护。功能,为内部网提供更好的保护。(5)人机界面良好。)人机界面良好。靠测萤迪区恼竹福浩绩涵季爸萎耪戍换逊秉陇练钾育衫供降靳礁拌司浸眨第9章防火墙技术第9章防火墙技术
4、采用防火墙保护内部网有以下优点。采用防火墙保护内部网有以下优点。(1 1)防火墙允许网络管理员定义一个中心)防火墙允许网络管理员定义一个中心“扼制点扼制点”来防止非法用户(如黑客和网络破坏者等)进入内来防止非法用户(如黑客和网络破坏者等)进入内部网。部网。(2 2)保护网络中脆弱的服务。)保护网络中脆弱的服务。(3 3)在防火墙上可以很方便地监视网络的安全性,并)在防火墙上可以很方便地监视网络的安全性,并产生报警。产生报警。(4 4)可以集中安全性。)可以集中安全性。(5 5)防火墙可以作为部署(网络地址转换)防火墙可以作为部署(网络地址转换Network Network Address Tr
5、anslatorAddress Translator,NATNAT)的逻辑地址。)的逻辑地址。(6 6)增强保密性和强化私有权。)增强保密性和强化私有权。(7 7)防火墙是审计和记录)防火墙是审计和记录InternetInternet使用量的一个最佳使用量的一个最佳地方。地方。(8 8)防火墙也可以成为向客户发布信息的地点。)防火墙也可以成为向客户发布信息的地点。谴淘阔禁摧景墩辟耳蛰想巾挛胯辊牧惨漏润叶既惺摧伺袁红辛祖姻谗椭檀第9章防火墙技术第9章防火墙技术防火墙有如下的缺陷和不足。防火墙有如下的缺陷和不足。(1)限制有用的网络服务。)限制有用的网络服务。 (2)无法防护内部网用户的攻击。)无
6、法防护内部网用户的攻击。 (3)防火墙无法防范通过防火墙以外的其他途径的)防火墙无法防范通过防火墙以外的其他途径的攻击。攻击。 (4)防火墙也不能完全防止传送已感染病毒的软件)防火墙也不能完全防止传送已感染病毒的软件或文件。或文件。 (5)防火墙无法防范数据驱动型的攻击。)防火墙无法防范数据驱动型的攻击。(6)不能防备新的网络安全问题。)不能防备新的网络安全问题。仗部棠鬼牙啊硼简彼价抠爸榜蘑贬酮碧苍师责愧鄙讽缕发蔓汹昧孪捡业伟第9章防火墙技术第9章防火墙技术图图9.1 防火墙后门防火墙后门担耻锄缀炽矫遵祟玄椰摄配裴镐喧苗藤缉纽机迭太摆消阜存藤迫门城凸颅第9章防火墙技术第9章防火墙技术9.2 9
7、.2 防火墙的设计策略和安全策略防火墙的设计策略和安全策略9.2.1 防火墙的设计策略防火墙的设计策略 防火墙一般执行以下两种基本设计策略中的防火墙一般执行以下两种基本设计策略中的一种。一种。(1)除非明确不允许,否则允许某种服务。)除非明确不允许,否则允许某种服务。(2)除非明确允许,否则将禁止某种服务。)除非明确允许,否则将禁止某种服务。谩典惟近们硅谨濒盏壁堑醒整示揭顽耕移枝矗舷狐谋陪牟短败雍粉响粒牲第9章防火墙技术第9章防火墙技术9.2.2 防火墙的安全策略防火墙的安全策略 研制和开发一个有效的防火墙,首先要设计和研制和开发一个有效的防火墙,首先要设计和制定一个有效的安全策略。安全策略应
8、包含以下主制定一个有效的安全策略。安全策略应包含以下主要内容:要内容:(1 1)用户账号策略;)用户账号策略;(2 2)用户权限策略;)用户权限策略;(3 3)信任关系策略;)信任关系策略;(4 4)包过虑策略;)包过虑策略;(5 5)认证策略;)认证策略; (6 6)签名策略;)签名策略;(7 7)数据加密策略;)数据加密策略; (8 8)密钥分配策略;)密钥分配策略;(9 9)审计策略。)审计策略。送琶曹镇矗歇逐扮六席竟呜池咐航氰液唬莎婶辜军嘘剂趣鞠雇惹铁惶蕾庆第9章防火墙技术第9章防火墙技术1用户账号策略用户账号策略2用户权限策略用户权限策略3信任关系策略信任关系策略图图9.2 单向信任
9、关系单向信任关系 图图9.3 双向信任关系双向信任关系 缸逝琴荤迢综浊锁痈闹谚豹斌劝拄阁呢允掌沮置表撒力税耐熙凰耪俱撰享第9章防火墙技术第9章防火墙技术图图9.4 多重信任关系多重信任关系霜肚母滋郁韧痰毛略蚂剧促凰优边绅堑狄停潘筏求活涂掣荷升馒滓揣劫恋第9章防火墙技术第9章防火墙技术4包过虑策略包过虑策略这里主要从以下几个方面来讨论包过滤策略:这里主要从以下几个方面来讨论包过滤策略: 包过滤控制点;包过滤控制点; 包过滤操作过程;包过滤操作过程; 包过滤规则;包过滤规则; 防止两类不安全设计的措施;防止两类不安全设计的措施; 对特定协议包的过滤。对特定协议包的过滤。鸿酉雏旧埃瓤斗继讨缄莱纲纬挪
10、蕴醋悄梢斩宫语累经乡罐介晦笑萍王辣恼第9章防火墙技术第9章防火墙技术(1)包过滤控制点)包过滤控制点(2)包过滤操作过程)包过滤操作过程(3)包过滤规则)包过滤规则(4)防止两类不安全设计的措施)防止两类不安全设计的措施(5)对特定协议包的过滤)对特定协议包的过滤预烷入南讲灾县管离展纯圾浦州美蹄简司竣堤雕联胃畸博蜜构临挽弗畜住第9章防火墙技术第9章防火墙技术5认证、签名和数据加密策略认证、签名和数据加密策略6密钥分配策略密钥分配策略7审计策略审计策略审计是用来记录如下事件:审计是用来记录如下事件:(1)哪个用户访问哪个对象;)哪个用户访问哪个对象;(2)用户的访问类型;)用户的访问类型;(3)
11、访问过程是否成功。)访问过程是否成功。贸滚喻蛊饰蹈硬房弧瞧雪娄廓曝些筛疑日茁箔要骤床陶婶雾回镀筒秒巨侵第9章防火墙技术第9章防火墙技术9.3 9.3 防火墙的体系结构防火墙的体系结构 防火墙按体系结构可以分为包过滤防火墙、屏防火墙按体系结构可以分为包过滤防火墙、屏蔽主机防火墙、屏蔽子网防火墙、多宿主主机防火蔽主机防火墙、屏蔽子网防火墙、多宿主主机防火墙和通过混合组合而衍生的其他结构的防火墙。墙和通过混合组合而衍生的其他结构的防火墙。9.3.1 包过滤型防火墙包过滤型防火墙 包过滤型防火墙的核心技术就是安全策略设计包过滤型防火墙的核心技术就是安全策略设计即包过滤算法的设计。即包过滤算法的设计。
12、璃贯劈岛祸驭蚤辖获谭诈呐鼠监冶螺淘喷炮熊元房普涅俘吨恿勇篷边仕垃第9章防火墙技术第9章防火墙技术图图9.59.5 包过滤型防火墙包过滤型防火墙 潞韭梗梧暴筋映歇棵皿棒温时羔钱炙栓壹腐坍瓜碾唉铝兵唤忠凑宁帅学出第9章防火墙技术第9章防火墙技术包过滤型防火墙具有以下优点。包过滤型防火墙具有以下优点。 (1 1)处处理理包包的的速速度度比比代代理理服服务务器器快快,过过滤滤路路由由器器为为用用户户提提供供了了一一种种透透明明的的服服务务,用用户户不不用用改改变客户端程序或改变自己的行为。变客户端程序或改变自己的行为。 (2 2)实实现现包包过过滤滤几几乎乎不不再再需需要要费费用用(或或极极少少的的费
13、费用用),因因为为这这些些特特点点都都包包含含在在标标准准的的路路由由器器软件中。软件中。 (3 3)包包过过滤滤路路由由器器对对用用户户和和应应用用来来讲讲是是透透明明的。的。大奠揭远事恃军节舔瘦疫陌纸洗萝及口虱赃跋宝少邑酚失钧浪碧钧眩外危第9章防火墙技术第9章防火墙技术包过滤型防火墙存在以下的缺点。包过滤型防火墙存在以下的缺点。(1 1)防火墙的维护比较困难,定义数据包过滤器)防火墙的维护比较困难,定义数据包过滤器会比较复杂,因为网络管理员需要对各种会比较复杂,因为网络管理员需要对各种InternetInternet服务、包头格式以及每个域的意义有非常深入的理服务、包头格式以及每个域的意义
14、有非常深入的理解,才能将过滤规则集尽量定义得完善。解,才能将过滤规则集尽量定义得完善。(2 2)只能阻止一种类型的)只能阻止一种类型的IPIP欺骗,即外部主机伪欺骗,即外部主机伪装内部主机的装内部主机的IPIP,对于外部主机伪装其他可信任的,对于外部主机伪装其他可信任的外部主机的外部主机的IPIP却不可阻止。却不可阻止。(3 3)任何直接经过路由器的数据包都有被用做数)任何直接经过路由器的数据包都有被用做数据驱动攻击的潜在危险。据驱动攻击的潜在危险。 蔽磋即摔野褥磅荒捶牌郝矽拼嘻妖屠悔婆律顾坷捶迅镣侍孕睹梧捅藩铃阁第9章防火墙技术第9章防火墙技术(4 4)一些包过滤网关不支持有效的用户认证。)
15、一些包过滤网关不支持有效的用户认证。(5 5)不不可可能能提提供供有有用用的的日日志志,或或根根本本就就不不提提供供,这这使使用用户户发发觉觉网网络络受受攻攻击击的的难难度度加加大大,也也就就谈谈不不上上根根据据日日志志来来进进行行网网络络的的优优化化、完完善善以以及及追追查查责责任。任。(6 6)随随着着过过滤滤器器数数目目的的增增加加,路路由由器器的的吞吞吐吐量量会下降。会下降。(7 7)IPIP包包过过滤滤器器无无法法对对网网络络上上流流动动的的信信息息提提供供全面的控制。全面的控制。(8 8)允允许许外外部部网网络络直直接接连连接接到到内内部部网网络络的的主主机机上,易造成敏感数据的泄
16、漏。上,易造成敏感数据的泄漏。阑闷仅脏癌傍貉淳渭幻卜辐阳始弓拜炊性违佃品忙斤来搀疆琉斜粗剖官馏第9章防火墙技术第9章防火墙技术包过滤路由器常见的攻击有以下几种。包过滤路由器常见的攻击有以下几种。(1)源)源IP地址欺骗式攻击。地址欺骗式攻击。(2 2)源路由攻击。)源路由攻击。(3 3)极小数据段式攻击。)极小数据段式攻击。 衬校苏沏队蓄同洽滤孤向负擂敛免柠雄作捌男架尊饼笼钟蛛晶车队趣茨柑第9章防火墙技术第9章防火墙技术9.3.2 多宿主主机(多宿主网关)防火墙多宿主主机(多宿主网关)防火墙 多宿主主机拥有多个网络接口,每一个多宿主主机拥有多个网络接口,每一个接口都连在物理上和逻辑上都分离的不
17、同的接口都连在物理上和逻辑上都分离的不同的网段上。每个不同的网络接口分别连接不同网段上。每个不同的网络接口分别连接不同的子网,不同子网之间的相互访问实施不同的子网,不同子网之间的相互访问实施不同的访问控制策略。的访问控制策略。 别爆帝拽斟悲揖故固跟啼清盆形贤岿烈页纸蚜启逸兵金及羞豆途杭悄行煌第9章防火墙技术第9章防火墙技术图图9.69.6 双宿主机防火墙双宿主机防火墙姜土沥明闰里淫速历盾叔习显辙烫膜饶鉴浮炕术奔姻量驱烛睫汹秸捧达腐第9章防火墙技术第9章防火墙技术 双宿主主机防火墙采用主机取代路由器执双宿主主机防火墙采用主机取代路由器执行安全控制功能,故类似于包过滤防火墙,双行安全控制功能,故类
18、似于包过滤防火墙,双宿主主机可以在内部网络和外部网络之间进行宿主主机可以在内部网络和外部网络之间进行寻径。寻径。 双宿主主机防火墙的最大特点是双宿主主机防火墙的最大特点是IPIP层的通层的通信被阻止,两个网络之间的通信可通过应用层信被阻止,两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成,而不能直数据共享或应用层代理服务来完成,而不能直接通信。接通信。 矫肝砷壳启骤宋俭蹿叉霓铁柒绒滦凤缩障他祟窃妓甩震惯舷翁赦屎赠舵芝第9章防火墙技术第9章防火墙技术图图9.79.7 应用层数据共享应用层数据共享 态碴蓬翻远蝶礁盒舞狸提捕焊讶辩署呛椭篆既罗朴监厩灼非奖剑诧呕族嘲第9章防火墙技术第9章防
19、火墙技术图图9.89.8 运行代理服务器的双宿主机运行代理服务器的双宿主机 使用双宿主主机作为防火墙,防火墙本身使用双宿主主机作为防火墙,防火墙本身的安全性至关重要。的安全性至关重要。羌咖你内笼鸡匆宰由累品那浙陌龋菱魄症患蛹灾至一砸扎空就抢宵淀防扒第9章防火墙技术第9章防火墙技术图图9.9 运行代理服务器的双宿主机运行代理服务器的双宿主机阳刻欺荐仗奇碘斩俊主筋趾憾许雍铣呐苑蟹住岂宇鄙氦购懒诉耿袁噶醒边第9章防火墙技术第9章防火墙技术9.3.3 屏蔽主机型防火墙屏蔽主机型防火墙 屏蔽主机型防火墙由堡垒主机和包过滤路由屏蔽主机型防火墙由堡垒主机和包过滤路由器组成,所有的外部主机与一个堡垒主机相连接
20、器组成,所有的外部主机与一个堡垒主机相连接而不让它们与内部主机直接相连。而不让它们与内部主机直接相连。期勉契毁怒獭喊泡淆罐审姜雄箍掸匙普细洗郑岁岸呜槽佬钡沉梧浩愈竖挛第9章防火墙技术第9章防火墙技术图图9.109.10 被屏蔽主机结构被屏蔽主机结构 杯龄窘炎暗醉椰蕉袍暂斌玫犀啄肌句接奋德含仕夫决挟侧坤察怜啥辗际孩第9章防火墙技术第9章防火墙技术图图9.119.11 堡垒主机转发数据包堡垒主机转发数据包 夜趴浙吵娟自粟殷硷捷壤室偿昨馈系繁蔼啃嘎谴屎序拢喀瘴驰酪恰刽瘫温第9章防火墙技术第9章防火墙技术9.3.4 屏蔽子网型防火屏蔽子网型防火图图9.129.12 被屏蔽子网防火墙系统(被屏蔽子网防火
21、墙系统(DMZDMZ) 族啃晴渺三财势潭躯琶簿粗蜗哪豪扇辆互铭鳞飘耀脾也弧艰汕秽薯酮宫呕第9章防火墙技术第9章防火墙技术 墙墙根据堡垒主机和包过滤器的各种组合,基于屏根据堡垒主机和包过滤器的各种组合,基于屏蔽子网的防火墙系统衍生出了一些派生结构体系。蔽子网的防火墙系统衍生出了一些派生结构体系。(1)合并)合并“非军事区非军事区”的外部路由器和堡垒主机的的外部路由器和堡垒主机的结构系统。结构系统。图图9.139.13 使用合并外部路由器和堡垒主机体系结构使用合并外部路由器和堡垒主机体系结构 杰至催哇啮续立卒煽澈斌希摆窟咐渴茸矽毖曹亨瑰敲管旋脉惫和银窖酣啦第9章防火墙技术第9章防火墙技术(2 2)
22、合并)合并DMZDMZ的内部路由器和外部路由器结构如图的内部路由器和外部路由器结构如图9.149.14所示。所示。图图9.149.14 使用合并内部路由器和外部路由器的体系结构使用合并内部路由器和外部路由器的体系结构 拿捡害态菏奥丧吝胯逊彝缆技倡氛颈亥付蹦胯毫守滚徐倪敌贡激蛀披字这第9章防火墙技术第9章防火墙技术(3 3)使用多台堡垒主机的体系结构如图)使用多台堡垒主机的体系结构如图9.159.15所示。所示。 图9.15两个堡垒主机和两个“非军事区” 诧迟汛取卡盅许慈禄纫莉诈瘫酣讶相利娜卸纸箔蛋胳腐耀免着捍誉疫找尔第9章防火墙技术第9章防火墙技术图9.16牺牲主机结构 患瘩会欠季禄完喻肢逛冤
23、恕司蓬郊疽直喻堂野墓酷正芦代填皇背醛洱堕樱第9章防火墙技术第9章防火墙技术(4 4)使用多台外部路由器的体系结构,如图)使用多台外部路由器的体系结构,如图9.179.17所示。所示。图9.17使用多台外部路由器的体系结构争贾喳缸骇高烃层讶唐圃挂滇稼阁扮玖威术府彤贫鼓蜜八垫蚕缕屉恋授灸第9章防火墙技术第9章防火墙技术9.3.5 堡垒主机堡垒主机 堡垒主机是一种被强化的可以防御进攻的计算堡垒主机是一种被强化的可以防御进攻的计算机,是高度暴露于机,是高度暴露于Internet中的,也是网络中最容中的,也是网络中最容易受到侵害的主机。易受到侵害的主机。 构筑堡垒主机的基本原则有以下两条。构筑堡垒主机的
24、基本原则有以下两条。(1)使堡垒主机尽可能简单)使堡垒主机尽可能简单(2)做好备份工作以防堡垒主机受损)做好备份工作以防堡垒主机受损蔡幻骇冰钢噬座荤羔氰凸蓑永惑慢矛尾蛾倡菌莱南眩厘泥包摆呻紊明席露第9章防火墙技术第9章防火墙技术1堡垒主机的主要结构堡垒主机的主要结构当前堡垒主机主要采用以下当前堡垒主机主要采用以下3种结构。种结构。(1)无路由双宿主主机)无路由双宿主主机(2)牺牲主机)牺牲主机(3)内部堡垒主机)内部堡垒主机秤孰行湿架皆统彬栽筷中嘲颇稗墒豆图兰拒轧镑逝憨仓口案厢褐料故茫麦第9章防火墙技术第9章防火墙技术2堡垒主机的选择堡垒主机的选择(1)选择主机时,应选择一个可以支持多个网络接
25、口同时处)选择主机时,应选择一个可以支持多个网络接口同时处于活跃状态,从而能够向内部网用户提供多个网络服务的机于活跃状态,从而能够向内部网用户提供多个网络服务的机器。器。(2)建议用户选择较为熟悉的)建议用户选择较为熟悉的UNIX操作系统作为堡垒主机的操作系统作为堡垒主机的操作系统。操作系统。(3)选择堡垒主机时,不需要功能过高、速度过快的机器,)选择堡垒主机时,不需要功能过高、速度过快的机器,而是争取做到物尽其用。但是应使堡垒主机的内存和硬盘足而是争取做到物尽其用。但是应使堡垒主机的内存和硬盘足够大,以保证足够的信息交换空间。够大,以保证足够的信息交换空间。(4)在网络上,堡垒主机应位于)在
26、网络上,堡垒主机应位于DMZ内没有机密信息流或信内没有机密信息流或信息流不太敏感的部分。息流不太敏感的部分。(5)在配置堡垒主机的网络服务时,应注意除了不得不提供)在配置堡垒主机的网络服务时,应注意除了不得不提供的基本网络服务(如的基本网络服务(如SMTP,FTP,WAIS,HTTP,NNTP和和Gopher)外,应把那些内部网不使用的服务统统关闭。)外,应把那些内部网不使用的服务统统关闭。而且应尽量减少堡垒主机上的用户账户数,如果有可能,应而且应尽量减少堡垒主机上的用户账户数,如果有可能,应禁止一切用户账户。禁止一切用户账户。寺告镶怜胞就之诡株期疑鸟钓监鞭伐训滇敢涸迅藉婚碴幽浚秩细颐球跨疵第
27、9章防火墙技术第9章防火墙技术9.4 9.4 防火墙的主要技术防火墙的主要技术9.4.1 数据包过滤技术数据包过滤技术 数据包过滤技术是在网络中的适当位置对数据数据包过滤技术是在网络中的适当位置对数据包实施有选择的通过的技术。包实施有选择的通过的技术。1 1包过滤的模型包过滤的模型 猫兴乡没膳夕毅油际孩瘤楼憋洋捞谬灵圆嘿陷翠瞧源体晴处问磷乳历咱硬第9章防火墙技术第9章防火墙技术图图9.189.18 包过滤模型包过滤模型 屿权秀镐授藻绩殿传晦绞浮娇葡奉拖亚莫容蒸魄刊陪河韶央蕉宜琴屯点棚第9章防火墙技术第9章防火墙技术包过滤一般要检查下面几项:包过滤一般要检查下面几项:(1 1)IPIP源地址;源
28、地址;(2 2)IPIP目的地址;目的地址;(3 3)协议类型()协议类型(TCPTCP包、包、UDPUDP包和包和ICMPICMP包);包);(4 4)TCPTCP或或UDPUDP的源端口;的源端口;(5 5)TCPTCP或或UDPUDP的目的端口;的目的端口;(6 6)ICMPICMP消息类型;消息类型;(7 7)TCPTCP报头中的报头中的ACKACK位。位。 另另外外,TCPTCP的的序序列列号号、确确认认号号,IPIP校校验验以以及及分分段段偏移也往往是要检查的选项。偏移也往往是要检查的选项。仪吁皮肝放带宝论菠邑做顿痞摹邮宛以画忻仲韭鳃调酪惮廓样姻杭叫牡擎第9章防火墙技术第9章防火墙
29、技术2数据包过滤特性数据包过滤特性(1 1)IPIP包过滤特性包过滤特性(2)TCP包过滤特性包过滤特性(3)UDP包的过滤特性包的过滤特性(4)ICMP包的过滤特性包的过滤特性筛蚕慰锈埠杠敬萝数议陛谤伺右疤朝悟俭姻雾间敝痰匹袖矣绢烃含夏粱粟第9章防火墙技术第9章防火墙技术图图9.19 TCP的连接过程的连接过程尉涉籽仁蘑污撮颇延线喊城栗扬耘订蝶铸悼下矽镍拾旦卸梆炙弛阜缉剃沫第9章防火墙技术第9章防火墙技术图9.21UDP动态数据包过滤 阀蚁再午甫辆壬刮扬探仍轩督如磁兢比枯涧档肢技酒款泳期颇宗瑚劫症深第9章防火墙技术第9章防火墙技术 在决定包过滤防火墙是否返回在决定包过滤防火墙是否返回ICMP
30、错误代码时错误代码时,应考虑以下几点。,应考虑以下几点。 防火墙应该发送什么消息。防火墙应该发送什么消息。 是否负担得起生成和返回错误代码的高额费用。是否负担得起生成和返回错误代码的高额费用。 返回错误代码能使得侵袭者得到很多有关你发送返回错误代码能使得侵袭者得到很多有关你发送的数据包过滤信息。的数据包过滤信息。 什么错误代码对你的网站有意义。什么错误代码对你的网站有意义。饲撼弊佃讼较剐歧侦鸯宴逻伶旧淘锅孟赛挡尉逢渊毕篱截拾讹柞召谓搞碑第9章防火墙技术第9章防火墙技术(5)RPC服务中的包过滤的特点服务中的包过滤的特点图9.22RPC的端口映射 骨版再涉庇去信渗假抄莹屋霓币捞惩完掩冕溢著弟给丛
31、逐鬃弱喊赡垢篇秸第9章防火墙技术第9章防火墙技术(6)源端口过滤的作用)源端口过滤的作用规 则方方 向向源源 地地 址址目的地址目的地址协 议源源 端端 口口目的端口目的端口动 作作A入入任意任意172.46.23.45172.46.23.45TCP/25拒拒绝B出出172.46.23.45172.46.23.45任意任意TCP/1023任意任意C出出172.46.23.45172.46.23.45任意任意TCP/25允允许D入入任意任意172.46.23.45172.46.23.45TCP/1023允允许表表9.1过滤规则示例过滤规则示例廉激疲螺屠氟窄林畔浦梦佯胚蜘纶否亲阀扫柞苛壹探剐洲抬盆
32、雏惶聂猜番第9章防火墙技术第9章防火墙技术图图9.239.23 进攻进攻X X窗口服务窗口服务 犊韭致账内翻日吹了惦垣拣玫伟篇樱剁登阵瀑坦迄曲炬郊临钙弗把义情悠第9章防火墙技术第9章防火墙技术(7)ACK位在数据包过滤中的作用位在数据包过滤中的作用表9.2 过滤规则示例规则方向方向源地址源地址目的地址目的地址协议源端口源端口目的端口目的端口ACK设置置动作作A出出172.46.23.45任意任意TCP102323任意任意允允许B入入任意任意172.46.23.45TCP231023是是允允许摊烛冷徽佑齿琶涸窑鸦驶需末可邦谤勘溉滋价棒锑甲妮咕以召褪酱嚼拣僻第9章防火墙技术第9章防火墙技术图图9.
33、249.24 用用ACKACK位阻止欺骗位阻止欺骗 怒好娥颇檀洪黔六晴丰痔祖陵抽谍话杰挡籍们臀墟近掖纹妥黍处滴漳戊规第9章防火墙技术第9章防火墙技术(8)包过滤技术的优点)包过滤技术的优点 帮助保护整个网络,减少暴露的风险;帮助保护整个网络,减少暴露的风险; 对用户完全透明,不需要对客户端做任何改动,对用户完全透明,不需要对客户端做任何改动,也不需要对用户做任何培训;也不需要对用户做任何培训; 很多路由器可以作数据包过滤,因此不需要专门很多路由器可以作数据包过滤,因此不需要专门添加设备。添加设备。元龙追壬洪瘴晒了贼扮逛耐农差脯竖酣卸碰秆暇剪咱荔蔽买形某躯栗鸽腑第9章防火墙技术第9章防火墙技术
34、包过滤最明显的缺陷是即使是最基本的网络包过滤最明显的缺陷是即使是最基本的网络服务和协议,它也不能提供足够的安全保护,包服务和协议,它也不能提供足够的安全保护,包过滤是不够安全的。过滤是不够安全的。 包过滤规则难于配置。一旦配置,数据包过滤包过滤规则难于配置。一旦配置,数据包过滤规则也难于检验。规则也难于检验。 包过滤仅可以访问包头信息中的有限信息。包过滤仅可以访问包头信息中的有限信息。 包过滤是无状态的,因为包过滤不能保持与传包过滤是无状态的,因为包过滤不能保持与传输相关的状态信息或与应用相关的状态信息。输相关的状态信息或与应用相关的状态信息。 包过滤对信息的处理能力非常有限。包过滤对信息的处
35、理能力非常有限。 一些协议不适合用数据包过滤,如基于一些协议不适合用数据包过滤,如基于RPC的的应用的应用的“r”命令等。命令等。逮刚炼寓氏主口碰时襄孰店擒芍镁箭巢硒狂另剖肪淖淆姥梗跋驴咽组橇牧第9章防火墙技术第9章防火墙技术9.4.2 代理技术代理技术 代理技术也称为应用层网关技术,代理技术与代理技术也称为应用层网关技术,代理技术与包过滤技术完全不同,包过滤技术是在网络层拦截包过滤技术完全不同,包过滤技术是在网络层拦截所有的信息流,代理技术是针对每一个特定应用都所有的信息流,代理技术是针对每一个特定应用都有的一个程序。有的一个程序。俘汛眼捻忘抖秋湖演饵郴字褪锄盂付责涤呜奠扒唬椒汀俘做吩呼胺闷
36、旁宅第9章防火墙技术第9章防火墙技术1 1应用级代理应用级代理 应用级代理有两种情况,一种是内部网通过代应用级代理有两种情况,一种是内部网通过代理访问外部网。另一种情况是,外部网通过代理访理访问外部网。另一种情况是,外部网通过代理访问内部网。问内部网。 代理使得网络管理员能够实现比包过滤路由器代理使得网络管理员能够实现比包过滤路由器更严格的安全策略,它会对应用程序的数据进行校更严格的安全策略,它会对应用程序的数据进行校验以确保数据格式可以接受。验以确保数据格式可以接受。 硒兼体狗牧粥苞何台熙晒蹦欠叛存核炉浩政妓湾嘛谱鹰筑怂悉眯峪锻稿佃第9章防火墙技术第9章防火墙技术图图9.25 Telnet代
37、理服务代理服务疫铆兄挂稳钥拾透捂扳揪粹衣熙搬牲聊除恕桓滋吃抨芝忙近雾斡抨核狭摩第9章防火墙技术第9章防火墙技术图图9.26 Internet客户通过代理服务器访问内部网主机客户通过代理服务器访问内部网主机西雍宠奇麻舔棺旦夸砾距港仍瘤皖淋郑羡俞皱秘凝初键砂波兆泰毯视嫁踪第9章防火墙技术第9章防火墙技术 提供代理应用层网关主要有以下优点。提供代理应用层网关主要有以下优点。(1 1)应应用用层层网网关关有有能能力力支支持持可可靠靠的的用用户户认认证证并并提供详细的注册信息。提供详细的注册信息。(2 2)应应用用层层的的过过滤滤规规则则相相对对于于包包过过滤滤路路由由器器来来说更容易配置和测试。说更容
38、易配置和测试。(3 3)代代理理工工作作在在客客户户机机和和真真实实服服务务器器之之间间,完完全全控控制制会会话话,所所以以可可以以提提供供很很详详细细的的日日志志和和安安全全审计功能。审计功能。(4 4)提提供供代代理理服服务务的的防防火火墙墙可可以以被被配配置置成成惟惟一一的的可可被被外外部部看看见见的的主主机机,这这样样可可以以隐隐藏藏内内部部网网的的IPIP地址,可以保护内部主机免受外部网的进攻。地址,可以保护内部主机免受外部网的进攻。(5 5)通通过过代代理理访访问问InternetInternet,可可以以解解决决合合法法的的IPIP地址不够用的问题。地址不够用的问题。逞格蓑沏峡恩
39、谐小疚努表松碎摹扬埂轻桅浚精笼怂诱蒜诞翠发坦验扶菊淫第9章防火墙技术第9章防火墙技术 然而,应用层代理也有明显的缺点,主要包括以然而,应用层代理也有明显的缺点,主要包括以下几点。下几点。(1 1)有限的连接性。)有限的连接性。(2 2)有限的技术。应用层网关不能为)有限的技术。应用层网关不能为RPCRPC、TalkTalk和其和其他一些基于通用协议簇的服务提供代理。他一些基于通用协议簇的服务提供代理。(3 3)性能。应用层实现的防火墙会造成明显的性能)性能。应用层实现的防火墙会造成明显的性能下降。下降。嘲棘伶衫瓷帅刀片察鱼桃凶窒纲烟腕存句怪耗拈如捷蒂抚颜税冈芥儿模幂第9章防火墙技术第9章防火墙
40、技术(4 4)每个应用程序都必须有一个代理服务程序来进)每个应用程序都必须有一个代理服务程序来进行安全控制,每一种应用程序升级时,一般代理服行安全控制,每一种应用程序升级时,一般代理服务程序也要升级。务程序也要升级。(5 5)应用层网关要求用户改变自己的行为,或者在)应用层网关要求用户改变自己的行为,或者在访问代理服务的每个系统上安装特殊的软件。(访问代理服务的每个系统上安装特殊的软件。(6 6)对用户不透明。在一个要求用户接口和用户体系结对用户不透明。在一个要求用户接口和用户体系结构友好易操作的今天,这种构友好易操作的今天,这种“不友好不友好”性显得不合性显得不合时宜。时宜。(6)对用户不透
41、明。在一个要求用户接口和用户体)对用户不透明。在一个要求用户接口和用户体系结构友好易操作的今天,这种系结构友好易操作的今天,这种“不友好不友好”性显得性显得不合时宜。不合时宜。遂制绎有畔幅驭箍聚块炔根念啃揽彝畸灿隋团防安趾苫妙契射跋洽婴旅车第9章防火墙技术第9章防火墙技术图图9.27 智能代理服务器智能代理服务器建猿涎镐吾凌抖陪雇鹤厦伺坚咱叭鲤求省矮冬掷脊碟晕望拣咳饮啃耀茸汤第9章防火墙技术第9章防火墙技术2电路级网关代理技术电路级网关代理技术 应用层代理为一种特定的服务(如应用层代理为一种特定的服务(如FTP和和Telnet等)提供代理服务。等)提供代理服务。 这种代理的优点是它可以对各种不
42、同的协议提这种代理的优点是它可以对各种不同的协议提供服务,但这种代理需要改进客户程序。供服务,但这种代理需要改进客户程序。 Socks是一种非常强大的电路级网关防火墙,它是一种非常强大的电路级网关防火墙,它只中继基于只中继基于TCP的数据包的数据包射戍奏奢摇羌盯锥珐百望颜罩锗雁枕弘聘肉魂辐陛垫甲陛颐疚眠营叭嘻席第9章防火墙技术第9章防火墙技术图图9.289.28 电路级网关电路级网关 查蹦落晌蟹理粘链郝纱艺麻剪拘蓑暗凋坡贴淳澳偏策歪穗度截佳脊仓经嚣第9章防火墙技术第9章防火墙技术图图9.299.29 Socks服务器服务器 共失颧慕咕吠傲宿多氧素诱痞菜诱煮勤郁总糙或发匡柠破类霍恨极闹唉泪第9章
43、防火墙技术第9章防火墙技术9.4.3 状态检查技术状态检查技术 状态检查技术能在网络层实现所有需要的防火状态检查技术能在网络层实现所有需要的防火墙能力,它既有包过滤机制的速度和灵活,也有应墙能力,它既有包过滤机制的速度和灵活,也有应用级网关安全的优点,它是包过滤器和应用级网关用级网关安全的优点,它是包过滤器和应用级网关功能的折衷。功能的折衷。究悠马氏鹊阮莉跺譬游祷倾径求断欠料失知面亡波喝股臻傍儿脓捅狈闺将第9章防火墙技术第9章防火墙技术图图9.30 状态包检查的逻辑流程状态包检查的逻辑流程嘿都蒲态籍仁笔好紊鹰粗卤般认攻哪绳仔宪远翰欧星赠盒颈踢搞谍厚哟痈第9章防火墙技术第9章防火墙技术防火防火墙
44、的能力的能力包包 过 滤 器器代代 理理状状 态 检 查传输的信息的信息部分部分部分部分能能传输状状态不能不能部分部分能能应用的状用的状态不能不能能能能能信息信息处理理部分部分能能能能表表9.3防火墙技术比较表防火墙技术比较表赡况釜鲜钱投感柳桩张眠蚕重介哺您曲刘崩葛子舰方逊酮憨淫甥剪周巍苛第9章防火墙技术第9章防火墙技术状态检查防火墙有如下的优点。状态检查防火墙有如下的优点。1高安全性高安全性2高效性高效性3伸缩性和易扩展性伸缩性和易扩展性4针对性针对性5应用范围广应用范围广呻屎苍愚炸况渐晦桐丙灼耻嘉钳控楚俘科勺烦纲峨棋晒羌余秩蕉挞种昼毫第9章防火墙技术第9章防火墙技术9.4.4 地址翻译技术
45、地址翻译技术 地址翻译(地址翻译(Network Address Translation,NAT)就是将一个)就是将一个IP地址用另一个地址用另一个IP地址代替。地址代替。地址翻译主要用在以下两个方面。地址翻译主要用在以下两个方面。(1)网络管理员希望隐藏内部网络的)网络管理员希望隐藏内部网络的IP地址。地址。 (2)内部网络的)内部网络的IP地址是无效的地址是无效的IP地址。地址。 啄塘缩鞍燥纹杭池铱譬似遍莎塑熔固巾席盎轻诲维戍秩彰誊凡少菌艘改偶第9章防火墙技术第9章防火墙技术 应用层网关有如下的缺陷。应用层网关有如下的缺陷。(1)要为每一种应用定制代理)要为每一种应用定制代理 (2)代理是
46、不透明的)代理是不透明的 (3)应用层网关不能为基于)应用层网关不能为基于TCP以外的应用提供很以外的应用提供很好的提供代理。好的提供代理。 地址翻译可以提供一种透明而完善的解决方案。地址翻译可以提供一种透明而完善的解决方案。网络管理员可以决定那些内部的网络管理员可以决定那些内部的IP地址需要隐藏,哪地址需要隐藏,哪些地址需要映射成为一个对些地址需要映射成为一个对Internet可见的可见的IP地址。地址。燃菜镊亲腕宣肾淬饭烁在划恫夕铅闽肺哪已浴犀咏苦炙瑶靳思峻傍痪狄搬第9章防火墙技术第9章防火墙技术图图9.319.31 地址翻译地址翻译 旷袭垮燕结码厅挝咐肛淘刽匆绝冠庸闯晕语搏哆渠炎氦鹅畴记
47、逐属瘪觉铃第9章防火墙技术第9章防火墙技术图图9.329.32 将内部地址翻译成网关地址将内部地址翻译成网关地址 写艘埠桥邯隶斩灿豪稳末浙恭小系胃蛤粉隅尊搞糯左邮严牵担镐狐积伦钎第9章防火墙技术第9章防火墙技术地址翻译可以有多种模式,主要有如下几种。地址翻译可以有多种模式,主要有如下几种。(1 1)静态翻译)静态翻译 (2)动态翻译)动态翻译(3)端口转换)端口转换(4)负载平衡翻译)负载平衡翻译(5)网络冗余翻译)网络冗余翻译奖楔笔尚掘胳奇徒赌方儒闯释绝漫凛低异搭琅要屎星兑哈些考鳞槽勒层甭第9章防火墙技术第9章防火墙技术9.4.5 内容检查技术内容检查技术内容检查技术提供对高层服务协议数据的
48、监控内容检查技术提供对高层服务协议数据的监控能力,确保用户的安全。包括计算机病毒、恶意的能力,确保用户的安全。包括计算机病毒、恶意的Java Applet和和ActiveX的攻击、恶意电子邮件及不健的攻击、恶意电子邮件及不健康网页内容的过滤防护。康网页内容的过滤防护。9.4.6 VPN技术技术 虚虚 拟拟 专专 用用 网网 被被 定定 义义 为为 通通 过过 一一 个个 公公 共共 网网 络络(Internet)建建立立的的一一个个临临时时的的和和安安全全的的连连接接,是是一一条条穿穿过过混混乱乱的的公公用用网网络络的的安安全全与与稳稳定定的的隧隧道道,它它是是对对企业内部网的扩展,如图企业内
49、部网的扩展,如图9.35所示。所示。林栓银妨蛛烈拆扛拣颂仿癸备屯鲤集本迅艇式咸促姻贫贡苟白锭拣臂峰宅第9章防火墙技术第9章防火墙技术图图9.359.35 VPN模型模型 没骆赚母放叔馆篆诵苟醛堤甸蒸保揣摹粗溜宫数避允堰阴蔗勉呐怠嵌奋赴第9章防火墙技术第9章防火墙技术不管怎样,一个不管怎样,一个VPN至少应该能提供如下功能。至少应该能提供如下功能。(1)加密数据,以保证通过公网传输的信息即使)加密数据,以保证通过公网传输的信息即使被他人截获也不会泄漏。被他人截获也不会泄漏。(2)信息认证和身分认证,保证信息的完整性、)信息认证和身分认证,保证信息的完整性、合法性,并能鉴别用户的身份。合法性,并能
50、鉴别用户的身份。(3)提供访问控制,不同的用户有不同的访问权)提供访问控制,不同的用户有不同的访问权限。限。毁付湃甜华芹残陪蘸杯橙旗缅郎埂眨误究岗凳藩琅掉捷麦击签柴叭挽坠腔第9章防火墙技术第9章防火墙技术1虚拟专用网的分类及用途虚拟专用网的分类及用途下面分下面分3种情况说明种情况说明VPN的用途。的用途。 在公司总部和它的分支机构之间建立在公司总部和它的分支机构之间建立VPN,称为,称为“内部网内部网VPN”。 在公司总部和远地雇员或旅行之中的雇员之间建在公司总部和远地雇员或旅行之中的雇员之间建立立VPN,称为,称为“远程访问远程访问VPN”。 在公司与商业伙伴、顾客、供应商和投资者之间在公司
51、与商业伙伴、顾客、供应商和投资者之间建立建立VPN,称为,称为“外联网外联网VPN”。(1)内部网)内部网VPN对也刀每地正安寿块置挞拎闲混依流沫缸悲姆奎息订扬铜蓝嫉飘幢枯蔗码第9章防火墙技术第9章防火墙技术图图9.36 内部网内部网VPN啥笑洛骗妮哮钡沮相规肆墅匣宽睛渐蓟茸邱靡斩师踊索冗驳汁苹起槐界纤第9章防火墙技术第9章防火墙技术(2)远程访问)远程访问VPN图图9.37 远程访问远程访问VPN煎孺汝谤蜂型粟诚韧糕撰潮途辩凭繁恋委束活尸惫建腮坞岂屁虏墒敖喂倔第9章防火墙技术第9章防火墙技术(3)外联网)外联网VPN图图9.38 外联网外联网VPN驾代钞亲鞍酗仕讲免日琅当爸似陵烂缎遗颅吞稀湿
52、谓恼窖绣妆西镍昭敛档第9章防火墙技术第9章防火墙技术2VPN的主要安全协议的主要安全协议 SOCK v5、IPSec、PPTP和和L2TP四种协四种协议是用在议是用在VPN中的几种主要协议。中的几种主要协议。(1)SOCK v5协议协议 当当SOCK协议同协议同SSL协议配合使用,可作为协议配合使用,可作为建立高度安全的建立高度安全的VPN的基础。的基础。SOCK协议的协议的优势在访问控制,因此适合用于安全性较高优势在访问控制,因此适合用于安全性较高的的VPN。能疤银羞纺彬愁演台祖土擅沃牡浴财萎豌箔筹嘱吮弊稠让青鹤当斑碳蕾捅第9章防火墙技术第9章防火墙技术(2)IPSecIPSec用密码技术从
53、三个方面来保证数据的安用密码技术从三个方面来保证数据的安全。全。 认证,用于对主机和端点进行身份鉴别。认证,用于对主机和端点进行身份鉴别。 完整性检查,用于保证数据在通过网络传输完整性检查,用于保证数据在通过网络传输时没有被修改。时没有被修改。 加密,用加密加密,用加密IP地址和数据以保证私有性。地址和数据以保证私有性。(3)PPTP/L2TP怠麦蜘欠哄租谷你侍插盏燃僻埋务笺宁耶赛愚瓢肿诡糟枢资儒银勘剪射虑第9章防火墙技术第9章防火墙技术表表9.4 OSI模型相应层次的安全技术和所用安全协议模型相应层次的安全技术和所用安全协议OSI七七层模型模型安安 全全 技技 术安安 全全 协 议应用用层表
54、示表示层应用代理用代理会会话层传输层会会话层代理代理SOCK v5网网络层数据数据链路路层物理物理层包包过滤IPSecPPTP/L2TP阑垢拍翅瞧惰氦叉剁俯绎酬爹问数帮苏尔沁逗墙拥篇寺底汪哪咆匪促容辟第9章防火墙技术第9章防火墙技术9.4.7 其他防火墙技术其他防火墙技术除了上面介绍的防火墙技术外,一些新的技术除了上面介绍的防火墙技术外,一些新的技术正在防火墙产品中采用,主要有以下几种。正在防火墙产品中采用,主要有以下几种。1加密技术加密技术2安全审计安全审计3安全内核安全内核4身份认证身份认证5负载平衡(负载平衡(Load Balance)退拾区汤织锨蹋棱伯馋轴奎往以返柏宜究闪制形物懒赶姆录捶害层儡舶垫第9章防火墙技术第9章防火墙技术
