1、第7章 防 火 墙 技 术,7.1 防火墙的功能 7.2 防火墙实现原理 7.3 Windows XP自带防火墙 7.4 Windows 7自带防火墙,第7章 防 火 墙 技 术,防火墙一般是指在两个网络间执行访问控制策略的一个或一组系统,它将不可信网络同可信网络隔离开,如图所示。防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过,而且防火墙本身也必须能够免于渗透。防火墙将网络分隔成不同的物理子网。防火墙作为网络保护的第一道防线,用来控制两个不同安全策略的网络之间互访,能增强机构内部网络的安全性。,第7章
2、 防 火 墙 技 术,防火墙具有下列性质:(1) 防火墙是不同网络之间信息流通过的惟一出入口,双向通信必须通过防火墙。(2) 只允许本身安全策略授权的通信信息通过。(3) 防火墙自身不会影响信息的流通。防火墙既可以用于Internet和内部网之间,也可以用在任何网络之间和企业内部网络之间。,7.1 防火墙的功能,一般来说,防火墙具有以下几种功能:(1) 利用防火墙可以对内部网络进行划分,实现对重点网段的隔离。(2) 利用防火墙可实现对内部网络的集中管理,强化网络安全策略。(3) 防火墙是审计和记录Internet使用费用的一个最佳地点。 网络管理员可以在此向管理部门提供Internet连接的费
3、用情况,查出潜在的带宽瓶颈位置,并能够依据本机构的核算模式提供部门级的计费。,7.1 防火墙的功能,一般来说,防火墙具有以下几种功能:(4) 防火墙可防止非法用户进入内部网络,防止内部信息的外泄。(5) 可以利用网络地址变换(NAT,Network Address Translation)技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。(6) 防火墙通过IP通道(IPTunnels)构建VPN(虚拟专用网络)。,7.2 防火墙实现原理,1静态包过滤型防火墙静态包过滤型防火墙工作在TCP/IP协议的IP层,如图7-2所示。依据系统中事先设定好的过滤规则,检
4、查数据流中的每个数据包,根据数据包的源地址、目的地址、端口号、数据的对话协议及数据包头中的标志位来确定是否允许该数据包通过。其核心是安全策略即过滤算法的设计。,图7-2 包过滤防火墙工作原理图,7.2 防火墙实现原理,2状态检测型防火墙状态检测型防火墙和静态包过滤防火墙实质上都是通过控制决策来提供安全保护的,只是状态检测型防火墙除了可以利用第三层网络参数执行决策之外,还可以利用网络连接及应用服务的各种状态来执行决策。另外,所执行的决策也不仅限于数据包的放行与阻隔,类似加密这样的处理也可以作为一种控制决策被执行。,7.2 防火墙实现原理,3代理服务器防火墙代理服务器通常也称作应用级防火墙或应用网
5、关防火墙,应用网关防火墙是通过打破客户机/服务器模式实现的。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序, 对每个新的应用必须添加针对 此应用的服务程序,否则不能 使用该服务。,7.2 防火墙实现原理,3代理服务器防火墙使用代理服务器型防火墙的好处是,它可以提供用户级的身份认证、日志记录和帐号管理,彻底分隔外部与内部网络。但是,所有内部网络的主机均需通过代理服务器主机才能获得Internet上的资源,因此会造成使用上的不便,而且代理服务器很有可能会成为系统的“瓶颈”。,7.2 防火墙实现原理
6、,4复合型防火墙复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于ASIC架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能,多单元融为一体,是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,体现了网络与信息安全的新思路。,7.2 防火墙实现原理,5四类防火墙的对比静态包过滤型防火墙:不检查数据区,不建立连接状态表,前后报文无关,应用层控制很弱。 状态检测型防火墙:不检查数据区,建立连接状态表,前后报文相关,应用层控制很弱。 代理服务器型防火墙:不检查IP、TCP报头,不建立连接状态表,网
7、络层保护比较弱。 复合型防火墙:可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细,会话层控制较弱。,7.2 防火墙实现原理,6防火墙的局限性防火墙具有以下局限性:(1) 防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据,防火墙无法检查。(2) 防火墙不能解决来自网络内部的攻击和安全问题。防火墙可以设计为既防外也防内,但在绝大多数情况下因为不方便,不要求防火墙防内。(3) 防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备,要根据规定来执行安全,而不能自作主张。,7.2 防火墙实现原理,6防火墙的局限性防火墙具有以下局限性:(4
8、) 防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备,但防火墙本身必须存在于一个安全的地方。(5) 防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议,则防火墙不能防止利用该协议中的缺陷进行的攻击。(6) 防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击,防火墙不能防止。,7.2 防火墙实现原理,6防火墙的局限性防火墙具有以下局限性:(7) 防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能,即使集成了第三方的防病毒的软件,也没有一种软件可以查杀所有的病毒。(8) 防火墙不能防止数据
9、驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时,可能会发生数据驱动式的攻击。,7.2 防火墙实现原理,6防火墙的局限性防火墙具有以下局限性:(9) 防火墙不能防止内部的泄密行为。如果防火墙内部的一个合法用户主动泄密,防火墙是无能为力的。 (10) 防火墙不能防止本身的安全漏洞的威胁。防火墙保护别人有时却无法保护自己,目前还没有厂商绝对保证防火墙不会存在安全漏洞,因此对防火墙也必须提供某种安全保护。,7.2 防火墙实现原理,6防火墙的局限性在计算机网络日益普及的今天,市场需要新一代防火墙来改变目前的不安全局面。新一代防火墙定位于解决以下问题:(1) 协议的安全性问题。
10、(2) 病毒产生的攻击问题。(3) 可信与不可信的问题。(4) 防火墙自身的安全性问题等。,7.3 Windows XP自带防火墙,1ICF的工作原理ICF是“Internet Connection Firewall“的简称,也就是因特网连接防火墙。ICF建立在你的电脑与因特网之间,是一个基于包的防火墙,它可以让你请求的数据通过、而阻碍你没有请求的数据包。所以,ICF的第一个功能就是不响应Ping命令,而且,ICF还禁止外部程序对本机进行端口扫描,抛弃所有没有请求的IP包。个人电脑同服务器不一样,一般不会提供诸如Ftp、Telnet、POP3等服务,这样可以被黑客们利用的系统漏洞就很少。所以,
11、ICF可以在一定的程度上很好地保护我们的个人电脑。,7.3 Windows XP自带防火墙,1ICF的工作原理ICF是状态防火墙,可监视通过的所有通讯,并且检查所处理的每个消息的源和目标地址。 ICF的原理是通过保存一个表格,记录所有自本机发出的目的IP地址、端口、服务以及其他一些数据来达到保护本机的目的的。当一个IP数据包进入本机时,ICF会检查这个表格,看到达的这个IP数据包是不是本机所请求的,如果是就让它通过,如果在那个表格中没有找到相应的记录就抛弃这个IP数据包。,7.3 Windows XP自带防火墙,1ICF的工作原理下面的例子可以很好地说明这个原理。当用户使用Outlook Ex
12、press来收发电子邮件时,本地发出一个IP请求到POP3邮件服务器。 ICF会记录这个目的IP地址和端口。一旦有新的邮件到达邮件服务器时,邮件服务器会自动发一个IP数据包到Outlook客户机来通知有新的邮件到达。这种通知是通过RPC Call来实现的。当邮件服务器的IP数据包到达客户机时,客户机的ICF程序就会对这个IP包进行审核发现本机的Outlook express客户端软件曾发出过对这个地址和端口发出IP请求,所以这个IP包就会被接受,客户机当然就会收到发自邮件服务器的新邮件通知。然后让outlook Express去接收邮件服务器上的新邮件。,7.3 Windows XP自带防火墙
13、,2ICF的局限性1)ICF不可能完全替代现有的个人防火墙产品,因为ICF是通过记录本机的IP请求来确定外来的IP数据包是不是“合法”,这就不可以用在服务器上。服务器上的IP数据包基本上都不是由服务器先发出的,所以ICF这种方法根本就不可以对服务器的安全提供保护。当然用户也可以通过相应的设置让ICF忽略所有发向某一端口的数据包,例如80端口。那么发向80端口的所有数据包都不会被ICF抛弃。从这种意义上讲80端口就成为不设防的端口。这样的防火墙产品是不可能用在应用服务器上的,服务器上的防火墙产品都是基于建立各种策略来审核外来的IP数据包。,7.3 Windows XP自带防火墙,2ICF的局限性
14、2)ICF和基于应用程序的个人防火墙产品也是不一样的。基于应用程序的个人防火墙会记录每一个访问Internet的程序,例如,通过设置可以让IE有权来访问Internet,而Netscape的Navigator没有权限来访问Internet,即便两个程序的目的IP地址和端口都是一样的。Norton的个人防火墙(Personal Firewall)就是这样一个典型的产品。简而言之,ICF没法提供基于应用程序的保护,也没法建立基于IP包的包审核策略。所以,ICF既不能完全替代现有的个人防火墙产品,也没有办法很好地工作在应用服务器上。,7.3 Windows XP自带防火墙,3ICF的使用当用户建立一
15、个新的连接的时候,向导程序就会问用户是否要启用ICF。在每一个连接的属性高级选项中也可以让用户选择启用或者关闭ICF功能。当用户启用ICF之后,在高级选项的下部就会出现“设置”按钮,单击设置就可以对ICF进行进一步的设置。ICF的设置主要有三部分:第一部分是服务项。通过设定这一部分可以让ICF对某些服务不进行审核。第二部分是关于日志的。ICF可以把它所抛弃的IP数据包以及获准通过的IP数据包都记录在案以便可以让用户进一步的分析。第三部分就是关于ICMP的,建议禁止所有的ICMP响应,除非用户有特别的需要。,7.3 Windows XP自带防火墙,3ICF的使用1)启用或关闭ICF: 打开“控制
16、面板”中的“网络连接”,单击要保护的拨号、本地连接或其它Internet连接,然后在“网络任务”“更改该连接的设置”“高级”“Windows防火墙” “设置”下,选择如图所示的项目。若要启用Windows防火墙,选择“启用”。若要关闭Windows防火墙,选择“关闭”。,7.3 Windows XP自带防火墙,3ICF的使用 2)设置服务项: 在上面的选项卡中选择“高级”,点击“网络连接设置”下的“设置”项,出现如图所示的服务选择项:选中的项目表示网络用户能够存取的服务,对于一些常见的网络服务,如POP3,SMTP、HTTP等,系统会在需要的时候开放。,7.3 Windows XP自带防火墙,
17、3ICF的使用 2)设置服务项: 如果我们要设置一个新的服务项目,以常见的messenger文件传输为例, messenger的文件传输采用TCP6891-6900端口,可以在xp的防火墙设置里面增加TCP6891号端口,文件就可以顺利发送了。文件传输的进程,一般情况下我们添加一个就行了。 单击“添加”,在出现的窗口中按要求依次写入“描述”,“本机的IP地址”,使用的端口号(6891),然后确定即可。,7.3 Windows XP自带防火墙,3ICF的使用3)设置日志: 在前面的“高级”选项中,点击“安全日志记录”下的“设置”,出现如图所示的日志设置内容,选择下面的一项或两项:若要启用对不成功
18、的入站连接尝试的记录,请选中“记录被丢弃的数据包”复选框,否则禁用。,在这里还可以改变日志文件存放的位置和大小。,7.3 Windows XP自带防火墙,3ICF的使用3)设置日志: 定期分析日志可以发现潜在的安全问题,ICF的日志分为两部分,一部分是ICF审核通过的IP数据包,而另一部分就是ICF抛弃的IP数据包。日志一般存于Windows目录之下,文件名是pfirewall.log。其文件格式符合W3C扩展日志文件格式(W3C Extended Log File Format)。该文件格式分为两部分,分别是文件头(Head Information)和文件主体(Body Informatio
19、n)。文件头主要是关于pfirewall.log文件的说明,需要注意的是文件主体部分。文件主体部分记录有每一个成功通过ICF审核或者被ICF所抛弃的IP数据包的信息,包括源地址、目的地址、端口、时间、协议以及其他一些信息。理解这些信息需要较多的TCP/IP协议的知识。,7.3 Windows XP自带防火墙,3ICF的使用 4)设置ICMP: 在前面的“高级”选项中,点击“ ICMP ”下的“设置”,出现ICMP设置内容,选中希望你的计算机响应的请求信息类型旁边的复选框。,7.3 Windows XP自带防火墙,3ICF的使用在实际的使用中应尽量避免在局域网中使用ICF,它可能会给一些网络应用
20、带来影响。在个人电脑中使用也可能会对一些程序的运行带来影响。例如,OICQ的“语音世界”功能就是建立在双方交互的基础上的,而ICF会影响这些交互过程从而使得连接无法建立。解决这样的问题也很简单,一种当然是取消ICF,但这不是推荐的方法。另一种方法就是找到OICQ使用哪个端口来实现语音功能,在前面介绍的属性高级设置服务中来添加一项自定义设置,从而使ICF忽略这个端口的检测。这样,OICQ的语音功能就可以正常使用了。,7.4 Windows 7自带防火墙,Windows XP中的防火墙软件仅提供简单和基本的功能,且只能保护入站流量,阻止任何非本机启动的入站连接,默认情况下,该防火墙是关闭的。SP2
21、系统默认情况下则为开启,使系统管理员可以通过组策略来启用防火墙软件。Vista的防火墙是建立在新的Windows过滤平台(WFP)上的,该防火墙添加了通过高级安全MMC管理单元过滤出站流量的功能。在Windows 7中,微软公司已经进一步调整了防火墙的功能,让防火墙更加便于用户使用,特别是移动计算机中,能够支持多种防火墙策略。,7.4 Windows 7自带防火墙,1开启防火墙的配置界面 点击 “开始菜单/控制面板/系统和安全/Windows防火墙”,即可开启防火墙的配置界面。如果当前防火墙处于未打开或者配置不正确的情况下,可以在该页面的左侧点击“打开或关闭 Windows防火墙”来自定义防火
22、墙配置情况。,7.4 Windows 7自带防火墙,2设置程序允许通过防火墙 在开启防火墙之后,如果需要单独设置某个程序允许通过防火墙进行通讯,可以在左侧点击“允许程序或功能通过Windows防火墙”。打开之后可以在窗口的右下角,单击“允许运行另一程序”来设置需要的程序通过防火墙,然后还可以在程序列表中手动添加您需要允许通过的程序。,7.4 Windows 7自带防火墙,2设置程序允许通过防火墙 在开启防火墙之后,如果需要单独设置某个程序允许通过防火墙进行通讯,可以在左侧点击“允许程序或功能通过Windows防火墙”。如果需要的程序不在列表中,可以选择浏览来手动增加你需要的程序。,7.4 Wi
23、ndows 7自带防火墙,3还原默认设置 如果自己的防火墙配置的有点混乱,可以使用左侧的“还原默认设置”一项。 还原时,Windows 7会删除所有的网络防火墙配置项目,恢复到初始状态,比如,如果关闭了防火墙则会自动开启,如果设置了允许程序列表,则会全部删除掉添加的规则。,7.4 Windows 7自带防火墙,4使用高级设置 1)入站规则可以为入站通信配置规则以指定计算机或用户、程序、服务或者端口和协议。可以指定要应用规则的网络适配器类型:局域网 、无线、远程访问,例如虚拟专用网络连接或者所有类型。还可以将规则配置为使用任意配置文件或仅使用指定配置文件时应用。,7.4 Windows 7自带防
24、火墙,4使用高级设置 2)出站规则为出站通信创建或修改规则,功能同入站规则。,7.4 Windows 7自带防火墙,4使用高级设置 3)连接安全规则使用新建连接安全规则向导,创建Internet协议安全性(IPSec)规则,以实现不同的网络安全目标,向导中已经预定义了四种不同的规则类型(隔离、免除身份验证、服务器到服务器和隧道),当然也创建自定义的规则,为了便于管理,请在创建连接规则时指定一个容易识别和记忆的名称,方便在命令行中管理。,7.4 Windows 7自带防火墙,4使用高级设置 4)监视监视计算机上的活动防火墙规则和连接安全规则,但IPSec策略除外。,7.4 Windows 7自带防火墙,5查看防火墙日志 打开“事件查看器”,在左窗格中,点击“应用程序和服务日志| Microsoft | Windows | Windows Firewall中的高级安全选项”,在事件查看日志中,你可以创建一个自定义视图,过滤日志,搜索日志或者启用详细日志记录。,习 题,7.1 防火墙有哪些基本功能?7.2 静态包过滤型、状态检测型和代理服务型防火墙各有什么优缺点?,
