1、1,华南理工大学电子商务学院 本科课程电子商务安全与保密,大纲第7章 防火墙技术,2,防火墙(Firewall),注解:防火墙类似一堵城墙,将服务器与客户主机进行物理隔离,并在此基础上实现服务器与客户主机之间的授权互访、互通等功能。,3,防火墙技术,防火墙是指设置在不同网络或网络安全域(公共网和企业内部网)之间的一系列部件的组合。它是不同网络(安全域)之间的唯一出入口,能根据企业的安全政策控制(允许 、拒绝 、 监测)出入网络的信息流,且本身具有很高的抗攻击能力,它是提供信息安全服务,实现网络和信息安全的基础设施。 基本工作原理是在可信任网络的边界上 建立起网络控制系统 隔离内部和外部网络 执
2、行访问控制策略 防止外部的未授权节点访问内部网络和非法向外传递内部信息 同时也防止非法和恶意的网络行为导致内部网络的运行被破坏。 可信任的网络和不可信任的网络,即常说的在内部网络和外部网络之间,我们认为内部网络是可信任的,而外部网络是不可信的,4,防火墙相关概念,主机:与网络系统相连的计算机系统。 堡垒主机:是指一个计算机系统,它对外部网络(互联网络)暴露,同时又是内部网络用户的主要连接点,所以非常容易被侵入,因此这个系统需要严加保护。 双宿主主机:具有至少两个网络接口的通用计算机系统。 包:在互联网络上进行通信时的基本信息单位。,5,防火墙相关概念,路由:为转发的包分组选择正确的接口和下一个
3、路径片段的过程。 包过滤:设备对进出网络的数据流进行有选择的控制与操作。参数网络:为了增加一层安全控制,而在外部网络与内部网络之间增加的一个网络。参数网络有时也被称为停火带。 代理服务器:代表内部网络用户与外部网络服务器进行信息交换的程序。它将内部用户的请求送达外部服务器,同时将外部服务器的响应再回送给用户。,6,从总体上看,防火墙应具有以下五大基本功能:过滤进、出网络的数据; 管理进、出网络的访问行为; 封堵某些禁止的业务; 记录通过防火墙的信息内容和活动; 对网络攻击的检测和告警。,防火墙功能,7,防火墙的局限性,不能防范不经过它的连接 是网络安全体系结构设计的问题 当使用端到端加密时,其
4、作用会受到很大限制。 与局限性1是相同的 过于依赖于拓扑结构 防火墙不能防范病毒 病毒防火墙只是一个概念,实际上,仍然要在单机上完成病毒检测工作 是一种静态防御技术,8,防火墙的分类,按网络体系结构分类 工作在OSI参考模型中的不同位置(教材312图12.2) 最常见: 网络层:包过滤防火墙 应用层:代理服务器 按应用技术分类 包过滤防火墙:按照规则和策略对IP包进行过滤 代理服务器: 电路级网关 按拓扑结构分类 双宿主主机防火墙; 屏蔽主机防火墙; 屏蔽子网防火墙。,9,防火墙技术可根据防范的方式和侧重点的不同而分为很 多种类型,但总体来讲可分为三大类: 分组过滤(Packet filter
5、ing):作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。 应用代理(Application Proxy):也叫应用网关(Application Gateway),它作用在应用层,其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。 电路中继(Circuit Relay):也叫电路网关(Circuit Gateway)或TCP代理(TCP Proxy),其工作原理与应用
6、代理类似,不同之处是该代理程序是专门为传输层的TCP协议编制的。,防火墙技术内容,10,防火墙技术内容分组过滤,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,物理层,数据链路层,网络层,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,外部网络主机,内部网络主机,分组过滤型防火墙,11,包过滤防火墙,工作在网络层(IP 层) 根据过滤规则和安全策略,逐个检查 IP 包(TCP包、UDP包),确定是否允许通过 优点 对应用透明,合法建立的连接不被中断。 速度快、效率高。 安全性级别低:不能识别高层信息、容易受到欺骗 配置简单,但要求有一定专业知识 例子: 只允许telne
7、t的出站规则 类比:天网个人防火墙、金山网镖的包过滤规则 天网个人防火墙中的IP规则及规则的设置界面(后页1、2),12,规则,一般包含以下各项:源地址、源端口 、目的地址、目的端口、协议类型、协议标志、服务类型、动作。 规则原则 按地址过滤; 按服务过滤。 防火墙的规则动作有以下几种类型: 通过(accept)允许IP包通过防火墙传输。 放弃(deny)不允许IP包通过防火墙传输,但仅仅丢弃,不做任何响应。 拒绝(reject)不允许IP包通过防火墙传输,并向源端发送目的主机不可达的ICMP报文。 返回(return)没有发现匹配的规则,省缺动作。,13,天网防火墙举例,14,防火墙技术内容
8、应用代理,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,物理层,数据链路层,网络层,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,外部网络主机,内部网络主机,应用代理型防火墙,应用层,表示层,会话层,传输层,15,代理服务器型防火墙,代理服务器: Proxy Server.每个代理服务器都有所支持的协议 Http Proxy, Socket4/5 Proxy, Ftp Proxy等等 代理服务器的应用模式 工作在应用层,根据规则为客户请求建立新的服务连接,或拒绝服务连接要求 从网络层切断了内外网络之间的连通性,安全性大大提高。 能够识别高层协议信息,进行高层协议过滤
9、。 对应用不透明,客户端需要重新配置(如IE、QQ、CuteFTP) 速度较慢、效率低。,16,防火墙技术内容应用代理(cont.),外部Telnet服务器,内部Telnet服务器,日志系统,Telnet代理,FTP代理,认证系统,应用网关,一个Telnet代理的例子,17,一个Telnet应用代理的过程 用户首先Telnet到应用网关主机,并输入内部目标主机的名字(域名、IP地址) 应用网关检查用户的源IP地址等,并根据事先设定的访问规则来决定是否转发或拒绝 然后用户必须进行是否验证(如一次一密等高级认证设备) 应用网关中的代理服务器为用户建立在网关与内部主机之间的Telnet连接 代理服务
10、器在两个连接(用户/应用网关,代理服务器/内部主机)之间传送数据 应用网关对本次连接进行日志记录,防火墙技术内容应用代理(cont.),18,电路级网关,工作在传输层。 它在两个主机首次建立TCP连接时创立一个电子屏障,建立两个TCP连接。 一旦两个连接建立起来,网关从一个连接向另一个连接转发数据包,而不检查内容。 也称为通用代理,统一的代理应用程序,各协议可透明地通过通用代理防火墙。 电路级网关实现的典型例子是SOCKS软件包,是David Koblas在1990年开发的。,19,三种防火墙技术安全功能比较,20,双宿主主机结构防火墙,核心是具有双宿主功能的主机。 至少有两个网络接口(内网、
11、外网),充当路由器。 不允许两网之间的直接发送功能。 仅仅能通过防火墙所在主机上的内部代理 或让用户直接登陆到双宿主主机来提供服务(即作为该主机的一个远程用户,绕过防火墙) 提供高级别的安全控制。 问题: 用户账号本身会带来明显的安全问题,会允许某种不安全的服务;通过登陆来使用因特网太麻烦。,21,双宿主主机结构防火墙,22,屏蔽主机防火墙,主要的安全机制由屏蔽路由器来提供 包过滤,只允许外部访问堡垒主机的IP包通过 堡垒主机位于内部网络上,是外部能访问的惟一的内部网络主机(而看不到内部网络其它部分) 因此,堡垒主机需要保持更高的安全等级 内部网的其它主机可自由访问外网,23,屏蔽主机防火墙,
12、24,屏蔽主机防火墙,优点: 外部网对内部网的可控访问 适合于向外提供网络服务的系统 问题: 如果路由器被破坏,整个网络对侵袭者是开放的。如堡垒主机被侵,内部网络的主机失去任何的安全保护。 配置复杂,25,堡垒主机,设计与构筑堡垒主机的原则: 使堡垒主机尽量简单; 随时做好堡垒主机可能被损害的准备。 堡垒主机提供的服务: 同因特网相关的一些服务; 删除所有不需要的服务; 不要在堡垒主机上保留用户账号,26,屏蔽子网防火墙,添加额外的安全层:周边网,将内部网与因特网进一 步隔开。 周边网即:非军事化区,提供附加的保护层,入侵者如侵入周边网,可防止监听(sniffer)内部网的通信(窃取密码),不
13、会损伤内部网的完整性。周边网上的主机主要通过主机安全来保证其安全性。 屏蔽子网防火墙使用了两个屏蔽路由器,消除了内部网络的单一侵入点,增强了安全性。 两个屏蔽路由器的规则设置的侧重点不同。 外部路由器只允许外部流量进入,内部路由器只允许内部流量进入。,27,屏蔽子网防火墙,28,三种防火墙拓扑结构的区别,三者的区别在于:内网与外网的数据连接“鸿沟” 双宿主主机:在一台主机上 屏蔽主机:一层屏蔽路由器 屏蔽子网:两层屏蔽路由器,29,防火墙体系结构的种种变化和组合,1)使用多堡垒主机,30,2)合并内外部由器,防火墙体系结构的种种变化和组合,31,3)合并堡垒主机和外部路由器,防火墙体系结构的种
14、种变化和组合,32,4)将堡垒主机与内部路由器合并,防火墙体系结构的种种变化和组合,33,5)采用多内部路由器结构,防火墙体系结构的种种变化和组合,34,5)采用多内部路由器结构 多个内部网,防火墙体系结构的种种变化和组合,35,6)使用多外部路由器,防火墙体系结构的种种变化和组合,36,内部防火墙,1)试验网络,37,2)低保密度网络 3)高保密度网络 4)联合防火墙 共享参数网络 内部防火墙的堡垒主机,内部防火墙,38,防火墙设计策略必须针对具体的防火墙,它定义过滤规则等,以实现高层的网络服务策略。这个策略在设计时必须考虑到防火墙本身的性能、限制及具体协议如TCP/IP。常用的两种基本防火
15、墙设计策略是: 允许所有除明确拒绝之外的通信或服务(很少考虑,因为这样的防火墙可能带来许多风险和安全问题。攻击者完全可以使用一种拒绝策略中没有定义的服务而被允许并攻击网络) 拒绝所有除明确允许之外的通信或服务(常用,但操作困难,并有可能拒绝网络用户的正常需求与合法服务),防火墙实现策略,39,作为一个安全策略的设计者,应懂得以下问题的要点: 哪些Internet服务是本网络系统打算使用或提供的?(如TELNET、FTP、HTTP) 这些Internet服务在哪或哪个范围内使用?(如在本地网内、整个Internet或拨号服务等) 可能有哪些额外或临时的服务或需求?(如加密、拨入服务等) 提供这些
16、服务和访问有哪些风险和总的花费?,防火墙实现策略,40,防火墙核心技术网络地址转换(NAT),作用:按内部定义,将原包中的IP地址“翻译”成内部使用地址 目的: 解决IP地址空间不够问题; 向外界隐藏内部网结构 实现真正的动态均衡(通常会缓存IP) 方式: 静态NAT,简单的地址翻译(一一对应) 端口NAT,多个内部网地址翻译到一个IP地址 多对一翻译,不同的内部网地址在外部用“公用IP:端口”的形式表示 NAT池 ,M个内部地址翻译到N个外部IP地址池,41,网络地址转换原理,42,利用NAT实现负载均衡(附加功能),43,第四代防火墙的主要技术与功能,第四代防火墙产品将网关与安全系统合二为一,具有以下技术与功能特点:双端口或三端口的结构 透明的访问方式 灵活的代理系统 多级的过滤技术 网络地址转换技术,Internet网关技术安全服务器网络(SSN)用户鉴别与加密用户定制服务审计和告警,44,第四代防火墙的抗攻击能力,作为一种安全防护设备,防火墙在网络中自然是众多攻击者的目标,故抗攻击能力也是防火墙的必备功能,在 Internet环境中针对防火墙的攻击方法主要有: 抗IP假冒攻击 抗特洛伊木马攻击 抗口令字探寻攻击 抗网络安全性分析 抗邮件诈骗攻击,
