1、陈天洲,信息安全原理,,31-32,0703037,第二十章 防火墙,防火墙,防火墙基础 防火墙概念 防火墙功能 防火墙附加功能 外部攻击与防火墙对抗,防火墙,防火墙体系结构 屏蔽路由器 双穴主机网关 被屏蔽主机网关 被屏蔽子网 多重防火墙组合技术,防火墙,防火墙的基本类型 网络级防火墙 应用级网关 电路级网关 规则检查防火墙,防火墙,防火墙技术 包过滤技术 应用网关技术 状态监测防火墙 应用层防火墙,防火墙,透明防火墙 防火墙的透明模式 透明代理 防火墙设计 软硬件设计依据 Linux包过滤防火墙实例 接口隔离防火墙实例 防火墙展望,防火墙概念,防火墙是指一种保护措施,它可按照用户事先规定的
2、方案控制信息的流入和流出,监督和控制使用者的操作。使用户可以安全使用网络,并避免受到Hacker的袭击。 防火墙通常由过滤器和网关等组成。过滤器封锁某些类型的通信量,网关提供中继服务,补偿过滤影响的一个或一组机器。网关留驻的网络经常称为隔离地带(DMZ)。,防火墙功能,包过滤是防火墙所要实现的最根本功能 防火墙可以对网络存取和访问进行监控审计 防火墙可以强化网络安全策略 防火墙可以防止内部信息的外泄 网络地址转换已经成了防火墙的功能之一 防火墙可以提供代理功能 1、透明代理(Transparentproxy) 2、传统代理,防火墙附加功能,NATNAT的工作过程如图所示:,防火墙附加功能,虚拟
3、专用网(VPN) 虚拟专用网(VPN)是指在公共网络中建立专用网络,数据通过安全的“加密通道”在公共网络中传播。VPN的基本原理是通过对IP包的封装及加密,认证等手段,从而达到保证安全的目的。它往往是在防火墙上附加一个加密模块实现。,外部攻击与防火墙对抗,外部攻击主要有: DOS(DDOS)攻击 IP假冒(IPspoofing) 口令字攻击 邮件诈骗 对抗防火墙(anti-firewall),防火墙,防火墙体系结构 屏蔽路由器 双穴主机网关 被屏蔽主机网关 被屏蔽子网 多重防火墙组合技术,屏蔽路由器,屏蔽路由器ScreeningRouter这是防火墙最基本的构件。它可以由厂家专门生产的路由器实
4、现,也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在此通过检查。路由器上可以装基于IP层的报文过滤软件,实现报文过滤功能。,双穴主机网关,双穴主机网关DualHomedGateway方式最简单。Dual-homedGateway放置在两个网络之间,这个Dual-homedGateway又称为bastionhost。这种结构成本低,但是它有单点失败的问题。 双穴主机网关优于屏蔽路由器的地方是:堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。这对于日后的检查很有用。但这不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。 双穴主机网关的一个致命弱点是:一
5、旦入侵者侵入堡垒主机并使其只具有路由功能,则任何网上用户均可以随便访问内网。,被屏蔽主机网关,屏蔽主机网关(ScreenedHostGateway)易于实现也很安全,因此应用广泛。 如果受保护网是一个虚拟扩展的本地网,即没有子网和路由器,那么内网的变化不影响堡垒主机和屏蔽路由器的配置。危险带限制在堡垒主机和屏蔽路由器。,被屏蔽子网,被屏蔽子网(ScreenedSubnet)方法是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。 Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和
6、私有网络之间构成了一个隔离网,称之为“停火区“(DMZ,即DemilitarizedZone),Bastionhost放置在“停火区“内。这种结构安全性好,只有当两个安全单元被破坏后,网络才被暴露,但是成本也很昂贵。,多重防火墙组合技术,多重防火墙的组合方式主要有两种:叠加式和并行式。 叠加式将多台防火墙串联在一条链路之上(如企业网络的出口位置),所有访问流量都要先后通过多台不同厂家的防火墙的审计保护,每种防火墙都将按照自己特定的体系结构和安全策略对过往流量进行核查。 与叠加方式恰恰相反,并行式组合方式首先强调的是提供整套系统的健壮性。,防火墙,防火墙的基本类型 网络级防火墙 应用级网关 电路
7、级网关 规则检查防火墙,防火墙的基本类型,防火墙有许许多多种形式,有以软件形式运行在普通计算机之上的,也有以固件形式设计在路由器之中的。总的来说业界的分类有三种:包过滤防火墙,应用级网关和状态监视器。 实现防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。,网络级防火墙,一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来,作出通过与否的判断。 网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。,应用级网关,应用级网关能够检查进出的数据包,通过网关复制传递
8、数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。 应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,而且有的应用级网关缺乏“透明度“。,电路级网关,电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。,规则检查防火墙,该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。 规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,它并不打破客户机/服务机的模式来分析应用层的数据,它允许受信任的客户机和不受信任的
9、主机建立直接连接。,防火墙,防火墙技术 包过滤技术 应用网关技术 状态监测防火墙 应用层防火墙,包过滤技术,包过滤技术(IPfilteringorpacketfiltering)的原理在于监视并过滤网络上流入和流出的IP包,拒绝发送可疑的包,用户可在路由表中设定需要屏蔽或需要保护的源目的主机的IP地址或端口号,在外来数据包进入企业的内部网络之前,路由器先检测源远宿主机地址,如地址不符,则将该包滤除。 包过滤防火墙的优点是它对于用户来说是透明的,处理速度快而且易于维护,通常做为第一道防线,应用网关技术,应用网关技术(Applicationgateway)该技术又称为双主机技术(DualHomed
10、Host),采用主机取代路由器执行控管功能。 主机是内外网络连接的桥梁,是内外联系的唯一途径,起着网关的作用,也被成为BastionHost(堡垒主机)。在应用网关上运行应用代理程序(ApplicationProxy),一方面代替原服务器程序,与客户程序建立连接,另一方面代替客户程序,与原服务器建立连接,使合法用户可以通过应用网关安全地使用Internet,而对非法用户不予理睬。,应用网关技术,与包过滤技术相比,应用网关技术更加灵活;由于作用在用户层,因此能执行更细致的检查工作。但软件开销大,管理和维护比较复杂。,状态监测防火墙,这种防火墙具有非常好的安全特性,它使用了一个在网关上执行网络安全
11、策略的软件模块,称之为监测引擎。 监测引擎在不影响网络正常运行的前提下,采用抽取有关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考。监测引擎支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。,状态监测防火墙,与前两种防火墙不同,当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。一旦某个访问违反安全规定,就会拒绝该访问,并报告有关状态作日志记录。 状态监测防火墙的另一个优点是它会监测无连接状态的远程过程调用(RPC)和用户数据报(UDP)之类的
12、端口信息,而包过滤和应用网关防火墙都不支持此类应用。,应用层防火墙,1、应用代理服务器(ApplicationGatewayProxy) 在网络应用层提供授权检查及代理服务。 应用网关代理的优点是既可以隐藏内部IP地址,也可以给单个用户授权,即使攻击者盗用了一个合法的IP地址,也通不过严格的身份认证。 但是这种认证使得应用网关不透明,用户每次连接都要受到认证,这给用户带来许多不便。,应用层防火墙,2、回路级代理服务器 即通常意义的代理服务器,它适用于多个协议,但不能解释应用协议,需要通过其他方式来获得信息,所以,回路级代理服务器通常要求修改过的用户程序。 套接字服务器(SocketsServe
13、r)就是回路级代理服务器。,应用层防火墙,3、代管服务器 代管服务器技术是把不安全的服务如FTP、Telnet等放到防火墙上,使它同时充当服务器,对外部的请求作出回答。 4、IP通道(IPTunnels),应用层防火墙,5、隔离域名服务器(SplitDomainNameServer) 这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离,使外部网的域名服务器只能看到防火墙的IP地址,无法了解受保护网络的具体情况,这样可以保证受保护网络的IP地址不被外部网络知悉。 6、邮件转发技术(MailForwarding),防火墙,透明防火墙 防火墙的透明模式 透明代理 防火墙设计 软硬件
14、设计依据 Linux包过滤防火墙实例 接口隔离防火墙实例 防火墙展望,防火墙的透明模式,透明模式,顾名思义,首要的特点就是对用户是透明的(Transparent),即用户意识不到防火墙的存在。 透明模式最大的好处在于现有网络无需做任何改动,这就方便了很多客户,再者,从透明模式转换到非透明模式又很容易,适用性显然较广。,防火墙的透明模式,透明模式的防火墙就好像是一台网桥(非透明的防火墙好像一台路由器),网络设备(包括主机、路由器、工作站等)和所有计算机的设置(包括IP地址和网关)无须改变,同时解析所有通过它的数据包,既增加了网络的安全性,又降低了用户管理的复杂程度。而与透明模式在称呼上相似的透明
15、代理,和传统代理一样,可以比包过滤更深层次地检查数 目前透明模式的实现上可采用ARP代理和路由技术实现。,透明代理,一般使用代理服务器时,每个用户需要在客户端程序中指明要使用代理,自行设置Proxy参数(如在浏览器中有专门的设置来指明HTTP或FTP等的代理)。而透明代理服务,用户不需要任何设置就可以使用代理服务器,简化了网络的设置过程。,透明代理,透明代理的原理如下:假设A为内部网络客户机,B为外部网络服务器,C为防火墙。当A对B有连接请求时,TCP连接请求被防火墙截取并加以监控。截取后当发现连接需要使用代理服务器时,A和C之间首先建立连接,然后防火墙建立相应的代理服务通道与目标B建立连接,
16、由此通过代理服务器建立A和目标地址B的数据传输途径。从用户的角度看,A和B的连接是直接的,而实际上A是通过代理服务器C和B建立连接的。反之,当B对A有连接请求时原理相同。由于这些连接过程是自动的,不需要客户端手工配置代理服务器,甚至用户根本不知道代理服务器的存在,因而对用户来说是透明的。,防火墙,透明防火墙 防火墙的透明模式 透明代理 防火墙设计 软硬件设计依据 Linux包过滤防火墙实例 接口隔离防火墙实例 防火墙展望,软硬件设计依据,防火墙从实现上可以分为软件防火墙和硬件防火墙。 软件防火墙以checkpoint公司的Firewall-I为代表,其实现是通过dev_add_pack的办法加
17、载过滤函数(对于Linux来说),通过在操作系统底层做工作来实现防火墙的各种功能和优化。 硬件防火墙一种是从硬件到软件都单独设计,典型如Netscreen防火墙不但软件部分单独设计,硬件部分也采用专门的ASIC集成电路。另外一种就是基于PC架构的使用经过定制的通用操作系统的所谓硬件防火墙。,软硬件设计依据,防火墙需要一个管理界面,而管理过程如何设计的更安全,是一个很重要的问题。目前有两种方案。 a设置专门的服务端口 b通信过程加密,软硬件设计依据,可升级能力(适用性)和灵活性 目前防火墙一般都是软件可升级的。防火墙的灵活性主要体现在以下几点: a易于升级 b支持大量协议 c易于管理(如纳入通用
18、设备管理体系(支持SNMP)而不是单列出来) d功能可扩展,Linux包过滤防火墙实例,设计思路:采用linux的iptables实现一个简单的包过滤防火墙,iptables是一个管理内核包过虑的工具,iptables可以加入、插入或删除核心包过滤表格(链)中的规则。实际上真正来执行这些过虑规则的是netfilter(Linux核心中一个通用架构)及其相关模块(如iptables模块和nat模块)。,Linux包过滤防火墙实例,数据包在filter表中的流程,有数据包进入系统时,系统首先根据路由表决定将数据包发给哪一条链,则可能有三种情况: 1、如果数据包的目的地址是本机,则系统将数据包送往I
19、NPUT链,如果通过规则检查,则该包被发给相应的本地进程处理;如果没通过规则检查,系统就会将这个包丢掉; 2、如果数据包的目的地址不是本机,也就是说,这个包将被转发,则系统将数据包送往FORWARD链,如果通过规则检查,则该包被发给相应的本地进程处理;如果没通过规则检查,系统就会将这个包丢掉; 3、如果数据包是由本地系统进程产生的,则系统将其送往OUTPUT链,如果通过规则检查,则该包被发给相应的本地进程处理;如果没通过规则检查,系统就会将这个包丢掉。,接口隔离防火墙实例,本系统开发重点在于串口、并口、USB口的通讯,以及透明网关的实现。 系统组成如图1所示。,接口隔离防火墙实例,系统总体功能结构设计如图2所示。,防火墙,透明防火墙 防火墙的透明模式 透明代理 防火墙设计 软硬件设计依据 Linux包过滤防火墙实例 接口隔离防火墙实例 防火墙展望,防火墙展望,1、多级过滤技术 所谓多级过滤技术,是指防火墙一般采用多级过滤措施,并辅以鉴别手段。 2、网络安全产品的系统化,作业,设计包过滤防火墙 设计防止开后门软件,实时检测系统的端口服务并自动删除非法服务 设计usb隔离软件,将两台计算机通过usb连接,分离两个网络,但是通过usb连接到88,
