1、第 7 章 防火墙,【本章要点】 通过本章的学习,可以了解防火墙的基本概念和防火墙的功能,掌握防火墙的规则;掌握防火墙的分类方法和体系结构的相关知识;掌握防火墙的应用方法。,第 7 章 防火墙,7.1 防火墙概述 7.2 防火墙的分类 7.3 防火墙的体系结构 7.4 防火墙的主要应用,7.1 防火墙概述,7.1.1 防火墙的基本概念 防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway
2、),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。,有关防火墙的一些基本术语,1)屏蔽子网(screened subnet) 2)主机(host) 3)堡垒主机(bastion host) 4)双宿主主机(dwal homed host) 5)数据包过滤(package filtering) 6)屏蔽路由器(screened router) 7)屏蔽主机(screened host) 8)防火墙(firewall),有关防火墙的一些基本术语,9)代理服务器(proxy server) 10)IP地址欺骗(IP spoofing) 11)隧道
3、路由器(tunneling routcr) 12)虚拟私用网(Virtual Private Network, VPN) 13)DNS欺骗(DNS spoofing ) 14)差错与控制报文(ICMP) 15)纵深防御(Defense in Depth) 16)最小特权(Least Privilege),使用防火墙保护的益处: (1)所有风险区域都集中在单一系统即防火墙上,安全管理者就可针对网络的某个方面进行管理,而采取的安全措施对网络中的其他区域并不会有多大影响。 (2)监测与控制装置仅需安装在防火墙中。 (3)内部网络与外部的一切联系都必须通过防火墙进行,因此防火墙能够监视与控制所有联系过
4、程。,7.1.2 防火墙的功能,(1)防火墙是网络安全的屏障 (2)防火墙可以强化网络安全策略 (3)对网络存取和访问进行监控审计 (4)防止内部信息的外泄,7.1.3 防火墙的规则,第一步:制定安全策略 第二步:搭建安全体系结构 第三步:制定规则次序 第四步:落实规则集 第五步:注意更换控制 第六步:做好审计工作,7.2 防火墙的分类,7.2.1 按软、硬件分类 软件防火墙和硬件防火墙以及芯片级防火墙。 1.软件防火墙 软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其他的软件产品一样需要先在
5、计算机上安装并做好配置才可以使用。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。 2.硬件防火墙,3.芯片级防火墙 芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。,7.2.2 按技术分类,1.包过滤防火墙 包过滤防火墙具有根本的缺陷: (1)不能防范黑客攻击 (2)不支持应用层协议 (3)不能处理新的安全威胁 2.应用代理防火墙缺点也非常突出,
6、主要有: (1)难于配置 (2)处理速度非常慢,3.状态检测防火墙 状态检测防火墙摒弃了包过滤防火墙仅考查数据包的IP地址等几个参数,而不关心数据包连接状态变化的缺点,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。,7.2.3 防火墙的选择,1. 选择防火墙须考虑的基本原则 首先,应该明确你的目的 第三,是费用问题。 其次,是想要达到什么级别的监测和控制。,7.2.3 防火墙架构,1.主机型防火墙 2.双闸型防火墙 3.屏障单机
7、型防火墙 4.屏障双闸型防火墙 5.屏障子网域型防火墙,2. 选择防火墙的基本标准,(1)防火墙的管理难易度 (2)防火墙自身的安全性 (3)NCSC的认证标准 (4)最好能弥补其他操作系统之不足 (5)能否为使用者提供不同平台的选择 (6)能否向使用者提供完善的售后服务,7.2.4 防火墙的选择,1. 选择防火墙须考虑的基本原则 首先,应该明确你的目的 其次,是想要达到什么级别的监测和控制 第三,是费用问题,2. 选择防火墙的基本标准 1) 防火墙的管理难易度 2) 防火墙自身的安全性 3) NCSC的认证标准 4) 最好能弥补其他操作系统之不足 5) 能否为使用者提供不同平台的选择 6)
8、能否向使用者提供完善的售后服务 7) 应该考虑企业的特殊需求,7.3 防火墙的体系结构,7.3.1 双宿/多宿主机模式 双宿多宿主机防火墙是一种拥有两个或多个连接到不同网络的网络接口的防火墙,通常是一台装有两块或多块网卡的堡垒主机,两块或多块网卡各自与受保护网络和外部网络相连。由于堡垒主机具有两个以上的网卡,可以连接两个以上的网络,所以计算机系统可以充当这些网络之间的防火墙,从一个网络到另一个网络发送的IP数据包必须经过双宿主机的检查。双宿主机检查通过的数据包,并根据安全策略进行处理。,应用层数据共享,运行代理服务器的双宿主机,双宿主机的路由功能未被禁止,7.3.2 屏蔽主机模式,屏蔽主机体系
9、结构,堡垒主机转发数据包,重定向消息,7.3.3 屏蔽子网模式,屏蔽子网体系结构,1.周边网络,周边网络也称为“停火区”或者“非军事区” (DMZ),周边网络用了两个包过滤路由器和一个堡垒主机。这是最安全的防火墙系统,因为在定义了“停火区”网络后,它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组以及其他公用服务器放在DMZ网络中。DMZ网络很小,处于Internet和内部网络之间,在一般情况下对DMZ配置成使用Internet和内部网络系统能够访问DMZ网络上数目有限的系统,而通过DMZ网络直接进行信息传输是严格禁止的。,2.堡垒主机,(1)在堡垒主机上运行电子邮件
10、代理服务器,代理服务器把入站的E-mail转发到内部网的邮件服务器上。 (2)在堡垒主机上运行WWW代理服务器,内部网络的用户可以通过堡垒主机访问Internet上的WWW服务器。 (3)在堡垒主机上运行一个伪DNS服务器,回答Internet上主机的查询。 (4)在堡垒主机上运行FTP代理服务器,对外部的FTP联接进行认证,并转接到内部的FTP服务器上。,3.内部路由器,内部路由器(又称阻塞路由器)位于内部网和周边网络之间,用于保护内部网不受周边网络和Internet的侵害,它执行了大部分的过滤工作。 对于一些服务,如出站的Telnet,可以允许它不经过堡垒主权而只经过内部过滤路由器。在这种
11、情况下,内部过滤路由器用来过滤数据包。内部过滤路内器也用来过滤内部网络和堡垒主机之间的数据包,这样做是为了防止堡垒土机被攻占。若不对内部网络和堡垒主机之间的数据包加以控制,当入侵者控制了堡垒主机后,就可以不受限制地访问内部网络上的任何主机,周边网络也就失去了意义,在实质上就与屏蔽主机结构一样了。,4.外部路由器,外部路内器的一个主要功能是保护周边网络上的主机,但这种保护不是很必要的,因为这主要是通过堡垒主机来进行安全保护的,但多一层保护也并无害处。外部路由器还可以把入站的数据包路由到堡垒主机,外部路由器一般与内部路由器应用相同的规则。 外部路由器还可以防止部分IP欺骗,因为内部路由器分辨不出一
12、个声称从周边网络来的数据包是否真的从周边网络来,而外部路出器很容易分辨出真伪。,7.4 防火墙的主要应用,7.4.1 防火墙的工作模式,IP地址过滤原理图,TCP/IP数据包发送过程,服务器TCP/UDP 端口过滤,客户机TCP/UDP端口过滤,双向过滤原理图,检查ACK位,1.FTP带来的困难,通常的FTP会话过程中,客户机首先向服务器的端口21(命令通道)发送一个TCP连接请求,然后执行LOGIN、DIR等各种命令。一旦用户请求服务器发送数据,FTP服务器就用其20端口 (数据通道)向客户的数据端口发起连接。问题来了,如果服务器向客户机发起传送数据的连接,那么它就会发送没有设置ACK位的数
13、据包,防火墙则按照刚才的规则拒绝该数据包同时也就意味着数据传送没戏了。通常只有高级的、也就是够聪明的防火墙才能看出客户机刚才告诉服务器的端口,然后才许可对该端口的入站连接。,2.UDP端口过滤,UDP包没有ACK位,所以不能进行ACK位过滤,UDP 是发出去不管的“不可靠”通信,这种类型的服务通常用于广播、路由、多媒体等广播形式的通信任务。NFS、DNS、WINS、NetBIOS-over-TCP/IP和 NetWare/IP都使用UDP。,7.4.2 防火墙的配置规则,防火墙配置有三种:Dual-homed方式、Screened- host方式和Screened-subnet方式。 (1)D
14、ual-homed方式此种方式最简单,Dual-homedGateway放置在两个网络之间,这个Dual-omedGateway又称为bastionhost。这种结构成本低,但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力,而它往往是受“黑客”攻击的首选目标,它自己一旦被攻破,整个网络也就暴露了。,(2)Screened-host方式 在此种方式中的Screeningrouter为保护Bastionhost的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost,并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Ba
15、stionhost,只要有一个失败,整个网络就暴露了。,(3)Screened-subnet 此种方式包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网,称之为“停火区”(DMZ),Bastionhost放置在“停火区”内。这种结构安全性好,只有当两个安全单元被破坏后,网络才被暴露,但是成本也很昂贵。,7.4.3 ISA Server的应用,组织可以有多种联网方案来部署ISA Server,包括以下所述的几种方法。 (1)Internet防火墙 (2)安全服务器发布 (3)正向Web缓存服务器 (4)反向Web缓存服务器 (5)防火墙和
16、Web缓存集成服务器,7.5 下一代防火墙,下一代防火墙区别于传统防火墙的核心特色之一是对应用的识别、控制和安全性保障。这种显著区别源自于Web2.0与Web1.0这两个不同网络时代下的模式变迁。传统的Web1.0网络以服务请求与服务提供为主要特征,服务提供方提供的服务形态、遵循的协议都比较固定和专一,随着社会化网络Web2.0时代的到来,各种服务协议、形态已不再一尘不变,代之以复用、变种、行为差异为主要特征的各种应用的使用和共享。,7.5.1 新的应用带来全新的应用层威胁,1) 恶意软件入侵2) 网络带宽消耗3)机密资料外泄,7.5.2 传统防火墙的弊端,由于传统的防火墙的基本原理是根据IP
17、地址/端口号或协议标识符识别和分类网络流量,并执行相关的策略。对于WEB2.0应用来说,传统防火墙看到的所有基于浏览器的应用程序的流量是完全一样的,因而无法区分各种应用程序,更无法实施策略来区分哪些是不需要的或不适当的程序,或者允许这些应用程序。如果通过这些端口屏蔽相关的流量或者协议,会导致阻止所有基于web的流量,其中包括合法商业用途的内容和服务。另外传统防火墙也检测不到基于隧道的应用,以及加密后的数据包,甚至不能屏蔽使用非标准端口号的非法应用。,7.5.3 下一代防火墙的安全策略框架,1.智能化识别,2.精细化控制,3.一体化扫描,7.5.3 下一代防火墙功能,1.基于用户防护 2.面向应用安全 3.高效转发平台 4.多层级冗余架构 5.全方位可视化 6.安全技术融合,小结,本章主要介绍了防火墙的基本概念、功能和规则,以及防火墙的分类和体系结构,重点讲述了防火墙的应用方法,以及下一代防火墙的策略框架和功能,学习完本章后可以掌握有关防火墙的相关知识,系统地了解防火墙的应用方法。,
