防火墙体系结构.ppt

1、1,3. 防火墙体系结构,包过滤型防火墙(Package Filtering Firewall) 双宿/多宿主机防火墙(Dual-Homed/Multi-Homed Host Firewall) 屏蔽主机防火墙(Screened Host Firewall) 屏蔽子网防火墙(Screened Subnet Firewall) 其它防火墙结构,2,3.1 包过滤型防火墙,包过滤型防火墙，往往可以用一台过滤路由器(Screened Router)来实现，对所接收的每个数据包做允许/拒绝的决定 包过滤型防火墙一般作用在网络层，故也称网络层防火墙或IP过滤器,3,查找对应的控制策略,根据策略决定如何处

2、理该数据包,数据包,3.1 包过滤型防火墙,数据包,拆开数据包,分组过滤判断信息,企业内部网,Host C,Host A,4,3.1 包过滤型防火墙,路由器审查每个数据包，确定其是否与某一条包过滤规则匹配 过滤规则基于可以提供给IP转发过程的包头信息，包头信息中包括： 源IP地址、目标IP地址 协议类型(TCP、UDP、ICMP等等) TCP/UDP源端口、目标端口 ICMP消息类型 TCP包头中的ACK位等,5,3.1 包过滤型防火墙,对到达包过滤防火墙的数据包： 规则允许该数据包通过，那么该数据包就会按照路由表中的信息被转发 规则拒绝该数据包，那么该数据包就会被丢弃 如果没有匹配规则，根据

3、系统的设计策略(缺省禁止/缺省允许)决定是转发还是丢弃数据包,6,3.1 包过滤型防火墙,举例： 阻塞所有进入的Telnet连接路由器只需简单地丢弃所有TCP端口号等于23的数据包 将进来的Telnet连接限制到内部的数台机器上路由器必须拒绝所有TCP端口号等于23并且目标IP地址不等于允许主机的IP地址的数据包,7,3.1 包过滤型防火墙,优点： 处理数据包的速度比较快(与代理服务器相比) 在流量适中并定义较少过滤规则时，路由器的性能几乎不受影响 实现包过滤几乎不再需要费用 标准的路由器软件包含数据包过滤功能 包过滤路由器对用户和应用来讲是透明的 不必对用户进行特殊的培训 不必在每台主机上安

4、装特定的软件 用户不用改变客户端程序或改变自己的行为,8,3.1 包过滤型防火墙,缺点： 包过滤防火墙的维护比较困难 定义数据包过滤器比较复杂，网络管理员需要对各种Internet服务、包头格式、以及每个域的意义有非常深入的理解 只能阻止一种类型的IP欺骗 即外部主机伪装内部主机的IP，对于外部主机伪装其他可信任的外部主机的IP不能阻止 任何直接经过路由器的数据包都有被用做数据驱动式攻击的潜在危险 数据驱动式攻击：表面上无害的数据被邮寄或拷贝到内部主机上，但其中包含了一些隐藏的指令，一旦执行能够让主机修改访问控制和与安全有关的文件，使得入侵者能够获得对系统的访问权,9,3.1 包过滤型防火墙,

5、缺点： 一些包过滤路由器不支持有效的用户认证 因为IP地址是可以伪造的，因此如果没有基于用户的认证，仅通过IP地址来判断是不安全的 不能提供有用的日志，或根本不提供日志 随着过滤器数目的增加，路由器的吞吐量会下降 IP包过滤器可能无法对网络上流动的信息提供全面的控制 包过滤路由器能够允许或拒绝特定的服务，但是不能理解特定服务的上下文环境和数据,10,3.1 包过滤型防火墙,应用场合 机构是非集中化管理 机构没有强大的集中安全策略 网络的主机数非常少 主要依赖于主机安全来防止入侵，但是当主机数增加到一定的程度的时候，仅靠主机安全是不够的 没有使用DHCP这样的动态IP地址分配协议,11,3.2

6、双宿/多宿主机防火墙,双宿/多宿主机：有两个或多个网络接口的计算机系统，可以连接多个网络，实现多个网络之间的访问控制 双宿/多宿主机防火墙：用双宿/多宿主机实现防火墙的功能,12,3.2 双宿/多宿主机防火墙,特点： IP层通信被阻止 双宿主机内外的网络均可与双宿主机实时通信 内外网络之间不可直接通信，内外部网络之间的IP数据流被双宿主机完全切断上图：网络层路由功能未被禁止，数据包绕过防火墙,13,3.2 双宿/多宿主机防火墙,两个网络之间的通信方式： 应用层数据共享，用户直接登录应用层代理服务，在双宿主机上运行代理服务器,14,3.2 双宿/多宿主机防火墙,用户直接登录的不足 支持用户账号会

7、降低机器本身的稳定性和可靠性 用户账号的存在会给入侵者提供相对容易的入侵通道 因为用户的行为是不可预知的，如双宿主机上有很多用户账户，这会给入侵检测带来很大的麻烦 如果双宿主机上有很多账号，管理员维护困难,15,3.2 双宿/多宿主机防火墙,运行代理服务的优点 可以将被保护的网络内部结构屏蔽起来，增强网络的安全性 可用于实施较强的数据流监控、过滤、记录和报告等 运行代理服务的缺点 使访问速度变慢 提供服务相对滞后 应用级网关需要针对每一个特定的Internet服务安装相应的代理服务器软件，用户不能使用未被服务器支持的服务，可能会花费一定的时间等待新服务器软件 有些服务无法提供,16,3.3 屏

8、蔽主机防火墙,专门设置一个过滤路由器，把所有外部到内部的连接都路由到堡垒主机上，强迫所有的外部主机与一个堡垒主机相连，而不让它们直接与内部主机相连,17,3.3 屏蔽主机防火墙,过滤路由器 连接Internet和内部网络，它是内部网络的第一道防线 过滤路由器需要进行适当的配置，使所有的外部连接被路由到堡垒主机上 过滤路由器的重要性： 是否正确配置是这种防火墙安全与否的关键 过滤路由器的路由表应当受到严格的保护，否则如果路由表遭到破坏，数据包就不会被路由到堡垒主机上，使堡垒主机被绕过,18,3.3 屏蔽主机防火墙,堡垒主机(Bastion Host) 位于内部网络，是一台安全性很高的主机，其上没

9、有任何入侵者可以利用的工具，不能作为黑客进一步入侵的基地 堡垒主机上一般安装的是代理服务器程序，即外部网络访问内部网络的时候，首先经过外部路由器的过滤，然后通过代理服务器代理后才能进入内部网络 堡垒主机在应用层对客户的请求做判断，允许或禁止某种服务。如果该请求被允许，堡垒主机就把数据包发送到某一内部主机或屏蔽路由器上，否则抛弃该数据包,19,3.3 屏蔽主机防火墙,对于入站连接，根据安全策略，屏蔽路由器可以： 允许某种服务的数据包先到达堡垒主机，然后与内部主机连接 直接禁止某种服务的数据包入站连接 对于出站连接，根据安全策略： 对于一些服务(Telnet)，可以允许它直接通过屏蔽路由器连接到外

10、部网络，而不通过堡垒主机 其它服务(WWW和SMTP等)，必须经过堡垒主机才能连接到Internet，并在堡垒主机上运行该服务的代理服务器,20,3.3 屏蔽主机防火墙,屏蔽主机防火墙转发数据包的过程,21,3.3 屏蔽主机防火墙,与包过滤型防火墙的比较： 其提供的安全等级比包过滤防火墙系统要高，实现了网络层安全(包过滤)和应用层安全(代理服务) 入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统 即使入侵者进入了内部网络，也必须和堡垒主机竞争，堡垒主机是一台安全性很高的主机,22,3.3 屏蔽主机防火墙,路由器不被正常路由的例子： 正常路由情况： 内部网络地址：202.112.

11、108.0 堡垒主机地址：202.112.108.8 路由表内容 所有流量发到堡垒主机上,23,3.3 屏蔽主机防火墙,路由表被破坏的情况： 堡垒主机的路由项目被从路由表中删除 进入屏蔽路由器的流量不会被转发到堡垒主机上，可能被转发到另一主机上，外部主机直接访问了内部主机，绕过了防火墙 过滤路由器成为唯一一道防线，入侵者很容易突破屏蔽路由器，内部网络不再安全,24,3.4 屏蔽子网防火墙,本质上同屏蔽主机防火墙一样，但增加了一层保护体系周边网络(DMZ)。堡垒主机位于周边网络上，周边网络和内部网络被内部屏蔽路由器分开,25,3.4 屏蔽子网防火墙,为什么使用周边网络 在屏蔽主机结构中，堡垒主机

12、最容易受到攻击。而且内部网对堡垒主机是完全公开的，入侵者只要破坏了这一层的保护，那么入侵也就大功告成了 屏蔽子网结构就是在屏蔽主机结构中再增加一台路由器的安全机制，这台路由器的意义就在于它能够在内部网和外部网之间构筑出一个安全子网，从而使得内部网与外部网之间有两层隔断。要想侵入用这种体系结构构筑的内部网络，侵袭者必须通过两个路由器，即使侵袭者已设法侵入堡垒主机，他将仍然必须通过内部路由器,26,3.4 屏蔽子网防火墙,周边网络 也称为“停火区“或“非军事区“(DeMilitarised Zone，DMZ) 处于Internet和内部网络之间 包含两个包过滤路由器和一个/多个堡垒主机 可以放置一

13、些信息和服务器，如WWW和FTP服务器，以便于公众访问，这些服务器可能会受到攻击，因为它们是牺牲服务器，但内部网络还被保护着 通过DMZ网络直接进行信息传输是严格禁止的 是最安全的防火墙系统，因为在定义了“非军事区“网络后，它支持网络层和应用层安全功能,27,3.4 屏蔽子网防火墙,周边网络的作用 堡垒主机位于周边网络，即使被控制，入侵者仍然不能直接侵袭内部网络，内部网络仍受到内部过滤路由器的保护 原因： 大部分局域网采用以太网，以太网的特点是广播，一台位于网络上的机器可以监听网络上的所有信息 如果没有周边网络，一旦堡垒主机被攻破，入侵者可以监听整个网络的对话，获得 用户的口令和帐号 私人的敏

14、感文件(email等),28,3.4 屏蔽子网防火墙,如果堡垒主机位于周边网络上，即使入侵者控制了堡垒主机，也只能侦听到 Internet和堡垒主机之间的会话 内部主机和堡垒主机之间的会话 内部网络之间的通信仍然是安全的，因为内部网络上的数据包虽然在内部网络上是广播式的，但内部过滤路由器会阻止这些数据包流入周边网络(发往周边网络和Internet的数据包除外),29,3.4 屏蔽子网防火墙,堡垒主机 位于周边网络 运行各种各样的代理服务器 可以被认为是应用层网关，是这种防御体系的核心 入站服务，要求所有服务都通过堡垒主机 出站服务，不一定要求所有服务都经过堡垒主机，可以由内部路由器和Inter

15、net直接通话,30,3.4 屏蔽子网防火墙,内部路由器 又称阻塞路由器，位于内部网和周边网之间 用于保护内部网不受周边网和因特网的侵害 完成防火墙的大部分的过滤工作,31,3.4 屏蔽子网防火墙,外部路由器 保护周边网上的主机 外部路由器还可以防止部分IP欺骗 内部路由器分辨不出一个声称从非军事区来的数据包是否真的从非军事区来，而外部路由器很容易分辨出真伪,32,3.4 屏蔽子网防火墙,分层系列的周边网 一些站点还可以在外部与内部网络之间建立分层系列的周边网 信任度低的和易受侵袭的服务被放置在外层的周边网上，远离内部网络 在周边网络中设置堡垒主机 这样增加了内部网络的安全性，即使侵袭者侵入外

16、层周边网的机器，由于在外层周边网和内部网络之间有了附加安全层，也将难于成功地侵袭内部的机器,33,3.5 其它防火墙结构,一个堡垒主机和一个非军事区 合并内部路由器和堡垒主机 合并外部路由器和堡垒主机 合并DMZ的内部路由器和外部路由器 两个堡垒主机和两个非军事区 使用多台堡垒主机 使用多台外部路由器 ,34,一个堡垒主机和一个非军事区,基于屏蔽子网结构 合并内部路由器和堡垒主机 合并外部路由器和堡垒主机,35,合并内部路由器和堡垒主机,堡垒主机有两个网络接口： 一个接到非军事区(DMZ) 一个接到内部网络 过滤路由器 一端接到Internet 一端接到非军事区 把外部网络传到内部网络的所有网

17、络流量发送给堡垒主机，过滤规则允许的网络流量被转发给内部网络，其他所有流量被丢弃,36,优点 非军事区上没有主机，只有两个网络接口，可以避免非军事区中的数据被侦听 堡垒主机使用双宿主机，提高了系统的安全性，可以防止入侵者绕过堡垒主机 缺点 一旦堡垒主机被入侵，堡垒主机和内部网络之间没有任何安全保护,37,合并外部路由器和堡垒主机,双宿堡垒主机执行外部路由器的功能 缺乏专用路由器的灵活性和性能 在对WAN的速度要求不过的情况下，双宿主机可以胜任路由工作 缺点 堡垒主机完全暴露在Internet上,38,合并DMZ的内部/外部路由器,只有拥有强大的路由器时，才可以合并内部路由器和外部路由器 是目前

18、常见的一种结构，一个路由器上至少有3个网络接口 一个接内部网 一个接外部网 一个接DMZ(公共信息服务器、代理服务器),39,实例 Netscreen公司产品有Netscreen-10、Netscreen-100、Netscreen-1000 Netscreen-10简介 Netscreen-10是一台集成防火墙、VPN、NAT和流量管理功能于一体的Internet安全设备 有三个10Base-T以太网接口：信任端口(Trusted)、非信任端口(Untrusted)、非军事区端口(DMZ)和RS232诊断端口及PCMCIA插槽 配置模式有： 透明模式 两端口地址翻译模式 三端口地址翻译模式,

19、40,透明模式 适用于与Internet连接、其上所有设备都具有合法IP地址的网络 配置最为简洁，防火墙只起桥接作用，不需要路由，主机和路由器不需要重新配置，只需要把Netscreen防火墙直接插入到网络中即可 防火墙的Trusted端口与内部网络相联，Untrusted端口与外部网络相联，DMZ端口挂起 内部网络的所有地址不做任何变动，配置的关键在于策略的制定,41,两端口地址翻译模式 适用于合法IP地址数量不多，而又有相当数量的网络设备需要连接Internet 防火墙具备路由功能。Trusted端口后面连接的内部网可以使用私有IP地址,42,三端口地址翻译模式 防火墙连接三段网络，信任端口

20、连接内部网，DMZ端口连接DMZ区，非信任端口连接外部网 公共服务器可以放置在DMZ区，既向外提供服务，又保证了内部网的安全 防火墙具备路由功能 防火墙支持地址翻译功能，允许内部网和DMZ区使用私有IP地址,43,两个堡垒主机和两个非军事区,使用两台双宿主机，有两个非军事区 网络分四个部分 外部非军事区 内部非军事区 外部网络 内部网络 外部非军事区：放置牺牲主机，提供公共信息服务，如匿名FTP、WWW服务等 内部非军事区：是内部网络的第二缓冲区，受过滤路由器和外部堡垒主机的保护，具有一定的安全性，可以把一些相对不是很机密的服务器放在这个网络上 内部网络：隐藏敏感的主机,44,使用多台堡垒主机

21、,出于对堡垒主机性能，冗余和分离数据或者分离服务考虑，用多台堡垒主机构筑防火墙，如： 一台堡垒主机提供一些比较重要的服务(SMTP服务)，另一台堡垒主机提供内部网向外部网的服务(匿名FTP服务)。这样，外部网用户对内部网的操作就不会影响内部网用户的操作 多台堡垒主机提供同样的服务，实现负载平衡，提高系统效能,45,使用多台外部路由器,用多个外部路由器与外部网络相连，不会带来明显的安全问题。外部路由器受损害的机会增加了，但一个外部路由器受损害不会带来特别的威胁,46,比较与思考,比较屏蔽主机结构、一个堡垒主机与一个DMZ结构（合并内部路由器与堡垒主机结构）的异同？,47,比较与思考,屏蔽主机结构,合并内部路由器和堡垒主机,