1、四川警安职业学院标准教案纸课程名称 防火墙技术(第十九讲) 任课教师 陈 平授课时间 地点 多媒体 授课班级 07 级 人数 32 人教学目标1. 掌握防火墙体系结构2. 掌握实现防火墙技术3. 掌握包过滤器的分类及工作原理教学重点1. 防火墙体系结构2. 实现防火墙技术3. 包过滤器的分类教学难点 1. 包过滤器工作原理及工作过程教学时数 2 节 教学方法 讲授法、演示法、实践操作法 教学手段 多媒体教学教学内容:第 4 章 防火墙体系结构(一)4.1 防火墙的体系结构为了满足用户的更高要求,防火墙体系架构经历了从低性能的 x86,PPC 软件防火墙向高性能硬件防火墙的过渡。防火墙在经过几年
2、繁荣的发展后,已经形成了多种类型的体系架构,并且这几种体系架构的设备并存互补,并不断进行发展升级。1. 双重宿主主机体系结构双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器,它能够从一个网络到另外一个网络发送 IP 数据包,然而双重宿主主机的防火墙体系结构禁止这种发送。因此,IP 数据包并不是从一个网络(如外部网络)直接发送到另一个网络(如内部网络) 。外部网络能与双重宿主主机通信,内部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直接通信,它们之间的通信必须经过双重宿主主机的过滤和控制,如图 4-1所示。2.
3、 被屏蔽主机体系结构双重宿主主机体系结构防火墙没有使用路由器,而被屏蔽主机体系结构防火墙则使用一个路由器把内部网络和外部网络隔离开,如图 4-2 所示。在这种体系结构中,主要的安全由数据包过滤提供(例如,数据包过滤用于防止人们绕过代理服务器直接相连) 。这种体系结构涉及到堡垒主机。堡垒主机是因特网上的主机能连接到的唯一的内部网络上的系统。任何外部的系统要访问内部的系统或服务都必须先连接到这台主机。因此,堡垒主机要保持更高等级的主机安全。3. 被屏蔽子网体系结构被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络和外部网络(通常是 Internet)隔离
4、开。被屏蔽子网体系结构的最简单的形式为两个屏蔽路由器,每一个都连接到周边网。一个位于周边网与内部网络之间,另一个位于周边网与外部网络(通常为 Internet)之间。这样就在内部网络与外部网络之间形成了一个“隔离带” 。为了侵入用这种体系结构构筑的内部网络,侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机,他将仍然必须通过内部路由器,如图 4-3 所示。4.2 包过滤器4.2.1 包过滤技术分类在包过滤技术的发展中,出现过两种不同的技术,即静态包过滤和动态包过滤。包过滤技术作为防火墙的应用有三类。一是路由设备在完成路由选择和数据转发之外,同时进行包过滤,这是目前较常用的方式。二是在工作站上使用
5、软件进行包过滤,这种方式价格较贵。三是在一种称为屏蔽路由器的路由设备上启动包过滤功能。防火墙对数据的过滤,首先是根据数据包中包头部分所包含的源 IP 地址、目的 IP 地址、协议类型(TCP 包、UDP 包、ICMP 包) 、源端口、目的端口及数据包传递方向等信息,判断是否符合安全规则,以此来确定该数据包是否允许通过。1. 静态包过滤(Static packet filter)静态包过滤(Static packet filter)技术是传统包过滤技术,它根据流经该设备的数据包地址信息决定是否允许该数据包通过,它判断的依据有(只考虑 IP 包): 数据包协议类型:TCP,UDP ,ICMP ,I
6、GMP 等。 源 IP 地址、目的 IP 地址。 源端口、目的端口:FTP,HTTP,DNS 等。 IP 选项:源路由、记录路由等。 TCP 选项:SYN,ACK,FIN,RST 等。 其他协议选项:ICMP ECHO,ICMP ECHO REPLY 等。 数据包流向:in(进)或 out(出) 。 数据包流经网络接口。2. 动态包过滤(Dynamic packet filter)包过滤防火墙是基于路由器来实现的。它利用数据包的头信息(源 IP 地址、封装协议、端口号等)判定与过滤规则是否相匹配来决定舍取。建立这类防火墙应按如下步骤去做: 第 1 步,建立安全策略写出所允许的和禁止的任务。 第
7、 2 步,将安全策略转化为数据包分组字段的逻辑表达式。 第 3 步,用供货商提供的句法重写逻辑表达式并设置之。4.2.2 包过滤器的工作层次包过滤防火墙通常工作在 OSI 的三层及三层以下,由此可以看出,它可控的内容主要包括报文的源地址、报文的目标地址、服务类型,以及第二层数据链路层可控的 MAC 地址等。除此以外,随着包过滤防火墙的发展,部分 OSI 四层的内容也被包括进来,如报文的源端口和目的端口。4.2.3 过滤器的工作原理1. 使用过滤器数据包过滤用在内部主机和外部主机之间,过滤系统是一台路由器或一台主机。过滤系统根据过滤规则来决定是否让数据包通过。用于过滤数据包的路由器被称为过滤路由
8、器。数据包过滤是通过对数据包的 IP 头、TCP 头或 UDP 头的检查来实现的。在 TCP/IP 中,存在着一些标准的服务端口号,例如,HTTP 的端口号为 80。通过屏蔽特定的端口可以禁止特定的服务。包过滤系统可以阻塞内部主机和外部主机或另外一个网络之间的连接,例如,可以阻塞一些被视为是有敌意的或不可信的主机或网络连接到内部网络中。2. 过滤器的实现数据包过滤一般使用过滤路由器来实现,这种路由器与普通的路由器有所不同。普通的路由器只检查数据包的目标地址,并选择一个达到目的地址的最佳路径。它处理数据包是以目标地址为基础的,存在着两种可能性:若路由器可以找到一个路径到达目标地址,则发送出去;若
9、路由器不知道如何发送数据包,则通知数据包的发送者“数据包不可达” 。过滤路由器会更加仔细地检查数据包,除了决定是否有到达目标地址的路径外,还要决定是否应该发送数据包。 “应该与否”是由路由器的过滤策略决定并强行执行的。4.2.4 包过滤的基本过程下面对包过滤过程做简单的叙述。 包过滤规则必须被包过滤设备端口存储起来。 当包到达端口时,对包报头进行语法分析。大多数包过滤设备只检查 IP,TCP 或 UDP报头中的字段。 包过滤规则以特殊的方式存储。应用于包的规则的顺序与包过滤器规则存储顺序必须相同。 若一条规则阻止包传输或接收,则此包便不被允许。 若一条规则允许包传输或接收,则此包便可以被继续处
10、理。 若包不满足任何一条规则,则此包便被阻塞。一个包过滤防火墙必须具备两个端口,一个端口连接非信任网络(如 Internet) ,一个端口连接可信网络(如内部网络)和一组规则组成。防火墙配置的规则必须能对从一个非信任端口流向信任端口或是从信任端口流向非信任端口进行控制处理,以此来决定是否让信息流通过,如图 4-5 所示。根据上图将可以创建一个典型的网络结构,包括 HTTP,DNS,SMTP ,内部网络通过包过滤防火墙将其分为服务器区域和子网络区域,包括 Internet 非信任网络。作 业1. 画出几种常见的防火墙体系结构,并说明工作原理。2. 实现防火墙的技术有哪些?3. 包过滤技术分为哪两类?各自的特点是什么?教学反馈
