信息安全概論(徐茂智)第17講

1、信息安全概論第17講2008年x月y日6.3.2 防火墻技術(shù)原理Digital公司1986年在Internet上安裝了全球第一個(gè)商用防火墻系統(tǒng)后，相關(guān)技術(shù)與應(yīng)用得到了快速的發(fā)展，經(jīng)歷三個(gè)階段：包過濾技術(shù)代理服務(wù)技術(shù)狀態(tài)檢測技術(shù)1. 包過濾技術(shù)包過濾技術(shù)包過濾（Packet Filtering）是指防火墻在網(wǎng)絡(luò)層中（如圖6.7所示），通過檢查網(wǎng)絡(luò)數(shù)據(jù)流中數(shù)據(jù)包的報(bào)頭（如源、目的地址、協(xié)議類型、端口等），將報(bào)頭信息與事先設(shè)定的過濾規(guī)則相比較，據(jù)此決定是否允許該數(shù)據(jù)包通過，其關(guān)鍵是過濾規(guī)則的設(shè)計(jì)。包過濾技術(shù)是最早應(yīng)用于防火墻的技術(shù)，也是最簡單、某些情形下最有效的防火墻技術(shù)。包過濾技術(shù)檢查的數(shù)據(jù)包報(bào)頭

2、信息主要有：（1）IP數(shù)據(jù)包的數(shù)據(jù)包的源源IP地址、目的地址、目的IP地址、協(xié)議類型、地址、協(xié)議類型、選項(xiàng)字段等。選項(xiàng)字段等。（2）TCP數(shù)據(jù)包數(shù)據(jù)包的源端口、目標(biāo)端口、標(biāo)志段等。的源端口、目標(biāo)端口、標(biāo)志段等。端口協(xié)議用途21FTP文件傳輸23Telnet遠(yuǎn)程登錄25SMTP電子郵件69TFTP簡單文件傳輸協(xié)議（Trivial FTP）79Finger查詢有關(guān)一個(gè)用戶的信息80HTTPWWW服務(wù)110POP-3遠(yuǎn)程電子郵件119NNTPUSENET新聞TCP端口號(hào)1024以下被用于一些標(biāo)準(zhǔn)的通信服務(wù)。表6.2 一些常用的TCP端口.如只允許HTTP通信，而不允許Telnet通信，則通過設(shè)定允許

3、TCP端口80的通信、禁止TCP端口23的通信，即可簡單方便地對這兩項(xiàng)服務(wù)進(jìn)行過濾。（3 3）UDPUDP數(shù)據(jù)包的源端口、目標(biāo)端口。數(shù)據(jù)包的源端口、目標(biāo)端口。 UDP的應(yīng)用有DNS（Domain Name System，域名系統(tǒng)）、RPC（Remote Procedure Call，遠(yuǎn)程調(diào)用）、實(shí)時(shí)多媒體應(yīng)用RTP（Real-time Transport Protocol，實(shí)時(shí)傳輸協(xié)議）等，同樣通過設(shè)定基于UDP端口的過濾規(guī)則，可以方便地對各項(xiàng)服務(wù)進(jìn)行過濾。（4 4）ICMPICMP類型。類型。 ICMP（Intenet Control Message Protocol，Internet控制消

4、息協(xié)議）主要用于傳遞控制或錯(cuò)誤消息，如常用的端到端故障查找工具Ping就是利用ICMP中的“回應(yīng)請求”（ICMP類型編號(hào)8）實(shí)現(xiàn)的。因此通過設(shè)定ICMP關(guān)鍵字或類型編號(hào)的過濾規(guī)則，就可以對ICMP通信進(jìn)行過濾，如表6.3所示。表6.3 一些常見的ICMP類型ICMP類型編號(hào)ICMP類型名稱可能的控制原因0回應(yīng)答復(fù)對ping的響應(yīng)3無法到達(dá)目的地?zé)o法到達(dá)目標(biāo)地址4源端抑制路由器接收通信量太大8回應(yīng)請求常規(guī)的ping請求11超時(shí)到目的地時(shí)間超時(shí)包過濾防火墻優(yōu)點(diǎn)與弱點(diǎn)包過濾防火墻優(yōu)點(diǎn)與弱點(diǎn) 包過濾防火墻優(yōu)點(diǎn)：包過濾防火墻優(yōu)點(diǎn)：l 不需內(nèi)部網(wǎng)絡(luò)用戶做任何配置，對用戶來說是完全透明的。l 簡單、有效。包

5、過濾防火墻弱點(diǎn)：包過濾防火墻弱點(diǎn)：l 只能檢查數(shù)據(jù)包的報(bào)頭信息，無法檢查數(shù)據(jù)包的內(nèi)容，不能進(jìn)行數(shù)據(jù)內(nèi)容級(jí)別的訪問控制。l 沒有考慮數(shù)據(jù)包的上下文關(guān)系，每一個(gè)數(shù)據(jù)包都要與設(shè)定的規(guī)則匹配，影響數(shù)據(jù)包的通過速率，無法滿足一些訪問控制的要求。l 過濾規(guī)則的制定很復(fù)雜，容易產(chǎn)生沖突或漏洞，出現(xiàn)因配置不當(dāng)帶來的安全問題。 2. 狀態(tài)檢測技術(shù) 一個(gè)正常網(wǎng)絡(luò)連接中的源和目的地址、協(xié)議類型、協(xié)議信息（如TCP/UDP端口、ICMP類型）、標(biāo)志（如TCP連接狀態(tài)標(biāo)志）等構(gòu)成該連接的狀態(tài)表，將數(shù)據(jù)包報(bào)頭的相關(guān)信息與狀態(tài)表進(jìn)行對比，就可以知道該數(shù)據(jù)包是一個(gè)新的網(wǎng)絡(luò)連接還是某個(gè)已有連接中的數(shù)據(jù)包。狀態(tài)檢測技術(shù)也叫動(dòng)態(tài)包

6、過濾技術(shù)，是包過濾技術(shù)的延伸。基于狀態(tài)檢測（Stateful Inspection）在包過濾技術(shù)防火墻的基礎(chǔ)上，增加了對狀態(tài)的檢測：狀態(tài)檢查流程1.檢測數(shù)據(jù)包是否是狀態(tài)表中已有連接的數(shù)據(jù)包，如果是已有連接的數(shù)據(jù)包而且狀態(tài)正確，則允許通過。2.如果不是已有連接的數(shù)據(jù)包，則進(jìn)行包過濾技術(shù)的檢查。3.包過濾允許通過，則在狀態(tài)表中添加其所在的連接。4.某個(gè)連接結(jié)束或超時(shí)，則在狀態(tài)表中刪除該連接信息。狀態(tài)檢查原理1. 狀態(tài)檢測防火墻的數(shù)據(jù)包過濾規(guī)則是預(yù)先設(shè)定的，但狀態(tài)表是動(dòng)態(tài)建立的，可以實(shí)現(xiàn)對一些復(fù)雜協(xié)議建立的臨時(shí)端口進(jìn)行有效的管理。 如FTP協(xié)議只是通過21端口進(jìn)行控制連接，其數(shù)據(jù)傳送是通過動(dòng)態(tài)端口建

7、立的另一個(gè)子連接進(jìn)行傳送。如果邊界部署的是一個(gè)基于包過濾技術(shù)的防火墻，就需要將所有端口打開，將會(huì)帶來很大的安全隱患。但對于基于狀態(tài)檢測技術(shù)的防火墻，則能夠通過跟蹤、分析控制連接中的信息，得知控制連接所協(xié)商的數(shù)據(jù)傳送子連接端口，在防火墻上將該端口動(dòng)態(tài)開啟，并在連接結(jié)束后關(guān)閉，保證內(nèi)部網(wǎng)絡(luò)的安全。2. 狀態(tài)檢測技術(shù)是為每一個(gè)會(huì)話連接建立、維護(hù)其狀態(tài)信息，并利用這些狀態(tài)信息對數(shù)據(jù)包進(jìn)行過濾。 如狀態(tài)檢測可以很容易實(shí)現(xiàn)只允許一個(gè)方向通信的“單向通信規(guī)則”，在允許通信方向上的一個(gè)通信請求被防火墻允許后，將建立該通信的狀態(tài)表，該連接在另一個(gè)方向的回應(yīng)通信屬于同一個(gè)連接，因此將被允許通過。這樣就不必在過濾規(guī)

8、則中為回應(yīng)通信制定規(guī)則，可以大大減少過濾規(guī)則的數(shù)量和復(fù)雜性；而且也不需對同一個(gè)連接的數(shù)據(jù)包進(jìn)行檢查，從而提高過濾效率和通信速度。3. 動(dòng)態(tài)狀態(tài)表是狀態(tài)檢測防火墻的核心，利用其可以實(shí)現(xiàn)比包過濾防火墻更強(qiáng)的控制訪問能力。4. 但其弱點(diǎn)是也沒有對數(shù)據(jù)包的內(nèi)容進(jìn)行檢查，不能進(jìn)行數(shù)據(jù)內(nèi)容級(jí)別的控制，而且也允許外部主機(jī)與內(nèi)部主機(jī)的直接連接，容易遭受黑客的攻擊。3. 代理服務(wù) （1）應(yīng)用級(jí)代理 應(yīng)用級(jí)代理也被稱為應(yīng)用級(jí)網(wǎng)關(guān)（Application Gateway），工作在應(yīng)用層，是一組特殊的應(yīng)用服務(wù)程序。代理服務(wù)（Proxy Server）是代表內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行通信的服務(wù)器，通信發(fā)起方首先與代理服務(wù)建

9、立連接，然后代理服務(wù)再另外建立到目標(biāo)主機(jī)的連接，通信雙方通過代理進(jìn)行間接連接、通信，不允許端到端的直接連接。各種網(wǎng)絡(luò)應(yīng)用服務(wù)也是通過代理提供，由此達(dá)到訪問控制的目的。原理如下1. 當(dāng)接收到客戶方發(fā)出的連接請求后，應(yīng)用代理檢查客戶的源和目的IP 地址，并依據(jù)事先設(shè)定的過濾規(guī)則決定是否允許該連接請求。2. 如果允許該連接請求，進(jìn)行客戶身份識(shí)別。否則，則阻斷該連接請求。3. 通過身份識(shí)別后，應(yīng)用代理建立該連接請求的連接，并根據(jù)過濾規(guī)則傳遞和過濾該連接之間的通信數(shù)據(jù)。4. 當(dāng)一方關(guān)閉連接后，應(yīng)用代理關(guān)閉對應(yīng)的另一方連接，并將這次的連接記錄在日志內(nèi)。 應(yīng)用代理服務(wù)器一般運(yùn)行在具有兩個(gè)網(wǎng)絡(luò)接口的雙重宿主主

10、機(jī)的防火墻上，兩個(gè)網(wǎng)絡(luò)接口分別連接內(nèi)、外網(wǎng)絡(luò)，并且禁止IP轉(zhuǎn)發(fā)，切斷內(nèi)外網(wǎng)絡(luò)之間直接的IP通信，由代理服務(wù)器按照一定的安全策略提供Internet連接和服務(wù)。 以電子郵件應(yīng)用代理為例。代理工作在應(yīng)用層，可以對數(shù)據(jù)內(nèi)容進(jìn)行審查，對垃圾郵件等含有不良信息的郵件進(jìn)行過濾。優(yōu)點(diǎn)是：內(nèi)部網(wǎng)絡(luò)的拓?fù)?、IP地址等被代理防火墻屏蔽，能有效實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)的隔離。具有強(qiáng)鑒別和日志能力，支持用戶身份識(shí)別，實(shí)現(xiàn)用戶級(jí)的安全。能進(jìn)行數(shù)據(jù)內(nèi)容的檢查，實(shí)現(xiàn)基于內(nèi)容的過濾，對通信進(jìn)行嚴(yán)密的監(jiān)控。過濾規(guī)則比數(shù)據(jù)包過濾規(guī)則簡單。缺點(diǎn)是：代理服務(wù)的額外處理請求降低了過濾性能，其過濾速度比包過濾器速度慢。需要為每一種應(yīng)用服務(wù)編寫代理軟

11、件模塊，提供的服務(wù)數(shù)目有限。對操作系統(tǒng)的依賴程度高，容易因操作系統(tǒng)和應(yīng)用軟件的缺陷而受到攻擊。（2）電路級(jí)代理 電路級(jí)代理也被稱為電路級(jí)網(wǎng)關(guān)，是一個(gè)通用代理服務(wù)器，工作在傳輸層（TCP層）。 電路級(jí)代理也可以認(rèn)為是包過濾技術(shù)的延伸，但它不象包過濾技術(shù)那樣只是基于IP地址、端口號(hào)等報(bào)頭信息進(jìn)行過濾，還能進(jìn)行用戶身份鑒別。而且對于已經(jīng)建立連接的網(wǎng)絡(luò)數(shù)據(jù)包，電路級(jí)代理不再對其進(jìn)行過濾。 與應(yīng)用級(jí)代理相比較，電路級(jí)代理不用為不同的應(yīng)用開發(fā)不同的代理模塊，具有較好的通用性。但因也對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行了復(fù)制、轉(zhuǎn)發(fā)，因此同樣具有占用資源大、速度慢的缺點(diǎn)。而且包過濾技術(shù)的缺點(diǎn)在這里也同樣存在。4. 安全策略與規(guī)則

12、安全策略與規(guī)則 在上述防火墻技術(shù)的敘述中，不論是包過濾技術(shù)，還是狀態(tài)檢測技術(shù)或代理服務(wù)技術(shù)，都是以安全策略及其展開的過濾規(guī)則為基礎(chǔ)，實(shí)現(xiàn)防火墻的訪問控制目的。 訪問的暢通與控制是網(wǎng)絡(luò)邊界安全策略的一對矛盾，組建網(wǎng)絡(luò)的目的就是為了提供方便的訪問功能，提供多種服務(wù)，保證網(wǎng)絡(luò)傳輸?shù)男阅?；而控制則是要檢查、拒絕未授權(quán)的訪問或服務(wù)，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。防火墻的基本控制策略有兩類：（1）沒有被明確允許的，就是禁止的。）沒有被明確允許的，就是禁止的。 這是一種以控制為中心的控制策略。 （2）沒有被明確禁止的，就是允許的。）沒有被明確禁止的，就是允許的。 這是一種以暢通訪問為中心的控制策略。制定一個(gè)網(wǎng)絡(luò)安全策略，有如下一些基本步驟：1. 確定內(nèi)部網(wǎng)絡(luò)訪問控制的策略，是以控