第4章-防火墻技術(shù)和網(wǎng)閘技術(shù)

1、第第4章章 防火墻技術(shù)和網(wǎng)閘技術(shù)防火墻技術(shù)和網(wǎng)閘技術(shù) n 本章導(dǎo)讀本章導(dǎo)讀n1.防火墻概述 n2.防火墻的分類 n3.防火墻的組成 n4.防火墻的主要技術(shù) n5.防火墻體系結(jié)構(gòu) n6.常用防火墻 n7.網(wǎng)閘技術(shù) 4.1防火墻概述n4.1.1防火墻的基本概念n防火墻是一類防范措施的總稱。所謂“防火墻”，是指一種將內(nèi)聯(lián)網(wǎng)和公眾訪問網(wǎng)(外聯(lián)網(wǎng)Internet)分開的方法，它使得內(nèi)聯(lián)網(wǎng)與外聯(lián)網(wǎng)互相隔離，限制網(wǎng)絡(luò)互訪來保護(hù)內(nèi)部網(wǎng)絡(luò)。它是一個(gè)或一組由軟件和硬件構(gòu)成的系統(tǒng)，在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)

2、絡(luò)中的黑客訪問網(wǎng)絡(luò)，防止重要信息被更改、拷貝、毀壞。 4.1防火墻概述不可信的網(wǎng)絡(luò)及服務(wù)器可信任的網(wǎng)絡(luò)防火墻路由器InternetIntranet供外部訪問的服務(wù)及資源可信任的用戶不可信的用戶 DMZ 4.1防火墻概述n4.1.2防火墻的作用（1）作為網(wǎng)絡(luò)安全的屏障（2）可以強(qiáng)化網(wǎng)絡(luò)安全策略（3）可以對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)（4）可以防止內(nèi)部信息的外泄4.1防火墻概述n4.1.3防火墻的優(yōu)點(diǎn)（1）防火墻能強(qiáng)化安全策略（2）防火墻能有效地記錄Internet上的活動(dòng) （3）防火墻限制暴露用戶點(diǎn) （4） 防火墻是一個(gè)安全策略的檢查站4.1防火墻概述n4.1.4防火墻的缺點(diǎn) （1） 不能防范惡意

3、的知情者 （2） 不能防范不通過它的連接 （3） 不能防備全部的威脅 （4） 防火墻不能防范病毒 4.2 防火墻的分類n根據(jù)防火墻所采用的技術(shù)不同，我們可以將它分為三種基本類型：包過濾型、應(yīng)用代理型和混合型。 4.2 防火墻的分類n 4.2.1 包過濾防火墻 包過濾型防火墻工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，它根據(jù)數(shù)據(jù)包頭源地址，目的地址、端口號(hào)和協(xié)議類型等標(biāo)志確定是否允許通過。只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄 。4.2 防火墻的分類1、第一代靜態(tài)包過濾類型防火墻n這類防火墻幾乎是與路由器同時(shí)產(chǎn)生的，它是根據(jù)定義好的過濾規(guī)則審查每個(gè)數(shù)據(jù)包，以便

4、確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數(shù)據(jù)包的報(bào)頭信息進(jìn)行制訂。報(bào)頭信息中包括IP源地址、IP目標(biāo)地址、傳輸協(xié)議(TCP、UDP、ICMP等等)、TCP/UDP目標(biāo)端口、ICMP消息類型等。 如圖4-3。4.2 防火墻的分類圖4-3 第一代靜態(tài)包過濾類型防火墻圖 4.2 防火墻的分類n2、第二代動(dòng)態(tài)包過濾類型防火墻n這類防火墻采用動(dòng)態(tài)設(shè)置包過濾規(guī)則的方法，避免了靜態(tài)包過濾所具有的問題。這種技術(shù)后來發(fā)展成為包狀態(tài)監(jiān)測(Stateful Inspection)技術(shù)。采用這種技術(shù)的防火墻對(duì)通過其建立的每一個(gè)連接都進(jìn)行跟蹤，并且根據(jù)需要可動(dòng)態(tài)地在過濾規(guī)則中增加或更新條目。 如圖4-44.2 防

5、火墻的分類圖4-4第二代動(dòng)態(tài)包過濾類型防火墻 4.2 防火墻的分類n4.2.2應(yīng)用代理防火墻 n應(yīng)用代理型防火墻是工作在OSI的最高層，即應(yīng)用層。其特點(diǎn)是完全阻隔了網(wǎng)絡(luò)通信流，通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。 4.2 防火墻的分類n1、第一代應(yīng)用網(wǎng)關(guān)(Application Gateway)型防火墻 這類防火墻是通過一種代理(Proxy)技術(shù)參與到一個(gè) TCP連接的全過程。 4.2 防火墻的分類n第二代自適應(yīng)代理(Adaptive proxy)型防火墻 它是近幾年才得到廣泛應(yīng)用的一種新防火墻類型。它可以結(jié)合代理類型防火墻的安全性和包過濾防火墻的高速度等優(yōu)

6、點(diǎn)，在毫不損失安全性的基礎(chǔ)之上將代理型防火墻的性能提高10倍以上。 4.2 防火墻的分類n4.2.3混合型防火墻n混合型防火墻系統(tǒng)是指在網(wǎng)絡(luò)體系上跨越了多個(gè)層次，強(qiáng)調(diào)大而全的功能，既涵蓋了IP過濾，SOCKS代理,應(yīng)用層代理(PROXY)等多個(gè)層次的技術(shù)，又滿足各種IP加密隧道，應(yīng)用型交互語言(Javascript ActiveXscript)代碼過濾，日志記錄等多種內(nèi)外部擴(kuò)展功能要求。 4.2 防火墻的分類n4.2.4防火墻的其他分類n1、軟件防火墻 n2、硬件防火墻 n3、芯片級(jí)防火墻 4.3防火墻的組成n4.3.1網(wǎng)絡(luò)策略 n 影響Firewall系統(tǒng)設(shè)計(jì)、安裝和使用的網(wǎng)絡(luò)策略可分為兩級(jí)

7、，高級(jí)的網(wǎng)絡(luò)策略定義允許和禁止的服務(wù)以及如何使用服務(wù)， 低級(jí)的網(wǎng)絡(luò)策略描述Firewall如何限制和過濾在高級(jí)策略中定義的服務(wù)。n1、服務(wù)訪問策略n2、防火墻設(shè)計(jì)策略4.3防火墻的組成n4.3.2驗(yàn)證工具n身份驗(yàn)證是防火墻策略的一個(gè)不可或缺的部分。雖然規(guī)則可以應(yīng)用于 IP 地址，但是通常僅允許訪問已使用專門配置的身份驗(yàn)證機(jī)制對(duì)自身進(jìn)行了身份驗(yàn)證的特定用戶。 4.3防火墻的組成n 4.3.3包過濾 n包過濾在網(wǎng)絡(luò)層和傳輸層起作用。它根據(jù)分組包的源、宿地址，端口號(hào)及協(xié)議類型、標(biāo)志確定是否允許分組包通過。所根據(jù)的信息來源于IP、TCP或UDP包頭。 4.3防火墻的組成n 4.3.4應(yīng)用網(wǎng)關(guān) n應(yīng)用網(wǎng)

8、關(guān)是將一個(gè)網(wǎng)與另一個(gè)網(wǎng)進(jìn)行相互連通，提供特定應(yīng)用的網(wǎng)際間設(shè)備。 網(wǎng)關(guān)必須能實(shí)現(xiàn)相應(yīng)的應(yīng)用協(xié)議。 應(yīng)用層網(wǎng)關(guān)：網(wǎng)關(guān)在應(yīng)用層上工作，或稱代理服務(wù)器(Proxyserver)。 線路層網(wǎng)關(guān)：網(wǎng)關(guān)在傳輸層上工作。 所以作為應(yīng)用網(wǎng)關(guān)，可以是硬件設(shè)備也可以是軟件4.4防火墻的主要技術(shù) n 4.4.1靜態(tài)包過濾 n靜態(tài)包過濾是根據(jù)定義好的過濾規(guī)則審查每個(gè)數(shù)據(jù)包，以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數(shù)據(jù)包的報(bào)頭信息進(jìn)行制訂。 4.4防火墻的主要技術(shù)n4.4.2應(yīng)用網(wǎng)關(guān)技術(shù)n應(yīng)用網(wǎng)關(guān)(Application Gateway)技術(shù)建立在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過濾， 它針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾

9、協(xié)議，并且能夠?qū)?shù)據(jù)包分 析，登記和統(tǒng)計(jì)并形成相關(guān)的報(bào)告。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常安裝專用工作站系統(tǒng)上。4.4防火墻的主要技術(shù)n4.4.3代理服務(wù)技術(shù)n代理服務(wù)器（Proxy Server）作用在應(yīng)用層上它用來提供應(yīng)用層服務(wù) 的控制，利用代理服務(wù)器起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用。 內(nèi)部網(wǎng)絡(luò)只接受代理提出的服務(wù)請(qǐng)求，拒絕外部網(wǎng)絡(luò)其它接點(diǎn)的直接請(qǐng)求， 從而達(dá)到隔離放火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。4.4防火墻的主要技術(shù)n4.4.4狀態(tài)檢測技術(shù) n 狀態(tài)檢測技術(shù)是防火墻近幾年才應(yīng)用的新技術(shù)。傳統(tǒng)的包過濾防火墻只是通過檢測IP包頭的相關(guān)信息來決定數(shù)據(jù)流的通過還是拒絕，而狀態(tài)檢測技術(shù)采用的是一種基于

10、連接的狀態(tài)檢測機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對(duì)表中的各個(gè)連接狀態(tài)因素加以識(shí)別。 4.5防火墻體系結(jié)構(gòu) n4.5.1屏蔽主機(jī)模式 n屏蔽主機(jī)模式易于實(shí)現(xiàn)也最為安全。一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)立過濾規(guī)則，并使這個(gè)堡壘主機(jī)成為從外部網(wǎng)絡(luò)惟一可直接到達(dá)的主機(jī)，這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。如果受保護(hù)網(wǎng)是一個(gè)虛擬擴(kuò)展的本地網(wǎng)，即沒有子網(wǎng)和路由器，那么內(nèi)部網(wǎng)的變化不影響堡壘主機(jī)和屏蔽路由器的配置。危險(xiǎn)帶限制在堡壘主機(jī)和屏蔽路由器。網(wǎng)關(guān)的基本控制策略由安裝在上面的軟件決定。如果攻擊者設(shè)法登錄到它上面，內(nèi)

11、網(wǎng)中的其余主機(jī)就會(huì)受到很大威脅。這與雙穴主機(jī)網(wǎng)關(guān)受攻擊時(shí)的情形差不多。 4.5防火墻體系結(jié)構(gòu)n 4.5.2屏蔽子網(wǎng)模式 n屏蔽子網(wǎng)模式就是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)，用兩臺(tái)分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。在很多實(shí)現(xiàn)中，兩個(gè)分組過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè)dns，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問被屏蔽子網(wǎng)，但禁止它們穿過被屏蔽子網(wǎng)通信。 4.5防火墻體系結(jié)構(gòu)n 4.5.3雙宿/多主機(jī)模式 n雙宿/多主機(jī)模式是用一臺(tái)裝有兩塊網(wǎng)卡的堡壘主機(jī)的做防火墻。兩塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連。堡壘主機(jī)上運(yùn)行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。與屏蔽路

12、由器相比，雙宿主機(jī)網(wǎng)關(guān)堡壘主機(jī)的系統(tǒng)軟件可用于維護(hù)護(hù)系統(tǒng)日志、硬件拷貝日志或遠(yuǎn)程日志。但弱點(diǎn)也比較突出，一旦黑客侵入堡壘主機(jī)并使其只具有路由功能，任何網(wǎng)上用戶均可以隨便訪問內(nèi)部網(wǎng)。 4.6常用防火墻 n4.6.1天網(wǎng)防火墻的設(shè)置n天網(wǎng)防火墻（SkyNet-FireWall）個(gè)人版由天網(wǎng)安全實(shí)驗(yàn)室制作。它根據(jù)系統(tǒng)管理者設(shè)定的安全規(guī)則（Security?Rules）把守網(wǎng)絡(luò)，提供強(qiáng)大的訪問控制、應(yīng)用選通、信息過濾等功能。它可以幫你抵擋網(wǎng)絡(luò)入侵和攻擊，防止信息泄露，并可與天網(wǎng)安全實(shí)驗(yàn)室的網(wǎng)站（WWW.SKY.NET.CN）相配合，根據(jù)可疑的攻擊信息，來找到攻擊者。 4.6常用防火墻n天網(wǎng)防火墻主界面

13、4.6常用防火墻n 4.6.2常用防火墻軟件介紹n一、傲盾防火墻n二、Agnitum Outpost Firewalln三、Sygate Personal Firewall Pron四、ZoneAlarmn五、Kaspersky Anti-Hacker4.7網(wǎng)閘技術(shù) n4.7.1網(wǎng)閘概述n網(wǎng)閘技術(shù)在物理隔離技術(shù)基礎(chǔ)上，實(shí)現(xiàn)了網(wǎng)絡(luò)間物理層和網(wǎng)絡(luò)協(xié)議斷開的同時(shí)進(jìn)行數(shù)據(jù)交換。是新一代高安全度的企業(yè)級(jí)信息安全防護(hù)設(shè)備，它依托安全隔離技術(shù)為信息網(wǎng)絡(luò)提供了更高層次的安全防護(hù)能力，不僅使得信息網(wǎng)絡(luò)的抗攻擊能力大大增強(qiáng)，而且有效地防范了信息外泄事件的發(fā)生。4.7網(wǎng)閘技術(shù)n4.7.2網(wǎng)閘技術(shù)發(fā)展史n2000年1

14、月北京天行網(wǎng)安信息技術(shù)有限責(zé)任公司與公安部信息通信局聯(lián)合研制完成國內(nèi)第一款gap產(chǎn)品天行安全隔離與信息交換系統(tǒng)，與此同時(shí)獲得了國內(nèi)網(wǎng)閘行業(yè)第一個(gè)銷售許可證，標(biāo)志著完全由我國自主研發(fā)的國內(nèi)第一臺(tái)網(wǎng)閘誕生。 2001-2002年，國內(nèi)由天行網(wǎng)安公司生產(chǎn)的第一批網(wǎng)閘產(chǎn)品“天行安全隔離網(wǎng)閘”開始被小規(guī)模應(yīng)用到公安、稅務(wù)、政府機(jī)關(guān)，如北京市電子政務(wù)第一期建設(shè)。 n2003年，隨著網(wǎng)閘市場的逐步發(fā)展及需求的增大，國內(nèi)眾多安全廠商如中網(wǎng)、偉思等開始紛紛加入網(wǎng)閘生產(chǎn)商行列，共同推進(jìn)了網(wǎng)閘市場的發(fā)展，網(wǎng)閘開始進(jìn)入市場的平穩(wěn)發(fā)展期。n2005年，千兆網(wǎng)閘產(chǎn)品出現(xiàn)，功能更趨完善、更強(qiáng)大，各項(xiàng)性能上均有所突破，國內(nèi)各行業(yè)開始大范圍使用。4.7網(wǎng)閘技術(shù)4.7.3網(wǎng)閘與網(wǎng)閘技術(shù) 網(wǎng)閘是在兩個(gè)不同安全域之間，通過協(xié)議轉(zhuǎn)換的手段，以信息擺渡的方式實(shí)現(xiàn)數(shù)據(jù)交換，且只有被系統(tǒng)明確要求傳輸?shù)男畔⒉趴梢酝ㄟ^。其信息流一般為通用應(yīng)用服務(wù)。 網(wǎng)閘的基本原理：切斷網(wǎng)絡(luò)之間的通用協(xié)議連接；將數(shù)據(jù)包進(jìn)行分解或重組為靜態(tài)數(shù)據(jù)；對(duì)靜態(tài)數(shù)據(jù)進(jìn)行安全審查，包括網(wǎng)絡(luò)協(xié)議檢查和代碼掃描等；確認(rèn)后的安全數(shù)據(jù)流入內(nèi)部