第9章防火墻技術

第9章防火墻技術9.1防火墻概述9.2防火墻的設計策略和安全策略9.3防火墻的體系結構9.4防火墻的主要技術

9.1防火墻概述傳統(tǒng)防火墻的概念概念：防火墻本義是指人們房屋之間的一道墻，可以防止火災發(fā)生時大火蔓延到其他的房屋。9.1.1防火墻的基本概念防火墻是在兩個網(wǎng)絡之間執(zhí)行控制和安全策略的系統(tǒng)，它可以是軟件，也可以是硬件，或兩者并用。Internet兩個安全域之間通信流的唯一通道根據(jù)訪問控制規(guī)則決定進出網(wǎng)絡的行為內部網(wǎng)9.1.2防火墻的作用與不足總的來說，防火墻系統(tǒng)應具有以下5個方面的特性。（1）內部網(wǎng)和外部網(wǎng)之間的數(shù)據(jù)傳輸都必須經(jīng)過防火墻。（2）只有被授權的合法數(shù)據(jù)，即符合安全策略的數(shù)據(jù)，才可以通過防火墻，其他的數(shù)據(jù)將被防火墻丟棄。（3）防火墻本身不受各種攻擊的影響，否則，防火墻的保護功能將大大降低。（4）采用目前新的信息安全技術，如現(xiàn)代加密技術、一次口令系統(tǒng)、智能卡等增強防火墻的保護功能，為內部網(wǎng)提供更好的保護。（5）人機界面良好。采用防火墻保護內部網(wǎng)有以下優(yōu)點。（1）防火墻允許網(wǎng)絡管理員定義一個中心“扼制點”來防止非法用戶（如黑客和網(wǎng)絡破壞者等）進入內部網(wǎng)。（2）保護網(wǎng)絡中脆弱的服務。（3）在防火墻上可以很方便地監(jiān)視網(wǎng)絡的安全性，并產(chǎn)生報警。（4）可以集中安全性。（5）防火墻可以作為部署（網(wǎng)絡地址轉換NetworkAddressTranslator，NAT）的邏輯地址。（6）增強保密性和強化私有權。（7）防火墻是審計和記錄Internet使用量的一個最佳地方。（8）防火墻也可以成為向客戶發(fā)布信息的地點。防火墻有如下的缺陷和不足。（1）限制有用的網(wǎng)絡服務。

（2）無法防護內部網(wǎng)用戶的攻擊。

（3）防火墻無法防范通過防火墻以外的其他途徑的攻擊。

（4）防火墻也不能完全防止傳送已感染病毒的軟件或文件。

（5）防火墻無法防范數(shù)據(jù)驅動型的攻擊。（6）不能防備新的網(wǎng)絡安全問題。圖9.1防火墻后門防火墻的分類從實現(xiàn)技術角度分類包過濾防火墻狀態(tài)檢測防火墻應用網(wǎng)關防火墻代理防火墻從形態(tài)角度分類軟件防火墻運行在一臺或多臺計算機之上的特別軟件硬件防火墻專門設計的網(wǎng)絡設備，安裝了防火墻軟件，本質上還是軟件在進行控制從保護對象角度分類InternetInternet網(wǎng)絡防火墻保護整個網(wǎng)絡單機/個人防火墻保護單臺主機9.2防火墻的設計策略和安全策略9.2.1防火墻的設計策略防火墻一般執(zhí)行以下兩種基本設計策略中的一種。（1）除非明確不允許，否則允許某種服務。（2）除非明確允許，否則將禁止某種服務。9.2.2防火墻的安全策略研制和開發(fā)一個有效的防火墻，首先要設計和制定一個有效的安全策略。安全策略應包含以下主要內容：（1）用戶賬號策略； （2）用戶權限策略；（3）信任關系策略； （4）包過慮策略；（5）認證策略； （6）簽名策略；（7）數(shù)據(jù)加密策略； （8）密鑰分配策略；（9）審計策略。1．用戶賬號策略2．用戶權限策略3．信任關系策略圖9.2單向信任關系

圖9.3雙向信任關系

圖9.4多重信任關系4．包過慮策略這里主要從以下幾個方面來討論包過濾策略：包過濾控制點；包過濾操作過程；包過濾規(guī)則；防止兩類不安全設計的措施；對特定協(xié)議包的過濾。5．認證、簽名和數(shù)據(jù)加密策略6．密鑰分配策略7．審計策略審計是用來記錄如下事件：（1）哪個用戶訪問哪個對象；（2）用戶的訪問類型；（3）訪問過程是否成功。9.3防火墻的體系結構防火墻按體系結構可以分為包過濾防火墻、屏蔽主機防火墻、屏蔽子網(wǎng)防火墻、多宿主主機防火墻和通過混合組合而衍生的其他結構的防火墻。9.3.1包過濾型防火墻包過濾型防火墻的核心技術就是安全策略設計即包過濾算法的設計。圖9.5

包過濾型防火墻

包過濾型防火墻具有以下優(yōu)點。（1）處理包的速度比代理服務器快，過濾路由器為用戶提供了一種透明的服務，用戶不用改變客戶端程序或改變自己的行為。（2）實現(xiàn)包過濾幾乎不再需要費用（或極少的費用），因為這些特點都包含在標準的路由器軟件中。（3）包過濾路由器對用戶和應用來講是透明的。包過濾型防火墻存在以下的缺點。（1）防火墻的維護比較困難，定義數(shù)據(jù)包過濾器會比較復雜，因為網(wǎng)絡管理員需要對各種Internet服務、包頭格式以及每個域的意義有非常深入的理解，才能將過濾規(guī)則集盡量定義得完善。（2）只能阻止一種類型的IP欺騙，即外部主機偽裝內部主機的IP，對于外部主機偽裝其他可信任的外部主機的IP卻不可阻止。（3）任何直接經(jīng)過路由器的數(shù)據(jù)包都有被用做數(shù)據(jù)驅動攻擊的潛在危險。

（4）一些包過濾網(wǎng)關不支持有效的用戶認證。（5）不可能提供有用的日志，或根本就不提供，這使用戶發(fā)覺網(wǎng)絡受攻擊的難度加大，也就談不上根據(jù)日志來進行網(wǎng)絡的優(yōu)化、完善以及追查責任。（6）隨著過濾器數(shù)目的增加，路由器的吞吐量會下降。（7）IP包過濾器無法對網(wǎng)絡上流動的信息提供全面的控制。（8）允許外部網(wǎng)絡直接連接到內部網(wǎng)絡的主機上，易造成敏感數(shù)據(jù)的泄漏。包過濾路由器常見的攻擊有以下幾種。（1）源IP地址欺騙式攻擊。（2）源路由攻擊。（3）極小數(shù)據(jù)段式攻擊。9.3.2多宿主主機（多宿主網(wǎng)關）防火墻多宿主主機擁有多個網(wǎng)絡接口，每一個接口都連在物理上和邏輯上都分離的不同的網(wǎng)段上。每個不同的網(wǎng)絡接口分別連接不同的子網(wǎng)，不同子網(wǎng)之間的相互訪問實施不同的訪問控制策略。

圖9.6雙宿主機防火墻雙宿主主機防火墻采用主機取代路由器執(zhí)行安全控制功能，故類似于包過濾防火墻，雙宿主主機可以在內部網(wǎng)絡和外部網(wǎng)絡之間進行尋徑。雙宿主主機防火墻的最大特點是IP層的通信被阻止，兩個網(wǎng)絡之間的通信可通過應用層數(shù)據(jù)共享或應用層代理服務來完成，而不能直接通信。

圖9.7

應用層數(shù)據(jù)共享

圖9.8運行代理服務器的雙宿主機使用雙宿主主機作為防火墻，防火墻本身的安全性至關重要。圖9.9運行代理服務器的雙宿主機9.3.3屏蔽主機型防火墻屏蔽主機型防火墻由堡壘主機和包過濾路由器組成，所有的外部主機與一個堡壘主機相連接而不讓它們與內部主機直接相連。圖9.10

被屏蔽主機結構

圖9.11

堡壘主機轉發(fā)數(shù)據(jù)包

9.3.4屏蔽子網(wǎng)型防火墻圖9.12

被屏蔽子網(wǎng)防火墻系統(tǒng)（DMZ）

墻根據(jù)堡壘主機和包過濾器的各種組合，基于屏蔽子網(wǎng)的防火墻系統(tǒng)衍生出了一些派生結構體系。（1）合并“非軍事區(qū)”的外部路由器和堡壘主機的結構系統(tǒng)。圖9.13

使用合并外部路由器和堡壘主機體系結構

（2）合并DMZ的內部路由器和外部路由器結構如圖9.14所示。圖9.14

使用合并內部路由器和外部路由器的體系結構

（3）使用多臺堡壘主機的體系結構如圖9.15所示。

圖9.15

兩個堡壘主機和兩個“非軍事區(qū)”

圖9.16

犧牲主機結構

（4）使用多臺外部路由器的體系結構，如圖9.17所示。圖9.17

使用多臺外部路由器的體系結構9.3.5堡壘主機堡壘主機是一種被強化的可以防御進攻的計算機，是高度暴露于Internet中的，也是網(wǎng)絡中最容易受到侵害的主機。

構筑堡壘主機的基本原則有以下兩條。（1）使堡壘主機盡可能簡單（2）做好備份工作以防堡壘主機受損1．堡壘主機的主要結構當前堡壘主機主要采用以下3種結構。（1）無路由雙宿主主機（2）犧牲主機（3）內部堡壘主機2．堡壘主機的選擇（1）選擇主機時，應選擇一個可以支持多個網(wǎng)絡接口同時處于活躍狀態(tài)，從而能夠向內部網(wǎng)用戶提供多個網(wǎng)絡服務的機器。（2）建議用戶選擇較為熟悉的UNIX操作系統(tǒng)作為堡壘主機的操作系統(tǒng)。（3）選擇堡壘主機時，不需要功能過高、速度過快的機器，而是爭取做到物盡其用。但是應使堡壘主機的內存和硬盤足夠大，以保證足夠的信息交換空間。（4）在網(wǎng)絡上，堡壘主機應位于DMZ內沒有機密信息流或信息流不太敏感的部分。（5）在配置堡壘主機的網(wǎng)絡服務時，應注意除了不得不提供的基本網(wǎng)絡服務（如SMTP，F(xiàn)TP，WAIS，HTTP，NNTP和Gopher）外，應把那些內部網(wǎng)不使用的服務統(tǒng)統(tǒng)關閉。而且應盡量減少堡壘主機上的用戶賬戶數(shù)，如果有可能，應禁止一切用戶賬戶。9.4防火墻的主要技術9.4.1數(shù)據(jù)包過濾技術數(shù)據(jù)包過濾技術是在網(wǎng)絡中的適當位置對數(shù)據(jù)包實施有選擇的通過的技術。1．包過濾的模型

圖9.18

包過濾模型

包過濾一般要檢查下面幾項：（1）IP源地址；（2）IP目的地址；（3）協(xié)議類型（TCP包、UDP包和ICMP包）；（4）TCP或UDP的源端口；（5）TCP或UDP的目的端口；（6）ICMP消息類型；（7）TCP報頭中的ACK位。另外，TCP的序列號、確認號，IP校驗以及分段偏移也往往是要檢查的選項。2．數(shù)據(jù)包過濾特性（1）IP包過濾特性IP源路由選項包、分段包（2）TCP包過濾特性連接請求的ACK位的判斷（3）UDP包的過濾特性Sip,Sport,Dip,Dport（4）ICMP包的過濾特性圖9.19TCP的連接過程01圖9.21UDP動態(tài)數(shù)據(jù)包過濾

在決定包過濾防火墻是否返回ICMP錯誤代碼時，應考慮以下幾點。①防火墻應該發(fā)送什么消息。②是否負擔得起生成和返回錯誤代碼的高額費用。③返回錯誤代碼能使得侵襲者得到很多有關你發(fā)送的數(shù)據(jù)包過濾信息。④什么錯誤代碼對你的網(wǎng)站有意義。（5）RPC服務中的包過濾的特點圖9.22RPC的端口映射

（6）源端口過濾的作用

規(guī)則方向源地址目的地址協(xié)議源端口目的端口動作A入任意5TCP/25允許B出5任意TCP/>1023允許C出5任意TCP/25允許D入任意5TCP/>1023允許表9.1 過濾規(guī)則示例圖9.23

進攻X窗口服務

Any:30005:6001規(guī)則方向源地址目的地址協(xié)議源端口目的端口動作A入任意5TCP/25允許B出5任意TCP/>1023允許C出5任意TCP/25允許D入任意5TCP/>1023允許源地址源端口協(xié)議目的地址目的端口any3000TCP530005:6001Any:3000規(guī)則方向源地址目的地址協(xié)議源端口目的端口動作A入任意5TCP/25允許B出5任意TCP/>1023允許C出5任意TCP/25允許D入任意5TCP/>1023允許源地址源端口協(xié)議目的地址目的端口56001TCPany3000Any:30005:6001規(guī)則方向源地址目的地址協(xié)議源端口目的端口動作A入任意5TCP>102325允許B出5任意TCP25>1023允許C出5任意TCP>102325允許D入任意5TCP25>1023允許（7）ACK位在數(shù)據(jù)包過濾中的作用表9.2 過濾規(guī)則示例規(guī)則方向源地址目的地址協(xié)議源端口目的端口ACK設置動作A出5任意TCP>102323任意允許B入任意5TCP23>1023是允許圖9.24

用ACK位阻止欺騙

（8）包過濾技術的優(yōu)點①幫助保護整個網(wǎng)絡，減少暴露的風險；②對用戶完全透明，不需要對客戶端做任何改動，也不需要對用戶做任何培訓；③很多路由器可以作數(shù)據(jù)包過濾，因此不需要專門添加設備。包過濾最明顯的缺陷是即使是最基本的網(wǎng)絡服務和協(xié)議，它也不能提供足夠的安全保護，包過濾是不夠安全的。①包過濾規(guī)則難于配置。一旦配置，數(shù)據(jù)包過濾規(guī)則也難于檢驗。②包過濾僅可以訪問包頭信息中的有限信息。③包過濾是無狀態(tài)的，因為包過濾不能保持與傳輸相關的狀態(tài)信息或與應用相關的狀態(tài)信息。④包過濾對信息的處理能力非常有限。⑤一些協(xié)議不適合用數(shù)據(jù)包過濾，如基于RPC的應用的“r”命令等。實例安全策略任何時間，內網(wǎng)→郵件服務器：允許任何時間，內網(wǎng)→web服務器：允許上班時間，內網(wǎng)→FTP服務器：允許上班時間，內網(wǎng)→Internet：允許任何時間，Internet→內網(wǎng)：禁止任何時間，Internet→web服務器：允許任何時間，Internet→郵件服務器：允許任何時間，Internet→數(shù)據(jù)庫服務器：禁止任何時間，Interent→FTP服務器：允許其它：禁止邏輯表達式Sip=/24anddip=and(dport=25ordport=110),action=permitSip=anyanddip=/24,action=rejectSip=anyanddip=anddport=80,action=permitSip=anyanddip=anddport=1358,action=reject……Default=reject包過濾規(guī)則源地址源端口協(xié)議目的地址目的端口時間動作/24ANYTCP25,110ANYPermitANYANYANY/24ANYANYRejectANYANYTCP1358ANYRejectANYANYTCP80ANYPermit/24ANYANYANYANYWORKPermitANYANYANYANYANYReject有新需求安全策略上班時間，內網(wǎng)→數(shù)據(jù)庫服務器：允許邏輯表達式Sip=/24anddip=anddport=1358,action=permit新的規(guī)則源地址源端口協(xié)議目的地址目的端口時間動作/24ANYTCP25,110ANYPermitANYANYANY/24ANYANYRejectANYANYTCP1358ANYRejectANYANYTCP80ANYPermit/24ANYANYANYANYWORKPermitANYANYANYANYANYReject源地址源端口協(xié)議目的地址目的端口時間動作/24ANYTCP1358WORKPermit源地址源端口協(xié)議目的地址目的端口時間動作/24ANYTCP1358WORKPermit包過濾代碼/*包合法性檢查*/staticintpacket_validity(structiphdr*iph){ if(ntohs(iph->tot_len)<(4*iph->ihl))returnPF_DROP; if(iph->ihl<5)returnPF_DROP; /*blockinvalidTCP,UDP,ICMPpacket*/ if(iph->protocol==IPPROTO_TCP) if(ntohs(iph->tot_len)<(iph->ihl*4+sizeof(structtcphdr)))returnPF_DROP; if(iph->protocol==IPPROTO_UDP) if(ntohs(iph->tot_len)<(iph->ihl*4+sizeof(structudphdr)))returnPF_DROP; if(iph->protocol==IPPROTO_ICMP) if(ntohs(iph->tot_len)<(iph->ihl*4+sizeof(structicmphdr)))returnPF_DROP; returnPF_ACCEPT;}/*重組分片包*/ if(iph->frag_off&htons(IP_MF|IP_OFFSET)){ skb=ip_defrag(skb);/*檢查報文與規(guī)則是否匹配*/staticintpf_match_rule(structsk_buff*skb,structpf_rule*rule){ for(rule=pf_rule_head;rule;rule=rule->next){ if(!pf_match_proto(iph->protocol,rule)) continue; if(!pf_match_ip(iph->saddr,iph->daddr,rule)) continue; if(!pf_match_port(ntohs(sport),ntohs(dport),rule)) continue; returnrule->action; } if!rulereturnPF_REJECT；}staticintpf_match_ip(intsrc,intdst,structpf_rule*rule){ if(((src&rule->smask)==(rule->saddr&rule->smask)) &&((dst&rule->dmask)==(rule->daddr&rule->dmask))) return1; return0;}staticintpf_match_port(intsrc,intdst,structpf_rule*rule){ if(rule->src_port_start||rule->src_port_end) if((src<rule->src_port_start)||(src>rule->src_port_end)) return0; if(rule->dst_port_start||rule->dst_port_end) if((dst<rule->dst_port_start)||(dst>rule->dst_port_end)) return0; return1;}staticintpf_match_proto(intproto,structpf_rule*rule){ if(rule->proto==0) return1; return(proto==rule->proto)?1:0;}包過濾模塊在內核中的位置

Netfilter框架Packetfilter回顧剛才的實例規(guī)則可以解決所有的安全需求嗎？內網(wǎng)訪問Internet時，Internet給內網(wǎng)的應答報文？內網(wǎng)訪問DMZ的FTP服務器時，數(shù)據(jù)連接如何放行？……9.4.2代理技術代理技術也稱為應用層網(wǎng)關技術，代理技術與包過濾技術完全不同，包過濾技術是在網(wǎng)絡層攔截所有的信息流，代理技術是針對每一個特定應用都有的一個程序。1．應用級代理應用級代理有兩種情況，一種是內部網(wǎng)通過代理訪問外部網(wǎng)。另一種情況是，外部網(wǎng)通過代理訪問內部網(wǎng)。代理使得網(wǎng)絡管理員能夠實現(xiàn)比包過濾路由器更嚴格的安全策略，它會對應用程序的數(shù)據(jù)進行校驗以確保數(shù)據(jù)格式可以接受。

圖9.25Telnet代理服務圖9.26Internet客戶通過代理服務器訪問內部網(wǎng)主機提供代理應用層網(wǎng)關主要有以下優(yōu)點。（1）應用層網(wǎng)關有能力支持可靠的用戶認證并提供詳細的注冊信息。（2）應用層的過濾規(guī)則相對于包過濾路由器來說更容易配置和測試。（3）代理工作在客戶機和真實服務器之間，完全控制會話，所以可以提供很詳細的日志和安全審計功能。（4）提供代理服務的防火墻可以被配置成惟一的可被外部看見的主機，這樣可以隱藏內部網(wǎng)的IP地址，可以保護內部主機免受外部網(wǎng)的進攻。（5）通過代理訪問Internet，可以解決合法的IP地址不夠用的問題。然而，應用層代理也有明顯的缺點，主要包括以下幾點。（1）有限的連接性。（2）有限的技術。應用層網(wǎng)關不能為RPC、Talk和其他一些基于通用協(xié)議簇的服務提供代理。（3）性能。應用層實現(xiàn)的防火墻會造成明顯的性能下降。（4）每個應用程序都必須有一個代理服務程序來進行安全控制，每一種應用程序升級時，一般代理服務程序也要升級。（5）應用層網(wǎng)關要求用戶改變自己的行為，或者在訪問代理服務的每個系統(tǒng)上安裝特殊的軟件。（6）對用戶不透明。在一個要求用戶接口和用戶體系結構友好易操作的今天，這種“不友好”性顯得不合時宜。（6）對用戶不透明。在一個要求用戶接口和用戶體系結構友好易操作的今天，這種“不友好”性顯得不合時宜。圖9.27智能代理服務器2．電路級網(wǎng)關代理技術應用層代理為一種特定的服務（如FTP和Telnet等）提供代理服務。

這種代理的優(yōu)點是它可以對各種不同的協(xié)議提供服務，但這種代理需要改進客戶程序。

Socks是一種非常強大的電路級網(wǎng)關防火墻，它只中繼基于TCP的數(shù)據(jù)包圖9.28

電路級網(wǎng)關

圖9.29Socks服務器

9.4.3狀態(tài)檢查技術狀態(tài)檢查技術能在網(wǎng)絡層實現(xiàn)所有需要的防火墻能力，它既有包過濾機制的速度和靈活，也有應用級網(wǎng)關安全的優(yōu)點，它是包過濾器和應用級網(wǎng)關功能的折衷。圖9.30狀態(tài)包檢查的邏輯流程

防火墻的能力包過濾器代理狀態(tài)檢查傳輸?shù)男畔⒉糠植糠帜軅鬏敔顟B(tài)不能部分能應用的狀態(tài)不能能能信息處理部分能能表9.3 防火墻技術比較表狀態(tài)檢查防火墻有如下的優(yōu)點。1．高安全性2．高效性3．伸縮性和易擴展性4．針對性5．應用范圍廣9.4.4地址翻譯技術地址翻譯（NetworkAddressTranslation，NAT）就是將一個IP地址用另一個IP地址代替。地址翻譯主要用在以下兩個方面。（1）網(wǎng)絡管理員希望隱藏內部網(wǎng)絡的IP地址。

（2）內部網(wǎng)絡的IP地址是無效的IP地址。

應用層網(wǎng)關有如下的缺陷。（1）要為每一種應用定制代理

（2）代理是不透明的

（3）應用層網(wǎng)關不能為基于TCP以外的應用提供很好的提供代理。地址翻譯可以提供一種透明而完善的解決方案。網(wǎng)絡管理員可以決定那些內部的IP地址需要隱藏，哪些地址需要映射成為一個對Internet可見的IP地址。圖9.31

地址翻譯

圖9.32

將內部地址翻譯成網(wǎng)關地址

地址翻譯可以有多種模式，主要有如下幾種。（1）靜態(tài)翻譯（2）動態(tài)翻譯（3）端口轉換（4）負載平衡翻譯（5）網(wǎng)絡冗余翻譯9.4.5內容檢查技術 內容檢查技術提供對高層服務協(xié)議數(shù)據(jù)的監(jiān)控能力，確保用戶的安全。包括計算機病毒、惡意的JavaApplet和ActiveX的攻擊、惡意電子郵件及不健康網(wǎng)頁內容的過濾防護。9.4.7其他防火墻技術除了上面介紹的防火墻技術外，一些新的技術正在防火墻產(chǎn)品中采用，主要有以下幾種。 1．加密技術 2．安全審計 3．安全內核 4．身份認證 5．負載平衡（LoadBalance）綜合比較綜合安全性網(wǎng)絡層保護應用層保護應用層透明整體性能處理對象包過濾技術狀態(tài)檢測技術應用網(wǎng)關/代理單個包頭