第6章防火墻技術

第6章防火墻技術防火墻技術ACL訪問控制列表防火墻技術防火墻定義防火墻的作用防火墻的分類方法防火墻的體系和典型安裝方式防火墻的主要技術種類防火墻的體系結(jié)構ACL訪問控制列表防火墻的本義原是指古代人們房屋之間修建的墻，這道墻可以防止火災發(fā)生的時候蔓延到別的房屋。防火墻Internet一種高級訪問控制設備，置于不同網(wǎng)絡安全域之間的一系列部件的組合，它是不同網(wǎng)絡安全域間通信流的唯一通道，能根據(jù)有關的安全政策控制（允許、拒絕、監(jiān)視、記錄）進出網(wǎng)絡的訪問行為。兩個安全域之間通信流的唯一通道UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根據(jù)訪問控制規(guī)則決定進出網(wǎng)絡的行為內(nèi)部網(wǎng)防火墻定義

所有從內(nèi)到外和從外到內(nèi)的數(shù)據(jù)都必須通過防火墻只有符合安全策略的數(shù)據(jù)流才能通過防火墻防火墻自身應具有非常強的抗攻擊免疫力Intranet通過部署防火墻，可以實現(xiàn)比VLAN、路由器更為強大、有效的訪問控制功能；大大提高抗攻擊的能力禁止訪問禁止訪問防火墻的作用網(wǎng)絡的安全屏障在邏輯上，防火墻是一個分離器、一個限制器、也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和internet之間的任何活動，保證了內(nèi)部網(wǎng)絡的安全HostCHostD訪問控制功能AccesslisttoAccessnattoanypassAccesstoblockAccessdefaultpass1010010101規(guī)則匹配成功基于源IP地址基于目的IP地址基于源端口基于目的端口基于時間基于用戶基于流量基于文件基于網(wǎng)址基于MAC地址InternetRADIUS服務器S/KEY認證服務器RADIUS服務器TACAS+服務器chenaifeng12354876防火墻將認證信息傳給真正的RADIUS服務器將認證結(jié)果傳給防火墻根據(jù)認證結(jié)果決定用戶對資源的訪問權限身份認證功能審計功能----日志分析通信日志：即傳統(tǒng)日志通信源地址、目的地址、源目端口、通信時間、通信協(xié)議、字節(jié)數(shù)、是否允許通過應用層命令日志：在通信日志的基礎之上，記錄下各個應用層命令及其參數(shù)。例如HTTP請求及其要取的網(wǎng)頁名。訪問日志：即在通信日志的基礎之上，記錄下用戶對網(wǎng)絡資源的訪問。它和應用層命令日志的區(qū)別是：應用層命令日志可以記錄下大量的數(shù)據(jù)，有些用戶可能不需要，如協(xié)商通信參數(shù)過程等。例如針對FTP協(xié)議，訪問日志只記錄下讀、寫文件的動作

內(nèi)容日志：即在應用層命令日志的基礎之上，還記錄下用戶傳輸?shù)膬?nèi)容。如用戶發(fā)送的郵件，用戶取下的網(wǎng)頁等。但因為這個功能涉及到隱私問題，所以在普通的防火墻中沒有包含

Firewall5G對所有的應用層協(xié)議都可以進行通信日志，而命令日志、訪問日志、內(nèi)容日志目前支持HTTP、FTP、SMTP、POP3、TELNET、RSH、RLOGIN等協(xié)議

日志分析工具自動產(chǎn)生各種報表，智能化的指出網(wǎng)絡可能的安全漏洞簡單地說，就是要為管理人員提供下列問題的答案：–

誰在使用網(wǎng)絡？–

他們在網(wǎng)絡上做什么？–

他們什么時間使用了網(wǎng)絡？–

他們上網(wǎng)去了何處？–

誰試圖上網(wǎng)但沒有成功？支持集中審計安全審計中心1010101Intranet靈活的帶寬管理功能WWWMailDNS出口帶寬512KDMZ區(qū)保留256K分配70K帶寬分配90K帶寬分配96K帶寬DMZ區(qū)域內(nèi)部網(wǎng)絡總帶寬512K內(nèi)網(wǎng)256KDMZ256K70K90K96K+++財務子網(wǎng)采購子網(wǎng)生產(chǎn)子網(wǎng)財務子網(wǎng)采購子網(wǎng)生產(chǎn)子網(wǎng)InternetInternetHostA

HostBHostCHostD00-50-04-BB-71-A600-50-04-BB-71-BCBINDTo00-50-04-BB-71-A6BINDTo00-50-04-BB-71-BCIP與MAC地址綁定后，不允許HostB假冒HostA的IP地址上網(wǎng)防火墻允許HostA上網(wǎng)跨路由器IP與MAC（用戶）綁定功能Internet4HostA受保護網(wǎng)絡HostCHostD15防火墻Eth2：3Eth0：數(shù)據(jù)IP報頭數(shù)據(jù)IP報頭源地址：1目地址：4源地址：目地址：4隱藏了內(nèi)部網(wǎng)絡的結(jié)構內(nèi)部網(wǎng)絡可以使用私有IP地址公開地址不足的網(wǎng)絡可以使用這種方式提供IP復用功能NAT(地址轉(zhuǎn)換)功能13防火墻的分類方法14單機防火墻VS網(wǎng)絡防火墻15軟件防火墻VS硬件防火墻防火墻安裝方式之一安裝方式之二備份防火墻19防火墻的主要技術種類包過濾技術狀態(tài)包檢測技術代理服務技術應用層表示層會話層傳輸層網(wǎng)絡層數(shù)據(jù)鏈路層物理層包過濾技術包過濾技術是防火墻最常用的技術。對一個充滿危險的網(wǎng)絡，這種方法可以阻塞某些主機或網(wǎng)絡連入內(nèi)部網(wǎng)絡，也可以限制內(nèi)部人員對一些危險站點的訪問包過濾技術指在網(wǎng)絡中適當?shù)奈恢脤?shù)據(jù)包有選擇的通過，選擇的依據(jù)是系統(tǒng)內(nèi)設置的過濾規(guī)則，只有滿足過濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應的網(wǎng)絡接口，其余數(shù)據(jù)包則被從數(shù)據(jù)流中刪除。包過濾規(guī)則一般是基于部分或全部報文內(nèi)容.一般由屏蔽路由器來完成。屏蔽路由器也叫過濾路由器，是一種可以根據(jù)過濾規(guī)則對數(shù)據(jù)包進行阻塞和轉(zhuǎn)發(fā)的路由器。21數(shù)據(jù)包數(shù)據(jù)包查找對應的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包企業(yè)內(nèi)部網(wǎng)屏蔽路由器數(shù)據(jù)包包過濾技術的基本原理

數(shù)據(jù)包UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource控制策略應用層TCP層IP層網(wǎng)絡接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應用層TCP層IP層網(wǎng)絡接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查報頭101001001001010010000011100111101111011001001001010010000011100111101111011包過濾工作過程簡單包過濾防火墻不檢查數(shù)據(jù)區(qū)簡單包過濾防火墻不建立連接狀態(tài)表前后報文無關應用層控制很弱優(yōu)點：速度快，性能高對應用程序透明應用層TCP層IP層網(wǎng)絡接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應用層TCP層IP層網(wǎng)絡接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查報頭101001001001010010000011100111101111011001001001010010000011100111101111011包過濾工作過程簡單包過濾防火墻不檢查數(shù)據(jù)區(qū)簡單包過濾防火墻不建立連接狀態(tài)表前后報文無關應用層控制很弱優(yōu)點：速度快，性能高對應用程序透明狀態(tài)檢測技術狀態(tài)檢測技術是包過濾技術的延伸，常被稱為“動態(tài)包過濾”。是與包過濾相類似但是更為有效的安全控制方法。對新建的應用連接，狀態(tài)檢測檢查預先設置的安全規(guī)則，允許符合規(guī)則的連接通過，并在內(nèi)存中記錄下該連接的相關信息，生成狀態(tài)表。對該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過。適合網(wǎng)絡流量大的環(huán)境。主要特點高安全性：工作在數(shù)據(jù)鏈路層和網(wǎng)絡層之間，確保截取和檢測所有通過網(wǎng)絡的原始數(shù)據(jù)包。雖然工作在協(xié)議棧的較低層，但可以監(jiān)視所有應用層的數(shù)據(jù)包，從中提取有用信息，安全性得到很大提高。高效性：一方面，通過防火墻的數(shù)據(jù)包都在協(xié)議棧的較低層處理，減少了高層協(xié)議棧的開銷；另一方面，由于不需要對每個數(shù)據(jù)包進行規(guī)則檢查，從而使得性能得到了較大提高?？缮炜s和易擴展：由于狀態(tài)表是動態(tài)的，當有一個新的應用時，它能動態(tài)的產(chǎn)生新的應用的新的規(guī)則，無須另外寫代碼，因而具有很好的可伸縮和易擴展。應用范圍廣：不僅支持基于TCP的應用，而且支持基于無連接協(xié)議的應用。應用層表示層會話層傳輸層網(wǎng)絡層鏈路層物理層應用層表示層會話層傳輸層網(wǎng)絡層鏈路層物理層狀態(tài)檢測技術介紹應用層表示層會話層傳輸層網(wǎng)絡層鏈路層物理層安全性高能夠檢測所有進入防火墻網(wǎng)關的數(shù)據(jù)包根據(jù)通信和應用程序狀態(tài)確定是否允許包的通行性能高在數(shù)據(jù)包進入防火墻時就進行識別和判斷伸縮性好可以識別不同的數(shù)據(jù)包已經(jīng)支持160多種應用，包括Internet應用、數(shù)據(jù)庫應用、多媒體應用等用戶可方便添加新應用對用戶、應用程序透明抽取各層的狀態(tài)信息建立動態(tài)狀態(tài)表應用層TCP層IP層網(wǎng)絡接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應用層TCP層IP層網(wǎng)絡接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查報頭101001001001010010000011100111101111011001001001010010000011100111101111011狀態(tài)檢測包過濾防火墻的工作原理不檢查數(shù)據(jù)區(qū)建立連接狀態(tài)表前后報文相關應用層控制很弱建立連接狀態(tài)表應用代理應用層網(wǎng)關（Applicationgateway)技術代理服務代理（Proxy）代理服務器是運行于內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的主機（堡壘主機）之上的一種應用。當用戶需要訪問代理服務器另一側(cè)主機時，對符合安全規(guī)則的連接，代理服務器會代替主機響應，并重新向主機發(fā)出一個相同的請求。當此連接請求得到回應并建立起連接之后，內(nèi)部主機同外部主機之間的通信將通過代理程序?qū)⑾鄳B接映射來實現(xiàn)。應用代理代理服務技術主要優(yōu)點：代理放火墻的最大好處是透明性。對用戶來說，代理服務器提供了一個“用戶正在與目標服務器直接打交道”的假象；對目標服務器來說，代理服務器提供了一個“目標服務器正在與用戶的主機系統(tǒng)直接打交道”的假象。由于代理機制完全阻斷了內(nèi)部網(wǎng)絡與外部網(wǎng)絡的直接聯(lián)系，保證了內(nèi)部網(wǎng)絡拓撲結(jié)構等重要信息被限制在代理網(wǎng)關內(nèi)側(cè)，不會外泄，從而減少了黑客攻擊時所需的必要信息。通過代理訪問Internet可以隱藏真實IP地址，同時解決合法IP地址不夠用的問題。因為Internet見到的只是代理服務器的地址，內(nèi)部不合法的IP地址可以通過代理訪問Internet.用于應用層的過濾規(guī)則相對于包過濾路由器來說更容易配置和測試。應用層網(wǎng)關有能力支持可靠的擁護認證并提供詳細的注冊信息。代理工作在客戶機和真實服務器之間，可提供很詳細的日志和安全審記功能。應用代理代理服務技術的不足：有限的連接：某種代理服務器只能用于某種特定的服務，如FTP服務器提供FTP服務，Telnet服務器提供Telnet服務，所以能提供的服務和可伸縮性是有限的。所以代理服務器主要應用于安防要求較高但網(wǎng)絡流量不太大的環(huán)境。有限的技術：代理服務器不能為RPC,Talk和其他一些基于通用協(xié)議族的服務提供代理。有限的性能：處理性能遠不及狀態(tài)檢測高。有限的應用：代理服務器的應用也受到諸多限制。首先是當一項新的應用加入時，如果代理服務程序不予支持，則此應用不能使用。解決的方法之一是自行編制特定服務的代理服務程序，但工作量大，而且技術水平要求很高，一般的應用單位無法完成。應用層表示層會話層傳輸層網(wǎng)絡層鏈路層物理層應用層表示層會話層傳輸層網(wǎng)絡層鏈路層物理層應用代理技術介紹應用層表示層會話層傳輸層網(wǎng)絡層鏈路層物理層FTPHTTPSMTP應用層TCP層IP層網(wǎng)絡接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應用層TCP層IP層網(wǎng)絡接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查數(shù)據(jù)101001001001010010000011100111101111011001001001010010000011100111101111011應用代理防火墻的工作原理不檢查IP、TCP報頭不建立連接狀態(tài)表網(wǎng)絡層保護比較弱32防火墻的體系結(jié)構篩選路由器

雙宿主主機屏蔽主機屏蔽子網(wǎng)防火墻可以設置成不同的體系結(jié)構，提供不同級別的安全。常見的體系結(jié)構有：33篩選路由器式體系結(jié)構內(nèi)部網(wǎng)外部網(wǎng)包過濾篩選路由器篩選路由器是防火墻最基本的構件。它一般作用在網(wǎng)絡層（IP層），按照一定的安全策略，對進出內(nèi)部網(wǎng)絡的信息進行分析和限制，實現(xiàn)報文過濾功能。該防火墻優(yōu)點在于速度快等，但安全性能差。34雙宿主主機式體系結(jié)構內(nèi)部網(wǎng)外部網(wǎng)雙宿主主機雙宿主主機插有兩塊網(wǎng)卡，分別連接到內(nèi)網(wǎng)和外網(wǎng)。防火墻內(nèi)、外的系統(tǒng)均可以與雙宿主主機進行通信，但防火墻兩邊的系統(tǒng)之間不能直接進行通信。使用此結(jié)構，必須關閉雙宿主主機上的路由分配功能。多宿主主機35屏蔽主機式體系結(jié)構Internet堡壘主機防火墻屏蔽路由器屏蔽主機網(wǎng)關結(jié)構中堡壘機與內(nèi)部網(wǎng)相連，用篩選路由器連接到外部網(wǎng)上，篩選路由器作為第一道防線，堡壘機作為第二道防線。這確保了內(nèi)部網(wǎng)絡不受未被授權的外部用戶的攻擊。該防火墻系統(tǒng)提供的安全等級比前面兩種防火墻系統(tǒng)要高，主要用于企業(yè)小型或中型網(wǎng)絡。

堡壘主機（BastionHost）:一個高度安全的計算機系統(tǒng)。通常是暴露于外部網(wǎng)絡，作為連接內(nèi)部網(wǎng)絡用戶的橋梁，易受攻擊。36屏蔽子網(wǎng)式體系結(jié)構Internet堡壘主機屏蔽路由器屏蔽路由器DMZ屏蔽子網(wǎng)結(jié)構，就是在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間建立一個被隔離的子網(wǎng)，這個子網(wǎng)可有堡壘主機等公用服務器組成，用兩臺篩選路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡和外部網(wǎng)絡分開。內(nèi)部網(wǎng)絡和外部網(wǎng)絡均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)進行通信，從而進一步實現(xiàn)屏蔽主機的安全性防火墻技術ACL訪問控制列表ACL概述ACL的工作過程ACL分類ACL配置通配符掩碼訪問控制列表（AccessControlList，ACL）應用在路由器接口的指令列表指定哪些數(shù)據(jù)報可以接收、哪一些需要拒絕

ACL用途（1）限制網(wǎng)絡流量、提高網(wǎng)絡性能；（2）提供對通信流量的控制手段；（3）提供網(wǎng)絡訪問的基本安全手段；（4）在路由器（交換機）接口處，決定哪種類型的通信流量被轉(zhuǎn)發(fā)、哪種被阻塞。ACL概述實現(xiàn)訪問控制列表的核心技術是包過濾Internet公司總部內(nèi)部網(wǎng)絡未授權用戶辦事處訪問控制列表通過分析IP數(shù)據(jù)包包頭信息，進行判斷（這里IP所承載的上層協(xié)議為TCP）IP報頭TCP報頭數(shù)據(jù)源地址目的地址源端口目的端口訪問控制列表利用這4個元素定義的規(guī)則ACL的工作過程入站訪問控制操作過程相對網(wǎng)絡接口來說，從網(wǎng)絡上流入該接口的數(shù)據(jù)包，為入站數(shù)據(jù)流。對入站數(shù)據(jù)流的過濾控制稱為入站訪問控制。如果一個入站數(shù)據(jù)包被訪問控制列表禁止（deny），那么該數(shù)據(jù)包被直接丟棄（discard）。只有那些被ACL允許（permit）的入站數(shù)據(jù)包才進行路由查找與轉(zhuǎn)發(fā)處理。入站訪問控制節(jié)省了那些不必要的路由查找轉(zhuǎn)發(fā)的開銷,包在進入路由器之前要經(jīng)過訪問列表的處理,路由器不能路由任何被拒絕的包，因為在路由之前這些包就會被丟棄掉。進入數(shù)據(jù)包源地址匹配嗎？有更多條目嗎？應用條件拒絕允許路由到接口查找路由表是是否是否Icmp消息轉(zhuǎn)發(fā)數(shù)據(jù)包接口上有訪問控制列表嗎？列表中的下一個條目否入站訪問控制操作過程出站訪問控制操作過程

從網(wǎng)絡接口流出的網(wǎng)絡數(shù)據(jù)包，稱為出站數(shù)據(jù)流。出站訪問控制是對出站數(shù)據(jù)流的過濾控制。那些被允許的入站數(shù)據(jù)流需要進行路由轉(zhuǎn)發(fā)處理。在轉(zhuǎn)發(fā)之前，交由出站訪問控制進行過濾控制操作。外出數(shù)據(jù)包查找路由表接口上有訪問控制列表嗎？源地址匹配嗎？拒絕允許列表中的下一個條目是是轉(zhuǎn)發(fā)數(shù)據(jù)包Icmp消息否否否

有更多條目嗎？出站訪問控制操作過程應用條件是YDenyYPermitNDenyPermitDenyYYNYYPermit強制丟棄若無任何匹配則丟棄DenyNACL的邏輯測試過程數(shù)據(jù)報文目的接口報文丟棄桶匹配第一條規(guī)則?匹配下一條規(guī)則?匹配最后一條規(guī)則

?范圍/標識IP

1-99100-199,1300-1999,2000-2699Name(CiscoIOS11.2andlater)800-899900-9991000-1099Name(CiscoIOS11.2.Fandlater)StandardExtendedSAPfiltersNamedStandardExtendedNamedACL類型IPXACL分類標準IPACL（1到99）根據(jù)IP報文的源地址測試擴展IPACL（100到199）可以測試IP報文的源、目的地址、協(xié)議、端口號源地址段Segment（例如，TCP首部）數(shù)據(jù)Data報文Packet（IP首部）幀F(xiàn)rame首部（例如，HDLC）DenyPermit使用ACL規(guī)則語句1-99標準ACL目的地址源地址協(xié)議（例如TCP）端口號使用ACL規(guī)則語句100-199DenyPermit擴展ACL幀F(xiàn)rame首部（例如，HDLC）報文Packet（IP首部）段Segment（例如，TCP首部）數(shù)據(jù)Data第一步：創(chuàng)建ACLRouter(config)#第二步：將ACL綁定到指定接口

{protocol}access-groupaccess-list-number{in|out}Router(config-if)#ACL配置access-listaccess-list-number{permit|deny}{test

conditions}標準ACL的配置access-listaccess-list-number{permit|deny}source[mask]Router(config)#為訪問控制列表增加一條測試語句標準IPACL的參數(shù)access-list-number取值范圍從1到99缺省通配符掩碼=“noaccess-listaccess-list-number”命令刪除指定號碼的ACLaccess-listaccess-list-number{permit|deny}source[mask]Router(config)#在特定接口上啟用ACL設置測試為入站（in）控制還是出站（out）控制缺省為出站（out）控制“noipaccess-groupaccess-list-number”

命令在特定接口禁用ACLRouter(config-if)#ipaccess-groupaccess-list-number{in|out}為訪問控制列表增加一條測試語句標準IPACL的參數(shù)access-list-number取值范圍從1到99缺省通配符掩碼=“noaccess-listaccess-list-number”命令刪除指定號碼的ACL標準ACL的配置0代表檢查對應地址位的值1代表忽略對應地址位的值donotcheckaddress

(ignorebitsinoctet)=001111111286432168421=00000000=00001111=11111100=11111111ignorelast6addressbitscheckalladdressbits(matchall)ignorelast4addressbitschecklast2addressbits示例通配符掩碼例如：9表示檢查所有的地址位可以使用關鍵字host將上語句簡寫為：host9測試條件：檢查所有的地址位（matchall）9

一個IPhost關鍵字的示例如下：通配符掩碼：host關鍵字接受任何地址：55可以使用關鍵字any將上語句簡寫為：any測試條件：忽略所有的地址位（matchany）

55任何IP地址通配符掩碼：any關鍵字CheckforIPsubnets/24to/24Network.host

00010000Wildcardmask: 00001111 |<----match---->|<-----don’tcare----->|

00010000 = 16

00010001 = 17

00010010 = 18 : :

00011111 = 31Addressandwildcardmask:

55通配符掩碼和IP子網(wǎng)的

對應562023/2/6通配符掩碼例