網(wǎng)絡(luò)信息安全第十三章-防火墻技術(shù)

第四局部平安技術(shù)和產(chǎn)品

第13章防火墻技術(shù)1導(dǎo)讀談到網(wǎng)絡(luò)平安，首先想到的一般就是防火墻。防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止不可預(yù)測(cè)的、潛在破壞性的侵入。防火墻作為網(wǎng)絡(luò)平安體系的根底和核心控制設(shè)備，在網(wǎng)絡(luò)平安中具有舉足輕重的地位。2內(nèi)容13.1防火墻的根本概念13.2防火墻類型及體系結(jié)構(gòu)13.3防火墻的根本技術(shù)及附加功能13.4防火墻技術(shù)的幾個(gè)新方向13.5防火墻產(chǎn)品及應(yīng)用3什么是防火墻?在電腦中,防火墻是一種設(shè)備,可使個(gè)別網(wǎng)絡(luò)不受公共網(wǎng)絡(luò)的影響.防火墻是一種必不可少的平安增強(qiáng)點(diǎn).防火墻是放置在兩個(gè)網(wǎng)絡(luò)之間的一些組件.防火墻是在內(nèi)部網(wǎng)和外部網(wǎng)之間實(shí)施平安防范的系統(tǒng).4防火墻作為網(wǎng)絡(luò)防護(hù)的第一道防線，它由軟件或/和硬件設(shè)備組合而成，它位于企業(yè)或網(wǎng)絡(luò)群體計(jì)算機(jī)與外界網(wǎng)絡(luò)的邊界，限制著外界用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問以及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。5防火墻具有的性質(zhì):雙向通信必須通過防火墻;防火墻本身不會(huì)影響信息的流通;只允許本身平安策略授權(quán)的通信信息通過.6內(nèi)容13.1防火墻的根本概念13.2防火墻類型及體系結(jié)構(gòu)13.3防火墻的根本技術(shù)及附加功能13.4防火墻技術(shù)的幾個(gè)新方向13.5防火墻產(chǎn)品及應(yīng)用713.2.1包過濾防火墻包是網(wǎng)絡(luò)上信息流動(dòng)的根本單位，它由數(shù)據(jù)負(fù)載和協(xié)議頭兩個(gè)局部組成。包過濾是基于協(xié)議頭的內(nèi)容進(jìn)行過濾的8包過濾防火墻是最快的防火墻,因?yàn)樗鼈兊牟僮魈幱诰W(wǎng)絡(luò)層并且只是粗略檢查特定的連接的合法性.在包過濾防火墻中,端點(diǎn)之間可以建立直接連接.913.2.2應(yīng)用代理防火墻真正可靠的平安防火墻應(yīng)該禁止所有通過防火墻的直接連接——在協(xié)議棧的最高層檢驗(yàn)所有的輸入數(shù)據(jù)。1013.2.3電路級(jí)網(wǎng)關(guān)型防火墻電路級(jí)網(wǎng)關(guān)型防火墻起一定的代理效勞作用，它監(jiān)視兩臺(tái)主機(jī)建立連接時(shí)的握手信息，從而判斷該會(huì)話請(qǐng)求是否合法，一旦會(huì)話連接有效，該網(wǎng)關(guān)僅復(fù)制、傳遞數(shù)據(jù)。11電路級(jí)網(wǎng)關(guān)不允許端點(diǎn)到端點(diǎn)的直接連接,具有隱藏內(nèi)部網(wǎng)絡(luò)信息的能力.電路級(jí)網(wǎng)關(guān)型防火墻和包過濾防火墻有一個(gè)共同的特點(diǎn),都是依靠特定的邏輯來判斷是否允許數(shù)據(jù)包通過.1213.2.4狀態(tài)包檢測(cè)防火墻狀態(tài)包檢測(cè)模式增加了更多的包和包之間的平安上下文檢查，以到達(dá)與應(yīng)用級(jí)代理防火墻相類似的平安性能。13狀態(tài)包檢測(cè)防火墻工作在協(xié)議棧的較低層,通過防火墻的所有數(shù)據(jù)包都在低層處理,不需要協(xié)議棧的上層處理任何數(shù)據(jù)包,減少了高層開銷,效率提高.狀態(tài)包檢測(cè)防火墻不依靠與應(yīng)用層有關(guān)的代理,而是依靠某種算法來識(shí)別進(jìn)出的應(yīng)用層數(shù)據(jù).狀態(tài)包檢測(cè)防火墻仍然允許外部用戶直接訪問內(nèi)網(wǎng)系統(tǒng)和應(yīng)用程序.1413.2.5雙重宿主主機(jī)體系結(jié)構(gòu)

(DualHomedHost)雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主的計(jì)算機(jī)構(gòu)筑的，該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口(NIC)。1513.2.6屏蔽主機(jī)體系結(jié)構(gòu)(ScreenedHost)屏蔽主機(jī)體系結(jié)構(gòu)使用一個(gè)單獨(dú)的路由器來提供外部網(wǎng)絡(luò)與內(nèi)部堡壘主機(jī)(BastionHost)連接的效勞。1613.2.7屏蔽子網(wǎng)結(jié)構(gòu)

(ScreenedSubnetArchitectures)屏蔽子網(wǎng)結(jié)構(gòu)通過進(jìn)一步增加隔離內(nèi)外網(wǎng)的邊界網(wǎng)絡(luò)(PerimeterNetwork)為屏蔽主機(jī)結(jié)構(gòu)增添了額外的平安層。17內(nèi)容13.1防火墻的根本概念13.2防火墻類型及體系結(jié)構(gòu)13.3防火墻的根本技術(shù)及附加功能13.4防火墻技術(shù)的幾個(gè)新方向13.5防火墻產(chǎn)品及應(yīng)用1813.3.1包過濾技術(shù)包過濾器是最原始的防火墻。包過濾器根據(jù)每個(gè)包頭部?jī)?nèi)的信息來決定是否要將包繼續(xù)傳輸，從而增強(qiáng)平安性。理論上，包過濾器可以被配置為根據(jù)協(xié)議包頭的任何局部進(jìn)行判斷，但是大局部的過濾器被配置成只過濾最有用的數(shù)據(jù)域，主要是：①IP地址②協(xié)議類型③TCP/UDP頭信息④分片字段19包過濾器的使用20創(chuàng)立包過濾規(guī)那么在確定包過濾的配置規(guī)那么之前，需要作如下決定：●打算提供何種網(wǎng)絡(luò)效勞，并以何種方向(從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)，或者從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò))提供這些效勞。●是否限制內(nèi)部主機(jī)與因特網(wǎng)進(jìn)行連接。●因特網(wǎng)上是否存在某些可信任主機(jī)，它們需要以什么形式訪問內(nèi)部網(wǎng)。21對(duì)于不同的包過濾產(chǎn)品，用來生成規(guī)那么的信息也不同，但通常都包括以下信息：●接口和方向：包是流入還是離開網(wǎng)絡(luò)，這些包通過哪種接口。●源和目的IP地址：檢查包從何而來(源IP地址)、發(fā)往何處(目的IP地址)?！馡P選項(xiàng)：檢查所有選項(xiàng)字段，特別是要阻止源路由(SourceRouting)選項(xiàng)?！窀邔訁f(xié)議：使用IP包的上層協(xié)議類型，例如TCP還是UDP?！馮CP包的ACK位檢查：這一字段可幫助確定是否有，及以何種方向建立連接?！馡CMP的報(bào)文類型：可以阻止某些刺探網(wǎng)絡(luò)信息的企圖?！馮CP和UDP包的源和目的端口：此信息幫助確定正在使用的是哪些效勞。22危險(xiǎn)效勞●Telnet：如果讓一個(gè)主機(jī)的這個(gè)端口翻開，很可能給黑客提供一條訪問系統(tǒng)資源的通路。●NetBIOS：如果讓W(xué)indows或SMB效勞器的這個(gè)端口對(duì)互聯(lián)網(wǎng)提供效勞，就等于讓黑客像本地用戶一樣訪問你的網(wǎng)絡(luò)。●網(wǎng)絡(luò)文件系統(tǒng)(NFS)：如果允許這種效勞數(shù)據(jù)通過防火墻，網(wǎng)絡(luò)外部的某人很有可能會(huì)在網(wǎng)絡(luò)中安裝一個(gè)文件系統(tǒng)，然后就像是被連接到本地網(wǎng)絡(luò)一樣訪問該文件和目錄?！窬W(wǎng)絡(luò)信息效勞(NIS)：這種效勞，被人們稱為“黃頁〞，會(huì)給黑客提供重要的信息，例如網(wǎng)絡(luò)上的主機(jī)名或用戶名?！馲窗口：使用X客戶和效勞器會(huì)引發(fā)許多平安問題。23用于包過濾的IP頭信息頭部信息中有三種信息在包過濾中很重要：●IP地址，包括源和目的地址；●協(xié)議類型，例如TCP、UDP、ICMP；●IP選項(xiàng)，例如源路由選擇。241.IP地址所有防火墻都具有IP地址過濾功能。這項(xiàng)任務(wù)就是要檢查IP包頭，根據(jù)其IP源地址和目標(biāo)地址作出放行/禁止決定。252.協(xié)議字段

這一字段定義了包負(fù)載所使用的協(xié)議。例如，可以是TCP和UDP兩種因特網(wǎng)上常用的協(xié)議，也可以是諸如ICMP等其它協(xié)議。通常，承載ICMP數(shù)據(jù)的包都應(yīng)丟棄，因?yàn)镮CMP數(shù)據(jù)將會(huì)告知對(duì)方本網(wǎng)內(nèi)部的信息。

263.分片字段

由于TCP報(bào)頭信息只包含在第0個(gè)分片中，因此無狀態(tài)包過濾器通常是讓所有非首個(gè)分片通過，并且僅在數(shù)據(jù)包的第0分片上做數(shù)據(jù)包過濾。27用于包過濾的TCP頭信息

TCP的可靠性在于它對(duì)應(yīng)用層的3個(gè)保證：

目標(biāo)將按發(fā)送的順序接收應(yīng)用程序數(shù)據(jù)目標(biāo)將接收所有應(yīng)用程序數(shù)據(jù)目標(biāo)將不重復(fù)接收任何應(yīng)用程序數(shù)據(jù)28端口和套接字把地址和端口結(jié)合起來，就可以唯一地標(biāo)識(shí)一條連接。這種數(shù)字的組合名字我們稱為套接字〔Socket〕。在包過濾規(guī)那么中使用端口號(hào)可以同時(shí)拒絕或允許各種網(wǎng)絡(luò)效勞。效勞器TCP端口過濾把IP地址和目標(biāo)效勞器TCP端口結(jié)合起來就可以作為過濾標(biāo)準(zhǔn)來實(shí)現(xiàn)可靠的防火墻客戶機(jī)的TCP端口29端口過濾規(guī)那么的創(chuàng)立控制SMTP連接流入和流出的例子,規(guī)那么2和規(guī)那么4允許大于端口1023的所有效勞，不管是流入還是流出方向。黑客可以利用這一個(gè)漏洞去做各種事情。規(guī)則方向協(xié)議源地址目的地址目的端口動(dòng)作1流入TCP外部?jī)?nèi)部25允許2流出TCP內(nèi)部外部>=1024允許3流出TCP內(nèi)部外部25允許4流入TCP外部?jī)?nèi)部>=1024允許5*****禁止30改進(jìn)以后的例子,指定了源端口。規(guī)則方向協(xié)議源地址目的地址源端口目的端口動(dòng)作1流入TCP外部?jī)?nèi)部>=102425允許2流出TCP內(nèi)部外部25>=1024允許3流出TCP內(nèi)部外部>=102425允許4流入TCP外部?jī)?nèi)部25>=1024允許5******禁止31檢查SYN位提防SYN洪水攻擊檢查ACK位檢查ACK位，防火墻只允許內(nèi)部客戶訪問外部Web效勞器，反之那么禁止。32UDP端口過濾采用代理效勞器的方式規(guī)則方向協(xié)議源地址目的地址源端口目的端口ACK位動(dòng)作1流出TCP內(nèi)部外部>=102423均可允許2流入TCP外部?jī)?nèi)部23>=1024置1允許3*******禁止33IMCP包ICMP數(shù)據(jù)很有用，但也很有可能被利用來收集網(wǎng)絡(luò)的有關(guān)信息，我們必須加以區(qū)別對(duì)待。防火墻的一個(gè)重要功能就是讓外部不能得到網(wǎng)絡(luò)內(nèi)部主機(jī)的信息。因?yàn)檫@一點(diǎn)，需要阻止以下幾種報(bào)文類型：●流入的echo請(qǐng)求和流出的echo響應(yīng)——允許內(nèi)部用戶使用ping命令測(cè)試外部主機(jī)的連通性，但不允許相反方向的類似報(bào)文?！窳魅氲闹囟ㄏ驁?bào)文——這些信息可以用來重新配置網(wǎng)絡(luò)的路由表?！窳鞒龅哪康牟豢傻竭_(dá)報(bào)文和流出的效勞不可用報(bào)文——不允許任何人刺探網(wǎng)絡(luò)。通過找出那些不可到達(dá)或那些不可提供的效勞，黑客就更加容易鎖定攻擊目標(biāo)。34包過濾器的優(yōu)點(diǎn)：包過濾是“免費(fèi)的〞。如果己經(jīng)有了路由器，它很可能支持包過濾。在小型局域網(wǎng)內(nèi)，單個(gè)路由器用作包過濾器足夠了。理論上只需要在局域網(wǎng)連接到因特網(wǎng)或外部網(wǎng)的地方布置一個(gè)過濾器。這里是網(wǎng)絡(luò)的一個(gè)扼流點(diǎn)。使用包過濾器，不需要專門培訓(xùn)用戶或使用專門的客戶端和效勞器程序。屏蔽路由器或者包過濾主時(shí)機(jī)為網(wǎng)絡(luò)的客戶端透明地完成各種工作。35包過濾器的缺乏之處：使路由器難以配置，特別是使用大量規(guī)那么進(jìn)行復(fù)雜配置的時(shí)候。在這種情況下，很難進(jìn)行完全地測(cè)試。當(dāng)包過濾器出現(xiàn)故障，或者配置不正確的時(shí)候，對(duì)網(wǎng)絡(luò)產(chǎn)生的危害比代理效勞器產(chǎn)生的危害大得多。包過濾器只對(duì)少量數(shù)據(jù)，如IP包的頭部信息進(jìn)行操作。由于僅使用這些信息來決定是否讓這些包通過防火墻，所以包過濾器的工作限制在它力所能及的范圍之內(nèi)。很多具有包過濾功能的防火墻缺少健壯的日志功能，因此當(dāng)系統(tǒng)被滲入或被攻擊時(shí)，很難得到大量的有用信息。3613.3.2堡壘主機(jī)堡壘主機(jī)通常是指那些在平安方面能夠到達(dá)普通工作站所不能到達(dá)程度的計(jì)算機(jī)系統(tǒng)。這樣一個(gè)計(jì)算機(jī)系統(tǒng)會(huì)最大程度利用底層操作系統(tǒng)所提供的資源保護(hù)、審計(jì)和認(rèn)證機(jī)制等功能，并且對(duì)完成既定任務(wù)所不需要的應(yīng)用和效勞都已從計(jì)算機(jī)系統(tǒng)中刪除，這樣就減少了成為受害目標(biāo)的時(shí)機(jī)。37383913.3.3應(yīng)用網(wǎng)關(guān)和代理效勞器代理效勞器工作在應(yīng)用層，它能提供多種效勞。網(wǎng)絡(luò)中所有的包必須經(jīng)過代理效勞器來建立一個(gè)特別的連接，因而代理效勞器提供了客戶和效勞器之間的通路。它接收客戶的請(qǐng)求，然后代表客戶向效勞器發(fā)出實(shí)際的請(qǐng)求。在客戶和效勞器之間沒有實(shí)際的IP包經(jīng)過。代理效勞器位于連接的中間，它分別向客戶和效勞器通話來保持它們的連接。401.在代理效勞器中禁止路由當(dāng)用雙宿主機(jī)來作為代理效勞器時(shí)，應(yīng)確保關(guān)掉這兩個(gè)網(wǎng)絡(luò)適配器之間的路由(在缺省情況下這是允許的)。禁止主機(jī)的IP轉(zhuǎn)發(fā)或者路由之后，客戶/效勞器之間所有的連接都必須流經(jīng)允許的代理應(yīng)用程序，否那么就被阻塞。412.使用代理效勞器可以得到如下的好處:●隱藏受保護(hù)網(wǎng)絡(luò)中客戶和效勞器的網(wǎng)絡(luò)信息?！翊硇谄魇悄軌?qū)κ鼙Ｗo(hù)網(wǎng)絡(luò)和因特網(wǎng)之間的網(wǎng)絡(luò)效勞進(jìn)行控制的惟一點(diǎn)(SinglePoint)。即使代理應(yīng)用癱瘓，也不能通過設(shè)置堡壘主機(jī)來允許通信經(jīng)過?！翊硇谄骺梢员辉O(shè)置來記錄所提供的效勞的相關(guān)信息，并且對(duì)可疑活動(dòng)和未授權(quán)的訪問進(jìn)行報(bào)警?！褚恍┐硇谄骺梢院Y選返回?cái)?shù)據(jù)的內(nèi)容，并阻塞對(duì)某些站點(diǎn)的訪問。它們也能夠阻塞包含病毒和其它可疑對(duì)象的包。42代理效勞器的缺點(diǎn)主要包括:●盡管代理效勞器提供了一個(gè)進(jìn)行訪問控制的惟一點(diǎn)，但它也是導(dǎo)致整個(gè)系統(tǒng)癱瘓的惟一點(diǎn)?！衩恳粋€(gè)網(wǎng)絡(luò)效勞都需要它自己的代理效勞程序。雖然存在一般的解決方案，但是它沒有提供與代理效勞器相同級(jí)別的平安性?！裨诳蛻羰褂么硇谄髦翱赡苄枰恍薷幕蛘咧匦屡渲?。433.傳統(tǒng)代理FTP使用傳統(tǒng)代理以后，要包含以下步驟：(1)用戶執(zhí)行FTP客戶命令，例如ftpproxyserver.two。(2)代理效勞器提示輸入用戶名，用戶做出響應(yīng)。(3)代理效勞器提示輸入口令，用戶做出響應(yīng)。(4)用戶向代理效勞器指明實(shí)際的FTP連接目標(biāo)，一般的格式是:username@target。這里，username是目標(biāo)系統(tǒng)中的合法用戶名，此處target是最終的FTP會(huì)話目標(biāo)。(5)代理效勞器將登錄信息轉(zhuǎn)發(fā)給目標(biāo)，如果認(rèn)證成功，那么就通知客戶應(yīng)用程序，現(xiàn)在用戶可以執(zhí)行FTP命令了。(6)代理效勞器從用戶的客戶軟件接收FTP命令，并向目標(biāo)效勞器轉(zhuǎn)發(fā)這些命令。(7)目標(biāo)效勞器響應(yīng)代理效勞器的命令，就像它是實(shí)際的客戶一樣，并將根據(jù)用戶命令響應(yīng)的數(shù)據(jù)返回到代理效勞器。(8)代理效勞器將從目標(biāo)效勞器接收到的數(shù)據(jù)轉(zhuǎn)發(fā)到用戶的客戶應(yīng)用軟件。44透明代理為了使代理應(yīng)用程序更易于終端用戶的管理和使用，就需要使代理應(yīng)用程序?qū)τ脩敉该?。這就是說，用戶不需要敲入額外的命令，甚至根本不需要知道使用了代理效勞器。從用戶的觀點(diǎn)看，透明代理就像直接連接一樣(像一個(gè)包過濾器)，用戶甚至不需要知道存在代理效勞器。45464.網(wǎng)絡(luò)地址轉(zhuǎn)換

實(shí)現(xiàn)NAT的地址映射有許多方法：●使用靜態(tài)地址分配(StaticTranslation，也稱為端口轉(zhuǎn)發(fā)，PortForwarding)，它們用NAT為內(nèi)部網(wǎng)絡(luò)的客戶綁定一個(gè)固定IP地址?！袷褂脛?dòng)態(tài)地址分配(DynamicTranslation，也稱為自動(dòng)模式，隱藏模式或IP偽裝)的NAT為訪問外部網(wǎng)絡(luò)的客戶分配一個(gè)IP地址。在客戶會(huì)話結(jié)束，或者超過某一時(shí)限后，合法的外部網(wǎng)絡(luò)地址會(huì)返回到地址池，等待下次分配，實(shí)現(xiàn)IP地址的復(fù)用。471.根本NAT根本NAT要求給NAT分配一個(gè)或多個(gè)有效因特網(wǎng)地址，以便用這些地址為內(nèi)部網(wǎng)絡(luò)用戶建立連接。這意味著在任何時(shí)刻，分配給NAT使用的有效IP地址應(yīng)該不小于連往外部網(wǎng)絡(luò)的會(huì)話數(shù)。如果給NAT分配10個(gè)可以使用的IP地址，那么在內(nèi)部網(wǎng)絡(luò)就只能有10個(gè)客戶同時(shí)向外部網(wǎng)絡(luò)建立連接。2.網(wǎng)絡(luò)地址端口轉(zhuǎn)換如果同時(shí)有許多用戶向外部建立連接，而NAT又沒有足夠多的有效IP地址，那么根本NAT就不行了。IP地址和端口號(hào)的組合被用于惟一地表示一個(gè)TCP或者UDP通信終端。NAPT效勞器維護(hù)一張將客戶的連接轉(zhuǎn)換為外部IP地址和為該IP地址分配的惟一端口號(hào)的表，這樣就可以確定各個(gè)用戶的連接了。485.內(nèi)容屏蔽或阻塞訪問●URL地址阻塞：可以指定哪些URL地址會(huì)被阻塞(或者允許訪問)?！耦悇e阻塞：這種方法可以指定阻塞含有某種內(nèi)容的數(shù)據(jù)包。●嵌入的內(nèi)容：一些代理軟件應(yīng)用程序能夠設(shè)置為阻塞Java、ActiveX控件，或者其它一些嵌入在Web請(qǐng)求的響應(yīng)里的對(duì)象。49日志和報(bào)警措施代理效勞器一個(gè)不可無視的重要功能就是能夠記錄用戶的各種行為信息。在事先可預(yù)