第六講防火墻技術

第六講防火墻技術1本章學習目標 了解防火墻的定義、發(fā)展簡史、目的、功能、局限性及其發(fā)展動態(tài)和趨勢。掌握包過濾防火墻和和代理防火墻的實現(xiàn)原理、技術特點和實現(xiàn)方式；熟悉防火墻的常見體系結構。熟悉防火墻的產品選購和設計策略。25.1防火墻技術概述 返回本章首頁防火墻的定義防火墻的功能和局限性防火墻的發(fā)展簡史3防火墻的定義 防火墻是設置在被保護網絡和外部網絡之間的一道屏障，實現(xiàn)網絡的安全保護，以防止發(fā)生不可預測的、潛在破壞性的侵入。它是不同網絡或網絡安全域之間信息的唯一出入口。4防火墻的功能訪問控制對網絡存取和訪問進行監(jiān)控審計防止內部信息的外泄支持VPN功能支持網絡地址轉換……5防火墻的基本特征內部網絡和外部網絡之間的所有網絡數(shù)據(jù)流都必須經過防火墻只有符合安全策略的數(shù)據(jù)流才能通過防火墻防火墻自身應具有非常強的抗攻擊免疫力6防火墻的局限性防火墻不能防范不經過防火墻的攻擊。如撥號訪問、內部攻擊等。防火墻不能解決來自內部網絡的攻擊和安全問題。防火墻不能防止策略配置不當或錯誤配置引起的安全威脅。防火墻不能防止利用標準網絡協(xié)議中的缺陷進行的攻擊。防火墻不能防止利用服務器系統(tǒng)漏洞所進行的攻擊。防火墻不能防止受病毒感染的文件的傳輸。防火墻不能防止數(shù)據(jù)驅動式的攻擊。有些表面看來無害的數(shù)據(jù)郵寄或拷貝到內部網的主機上并被執(zhí)行時，可能會發(fā)生數(shù)據(jù)驅動式的攻擊。防火墻不能防止本身的安全漏洞的威脅。目前還沒有廠商絕對保證防火墻不會存在安全漏洞。防火墻不能防止可接觸的人為或自然的破壞。7防火墻的發(fā)展簡史8軟件防火墻硬件防火墻按形態(tài)分類按保護對象分類保護整個網絡保護單臺主機網絡防火墻單機防火墻5.2防火墻的分類9保護單臺主機安全策略分散安全功能簡單普通用戶維護安全隱患較大策略設置靈活保護整個網絡安全策略集中安全功能復雜多樣專業(yè)管理員維護安全隱患小策略設置復雜單機防火墻網絡防火墻產品形態(tài)軟件硬件或者軟件安裝點單臺獨立的Host網絡邊界處安全策略分散在各個安全點對整個網絡有效保護范圍單臺主機一個網段管理方式分散管理集中管理功能功能單一功能復雜、多樣管理人員普通計算機用戶專業(yè)網管人員安全措施單點安全措施全局安全措施結論單機防火墻是網絡防火墻的有益補充，但不能代替網絡防火墻為內部網絡提供強大的保護功能單機防火墻&網絡防火墻10操作系統(tǒng)平臺安全性性能穩(wěn)定性網絡適應性分發(fā)升級成本硬件防火墻基于精簡專用OS高高較高強不易較容易Price=firewall+Server軟件防火墻基于龐大通用OS較高較高高較強非常容易容易Price=Firewall僅獲得Firewall軟件，需要準備額外的OS平臺安全性依賴低層的OS網絡適應性弱（主要以路由模式工作）穩(wěn)定性高軟件分發(fā)、升級比較方便硬件+軟件，不用準備額外的OS平臺安全性完全取決于專用的OS網絡適應性強（支持多種接入模式）穩(wěn)定性較高升級、更新不太靈活硬件防火墻&軟件防火墻11按防火墻的體系結構分類多宿主主機被屏蔽主機被屏蔽子網12概念堡壘主機(Bastionhost):堡壘主機是一種配置了安全防范措施的網絡上的計算機，堡壘主機為網絡之間的通信提供了一個阻塞點，也就是說如果沒有堡壘主機，網絡之間將不能相互訪問。DMZ(DemilitarizedZone，非軍事區(qū)或者?；饏^(qū))：為了解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題，而設立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內部網絡和外部網絡之間的小網絡區(qū)域內，在這個小網絡區(qū)域內可以放置一些必須公開的服務器設施。13雙宿主主機

（Dual-HomedHostFirewall）雙宿主主機(Dual-homedHost):有兩個網絡接口的計算機系統(tǒng)，一個接口接內部網，一個接口接外部網。14被屏蔽主機

(ScreenedHostFirewall)外部網絡必須通過堡壘主機才能訪問內部網絡中的資源。內部網絡中的計算機則可以通過堡壘主機或者屏蔽路由器訪問外部網絡中的某些資源15被屏蔽子網

(ScreenedsubnetFirewall)內網可以訪問外網內網可以訪問DMZ外網不能訪問內網外網可以訪問DMZ中的服務器DMZ不能訪問內網和外網165.3防火墻實現(xiàn)技術原理簡單包過濾防火墻動態(tài)包過濾(狀態(tài)檢測)防火墻應用代理防火墻包過濾與應用代理復合型防火墻171．簡單包過濾防火墻

（Packetfiltering）數(shù)據(jù)包過濾技術的發(fā)展：靜態(tài)包過濾、動態(tài)包過濾。

包過濾防火墻在網絡層實現(xiàn)數(shù)據(jù)的轉發(fā)，包過濾模塊一般檢查網絡層、傳輸層內容，包括下面幾項：①源、目的IP地址；②源、目的端口號；③協(xié)議類型；④TCP報頭的標志位。18簡單包過濾防火墻的工作原理119應用層TCP層IP層網絡接口層TCP數(shù)據(jù)IP數(shù)據(jù)TCPTCP數(shù)據(jù)IPETH數(shù)據(jù)TCP數(shù)據(jù)IP應用層TCP層IP層網絡接口層TCP數(shù)據(jù)IP數(shù)據(jù)TCPTCP數(shù)據(jù)IPETH數(shù)據(jù)只檢查報頭111011011簡單包過濾防火墻不檢查數(shù)據(jù)區(qū)簡單包過濾防火墻不建立連接狀態(tài)表前后報文無關應用層控制很弱簡單包過濾防火墻的工作原理220包過濾防火墻的工作流程21優(yōu)點：保護整個網絡；對用戶透明；可用路由器，不需要其他設備。缺點：1.包過濾的一個重要的局限是它不能分辨好的和壞的用戶，只能區(qū)分好的包和壞的包。2.包過濾規(guī)則難配置。3.新的協(xié)議的威脅。4.IP欺騙包過濾防火墻的特點22包過濾型防火墻規(guī)則

它工作在網絡層、傳輸層，對每一報文根據(jù)報頭進行過濾，通過預定義規(guī)則對報文進行操作。 規(guī)則定義在轉發(fā)控制表中，因產品不同控制表格式不同，這里討論抽象的過濾規(guī)則。

23報文遵循自上至下的次序運用每一條規(guī)則，直到遇到與其相匹配的規(guī)則為止。操作方式有：轉發(fā)、丟棄、報錯、備忘等。根據(jù)不同實現(xiàn)方式，報文過濾可在進入或者離開防火墻時進行。24應用實例要求：1.內網的用戶可以訪問所有的WEB服務器。2.外網的用戶只可以訪問內部的WEB服務器（）。25E0訪問規(guī)則E0端口

方向動作源地址源端口目的地址目的端口協(xié)議進站允許/24>1023any80TCP進站拒絕any

any

【問題】1.第一條中源地址是否可以改為any?為什么？2.第一條中源端口是否可以改為any?為什么？3.S0口需要什么樣的規(guī)則？26S0訪問規(guī)則【問題】1.攻擊者在內網安裝了一個服務端的端口大于1023，客戶端的端口是80的木馬，是否可以通過這個防火墻？2.防火墻是否能夠阻擋對服務器的SYN掃描？方向動作源地址源端口目的地址目的端口協(xié)議進站允許any>102380TCP進站允許any80/24>1023TCP進站拒絕any

any

27判斷數(shù)據(jù)包的標志位【問題】1.此時防火墻是否能夠阻擋對服務器的SYN掃描？2.對于特殊構造了標志位的數(shù)據(jù)包？3.是否可以阻擋反彈端口的木馬？方向動作源地址源端口目的地址目的端口協(xié)議標志位進站允許any>102380TCP

進站允許any

any

TCPestablished進站拒絕any

any

282.動態(tài)包過濾(狀態(tài)檢測)防火墻工作原理1：29應用層TCP層IP層網絡接口層TCP數(shù)據(jù)IP數(shù)據(jù)TCPTCP數(shù)據(jù)IPETH數(shù)據(jù)TCP數(shù)據(jù)IP應用層TCP層IP層網絡接口層TCP數(shù)據(jù)IP數(shù)據(jù)TCPTCP數(shù)據(jù)IPETH數(shù)據(jù)只檢查報頭111011011不檢查數(shù)據(jù)區(qū)建立連接狀態(tài)表前后報文相關應用層控制很弱建立連接狀態(tài)表動態(tài)包過濾(狀態(tài)檢測)防火墻的工作原理230應用實例

【問題】動態(tài)包過濾防火墻如何解決了特殊構造了標志位的數(shù)據(jù)包？但是還是無法阻擋反彈端口的木馬。1.TCP開始攻擊IP規(guī)則連接表TCP開始攻擊IPTCP開始攻擊IPTCP開始攻擊IPSYNACKSYN2.允許允許TCP開始攻擊IPn.……31動態(tài)包過濾防火墻的工作流程323．代理防火墻（ProxyServer）代理防火墻的工作過程：33代理防火墻的工作原理34代理服務器的類型HTTP代理：代理客戶機的http訪問，主要代理瀏覽器訪問網頁，它的端口一般為80、8080、3128等。FTP代理：代理客戶機上的ftp軟件訪問ftp服務器，其端口一般為21、2121。POP3代理：代理客戶機上的郵件軟件用pop3方式收郵件，其端口一般為110。Telnet代理：能夠代理通信機的telnet，用于遠程控制，入侵時經常使用。其端口一般為23。Socks代理：是全能代理，支持多種協(xié)議，包括http、ftp請求及其它類型的請求，其標準端口為1080。……35應用實例例1：不允許上。方法：1.使用包過濾防火墻把服務器的所有IP過濾掉。2.使用代理防火墻過濾域名，而不管IP地址怎么改變。clint7,30,31,3233,34,35,40,0,1,2,3,61.172.2015,6服務器36Client用SOCKS5client服務器61.172.201.*SOCKS5代理服務器170.1.1.*【問題】圖中的防火墻如果改為代理防火墻，是否可以過濾Client傳過來的數(shù)據(jù)包？37Client用“特殊”的HTTP代理【說明】client端發(fā)出HTTP請求時，不包含的信息，代理防火墻就檢測不到字段，實現(xiàn)不了過濾。HTTP代理需要“特殊”定制，代理服務器知道這類client端發(fā)出的請求是要訪問，它會幫助client端下載的內容。38代理技術的優(yōu)點代理易于配置。

代理能生成各項記錄。代理能靈活、完全地控制進出流量、內容。

代理能過濾數(shù)據(jù)內容。代理能為用戶提供透明的加密機制。代理可以方便地與其他安全手段集成。

39代理技術的缺點代理速度較路由器慢。代理對用戶不透明。對于每項服務代理可能要求不同的服務器。

代理服務不能保證免受所有協(xié)議弱點的限制。

代理防火墻提供應用保護的協(xié)議范圍是有限的。40自適應代理防火墻檢測應用層的頭部信息，然后在網絡層轉發(fā)。41應用層TCP層IP層網絡接口層TCP數(shù)據(jù)IP數(shù)據(jù)TCPTCP數(shù)據(jù)IPETH數(shù)據(jù)TCP數(shù)據(jù)IP應用層TCP層IP層網絡接口層TCP數(shù)據(jù)IP數(shù)據(jù)TCPTCP數(shù)據(jù)IPETH數(shù)據(jù)檢查整個報文內容111011011可以檢查整個數(shù)據(jù)包內容根據(jù)需要建立連接狀態(tài)表網絡層保護強應用層控制細會話控制較弱建立連接狀態(tài)表復合型防火墻的工作原理42綜合安全性網絡層保護應用層保護應用層透明整體性能處理對象簡單包過濾防火墻狀態(tài)檢測包過濾防火墻應用代理防火墻復合型防火墻

單個包報頭

單個包報頭

單個包全部

單個包全部防火墻核心技術比較435.4防火墻的應用實驗（一）瑞星個人防火墻2008版445.4防火墻的應用實驗（二）代理類型—CCProxy1.設置IE的HTTP代理參數(shù)，觀察經過代理后，數(shù)據(jù)包頭的變化。2.設置IE的socks代理參數(shù)，觀察經過代理后，數(shù)據(jù)包頭的變化。3.CCProxy常用功能的設置：用戶

IP+MAC

內容流量45補充：防火墻其它功能安全審計負載均衡雙機熱備防御功能聯(lián)動功能內容過濾VPN功能雙地址路由端口映射DHCP環(huán)境支持MAC綁定功能帶寬管理多協(xié)議支持46負載均衡算法：順序選擇地址+權值根據(jù)PING的時間間隔來選擇地址+權值根據(jù)Connect的時間間隔來選擇地址+權值根據(jù)Connect然后發(fā)送請求并得到應答的時間間隔來選擇地址+權值服務器負載均衡47

雙機熱備（HA)功能48雙地址路由功能49MAP(端口映射)50對DHCP應用環(huán)境的支持設定HostB的MAC地址設定HostB的IP地址為空根據(jù)HostB的MAC地址進行訪問控制51IP與MAC地址綁定后，不允許HostB假冒HostA的IP地址上網IP與MAC（用戶）的綁定52多協(xié)議支持支持動態(tài)路由對OSPF路由協(xié)議的支持對RIP、RIP2協(xié)議的支持多協(xié)議支持對NETBEUI、VOD協(xié)議的支持支持802.1q和Cisco的ISL協(xié)議等VLAN專用協(xié)議支持DHCP、BOOTP協(xié)議……535.5防火墻性能指標最大位轉發(fā)率吞吐量延時丟包率背靠背最大并發(fā)連接數(shù)最大并發(fā)連接建立速率平均無故障間隔時間54備注：將測試結果乘以幀長就是位轉發(fā)率最大位轉發(fā)率定義：防火墻的位轉發(fā)率指在特定負載下每秒鐘防火墻將允許的數(shù)據(jù)流轉發(fā)至正確的目的接口的位數(shù)。最大位轉發(fā)率指在不同的負載下反復測量得出的位轉發(fā)率數(shù)值中的最大值

55定義：在不丟包的情況下能夠達到的最大速率衡量標準：吞吐量作為衡量防火墻性能的重要指標之一,吞吐量小就會造成網絡新的瓶頸，以至影響到整個網絡的性能

吞吐量56定義：入口處輸入幀最后1個比特到達至出口處輸出幀的第一個比特輸出所用的時間間隔衡量標準：防火墻的時延能夠體現(xiàn)它處理數(shù)據(jù)的速度

造成數(shù)據(jù)包延遲到達目標地延時57定義：在連續(xù)負載的情況下，防火墻設備由于資源不足應轉