防火墙及其应用.pptx

1、2024/4/10 周三1第第7章章 防火墙及其应用防火墙及其应用7.1 防火防火墙概述概述7.2 防火防火墙技技术与分与分类7.3防火防火墙体系体系结构构7.4 防火防火墙安全安全规则7.5防火防火墙应用用2024/4/10 周三27.1 防火墙概述防火墙概述n7.1.1 防火防火墙概念与概念与发展展历程程n 1.防火防火墙概念概念 防火防火墙是指是指设置在不同网置在不同网络之之间，例如可，例如可信任的内部网和不可信的公共网，或者不同网信任的内部网和不可信的公共网，或者不同网络安全域之安全域之间的的软硬件系硬件系统组合。它可通合。它可通过监测、限制、更改跨越防火、限制、更改跨越防火墙的数据流

2、，尽可能的数据流，尽可能地地对外部屏蔽网外部屏蔽网络内部的信息、内部的信息、结构和运行状构和运行状况，以此来保况，以此来保护企企业内部网内部网络的安全。的安全。2.防火墙的发展防火墙的发展n第一代防火第一代防火墙：第一代防火：第一代防火墙技技术几乎与路由器同几乎与路由器同时出出现，主要基于包，主要基于包过滤技技术（Packet Filter），是依），是依附于路由器的包附于路由器的包过滤功能功能实现的防火的防火墙。n第二代防火第二代防火墙：1989年，年，贝尔实验室的室的Dave Presotto和和Howard Trickey最早推出了第二代防火最早推出了第二代防火墙，即，即电路路层防火防火

3、墙。n第三代防火第三代防火墙：到：到20世世纪90年代初，开始推出第三代年代初，开始推出第三代防火防火墙，即，即应用用层防火防火墙（或者叫做代理防火（或者叫做代理防火墙）。）。n第四代防火第四代防火墙：到：到1992年，年，USC信息科学院的信息科学院的BobBraden开开发出了基于出了基于动态包包过滤（Dynamic Packet Filter）技）技术的的第四代防火的的第四代防火墙。n第五代防火第五代防火墙：到了：到了1998年，年，NAI公司推出了一种自公司推出了一种自适适应代理（代理（Adaptive Proxy）技）技术，可以称之，可以称之为第五第五代防火代防火墙。3.防火墙的发展

4、趋势防火墙的发展趋势n高安全性和高效率高安全性和高效率n对数据包的全方位数据包的全方位检查 n分布式防火分布式防火墙技技术 n建立与部署适用于建立与部署适用于IP V6协议下的防火下的防火墙体系体系架构架构2024/4/10 周三57.1.2 防火墙的功能防火墙的功能n对防火防火墙有两个基本需求：一是保有两个基本需求：一是保证内部网的安全性；内部网的安全性；二是保二是保证内部网与外部网之内部网与外部网之间的的连通性。通性。（1）过滤不安全数据和非法用不安全数据和非法用户。（2）报警与警与审计。（3）透明代理。）透明代理。（4）抗攻）抗攻击能力。能力。（5）VPN 功能。功能。（6）路由管理。）

5、路由管理。2024/4/10 周三67.1.3 防火墙局限性防火墙局限性n7.1.3 防火防火墙局限性局限性 1.对某些正常服某些正常服务的限制的限制 2.无法抵御来自内网的威无法抵御来自内网的威胁 3.无法阻无法阻挡旁路攻旁路攻击及潜在后及潜在后门 4.无法控制无法控制对病毒文件的病毒文件的传输 5.内网瓶内网瓶颈问题 2024/4/10 周三77.2 防火墙技术与分类防火墙技术与分类n7.2.1 包包过滤防火防火墙技技术 1.简单包包过滤技技术 2.状状态检测包包过滤技技术n7.2.2 代理服代理服务防火防火墙技技术 1.电路路级网关网关 2.应用用级网关网关 3.自适自适应代理代理7.2

6、.1包过滤防火墙技术包过滤防火墙技术n包包过滤(Packet Filter)是所有防火是所有防火墙中最核心的功能，与代理服中最核心的功能，与代理服务器技器技术相比，其相比，其优势是是传输信息信息时不占用网不占用网络带宽。包。包过滤路路由器在网由器在网络上的物理位置和上的物理位置和逻辑位置如位置如图7-2和和图7-3所示。包所示。包过滤型防火型防火墙根据一根据一组过滤规则集合，逐个集合，逐个检查IP数据包，确定是数据包，确定是否允否允许该数据包通数据包通过。图图7-2 7-2 包过滤路由器的物理位置包过滤路由器的物理位置图7-3 包包过滤路由器的路由器的逻辑位置位置两类包过滤防火墙技术两类包过滤

7、防火墙技术 包包过滤防火防火墙技技术根据所使用的根据所使用的过滤方法又具方法又具体可分体可分为：简单包包过滤技技术和状和状态检测包包过滤技技术。1.简单包包过滤技技术 也称作称静也称作称静态包包过滤。简单包包过滤防火防火墙在在检查数据包数据包报头时，只是根据定，只是根据定义好的好的过滤规则集来集来检查所有所有进出防火出防火墙的数据包的数据包报头信信息，并根据息，并根据检查结果允果允许或者拒或者拒绝数据包，并数据包，并不关心服不关心服务器和客器和客户机之机之间的的连接状接状态。2.状状态检测包包过滤技技术 也称也称动态包包过滤，是包，是包过滤器和器和应用用级网网关的一种折衷方案。关的一种折衷方案

8、。该技技术具有包具有包过滤机制的机制的高速和灵活性，也有高速和灵活性，也有应用用级网关的网关的应用用层安全安全的的优点。状点。状态检测包包过滤防火防火墙除了有一个除了有一个过滤规则集外，集外，还要跟踪通要跟踪通过自身的每一个自身的每一个连接，接，提取有关的通信和提取有关的通信和应用程序的状用程序的状态信息，构成信息，构成当前当前连接的状接的状态列表。列表。7.2.2代理服务防火墙技术代理服务防火墙技术 代理服代理服务（Proxy Service）是指运行于内部网）是指运行于内部网络与外网之与外网之间的主机的主机(堡堡垒主机主机)上的一种上的一种应用。当用用。当用户需要需要访问代理服代理服务器另

9、一器另一侧主机主机时，代理服，代理服务器器对于符合安全于符合安全规则的的连接，会代替主机响接，会代替主机响应访问请求，求，并重新向主机并重新向主机发出一个相同的出一个相同的请求。当此求。当此连接接请求得求得到回到回应并建立起并建立起连接之后，内部主机同外部主机之接之后，内部主机同外部主机之间的通信将通的通信将通过代理程序的相代理程序的相应连接映射来接映射来实现。代理。代理既是客既是客户端（端（Client），也是服），也是服务器端（器端（Server）。）。代理服代理服务防火防火墙的工作原理如的工作原理如图7-4。图7-4应用代理防火用代理防火墙的原理的原理图 代理服代理服务防火防火墙主要包含

10、以下三主要包含以下三类：1.电路路级网关网关 也称也称线路路级网关，工作在会网关，工作在会话层，在两主机首次，在两主机首次建立建立TCP连接接时建立通信屏障。它作建立通信屏障。它作为服服务器接收外器接收外来来请求，求，转发请求；与被保求；与被保护的主机的主机连接接时则扮演客扮演客户机角色、起到代理服机角色、起到代理服务的作用。它的作用。它监视两主机建立两主机建立连接接时的握手信息，如的握手信息，如SYN，ACK和序列数据等是否和序列数据等是否合乎合乎逻辑，然后由网关复制、，然后由网关复制、传递数据，而不数据，而不进行数行数据包据包过滤。电路路级网关中特殊的客网关中特殊的客户程序只在初次程序只在

11、初次连接接时进行安全行安全协商控制，此后商控制，此后则不再参与内外网之不再参与内外网之间的通信控制。的通信控制。2.应用用级网关网关 应用用级网关使用网关使用软件来件来转发和和过滤特定的特定的应用服用服务，如，如TELNET，FTP服服务等。等。这也是也是一种代理服一种代理服务，只允，只允许被被认为是可信的服是可信的服务通通过防火防火墙。此外，代理服。此外，代理服务也可以也可以过滤协议，如如过滤FTP连接、拒接、拒绝使用使用FTP命令等。命令等。3.自适自适应代理代理 自适自适应代理代理(Adaptive Proxy)技技术结合了代理服合了代理服务器防火器防火墙的安全性和包的安全性和包过滤防火

12、防火墙的高速度等的高速度等优点。点。组成自适成自适应代理防火代理防火墙的基本要素有两个：自适的基本要素有两个：自适应代代理服理服务器器(Adaptive Proxy Server)与与动态包包过滤器。器。在自适在自适应代理防火代理防火墙中，初始的安全中，初始的安全检查仍在仍在应用用层中中进行，保行，保证实现传统防火防火墙的最大安全性。而一旦的最大安全性。而一旦可信任身份得到可信任身份得到认证，建立了安全通道，随后的数据，建立了安全通道，随后的数据包就可以重新定向到网包就可以重新定向到网络层。这种技种技术能能够在确保安在确保安全性的基全性的基础上提高代理服上提高代理服务器防火器防火墙的性能。的性

13、能。2024/4/10 周三177.2.3 防火墙常见分类防火墙常见分类 7.2.3 防火防火墙常常见分分类n1.按照按照实现方法分方法分类 （1）软件防火件防火墙 运行于特定的运行于特定的计算机上，一般来算机上，一般来说这台台计算算机就是整个网机就是整个网络的网关。的网关。（2）硬件防火）硬件防火墙 由由计算机硬件、通用操作系算机硬件、通用操作系统和防火和防火墙软件件组成。成。（3）专用防火用防火墙 采用特采用特别优化化设计的硬件体系的硬件体系结构，使用构，使用专用用的操作系的操作系统。n2.按照体系按照体系结构分构分类 （1）个人防火）个人防火墙 安装在安装在计算机系算机系统里的里的软件防

14、火件防火墙，该软件件检查到达防火到达防火墙两端的所有数据包，无两端的所有数据包，无论是是进入入还是是发出，出，从而决定从而决定该拦截数据包截数据包还是允是允许其通其通过。（2）分布式防火）分布式防火墙 分布式防火分布式防火墙负责对网网络边界、各子网和网界、各子网和网络内内部各部各结点之点之间的安全防的安全防护。分布式防火。分布式防火墙是一个完整是一个完整的系的系统，而不是，而不是单一的一的产品。品。2024/4/10 周三197.3 防火墙体系结构防火墙体系结构 目前，防火目前，防火墙的体系的体系结构，一般主要有以下几种构，一般主要有以下几种n7.3.1 双宿主主机双宿主主机结构构n7.3.2

15、 屏蔽主机屏蔽主机结构构n7.3.3 屏蔽子网屏蔽子网结构构7.3.1 双宿主主机结构双宿主主机结构 双宿主主机防火双宿主主机防火墙体系体系结构是构是围绕着至少着至少具有两个网具有两个网络接口、接口、带有两有两块网卡的堡网卡的堡垒主机主机构成，主机上的两构成，主机上的两块网卡分网卡分别与外部网以及内与外部网以及内部受保部受保护网相网相连。堡。堡垒主机上运行防火主机上运行防火墙软件，件，可以可以转发数据，提供服数据，提供服务等，等，这种主机可以充种主机可以充当与其接口相当与其接口相连的网的网络之之间的路由器，它能的路由器，它能够从一个网从一个网络到另一个网到另一个网络发送送IP数据包。数据包。n

16、图7-5 双宿主主机双宿主主机结构构7.3.2 屏蔽主机结构屏蔽主机结构 双宿主主机防火双宿主主机防火墙是由一台同是由一台同时连接在内接在内外部网外部网络的堡的堡垒主机来提供安全保障，而屏蔽主机来提供安全保障，而屏蔽主机主机结构中提供安全保构中提供安全保护的主机的主机仅仅与内部网与内部网相相连。此外。此外还有一台有一台单独的包独的包过滤路由器，它路由器，它的作用是避免用的作用是避免用户直接与内部网直接与内部网络相相连。屏蔽。屏蔽主机主机结构如构如图7-6所示。所示。n图7-6 屏蔽主机屏蔽主机结构构7.3.3 屏蔽子网结构屏蔽子网结构 在屏蔽子网在屏蔽子网结构中，有二台与构中，有二台与边界网界

17、网络直直接相接相连的的过滤路由器，一台位于路由器，一台位于边界网界网络与外与外部网之部网之间，我，我们称之称之为外部路由器；另一台位外部路由器；另一台位于于边界网界网络与内部网与内部网络之之间，我，我们称之称之为内部内部路由器；在路由器；在这种种结构下，黑客要攻构下，黑客要攻击到内部网到内部网必必须通通过二台路由器的安全控制，即使入侵者二台路由器的安全控制，即使入侵者通通过了堡了堡垒主机，他主机，他还必必须通通过内部路由器才内部路由器才能抵达内部网。能抵达内部网。n图7-7 屏蔽子网屏蔽子网结构构2024/4/10 周三267.4 防火墙安全规则防火墙安全规则n通常情况下，网通常情况下，网络管

18、理管理员在防火在防火墙设备的的访问控制列表控制列表ACL（Access Control List）中）中设定定包包过滤规则，以此来表明是否允，以此来表明是否允许或者拒或者拒绝数数据包通据包通过。包。包过滤防火防火墙检查数据流中每个数数据流中每个数据包的据包的报头信息，例如源地址、目信息，例如源地址、目标地址、地址、协议类型、型、协议标志、服志、服务类型等，并与型等，并与过滤规则进行匹配，从而在内外网行匹配，从而在内外网络之之间实施施访问控控制功能制功能.n图7-8 包包过滤防火防火墙的安全的安全规则 防火防火墙规则设置中所涉及的置中所涉及的动作主要有以作主要有以下几种：下几种：n允允许:允允许

19、数据包通数据包通过防火防火墙传输，并按照路由表，并按照路由表中的信息被中的信息被转发。n放弃放弃:不允不允许数据包通数据包通过防火防火墙传输，但，但仅丢弃，弃，不不发任何相任何相应数据包。数据包。n拒拒绝:不允不允许数据包通数据包通过防火防火墙传输，并向数据包，并向数据包的源端的源端发送目的主机不可达的送目的主机不可达的ICMP数据包。数据包。n返回返回:没有没有发现匹配的匹配的规则，执行默行默认动作。作。n所有的防火所有的防火墙都是在以下两种模式下配置安全都是在以下两种模式下配置安全规则：n“白名白名单”模式模式 系系统默默认为拒拒绝所有的流量，所有的流量，这需要在你的网需要在你的网络中特殊

20、指定能中特殊指定能够进入和出去的流量的一些入和出去的流量的一些类型，型，因此白名因此白名单上的上的规则是具有合法性是具有合法性访问的安全的安全规则n“黑名黑名单”模式模式 系系统默默认为允允许所有的流量，所有的流量，这种情况需要特种情况需要特殊指定要拒殊指定要拒绝的流量的的流量的类型，因此在黑名型，因此在黑名单上定上定义的安全的安全规则属于非法的、被禁止的网属于非法的、被禁止的网络访问，这种种模式是一种开放的默模式是一种开放的默认管理模式。管理模式。n包包过滤防火防火墙一般有两一般有两类过滤规则的的设置方法置方法 1.按地址按地址过滤 用于拒用于拒绝伪造的数据包。若想阻止造的数据包。若想阻止伪

21、造原地址的数造原地址的数据包据包进入内部网，可按表入内部网，可按表7-1设置置规则。2.按服按服务类型型过滤 即是按数据包的服即是按数据包的服务端口号来端口号来过滤。在。在TCP协议中，中，协议是双向的，以是双向的，以Telnet为例，其例，其IP包的交包的交换也是双也是双向的。服向的。服务器端包器端包过滤应该按照表按照表7-2设置置规则。2024/4/10 周三317.5 防火墙应用防火墙应用n7.5.1 构建防火构建防火墙的基本步的基本步骤 1.配置内外部网配置内外部网络 2.用用户自定自定义安全策略安全策略 3.搭建防火搭建防火墙安全体系安全体系结构构 4.配置防火配置防火墙安全安全规则 5.审计日志管理日志管理2024/4/10 周三327.5.2 Windows系统中的防火墙实例系统中的防火墙实例n7.5.2 Windows系系统中的防火中的防火墙实例例 Windows防火防火墙提供某种程度的保提供某种程度的保护，避免那些依，避免那些依赖未未请求的求的传入流量来攻入流量来攻击的的恶意用意用户和程序。本小和程序。本小节对目前常用的目前常用的Windows XP Service Pack 2自自带防防火火墙为实例，介例，介绍它的基本配置及它的基本配置及应用。用。n7.5.3 Linux系系统下的配置下的配置实例例