1、个人收集整理 勿做商业用途第6章 防火墙技术学习目标1。 理解防火墙基本概念和防火墙工作原理2. 掌握防火墙的体系结构和基于防火墙的安全网络结构3. 学会防火墙产品的购买方案选择4。 学会配置防火墙本章要点l 防火墙的概念、类型、目的与作用l 防火墙的设计与创建l 基于防火墙的安全网络结构l 硬件防火墙配置与管理l 个人防火墙的配置6.1 防火墙的基本概念6。1。1 网络防火墙基本概念什么是防火墙?建筑在山林中的房子大部分是土木结构,防火性能较差。为了防止林中的山火把房子烧毁,每座房子在其周围用石头砌一座墙作为隔离带,这就是本意上的防火墙。防火墙的原意是指在容易发生火灾的区域与拟保护的区域之间
2、设置的一堵墙,将火灾隔离在保护区之外,保证拟保护区内的安全。网络防火墙是指在两个网络之间加强访问控制的一整套装置,即防火墙是构造在一个可信网络(一般指内部网)和不可信网络(一般指外部网)之间的保护装置,强制所有的访问和连接都必须经过这个保护层,并在此进行连接和安全检查.只有合法的数据包才能通过此保护层,从而保护内部网资源免遭非法入侵.下面说明与防火墙有关的概念。(1) 主机:与网络系统相连的计算机系统.(2) 堡垒主机:指一个计算机系统,它对外部网络暴露,同时又是内部网络用户的主要连接点,所以很容易被侵入,因此必须严密保护保垒主机。(3) 双宿主主机:又称双宿主机或双穴主机,是具有两个网络接口
3、的计算机系统。(4) 包:在互联网上进行通信的基本数据单位。(5) 包过滤:设备对进出网络的数据流(包)进行有选择的控制与操作。通常是对从外部网络到内部网络的包进行过滤。用户可设定一系列的规则,指定允许(或拒绝)哪些类型的数据包流入(或流出)内部网络。(6) 参数网络:为了增加一层安全控制,在内部网与外部网之间增加的一个网络,有时也称为中立区(非军事区),即DMZ(Demilitarized Zone)。(7) 代理服务器:代表内部网络用户与外部服务器进行数据交换的计算机(软件)系统,它将已认可的内部用户的请求送达外部服务器,同时将外部网络服务器的响应再回送给用户。6。1。2 网络防火墙的目的
4、与作用构建网络防火墙的主要目的如下所述。(1) 限制访问者进入一个被严格控制的点。(2) 防止进攻者接近防御设备。(3) 限制访问者离开一个被严格控制的点。(4) 检查、筛选、过滤和屏蔽信息流中的有害服务,防止对计算机系统进行蓄意破坏。网络防火墙的主要作用如下所述.(1) 有效地收集和记录互联网上的活动和网络误用情况。(2) 能有效隔离网络中的多个网段,防止一个网段的问题传播到另外网段。(3) 防火墙作为一个安全检查站,能有效地过滤、筛选和屏蔽有害的信息和服务。(4) 防火墙作为一个防止不良现象发生的“警察,能执行和强化网络的安全策略。6。2 防火墙工作原理防火墙按其工作原理来看可分为两大类:
5、包过滤型、代理服务型。也可从所采用的技术上看详细分为6种类型:包过滤型;代理服务器型;电路层网关;混合型;应用层网关;自适应代理技术。6.2。1 包过滤型防火墙包过滤型防火墙(Packet Filter Firewall)中的包过滤器一般安装在路由器上,工作在网络层(IP)。它基于单个包实施网络控制,根据所收到的数据包的源地址、目的地址、TCP/UDP、源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数,与用户预定的访问控制表进行比较,决定数据是否符合预先制定的安全策略,决定数据包的转发或丢弃,即实施信息过滤.实际上,它一般允许网络内部的主机直接访问外部网络,而外部网络上的
6、主机对内部网络的访问则要受到限制。在互联网上提供某些特定服务器一般都使用相对固定的端口号。因此路由器在设置包过滤规则时指定:对于某些端口号允许数据包与该端口交换,或者阻断数据包与它们的 连接。这种防火墙的优点是简单、方便、速度快、透明性好,对网络性能影响不大,但缺乏用户日志(Log)和审计信息(Audit),缺乏用户认证(CA)机制,不具备审核管理,且过滤规则的完备性难以得到检验,复杂过滤规则的管理也比较困难.因此,包过滤型防火墙的安全性较差.6.2。2 IP级包过滤型防火墙1。 概述IP级过滤型防火墙(IP Packet Filter)可看做是一个多端口的交换设备,它对每一个到来的报文根据其
7、报头进行过滤,按一组预定义的规则来判断该报文是否可以继续转发,不考虑报文之间的前后关系.这些过滤规则称为Packet Profile.在具体的产品中,过滤规则定义在转发控制表中,报文遵循自上向下的次序依次运用每一条规则,直到遇到与其相匹配的规则为止。对报文可采取的操作有转发(Forwarding)、丢弃(Dropping)、报错(Sending a Failure Response)和备忘(Logging For Exception Tracking)等。根据不同的实现方式,报文过滤可以在进入防火墙时进行,也可以在离开防火墙时进行。不同的IP级防火墙产品采用不同的传输控制表格式。为便于陈述,这
8、里只讨论抽象的过滤规则,并采用表6-1所示格式.表61 格式DirectionTypeSrcPortDestPortAction传输方向协议类型源地址源主机端口宿地址宿主机端口控制操作设网络123。45.0。0/16不愿其他因特网主机访问其站点;但它的一个子网123.45。6。0/24和某大学135。79.0.0/16有合作项目,因此允许该大学访问该子网;然而135。79。99。0/24是黑客天堂,需要禁止,为此在网络防火墙上设置表6-2所示规则。表62 规则一DirectionTypeSrcPortDestPortAction1In*135.79。99.0/24*123.45。0.0/16D
9、eny2Out*123。45。0.0/16*135.79.99。0/24Deny3In135。79.0.0/16*123.45.6。0/24*Allow4Out123.45。6.0/24*135.79.0。0/16Allow5Both*Deny注:指任何任意(如所指的表示为任意的协议类型),其他的类推。注意这些规则之间并不是互斥的,因此要考虑顺序。另外这里建议的规则只用于讨论原理,因此在形式上并非是最佳的。2。 SMTP处理SMTP是一个基于TCP的服务,服务器使用端口25,客户机使用任何大于1023的端口.如果防火墙允许电子邮件穿越网络边界,则可定义表63所示规则.表63 规则二Direct
10、ionTypeSrcPortDestPortAction1InTCP外部1023内部25Allow2OutTCP内部25外部1023Allow3OutTCP内部1023外部25Allow4InTCP外部25内部1023Allow5Both*Deny表63的规则1、规则2允许内部主机接受来自外部的邮件,规则3、规则4允许内部主机向外部发送邮件,规则5禁止使用其他端口的协议数据包通过。3。 HTTP处理HTTP是一个基于TCP的服务,大多数服务器使用端口80,也可使用其他非标准端口,客户机使用任何大于1023的端口。如果防火墙允许WWW穿越网络边界,则可定义表6-4所示规则。表64 规则三Dire
11、ctionTypeSrcPortDestPortAction1InTCP外部1023内部80Allow2OutTCP内部80外部1023Allow3OutTCP内部1023外部80Allow4InTCP外部80内部1023Allow5both*Deny表64的规则1、规则2允许外部主机访问本站点的WWW服务器,规则3、规则4允许内部主机访问外部的WWW服务器。由于服务器可能使用非标准端口,给防火墙允许的配置带来一些麻烦。一般实际使用的IP防火墙都直接对应用协议进行过滤,即管理员可在规则中指明是否允许HTTP通过,而不是只关注80端口。其他如POP、FTP、Telnet、RPC、UDP、ICMP
12、等协议的处理过程也类似,限于篇幅这里不再赘述。6.2.3 代理服务器型防火墙代理服务器型防火墙(Proxy Service Firewall)通过在主机上运行服务程序,直接面对特定的应用层服务,因此也称为应用型防火墙。其核心是运行于防火墙主机上的代理服务进程,该进程代理用户完成TCP/IP功能,实际上是为特定网络应用而连接两个网络的网关.对每种不同的应用(Email、FTP、Telnet、WWW等)都应用一个相应的代理服务.外部网络与内部网络之间要建立连接,首先必须通过代理服务器的中间转换,内部网络只接受代理服务器提出的要求,拒绝外部网络的直接请求。代理服务可以实施用户论证、详细日志、审计跟踪
13、和数据加密等功能和对具体协议及应用的过滤,如阻塞Java或Java Script等。代理服务器有两个部件:一个代理服务器和一个代理客户。代理服务器是一个运行代理服务程序的双宿主主机;而代理客户是普通客户程序(如一个Telnet或FTP客户)的特别版本,它与代理服务器交互而并不与真正地与外部服务器相连.普通客户按照一定的步骤提出服务请求,代理服务器依据一定的安全规则来评测代理客户的网络服务请求,然后决定是受理还是拒绝该请求。如果代理服务器受理该请求,代理服务器就代表客户与真正的服务器相连,并将服务器的相应响应传送给代理客户.更精细的代理服务可以对不同的主机执行不同的安全规则,而不对所有主机执行同
14、一个标准。目前,市场上已经有一些优秀的代理服务软件。SOCKS就是一个可以建立代理的工具,这个软件可以很方便地将现存的客户/服务器应用系统转换成代理方式下的具有相同结构的应用系统。而在TIS FWTK(Trusted Information System Internet Firewall Toolkit)里包括了能满足一般常用的互联网协议的代理服务器(如Telnet、FTP、HTTP、rlogin、X。11),这些代理服务器是为与客户端的用户程序相连而设计的。许多标准的客户与服务器程序,不管它们是商品软件还是免费软件,本身都具有代理功能,或者支持使用像SOCKS这样的系统。这种防火墙能完全控
15、制网络信息的交换,控制会话过程,具有灵活性和安全性,但可能影响网络的性能,对用户不透明,且对每一种服务器都要设计一个代理模块,建立对应的网关层,实现起来比较复杂.6。2。4 其他类型的防火墙1。 电路层网关电路层网关(Circuit Gateway)在网络的传输层上实施访问控制策略,是在内、外网络主机之间建立一个虚拟电路进行通信,相当于在防火墙上直接开了个口子进行传输,不像应用层防火墙那样能严密地控制应用层的信息。2。 混合型防火墙混合型防火墙(Hybrid Firewall)把包过滤和代理服务等功能结合起来,形成新的防火墙结构,所用主机称堡垒主机,负责代理服务。各种类型的防火墙,各有其优缺点
16、。当前的防火墙产品,已不是单一的包过滤型或代理服务型防火墙,而是将各种安全技术结合起来,形成一个混合的多级的防火墙系统,以提高防火墙的灵活型和安全性。如混合采用以下几种技术:动态包过滤;内核透明技术;用户认证机制;内容和策略感知能力;内部信息隐藏;智能日志、审计和实时报警;防火墙的交互操作性;将各种安全技术结合等.3。 应用层网关应用层网关(Application Gateway)使用专用软件转发和过滤特定的应用服务,如Telnet和FTP等服务连接。这是一种代理服务,代理服务技术适应于应用层,它由一个高层的应用网关作为代理器,通常由专门的硬件来承担.代理服务器在接受外来的应用控制的前提下使用
17、内部网络提供的服务。也就是说,它只允许代理的服务通过,即只有那些被认为“可依赖的”服务才允许通过防火墙。应用层网关有登记、日志、统计和报告等功能,并有很好的审计功能和严格的用户认证功能,应用层网关的安全性高,但它要为每种应用提供专门的代理服务程序.4。 自适应代理技术自适应代理技术(Self-Adaptive Agent Technology)是一种新颖的防火墙技术,在一定程序上反映了防火墙目前的发展动态。该技术可以根据用户定义的安全策略,动态适应传送中的分组流量。如果安全要求较高,则安全检查应在应用层完成,以保证代理防火墙的最大安全性;一旦代理明确了会话的所有细节,其后的数据包就直接到达速度
18、快得多的网络层。该技术兼备了代理技术的安全性和其他技术的高效率。各种防火墙的性能比较见表6-5.表6-5 各种防火墙性能比较 类型性能 包过滤应用网关代理服务电路层网关自适应代理技术工作层次网络层应用层应用层网络层网络层或应用层效率最高低最低高自适应安全最低高最高低自适应根本机制过滤过滤代理代理过滤成代理内部信息无无有有有高层数据理解无有有无有支持应用所有标准应用(易扩展)标准应用(易扩展)所有标准应用(易扩展)UDP支持无有有无有6。3 防火墙体系结构网络防火墙的安全体系结构基本上分5种:过滤路由器结构;双宿主主机结构;主机过滤结构;过滤子网结构;吊带式结构.6.3。1 过滤路由器防火墙结构
19、在传统的路由器中增加分组过滤功能就能形成这种最简单的防火墙。这种防火墙的好处是完全透明,但由于是在单机上实现,形成了网络中的“单失效点”.由于路由器的基石功能是转发分组,一旦过滤机能失效,被入侵都就会形成网络直通状态,任何非法访问都可以进入内部网络.因此这种防火墙的失效模式不是“失效安全”型,也违反了阻塞点原理.因此,我们认为这种防火墙尚不能提供有效的安全功能,仅在早期的因特网中应用.过滤防火墙的基本结构如图6.1所示.内部网络服务器网络包过滤路由器图6.1 包过滤路由器防火墙结构6.3。2 双宿主主机防火墙结构该结构至少是具有两个接口(即两块网卡)的双宿主主机而构成。双宿主主机的一个接口接内
20、部网络,另一个接口接外部网络,这种主机还可以充当与这台主机相连的网络之间的路由器,它能将一个网络的IP数据包在无安全控制的情况下传递给另外一个网络。但是在将一台主机安装到防火墙结构中时,首先要使双宿主主机的这种路由功能失效。从一个外部网络(如互联网络)来的IP数据包不能无条件地传给另一个网络(如内部网络)。只有双宿主主机支持内、外网络,并与堡垒主机实施通信,而内、外网络之间不能直接通信。双宿主主机可以提供很高程度的网络控制.如果安全规则不允许包在内、外部网络之间直传,而发现内部网络的包有一个对应的外部数据源,这就说明系统安全机制出问题了.在有些情况下,如果一个申请的数据类型与外部网络提供的某种
21、服务不相符时,双宿主主机否决申请者要求与外部网的连接.同样情况下,用包过滤系统做到这种控制是非常困难的。当然,要充分地利用双宿主主机其他潜在的许多优点,其开发工作量是很大的。双宿主主机只有用代理服务的方式或者用让用户直接注册到双宿主主机上的方式,才能提供安全控制服务。另外,这种结构要求用户每次都必须在双宿主主机上注册,这样就会使用户感到不方便。该防火墙安全结构如图6.2所示.网络双宿主主机防火墙服务器图6.2 双宿主主机防火墙结构使用时,一般要求用户先注册,再通过双宿主主机访问另一边的网络,但由于代理服务器简化了用户的访问过程,可以做到对用户透明,属于“失效安全型。由于该防火墙仍是由单机组成的
22、,没有安全冗余机制,仍是网络的“单失效点”,因此这种防火墙还是不完善的,在现在的因特网中仍有应用.6。3.3 主机过滤型防火墙结构这种防火墙由过滤路由器和运行网关软件的堡垒主机构成.该结构提供安全保护的堡垒主机仅与内部网络相连,而过滤路由器位于内部网络和外部网络之间,如图6。3所示。防御主机代理服务器包过滤路由器网络服务器图6.3 主机过滤型防火墙结构该主机可完成多种代理,如FTP、Telnet和WWW,还可以完成认证和交互作用,能提供完善的因特网访问控制。这种防火墙中的堡垒主机是网络的“单失效点”,也是网络黑客集中攻击的目标,安全保障仍不理想.一般来讲,主机过滤结构能比双宿主主机结构提供更好
23、的安全保护区,同时也更具有可操作性,而且这种防火墙投资少,安全功能实现和扩充容易,因而目前应用比较广泛。6.3。4 子网过滤型防火墙结构该防火墙是在主机过滤结构中再增加一层参数网络的安全机制,使得内部和外部网络之间有两层隔断。由参数网络的内、外部路由器分别连接内部与外部网络,如图6.4所示.私人网络网络防御主机DMZ图6.4 子网过滤型防火墙结构用参数网络(DMZ)来隔离堡垒主机与内部网,就能减轻入侵者冲开堡垒主机后给内部网络带来的破坏力。入侵者即使冲过堡垒主机也不能对内部网络进行任意操作,而只可进行部分操作。在最简单的子网过滤结构中,有两台与参数网络相连的过滤路由器,一台位于参数网络与内部网
24、络之间,而另一台位于参数网络与外部网络之间。在这种结构下,入侵者要攻击到内部网络就必须通过两台路由器的安全控制。即使入侵者通过了堡垒主机,它还必须通过内部网络路由器才能抵达内部网.这样,整个网络安全机制就不会因一点被攻击而全部瘫痪.有些站点还可用多层参数网络加以保护,低可靠性的保护由外层参数网络提供,高可靠性的保护由内部网络提供.这样,入侵者撞开外部路由器,到达堡垒主机后,必须再破坏更为精致的内部路由器才可以到达内部网络系统.但是,如果在多层参数网络结构中的每层之间使用的包过滤系统允许相同的信息可通过任意一层,那么另外的参数网络也就不会起作用了。这种防火墙把前一种主机的通信功能分散到多个主机组
25、成的网络中,有的作为FTP服务器,有的作为E-mail服务器,有的作为WWW服务器,有的作为Telnet服务器,而堡垒主机则作为代理服务器和认证服务器置于周边网络中,以维护因特网与内部网络的连接。这种网络防火墙配置减少入侵者闯入破坏的机会,是一种比较理想的安全防范模式。6。3。5 吊带式防火墙结构这种防火墙与子网过滤型防火墙结构的区别是,作为代理服务器和认证服务器的网关主机位于周边网络中。这样,代理服务器和认证服务器是内部网络的第一道防线,内部路由器是内部网络的第二道防线,而把因特网的公共服务(如FTP服务器、Telnet服务器和WWW服务器及E-mail服务器等)置于周边网络中,也减少了内部
26、网络的安全风险。这种防火墙的结构如图6。5所示。这种结构正符合我们提出的5点要求,应是最安全的防范模式。WWW服务器FTP服务器代理服务器DMZTelent服务器网络CA服务器私人网络图6。5 吊带式防火墙结构实践表明,过滤路由器防火墙是最简单的安全防范措施,双宿主主机防火墙居中,主机过滤型防火墙和子网过滤型防火墙安全措施比较理想,而吊带式防火墙安全防范措施最好,但一般在中小型企业网中应用不广泛。6。3.6 典型的防火墙结构建造防火墙时,一般很少采用单一的技术,通常是使用多种解决不同问题的技术组合。这种组合取决于网络管理中心向用户提供什么样的服务,以及网管中心能接受什么等级的风险。采用哪种技术
27、主要取决于经费,制冷的大小或技术人员的技术、时间因素。一般有以下几种形式。(1) 使用多堡垒主机。(2) 合并内部路由器与外部路由器。(3) 合并堡垒主机与外部路由器。(4) 合并堡垒主机与内部路由器。(5) 使用多台内部路由器。(6) 使用多台外部路由器。(7) 使用多个周边网络。(8) 使用双重宿主主机与屏蔽子网。如图6.6所示是目前典型的防火墙结构。202.100.X。X192。168。X.X内部网络工作站工作站应用服务器数据库服务器多媒体服务器FTP服务器防火墙路由器InternetWeb服务器DMZ区图6。6 典型防火墙结构6.4 防火墙选购6。4.1 防火墙设计的安全要求与准则1从
28、网络的安全角度看,防火墙必须满足以下要求。(1) 防火墙应由多个构件组成,形成一个有一定冗余度的安全系统,避免成为网络的单失效点。(2) 防火墙应能抵抗网络黑客的攻击,并可对网络通信进行监控和审计。这样的网络结点称为阻塞点.(3) 防火墙一旦失效、重启动或崩溃,则应完全阻断内、外部网络站点的连接,以免闯入者进入。这种安全模式的控制方法是由防火墙安全机制来控制网络的接口的启动。称这种防火墙的失效模式是“失效安全”模式。(4) 防火墙应提供强制认证服务,外部网络对内部网络的访问应经过防火墙的认证检查,包括对网络用户和数据源的认证。应支持Email、FTP、Telnet和WWW等使用。(5) 防火墙
29、对内部网络应起到屏蔽作用,并且隐蔽内部网站的地址和内部网络的拓扑结构。2在防火墙的设计中,安全策略是防火墙的灵魂和基础.通常,防火墙采用的安全策略有如下两个基本准则。(1) 一切未被允许的访问就是禁止的.基于该原则,防火墙要封锁所有的信息流,然后对希望开放的服务逐步开放,这是一种非常实用的方法,可以形成一个十分安全的环境,但其安全是以牺牲用户使用的方便为代价的,用户所能使用的服务范围受到较大的限制。(2) 一切未被禁止的访问就是允许的。基于该准则,防火墙开放所有的信息流,然后逐项屏蔽有害的服务。这种方法构成了一种灵活的应用环境,但很难提供可靠的安全保护,特别是当保护的网络范围增大时。建立防火墙
30、是在对网络的服务功能和拓扑结构仔细分析的基础上,在被保护的网络周边,通过专用硬件、软件及管理措施的综合,对跨越网络边界的信息提供监测、控制甚至修改的手段。6.4.2 创建防火墙步骤成功创建一个防火墙系统一般需要6个步骤:制定安全策略,搭建安全体系结构,制定规则次序,落实规则集,注意更换控制和做好审计工作。建立一个可靠的规则集对于实现一个成功的、安全的防火墙来说是非常关键的一步。如果防火墙规则集配置错误,再好的防火墙也只是摆设.在安全审计中,经常能看到一个巨资购入的防火墙由于某个规则配置的错误而将机构暴露于巨大的危险之中。1制定安全策略防火墙和防火墙规则集只是安全策略的技术实现。在建立规则集之前,必须首