第章防火墙技术PPT课件.ppt

第6章 防火墙技术本章学习目标 本章主要介绍了防火墙的观念、分类、体系结构以及有关产品。通过本章的学习、读者应该掌握以下内容：防火墙及其相关概念包过滤与代理防火墙的体系结构分布式防火墙与嵌入式防火墙天网个人防火墙的使用16.1 防火墙概述防火墙的概念 防火墙（Firewall）是指隔离在内部网络与外部网络之间的一道防御系统，它能挡住来自外部网络的攻击和入侵，保障着内部网络的安全 2防火墙发展简史第一代防火墙：采用了包过滤（Packet Filter）技术。第二、三代防火墙：1989年，推出了电路层防火墙，和应用层防火墙的初步结构。第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。第五代防火墙：1998年，NAI公司推出了一种自适应代理技术，可以称之为第五代防火墙。3防火墙的作用（1）可以限制未授权用户进入内部网络，过滤掉不安全服务和非法用户；（2）防止入侵者接近内部网络的防御设施，对网络攻击进行检测和告警；（3）限制内部用户访问特殊站点；（4）记录通过防火墙的信息内容和活动，监视Internet安全提供方便。4几个常用概念外部网络（外网）：防火墙之外的网络，一般为Internet，默认为风险区域。内部网络（内网）：防火墙之内的网络，一般为局域网，默认为安全区域。非军事化区（DMZ）：为了配置管理方便，内网中需要向外网提供服务的服务器（如WWW、FTP、SMTP、DNS等）往往放在Internet与内部网络之间一个单独的网段，这个网段便是非军事化区。5包过滤：也被称为数据包过滤，是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤规则，检查数据流中的每个数据包，根据数据包的源地址、目标地址以及端口等信息来确定是否允许数据包通过。代理服务器：是指代表内部网络用户向外部网络中的服务器进行连接请求的程序。6 状态检测技术 虚拟专用网 数据驱动攻击 IP地址欺骗7防火墙的基本功能过滤进出网络的数据包管理进出网络的访问行为封堵某些禁止的访问行为记录通过防火墙的信息内容和活动对网络攻击进行检测和告警8好的防火墙系统应具备的特性 1）内部网络和外部网络之间传输的数据必须通过防火墙；2）只有防火墙系统中安全策略允许的数据可以通过防火墙；3）防火墙本身不受各种攻击的影响；4）使用目前新的信息安全技术（现对密码技术、一次口令系统、智能卡等）；5）人机界面良好，用户配置使用方便，易管理。9防火墙安全策略(1)除非明确允许，否则就禁止这种方法堵塞了两个网络之间的所有数据传输，除了那些被明确允许的服务和应用程序。因此，应该逐个定义每一个允许的服务和应用程序，而任何一个可能成为防火墙漏洞的服务和应用程序都不能允许使用。这是一个最安全的方法，但从用户的角度来看，这样可能会有很多限制，不是很方便。一般在防火墙配置中都会使用这种策略。(2)除非明确禁止，否则就允许这种方法允许两个网络之间所有数据传输，除非那些被明确禁止的服务和应用程序。因此，每一个不信任或有潜在危害的服务和应用程序都应该逐个拒绝。虽然这对用户是一个灵活和方便的方法，它却可能存在严重的安全隐患。10防火墙的优点 防火墙是加强网络安全的一种有效手段，它有以下优点：防火墙能强化安全策略防火墙能有效地记录Internet上的活动防火墙是一个安全策略的检查站11防火墙的缺点（1）不能防范恶意的内部用户 防火墙可以禁止内部用户经过网络发送机密信息，但用户可以将数据复制到磁盘上带出去。如果入侵者已经在防火墙内部，防火墙也是无能为力的。内部用户可以不经过防火墙窃取数据、破坏硬件和软件，这类攻击占了全部攻击的一半以上。（2）不能防范不通过防火墙的连接 防火墙能够有效防范地通过它传输的信息，却不能防范不通过它传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。12（3）不能防范全部的威胁 防火墙被用来防范已知的威胁，一个很好的防火墙设计方案可以防范某些新的威胁，但没有一个防火墙能自动防御所有的新的威胁。（4）防火墙不能防范病毒 防火墙不能防范从网络上传染来的病毒，也不能消除计算机已存在的病毒。无论防火墙多么安全，用户都需要一套防毒软件来防范病毒。13网络防火墙与病毒防火墙的区别14防火墙技术分类（1）包过滤防火墙 又称网络层防火墙，它对进出内部网络的所有信息进行分析，并按照一定的信息过滤规则对信息进行限制，允许授权信息通过，拒绝非授权信息通过。(Firewall-1、PIX)（2）应用层网关（代理防火墙）这种防火墙是目前最通用的一种，由代理服务器与筛选路由器两部分构成，基本工作过程是：当客户机需要使用外网的服务器上的数据时，首先将数据请求发给代理服务器，代理服务器根据请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。同样的道理，代理服务器在外网向内网申请服务时也发挥了中间转接的作用。(Gauntlet)156.1.2 包过滤包过滤（Packet Filtering）技术在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤规则，检查数据流中的每个包，根据包头信息来确定是否允许数据包通过，拒绝发送可疑的包。使用包过滤技术的防火墙叫做包过滤防火墙（Packet filter），因为它工作在网络层，又叫网络层防火墙（Network level firewall）。16包过滤防火墙一般由屏蔽路由器（Screening Router，也称为过滤路由器）来实现，这种路由器是在普通路由器基础上加入IP过滤功能而实现的，这是防火墙最基本的构件。包过滤防火墙读取包头信息，与信息过滤规则比较，顺序检查规则表中每一条规则，直至发现包中的信息与某条规则相符。如果有一条规则不允许发送某个包，路由器就将它丢弃；如果有一条规则允许发送某个包，路由器就将它发送；如果没有任何一条规则能符合，路由器就会使用默认规则，一般情况下，默认规则就是禁止该包通过。17包过滤防火墙的优点（1）一个屏蔽路由器能保护整个网络 一个恰当配置的屏蔽路由器连接内部网络与外部网络，进行数据包过滤，就可以取得较好的网络安全效果。（2）包过滤对用户透明 不像在后面描述的代理（Proxy），包过滤不要求任何客户机配置。当屏蔽路由器决定让数据包通过时，它与普通路由器没什么区别，用户感觉不到它的存在。较强的透明度是包过滤的一大优势。（3）屏蔽路由器速度快、效率高 屏蔽路由器只检查包头信息，一般不查看数据部分，而且某些核心部分是由专用硬件实现的，故其转发速度快、效率较高，通常作为网络安全的第一道防线。18包过滤防火墙的缺点屏蔽路由器的缺点也是很明显的，通常它没有用户的使用记录，这样就不能从访问记录中发现黑客的攻击记录。配置繁琐也是包过滤防火墙的一个缺点。没有一定的经验，是不可能将过滤规则配置得完美。有的时候，因为配置错误，防火墙根本就不起作用。包过滤另一个关键的弱点就是不能在用户级别上进行过滤，只能认为内部用户是可信任的、外部用户是可疑的。此外，单纯由屏蔽路由器构成的防火墙并不十分安全，危险地带包括路由器本身及路由器允许访问的主机，一旦屏蔽路由器被攻陷就会对整个网络产生威胁。19包过滤防火墙的发展阶段第一代：静态包过滤防火墙第二代：动态包过滤（Dynamic Packet Filter）防火墙第三代：全状态检测（Stateful Inspection）防火墙第 四 代：深 度 包 检 测（Deep Packet Inspection）防火墙20代理技术所谓代理服务器，是指代表内网用户向外网服务器进行连接请求的服务程序。代理服务器运行在两个网络之间，它对于客户机来说像是一台真的服务器，而对于外网的服务器来说，它又是一台客户机。代理服务器的基本工作过程是：当客户机需要使用外网服务器上的数据时，首先将请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。同样的道理，代理服务器在外部网络向内部网络申请服务时也发挥了中间转接的作用。21代理的优点代理易于配置 代理因为是一个软件，所以它比过滤路由器容易配置，配置界面十分友好。如果代理实现得好，可以对配置协议要求较低，从而避免了配置错误。代理能生成各项记录 因代理在应用层检查各项数据，所以可以按一定准则，让代理生成各项日志、记录。这些日志、记录对于流量分析、安全检验是十分重要和宝贵的。22代理能灵活、完全地控制进出信息 通过采取一定的措施，按照一定的规则，可以借助代理实现一整套的安全策略，控制进出的信息。代理能过滤数据内容 可以把一些过滤规则应用于代理，让它在应用层实现过滤功能。23代理的缺点（1）代理速度比路由器慢（2）代理对用户不透明（3）对于每项服务，代理可能要求不同的服务器（4）代理服务通常要求对客户或过程进行限制（5）代理服务受协议弱点的限制（6）代理不能改进底层协议的安全性24代理防火墙的发展阶段（1）应用层代理（Application Proxy）代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。应用层代理为某个特定应用服务提供代理，它对应用协议进行解析并解释应用协议的命令。根据其处理协议的功能可分为FTP网关型防火墙、Telnet网关型防火墙、WWW网关型防火墙等。应用层代理的优点是能解释应用协议，支持用户认证，从而能对应用层的数据进行更细粒度的控制。缺点是效率低，不能支持大规模的并发连接，只适用于单一协议。25（2）电路层代理（Circuit Proxy）也称为电路级代理服务器。在电路层网关中，包被提交到用户应用层处理。电路层网关用来在两个通信的终点之间转换包。它适用于多个协议，但无法解释应用协议，需要通过其他方式来获得信息。所以，电路级代理服务器通常要求修改过的用户程序。其中，套接字服务器（Sockets Server）就是电路级代理服务器。对用户来说，内网与外网的信息交换是透明的，感觉不到防火墙的存在，那是因为因特网络用户不需要登录到防火墙上。但是客户端的应用软件必须支持“SocketsifideAPI”，内部网络用户访问外部网所使用的IP地址也都是防火墙的IP地址。26（3）自适应代理（Adaptive Proxy）自适应代理防火墙允许用户根据具体需求，定义防火墙策略，而不会牺牲速度或安全性。如果对安全要求较高，那么最初的安全检查仍在应用层进行，保证实现传统代理防火墙的最大安全性。而一旦代理明确了会话的所有细节，其后的数据包就可以直接经过速度更快的网络层。自适应代理可以和安全脆弱性扫描器、病毒安全扫描器和入侵检测系统之间实现更加灵活的集成。作为自适应安全计划的一部分，自适应代理将允许经过正确验证的设备在安全传感器和扫描仪发现重要的网络威胁时，根据防火墙管理员事先确定的安全策略，自动“适应”防火墙级别。27两类防火墙比较286.2 防火墙结构目前，防火墙的体系结构一般有以下几种：（1）双重宿主主机结构；（2）被屏蔽主机结构；（3）被屏蔽子网结构。296.2.1 双重宿主主机结构双宿主机（Dual-homed host），又称堡垒主机（Bastion host），是一台至少配有两个网络接口的主机，它可以充当与这些接口相连的网络之间的路由器，在网络之间发送数据包。一般情况下双宿主机的路由功能是被禁止的，这样可以隔离内部网络与外部网络之间的直接通信，从而达到保护内部网络的作用。30优点：与屏蔽路由器相比，提供日志以备检查缺点：双宿主机易受攻击316.2.2 屏蔽主机结构屏蔽主机结构需要配备一台堡垒主机和一个有过滤功能的屏蔽路由器，如图所示，屏蔽路由器连接外部网络，堡垒主机安装在内部网络上。通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络唯一可直接到达的主机。入侵者要想入侵内部网络，必须过屏蔽路由器和堡垒主机两道屏障，所以屏蔽主机结构比双重宿主主机结构具有更好的安全性和可用性。32336.2.3 屏蔽子网结构屏蔽子网结构它是在屏蔽主机结构的基础上添加额外的安全层，即通过添加周边网络（即屏蔽子网）更进一步地把内部网络与外部网络隔离开。一般情况下，屏蔽子网结构包含外部和内部两个路由器。两个屏蔽路由器放在子网的两端，在子网内构成一个“非军事区”DMZ。有的屏蔽子网中还设有一台堡垒主机作为唯一可访问点，支持终端交互或作为应用网关代理。这种配置的危险地带仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。3435周边网络：非军事化区、停火区（DMZ）,周边网络是另一个安全层,是在外部网络与内部网络之间的附加的网络。周边网络的作用对于周边网络，如果某人侵入周边网上的堡垒主机，他仅能探听到周边网上的通信。因为所有周边网上的通信来自或者通往堡垒主机或Internet。因为没有严格的内部通信(即在两台内部主机之间的通信，这通常是敏感的或者专有的)能越过周边网。所以，如果堡垒主机被损害，内部的通信仍将是安全的。36堡垒主机接受来自外界连接的主要入口：1、对于进来的电子邮件（SMTP）会话，传送电子邮件到站点；2、对于进来的FTP连接，转接到站点的匿名FTP服务器；3、对于进来的域名服务（DNS）站点查询等。37内部路由器内部路由器（阻塞路由器）：保护内部的网络使之免受Internet和周边子网的侵犯。内部路由器为用户执行大部分的数据包过滤工作。它允许从内部网到Internet的有选择的出站服务。这些服务是用户使用数据包过滤而不是通过代理服务提供。内部路由器所允许的在周边网和内部网之间服务可不同于内部路由器所允许的在外部和内部网之间的服务。限制堡垒主机与内部网之间的通信可减少堡垒机被攻破时对内部网的危害。38外部路由器在理论上，外部路由器保护周边网和内部网使之免受来自Internet的侵犯。实际上，外部路由器倾向于允许几乎任何东西从周边网出站，并且它们通常只执行非常少的数据包过滤。外部路由器安全任务之一是：阻止从Internet上伪造源地址进来的任何数据包。396.3 内部防火墙在大部分讨论中,都假定建立防火墙的目的在于保护内部网免受外部网的侵扰。但有时为了某些原因，我们还需要对内部网的部分站点再加以保护以免受内部的其它站点的侵袭。因此，有时我们需要在同一结构的两个部分之间，或者在同一内部网的两个不同组织结构之间再建立防火墙（也被称为内部防火墙）。406.3.1 传统边界防火墙的缺点网络应用受到结构性限制。内部安全隐患仍在效率较低和故障率高416.3.2 分布式防火墙分布式防火墙是一种主机驻留式的安全系统，它是以主机为保护对象，它的设计理念是主机以外的任何用户访问都是不可信任的，都需要进行过滤。当然在实际应用中，也不是要求对网络中每对台主机都安装这样的系统，这样会严重影响网络的通信性能。它通常用于保护企业网络中的关键结点服务器、数据及工作站免受非法入侵的破坏。分布式防火墙负责对网络边界、各子网和网络内部各节点之间的安全防护，所以分布式防火墙是一个完整的系统，而不是单一的产品。42分布式防火墙体系结构网络防火墙（Network Firewall）：这一部分有的公司采用的是纯软件方式，而有的可以提供相应的硬件支持。它是用于内部网与外部网之间，以及内部网各子网之间的防护。与传统边界防火墙相比，它多了一种用于对内部子网之间的安全防护层，这样整个网络的安全防护体系就显得更加全面，更加可靠。不过在功能与传统的边界式防火墙类似。43主机防火墙（Host Firewall）：同样也有纯软件和硬件两种产品，是用于对网络中的服务器和桌面机进行防护。这也是传统边界式防火墙所不具有的，也算是对传统边界式防火墙在安全体系方面的一个完善。它是作用在同一内部子网之间的工作站与服务器之间，以确保内部网络服务器的安全。这样防火墙的作用不仅是用于内部与外部网之间的防护，还可应用于内部网各子网之间、同一内部子网工作站与服务器之间。可以说达到了应用层的安全防护，比起网络层更加彻底。44中心管理（Central Managerment）：这是一个防火墙服务器管理软件，负责总体安全策略的策划、管理、分发及日志的汇总。这是新的防火墙的管理功能，也是以前传统边界防火墙所不具有的。这样防火墙就可进行智能管理，提高了防火墙的安全防护灵活性，具备可管理性。45分布式防火墙的主要特点（1）主机驻留 这种分布式防火墙的最主要特点就是采用主机驻留方式，所以称之为主机防火墙（传统边界防火墙通常称之为网络防火墙）。它的重要特征是驻留在被保护的主机上，该主机以外的网络不管是处在网络内部还是网络外部都认为是不可信任的，因此可以针对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略。主机防火墙对分布式防火墙体系结构的突出贡献是，使安全策略不仅仅停留在网络与网络之间，而是把安全策略推广延伸到每个网络末端。46（2）嵌入操作系统内核 这主要是针对目前的纯软件式分布式防火墙来说的.操作系统自身存在许多安全漏洞目前是众所周知的，运行在其上的应用软件无一不受到威,。分布式主机防火墙也运行在主机上，所以其运行机制是主机防火墙的关键技术之一。为自身的安全和彻底堵住操作系统的漏洞，主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行，直接接管网卡，在把所有数据包进行检查后再提交操作系统。为实现这样的运行机制，除防火墙厂商自身的开发技术外，与操作系统厂商的技术合作也是必要的条件，因为这需要一些操作系统不公开内部技术接口。不能实现这种分布式运行模式的主机防火墙由于受到操作系统安全性的制约，存在着明显的安全隐患。47（3）类似于个人防火墙 个人防火墙是一种软件防火墙产品，它是用来保护单一主机系统的。分布式防火墙与个人防火墙有相似之处，如都是对应个人系统。但它们之间又有着本质上的差别。首先它们管理方式迥然不同，个人防火墙的安全策略由系统使用者自己设置，全面功能和管理都在本机上实现，它的目标是防止主机以外的任何外部用户攻击；而针对桌面应用的主机防火墙的安全策略由整个系统的管理员统一安排和设置，除了对该桌面机起到保护作用外，也可以对该桌面机的对外访问加以控制，并且这种安全机制是桌面机的使用者不可见和不可改动的。其次，不同于个人防火墙是单纯的直接面向个人用户，针对桌面应用的主机防火墙是面向企业级客户的，它与分布式防火墙其它产品共同构成一个企业级应用方案，形成一个安全策略中心统一管理，所以它在一定程度上也面对整个网络。它是整个安全防护系统中不可分割的一部分，整个系统的安全检查机制分散布置在整个分布式防火墙体系中。48（4）适用于服务器托管 互联网和电子商务的发展促进了互联网数据中心（IDC）的迅速崛起，其主要业务之一就是服务器托管服务。对服务器托管用户而言，该服务器逻辑上是其企业网的一部分，只不过物理上不在企业内部。对于这种应用，边界防火墙解决方案就显得比较牵强附会。我们在前面介绍了，对于这类用户，他们通常所采用的防火墙方案是采用虚拟防火墙方案，但这种配置相当复杂，非一般网管人员能胜任。而针对服务器的主机防火墙解决方案则是其一个典型应用。对于纯软件式的分布式防火墙则用户只需在该服务器上安装上主机防火墙软件，并根据该服务器的应用设置安全策略即可，并可以利用中心管理软件对该服务器进行远程监控，不需任何额外租用新的空间放置边界防火墙。对于硬件式的分布式防火墙因其通常采用PCI卡式的，通常兼顾网卡作用，所以可以直接插在服务器机箱里面，也就无需单独的空间托管费了，对于企业来说更加实惠。49分布式防火墙的优势增强的安全性提高了系统性能系统的扩展性应用更为广泛，支持VPN通信506.3.3 嵌入式防火墙将分布式防火墙技术集成在硬件上，就构成了我们所称的“嵌入式防火墙”。最新一代的安全性解决方案将防火墙功能分布到网络的桌面系统、笔记本计算机以及服务器PC上。分布于整个公司内的嵌入式防火墙使用户可以方便地访问信息，而不会将网络的其他部分暴露在潜在非法入侵者面前。嵌入式防火墙的代表产品是3Com 10/100安全服务器网卡（3Com 10/100 Secure Server NIC）、3Com 10/100安全网卡（3Com 10/100 Secure NIC）以及3Com公司嵌入式防火墙策略服务器（3Com Embedded Firewall Policy Server）。516.3.4 个人防火墙LockdownNortonZonealarmPCCillinBlackice天网个人版防火墙冠群金辰Personal Firewall金山网镖瑞星个人防火墙526.4 防火墙产品介绍以色列Checkpoint公司的Fire Wall-1Cisco公司的PIXNAI公司的GauntletCyberGuard 公司的Fire Wall个人防火墙：澳大利亚的Secure PC加拿大的ConSeal PC美国的Cyber Patrol中国的“天网”、“网络卫士”、“蓝盾”536.5 防火墙第选择与安装 防火墙基本功能 企业的特殊要求 与用户网络结合54