信息安全系统工程防火墙.ppt

《信息安全系统工程防火墙.ppt》由会员分享，可在线阅读，更多相关《信息安全系统工程防火墙.ppt（84页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、一、防火墙概述一、防火墙概述n n防火墙是建立在防火墙是建立在内外网络边界上内外网络边界上的过滤封锁机制，它的作的过滤封锁机制，它的作用是在保证网络畅通的情况下，防止不希望的、未经授权用是在保证网络畅通的情况下，防止不希望的、未经授权的通信进出被保护的内部网络，通过的通信进出被保护的内部网络，通过边界控制边界控制强化内部网强化内部网络的安全政策。络的安全政策。2021/9/241防火墙概述（续）防火墙概述（续）n n如果没有防火墙，则整个内部网络的安全性完全如果没有防火墙，则整个内部网络的安全性完全依赖于每个主机依赖于每个主机n n也就是说，网络的安全水平是由最低的那个安全水平也就是说，网络的

2、安全水平是由最低的那个安全水平的主机决定的，这就是所谓的的主机决定的，这就是所谓的“木桶原理木桶原理”，木桶能，木桶能装多少水由最低的地方决定。装多少水由最低的地方决定。n n网络越大，对主机进行管理使它们达到统一的安全级网络越大，对主机进行管理使它们达到统一的安全级别水平就越不容易。别水平就越不容易。n n如果采用了防火墙，内部网络中的主机将不再直如果采用了防火墙，内部网络中的主机将不再直接暴露给来自接暴露给来自InternetInternet的攻击的攻击n n因此，因此，对整个内部网络的主机的安全管理就变成了防对整个内部网络的主机的安全管理就变成了防火墙的安全管理火墙的安全管理，这样就使安

3、全管理变得更为方便，这样就使安全管理变得更为方便，易于控制，也会使内部网络更加安全。易于控制，也会使内部网络更加安全。2021/9/242防火墙的设计目标防火墙的设计目标n n1、所有进出被保护网络的通信必须通过防火墙；n n2、所有通过防火墙的通信必须经过安全策略的过滤或者防火墙的授权；n n3、防火墙本身应该具有很强的抵抗攻击能力。2021/9/243防火墙的功能防火墙的功能n n主要功能：主要功能：n n1 1、访问控制功能；、访问控制功能；n n2 2、内容控制功能；、内容控制功能；n n3 3、全面的日志功能；、全面的日志功能；n n4 4、集中管理功能；、集中管理功能；n n5 5

4、、自身的安全和可用性。、自身的安全和可用性。n n附加功能：附加功能：n n1 1、流量控制；、流量控制；n n2 2、网络地址转换（、网络地址转换（Network Address TranslationNetwork Address TranslationNATNAT）；）；n n3 3、虚拟专用网（、虚拟专用网（Virtual Private NetworkVPNVirtual Private NetworkVPN）。）。2021/9/244防火墙的边界保护机制防火墙的边界保护机制n n防火墙的防火墙的安放位置是可信网络和不可信网络的边安放位置是可信网络和不可信网络的边界界，它所保护的对象

5、是网络中有明确闭合边界的，它所保护的对象是网络中有明确闭合边界的网段网段n n注意：注意：“可信网络可信网络”和和“不可信网络不可信网络”是相对的是相对的；n n一般说来内部网络是可信的，一般说来内部网络是可信的，InternetInternet是不可信的；是不可信的；n n但在内部网络中，还可能划分可信和不可信网络，比但在内部网络中，还可能划分可信和不可信网络，比如财务部网络需要特殊保护，则财务部网络是可信网如财务部网络需要特殊保护，则财务部网络是可信网络，而其他内部网络就变成不可信网络。络，而其他内部网络就变成不可信网络。n n防火墙是一种边界保护，它对可信网络内部之间防火墙是一种边界保护

6、，它对可信网络内部之间的访问无法控制，仅对穿过边界的访问进行控制的访问无法控制，仅对穿过边界的访问进行控制2021/9/245防火墙面临的潜在的攻击防火墙面临的潜在的攻击n n防火墙放在可信网络的边界，直接面对的是不可信网络可防火墙放在可信网络的边界，直接面对的是不可信网络可能的攻击，面临能的攻击，面临InternetInternet中的恶意访问者的攻击。中的恶意访问者的攻击。n n恶意破坏者主要有以下几种可能的攻击：恶意破坏者主要有以下几种可能的攻击：n n1 1）入侵内部网络：入侵内部网络：包括没有授权地访问内部网络，盗取信息。包括没有授权地访问内部网络，盗取信息。比如进行地址欺骗，不可信

7、网络的用户伪装成可信网络的地址，比如进行地址欺骗，不可信网络的用户伪装成可信网络的地址，从而绕过系统的认证实现进入被攻击系统；或者通过在内部网络从而绕过系统的认证实现进入被攻击系统；或者通过在内部网络中安装木马程序，实现对内部机器的控制。中安装木马程序，实现对内部机器的控制。n n2 2）针对防火墙的攻击，使其失去功能针对防火墙的攻击，使其失去功能：包括各种协议漏洞攻击：包括各种协议漏洞攻击和碎片攻击，使防火墙死机或者失去本身应有功能。和碎片攻击，使防火墙死机或者失去本身应有功能。n n3 3）拒绝服务攻击拒绝服务攻击：此种攻击现在非常普遍，对网络的危害非常：此种攻击现在非常普遍，对网络的危害

8、非常大，是防火墙较难阻挡的攻击之一。大，是防火墙较难阻挡的攻击之一。2021/9/246拒绝服务攻击的方式拒绝服务攻击的方式n n1 1）Syn FloodSyn Flood：n n该攻击以多个随机的源主机地址向目的主机发送该攻击以多个随机的源主机地址向目的主机发送SYNSYN包，而在收包，而在收到目的主机的到目的主机的SYN ACKSYN ACK后并不回应；后并不回应；n n这样，目的主机就为这些源主机建立了大量的连接队列，而且由这样，目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到于没有收到ACKACK一直维护着这些队列，造成了资源的大量消耗而一直维护着这些队列，造成了资源的大

9、量消耗而不能向正常请求提供服务。不能向正常请求提供服务。n n2 2）SmurfSmurf：n n该攻击向一个子网的广播地址发一个带有特定请求（如该攻击向一个子网的广播地址发一个带有特定请求（如ICMPICMP回应回应请求）的包，并且将源地址伪装成想要攻击的主机地址；请求）的包，并且将源地址伪装成想要攻击的主机地址；n n子网上所有主机都回应广播包请求而向被攻击主机发包，使该主子网上所有主机都回应广播包请求而向被攻击主机发包，使该主机受到攻击。机受到攻击。n n3 3）Land basedLand based、Ping of DeathPing of Death、TeardropTeardro

10、p、Ping SweepPing Sweep、Ping Flood.Ping Flood.2021/9/247防火墙的局限性防火墙的局限性n n1 1、防火墙不能防范不经防火墙的攻击；、防火墙不能防范不经防火墙的攻击；n n2 2、防火墙不能防止感染了病毒的软件或文件的传输；、防火墙不能防止感染了病毒的软件或文件的传输；n n3 3、防火墙不能防止数据驱动式攻击；、防火墙不能防止数据驱动式攻击；n n有些表面看起来无害的数据通过电子邮件发送或者其他方式复制有些表面看起来无害的数据通过电子邮件发送或者其他方式复制到内部主机上，一旦被执行就形成攻击。到内部主机上，一旦被执行就形成攻击。n n一个数

11、据型攻击可能导致主机修改与安全相关的文件，使得入侵一个数据型攻击可能导致主机修改与安全相关的文件，使得入侵者很容易获得对系统的访问权。者很容易获得对系统的访问权。n n4 4、防火墙不能防范恶意的内部人员侵入；、防火墙不能防范恶意的内部人员侵入；n n5 5、防火墙不能防范不断更新的攻击方式、防火墙不能防范不断更新的攻击方式n n防火墙制定的安全策略是在已知的攻击模式下制定的，所以对全防火墙制定的安全策略是在已知的攻击模式下制定的，所以对全新的攻击方式缺少阻止功能。新的攻击方式缺少阻止功能。2021/9/248防火墙的分类防火墙的分类n n从防火墙实现的技术方式分：从防火墙实现的技术方式分：n

12、 n包过滤防火墙；包过滤防火墙；n n应用层网关防火墙；应用层网关防火墙；n n电路层网关防火墙；电路层网关防火墙；n n状态检测防火墙。状态检测防火墙。n n从形态上分：从形态上分：n n软件防火墙；软件防火墙；n n硬件防火墙硬件防火墙n n硬件防火墙是将防火墙软件安装在专用的硬件平台和专有操作硬件防火墙是将防火墙软件安装在专用的硬件平台和专有操作系统（有些硬件防火墙甚至没有操作系统）之上，以硬件形式系统（有些硬件防火墙甚至没有操作系统）之上，以硬件形式出现，如出现，如CiscoCisco的的PIXPIX防火墙。防火墙。n n有的还使用一些专有的有的还使用一些专有的ASICASIC硬件芯片

13、负责数据包的过滤，性硬件芯片负责数据包的过滤，性能更好。能更好。2021/9/249防火墙的访问效率和安全需求防火墙的访问效率和安全需求n n防火墙是防火墙是网络的开放性和安全的控制性矛盾对立网络的开放性和安全的控制性矛盾对立的产物的产物。n n一方面网络的优势是它的互联互通性，用户希望快捷一方面网络的优势是它的互联互通性，用户希望快捷顺畅地访问网站、收发电子邮件等；顺畅地访问网站、收发电子邮件等；n n另一方面，网络也是不安全的，所以需要使用防火墙另一方面，网络也是不安全的，所以需要使用防火墙对网络进行控制，添加安全规则，让用户通过登录来对网络进行控制，添加安全规则，让用户通过登录来完成访问

14、授权，可这样会使用户感到繁琐，而且需要完成访问授权，可这样会使用户感到繁琐，而且需要检查的安全规则越多，网络性能就会越差。检查的安全规则越多，网络性能就会越差。n n所以防火墙的访问效率和安全需求是一对矛盾，所以防火墙的访问效率和安全需求是一对矛盾，应该努力寻找平衡。应该努力寻找平衡。2021/9/2410防火墙的主要性能指标防火墙的主要性能指标n n1 1）吞吐量：）吞吐量：n n指防火墙在不丢失数据包的情况下能达到的最大的转发数据包的指防火墙在不丢失数据包的情况下能达到的最大的转发数据包的速率。速率。n n吞吐量是防火墙性能中的一项非常重要的指标。如果防火墙的吞吞吐量是防火墙性能中的一项非

15、常重要的指标。如果防火墙的吞吐量指标太低就会造成网络瓶颈，影响网络的性能。吐量指标太低就会造成网络瓶颈，影响网络的性能。n n2 2）时延：）时延：n n对存储转发设备，如路由器，是指从入口处进入的输入帧的最后对存储转发设备，如路由器，是指从入口处进入的输入帧的最后一个比特到达，到从出口发出的输出帧的第一个比特输出所用的一个比特到达，到从出口发出的输出帧的第一个比特输出所用的时间间隔。时间间隔。n n这个指标能够衡量出防火墙处理数据的快慢。这个指标能够衡量出防火墙处理数据的快慢。n n3 3）丢包率：）丢包率：n n在特定负载下，指应由网络设备传输，但由资源耗尽而丢弃帧的在特定负载下，指应由网

16、络设备传输，但由资源耗尽而丢弃帧的百分比。百分比。n n丢包率是衡量防火墙设备稳定性和可靠性的重要指标。丢包率是衡量防火墙设备稳定性和可靠性的重要指标。2021/9/2411防火墙的主要性能指标（续）防火墙的主要性能指标（续）n n4 4）背对背：背对背：n n指从空闲状态开始，以达到传输介质最小合法间隔极指从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时所发送的帧数。第一个帧丢失时所发送的帧数。n n背对背的测试结果能够反映出防火墙设备的缓存能力、背对背的测试结果能够反映出防火墙设备的缓存能

17、力、对网络突发数据流量的处理能力。对网络突发数据流量的处理能力。n n5 5）并发连接数：并发连接数：n n指穿越防火墙的主机之间或主机与防火墙之间能同时指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数。建立的最大连接数。n n并发连接数的测试主要用来测试被防火墙建立和维持并发连接数的测试主要用来测试被防火墙建立和维持TCPTCP连接的性能。连接的性能。2021/9/2412二、防火墙技术二、防火墙技术n n1、包过滤（Packet Filter）n n2、代理服务器（Proxy Server）n n3、电路级网关（Circuit Level Gateway）n n4、状态检测（

18、State Inspection）2021/9/24131、包过滤技术、包过滤技术n n包过滤包过滤(Packet Filter)(Packet Filter)技术是在技术是在网络层（或传输层）网络层（或传输层）中中根据数据包中的包头信息根据数据包中的包头信息对数据包实施有选择对数据包实施有选择的通过。的通过。n n包过滤依据系统内事先设定的过滤规则，检查数包过滤依据系统内事先设定的过滤规则，检查数据流中每个数据包的包头后，据流中每个数据包的包头后，根据包头中的各个根据包头中的各个数据项来确定是否允许数据包通过，数据项来确定是否允许数据包通过，其核心是安其核心是安全策略即过滤规则的设计。全策略

19、即过滤规则的设计。n n例如，例如，利用特定的因特网服务的服务器驻留在特定的利用特定的因特网服务的服务器驻留在特定的端口号的事实端口号的事实（如（如TCPTCP端口端口2323用于用于TelnetTelnet连接），使包连接），使包过滤器可以通过规定适当的端口号来达到阻止或允许过滤器可以通过规定适当的端口号来达到阻止或允许一定类型的连接的目的，并可进一步组成一套数据包一定类型的连接的目的，并可进一步组成一套数据包过滤规则。过滤规则。2021/9/2414包过滤技术（续）包过滤技术（续）n n包过滤技术在防火墙上的应用非常广泛，其主要包过滤技术在防火墙上的应用非常广泛，其主要优点是：优点是：n

20、n1 1）系统（如）系统（如CPUCPU）用来处理包过滤的时间相对很小，）用来处理包过滤的时间相对很小，效率高；效率高；n n2 2）这种防护措施对用户透明，合法用户在使用网络通）这种防护措施对用户透明，合法用户在使用网络通信时，感觉不到它的存在，使用起来很方便。信时，感觉不到它的存在，使用起来很方便。n n包过滤的主要缺点是：包过滤的主要缺点是：n n包过滤技术是在包过滤技术是在IP/TCPIP/TCP层实现的，所以包过滤的一个层实现的，所以包过滤的一个很大的弱点是不能在应用层级别上进行过滤，所以防很大的弱点是不能在应用层级别上进行过滤，所以防卫方式比较单一。卫方式比较单一。2021/9/2

21、415包过滤技术示意图包过滤技术示意图应用层表示层会话层传输层网络层数据链路层物理层物理层数据链路层网络层应用层表示层会话层传输层网络层数据链路层物理层外部网络主机内部网络主机包过滤型防火墙传输层2021/9/2416包过滤的依据包过滤的依据n n一个包过滤型防火墙通常根据IP/TCP分组的以下各项过滤：n n源IP地址；n n目标IP地址；n nIP中的协议类型字段；n nTCP/UDP源端口；n nTCP/UDP目标端口；n nTCP报头中的各种标志。2021/9/2417IP数据包格式数据包格式2021/9/2418基于基于IP的数据包过滤的数据包过滤n n可以根据IP协议中的IP源地址

22、和IP目的地址来制定安全规则n n如允许访问内部的如允许访问内部的IPIP地址为地址为*.*.*.*.*.*.*的服务器。的服务器。n n也可以根据IP协议中的协议类型字段来制定安全规则：n n如允许如允许 TCP TCP 协议通过防火墙。协议通过防火墙。n n基于IP的数据包过滤容易遭到“源地址路由”和“极小数据分段”攻击。2021/9/2419基于基于IP的数据包过滤（续）的数据包过滤（续）n n源地址路由攻击源地址路由攻击：n n源地址路由是源地址路由是IPIP的选项，指由数据包的源地址来指定到的选项，指由数据包的源地址来指定到达目的地的路由，而不是让路由器根据其路由表来决达目的地的路由

23、，而不是让路由器根据其路由表来决定向何处发送数据包。定向何处发送数据包。n n这种功能有的时候是有用的，比如在路由器的路由表这种功能有的时候是有用的，比如在路由器的路由表发生了损坏时；但是有的时候也会被黑客所利用，用发生了损坏时；但是有的时候也会被黑客所利用，用于绕过安全检测，而不走预先设计好的路由路径。于绕过安全检测，而不走预先设计好的路由路径。n n防火墙解决这个问题的办法很简单，只要检查防火墙解决这个问题的办法很简单，只要检查IPIP选项，选项，简单地简单地丢弃所有包含源路由选项的数据包丢弃所有包含源路由选项的数据包即可。即可。2021/9/2420基于基于IP的数据包过滤（续）的数据包

24、过滤（续）n nIPIP协议的数据分片协议的数据分片n nIPIP协议的特点之一就是协议的特点之一就是将一个大的数据包划分成若干个将一个大的数据包划分成若干个适合大小的、能通过网络传送的适合大小的、能通过网络传送的IPIP片，称为片，称为IPIP分片分片，IPIP分片到达目标机器后，再分片到达目标机器后，再重新组装成完整的重新组装成完整的IPIP数据包数据包。n n对于对于IPIP数据包过滤，只有在数据包过滤，只有在第一个分片中才包含来自于第一个分片中才包含来自于高层协议的报头信息高层协议的报头信息，数据包过滤可以检查这个段，数据包过滤可以检查这个段，根据报头来决定是否允许整个数据包通过。根据

25、报头来决定是否允许整个数据包通过。n n如果禁止该数据包，数据包过滤只是丢弃了如果禁止该数据包，数据包过滤只是丢弃了IPIP分片的第分片的第一个分片，其他的分片还是能够通过；一个分片，其他的分片还是能够通过；但是不管有多但是不管有多少个分片通过，目标机器都不能将这些段装配成原来少个分片通过，目标机器都不能将这些段装配成原来的数据包（的数据包（因为第一个分片已经没有了）。因为第一个分片已经没有了）。2021/9/2421基于基于IP的数据包过滤（续）的数据包过滤（续）n n“极小数据分段”攻击n n极小数据分段式攻击（极小数据分段式攻击（Tiny Fragment Tiny Fragment A

26、ttacksAttacks）的特点是入侵者使用了）的特点是入侵者使用了IPIP分片的特性，分片的特性，创建极小的分片并强行将创建极小的分片并强行将TCPTCP头信息分成多个头信息分成多个数据包段数据包段。n n这种攻击是为了绕过用户定义的过滤规则这种攻击是为了绕过用户定义的过滤规则n n黑客通常寄希望于过滤器只检查第一个分片而允许黑客通常寄希望于过滤器只检查第一个分片而允许其余的分片通过。其余的分片通过。n n防火墙解决这个问题的方法是在防火墙处进行防火墙解决这个问题的方法是在防火墙处进行IPIP报文重组报文重组2021/9/2422TCP数据包格式数据包格式202021/9/2423基于基于

27、TCP的数据包过滤的数据包过滤n n可以根据TCP协议中的源端口和目的端口来制定安全规则n n注意：由于注意：由于TCPTCP的源端口通常是随机的，所以的源端口通常是随机的，所以通常不使用源端口进行控制通常不使用源端口进行控制。n n通过检查TCP标志字段，可以辨认这个TCP数据包是SYN包，还是非SYN包n n检查单独的检查单独的SYNSYN标志，就可以知道它是标志，就可以知道它是TCPTCP连连接中接中3 3次握手中的第一个请求，如果要禁止该次握手中的第一个请求，如果要禁止该连接，只要禁止这个包就可以了。连接，只要禁止这个包就可以了。2021/9/2424TCP连接的连接的3次握手过程次握

28、手过程2021/9/2425基于基于UDP的数据包过滤的数据包过滤n n可以根据UDP中的源端口和目的端口来制定安全规则n n由于由于UDPUDP的源端口通常是随机的，所以的源端口通常是随机的，所以通常不通常不使用源端口进行控制使用源端口进行控制。2021/9/2426基于基于ICMP的数据包过滤的数据包过滤n nICMPICMP（InternetInternet控制与报文协议）是无连接的，控制与报文协议）是无连接的，非常灵活，但源地址容易被伪造非常灵活，但源地址容易被伪造n n目前有很多基于目前有很多基于ICMPICMP的攻击软件，如制造的攻击软件，如制造ICMPICMP风暴、风暴、利用利用

29、ICMPICMP消耗服务器消耗服务器CPUCPU资源；此外资源；此外ICMPICMP本身也可本身也可以用于探测网络拓扑结构。以用于探测网络拓扑结构。n n因此，包过滤器一般禁止从外部网络来的到内部网络因此，包过滤器一般禁止从外部网络来的到内部网络和包过滤器本身的和包过滤器本身的ICMPICMP包包，以避免危险。，以避免危险。2021/9/2427包过滤规则的制定策略包过滤规则的制定策略n n总的来说，包过滤规则的制定策略包括两类：n n1 1、按、按IPIP地址过滤；地址过滤；n n2 2、按服务（即端口号）过滤。、按服务（即端口号）过滤。2021/9/2428按按IP地址过滤地址过滤n n按

30、地址过滤是最简单的过滤方式，它只限制数据包的源地址和目的地址，而不必考虑协议。n n需要注意的是，由于IP源地址是可以伪造的，因此如果在过滤规则中限制源地址，就会面临风险n n例如，在过滤规则中，如果允许一个特定的外例如，在过滤规则中，如果允许一个特定的外部主机（部主机（IPIP地址固定）访问内部网络，此时如地址固定）访问内部网络，此时如果另一个主机伪装成该外部主机，过滤规则就果另一个主机伪装成该外部主机，过滤规则就会被欺骗。会被欺骗。2021/9/2429按服务过滤按服务过滤n n按服务过滤，就是根据相应的按服务过滤，就是根据相应的TCP/UDPTCP/UDP端口进行端口进行过滤过滤n n比

31、如要禁止外部网络对内部网络的比如要禁止外部网络对内部网络的TelnetTelnet的访问，就需的访问，就需要检查数据包的目的端口和要检查数据包的目的端口和TCPTCP标志位，如果端口是标志位，如果端口是2323，并且是，并且是SYNSYN包，则拒绝这个包。包，则拒绝这个包。n n在实际应用中，在实际应用中，一般是按照内部服务端口进行过一般是按照内部服务端口进行过滤，对于外部服务端口过滤也是有风险的滤，对于外部服务端口过滤也是有风险的n n因为外部服务端口是可以伪装的。因为外部服务端口是可以伪装的。n n此外，按服务过滤需要保证内部的服务确实工作此外，按服务过滤需要保证内部的服务确实工作在相应的

32、端口上。在相应的端口上。2021/9/2430按服务过滤（续）按服务过滤（续）n n按外部端口过滤的风险按外部端口过滤的风险n n由于无法保证外部服务确实是在规定的端口上，如果由于无法保证外部服务确实是在规定的端口上，如果防火墙的限制完全基于外部服务端口号就会有危险防火墙的限制完全基于外部服务端口号就会有危险。n n例如，如果允许内部主机到外部服务器的邮件发送服例如，如果允许内部主机到外部服务器的邮件发送服务（正常运行于端口务（正常运行于端口2525），当），当TCPTCP端口端口2525确是一个常确是一个常规邮件端口时，这个配置就没有危险。规邮件端口时，这个配置就没有危险。n n但是但是防火

33、墙没有办法控制一个外部主机上的端口号防火墙没有办法控制一个外部主机上的端口号，黑客可能会用其他程序控制外部主机上黑客可能会用其他程序控制外部主机上 25 25 号端口，模号端口，模拟邮件服务和内部主机建立连接，进行非授权的访问。拟邮件服务和内部主机建立连接，进行非授权的访问。2021/9/2431网络协议的双向性对包过滤规则制定的影响网络协议的双向性对包过滤规则制定的影响n n需要注意的是，需要注意的是，网络协议一般都是双向的网络协议一般都是双向的，如果，如果发送了一个请求或者一条命令，另一边的主机就发送了一个请求或者一条命令，另一边的主机就会发出某种响应。会发出某种响应。n n所以在制定数据

34、包过滤规则时，所以在制定数据包过滤规则时，一定要注意数据一定要注意数据包是双向的包是双向的n n例如想允许某个主机访问例如想允许某个主机访问TelnetTelnet服务器，但是设置规则服务器，但是设置规则时只允许时只允许TelnetTelnet的命令的方向能通过，没有允许返回的的命令的方向能通过，没有允许返回的数据包通过，这样还是不能访问的。数据包通过，这样还是不能访问的。n n在从在从内部到外部内部到外部的的TCPTCP（或（或UDPUDP）连接中，）连接中，为了为了允许返回数据通过，会给过滤规则的制定增加困允许返回数据通过，会给过滤规则的制定增加困难难（见后）：（见后）：2021/9/24

35、32n n在内部到外部的在内部到外部的TCPTCP和和UDPUDP连接中，内部主机采用的连接中，内部主机采用的源端口一般是源端口一般是大于大于10241024的随机端口的随机端口（如下图）（如下图）n n为了支持双向通信，为了支持双向通信，需要允许返回到内部主机的所有大需要允许返回到内部主机的所有大于于10241024端口的数据包，这是非常危险的端口的数据包，这是非常危险的。n n对于对于TCPTCP连接：连接：可以通过可以通过TCPTCP协议的协议的flagflag位位来辨认从外来辨认从外部到内部的数据包是部到内部的数据包是连接请求连接请求还是还是响应报文响应报文n n如果是连接请求则拒绝，

36、响应报文（如果是连接请求则拒绝，响应报文（flagflag中的中的AckAck置位置位）则放行，从而可以阻止对高于则放行，从而可以阻止对高于10241024端口的非法连接。端口的非法连接。n n而而UDPUDP是无连接的协议是无连接的协议，没有标准可以区分，只能通，没有标准可以区分，只能通过端口号，但是端口号是可以伪造的过端口号，但是端口号是可以伪造的n n如果返回的数据包不是到内部主机随机产生的端口，而是到另如果返回的数据包不是到内部主机随机产生的端口，而是到另一个端口，可能就是一次破坏服务器的尝试一个端口，可能就是一次破坏服务器的尝试。n n有些有些UDPUDP协议的请求端口和目的端口都是

37、固定的，这样防火墙协议的请求端口和目的端口都是固定的，这样防火墙只需简单地允许相应的端口的进出就可以保证安全了。只需简单地允许相应的端口的进出就可以保证安全了。2021/9/2433内网主机内网主机防防火火墙墙内部网络内部网络外网服务外网服务如如WWW（80端口）端口）1 1、请求报文、请求报文（源端口一般随机生成源端口一般随机生成）源端口源端口10241024，目标端口，目标端口8080外部网络外部网络（如因特网）（如因特网）2 2、防火墙根、防火墙根据据8080端口放端口放行请求报文行请求报文3 3、响应报文、响应报文源端口源端口8080，目标端口目标端口10241024（=请求中的源端口

38、请求中的源端口）4 4、防火墙根、防火墙根据什么放行据什么放行响应报文？响应报文？内网到外网的内网到外网的TCP或或UDP访问访问2021/9/2434数据包过滤的默认安全策略数据包过滤的默认安全策略n n包过滤规则中有两种基本的默认安全策略：默认接受和默认拒绝。n n默认接受：默认接受：指除非明确地指定禁止某个数据包，指除非明确地指定禁止某个数据包，否则数据包是可以通过的。否则数据包是可以通过的。n n默认拒绝：默认拒绝：指除非明确的指定允许某个数据包指除非明确的指定允许某个数据包通过，否则数据包是不可以通过的。通过，否则数据包是不可以通过的。n n显然，默认接受的易用性更好，而默认拒绝的显

39、然，默认接受的易用性更好，而默认拒绝的安全性更好。安全性更好。n n一般都采用默认拒绝策略。2021/9/2435建立数据包过滤规则的步骤建立数据包过滤规则的步骤n n1 1、建立安全策略、建立安全策略n n要针对网络的具体情况制定需要保护什么、需要对外要针对网络的具体情况制定需要保护什么、需要对外提供什么样的服务的安全策略。提供什么样的服务的安全策略。n n主要考虑两个方面主要考虑两个方面：n n1 1）内部网络需要访问外部网络的什么服务，如）内部网络需要访问外部网络的什么服务，如WWWWWW、FTPFTP、电子邮件等；电子邮件等；n n2 2）内部需要给外部网络提供什么服务，因为外部网络是

40、不安）内部需要给外部网络提供什么服务，因为外部网络是不安全的，这个口子开得越小越好。全的，这个口子开得越小越好。n n2 2、将安全策略转化为数据包分组字段的逻辑表达式。将安全策略转化为数据包分组字段的逻辑表达式。n n3 3、用防火墙提供的过滤规则句法重写逻辑表达式，然后、用防火墙提供的过滤规则句法重写逻辑表达式，然后设置防火墙。设置防火墙。2021/9/2436防火墙对过滤规则的使用防火墙对过滤规则的使用n n在制定了数据包过滤规则并设置进防火墙后，对在制定了数据包过滤规则并设置进防火墙后，对于网络上每一个数据包，于网络上每一个数据包，防火墙会从第一条规则防火墙会从第一条规则开始依次进行检

41、查，直到找到一个可以匹配该数开始依次进行检查，直到找到一个可以匹配该数据包的规则据包的规则n n防火墙根据匹配规则中的防火墙根据匹配规则中的“动作动作”来决定是接受还是来决定是接受还是拒绝该数据包；拒绝该数据包；n n如果规则表中没有匹配的规则，则根据设置的默如果规则表中没有匹配的规则，则根据设置的默认安全策略对数据包进行处理认安全策略对数据包进行处理n n如默认拒绝，则这个数据包将被拒绝。如默认拒绝，则这个数据包将被拒绝。2021/9/2437防火墙对过滤规则的使用（续）防火墙对过滤规则的使用（续）防火墙外网口防火墙外网口（所有报文）（所有报文）防火墙内网口防火墙内网口（允许通过的报文）（允

42、许通过的报文）包过滤规则列表包过滤规则列表进行规则匹配进行规则匹配动作动作动作动作动作动作动作动作规则表达式规则表达式规则表达式规则表达式规则表达式规则表达式默认策略默认策略动作：允许或拒绝动作：允许或拒绝针对外网到内网报文针对外网到内网报文防火墙外网口防火墙外网口（允许通过的报文）（允许通过的报文）防火墙内网口防火墙内网口（所有报文）（所有报文）包过滤规则列表包过滤规则列表进行规则匹配进行规则匹配动作动作动作动作动作动作动作动作规则表达式规则表达式规则表达式规则表达式规则表达式规则表达式默认策略默认策略动作：允许或拒绝动作：允许或拒绝针对内网到外网报文针对内网到外网报文2021/9/2438

43、例子例子n n假设一个公司的安全策略为：假设一个公司的安全策略为：n n1 1、允许外部主机对内部、允许外部主机对内部MailGateMailGate主机的邮件访问；主机的邮件访问；n n2 2、允许外部主机对内部、允许外部主机对内部MailGateMailGate主机的主机的DNSDNS访问；访问；n n3 3、允许外部主机对内部、允许外部主机对内部MailGateMailGate主机的主机的TelnetTelnet访问；访问；n n4 4、允许外部、允许外部OutSideOutSide主机对内部主机对内部InSideInSide主机的主机的NTPNTP协协议对时；议对时；n n5 5、允许

44、内部主机对外部主机的一切、允许内部主机对外部主机的一切TcpTcp协议的访问。协议的访问。n n6 6、禁止其他类型的所有通信。、禁止其他类型的所有通信。n n根据该策略制定防火墙的过滤规则。根据该策略制定防火墙的过滤规则。2021/9/2439MailGate邮件（邮件（25）DNS（53）Telnet（23）NTP内部到外网基于内部到外网基于内部到外网基于内部到外网基于TCPTCP的访问，的访问，的访问，的访问，如如如如wwwwww访问，收发电子邮件，访问，收发电子邮件，访问，收发电子邮件，访问，收发电子邮件，都允许。都允许。都允许。都允许。对外网开放的服务对外网开放的服务对外网开放的服务

45、对外网开放的服务例子（续）例子（续）2021/9/2440例子：根据安全策略制定的包过滤规则例子：根据安全策略制定的包过滤规则注意：注意：1 1、没有明确协议标志的规则用于没有明确协议标志的规则用于TCPTCP；2 2、INSIDE-NETINSIDE-NET指所有内部网络的主机。指所有内部网络的主机。规则规则匹配匹配针对上条针对上条针对上条针对上条规则的返规则的返规则的返规则的返回报文回报文回报文回报文2021/9/2441包过滤技术的特点包过滤技术的特点n n包过滤技术的优点：包过滤技术的优点：n n效率高，速度快；效率高，速度快；n n对应用透明，合法应用在进出网络时感觉不到它的存对应用

46、透明，合法应用在进出网络时感觉不到它的存在。在。n n局限：局限：n n正确的设置包过滤规则比较困难；正确的设置包过滤规则比较困难；n n由于包过滤技术是在由于包过滤技术是在IP/TCPIP/TCP层上实现的，所以包过滤层上实现的，所以包过滤不能在应用层级别上进行过滤，防卫方式比较单一；不能在应用层级别上进行过滤，防卫方式比较单一；n n有些网络协议不适合包过滤有些网络协议不适合包过滤n n如如FTPFTP协议，在协议内部会动态生成子连接。协议，在协议内部会动态生成子连接。2021/9/24422、代理服务器、代理服务器n n代理服务器（代理服务器（Proxy ServerProxy Serv

47、er）作用于应用层，用）作用于应用层，用来提供应用层服务的控制，来提供应用层服务的控制，在内部网络向外部网在内部网络向外部网络申请服务时起到中间转接作用络申请服务时起到中间转接作用n n在该框架中，在该框架中，内部网络服务只接受代理服务提出的服内部网络服务只接受代理服务提出的服务请求务请求，拒绝外部网络其他结点的直接请求。，拒绝外部网络其他结点的直接请求。n n代理服务器是运行在防火墙主机上的专门的应用代理服务器是运行在防火墙主机上的专门的应用程序或者服务程序程序或者服务程序n n这些程序接受用户对这些程序接受用户对InternetInternet服务的请求（如服务的请求（如FTPFTP、Te

48、lnetTelnet），并按照一定的安全策略将它们转发到实际的），并按照一定的安全策略将它们转发到实际的服务中。服务中。n n代理提供代替连接并且充当服务的网关。代理提供代替连接并且充当服务的网关。2021/9/2443代理服务器技术示意图代理服务器技术示意图应用层表示层会话层传输层网络层数据链路层物理层物理层物理层数据链路层数据链路层网络层网络层应用层表示层会话层传输层网络层数据链路层物理层外部网络主机外部网络主机内部网络主机内部网络主机防火墙防火墙应用层应用层表示层表示层会话层会话层传输层传输层2021/9/2444一个一个Telnet代理服务器例子代理服务器例子外部外部Telnet客户客

49、户内部内部Telnet服务器服务器日志系统日志系统Telnet代理代理认证系统认证系统TelnetTelnet代理代理代理代理服务器服务器服务器服务器FTP代理代理原来的直原来的直接连接接连接端口端口23内部连接端口端口23外部连接端口端口232021/9/2445一个一个Telnet代理服务器例子（续）代理服务器例子（续）n nTelnetTelnet代理网关的执行过程代理网关的执行过程n n1 1、用户首先、用户首先TelnetTelnet到应用网关主机，并输入内部目标到应用网关主机，并输入内部目标主机的名字（域名、主机的名字（域名、IPIP地址）；地址）；n n2 2、应用网关检查用户的

50、源、应用网关检查用户的源IPIP地址等，并根据事先设定地址等，并根据事先设定的访问规则来决定是否转发或拒绝；的访问规则来决定是否转发或拒绝；n n3 3、应用网关应用网关对对用户用户信息信息进行验证进行验证（应用层过滤应用层过滤）；n n4 4、应用网关中的代理服务器为用户建立在网关与内部、应用网关中的代理服务器为用户建立在网关与内部主机之间的主机之间的TelnetTelnet连接；连接；n n5 5、代理服务器在两个连接（用户代理服务器在两个连接（用户/代理服务器，代理服代理服务器，代理服务器务器/内部主机）之间传送数据内部主机）之间传送数据；n n6 6、应用网关对本次连接进行日志记录。、