网络安全9防火墙.ppt

《网络安全9防火墙.ppt》由会员分享，可在线阅读，更多相关《网络安全9防火墙.ppt（40页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第十二章 防火墙12.1 防火墙概述什么是防火墙n n古代修筑在房屋之间的一道墙古代修筑在房屋之间的一道墙,用于防止火势蔓用于防止火势蔓延延n n现在用于控制两个不同安全策略的网络之间互现在用于控制两个不同安全策略的网络之间互访访,执行访问控制策略执行访问控制策略通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接，同时不会妨碍人们对风险区域的访问。在Internet上超过三分之一的Web网站都是由某种形式的防火墙加以保护，这是对黑客防范最严，安全性较强的一种方式，任何关键性的服务器，都建议放在防火墙之后。防火墙概念防火墙是位于两个或多个网络之间，执行访问控

2、防火墙是位于两个或多个网络之间，执行访问控制策略的一个或一组系统，是一类防范措施的总制策略的一个或一组系统，是一类防范措施的总称称.一个好的防火墙具备一个好的防火墙具备:n n 内部和外部之间的所有网络数据流必须经过防火墙内部和外部之间的所有网络数据流必须经过防火墙n n 只有符合安全政策的数据流才能通过防火墙只有符合安全政策的数据流才能通过防火墙n n 防火墙自身应对渗透防火墙自身应对渗透(peneration)(peneration)免疫免疫12.1.2 防火墙的功能服务控制，确定哪些服务可以被访问方向控制，对于特定的服务，可以确定允许哪个方向能够通过防火墙用户控制，根据用户来控制对服务的

3、访问行为控制，控制一个特定的服务的行为对内部网实现集中的安全管理,强化网络安全策略防止非授权用户进入内部网络方便的监视网络安全并及时报警实现网络地址转换对内部网络进行划分,实现重点网段的隔离审计和记录网络访问防火墙的作用确保一个单位内的网络与因特网的通信符合该单位的安全方针，为管理人员提供下列问题的答案:n n 谁在使用网络谁在使用网络n n 他们在网络上做什么他们在网络上做什么n n 他们什么时间使用了网络他们什么时间使用了网络n n 他们上网去了何处他们上网去了何处n n 谁要上网没有成功谁要上网没有成功防火墙的基本规则防火墙设计策略n n一种是一种是“一切未被允许的就是禁止的一切未被允许

4、的就是禁止的”n n一种是一种是“一切未被禁止的都是允许的一切未被禁止的都是允许的”。n n第一种的特点是安全性好，但是用户所能使用第一种的特点是安全性好，但是用户所能使用的服务范围受到严格限制。第二种的特点是可的服务范围受到严格限制。第二种的特点是可以为用户提供更多的服务，但是在日益增多的以为用户提供更多的服务，但是在日益增多的网络服务面前，很难为用户提供可靠的安全防网络服务面前，很难为用户提供可靠的安全防护。护。12.2 防火墙技术数据包过滤技术n n包过滤防火墙包过滤防火墙 以色列的以色列的CheckpointCheckpoint防火墙和防火墙和CiscoCisco公司的公司的PIXPI

5、X防火墙为代表防火墙为代表代理服务n n代理防火墙（应用层网关防火墙）。以美国代理防火墙（应用层网关防火墙）。以美国NAINAI公司的公司的GauntletGauntlet防火墙为代表。防火墙为代表。12.2.1 数据包过滤技术TCP协议:n nIPIP源地址源地址n nIPIP目的地址目的地址n nIPIP协议字段协议字段n nTCPTCP源端口源端口n nTCPTCP目的端口目的端口n nTCPTCP标志字段标志字段UDP协议:n nIPIP源地址源地址n nIPIP目的地址目的地址n nIPIP协议字段协议字段n nUDPUDP源端口源端口n nUDPUDP目的端口目的端口包过滤防火墙第

6、一代：静态包过滤第一代：静态包过滤 据定义好的过滤规则审查每个数据包，以便确定其是否与某一条据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括头信息中包括IPIP源地址、源地址、IPIP目标地址、传输协议目标地址、传输协议(TCP(TCP、UDPUDP、ICMPICMP等等等等)、TCP/UDPTCP/UDP目标端口目标端口、ICMPICMP消息类型等。包过滤类型的防火消息类型等。包过滤类型的防火墙要遵循的一条基本原则是墙要遵循的一条基本原则是“最小特权原则最小特权

7、原则”，即明确允许那些，即明确允许那些管理员希望通过的数据包，禁止其他的数据包。管理员希望通过的数据包，禁止其他的数据包。HTTPHTTP数据包的过滤第二代：动态包过滤第二代：动态包过滤 这种类型的防火墙采用动态设置包过滤规则的方这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来法，避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测（发展成为所谓包状态监测（StatefulStateful Inspection Inspection）技技术。采用这种技术的防火墙对通过其建立的每一个连术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，

8、并且根据需要可动态地在过滤规则中接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更改增加或更改跟踪每个连接包过滤防火墙的优缺点优点n n 实现简单、费用低、对用户透明、效率高实现简单、费用低、对用户透明、效率高缺点n n处理数据包的能力有限处理数据包的能力有限n n无法识别应用层协议无法识别应用层协议n n规则的有效性很难进行测试规则的有效性很难进行测试针对包过滤防火墙的攻击IPIP地址欺骗，例如，假冒内部地址欺骗，例如，假冒内部的的IPIP地址地址n n 对策：在外部接口上禁止内部地址对策：在外部接口上禁止内部地址源路由攻击，即由源指定路由源路由攻击，即由源指定路由n n 对策：禁止这样

9、的选项对策：禁止这样的选项小碎片攻击，利用小碎片攻击，利用IPIP分片功能分片功能把把TCPTCP头部切分到头部切分到不同的分片中不同的分片中n n 对策：丢弃分片太小的分片对策：丢弃分片太小的分片利用复杂协议和管理员的配置失误进入防火墙利用复杂协议和管理员的配置失误进入防火墙n n 例如，利用例如，利用ftpftp协议对内部进行探查协议对内部进行探查代理防火墙第一代：代理防火墙第一代：代理防火墙 也叫应用层网关（也叫应用层网关（Application GatewayApplication Gateway）防防火墙。代理防火墙通过编程来弄清用户应用层火墙。代理防火墙通过编程来弄清用户应用层的流

10、量，并能在用户层和应用协议层间提供访的流量，并能在用户层和应用协议层间提供访问控制；而且，还可用来保持一个所有应用程问控制；而且，还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。力是应用层网关的主要优点之一。不允许直接连接，而是强制检查和过滤所有的网络数据包。用户并不直接与真正的服务器通信，而是与代理服务器通信。电路级网关防火墙通用代理服务器，不需要识别在同一个协议栈上运行的不同应用，则不需要设置代理模块自适应代理防火墙自适应代理防火墙 自适应代理技术（自适应代理技术（Adaptive proxyAdapt

11、ive proxy）是最近在商业应是最近在商业应用防火墙中实现的一种革命性的技术。它可以结合代用防火墙中实现的一种革命性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优理类型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的点，在毫不损失安全性的基础之上将代理型防火墙的性能提高性能提高1010倍以上。组成这种类型防火墙的基本要素倍以上。组成这种类型防火墙的基本要素有两个：自适应代理服务器（有两个：自适应代理服务器（Adaptive Proxy Adaptive Proxy ServerServer）与动态包过滤器与动态包过滤器（Dynami

12、c Packet filterDynamic Packet filter）。代理防火墙的特点特点n n所有的连接都通过防火墙，防火墙作为网关所有的连接都通过防火墙，防火墙作为网关n n在应用层上实现在应用层上实现n n可以监视包的内容可以监视包的内容n n可以实现基于用户的鉴别可以实现基于用户的鉴别n n所有的应用需要单独实现所有的应用需要单独实现n n可以提供理想的日志功能可以提供理想的日志功能n n安全性高安全性高，但是开销比较大但是开销比较大两种防火墙技术的比较举例：防火墙与Web服务器之间的配置策略根据不同的需要，防火墙在网中的配置有很多方式。根据防火墙和Web服务器所处的位置，总的可

13、以分为3种配置：n nWebWeb服务器置于防火墙之内服务器置于防火墙之内n nWebWeb服务器置于防火墙之外服务器置于防火墙之外n nWebWeb服务器置于防火墙之上服务器置于防火墙之上1.Web服务器置于防火墙之内将将WebWeb服务器装在防火墙内的好处是它得服务器装在防火墙内的好处是它得到了安全保护，不容易被黑客闯入，但不到了安全保护，不容易被黑客闯入，但不易被外界所用。当易被外界所用。当WebWeb站点主要用于宣传站点主要用于宣传企业形象时，显然这不是好的配置，这时企业形象时，显然这不是好的配置，这时应当将应当将WebWeb服务器放在防火墙之外服务器放在防火墙之外2.Web服务器置于

14、防火墙之外事实上，为保证组织内部网络的安全，将事实上，为保证组织内部网络的安全，将WebWeb服务器完全置于防火墙之外是比较合适服务器完全置于防火墙之外是比较合适的。在这种模式中，的。在这种模式中，WebWeb服务器不受保护，服务器不受保护，但内部网则处于保护之下，即使黑客闯进了但内部网则处于保护之下，即使黑客闯进了受保护的受保护的WebWeb站点，内部网络仍是安全的。站点，内部网络仍是安全的。在这种配置中，防火墙对在这种配置中，防火墙对WebWeb站点的保护几站点的保护几乎不起作用。乎不起作用。3.Web服务器置于防火墙之上一些管理者试图在防火墙机器上运行一些管理者试图在防火墙机器上运行We

15、bWeb服务器，以此增强服务器，以此增强WebWeb站点的安全性。这种配置的缺点是，一旦服务器有一点站点的安全性。这种配置的缺点是，一旦服务器有一点毛病，整个组织和毛病，整个组织和WebWeb站点就全部处于危险之中。站点就全部处于危险之中。防火墙的发展史 第第 一一 代代 防防 火火 墙墙：采采 用用 了了 包包 过过 滤滤（Packet Packet FilterFilter）技术。技术。第第二二、三三代代防防火火墙墙：19891989年年，推推出出了了电电路路层层防防火墙，和应用层防火墙的初步结构。火墙，和应用层防火墙的初步结构。第第四四代代防防火火墙墙：19921992年年，开开发发出出

16、了了基基于于动动态态包包过滤技术的第四代防火墙。过滤技术的第四代防火墙。第第五五代代防防火火墙墙：19981998年年，NAINAI公公司司推推出出了了一一种种自适应代理技术，可以称之为第五代防火墙。自适应代理技术，可以称之为第五代防火墙。发展图示个人防火墙个人防火墙实例个人防火墙实例-日志访问web服务个人防火墙实例-网络状态个人防火墙实例安全级别低：所有应用程序初次访问网络时都将询问，已经被认可低：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。计算机将完全信任局的程序则按照设置的相应规则运作。计算机将完全信任局域网，允许局域网内部的机器访问自己提供的各种服务

17、域网，允许局域网内部的机器访问自己提供的各种服务（文件、打印机共享服务）但禁互联网上的机器访问这些（文件、打印机共享服务）但禁互联网上的机器访问这些服务。服务。中：所有应用程序初次访问网络时都将询问，已经被认可中：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。禁止局域网内部和互的程序则按照设置的相应规则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务（文件、打印机联网的机器访问自己提供的网络共享服务（文件、打印机共享服务），局域网和互联网上的机器将无法看到本机器。共享服务），局域网和互联网上的机器将无法看到本机器。高：所有应用程序初次访问网络时都将询

18、问，已经被认可高：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。禁止局域网内部和互的程序则按照设置的相应规则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务（文件、打印机联网的机器访问自己提供的网络共享服务（文件、打印机共享服务），局域网和互联网上的机器将无法看到本机器。共享服务），局域网和互联网上的机器将无法看到本机器。除了是由已经被认可的程序打开的端口，系统会屏蔽掉向除了是由已经被认可的程序打开的端口，系统会屏蔽掉向外部开放的所有端口。外部开放的所有端口。个人防火墙实例IPIP规则个人防火墙实例pingping规则个人防火墙实例访问控制列表个人防

19、火墙实例高级设置防火墙的局限性(1)(1)防火墙也不能完全防止受病毒感染的文件或软件防火墙也不能完全防止受病毒感染的文件或软件的传输。的传输。目前防火墙对于来自网络内部的攻击还无能为力。目前防火墙对于来自网络内部的攻击还无能为力。防火墙不能防范不经过防火墙的攻击，如内部网防火墙不能防范不经过防火墙的攻击，如内部网用户通过用户通过拨号拨号直接进入直接进入InternetInternet。防火墙的局限性(2)(2)为了提高安全性，限制或关闭了一些有用但存在安全缺陷的网络服务，给用户带来使用的不便。防火墙对用户不完全透明，可能带来传输延迟、瓶颈及单点失效。作为一种被动的防护手段，防火墙不能防范因特网上不断出现的新的威胁和攻击。