网络安全讲义第7章.ppt

《网络安全讲义第7章.ppt》由会员分享，可在线阅读，更多相关《网络安全讲义第7章.ppt（47页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第 7 章章 防火墙技术防火墙技术7.1防火墙概述防火墙概述7.2防火墙的功能防火墙的功能7.3防火墙技术防火墙技术7.4防火墙应用典型案例防火墙应用典型案例教学要求：掌握防火墙技术的基本原理、防火墙的网教学要求：掌握防火墙技术的基本原理、防火墙的网络安全防范功能、防火墙的主要技术、防火墙的体系络安全防范功能、防火墙的主要技术、防火墙的体系结构、防火墙技术的部署方法等。结构、防火墙技术的部署方法等。7.1 7.1 防火墙概述防火墙概述防火墙概述防火墙概述7.1.1防火墙的定义防火墙的定义防火墙是指一种将内部网和公众访问网（如防火墙是指一种将内部网和公众访问网（如Internet）分分开的方法

2、，是通过访问控制策略，将内、外网有条件隔离开的方法，是通过访问控制策略，将内、外网有条件隔离的技术。的技术。防火墙是由软件和硬件组成，它采用由系统管理员定义的防火墙是由软件和硬件组成，它采用由系统管理员定义的规则，对一个安全网络（内网）和一个不安全网络（外网）规则，对一个安全网络（内网）和一个不安全网络（外网）之间的数据流施加控制。之间的数据流施加控制。具有以下属性：具有以下属性：双向流通信息必须经过它；双向流通信息必须经过它；只有被预定的本地安全策略授权的信息流才被允许通过；只有被预定的本地安全策略授权的信息流才被允许通过；本身具有很高的抗攻击能力；本身具有很高的抗攻击能力；防火墙示意图防火

3、墙示意图7.1.2防火墙的发展防火墙的发展第一代：包过滤防火墙。第一代：包过滤防火墙。1985年左右，几乎和路由器同时出年左右，几乎和路由器同时出现，由现，由Cisco的的IOS软件公司研制。软件公司研制。第二代：代理服务器防火墙。第二代：代理服务器防火墙。20世纪世纪80年代末年代末90年代初，年代初，AT&T贝尔实验室研究开发，贝尔实验室研究开发，DEC公司推出第一个产品公司推出第一个产品SEAL第三代：状态检测防火墙。第三代：状态检测防火墙。1992年开始研究，年开始研究，1994年以色列年以色列推出第一个产品推出第一个产品CheckPointFirewall第四代：集成防火墙第四代：集

4、成防火墙7.2 7.2 防火墙的功能防火墙的功能防火墙的功能防火墙的功能7.2.1防火墙的访问控制功能防火墙的访问控制功能对经过防火墙的所有通信进行连通或阻断的安全控制，以对经过防火墙的所有通信进行连通或阻断的安全控制，以实现连接到防火墙的各个网段的边界安全性。实现连接到防火墙的各个网段的边界安全性。可以对网络地址、端口、协议、文件类型、上网时间等进可以对网络地址、端口、协议、文件类型、上网时间等进行过滤。行过滤。防火墙的访问控制的两种策略，防火墙的访问控制的两种策略，“黑名单黑名单”策略指除了规策略指除了规则禁止的访问，其他都是允许的；则禁止的访问，其他都是允许的；“白名单白名单”策略指除了

5、策略指除了规则允许的访问，其他都是禁止的；规则允许的访问，其他都是禁止的；7.2.2防火墙的防止外部攻击防火墙的防止外部攻击防火墙内置黑客入侵检测与防范机制防火墙内置黑客入侵检测与防范机制7.2.3防火墙的地址转换防火墙的地址转换地址转换（地址转换（NAT），），地址转换可有正向、反向地址转换两种地址转换可有正向、反向地址转换两种正向地址转换（源地址转换）：指修改数据报中正向地址转换（源地址转换）：指修改数据报中IP头部中的头部中的数据源地址。当使用私有地址的内网用户访问外网时，把私数据源地址。当使用私有地址的内网用户访问外网时，把私有地址转换为合法的外网地址。有地址转换为合法的外网地址。比如

6、可用的比如可用的IP地址是一个范围，而内部网络地址的范围大于地址是一个范围，而内部网络地址的范围大于合法合法IP的范围，不能一一分配，则动态的当某一个内部网络的范围，不能一一分配，则动态的当某一个内部网络地址用户访问外网时，转换为某一外部地址用户访问外网时，转换为某一外部IP；可以有助于解决可以有助于解决IP地址紧缺，同时能隐藏内部的网络拓扑结构，提升网络的地址紧缺，同时能隐藏内部的网络拓扑结构，提升网络的安全性。安全性。但如果合法但如果合法IP都被占用，则从内网的新的请求会由于没有合都被占用，则从内网的新的请求会由于没有合法地址可以分配而失败。法地址可以分配而失败。NAT包括有静态包括有静态

7、NAT、动、动态地址态地址NAT和端口多路复和端口多路复用地址转换三种技术类型。用地址转换三种技术类型。静态静态NAT是把内部网络中是把内部网络中的每个主机地址永久映射的每个主机地址永久映射成外部网络中的某个合法成外部网络中的某个合法地址；地址；动态地址动态地址NAT是采用把外是采用把外部网络中的一系列合法地部网络中的一系列合法地址使用动态分配的方法映址使用动态分配的方法映射到内部网络；射到内部网络；端口多路复用地址转换是把内端口多路复用地址转换是把内部地址映射到外部网络的一个部地址映射到外部网络的一个IP地址的不同端口上。地址的不同端口上。反向地址转换（目标地址转换）：指修改数据报中反向地址

8、转换（目标地址转换）：指修改数据报中IP头部头部中的数据目的地址。这种转换通常发生在防火墙之后的服中的数据目的地址。这种转换通常发生在防火墙之后的服务器上。由于服务器使用了私有地址，要使外网用户可以务器上。由于服务器使用了私有地址，要使外网用户可以访问到其提供的服务，必须有合法的访问到其提供的服务，必须有合法的IP与之对应。可以隐与之对应。可以隐藏内部服务器信息。藏内部服务器信息。地址转换的实现需要维护一张转换表，以保证能够对返回地址转换的实现需要维护一张转换表，以保证能够对返回的数据包进行正确的反向转换。的数据包进行正确的反向转换。7.2.4防火墙的日志与报警防火墙的日志与报警防火墙可以实时

9、在线监视内外网络间防火墙可以实时在线监视内外网络间TCP连接的各种状连接的各种状态及态及UDP协议包能力，在日志中记录所有防火墙的配置协议包能力，在日志中记录所有防火墙的配置操作、上网通信时间、源地址、目的地址等。操作、上网通信时间、源地址、目的地址等。7.2.5防火墙的身份认证防火墙的身份认证防火墙支持基于用户身份的网络访问控制，可以根据用防火墙支持基于用户身份的网络访问控制，可以根据用户认证情况动态地调整安全策略，实现用户对网络地授户认证情况动态地调整安全策略，实现用户对网络地授权访问。权访问。7.3 7.3 防火墙技术防火墙技术防火墙技术防火墙技术7.3.1防火墙的包过滤防火墙的包过滤包

10、过滤是一种安全筛选机制，它控制哪些数据包可以进出包过滤是一种安全筛选机制，它控制哪些数据包可以进出网络而哪些数据包应被网络拒绝。网络而哪些数据包应被网络拒绝。包过滤防火墙是用一个软件查看所流经的数据包的包头包过滤防火墙是用一个软件查看所流经的数据包的包头（header），由此决定整个包的处理。丢弃（），由此决定整个包的处理。丢弃（DROP）这）这个包或接受（个包或接受（ACCEPT）这个包（让这个包通过），也可）这个包（让这个包通过），也可能执行其它更复杂的动作。能执行其它更复杂的动作。它通常安装在路由器上。路由器是内部网络与它通常安装在路由器上。路由器是内部网络与Internet连接连接必不

11、可少的设备，因此在原有网络上增加这样的防火墙几必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。乎不需要任何额外的费用。1包过滤的工作机制包过滤的工作机制应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层包过滤防火墙包过滤防火墙包过滤发生在包过滤发生在网络层网络层上，在将某个数据包向前传递之前，防上，在将某个数据包向前传递之前，防火墙会将火墙会将IP头和头和TCP头与一个由用户定义的表单（规则库）头与一个由用户定义的表单（规则库）进行比较

12、，该规则库包含许多规则来指示防火墙是应该拒绝进行比较，该规则库包含许多规则来指示防火墙是应该拒绝还是接收该数据包。还是接收该数据包。若扫描时发现了匹配的，则按特定要求执行操作，若没有匹若扫描时发现了匹配的，则按特定要求执行操作，若没有匹配的，则对它施加一条默认规则。配的，则对它施加一条默认规则。包过滤的默认规则中，有两类思想，包过滤的默认规则中，有两类思想，“容易使用容易使用”和和“安全安全第一第一”。“容易使用容易使用”指除了明确拒绝的，允许所有数据流指除了明确拒绝的，允许所有数据流通过；通过；“安全第一安全第一”指除了明确允许的，拒绝所有数据流通指除了明确允许的，拒绝所有数据流通过。过。包

13、过滤依据规则一般是：包过滤依据规则一般是：1）包的目的）包的目的IP地址（地址（IP包首部）包首部）2）包的源）包的源IP地址（地址（IP包首部）包首部）3）包的传送协议（端口号）（）包的传送协议（端口号）（TCP包首部）包首部）接收或是拒绝一个数据包取决于对数据包中的接收或是拒绝一个数据包取决于对数据包中的IP头和协议头头和协议头的特定区域的检查，而特定区域则包括数据源地址、目的地的特定区域的检查，而特定区域则包括数据源地址、目的地址、应用或协议、源端口号和目的端口号。址、应用或协议、源端口号和目的端口号。2性能特点性能特点1）优点：）优点：处理速度快处理速度快提供透明的服务，与应用层无关，

14、用户不用改变客户端程提供透明的服务，与应用层无关，用户不用改变客户端程序，无需用户名密码登录。序，无需用户名密码登录。成本低，路由器通常集成了简单包过滤的功能，基本不再成本低，路由器通常集成了简单包过滤的功能，基本不再需要单独的实现包过滤功能的防火墙设备需要单独的实现包过滤功能的防火墙设备2）缺点：）缺点：仅工作于网络层，不能对数据报更高层的信息进行分析，安仅工作于网络层，不能对数据报更高层的信息进行分析，安全级别低。全级别低。不支持用户认证，只能识别机器信息，容易受不支持用户认证，只能识别机器信息，容易受IP欺骗的攻击欺骗的攻击不提供日志功能不提供日志功能缺少状态感知，对于使用动态分配端口的

15、服务来说，要打开缺少状态感知，对于使用动态分配端口的服务来说，要打开许多端口，由此增加了网络的风险。许多端口，由此增加了网络的风险。创建严密有效、次序合理的安全策略较困难。创建严密有效、次序合理的安全策略较困难。对访问的控制不够细化对访问的控制不够细化包过滤技术作为防火墙的应用常见的有：一是路由设备在完包过滤技术作为防火墙的应用常见的有：一是路由设备在完成路由选择和数据转发之外，同时进行包过滤（最常见、屏成路由选择和数据转发之外，同时进行包过滤（最常见、屏蔽路由器）；二是在工作站上使用软件进行包过滤；蔽路由器）；二是在工作站上使用软件进行包过滤；代理服务要求有两个部件：一个代理服务器和一个代理

16、客户。代理服务要求有两个部件：一个代理服务器和一个代理客户。代理服务器是一个运行代理服务程序的双宿主主机，代理客户代理服务器是一个运行代理服务程序的双宿主主机，代理客户是普通客户程序（如一个是普通客户程序（如一个telnet或或ftp客户），它与代理服务器客户），它与代理服务器交互而不是与真正的外部服务器相连。交互而不是与真正的外部服务器相连。代理服务器依据一定的安全规则来评测代理用户的网络服务请代理服务器依据一定的安全规则来评测代理用户的网络服务请求，然后决定是支持还是否决该请求。若支持，代理服务器就求，然后决定是支持还是否决该请求。若支持，代理服务器就代表客户与真正的服务器相连，并将服务器

17、的响应传递回给代代表客户与真正的服务器相连，并将服务器的响应传递回给代理客户。理客户。代理技术针对每一个特定应用都有一个程序。代理技术针对每一个特定应用都有一个程序。如果网管没有为如果网管没有为某应用安装程序，则该项服务就不支持并不能通过防火墙系统某应用安装程序，则该项服务就不支持并不能通过防火墙系统转发。转发。7.3.2防火墙的应用代理技术防火墙的应用代理技术1代理技术基本概念代理技术基本概念使用代理服务器的好处：使用代理服务器的好处：1.访问国外站点。教育网、访问国外站点。教育网、169网等网络用户可以通过代理访网等网络用户可以通过代理访问国外网站。问国外网站。2.访问一些单位或团体内部资

18、源，如某大学访问一些单位或团体内部资源，如某大学FTP（前提是该代（前提是该代理地址在该资源的允许访问范围之内），使用教育网内地址理地址在该资源的允许访问范围之内），使用教育网内地址段免费代理服务器，就可以用于对教育网开放的各类段免费代理服务器，就可以用于对教育网开放的各类FTP下下载上传，以及各类资料查询共享等服务。载上传，以及各类资料查询共享等服务。3.突破中国电信的突破中国电信的IP封锁：中国电信用户有很多网站是被限制封锁：中国电信用户有很多网站是被限制访问的，这种限制是人为的，不同访问的，这种限制是人为的，不同Serve对地址的封锁是不同对地址的封锁是不同的。所以不能访问时可以换一个国

19、外的代理服务器试试。的。所以不能访问时可以换一个国外的代理服务器试试。4.提高访问速度：通常代理服务器都设置一个较大的硬盘缓冲提高访问速度：通常代理服务器都设置一个较大的硬盘缓冲区，当有外界的信息通过时，同时也将其保存到缓冲区中，区，当有外界的信息通过时，同时也将其保存到缓冲区中，当其他用户再访问相同的信息时，则直接由缓冲区中取出信当其他用户再访问相同的信息时，则直接由缓冲区中取出信息，传给用户，以提高访问速度。息，传给用户，以提高访问速度。5.隐藏真实隐藏真实IP：上网者也可以通过这种方法隐藏自己的：上网者也可以通过这种方法隐藏自己的IP，免，免受攻击。受攻击。代理服务是运行在防火墙主机上的

20、一些特定的应用程序或代理服务是运行在防火墙主机上的一些特定的应用程序或者服务器程序。者服务器程序。防火墙主机是指由一个网络接口连接外网而防火墙主机是指由一个网络接口连接外网而另一个接口连接内网的双宿主主机，且该双宿主主机被取消另一个接口连接内网的双宿主主机，且该双宿主主机被取消了路由功能。内网和外网在网络层是断开的，要实现网络之了路由功能。内网和外网在网络层是断开的，要实现网络之间的应用通讯就必须建立在应用层。间的应用通讯就必须建立在应用层。代理系统工作在应用层，提供应用层服务的控制，起到内代理系统工作在应用层，提供应用层服务的控制，起到内部网络向外部网络申请服务时的中转作用，同时，内部网络部

21、网络向外部网络申请服务时的中转作用，同时，内部网络只接受代理提出的服务请求，拒绝外网的直接请求。只接受代理提出的服务请求，拒绝外网的直接请求。应用层应用层应用层应用层代理服务器代理服务器防火墙的应用代理服务：防火墙的应用代理服务：代理型的工作方式代理型的工作方式2工作机制工作机制代理服务型防火墙按标准步骤对接收的数据包进行处理代理服务型防火墙按标准步骤对接收的数据包进行处理1）接收数据包）接收数据包2）检查源地址和目标地址）检查源地址和目标地址3）检查请求类型）检查请求类型4）调用相应的程序）调用相应的程序5）对请求进行处理）对请求进行处理以外网用户通过以外网用户通过telnet访问内网主机为

22、例，认识代理服务型访问内网主机为例，认识代理服务型防火墙的工作机制：防火墙的工作机制：1）接收数据包：）接收数据包：外网路由器将外部网络主机对内部网络资外网路由器将外部网络主机对内部网络资源的请求路由至防火墙的外部网卡，防火墙接收。源的请求路由至防火墙的外部网卡，防火墙接收。2）检查源地址和目标地址：）检查源地址和目标地址：防火墙检查数据包中的源地防火墙检查数据包中的源地址，并确定该包是由内网卡还是外网卡接收到的，以防址，并确定该包是由内网卡还是外网卡接收到的，以防IP地址欺骗。检查数据包中的目的地址，确定是否接收或拒地址欺骗。检查数据包中的目的地址，确定是否接收或拒绝该包。绝该包。3）检查请

23、求类型：）检查请求类型：防火墙检查请求的服务端口号，依据防火墙检查请求的服务端口号，依据规则，确定是否向数据包提供相应的服务。规则，确定是否向数据包提供相应的服务。4）调用相应的程序：）调用相应的程序：若防火墙对所请求的服务提供支持，若防火墙对所请求的服务提供支持，则将该服务请求传送至相应的代理服务。则将该服务请求传送至相应的代理服务。5）对请求进行处理：）对请求进行处理：代理服务执行相应的代理程序，此代理服务执行相应的代理程序，此时，应用请求认为是在与目标主机进行对话；然后，代理时，应用请求认为是在与目标主机进行对话；然后，代理服务通过另一网卡以自己的真实身份代替客户方，向目标服务通过另一网

24、卡以自己的真实身份代替客户方，向目标主机发送应用请求，若请求成功，则客户端到目标主机之主机发送应用请求，若请求成功，则客户端到目标主机之间的应用连接成功建立。间的应用连接成功建立。注：注：1）代理服务型防火墙通过两次连接实现客户机至目标主）代理服务型防火墙通过两次连接实现客户机至目标主机之间的连接。先客户机至防火墙，再防火墙至目标主机。机之间的连接。先客户机至防火墙，再防火墙至目标主机。反之同样。反之同样。2）在防火墙替客户机向目标主机发送应用请求前可对客户方）在防火墙替客户机向目标主机发送应用请求前可对客户方进行身份验证。进行身份验证。3性能特点性能特点1）优点）优点可以识别并实施高层的协议

25、，如可以识别并实施高层的协议，如http等，安全级别高于包过等，安全级别高于包过滤防火墙，同时也能处理数据包滤防火墙，同时也能处理数据包代理服务型防火墙可以配置成唯一的可被外边看见的主机，代理服务型防火墙可以配置成唯一的可被外边看见的主机，以保护内部主机免受外部的攻击以保护内部主机免受外部的攻击可以强制执行用户认证可以强制执行用户认证代理工作在客户机和真实服务器之间，可记录和控制所有代理工作在客户机和真实服务器之间，可记录和控制所有进出流量，能提供较详细的审计日志进出流量，能提供较详细的审计日志2）缺点）缺点速度慢，因为数据数据要被处理两次（应用程序和代理）速度慢，因为数据数据要被处理两次（应

26、用程序和代理）对于新出现的应用服务，其代理服务的开发要滞后对于新出现的应用服务，其代理服务的开发要滞后常会需要客户端的修改和设置，较繁琐常会需要客户端的修改和设置，较繁琐对操作系统和应用层协议有依赖性，大多数应用层防火对操作系统和应用层协议有依赖性，大多数应用层防火墙需要操作系统的支持才能正常运行墙需要操作系统的支持才能正常运行7.3.3防火墙的状态检测技术防火墙的状态检测技术所有所有TCP会话都是从三次握手开始，握手时要传送序号、会话都是从三次握手开始，握手时要传送序号、SYN、ACK等数据。攻击者经常通过发送含有不正确位的数等数据。攻击者经常通过发送含有不正确位的数据包来试图欺骗服务器（如

27、攻击者想搜寻服务器上开放的端据包来试图欺骗服务器（如攻击者想搜寻服务器上开放的端口，则发送口，则发送ACK1的数据包欺骗服务器）。的数据包欺骗服务器）。状态检测防火墙是基于状态检测防火墙是基于TCP包包的结构与传输方式，将的结构与传输方式，将属于同属于同一连接的所有包作为一个整体的数据流看待一连接的所有包作为一个整体的数据流看待，构成连接状态，构成连接状态表。通过验证数据包的序号以及各状态位信息等来确定数据表。通过验证数据包的序号以及各状态位信息等来确定数据包是否合法，一旦发现任何连接的参数有意外的变化，则终包是否合法，一旦发现任何连接的参数有意外的变化，则终止该连接。止该连接。状态检测技术的

28、防火墙维护一张状态表，跟踪记录当前连接状态检测技术的防火墙维护一张状态表，跟踪记录当前连接及所处状态，如果防火墙收到一个处于非预期状态的数据包，及所处状态，如果防火墙收到一个处于非预期状态的数据包，这个数据包会被丢弃。这个数据包会被丢弃。状态检测防火墙有一个检测模块，截获网络层的数据包，状态检测防火墙有一个检测模块，截获网络层的数据包，并抽取与应用层状态有关的信息，并以此作为依据决定对并抽取与应用层状态有关的信息，并以此作为依据决定对该连接是接受还是拒绝。该连接是接受还是拒绝。应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层应用层应用层表示层表示层会

29、话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层状态检测状态检测防火墙防火墙状态检测技术的特点：状态检测技术的特点：1安全性：安全性：状态检测模块位于操作系统的内核，状态检测模块位于操作系统的内核，状态检测状态检测防火墙截取和检查所有通过网络的原始数据包，根据安全防火墙截取和检查所有通过网络的原始数据包，根据安全策略从中提取有用信息，保存在内存中，然后和相关状态策略从中提取有用信息，保存在内存中，然后和相关状态表信息结合操作，确定对包的处理。表信息结合操作，确定对包的处理。2高效性：数据包在低层处理，提高执行效率；一旦一个高效性：数据包在低层处理，提高执行效率；一旦一个身份验

30、证通过、连接建立，就不再对该连接做更多的判断身份验证通过、连接建立，就不再对该连接做更多的判断工作。工作。3可伸缩性和易扩展性：不区分每个具体应用，可伸缩性和易扩展性：不区分每个具体应用，只是根据只是根据从数据包中提取出的信息、对应的安全策略及过滤规则处从数据包中提取出的信息、对应的安全策略及过滤规则处理数据包，当有一个新的应用时，它能动态产生新的应用理数据包，当有一个新的应用时，它能动态产生新的应用的新的规则，而不用另外写代码的新的规则，而不用另外写代码4应用范围广：可支持基于无连接协议的应用应用范围广：可支持基于无连接协议的应用RPC、UDP等。等。对基于对基于UDP应用安全的实现是通过在

31、应用安全的实现是通过在UDP通通信之上保持一个虚拟连接来实现。防火墙保存通过网关信之上保持一个虚拟连接来实现。防火墙保存通过网关的每一个连接的状态信息，允许穿过防火墙的的每一个连接的状态信息，允许穿过防火墙的UDP请求请求包被记录，当包被记录，当UDP包在相反方向上通过时，依据连接状包在相反方向上通过时，依据连接状态表确定该态表确定该UDP包是否被授权的，若已被授权，则通过，包是否被授权的，若已被授权，则通过，否则拒绝。如果在指定的一段时间内响应数据包没有到否则拒绝。如果在指定的一段时间内响应数据包没有到达，连接超时，则该连接被阻塞，这样所有的攻击都被达，连接超时，则该连接被阻塞，这样所有的攻

32、击都被阻塞，阻塞，UDP应用安全实现了。应用安全实现了。状态检测防火墙也支持状态检测防火墙也支持RPC，因为对于因为对于RPC服务来说，服务来说，其端口号是不定的，因此简单的跟踪端口号是不能实现其端口号是不定的，因此简单的跟踪端口号是不能实现该种服务的安全的，状态检测防火墙通过动态端口映射该种服务的安全的，状态检测防火墙通过动态端口映射图记录端口号，为验证该连接还保存连接状态、程序号图记录端口号，为验证该连接还保存连接状态、程序号等，通过动态端口映射图来实现此类应用的安全。等，通过动态端口映射图来实现此类应用的安全。实际应用中，防火墙常是多种解决不同问题的技术的有机结合。实际应用中，防火墙常是

33、多种解决不同问题的技术的有机结合。7.3.4防火墙系统体系机构防火墙系统体系机构3种防火墙的体系结构是：双重宿主主机体系结构、屏蔽种防火墙的体系结构是：双重宿主主机体系结构、屏蔽主机体系结构和屏蔽子网体系结构主机体系结构和屏蔽子网体系结构1双重宿主主机体系结构：双重宿主主机结构是围绕着至双重宿主主机体系结构：双重宿主主机结构是围绕着至少具有两个网络接口的双重宿主主机而构成的。少具有两个网络接口的双重宿主主机而构成的。双重宿主主机内外的网络都可以和其通信，但内外网络之双重宿主主机内外的网络都可以和其通信，但内外网络之间不可以直接通信。内外网络之间的数据流被双重宿主主间不可以直接通信。内外网络之间

34、的数据流被双重宿主主机切断，它们之间的通信必须经过双重宿主主机的过滤和机切断，它们之间的通信必须经过双重宿主主机的过滤和控制。控制。双重宿主主机是唯一的隔开内网和外网的屏障，如果入侵双重宿主主机是唯一的隔开内网和外网的屏障，如果入侵者得到了该主机的访问权，内部网络就会被入侵，所以应者得到了该主机的访问权，内部网络就会被入侵，所以应该有强大的身份认证系统。该有强大的身份认证系统。双重宿主主机防火墙的实现技术：双重宿主主机防火墙的实现技术：因为因为IP层的通信是被阻止的，所以双重宿主主机采用两种层的通信是被阻止的，所以双重宿主主机采用两种方式提供服务：方式提供服务：1）用户直接登录到主机上提供服务

35、。这需要在主机上开很）用户直接登录到主机上提供服务。这需要在主机上开很多帐号，而帐号的存在会给入侵者提供相对容易的入侵通多帐号，而帐号的存在会给入侵者提供相对容易的入侵通道；同时管理员维护起来繁琐；道；同时管理员维护起来繁琐；2）在双宿主主机上运行代理服务器。当访问外部站点时，）在双宿主主机上运行代理服务器。当访问外部站点时，必须先经过代理服务器认证，然后才可以通过代理服务器必须先经过代理服务器认证，然后才可以通过代理服务器访问外网。是一种较好的方法。访问外网。是一种较好的方法。Internet双重宿双重宿主主机主主机防火墙防火墙内内部部网网络络2屏蔽主机体系结构屏蔽主机体系结构提供安全保护的

36、主机只与内网相连，有一台单独的过滤提供安全保护的主机只与内网相连，有一台单独的过滤路由器位于外网和主机之间，把内网和外网隔离开，它路由器位于外网和主机之间，把内网和外网隔离开，它强迫所有到达路由器的数据包被发送到被屏蔽的堡垒主强迫所有到达路由器的数据包被发送到被屏蔽的堡垒主机。堡垒主机是外网上的主机可以到达的唯一的内网上机。堡垒主机是外网上的主机可以到达的唯一的内网上的系统。它是内外网络信息流通的必经之路，也就是代的系统。它是内外网络信息流通的必经之路，也就是代理服务器。理服务器。屏蔽主机防火墙由包过滤路由器和堡垒主机组成。可实屏蔽主机防火墙由包过滤路由器和堡垒主机组成。可实现网络层安全（包过

37、滤，由路由器实现）和应用层安全现网络层安全（包过滤，由路由器实现）和应用层安全（代理服务，由堡垒主机实现）（代理服务，由堡垒主机实现）在这种防火墙中，过滤路由器是否正确配置是安全与否在这种防火墙中，过滤路由器是否正确配置是安全与否的关键，过滤路由器的路由表应当受到严格保护，否则的关键，过滤路由器的路由表应当受到严格保护，否则不能保证数据包路由到堡垒主机上不能保证数据包路由到堡垒主机上单宿堡垒主机类型。单宿堡垒主机类型。一个包过滤路由器连接外部网络，同时一个包过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上。堡垒主机只有一个堡垒主机安装在内部网络上。堡垒主机只有一个网卡一个网卡，与内部网

38、络连接。通常在路由器上设立过滤规则，并使这个与内部网络连接。通常在路由器上设立过滤规则，并使这个单宿堡垒主机成为从单宿堡垒主机成为从Internet惟一可以访问的主机，确保了内惟一可以访问的主机，确保了内部网络不受未被授权的外部用户的攻击。而部网络不受未被授权的外部用户的攻击。而Intranet内部的客内部的客户机，可以受控制地通过屏蔽主机和路由器访问户机，可以受控制地通过屏蔽主机和路由器访问Internet。双宿堡垒主机类型双宿堡垒主机类型。堡垒主机有。堡垒主机有两块网卡两块网卡，一块连接内部，一块连接内部网络，一块连接包过滤路由器。双宿堡垒主机在应用层提网络，一块连接包过滤路由器。双宿堡垒

39、主机在应用层提供代理服务，与单宿型相比更加安全。供代理服务，与单宿型相比更加安全。3屏蔽子网体系机构屏蔽子网体系机构在屏蔽主机体系结构上再加一个过滤路由器，两个路由器在屏蔽主机体系结构上再加一个过滤路由器，两个路由器形成了一个隔离带，将堡垒主机安装在此隔离带中。形成了一个隔离带，将堡垒主机安装在此隔离带中。隔离带也称停火区或非军事区（隔离带也称停火区或非军事区（DMZ）。屏蔽子网是在内网和外网之间建立一个被隔离的子网，用屏蔽子网是在内网和外网之间建立一个被隔离的子网，用两个包过滤路由器将这一子网分别与内网和外网分开。两个包过滤路由器将这一子网分别与内网和外网分开。两个包过滤路由器放在子网的两端

40、，在子网内构成一个两个包过滤路由器放在子网的两端，在子网内构成一个“缓冲地带缓冲地带”（DMZ），），两个路由器一个控制内网数据流，两个路由器一个控制内网数据流，另另一个控制外网据流，内网和外网均可访问一个控制外网据流，内网和外网均可访问DMZ，但禁止，但禁止它们直接穿过它们直接穿过DMZ通信。在通信。在DMZ中的堡垒主机，为内、外中的堡垒主机，为内、外网络的互相访问提供代理服务，而且来自网络的互相访问提供代理服务，而且来自两网络两网络的访问都的访问都必须通过两个包过滤路由器的检查。对于向必须通过两个包过滤路由器的检查。对于向Internet公开的公开的服务器，像服务器，像WWW、FTP、Ma

41、il等等Internet服务器也可安装服务器也可安装在在DMZ，这样无论是外部用户，还是内部用户都可访问。，这样无论是外部用户，还是内部用户都可访问。这种结构的防火墙安全性能高，具有很强的抗攻击能力，但这种结构的防火墙安全性能高，具有很强的抗攻击能力，但需要的设备多，造价高。需要的设备多，造价高。7.3.5防火墙的主要技术指标防火墙的主要技术指标1并发会话（并发连接数）数并发会话（并发连接数）数：是防火墙能够处理的点对：是防火墙能够处理的点对点会话连接的最大数目，反映防火墙对多个连接的访问点会话连接的最大数目，反映防火墙对多个连接的访问控制能力和连接跟踪能力。控制能力和连接跟踪能力。打开的一个

42、窗口或一个打开的一个窗口或一个Web页面，可以把它叫做一个页面，可以把它叫做一个“会话会话”。在一个局域网内，所有用户要通过防火墙上网，。在一个局域网内，所有用户要通过防火墙上网，要打开很多个窗口或要打开很多个窗口或Web页面（即会话），这个防火墙页面（即会话），这个防火墙所能处理的最大会话数量，就是所能处理的最大会话数量，就是“并发连接数并发连接数”。防火墙维持一个并发连接表，用以存放并发连接信息，防火墙维持一个并发连接表，用以存放并发连接信息，其大小也就是防火墙所能支持的最大并发连接数。其大小也就是防火墙所能支持的最大并发连接数。并发连接数越大，相应允许支持的客户终端越多，但对并发连接数越

43、大，相应允许支持的客户终端越多，但对系统内存的消耗和系统内存的消耗和CPU的需求就越多。的需求就越多。以每个用户需要以每个用户需要10.5个并发连接来计算，一个中小型企业网个并发连接来计算，一个中小型企业网络（络（1000个信息点以下，容纳个信息点以下，容纳4个个C类地址空间）大概需要类地址空间）大概需要10.51000=10500个并发连接，因此支持个并发连接，因此支持2000030000最大并最大并发连接的防火墙设备便可以满足需求；发连接的防火墙设备便可以满足需求；大型的企事业单位网络（比如信息点数在大型的企事业单位网络（比如信息点数在100010000之间）之间）大概会需要大概会需要10

44、5000个并发连接，所以支持个并发连接，所以支持100000120000最最大并发连接的防火墙就可以满足企业的实际需要大并发连接的防火墙就可以满足企业的实际需要;2网络吞吐量：网络吞吐量：在不丢包的情况下单位时间内通过防火墙的在不丢包的情况下单位时间内通过防火墙的数据包数量。数据包数量。吞吐量的大小主要由防火墙内网卡，及程序算法的效率决吞吐量的大小主要由防火墙内网卡，及程序算法的效率决定。若防火墙的算法依靠软件实现，则定。若防火墙的算法依靠软件实现，则100M防火墙的吞吐防火墙的吞吐量实际只有量实际只有10M-20M。纯硬件防火墙，吞吐量可以达到。纯硬件防火墙，吞吐量可以达到90-95M。安全

45、过滤带宽安全过滤带宽是指防火墙在某种加密算法标准下，如是指防火墙在某种加密算法标准下，如DES(56位位)或或3DES（168位）下的整体过滤性能。它是相对位）下的整体过滤性能。它是相对于明文带宽提出的。一般来说，防火墙总的吞吐量越大，于明文带宽提出的。一般来说，防火墙总的吞吐量越大，其对应的安全过滤带宽越高。其对应的安全过滤带宽越高。3工作模式：目前防火墙的三种工作模式是路由模式、透明工作模式：目前防火墙的三种工作模式是路由模式、透明模式和模式和混合模式混合模式。4接口：防火墙接口分为以太网（接口：防火墙接口分为以太网（10M）、）、快速以太网快速以太网（100M）、）、千兆以太网（光纤）接

46、口等千兆以太网（光纤）接口等防火墙上一般都预设有：内网口、外网口、防火墙上一般都预设有：内网口、外网口、DMZ接口和控制接口和控制端接口。端接口。7.4 防火墙应用典型案例（方案设计）防火墙应用典型案例（方案设计）7.4.1背景及规划描述背景及规划描述（1）公司拥有一台带）公司拥有一台带NAT和路由功能的防火墙设备：和路由功能的防火墙设备：NetST防火墙防火墙（2）公司拥有外部的合法地址：）公司拥有外部的合法地址：202.205.115.65（3）内网使用保留）内网使用保留IP地址，内网地址段为地址，内网地址段为192.168.1.0/24，通过通过NAT访问外网。访问外网。（4）内部服务器

47、放到）内部服务器放到DMZ网段：网段：10.10.10.0/24，其中，其中，WWW服务器是服务器是10.10.10.10（5）NetST防火墙置于外网和内网和防火墙置于外网和内网和DMZ网之间，防火墙网之间，防火墙上各网卡的地址设为：外网卡地址：上各网卡的地址设为：外网卡地址：202.205.113.65，内网卡：，内网卡：192.168.1.1，DMZ网卡：网卡：10.10.10.1内网内网DMZ202.205.115.65192.168.1.1/2410.10.10.1/2410.10.10.10/24192.168.1.0/24DMZ内网内网192.168.1.1/24202.205.

48、113.6510.10.10.1/2410.10.10.10/24192.168.1.0/24（1）公司内网可以访问）公司内网可以访问internet和和DMZ的的WWW服务服务分析：要提供内网分析：要提供内网IP到外网的到外网的NAT，要添加内网访问，要添加内网访问DMZ的路由器过滤规则的路由器过滤规则（2）公司内网用户只允许使用）公司内网用户只允许使用TCP访问任意的访问任意的WWW服务服务分析：要添加限制内网使用分析：要添加限制内网使用TCP访问访问WWW的路由器过滤规则的路由器过滤规则要求：要求：7.4.2 防火墙配置要求防火墙配置要求7.4.3功能配置功能配置1）安装）安装NetST

49、防火墙防火墙2）配置各网卡地址及网关）配置各网卡地址及网关3）配置）配置NAT规则规则命令格式：命令格式：addnattypeori_src_ipori_dst_ipori_porttrans_src_iptrans_dst_iptrans_port参数说明：参数说明：1）type指指nat的的类型，有类型，有static（静态）和静态）和dynamic（动态）两种；动态）两种；2）ori_src_ip是转换前源是转换前源IP地址；地址；ori_dst_ip是转换前目的是转换前目的IP地址；地址；ori_port是转换前端口；是转换前端口；trans_src_ip是是转换后源转换后源IP地地址

50、；址；trans_dst_ip是转换后目的是转换后目的IP地址；地址；trans_port是转换后是转换后端口。端口。允许内网用户可以访问外网，使用允许内网用户可以访问外网，使用addnat命令将内网的地址命令将内网的地址进行映射：进行映射：Addnatstatic192.168.1.0/24anyany202.205.113.65anyany4）配置过滤规则）配置过滤规则命令格式：命令格式：addruleprotocolsrc_ipdst_ipservice/icmp_typeinterface_positionaction参数说明：参数说明：1）protocol为协议名称，为为协议名称，为