(精品)ch4防火墙技术.ppt

《(精品)ch4防火墙技术.ppt》由会员分享，可在线阅读，更多相关《(精品)ch4防火墙技术.ppt（58页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第四章第四章 防火墙技术防火墙技术 第第4章章 防火墙技术防火墙技术 内容提要：内容提要：防火墙防火墙概述概述 防火墙的体系结构防火墙的体系结构 数据包过滤防火墙数据包过滤防火墙 代理防火墙代理防火墙 防火墙应用举例防火墙应用举例 防火墙脆弱性及其防护对策防火墙脆弱性及其防护对策 防火墙技术发展动态和趋势防火墙技术发展动态和趋势第四章第四章 防火墙技术防火墙技术 4.1概述概述防火墙的定义防火墙的定义 防火墙是位于被保护网络和外防火墙是位于被保护网络和外部网络之间执行访问控制策略的一部网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，个或一组系统，包括硬件和软件，构成一道屏障，以防止发

2、生对被保构成一道屏障，以防止发生对被保护网络的不可预测的、潜在破坏性护网络的不可预测的、潜在破坏性的侵扰。的侵扰。第四章第四章 防火墙技术防火墙技术 防火墙的要点：防火墙的要点：防火墙配置在不同网络或网络安全域之间,它遵循的是一种允许或阻止业务来往的网络通信安全机制，只允许授权的通信，尽可能地对外部屏蔽网络内部的信息、结构和运行状况 第四章第四章 防火墙技术防火墙技术 防火墙的发展简史防火墙的发展简史第一代防火墙第一代防火墙采用了包过滤（采用了包过滤（Packetfilter）技术。技术。第二代防火墙第二代防火墙电路层防火墙电路层防火墙第第三三代代防防火火墙墙应应用用层层防防火火墙墙（代代理理

3、防防火火墙墙）的的初初步步结构结构第第四四代代防防火火墙墙1992年年，基基于于动动态态包包过过滤滤（Dynamicpacketfilter）技术技术第五代防火墙第五代防火墙自适应代理（自适应代理（Adaptiveproxy）技术技术第四章第四章 防火墙技术防火墙技术 防火墙的五大基本功能五大基本功能过滤进、出网络的数据；过滤进、出网络的数据；管理进、出网络的访问行为；管理进、出网络的访问行为；封堵某些禁止的业务；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。对网络攻击的检测和告警。第四章第四章 防火墙技术防火墙技术 4.2防火墙体

4、系结构防火墙体系结构防火墙可以在防火墙可以在OSI七层中的五层设置。七层中的五层设置。防火墙组成结构图防火墙组成结构图第四章第四章 防火墙技术防火墙技术 防火墙的体系结构防火墙的体系结构目前，防火墙的体系结构一般有以下几种：目前，防火墙的体系结构一般有以下几种：（1）双重宿主主机体系结构；）双重宿主主机体系结构；（2）屏蔽主机体系结构；）屏蔽主机体系结构；（3）屏蔽子网体系结构。）屏蔽子网体系结构。第四章第四章 防火墙技术防火墙技术 4.2.1双重宿主主机体系结构双重宿主主机体系结构围绕具有双重宿主的主机计算机而构筑；围绕具有双重宿主的主机计算机而构筑；计算机至少有两个网络接口；计算机至少有两

5、个网络接口；计计算算机机充充当当与与这这些些接接口口相相连连的的网网络络之之间间的的路路由器；由器；防火墙内部的系统能与双重宿主主机通信；防火墙内部的系统能与双重宿主主机通信；防火墙外部的系统（在因特网上）能与双重防火墙外部的系统（在因特网上）能与双重宿主主机通信。宿主主机通信。第四章第四章 防火墙技术防火墙技术 双重宿主主机体系结构双重宿主主机体系结构第四章第四章 防火墙技术防火墙技术 4.2.2屏蔽主机体系结构屏蔽主机体系结构提提供供安安全全保保护护的的堡堡垒垒主主机机仅仅仅仅与与被被保保护护的的内内部部网络相连；网络相连；是外部网络上的主机连接内部网络的桥梁；是外部网络上的主机连接内部网

6、络的桥梁；堡垒主机需要拥有高等级的安全；堡垒主机需要拥有高等级的安全；还使用一个单独的过滤路由器来提供主要安全；还使用一个单独的过滤路由器来提供主要安全；路由器中有数据包过滤策略。路由器中有数据包过滤策略。第四章第四章 防火墙技术防火墙技术 屏蔽主机体系结构屏蔽主机体系结构第四章第四章 防火墙技术防火墙技术 4.2.3屏蔽子网体系结构屏蔽子网体系结构第四章第四章 防火墙技术防火墙技术 1周边网络周边网络 周周边边网网络络是是另另一一个个安安全全层层,是是在在外外部部网网络络与与被被保保护护的的内内部部网网络络之之间间的的附附加加网网络络,提提供供一一个个附附加加的的保保护护层层防防止止内内部信

7、息流的暴露部信息流的暴露.2堡垒主机堡垒主机 堡垒主机为内部网络服务的功能有：堡垒主机为内部网络服务的功能有：（1）接接收收外外来来的的电电子子邮邮件件（SMTP），再再分分发发给给相相应应的的站点；站点；（2）接接收收外外来来的的FTP连连接接，再再转转接接到到内内部部网网的的匿匿名名FTP服务器；服务器；（3）接接收收外外来来的的对对有有关关内内部部网网站站点点的的域域名名服服务务（DNS）查询。查询。第四章第四章 防火墙技术防火墙技术 堡垒主机向外的服务功能按以下方法实施：堡垒主机向外的服务功能按以下方法实施：（1）在在路路由由器器上上设设置置数数据据包包过过滤滤来来允允许许内内部部的的

8、客户端直接访问外部的服务器。客户端直接访问外部的服务器。（2）设设置置代代理理服服务务器器在在堡堡垒垒主主机机上上运运行行，允允许许内内部部网网的的用用户户间间接接地地访访问问外外部部网网的的服服务务器器。也也可可以以设设置置数数据据包包过过滤滤，允允许许内内部部网网的的用用户户与与堡堡垒垒主主机机上上的的代代理理服服务务器器进进行行交交互互，但但是是禁禁止止内内部部网网的的用户直接与外部网进行通信。用户直接与外部网进行通信。第四章第四章 防火墙技术防火墙技术 3内部路由器内部路由器 保保护护内内部部的的网网络络使使之之免免受受外外部部网网和和周周边边网网的的侵侵犯犯，内部路由器完成防火墙的大

9、部分数据包过滤工作。内部路由器完成防火墙的大部分数据包过滤工作。4外部路由器外部路由器 保保护护周周边边网网和和内内部部网网使使之之免免受受来来自自外外部部网网络络的的侵侵犯，通常只执行非常少的数据包过滤。犯，通常只执行非常少的数据包过滤。外部路由器一般由外界提供。外部路由器一般由外界提供。第四章第四章 防火墙技术防火墙技术 4.2.4防火墙体系结构的组合形式防火墙体系结构的组合形式（1）使用多堡垒主机；）使用多堡垒主机；（2）合并内部路由器与外部路由器；）合并内部路由器与外部路由器；（3）合并堡垒主机与外部路由器；）合并堡垒主机与外部路由器；（4）合并堡垒主机与内部路由器；）合并堡垒主机与内

10、部路由器；（5）使用多台内部路由器；）使用多台内部路由器；（6）使用多台外部路由器；）使用多台外部路由器；（7）使用多个周边网络；）使用多个周边网络；（8）使用双重宿主主机与屏蔽子网。）使用双重宿主主机与屏蔽子网。第四章第四章 防火墙技术防火墙技术 4.3包过滤防火墙包过滤防火墙包过滤防火墙工作在网络层包过滤防火墙工作在网络层利用访问控制列表（利用访问控制列表（ACL）对数据包进行过滤对数据包进行过滤过滤依据是过滤依据是TCP/IP数据包：数据包：源地址和目的地址源地址和目的地址 源端口和目的端口源端口和目的端口优点是效率比较高，对用户透明优点是效率比较高，对用户透明缺缺点点是是难难于于配配置

11、置、监监控控和和管管理理,无无法法有有效效地地区区分分同一同一IPIP地址的不同用户地址的不同用户第四章第四章 防火墙技术防火墙技术 数据包过滤的主要依据有：数据包过滤的主要依据有：（1）数据包的源地址；）数据包的源地址；（2）数据包的目的地址；）数据包的目的地址；（3）数数据据包包的的协协议议类类型型（TCP、UDP、ICMP等）；等）；（4）TCP或或UDP的源端口；的源端口；（5）TCP或或UDP的目的端口；的目的端口；（6）ICMP消息类型；消息类型；第四章第四章 防火墙技术防火墙技术 包过滤系统能进行以下情况的操作：包过滤系统能进行以下情况的操作：（1）不让任何用户从外部网用）不让任

12、何用户从外部网用Telnet登录；登录；（2）允许任何用户使用）允许任何用户使用SMTP往内部网发电子邮件；往内部网发电子邮件；（3）只允许某台机器通过）只允许某台机器通过NNTP往内部网发新闻。往内部网发新闻。不能进行以下情况的操作：不能进行以下情况的操作：（1）允允许许某某个个用用户户从从外外部部网网用用Telnet登登录录而而不不允允许许其他用户进行这种操作。其他用户进行这种操作。（2）允允许许用用户户传传送送一一些些文文件件而而不不允允许许用用户户传传送送其其他他文文件。件。第四章第四章 防火墙技术防火墙技术 （1）包包过过滤滤标标准准必必须须由由包包过过滤滤设设备备端端口口存存储储起

13、起来来，这这些些包包过滤标准叫包过滤规则。过滤标准叫包过滤规则。（2）当当包包到到达达端端口口时时，对对包包的的报报头头进进行行语语法法分分析析，大大部部分分的的包包过过滤滤设设备备只只检检查查IP、TCP或或UDP报报头头中中的的字字段段，不不检检查数据的内容。查数据的内容。（3）包过滤器规则以特殊的方式存储。）包过滤器规则以特殊的方式存储。（4）如果一条规则阻止包传输或接收，此包便不允许通过。）如果一条规则阻止包传输或接收，此包便不允许通过。（5）如果一条规则允许包传输或接收，该包可以继续处理。）如果一条规则允许包传输或接收，该包可以继续处理。（6）如果一个包不满足任何一条规则，该包被丢弃

14、。）如果一个包不满足任何一条规则，该包被丢弃。包过滤器操作第四章第四章 防火墙技术防火墙技术 包过滤路由器的配置时要注意的问题包过滤路由器的配置时要注意的问题（l）协议的双向性。）协议的双向性。（2）“往内往内”与与“往外往外”的含义。的含义。（3）“默认允许默认允许”与与“默认拒绝默认拒绝”。注意注意:（1 1）过滤规则的排列顺序是非常重要的。）过滤规则的排列顺序是非常重要的。（2 2）应该遵循自动防止故障的原理：未明确表）应该遵循自动防止故障的原理：未明确表示允许的便被禁止。示允许的便被禁止。第四章第四章 防火墙技术防火墙技术 包过滤防火墙的缺陷包过滤防火墙的缺陷（1）不能彻底防止地址欺骗

15、。）不能彻底防止地址欺骗。（2）无法执行某些安全策略）无法执行某些安全策略（3）安全性较差）安全性较差（4）一些应用协议不适合于数据包过滤）一些应用协议不适合于数据包过滤（5）管理功能弱）管理功能弱第四章第四章 防火墙技术防火墙技术 4.4应用代理防火墙应用代理防火墙 代代理理防防火火墙墙（Proxy）是是一一种种较较新新型型的的防防火火墙技术，它分为：应用层网关墙技术，它分为：应用层网关 电路层网关。电路层网关。所所谓谓代代理理服服务务器器，是是指指代代表表客客户户处处理理连连接接请请求求的的程程序序。当当代代理理服服务务器器得得到到一一个个客客户户的的连连接接意意图图时时，它它将将核核实实

16、客客户户请请求求，并并用用特特定定的的安安全全化化的的Proxy应应用用程程序序来来处处理理连连接接请请求求，将将处处理理后后的的请请求求传传递递到到真真实实的的服服务务器器上上，然然后后接接受受服服务务器器应应答答，并并做做进进一一步步处处理理后后，将将答答复复交交给给发发出出请请求求的的最最终终客户。客户。第四章第四章 防火墙技术防火墙技术 代理的工作方式代理的工作方式第四章第四章 防火墙技术防火墙技术 代理防火墙工作于应用层；代理防火墙工作于应用层；针对特定的应用层协议；针对特定的应用层协议；代代理理服服务务器器（ProxyServer）作作为为内内部部网网络络客客户户端端的的服服务务器

17、器，拦拦截截住住所所有有请请求求，也也向向客户端转发响应；客户端转发响应；代理客户机（代理客户机（ProxyClient）负责代表内负责代表内部客户端向外部服务器发出请求，当然也向部客户端向外部服务器发出请求，当然也向代理服务器转发响应；代理服务器转发响应；第四章第四章 防火墙技术防火墙技术 应用层网关型防火墙应用层网关型防火墙应用层网关防火墙应用层网关防火墙第四章第四章 防火墙技术防火墙技术 传统代理型防火墙；传统代理型防火墙；核心技术就是代理服务器技术；核心技术就是代理服务器技术；基于软件实现，通常安装在专用工作站系统上；基于软件实现，通常安装在专用工作站系统上；参与到一个参与到一个TCP

18、连接的全过程；连接的全过程；在网络应用层上建立协议过滤和转发功能；在网络应用层上建立协议过滤和转发功能；优点就是安全，是内部网与外部网的隔离点；优点就是安全，是内部网与外部网的隔离点；最大缺点就是速度相对比较慢。最大缺点就是速度相对比较慢。应用层网关型防火墙应用层网关型防火墙第四章第四章 防火墙技术防火墙技术 电路层网关防火墙电路层网关防火墙 通过电路层网关中继通过电路层网关中继TCP连接连接 一般采用自适应代理技术一般采用自适应代理技术 有两个基本要素：有两个基本要素：自自适适应应代代理理服服务务器器（Adaptive ProxyServer）动态包过滤器（动态包过滤器（DynamicPac

19、ketFilter）第四章第四章 防火墙技术防火墙技术 电路层网关防火墙电路层网关防火墙第四章第四章 防火墙技术防火墙技术 代理技术的优点（1）代理易于配置）代理易于配置（2）代理能生成各项记录）代理能生成各项记录（3）代理能灵活、完全地控制进出流量、内容）代理能灵活、完全地控制进出流量、内容（4）代理能过滤数据内容）代理能过滤数据内容（5）代理能为用户提供透明的加密机制）代理能为用户提供透明的加密机制（6）代理可以方便地与其他安全手段集成）代理可以方便地与其他安全手段集成第四章第四章 防火墙技术防火墙技术 代理技术的缺点:（1）代理速度较路由器慢；）代理速度较路由器慢；（2）代理对用户不透明

20、；）代理对用户不透明；（3）对对于于每每项项服服务务代代理理可可能能要要求求不不同同的的服务器；服务器；（4）代代理理服服务务不不能能保保证证免免受受所所有有协协议议弱弱点的限制；点的限制；（5）代理不能改进底层协议的安全性。）代理不能改进底层协议的安全性。第四章第四章 防火墙技术防火墙技术 4.5防火墙应用示例防火墙应用示例 网络卫士防火墙3000系统组成一一套套专专用用防防火火墙墙设设备备（硬硬件件）：具具有有3至至10个个网网络络接接口口，标标准准配配置置为为3个个网网络络接接口口。管管理理员员通通过过一一次次性性口口令令认认证证，对对防防火火墙墙进进行行配配置置、管管理理和和审审计。计

21、。一一次次性性口口令令用用户户客客户户端端（软软件件）：凡凡是是需需要要对对其其身身份份进进行行认认证证的的用用户户都都需需使使用用该该软软件件，例例如如，管管理理者者需需要要通通过过WWW页页面面管管理理防防火火墙墙时时，必必须须先进行一次性口令认证。先进行一次性口令认证。第四章第四章 防火墙技术防火墙技术 网络卫士防火墙网络卫士防火墙3000典型应用拓扑图典型应用拓扑图第四章第四章 防火墙技术防火墙技术 典型应用的特点典型应用的特点 防火墙工作于路由和透明混合的综合模式；防火墙工作于路由和透明混合的综合模式；网网络络192.168.1.0/24、202.99.88.0/24和和202.99

22、.99.0/24均用边界路由器作路由；均用边界路由器作路由；新新 增增 的的 支支 干干 路路 由由 器器 1（网网 络络202.99.99.0/24）用防火墙作路由；）用防火墙作路由；网网络络192.168.1.0/24和和202.99.88.0/24透透明通过防火墙；明通过防火墙；采用严格安全策略。采用严格安全策略。第四章第四章 防火墙技术防火墙技术 1配置防火墙接口地址配置防火墙接口地址（1）ifconfigeth0202.99.88.2255.255.255.0 将将eth0设设置置为为合合法法IP地地址址进进行行NAT，与与路路由由器器内内部部接口的接口的IP处于同一网段处于同一网段

23、（2）ifconfigeth1202.99.88.9255.255.255.248将接口将接口E1配上配上IP地址地址202.99.88.9（3）ifconfigeth2192.168.1.1255.255.255.0将将接接口口E2配上配上IP地址地址192.168.1.1（4）ifconfigeth2:0202.99.99.1255.255.255.0eth2接接内内部部网网，此此处处设设置置为为202.99.99.0/24这这个个网网段段 的的 目目 的的 是是 为为 了了 实实 现现 对对 202.99.97.0/24和和202.99.98.0/24做路由用。做路由用。第四章第四章 防

24、火墙技术防火墙技术 2设置路由表设置路由表（1）eth0上：上：routeadd202.99.88.1255.255.255.255eth0添加到边界路由器添加到边界路由器202.99.88.1的单机路由的单机路由routeadd202.99.88.2255.255.255.255eth0添加到防火墙外接口的单机路由添加到防火墙外接口的单机路由（2）eth1上：上：routeadd202.99.88.8255.255.255.248添加到网络添加到网络202.99.88.8的路由的路由第四章第四章 防火墙技术防火墙技术 （3）eth2上：上：routeadd192.168.1.0255.255

25、.255.0添加到网络添加到网络192.168.1.0的路由的路由（4）eth2:0上上routeadd202.99.99.1255.255.255.255eth2:0添加到添加到202.99.99.1的单机路由的单机路由routeadd202.99.99.2255.255.255.255eth2:0添加到路由器添加到路由器202.99.99.2的单机路由的单机路由routeadd202.99.97.0255.255.255.0202.99.99.2定义到网络定义到网络202.99.97.0/24的路由为内部网路由器的路由为内部网路由器202.99.99.2第四章第四章 防火墙技术防火墙技术

26、routeadd202.99.98.0255.255.255.0202.99.99.2定定 义义 到到 网网 络络 202.99.98.0/24的的 路路 由由 为为 内内 部部 网网 路路 由由 器器202.99.99.2（5）eth2:1上上routeadd202.99.88.0255.255.255.0eth2:1添加到添加到202.99.88.0的路由的路由（6）routeadddefault202.99.88.1默认路由指向边界路由器。默认路由指向边界路由器。第四章第四章 防火墙技术防火墙技术 3指定防火墙接口属性指定防火墙接口属性（1）命令：命令：fwipaddeth0202.99

27、.88.2o指定指定E0为外接口为外接口（2）命令：命令：fwipaddeth1202.99.88.9s指指定定E1为为SSN接接口口，公公共共服服务务器器所所在在的的网网络络都都是是通通过过此此接口出去。接口出去。（3）命令：命令：fwipaddeth2192.168.1.1i指指定定E2为为内内部部接接口口，192.168.1.0/24的的用用户户都都是是通通过过此接口到达防火墙。此接口到达防火墙。（4）命令：命令：fwipaddeth2:0202.99.99.1i指定指定eth2:0为内部接口为内部接口（5）命令：命令：fwipaddeth2:1202.99.88.3I指定指定eth2:

28、0为内部接口为内部接口第四章第四章 防火墙技术防火墙技术 命令：命令：dns按照提示输入所在的域以及域名服务器。按照提示输入所在的域以及域名服务器。4配置域名服务器配置域名服务器命令：命令：settranseth0eth1onsettranseth0eth2:1on5透明设置透明设置命令为命令为adduser，然后按照提示输入用户名，口令，绑然后按照提示输入用户名，口令，绑定的定的IP（或子网），用户属性（有效用户或无效用户），或子网），用户属性（有效用户或无效用户），修改用户口令需先删掉该用户，再增加该用户。修改用户口令需先删掉该用户，再增加该用户。6增加用户增加用户第四章第四章 防火墙技术

29、防火墙技术 用用adm用户通过用户通过otp认证，访问防火墙的认证，访问防火墙的10000端口。端口。7WWWWWW配置配置第四章第四章 防火墙技术防火墙技术 4.6防火墙攻防概述防火墙攻防概述 防火墙不能确保网络的绝对安全；防火墙不能确保网络的绝对安全；每每种种防防火火墙墙产产品品几几乎乎每每年年都都有有安安全全脆脆弱弱点点被被发现；发现；大大多多数数防防火火墙墙往往往往配配置置不不当当且且无无人人维维护护和和监监视；视；从从设设计计到到配配置置再再到到维维护护都都做做得得很很好好的的防防火火墙墙几乎是不可渗透的；几乎是不可渗透的；要了解攻击者是如何绕过防火墙的。要了解攻击者是如何绕过防火墙

30、的。第四章第四章 防火墙技术防火墙技术 获取防火墙标识获取防火墙标识 穿透防火墙扫描穿透防火墙扫描 利用分组过滤脆弱点利用分组过滤脆弱点 利用应用代理脆弱点利用应用代理脆弱点防火墙遭受的威胁防火墙遭受的威胁第四章第四章 防火墙技术防火墙技术 1直接扫描直接扫描2路径跟踪路径跟踪3标志获取标志获取4使用使用nmap简单推断简单推断获取防火墙标识的方法获取防火墙标识的方法第四章第四章 防火墙技术防火墙技术 （1）方法）方法 查查找找防防火火墙墙最最容容易易的的方方法法是是对对特特定定的的缺缺省省端端口执行扫描。口执行扫描。（2）对策）对策 可以在防火墙前面的路由器上阻塞这些端口。可以在防火墙前面的

31、路由器上阻塞这些端口。通通过过部部署署入入侵侵检检测测系系统统也也能能够够检检查查出出这这些些攻攻击者。击者。1直接扫描第四章第四章 防火墙技术防火墙技术 （1）方法）方法 使使用用路路径径跟跟踪踪traceroute。到到达达目目标标之之前前的的最最后后一一跳跳（61.190.251.26）是是防防火火墙墙的的机机会很大。会很大。（2）对策）对策 解解决决traceroute信信息息泄泄漏漏的的措措施施是是限限制制尽尽可可能能多多的的防防火火墙墙和和路路由由器器对对TTL已已过过期期分分组组做做出出响应。响应。2路径跟踪第四章第四章 防火墙技术防火墙技术 （1）方法）方法 扫扫描描防防火火墙

32、墙端端口口有有助助于于定定位位防防火火墙墙。标标志志信信息息在在标标识识防防火火墙墙上上能能给给攻攻击击者者提提供供有有价价值值的的信信息息。使使用用这这些些信信息息，他他们们就就能能发发掘掘众众所所周周知知的的脆脆弱弱点点或常见的配置错误。或常见的配置错误。（2）对策）对策 补救这种信息泄漏脆弱点的办法就是限制给补救这种信息泄漏脆弱点的办法就是限制给出标志信息。出标志信息。3标志获取第四章第四章 防火墙技术防火墙技术 （1）方法）方法nmap在在发发现现防防火火墙墙信信息息上上是是个个比比较较好好的的工工具具。通通过过分分析析端端口口扫扫描描报报告告可可以以分分析析出出防防火火墙墙及及其访问

33、控制规则。其访问控制规则。（2）对策）对策 为了防止攻击者使用为了防止攻击者使用nmap技巧查找路由器技巧查找路由器和防火墙的和防火墙的ACL规则，应该禁止路由器响应以类规则，应该禁止路由器响应以类型为型为3代码为代码为13的的ICMP分组的能力。分组的能力。4使用nmap简单推断第四章第四章 防火墙技术防火墙技术 透透过过防防火火墙墙从从而而发发现现隐隐藏藏在在防防火火墙墙后后面面的的目目标标，这这是是网网络络黑黑客客和和网网络络入入侵侵者者梦梦寐寐以以求求的的事情。穿透防火墙扫描方法有：事情。穿透防火墙扫描方法有：1原始分组传送原始分组传送2firewalk工具工具3源端口扫描源端口扫描穿

34、透防火墙扫描穿透防火墙扫描第四章第四章 防火墙技术防火墙技术 1原始分组传送原始分组传送（1）方法）方法 工工具具hping通通过过向向一一个个目目的的喘喘口口发发送送TCP分分组组并并报报告告由由它它引引回回的的分分组组进进行行工工作作。依依据据多多种种条条件件，hping返返回回各各种种各各样样的的响响应应。每每个个分分组组部部分分或或全全面面地地提提供供了了防防火火墙墙具具体访问控制的相当清晰的细节。体访问控制的相当清晰的细节。（2）对策）对策 防止防止hping攻击比较困难。最好是简单地阻塞类型为攻击比较困难。最好是简单地阻塞类型为3代码为代码为13的的ICMP消息（与前面讨论的消息（

35、与前面讨论的nmap扫描的对扫描的对策一样）。策一样）。第四章第四章 防火墙技术防火墙技术 2firewalk工具工具（1）方法）方法firewalk能能够够像像端端口口扫扫描描程程序序那那样样能能够够发发现现在在防防火火墙之后打开着的端口。墙之后打开着的端口。firewalk通通过过构构造造其其TTL值值专专门门计计算算过过的的IP分分组组来来工作，该工作，该TTL值在相应分组过防火墙时只剩下一跳。值在相应分组过防火墙时只剩下一跳。（2）对策）对策 在外部接口级别上可以阻塞在外部接口级别上可以阻塞LMPTTLEXHRED分组分组不过这可能负面影响其性能，因为合法的客户连接请不过这可能负面影响

36、其性能，因为合法的客户连接请求永远不知道发生了什么。求永远不知道发生了什么。第四章第四章 防火墙技术防火墙技术 3源端口扫描源端口扫描（1）方法）方法 传传统统的的包包过过滤滤防防火火墙墙有有一一个个主主要要的的缺缺点点：它它们们不不能能保保持持状状态态。因因此此，就就可可以以将将源源端端口口设设置置为为通通常常允允许许通通过过的的TCP53（区区域域传传送送）和和TCP20喘喘口口（FTP），从从而而可可以扫描（或攻击）核心的内容。以扫描（或攻击）核心的内容。（2）对策）对策 要要么么是是禁禁止止那那些些需需要要多多个个端端口口组组合合（比比如如系系统统的的FTP）的的通通信信，要要么么是是

37、切切换换到到一一个个基基于于状状态态或或应应用用的的代代理理防火墙，从而对进、出的连接作更好的控制。防火墙，从而对进、出的连接作更好的控制。第四章第四章 防火墙技术防火墙技术 分组过滤脆弱点分组过滤脆弱点1不严格的ACL规则ACL规则设置容易犯不严格的错误。规则设置容易犯不严格的错误。确保自己的防火墙规则严格限制谁能连接到哪儿。确保自己的防火墙规则严格限制谁能连接到哪儿。2ICMP和UDP隧道ICMP隧隧道道（ICMPtunneling）有有能能力力在在ICMP分分组组头头部部封封装装真真正正的的数数据据。ICMP和和UDP隧隧道道攻攻击击也也依依赖赖于于防火墙之后已有一个受害的系统。防火墙之

38、后已有一个受害的系统。防止这种类型攻击的办法既可以是完全禁止通过防防止这种类型攻击的办法既可以是完全禁止通过防火墙的火墙的ICMP访问，也可以是对访问，也可以是对ICMP分组提供小粒度的分组提供小粒度的访问控制。访问控制。第四章第四章 防火墙技术防火墙技术 应用代理脆弱点应用代理脆弱点应用代理脆弱点比较少，一般是误配置。应用代理脆弱点比较少，一般是误配置。1主机名：localhost 使使用用某某些些较较早早期期的的UNIX代代理理时时，很很容容易易忘忘了了限限制制本本地访问。地访问。理想的对策是不允许本地主机（理想的对策是不允许本地主机（localhost）登录。登录。2未加认证的外部代理访

39、问 这种情形在应用透明代理的防火墙上较为常见这种情形在应用透明代理的防火墙上较为常见 预防攻击这种脆弱点的措施是禁止从防火墙的外部预防攻击这种脆弱点的措施是禁止从防火墙的外部接口进行代理访问。接口进行代理访问。第四章第四章 防火墙技术防火墙技术 4.7防火墙发展动态和趋势防火墙发展动态和趋势防火墙的缺陷主要表现在：防火墙的缺陷主要表现在：不能防范不经由防火墙的攻击。不能防范不经由防火墙的攻击。还不能防止感染了病毒的软件或文件的传输。还不能防止感染了病毒的软件或文件的传输。不能防止数据驱动式攻击。不能防止数据驱动式攻击。在在高高流流量量的的网网络络中中，防防火火墙墙还还容容易易成成为为网网络络的

40、的瓶颈。瓶颈。存在着安装、管理、配置复杂的缺点存在着安装、管理、配置复杂的缺点第四章第四章 防火墙技术防火墙技术 防火墙的发展趋势防火墙的发展趋势1优良的性能优良的性能2可扩展的结构和功能可扩展的结构和功能3主动过滤主动过滤4防病毒与防黑客防病毒与防黑客5发展联动技术发展联动技术第四章第四章 防火墙技术防火墙技术 4.8小结小结 防防火火墙墙是是保保证证内内部部网网络络安安全全的的一一种种重重要要手手段段；防防火火墙墙技技术术经经历历几几个个阶阶段段的的发发展展；防防火火墙墙的的功功能能是是：过过滤滤进进、出出网网络络的的数数据据，管管理理进进、出出网网络络的的访访问问行行为为，封封堵堵某某些些禁禁止止的的业业务务，记记录录通通过过防防火火墙的信息内容和活动，对网络攻击检测和告警。墙的信息内容和活动，对网络攻击检测和告警。现现代代防防火火墙墙正正向向优优良良的的性性能能、可可扩扩展展的的结结构构和和功功能能、积积极极主主动动过过滤滤、防防病病毒毒与与防防黑黑客客方方向向发发展展，同同时时简简化化安安装装、方方便便管管理理，并并寻寻求求和和其其它它安安全产品进行联动，以架构起立体的防护体系。全产品进行联动，以架构起立体的防护体系。第四章第四章 防火墙技术防火墙技术 本章到此结束，谢谢！本章到此结束，谢谢！