ch4 防火墙技术.ppt

《ch4 防火墙技术.ppt》由会员分享，可在线阅读，更多相关《ch4 防火墙技术.ppt（83页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第四章第四章 防火墙技术防火墙技术 第第4章章 防火墙技术防火墙技术 内容提要：内容提要：概述概述 防火墙体系结构防火墙体系结构 防火墙技术防火墙技术 防火墙的安全防护技术防火墙的安全防护技术 防火墙应用示例防火墙应用示例 个人防火墙个人防火墙 防火墙技术发展动态和趋势防火墙技术发展动态和趋势 小结小结 第四章第四章 防火墙技术防火墙技术 4.1概述概述防火墙的定义防火墙的定义 防火墙是位于被保护网络和外防火墙是位于被保护网络和外部网络之间执行访问控制策略的一部网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，个或一组系统，包括硬件和软件，构成一道屏障，以防止发生对被保构成一道屏障，以

2、防止发生对被保护网络的不可预测的、潜在破坏性护网络的不可预测的、潜在破坏性的侵扰。的侵扰。第四章第四章 防火墙技术防火墙技术 防火墙的五大基本功能防火墙的五大基本功能 过滤进、出网络的数据；过滤进、出网络的数据；管理进、出网络的访问行为；管理进、出网络的访问行为；封堵某些禁止的业务；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。对网络攻击的检测和告警。第四章第四章 防火墙技术防火墙技术 防火墙的局限性防火墙的局限性 网网络络的的安安全全性性通通常常是是以以网网络络服服务务的的开开放放性和灵活性为代价性和灵活性为代价 防防火火墙墙只只

3、是是整整个个网网络络安安全全防防护护体体系系的的一一部分，而且防火墙并非万无一失部分，而且防火墙并非万无一失第四章第四章 防火墙技术防火墙技术 4.2防火墙体系结构防火墙体系结构防火墙可以在防火墙可以在OSI七层中的五层设置。七层中的五层设置。防火墙组成结构图防火墙组成结构图第四章第四章 防火墙技术防火墙技术 防火墙的体系结构防火墙的体系结构目前，防火墙的体系结构一般有以下几种：目前，防火墙的体系结构一般有以下几种：（1）双重宿主主机体系结构；）双重宿主主机体系结构；（2）屏蔽主机体系结构；）屏蔽主机体系结构；（3）屏蔽子网体系结构。）屏蔽子网体系结构。第四章第四章 防火墙技术防火墙技术 4.

4、2.1双重宿主主机体系结构双重宿主主机体系结构 围绕具有双重宿主的主机计算机而构筑；围绕具有双重宿主的主机计算机而构筑；计算机至少有两个网络接口；计算机至少有两个网络接口；计计算算机机充充当当与与这这些些接接口口相相连连的的网网络络之之间间的的路路由器；由器；防火墙内部的系统能与双重宿主主机通信；防火墙内部的系统能与双重宿主主机通信；防火墙外部的系统（在因特网上）能与双重防火墙外部的系统（在因特网上）能与双重宿主主机通信。宿主主机通信。第四章第四章 防火墙技术防火墙技术 双重宿主主机体系结构双重宿主主机体系结构第四章第四章 防火墙技术防火墙技术 4.2.2屏蔽主机体系结构屏蔽主机体系结构 提提

5、供供安安全全保保护护的的堡堡垒垒主主机机仅仅仅仅与与被被保保护护的的内内部部网络相连；网络相连；是外部网络上的主机连接内部网络的桥梁；是外部网络上的主机连接内部网络的桥梁；堡垒主机需要拥有高等级的安全；堡垒主机需要拥有高等级的安全；还使用一个单独的过滤路由器来提供主要安全；还使用一个单独的过滤路由器来提供主要安全；路由器中有数据包过滤策略。路由器中有数据包过滤策略。第四章第四章 防火墙技术防火墙技术 屏蔽主机体系结构屏蔽主机体系结构第四章第四章 防火墙技术防火墙技术 4.2.3屏蔽子网体系结构屏蔽子网体系结构第四章第四章 防火墙技术防火墙技术 1周边网络周边网络 周周边边网网络络是是另另一一个

6、个安安全全层层,是是在在外外部部网网络络与与被被保保护护的的内内部部网网络络之之间间的的附附加加网网络络,提提供供一一个个附附加加的的保保护护层层防防止止内内部信息流的暴露部信息流的暴露.2堡垒主机堡垒主机 堡垒主机为内部网络服务的功能有：堡垒主机为内部网络服务的功能有：（1）接接收收外外来来的的电电子子邮邮件件（SMTP），再再分分发发给给相相应应的的站点；站点；（2）接接收收外外来来的的FTP连连接接，再再转转接接到到内内部部网网的的匿匿名名FTP服务器；服务器；（3）接接收收外外来来的的对对有有关关内内部部网网站站点点的的域域名名服服务务（DNS）查询。查询。第四章第四章 防火墙技术防火

7、墙技术 堡垒主机向外的服务功能按以下方法实施：堡垒主机向外的服务功能按以下方法实施：（1）在在路路由由器器上上设设置置数数据据包包过过滤滤来来允允许许内内部部的的客户端直接访问外部的服务器。客户端直接访问外部的服务器。（2）设设置置代代理理服服务务器器在在堡堡垒垒主主机机上上运运行行，允允许许内内部部网网的的用用户户间间接接地地访访问问外外部部网网的的服服务务器器。也也可可以以设设置置数数据据包包过过滤滤，允允许许内内部部网网的的用用户户与与堡堡垒垒主主机机上上的的代代理理服服务务器器进进行行交交互互，但但是是禁禁止止内内部部网网的的用户直接与外部网进行通信。用户直接与外部网进行通信。第四章第

8、四章 防火墙技术防火墙技术 3内部路由器内部路由器 保保护护内内部部的的网网络络使使之之免免受受外外部部网网和和周周边边网网的的侵侵犯犯，内部路由器完成防火墙的大部分数据包过滤工作。内部路由器完成防火墙的大部分数据包过滤工作。4外部路由器外部路由器 保保护护周周边边网网和和内内部部网网使使之之免免受受来来自自外外部部网网络络的的侵侵犯，通常只执行非常少的数据包过滤。犯，通常只执行非常少的数据包过滤。外部路由器一般由外界提供。外部路由器一般由外界提供。第四章第四章 防火墙技术防火墙技术 4.2.4防火墙体系结构的组合形式防火墙体系结构的组合形式使用多堡垒主机；使用多堡垒主机；合并内部路由器与外部

9、路由器；合并内部路由器与外部路由器；合并堡垒主机与外部路由器；合并堡垒主机与外部路由器；合并堡垒主机与内部路由器；合并堡垒主机与内部路由器；使用多台内部路由器；使用多台内部路由器；使用多台外部路由器；使用多台外部路由器；使用多个周边网络；使用多个周边网络；使用双重宿主主机与屏蔽子网。使用双重宿主主机与屏蔽子网。第四章第四章 防火墙技术防火墙技术 4.3防火墙技术防火墙技术从从工工作作原原理理角角度度看看，防防火火墙墙主主要要可可以以分分为为网网络络层层防防火火墙墙和和应应用用层层防防火火墙墙。这这两两种种类类型型防防火火墙墙的的具具体体实实现现技技术术主主要要有有包包过过滤滤技技术术、代代理理

10、服服务务技技术、状态检测技术、术、状态检测技术、NAT技术等。技术等。第四章第四章 防火墙技术防火墙技术 4.3.1包过滤技术包过滤技术 包过滤防火墙工作在网络层包过滤防火墙工作在网络层 利用访问控制列表（利用访问控制列表（ACL）对数据包进行过滤对数据包进行过滤 过滤依据是过滤依据是TCP/IP数据包：数据包：源地址和目的地址源地址和目的地址 所用端口号所用端口号协议状态协议状态 优优点点是是逻逻辑辑简简单单，价价格格便便宜宜，易易于于安安装装和和使使用用，网网络络性能和透明性好性能和透明性好缺缺点点有有二二，一一是是非非法法访访问问一一旦旦突突破破防防火火墙墙，即即可可对对主主机机上上的的

11、软软件件和和配配置置漏漏洞洞进进行行攻攻击击；二二是是数数据据包包的的源源地地址址、目目的的地地址址以以及及IP的的端端口口号号都都在在数数据据包包的的头头部部，很很有有可可能能被窃听或假冒。被窃听或假冒。第四章第四章 防火墙技术防火墙技术 包过滤模型包过滤模型：包包检检查查模模块块深深入入到到操操作作系系统统的的核核心心，在在操操作作系系统统或或路路由由器器转转发发包包之之前前拦拦截截所所有有的的数数据据包包。当当包包过过滤滤型型防防火火墙墙安安装装在在网网关关上上之之后后，包包过过滤滤检检查查模模块块深深入入到到系系统统的的网网络络层层和和数数据据链链路路层层之之间间，即即TCP层层和和I

12、P层层之之间间。抢抢在在操操作作系系统统或或路路由由器器的的TCP层层对对IP包包的的所所有有处处理理之之前前对对IP包包进进行行处处理理。包过滤型防火墙位于软件层次的最底层。包过滤型防火墙位于软件层次的最底层。第四章第四章 防火墙技术防火墙技术 包过滤模型包过滤模型第四章第四章 防火墙技术防火墙技术 数据包过滤的主要依据有：数据包过滤的主要依据有：（1）数据包的源地址；）数据包的源地址；（2）数据包的目的地址；）数据包的目的地址；（3）数数据据包包的的协协议议类类型型（TCP、UDP、ICMP等）；等）；（4）TCP或或UDP的源端口；的源端口；（5）TCP或或UDP的目的端口；的目的端口；

13、（6）ICMP消息类型；消息类型；第四章第四章 防火墙技术防火墙技术 大大多多数数包包过过滤滤系系统统判判决决是是否否传传送送数数据据包包时时都都不不关关心心包包的具体内容。包过滤系统只能进行类似以下情况的操作：的具体内容。包过滤系统只能进行类似以下情况的操作：不让任何用户从外部网用不让任何用户从外部网用Telnet登录；登录；允许任何用户使用允许任何用户使用SMTP往内部网发电子邮件；往内部网发电子邮件；只允许某台机器通过只允许某台机器通过NNTP往内部网发新闻。往内部网发新闻。不能进行以下情况的操作：不能进行以下情况的操作：允允许许某某个个用用户户从从外外部部网网用用Telnet登登录录而

14、而不不允允许许其其他他用用户户进行这种操作。进行这种操作。允许用户传送一些文件而不允许用户传送其他文件。允许用户传送一些文件而不允许用户传送其他文件。第四章第四章 防火墙技术防火墙技术 包过滤方式优点包过滤方式优点仅仅用用一一个个放放置置在在重重要要位位置置上上的的包包过过滤滤路路由由器器就就可保护整个网络可保护整个网络包包过过滤滤工工作作对对用用户户来来讲讲是是透透明明的的。这这种种透透明明就就是是可可在在不不要要求求用用户户作作任任何何操操作作的的前前提提下下完完成成包包过过滤。滤。第四章第四章 防火墙技术防火墙技术 在在配配置置包包过过滤滤路路由由器器时时，首首先先要要确确定定哪哪些些服

15、服务务允允许许通通过过而而哪哪些些服服务务应应被被拒拒绝绝，并并将将这这些些规规定定翻翻译译成成有有关关的的包包过过滤滤规规则则。对对包包的的内内容容一一般般并并不不要要多多加加关关心心。比比如如：允允许许站站点点接接收收来来自自于于外外部部网网的的邮邮件件，而而不不关关心心该该邮邮件件是是用用什什么么工工具具制制作作的的。路路由由器器只只关关注包中的一小部分内容。注包中的一小部分内容。包过滤路由器的配置包过滤路由器的配置第四章第四章 防火墙技术防火墙技术 有关服务翻译成包过滤规则时几个重要概念：有关服务翻译成包过滤规则时几个重要概念：协议的双向性。协议的双向性。“往内往内”与与“往外往外”的

16、含义。的含义。“默认允许默认允许”与与“默认拒绝默认拒绝”。第四章第四章 防火墙技术防火墙技术 包过滤标准必须由包过滤设备端口存储起来，这些包过包过滤标准必须由包过滤设备端口存储起来，这些包过滤标准叫包过滤规则。滤标准叫包过滤规则。当包到达端口时，对包的报头进行语法分析，大部分的当包到达端口时，对包的报头进行语法分析，大部分的包过滤设备只检查包过滤设备只检查IP、TCP或或UDP报头中的字段，不检查报头中的字段，不检查数据的内容。数据的内容。包过滤器规则以特殊的方式存储。包过滤器规则以特殊的方式存储。如果一条规则阻止包传输或接收，此包便不允许通过。如果一条规则阻止包传输或接收，此包便不允许通过

17、。如果一条规则允许包传输或接收，该包可以继续处理。如果一条规则允许包传输或接收，该包可以继续处理。如果一个包不满足任何一条规则，该包被丢弃。如果一个包不满足任何一条规则，该包被丢弃。包过滤器操作流程包过滤器操作流程第四章第四章 防火墙技术防火墙技术 包过滤器操作流程图包过滤器操作流程图第四章第四章 防火墙技术防火墙技术 包过滤防火墙的缺陷包过滤防火墙的缺陷 不能彻底防止地址欺骗。不能彻底防止地址欺骗。无法执行某些安全策略无法执行某些安全策略 安全性较差安全性较差 一些应用协议不适合于数据包过滤一些应用协议不适合于数据包过滤 管理功能弱管理功能弱第四章第四章 防火墙技术防火墙技术 4.3.2代理

18、服务技术代理服务技术 代代理理防防火火墙墙（Proxy）是是一一种种较较新新型型的的防防火火墙技术，它分为应用层网关和电路层网关。墙技术，它分为应用层网关和电路层网关。所所谓谓代代理理服服务务器器，是是指指代代表表客客户户处处理理连连接接请请求求的的程程序序。当当代代理理服服务务器器得得到到一一个个客客户户的的连连接接意意图图时时，它它将将核核实实客客户户请请求求，并并用用特特定定的的安安全全化化的的Proxy应应用用程程序序来来处处理理连连接接请请求求，将将处处理理后后的的请请求求传传递递到到真真实实的的服服务务器器上上，然然后后接接受受服服务务器器应应答答，并并做做进进一一步步处处理理后后

19、，将将答答复复交交给给发发出出请请求求的的最最终终客户。客户。第四章第四章 防火墙技术防火墙技术 代理的工作方式代理的工作方式第四章第四章 防火墙技术防火墙技术 代理防火墙工作于应用层；代理防火墙工作于应用层；针对特定的应用层协议；针对特定的应用层协议；代代理理服服务务器器（ProxyServer）作作为为内内部部网网络络客客户户端端的的服服务务器器，拦拦截截住住所所有有请请求求，也也向向客户端转发响应；客户端转发响应；代理客户机（代理客户机（ProxyClient）负责代表内负责代表内部客户端向外部服务器发出请求，当然也向部客户端向外部服务器发出请求，当然也向代理服务器转发响应；代理服务器转

20、发响应；第四章第四章 防火墙技术防火墙技术 应用层网关型防火墙应用层网关型防火墙应用层网关防火墙应用层网关防火墙第四章第四章 防火墙技术防火墙技术 传统代理型防火墙；传统代理型防火墙；核心技术就是代理服务器技术；核心技术就是代理服务器技术；基于软件实现，通常安装在专用工作站系统上；基于软件实现，通常安装在专用工作站系统上；参与到一个参与到一个TCP连接的全过程；连接的全过程；在网络应用层上建立协议过滤和转发功能；在网络应用层上建立协议过滤和转发功能；优点就是安全，是内部网与外部网的隔离点；优点就是安全，是内部网与外部网的隔离点；最大缺点就是速度相对比较慢。最大缺点就是速度相对比较慢。应用层网关

21、型防火墙应用层网关型防火墙第四章第四章 防火墙技术防火墙技术 电路层网关电路层网关第四章第四章 防火墙技术防火墙技术 电路层网关防火墙电路层网关防火墙 通过电路层网关中继通过电路层网关中继TCP连接连接 一般采用自适应代理技术一般采用自适应代理技术 有两个基本要素：有两个基本要素：自自适适应应代代理理服服务务器器（Adaptive ProxyServer）动态包过滤器（动态包过滤器（DynamicPacketFilter）第四章第四章 防火墙技术防火墙技术 电路层网关防火墙电路层网关防火墙第四章第四章 防火墙技术防火墙技术 代理技术的优点 代理易于配置代理易于配置 代理能生成各项记录代理能生成

22、各项记录 代理能灵活、完全地控制进出流量、内容代理能灵活、完全地控制进出流量、内容 代理能过滤数据内容代理能过滤数据内容 代理能为用户提供透明的加密机制代理能为用户提供透明的加密机制 代理可以方便地与其他安全手段集成代理可以方便地与其他安全手段集成第四章第四章 防火墙技术防火墙技术 代理技术的缺点:代理速度较路由器慢；代理速度较路由器慢；代理对用户不透明；代理对用户不透明；对于每项服务代理可能要求不同的服务器；对于每项服务代理可能要求不同的服务器；代理服务不能保证免受所有协议弱点的限制；代理服务不能保证免受所有协议弱点的限制；代理不能改进底层协议的安全性。代理不能改进底层协议的安全性。第四章第

23、四章 防火墙技术防火墙技术 4.3.3状态检测技术状态检测技术状态检测技术的工作原理状态检测技术的工作原理基于状态检测技术的防火墙是由基于状态检测技术的防火墙是由CheckPoint软件软件技术有限公司率先提出的，也称为动态包过滤防火墙。技术有限公司率先提出的，也称为动态包过滤防火墙。基于状态检测技术的防火墙通过一个在网关处执行网络基于状态检测技术的防火墙通过一个在网关处执行网络安全策略的检测引擎而获得非常好的安全特性。检测引安全策略的检测引擎而获得非常好的安全特性。检测引擎在不影响网络正常运行的前提下，采用抽取有关数据擎在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施

24、检测。它将抽取的状态信的方法对网络通信的各层实施检测。它将抽取的状态信息动态地保存起来作为以后执行安全策略的参考。检测息动态地保存起来作为以后执行安全策略的参考。检测引擎维护一个动态的状态信息表并对后续的数据包进行引擎维护一个动态的状态信息表并对后续的数据包进行检查，一旦发现某个连接的参数有意外变化，则立即将检查，一旦发现某个连接的参数有意外变化，则立即将其终止。其终止。第四章第四章 防火墙技术防火墙技术 状态检测防火墙可提供的额外服务将某些类型的连接重定向到审核服务中去。例将某些类型的连接重定向到审核服务中去。例如，到专用如，到专用Web服务器的连接，在服务器的连接，在Web服务器服务器连接

25、被允许之前，可能被发到审核服务器（用一连接被允许之前，可能被发到审核服务器（用一次性口令来使用）；次性口令来使用）；拒绝携带某些数据的网络通信，如带有附加可拒绝携带某些数据的网络通信，如带有附加可执行程序的传入电子消息，或包含执行程序的传入电子消息，或包含ActiveX程序程序的的Web页面。页面。第四章第四章 防火墙技术防火墙技术 状态检测技术跟踪连接状态的方式状态检测技术跟踪连接状态的方式取决于数据包的状态检测技术跟踪连接状态的方式取决于数据包的协议类型：协议类型：TCP包：防火墙丢弃所有外部的连接企图，除非已经包：防火墙丢弃所有外部的连接企图，除非已经建立起某条特定规则来处理它们。对内部

26、主机试图连到建立起某条特定规则来处理它们。对内部主机试图连到外部主机的数据包，防火墙标记该连接包，允许响应及外部主机的数据包，防火墙标记该连接包，允许响应及随后在两个系统之间的数据包通过，直到连接结束为止。随后在两个系统之间的数据包通过，直到连接结束为止。UDP包：包：UDP包比包比TCP包简单，因为它们不包含任何包简单，因为它们不包含任何连接或序列信息。它们只包含源地址、目的地址、校验连接或序列信息。它们只包含源地址、目的地址、校验和携带的数据。对传入的包，若它所使用的地址和和携带的数据。对传入的包，若它所使用的地址和UDP包携带的协议与传出的连接请求匹配，该包就被允许通包携带的协议与传出的

27、连接请求匹配，该包就被允许通过。过。第四章第四章 防火墙技术防火墙技术 状态检测技术的特点状态检测技术的特点状态检测防火墙结合了包过滤防火墙状态检测防火墙结合了包过滤防火墙和代理服务器防火墙的长处，克服了两者和代理服务器防火墙的长处，克服了两者的不足，能够根据协议、端口，以及源地的不足，能够根据协议、端口，以及源地址、目的地址的具体情况决定数据包是否址、目的地址的具体情况决定数据包是否允许通过。允许通过。第四章第四章 防火墙技术防火墙技术 状态检测技术的特点状态检测技术的特点优点优点：高安全性高安全性高效性高效性可伸缩性和易扩展性可伸缩性和易扩展性不足：不足：主要体现在对大量状态信息的处理过程

28、可能会造成网主要体现在对大量状态信息的处理过程可能会造成网络连接的某种迟滞，特别是在同时有许多连接激活的时络连接的某种迟滞，特别是在同时有许多连接激活的时候，或者是有大量的过滤网络通信的规则存在时。候，或者是有大量的过滤网络通信的规则存在时。第四章第四章 防火墙技术防火墙技术 4.3.4NAT技术技术NAT技术的工作原理技术的工作原理它是一个它是一个IETF（InternetEngineeringTaskForce,Internet工程任务组）的标准，允工程任务组）的标准，允许一个整体机构以一个公用许一个整体机构以一个公用IP地址出现在互联网地址出现在互联网上。顾名思义，它是一种把内部私有上。

29、顾名思义，它是一种把内部私有IP地址翻译地址翻译成合法网络成合法网络IP地址的技术。地址的技术。第四章第四章 防火墙技术防火墙技术 NAT技术的类型技术的类型静态静态NAT（StaticNAT）：内部网络中的每）：内部网络中的每个主机都被永久映射成外部网络中的某个合法的个主机都被永久映射成外部网络中的某个合法的地址。地址。动态地址动态地址NAT（PooledNAT）：在外部网络）：在外部网络中定义了一系列的合法地址，采用动态分配的方中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。法映射到内部网络。网络地址端口转换网络地址端口转换NAPT（PortLevelNAT）：把内部地址映射到

30、外部网络的一个）：把内部地址映射到外部网络的一个IP地地址的不同端口上。址的不同端口上。第四章第四章 防火墙技术防火墙技术 NAT技术的优点技术的优点所有内部的所有内部的IP地址对外面的人来说是隐蔽的。因为这个地址对外面的人来说是隐蔽的。因为这个原因，网络之外没有人可以通过指定原因，网络之外没有人可以通过指定IP地址的方式直接对地址的方式直接对网络内的任何一台特定的计算机发起攻击。网络内的任何一台特定的计算机发起攻击。如果因为某种原因公共如果因为某种原因公共IP地址资源比较短缺的话，地址资源比较短缺的话，NAT技术可以使整个内部网络共享一个技术可以使整个内部网络共享一个IP地址。地址。可可以以

31、启启用用基基本本的的包包过过滤滤防防火火墙墙安安全全机机制制，因因为为所所有有传传入入的的数数据据包包如如果果没没有有专专门门指指定定配配置置到到NAT，那那么么就就会会被被丢丢弃弃。内部网络的计算机就不可能直接访问外部网络。内部网络的计算机就不可能直接访问外部网络。第四章第四章 防火墙技术防火墙技术 NAT技术的缺点技术的缺点NAT技技术术的的缺缺点点和和包包过过滤滤防防火火墙墙的的缺缺点点类类似似，虽虽然然可可以以保保障障内内部部网网络络的的安安全全，但但也也存存在在一一些些类类似似的的局局限限。此此外外，内内部部网网络络利利用用现现流流传传比比较较广广泛泛的的木木马马程程序序可可以以通通

32、过过NAT进进行行外外部部连连接接，就就像像它它可以穿过包过滤防火墙一样的容易。可以穿过包过滤防火墙一样的容易。第四章第四章 防火墙技术防火墙技术 4.4防火墙的安全防护技术防火墙的安全防护技术防防火火墙墙自自开开始始部部署署以以来来，已已保保护护无无数数的的网网络络躲躲过过窥窥探探的的眼眼睛睛和和恶恶意意的的攻攻击击者者，然然而而它它们们还还远远远远不不是是确确保保网网络络安安全全的的灵灵丹丹妙妙药药。每每种种防防火火墙墙产产品品几几乎乎每每年年都都有有安安全全脆脆弱弱点点被被发发现现。更更糟糟糕糕的的是是，大多数防火墙往往配置不当且无人维护和监视。大多数防火墙往往配置不当且无人维护和监视。

33、攻攻击击者者往往往往通通过过发发掘掘信信任任关关系系和和最最薄薄弱弱环环节节上上的的安安全全脆脆弱弱点点来来绕绕过过防防火火墙墙，或或者者经经由由拨拨号号账账号实施攻击来避开防火墙。号实施攻击来避开防火墙。第四章第四章 防火墙技术防火墙技术 4.4.1防止防火墙标识被获取防止防火墙标识被获取几乎每种防火墙都会有其独特的电子特征。也就是几乎每种防火墙都会有其独特的电子特征。也就是说，凭借端口扫描和标识获取等技巧，攻击者能够有效说，凭借端口扫描和标识获取等技巧，攻击者能够有效地确定目标网络上几乎每个防火墙的类型、版本和规则。地确定目标网络上几乎每个防火墙的类型、版本和规则。这种标识之所以重要，是因

34、为一旦标识出目标网络的防这种标识之所以重要，是因为一旦标识出目标网络的防火墙，攻击者就能确定它们的脆弱点所在，从而尝试攻火墙，攻击者就能确定它们的脆弱点所在，从而尝试攻击它们。击它们。防止通过直接扫描获取防火墙标识的对策防止通过直接扫描获取防火墙标识的对策防止防火墙标志被获取的对策防止防火墙标志被获取的对策防止利用防止利用nmap进行简单推断获取防火墙标志的对策进行简单推断获取防火墙标志的对策第四章第四章 防火墙技术防火墙技术 4.4.2防止穿透防火墙进行扫描防止穿透防火墙进行扫描透过防火墙从而发现隐藏在防火墙后面的目透过防火墙从而发现隐藏在防火墙后面的目标，这是网络黑客和网络入侵者梦寐以求的

35、事情。标，这是网络黑客和网络入侵者梦寐以求的事情。下面讨论一些黑客在防火墙附近徘徊的技巧，并下面讨论一些黑客在防火墙附近徘徊的技巧，并汇集关于穿透和绕过防火墙的各种途径的一些关汇集关于穿透和绕过防火墙的各种途径的一些关键信息。键信息。防防止止利利用用原原始始分分组组传传送送进进行行穿穿透透防防火火墙墙扫扫描描的的对策对策防防止止利利用用源源端端口口扫扫描描进进行行穿穿透透防防火火墙墙扫扫描描的的对对策策第四章第四章 防火墙技术防火墙技术 4.4.3克服分组过滤脆的弱点克服分组过滤脆的弱点大多数情况下，这些大多数情况下，这些ACL规则是精心设计的，规则是精心设计的，难以绕过。然而有些情况下会碰到

36、难以绕过。然而有些情况下会碰到ACL规则设计规则设计不完善的防火墙，允许某些分组不受约束地通过。不完善的防火墙，允许某些分组不受约束地通过。针对不严格的针对不严格的ACL规则的对策规则的对策针对针对ICMP和和UDP隧道的对策隧道的对策第四章第四章 防火墙技术防火墙技术 4.4.4克服分组过滤脆的弱点克服分组过滤脆的弱点针对主机名：针对主机名：localhost的对策的对策，可以提供一，可以提供一个只允许从某个特定站点访问的限制规则。理想个只允许从某个特定站点访问的限制规则。理想的对策是不允许本地主机（的对策是不允许本地主机（localhost）登录。）登录。如果需要本地主机登录就需要根据如果

37、需要本地主机登录就需要根据IP地址限制允地址限制允许连接的主机。许连接的主机。针针对对未未加加认认证证的的外外部部代代理理访访问问的的对对策策，通通过过把把浏浏览览器器的的代代理理设设置置改改为为指指向向有有嫌嫌疑疑的的代代理理防防火火墙墙，就能检查它是否存在这种脆弱点。就能检查它是否存在这种脆弱点。第四章第四章 防火墙技术防火墙技术 4.5防火墙应用示例防火墙应用示例 网络卫士防火墙3000系统组成一一套套专专用用防防火火墙墙设设备备（硬硬件件）：具具有有3至至10个个网网络络接接口口，标标准准配配置置为为3个个网网络络接接口口。管管理理员员通通过过一一次次性性口口令令认认证证，对对防防火火

38、墙墙进进行行配配置置、管管理理和和审审计。计。一一次次性性口口令令用用户户客客户户端端（软软件件）：凡凡是是需需要要对对其其身身份份进进行行认认证证的的用用户户都都需需使使用用该该软软件件，例例如如，管管理理者者需需要要通通过过WWW页页面面管管理理防防火火墙墙时时，必必须须先进行一次性口令认证。先进行一次性口令认证。第四章第四章 防火墙技术防火墙技术 网络卫士防火墙网络卫士防火墙3000典型应用拓扑图典型应用拓扑图第四章第四章 防火墙技术防火墙技术 典型应用的特点典型应用的特点 防火墙工作于路由和透明混合的综合模式；防火墙工作于路由和透明混合的综合模式；网网络络192.168.1.0/24、

39、202.99.88.0/24和和202.99.99.0/24均用边界路由器作路由；均用边界路由器作路由；新新 增增 的的 支支 干干 路路 由由 器器 1（网网 络络202.99.99.0/24）用防火墙作路由；）用防火墙作路由；网网络络192.168.1.0/24和和202.99.88.0/24透透明通过防火墙；明通过防火墙；采用严格安全策略。采用严格安全策略。第四章第四章 防火墙技术防火墙技术 1配置防火墙接口地址配置防火墙接口地址（1）ifconfigeth0202.99.88.2255.255.255.0 将将eth0设设置置为为合合法法IP地地址址进进行行NAT，与与路路由由器器内内

40、部部接口的接口的IP处于同一网段处于同一网段（2）ifconfigeth1202.99.88.9255.255.255.248将接口将接口E1配上配上IP地址地址202.99.88.9（3）ifconfigeth2192.168.1.1255.255.255.0将将接接口口E2配上配上IP地址地址192.168.1.1（4）ifconfigeth2:0202.99.99.1255.255.255.0eth2接接内内部部网网，此此处处设设置置为为202.99.99.0/24这这个个网网段段 的的 目目 的的 是是 为为 了了 实实 现现 对对 202.99.97.0/24和和202.99.98.

41、0/24做路由用。做路由用。第四章第四章 防火墙技术防火墙技术 2设置路由表设置路由表（1）eth0上：上：routeadd202.99.88.1255.255.255.255eth0添加到边界路由器添加到边界路由器202.99.88.1的单机路由的单机路由routeadd202.99.88.2255.255.255.255eth0添加到防火墙外接口的单机路由添加到防火墙外接口的单机路由（2）eth1上：上：routeadd202.99.88.8255.255.255.248添加到网络添加到网络202.99.88.8的路由的路由第四章第四章 防火墙技术防火墙技术 （3）eth2上：上：rout

42、eadd192.168.1.0255.255.255.0添加到网络添加到网络192.168.1.0的路由的路由（4）eth2:0上上routeadd202.99.99.1255.255.255.255eth2:0添加到添加到202.99.99.1的单机路由的单机路由routeadd202.99.99.2255.255.255.255eth2:0添加到路由器添加到路由器202.99.99.2的单机路由的单机路由routeadd202.99.97.0255.255.255.0202.99.99.2定义到网络定义到网络202.99.97.0/24的路由为内部网路由器的路由为内部网路由器202.99.

43、99.2第四章第四章 防火墙技术防火墙技术 routeadd202.99.98.0255.255.255.0202.99.99.2定定 义义 到到 网网 络络 202.99.98.0/24的的 路路 由由 为为 内内 部部 网网 路路 由由 器器202.99.99.2（5）eth2:1上上routeadd202.99.88.0255.255.255.0eth2:1添加到添加到202.99.88.0的路由的路由（6）routeadddefault202.99.88.1默认路由指向边界路由器。默认路由指向边界路由器。第四章第四章 防火墙技术防火墙技术 3指定防火墙接口属性指定防火墙接口属性（1）命

44、令：命令：fwipaddeth0202.99.88.2o指定指定E0为外接口为外接口（2）命令：命令：fwipaddeth1202.99.88.9s指指定定E1为为SSN接接口口，公公共共服服务务器器所所在在的的网网络络都都是是通通过过此此接口出去。接口出去。（3）命令：命令：fwipaddeth2192.168.1.1i指指定定E2为为内内部部接接口口，192.168.1.0/24的的用用户户都都是是通通过过此接口到达防火墙。此接口到达防火墙。（4）命令：命令：fwipaddeth2:0202.99.99.1i指定指定eth2:0为内部接口为内部接口（5）命令：命令：fwipaddeth2:

45、1202.99.88.3I指定指定eth2:0为内部接口为内部接口第四章第四章 防火墙技术防火墙技术 命令：命令：dns按照提示输入所在的域以及域名服务器。按照提示输入所在的域以及域名服务器。4配置域名服务器配置域名服务器命令：命令：settranseth0eth1onsettranseth0eth2:1on5透明设置透明设置命令为命令为adduser，然后按照提示输入用户名，口令，绑然后按照提示输入用户名，口令，绑定的定的IP（或子网），用户属性（有效用户或无效用户），或子网），用户属性（有效用户或无效用户），修改用户口令需先删掉该用户，再增加该用户。修改用户口令需先删掉该用户，再增加该用户

46、。6增加用户增加用户第四章第四章 防火墙技术防火墙技术 打开防火墙的打开防火墙的WWW页面，进入对象管理页面，进入对象管理IP对象，对象，添加添加in对象对象。7NAT配置配置然后在访问规则中添加一条内网到然后在访问规则中添加一条内网到any的的NAT规则规则规则政策中的地址转换，在静态地址转换中添加一条规则政策中的地址转换，在静态地址转换中添加一条第四章第四章 防火墙技术防火墙技术 将主机将主机192.168.1.144的的80端口和端口和21端口映射到端口映射到202.99.88.2上。上。8反向反向NAT配置配置（1）进入规则政策）进入规则政策地址转换地址转换反向端口映射，反向端口映射，

47、添加相关内容添加相关内容第四章第四章 防火墙技术防火墙技术 （2）在对象管理）在对象管理IP对象中添加对象中添加FWIP对象，地址为对象，地址为202.99.88.2，掩码为，掩码为255.255.255.255。8反向反向NAT配置配置（3）在对象管理）在对象管理In服务对象中添加服务对象中添加renat对象，对象，见图见图4-18。第四章第四章 防火墙技术防火墙技术 （4）在访问规则中，需添加目的为防火墙）在访问规则中，需添加目的为防火墙IP的的In规则，规则，方式为反向方式为反向NAT。8反向反向NAT配置配置第四章第四章 防火墙技术防火墙技术 （1）允许分支网到外部网的所有访问，添加）

48、允许分支网到外部网的所有访问，添加IP对象对象“分支网分支网”9访问规则配置访问规则配置添加添加Out服务对象服务对象none，见图，见图4-21。第四章第四章 防火墙技术防火墙技术 添加一条添加一条Out规则，允许从分支对外部网的所有访问规则，允许从分支对外部网的所有访问9访问规则配置访问规则配置（2）有限访问）有限访问SSN第四章第四章 防火墙技术防火墙技术 只允许访问只允许访问202.99.88.10的的WWW服务，服务，202.99.88.11的的ftp服务，服务，202.99.88.12的的email服服务（务（smtp和和pop3）。）。首先增加三个首先增加三个IP对象：对象：WW

49、W_server：IP为为202.99.88.10，掩码为，掩码为255.255.255.255ftp_server：IP为为202.99.88.11，掩码为，掩码为255.255.255.255email_server：IP为为202.99.88.12，掩码为，掩码为255.255.255.255增加三个增加三个IN服务对象：服务对象：http对象对象9访问规则配置访问规则配置第四章第四章 防火墙技术防火墙技术 9访问规则配置访问规则配置ftp对象对象第四章第四章 防火墙技术防火墙技术 9访问规则配置访问规则配置email对象对象第四章第四章 防火墙技术防火墙技术 9访问规则配置访问规则配置

50、添加三条添加三条IN规则规则第四章第四章 防火墙技术防火墙技术 9访问规则配置访问规则配置（3）禁止）禁止SSN访问其余部分，添加一个访问其余部分，添加一个IP对象：对象：ssn_ip，第四章第四章 防火墙技术防火墙技术 9访问规则配置访问规则配置插入一条规则插入一条规则第四章第四章 防火墙技术防火墙技术 4.6个人防火墙个人防火墙个个人人防防火火墙墙其其本本身身是是在在单单台台计计算算机机使使用用的的防防火火墙墙软软件件，它它不不但但可可以以监监视视计计算算机机在在网网络络上上的的通通信信状状况况，而而且且同同时时注注重重发发现现网网络络中中存存在在的的威威胁胁，以以做做出出相相应应的的判判