第 7 章 防火墻

1、第 7 章　防火墻,,,【本章要點】通過本章的學(xué)習，可以了解防火墻的基本概念和防火墻的功能，掌握防火墻的規(guī)則；掌握防火墻的分類方法和體系結(jié)構(gòu)的相關(guān)知識；掌握防火墻的應(yīng)用方法。,第 7 章　防火墻,7.1　防火墻概述7.2　防火墻的分類7.3　防火墻的體系結(jié)構(gòu)7.4　防火墻的主要應(yīng)用,7.1　防火墻概述,7.1.1　防火墻的基本概念 防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的

2、保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)（Security Gateway），從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成。,有關(guān)防火墻的一些基本術(shù)語,1）屏蔽子網(wǎng)(screened subnet)2）主機(host)3）堡壘主機(bastion host)4）雙宿主主機(dwal ho

3、med host)5）數(shù)據(jù)包過濾(package filtering)6）屏蔽路由器(screened router)7）屏蔽主機(screened host)8）防火墻(firewall),有關(guān)防火墻的一些基本術(shù)語,9）代理服務(wù)器(proxy server)10）IP地址欺騙(IP spoofing)11）隧道路由器(tunneling routcr)12）虛擬私用網(wǎng)(Virtual Private Network， V

4、PN)13）DNS欺騙(DNS spoofing )14）差錯與控制報文(ICMP)15）縱深防御(Defense in Depth)16）最小特權(quán)(Least Privilege),使用防火墻保護的益處：（1）所有風險區(qū)域都集中在單一系統(tǒng)即防火墻上，安全管理者就可針對網(wǎng)絡(luò)的某個方面進行管理，而采取的安全措施對網(wǎng)絡(luò)中的其他區(qū)域并不會有多大影響。（2）監(jiān)測與控制裝置僅需安裝在防火墻中。（3）內(nèi)部網(wǎng)絡(luò)與外部的一切聯(lián)系都必須通過

5、防火墻進行，因此防火墻能夠監(jiān)視與控制所有聯(lián)系過程。,7.1.2　防火墻的功能,（1）防火墻是網(wǎng)絡(luò)安全的屏障（2）防火墻可以強化網(wǎng)絡(luò)安全策略（3）對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計（4）防止內(nèi)部信息的外泄,7.1.3　防火墻的規(guī)則,第一步：制定安全策略第二步：搭建安全體系結(jié)構(gòu)第三步：制定規(guī)則次序 第四步：落實規(guī)則集第五步：注意更換控制 第六步：做好審計工作,7.2　防火墻的分類,7.2.1　按軟、硬件分類　軟件防火墻和硬件防火

6、墻以及芯片級防火墻。1.軟件防火墻 軟件防火墻運行于特定的計算機上，它需要客戶預(yù)先安裝好的計算機操作系統(tǒng)的支持，一般來說這臺計算機就是整個網(wǎng)絡(luò)的網(wǎng)關(guān)。俗稱“個人防火墻”。軟件防火墻就像其他的軟件產(chǎn)品一樣需要先在計算機上安裝并做好配置才可以使用。使用這類防火墻，需要網(wǎng)管對所工作的操作系統(tǒng)平臺比較熟悉。2.硬件防火墻,3.芯片級防火墻芯片級防火墻基于專門的硬件平臺，沒有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種

7、類的防火墻速度更快，處理能力更強，性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS（操作系統(tǒng)），因此防火墻本身的漏洞比較少，不過價格相對比較高昂。,7.2.2　按技術(shù)分類,1.包過濾防火墻 包過濾防火墻具有根本的缺陷：（1）不能防范黑客攻擊（2）不支持應(yīng)用層協(xié)議（3）不能處理新的安全威脅2.應(yīng)用代理防火墻 缺點也非常突出，主要有：（1）難于配置（2

8、）處理速度非常慢,3.狀態(tài)檢測防火墻狀態(tài)檢測防火墻摒棄了包過濾防火墻僅考查數(shù)據(jù)包的IP地址等幾個參數(shù)，而不關(guān)心數(shù)據(jù)包連接狀態(tài)變化的缺點，在防火墻的核心部分建立狀態(tài)連接表，并將進出網(wǎng)絡(luò)的數(shù)據(jù)當成一個個的會話，利用狀態(tài)表跟蹤每一個會話狀態(tài)。狀態(tài)監(jiān)測對每一個包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會話所處的狀態(tài)，因此提供了完整的對傳輸層的控制能力。,7.2.3 防火墻的選擇,1. 選擇防火墻須考慮的基本原則 首先，應(yīng)該明確你的目的

9、第三，是費用問題。其次，是想要達到什么級別的監(jiān)測和控制。,7.2.3 防火墻架構(gòu),1.主機型防火墻2.雙閘型防火墻3.屏障單機型防火墻4.屏障雙閘型防火墻5.屏障子網(wǎng)域型防火墻,2. 選擇防火墻的基本標準,（1）防火墻的管理難易度（2）防火墻自身的安全性 （3）NCSC的認證標準 （4）最好能彌補其他操作系統(tǒng)之不足 （5）能否為使用者提供不同平臺的選擇 （6）能否向使用者提供完善的售后服務(wù),7.2.4 防火墻的

10、選擇,1. 選擇防火墻須考慮的基本原則 首先，應(yīng)該明確你的目的其次，是想要達到什么級別的監(jiān)測和控制第三，是費用問題,2. 選擇防火墻的基本標準 1)防火墻的管理難易度2)防火墻自身的安全性 3)NCSC的認證標準 4)最好能彌補其他操作系統(tǒng)之不足5)能否為使用者提供不同平臺的選擇 6)能否向使用者提供完善的售后服務(wù)7)應(yīng)該考慮企業(yè)的特殊需求,7.3　防火墻的體系結(jié)構(gòu),7.3.1　雙宿/多宿主機模式 雙

11、宿／多宿主機防火墻是一種擁有兩個或多個連接到不同網(wǎng)絡(luò)的網(wǎng)絡(luò)接口的防火墻，通常是一臺裝有兩塊或多塊網(wǎng)卡的堡壘主機，兩塊或多塊網(wǎng)卡各自與受保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相連。由于堡壘主機具有兩個以上的網(wǎng)卡，可以連接兩個以上的網(wǎng)絡(luò)，所以計算機系統(tǒng)可以充當這些網(wǎng)絡(luò)之間的防火墻，從一個網(wǎng)絡(luò)到另一個網(wǎng)絡(luò)發(fā)送的IP數(shù)據(jù)包必須經(jīng)過雙宿主機的檢查。雙宿主機檢查通過的數(shù)據(jù)包，并根據(jù)安全策略進行處理。,應(yīng)用層數(shù)據(jù)共享,,運行代理服務(wù)器的雙宿主機,雙宿主機的路由功能未被禁

12、止,7.3.2　屏蔽主機模式,屏蔽主機體系結(jié)構(gòu),堡壘主機轉(zhuǎn)發(fā)數(shù)據(jù)包,,重定向消息,7.3.3　屏蔽子網(wǎng)模式,屏蔽子網(wǎng)體系結(jié)構(gòu),1.周邊網(wǎng)絡(luò),周邊網(wǎng)絡(luò)也稱為“?；饏^(qū)”或者“非軍事區(qū)” (DMZ)，周邊網(wǎng)絡(luò)用了兩個包過濾路由器和一個堡壘主機。這是最安全的防火墻系統(tǒng)，因為在定義了“停火區(qū)”網(wǎng)絡(luò)后，它支持網(wǎng)絡(luò)層和應(yīng)用層安全功能。網(wǎng)絡(luò)管理員將堡壘主機、信息服務(wù)器、Modem組以及其他公用服務(wù)器放在DMZ網(wǎng)絡(luò)中。DMZ網(wǎng)絡(luò)很小，處于Interne

13、t和內(nèi)部網(wǎng)絡(luò)之間，在一般情況下對DMZ配置成使用Internet和內(nèi)部網(wǎng)絡(luò)系統(tǒng)能夠訪問DMZ網(wǎng)絡(luò)上數(shù)目有限的系統(tǒng)，而通過DMZ網(wǎng)絡(luò)直接進行信息傳輸是嚴格禁止的。,2.堡壘主機,（1）在堡壘主機上運行電子郵件代理服務(wù)器，代理服務(wù)器把入站的E-mail轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)的郵件服務(wù)器上。（2）在堡壘主機上運行WWW代理服務(wù)器，內(nèi)部網(wǎng)絡(luò)的用戶可以通過堡壘主機訪問Internet上的WWW服務(wù)器。（3）在堡壘主機上運行一個偽DNS服務(wù)器，回答Int

14、ernet上主機的查詢。（4）在堡壘主機上運行FTP代理服務(wù)器，對外部的FTP聯(lián)接進行認證，并轉(zhuǎn)接到內(nèi)部的FTP服務(wù)器上。,3.內(nèi)部路由器,內(nèi)部路由器(又稱阻塞路由器)位于內(nèi)部網(wǎng)和周邊網(wǎng)絡(luò)之間，用于保護內(nèi)部網(wǎng)不受周邊網(wǎng)絡(luò)和Internet的侵害，它執(zhí)行了大部分的過濾工作。對于一些服務(wù)，如出站的Telnet，可以允許它不經(jīng)過堡壘主權(quán)而只經(jīng)過內(nèi)部過濾路由器。在這種情況下，內(nèi)部過濾路由器用來過濾數(shù)據(jù)包。內(nèi)部過濾路內(nèi)器也用來過濾內(nèi)部網(wǎng)絡(luò)和堡

15、壘主機之間的數(shù)據(jù)包，這樣做是為了防止堡壘土機被攻占。若不對內(nèi)部網(wǎng)絡(luò)和堡壘主機之間的數(shù)據(jù)包加以控制，當入侵者控制了堡壘主機后，就可以不受限制地訪問內(nèi)部網(wǎng)絡(luò)上的任何主機，周邊網(wǎng)絡(luò)也就失去了意義，在實質(zhì)上就與屏蔽主機結(jié)構(gòu)一樣了。,4.外部路由器,外部路內(nèi)器的一個主要功能是保護周邊網(wǎng)絡(luò)上的主機，但這種保護不是很必要的，因為這主要是通過堡壘主機來進行安全保護的，但多一層保護也并無害處。外部路由器還可以把入站的數(shù)據(jù)包路由到堡壘主機，外部路由器一般與

16、內(nèi)部路由器應(yīng)用相同的規(guī)則。外部路由器還可以防止部分IP欺騙，因為內(nèi)部路由器分辨不出一個聲稱從周邊網(wǎng)絡(luò)來的數(shù)據(jù)包是否真的從周邊網(wǎng)絡(luò)來，而外部路出器很容易分辨出真?zhèn)巍?7.4　防火墻的主要應(yīng)用,7.4.1　防火墻的工作模式,IP地址過濾原理圖,TCP/IP數(shù)據(jù)包發(fā)送過程,服務(wù)器TCP/UDP 端口過濾,客戶機TCP/UDP端口過濾,雙向過濾原理圖,,檢查ACK位,1.FTP帶來的困難,通常的FTP會話過程中，客戶機首先向服務(wù)器的端口21（

17、命令通道）發(fā)送一個TCP連接請求，然后執(zhí)行LOGIN、DIR等各種命令。一旦用戶請求服務(wù)器發(fā)送數(shù)據(jù)，F(xiàn)TP服務(wù)器就用其20端口 (數(shù)據(jù)通道)向客戶的數(shù)據(jù)端口發(fā)起連接。問題來了，如果服務(wù)器向客戶機發(fā)起傳送數(shù)據(jù)的連接，那么它就會發(fā)送沒有設(shè)置ACK位的數(shù)據(jù)包，防火墻則按照剛才的規(guī)則拒絕該數(shù)據(jù)包同時也就意味著數(shù)據(jù)傳送沒戲了。通常只有高級的、也就是夠聰明的防火墻才能看出客戶機剛才告訴服務(wù)器的端口，然后才許可對該端口的入站連接。,2.UDP端口過濾

18、,UDP包沒有ACK位，所以不能進行ACK位過濾，UDP 是發(fā)出去不管的“不可靠”通信，這種類型的服務(wù)通常用于廣播、路由、多媒體等廣播形式的通信任務(wù)。NFS、DNS、WINS、NetBIOS-over-TCP/IP和 NetWare/IP都使用UDP。,7.4.2　防火墻的配置規(guī)則,防火墻配置有三種：Dual-homed方式、Screened- host方式和Screened-subnet方式。（1）Dual-homed方式

19、 此種方式最簡單，Dual-homedGateway放置在兩個網(wǎng)絡(luò)之間，這個Dual-omedGateway又稱為bastionhost。這種結(jié)構(gòu)成本低，但是它有單點失敗的問題。這種結(jié)構(gòu)沒有增加網(wǎng)絡(luò)安全的自我防衛(wèi)能力，而它往往是受“黑客”攻擊的首選目標，它自己一旦被攻破，整個網(wǎng)絡(luò)也就暴露了。,,（2）Screened-host方式在此種方式中的Screeningrouter為保護Bastionhost的安全建立了一道屏障。它

20、將所有進入的信息先送往Bastionhost，并且只接受來自Bastionhost的數(shù)據(jù)作為出去的數(shù)據(jù)。這種結(jié)構(gòu)依賴Screeningrouter和Bastionhost，只要有一個失敗，整個網(wǎng)絡(luò)就暴露了。,,（3）Screened-subnet此種方式包含兩個Screeningrouter和兩個Bastionhost。在公共網(wǎng)絡(luò)和私有網(wǎng)絡(luò)之間構(gòu)成了一個隔離網(wǎng)，稱之為“?；饏^(qū)”（DMZ），Bastionhost放置在“?；饏^(qū)”內(nèi)。這種

21、結(jié)構(gòu)安全性好，只有當兩個安全單元被破壞后，網(wǎng)絡(luò)才被暴露，但是成本也很昂貴。,7.4.3　ISA Server的應(yīng)用,組織可以有多種聯(lián)網(wǎng)方案來部署ISA Server，包括以下所述的幾種方法。 （1）Internet防火墻 （2）安全服務(wù)器發(fā)布 （3）正向Web緩存服務(wù)器 （4）反向Web緩存服務(wù)器 （5）防火墻和Web緩存集成服務(wù)器,7.5　下一代防火墻,下一代防火墻區(qū)別于傳統(tǒng)防火墻的核心特色之一是對應(yīng)用的識別、控制和安全性保

22、障。這種顯著區(qū)別源自于Web2.0與Web1.0這兩個不同網(wǎng)絡(luò)時代下的模式變遷。傳統(tǒng)的Web1.0網(wǎng)絡(luò)以服務(wù)請求與服務(wù)提供為主要特征，服務(wù)提供方提供的服務(wù)形態(tài)、遵循的協(xié)議都比較固定和專一，隨著社會化網(wǎng)絡(luò)Web2.0時代的到來，各種服務(wù)協(xié)議、形態(tài)已不再一塵不變，代之以復(fù)用、變種、行為差異為主要特征的各種應(yīng)用的使用和共享。,7.5.1　新的應(yīng)用帶來全新的應(yīng)用層威脅,1) 惡意軟件入侵　　2) 網(wǎng)絡(luò)帶寬消耗　　3)機密資料外泄,7.5.2

23、 傳統(tǒng)防火墻的弊端,由于傳統(tǒng)的防火墻的基本原理是根據(jù)IP地址/端口號或協(xié)議標識符識別和分類網(wǎng)絡(luò)流量，并執(zhí)行相關(guān)的策略。對于WEB2.0應(yīng)用來說，傳統(tǒng)防火墻看到的所有基于瀏覽器的應(yīng)用程序的流量是完全一樣的，因而無法區(qū)分各種應(yīng)用程序，更無法實施策略來區(qū)分哪些是不需要的或不適當?shù)某绦颍蛘咴试S這些應(yīng)用程序。如果通過這些端口屏蔽相關(guān)的流量或者協(xié)議，會導(dǎo)致阻止所有基于web的流量，其中包括合法商業(yè)用途的內(nèi)容和服務(wù)。另外傳統(tǒng)防火墻也檢測不到基于隧

24、道的應(yīng)用，以及加密后的數(shù)據(jù)包，甚至不能屏蔽使用非標準端口號的非法應(yīng)用。,7.5.3 下一代防火墻的安全策略框架,,1.智能化識別,,2.精細化控制,,3.一體化掃描,,7.5.3 下一代防火墻功能,1.基于用戶防護2.面向應(yīng)用安全3.高效轉(zhuǎn)發(fā)平臺4.多層級冗余架構(gòu)5.全方位可視化6.安全技術(shù)融合,小結(jié),本章主要介紹了防火墻的基本概念、功能和規(guī)則，以及防火墻的分類和體系結(jié)構(gòu)，重點講述了防火墻的應(yīng)用方法，以及下一代防火墻的策略