防火墙技术及其应用-资料课件.ppt

1、2023-1-17防火墙技术及其应用防火墙技术及其应用2023-1-17防火墙技术及其应用防火墙技术及其应用Page:2报告内容报告内容 基本概念基本概念 防火墙配置模式防火墙配置模式 防火墙相关技术防火墙相关技术 几个新的方向几个新的方向2023-1-17防火墙技术及其应用防火墙技术及其应用Page:3基本概念基本概念 防火墙定义防火墙定义 为什么需要防火墙为什么需要防火墙 对防火墙的两大需求对防火墙的两大需求 防火墙系统四要素防火墙系统四要素 防火墙技术的发展过程防火墙技术的发展过程 引入防火墙技术的好处引入防火墙技术的好处 争议及不足争议及不足2023-1-17防火墙技术及其应用防火墙技

2、术及其应用Page:4防火墙定义防火墙定义防火墙是位于两个防火墙是位于两个(或多个或多个)网络间，实施网间访问控制的一组组件的集网络间，实施网间访问控制的一组组件的集 合，它满足以下条件：合，它满足以下条件：内部和外部之间的所有网络数据流必须经过防火墙内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全政策的数据流才能通过防火墙只有符合安全政策的数据流才能通过防火墙 防火墙自身应对渗透防火墙自身应对渗透(peneration)免疫免疫2023-1-17防火墙技术及其应用防火墙技术及其应用Page:52023-1-17防火墙技术及其应用防火墙技术及其应用Page:6DATADATATCPD

3、ATATCPIP2023-1-17防火墙技术及其应用防火墙技术及其应用Page:7DATATCPIP2023-1-17防火墙技术及其应用防火墙技术及其应用Page:8DATATCPIP2023-1-17防火墙技术及其应用防火墙技术及其应用Page:9目标不可达目标不可达TCPIP2023-1-17防火墙技术及其应用防火墙技术及其应用Page:10目标不可达目标不可达TCPIP2023-1-17防火墙技术及其应用防火墙技术及其应用Page:11DATATCPIP2023-1-17防火墙技术及其应用防火墙技术及其应用Page:12DATATCPIP2023-1-17防火墙技术及其应用防火墙技术及其

4、应用Page:13DATATCPIP2023-1-17防火墙技术及其应用防火墙技术及其应用Page:142023-1-17防火墙技术及其应用防火墙技术及其应用Page:152023-1-17防火墙技术及其应用防火墙技术及其应用Page:162023-1-17防火墙技术及其应用防火墙技术及其应用Page:172023-1-17防火墙技术及其应用防火墙技术及其应用Page:18为什么需要防火墙为什么需要防火墙2023-1-17防火墙技术及其应用防火墙技术及其应用Page:19l所有软件都是有错的所有软件都是有错的l通常情况下通常情况下99.99%无错的程序很少会出问题无错的程序很少会出问题l同安全

5、相关的同安全相关的99.99%无错的程序可以确信会被无错的程序可以确信会被人利用那人利用那0.01%的错误的错误l0.01%安全问题等于安全问题等于100%的失败的失败Why Security is Harder than it Looks2023-1-17防火墙技术及其应用防火墙技术及其应用Page:20内部网特点内部网特点 组成结构复杂组成结构复杂 各节点通常自主管理各节点通常自主管理 信任边界复杂，缺乏有效管理信任边界复杂，缺乏有效管理 有显著的内外区别有显著的内外区别 机构有整体的安全需求机构有整体的安全需求 最薄弱环节原则最薄弱环节原则2023-1-17防火墙技术及其应用防火墙技术及

6、其应用Page:21为什么需要防火墙为什么需要防火墙 保护内部不受来自保护内部不受来自Internet的攻击的攻击 为了创建安全域为了创建安全域 为了增强机构安全策略为了增强机构安全策略2023-1-17防火墙技术及其应用防火墙技术及其应用Page:22对防火墙的两大需求对防火墙的两大需求 保障内部网保障内部网安全安全 保证内部网同外部网的保证内部网同外部网的连通连通2023-1-17防火墙技术及其应用防火墙技术及其应用Page:23防火墙系统四要素防火墙系统四要素 安全策略安全策略 内部网内部网 外部网外部网 技术手段技术手段2023-1-17防火墙技术及其应用防火墙技术及其应用Page:2

7、4防火墙技术发展过程防火墙技术发展过程20世纪世纪70年代和年代和80年代，多级系统和安全模型吸引了大量的研究年代，多级系统和安全模型吸引了大量的研究屏蔽路由器、网关屏蔽路由器、网关防火墙工具包防火墙工具包商业产品防火墙商业产品防火墙新的发展新的发展2023-1-17防火墙技术及其应用防火墙技术及其应用Page:25防火墙技术带来的好处防火墙技术带来的好处 强化安全策略强化安全策略 有效地记录有效地记录Internet上的活动上的活动 隔离不同网络，限制安全问题扩散隔离不同网络，限制安全问题扩散 是一个安全策略的检查站是一个安全策略的检查站 2023-1-17防火墙技术及其应用防火墙技术及其应

8、用Page:26争议及不足争议及不足使用不便，认为防火墙给人虚假的安全感使用不便，认为防火墙给人虚假的安全感对用户不完全透明，可能带来传输延迟、瓶颈及单点失效对用户不完全透明，可能带来传输延迟、瓶颈及单点失效不能替代墙内的安全措施不能替代墙内的安全措施 不能防范恶意的知情者不能防范恶意的知情者 不能防范不通过它的连接不能防范不通过它的连接 不能防范全新的威胁不能防范全新的威胁 不能有效地防范数据驱动式的攻击不能有效地防范数据驱动式的攻击 当使用端当使用端-端加密时，其作用会受到很大的限制端加密时，其作用会受到很大的限制2023-1-17报告内容报告内容 基本概念基本概念 防火墙配置模式防火墙配

9、置模式 防火墙相关技术防火墙相关技术 几个新的方向几个新的方向2023-1-17防火墙技术及其应用防火墙技术及其应用Page:28防火墙简图防火墙简图Gateway(s)FilterFilterInsideOutside2023-1-17防火墙技术及其应用防火墙技术及其应用Page:29防火墙的位置防火墙的位置2023-1-17防火墙技术及其应用防火墙技术及其应用Page:30默认安全策略默认安全策略 没有明确禁止的行为都是允许的没有明确禁止的行为都是允许的 没有明确允许的行为都是禁止的没有明确允许的行为都是禁止的2023-1-17防火墙技术及其应用防火墙技术及其应用Page:31防火墙体系结

10、构防火墙体系结构 包过滤路由器包过滤路由器 单宿单宿/多宿主机模式多宿主机模式(dual-homed/multi-homed)屏蔽主机模式屏蔽主机模式 屏蔽子网模式屏蔽子网模式2023-1-17防火墙技术及其应用防火墙技术及其应用Page:32包过滤路由器包过滤路由器2023-1-17防火墙技术及其应用防火墙技术及其应用Page:33包过滤路由器包过滤路由器 最常见的防火墙是放在Internet和内部网络之间的包过滤路由器。包过滤路由器在网络之间完成数据包转发的普通路由功能，并利用包过滤规则来允许或拒绝数据包。一般情况下，是这样来定义过滤规则的：内部网络上的主机可以直接访问Internet，I

11、nternet上的主机对内部网络上的主机进行访问是有限制的。这种类型的防火墙系统的默认安全策略是对没有特别允许的外部数据包都拒绝。2023-1-17防火墙技术及其应用防火墙技术及其应用Page:34工作原理工作原理 包过滤路由器对所接收的每个数据包做允许拒绝的决定。路由器审查每个数据报以便确定其是否与某一条包过滤规则匹配。如果有匹配并且规则允许该数据包，那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃。如果没有匹配规则，用户配置的缺省参数会决定是转发还是丢弃数据包。2023-1-17防火墙技术及其应用防火墙技术及其应用Page:35过滤规则过滤规则

12、 过滤规则基于可以提供给IP转发过程的包头信息。包头信息中包括IP源地址、IP目标端地址、内装协（ICP、UDP、ICMP、或IP Tunnel）、TCP/UDP目标端口、ICMP消息类型、包的进入接口和出接口。2023-1-17防火墙技术及其应用防火墙技术及其应用Page:36与服务相关的过滤与服务相关的过滤 包过滤路由器使得路由器能够根据特定的服务允许或拒绝流动的数据，因为多数的服务收听者都在已知的TCP/UDP端口号上。例如，Telnet服务器在TCP的23号端口上监听远地连接，而SMTP服务器在TCP的25号端口上监听人连接。为了阻塞所有进入的Telnet连接，路由器只需简单的丢弃所有

13、TCP端口号等于23的数据包。为了将进来的Telnet连接限制到内部的数台机器上，路由器必须拒绝所有TCP端口号等于23并且目标IP地址不等于允许主机的IP地址的数据包。2023-1-17防火墙技术及其应用防火墙技术及其应用Page:37与服务无关的过滤与服务无关的过滤 有几种类型的攻击很难使用基本的包头信息来识别，因为这几种攻击是与服务无关的。可以对路由器配置以便防止这几种类型的攻击。但是它们很难指定，因为过滤规则需要附加的信息，并且这些信息只能通过审查路由表和特定的IP选项、检查特定段的内容等等才能学习到。2023-1-17防火墙技术及其应用防火墙技术及其应用Page:38与服务无关的过滤

14、与服务无关的过滤 -源IP地址欺骗式攻击（Sowrce IP Address Spoofing Attacks）。这种类型的攻击的特点是入侵者从外部传输一个假装是来自内部主机的数据包，即数据包中所包含的IP地址为内部网络上的IP地址。入侵者希望借助于一个假的源IP地址就能渗透到一个只使用了源地址安全功能的系统中。在这样的系统中，来自内部的信任主机的数据包被接受，而来自其它主机的数据包全部被丢弃。对于源IP地址欺骗式攻击，可以利用丢弃所有来自路由器外部端口的使用内部源地址的数据包的方法来挫败。2023-1-17防火墙技术及其应用防火墙技术及其应用Page:39与服务无关的过滤与服务无关的过滤 -

15、源路由攻击（Source Rowing Attacks）这种类型的攻击的特点是源站点指定了数据包在Internet中所走的路线。这种类型的攻击是为了旁路安全措施并导致数据包循着一个对方不可预料的路径到达目的地。只需简单的丢弃所有包含源路由选项的数据包即可防范这种类型的攻击。2023-1-17防火墙技术及其应用防火墙技术及其应用Page:40与服务无关的过滤与服务无关的过滤 -极小数据段式攻击（Tiny Fragment Attacks）这种类型的攻击的特点是入侵者使用了IP分段的特性，创建极小的分段并强行将TCP头信息分成多个数据包段 这种攻击是为了绕过用户定义的过滤规则，希望于过滤器路由器只

16、检查第一个分段而允许其余的分段通过 对于这种类型的攻击，只要丢弃协议类型为TCP，IP FragmentOffset等于1的数据包就可安然无恙。2023-1-17防火墙技术及其应用防火墙技术及其应用Page:41包过滤路由器包过滤路由器 尽管这种防火墙系统有价格低和易于使用的优点，但同时也有缺点，如配置不当的路由器可能受到攻击，以及利用将攻击包裹在允许服务和系统内进行攻击等。由于允许在内部和外部系统之间直接交换数据包，那么攻击面可能会扩展到所有主机和路由器所允许的全部服务上。这就意味着可以从Internet上直接访问的主机要支持复杂的用户认证，并且网络管理员要不断地检查网络以确定网络是否受到攻

17、击。另外，如果有一个包过滤路由器被渗透，内部网络上的所有系统都可能会受到损害。2023-1-17防火墙技术及其应用防火墙技术及其应用Page:42单宿主机模式单宿主机模式堡垒主机堡垒主机内部网内部网外外部部网网络络最少服务最少服务最小特权最小特权2023-1-17防火墙技术及其应用防火墙技术及其应用Page:43堡垒主机（堡垒主机（Bastion host）一个应用层网关常常被称做“堡垒主机”（Bastion Host）。因为它是一个专门的系统，有特殊的装备，并能抵御攻击。2023-1-17防火墙技术及其应用防火墙技术及其应用Page:44堡垒主机（堡垒主机（Bastion host）安全特性

18、）安全特性 堡垒主机的硬件执行一个安全版本的操作系统。例如，如果堡垒主机是一个UNIX平台，那么它执行UNIX操作系统的安全版本，其经过了特殊的设计，避免了操作系统的脆弱点，保证防火墙的完整性。只有网络管理员认为必需的服务才能安装在堡垒主机上。原因是如果一个服务没有安装，它就不能受到攻击。一般来说，在堡垒主机上安装有限的代理服务，如Telnet，DNS，FTP，SMTP以及用户认证等。用户在访问代理服务之前堡垒主机可能要求附加认证。比如说，堡垒主机是一个安装严格认证的理想位置。在这里，智能卡认证机制产生一个唯一的访问代码。另外每种代理可能在授予用户访问权之前进行其自己的授权。2023-1-17

19、防火墙技术及其应用防火墙技术及其应用Page:45堡垒主机（堡垒主机（Bastion host）安全特性）安全特性 对代理进行配置，使得其只支持标准应用的命令集合的子集。如果代理应用不支持标准的命令，那么很简单，被认证的用户没有使用该命令的权限。对代理进行配置，使得其只允许对特定主机的访问。这表明，有限的命令/功能只能施用于内部网络上有限数量的主机。每个代理都通过登记所有的信息、每一次连接、以及每次连接的持续时间来维持一个详细的审计信息。审计记录是发现和终止入侵者攻击的一个基本工具。每个代理都是一个简短的程序，专门为网络安全目的而设计。因此可以对代理应用的源程序代码进行检查，以确定其是否有纰漏

20、和安全上的漏洞。比如说，典型的UNIX邮件应用可能包括20,000行代码，而邮件代理只有不到1,000行的程序。2023-1-17防火墙技术及其应用防火墙技术及其应用Page:46堡垒主机（堡垒主机（Bastion host）安全特性）安全特性 在堡垒主机上每个代理都与所有其它代理无关。如果任何代理的工作产生问题，或在将来发现脆弱性，只需简单的卸出，不会影响其它代理的工作。并且，如果一些用户要求支持新的应用，网络管理员可以轻而易举的在堡垒主机上安装所需应用。代理除了读取初始化配置文件之外，一般不进行磁盘操作。这使得入侵者很难在堡垒主机上安装特洛伊马程序或其它的危险文件。每个代理在堡垒主机上都以

21、非特权用户的身份运行在其自己的并且是安全的目录中。2023-1-17防火墙技术及其应用防火墙技术及其应用Page:47实例：实例：Telnet Proxy 2023-1-17防火墙技术及其应用防火墙技术及其应用Page:48实例：实例：Telnet Proxy Telnet代理永远不会允许远地用户注册到内部服务器或直接访问内部服务器。外部的客户Telnet到堡垒主机，其用一次性口令技术认证该用户。在经过认证之后，外部的客户获得了Telnet代理用户接口的访问权。这个Telnet代理只允许部分Telnet命令可以使用，并决定了内部的哪些主机可以提供给Telnet来访问。外部客户指定目标主机，然后

22、Telnet代理建立一个其自己到内部服务器的连接，并替外部客户转发命令。外部客户认为Telnet代理是一个真正的内部服务器，而内部服务器也把Telnet代理看作是外部客户。2023-1-17防火墙技术及其应用防火墙技术及其应用Page:492023-1-17防火墙技术及其应用防火墙技术及其应用Page:50说明说明 图中显示的是在建立到内部服务器的连接时在外部客户终端上的输出。请注意，该客户并没有注册到堡垒主机上，该用户由堡垒主机认证，并在允许与Telnet代理通信之前受到挑战。通过挑战之后，代理服务器给出了可以使用的命令集合和可以提供外部客户的目标主机。认证可以基于用户所知道的东西（如口令）

23、或用户物理上所拥有的东西（如智能卡）。这两种技术都面临被偷窃，但是使用两种方法的组合可以增加用户认证的正确性。在Telnet这个例子中，代理发出一个挑战，而用户借助于智能卡获得对挑战的回答。典型情况下，用户可以通过输入他的PIN来解锁智能卡，而该卡根据共享的“秘密”加密密钥和其内部时钟，返回一个加密的数值给用户用来回答挑战。2023-1-17防火墙技术及其应用防火墙技术及其应用Page:51要求要求 由于堡垒主机是唯一能从Internet上直接访问的内部系统，所以有可能受到攻击的主机就只有堡垒主机本身。但是，如果允许用户注册到堡垒主机，那么整个内部网络上的主机都会受到攻击的威胁。这是因为，对于

24、入侵者来说，如果允许注册，破坏堡垒主机相对比较容易。牢固可靠，避免被渗透和不允许用户注册对堡垒主机来说至关重要。2023-1-17防火墙技术及其应用防火墙技术及其应用Page:52多宿主机模式多宿主机模式2023-1-17防火墙技术及其应用防火墙技术及其应用Page:53多宿主机模式多宿主机模式 用双（多）宿堡垒主机可以构造更加安全的防火墙系统 双（多）宿堡垒主机有两（多）个网络接口，但是主机在两个端口之间直接转发信息的功能被关掉了 这种物理结构强行将让所有去往内部网络的信息经过堡垒主机，并且在外部用户被授予直接访问信息服务器的权利时，提供附加的安全性。2023-1-17防火墙技术及其应用防火

25、墙技术及其应用Page:54屏蔽主机模式屏蔽主机模式2023-1-17防火墙技术及其应用防火墙技术及其应用Page:55屏蔽主机模式屏蔽主机模式 屏蔽主机模式采用包过滤路由器和堡垒主机（双宿堡垒主机）组成。这个防火墙系统提供的安全等级比上一个例子中的防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。所以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。2023-1-17防火墙技术及其应用防火墙技术及其应用Page:56屏蔽主机模式屏蔽主机模式 对于这种防火墙系统，堡垒主机配置在内部网络上，而包过滤路由器则放置在内部网络和Internet之间。在路由器上进

26、行规则配置，使得外部系统只能访问堡垒主机，去往内部系统上其它主机的信息全部被阻塞。由于内部主机与堡垒主机处于同一个网络，内部系统是否允许直接访问Internet，或者是要求使用堡垒主机上的代理服务来访问Internet由机构的安全策略来决定。对路由器的过滤规则进行配置，使得其只接受来自堡垒主机的内部数据包，就可以强制内部用户使用代理服务。2023-1-17防火墙技术及其应用防火墙技术及其应用Page:57屏蔽主机模式屏蔽主机模式 这种防火墙系统的优点之一是提供公开的信息服务的服务器，如Web，FTP等，可以放置在由包过滤路由器和堡垒主机共用的网段上。如果要求有特别高的安全特性，可以让堡垒主机运

27、行代理服务，使得内部和外部用户在与信息服务器通信之前，必须先访问堡垒主机。如果较低的安全等级已经足够，则将路由器配置让外部用户直接去访问公共的信息服务器。2023-1-17防火墙技术及其应用防火墙技术及其应用Page:58屏蔽子网模式（屏蔽子网模式（DMZ）2023-1-17防火墙技术及其应用防火墙技术及其应用Page:59DMZ 采用了两个包过滤路由器和一个堡垒主机。这个防火墙系统建立的是最安全的防火墙系统。在定义了“非军事区”（DMZ）网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机，信息服务器，Modem组，以及其它公用服务器放在DMZ网络中。DMZ网络很小，处于Interne

28、t和内部网络之间。在一般情况下对DMZ配置成使用Internet和内部网络系统能够访问DMZ网络上数目有限的系统，而通过DMZ网络直接进行信息传输是严格禁止的。2023-1-17防火墙技术及其应用防火墙技术及其应用Page:60DMZ 对于进来的信息，外面的这个路由器用于防范通常的外部攻击（如源地址欺骗和源路由攻击），并管理Internet到DMZ网络的访问。它只允许外部系统访问堡垒主机（还可能有信息服务器）。里面的这个路由器提供第二层防御，只接受源于堡垒主机的数据包，负责的是管理DMZ到内部网络的访问。2023-1-17防火墙技术及其应用防火墙技术及其应用Page:61DMZ 对于去往Int

29、ernet的数据包，里面的路由器管理内部网络到DMZ网络的访问。它允许内部系统只访问堡垒主机（还可能有信息服务器）。外面的路由器上的过滤规则要求使用代理服务（只接受来自堡垒主机的去往Internet的数据包）。2023-1-17防火墙技术及其应用防火墙技术及其应用Page:62DMZ优点优点入侵者必须突破3个不同的设备（无法探测）才能侵袭内部网络：外部路由器，堡垒主机，还有内部路由器。由于外部路由器只能向Internet通告DMZ网络的存在，Internet上的系统不需要有路由器与内部网络相连。这样网络管理员就可以保证内部网络是“不可见”的，并且只有在DMZ网络上选定的系统才对Internet

30、开放（通过路由表和DNS信息交换）。由于内部路由器只向内部网络通告DMZ网络的存在，内部网络上的系统不能直接通往Internet，这样就保证了内部网络上的用户必须通过驻留在堡垒主机上的代理服务才能访问Internet。2023-1-17防火墙技术及其应用防火墙技术及其应用Page:63DMZ优点优点 包过滤路由器直接将数据引向DMZ网络上所指定的系统，消除了堡垒主机双宿的必要。内部路由器在作为内部网络和Internet之间最后的防火墙系统时，能够支持比双宿堡垒主机更大的数据包吞吐量。由于DMZ网络是一个与内部网络不同的网络，NAT（网络地址变换）可以安装在堡垒主机上，从而避免在内部网络上重新编

31、址或重新划分子网。2023-1-17防火墙技术及其应用防火墙技术及其应用Page:64实施中的其他问题实施中的其他问题最少服务、最小特权原则最少服务、最小特权原则使用多堡垒主机使用多堡垒主机合并内部路由器与外部路由器合并内部路由器与外部路由器合并堡垒主机与外部路由器合并堡垒主机与外部路由器合并堡垒主机与内部路由器合并堡垒主机与内部路由器使用多台内部路由器使用多台内部路由器使用多台外部路由器使用多台外部路由器使用多个周边网络使用多个周边网络使用双重宿主主机与屏蔽子网使用双重宿主主机与屏蔽子网2023-1-17报告内容报告内容 基本概念基本概念 防火墙配置模式防火墙配置模式 防火墙相关技术防火墙相

32、关技术 几个新的方向几个新的方向2023-1-17防火墙技术及其应用防火墙技术及其应用Page:66防火墙相关技术防火墙相关技术 静态包过滤静态包过滤 动态包过滤动态包过滤 应用程序网关应用程序网关(代理服务器代理服务器)电路级网关电路级网关 网络地址翻译网络地址翻译 虚拟专用网虚拟专用网2023-1-17防火墙技术及其应用防火墙技术及其应用Page:67静态包过滤静态包过滤根据流经该设备的数据包地址信息，决定是否允许该数据包通过根据流经该设备的数据包地址信息，决定是否允许该数据包通过判断依据有判断依据有(只考虑只考虑IP包包)：数据包协议类型：数据包协议类型：TCP、UDP、ICMP、IGM

33、P等等源、目的源、目的IP地址地址源、目的端口：源、目的端口：FTP、HTTP、DNS等等IP选项：选项：源路由、记录路由等源路由、记录路由等TCP选项：选项：SYN、ACK、FIN、RST等等其它协议选项：其它协议选项：ICMP ECHO、ICMP ECHO REPLY等等数据包流向：数据包流向：in或或out数据包流经网络接口：数据包流经网络接口：eth0、eth12023-1-17防火墙技术及其应用防火墙技术及其应用Page:68包过滤示例包过滤示例堡垒主机堡垒主机内部网内部网外外部部网网络络在上图所示配置中，内部网地址为：在上图所示配置中，内部网地址为：192.168.0.0/24，堡

34、垒主机内网卡堡垒主机内网卡eth1地址为：地址为：192.168.0.1，外网卡外网卡eth0地址为：地址为：10.11.12.13DNS地址为：地址为：10.11.15.4要求允许内部网所有主机能访问外网要求允许内部网所有主机能访问外网WWW、FTP服务，服务，外部网不能访问内部主机外部网不能访问内部主机2023-1-17防火墙技术及其应用防火墙技术及其应用Page:69包过滤示例包过滤示例(续续)Set internal=192.168.0.0/24Deny ip from$internal to any in via eth0Deny ip from not$internal to an

35、y in via eth1Allow udp from$internal to any dnsAllow udp from any dns to$internalAllow tcp from any to any establishedAllow tcp from$internal to any www in via eth1Allow tcp from$internal to any ftp in via eth1Allow tcp from any ftp-data to$internal in via eth0Deny ip from any to any匹配那些有RST or ACK

36、bits设置的TCP包2023-1-17防火墙技术及其应用防火墙技术及其应用Page:70动态包过滤动态包过滤 Check point一项称为一项称为“Stateful Inspection”的技术的技术 可动态生成可动态生成/删除规则删除规则 分析高层协议分析高层协议2023-1-17防火墙技术及其应用防火墙技术及其应用Page:71上一个示例的另一种解法上一个示例的另一种解法(续续)Set internal=192.168.0.0/24Deny ip from$internal to any in via eth0Deny ip from not$internal to any in vi

37、a eth1Allow$internal access any dns by udp keep stateAllow$internal acess any www by tcp keep stateAllow$internal access any ftp by tcp keep stateDeny ip from any to any2023-1-17防火墙技术及其应用防火墙技术及其应用Page:72 Stateful的作用是让防火墙能动态的创建一个规则，为了描述当匹配包所给出的模式的流程。当一个数据包匹配keep state 规则时，动态规则将被创建，这个动态规则将匹配所有的包所给出的sr

38、c-ip/src-port dst-ip/dst-port之间的协议(这里所使用的源地址和目的地地址都指最初的地址，但是后来他们将完全一样)动态规则在第一次的check state 将被选中，并执行匹配，此匹配跟父规则一样。动态规则典型的应用是保持一个关闭的防火墙设置，但是让第一个从内网来的TCP SYN包将安装一个为流程动态规则，所以那些包允许通过防火墙 2023-1-17防火墙技术及其应用防火墙技术及其应用Page:73包过滤技术的一些实现包过滤技术的一些实现 商业版防火墙产品商业版防火墙产品 个人防火墙个人防火墙 路由器路由器 Open Source Software Ipfilter(

39、FreeBSD、OpenBSD、Solaris，)Ipfw(FreeBSD)Ipchains(Linux 2.0.x/2.2.x)Iptables (Linux 2.4.x)2023-1-17防火墙技术及其应用防火墙技术及其应用Page:74代理技术代理技术 应用层网关应用层网关 电路层网关电路层网关2023-1-17防火墙技术及其应用防火墙技术及其应用Page:75代理工作方式代理工作方式2023-1-17防火墙技术及其应用防火墙技术及其应用Page:76应用程序网关应用程序网关(代理服务器代理服务器)客客 户户网网 关关服务器服务器网关理解应用协议，可以实施更细粒度的访问控制网关理解应用协

40、议，可以实施更细粒度的访问控制对每一类应用，都需要一个专门的代理对每一类应用，都需要一个专门的代理灵活性不够灵活性不够发送请求发送请求转发请求转发请求请求响应请求响应转发响应转发响应2023-1-17防火墙技术及其应用防火墙技术及其应用Page:77 应用层网关使得网络管理员能够实现比包过滤路由器更严格的安全策略。应用层网关不用依赖包过滤工具来管理Internet服务在防火墙系统中的进出，而是采用为每种所需服务而安装在网关上特殊代码（代理服务）的方式来管理Internet服务。如果网络管理员没有为某种应用安装代理编码，那么该项服务就不支持并不能通过防火墙系统来转发。同时，代理编码可以配置成只支

41、持网络管理员认为必须的部分功能。2023-1-17防火墙技术及其应用防火墙技术及其应用Page:78 这样增强的安全带来了附加的费用：购买网关硬件平台、代理服务应用、配置网关所需的时间和知识、提供给用户的服务水平的下降、由于缺少透明性而导致缺少友好性的系统。同以往一样，仍要求网络管理员在机构安全需要和系统的易于使用性方面作出平衡。允许用户访问代理服务是很重要的，但是用户是绝对不允许注册到应用层网关中的。假如允许用户注册到防火墙系统中，防火墙系统的安全就会受到威胁，因为入侵者可能会在暗地里进行某些损害防火墙有效性运动作。例如，入侵者获取Root权限，安装特洛伊马来截取口令，并修改防火墙的安全配置

42、文件 2023-1-17防火墙技术及其应用防火墙技术及其应用Page:79应用程序网关的一些实现应用程序网关的一些实现 商业版防火墙产品商业版防火墙产品 商业版代理商业版代理(cache)服务器服务器 Open Source TIS FWTK(Firewall toolkit)Apache Squid2023-1-17防火墙技术及其应用防火墙技术及其应用Page:80电路级网关电路级网关拓扑结构同应用程序网关相同拓扑结构同应用程序网关相同接收客户端连接请求，代理客户端完成网络连接接收客户端连接请求，代理客户端完成网络连接在客户和服务器间中转数据在客户和服务器间中转数据通用性强通用性强电路层网关

43、简单地中继网络连接，并不做任何审查，过滤或电路层网关简单地中继网络连接，并不做任何审查，过滤或Telnet协议管协议管理。电路层网关就向电线一样，只是在内部连接和外部连接之间来回拷贝理。电路层网关就向电线一样，只是在内部连接和外部连接之间来回拷贝字节。但是由于连接似乎是起源于防火墙，其隐藏了受保护网络的有关信字节。但是由于连接似乎是起源于防火墙，其隐藏了受保护网络的有关信息。息。2023-1-17防火墙技术及其应用防火墙技术及其应用Page:812023-1-17防火墙技术及其应用防火墙技术及其应用Page:82电路级网关实现方式电路级网关实现方式 简单重定向简单重定向 根据客户的地址及所请求

44、端口，将该连接重定向到指定的服务器地根据客户的地址及所请求端口，将该连接重定向到指定的服务器地址及端口上址及端口上 对客户端应用完全透明对客户端应用完全透明 在转发前同客户端交换连接信息在转发前同客户端交换连接信息 需对客户端应用作适当修改需对客户端应用作适当修改 Sockify2023-1-17防火墙技术及其应用防火墙技术及其应用Page:83电路级网关的一些实现电路级网关的一些实现 Socks Winsock Dante2023-1-17防火墙技术及其应用防火墙技术及其应用Page:84网络地址翻译网络地址翻译(NAT)目的目的 解决解决IP地址空间不足问题地址空间不足问题 向外界隐藏内部

45、网结构向外界隐藏内部网结构 方式方式 M-1：多个内部网地址翻译到：多个内部网地址翻译到1个个IP地址地址 1-1：简单的地址翻译：简单的地址翻译 M-N：多个内部网地址翻译到：多个内部网地址翻译到N个个IP地址池地址池2023-1-17防火墙技术及其应用防火墙技术及其应用Page:852023-1-17防火墙技术及其应用防火墙技术及其应用Page:86配置共享配置共享IP地址地址 应用需求：应用需求：当您需要允许内部用户访问Internet，但又没有足够的合法IP地址时，可以使用配置共享IP地址连接Internet的NAT转换方式。2023-1-17防火墙技术及其应用防火墙技术及其应用Pag

46、e:87配置在配置在Internet上发布的服务器上发布的服务器应用需求：应用需求：当您需要将内部设备发布到Internet上时，可以使用配置在Internet上发布的服务器的NAT转换方式。2023-1-17防火墙技术及其应用防火墙技术及其应用Page:88配置端口映射配置端口映射应用需求：应用需求：假设您在Internet上发布一台在内部网络的Web服务器，服务器配置成监听8080端口，您需要把外部网络对Web服务器80端口的访问请求重定向。2023-1-17防火墙技术及其应用防火墙技术及其应用Page:89配置配置TCP传输传输应用需求：应用需求：TCP传输装载共享是与地址匮乏无关的问题

47、，它将数个设备的地址映射成一个虚拟设备的地址，从而实现设备间的负载均衡。2023-1-17防火墙技术及其应用防火墙技术及其应用Page:90虚拟专用网虚拟专用网(VPN)广域网络广域网络端端-端端加密数据流加密数据流端端-路由路由加密隧道加密隧道路由路由-路由路由加密隧道加密隧道(VPN)2023-1-17防火墙技术及其应用防火墙技术及其应用Page:91各级网络安全技术各级网络安全技术物理层物理层链路层链路层网络层网络层传输层传输层会话层会话层表示层表示层应用层应用层OSIOSI 协议层协议层加密加密/安全技术安全技术安全协议安全协议信道加密信道加密PPTP/L2TPPPTP/L2TPIPI

48、PS SececSSL/TLSSSL/TLS信源加密信源加密SOCKSSOCKS应用相关应用相关应用程序网关应用程序网关/保密网关保密网关静态包过滤静态包过滤动态包过滤动态包过滤2023-1-17报告内容报告内容 基本概念基本概念 防火墙配置模式防火墙配置模式 防火墙相关技术防火墙相关技术 几个新的方向几个新的方向2023-1-17防火墙技术及其应用防火墙技术及其应用Page:93关于防火墙技术的一些观点关于防火墙技术的一些观点防火墙技术是一项已成熟的技术防火墙技术是一项已成熟的技术目前更需要的是提高性能，尤其是将它集成到更大的安全环境中去时：目前更需要的是提高性能，尤其是将它集成到更大的安全

49、环境中去时：用户界面和管理用户界面和管理互操作性互操作性标准化标准化当然其他方面的改进也是存在的当然其他方面的改进也是存在的2023-1-17防火墙技术及其应用防火墙技术及其应用Page:94分布式防火墙分布式防火墙传统防火墙技术的几个问题传统防火墙技术的几个问题依赖于防火墙一端可信，另一端是潜在的敌人依赖于防火墙一端可信，另一端是潜在的敌人Internet的发展使从外部穿过防火墙访问内部网的需求增加了的发展使从外部穿过防火墙访问内部网的需求增加了一些内部主机需要更多的权限一些内部主机需要更多的权限只依赖于端只依赖于端-端加密并不能完全解决问题端加密并不能完全解决问题过于依赖物理拓扑结构过于依

50、赖物理拓扑结构考虑到下面几个事实考虑到下面几个事实个人防火墙已得到了广泛的应用个人防火墙已得到了广泛的应用操作系统大多已提供了许多在传统意义上还属于防火墙的手段操作系统大多已提供了许多在传统意义上还属于防火墙的手段IPv6以及以及IPSec技术的发展技术的发展防火墙这一概念还不能抛弃防火墙这一概念还不能抛弃2023-1-17防火墙技术及其应用防火墙技术及其应用Page:95分布式防火墙分布式防火墙(续一续一)思路思路主要工作防护工作在主机端主要工作防护工作在主机端打破传统防火墙的物理拓扑结构，不单纯依靠物理位置来划分内外打破传统防火墙的物理拓扑结构，不单纯依靠物理位置来划分内外由安全策略来划分