1、防火墙工作原理及应用防火墙工作原理及应用7.1 防火墙概念与分类防火墙概念与分类 7.1.1 防火墙简介防火墙简介 7.1.2 包过滤防火墙包过滤防火墙 7.1.3 代理服务防火墙代理服务防火墙 7.1.7 复合防火墙复合防火墙 7.1.5 个人防火墙个人防火墙第七章第七章 防火墙工作原理及应用防火墙工作原理及应用 7.2 防火墙体系结构防火墙体系结构 7.2.1. 堡垒主机堡垒主机 7.2.2. 非军事区非军事区 7.2.3. 屏蔽路由器屏蔽路由器 7.2.4 双宿主主机体系结构双宿主主机体系结构 7.2.5 主机过滤体系结构主机过滤体系结构 7.2.6 子网过滤体系结构子网过滤体系结构 7
2、.2.7 组合体系结构组合体系结构第七章第七章 防火墙工作原理及应用防火墙工作原理及应用(续续) 7.3 防火墙选型与产品简介防火墙选型与产品简介 7.3.1 防火墙的局限性防火墙的局限性 7.3.2 开发防火墙安全策略开发防火墙安全策略 7.3.3 防火墙选型原则防火墙选型原则 7.3.4 典型防火墙简介典型防火墙简介第七章第七章 防火墙工作原理及应用防火墙工作原理及应用(续续) 第七章第七章 防火墙工作原理及应用防火墙工作原理及应用 当网络涉及不同的信任级别时(例如内部网、当网络涉及不同的信任级别时(例如内部网、Internet或者网络划分),要保证安全必须安装控制设备。或者网络划分),要
3、保证安全必须安装控制设备。此类控制设备几乎总是某种形式的防火墙。防火墙允许授此类控制设备几乎总是某种形式的防火墙。防火墙允许授权的数据通过,而拒绝未经授权的数据通信,并记录访问权的数据通过,而拒绝未经授权的数据通信,并记录访问报告等。由于使用防火墙能增强内部网络的安全性,因此报告等。由于使用防火墙能增强内部网络的安全性,因此防火墙技术的研究已经成为网络信息安全技术的主导研究防火墙技术的研究已经成为网络信息安全技术的主导研究方向。本章将介绍防火墙的基本功能、工作原理、分类、方向。本章将介绍防火墙的基本功能、工作原理、分类、体系结构、局限性以及典型防火墙产品。体系结构、局限性以及典型防火墙产品。7
4、.1 防火墙概念与分类防火墙概念与分类 网络防火墙网络防火墙是隔离内部网与是隔离内部网与Internet之间的一道防御系统,这里有一个门,允许之间的一道防御系统,这里有一个门,允许人们在内部网和开放的人们在内部网和开放的Internet之间通信。之间通信。访问者必须首先穿越防火墙的安全防线,才访问者必须首先穿越防火墙的安全防线,才能接触目标计算机,网络防火墙如图能接触目标计算机,网络防火墙如图7.1所所示。示。图图7.1 网络防火墙网络防火墙 Internet 内部网内部网防火墙防火墙路由器路由器7.1.1 防火墙简介防火墙简介 在没有防火墙时,局域网内部的每个节点都暴露给在没有防火墙时,局域
5、网内部的每个节点都暴露给Internet上的其它主机,此时内部网的安全性要由每个节点的坚固程上的其它主机,此时内部网的安全性要由每个节点的坚固程度来决定,且安全性等同于其中最薄弱的节点。使用防火墙度来决定,且安全性等同于其中最薄弱的节点。使用防火墙后,防火墙会将内部网的安全性统一到它自身,网络安全性后,防火墙会将内部网的安全性统一到它自身,网络安全性在防火墙系统上得到加固,而不是分布在内部网的所有节点在防火墙系统上得到加固,而不是分布在内部网的所有节点上。上。 防火墙把内部网与防火墙把内部网与Internet隔离,仅让安全、核准了的信息隔离,仅让安全、核准了的信息进入,而阻止对内部网构成威胁的
6、数据,它防止黑客更改、进入,而阻止对内部网构成威胁的数据,它防止黑客更改、拷贝、毁坏重要信息;同时又不会妨碍人们对拷贝、毁坏重要信息;同时又不会妨碍人们对Internet的访的访问。问。根据安全策略,从根据安全策略,从Intranet到到Internet 的流量以及响应的的流量以及响应的返回流量允许通过防火墙。返回流量允许通过防火墙。 根据安全策略,从Internet到Intranet的流量受到阻塞 根据安全策略,从Internet来的特殊类型的流量可能被允许到达Intranet图图7.2防火墙的工作原理防火墙的工作原理服务器服务器 内部网内部网 Internet防火墙的基本功能防火墙的基本功
7、能 作为一个中心作为一个中心“遏制点遏制点”,将内部网的安,将内部网的安全管理集中起来,所有的通信都经过防火全管理集中起来,所有的通信都经过防火墙;墙; 只放行经过授权的网络流量,屏蔽非法请只放行经过授权的网络流量,屏蔽非法请求,防止越权访问求,防止越权访问,并产生安全报警;并产生安全报警; 能经受得起对其自身的攻击。能经受得起对其自身的攻击。防火墙能为管理人员提供对下列问题的答防火墙能为管理人员提供对下列问题的答案:案: 什么人在使用网络什么人在使用网络? 他们什么时间,使用了什么网络资源他们什么时间,使用了什么网络资源? 他们他们连接连接了什么站点了什么站点? 他们在网上做什么他们在网上做
8、什么? 谁要上网谁要上网,但是没有成功但是没有成功?防火墙的基本功能防火墙的基本功能(续续)防火墙工作在防火墙工作在OSI参考模型上参考模型上OSIOSI参考模型参考模型防火墙技术防火墙技术应用层应用层应用级网关应用级网关表示层表示层 加密加密会话层会话层电路级网关电路级网关传输层传输层包过滤包过滤网络层网络层NAT数据链路层数据链路层无无 物理层物理层 无无防火墙的发展史防火墙的发展史 第一代防火墙技术由附加在边界路由器上的第一代防火墙技术由附加在边界路由器上的访问控制访问控制表表ACL (Access Control Table)构成,采用了包过滤构成,采用了包过滤技术。技术。 第二代代理
9、防火墙即电路层网关和应用层网关。第二代代理防火墙即电路层网关和应用层网关。 1997年,以色列的年,以色列的Check Point公司开发出了第一个公司开发出了第一个基于动态包过滤技术的防火墙产品。基于动态包过滤技术的防火墙产品。 1998年,美国的网络联盟公司年,美国的网络联盟公司NAI (Network Associates Inc.)又推出了一种自适应代理技术。又推出了一种自适应代理技术。防火墙的两大分类防火墙的两大分类 尽管防火墙的发展经过了将近尽管防火墙的发展经过了将近20年,但年,但是按照防火墙对内外来往数据的处理方法,大是按照防火墙对内外来往数据的处理方法,大致可以将防火墙分为两
10、大体系:包过滤防火墙致可以将防火墙分为两大体系:包过滤防火墙和代理防火墙。前者以和代理防火墙。前者以Checkpoint防火墙和防火墙和Cisco公司的公司的PIX防火墙为代表,后者以防火墙为代表,后者以NAI公司的公司的Gauntlet防火墙为代表,表防火墙为代表,表7.2为防火为防火墙两大体系性能的比较。墙两大体系性能的比较。防火墙两大体系性能的比较防火墙两大体系性能的比较包过滤防火墙包过滤防火墙代理防火墙代理防火墙优点优点工作在工作在IP和和TCP层,层,所以处理包的速度快,所以处理包的速度快,效率高;效率高;提供透明的服务,用提供透明的服务,用户不用改变客户端程户不用改变客户端程序序不
11、允许数据包直接通过防不允许数据包直接通过防火墙,避免了数据驱动式火墙,避免了数据驱动式攻击的发生,安全性好攻击的发生,安全性好;能生成各项记录。能灵活、能生成各项记录。能灵活、完全地控制进出的流量和完全地控制进出的流量和内容;内容;能过滤数据内容。能过滤数据内容。防火墙两大体系性能的比较防火墙两大体系性能的比较(续续)包过滤防火墙包过滤防火墙代理防火墙代理防火墙缺点缺点定义复杂,容易出现因配置定义复杂,容易出现因配置不当带来的问题;不当带来的问题;允许数据包直接通过,容易允许数据包直接通过,容易造成数据驱动式攻击的潜在造成数据驱动式攻击的潜在危险危险;不能彻底防止地址欺骗不能彻底防止地址欺骗;
12、包中只有来自哪台机器的信包中只有来自哪台机器的信息不包含来自哪个用户的信息不包含来自哪个用户的信息;不支持用户认证;息;不支持用户认证;不提供日志功能。不提供日志功能。对于每项服务代理可能对于每项服务代理可能要求不同的服务器;要求不同的服务器;速度较慢;速度较慢;对用户不透明,用户需对用户不透明,用户需要改变客户端程序;要改变客户端程序;不能保证免受所有协议不能保证免受所有协议弱点的限制;弱点的限制;不能改进底层协议的安不能改进底层协议的安全性全性。防火墙的组成防火墙的组成 防火墙既可以是一台路由器、一台防火墙既可以是一台路由器、一台PC或或者一台主机,也可以是由多台主机构成的体系。者一台主机
13、,也可以是由多台主机构成的体系。应该将防火墙放置在网络的边界。网络边界是应该将防火墙放置在网络的边界。网络边界是一个本地网络的整个边界,本地网络通过输入一个本地网络的整个边界,本地网络通过输入点和输出点与其它网络相连,这些连接点都应点和输出点与其它网络相连,这些连接点都应该装有防火墙,然而在网络边界内部也应该部该装有防火墙,然而在网络边界内部也应该部署防火墙,以便为特定主机提供额外的、特殊署防火墙,以便为特定主机提供额外的、特殊的保护。的保护。 Internet 内部网内部网分支机构或合作分支机构或合作伙伴的网络伙伴的网络VPN连接连接图图 7.3防火墙放置的位置防火墙放置的位置防火墙的分类防
14、火墙的分类防火墙有很多种分类方法:防火墙有很多种分类方法: 根据采用的技术不同,可分为包过滤防火墙和根据采用的技术不同,可分为包过滤防火墙和 代理服务防火墙;代理服务防火墙; 按照应用对象的不同,可分为企业级防火墙与按照应用对象的不同,可分为企业级防火墙与 个人防火墙;个人防火墙; 依据实现的方法不同,又可分为软件防火墙、依据实现的方法不同,又可分为软件防火墙、 硬件防火墙和专用防火墙。硬件防火墙和专用防火墙。软件防火墙软件防火墙 防火墙运行于特定的计算机上,一般来说防火墙运行于特定的计算机上,一般来说这台计算机就是整个网络的网关。软件防火墙这台计算机就是整个网络的网关。软件防火墙像其它的软件
15、产品一样需要先在计算机上安装像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。使用这类防火墙,需并做好配置才可以使用。使用这类防火墙,需要网络管理人员对所工作的操作系统平台比较要网络管理人员对所工作的操作系统平台比较熟悉。熟悉。硬件防火墙硬件防火墙 由由PC硬件、通用操作系统和防火墙软件组成。硬件、通用操作系统和防火墙软件组成。在定制的在定制的PC硬件上,采用通用硬件上,采用通用PC系统、系统、Flash盘、盘、网卡组成的硬件平台上运行网卡组成的硬件平台上运行Linux、FreeBSD、Solaris等经过最小化安全处理后的操作系统及集成等经过最小化安全处理后的操作系统及集成的防火
16、墙软件。特点是开发成本低、性能实用、稳的防火墙软件。特点是开发成本低、性能实用、稳定性和扩展性较好,价格也低廉。由于此类防火墙定性和扩展性较好,价格也低廉。由于此类防火墙依赖操作系统内核,因此会受到操作系统本身安全依赖操作系统内核,因此会受到操作系统本身安全性影响,处理速度也慢。性影响,处理速度也慢。专用防火墙专用防火墙 采用特别优化设计的硬件体系结构,使用专采用特别优化设计的硬件体系结构,使用专用的操作系统,此类防火墙在稳定性和传输性能用的操作系统,此类防火墙在稳定性和传输性能方面有着得天独厚的优势,速度快,处理能力强,方面有着得天独厚的优势,速度快,处理能力强,性能高;由于使用专用操作系统
17、,容易配置和管性能高;由于使用专用操作系统,容易配置和管理,本身漏洞也比较少,但是扩展能力有限,价理,本身漏洞也比较少,但是扩展能力有限,价格也较高。由于专用防火墙系列化程度好,用户格也较高。由于专用防火墙系列化程度好,用户可根据应用环境选择合适的产品。可根据应用环境选择合适的产品。7.1.2 包过滤防火墙包过滤防火墙 包过滤包过滤(Packet Filter)是所有防火墙中最核心的功能,是所有防火墙中最核心的功能,进行包过滤的标准是根据安全策略制定的。通常情况下靠进行包过滤的标准是根据安全策略制定的。通常情况下靠网络管理员在防火墙设备的网络管理员在防火墙设备的ACL中设定。与代理服务器相中设
18、定。与代理服务器相比,它的优势是不占用网络带宽来传输信息。比,它的优势是不占用网络带宽来传输信息。 包过滤规则一般存放于路由器的包过滤规则一般存放于路由器的ACL中。在中。在ACL中定义了中定义了各种规则来表明是否同意或拒绝数据包的通过。各种规则来表明是否同意或拒绝数据包的通过。 如果没有一条规则能匹配,防火墙就会使用默认规则,一如果没有一条规则能匹配,防火墙就会使用默认规则,一般情况下,默认规则要求防火墙丢弃该包。包过滤的核心般情况下,默认规则要求防火墙丢弃该包。包过滤的核心是安全策略即包过滤算法的设计。是安全策略即包过滤算法的设计。帧头(例如HDLC)数据包(IP头部)段(例如TCP头部)
19、数据帧尾目的端口号源端口号目的IP地址源IP地址封装协议用用ACL规则规则测试数据包测试数据包拒绝,丢弃允许通过图图7.7ACL对数据包的过滤对数据包的过滤NoYesNo数据包到达数据包到达防火墙接口防火墙接口与第一条与第一条匹配吗?匹配吗?接口上有接口上有ACL吗?吗?Yes列表中的列表中的下一条目下一条目还有更多的还有更多的条目条目吗?吗?Yes应用条件应用条件拒绝拒绝允许允许转发给转发给接口接口NoICMP消息消息图图7.5ACL处理入数据包的过程处理入数据包的过程无状态包过滤防火墙无状态包过滤防火墙 无状态包过滤无状态包过滤也叫静态包过滤或者无检查也叫静态包过滤或者无检查包过滤。防火墙
20、在检查数据包报头时,不关心包过滤。防火墙在检查数据包报头时,不关心服务器和客户机之间的连接状态,只是根据定服务器和客户机之间的连接状态,只是根据定义好的过滤规则集来检查所有进出防火墙的数义好的过滤规则集来检查所有进出防火墙的数据包报头信息来允许或者拒绝数据包。据包报头信息来允许或者拒绝数据包。网络层网络层链路层链路层物理层物理层传输层传输层 Internet内部网内部网图图7.6无状态包过滤防火墙的执行无状态包过滤防火墙的执行无状态包过滤防火墙的优缺点无状态包过滤防火墙的优缺点 无状态包过滤防火墙最大的好处是速度快、效率高,对流无状态包过滤防火墙最大的好处是速度快、效率高,对流量的管理较出色;
21、由于所有的通信必须通过防火墙,所以量的管理较出色;由于所有的通信必须通过防火墙,所以绕过是困难的;同时对用户和应用是透明的。绕过是困难的;同时对用户和应用是透明的。 无状态包过滤防火墙的缺点也很明显:它允许外部网络直无状态包过滤防火墙的缺点也很明显:它允许外部网络直接连接到内部网络主机;只要数据包符合接连接到内部网络主机;只要数据包符合ACL规则都可以规则都可以通过,因此它不能区分包的通过,因此它不能区分包的“好好”与与“坏坏” ;它不能识;它不能识别别IP欺诈欺诈。它也不支持用户身份认证,不提供日志功能;。它也不支持用户身份认证,不提供日志功能;虽然可以过滤端口,但是虽然可以过滤端口,但是不
22、能过滤服务不能过滤服务。IP欺骗欺骗 当外部主机伪装内部主机的当外部主机伪装内部主机的IP地址时,防火墙能够阻地址时,防火墙能够阻止这种类型的止这种类型的IP欺骗。欺骗。 但是当外部主机伪装成可信任的外部主机的但是当外部主机伪装成可信任的外部主机的IP地址时,地址时,防火墙却不能阻止它们。防火墙却不能阻止它们。 由于无状态包过滤防火墙不能为挂起的通信维持一个记由于无状态包过滤防火墙不能为挂起的通信维持一个记录,所以它就必须根据数据包的格式来判断该数据包是录,所以它就必须根据数据包的格式来判断该数据包是否属于先前所允许的对话。这就使其有受到否属于先前所允许的对话。这就使其有受到IP欺诈的欺诈的可
23、能性,并且无法识别可能性,并且无法识别UDP数据包和数据包和ICMP包的状态。包的状态。无法过滤服务无法过滤服务 对于一些比较新的多媒体应用在会话开始之前对于一些比较新的多媒体应用在会话开始之前端口号是未知的。端口号是未知的。 例如,例如,Web服务器默认端口为服务器默认端口为80,而计算机上,而计算机上又安装了又安装了RealPlayer,那么它会搜寻可以允许,那么它会搜寻可以允许连接到连接到RealAudio服务器的端口,而不管这个服务器的端口,而不管这个端口是否被其他协议所使用,端口是否被其他协议所使用,RealPlayer正好正好是使用是使用80端口而搜寻的。就这样无意中,端口而搜寻的
24、。就这样无意中,RealPlayer就利用了就利用了Web服务器的端口。服务器的端口。有状态包过滤防火墙有状态包过滤防火墙 有状态包过滤有状态包过滤也叫也叫状态包检查状态包检查SPI(State- fulPacket Inspection)或者或者动态包过滤动态包过滤(Dynamic packet filter),后来发展成为包状,后来发展成为包状态监测技术,它是包过滤器和应用级网关的一态监测技术,它是包过滤器和应用级网关的一种折衷方案。具有包过滤机制的速度和灵活,种折衷方案。具有包过滤机制的速度和灵活,也有应用级网关的应用层安全的优点。也有应用级网关的应用层安全的优点。SPI防火墙防火墙 采
25、用采用SPI技术的防火墙除了有一个过滤规则集外,技术的防火墙除了有一个过滤规则集外,还要对通过它的每一个连接都进行跟踪,汲取相关的还要对通过它的每一个连接都进行跟踪,汲取相关的通信和应用程序的状态信息,形成一个当前连接的状通信和应用程序的状态信息,形成一个当前连接的状态列表。列表中至少包括源和目的态列表。列表中至少包括源和目的IP地址、源和目的地址、源和目的端口号、端口号、TCP序列号信息,以及与那个特定会话相关序列号信息,以及与那个特定会话相关的每条的每条TCP/UDP连接的附加标记。当一个会话经过防连接的附加标记。当一个会话经过防火墙时,火墙时,SPI防火墙把数据包与状态表、规则集进行对防
26、火墙把数据包与状态表、规则集进行对比,只允许与状态表和规则集匹配的项通过。比,只允许与状态表和规则集匹配的项通过。SPI防火墙防火墙(续续) 在维护了一张状态表后,防火墙就可以利用更多的信息来在维护了一张状态表后,防火墙就可以利用更多的信息来决定是否允许数据包通过,大大降低了把数据包伪装成一决定是否允许数据包通过,大大降低了把数据包伪装成一个正在使用的连接的一部分的可能性。个正在使用的连接的一部分的可能性。 SPI防火墙能够对特定类型数据包的数据进行检测。如运防火墙能够对特定类型数据包的数据进行检测。如运行行FTP协议的服务器和客户端程序有许多漏洞,其中一部协议的服务器和客户端程序有许多漏洞,
27、其中一部分漏洞来源于不正确的请求或者不正确的命令。分漏洞来源于不正确的请求或者不正确的命令。 SPI防火墙不行使代理功能,即不在源主机和目的之间建防火墙不行使代理功能,即不在源主机和目的之间建立中转连接;也不提供与应用层网关相同程度的保护,而立中转连接;也不提供与应用层网关相同程度的保护,而是仅在数据包的数据部分查找特定的字符串。是仅在数据包的数据部分查找特定的字符串。规则集是否规则集是否允许数据包允许数据包的内容通过的内容通过 ?数据包到达数据包到达防火墙接口防火墙接口YesNo丢弃数据包丢弃数据包更新对话表更新对话表作日志记录作日志记录给源主机发送给源主机发送ICMP消息消息NoNo数据包
28、是否数据包是否属于一个已属于一个已存在的连接存在的连接?建立连接项建立连接项数 据 包 的 内数 据 包 的 内容 是 否 符 合容 是 否 符 合规则集?规则集?Yes将数据包转发给接口将数据包转发给接口更新对话表更新对话表作日志记录作日志记录Yes图图 7.7SPI防火墙的处理过程防火墙的处理过程举举 例例例例1主机主机A试图访问试图访问,它必须通过路由器,而该路,它必须通过路由器,而该路 由器被配置成由器被配置成SPI防火墙,下面是主机防火墙,下面是主机A发出连接请求的工作过发出连接请求的工作过 程,见图程,见图7.8。1)A发出连接请求到发出连接请求到 ;2)请求到达路由器,路由器检查
29、状态表;)请求到达路由器,路由器检查状态表;3)如果有连接存在,且状态表正常,允许数据包通过;)如果有连接存在,且状态表正常,允许数据包通过;7)如果无连接存在,创建状态项)如果无连接存在,创建状态项,将请求与防火墙规则集进行比较;将请求与防火墙规则集进行比较;5)如果规则允许内部主机可以访问)如果规则允许内部主机可以访问TCP/80。则允许数据包通过;。则允许数据包通过;6)数据包被)数据包被Web服务器接收;服务器接收;7)SYN/ACK信息回到路由器,路由器检查状态表;信息回到路由器,路由器检查状态表;8)状态表正确,允许数据包通过,数据包到达最先发出请求的计算)状态表正确,允许数据包通
30、过,数据包到达最先发出请求的计算 机;机;9)如果规则不允许内部主机访问)如果规则不允许内部主机访问TCP/80。则禁止数据包通过,路。则禁止数据包通过,路 由器发送由器发送ICMP消息。消息。以以太太网网步骤步骤 (1)步骤步骤 (8)步骤(步骤(3)步骤(步骤(2)步骤(步骤(7)步骤(步骤(6)步骤(步骤(5)步骤(步骤(7)步骤(步骤(9)Internet图图7.8主机主机A发出连接请求通过发出连接请求通过SPI防火墙防火墙SPI防火墙的优缺点防火墙的优缺点 优点:具有识别带有欺骗性源优点:具有识别带有欺骗性源IP地址包的能力;检查地址包的能力;检查的层面能够从网络层至应用层;具有详细
31、记录通过的的层面能够从网络层至应用层;具有详细记录通过的每个包的信息的能力,其中包括应用程序对包的请求,每个包的信息的能力,其中包括应用程序对包的请求,连接的持续时间,内部和外部系统所做的连接请求等。连接的持续时间,内部和外部系统所做的连接请求等。 缺点:所有这些记录、测试和分析工作可能会造成网缺点:所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞,特别是在同时有许多连接激活的络连接的某种迟滞,特别是在同时有许多连接激活的时候,或者是有大量的过滤网络通信的规则存在时。时候,或者是有大量的过滤网络通信的规则存在时。但是,硬件速度越快,这个问题就越不易察觉。但是,硬件速度越快,这个问题就越
32、不易察觉。7.1.3 代理服务防火墙代理服务防火墙 最初,代理服务器将常用的页面存储在缓最初,代理服务器将常用的页面存储在缓冲区中,以便提高网络通信的速度。后来代理冲区中,以便提高网络通信的速度。后来代理服务器逐渐发展为能够提供强大安全功能的一服务器逐渐发展为能够提供强大安全功能的一种技术。代理能在应用层实现防火墙功能,代种技术。代理能在应用层实现防火墙功能,代理技术针对每一个特定应用都有一个程序,通理技术针对每一个特定应用都有一个程序,通过代理可以实现比包过滤更严格的安全策略。过代理可以实现比包过滤更严格的安全策略。代理服务器原理代理服务器原理 代理服务器(代理服务器(Proxy Serve
33、r)防火墙是基于软件防火墙是基于软件的。运行在内部用户和外部主机之间,并且在它们之的。运行在内部用户和外部主机之间,并且在它们之间转发数据,它像真的墙一样挡在内部网和间转发数据,它像真的墙一样挡在内部网和Internet之间。从外面来的访问者只能看到代理服务器但看不之间。从外面来的访问者只能看到代理服务器但看不见任何内部资源;而内部客户根本感觉不到代理服务见任何内部资源;而内部客户根本感觉不到代理服务器的存在,他们可以自由访问外部站点。代理可以提器的存在,他们可以自由访问外部站点。代理可以提供极好的访问控制、登录能力以及地址转换功能,对供极好的访问控制、登录能力以及地址转换功能,对进出防火墙的
34、信息进行记录,便于管理员监视和管理进出防火墙的信息进行记录,便于管理员监视和管理系统。系统。举举 例例例例2主机主机A试图访问试图访问 ,它通过代理服务器到达网,它通过代理服务器到达网关。下面是主机关。下面是主机A发出连接请求的工作过程,如图发出连接请求的工作过程,如图7.9所示。所示。1)主机发出访问)主机发出访问Web站点的请求;站点的请求;2)请求到达代理服务器,代理服务器检查防火墙规则集,检查数)请求到达代理服务器,代理服务器检查防火墙规则集,检查数据包报头信息和数据;据包报头信息和数据;3)如果不允许该请求发出,代理服务器拒绝请求,发送)如果不允许该请求发出,代理服务器拒绝请求,发送
35、ICMP消消息给源主机;息给源主机;7)如果允许该请求发出,代理服务器修改源)如果允许该请求发出,代理服务器修改源IP地址,创建数据地址,创建数据包;包;5)代理服务器将数据包发给目的计算机,数据包显示源)代理服务器将数据包发给目的计算机,数据包显示源IP地址地址来自代理服务器;来自代理服务器;举举 例例(续续)6)返回的数据包又被发送到代理服务器。服务器再次根据防火墙)返回的数据包又被发送到代理服务器。服务器再次根据防火墙规则集检查数据包报头信息和数据;规则集检查数据包报头信息和数据;7)如果不允许该数据包进入内部网,代理服务器丢弃该数据包,)如果不允许该数据包进入内部网,代理服务器丢弃该数
36、据包,发送发送ICMP消息;消息;8)如果允许该数据包进入内部网,代理服务器将它发给最先发出)如果允许该数据包进入内部网,代理服务器将它发给最先发出请求的计算机;请求的计算机;9)数据包到达最先发出请求的计算机,此时数据包显示来自外部)数据包到达最先发出请求的计算机,此时数据包显示来自外部主机而不是代理服务器。主机而不是代理服务器。图图7.9主机主机A发出连接请求通过发出连接请求通过代理服务器防火墙代理服务器防火墙步骤(步骤(3)步骤(步骤(1)步骤(步骤(9)步骤(步骤(2)步骤(步骤(7)步骤(步骤(5)步骤(步骤(8)步骤(步骤(6)步骤(步骤(7)代代理理服服务务器器 Internet
37、代理服务器和包过滤的比较代理服务器和包过滤的比较 代理服务器对整个代理服务器对整个IP包的数据进行扫描,因此它比包过滤器提供包的数据进行扫描,因此它比包过滤器提供更详细的日志文件。更详细的日志文件。 如果数据包和包过滤规则匹配,就允许数据包通过防火墙,而代如果数据包和包过滤规则匹配,就允许数据包通过防火墙,而代理服务器要用新的源理服务器要用新的源IP地址重建数据包,这样对外隐藏了内部用地址重建数据包,这样对外隐藏了内部用户。户。 使用代理服务器,意味着在使用代理服务器,意味着在Internet上必须有一个服务器,且内上必须有一个服务器,且内部主机不能直接与外部主机相连。带有恶意攻击的外部数据包
38、也部主机不能直接与外部主机相连。带有恶意攻击的外部数据包也就不能到达内部主机。就不能到达内部主机。 对网络通信而言,如果包过滤器由于某种原因不能工作,可能出对网络通信而言,如果包过滤器由于某种原因不能工作,可能出现的结果是所有的数据包都能到达内部网;而如果代理服务器由现的结果是所有的数据包都能到达内部网;而如果代理服务器由于某种原因不能工作,整个网络通信将被终止。于某种原因不能工作,整个网络通信将被终止。电路级网关电路级网关 电路级网关不允许电路级网关不允许TCP端到端的连接,而是要建立端到端的连接,而是要建立两个连接。其中一个连接是网关到内部主机,另一个是两个连接。其中一个连接是网关到内部主
39、机,另一个是网关到外部主机。一旦两个连接被建立,网关只简单地网关到外部主机。一旦两个连接被建立,网关只简单地进行数据中转,即它只在内部连接和外部连接之间来回进行数据中转,即它只在内部连接和外部连接之间来回拷贝字节,并将源拷贝字节,并将源IP地址转换为自己的地址,使得外界地址转换为自己的地址,使得外界认为是网关和目的地址在进行连接,电路级网关防火墙认为是网关和目的地址在进行连接,电路级网关防火墙如图如图7.10所示。由于电路级网关在会话建立连接后不对所示。由于电路级网关在会话建立连接后不对所传输的内容作进一步的分析,因此安全性稍低。所传输的内容作进一步的分析,因此安全性稍低。图图7.10 电路级
40、网关电路级网关OutOutOutInInIn Internet外连接外连接内连接内连接电路级网关防火墙电路级网关防火墙举举 例例例例3主机主机A试图访问试图访问 ,它要通过一个电路级网关。,它要通过一个电路级网关。下面是主机下面是主机A发出连接请求的工作过程。发出连接请求的工作过程。1)主机发出访问)主机发出访问Web站点的请求;站点的请求;2)该主机上的客户端应用程序将请求发送到电路级网关的内部接口;)该主机上的客户端应用程序将请求发送到电路级网关的内部接口;3)如果需要身份验证,网关会提示用户进行身份验证;)如果需要身份验证,网关会提示用户进行身份验证;7)如果用户的身份验证通过,网关将目
41、的)如果用户的身份验证通过,网关将目的URL与防火墙规则集进行与防火墙规则集进行 比较,该规则集包括允许或者禁止的比较,该规则集包括允许或者禁止的URL列表;列表;5)如果规则集不允许进行连接,网关将拒绝访问站点的请求,并发)如果规则集不允许进行连接,网关将拒绝访问站点的请求,并发 送送ICMP消息给源主机;消息给源主机;6)如果规则集允许进行连接,网关向目的)如果规则集允许进行连接,网关向目的URL发出发出DNS请求,接着请求,接着 将自己的将自己的IP地址作为源地址作为源IP地址,与目的地址,与目的IP地址建立一个连接;地址建立一个连接;7)网关接收到)网关接收到Web站点的应答后,讲转发
42、该应答给最先发出请求的站点的应答后,讲转发该应答给最先发出请求的 计算机。计算机。电路级网关的优缺点电路级网关的优缺点 电路级网关的优点是提供电路级网关的优点是提供网络地址转换网络地址转换NAT(Network Address Translator),在使用,在使用内部网络地址机制时为网络管理员实现安全提内部网络地址机制时为网络管理员实现安全提供了很大的灵活性;基于和包过滤防火墙一样供了很大的灵活性;基于和包过滤防火墙一样的规则,具有包过滤防火墙提供的所有优点。的规则,具有包过滤防火墙提供的所有优点。 电路级网关的缺点是不能很好地区分好包与坏电路级网关的缺点是不能很好地区分好包与坏包、易受包、
43、易受IP欺骗类的攻击;需要修改应用程序欺骗类的攻击;需要修改应用程序和执行程序;要求终端用户通过身份认证。和执行程序;要求终端用户通过身份认证。应用级网关应用级网关 代理服务、应用级网关、应用程序代理这些术语指代理服务、应用级网关、应用程序代理这些术语指的都是同一种保护方式。的都是同一种保护方式。 应用级网关主要工作在应用层。它检查进出的数据应用级网关主要工作在应用层。它检查进出的数据包,如图包,如图7.11所示,通过自身(网关)复制传递所示,通过自身(网关)复制传递数据,防止在内部网主机与数据,防止在内部网主机与Internet主机间直接主机间直接建立联系。建立联系。 它能够理解应用层上的协
44、议,能够作复杂一些的访它能够理解应用层上的协议,能够作复杂一些的访问控制,并做精细的注册和审核。问控制,并做精细的注册和审核。基本工作过程基本工作过程 当客户机需要使用服务器上的数据时,首先当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到内部网。也就很难伤害到
45、内部网。基本工作过程基本工作过程(续续) 在应用级网关中,每一种协议都需要相应的代理在应用级网关中,每一种协议都需要相应的代理软件,常用的代理服务软件有如软件,常用的代理服务软件有如HTTP、SMTP、FTP、Telnet等,但是对于新开发的应用,尚没有相应的代等,但是对于新开发的应用,尚没有相应的代理服务。有些应用级网关还存储理服务。有些应用级网关还存储Internet上的那些被上的那些被频繁使用的页面。当用户请求的页面在服务器缓存中存频繁使用的页面。当用户请求的页面在服务器缓存中存在时,服务器将检查所缓存的页面是否是最新的版本在时,服务器将检查所缓存的页面是否是最新的版本(即该页面是否已更
46、新),如果是最新版本,则直接提(即该页面是否已更新),如果是最新版本,则直接提交给用户,否则,到真正的服务器上请求最新的页面,交给用户,否则,到真正的服务器上请求最新的页面,然后再转发给用户。然后再转发给用户。图图7.11应用应用级级网关网关HTTPFTPTelnetSMTP Internet外连接外连接内连接内连接应用级网关防火墙应用级网关防火墙举举 例例 例例7 一个一个Telnet服务器允许远程管理员对其执行某些服务器允许远程管理员对其执行某些特定的操作。该特定的操作。该Telnet网关对网关对Internet可见,但是隐可见,但是隐藏了其真实主机名,以便不受信任的网络不能识别它藏了其真
47、实主机名,以便不受信任的网络不能识别它的真实身份,连接它的过程如图的真实身份,连接它的过程如图7.12。 应用级网关一般由双宿主主机或者多宿主主机(在主应用级网关一般由双宿主主机或者多宿主主机(在主机至少插有两块网卡)担任。在本例中,应用级网关机至少插有两块网卡)担任。在本例中,应用级网关有两块网卡,一块用于连接受保护的内部网,一块连有两块网卡,一块用于连接受保护的内部网,一块连接接Internet.用户通过用户通过23端口端口Telnet到应用级网关到应用级网关网关网关展示给用户一个系统菜单,允许用户连接到目的主机展示给用户一个系统菜单,允许用户连接到目的主机网关检测源网关检测源IP是否是否
48、在允许的源地址在允许的源地址列表列表YesYes用户用户身份验证是否通过身份验证是否通过用户选择要连接的系统用户选择要连接的系统网关网关初始化一个新的,从应用级网关到目的主机的初始化一个新的,从应用级网关到目的主机的TCPTCP连接连接如果有要求,系统会提示用户,再进行另外的身份验证如果有要求,系统会提示用户,再进行另外的身份验证拒绝拒绝访问访问NoNo图图7.12 远程连接应用级网关远程连接应用级网关应用级网关的优缺点应用级网关的优缺点 应用级网关的优点是能够有效地实现防火墙内外计算机系统应用级网关的优点是能够有效地实现防火墙内外计算机系统的隔离,安全性好,还可用于实施较强的数据流监控、过滤
49、、的隔离,安全性好,还可用于实施较强的数据流监控、过滤、记录和报告等功能。记录和报告等功能。 缺点是实现麻烦,对于那些为了使用代理服务器而修改自己缺点是实现麻烦,对于那些为了使用代理服务器而修改自己应用的终端用户来说,这种选择缺乏透明度。另外由于代理应用的终端用户来说,这种选择缺乏透明度。另外由于代理服务器必须采用操作系统服务来执行代理过程,所以它通常服务器必须采用操作系统服务来执行代理过程,所以它通常是建立在操作系统之上的,由此带来的问题是增加了开销、是建立在操作系统之上的,由此带来的问题是增加了开销、降低了性能,而且由于通用操作系统是众所周知的,所以该降低了性能,而且由于通用操作系统是众所
50、周知的,所以该操作系统容易被攻击的漏洞也是公开的。操作系统容易被攻击的漏洞也是公开的。自适应代理防火墙自适应代理防火墙 虽然应用代理防火墙具有很好的安全性,但速度不尽如人虽然应用代理防火墙具有很好的安全性,但速度不尽如人意。意。自适应代理技术(自适应代理技术(Adaptive proxy)结合了代理服务器结合了代理服务器防火墙的安全性和包过滤防火墙的高速度等优点,组成这种类防火墙的安全性和包过滤防火墙的高速度等优点,组成这种类型防火墙的基本要素有两个:自适应代理服务器(型防火墙的基本要素有两个:自适应代理服务器(Adaptive Proxy Server)与动态包过滤器。在自适应代理防火墙中,
