1、第二讲:防火墙关第二讲:防火墙关键技术键技术计算机科学与技术学院计算机科学与技术学院主讲人:吕宏武主讲人:吕宏武网络安全防护技术讲义网络安全防护技术讲义MAIN POINTSMAIN POINTSp 包过滤技术包过滤技术p 状态包过滤技术状态包过滤技术p NAT网络地址转换技术网络地址转换技术p 代理技术代理技术MAIN POINTSMAIN POINTSp 学习的目标学习的目标l理解理解包过滤技术包过滤技术l掌握掌握NAT转换的基本原理转换的基本原理l了解防火墙代理技术了解防火墙代理技术1 1、包过滤技术、包过滤技术p 包过滤原理包过滤原理l分组交换网络,包含信息头部和数据信息两部分分组交换
2、网络,包含信息头部和数据信息两部分l工作在网络层和传输层工作在网络层和传输层l根据首部信息决定处理方式根据首部信息决定处理方式l理论上可以对报头的任意数据域进行过滤理论上可以对报头的任意数据域进行过滤1 1、包过滤技术、包过滤技术p IPv4的头部的头部1 1、包过滤技术、包过滤技术p TCP的头部的头部1 1、包过滤技术、包过滤技术p 包过滤的规则表包过滤的规则表l数据包过滤访问控制列表数据包过滤访问控制列表ACLl只有满足规则的数据包才被转发只有满足规则的数据包才被转发1 1、包过滤技术、包过滤技术p 包过滤的规则表包过滤的规则表l还可以包含还可以包含TCP包的序列号、包的序列号、IP校验
3、和、网卡名称等校验和、网卡名称等1 1、包过滤技术、包过滤技术p 通常被阻止的数据包通常被阻止的数据包l部分内网数据包部分内网数据包1 1、包过滤技术、包过滤技术p 包过滤的优缺点包过滤的优缺点l优点是简单优点是简单l缺点是:缺点是:过滤依据的信息有限过滤依据的信息有限缺少审计和报警机制缺少审计和报警机制不能对用户身份验证不能对用户身份验证规则数目受限,规则表太大时,性能受影响规则数目受限,规则表太大时,性能受影响对安全管理人员的要求很高对安全管理人员的要求很高由于缺少上下文关联信息,难以处理动态端口连由于缺少上下文关联信息,难以处理动态端口连接接1 1、包过滤技术、包过滤技术p 包过滤的优缺
4、点包过滤的优缺点lEX1l仅开通内部主机对外部仅开通内部主机对外部Web服务的访问服务的访问?1 1、包过滤技术、包过滤技术p 包过滤的优缺点包过滤的优缺点lEX2l包过滤防火墙对于包过滤防火墙对于TCP ACK隐蔽扫描的处理分析隐蔽扫描的处理分析?1 1、包过滤技术、包过滤技术p 包过滤的优缺点包过滤的优缺点lEX2l包过滤防火墙对于包过滤防火墙对于TCP ACK隐蔽扫描的处理分析隐蔽扫描的处理分析?2 2、状态包过滤技术、状态包过滤技术p 状态包过滤技术状态包过滤技术l基于连接的状态检测机制,将属于同一连接的所有基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流来看待包作为
5、一个整体的数据流来看待l过滤规则表过滤规则表+状态表状态表2 2、状态包过滤技术、状态包过滤技术p状态包过滤技术状态包过滤技术l基于连接的状态检测机制,将属于同一连接的所有基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流来看待包作为一个整体的数据流来看待l过滤规则表过滤规则表+状态表状态表2 2、状态包过滤技术、状态包过滤技术p状态包过滤技术状态包过滤技术l重新分析重新分析EX1l OUT | 主机主机A地址:地址:* | 服务器地址:服务器地址:80 | TCP协议协议 | 接收并加入状态表接收并加入状态表2 2、状态包过滤技术、状态包过滤技术p状态包过滤技术状态包过滤技术
6、l重新分析重新分析EX22 2、状态包过滤技术、状态包过滤技术p状态包过滤技术状态包过滤技术l也可以保护更复杂的情况,如也可以保护更复杂的情况,如UDPlFTP需要两个连接,控制端口一般为需要两个连接,控制端口一般为21,而数据端,而数据端口一般为口一般为202 2、状态包过滤技术、状态包过滤技术p状态包过滤技术的优缺点状态包过滤技术的优缺点l访问控制列表管理与维护困难:规模、顺序访问控制列表管理与维护困难:规模、顺序l难以详细了解主机之间的会话关系难以详细了解主机之间的会话关系l底层难以实现对应用层服务的过滤底层难以实现对应用层服务的过滤l查询状态表查询状态表2 2、NATNAT技术技术pN
7、ATl最初只是为了将私有最初只是为了将私有IP映射到公网映射到公网lIP地址短缺地址短缺l内部地址隐藏内部地址隐藏l负载均衡负载均衡l网络地址交叠网络地址交叠2 2、NATNAT技术技术p 静态静态NATl私有私有IP:公网:公网IP 1 to 152 2、NATNAT技术技术p 动态动态NATl私有私有IP:公网:公网IP m to n2 2、NATNAT技术技术p 动态动态NATlPAT IP地址地址+端口号:网络套接字映射端口号:网络套接字映射l节省节省IP地址地址l隐藏内部拓扑结构隐藏内部拓扑结构2 2、NATNAT技术技术pNAT实现负载均衡实现负载均衡l与与NAT映射表中相匹配的目
8、的地址会被内网集中的映射表中相匹配的目的地址会被内网集中的一个地址所替代一个地址所替代l以连接为单位轮询进行以连接为单位轮询进行l由外部发起到内部新连接时才执行由外部发起到内部新连接时才执行2 2、NATNAT技术技术pNAT实现负载均衡实现负载均衡2 2、NATNAT技术技术pNAT处理网络地址交叠处理网络地址交叠l两个公司合并两个公司合并l方案移植方案移植2 2、NATNAT技术技术pNAT技术缺点技术缺点l某些应用层协议无法使用某些应用层协议无法使用NAT:与端口关联:与端口关联l安全问题:静态安全问题:静态/数据包中的相关地址不能替换数据包中的相关地址不能替换l对内部主机的引诱和木马攻
9、击无抵御能力对内部主机的引诱和木马攻击无抵御能力l状态表超时问题状态表超时问题3 3、代理技术、代理技术pProxyl基于应用层信息处理问题,不再基于数据包基于应用层信息处理问题,不再基于数据包3 3、代理技术、代理技术p应用层代理应用层代理l针对每一种应用编制专门的代理程序针对每一种应用编制专门的代理程序lHTTP、SMTP、POP3、Telnet3 3、代理技术、代理技术p应用层代理应用层代理l代理服务程序接受内网用户请求代理服务程序接受内网用户请求l访问规则检查表进行核查(允许的请求类型)访问规则检查表进行核查(允许的请求类型)lIF允许,代理服务程序将请求转发给外部真正的服允许,代理服
10、务程序将请求转发给外部真正的服务程序。务程序。l当会话建立后,代理仅承担中转站的任务。当会话建立后,代理仅承担中转站的任务。l内网用户和外部服务器之间传超数据,担当内网用户和外部服务器之间传超数据,担当C/S双重双重角色;角色;l代理服务包括两个部分:代理服务器端程序和代理代理服务包括两个部分:代理服务器端程序和代理客户端程序客户端程序3 3、代理技术、代理技术p应用层代理应用层代理l无无ACK攻击扫描问题,不是有意义的应用请求攻击扫描问题,不是有意义的应用请求l结合协议进行检测结合协议进行检测l如如HTTP,检查是否是正确格式,而不仅仅是,检查是否是正确格式,而不仅仅是80端端口口l如如FT
11、P,可以,可以get 不可不可put3 3、代理技术、代理技术p应用层代理优点应用层代理优点l经常访问的信息可以缓存经常访问的信息可以缓存l支持用户认证支持用户认证l配置规则简单配置规则简单l完全控制会话,可提供详细日志和安全审计完全控制会话,可提供详细日志和安全审计l可隐藏内部可隐藏内部IPl代理访问解决内部代理访问解决内部IP不足不足3 3、代理技术、代理技术p应用层代理缺点应用层代理缺点l吞吐量瓶颈吞吐量瓶颈l有限的连接性,提供独特的有限的连接性,提供独特的Proxyl不能支持不能支持RPC、TALK等协议族等协议族3 3、代理技术、代理技术p传输层代理传输层代理SOCKSl不再是一种应用一种代理不再是一种应用一种代理lSOCKS服务端、服务端、 SOCKS客户端客户端l服务端实现在应用层服务端实现在应用层l客户端实现在应用层和传输层之间客户端实现在应用层和传输层之间l无需直接的无需直接的IP联通性前提联通性前提l对高层透明对高层透明lSOCKS 53 3、代理技术、代理技术p传输层代理传输层代理SOCKS静态包过滤防火墙静态包过滤防火墙配置实例配置实例(1)静态包过滤防火墙静态包过滤防火墙配置实例配置实例(2)