1、第8讲 网络防火墙技术杨 明紫金学院计算机系网络信息安全2022-7-25内容n防火墙的概念n防火墙基本技术n防火墙的体系结构Internet/公网公网内部网内部网路由器路由器NEsec300 FW2035968?告警内网接口外网接口电源控制台服务器服务器服务器主机主机内外网络隔离内外网络隔离 截取截取IPIP包,根据安全策略控制其进包,根据安全策略控制其进/出出 双向网络地址转换(双向网络地址转换(NATNAT)基于一次性口令对移动访问进行身份基于一次性口令对移动访问进行身份识别和控制识别和控制 IPMAC IPMAC捆绑,防止捆绑,防止IPIP地址的滥用地址的滥用安全记录安全记录 通信事件
2、记录通信事件记录 操作事件记录操作事件记录 违规事件记录违规事件记录 异常情况告警异常情况告警移动用户移动用户拨号用户拨号用户局域网用户局域网用户(内部地址)(内部地址)防火墙的概念防火墙的概念n概念n防火墙实际上是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,也可以使用防火墙阻止保密信息从受保护网络上被非法输出。n分离器n限制器n分析器n有效地监控了内部网和 Internet之间的任何活动,保证了内部网络的安全。防火墙特性和主要功能n特性n所有内部到外部或外部到内部的通信流都必须经过防火墙n只有经过安全策略许可的通信流量才能通过防火墙n系统本身具有高
3、可靠性,防火墙本身是不可穿透的n功能n保护脆弱和有缺陷的网络服务n集中化的安全管理n加强对网络系统的访问控制n加强隐私保护n对网络存取和访问进行监控审计利用防火墙保护内部网的主要优点n允许网络管理员定义一个中心“扼制点”来防止非法用户进入内部网络n集中安全性n保护网络中的脆弱服务n对网络攻击进行检测和告警n作为部署网络地址变换的逻辑地址n缓解地址空间紧张、隐藏内部网络结构n增强保密性、强化私有权n阻塞一些常用的信息服务功能n是审计和记录网络使用量的最佳地方防火墙的主要缺陷n限制有用的网络服务n提高了限制或关闭了很多有用但存在安全缺陷的网络服务n无法防护内部网络用户的攻击n内部叛徒、间谍n不能完
4、全防止带病毒的软件或文件n无法防范数据驱动型的攻击nDoS攻击n一切未被允许的就是禁止的一切未被允许的就是禁止的。n防火墙应该封锁所有的信息流,然后对希望提供的服务逐项开放。n特点:安全但不好用n一切未被禁止的就是允许的一切未被禁止的就是允许的。n防火墙应该转发所有的信息流,然后逐项屏蔽有害的服务。n特点:好用但不安全防火墙规则配置的基本准则防火墙规则配置的基本准则防火墙的发展n四个发展阶段n基于路由器的防火墙n用户化的防火墙工具套n建立在通用操作系统上的防火墙n具有安全操作系统的防火墙基于路由器的防火墙n第1代防火墙产品:路由器防火墙n特点n利用路由器本身具有的分组过滤功能n过滤判决依据n地
5、址、端口号、报文类型n防火墙与路由器是一体的n不足之处n路由协议十分灵活、存在安全漏洞n外部探询内部网络很容易n伪造路由信息欺骗防火墙n过滤规则设置与配置存在安全隐患n路由器的功能与防火墙之间存在矛盾用户化的防火墙工具套n第2代防火墙产品:专门的防火墙n特点n将过滤功能从路由器中独立出来,外加审计和告警功能。n针对用户需求,提供模块化软件包。n安全性提高了,价格降低了。n问题n纯软件产品,安全性和处理速度有局限。n配置和维护复杂n对用户的技术要求高概念软件方式:在Web主机上或单独一台计算机上运行一类软件,监测、侦听来自网络上的信息,对访问内部网的数据起到过滤的作用,从而保护内部网免受破坏。软
6、件方式的防火墙软件方式的防火墙建立在通用操作系统上的防火墙n第3代防火墙产品n特点n包括分组过滤或借用路由器的分组过滤功能n装有专用的代理系统,监控所有协议的数据和指令n保护用户的编程空间和用户可配置内核参数设置n安全性和速度大为提高n有硬件实现,也有纯软件实现n问题n源代码保密,安全性无从保证n用户必须依赖防火墙产商和操作系统产商两方面的安全支持建立在通用操作系统上的防火墙具有安全操作系统的防火墙n第4代防火墙产品n特点n获得操作系统源码n固化操作系统内核来提高安全性n组件的安全增强n功能增强n加密和鉴别功能n透明性好,易于使用防火墙外观与内部结构飞塔防火墙飞塔防火墙防火墙与防火墙与OSIO
7、SI模型对应关系模型对应关系内部网内部网外部网外部网防火墙的基本技术n包过滤技术n状态检查技术n代理技术n地址翻译技术包过滤技术n原理n对进出的IP包进行检查,根据一个过滤规则,确定转发或丢弃该IP包。n过滤规则n检查字段n动作n匹配(转发/丢弃)n不匹配(默认策略)包过滤技术n检查字段nIP源地址nIP目的地址n源端口号n目的端口号n协议类型(TCP、UDP、ICMP)nICMP消息类型nTCP包头中的ACK位n其他n序列号、确认号、校验和、分割偏移包过滤的例子动作我们的主机端口他们的主机端口注释丢弃*SPIGOT*我不相信他们转发OUR-GW25*连接到我们的SMTP端口n控制目标n进入的
8、邮件是允许的,但只能到网关主机n来自SPIGOT的邮件被过滤包过滤的例子动作我们的主机端口他们的主机端口标志注释转发我们的主机*25允许我们发送邮件转发*25*ACK允许应答n控制目标n允许任何内部主机向外发送邮件n还允许应答邮件进入包过滤的例子动作我们的主机端口他们的主机端口标志注释转发我们的主机*允许内部主机进行FTP服务转发*ACK允许应答转发*1024n控制目标n允许任何内部主机向外发送FTP请求n还允许应答进入n数据传输时允许高编号端口设置实例设置实例按地址过滤按地址过滤按服务过滤按服务过滤数据包过滤数据包过滤HTTP示例现有一公司网络,其内部网络地址为192.168.0.0/24现
9、需对其进行配置,使得该公司内部的所用主机都能够访问Internet上Web服务器:202.118.117.34jj规则规则编号编号包的包的方向方向源地源地址址目的目的地址地址协议协议源端源端口口目的目的端口端口动作动作3001出出192.16.0.0/24202.118.117.34/24TCP102380permit3002入入202.118.117.34/24192.16.0.0/24TCP801023permit包过滤技术的特点n优点n对用户完全透明,不需要对客户端作任何改动n一般路由器均具有这样的功能n效率高、速度快n缺点n包过滤规则难于配置n包过滤仅可以访问包头中的有限信息n包过滤是
10、无状态的n缺乏鉴别功能n不适合某些协议,如RPCn易受攻击对过滤路由器的攻击nIP地址欺骗n入侵者来自外部网络的,但源IP地址字段中包含一个内部主机地址的分组n源站选路攻击n该类分组说明了采用指定的路由传输n这种指定的路由可能会绕过安全检查n微小分片攻击n入侵者使用IP分片选项来创建更小的分片,并迫使TCP首部信息进入一个单独的分组分片。n攻击者希望只有第一个分组被检查,其余的分组就被传递过去。防火墙的基本技术n包过滤技术n状态检查技术n代理技术n地址翻译技术状态检查技术n工作原理n采用了一个在网关上执行网络安全策略的软件引擎,称之为检测模块。n检测模块抽取相关数据(即状态信息)对网络通信的各
11、层实施监测和控制。n动态地保存状态信息作为以后指定安全决策的参考。状态检查技术n特点n掌握信息更全面n安全性更强n对用户透明n不能对高层数据进行检查n如不能禁止某个用户对每个特定应用进行操作n不能支持应用层的用户鉴别n网络性能有所降低代理技术n概念和原理n所谓代理就是一个提供替代连接并且充当服务的中介。n代理也称之为应用级网关。n代理是针对每一个特定应用的一个程序n担任应用层通信的中继,并完成在应用层实现防火墙的功能代理服务器用户外部主机感觉的连接实际的连接代理技术n对服务的全面控制n对某些服务不安装代理来拒绝服务n对某些服务安装代理来实现服务n代理服务需要进行鉴别n可将代理配置成只支持网络管
12、理员认为必须的功能代理技术n在防火墙中应用n针对不同应用写出不同的代理n在特定主机中运行所需的代理服务器n对代理服务器进行合理的配置n结合过滤路由器形成两道防护屏障代理技术的特点n优点n代理能灵活、完全地控制进出流量、内容n代理易于配置n有能力支持可靠的用户认证并提供详细的注册信息n能够提供详细的日志和安全审计功能n缺点n代理速度较路由器慢n代理对用户不透明(安装访问代理服务的程序)n每项服务代理只能用于一种服务,需要提供很多的不同的代理服务器 n代理不能改进底层协议的安全性。地址翻译技术n原理n将一个IP地址用另一个IP地址代替n内部网络的IP地址是无效的IP地址n解决IP地址不够的问题n网
13、络管理员希望隐藏内部网络的地址n外部网络无法判断内部网络情况n地址翻译可实现一种单向路由n不存在外部网络到内部网或内网主机的路由NAT:网络地址转换10.0.0.110.0.0.210.0.0.310.0.0.4138.76.29.7本地网络(如归属网络)10.0.0/24因特网其他部分具有该网源或目的的数据报都有10.0.0/24的地址(照常)所有数据报本地离开本地网络具有相同的单一源NAT IP地址:138.76.29.7,不同的源端口号NAT:网络地址转换10.0.0.110.0.0.210.0.0.310.0.0.4138.76.29.71:主机10.0.0.1 发送数据报到128.1
14、19.40,80NAT 转换表WAN 侧地址 LAN 侧地址138.76.29.7,5001 10.0.0.1,3345 S:128.119.40.186,80 D:10.0.0.1,33454S:138.76.29.7,5001D:128.119.40.186,8022:NAT路由器改变数据报源地址从10.0.0.1,3345 到138.76.29.7,5001,更新表S:128.119.40.186,80 D:138.76.29.7,500133:到达的应答的目的地址:138.76.29.7,50014:NAT 路由器改变数据报目的地址从138.76.29.7,5001到10.0.0.1,
15、3345 S:10.0.0.1,3345D:128.119.40.186,801192.168.0.1防火墙202.112.1.109外部地址202.112.199内部用户192.168.0.2内部 ip 内部端口 外部 ip 外部端口 伪装端口 192.168.0.2 6012 202.112.1.109 23 60001 192.168.0.2:6012伪装192.168.0.2:6012202.112.1.109:60001202.112.1.109:60001注解注解:防火墙(防火墙(FireWall)的内口)的内口IP地址:地址:192.168.0.1;外口;外口IP地址:地址:20
16、2.112.1.109,内部用户准备利用,内部用户准备利用IP地址为:地址为:192.168.0.2的主机并且采用的主机并且采用6012端端口,通过防火墙的口,通过防火墙的NAT功能去访问功能去访问IP地址为:地址为:202.112.1.99的服务器,防火墙将用的服务器,防火墙将用户户IP地址转换成地址转换成202.112.1.109并且将端口转换成并且将端口转换成6001。NAT技术技术防火墙的体系结构n双宿网关防火墙n屏蔽主机防火墙n屏蔽子网防火墙堡垒主机n处于防火墙关键部位、运行应用级网关软件的计算机系统称为堡垒主机。n用作应用级网关网关的平台n安全特征n安全操作系统,使之成为可信系统n
17、只有网络管理员认为重要的服务才能安装n允许访问代理服务前需要有安全鉴别n代理服务器n每个代理对配置成只允许访问特定的主机系统n代理服务之间彼此独立n每个代理都作为非特权用户运行在堡垒主机的专用和安全目录中双宿网关防火墙 n结构n双重宿主主机n两个网络接口n双重宿主主机连接和控制外部网络和内部网络的通信双宿网关防火墙 n特点nIP层的通信被阻止n通过应用层数据共享或代理服务来完成外部网络与内部网络的通信双宿网关防火墙n服务控制方式n用户直接登录双重宿主主机n在双重宿主主机上开设账号n存在安全隐患n难于维护n在双重宿主主机运行代理服务器n由代理服务器负责服务认证屏蔽主机防火墙n结构n由堡垒主机和屏
18、蔽路由器组成n屏蔽路由器放置在内网和外网之间n外部网络只能访问堡垒主机,去往内部网其他主机的数据包均被屏蔽n配置屏蔽路由器可使路由器只接收来自堡垒主机的内部数据包 屏蔽子网防火墙 n结构n屏蔽子网防火墙由一个小型网络组成n周边网、“非军事区”nDMZ:隔离区n包括两个包过滤路由器和一个堡垒主机n两个路由器分别连接外部网络和内部网络nDMZ:“demilitarized zone”,称为“隔离区”,为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。防火墙隔离区防火墙隔离区n当规划一个拥有DMZ的网络时候,我们可以明确各个网络之间的访问关系,可
19、以确定以下六条访问控制策略。n1.1.内网可以访问外网内网可以访问外网:内网的用户需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。n 2.2.内网可以访问内网可以访问DMZDMZ:此策略是为了方便内网用户使用和管理DMZ中的服务器。n3.3.外网不能访问内网:外网不能访问内网:内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。防火墙访问控制策略防火墙访问控制策略n4.4.外网可以访问外网可以访问DMZDMZ:DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。n5.DMZ5.DMZ不
20、能访问内网:不能访问内网:如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。n6.DMZ6.DMZ不能访问外网:不能访问外网:此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。防火墙访问控制策略防火墙访问控制策略硬件防火墙的区域划分n非受信区(Untrust):低级的安全区域;n非军事化区(DMZ):中度级别的安全区域;n受信区(Trust):较高级别的安全区域;n本地区域(Local):最高级别的安全区域选购防火墙时,应该考虑防火墙自身的因素选购防火墙时,应该考虑防火墙自身的因素 n 一、自身的安全性。一、自身的安全性。防火墙自身的安
21、全性主要体现在自身设计和管理两个方面。设计的安全性关键在于操作系统,而应用系统的安全是以操作系统的安全为基础的,同时防火墙自身的安全实现也直接影响整体系统的安全性。n二、系统的稳定性。二、系统的稳定性。由于种种原因,有些系统尚未最后定型或经过严格的大量测试就被推向了市场,其稳定性可想而知。可以通过权威的测评认证机构、实际调实际调查、试用、厂商实力等多个方面加以判断;n三、是否高效。三、是否高效。一般来说,防火墙加载上百条规则,其性能下降不应超过510(指包过滤防火墙);防火墙产品选购策略防火墙产品选购策略n四、是否可靠。四、是否可靠。有较高的生产标准和设计冗余度冗余度能提高系统可靠性的;n 五
22、、是否功能灵活、强大。五、是否功能灵活、强大。例如对普通用户,只要对IP地址进行过滤即可;n六、是否配置方便。六、是否配置方便。n七、是否可以抵抗拒绝服务攻击。七、是否可以抵抗拒绝服务攻击。目前有很多防火墙号称可以抵御拒绝服务攻击,但严格地说,它应该是可以降低拒绝服务攻击的危害而不是抵御这种攻击;n八、是否可扩展、可升级。八、是否可扩展、可升级。防火墙产品选购策略防火墙产品选购策略防火墙性能测试防火墙性能测试n吞吐量:网络设备在不丢失任何一个帧情况下的最大转发速率n 延时(比特转发):入口处输入帧第1个比特到达被测设备至出口处输出帧的第1个比特输出时所用的时间间隔n 丢包率:在稳态负载下由于缺
23、少资源应转发而没有转发的帧占所有应被转发的帧的比例n 背靠背:从空闲状态开始,以达到传输介质最小合法间隔极限的传输速率,发送一定数量固定长度的帧,当出现第一个帧丢失时所发送的帧数。防火墙组网示例防火墙组网示例对外服务器对外服务器Untrust区域区域Trust区区域域专线分支专线分支内部网络内部网络DMZ区域区域防火墙组网示例防火墙组网示例企业总部企业总部语音设备语音设备 应用服务器应用服务器MCU用户动态认证服务器用户动态认证服务器Secpath F1000-SIP网络网络动态密码钥匙盘动态密码钥匙盘使用使用VPN客户端远程办公客户端远程办公语音语音视讯视讯数据数据Secpath F100-A企业分支企业分支认证隧道认证隧道VPN隧道隧道 小结n防火墙的概念n防火墙基本技术n包过滤n状态检查n应用级网关nNATn防火墙的体系结构n双宿网关n屏蔽主机n屏蔽子网
