1、第6章 防火墙技术与应用.学习目标了解防火墙的基本概念了解防火墙的基本概念掌握防火墙的主要功能和缺陷掌握防火墙的主要功能和缺陷深入理解防火墙的工作原理和机制深入理解防火墙的工作原理和机制掌握防火墙的分类掌握防火墙的分类了解防火墙的基本部署了解防火墙的基本部署掌握防火墙的基本指标掌握防火墙的基本指标.引导案例:随着计算机信息技术的日益发展与完善,互联随着计算机信息技术的日益发展与完善,互联网技术的普及和发展,给教育信息化工作的开展网技术的普及和发展,给教育信息化工作的开展提供了很多的便利,网络成为教育信息化的重要提供了很多的便利,网络成为教育信息化的重要组成部分。然而,网络的快速发展也给黑客提供
2、组成部分。然而,网络的快速发展也给黑客提供了更多的危及计算机网络信息安全的手段和方法,了更多的危及计算机网络信息安全的手段和方法,网络信息安全成为人们关注的焦点。上海市某教网络信息安全成为人们关注的焦点。上海市某教委计算机网络连接形式多样、终端分布不均匀且委计算机网络连接形式多样、终端分布不均匀且具有开放性特点,容易受到攻击。因此,如何针具有开放性特点,容易受到攻击。因此,如何针对该教委建立一个安全、高效的网络系统,最终对该教委建立一个安全、高效的网络系统,最终为广大师生提供全面服务,成为了迫切需要解决为广大师生提供全面服务,成为了迫切需要解决的问题。的问题。.本章内容防火墙概述 6.1防火墙
3、的类型 6.2防火墙的体系结构 6.3防火墙配置 6.4防火墙产品介绍 6.5.古时候,建造和使用木质结构的房屋,为了在火灾发生时,防止火势蔓延,人们将坚固的石块堆砌在房屋周围形成一道墙作为屏障,这种防护构筑物被称之为防火墙。在今天的网络世界里,人们借用了防火墙这个概念,把隔离在内部网络和外界网络之间的一道防御系统称为防火墙。它在内部网和外部网之间构造一个保护层,并迫使所有的连接和访问都通过这一保护层,以便接受检查。只有被授权信息流才能通过保护层,进入内部网,从而保护内部网免受非法入侵。防火墙概述 6.1.防火墙是内部网络和外部网络之间的第一道闸门,被用来保护计算机网络免受非授权人员的骚扰和黑
4、客的入侵。防火墙在网关位置过滤各种进出网络的数据,以保护内部网络的主机。.6.1.1 防火墙的概念 防火墙(防火墙(Firewall)是指隔离在内部网络与外部网络之间的一道防御系统,它能挡住来自外部网络的攻击和入侵,保障内部网络的安全。.UF3500/3100防火墙应用 三端口NAT模式交换机交换机路由器路由器集线器集线器防火墙防火墙UF3500/3100UF3500/3100WWW WWW 服务器服务器MailMail服务器服务器PCPCPCPCFTP FTP 服务器服务器.在网络中,硬件防火墙是一种用来加强网络之在网络中,硬件防火墙是一种用来加强网络之间访问控制的特殊网络互联设备,如路由器
5、、间访问控制的特殊网络互联设备,如路由器、网关等网关等。它它对两个或多个网络之间传输的数据包和连接对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略进行检查,以决定网方式按照一定的安全策略进行检查,以决定网络之间的通信是否被允许络之间的通信是否被允许。其其中被保护的网络称为内部网络,另一方则称中被保护的网络称为内部网络,另一方则称为外部网络或公用网络。它能有效地控制内部为外部网络或公用网络。它能有效地控制内部网络与外部网络之间的访问及数据传送,从而网络与外部网络之间的访问及数据传送,从而达到保护内部网络的信息不受外部非授权用户达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信
6、息的目的。的访问和过滤不良信息的目的。.从实现方式上看,防火墙可以分为硬件防火墙和软件防火墙两类:硬件防火墙是通过硬件和软件的结合来达到隔离内、外部网络的目的;软件防火墙是通过纯软件的方式来实现的.防火墙可以是硬件.防火墙也可以是软件防火墙也可以是软件.1.相关概念外 部 网 络,防 火 墙 之 外 的 网 络,如Internet,默认为风险区域。内部联网(Intranet),防火墙之内的网络,一般为局域网,如某个公司或组织的专用网络,网络访问限制在组织内部。军事缓冲区域,简称DMZ,该区域是介于内部网络和外部网络之间的网络段,常放置公共服务设备,向外提供信息服务。.吞吐量,在不丢包的情况下单
7、位时间内通过防火墙数据包的数量,这是衡量防火墙性能的重要指标。最大连接数,该数据更贴近网络的实际情况,网络中大多数连接数是指所建立的一个虚拟通道。这也是衡量防火墙的一个重要指标。堡垒主机,一种被强化的可以防御进攻的计算机,被暴露于互联网之上,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某一个主机上解决问题,从而省时省力,不考虑其他主机的安全目的。.包过滤,在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤规则,检查数据流中的每个数据包,根据数据包的源地址、目的地址及端口等信息来确定是否允许数据包通过。代理服务器,代表内部网络用户向外部网络中的服务器进行连接请求的程序
8、。状态检测技术,状态监测模块在不影响网络安全、正常工作的前提下,采用抽取相关数据的方法对网络通信的各个层次实行检测,并作为安全决策的依据。.虚拟专用网,在公用网络中配置的专用网络。漏洞,系统中的安全缺陷,漏洞可以导致入侵者获取信息并导致不正确的访问。数据驱动攻击,入侵者把一些具有破坏性的数据藏匿在普通数据中传送到互联网主机上,当这些数据被激活时就会发生数据驱动攻击。IP地址欺骗,一种突破防的火墙系统的常用方法。入侵者通过伪造的IP发送地址产生虚假的数据包,乔装成来自内部网络数据。.在安全区域划分的基础上,通过一种网络安全设在安全区域划分的基础上,通过一种网络安全设备,控制安全区域间的通信,就能
9、实现隔离有害通信备,控制安全区域间的通信,就能实现隔离有害通信的作用,进而可以阻断网络攻击。这种安全设备的功的作用,进而可以阻断网络攻击。这种安全设备的功能类似于防火使用的墙,因而人们就把这种安全设备能类似于防火使用的墙,因而人们就把这种安全设备俗称为俗称为“防火墙防火墙”,它一般安装在不同的安全区域边,它一般安装在不同的安全区域边界处,用于网络通信安全控制,由专用硬件或软件系界处,用于网络通信安全控制,由专用硬件或软件系统组成。统组成。.防火墙是由一些软、硬件组合而成的网络访问控防火墙是由一些软、硬件组合而成的网络访问控制器,它根据一定的安全规则来控制流过防火墙的制器,它根据一定的安全规则来
10、控制流过防火墙的网络包,如禁止或转发,能够屏蔽被保护网络内部网络包,如禁止或转发,能够屏蔽被保护网络内部的信息、拓扑结构和运行状况,从而起到网络安全的信息、拓扑结构和运行状况,从而起到网络安全屏障的作用。防火墙一般用来将内部网络与屏障的作用。防火墙一般用来将内部网络与Internet或者其他外部网络互相隔离,限制网络互访,保护或者其他外部网络互相隔离,限制网络互访,保护内部网络的安全,如图所示。内部网络的安全,如图所示。2.防火墙的安全策略.防火墙部署安装示意图防火墙部署安装示意图 外 部 网 络路 由 器防 火 墙内 部 网 络.防火墙根据网络包所提供的信息实现网络通信访问防火墙根据网络包所
11、提供的信息实现网络通信访问控制:如果网络通信包符合网络访问控制策略,就允控制:如果网络通信包符合网络访问控制策略,就允许该网络通信包通过防火墙,否则不允许。防火墙的许该网络通信包通过防火墙,否则不允许。防火墙的安全策略有两种类型,即:安全策略有两种类型,即:(1)(1)只允许符合安全规则的包通过防火墙,其他只允许符合安全规则的包通过防火墙,其他通信包禁止。通信包禁止。即除非明确允许,否则禁止。即除非明确允许,否则禁止。(2)禁止与安全规则相冲突的包通过防火墙,其禁止与安全规则相冲突的包通过防火墙,其他通信包都允许。他通信包都允许。即除非明确禁止,否则允许。即除非明确禁止,否则允许。.图图8-2
12、 防火墙工作示意图防火墙工作示意图 通信被禁止,因为不符合安全规则禁止允许外部网络到外网通信未知通信规定允许通信禁止允许访问指定的资源只有符合安全规则通信才允许通过允许通过通信流内部网络受到禁止通信流防火墙.防火墙的发展简史.防火墙简单的可以用路由器、交换机实现,复杂的就要用防火墙简单的可以用路由器、交换机实现,复杂的就要用一台计算机,甚至一组计算机实现。按照一台计算机,甚至一组计算机实现。按照TCP/IPTCP/IP协议的层次,协议的层次,防火墙的访问控制可以作用于网络接口层、网络层、传输层、防火墙的访问控制可以作用于网络接口层、网络层、传输层、应用层,首先依据各层所包含的信息判断是否遵循安
13、全规则,应用层,首先依据各层所包含的信息判断是否遵循安全规则,然后控制网络通信连接,如禁止、允许。防火墙简化了网络的然后控制网络通信连接,如禁止、允许。防火墙简化了网络的安全管理。如果没有它,网络中的每个主机都处于直接受攻击安全管理。如果没有它,网络中的每个主机都处于直接受攻击的范围之内。为了保护主机的安全,就必须在每台主机上安装的范围之内。为了保护主机的安全,就必须在每台主机上安装安全软件,并对每台主机都要定时检查和配置更新。安全软件,并对每台主机都要定时检查和配置更新。6.1.2 防火墙的功能与缺陷防火墙的功能与缺陷.1.防火墙的基本功能包过滤包过滤这是防火墙的基本功能,现在的防火墙已这是
14、防火墙的基本功能,现在的防火墙已经有最初的地址、端口判定控制,发展到经有最初的地址、端口判定控制,发展到判断通信报文协议头的各部分,以及通信判断通信报文协议头的各部分,以及通信协议的应用层命令、内容、用户特征、用协议的应用层命令、内容、用户特征、用户规则甚至状态监测等。户规则甚至状态监测等。将防火墙设置为只有预先被允许的服务和将防火墙设置为只有预先被允许的服务和用户才能通过防火墙,禁止未授权的用户用户才能通过防火墙,禁止未授权的用户访问受保护的网络,降低被保护网络受非访问受保护的网络,降低被保护网络受非法攻击的风险。法攻击的风险。.限制网络访问。防火墙只允许外部网络访问受保限制网络访问。防火墙
15、只允许外部网络访问受保护网络的指定主机或网络服务,通常受保护网络护网络的指定主机或网络服务,通常受保护网络中的中的MailMail、FTPFTP、WWWWWW服务器等可让外部网络访问,服务器等可让外部网络访问,而其他类型的访问则予以禁止。防火墙也用来限而其他类型的访问则予以禁止。防火墙也用来限制受保护网络中的主机访问外部网络的某些服务,制受保护网络中的主机访问外部网络的某些服务,例如某些不良网址。例如某些不良网址。.网络访问审计和预警。审计和预警是防火墙的在网络访问审计和预警。审计和预警是防火墙的在配置好相关参数后作出的丢弃、拒绝或接受的重配置好相关参数后作出的丢弃、拒绝或接受的重要措施,防火
16、墙的审计和预警机制在防火墙体系要措施,防火墙的审计和预警机制在防火墙体系中很重要。中很重要。防火墙是外部网络与受保护网络之间的惟一网络防火墙是外部网络与受保护网络之间的惟一网络通道,可以记录所有通过它的访问并提供网络使通道,可以记录所有通过它的访问并提供网络使用情况的统计数据。依据防火墙的日志,可以掌用情况的统计数据。依据防火墙的日志,可以掌握网络的使用情况,例如网络通信带宽和访问外握网络的使用情况,例如网络通信带宽和访问外部网络的服务数据。防火墙的日志也可用于入侵部网络的服务数据。防火墙的日志也可用于入侵检测和网络攻击取证。检测和网络攻击取证。.由于网络上的数据流量是比较大的,这里主要有两种
17、解决方式:将日志挂接在内网的一台专门存放日志的服务器上;将日志直接存放在防火墙本身的服务器上。.远程管理,管理界面一般完成对防火墙的远程管理,管理界面一般完成对防火墙的配置、管理和监控等工作。管理界面的设配置、管理和监控等工作。管理界面的设计直接关系到防火墙的易用性和安全性。计直接关系到防火墙的易用性和安全性。目前防火墙主要有两种远程管理界面:目前防火墙主要有两种远程管理界面:WebWeb界面和界面和GUIGUI界面。界面。.NATNAT技术,该技术能够透明的对所有内部地址做转技术,该技术能够透明的对所有内部地址做转换,使外部网络无法了解内部网络的内部结构,换,使外部网络无法了解内部网络的内部
18、结构,同时使用同时使用NATNAT的网络与外部网络的连接只能有内部的网络与外部网络的连接只能有内部网络发起,这极大的提高了内部网络的安全性。网络发起,这极大的提高了内部网络的安全性。同时同时NATNAT技术另外一个显著的用途是解决了技术另外一个显著的用途是解决了IPIP地址地址匮乏的问题。匮乏的问题。.代理代理透明代理,主要是在内网主机需要访问外网主机透明代理,主要是在内网主机需要访问外网主机时,不需要做任何设置,完全意识不到防火墙的时,不需要做任何设置,完全意识不到防火墙的存在而完成内外网的通信,但其基本原理是防火存在而完成内外网的通信,但其基本原理是防火墙截取内网主机与外网的通信,由防火墙
19、本身完墙截取内网主机与外网的通信,由防火墙本身完成与外网的通信,然后把结果传回给内网主机。成与外网的通信,然后把结果传回给内网主机。传统代理,与透明代理类似,不同的是它需要在传统代理,与透明代理类似,不同的是它需要在客户端设置代理服务器,代理可以实现较高的安客户端设置代理服务器,代理可以实现较高的安全性,不足之处是响应缓慢。全性,不足之处是响应缓慢。.MACMAC与与IPIP地址绑定,主要用于防止受控的内部用户地址绑定,主要用于防止受控的内部用户通过更换通过更换IPIP地址访问外网,因其实现简单,内部地址访问外网,因其实现简单,内部只需要两个命令就可以实现,所以绝大多数防火只需要两个命令就可以
20、实现,所以绝大多数防火墙都提供了该项功能。墙都提供了该项功能。.流量控制和统计分析、流量计费流量控制和统计分析、流量计费流量控制可以分为基于流量控制可以分为基于IPIP地址的控制和基于用户地址的控制和基于用户的控制。的控制。防火墙可以控制网络带宽的分配使用,实现部分防火墙可以控制网络带宽的分配使用,实现部分网络质量服务网络质量服务(QoS)(QoS)保障。保障。流量统计是建立在流量控制基础之上的,一般防流量统计是建立在流量控制基础之上的,一般防火墙对基于火墙对基于IPIP、服务、时间、协议等进行统计,、服务、时间、协议等进行统计,并可以与管理界面实现挂接,实时或一统计报表并可以与管理界面实现挂
21、接,实时或一统计报表的形式输出结果。的形式输出结果。.URLURL级信息过滤级信息过滤通常是代理模块的一部分,许多防火墙将其功能单独通常是代理模块的一部分,许多防火墙将其功能单独的提取出来,但是实现是跟代理模块结合起来的。的提取出来,但是实现是跟代理模块结合起来的。它用来控制内部网络对某些站点的访问,如禁止某些它用来控制内部网络对某些站点的访问,如禁止某些站点、禁止访问站点下的某些目录、只允许访问某些站点、禁止访问站点下的某些目录、只允许访问某些站点或其下目录等。站点或其下目录等。.2.防火墙缺陷尽管防火墙有许多防范功能,但它也有一些力不尽管防火墙有许多防范功能,但它也有一些力不能及的地方,因
22、为防火墙只能对通过它的网络通能及的地方,因为防火墙只能对通过它的网络通信包进行访问控制,所以对未经过它的网络通信信包进行访问控制,所以对未经过它的网络通信就无能为力了。例如,如果允许从内部网络直接就无能为力了。例如,如果允许从内部网络直接拨号访问外部网络,则防火墙就失效了,攻击者拨号访问外部网络,则防火墙就失效了,攻击者通过用户拨号连接直接访问内部网络,绕过防火通过用户拨号连接直接访问内部网络,绕过防火墙控制,也能造成潜在的攻击途径。墙控制,也能造成潜在的攻击途径。.防火墙可以阻断攻击,但是不能消灭攻击源防火墙可以阻断攻击,但是不能消灭攻击源 互联网上的病毒、木马、恶意试探等造成的攻击互联网上
23、的病毒、木马、恶意试探等造成的攻击行为络绎不绝。如果防火墙的安全策略设置得当,行为络绎不绝。如果防火墙的安全策略设置得当,就可以阻断这类攻击,但是不能够清除攻击源。就可以阻断这类攻击,但是不能够清除攻击源。.防火墙不能抵抗最新的未设置策略的高级漏防火墙不能抵抗最新的未设置策略的高级漏洞洞 如同杀毒软件,总是先出现病毒,杀毒软如同杀毒软件,总是先出现病毒,杀毒软件经过分析特征代码以后,将特征代码加入件经过分析特征代码以后,将特征代码加入到特征库中才能给将其查杀。防火墙的各种到特征库中才能给将其查杀。防火墙的各种策略也是在该攻击方式经过专家分析后给出策略也是在该攻击方式经过专家分析后给出其特征而设
24、置的。也就是说防火墙的安全性其特征而设置的。也就是说防火墙的安全性具有滞后性。具有滞后性。.防火墙并发连接数限制容易导致拥塞或者溢防火墙并发连接数限制容易导致拥塞或者溢出出 由于需要判断并处理流经防火墙的每一个数据包,所以防火墙在某些流量大,并发请求多的情况下,很容易造成拥塞,称为整个网络性能影响的瓶颈。而当防火墙溢出的时候,整个防线就如同虚设,原本被禁止的连接也能够通过。.防火墙对服务器合法开放的端口的攻击大多无法阻止;攻击者利用服务器提供的服务进行缺陷攻击,由于这些行为在防火墙看来是“合理合法”的,因此会被误判。.防火墙对待内部主动发起连接的攻击一般无法阻止 外紧内松是一般局域网的特点,或
25、许一道严密防守的防火墙内部网络是一片混乱的也是可能的,通过发送带有木马的URL等方式,然后由感染木马的主机主动对攻击者连接。另外防火墙对内部主机间的攻击行为,爱莫能助。.防火墙本身也会出现问题和受到攻击 防火墙也是一个OS,也有其硬件和如图案件系统,因此也就不可避免的会有BUG,其本身也会有软硬件方面的故障。.防火墙不能防范人为因素的攻击;防火墙不能防止内奸或用户误操作造成的威胁,防火墙也不能防止用户由于口令泄露而遭受攻击。.防火墙不能防止数据驱动式的攻击。有些表面看起来无害的数据通过邮件或复制到内部网的主机上被执行,就会发生数据驱动式攻击。如一种数据驱动式的攻击造成主机修改与系统安全有关的配
26、置文件,从而使入侵者下次更加容易攻击该系统。.除此之外,防火墙还有一些脆弱点,例如除此之外,防火墙还有一些脆弱点,例如:*防火墙不能完全防止感染病毒的软件或文件传输。防火墙防火墙不能完全防止感染病毒的软件或文件传输。防火墙是网络通信的瓶颈,因为已有的病毒、操作系统以及加密和压是网络通信的瓶颈,因为已有的病毒、操作系统以及加密和压缩二进制文件的种类太多,以致于不能指望防火墙逐个扫描每缩二进制文件的种类太多,以致于不能指望防火墙逐个扫描每个文件查找病毒,而只能在每台主机上安装反病毒软件。个文件查找病毒,而只能在每台主机上安装反病毒软件。*防火墙不能完全防止后门攻击。防火墙是粗粒度的网络访防火墙不能
27、完全防止后门攻击。防火墙是粗粒度的网络访问控制,某些基于网络隐蔽通道的后门能绕过防火墙的控制,问控制,某些基于网络隐蔽通道的后门能绕过防火墙的控制,例如例如http tunnel等。等。.1、NetScreen 208 FirewallNetScreen公司推出的一种新型的网络安全硬件产品。内置ASIC技术,其安全设备具有低延时、高效的IPSEC加密和防火墙功能,可以无缝地部署到任何网络。设备安装和操控也非常容易,可以通过多种管理界面包括内置的WEBUI界面、命令行界面或NetScreen中央管理方案进行管理。2、Cisco Secure PIX 515-E FIREWALLCISCO家族中的
28、专用防火墙设施,通过端到端安全服务的有机组合,提供了很高的安全性,适合那些仅需要与自己企业网进行双向通信的远程站点,或由企业网在自己的企业防火墙上提供所有的WEB服务的情况。该防火墙与普通的CPU密集型专用代理服务器不同,它采用非UNIX、安全、实时的内置系统,可以提供扩展和重新配置IP网络的特性,同时不引起IP地址短缺问题。6.1.3 常见的防火墙.3、天融信网络卫士NGFW4000-S防火墙北京天融信公司的网络卫士是我国第一套自主版权的防火墙系统,是我国首创的核检测防火墙。它由防火墙和管理器组成,集中了包过滤防火墙、应用代理、网络地址转换(NAT)、用户身份鉴别、虚拟专用网、WEB页面保护、用户权限控制、安全审计、攻击检测、流量控制与计费等功能。4、东软NetEye 4032防火墙该系统在性能、可靠性、管理性等方面大大提高。其基于状态包过滤的刘过滤体系结构,保证从数据链路层到应用层的安全高性能过滤,可以进行应用级插件的及时升级,攻击方式的及时响应,实现动态的网络安全保障,适合于中小型企业的网络安全需要。.
