1、2023-1-10 第七章第七章 防火墙防火墙2023-1-10讨论议题讨论议题 1、防火墙的概念、防火墙的概念 2、防火墙的分类、防火墙的分类 3、防火墙系统模型、防火墙系统模型 4、防火墙的发展、防火墙的发展 5、创建防火墙的步骤、创建防火墙的步骤 6、防火墙产品与使用方法简介、防火墙产品与使用方法简介2023-1-101、防火墙的概念、防火墙的概念2023-1-10防火墙定义防火墙定义防火墙是位于两个防火墙是位于两个(或多个或多个)网络间,网络间,实施网间访问控制策略的一组组件实施网间访问控制策略的一组组件的集的集 合,它满足以下条件:合,它满足以下条件:内部和外部之间的所有网络数据流内
2、部和外部之间的所有网络数据流必须经过防火墙必须经过防火墙只有符合安全政策的数据流才能通只有符合安全政策的数据流才能通过防火墙过防火墙防火墙自身应对渗透防火墙自身应对渗透(peneration)免免疫疫2023-1-10 Service control Determines the types of Internet services that can be accessed,inbound or outbound Direction control Determines the direction in which particular service requests are allowed
3、 to flow User control Controls access to a service according to which user is attempting to access it Behavior control Controls how particular services are used(e.g.filter e-mail)Four general techniques for firewalls2023-1-10为什么需要防火墙为什么需要防火墙 保护内部不受来自保护内部不受来自Internet的攻击的攻击 为了创建安全域为了创建安全域 为了增强机构安全策略为了
4、增强机构安全策略2023-1-10对防火墙的基本要求对防火墙的基本要求 保障内部网保障内部网安全安全 保证内部网同外部网的保证内部网同外部网的连通连通2023-1-10内部网特点内部网特点 组成结构复杂组成结构复杂 各节点通常自主管理各节点通常自主管理 信任边界复杂,缺乏有效管理信任边界复杂,缺乏有效管理 有显著的内外区别有显著的内外区别 机构有整体的安全需求机构有整体的安全需求 最薄弱环节原则最薄弱环节原则2023-1-10防火墙技术带来的好处防火墙技术带来的好处 强化安全策略强化安全策略 有效地记录有效地记录Internet上的活动上的活动 隔离不同网络,限制安全问题扩散隔离不同网络,限制
5、安全问题扩散 是一个安全策略的检查站是一个安全策略的检查站 2023-1-102、防火墙分类、防火墙分类2023-1-102、防火墙分类、防火墙分类包过滤包过滤应用代理应用代理2023-1-10ISO7498-2到到TCP/IP的映射的映射TCP/IP 协议层安全服务网络接口互联网层传输层应用层对等实体鉴别-YYY数据源鉴别-YYY访问控制服务-YYY连接保密性YYYY无连接保密性YYYY选择域保密性-Y流量保密性YY-Y有恢复功能的连接完整性-YY无恢复功能的连接完整性-YYY选择域连接完整性-Y无连接完整性-YYY选择域非连接完整性-Y源发方不可否认-Y接收方不可否认-Y2023-1-10
6、防火墙与防火墙与OSI/RM模型模型应用层应用层 网关级网关级表示层表示层会话层会话层传输层传输层 电路级电路级网络层网络层 路由器级路由器级链路层链路层 网桥级网桥级物理层物理层 中继器级中继器级OSI/RM 防火墙防火墙2023-1-10包过滤防火墙包过滤防火墙包过滤防火墙的工作原理 采用这种技术的防火墙产品,通过在网络中的适当位置对数据包进行过滤,根据检查数据流中每个数据包的源地址、目的地址、所有的TCP端口号和TCP链路状态等要素,然后依据一组预定义的规则,以允许合乎逻辑的数据包通过防火墙进入到内部网络,而将不合乎逻辑的数据包加以删除。2023-1-10静态包过滤静态包过滤根据流经该设
7、备的数据包地址信息,决定是否允许该数据包通过根据流经该设备的数据包地址信息,决定是否允许该数据包通过判断依据有判断依据有(只考虑只考虑IP包包):数据包协议类型:数据包协议类型:TCP、UDP、ICMP、IGMP等等源、目的源、目的IP地址地址源、目的端口:源、目的端口:FTP、HTTP、DNS等等IP选项:选项:源路由、记录路由等源路由、记录路由等TCP选项:选项:SYN、ACK、FIN、RST等等其它协议选项:其它协议选项:ICMP ECHO、ICMP ECHO REPLY等等数据包流向:数据包流向:in或或out数据包流经网络接口:数据包流经网络接口:eth0、eth12023-1-10
8、包过滤示例包过滤示例堡垒主机堡垒主机内部网内部网外外部部网网络络在上图所示配置中,内部网地址为:在上图所示配置中,内部网地址为:192.168.0.0/24,堡垒主机内网卡堡垒主机内网卡eth1地址为:地址为:192.168.0.1,外网卡外网卡eth0地址为:地址为:10.11.12.13DNS地址为:地址为:10.11.15.4要求允许内部网所有主机能访问外网要求允许内部网所有主机能访问外网WWW、FTP服务,服务,外部网不能访问内部主机外部网不能访问内部主机2023-1-10包过滤示例包过滤示例(续续)Set internal=192.168.0.0/24Deny ip from$int
9、ernal to any in via eth0Deny ip from not$internal to any in via eth1Allow udp from$internal to any dnsAllow udp from any dns to$internalAllow tcp from any to any establishedAllow tcp from$internal to any www in via eth1Allow tcp from$internal to any ftp in via eth1Allow tcp from any ftp-data to$inte
10、rnal in via eth0Deny ip from any to any2023-1-10动态包过滤与状态检查技术动态包过滤与状态检查技术 动态包过滤:动态包过滤:可以实现指定用户数据流临时通过防火墙,一般结合身份认证机制实可以实现指定用户数据流临时通过防火墙,一般结合身份认证机制实现现 可动态生成可动态生成/删除规则删除规则 Checkpoint一项称为一项称为“Stateful Inspection”的技术的技术 根据维护的网络会话连接信息来实现根据维护的网络会话连接信息来实现2023-1-10包过滤技术的一些实现包过滤技术的一些实现 商业版防火墙产品商业版防火墙产品 个人防火墙个人
11、防火墙 路由器路由器 Open Source Software Ipfilter(FreeBSD、OpenBSD、Solaris,)Ipfw(FreeBSD)Ipchains(Linux 2.0.x/2.2.x)Iptables (Linux 2.4.x)2023-1-10代理防火墙的原理:代理防火墙运行在两个网络之间,它对于客户来说像是一台真的服务器一样,而对于外界的服务器来说,它又是一台客户机。当代理服务器接收到用户的请求后,会检查用户请求的站点是否符合公司的要求,如果公司允许用户访问该站点的话,代理服务器会像一个客户一样,去那个站点取回所需信息再转发给客户。代理防火墙代理防火墙2023-
12、1-10应用程序网关应用程序网关(代理服务器代理服务器)客客 户户网网 关关服务器服务器1.网关理解应用协议,可以实施更细粒度的访问控制网关理解应用协议,可以实施更细粒度的访问控制2.对每一类应用,都需要一个专门的代理对每一类应用,都需要一个专门的代理3.灵活性不够灵活性不够发送请求发送请求转发请求转发请求请求响应请求响应转发响应转发响应2023-1-10应用程序网关的一些实现应用程序网关的一些实现 商业版防火墙产品商业版防火墙产品 商业版代理商业版代理(cache)服务器服务器 Open Source TIS FWTK(Firewall toolkit)Apache Squid2023-1-
13、10应用层网关实现应用层网关实现 编写代理软件 代理软件一方面是服务器软件 但是它所提供的服务可以是简单的转发功能 另一方面也是客户软件 对于外面真正的服务器来说,是客户软件 针对每一个服务都需要编写模块或者单独的程序 实现一个标准的框架,以容纳各种不同类型的服务 软件实现的可扩展性和可重用性 客户软件 软件需要定制或者改写 对于最终用户的透明性?协议对于应用层网关的处理 协议设计时考虑到中间代理的存在,特别是在考虑安全性,比如数据完整性的时候2023-1-10两种防火墙技术两种防火墙技术 返回本节2023-1-10状态监视器防火墙状态监视器防火墙(1)状态监视器防火墙的工作原理 这种防火墙安
14、全特性非常好,它采用了一个在网关上执行网络安全策略的软件引擎,称之为检测模块。检测模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施监测,抽取部分数据,即状态信息,并动态地保存起来作为以后指定安全决策的参考。2023-1-10状态监视器防火墙的优缺点状态监视器的优点:检测模块支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。它会监测RPC和UDP之类的端口信息,而包过滤和代理网关都不支持此类端口。性能坚固状态监视器的缺点:配置非常复杂。会降低网络的速度。2023-1-10复合式防火墙复合式防火墙常见是代理服务器和状态分析技术的组合具有对一切连接尝试进行过滤的
15、功能;提取和管理多种状态信息的功能;智能化做出安全控制和流量控制的决策;提供高性能的服务和灵活的适应性;具有网络内外完全透明的特性。2023-1-10、防火墙系统模型、防火墙系统模型2023-1-10筛选路由器筛选路由器优点:简单缺点:不具备监视和日志功能,不隐藏内部网络信息。2023-1-10单宿主堡垒主机模型单宿主堡垒主机模型 单宿主堡垒主机(屏蔽主机防火墙)模型由包过滤路由器和堡垒主机组成。该防火墙系统提供的安全等级比包过滤防火墙系统要高,因为它实现了网络层安全(包过滤)和应用层安全(代理服务)。所以入侵者在破坏内部网络的安全性之前,必须首先渗透两种不同的安全系统。防火墙服务器工作站台式
16、PC打印机堡垒主机数据包安全区域数据包不准访问除堡垒主机以外的主机只允许外部与堡垒主机通信查找对应的策略Internet网络2023-1-10双宿主堡垒主机模型双宿主堡垒主机模型 双宿主堡垒主机模型(屏蔽防火墙系统)可以构造更加安全的防火墙系统。双宿主堡垒主机有两种网络接口但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行将所有去往内部网络的信息经过堡垒主机。防火墙服务器工作站台式PC打印机堡垒主机数据包安全区域数据包所有通信都必须通过堡垒主机通过登录到堡垒主机获得服务查找对应的策略Internet网络2023-1-10屏蔽子网模型屏蔽子网模型屏蔽子网模型用了两个包过滤路由器和
17、一个堡垒主机。它是最安全的防火墙系统之一,因为在定义了“中立区”(DMZ,Demilitarized Zone)网络后,它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组,以及其它公用服务器放在DMZ网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备。内部网络外部网络防火墙防火墙防火墙堡垒主机2023-1-10屏蔽子网模式屏蔽子网模式内部路由器内部路由器内部网内部网外外部部网网络络堡垒主机堡垒主机外部路由器外部路由器DMZ区区周边网周边网2023-1-10其他结构其他结构使用多堡垒主机使用多堡垒主机合并内部路由器与外部路由器合并内部路由器与外部路由器合并堡垒
18、主机与外部路由器合并堡垒主机与外部路由器合并堡垒主机与内部路由器合并堡垒主机与内部路由器使用多台内部路由器使用多台内部路由器使用多台外部路由器使用多台外部路由器使用多个周边网络使用多个周边网络使用双重宿主主机与屏蔽子网使用双重宿主主机与屏蔽子网2023-1-104、防火墙的发展、防火墙的发展2023-1-10防火墙的发展简史防火墙的发展简史第一代防火墙:采用了包过滤(Packet Filter)技术。第二、三代防火墙:1989年,推出了电路层防火墙,和应用层防火墙的初步结构。第四代防火墙:1992年,开发出了基于动态包过滤技术的第四代防火墙。第五代防火墙:1998年,NAI公司推出了一种自适应
19、代理技术,可以称之为第五代防火墙。2023-1-10防火墙的发展防火墙的发展 应用层网关的进一步发展 认证机制 智能代理 与其他技术的集成 比如NAT、VPN(IPSec)、IDS,以及一些认证和访问控制技术 防火墙自身的安全性和稳定性 分布式防火墙2023-1-10第四代防火墙,具有安全操作系统的防火墙产品。1双端口或三端口的结构新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不作IP转化而串接于内部网与外部网之间,另一个网卡可专用于对服务器的安全保护。2多级的过滤技术为保证系统的安全性和防护水平,第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分
20、组和假冒的IP源地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所用通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。第四代防火墙技术第四代防火墙技术2023-1-103 Internet网关技术由于是直接串连在网络之中,第四代防火墙必须支持用户在Internet互连的所有服务,同时还要防止与Internet服务有关的安全漏洞。故它要能以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chro
21、ot)”作物理上的隔离。2023-1-104.VPN技术 VPN可以在防火墙与防火墙或移动的客户端之间对所有网络传输的内容加密,建立一个虚拟通道,让两者感觉是在同一个网络上,可以安全且不受拘束地互相存取。5网络地址转换技术(NAT)第四代防火墙利用NAT技术能透明地对所有内部地址作转换,使外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的IP地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。2023-1-106审计和告警第四代防火墙产品的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息
22、、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、域名服务器等。告警功能会守住每一个TCP或UDP探寻,并能以发出邮件、声响等多种方式报警。2023-1-107用户鉴别与加密为了降低防火墙产品在Telnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少,第四代防火墙采用一次性使用的口令字系统来作为用户的鉴别手段,并实现了对邮件的加密。8用户定制服务为满足特定用户的特定需求,第四代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用TCP,出站UDP、FTP、SMTP等类,如果某一用户需要建立一个数据库的代理,便可利用这些支持,方便设
23、置。2023-1-10分布式防火墙分布式防火墙传统防火墙技术的几个问题传统防火墙技术的几个问题依赖于防火墙一端可信,另一端是潜在的敌人依赖于防火墙一端可信,另一端是潜在的敌人Internet的发展使从外部穿过防火墙访问内部网的需求增加了的发展使从外部穿过防火墙访问内部网的需求增加了一些内部主机需要更多的权限一些内部主机需要更多的权限只依赖于端只依赖于端-端加密并不能完全解决问题端加密并不能完全解决问题过于依赖物理拓扑结构过于依赖物理拓扑结构考虑到下面几个事实考虑到下面几个事实个人防火墙已得到了广泛的应用个人防火墙已得到了广泛的应用操作系统大多已提供了许多在传统意义上还属于防火墙的手段操作系统大
24、多已提供了许多在传统意义上还属于防火墙的手段IPv6以及以及IPSec技术的发展技术的发展防火墙这一概念还不能抛弃防火墙这一概念还不能抛弃2023-1-10分布式防火墙分布式防火墙(续一续一)思路思路主要工作防护工作在主机端主要工作防护工作在主机端打破传统防火墙的物理拓扑结构,不单纯依靠物理位置来划分内外打破传统防火墙的物理拓扑结构,不单纯依靠物理位置来划分内外由安全策略来划分内外网由安全策略来划分内外网具体方法:具体方法:依赖于下面三点依赖于下面三点策略描述语言:说明什么连接允许,什么连接不允许策略描述语言:说明什么连接允许,什么连接不允许一系列系统管理工具:用于将策略发布到每一主机处,以保
25、证机构的安全一系列系统管理工具:用于将策略发布到每一主机处,以保证机构的安全IPSec技术及其他高层安全协议技术及其他高层安全协议2023-1-10分分布布式式防防火火墙墙2023-1-105、创建防火墙的步骤、创建防火墙的步骤2023-1-10制定安全策略制定安全策略搭建安全体系结构搭建安全体系结构制定规则顺序制定规则顺序落实规则集落实规则集更换控制更换控制测试工作测试工作2023-1-10测试工作测试工作 原因原因:安装之后应测试是否正常安装之后应测试是否正常 网络环境变化时应重新配置和测试网络环境变化时应重新配置和测试 周期性测试确保正常工作周期性测试确保正常工作 测试方法测试方法 端口
26、检查端口检查 在线检测在线检测 日志审核日志审核 配置测试配置测试2023-1-106、防火墙产品与使用方法简介、防火墙产品与使用方法简介2023-1-10防火墙主流产品介绍 Cisco Secure PIX防火墙防火墙 华为华为3Com Quidway SecPath系列防火墙系列防火墙 天融信天融信NGFW4000 系列防火墙系列防火墙 Checkpoint Fire-wall-1 sonicWall的的SonicWall2023-1-10默认情况下,所有的防火墙都是按以下两种情况默认情况下,所有的防火墙都是按以下两种情况配置的:配置的:拒绝所有的流量,这需要在你的网络中特殊指定能够拒绝所
27、有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。进入和出去的流量的一些类型。允许所有的流量,这种情况需要你特殊指定要拒绝的允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。流量的类型。防火墙的配置过程中的三个基本原则:防火墙的配置过程中的三个基本原则:简单实用简单实用 全面深入全面深入 内外兼顾内外兼顾防火墙基本配置原则2023-1-10 通过三种方式:通过三种方式:本地控制台端口本地控制台端口 远程远程Telnet SSH(Secure Shell)天融信NGFW4000的应用与配置2023-1-10新建连接的对话框 本地控制台端口用一根用一根CONSOLE线缆连
28、接防火墙的线缆连接防火墙的CONSOLE接口与接口与PC(或笔记本)的串口。在(或笔记本)的串口。在Windows操作系统中,选择操作系统中,选择开始开始-程序程序-附件附件-通讯通讯-超级终端。打开超级终端超级终端。打开超级终端见面,系统提示输入新建连接的名称,用户可以输入任见面,系统提示输入新建连接的名称,用户可以输入任何(何(NGFW4000)。)。2023-1-10输入名称确定后,提示选择输入名称确定后,提示选择PC连接的端口。一般选择连接的端口。一般选择COM1。如图所示。如图所示。然后就要对然后就要对COM1接口进行属性设置。接口进行属性设置。图 使用计算机的COM1接口与防火墙连
29、接 2023-1-10Telnet远程管理 Telnet远程管理的的前提条件是要用一根双绞线(交叉线)连接管理远程管理的的前提条件是要用一根双绞线(交叉线)连接管理PC的网卡接口和防火墙的物理接口,或者将管理的网卡接口和防火墙的物理接口,或者将管理PC连接到防火墙的物理连接到防火墙的物理接口所在的网络。接口所在的网络。WINDOWS命令提示符下登录命令提示符下登录 在在Windows XP中,在桌面上选择开始中,在桌面上选择开始-运行运行cmd DOS命令窗口打开,输入命令窗口打开,输入telnet(不分大小写)以及防火墙接口的(不分大小写)以及防火墙接口的IP地地址址 连接到防火墙后,窗口提
30、示输入密码(默认密码为连接到防火墙后,窗口提示输入密码(默认密码为talent),键入密码),键入密码后就能成功登录到防火墙了。后就能成功登录到防火墙了。也可以使用也可以使用HyperTerminal(超级终端)登录(超级终端)登录SSH远程管理远程管理 SSH的优点:在的优点:在SSH连接中,所有的数据都是经过加密后再进行传输的,连接中,所有的数据都是经过加密后再进行传输的,这样就保证了防火墙的关键信息(如密码等),在传输过程中不会被这样就保证了防火墙的关键信息(如密码等),在传输过程中不会被窃听而导致泄漏。窃听而导致泄漏。SSH客户端软件可以在网上搜索下载。客户端软件可以在网上搜索下载。UNIX系统,使用系统,使用OpenSSH;Windows操作系统(操作系统(32位),则使用位),则使用PUTTY来登录防火墙。来登录防火墙。2023-1-10思考题 1.试分析防火墙的局限性?2.简述包过滤防火墙的工作过程及特点。3.常见的防火墙系统有哪几种?比较他们的优缺点。4.双宿主堡垒主机与单宿主堡垒主机的区别是什么?5.状态检测防火墙的技术特点是什么?6.选购防火墙产品时有哪些注意事项?7.设置防火墙需要考虑哪些因素?