第10讲 防火墙技术及其应用网络与信息安全唐礼勇 博士
tly@cs.pku.edu.cn
2001/4/21 北京大学报告内容
a71基本概念
a71防火墙配置模式
a71防火墙相关技术
a71几个新的方向基本概念
a71 防火墙定义
a71 为什么需要防火墙
a71 对防火墙的两大需求
a71 防火墙系统四要素
a71 防火墙技术的发展过程
a71 引入防火墙技术的好处
a71 争议及不足防火墙定义
a71 防火墙是位于两个(或多个)网络间 实施网间访问控制的一组组件的集合 它满足以下条件
– 内部和外部之间的所有网络数据 过防火墙
– 有 合安全 的数据 过防火墙
– 防火墙 对 (peneration)
为什么需要防火墙
Why Security is Harder than it Looks
a71所有 件 是有 的
a71 下99.99% 的程 问
a71 安全相关的99.99% 的程 以?信 ¢
£?¥?0.01%的 §
a71 0.01%安全问 currency1于100%的'“
内部网
a71组?fifl –
a71 ·?
a71信 –,?有…?
a71有‰ 的内外?
a71`fl有′?的安全需求
a71?ˉ?˙?¨
为什么需要防火墙
a71内部不? Internet的?ˇ
a71为— 安全
a71为— `fl安全
对防火墙的两大需求
a71? 内部网安全
a71? 内部网 外部网的
防火墙系统四要素
a71安全
a71内部网
a71外部网
a71技术
防火墙技术发展过程
a71 20 70 和80 多 系统和安全模? 引
—大a的
a71 网关
a71 防火墙o
a71?防火墙
a71 新的发展防火墙技术?的好处
a71 安全
a71有…? Internet 的
a71不 网络 制安全问
a71是一个安全 的 查站争议及不足
a71 使¥不便 认为防火墙给£虚假的安全感
a71 对¥户不完全 明?传输延迟 瓶颈及单
'…
a71 不 替 墙内的安全措施
– 不 防范恶意的知 者
– 不 防范不 过它的 接
– 不 防范全新的威胁
– 不 有… 防范数据驱?式的?ˇ
– 当使¥端-端加密时 其作¥ 到 大的 制报告内容
a71基本概念
a71防火墙配置模式
a71防火墙相关技术
a71几个新的方向防火墙简图
Gateway(s)
Filter Filter
Inside Outside
防火墙的位置默认安全
a71没有明?禁止的行为 是允许的
a71没有明?允许的行为 是禁止的防火墙?系fifl
a71双宿/多宿·`模式(dual-homed/multi-homed)
a71 ·`模式
a71 子网模式双宿·`模式堡垒·`
内部网外部网络
小服务
权多宿·`模式堡垒·`
内部网1
外部网络内部网2
·`模式
过滤
内部网外部网络堡垒·`
子网模式内部内部网外部网络堡垒·`
外部
DMZ?
周
网解决—单?'…问
实施中的其他问
a71? 服务?小?权¨
a71 使¥多堡垒·`
a71 合并内部与外部
a71 合并堡垒·`与外部
a71 合并堡垒·`与内部
a71 使¥多台内部
a71 使¥多台外部
a71 使¥多个周?网络
a71 使¥双重宿··`与 子网报告内容
a71基本概念
a71防火墙配置模式
a71防火墙相关技术
a71几个新的方向防火墙相关技术
a71静态 过滤
a71?态 过滤
a71 ¥程 网关(?服务?)
a71电? 网关
a71网络 址翻译
a71虚拟专¥网静态 过滤
a71 根据 该设备的数据 址信息 决定是否允许该数据 过
a71 判断依据有( 考虑IP )
– 数据 协议类? TCP UDP ICMP IGMPcurrency1
– 源 目的IP 址
– 源 目的端口 FTP HTTP DNScurrency1
–IP选项 源currency1
–TCP选项 SYN ACK FIN RSTcurrency1
– 其它协议选项 ICMP ECHO ICMP ECHO REPLYcurrency1
– 数据 向 in或out
– 数据 网络接口 eth0 eth1
过滤示例堡垒·`
内部网外部网络在 图所示配置中 内部网 址为 192.168.0.0/24
堡垒·`内网卡eth1 址为 192.168.0.1
外网卡eth0 址为 10.11.12.13
DNS 址为 10.11.15.4
要求允许内部网所有·` 访问外网WWW FTP服务外部网不 访问内部·`
过滤示例(续)
Set internal=192.168.0.0/24
Deny ip from $internal to any in via eth0
Deny ip from not $internal to any in via eth1
Allow udp from $internal to any dns
Allow udp from any dns to $internal
Allow tcp from any to any established
Allow tcp from $internal to any www in via eth1
Allow tcp from $internal to any ftp in via eth1
Allow tcp from any ftp-data to $internal in via eth0
Deny ip from any to any
态 过滤
a71 Check point一项 为“Stateful Inspection”的技术
a71?态?/
a71 协议
一个示例的 一 解 (续)
Set internal=192.168.0.0/24
Deny ip from $internal to any in via eth0
Deny ip from not $internal to any in via eth1
Allow $internal access any dns by udp keep state
Allow $internal acess any www by tcp keep state
Allow $internal access any ftp by tcp keep state
Deny ip from any to any
过滤技术的一 实
a71 防火墙?
a71个£防火墙
a71
a71 Open Source Software
– Ipfilter (FreeBSD OpenBSD Solaris …)
– Ipfw (FreeBSD)
– Ipchains (Linux 2.0.x/2.2.x)
– Iptables (Linux 2.4.x)
¥程 网关(?服务?)
户 网关 服务?
1,网关?解 ¥协议 以实施 的访问控制
2,对 一类 ¥ 需要一个专 的?
3,? 不
发 求 发 求
求 发
¥程 网关的一 实
a71 防火墙?
a71?(cache)服务?
a71 Open Source
– TIS FWTK(Firewall toolkit)
– Apache
– Squid
电? 网关
a71 fifl ¥程 网关相
a71 接 户端 接 求? 户端完?网络 接
a71 在 户和服务?间中 数据
a71 ¥
电? 网关实 方式
a71简单重定向
– 根据 户的 址及所 求端口 该 接重定向到?定的服务? 址及端口
– 对 户端 ¥完全 明
a71在 发¢ 户端£? 接信息
– 需对 户端 ¥作¥当?§
a71 Sockify
电? 网关的一 实
a71 Socks
a71 Winsock
a71 Dante
网络 址翻译(NAT)
a71目的
– 解决IP 址currency1间不足问
– 向外?'“内部网fifl
a71方式
–M-1 多个内部网 址翻译到1个IP 址
–1-1 简单的 址翻译
–M-N 多个内部网 址翻译到N个IP 址?
虚拟专¥网(VPN)
网络端-端加密数据
端-
加密?fi
-
加密?fi(VPN)
网络安全技术物理层链路层网络层传输层会话层表示层应用层
OSI 协议层加密/安全技术 安全协议信fi加密
PPTP/L2TP
IPSec
SSL/TLS
信源加密
SOCKS
¥相关
¥程 网关 /?密网关静态 过滤
态 过滤报告内容
a71基本概念
a71防火墙配置模式
a71防火墙相关技术
a71几个新的方向关于防火墙技术的一 fl?
a71 防火墙技术是一项?–的技术
a71 目¢ 需要的是其是 它集?到 大的安全˙·中 时
– ¥户和?
–作
–?”
a71 当?其他方?的§…‰是 在的
式防火墙
a71 传统防火墙技术的几个问
– 依 于防火墙一端 信 一端是`在的′£
–Internet的发展使?外部?过防火墙访问内部网的需求 加—
– 一 内部·`需要 多的权
– 依 于端-端加密并不 完全解决问
– 过于依 ˉ? fifl
a71 考虑到下?几个?实
– 个£防火墙 ˙到—?¨的 ¥
–?作系统大多? —许多在传统意义于防火墙的
–IPv6以及IPSec技术的发展
– 防火墙 一概念?不
式防火墙(续一)
a71 ˇ?
– ·要o作防?o作在·`端
– — 传统防火墙的ˉ? fifl 不单 依 ˉ?位置? 内外
–?安全? 内外网
a71?方 依 于下
– 明什么 接允许 什么 接不允许
– 一系 系统?o ¥于 发?到 一·`处 以? `fl
的安全
– IPSec技术及其他 安全协议
式防火墙安全 方?
a71 FTP Guard
– MAC 在不 安全 网络间传 件
a71 DTE Firewall
– ¥一 基于?的MAC 为?
a71安全网关安全网关
a71信息 a要素
– time 时间
– src-addr 源 址
–dst-addr 目的 址
–user ¥户
–data 信息内
安全网关(续一)
a71传统防火墙技术与信息 要素
time src-addr dst-addr user data
静态 过滤 不 不
态 过滤 不 不
¥ 网关 部
电? 网关 不
安全网关(续 )
a71信息 入关控制技术
– ˇ? 信息?
– 网关
a71信息密 信息源 信息允许 向 是否完′
–?处?+ 入关 查
– 对?网关的信息 给 —一个一?的fifl及访问控制`制安全网关(续 )
外部网络安全网关
关
的信息内部网安全系统
关
的信息
入关
的信息
入关
的信息
ˇ考
a71 在下 两 下 ¥程?的实 方式
– 协议o?
– 协议不o?
a71 实 M-N?网络 址翻译
a71 过滤 ¥程 网关和电? 网关
tly@cs.pku.edu.cn
2001/4/21 北京大学报告内容
a71基本概念
a71防火墙配置模式
a71防火墙相关技术
a71几个新的方向基本概念
a71 防火墙定义
a71 为什么需要防火墙
a71 对防火墙的两大需求
a71 防火墙系统四要素
a71 防火墙技术的发展过程
a71 引入防火墙技术的好处
a71 争议及不足防火墙定义
a71 防火墙是位于两个(或多个)网络间 实施网间访问控制的一组组件的集合 它满足以下条件
– 内部和外部之间的所有网络数据 过防火墙
– 有 合安全 的数据 过防火墙
– 防火墙 对 (peneration)
为什么需要防火墙
Why Security is Harder than it Looks
a71所有 件 是有 的
a71 下99.99% 的程 问
a71 安全相关的99.99% 的程 以?信 ¢
£?¥?0.01%的 §
a71 0.01%安全问 currency1于100%的'“
内部网
a71组?fifl –
a71 ·?
a71信 –,?有…?
a71有‰ 的内外?
a71`fl有′?的安全需求
a71?ˉ?˙?¨
为什么需要防火墙
a71内部不? Internet的?ˇ
a71为— 安全
a71为— `fl安全
对防火墙的两大需求
a71? 内部网安全
a71? 内部网 外部网的
防火墙系统四要素
a71安全
a71内部网
a71外部网
a71技术
防火墙技术发展过程
a71 20 70 和80 多 系统和安全模? 引
—大a的
a71 网关
a71 防火墙o
a71?防火墙
a71 新的发展防火墙技术?的好处
a71 安全
a71有…? Internet 的
a71不 网络 制安全问
a71是一个安全 的 查站争议及不足
a71 使¥不便 认为防火墙给£虚假的安全感
a71 对¥户不完全 明?传输延迟 瓶颈及单
'…
a71 不 替 墙内的安全措施
– 不 防范恶意的知 者
– 不 防范不 过它的 接
– 不 防范全新的威胁
– 不 有… 防范数据驱?式的?ˇ
– 当使¥端-端加密时 其作¥ 到 大的 制报告内容
a71基本概念
a71防火墙配置模式
a71防火墙相关技术
a71几个新的方向防火墙简图
Gateway(s)
Filter Filter
Inside Outside
防火墙的位置默认安全
a71没有明?禁止的行为 是允许的
a71没有明?允许的行为 是禁止的防火墙?系fifl
a71双宿/多宿·`模式(dual-homed/multi-homed)
a71 ·`模式
a71 子网模式双宿·`模式堡垒·`
内部网外部网络
小服务
权多宿·`模式堡垒·`
内部网1
外部网络内部网2
·`模式
过滤
内部网外部网络堡垒·`
子网模式内部内部网外部网络堡垒·`
外部
DMZ?
周
网解决—单?'…问
实施中的其他问
a71? 服务?小?权¨
a71 使¥多堡垒·`
a71 合并内部与外部
a71 合并堡垒·`与外部
a71 合并堡垒·`与内部
a71 使¥多台内部
a71 使¥多台外部
a71 使¥多个周?网络
a71 使¥双重宿··`与 子网报告内容
a71基本概念
a71防火墙配置模式
a71防火墙相关技术
a71几个新的方向防火墙相关技术
a71静态 过滤
a71?态 过滤
a71 ¥程 网关(?服务?)
a71电? 网关
a71网络 址翻译
a71虚拟专¥网静态 过滤
a71 根据 该设备的数据 址信息 决定是否允许该数据 过
a71 判断依据有( 考虑IP )
– 数据 协议类? TCP UDP ICMP IGMPcurrency1
– 源 目的IP 址
– 源 目的端口 FTP HTTP DNScurrency1
–IP选项 源currency1
–TCP选项 SYN ACK FIN RSTcurrency1
– 其它协议选项 ICMP ECHO ICMP ECHO REPLYcurrency1
– 数据 向 in或out
– 数据 网络接口 eth0 eth1
过滤示例堡垒·`
内部网外部网络在 图所示配置中 内部网 址为 192.168.0.0/24
堡垒·`内网卡eth1 址为 192.168.0.1
外网卡eth0 址为 10.11.12.13
DNS 址为 10.11.15.4
要求允许内部网所有·` 访问外网WWW FTP服务外部网不 访问内部·`
过滤示例(续)
Set internal=192.168.0.0/24
Deny ip from $internal to any in via eth0
Deny ip from not $internal to any in via eth1
Allow udp from $internal to any dns
Allow udp from any dns to $internal
Allow tcp from any to any established
Allow tcp from $internal to any www in via eth1
Allow tcp from $internal to any ftp in via eth1
Allow tcp from any ftp-data to $internal in via eth0
Deny ip from any to any
态 过滤
a71 Check point一项 为“Stateful Inspection”的技术
a71?态?/
a71 协议
一个示例的 一 解 (续)
Set internal=192.168.0.0/24
Deny ip from $internal to any in via eth0
Deny ip from not $internal to any in via eth1
Allow $internal access any dns by udp keep state
Allow $internal acess any www by tcp keep state
Allow $internal access any ftp by tcp keep state
Deny ip from any to any
过滤技术的一 实
a71 防火墙?
a71个£防火墙
a71
a71 Open Source Software
– Ipfilter (FreeBSD OpenBSD Solaris …)
– Ipfw (FreeBSD)
– Ipchains (Linux 2.0.x/2.2.x)
– Iptables (Linux 2.4.x)
¥程 网关(?服务?)
户 网关 服务?
1,网关?解 ¥协议 以实施 的访问控制
2,对 一类 ¥ 需要一个专 的?
3,? 不
发 求 发 求
求 发
¥程 网关的一 实
a71 防火墙?
a71?(cache)服务?
a71 Open Source
– TIS FWTK(Firewall toolkit)
– Apache
– Squid
电? 网关
a71 fifl ¥程 网关相
a71 接 户端 接 求? 户端完?网络 接
a71 在 户和服务?间中 数据
a71 ¥
电? 网关实 方式
a71简单重定向
– 根据 户的 址及所 求端口 该 接重定向到?定的服务? 址及端口
– 对 户端 ¥完全 明
a71在 发¢ 户端£? 接信息
– 需对 户端 ¥作¥当?§
a71 Sockify
电? 网关的一 实
a71 Socks
a71 Winsock
a71 Dante
网络 址翻译(NAT)
a71目的
– 解决IP 址currency1间不足问
– 向外?'“内部网fifl
a71方式
–M-1 多个内部网 址翻译到1个IP 址
–1-1 简单的 址翻译
–M-N 多个内部网 址翻译到N个IP 址?
虚拟专¥网(VPN)
网络端-端加密数据
端-
加密?fi
-
加密?fi(VPN)
网络安全技术物理层链路层网络层传输层会话层表示层应用层
OSI 协议层加密/安全技术 安全协议信fi加密
PPTP/L2TP
IPSec
SSL/TLS
信源加密
SOCKS
¥相关
¥程 网关 /?密网关静态 过滤
态 过滤报告内容
a71基本概念
a71防火墙配置模式
a71防火墙相关技术
a71几个新的方向关于防火墙技术的一 fl?
a71 防火墙技术是一项?–的技术
a71 目¢ 需要的是其是 它集?到 大的安全˙·中 时
– ¥户和?
–作
–?”
a71 当?其他方?的§…‰是 在的
式防火墙
a71 传统防火墙技术的几个问
– 依 于防火墙一端 信 一端是`在的′£
–Internet的发展使?外部?过防火墙访问内部网的需求 加—
– 一 内部·`需要 多的权
– 依 于端-端加密并不 完全解决问
– 过于依 ˉ? fifl
a71 考虑到下?几个?实
– 个£防火墙 ˙到—?¨的 ¥
–?作系统大多? —许多在传统意义于防火墙的
–IPv6以及IPSec技术的发展
– 防火墙 一概念?不
式防火墙(续一)
a71 ˇ?
– ·要o作防?o作在·`端
– — 传统防火墙的ˉ? fifl 不单 依 ˉ?位置? 内外
–?安全? 内外网
a71?方 依 于下
– 明什么 接允许 什么 接不允许
– 一系 系统?o ¥于 发?到 一·`处 以? `fl
的安全
– IPSec技术及其他 安全协议
式防火墙安全 方?
a71 FTP Guard
– MAC 在不 安全 网络间传 件
a71 DTE Firewall
– ¥一 基于?的MAC 为?
a71安全网关安全网关
a71信息 a要素
– time 时间
– src-addr 源 址
–dst-addr 目的 址
–user ¥户
–data 信息内
安全网关(续一)
a71传统防火墙技术与信息 要素
time src-addr dst-addr user data
静态 过滤 不 不
态 过滤 不 不
¥ 网关 部
电? 网关 不
安全网关(续 )
a71信息 入关控制技术
– ˇ? 信息?
– 网关
a71信息密 信息源 信息允许 向 是否完′
–?处?+ 入关 查
– 对?网关的信息 给 —一个一?的fifl及访问控制`制安全网关(续 )
外部网络安全网关
关
的信息内部网安全系统
关
的信息
入关
的信息
入关
的信息
ˇ考
a71 在下 两 下 ¥程?的实 方式
– 协议o?
– 协议不o?
a71 实 M-N?网络 址翻译
a71 过滤 ¥程 网关和电? 网关