1
计算机系统安全
第九章
防火墙
2
一、防火墙概述
什么是防火墙 (Firewall)?
防火墙:在两个信任程度不同的网络之间设
置的、用于加强访问控制的软硬件保护设施。
3
一、防火墙的用途
一、防火墙概述
1) 作为, 扼制点,, 限制信息的进入或离开;
2) 防止侵入者接近并破坏你的内部设施;
3) 监视, 记录, 审查重要的业务流;
4) 实施网络地址转换, 缓解地址短缺矛盾 。
防火墙只允许已授权的业务流通过, 而且本身
也应抵抗渗透攻击 。
建立防火墙必须全面考虑安全策略, 否则形同
虚设 。
4
二、好的防火墙系统
一、防火墙概述
1) 内部网络和外部网络之间传输的数据必须
通过防火墙;
2) 只有防火墙系统中安全策略允许的数据可
以通过防火墙;
3) 防火墙本身不受各种攻击的影响 。
5
三、防火墙的优点
一、防火墙概述
1.防止易受攻击的服务
通过过滤不安全的服务来降低子网上主系统
的风险 。
可以禁止某些易受攻击的服务 (如 NFS)进入或
离开受保护的子网 。
可以防护基于路由选择的攻击, 如源路由选
择和企图通过 ICMP改向把发送路径转向遭致
损害的网点 。
6
一、防火墙概述
2.控制访问网点系统
可以提供对系统的访问控制 。 如允许从外部访问某
些主机 (Mail Server和 Web Server), 同时禁止访问另
外的主机 。
3.集中安全性
防火墙定义的安全规则可用于整个内部网络系统, 而
无须在内部网每台机器上分别设立安全策略 。
可以定义不同的认证方法, 而不需要在每台机器上分
别安装特定的认证软件 。 外部用户只需要经过一次认
证即可访问内部网 。 例如对于密码口令系统或其他的
身份认证软件等, 放在防火墙系统中更是优于放在每
个 Internet能访问的机器上 。
7
一、防火墙概述
4.增强的保密, 强化私有权
使用防火墙系统, 站点可以防止 finger 以及 DNS域名
服务 。 Finger能列出当前用户, 上次登录时间, 以及
是否读过邮件等 。
5.有关网络使用, 滥用的记录和统计
防火墙可以记录各次访问, 并提供有关网络使用率等
有价值的统计数字 。
网络使用率统计数字可作为网络需求研究和风险分析
的依据;收集有关网络试探的证据, 可确定防火墙上
的控制措施是否得当, 能否抵御试探和攻击 。
8
四、防火墙的局限性
一、防火墙概述
1) 防火墙防外不防内
防火墙可以禁止系统用户经过网络连接发送
专有的信息, 但用户可以将数据复制到磁盘,
磁带上, 放在公文包中带出去 。 如果入侵者
已经在防火墙内部, 防火墙是无能为力的 。
内部用户偷窃数据, 破坏硬件和软件, 并且
巧妙地修改程序而不接近防火墙 。 对于来自
知情者的威胁只能要求加强内部管理, 如主
机安全和用户教育, 管理, 制度等 。
9
一、防火墙概述
2) 不能防范绕过防火墙的攻击
防火墙能够有效地防止通过它进行传输信息,
然而不能防止不通过它而传输的信息 。 例如,
如果站点允许对防火墙后面的内部系统进行拨
号访问, 那么防火墙绝对没有办法阻止入侵者
进行拨号入侵 。
3) 防火墙配置复杂, 容易出现安全漏洞
4) 防火墙往往只认机器 ( IP地址 ) 不认人
( 用户身份 ), 并且控制粒度较粗 。
10
一、防火墙概述
5) 防火墙不能防范病毒
防火墙不能防止感染了病毒的软件或文件的
传输 。 这只能在每台主机上装反病毒软件 。
6) 防火墙不能防止数据驱动式攻击 。
当有些表面看来无害的数据被邮寄或复制到
内部网主机上并被执行而发起攻击时, 就会
发生数据驱动攻击 。 特别是随着 Java、
JavaScript,ActiveX的应用, 这一问题更加
突出 。
11
五、防火墙的特点
一、防火墙概述
1,广泛的服务支持:通过将动态的, 应用层的
过滤能力和认证相结合, 可实现 WWW浏览器,
HTTP服务器, FTP等;
2,对私有数据的加密支持:保证通过 Internet
进行虚拟私人网络和商务活动的安全;
3,客户端认证:只允许指定的用户访问内部网
络或选择服务:企业本地网与分支机构, 商业
伙伴和移动用户间安全通信的附加部分;
12
五、防火墙的特点
一、防火墙概述
4,反欺骗:欺骗是从外部获取网络访问权的
常用手段, 它使数据包好似来自网络内部 。
防火墙能监视这样的数据包并能扔掉它们;
5,C/S模式和跨平台支持:能使运行在一平
台的管理模块控制运行在另一平台的监视模
块 。
13
1、服务访问政策
二、网络政策
服务访问政策是整个机构信息安全政策的延
伸, 既要可靠又要切合实际 。
一个典型的政策可以不允许从 Internet访问网
点, 但要允许从网点访问 Internet。
另一个典型政策是允许从 Internet进行某些访
问, 但是或许只许可访问经过选择的系统,
如 Web服务器和电子邮件服务器 。
14
允许拒绝
2、防火墙设计政策
防火墙一般实施两个基本设计方针之一,
1., 没有明确允许的都是被禁止的,, 即拒绝一切未予特
许的东西 。
2., 没有明确禁止的都是被允许的, ;也即是允许一切未
被特别拒绝的东西
允许 拒绝
15
六、防火墙的体系结构
1) 屏蔽路由器 ( Screened Router)
2) 双宿主机网关;
Dual Homed Host Gateway
3) 屏蔽主机防火墙;
Screened Gateway
4) 屏蔽子网防火墙 。
Screened Subnet
16
1.屏蔽路由器( Screened Router)
包过滤路由器,路由 + 过滤
这是最简单的防火墙。
缺点:
? 日志没有或很少,难以判断是否被入侵
? 规则表会随着应用变得很复杂
? 单一的部件保护,脆弱
17
2.双宿主机网关
防火墙体系结构
18
防火墙体系结构
用一台装有两块网卡的计算机作为堡垒主机
( Bastion host), 两块网卡分别与内部网和外
部网 ( 或屏蔽路由器 ) 相连, 每块网卡有各自
的 IP地址 。 堡垒主机上运行防火墙软件 —— 代
理服务 ( 应用层网关 ) 。 在建立双宿主机时,
应关闭操作系统的路由功能 ( IP转发 ), 否则
两块网卡间的通信会绕过代理服务器软件 。
优点:与屏蔽路由器相比, 提供日志以备检查
缺点,双宿主机易受攻击
19
3.屏蔽主机防火墙
防火墙体系结构
20
屏蔽主机体系结构
21
防火墙体系结构
由屏蔽路由器和应用网关组成。
两道屏障:网络层的包过滤;应用层代理服务
注:与双宿主机网关不同,这里的应用网关只
有一块网卡。
优点:双重保护,安全性更高。
实施策略:针对不同的服务,选择其中的一种
或两种保护措施。
22
4.屏蔽子网体系结构
防火墙体系结构
组成:一个包含堡垒主机的周边子网、
两台屏蔽路由器。
23
屏蔽子网体系结构
24
防火墙体系结构
屏蔽子网防火墙中, 添加周边网络进一步地把
内部网络与 Internet隔离开 。
通过在周边网络上隔离堡垒主机, 能减少在堡
垒主机上侵入的影响 。
要想侵入用这种类型的体系结构构筑的内部网
络, 侵袭者必须通过外部路由器, 堡垒主机,
内部路由器三道关口 。
1) 周边网络,非军事化区, 停火区 ( DMZ)
周边网络是另一个安全层,是在外部网络与内部
网络之间的附加的网络 。
25
防火墙体系结构
周边网络的作用
对于周边网络, 如果某人侵入周边网上的堡垒
主机, 他仅能探听到周边网上的通信 。 因为所
有周边网上的通信来自或者通往堡垒主机或
Internet。
因为没有严格的内部通信 (即在两台内部主机之
间的通信, 这通常是敏感的或者专有的 )能越过
周边网 。 所以, 如果堡垒主机被损害, 内部的
通信仍将是安全的 。
26
防火墙体系结构
2) 堡垒主机
接受来自外界连接的主要入口:
1对于进来的电子邮件 ( SMTP) 会话, 传送
电子邮件到站点;
2对于进来的 FTP连接, 转接到站点的匿名 FTP
服务器;
3对于进来的域名服务 ( DNS) 站点查询等 。
27
防火墙体系结构
出站服务按如下任一方法处理:
1.在外部和内部的路由器上设置数据包过滤来
允许内部的客户端直接访问外部的服务器 。
2.设置代理服务器在堡垒主机上运行 ( 如果用
户的防火墙使用代理软件 ) 来允许内部的客户
端间接地访问外部的服务器 。 用户也可以设置
数据包过滤来允许内部的客户端在堡垒主机上
同代理服务器交谈 。 但是禁止内部的客户端与
外部世界之间直接通信 (如拨号上网 )。
28
防火墙体系结构
3) 内部路由器
内部路由器 ( 阻塞路由器 ),保护内部的网络使之免
受 Internet和周边子网的侵犯 。
内部路由器为用户的防火墙执行大部分的数据包过滤
工作 。 它允许从内部网到 Internet的有选择的出站服务 。
这些服务是用户使用数据包过滤而不是通过代理服务
提供 。
内部路由器所允许的在周边网和内部网之间服务可不
同于内部路由器所允许的在外部和内部网之间的服务 。
限制堡垒主机与内部网之间的通信可减少堡垒机被攻
破时对内部网的危害 。
29
防火墙体系结构
4) 外部路由器
在理论上, 外部路由器保护周边网和内部网
使之免受来自 Internet的侵犯 。 实际上, 外部
路由器倾向于允许几乎任何东西从周边网出
站, 并且它们通常只执行非常少的数据包过
滤 。
外部路由器安全任务之一是:阻止从 Internet
上伪造源地址进来的任何数据包 。
30
内部防火墙问题
防火墙体系结构
在大部分讨论中,都假定建立防火墙的目的在
于保护内部网免受外部网的侵扰 。 但有时为
了某些原因, 我们还需要对内部网的部分站
点再加以保护以免受内部的其它站点的侵袭 。
因此, 有时我们需要在同一结构的两个部分
之间, 或者在同一内部网的两个不同组织结
构之间再建立防火墙 ( 也被称为内部防火
墙 ) 。
31
复合型防火墙
复合型防火墙
采用哪种形式的防火墙取决于经费, 技术, 时间等 。
应用层
表示层
会话层
传输层
网络层
链路层
物理层
包过滤
应用网关
电路网关
32
包过滤技术
包过滤技术
33
包过滤技术的原理
包过滤技术
在路由器上加入 IP Filtering 功能, 这样的路由器就成
为 Screening Router 。
Router逐一审查每个数据包以判定它是否与其它包过
滤规则相匹配 (只检查包头, 不理会包内的正文信息 )。
如果找到一个匹配, 且规则允许这包, 这个包则根据
路由表中的信息前行;
如果找到一个匹配, 且规则允许拒绝此包, 这一包则
被舍弃;
如果无匹配规则, 一个用户配置的缺省参数将决定此
包是前行还是被舍弃 。
34
IPv4
包过滤技术
版本号
Version
(4bit)
报头长
IHL
(4bit)
服务类型
ServiceType
(8bit)
分组总长度
Total Length
(16bit)
标识
Identification
(16bit)
标志
Flags
(3bit)
片偏移
Fragment Offset
(13bit)
生存时间
Time to Live
(8bit)
传输层协议
Protocol
(8bit)
头部校验和
Header Checksum
(16bit)
源 IP地址
Source Address(32bit)
宿 IP地址
Destination Address(32bit)
可选项
Option
有效负载
Payload( 0或多个字节)
20
bytes
0 4 8 16 19 31
填充域
padding
35
ICMP报文
包过滤技术
ICMP报文的一般格式
Data
差错信息
出错 IP数据报的头 +64个字节数据
类型
Type(8bit)
代码
Code (8bit)
检验和
Checksum(16bit)
不同类型和代码有不同的内容 Data
0 8 16 31
ICMP header ICMP data
IP header I P data
封装
36
TCP头部
包过滤技术
源端口 Source Port
(16bit)
宿端口 Destination Port
(16bit)
序列号 Sequence Number (32bit)
确认号 Acknowledgment Number (32bit)
Data
Offset
(4bit)
Reserved
(6bit)
U
R
G
A
C
K
P
S
H
R
S
T
S
Y
N
F
I
N
窗口大小 Window size
(16bit)
校验和 Checksum (16bit) 紧急指针 Urgent Pointer (16bit)
选项 Options (0 或多个 32bit 字 )
数据 Data ( 可选 )
37
UDP头部
包过滤技术
UDP源端口 UDP宿端口
UDP长度 UDP校验和
16bit 16bit
最小值为 8 全,0”:不选;
全,1”:校验和为 0。
38
包过滤的依据
包过滤技术
IP 源地址
IP目的地址
封装协议 (TCP,UDP,或 IP Tunnel)
TCP/UDP源端口
TCP/UDP目的端口
ICMP包类型
TCP报头的 ACK位
包输入接口和包输出接口
39
依赖于服务的过滤
包过滤技术
多数服务对应特定的端口, 例,Telnet,SMTP,POP3分别
为 23,25,110。 如要封锁输入 Telnet, SMTP的连接, 则
Router丢弃端口值为 23和 25的所有数据包 。
典型的过滤规则有以下几种:
.只允许进来的 Telnet会话连接到指定的一些内部主机
.只允许进来的 FTP会话连接到指定的一些内部主机
.允许所有出去的 Telnet 会话
,允许所有出去的 FTP 会话
.拒绝从某些指定的外部网络进来的所有信息
40
独立于服务的过滤
有些类型的攻击很难用基本包头信息加以鉴别, 因为
独立于服务 。 要防止这类攻击, 需要在过滤规则中
考虑其它信息, 如:路由表, 特定的 IP选项, 特定
的片段偏移等 。 不依赖于服务的攻击有三类:
1) 源 IP地址欺骗攻击
入侵者从伪装成源自一台内部主机的一个外部地点传
送一些信息包;这些信息包似乎像包含了一个内部
系统的源 IP地址 。 如果这些信息包到达 Router的外
部接口, 则舍弃每个含有这个源 IP地址的信息包,
就可以挫败这种源欺骗攻击 。
41
包过滤技术
2) 源路由攻击
攻击者为信息包指定一个穿越 Internet的路由,
这类攻击企图绕过安全措施, 并使信息包沿一条意外
(疏漏 )的路径到达目的地 。 可以通过舍弃所有包含这
类源路由选项的信息包方式, 来挫败这类攻击 。
3) 残片攻击
入侵者利用 IP分段特性生成一个极小的片断并将
TCP报头信息肢解成一个分离的信息包片断, 使数据
包绕过用户定义的过滤规则 。 黑客希望过滤路由器只
检查第一分段, 而允许其它分段通过 。 通过舍弃所有
协议类型为 TCP,IP报头中 Fragment Offset=1的数据
包, 即可挫败残片的攻击 。
42
推荐的过滤规则
? 任何进入内网的数据包不能将内部地址作为源地址
? 任何进入内网的数据包必须将内部地址作为目标地址
? 任何离开内网的数据包必须将内部地址作为源地址
? 任何离开内网的数据包不能将内部地址作为目标地址
? 任何进入或离开内网的数据包不能把一个私有地址或
者 127.0.0.0/8作为源或目标地址
? 保留,DHCP自动配置和多播地址也要被阻塞:
0.0.0.0/8 169.254.0.0/16 192.0.2.0/24
224.0.0.0/4 240.0.0.0/4
43
包过滤路由器的优点
包过滤技术
1,实现包过滤几乎不再需要费用 。 这些特点都包
含再标准的路由器软件中 。 绝大多数 Internet防火
墙系统只用一个包过滤路由器,
2,执行 PACKET FILTER 所用的时间很少或几乎不
需要什么时间 。 因为 Internet 访问一般被提供给
一个 WAN接口 。 如果通信负载适中且定义的过滤很
少的话,则对路由性能没有多大影响,
3,包过滤路由器对终端用户和应用程序是透明的,
因此不需要专门的用户培训或在每主机上设置特别
的软件,
44
包过滤路由器的局限性
包过滤技术
1,定义包过滤器的工作复杂,要了解 Internet各种服
务, 包头格式和每个域查找的特定值 。 管理困难 。
2,通过路由器的数据包有可能被用于数据驱动攻击
3,过滤器数目增加, 路由器吞吐量下降
4,无法对流动的信息提供全面控制 。 不能理解上下文 。
5,一些应用协议不适合于包过滤, 如,RPC,FTP等 。
6,日志能力较弱 。 不能报告谁企图入侵 。
7,难以针对用户实施安全策略 。
45
代理服务技术
代理服务
该 技术它能够将所有跨越防火墙的网络通信链
路分为两段。防火墙内外计算机系统间应用
层的连接,由两个代理服务器之间的连接来
实现,外部计算机的网络链路只能到达代理
服务器,从而起到隔离防火墙内外计算机系
统的作用。
此 外, 代理服务器也对过往的数据包进行分析、
记录、形成报告,当发现攻击迹象时会向网
络管理员发出警告,并保留攻击痕迹。
46
代理服务技术
代理服务
47
应用层网关
应用网关
应用层网关 ( Application Level Gateways)
技术是在网络的应用层上实现协议过滤和转
发功能 。 它针对特定的网络应用服务协议,
如:超文本传输协议 (HTTP),远程文件传输
协议 (FTP)等, 使用指定的数据过滤规则 。 并
在过滤的同时, 对数据包进行必要的分析,
记录和统计, 形成报告 。 记录和控制所有进
出流量是应用层网关的一个主要优点 。
48
应用层上的过滤
应用网关
49
应用层网关
50
电路层网关 (Circuit Gateway)
电路网关工作在 OSI的会话层。分组地址是一个
应用层的用户进程。电路网关在两个通信端点
之间复制字节。电路网关包含有支持某些
TCP/IP应用的程序代码,但通常是有限的。
电路网关适于限制内部网对外部的访问,但不能
实施协议过滤。从电路网关出来的连接好象都
是从防火墙产生的,故可以隐藏内部网络信息。
电路网关与包过滤相似,但比包过滤高两层,安
全性更好。
51
电路层网关
52
一个例子
代理服务
用包过滤路由器封锁所有输入 Telnet和 Ftp 连接的网
点 。 路由器允许 Telnet和 Ftp包只通过一个主系统,
即 Telnet/Ftp应用网关, 然后再连接到目的主系统:
1,用户首先把 Telnet连接到应用网关, 并输入内部主
系统名字;
2,网关检验用户的源 IP地址, 并根据访问准则接受或
拒绝;
3,用户可能需要证明自己的身份 ( 可使用一次性口令
装置 ) ;
4,代理服务软件在 网关和内部主系统之间建立 Telnet
连接 ;
53
代理服务的优点
代理服务
1)易于配置 软件实现,界面友好
2)日志记录,便于分析
3)灵活控制进出流量、内容 (who,what,where,
when)
例如,可以过滤协议。为防止用户向匿名 FTP服务器
写数据,可拒绝使用 FTP 协议中的 put 命令; 能过
滤数据内容:文本过滤、图像过滤、病毒扫描等。
4)为用户提供透明的加密机制 VPN
5) 便于与其它安全手段集成 认证 授权 加密 TLS
协议
54
代理服务的缺点
? 速度慢:检查内容;转发 /响应
? 代理对用户不透明
对客户端要定制软件或改动; 如何跨
平台;代理服务难以让可户非常满意
? 不能改进底层协议的安全
IP欺骗 SYN泛滥 拒绝服务攻击
? 有可能受到协议漏洞的威胁
55
包过滤与代理的结合
代理服务
为提高安全性, 将包过滤方法与应用代理的
方法结合起来, 形成复合型防火墙产品 。 有
两种方案 。
1) 屏蔽主机防火墙体系结构:在该结构中,
包过滤路由器或防火墙与 Internet相连, 同时
一个堡垒机安装在内部网络, 通过在包过滤
路由器或防火墙上过滤规则的设置, 使堡垒
机成为 Internet上其它节点所能到达的唯一节
点, 这确保了内部网络不受未授权外部用户
的攻击 。
56
代理服务
2)屏蔽子网防火墙体系结构:堡垒机放在一个
子网内, 形成非军事化区, 两个包过滤路由器
放在这一子网的两端, 使这一子网与 Internet及
内部网络分离 。 在屏蔽子网防火墙体系结构中,
堡垒主机和包过滤路由器共同构成了整个防火
墙的安全基础 。
代理服务器及防火墙软件包:
Wingate
Microsoft Proxy Server
57
用户眼中的代理
代理服务
免费代理
出现原因:系统漏洞;管理员设置的代理;
ISP提高影响, 在一段时间内开发的代理 。
代理服务器的设置
IE中:工具 —— Internet选项 —— 连接 —— 局
域网设置
58
防火墙的现状
? 第一代 包过滤 (Packet Filter) 1983年
? 第二代 电路层网关 1989年
应用层网关 代理服务 1990年
? 第三代 动态包过滤 状态监视 1992年
? 第四代 自适应代理 1998年
59
防火墙的发展趋势
? 优良的性能 速度瓶颈
? 易扩展 支持 NAT VPN等
? 过滤深度加强,URL(页面 )过滤、关键字
过滤,ActiveX过滤、病毒扫描等
? 主动检测与报警
? 日志分析工具
60
防火墙产品介绍
? 以色列 Checkpoint公司的 Fire Wall-1
? Cisco公司的 PIX
? NAI公司的 Gauntlet
? CyberGuard 公司的 Fire Wall
? 个人防火墙:
澳大利亚的 Secure PC
加拿大的 ConSeal PC
美国的 Cyber Patrol
中国的, 天网,,, 网络卫士,,, 蓝
盾,
61
天网防火墙
62
天网防火墙
安全规则设置
这是系统最重要, 也是最复杂的地方 。 可
以非常灵活的设计合适自己使用的规则 。
规则是一系列的比较条件和一个对数据包的
动作, 就是根据数据包的每一个部分来与设
置的条件比较, 当符合条件时, 就可以确定
对该包放行或者阻挡 。 通过合理的设置规则
就可以把有害的数据包挡在你的机器之外 。
63
工具条,点击上面的按钮来导入, 增加, 修改, 删除
规则 。 由于规则判断是由上而下的, 可以通过点击调
,规则上下移动, 按钮调整规则的顺序, 当调整好顺
序后, 可按保存按钮保存修改 。 当规则增加或修改后,
为了让这些规则生效, 还要点击, 应用新规则, 按钮 。
规则列表,列出了所有的规则的名称, 该规则所对应
的数据包的方向, 该规则所控制的协议, 本机端口,
对方地址和对方端口, 以及当数据包满足本规则时所
采取的策略 。
在列表的左边为该规则是否有效的标志, 标记为钩
表示改规则有效, 否则表示无效 。 当改变这些标志后,
按保存键 。
64
天网防火墙
65
天网防火墙
计算机系统安全
第九章
防火墙
2
一、防火墙概述
什么是防火墙 (Firewall)?
防火墙:在两个信任程度不同的网络之间设
置的、用于加强访问控制的软硬件保护设施。
3
一、防火墙的用途
一、防火墙概述
1) 作为, 扼制点,, 限制信息的进入或离开;
2) 防止侵入者接近并破坏你的内部设施;
3) 监视, 记录, 审查重要的业务流;
4) 实施网络地址转换, 缓解地址短缺矛盾 。
防火墙只允许已授权的业务流通过, 而且本身
也应抵抗渗透攻击 。
建立防火墙必须全面考虑安全策略, 否则形同
虚设 。
4
二、好的防火墙系统
一、防火墙概述
1) 内部网络和外部网络之间传输的数据必须
通过防火墙;
2) 只有防火墙系统中安全策略允许的数据可
以通过防火墙;
3) 防火墙本身不受各种攻击的影响 。
5
三、防火墙的优点
一、防火墙概述
1.防止易受攻击的服务
通过过滤不安全的服务来降低子网上主系统
的风险 。
可以禁止某些易受攻击的服务 (如 NFS)进入或
离开受保护的子网 。
可以防护基于路由选择的攻击, 如源路由选
择和企图通过 ICMP改向把发送路径转向遭致
损害的网点 。
6
一、防火墙概述
2.控制访问网点系统
可以提供对系统的访问控制 。 如允许从外部访问某
些主机 (Mail Server和 Web Server), 同时禁止访问另
外的主机 。
3.集中安全性
防火墙定义的安全规则可用于整个内部网络系统, 而
无须在内部网每台机器上分别设立安全策略 。
可以定义不同的认证方法, 而不需要在每台机器上分
别安装特定的认证软件 。 外部用户只需要经过一次认
证即可访问内部网 。 例如对于密码口令系统或其他的
身份认证软件等, 放在防火墙系统中更是优于放在每
个 Internet能访问的机器上 。
7
一、防火墙概述
4.增强的保密, 强化私有权
使用防火墙系统, 站点可以防止 finger 以及 DNS域名
服务 。 Finger能列出当前用户, 上次登录时间, 以及
是否读过邮件等 。
5.有关网络使用, 滥用的记录和统计
防火墙可以记录各次访问, 并提供有关网络使用率等
有价值的统计数字 。
网络使用率统计数字可作为网络需求研究和风险分析
的依据;收集有关网络试探的证据, 可确定防火墙上
的控制措施是否得当, 能否抵御试探和攻击 。
8
四、防火墙的局限性
一、防火墙概述
1) 防火墙防外不防内
防火墙可以禁止系统用户经过网络连接发送
专有的信息, 但用户可以将数据复制到磁盘,
磁带上, 放在公文包中带出去 。 如果入侵者
已经在防火墙内部, 防火墙是无能为力的 。
内部用户偷窃数据, 破坏硬件和软件, 并且
巧妙地修改程序而不接近防火墙 。 对于来自
知情者的威胁只能要求加强内部管理, 如主
机安全和用户教育, 管理, 制度等 。
9
一、防火墙概述
2) 不能防范绕过防火墙的攻击
防火墙能够有效地防止通过它进行传输信息,
然而不能防止不通过它而传输的信息 。 例如,
如果站点允许对防火墙后面的内部系统进行拨
号访问, 那么防火墙绝对没有办法阻止入侵者
进行拨号入侵 。
3) 防火墙配置复杂, 容易出现安全漏洞
4) 防火墙往往只认机器 ( IP地址 ) 不认人
( 用户身份 ), 并且控制粒度较粗 。
10
一、防火墙概述
5) 防火墙不能防范病毒
防火墙不能防止感染了病毒的软件或文件的
传输 。 这只能在每台主机上装反病毒软件 。
6) 防火墙不能防止数据驱动式攻击 。
当有些表面看来无害的数据被邮寄或复制到
内部网主机上并被执行而发起攻击时, 就会
发生数据驱动攻击 。 特别是随着 Java、
JavaScript,ActiveX的应用, 这一问题更加
突出 。
11
五、防火墙的特点
一、防火墙概述
1,广泛的服务支持:通过将动态的, 应用层的
过滤能力和认证相结合, 可实现 WWW浏览器,
HTTP服务器, FTP等;
2,对私有数据的加密支持:保证通过 Internet
进行虚拟私人网络和商务活动的安全;
3,客户端认证:只允许指定的用户访问内部网
络或选择服务:企业本地网与分支机构, 商业
伙伴和移动用户间安全通信的附加部分;
12
五、防火墙的特点
一、防火墙概述
4,反欺骗:欺骗是从外部获取网络访问权的
常用手段, 它使数据包好似来自网络内部 。
防火墙能监视这样的数据包并能扔掉它们;
5,C/S模式和跨平台支持:能使运行在一平
台的管理模块控制运行在另一平台的监视模
块 。
13
1、服务访问政策
二、网络政策
服务访问政策是整个机构信息安全政策的延
伸, 既要可靠又要切合实际 。
一个典型的政策可以不允许从 Internet访问网
点, 但要允许从网点访问 Internet。
另一个典型政策是允许从 Internet进行某些访
问, 但是或许只许可访问经过选择的系统,
如 Web服务器和电子邮件服务器 。
14
允许拒绝
2、防火墙设计政策
防火墙一般实施两个基本设计方针之一,
1., 没有明确允许的都是被禁止的,, 即拒绝一切未予特
许的东西 。
2., 没有明确禁止的都是被允许的, ;也即是允许一切未
被特别拒绝的东西
允许 拒绝
15
六、防火墙的体系结构
1) 屏蔽路由器 ( Screened Router)
2) 双宿主机网关;
Dual Homed Host Gateway
3) 屏蔽主机防火墙;
Screened Gateway
4) 屏蔽子网防火墙 。
Screened Subnet
16
1.屏蔽路由器( Screened Router)
包过滤路由器,路由 + 过滤
这是最简单的防火墙。
缺点:
? 日志没有或很少,难以判断是否被入侵
? 规则表会随着应用变得很复杂
? 单一的部件保护,脆弱
17
2.双宿主机网关
防火墙体系结构
18
防火墙体系结构
用一台装有两块网卡的计算机作为堡垒主机
( Bastion host), 两块网卡分别与内部网和外
部网 ( 或屏蔽路由器 ) 相连, 每块网卡有各自
的 IP地址 。 堡垒主机上运行防火墙软件 —— 代
理服务 ( 应用层网关 ) 。 在建立双宿主机时,
应关闭操作系统的路由功能 ( IP转发 ), 否则
两块网卡间的通信会绕过代理服务器软件 。
优点:与屏蔽路由器相比, 提供日志以备检查
缺点,双宿主机易受攻击
19
3.屏蔽主机防火墙
防火墙体系结构
20
屏蔽主机体系结构
21
防火墙体系结构
由屏蔽路由器和应用网关组成。
两道屏障:网络层的包过滤;应用层代理服务
注:与双宿主机网关不同,这里的应用网关只
有一块网卡。
优点:双重保护,安全性更高。
实施策略:针对不同的服务,选择其中的一种
或两种保护措施。
22
4.屏蔽子网体系结构
防火墙体系结构
组成:一个包含堡垒主机的周边子网、
两台屏蔽路由器。
23
屏蔽子网体系结构
24
防火墙体系结构
屏蔽子网防火墙中, 添加周边网络进一步地把
内部网络与 Internet隔离开 。
通过在周边网络上隔离堡垒主机, 能减少在堡
垒主机上侵入的影响 。
要想侵入用这种类型的体系结构构筑的内部网
络, 侵袭者必须通过外部路由器, 堡垒主机,
内部路由器三道关口 。
1) 周边网络,非军事化区, 停火区 ( DMZ)
周边网络是另一个安全层,是在外部网络与内部
网络之间的附加的网络 。
25
防火墙体系结构
周边网络的作用
对于周边网络, 如果某人侵入周边网上的堡垒
主机, 他仅能探听到周边网上的通信 。 因为所
有周边网上的通信来自或者通往堡垒主机或
Internet。
因为没有严格的内部通信 (即在两台内部主机之
间的通信, 这通常是敏感的或者专有的 )能越过
周边网 。 所以, 如果堡垒主机被损害, 内部的
通信仍将是安全的 。
26
防火墙体系结构
2) 堡垒主机
接受来自外界连接的主要入口:
1对于进来的电子邮件 ( SMTP) 会话, 传送
电子邮件到站点;
2对于进来的 FTP连接, 转接到站点的匿名 FTP
服务器;
3对于进来的域名服务 ( DNS) 站点查询等 。
27
防火墙体系结构
出站服务按如下任一方法处理:
1.在外部和内部的路由器上设置数据包过滤来
允许内部的客户端直接访问外部的服务器 。
2.设置代理服务器在堡垒主机上运行 ( 如果用
户的防火墙使用代理软件 ) 来允许内部的客户
端间接地访问外部的服务器 。 用户也可以设置
数据包过滤来允许内部的客户端在堡垒主机上
同代理服务器交谈 。 但是禁止内部的客户端与
外部世界之间直接通信 (如拨号上网 )。
28
防火墙体系结构
3) 内部路由器
内部路由器 ( 阻塞路由器 ),保护内部的网络使之免
受 Internet和周边子网的侵犯 。
内部路由器为用户的防火墙执行大部分的数据包过滤
工作 。 它允许从内部网到 Internet的有选择的出站服务 。
这些服务是用户使用数据包过滤而不是通过代理服务
提供 。
内部路由器所允许的在周边网和内部网之间服务可不
同于内部路由器所允许的在外部和内部网之间的服务 。
限制堡垒主机与内部网之间的通信可减少堡垒机被攻
破时对内部网的危害 。
29
防火墙体系结构
4) 外部路由器
在理论上, 外部路由器保护周边网和内部网
使之免受来自 Internet的侵犯 。 实际上, 外部
路由器倾向于允许几乎任何东西从周边网出
站, 并且它们通常只执行非常少的数据包过
滤 。
外部路由器安全任务之一是:阻止从 Internet
上伪造源地址进来的任何数据包 。
30
内部防火墙问题
防火墙体系结构
在大部分讨论中,都假定建立防火墙的目的在
于保护内部网免受外部网的侵扰 。 但有时为
了某些原因, 我们还需要对内部网的部分站
点再加以保护以免受内部的其它站点的侵袭 。
因此, 有时我们需要在同一结构的两个部分
之间, 或者在同一内部网的两个不同组织结
构之间再建立防火墙 ( 也被称为内部防火
墙 ) 。
31
复合型防火墙
复合型防火墙
采用哪种形式的防火墙取决于经费, 技术, 时间等 。
应用层
表示层
会话层
传输层
网络层
链路层
物理层
包过滤
应用网关
电路网关
32
包过滤技术
包过滤技术
33
包过滤技术的原理
包过滤技术
在路由器上加入 IP Filtering 功能, 这样的路由器就成
为 Screening Router 。
Router逐一审查每个数据包以判定它是否与其它包过
滤规则相匹配 (只检查包头, 不理会包内的正文信息 )。
如果找到一个匹配, 且规则允许这包, 这个包则根据
路由表中的信息前行;
如果找到一个匹配, 且规则允许拒绝此包, 这一包则
被舍弃;
如果无匹配规则, 一个用户配置的缺省参数将决定此
包是前行还是被舍弃 。
34
IPv4
包过滤技术
版本号
Version
(4bit)
报头长
IHL
(4bit)
服务类型
ServiceType
(8bit)
分组总长度
Total Length
(16bit)
标识
Identification
(16bit)
标志
Flags
(3bit)
片偏移
Fragment Offset
(13bit)
生存时间
Time to Live
(8bit)
传输层协议
Protocol
(8bit)
头部校验和
Header Checksum
(16bit)
源 IP地址
Source Address(32bit)
宿 IP地址
Destination Address(32bit)
可选项
Option
有效负载
Payload( 0或多个字节)
20
bytes
0 4 8 16 19 31
填充域
padding
35
ICMP报文
包过滤技术
ICMP报文的一般格式
Data
差错信息
出错 IP数据报的头 +64个字节数据
类型
Type(8bit)
代码
Code (8bit)
检验和
Checksum(16bit)
不同类型和代码有不同的内容 Data
0 8 16 31
ICMP header ICMP data
IP header I P data
封装
36
TCP头部
包过滤技术
源端口 Source Port
(16bit)
宿端口 Destination Port
(16bit)
序列号 Sequence Number (32bit)
确认号 Acknowledgment Number (32bit)
Data
Offset
(4bit)
Reserved
(6bit)
U
R
G
A
C
K
P
S
H
R
S
T
S
Y
N
F
I
N
窗口大小 Window size
(16bit)
校验和 Checksum (16bit) 紧急指针 Urgent Pointer (16bit)
选项 Options (0 或多个 32bit 字 )
数据 Data ( 可选 )
37
UDP头部
包过滤技术
UDP源端口 UDP宿端口
UDP长度 UDP校验和
16bit 16bit
最小值为 8 全,0”:不选;
全,1”:校验和为 0。
38
包过滤的依据
包过滤技术
IP 源地址
IP目的地址
封装协议 (TCP,UDP,或 IP Tunnel)
TCP/UDP源端口
TCP/UDP目的端口
ICMP包类型
TCP报头的 ACK位
包输入接口和包输出接口
39
依赖于服务的过滤
包过滤技术
多数服务对应特定的端口, 例,Telnet,SMTP,POP3分别
为 23,25,110。 如要封锁输入 Telnet, SMTP的连接, 则
Router丢弃端口值为 23和 25的所有数据包 。
典型的过滤规则有以下几种:
.只允许进来的 Telnet会话连接到指定的一些内部主机
.只允许进来的 FTP会话连接到指定的一些内部主机
.允许所有出去的 Telnet 会话
,允许所有出去的 FTP 会话
.拒绝从某些指定的外部网络进来的所有信息
40
独立于服务的过滤
有些类型的攻击很难用基本包头信息加以鉴别, 因为
独立于服务 。 要防止这类攻击, 需要在过滤规则中
考虑其它信息, 如:路由表, 特定的 IP选项, 特定
的片段偏移等 。 不依赖于服务的攻击有三类:
1) 源 IP地址欺骗攻击
入侵者从伪装成源自一台内部主机的一个外部地点传
送一些信息包;这些信息包似乎像包含了一个内部
系统的源 IP地址 。 如果这些信息包到达 Router的外
部接口, 则舍弃每个含有这个源 IP地址的信息包,
就可以挫败这种源欺骗攻击 。
41
包过滤技术
2) 源路由攻击
攻击者为信息包指定一个穿越 Internet的路由,
这类攻击企图绕过安全措施, 并使信息包沿一条意外
(疏漏 )的路径到达目的地 。 可以通过舍弃所有包含这
类源路由选项的信息包方式, 来挫败这类攻击 。
3) 残片攻击
入侵者利用 IP分段特性生成一个极小的片断并将
TCP报头信息肢解成一个分离的信息包片断, 使数据
包绕过用户定义的过滤规则 。 黑客希望过滤路由器只
检查第一分段, 而允许其它分段通过 。 通过舍弃所有
协议类型为 TCP,IP报头中 Fragment Offset=1的数据
包, 即可挫败残片的攻击 。
42
推荐的过滤规则
? 任何进入内网的数据包不能将内部地址作为源地址
? 任何进入内网的数据包必须将内部地址作为目标地址
? 任何离开内网的数据包必须将内部地址作为源地址
? 任何离开内网的数据包不能将内部地址作为目标地址
? 任何进入或离开内网的数据包不能把一个私有地址或
者 127.0.0.0/8作为源或目标地址
? 保留,DHCP自动配置和多播地址也要被阻塞:
0.0.0.0/8 169.254.0.0/16 192.0.2.0/24
224.0.0.0/4 240.0.0.0/4
43
包过滤路由器的优点
包过滤技术
1,实现包过滤几乎不再需要费用 。 这些特点都包
含再标准的路由器软件中 。 绝大多数 Internet防火
墙系统只用一个包过滤路由器,
2,执行 PACKET FILTER 所用的时间很少或几乎不
需要什么时间 。 因为 Internet 访问一般被提供给
一个 WAN接口 。 如果通信负载适中且定义的过滤很
少的话,则对路由性能没有多大影响,
3,包过滤路由器对终端用户和应用程序是透明的,
因此不需要专门的用户培训或在每主机上设置特别
的软件,
44
包过滤路由器的局限性
包过滤技术
1,定义包过滤器的工作复杂,要了解 Internet各种服
务, 包头格式和每个域查找的特定值 。 管理困难 。
2,通过路由器的数据包有可能被用于数据驱动攻击
3,过滤器数目增加, 路由器吞吐量下降
4,无法对流动的信息提供全面控制 。 不能理解上下文 。
5,一些应用协议不适合于包过滤, 如,RPC,FTP等 。
6,日志能力较弱 。 不能报告谁企图入侵 。
7,难以针对用户实施安全策略 。
45
代理服务技术
代理服务
该 技术它能够将所有跨越防火墙的网络通信链
路分为两段。防火墙内外计算机系统间应用
层的连接,由两个代理服务器之间的连接来
实现,外部计算机的网络链路只能到达代理
服务器,从而起到隔离防火墙内外计算机系
统的作用。
此 外, 代理服务器也对过往的数据包进行分析、
记录、形成报告,当发现攻击迹象时会向网
络管理员发出警告,并保留攻击痕迹。
46
代理服务技术
代理服务
47
应用层网关
应用网关
应用层网关 ( Application Level Gateways)
技术是在网络的应用层上实现协议过滤和转
发功能 。 它针对特定的网络应用服务协议,
如:超文本传输协议 (HTTP),远程文件传输
协议 (FTP)等, 使用指定的数据过滤规则 。 并
在过滤的同时, 对数据包进行必要的分析,
记录和统计, 形成报告 。 记录和控制所有进
出流量是应用层网关的一个主要优点 。
48
应用层上的过滤
应用网关
49
应用层网关
50
电路层网关 (Circuit Gateway)
电路网关工作在 OSI的会话层。分组地址是一个
应用层的用户进程。电路网关在两个通信端点
之间复制字节。电路网关包含有支持某些
TCP/IP应用的程序代码,但通常是有限的。
电路网关适于限制内部网对外部的访问,但不能
实施协议过滤。从电路网关出来的连接好象都
是从防火墙产生的,故可以隐藏内部网络信息。
电路网关与包过滤相似,但比包过滤高两层,安
全性更好。
51
电路层网关
52
一个例子
代理服务
用包过滤路由器封锁所有输入 Telnet和 Ftp 连接的网
点 。 路由器允许 Telnet和 Ftp包只通过一个主系统,
即 Telnet/Ftp应用网关, 然后再连接到目的主系统:
1,用户首先把 Telnet连接到应用网关, 并输入内部主
系统名字;
2,网关检验用户的源 IP地址, 并根据访问准则接受或
拒绝;
3,用户可能需要证明自己的身份 ( 可使用一次性口令
装置 ) ;
4,代理服务软件在 网关和内部主系统之间建立 Telnet
连接 ;
53
代理服务的优点
代理服务
1)易于配置 软件实现,界面友好
2)日志记录,便于分析
3)灵活控制进出流量、内容 (who,what,where,
when)
例如,可以过滤协议。为防止用户向匿名 FTP服务器
写数据,可拒绝使用 FTP 协议中的 put 命令; 能过
滤数据内容:文本过滤、图像过滤、病毒扫描等。
4)为用户提供透明的加密机制 VPN
5) 便于与其它安全手段集成 认证 授权 加密 TLS
协议
54
代理服务的缺点
? 速度慢:检查内容;转发 /响应
? 代理对用户不透明
对客户端要定制软件或改动; 如何跨
平台;代理服务难以让可户非常满意
? 不能改进底层协议的安全
IP欺骗 SYN泛滥 拒绝服务攻击
? 有可能受到协议漏洞的威胁
55
包过滤与代理的结合
代理服务
为提高安全性, 将包过滤方法与应用代理的
方法结合起来, 形成复合型防火墙产品 。 有
两种方案 。
1) 屏蔽主机防火墙体系结构:在该结构中,
包过滤路由器或防火墙与 Internet相连, 同时
一个堡垒机安装在内部网络, 通过在包过滤
路由器或防火墙上过滤规则的设置, 使堡垒
机成为 Internet上其它节点所能到达的唯一节
点, 这确保了内部网络不受未授权外部用户
的攻击 。
56
代理服务
2)屏蔽子网防火墙体系结构:堡垒机放在一个
子网内, 形成非军事化区, 两个包过滤路由器
放在这一子网的两端, 使这一子网与 Internet及
内部网络分离 。 在屏蔽子网防火墙体系结构中,
堡垒主机和包过滤路由器共同构成了整个防火
墙的安全基础 。
代理服务器及防火墙软件包:
Wingate
Microsoft Proxy Server
57
用户眼中的代理
代理服务
免费代理
出现原因:系统漏洞;管理员设置的代理;
ISP提高影响, 在一段时间内开发的代理 。
代理服务器的设置
IE中:工具 —— Internet选项 —— 连接 —— 局
域网设置
58
防火墙的现状
? 第一代 包过滤 (Packet Filter) 1983年
? 第二代 电路层网关 1989年
应用层网关 代理服务 1990年
? 第三代 动态包过滤 状态监视 1992年
? 第四代 自适应代理 1998年
59
防火墙的发展趋势
? 优良的性能 速度瓶颈
? 易扩展 支持 NAT VPN等
? 过滤深度加强,URL(页面 )过滤、关键字
过滤,ActiveX过滤、病毒扫描等
? 主动检测与报警
? 日志分析工具
60
防火墙产品介绍
? 以色列 Checkpoint公司的 Fire Wall-1
? Cisco公司的 PIX
? NAI公司的 Gauntlet
? CyberGuard 公司的 Fire Wall
? 个人防火墙:
澳大利亚的 Secure PC
加拿大的 ConSeal PC
美国的 Cyber Patrol
中国的, 天网,,, 网络卫士,,, 蓝
盾,
61
天网防火墙
62
天网防火墙
安全规则设置
这是系统最重要, 也是最复杂的地方 。 可
以非常灵活的设计合适自己使用的规则 。
规则是一系列的比较条件和一个对数据包的
动作, 就是根据数据包的每一个部分来与设
置的条件比较, 当符合条件时, 就可以确定
对该包放行或者阻挡 。 通过合理的设置规则
就可以把有害的数据包挡在你的机器之外 。
63
工具条,点击上面的按钮来导入, 增加, 修改, 删除
规则 。 由于规则判断是由上而下的, 可以通过点击调
,规则上下移动, 按钮调整规则的顺序, 当调整好顺
序后, 可按保存按钮保存修改 。 当规则增加或修改后,
为了让这些规则生效, 还要点击, 应用新规则, 按钮 。
规则列表,列出了所有的规则的名称, 该规则所对应
的数据包的方向, 该规则所控制的协议, 本机端口,
对方地址和对方端口, 以及当数据包满足本规则时所
采取的策略 。
在列表的左边为该规则是否有效的标志, 标记为钩
表示改规则有效, 否则表示无效 。 当改变这些标志后,
按保存键 。
64
天网防火墙
65
天网防火墙
