第六讲 防火墙
内容
? 1 基 本概念
? 2 包过滤型防火墙
? 3 代理型防火墙
? 4 防火墙连接模式
? 5 防火墙产品的发展
? 6 防火墙的局限性
1,基 本概念
? 防火墙是一种保护网络安全的方法
? 防火墙是在两个网络间实现访问控制的
一个或一组 软件 或 硬件 系统。
? 防火墙的主要功能就是依照所定义的访
问控制策略对数据通讯进行屏蔽和允许
通信。
防火墙的功能
? 网络通信过滤 (Packet Filter)
– 访问控制:过滤未经授权的网络通信
? 网络内容过滤 (Application Filter)
? 网络地址转换 (NAT)
– 解决 IP地址不足
– 保护内部网络地址
– 隐藏提供网络服务的真实地址
防火墙的基本规则
配置防火墙有两种基本规则,NO规则,Yes 规则
? 一切未被允许的就是禁止的( NO规则)
– 在该规则下,防火墙封锁所有的信息流,只允许符合开放规
则的信息进出。这种方法可以形成一种比较安全的网络环境,
但这是以牺牲用户使用的方便性为代价的
? 一切未被禁止的就是允许的( Yes 规则)
– 在该规则下,防火墙只禁止符合屏蔽规则的信息进出,而转
发所有其他信息流。这种方法提供了一种更为灵活的应用环
境,但很难提供可靠的安全防护。
? 具体选择哪种规则,要根据实际情况决定,如果出于安全考虑
就选择第一条准则,如果出于应用的便捷性考虑就选用第二条
准则。
YN
N
匹配规则 3
匹配规则 2
匹配规则 1
IP包
防火墙规则表
拒绝 接受
N
Y
Y
( a) NO规则
YN
N
匹配规则 3
匹配规则 2
匹配规则 1
IP包
防火墙规则表
接受 拒绝
N
Y
Y
( b) YES规则
防火墙的类型
?包过滤防火墙
–静态包过滤防火墙
–基于状态检测的包过滤防火墙
?应用代理(网关)防火墙
包过滤型防火墙
? 一般工作在 TCP/IP协议的 IP层
? 根据系统设置的过滤规则,通过检查数据包的报头信息,根据数
据包的源地址、目的地址、服务类型、二层数据链路层可控的
MAC地址和以上的其他信息相组合,按照过滤规则来决定是否允
许数据包通过。
? 常见设备:路由器,可以通过访问控制列表( ACL)来对路由器
端口的数据包进行过滤控制。
? 包括:静态包过滤防火墙、状态监测防火墙
包过滤型防火墙
IP包
目的 IP地址
源 IP地址
目的 端口
源端口 数据
TCP/UDP包
静态包过滤防火墙
静态包过滤防火墙工作在 TCP/IP 协议的 IP 层,
依据系统事先设定好的过滤规则,检查数据流中
的每个数据包。
根据数据包的源地址、目的地址、所用端口号、
数据的 对话协议类型 及数据包头中的各种标志位
或组合等因素来确定是否允许该数据包通过。具
体过滤要素如下:
静态包过滤防火墙
? 数据包协议类型,TCP, UDP, ICMP, IGMP等;
? 源、目的 IP 地址;
? 源、目的端口,FTP, HTTP, DNS 等;
? IP 选项:源路由,记录路由 等;
? TCP 选项,SYN, ACK, FIN, RST 等;
? 其他协议选项,ICMP ECHO, ICMP ECHO REPLY 等;
? 数据包流向,in 或 out ;
? 数据包流经网络接口,eth0, eth1 。
5.应用层
4.TCP层
3.IP层
2.数据链路层
1.物理层
IP过滤,Port过滤,NAT…
输入数据流 输出数据流
静态包过滤防火墙工作层示意图
TCP/IP协议模型
静态包过滤防火墙
? 优点
速度快、对于客户端透明
? 缺点
不能进行内容检查、所工作的层次较低、
端口必须静态开放,ACL的配置在复杂
网络下容易出错
静态包过滤防火墙
设内部网地址为 192, 168, 0, 0 / 24,防火墙内网卡
eth1地址为 192.168.0.1,防火墙外网卡 eth0 地址为
10.11.12.13,DNS 地址为 10.11.15.4,要求允许内部网
所有主机能访问外网 WWW, FTP 服务,外部网不能访
问内部主机。
Set internal = 192.168.0.0 / 24
Deny ip from $internal to any in via eth0
Deny ip from not $internal to any in via eth1
Allow udp from $internal to any dns
Allow udp from any dns to $internal
Allow tcp from any to any established
Allow tcp from $internal to any www in via eth1
Allow tcp from $internal to any ftp in via eth1
Allow tcp from any ftp-data to $internal in via eth0
Deny ip from any to any
带状态检测的包过滤防火墙
? 工作在 IP层
? 动态开放端口
– 根据数据包的头信息 打开或关闭 端口。当一组数据包通过打
开的端口到达目的地,防火墙就关闭这些端口。减少了端口
的开放时间。
? 动态的状态列表
– 采用了一个在网关上执行网络安全策略的软件引擎 (监测模块 )。
监测模块工作在链路层和网络层之间,对网络通信的各层实
施监测分析,提取相关的通信和状态信息,并在动态连接表
中进行状态及 上下文信息 的存储和更新,这些表被持续更新,
为下一个通信检查积累数据。
? 可以对应用层过滤
? 速度和效率都不错
5.应用层
4.TCP层
3.IP层
2.数据链路层
1.物理层
输入数据流 输出数据流
状态监测防火墙工作示意图
连接保持
状态检查
包过滤
TCP/IP协议模型
状态监测防火墙
设内部网地址为 192, 168, 0, 0 / 24,防火墙内网卡
eth1地址为 192.168.0.1,防火墙外网卡 eth0 地址为
10.11.12.13,DNS 地址为 10.11.15.4,要求允许内部
网所有主机能访问外网 WWW, FTP 服务,外部网不
能访问内部主机。
Set internal = 192.168.0.0/24
Deny ip from $internal to any in via eth0
Deny ip from not $internal to any in via eth1
Allow $internal access any dns by udp keep state
Allow $internal access any www by tcp keep state
Allow $internal access any ftp by tcp keep state
Deny ip from any to any
应用代理(网关)防火墙
应用代理服务器也称为应用级网关防火墙,就是一般说的
代理级防火墙。
这种防火墙通过 代理( Proxy )技术 参与了 TCP 连接的全
过程。从内部发出的数据包经过防火墙处理,就好像源于
防火墙外部网卡,从而可以达到隐藏内部网结构的作用。
它的核心技术就是代理服务技术。
应用代理(网关)防火墙
? 它通常被配置为, 双宿主网关,,具有两个网络
接口卡,跨接内部和外部网。
? 网关可以与两个网络通信,因此是安装传递数据
软件的理想位置。这种软件就称为, 代理,,通
常为其所提供的服务定制的。
? 代理服务不允许直接连接,而是强制检查和过滤
所有的网络数据包。用户并不直接与真正的服务
通信,而是与代理服务器通信(用户的默认网关
指向代理服务器)。
代理服务
? 代理服务器在外部网络向内部网络申请服务时发挥了
中间转接的作用。
? 服务器端代理可以是一个运行代理服务程序的网络主
机,客户端代理可以是经过配置的普通客户程序,例
如 FTP,Telnet, IE 。
? 客户和客户端代理通信,服务器和服务器端代理通信,
这两个代理相互之间直接通信,代理服务器检查来自
客户端代理的请求,根据安全策略认可或否认这个请
求。
代理服务器的工作机理如图 6,3 所示。
服 务 器
代 理 服 务 器
客 户 端 代 理
客 户 端
防
火
墙
代理服务器的工作机理
应用级网关防火墙
Application Filter
TCP/UDP
IP
TCP/UDP
IP
FTP代理
WEB代理
Email代理
应用级网关防火墙工作示意图
应用级网关防火墙
各个应用代理在用户和服务之间处理所有的通信,能够对
通过它的数据进行详细的审计追踪。
代理级防火墙主要具有以下优点:
(1) 代理服务可以 识别并实施高层的协议,如 http 和 ftp等;
(2) 代理服务包含通过防火墙服务器的通信信息,可以提
供源于部分传输层、全部应用层和部分会话层的信息;
(3)代理服务可以用于禁止访问特定的网络服务,并允许使
用其他服务;
应用代理(网关)防火墙
(4)代理服务也能够处理数据包;
(5)代理服务不允许外部和内部主机间直接通信,因此内部主机名
对外部是不可知的。也就是说,代理服务很容易将内部地址与外
部屏蔽开来;
(6)通过提供透明服务,可以让使用代理的用户感觉在直接与外部
通信;
(7)代理服务还可以转送内部服务,也就是外部对内部的服务请求,
例如,可以将 http服务器转到另一台主机;
( 8 )代理服务可以提供如前所述的屏蔽路由器不具备的附加功能;
( 9 )代理服务具有良好的日志记录,从而可以建立有效的审计追
踪机制。
应用代理(网关)防火墙
缺点:
(1)通常不可以在防火墙服务器上开放本机的网络服务,因为代理
服务器需要侦听这些服务端口,但这同时也加强了其作为堡垒机
的安全性。
(2)代理服务会有性能上的延迟,因为流入数据需要被处理两次
(应用程序和其代理)。
(3)通常,需要为通过防火墙的每个协议加入一个新的代理,因为
功能完善的代理需要很好地支持应用协议,不存在真正意义上的
通用代理。从而其伸缩性和可用网络服务的数量会有所限制。一
般来说,一个新的开发应用到其代理服务可能会有一定的滞后周
期。也就是说,用户必须对其新型应用的代理具有耐心。
应用代理(网关)防火墙
( 4)应用级防火墙一般不能提供 UDP, RPC 等特殊协议类族的代
理.
( 5)代理防火墙一般需要修改或设置客户端,因此配置过程较繁琐。
( 6)由于对操作系统和应用层协议具有依赖性,代理服务具有这方面
的脆弱性因素。多数包过滤防火墙对操作系统的支持机制没有太大依
赖,而是通常依赖于设备驱动等。但是大多应用层防火墙需要操作系
统的支持以保证其正确运行,诸如对 NDIS, TCP/IP 和标准 C 库等的
支持。如果一个与安全相关的漏洞隐藏在这些库中,就可能对防火墙
产生不可预料的影响。应用层防火墙有时会忽略那些底层的网络包信
息。
( 7)代理通常需要附加的口令和认证,从而造成延迟,可能会给某些
用户带来不便。
应用级网关防火墙
代理类型防火墙的最突出优点就是安全性高。
每一个内、外网络之间的连接都要通过代理服务器的介入和
转换,通过专门为特定的服务如 Http编写的安全化应用程序进
行处理,然后由防火墙本身提交请求和应答,没有给内外网
络的计算机以任何直接会话的机会,从而避免了入侵者使用
数据驱动类型 的攻击方式入侵内部网。包过滤类型的防火墙
是很难彻底避免这一漏洞的。
代理防火墙的最大缺点就是速度相对比较慢。
当用户对内外网络网关的吞吐量要求比较高时,代理防火墙
就会成为内外网络之间的瓶颈。在现实环境中,大部分高速
网( ATM 或千兆位以太网等)之间的防火墙要考虑使用包过
滤类型防火墙来满足速度的要求。
网络地址转换 (NAT)
NAT
Internal IP = 192.168.0.1
External IP = 202.132.10.10 Internet
IP = 192.168.0.3
IP = 192.168.0.4
IP = 192.168.0.5
Web Server
IP = 131.107.50.1
防火墙连接模式
双宿 /多宿主机模式
屏蔽主机模式
屏蔽子网模式
防火墙连接模式
在防火墙体系中,堡垒主机要高度暴露,是在 Internet上公开的,
是网络上最容易遭受非法入侵的设备。所以防火墙设计者和管理
人员需要致力于堡垒主机的安全,而且在运行期间对堡垒主机的 安全给予特别的注意。
构建堡垒主机的要点如下,
( 1) 选择合适的操作系统。它需要可靠性好、支持性好、可配置性
好。
( 2) 堡垒主机的安装位置。堡垒主机应该安装在不传输保密信息的
网络上,最好它处于一个独立网络中,比如 DMZ。
( 3) 堡垒主机提供的服务。堡垒主机需要提供内部网络访问
Internet的服务,内部主机可以通过堡垒主机访问 Internet,另外
内部网络也需要向 Internet提供服务。
( 4) 保护系统日志。作为一个安全性举足轻重的主机,堡垒主机必
须有完善的日志系统,而且必须对系统日志进行保护。
( 5) 监测和备份。
双宿 /多宿主机模式
? 双宿/多宿主机防火墙( Dual-Homed/Multi-Homed Host
Firewall)又称为双宿/多宿网关防火墙,它是一种拥有两个或多
个连接到不同网络的网络接口的防火墙,通常是一台装有两块或
多块网卡的堡垒主机,两块或多块网卡各自与受保护网络和外部
网络相连。
内 部 网 络 1
内 部 网 络 2
外 部 网 络
双 /多网卡堡垒主机
双宿 /多宿主机模式防火墙配置
双宿 /多宿主机模式
? 由于堡垒主机具有两个以上的网卡,可以
连接两个以上的网络,所以计算机系统可
以充当这些网络之间的防火墙,从一个网
络到另一个网络发送的 IP 数据包必须经过
双宿主机的检查。
? 双宿主机检查通过的数据包,并根据安全
策略进行处理。
这种模式下,堡垒主机可以采用包过滤技
术,也可以采用代理服务技术。
– 在使用代理服务技术的双宿主机中,主机的 路
由功能 通常是被禁止的,两个网络之间的通信
通过应用层代理服务来完成。如果一旦黑客侵
入堡垒主机并使其具有路由功能,防火墙将失
去作用。
屏蔽主机模式
? 屏蔽主机防火墙( screened Host Firewall )
由包过滤路由器和堡垒主机组成。
? 在这种方式的防火墙中,堡垒主机安装在
内部网络上,通常在路由器上设立过滤规
则,并使这个堡垒主机成为从外部网络惟
一可直接到达的主机,这确保了内部网络
不受未被授权的外部用户的攻击。
? 屏蔽主机防火墙实现了 网络层和应用层 的
安全,因而比单独的包过滤或应用网关代
理更安全。
? 过滤路由器是否配置正确是这种防火墙安
全与否的关键,如果路由表遭到破坏,堡
垒主机就可能被绕过,使内部网络完全暴
内 部 网 络
外
部
网
络
堡垒主机
包过滤路由器
屏蔽主机模式防火墙配置
屏蔽子网模式
? 采用两个包过滤路由器和一个堡垒主机
? 在内、外网络之间建立了一个被隔离的
子网(, 非军事区 ( Demilitarized Zone,
DMZ),或 周边网( Perimeter
Network ))。
? 网络管理员将堡垒主机,Web 服务器、
Mail 服务器等公用服务器放在非军事区
网络中。
? 内部网络和外部网络均可访问屏蔽子网,
但禁止它们穿过屏蔽子网通信。
? 在这一配置中,即使堡垒主机被入侵者
内 部 网 络
DMZ区
外部
网络
堡垒主机
外部包过滤路由器
内部包过滤路由器
屏蔽子网模式防火墙配置
周
边
网
屏蔽子网模式被屏蔽子网体系结构具有以下优点:
( 1) 入侵者必须突破 3个不同的设备
才能非法入侵内部网络。
( 2) 由于外部路由器只能向 Internet通
告 DMZ网络的存在,Internet上的系统
没有路由器与内部网络相通。这样网络
管理员就可以保证内部网络是, 不可见,
的,并且只有在 DMZ网络上选定的服务
才对 Internet开放。
( 4) 包过滤路由器直接将数据引向 DMZ网络上
所指定的系统,消除了堡垒主机双重宿主的必
要。
( 5) 内部路由器在作为内部网络和 Internet之间
最后的防火墙系统时,能够支持比双重宿主堡
垒主机更大的数据包吞吐量。
( 6) 由于 DMZ网络是一个与内部网络不同的网
络,NAT(网络地址变换)可以安装在堡垒主
机上,从而避免在内部网络上重新编址或重新
防火墙产品的发展
? 防火墙技术越来越多地应用于专用网络与
公用网络的互联环境之中,尤以 Internet 网
络最甚。 Internet 的迅猛发展,使得防火墙
产品在短短几年内异军突起,很快形成了
一个产业。
? 在防火墙产品的开发中,广泛采用了网络
拓扑技术、计算机操作系统技术、路由技
术、加密技术、访问控制技术、安全审计
技术等,不同阶段的防火墙采用的技术也
有区别,其发展可分为四个阶段:
防火墙产品的发展第一阶段:基于路由器的防火墙。
由于多数路由器本身就包含分组过滤的功能,
故网络访问控制功能可通过路由控制来实现,
从而使具有分组过滤功能的路由器成为第一
代防火墙产品。
? 第一代防火墙产品的特点是:
– 利用路由器本身对分组的解析,以访问控制表
( access list)方式实现对分组的过滤;
– 过滤判决的依据可以是:地址、端口号及其他
网络特征;
– 只有分组过滤的功能,且防火墙与路由器是一
体的。
不足之处:
? 路由协议十分灵活,本身具有安全漏洞,外部网络要
探寻内部网络十分容易。
? 路由器上的分组过滤规则的设置和配置存在安全隐患。
对路由器中过滤规则的设置和配置十分复杂,它涉及
到规则的逻辑一致性、作用端口的有效性和规则集的
正确性,一般的网络系统管理员难于胜任,加之一旦
出现新的协议,管理员就得加上更多的规则去限制,
这往往会带来很多错误。
? 路由器防火墙的最大隐患是:攻击者可以, 假冒, 地
址,由于信息在网络上是以明文传送的,黑客可以在
网络上伪造假的路由信息以欺骗防火墙。
? 路由器防火墙的本质性缺陷是:由于路由器的主要功
能是为网络访问提供动态的、灵活的路由,而防火墙
则要对访问行为实施静态的、固定的控制,这是一对
难以调和的矛盾,防火墙的规则设置会大大降低路由
防火墙产品的发展
第二阶段:用户化的防火墙。
为了弥补路由器防火墙的不足,很多大型用户纷纷要
求以 专门开发 的防火墙系统来保护自己的网络,从而
推动了用户化防火墙的出现。
作为第二代防火墙产品,用户化的防火墙工具具有以
下特征:
·将过滤功能从路由器中独立出来,并加上审计和报警
功能;
·针对用户需求,提供模块化的软件包;
·软件可通过网络发送,用户可自己动手构造防火墙:
·与第一代防火墙相比,安全性提高了。
由于是纯软件产品,第二代防火墙产品无论在实现还
是在维护上都对系统管理员提出了更高的要求,并带
防火墙产品的发展第三阶段:建立在通用操作系统上的防火墙。
基于软件的防火墙在销售、使用和维护上
的问题迫使防火墙开发商很快推出了建立
在通用操作系统上的商用防火墙产品,近
年来在市场上广泛使用的就是这一代产品,
它具有以下特点:
·是批量上市的专用防火墙产品:
·包括分组过滤或者借用路由器的分组过滤功能;
·装有专用的代理系统,监控所有协议的数据和
指令;
·保护用户编程空间和用户可配置内核参数的设
置;
·安全性和速度大为提高。
防火墙产品的发展第四阶段:具有安全操作系统的防火墙。
防火墙技术和产品随着网络攻击和安全防
护手段的发展而演进,到 1997 年初,具有
安全操作系统的防火墙产品面市,使防火
墙产品步入了第四个发展阶段。
具有安全操作系统的防火墙本身就是一个
操作系统,因而在安全性上较第三代防火
墙有质的提高。获得安全操作系统的办法
有两种:一种是通过许可证方式获得操作
系统的源码;另一种是通过固化操作系统
内核来提高可靠性。
防火墙的局限性防火墙是网络安全的重要一环,但并非全部,认为所有的
网络安全问题都可以通过简单地配置防火墙来解决是不切
实际的。
防火墙有自身的缺陷和不足,主要有:
( 1)为了提高安全性,限制或关闭了一些有用但存在安全
缺陷的网络服务,给用户带来使用的不便。
( 2)目前防火墙对于来自网络内部攻击的防范能力有限。
( 3)防火墙不能防范不经过防火墙的攻击,如内部网用户
通过拨号直接进入 Internet 。
( 4)防火墙对用户不完全透明,可能带来传输延迟、瓶颈
及单点失效.
( 5)防火墙也不能完全防止受病毒感染的文件或软件的传
输,由于病毒的种类繁多,如果要在防火墙完成对所有病
毒代码的检查,防火墙的效率就会降到不能忍受的程度。
( 6)防火墙不能有效地防范数据驱动式攻击。
在实际应用中,可以根据对安全的需求选择合适的防火墙技
术及相应的配置方式。
防火墙的局限性
比如现代密码技术、一次口令系统、智
能卡等。随着各种新的安全问题的出现,
防火墙的概念和内涵也随着需求的发展
而不断丰富,比如支持 VPN 构建、远程
集中管理、对内容的过滤、阻止脚本程
序、具有一定的病毒检测功能等。如今
个人防火墙已得到了广泛的应用,操作
系统大多也提供了许多在传统意义上属
于防火墙的功能,作为构建安全网络环
境的第一道屏障,防火墙还是目前比较
有效的措施。
小结
防火墙的作用 是防止不希望的、未经授
权的通信进出被保护的内部网络,通过
边界控制强化内部网络的安全政策。
主要技术 有静态包过滤技术、状态检测
包过滤技术、代理服务器技术、应用网
关技术,现在最常用的是状态检测包过
滤技术。
防火墙的体系结构 有双重宿主主机体
系结构、被屏蔽主机体系结构和被屏
蔽子网体系结构,它们都有各自的优
缺点。
堡垒主机 位于内部网络的最外层,像
堡垒一样对内部网络进行保护。在防
火墙体系中,堡垒主机要高度暴露,
是在 Internet上公开的,是网络上最
容易遭受非法入侵的设备。所以防火
墙设计者和管理人员需要致力于堡垒
包过滤式的防火墙 会检查所有通过的数
据包头部的信息,并按照管理员所给定
的过滤规则进行过滤。如果对防火墙设
定某一内部 IP地址不能访问某个站点的
话,从这个地址来的到某个站点的信息
都会被防火墙屏蔽掉。在配置数据包过
滤规则之前,需要明确要允许或者拒绝
什么服务,并且需要把策略转换成为针
对数据包的过滤规则。通过制定数据包
过滤规则来控制哪些数据包能够进入或
者流出内部网络。
习题1,简述防火墙的功能和分类。
2,静态包过滤防火墙和状态检测防火墙有何区
别?如何 实现状态检测?
3,状态检测是如何工作的?状态检测防火墙的
优点是什么?为什么?
4,如何实现 M-N地址转换?
5,应用网关防火墙是如何实现的?与包过滤防
火墙比较有什么优缺点?
6,双宿连接和屏蔽子网连接各有何优缺点?
7,配置一个防火墙的规则,实现允许 Email通过,
拒绝来自 162.105,0.0 网段的 FTP请求,允许除
主机 202.112.9.7外的 WWW 服务.
第 2,3,5题作业题,第 7题思考题
下次课上机
时间,下周三下午 4,10到 5,40
地点,401机房,402机房( 201号到 240号)
上机内容,个人防火墙的使用与配置
具体要求,见课件服务器
内容
? 1 基 本概念
? 2 包过滤型防火墙
? 3 代理型防火墙
? 4 防火墙连接模式
? 5 防火墙产品的发展
? 6 防火墙的局限性
1,基 本概念
? 防火墙是一种保护网络安全的方法
? 防火墙是在两个网络间实现访问控制的
一个或一组 软件 或 硬件 系统。
? 防火墙的主要功能就是依照所定义的访
问控制策略对数据通讯进行屏蔽和允许
通信。
防火墙的功能
? 网络通信过滤 (Packet Filter)
– 访问控制:过滤未经授权的网络通信
? 网络内容过滤 (Application Filter)
? 网络地址转换 (NAT)
– 解决 IP地址不足
– 保护内部网络地址
– 隐藏提供网络服务的真实地址
防火墙的基本规则
配置防火墙有两种基本规则,NO规则,Yes 规则
? 一切未被允许的就是禁止的( NO规则)
– 在该规则下,防火墙封锁所有的信息流,只允许符合开放规
则的信息进出。这种方法可以形成一种比较安全的网络环境,
但这是以牺牲用户使用的方便性为代价的
? 一切未被禁止的就是允许的( Yes 规则)
– 在该规则下,防火墙只禁止符合屏蔽规则的信息进出,而转
发所有其他信息流。这种方法提供了一种更为灵活的应用环
境,但很难提供可靠的安全防护。
? 具体选择哪种规则,要根据实际情况决定,如果出于安全考虑
就选择第一条准则,如果出于应用的便捷性考虑就选用第二条
准则。
YN
N
匹配规则 3
匹配规则 2
匹配规则 1
IP包
防火墙规则表
拒绝 接受
N
Y
Y
( a) NO规则
YN
N
匹配规则 3
匹配规则 2
匹配规则 1
IP包
防火墙规则表
接受 拒绝
N
Y
Y
( b) YES规则
防火墙的类型
?包过滤防火墙
–静态包过滤防火墙
–基于状态检测的包过滤防火墙
?应用代理(网关)防火墙
包过滤型防火墙
? 一般工作在 TCP/IP协议的 IP层
? 根据系统设置的过滤规则,通过检查数据包的报头信息,根据数
据包的源地址、目的地址、服务类型、二层数据链路层可控的
MAC地址和以上的其他信息相组合,按照过滤规则来决定是否允
许数据包通过。
? 常见设备:路由器,可以通过访问控制列表( ACL)来对路由器
端口的数据包进行过滤控制。
? 包括:静态包过滤防火墙、状态监测防火墙
包过滤型防火墙
IP包
目的 IP地址
源 IP地址
目的 端口
源端口 数据
TCP/UDP包
静态包过滤防火墙
静态包过滤防火墙工作在 TCP/IP 协议的 IP 层,
依据系统事先设定好的过滤规则,检查数据流中
的每个数据包。
根据数据包的源地址、目的地址、所用端口号、
数据的 对话协议类型 及数据包头中的各种标志位
或组合等因素来确定是否允许该数据包通过。具
体过滤要素如下:
静态包过滤防火墙
? 数据包协议类型,TCP, UDP, ICMP, IGMP等;
? 源、目的 IP 地址;
? 源、目的端口,FTP, HTTP, DNS 等;
? IP 选项:源路由,记录路由 等;
? TCP 选项,SYN, ACK, FIN, RST 等;
? 其他协议选项,ICMP ECHO, ICMP ECHO REPLY 等;
? 数据包流向,in 或 out ;
? 数据包流经网络接口,eth0, eth1 。
5.应用层
4.TCP层
3.IP层
2.数据链路层
1.物理层
IP过滤,Port过滤,NAT…
输入数据流 输出数据流
静态包过滤防火墙工作层示意图
TCP/IP协议模型
静态包过滤防火墙
? 优点
速度快、对于客户端透明
? 缺点
不能进行内容检查、所工作的层次较低、
端口必须静态开放,ACL的配置在复杂
网络下容易出错
静态包过滤防火墙
设内部网地址为 192, 168, 0, 0 / 24,防火墙内网卡
eth1地址为 192.168.0.1,防火墙外网卡 eth0 地址为
10.11.12.13,DNS 地址为 10.11.15.4,要求允许内部网
所有主机能访问外网 WWW, FTP 服务,外部网不能访
问内部主机。
Set internal = 192.168.0.0 / 24
Deny ip from $internal to any in via eth0
Deny ip from not $internal to any in via eth1
Allow udp from $internal to any dns
Allow udp from any dns to $internal
Allow tcp from any to any established
Allow tcp from $internal to any www in via eth1
Allow tcp from $internal to any ftp in via eth1
Allow tcp from any ftp-data to $internal in via eth0
Deny ip from any to any
带状态检测的包过滤防火墙
? 工作在 IP层
? 动态开放端口
– 根据数据包的头信息 打开或关闭 端口。当一组数据包通过打
开的端口到达目的地,防火墙就关闭这些端口。减少了端口
的开放时间。
? 动态的状态列表
– 采用了一个在网关上执行网络安全策略的软件引擎 (监测模块 )。
监测模块工作在链路层和网络层之间,对网络通信的各层实
施监测分析,提取相关的通信和状态信息,并在动态连接表
中进行状态及 上下文信息 的存储和更新,这些表被持续更新,
为下一个通信检查积累数据。
? 可以对应用层过滤
? 速度和效率都不错
5.应用层
4.TCP层
3.IP层
2.数据链路层
1.物理层
输入数据流 输出数据流
状态监测防火墙工作示意图
连接保持
状态检查
包过滤
TCP/IP协议模型
状态监测防火墙
设内部网地址为 192, 168, 0, 0 / 24,防火墙内网卡
eth1地址为 192.168.0.1,防火墙外网卡 eth0 地址为
10.11.12.13,DNS 地址为 10.11.15.4,要求允许内部
网所有主机能访问外网 WWW, FTP 服务,外部网不
能访问内部主机。
Set internal = 192.168.0.0/24
Deny ip from $internal to any in via eth0
Deny ip from not $internal to any in via eth1
Allow $internal access any dns by udp keep state
Allow $internal access any www by tcp keep state
Allow $internal access any ftp by tcp keep state
Deny ip from any to any
应用代理(网关)防火墙
应用代理服务器也称为应用级网关防火墙,就是一般说的
代理级防火墙。
这种防火墙通过 代理( Proxy )技术 参与了 TCP 连接的全
过程。从内部发出的数据包经过防火墙处理,就好像源于
防火墙外部网卡,从而可以达到隐藏内部网结构的作用。
它的核心技术就是代理服务技术。
应用代理(网关)防火墙
? 它通常被配置为, 双宿主网关,,具有两个网络
接口卡,跨接内部和外部网。
? 网关可以与两个网络通信,因此是安装传递数据
软件的理想位置。这种软件就称为, 代理,,通
常为其所提供的服务定制的。
? 代理服务不允许直接连接,而是强制检查和过滤
所有的网络数据包。用户并不直接与真正的服务
通信,而是与代理服务器通信(用户的默认网关
指向代理服务器)。
代理服务
? 代理服务器在外部网络向内部网络申请服务时发挥了
中间转接的作用。
? 服务器端代理可以是一个运行代理服务程序的网络主
机,客户端代理可以是经过配置的普通客户程序,例
如 FTP,Telnet, IE 。
? 客户和客户端代理通信,服务器和服务器端代理通信,
这两个代理相互之间直接通信,代理服务器检查来自
客户端代理的请求,根据安全策略认可或否认这个请
求。
代理服务器的工作机理如图 6,3 所示。
服 务 器
代 理 服 务 器
客 户 端 代 理
客 户 端
防
火
墙
代理服务器的工作机理
应用级网关防火墙
Application Filter
TCP/UDP
IP
TCP/UDP
IP
FTP代理
WEB代理
Email代理
应用级网关防火墙工作示意图
应用级网关防火墙
各个应用代理在用户和服务之间处理所有的通信,能够对
通过它的数据进行详细的审计追踪。
代理级防火墙主要具有以下优点:
(1) 代理服务可以 识别并实施高层的协议,如 http 和 ftp等;
(2) 代理服务包含通过防火墙服务器的通信信息,可以提
供源于部分传输层、全部应用层和部分会话层的信息;
(3)代理服务可以用于禁止访问特定的网络服务,并允许使
用其他服务;
应用代理(网关)防火墙
(4)代理服务也能够处理数据包;
(5)代理服务不允许外部和内部主机间直接通信,因此内部主机名
对外部是不可知的。也就是说,代理服务很容易将内部地址与外
部屏蔽开来;
(6)通过提供透明服务,可以让使用代理的用户感觉在直接与外部
通信;
(7)代理服务还可以转送内部服务,也就是外部对内部的服务请求,
例如,可以将 http服务器转到另一台主机;
( 8 )代理服务可以提供如前所述的屏蔽路由器不具备的附加功能;
( 9 )代理服务具有良好的日志记录,从而可以建立有效的审计追
踪机制。
应用代理(网关)防火墙
缺点:
(1)通常不可以在防火墙服务器上开放本机的网络服务,因为代理
服务器需要侦听这些服务端口,但这同时也加强了其作为堡垒机
的安全性。
(2)代理服务会有性能上的延迟,因为流入数据需要被处理两次
(应用程序和其代理)。
(3)通常,需要为通过防火墙的每个协议加入一个新的代理,因为
功能完善的代理需要很好地支持应用协议,不存在真正意义上的
通用代理。从而其伸缩性和可用网络服务的数量会有所限制。一
般来说,一个新的开发应用到其代理服务可能会有一定的滞后周
期。也就是说,用户必须对其新型应用的代理具有耐心。
应用代理(网关)防火墙
( 4)应用级防火墙一般不能提供 UDP, RPC 等特殊协议类族的代
理.
( 5)代理防火墙一般需要修改或设置客户端,因此配置过程较繁琐。
( 6)由于对操作系统和应用层协议具有依赖性,代理服务具有这方面
的脆弱性因素。多数包过滤防火墙对操作系统的支持机制没有太大依
赖,而是通常依赖于设备驱动等。但是大多应用层防火墙需要操作系
统的支持以保证其正确运行,诸如对 NDIS, TCP/IP 和标准 C 库等的
支持。如果一个与安全相关的漏洞隐藏在这些库中,就可能对防火墙
产生不可预料的影响。应用层防火墙有时会忽略那些底层的网络包信
息。
( 7)代理通常需要附加的口令和认证,从而造成延迟,可能会给某些
用户带来不便。
应用级网关防火墙
代理类型防火墙的最突出优点就是安全性高。
每一个内、外网络之间的连接都要通过代理服务器的介入和
转换,通过专门为特定的服务如 Http编写的安全化应用程序进
行处理,然后由防火墙本身提交请求和应答,没有给内外网
络的计算机以任何直接会话的机会,从而避免了入侵者使用
数据驱动类型 的攻击方式入侵内部网。包过滤类型的防火墙
是很难彻底避免这一漏洞的。
代理防火墙的最大缺点就是速度相对比较慢。
当用户对内外网络网关的吞吐量要求比较高时,代理防火墙
就会成为内外网络之间的瓶颈。在现实环境中,大部分高速
网( ATM 或千兆位以太网等)之间的防火墙要考虑使用包过
滤类型防火墙来满足速度的要求。
网络地址转换 (NAT)
NAT
Internal IP = 192.168.0.1
External IP = 202.132.10.10 Internet
IP = 192.168.0.3
IP = 192.168.0.4
IP = 192.168.0.5
Web Server
IP = 131.107.50.1
防火墙连接模式
双宿 /多宿主机模式
屏蔽主机模式
屏蔽子网模式
防火墙连接模式
在防火墙体系中,堡垒主机要高度暴露,是在 Internet上公开的,
是网络上最容易遭受非法入侵的设备。所以防火墙设计者和管理
人员需要致力于堡垒主机的安全,而且在运行期间对堡垒主机的 安全给予特别的注意。
构建堡垒主机的要点如下,
( 1) 选择合适的操作系统。它需要可靠性好、支持性好、可配置性
好。
( 2) 堡垒主机的安装位置。堡垒主机应该安装在不传输保密信息的
网络上,最好它处于一个独立网络中,比如 DMZ。
( 3) 堡垒主机提供的服务。堡垒主机需要提供内部网络访问
Internet的服务,内部主机可以通过堡垒主机访问 Internet,另外
内部网络也需要向 Internet提供服务。
( 4) 保护系统日志。作为一个安全性举足轻重的主机,堡垒主机必
须有完善的日志系统,而且必须对系统日志进行保护。
( 5) 监测和备份。
双宿 /多宿主机模式
? 双宿/多宿主机防火墙( Dual-Homed/Multi-Homed Host
Firewall)又称为双宿/多宿网关防火墙,它是一种拥有两个或多
个连接到不同网络的网络接口的防火墙,通常是一台装有两块或
多块网卡的堡垒主机,两块或多块网卡各自与受保护网络和外部
网络相连。
内 部 网 络 1
内 部 网 络 2
外 部 网 络
双 /多网卡堡垒主机
双宿 /多宿主机模式防火墙配置
双宿 /多宿主机模式
? 由于堡垒主机具有两个以上的网卡,可以
连接两个以上的网络,所以计算机系统可
以充当这些网络之间的防火墙,从一个网
络到另一个网络发送的 IP 数据包必须经过
双宿主机的检查。
? 双宿主机检查通过的数据包,并根据安全
策略进行处理。
这种模式下,堡垒主机可以采用包过滤技
术,也可以采用代理服务技术。
– 在使用代理服务技术的双宿主机中,主机的 路
由功能 通常是被禁止的,两个网络之间的通信
通过应用层代理服务来完成。如果一旦黑客侵
入堡垒主机并使其具有路由功能,防火墙将失
去作用。
屏蔽主机模式
? 屏蔽主机防火墙( screened Host Firewall )
由包过滤路由器和堡垒主机组成。
? 在这种方式的防火墙中,堡垒主机安装在
内部网络上,通常在路由器上设立过滤规
则,并使这个堡垒主机成为从外部网络惟
一可直接到达的主机,这确保了内部网络
不受未被授权的外部用户的攻击。
? 屏蔽主机防火墙实现了 网络层和应用层 的
安全,因而比单独的包过滤或应用网关代
理更安全。
? 过滤路由器是否配置正确是这种防火墙安
全与否的关键,如果路由表遭到破坏,堡
垒主机就可能被绕过,使内部网络完全暴
内 部 网 络
外
部
网
络
堡垒主机
包过滤路由器
屏蔽主机模式防火墙配置
屏蔽子网模式
? 采用两个包过滤路由器和一个堡垒主机
? 在内、外网络之间建立了一个被隔离的
子网(, 非军事区 ( Demilitarized Zone,
DMZ),或 周边网( Perimeter
Network ))。
? 网络管理员将堡垒主机,Web 服务器、
Mail 服务器等公用服务器放在非军事区
网络中。
? 内部网络和外部网络均可访问屏蔽子网,
但禁止它们穿过屏蔽子网通信。
? 在这一配置中,即使堡垒主机被入侵者
内 部 网 络
DMZ区
外部
网络
堡垒主机
外部包过滤路由器
内部包过滤路由器
屏蔽子网模式防火墙配置
周
边
网
屏蔽子网模式被屏蔽子网体系结构具有以下优点:
( 1) 入侵者必须突破 3个不同的设备
才能非法入侵内部网络。
( 2) 由于外部路由器只能向 Internet通
告 DMZ网络的存在,Internet上的系统
没有路由器与内部网络相通。这样网络
管理员就可以保证内部网络是, 不可见,
的,并且只有在 DMZ网络上选定的服务
才对 Internet开放。
( 4) 包过滤路由器直接将数据引向 DMZ网络上
所指定的系统,消除了堡垒主机双重宿主的必
要。
( 5) 内部路由器在作为内部网络和 Internet之间
最后的防火墙系统时,能够支持比双重宿主堡
垒主机更大的数据包吞吐量。
( 6) 由于 DMZ网络是一个与内部网络不同的网
络,NAT(网络地址变换)可以安装在堡垒主
机上,从而避免在内部网络上重新编址或重新
防火墙产品的发展
? 防火墙技术越来越多地应用于专用网络与
公用网络的互联环境之中,尤以 Internet 网
络最甚。 Internet 的迅猛发展,使得防火墙
产品在短短几年内异军突起,很快形成了
一个产业。
? 在防火墙产品的开发中,广泛采用了网络
拓扑技术、计算机操作系统技术、路由技
术、加密技术、访问控制技术、安全审计
技术等,不同阶段的防火墙采用的技术也
有区别,其发展可分为四个阶段:
防火墙产品的发展第一阶段:基于路由器的防火墙。
由于多数路由器本身就包含分组过滤的功能,
故网络访问控制功能可通过路由控制来实现,
从而使具有分组过滤功能的路由器成为第一
代防火墙产品。
? 第一代防火墙产品的特点是:
– 利用路由器本身对分组的解析,以访问控制表
( access list)方式实现对分组的过滤;
– 过滤判决的依据可以是:地址、端口号及其他
网络特征;
– 只有分组过滤的功能,且防火墙与路由器是一
体的。
不足之处:
? 路由协议十分灵活,本身具有安全漏洞,外部网络要
探寻内部网络十分容易。
? 路由器上的分组过滤规则的设置和配置存在安全隐患。
对路由器中过滤规则的设置和配置十分复杂,它涉及
到规则的逻辑一致性、作用端口的有效性和规则集的
正确性,一般的网络系统管理员难于胜任,加之一旦
出现新的协议,管理员就得加上更多的规则去限制,
这往往会带来很多错误。
? 路由器防火墙的最大隐患是:攻击者可以, 假冒, 地
址,由于信息在网络上是以明文传送的,黑客可以在
网络上伪造假的路由信息以欺骗防火墙。
? 路由器防火墙的本质性缺陷是:由于路由器的主要功
能是为网络访问提供动态的、灵活的路由,而防火墙
则要对访问行为实施静态的、固定的控制,这是一对
难以调和的矛盾,防火墙的规则设置会大大降低路由
防火墙产品的发展
第二阶段:用户化的防火墙。
为了弥补路由器防火墙的不足,很多大型用户纷纷要
求以 专门开发 的防火墙系统来保护自己的网络,从而
推动了用户化防火墙的出现。
作为第二代防火墙产品,用户化的防火墙工具具有以
下特征:
·将过滤功能从路由器中独立出来,并加上审计和报警
功能;
·针对用户需求,提供模块化的软件包;
·软件可通过网络发送,用户可自己动手构造防火墙:
·与第一代防火墙相比,安全性提高了。
由于是纯软件产品,第二代防火墙产品无论在实现还
是在维护上都对系统管理员提出了更高的要求,并带
防火墙产品的发展第三阶段:建立在通用操作系统上的防火墙。
基于软件的防火墙在销售、使用和维护上
的问题迫使防火墙开发商很快推出了建立
在通用操作系统上的商用防火墙产品,近
年来在市场上广泛使用的就是这一代产品,
它具有以下特点:
·是批量上市的专用防火墙产品:
·包括分组过滤或者借用路由器的分组过滤功能;
·装有专用的代理系统,监控所有协议的数据和
指令;
·保护用户编程空间和用户可配置内核参数的设
置;
·安全性和速度大为提高。
防火墙产品的发展第四阶段:具有安全操作系统的防火墙。
防火墙技术和产品随着网络攻击和安全防
护手段的发展而演进,到 1997 年初,具有
安全操作系统的防火墙产品面市,使防火
墙产品步入了第四个发展阶段。
具有安全操作系统的防火墙本身就是一个
操作系统,因而在安全性上较第三代防火
墙有质的提高。获得安全操作系统的办法
有两种:一种是通过许可证方式获得操作
系统的源码;另一种是通过固化操作系统
内核来提高可靠性。
防火墙的局限性防火墙是网络安全的重要一环,但并非全部,认为所有的
网络安全问题都可以通过简单地配置防火墙来解决是不切
实际的。
防火墙有自身的缺陷和不足,主要有:
( 1)为了提高安全性,限制或关闭了一些有用但存在安全
缺陷的网络服务,给用户带来使用的不便。
( 2)目前防火墙对于来自网络内部攻击的防范能力有限。
( 3)防火墙不能防范不经过防火墙的攻击,如内部网用户
通过拨号直接进入 Internet 。
( 4)防火墙对用户不完全透明,可能带来传输延迟、瓶颈
及单点失效.
( 5)防火墙也不能完全防止受病毒感染的文件或软件的传
输,由于病毒的种类繁多,如果要在防火墙完成对所有病
毒代码的检查,防火墙的效率就会降到不能忍受的程度。
( 6)防火墙不能有效地防范数据驱动式攻击。
在实际应用中,可以根据对安全的需求选择合适的防火墙技
术及相应的配置方式。
防火墙的局限性
比如现代密码技术、一次口令系统、智
能卡等。随着各种新的安全问题的出现,
防火墙的概念和内涵也随着需求的发展
而不断丰富,比如支持 VPN 构建、远程
集中管理、对内容的过滤、阻止脚本程
序、具有一定的病毒检测功能等。如今
个人防火墙已得到了广泛的应用,操作
系统大多也提供了许多在传统意义上属
于防火墙的功能,作为构建安全网络环
境的第一道屏障,防火墙还是目前比较
有效的措施。
小结
防火墙的作用 是防止不希望的、未经授
权的通信进出被保护的内部网络,通过
边界控制强化内部网络的安全政策。
主要技术 有静态包过滤技术、状态检测
包过滤技术、代理服务器技术、应用网
关技术,现在最常用的是状态检测包过
滤技术。
防火墙的体系结构 有双重宿主主机体
系结构、被屏蔽主机体系结构和被屏
蔽子网体系结构,它们都有各自的优
缺点。
堡垒主机 位于内部网络的最外层,像
堡垒一样对内部网络进行保护。在防
火墙体系中,堡垒主机要高度暴露,
是在 Internet上公开的,是网络上最
容易遭受非法入侵的设备。所以防火
墙设计者和管理人员需要致力于堡垒
包过滤式的防火墙 会检查所有通过的数
据包头部的信息,并按照管理员所给定
的过滤规则进行过滤。如果对防火墙设
定某一内部 IP地址不能访问某个站点的
话,从这个地址来的到某个站点的信息
都会被防火墙屏蔽掉。在配置数据包过
滤规则之前,需要明确要允许或者拒绝
什么服务,并且需要把策略转换成为针
对数据包的过滤规则。通过制定数据包
过滤规则来控制哪些数据包能够进入或
者流出内部网络。
习题1,简述防火墙的功能和分类。
2,静态包过滤防火墙和状态检测防火墙有何区
别?如何 实现状态检测?
3,状态检测是如何工作的?状态检测防火墙的
优点是什么?为什么?
4,如何实现 M-N地址转换?
5,应用网关防火墙是如何实现的?与包过滤防
火墙比较有什么优缺点?
6,双宿连接和屏蔽子网连接各有何优缺点?
7,配置一个防火墙的规则,实现允许 Email通过,
拒绝来自 162.105,0.0 网段的 FTP请求,允许除
主机 202.112.9.7外的 WWW 服务.
第 2,3,5题作业题,第 7题思考题
下次课上机
时间,下周三下午 4,10到 5,40
地点,401机房,402机房( 201号到 240号)
上机内容,个人防火墙的使用与配置
具体要求,见课件服务器