第十二章 防火墙
12.1 防火墙概述
什么是防火墙
? 古代修筑在房屋之间的一道墙,用于防止火势蔓
延
? 现在用于控制两个不同安全策略的网络之间互
访,执行访问控制策略
通过它可以隔离风险区域 (即 Internet或有
一定风险的网络 )与安全区域 (局域网 )的连
接,同时不会妨碍人们对风险区域的访问。
在 Internet上超过三分之一的 Web网站都是
由某种形式的防火墙加以保护,这是对黑
客防范最严,安全性较强的一种方式,任
何关键性的服务器,都建议放在防火墙之
后。
防火墙概念
防火墙是位于两个或多个网络之间,执行访问控
制策略的一个或一组系统,是一类防范措施的总
称,
一个好的防火墙具备,
? – 内部和外部之间的所有网络数据流必须经过防火墙
? – 只有符合安全政策的数据流才能通过防火墙
? – 防火墙自身应对渗透 (peneration)免疫
12.1.2 防火墙的功能
服务控制,确定哪些服务可以被访问
方向控制,对于特定的服务,可以确定允
许哪个方向能够通过防火墙
用户控制,根据用户来控制对服务的访问
行为控制,控制一个特定的服务的行为
对内部网实现集中的安全管理,强化网络安
全策略
防止非授权用户进入内部网络
方便的监视网络安全并及时报警
实现网络地址转换
对内部网络进行划分,实现重点网段的隔离
审计和记录网络访问
防火墙的作用
确保一个单位内的网络与因特网的通信符
合该单位的安全方针,为管理人员提供下
列问题的答案,
? – 谁在使用网络
? – 他们在网络上做什么
? – 他们什么时间使用了网络
? – 他们上网去了何处
? – 谁要上网没有成功
防火墙的基本规则
防火墙设计策略
? 一种是, 一切未被允许的就是禁止的,
? 一种是, 一切未被禁止的都是允许的, 。
? 第一种的特点是安全性好,但是用户所能使用
的服务范围受到严格限制。第二种的特点是可
以为用户提供更多的服务,但是在日益增多的
网络服务面前,很难为用户提供可靠的安全防
护。
12.2 防火墙技术
数据包过滤技术
? 包过滤防火墙 以色列的 Checkpoint防火墙和
Cisco公司的 PIX防火墙为代表
代理服务
? 代理防火墙(应用层网关防火墙)。以美国 NAI
公司的 Gauntlet防火墙为代表。
12.2.1 数据包过滤技术
TCP协议,
? IP源地址
? IP目的地址
? IP协议字段
? TCP源端口
? TCP目的端口
? TCP标志字段
UDP协议,
? IP源地址
? IP目的地址
? IP协议字段
? UDP源端口
? UDP目的端口
包过滤防火墙
第一代:静态包过滤
据定义好的过滤规则审查每个数据包,以便确定其是否与某一条
包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报
头信息中包括 IP源地址,IP目标地址、传输协议 (TCP,UDP,ICMP
等等 ),TCP/UDP目标端口,ICMP消息类型等。包过滤类型的防火
墙要遵循的一条基本原则是, 最小特权原则,,即明确允许那些
管理员希望通过的数据包,禁止其他的数据包。
HTTP数据包的过滤
第二代:动态包过滤
这种类型的防火墙采用动态设置包过滤规则的方
法,避免了静态包过滤所具有的问题。这种技术后来
发展成为所谓包状态监测( Stateful Inspection)技
术。采用这种技术的防火墙对通过其建立的每一个连
接都进行跟踪,并且根据需要可动态地在过滤规则中
增加或更改
跟踪每个连接
包过滤防火墙的优缺点
优点
? 实现简单、费用低、对用户透明、效率高
缺点
? 处理数据包的能力有限
? 无法识别应用层协议
? 规则的有效性很难进行测试
针对包过滤防火墙的攻击
IP地址欺骗,例如,假冒内部的 IP地址
? – 对策:在外部接口上禁止内部地址
源路由攻击,即由源指定路由
? – 对策:禁止这样的选项
小碎片攻击,利用 IP分片功能把 TCP头部切分到
不同的分片中
? – 对策:丢弃分片太小的分片
利用复杂协议和管理员的配置失误进入防火墙
? – 例如,利用 ftp协议对内部进行探查
代理防火墙
第一代:代理防火墙
也叫应用层网关( Application Gateway)防
火墙。代理防火墙通过编程来弄清用户应用层
的流量,并能在用户层和应用协议层间提供访
问控制;而且,还可用来保持一个所有应用程
序使用的记录。记录和控制所有进出流量的能
力是应用层网关的主要优点之一。
不允许直接连接,而是强制检查和过滤所
有的网络数据包。
用户并不直接与真正的服务器通信,而是
与代理服务器通信。
电路级网关防火墙
通用代理服务器,不需要识别在同一个协
议栈上运行的不同应用,则不需要设置代
理模块
自适应代理防火墙
自适应代理技术( Adaptive proxy)是最近在商业应
用防火墙中实现的一种革命性的技术。它可以结合代
理类型防火墙的安全性和包过滤防火墙的高速度等优
点,在毫不损失安全性的基础之上将代理型防火墙的
性能提高 10倍以上。组成这种类型防火墙的基本要素
有两个:自适应代理服务器( Adaptive Proxy Server)
与动态包过滤器( Dynamic Packet filter) 。
代理防火墙的特点
特点
? 所有的连接都通过防火墙,防火墙作为网关
? 在应用层上实现
? 可以监视包的内容
? 可以实现基于用户的鉴别
? 所有的应用需要单独实现
? 可以提供理想的日志功能
? 安全性高,但是开销比较大
两种防火墙技术的比较
举例:防火墙与 Web服务器之间
的配置策略
根据不同的需要,防火墙在网中的配置有
很多方式。
根据防火墙和 Web服务器所处的位置,总
的可以分为 3种配置,
? Web服务器置于防火墙之内
? Web服务器置于防火墙之外
? Web服务器置于防火墙之上
1.Web服务器置于防火墙之内
将 Web服务器装在防火墙内的好处是它得
到了安全保护,不容易被黑客闯入,但不
易被外界所用。当 Web站点主要用于宣传
企业形象时,显然这不是好的配置,这时
应当将 Web服务器放在防火墙之外
2.Web服务器置于防火墙之外
?事实上,为保证组织内部网络的安全,将
Web服务器完全置于防火墙之外是比较合适
的。在这种模式中,Web服务器不受保护,
但内部网则处于保护之下,即使黑客闯进了
受保护的 Web站点,内部网络仍是安全的。
在这种配置中,防火墙对 Web站点的保护几
乎不起作用。
3.Web服务器置于防火墙之上
一些管理者试图在防火墙机器上运行 Web服务器,以此增强
Web站点的安全性。这种配置的缺点是,一旦服务器有一点
毛病,整个组织和 Web站点就全部处于危险之中。
防火墙的发展史
第一代防火墙:采用了包过滤 ( Packet Filter)
技术 。
第二, 三代防火墙,1989年, 推出了电路层防
火墙, 和应用层防火墙的初步结构 。
第四代防火墙,1992年, 开发出了基于动态包
过滤技术的第四代防火墙 。
第五代防火墙,1998年, NAI公司推出了一种
自适应代理技术, 可以称之为第五代防火墙 。
发展图示
个人防火墙
个人防火墙实例
个人防火墙实例 --日志
访问 web服务
个人防火墙实例 --网络状态
个人防火墙实例 — 安全级别
低:所有应用程序初次访问网络时都将询问,已经被认可
的程序则按照设置的相应规则运作。计算机将完全信任局
域网,允许局域网内部的机器访问自己提供的各种服务
(文件、打印机共享服务)但禁互联网上的机器访问这些
服务。
中:所有应用程序初次访问网络时都将询问,已经被认可
的程序则按照设置的相应规则运作。禁止局域网内部和互
联网的机器访问自己提供的网络共享服务(文件、打印机
共享服务),局域网和互联网上的机器将无法看到本机器。
高:所有应用程序初次访问网络时都将询问,已经被认可
的程序则按照设置的相应规则运作。禁止局域网内部和互
联网的机器访问自己提供的网络共享服务(文件、打印机
共享服务),局域网和互联网上的机器将无法看到本机器。
除了是由已经被认可的程序打开的端口,系统会屏蔽掉向
外部开放的所有端口。
个人防火墙实例 — IP规则
个人防火墙实例 — ping规则
个人防火墙实例 — 访问控制列表
个人防火墙实例 — 高级设置
防火墙的局限性 (1)
防火墙也不能完全防止受病毒感染的文件或软件
的传输。
目前防火墙对于来自网络内部的攻击还无能为力。
防火墙不能防范不经过防火墙的攻击,如内部网
用户通过 拨号 直接进入 Internet。
防火墙的局限性 (2)
为了提高安全性,限制或关闭了一些有用
但存在安全缺陷的网络服务,给用户带来
使用的不便。
防火墙对用户不完全透明,可能带来传输
延迟、瓶颈及单点失效。
作为一种被动的防护手段,防火墙不能防
范因特网上不断出现的新的威胁和攻击。
12.1 防火墙概述
什么是防火墙
? 古代修筑在房屋之间的一道墙,用于防止火势蔓
延
? 现在用于控制两个不同安全策略的网络之间互
访,执行访问控制策略
通过它可以隔离风险区域 (即 Internet或有
一定风险的网络 )与安全区域 (局域网 )的连
接,同时不会妨碍人们对风险区域的访问。
在 Internet上超过三分之一的 Web网站都是
由某种形式的防火墙加以保护,这是对黑
客防范最严,安全性较强的一种方式,任
何关键性的服务器,都建议放在防火墙之
后。
防火墙概念
防火墙是位于两个或多个网络之间,执行访问控
制策略的一个或一组系统,是一类防范措施的总
称,
一个好的防火墙具备,
? – 内部和外部之间的所有网络数据流必须经过防火墙
? – 只有符合安全政策的数据流才能通过防火墙
? – 防火墙自身应对渗透 (peneration)免疫
12.1.2 防火墙的功能
服务控制,确定哪些服务可以被访问
方向控制,对于特定的服务,可以确定允
许哪个方向能够通过防火墙
用户控制,根据用户来控制对服务的访问
行为控制,控制一个特定的服务的行为
对内部网实现集中的安全管理,强化网络安
全策略
防止非授权用户进入内部网络
方便的监视网络安全并及时报警
实现网络地址转换
对内部网络进行划分,实现重点网段的隔离
审计和记录网络访问
防火墙的作用
确保一个单位内的网络与因特网的通信符
合该单位的安全方针,为管理人员提供下
列问题的答案,
? – 谁在使用网络
? – 他们在网络上做什么
? – 他们什么时间使用了网络
? – 他们上网去了何处
? – 谁要上网没有成功
防火墙的基本规则
防火墙设计策略
? 一种是, 一切未被允许的就是禁止的,
? 一种是, 一切未被禁止的都是允许的, 。
? 第一种的特点是安全性好,但是用户所能使用
的服务范围受到严格限制。第二种的特点是可
以为用户提供更多的服务,但是在日益增多的
网络服务面前,很难为用户提供可靠的安全防
护。
12.2 防火墙技术
数据包过滤技术
? 包过滤防火墙 以色列的 Checkpoint防火墙和
Cisco公司的 PIX防火墙为代表
代理服务
? 代理防火墙(应用层网关防火墙)。以美国 NAI
公司的 Gauntlet防火墙为代表。
12.2.1 数据包过滤技术
TCP协议,
? IP源地址
? IP目的地址
? IP协议字段
? TCP源端口
? TCP目的端口
? TCP标志字段
UDP协议,
? IP源地址
? IP目的地址
? IP协议字段
? UDP源端口
? UDP目的端口
包过滤防火墙
第一代:静态包过滤
据定义好的过滤规则审查每个数据包,以便确定其是否与某一条
包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报
头信息中包括 IP源地址,IP目标地址、传输协议 (TCP,UDP,ICMP
等等 ),TCP/UDP目标端口,ICMP消息类型等。包过滤类型的防火
墙要遵循的一条基本原则是, 最小特权原则,,即明确允许那些
管理员希望通过的数据包,禁止其他的数据包。
HTTP数据包的过滤
第二代:动态包过滤
这种类型的防火墙采用动态设置包过滤规则的方
法,避免了静态包过滤所具有的问题。这种技术后来
发展成为所谓包状态监测( Stateful Inspection)技
术。采用这种技术的防火墙对通过其建立的每一个连
接都进行跟踪,并且根据需要可动态地在过滤规则中
增加或更改
跟踪每个连接
包过滤防火墙的优缺点
优点
? 实现简单、费用低、对用户透明、效率高
缺点
? 处理数据包的能力有限
? 无法识别应用层协议
? 规则的有效性很难进行测试
针对包过滤防火墙的攻击
IP地址欺骗,例如,假冒内部的 IP地址
? – 对策:在外部接口上禁止内部地址
源路由攻击,即由源指定路由
? – 对策:禁止这样的选项
小碎片攻击,利用 IP分片功能把 TCP头部切分到
不同的分片中
? – 对策:丢弃分片太小的分片
利用复杂协议和管理员的配置失误进入防火墙
? – 例如,利用 ftp协议对内部进行探查
代理防火墙
第一代:代理防火墙
也叫应用层网关( Application Gateway)防
火墙。代理防火墙通过编程来弄清用户应用层
的流量,并能在用户层和应用协议层间提供访
问控制;而且,还可用来保持一个所有应用程
序使用的记录。记录和控制所有进出流量的能
力是应用层网关的主要优点之一。
不允许直接连接,而是强制检查和过滤所
有的网络数据包。
用户并不直接与真正的服务器通信,而是
与代理服务器通信。
电路级网关防火墙
通用代理服务器,不需要识别在同一个协
议栈上运行的不同应用,则不需要设置代
理模块
自适应代理防火墙
自适应代理技术( Adaptive proxy)是最近在商业应
用防火墙中实现的一种革命性的技术。它可以结合代
理类型防火墙的安全性和包过滤防火墙的高速度等优
点,在毫不损失安全性的基础之上将代理型防火墙的
性能提高 10倍以上。组成这种类型防火墙的基本要素
有两个:自适应代理服务器( Adaptive Proxy Server)
与动态包过滤器( Dynamic Packet filter) 。
代理防火墙的特点
特点
? 所有的连接都通过防火墙,防火墙作为网关
? 在应用层上实现
? 可以监视包的内容
? 可以实现基于用户的鉴别
? 所有的应用需要单独实现
? 可以提供理想的日志功能
? 安全性高,但是开销比较大
两种防火墙技术的比较
举例:防火墙与 Web服务器之间
的配置策略
根据不同的需要,防火墙在网中的配置有
很多方式。
根据防火墙和 Web服务器所处的位置,总
的可以分为 3种配置,
? Web服务器置于防火墙之内
? Web服务器置于防火墙之外
? Web服务器置于防火墙之上
1.Web服务器置于防火墙之内
将 Web服务器装在防火墙内的好处是它得
到了安全保护,不容易被黑客闯入,但不
易被外界所用。当 Web站点主要用于宣传
企业形象时,显然这不是好的配置,这时
应当将 Web服务器放在防火墙之外
2.Web服务器置于防火墙之外
?事实上,为保证组织内部网络的安全,将
Web服务器完全置于防火墙之外是比较合适
的。在这种模式中,Web服务器不受保护,
但内部网则处于保护之下,即使黑客闯进了
受保护的 Web站点,内部网络仍是安全的。
在这种配置中,防火墙对 Web站点的保护几
乎不起作用。
3.Web服务器置于防火墙之上
一些管理者试图在防火墙机器上运行 Web服务器,以此增强
Web站点的安全性。这种配置的缺点是,一旦服务器有一点
毛病,整个组织和 Web站点就全部处于危险之中。
防火墙的发展史
第一代防火墙:采用了包过滤 ( Packet Filter)
技术 。
第二, 三代防火墙,1989年, 推出了电路层防
火墙, 和应用层防火墙的初步结构 。
第四代防火墙,1992年, 开发出了基于动态包
过滤技术的第四代防火墙 。
第五代防火墙,1998年, NAI公司推出了一种
自适应代理技术, 可以称之为第五代防火墙 。
发展图示
个人防火墙
个人防火墙实例
个人防火墙实例 --日志
访问 web服务
个人防火墙实例 --网络状态
个人防火墙实例 — 安全级别
低:所有应用程序初次访问网络时都将询问,已经被认可
的程序则按照设置的相应规则运作。计算机将完全信任局
域网,允许局域网内部的机器访问自己提供的各种服务
(文件、打印机共享服务)但禁互联网上的机器访问这些
服务。
中:所有应用程序初次访问网络时都将询问,已经被认可
的程序则按照设置的相应规则运作。禁止局域网内部和互
联网的机器访问自己提供的网络共享服务(文件、打印机
共享服务),局域网和互联网上的机器将无法看到本机器。
高:所有应用程序初次访问网络时都将询问,已经被认可
的程序则按照设置的相应规则运作。禁止局域网内部和互
联网的机器访问自己提供的网络共享服务(文件、打印机
共享服务),局域网和互联网上的机器将无法看到本机器。
除了是由已经被认可的程序打开的端口,系统会屏蔽掉向
外部开放的所有端口。
个人防火墙实例 — IP规则
个人防火墙实例 — ping规则
个人防火墙实例 — 访问控制列表
个人防火墙实例 — 高级设置
防火墙的局限性 (1)
防火墙也不能完全防止受病毒感染的文件或软件
的传输。
目前防火墙对于来自网络内部的攻击还无能为力。
防火墙不能防范不经过防火墙的攻击,如内部网
用户通过 拨号 直接进入 Internet。
防火墙的局限性 (2)
为了提高安全性,限制或关闭了一些有用
但存在安全缺陷的网络服务,给用户带来
使用的不便。
防火墙对用户不完全透明,可能带来传输
延迟、瓶颈及单点失效。
作为一种被动的防护手段,防火墙不能防
范因特网上不断出现的新的威胁和攻击。
