1
防火墙技术
? 什么是防火墙
防火墙是一种功能,它使得内部网络和外部网络或
Internet互相隔离,以此来保护内部网络或主机。简单的
防火墙可以由 Router,3 Layer Switch的 ACL( access
control list)来充当,也可以用一台主机,甚至是一个子
网来实现。复杂的可以购买专门的硬件防火墙或软件防
火墙来实现。
2
防火墙的架构
3
防火墙的特点
? 1、广泛的服务支持:通过将动态的、应用层的过滤能力和认证
相结合,可实现 WWW浏览器,HTTP服务器,FTP等;
? 2、对私有数据的加密支持:保证通过 Internet进行虚拟私人网
络和商务活动不受损坏;
? 3、客户端认证只允许指定的用户访问内部网络或选择服务:企
业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分;
? 4、反欺骗:欺骗是从外部获取网络访问权的常用手段,它使数
据包好似来自网络内部。防火墙能监视这样的数据包并能扔掉它们;
? 5,C/S模式和跨平台支持:能使运行在一平台的管理模块控制
运行在另一平台的监视模块。
4
防火墙的功能,
? 1、过滤掉不安全服务和非法用户
? 2、控制对特殊站点的访问
? 3、提供监视 Internet安全和预警的方便端点
5
防火墙的分类
? 包过滤防火墙
? 状态检测防火墙
? 代理服务防火墙
6
包过滤防火墙
? 包过滤是在 IP层实现的,因此,它可以只用路由器完成。包过滤根
据包的源 IP地址、目的 IP地址、源端口、目的端口及包传递方向等
报头信息来判断是否允许包通过。过滤用户定义的内容,如 IP地址。
其工作原理是系统在网络层检查数据包,与应用层无关,包过滤器
的应用非常广泛,因为 CPU用来处理包过滤的时间可以忽略不计。
而且这种防护措施对用户透明,合法用户在进出网络时,根本感觉
不到它的存在,使用起来很方便。这样系统就具有很好的传输性能,
易扩展。但是这种防火墙不太安全,因为系统对应用层信息无感
知 —— 也就是说,它们不理解通信的内容,不能在用户级别上进行
过滤,即不能识别不同的用户和防止 IP地址的盗用。如果攻击者把
自己主机的 IP地址设成一个合法主机的 IP地址,就可以很轻易地通
过包过滤器,这样更容易被黑客攻破。
7
包过滤防火墙的表示
8
包过滤防火墙优点
? 简单、方便、速度快、透明性好,对网络性能影响不大,
可以用于禁止外部不合法用户对企业内部网的访问
? 防火墙对每条传入和传出网络的包实行低水平控制。
? 每个 IP包的字段都被检查,例如源地址、目的地址、协
议、端口等。防火墙将基于这些信息应用过滤规则。
? 防火墙可以识别和丢弃带欺骗性源 IP地址的包。
? 包过滤防火墙是两个网络之间访问的唯一来源。因为所
有的通信必须通过防火墙,绕过是困难的。
? 包过滤通常被包含在路由器数据包中,所以不必额外的
系统来处理这个特征。
9
包过滤防火墙的缺点
? 通信信息:包过滤 防火墙 只能访问部分数据包的头信息;
? 应用状态信息:包过滤 防火墙 是无状态的,所以它不可
能保存来自于通信和应用的状态信息;
? 信息处理:包过滤 防火墙 处理信息的能力是有限的。 允
许数据包直接通过,容易造成数据驱动式攻击的潜在危
险 。
比如针对微软 IIS漏洞的 Unicode攻击,因为这种攻击是
走的 防火墙 所允许的 80端口,而包过滤的 防火墙 无法对
数据包内容进行核查,因此此时 防火墙 等同于虚设,未
打相应 patch的提供 web服务的系统,即使在 防火墙 的屏
障之后,也会被攻击者轻松拿下超级用户的权限。
10
应用级网关
? 应用级网关也就是通常我们提到的 代理服务器 。它适用
于特定的互联网服务,如超文本传输 (HTTP),远程文件
传输 (FTP)等等。代理服务器通常运行在两个网络之间,
它对于客户来说象是一台真的服务器,而对于外界的服
务器来说,它又是一台客户机。当代理服务器接收到用
户对某站点的访问请求后会检查该请求是否符合规定,
如果规则允许用户访问该站点的话,代理服务器会象一
个客户一样去那个站点取回所需信息再转发给客户。典
型的内部网络地址,192.168……
11
应用级网关的表示
12
应用级网关优点
? 应用级网关的最突出的 优点 就是安全。由于每一个内外
网络之间的连接都要通过 Proxy的介入和转换,通过专门
为特定的服务如 Http编写的安全化的应用程序进行处理,
然后由 防火墙 本身提交请求和应答,没有给内外网络的
计算机以任何直接会话的机会,从而避免了入侵者使用
数据驱动类型的攻击方式入侵内部网。
? 应用级网关能够记录所有的连接,包括地址和持续时间,
这些信息对追踪攻击和发生的未授权访问的事件事很有
用的。
13
应用级网关缺点
? 首先它会使访问速度变慢,因为它不允许用户直接访问
网络,而且应用级网关需要对每一个特定的互联网服务
安装相应的代理服务软件。
? 用户不能使用未被务器支持的服务,对每一类服务要使
用特殊的客户端软件,更不幸的是,并不是所有的互联
网应用软件都可以使用代理服务器
14
状态监测防火墙
? 该防火墙结合了包过滤防火墙和应用级网关的特点。它
同包过滤防火墙一样,规则检查防火墙能够在 OSI网络层
上通过 IP地址和端口号,过滤进出的数据包。它也象应
用级网关一样,可以在 OSI应用层上检查数据包的内容,
查看这些内容是否能符合企业网络的安全规则。
? 规则检查防火墙不依靠与应用层有关的代理,而是依靠
某种算法 来识别进出的应用层数据,这些算法通过已知
合法数据包的模式来比较进出数据包,这样从理论上就
能比应用级代理在过滤数据包上更有效。
15
状态监测防火墙优点
? 安全性好
状态检测防火墙工作在数据链路层和网络层之间,它从这里截取数
据包,因为数据链路层是网卡工作的真正位置,网络层是协议栈的
第一层,这样防火墙确保了截取和检查所有通过网络的原始数据包。
? 性能高效
状态检测防火墙工作在协议栈的较低层
? 扩展性好
状态检测防火墙不区分每个具体的应用,只是根据从数据包中提取
出的信息、对应的安全策略及过滤规则处理数据包,当有一个新的
应用时,它能动态产生新的应用的新的规则,而不用另外写代码,
所以具有很好的伸缩性和扩展性。
16
状态监测防火墙缺点
? 状态检测可能造成网络连接的某种迟滞
17
防火墙的应用环境
一般情况下防火墙网络可划分为三个不同级别的安全区域,
? 内部网络,这是防火墙要保护的对象,包括全部的企
业内部网络设备及用户主机。这个区域是防火墙的可信
区域(这是由传统边界防火墙的设计理念决定的)。
? 外部网络,这是防火墙要防护的对象,包括外部互联
网主机和设备。这个区域为防火墙的非可信网络区域
(也是由传统边界防火墙的设计理念决定的)。
? DMZ(非军事区),它是从企业内部网络中划分的一
个小区域,在其中就包括内部网络中用于公众服务的外
部服务器,如 Web服务器、邮件服务器,FTP服务器、外
部 DNS服务器等,它们都是为互联网提供某种信息服务。
18
应用一,
? 控制来自互联网对内部网络的访问
19
应用二,
? 控制第三方网络 (子网) 访问内部网络
20
应用三
? 控制内部网络不同部门之间的访问
21
应用四,
? 控制对服务器中心的网络访问
22
软件 防火墙
这里指的是网络版的软件 防火墙 而不是个人 防火墙 。个
人 防火墙 在网上有很多可以免费下载的,不需要花钱买。
软件 防火墙 运行于特定的计算机上,它需要客户预先安
装好的计算机操作系统的支持,一般来说这台计算机就
是整个网络的网关。软件 防火墙 就象其它的软件产品一
样需要先在计算机上安装并做好配置才可以使用。 防火
墙 厂商中做网络版软件 防火墙 最出名的莫过于
Checkpoint。
23
软防火墙特点
? 软件防火墙一般基于某个操作系统平台开发,直接在计
算机上进行软件的安装和配置。由于客户平台的多样性,
软件防火墙需支持多操作系统,如 Unix,Linux、
Windows等,代码庞大、安装成本高、售后支持成本高、
效率低。
24
硬件防火墙
? 所谓的硬件防火墙,之所以加上 "所谓 "二字是针对芯片
级防火墙说的了。它们最大的差别在于是否基于专用的
硬件平台。目前市场上大多数防火墙都是这种所谓的硬
件防火墙,他们都基于 PC架构,就是说,它们和普通的
家庭用的 PC没有太大区别。在这些 PC架构计算机上运行
一些经过裁剪和简化的操作系统,最常用的有老版本的
Unix,Linux和 FreeBSD系统。
25
硬防火墙特点一
? 此类防火墙采用的依然是别人的内核,因此依然会受到
os本身的安全性影响。国内的许多防火墙产品就属于此
类,因为采用的是经过裁减内核和定制组件的平台,因
此国内防火墙的某些销售人员常常吹嘘其产品是, 专用
的 os”等等,其实是一个概念误导,下面我们提到的第三
种防火墙才是真正的 os专用。
26
硬防火墙特点二
? 硬件防火墙采用专用的硬件设备,然后集成生产厂商的
专用防火墙软件。从功能上看,硬件防火墙内建安全软
件,使用精简或者强化的操作系统,管理方便,更换容
易,软硬件搭配较固定。硬件防火墙效率高,解决了防
火墙效率、性能之间的矛盾,可以达到线性。
27
芯片级防火墙
基于专门的硬件平台,没有操作系统。专有的 ASIC芯片
促使它们比其他种类的防火墙速度更快,处理能力更强,
性能更高。做这类防火墙最出名的厂商莫过于 NetScreen.
其他的品牌还有 FortiNet,算是后起之秀。
28
芯片级防火墙特点
这类防火墙由于是专用 OS,因此防火墙本身的漏洞比较
少,不过开发设计复杂,价格相对比较高昂,所以一般
只有在, 确实需要, 的情况下才考虑。
29
防火墙的评价之一
? 并发会话数
并发会话连接数指的是防火墙或代理服务器对其业务信
息流的处理能力,是防火墙能够同时处理的点对点会话
连接的最大数目,它反映防火墙对多个连接的访问控制
能力和连接状态跟踪能力。这个参数的大小可以直接影
响到防火墙所能支持的最大信息点数。
30
防火墙的评价之二
? 流量性能
防火墙的性能对于一个防火墙来说是至关重要的,它决
定了每秒钟可能通过防火墙的最大数据流量,以 bps为单
位。从几十兆到几百兆不等,千兆防火墙还会达到几个 G
的性能。
31
防火墙的评价之三
? 管理界面
管理一个防火墙的方法一般来说是两种:图形化界面
(GUI)和命令行界面 (CLI)。
图形界面最常见的方式是通过 web方式 (包括 http和
https)和 java等程序编写的界面进行远程管理;
命令行界面一般是通过 console口或者 telnet进行远程管
理。
32
防火墙的评价之四
? 接口
防火墙的接口也分为以太网口 (10M)、快速以太网口
(10/100M)、千兆以太网口 (光纤接口 )三种类型。防火墙
一般都预先设有具有内网口、外网口和 DMZ区接口和默
认规则,有的防火墙也预留了其它接口用于用户自定义
其它的独立保护区域。防火墙上的 RS232 Console口主要
用于初始化防火墙时的进行基本的配置或用于系统维护。
另外有的防火墙还有可能提供 PCI插槽,IDS镜像口、高
可用性接口 (HA)等,这些是根据防火墙的功能来决定的。
33
防火墙的评价之五
? 策略设置
简单的说,防火墙应该具有灵活的策略设置,针对
源和目的 IP地址、网络服务以及时间几个方面实施不同
的安全策略。
策略能允许、拒绝、加密、认证、排定优先次序、
调度以及监控尝试从一个安全区段流到另一个安全区段
的信息流。可以决定哪些用户和信息能进入和离开,以
及它们进入和离开的时间和地点。
34
防火墙的评价之六
? 入侵检测
能否实时防护各种形式的攻击,并且在检测到有攻击
行为时能通过电子邮件或其它方式通知系统管理员。
35
防火墙的评价之七
? 用户认证
完善的用户认证机制,可以指定内部用户必须经过
认证,方可访问不可信网络。防火墙可以限定只有授权
用户可以通过防火墙进行一些有限制的活动,可以使用
内建用户数据库、外部 Raduis数据库或 IP/MAC绑定等多
数认证方式。
36
防火墙的评价之八
? 日志 /监控
防火墙对受到的攻击和通过防火墙的请求应具有完
备的日志功能,包括安全日志、时间日志和传输日志。
最好可以通过同步分析软件同步到指定主机上,实现对
日志的详尽审计。
37
防火墙不能做什么
? 1、防火墙可以阻断攻击,但不能消灭攻击源。
互联网上病毒、木马、恶意试探等等造成的攻击行为
络绎不绝。设置得当的防火墙能够阻挡他们,但是无法
清除攻击源。即使防火墙进行了良好的设置,使得攻击
无法穿透防火墙,但各种攻击仍然会源源不断地向防火
墙发出尝试。
38
防火墙不能做什么
? 防火墙不能抵抗最新的未设置策略的攻击漏洞
如杀毒软件与病毒一样,总是先出现病毒,杀毒软件
经过分析出特征码后加入到病毒库内才能查杀。防火墙
的各种策略,也是在该攻击方式经过专家分析后给出其
特征进而设置的。如果世界上新发现某个主机漏洞的
cracker的把第一个攻击对象选中了您的网络,那么防火
墙也无能为力。
39
防火墙不能做什么
? 防火墙对服务器合法开放的端口的攻击大多无法阻止。
某些情况下,攻击者利用服务器提供的服务进行缺陷
攻击。例如利用开放了 3389端口取得没打过 sp补丁的
win2k的超级权限,由于其行为在防火墙一级看来是, 合
理, 和, 合法, 的,因此就被简单地放行了。
40
防火墙不能做什么
? 防火墙对待内部主动发起连接的攻击一般无法阻止
防火墙内部各主机间的攻击行为,防火墙只有如旁观
者一样冷视而爱莫能助。
41
防火墙不能做什么
? 防火墙本身也会出现问题和受到攻击
防火墙也是一个 os,也有着其硬件系统和软件,因
此依然有着漏洞和 bug。所以其本身也可能受到攻击和出
现软 /硬件方面的故障。
42
防火墙不能做什么
? 防火墙不处理病毒
不管是 funlove病毒也好,还是 CIH也好。在内部网
络用户下载外网的带毒文件的时候,防火墙是不为所动
的(这里的防火墙不是指单机 /企业级的杀毒软件中的实
时监控功能,虽然它们不少都叫, 病毒防火墙, )。
43
总结
? 防火墙是网络安全的重要一环,但不代表设置了防火墙
就能一定保证网络的安全。, 真正的安全是一种意识,
而非技术 !”请牢记这句话。