第6章防火墻技術

計算機信息安全技術第六章防火墻技術目錄6.1防火墻概述6.2防火墻的分類6.3防火墻的體系結構6.4防火墻的部署6.5防火墻技術的發(fā)展趨勢6.6分布式防火墻技術6.1防火墻概述防火墻的定義防火墻是一種高級訪問控制設備，置于不同網(wǎng)絡安全域之間的一系列部件的組合，它是不同網(wǎng)絡安全域之間通信流的唯一通道，能根據(jù)用戶有關的安全策略控制進出網(wǎng)絡的訪問行為。圖6.1防火墻示意圖6.1防火墻概述防火墻的特性

內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的所有網(wǎng)絡數(shù)據(jù)流都必須經(jīng)過防火墻。只有符合安全策略的數(shù)據(jù)流才能通過防火墻。防火墻自身應具有非常強的抗攻擊免疫力。6.1防火墻概述防火墻的功能阻止易受攻擊的服務進入內(nèi)部網(wǎng)集中安全管理對網(wǎng)絡存取和訪問進行監(jiān)控審計檢測掃描計算機的企圖防范特洛伊木馬防病毒功能6.1防火墻概述防火墻的局限性一、入侵者可以偽造數(shù)據(jù)繞過防火墻或者找到防火墻中可能開啟的后門；二、防火墻不能防止來自網(wǎng)絡內(nèi)部的襲擊；三、由于防火墻性能上的限制，通常它不具備實時監(jiān)控入侵的能力；四、不能防御所有新的威脅，只能用來防備已知威脅，無法檢測和防御最新的拒絕服務攻擊（DOS）及蠕蟲病毒的攻擊。6.2防火墻的分類防火墻的發(fā)展簡史

第一代防火墻(包過濾防火墻)第二、三代防火墻（代理型防火墻）第四代防火墻（動態(tài)包過濾防火墻）第五代防火墻（自適應代理防火墻）一體化安全網(wǎng)關UTM

防火墻技術的簡單發(fā)展歷史6.2防火墻的分類按軟硬件形式分類軟件防火墻硬件防火墻芯片級防火墻6.2防火墻的分類按防火墻技術分類包過濾（Packetfiltering）型

包過濾型防火墻工作在OSI網(wǎng)絡參考模型的網(wǎng)絡層和傳輸層；根據(jù)數(shù)據(jù)包頭源地址，目的地址、端口號和協(xié)議類型等標志確定是否允許通過;只有滿足過濾條件的數(shù)據(jù)包才被轉發(fā)到相應的目的地，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。包過濾技術出現(xiàn)了兩種不同版本，稱為“第一代靜態(tài)包過濾”和“第二代動態(tài)包過濾”。6.2防火墻的分類第一代靜態(tài)包過濾類型防火墻：

根據(jù)定義好的過濾規(guī)則審查每個數(shù)據(jù)包，以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數(shù)據(jù)包的報頭信息進行制訂。圖6.3第一代靜態(tài)包過濾防火墻工作層次結構優(yōu)點：

速度快、效率高，對流量的管理較出色；由于所有的通信必須通過防火墻，所以想繞過防火墻是困難的；同時對用戶和應用是透明的。缺點：

允許外部網(wǎng)絡直接連接到內(nèi)部網(wǎng)絡主機，網(wǎng)絡邊界的端口是靜態(tài)、持續(xù)地打開；

只要數(shù)據(jù)包符合ACL規(guī)則都可以通過，無法區(qū)分數(shù)據(jù)包的真實意圖。

不能為掛起的通信維持一個記錄，無法識別UDP數(shù)據(jù)包和ICMP包的狀態(tài)，所以必須根據(jù)數(shù)據(jù)包的格式來判斷該數(shù)據(jù)包是否屬于先前所允許的對話，可能導致基于IP源地址欺騙的網(wǎng)絡攻擊。

不支持用戶身份認證，不提供日志功能，雖然可以過濾端口，但是不能過濾服務。2023/2/3116.2防火墻的分類第二代動態(tài)包過濾類型防火墻：采用動態(tài)設置包過濾規(guī)則的方法，避免了靜態(tài)包過濾所具有的問題。這種技術后來發(fā)展成為包狀態(tài)監(jiān)測（StatefulInspection）技術。圖6.4第二代動態(tài)包過濾防火墻工作層次結構優(yōu)點：

檢查的層面能夠從網(wǎng)絡層至應用層；

具有詳細記錄通過的每個包的信息的能力。缺點：

記錄、測試和分析工作可能會造成網(wǎng)絡連接的某種遲滯，尤其是在同時有許多連接激活的時候，或者有大量過濾網(wǎng)絡通信的規(guī)則存在的時候。2023/2/3136.2防火墻的分類包過濾防火墻優(yōu)點：不用改動客戶機和主機上的應用程序包過濾防火墻缺點：過濾判別的依據(jù)只是網(wǎng)絡層和傳輸層的有限信息，不能滿足各種安全需求；過濾器中規(guī)則數(shù)目有限，隨著規(guī)則數(shù)目增大，性能會受到很大影響；不能有效過濾如UDP、RPC一類的協(xié)議；大多數(shù)過濾器中缺少審計和報警機制，只能依據(jù)包頭信息，不能對用戶身份進行驗證，容易受到“地址欺騙型”攻擊2023/2/315防火墻安全規(guī)則通常情況下，網(wǎng)絡管理員在防火墻設備的訪問控制列表ACL（AccessControlList）中設定包過濾規(guī)則，以此來表明是否允許或者拒絕數(shù)據(jù)包通過。包過濾防火墻檢查數(shù)據(jù)流中每個數(shù)據(jù)包的報頭信息，例如源地址、目標地址、協(xié)議類型、協(xié)議標志、服務類型等，并與過濾規(guī)則進行匹配，從而在內(nèi)外網(wǎng)絡之間實施訪問控制功能.包過濾防火墻的安全規(guī)則防火墻規(guī)則設置中所涉及的動作主要有以下幾種：允許:允許數(shù)據(jù)包通過防火墻傳輸，并按照路由表中的信息被轉發(fā)。放棄:不允許數(shù)據(jù)包通過防火墻傳輸，但僅丟棄，不發(fā)任何相應數(shù)據(jù)包。拒絕:不允許數(shù)據(jù)包通過防火墻傳輸，并向數(shù)據(jù)包的源端發(fā)送目的主機不可達的ICMP數(shù)據(jù)包。返回:沒有發(fā)現(xiàn)匹配的規(guī)則，執(zhí)行默認動作。

默認拒絕，即只允許指定允許的數(shù)據(jù)包，其他一切皆禁止，體現(xiàn)封閉性；

默認許可，即只禁止指定禁止的數(shù)據(jù)包，體現(xiàn)開放性。所有的防火墻都是在以下兩種模式下配置安全規(guī)則：“白名單”模式系統(tǒng)默認為拒絕所有的流量，白名單上的規(guī)則是具有合法性訪問的安全規(guī)則，這種模式是一種封閉的默認管理模式?！昂诿麊巍蹦Ｊ较到y(tǒng)默認為允許所有的流量，黑名單上定義的安全規(guī)則屬于非法的、被禁止的網(wǎng)絡訪問，這種模式是一種開放的默認管理模式。包過濾防火墻一般有兩類過濾規(guī)則的設置方法

1.按地址過濾用于拒絕偽造的數(shù)據(jù)包。若想阻止偽造源地址的數(shù)據(jù)包進入內(nèi)部網(wǎng)。

規(guī)則號方向源地址目的地址動作n入內(nèi)部任意拒絕2.按服務類型過濾即是按數(shù)據(jù)包的服務端口號來過濾。在TCP協(xié)議中，協(xié)議是雙向的，以Telnet為例，其IP包的交換也是雙向的。2023/2/320規(guī)則號方向協(xié)議源地址目的地址源端口目端口動作1出TCP內(nèi)部任意23>1023允許2入TCP任意內(nèi)部>102323允許6.2防火墻的分類應用代理（ApplicationProxy）型由于包過濾技術無法提供完善的數(shù)據(jù)保護措施，而且一些特殊的報文攻擊僅僅使用過濾的方法并不能消除危害（如SYN攻擊、ICMP洪水等），因此人們需要一種更全面的防火墻保護技術。應用代理型防火墻是工作在OSI的最高層，即應用層。其特點是完全“阻隔”了網(wǎng)絡通信流，通過對每種應用服務編制專門的代理程序，實現(xiàn)監(jiān)視和控制應用層通信流的作用。在代理型防火墻技術的發(fā)展過程中，它也經(jīng)歷了兩個不同的版本：第一代應用網(wǎng)關型代理防火墻和第二代自適應代理防火墻。

代理服務（ProxyService）是指運行于內(nèi)部網(wǎng)絡與外網(wǎng)之間的主機(堡壘主機)上的一種應用。

當用戶需要訪問代理服務器另一側主機時，代理服務器對于符合安全規(guī)則的連接，會代替主機響應訪問請求，并重新向主機發(fā)出一個相同的請求。

當此連接請求得到回應并建立起連接之后，內(nèi)部主機同外部主機之間的通信將通過代理程序的相應連接映射來實現(xiàn)。代理既是客戶端（Client），也是服務器端（Server）。6.2防火墻的分類圖6.5代理型防火墻結構示意圖6.2防火墻的分類第一代應用網(wǎng)關（ApplicationGateway）型防火墻：通過一種代理（Proxy）技術參與到一個TCP連接的全過程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達到隱藏內(nèi)部網(wǎng)結構的作用。圖6.6第一代應用網(wǎng)關防火墻工作層次結構6.2防火墻的分類第二代自適應代理（Adaptiveproxy）型防火墻：結合代理類型防火墻的安全性和包過濾防火墻的高速度等優(yōu)點，在毫不損失安全性的基礎之上將代理型防火墻的性能提高10倍以上。基本要素：自適應代理服務器（AdaptiveProxyServer）與動態(tài)包過濾器（DynamicPacketfilter）。圖6.7第二代自適應代理防火墻工作層次結構初始的安全檢查仍在應用層中進行，保證實現(xiàn)傳統(tǒng)防火墻的最大安全性。而一旦可信任身份得到認證，建立了安全通道，隨后的數(shù)據(jù)包就可以重新定向到網(wǎng)絡層。6.2防火墻的分類按防火墻結構分類單一主機防火墻路由器集成式防火墻分布式防火墻按防火墻的應用部署分類邊界防火墻個人防火墻混合防火墻按防火墻性能分類百兆級防火墻千兆級防火墻6.3防火墻的體系結構堡壘主機體系結構堡壘主機是一種被強化的可以防御進攻的計算機，被暴露于因特網(wǎng)之上，作為進入內(nèi)部網(wǎng)絡的一個檢查點（checkpoint），以達到把整個網(wǎng)絡的安全問題集中在某個主機上解決。設計和建立堡壘主機的基本原則有二條：1、最簡化原則。堡壘主機越簡單，對它進行保護就越方便。2、預防原則。只有充分對最壞的情況加以準備，并設計好對策，才可有備無患。6.3防火墻的體系結構雙宿主主機體系結構雙宿主主機的防火墻系統(tǒng)由一臺裝有兩張網(wǎng)卡的堡壘主機構成。兩張網(wǎng)卡分別與外部網(wǎng)以及內(nèi)部受保護網(wǎng)相連。圖6.8雙宿主主機防火墻結構示意圖（1）兩個端口之間不能直接進行IP數(shù)據(jù)包的轉發(fā)。（2）防火墻內(nèi)部的系統(tǒng)可以與雙宿主主機進行通信，同時防火墻外部的系統(tǒng)也可以與雙宿主主機進行通信，但二者之間不能直接進行通信。（3）雙宿主主機的防火墻體系結構相對簡單，雙宿主主機位于外部網(wǎng)和內(nèi)部網(wǎng)之間，起到隔離和安全訪問控制的作用。6.3防火墻的體系結構雙宿主主機的實現(xiàn)方案：應用層數(shù)據(jù)共享，用戶直接登錄到雙宿主主機圖6.9雙宿主主機結構防火墻（應用層數(shù)據(jù)共享）6.3防火墻的體系結構應用層代理服務，在雙宿主機上運行代理服務器圖6.10雙宿主主機結構防火墻（應用層代理服務）（1）屏蔽主機結構中提供安全保護的主機僅僅與內(nèi)部網(wǎng)相連。此外還有一臺單獨的包過濾路由器，它的作用是避免用戶直接與內(nèi)部網(wǎng)絡相連。（2）過濾路由器按如下規(guī)則過濾數(shù)據(jù)包：任何外部網(wǎng)的主機都只能與內(nèi)部網(wǎng)的堡壘主機建立連接，甚至只有提供某些類型服務的外部網(wǎng)的主機才被允許與堡壘主機建立連接。（3）任何外部系統(tǒng)對內(nèi)部網(wǎng)絡的操作都必須經(jīng)過堡壘主機，同時堡壘主機本身具有較全面的安全維護。（4）在一臺路由器上施加安全保護，比在一臺主機上施加保護更便于管理，具有可操作性。（5）只要黑客設法通過了堡壘主機，那么整個內(nèi)部網(wǎng)與堡壘主機之間就不再有任何阻礙；同樣，路由器的保護也存在相同的缺陷，若黑客闖過路由器，那么整個內(nèi)部網(wǎng)便會完全暴露。6.3防火墻的體系結構屏蔽主機體系結構6.3防火墻的體系結構圖6.12屏蔽主機防火墻轉發(fā)數(shù)據(jù)包的過程6.3防火墻的體系結構屏蔽子網(wǎng)體系結構

屏蔽子網(wǎng)結構就是在屏蔽主機結構中再增加一層邊界網(wǎng)絡（DMZ）的安全機制，使得內(nèi)部網(wǎng)與外部網(wǎng)之間有二層隔斷。圖6.13屏蔽子網(wǎng)防火墻結構示意圖在屏蔽子網(wǎng)結構中，有二臺與邊界網(wǎng)絡直接相連的過濾路由器，一臺位于邊界網(wǎng)絡與外部網(wǎng)之間，我們稱之為外部路由器；另一臺位于邊界網(wǎng)絡與內(nèi)部網(wǎng)絡之間，我們稱之為內(nèi)部路由器；屏蔽子網(wǎng)結構解決了雙宿主主機和屏蔽主機兩種結構的不足，是一種具有較完整體系結構，并且常用的防火墻構建方案。6.3防火墻的體系結構防火墻的結構組合策略

多堡壘主機合并內(nèi)、外部路由器合并堡壘主機與外部路由器合并堡壘主機與內(nèi)部路由器6.4防火墻的部署（自學）防火墻的設計原則

保持設計的簡單性安排事故計劃防火墻的選購原則第一要素：防火墻的基本功能第二要素：企業(yè)的特殊要求第三要素：與用戶網(wǎng)絡結合6.4防火墻的部署（自學）常見防火墻產(chǎn)品CheckpointFirewall-1Sonicwall系列防火墻NetScreenFirewallAlkatelInternetDevices系列防火墻北京天融信公司網(wǎng)絡衛(wèi)士防火墻NAIGauntlet防火墻6.5防火墻技術的發(fā)展趨勢（自學）防火墻包過濾技術發(fā)展趨勢身份認證技術多級過濾技術病毒防護技術防火墻的體系結構發(fā)展趨勢防火墻的系統(tǒng)管理發(fā)展趨勢

首先是集中式管理，分布式和分層的安全結構是將來的趨勢。強大的審計功能和自動日志分析功能。網(wǎng)絡安全產(chǎn)品的系統(tǒng)化。分布式防火墻體系結構包含如下部分：網(wǎng)絡防火墻(NetworkFirewall)

用于內(nèi)部網(wǎng)與外部網(wǎng)之間，以及內(nèi)部網(wǎng)各子網(wǎng)之間的防護。與傳統(tǒng)邊界防火墻相比，網(wǎng)絡防火墻增加了一種針對內(nèi)部子網(wǎng)之間的安全防護層，這樣整個網(wǎng)絡的安全防護體系就顯得更加全面，更加可靠。主機防火墻(HostFirewall)

作用在同一內(nèi)部子網(wǎng)之間的工作站與服務器之間，確保內(nèi)部網(wǎng)絡服務器的安全。因此，防火墻的作用不僅用于內(nèi)部網(wǎng)與外部網(wǎng)之間的防護，還可應用于內(nèi)部網(wǎng)各子網(wǎng)之間、同一內(nèi)部子網(wǎng)工作站與服務器之間的防護。中心管理(CentralManagement)

這是防火墻服務器管理軟件，負責總體安全策略的策劃、管理、分發(fā)及日志匯