第6章防火墻技術(shù)

計(jì)算機(jī)信息安全技術(shù)第六章防火墻技術(shù)目錄6.1防火墻概述6.2防火墻的分類6.3防火墻的體系結(jié)構(gòu)6.4防火墻的部署6.5防火墻技術(shù)的發(fā)展趨勢(shì)6.6分布式防火墻技術(shù)6.1防火墻概述防火墻的定義防火墻是一種高級(jí)訪問(wèn)控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域之間通信流的唯一通道，能根據(jù)用戶有關(guān)的安全策略控制進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為。圖6.1防火墻示意圖6.1防火墻概述防火墻的特性

內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過(guò)防火墻。只有符合安全策略的數(shù)據(jù)流才能通過(guò)防火墻。防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力。6.1防火墻概述防火墻的功能阻止易受攻擊的服務(wù)進(jìn)入內(nèi)部網(wǎng)集中安全管理對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)檢測(cè)掃描計(jì)算機(jī)的企圖防范特洛伊木馬防病毒功能6.1防火墻概述防火墻的局限性一、入侵者可以偽造數(shù)據(jù)繞過(guò)防火墻或者找到防火墻中可能開(kāi)啟的后門；二、防火墻不能防止來(lái)自網(wǎng)絡(luò)內(nèi)部的襲擊；三、由于防火墻性能上的限制，通常它不具備實(shí)時(shí)監(jiān)控入侵的能力；四、不能防御所有新的威脅，只能用來(lái)防備已知威脅，無(wú)法檢測(cè)和防御最新的拒絕服務(wù)攻擊（DOS）及蠕蟲(chóng)病毒的攻擊。6.2防火墻的分類防火墻的發(fā)展簡(jiǎn)史

第一代防火墻(包過(guò)濾防火墻)第二、三代防火墻（代理型防火墻）第四代防火墻（動(dòng)態(tài)包過(guò)濾防火墻）第五代防火墻（自適應(yīng)代理防火墻）一體化安全網(wǎng)關(guān)UTM

防火墻技術(shù)的簡(jiǎn)單發(fā)展歷史6.2防火墻的分類按軟硬件形式分類軟件防火墻硬件防火墻芯片級(jí)防火墻6.2防火墻的分類按防火墻技術(shù)分類包過(guò)濾（Packetfiltering）型

包過(guò)濾型防火墻工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層；根據(jù)數(shù)據(jù)包頭源地址，目的地址、端口號(hào)和協(xié)議類型等標(biāo)志確定是否允許通過(guò);只有滿足過(guò)濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。包過(guò)濾技術(shù)出現(xiàn)了兩種不同版本，稱為“第一代靜態(tài)包過(guò)濾”和“第二代動(dòng)態(tài)包過(guò)濾”。6.2防火墻的分類第一代靜態(tài)包過(guò)濾類型防火墻：

根據(jù)定義好的過(guò)濾規(guī)則審查每個(gè)數(shù)據(jù)包，以便確定其是否與某一條包過(guò)濾規(guī)則匹配。過(guò)濾規(guī)則基于數(shù)據(jù)包的報(bào)頭信息進(jìn)行制訂。圖6.3第一代靜態(tài)包過(guò)濾防火墻工作層次結(jié)構(gòu)優(yōu)點(diǎn)：

速度快、效率高，對(duì)流量的管理較出色；由于所有的通信必須通過(guò)防火墻，所以想繞過(guò)防火墻是困難的；同時(shí)對(duì)用戶和應(yīng)用是透明的。缺點(diǎn)：

允許外部網(wǎng)絡(luò)直接連接到內(nèi)部網(wǎng)絡(luò)主機(jī)，網(wǎng)絡(luò)邊界的端口是靜態(tài)、持續(xù)地打開(kāi)；

只要數(shù)據(jù)包符合ACL規(guī)則都可以通過(guò)，無(wú)法區(qū)分?jǐn)?shù)據(jù)包的真實(shí)意圖。

不能為掛起的通信維持一個(gè)記錄，無(wú)法識(shí)別UDP數(shù)據(jù)包和ICMP包的狀態(tài)，所以必須根據(jù)數(shù)據(jù)包的格式來(lái)判斷該數(shù)據(jù)包是否屬于先前所允許的對(duì)話，可能導(dǎo)致基于IP源地址欺騙的網(wǎng)絡(luò)攻擊。

不支持用戶身份認(rèn)證，不提供日志功能，雖然可以過(guò)濾端口，但是不能過(guò)濾服務(wù)。2023/2/3116.2防火墻的分類第二代動(dòng)態(tài)包過(guò)濾類型防火墻：采用動(dòng)態(tài)設(shè)置包過(guò)濾規(guī)則的方法，避免了靜態(tài)包過(guò)濾所具有的問(wèn)題。這種技術(shù)后來(lái)發(fā)展成為包狀態(tài)監(jiān)測(cè)（StatefulInspection）技術(shù)。圖6.4第二代動(dòng)態(tài)包過(guò)濾防火墻工作層次結(jié)構(gòu)優(yōu)點(diǎn)：

檢查的層面能夠從網(wǎng)絡(luò)層至應(yīng)用層；

具有詳細(xì)記錄通過(guò)的每個(gè)包的信息的能力。缺點(diǎn)：

記錄、測(cè)試和分析工作可能會(huì)造成網(wǎng)絡(luò)連接的某種遲滯，尤其是在同時(shí)有許多連接激活的時(shí)候，或者有大量過(guò)濾網(wǎng)絡(luò)通信的規(guī)則存在的時(shí)候。2023/2/3136.2防火墻的分類包過(guò)濾防火墻優(yōu)點(diǎn)：不用改動(dòng)客戶機(jī)和主機(jī)上的應(yīng)用程序包過(guò)濾防火墻缺點(diǎn)：過(guò)濾判別的依據(jù)只是網(wǎng)絡(luò)層和傳輸層的有限信息，不能滿足各種安全需求；過(guò)濾器中規(guī)則數(shù)目有限，隨著規(guī)則數(shù)目增大，性能會(huì)受到很大影響；不能有效過(guò)濾如UDP、RPC一類的協(xié)議；大多數(shù)過(guò)濾器中缺少審計(jì)和報(bào)警機(jī)制，只能依據(jù)包頭信息，不能對(duì)用戶身份進(jìn)行驗(yàn)證，容易受到“地址欺騙型”攻擊2023/2/315防火墻安全規(guī)則通常情況下，網(wǎng)絡(luò)管理員在防火墻設(shè)備的訪問(wèn)控制列表ACL（AccessControlList）中設(shè)定包過(guò)濾規(guī)則，以此來(lái)表明是否允許或者拒絕數(shù)據(jù)包通過(guò)。包過(guò)濾防火墻檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的報(bào)頭信息，例如源地址、目標(biāo)地址、協(xié)議類型、協(xié)議標(biāo)志、服務(wù)類型等，并與過(guò)濾規(guī)則進(jìn)行匹配，從而在內(nèi)外網(wǎng)絡(luò)之間實(shí)施訪問(wèn)控制功能.包過(guò)濾防火墻的安全規(guī)則防火墻規(guī)則設(shè)置中所涉及的動(dòng)作主要有以下幾種：允許:允許數(shù)據(jù)包通過(guò)防火墻傳輸，并按照路由表中的信息被轉(zhuǎn)發(fā)。放棄:不允許數(shù)據(jù)包通過(guò)防火墻傳輸，但僅丟棄，不發(fā)任何相應(yīng)數(shù)據(jù)包。拒絕:不允許數(shù)據(jù)包通過(guò)防火墻傳輸，并向數(shù)據(jù)包的源端發(fā)送目的主機(jī)不可達(dá)的ICMP數(shù)據(jù)包。返回:沒(méi)有發(fā)現(xiàn)匹配的規(guī)則，執(zhí)行默認(rèn)動(dòng)作。

默認(rèn)拒絕，即只允許指定允許的數(shù)據(jù)包，其他一切皆禁止，體現(xiàn)封閉性；

默認(rèn)許可，即只禁止指定禁止的數(shù)據(jù)包，體現(xiàn)開(kāi)放性。所有的防火墻都是在以下兩種模式下配置安全規(guī)則：“白名單”模式系統(tǒng)默認(rèn)為拒絕所有的流量，白名單上的規(guī)則是具有合法性訪問(wèn)的安全規(guī)則，這種模式是一種封閉的默認(rèn)管理模式?！昂诿麊巍蹦Ｊ较到y(tǒng)默認(rèn)為允許所有的流量，黑名單上定義的安全規(guī)則屬于非法的、被禁止的網(wǎng)絡(luò)訪問(wèn)，這種模式是一種開(kāi)放的默認(rèn)管理模式。包過(guò)濾防火墻一般有兩類過(guò)濾規(guī)則的設(shè)置方法

1.按地址過(guò)濾用于拒絕偽造的數(shù)據(jù)包。若想阻止偽造源地址的數(shù)據(jù)包進(jìn)入內(nèi)部網(wǎng)。

規(guī)則號(hào)方向源地址目的地址動(dòng)作n入內(nèi)部任意拒絕2.按服務(wù)類型過(guò)濾即是按數(shù)據(jù)包的服務(wù)端口號(hào)來(lái)過(guò)濾。在TCP協(xié)議中，協(xié)議是雙向的，以Telnet為例，其IP包的交換也是雙向的。2023/2/320規(guī)則號(hào)方向協(xié)議源地址目的地址源端口目端口動(dòng)作1出TCP內(nèi)部任意23>1023允許2入TCP任意內(nèi)部>102323允許6.2防火墻的分類應(yīng)用代理（ApplicationProxy）型由于包過(guò)濾技術(shù)無(wú)法提供完善的數(shù)據(jù)保護(hù)措施，而且一些特殊的報(bào)文攻擊僅僅使用過(guò)濾的方法并不能消除危害（如SYN攻擊、ICMP洪水等），因此人們需要一種更全面的防火墻保護(hù)技術(shù)。應(yīng)用代理型防火墻是工作在OSI的最高層，即應(yīng)用層。其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流，通過(guò)對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。在代理型防火墻技術(shù)的發(fā)展過(guò)程中，它也經(jīng)歷了兩個(gè)不同的版本：第一代應(yīng)用網(wǎng)關(guān)型代理防火墻和第二代自適應(yīng)代理防火墻。

代理服務(wù)（ProxyService）是指運(yùn)行于內(nèi)部網(wǎng)絡(luò)與外網(wǎng)之間的主機(jī)(堡壘主機(jī))上的一種應(yīng)用。

當(dāng)用戶需要訪問(wèn)代理服務(wù)器另一側(cè)主機(jī)時(shí)，代理服務(wù)器對(duì)于符合安全規(guī)則的連接，會(huì)代替主機(jī)響應(yīng)訪問(wèn)請(qǐng)求，并重新向主機(jī)發(fā)出一個(gè)相同的請(qǐng)求。

當(dāng)此連接請(qǐng)求得到回應(yīng)并建立起連接之后，內(nèi)部主機(jī)同外部主機(jī)之間的通信將通過(guò)代理程序的相應(yīng)連接映射來(lái)實(shí)現(xiàn)。代理既是客戶端（Client），也是服務(wù)器端（Server）。6.2防火墻的分類圖6.5代理型防火墻結(jié)構(gòu)示意圖6.2防火墻的分類第一代應(yīng)用網(wǎng)關(guān)（ApplicationGateway）型防火墻：通過(guò)一種代理（Proxy）技術(shù)參與到一個(gè)TCP連接的全過(guò)程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過(guò)這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。圖6.6第一代應(yīng)用網(wǎng)關(guān)防火墻工作層次結(jié)構(gòu)6.2防火墻的分類第二代自適應(yīng)代理（Adaptiveproxy）型防火墻：結(jié)合代理類型防火墻的安全性和包過(guò)濾防火墻的高速度等優(yōu)點(diǎn)，在毫不損失安全性的基礎(chǔ)之上將代理型防火墻的性能提高10倍以上?；疽兀鹤赃m應(yīng)代理服務(wù)器（AdaptiveProxyServer）與動(dòng)態(tài)包過(guò)濾器（DynamicPacketfilter）。圖6.7第二代自適應(yīng)代理防火墻工作層次結(jié)構(gòu)初始的安全檢查仍在應(yīng)用層中進(jìn)行，保證實(shí)現(xiàn)傳統(tǒng)防火墻的最大安全性。而一旦可信任身份得到認(rèn)證，建立了安全通道，隨后的數(shù)據(jù)包就可以重新定向到網(wǎng)絡(luò)層。6.2防火墻的分類按防火墻結(jié)構(gòu)分類單一主機(jī)防火墻路由器集成式防火墻分布式防火墻按防火墻的應(yīng)用部署分類邊界防火墻個(gè)人防火墻混合防火墻按防火墻性能分類百兆級(jí)防火墻千兆級(jí)防火墻6.3防火墻的體系結(jié)構(gòu)堡壘主機(jī)體系結(jié)構(gòu)堡壘主機(jī)是一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī)，被暴露于因特網(wǎng)之上，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)（checkpoint），以達(dá)到把整個(gè)網(wǎng)絡(luò)的安全問(wèn)題集中在某個(gè)主機(jī)上解決。設(shè)計(jì)和建立堡壘主機(jī)的基本原則有二條：1、最簡(jiǎn)化原則。堡壘主機(jī)越簡(jiǎn)單，對(duì)它進(jìn)行保護(hù)就越方便。2、預(yù)防原則。只有充分對(duì)最壞的情況加以準(zhǔn)備，并設(shè)計(jì)好對(duì)策，才可有備無(wú)患。6.3防火墻的體系結(jié)構(gòu)雙宿主主機(jī)體系結(jié)構(gòu)雙宿主主機(jī)的防火墻系統(tǒng)由一臺(tái)裝有兩張網(wǎng)卡的堡壘主機(jī)構(gòu)成。兩張網(wǎng)卡分別與外部網(wǎng)以及內(nèi)部受保護(hù)網(wǎng)相連。圖6.8雙宿主主機(jī)防火墻結(jié)構(gòu)示意圖（1）兩個(gè)端口之間不能直接進(jìn)行IP數(shù)據(jù)包的轉(zhuǎn)發(fā)。（2）防火墻內(nèi)部的系統(tǒng)可以與雙宿主主機(jī)進(jìn)行通信，同時(shí)防火墻外部的系統(tǒng)也可以與雙宿主主機(jī)進(jìn)行通信，但二者之間不能直接進(jìn)行通信。（3）雙宿主主機(jī)的防火墻體系結(jié)構(gòu)相對(duì)簡(jiǎn)單，雙宿主主機(jī)位于外部網(wǎng)和內(nèi)部網(wǎng)之間，起到隔離和安全訪問(wèn)控制的作用。6.3防火墻的體系結(jié)構(gòu)雙宿主主機(jī)的實(shí)現(xiàn)方案：應(yīng)用層數(shù)據(jù)共享，用戶直接登錄到雙宿主主機(jī)圖6.9雙宿主主機(jī)結(jié)構(gòu)防火墻（應(yīng)用層數(shù)據(jù)共享）6.3防火墻的體系結(jié)構(gòu)應(yīng)用層代理服務(wù)，在雙宿主機(jī)上運(yùn)行代理服務(wù)器圖6.10雙宿主主機(jī)結(jié)構(gòu)防火墻（應(yīng)用層代理服務(wù)）（1）屏蔽主機(jī)結(jié)構(gòu)中提供安全保護(hù)的主機(jī)僅僅與內(nèi)部網(wǎng)相連。此外還有一臺(tái)單獨(dú)的包過(guò)濾路由器，它的作用是避免用戶直接與內(nèi)部網(wǎng)絡(luò)相連。（2）過(guò)濾路由器按如下規(guī)則過(guò)濾數(shù)據(jù)包：任何外部網(wǎng)的主機(jī)都只能與內(nèi)部網(wǎng)的堡壘主機(jī)建立連接，甚至只有提供某些類型服務(wù)的外部網(wǎng)的主機(jī)才被允許與堡壘主機(jī)建立連接。（3）任何外部系統(tǒng)對(duì)內(nèi)部網(wǎng)絡(luò)的操作都必須經(jīng)過(guò)堡壘主機(jī)，同時(shí)堡壘主機(jī)本身具有較全面的安全維護(hù)。（4）在一臺(tái)路由器上施加安全保護(hù)，比在一臺(tái)主機(jī)上施加保護(hù)更便于管理，具有可操作性。（5）只要黑客設(shè)法通過(guò)了堡壘主機(jī)，那么整個(gè)內(nèi)部網(wǎng)與堡壘主機(jī)之間就不再有任何阻礙；同樣，路由器的保護(hù)也存在相同的缺陷，若黑客闖過(guò)路由器，那么整個(gè)內(nèi)部網(wǎng)便會(huì)完全暴露。6.3防火墻的體系結(jié)構(gòu)屏蔽主機(jī)體系結(jié)構(gòu)6.3防火墻的體系結(jié)構(gòu)圖6.12屏蔽主機(jī)防火墻轉(zhuǎn)發(fā)數(shù)據(jù)包的過(guò)程6.3防火墻的體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)

屏蔽子網(wǎng)結(jié)構(gòu)就是在屏蔽主機(jī)結(jié)構(gòu)中再增加一層邊界網(wǎng)絡(luò)（DMZ）的安全機(jī)制，使得內(nèi)部網(wǎng)與外部網(wǎng)之間有二層隔斷。圖6.13屏蔽子網(wǎng)防火墻結(jié)構(gòu)示意圖在屏蔽子網(wǎng)結(jié)構(gòu)中，有二臺(tái)與邊界網(wǎng)絡(luò)直接相連的過(guò)濾路由器，一臺(tái)位于邊界網(wǎng)絡(luò)與外部網(wǎng)之間，我們稱之為外部路由器；另一臺(tái)位于邊界網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間，我們稱之為內(nèi)部路由器；屏蔽子網(wǎng)結(jié)構(gòu)解決了雙宿主主機(jī)和屏蔽主機(jī)兩種結(jié)構(gòu)的不足，是一種具有較完整體系結(jié)構(gòu)，并且常用的防火墻構(gòu)建方案。6.3防火墻的體系結(jié)構(gòu)防火墻的結(jié)構(gòu)組合策略

多堡壘主機(jī)合并內(nèi)、外部路由器合并堡壘主機(jī)與外部路由器合并堡壘主機(jī)與內(nèi)部路由器6.4防火墻的部署（自學(xué)）防火墻的設(shè)計(jì)原則

保持設(shè)計(jì)的簡(jiǎn)單性安排事故計(jì)劃防火墻的選購(gòu)原則第一要素：防火墻的基本功能第二要素：企業(yè)的特殊要求第三要素：與用戶網(wǎng)絡(luò)結(jié)合6.4防火墻的部署（自學(xué)）常見(jiàn)防火墻產(chǎn)品CheckpointFirewall-1Sonicwall系列防火墻NetScreenFirewallAlkatelInternetDevices系列防火墻北京天融信公司網(wǎng)絡(luò)衛(wèi)士防火墻NAIGauntlet防火墻6.5防火墻技術(shù)的發(fā)展趨勢(shì)（自學(xué)）防火墻包過(guò)濾技術(shù)發(fā)展趨勢(shì)身份認(rèn)證技術(shù)多級(jí)過(guò)濾技術(shù)病毒防護(hù)技術(shù)防火墻的體系結(jié)構(gòu)發(fā)展趨勢(shì)防火墻的系統(tǒng)管理發(fā)展趨勢(shì)

首先是集中式管理，分布式和分層的安全結(jié)構(gòu)是將來(lái)的趨勢(shì)。強(qiáng)大的審計(jì)功能和自動(dòng)日志分析功能。網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化。分布式防火墻體系結(jié)構(gòu)包含如下部分：網(wǎng)絡(luò)防火墻(NetworkFirewall)

用于內(nèi)部網(wǎng)與外部網(wǎng)之間，以及內(nèi)部網(wǎng)各子網(wǎng)之間的防護(hù)。與傳統(tǒng)邊界防火墻相比，網(wǎng)絡(luò)防火墻增加了一種針對(duì)內(nèi)部子網(wǎng)之間的安全防護(hù)層，這樣整個(gè)網(wǎng)絡(luò)的安全防護(hù)體系就顯得更加全面，更加可靠。主機(jī)防火墻(HostFirewall)

作用在同一內(nèi)部子網(wǎng)之間的工作站與服務(wù)器之間，確保內(nèi)部網(wǎng)絡(luò)服務(wù)器的安全。因此，防火墻的作用不僅用于內(nèi)部網(wǎng)與外部網(wǎng)之間的防護(hù)，還可應(yīng)用于內(nèi)部網(wǎng)各子網(wǎng)之間、同一內(nèi)部子網(wǎng)工作站與服務(wù)器之間的防護(hù)。中心管理(CentralManagement)

這是防火墻服務(wù)器管理軟件，負(fù)責(zé)總體安全策略的策劃、管理、分發(fā)及日志匯