防火墻技術(shù)-包過(guò)濾防火墻

第五講：防火墻知識(shí)1TCP/IP與防火墻防火墻的發(fā)展歷程簡(jiǎn)單包過(guò)濾防火墻TCP/IP與防火墻——協(xié)議2目的物理地址源物理地址類(lèi)型數(shù)據(jù)數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳輸層TCP/IP與防火墻——協(xié)議3防火墻TCP/IP與防火墻——IP地址通過(guò)TCP/IP協(xié)議形成的互聯(lián)網(wǎng)是一個(gè)虛擬的網(wǎng)絡(luò)，它隱藏了底層各種物理網(wǎng)絡(luò)的細(xì)節(jié)。一個(gè)邏輯的、通用的、虛擬的TCP/IP互聯(lián)網(wǎng)盡管各底層網(wǎng)絡(luò)可能不一樣，但在網(wǎng)絡(luò)層（及以上層）是一致的。在這個(gè)一致的TCP/IP互聯(lián)網(wǎng)上實(shí)現(xiàn)源端和目的端間的數(shù)據(jù)通信，需要有一個(gè)統(tǒng)一的、邏輯的通信端點(diǎn)標(biāo)識(shí)方案，TCP/IP在網(wǎng)絡(luò)層上使用IP地址編址方案。IP地址是以TCP/IP協(xié)議進(jìn)行數(shù)據(jù)通信的雙方必須的、符合標(biāo)準(zhǔn)格式的節(jié)點(diǎn)（主機(jī)或路由器等）地址標(biāo)識(shí)符，同一網(wǎng)絡(luò)上聯(lián)網(wǎng)的節(jié)點(diǎn)IP地址不能重復(fù)（沖突）。在互聯(lián)網(wǎng)上進(jìn)行數(shù)據(jù)通信，每個(gè)節(jié)點(diǎn)必須擁有全球認(rèn)可的、統(tǒng)一管理的、唯一的IP地址。（內(nèi)部網(wǎng)絡(luò)不受此限制，只要它的設(shè)備不直接與互聯(lián)網(wǎng)通信；而通過(guò)代理服務(wù)器或地址轉(zhuǎn)換設(shè)備可以間接與互聯(lián)網(wǎng)通信。）每個(gè)具體的PC、服務(wù)器、路由器的各通信端口（如網(wǎng)卡）均需賦予IP地址；一個(gè)物理通信端口可以賦予多個(gè)IP地址，每個(gè)IP地址成為一個(gè)通信節(jié)點(diǎn)（連接點(diǎn)）4TCP/IP與防火墻——端口端口（Port）傳輸層提供應(yīng)用程序與網(wǎng)絡(luò)之間的各接口點(diǎn)稱(chēng)為端口，它是個(gè)預(yù)定義的內(nèi)部地址（編號(hào)），以16位字標(biāo)識(shí)，提供從應(yīng)用程序到傳輸層或從傳輸層到應(yīng)用程序之間的一條通路，如：80端口。在TCP/IP系統(tǒng)中，應(yīng)用程序根據(jù)端口號(hào)通過(guò)TCP或UDP軟件將數(shù)據(jù)送往目的主機(jī)或從源主機(jī)接收數(shù)據(jù)。源主機(jī)和目的主機(jī)上的應(yīng)用程序間要進(jìn)行傳輸層及以上的通信，必須將該應(yīng)用程序綁定在某個(gè)端口上。因此，通信除了需要IP地址外，還需要源和目的端口。這樣，通信根據(jù)網(wǎng)絡(luò)層（IP層）的IP地址指明了源、目的主機(jī)，而根據(jù)傳輸層（TCP或UDP）的端口指明主機(jī)上各應(yīng)用程序。端口的分配有2種方式：靜態(tài)端口（統(tǒng)一管理的靜態(tài)指定和應(yīng)用程序的靜態(tài)指定）和動(dòng)態(tài)端口（操作系統(tǒng)的動(dòng)態(tài)綁定）。5TCP/IP與防火墻——端口知名（Well-known）端口應(yīng)用程序在使用端口時(shí)不能重復(fù)（沖突）。通常，端口0～255保留歸系統(tǒng)使用；256～1023是通用服務(wù)端口；1024以上用戶(hù)程序可使用。應(yīng)用程序在通信時(shí)需要知道對(duì)方的端口號(hào)。典型的情況，在C/S模型下，Client（應(yīng)用程序）向Server（服務(wù)程序）請(qǐng)求服務(wù)時(shí)，Client需要知道Server的服務(wù)端口。通用的服務(wù)使用所謂“知名”端口號(hào)，如：FTP－21，Telnet－23，SMTP－25，DNS－53，TFTP－69，Gopher－70，F(xiàn)inger－79，HTTP－80，POP3－110，NNTP－119，SNMP－161，BGP－179等。6TCP/IP與防火墻——端口端口應(yīng)用例7數(shù)據(jù)鏈路層網(wǎng)絡(luò)層TCP…21,22,23,80…UDP…9,11,161…FTPTCP21WebTCP80SNMPUDP161計(jì)算機(jī)A至計(jì)算機(jī)B，TCP端口21計(jì)算機(jī)B至計(jì)算機(jī)B，TCP端口80TCP：2340TCP：2349……10permittedtcp(1828)(25)11permittedtcp(2310)21(80)12permittedtcp(1828)5(445)13permittedtcp(8428)10(445)14permittedtcp(1240)21(80)15permittedtcp(2311)21(80)16permittedtcp(2312)21(80)17permittedtcp(2121)(80)18permittedtcp0(1840)(25)19permittedtcp0(2311)(80)20permittedudp(1833)(161)21permittedtcp(3210)21(80)822permittedtcp(2003)4(445)23permittedtcp10(6500)0(21)24permittedtcp00(5328)10(445)25permittedtcp00(4433)5(445)26permittedtcp0(2433)(80)27permittedtcp0(2433)(25)28permittedtcp0(6783)(80)29permittedtcp(2439)0(80)30permittedtcp(4139)0(80)31permittedtcp8(5577)0(80)32permittedtcp4(5432)0(80)……TCP/IP與防火墻——防火墻日志第五講：防火墻知識(shí)9TCP/IP與防火墻防火墻的發(fā)展歷程簡(jiǎn)單包過(guò)濾防火墻200010基于實(shí)現(xiàn)方式基于技術(shù)手段防火墻的發(fā)展歷程11由于多數(shù)路由器中本身就包含有分組過(guò)濾功能，故網(wǎng)絡(luò)訪(fǎng)問(wèn)控制可通過(guò)路由控制來(lái)實(shí)現(xiàn)，從而使具有分組過(guò)濾功能的路由器成為第一代防火墻產(chǎn)品。第一代：基于路由器的防火墻基于路由器的防火墻特點(diǎn)：利用路由器本身對(duì)數(shù)據(jù)包的解析，以訪(fǎng)問(wèn)控制表方式控制數(shù)據(jù)包的過(guò)濾；過(guò)濾判決的依據(jù)可以是：IP地址、端口號(hào)、以及其它網(wǎng)絡(luò)特征；只有數(shù)據(jù)包過(guò)濾功能，配置簡(jiǎn)單。12基于路由器的防火墻13工作原理：檢查數(shù)據(jù)鏈路層的物理地址檢查網(wǎng)絡(luò)層的IP地址網(wǎng)段網(wǎng)段基于路由器的防火墻14缺點(diǎn)：本身具有安全漏洞；過(guò)濾規(guī)則的設(shè)置存在安全隱患；最大的隱患是：攻擊者可以“假冒”地址進(jìn)行攻擊；本質(zhì)性缺陷是：會(huì)大大降低路由器的性能。代表產(chǎn)品：Cisco路由器第二代：防火墻工具套件15用戶(hù)化的防火墻，將過(guò)濾功能從路由器中獨(dú)立出來(lái)，并加上審計(jì)和告警功能。針對(duì)用戶(hù)需求，提供模塊化的軟件包，是純軟件產(chǎn)品。防火墻工具套件特點(diǎn)：將過(guò)濾功能從路由器中獨(dú)立出來(lái)，并加上審計(jì)和告警功能；提供模塊化的軟件包；用戶(hù)可以自己動(dòng)手構(gòu)造防火墻（iptable）；與第一代防火墻相比，安全性提高了，價(jià)格降低了。16防火墻工具套件17缺點(diǎn)：配置和維護(hù)過(guò)程復(fù)雜、費(fèi)時(shí)；對(duì)用戶(hù)的技術(shù)要求高；全軟件實(shí)現(xiàn)，安全性和處理速度均有限制。代表產(chǎn)品： iptable、TIS

FWTK、AXNET

Raptor、SecureZone第三代：通用操作系統(tǒng)防火墻18建立在通用操作系統(tǒng)上的防火墻，近年來(lái)在市場(chǎng)上廣泛使用的就是這一代產(chǎn)品。包括分組過(guò)濾和代理功能。有以純軟件實(shí)現(xiàn)的，也有以硬件方式實(shí)現(xiàn)的。通用操作系統(tǒng)防火墻特點(diǎn)：是批量生產(chǎn)的專(zhuān)用防火墻；具備數(shù)據(jù)包過(guò)濾功能；具備專(zhuān)用的代理系統(tǒng)；安全性和速度大大提高。19通用操作系統(tǒng)防火墻20缺點(diǎn)：由于大多數(shù)防火墻廠(chǎng)商并非通用操作系統(tǒng)的廠(chǎng)商，通用操作系統(tǒng)廠(chǎng)商不會(huì)對(duì)操作系統(tǒng)的安全性負(fù)責(zé)；該類(lèi)防火墻既要防止外部網(wǎng)絡(luò)的攻擊，還要防止來(lái)自針對(duì)操作系統(tǒng)的攻擊；用戶(hù)必須依賴(lài)防火墻廠(chǎng)商和操作系統(tǒng)廠(chǎng)商兩方面的安全支持。通用操作系統(tǒng)防火墻21代表產(chǎn)品：CheckPointfireWall-1CAEtrustFireWallMicrosoftProxyServer天融信網(wǎng)絡(luò)衛(wèi)士東大阿派NetEyes聯(lián)想網(wǎng)御...…第四代：安全操作系統(tǒng)防火墻22具有安全操作系統(tǒng)的防火墻本身就是一個(gè)操作系統(tǒng)，因而在安全性上得到提高。安全操作系統(tǒng)防火墻特點(diǎn)：防火墻廠(chǎng)商具有操作系統(tǒng)的源代碼，并可實(shí)現(xiàn)安全內(nèi)核；對(duì)安全內(nèi)核實(shí)現(xiàn)加固處理：去掉不必要的系統(tǒng)特性，強(qiáng)化安全保護(hù)；在功能上包括了數(shù)據(jù)包過(guò)濾、應(yīng)用網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)，具有加密與鑒別功能；透明性好，易于使用；取消危險(xiǎn)的系統(tǒng)調(diào)用；限制命令的執(zhí)行權(quán)限；采用隨機(jī)連接序號(hào)；采用多個(gè)安全內(nèi)核；…

…23安全操作系統(tǒng)防火墻24代表產(chǎn)品：Cisco

PIXNetScreen第五講：防火墻知識(shí)25TCP/IP與防火墻防火墻的發(fā)展歷程簡(jiǎn)單包過(guò)濾防火墻防火墻技術(shù)分類(lèi)26簡(jiǎn)單包過(guò)濾/分組過(guò)濾防火墻狀態(tài)檢測(cè)包過(guò)濾防火墻應(yīng)用代理防火墻電路中繼防火墻應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層傳輸層網(wǎng)絡(luò)層應(yīng)用層傳輸層網(wǎng)絡(luò)層簡(jiǎn)單包過(guò)濾/分組過(guò)濾防火墻原理27作用在網(wǎng)絡(luò)層和傳輸層，它根據(jù)數(shù)據(jù)包的包頭源地址、目的地址和源端口號(hào)、目的端口號(hào)、協(xié)議類(lèi)型等標(biāo)志確定是否允許數(shù)據(jù)包通過(guò)。只有滿(mǎn)足過(guò)濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。包過(guò)濾防火墻設(shè)計(jì)目標(biāo)與能力28防火墻的基本設(shè)計(jì)目標(biāo)首先能夠區(qū)分“內(nèi)部”與“外部”網(wǎng)絡(luò)。所有通過(guò)“內(nèi)部”和“外部”的網(wǎng)絡(luò)流量都要經(jīng)過(guò)防火墻通過(guò)設(shè)置安全策略，來(lái)保證只有經(jīng)過(guò)授權(quán)的數(shù)據(jù)才可以通過(guò)防火墻防火墻本身具備較高的性能與安全防火墻的控制能力設(shè)備控制，確定哪些設(shè)備可以被訪(fǎng)問(wèn)服務(wù)/應(yīng)用控制，確定哪些服務(wù)/應(yīng)用可以被訪(fǎng)問(wèn)方向控制，對(duì)于特定的服務(wù)，可以確定允許哪個(gè)方向能夠通過(guò)防火墻用戶(hù)控制，根據(jù)用戶(hù)來(lái)控制對(duì)服務(wù)的訪(fǎng)問(wèn)如何過(guò)濾？29對(duì)于每個(gè)進(jìn)來(lái)的數(shù)據(jù)包，適用一組規(guī)則，然后決定轉(zhuǎn)發(fā)或者丟棄該包過(guò)濾的規(guī)則以網(wǎng)絡(luò)層和傳輸層為基礎(chǔ)，包括源和目標(biāo)IP地址、協(xié)議類(lèi)型、源和目標(biāo)端口號(hào)過(guò)濾器往往建立一組規(guī)則，根據(jù)IP數(shù)據(jù)包是否匹配規(guī)則中指定的條件來(lái)作出決定如果匹配到一條規(guī)則，則根據(jù)此規(guī)則決定轉(zhuǎn)發(fā)或者丟棄如果所有規(guī)則都不匹配，則根據(jù)缺省策略過(guò)濾依據(jù)30協(xié)議類(lèi)型：TCP、UDP、ICMP等源IP地址、目的IP地址源端口、目的端口：FTP(21)、HTTP(80)等數(shù)據(jù)包流向：in或outIP選項(xiàng)：

源路由選項(xiàng)等TCP選項(xiàng)：SYN、ACK、FIN、RST等數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)接口：eth0、eth1等包過(guò)濾防火墻工作協(xié)議31應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層外部網(wǎng)絡(luò)主機(jī)內(nèi)部網(wǎng)絡(luò)主機(jī)包過(guò)濾型防火墻IPTCP傳輸層過(guò)濾規(guī)則設(shè)置32方向類(lèi)型源地址目的地址源端口目的端口動(dòng)作inside