網(wǎng)絡(luò)安全技術(shù)及應(yīng)用

2023/6/61第7章防火墻及其應(yīng)用本章學(xué)習(xí)重點(diǎn)掌握內(nèi)容：防火墻功能防火墻核心技術(shù)防火墻體系結(jié)構(gòu)網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第1頁。2023/6/62第7章防火墻及其應(yīng)用7.1防火墻概述7.2防火墻技術(shù)與分類7.3防火墻體系結(jié)構(gòu)7.4防火墻安全規(guī)則7.5防火墻應(yīng)用網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第2頁。2023/6/637.1防火墻概述7.1.1防火墻概念與發(fā)展歷程1.防火墻概念防火墻是指設(shè)置在不同網(wǎng)絡(luò)之間，例如可信任的內(nèi)部網(wǎng)和不可信的公共網(wǎng)，或者不同網(wǎng)絡(luò)安全域之間的軟硬件系統(tǒng)組合。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全。

網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第3頁。2.防火墻的發(fā)展第一代防火墻：第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn)，主要基于包過濾技術(shù)（PacketFilter），是依附于路由器的包過濾功能實(shí)現(xiàn)的防火墻。第二代防火墻：1989年，貝爾實(shí)驗(yàn)室的DavePresotto和HowardTrickey最早推出了第二代防火墻，即電路層防火墻。第三代防火墻：到20世紀(jì)90年代初，開始推出第三代防火墻，即應(yīng)用層防火墻（或者叫做代理防火墻）。第四代防火墻：到1992年，USC信息科學(xué)院的BobBraden開發(fā)出了基于動態(tài)包過濾（DynamicPacketFilter）技術(shù)的的第四代防火墻。第五代防火墻：到了1998年，NAI公司推出了一種自適應(yīng)代理（AdaptiveProxy）技術(shù)，可以稱之為第五代防火墻。網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第4頁。3.防火墻的發(fā)展趨勢高安全性和高效率對數(shù)據(jù)包的全方位檢查分布式防火墻技術(shù)建立與部署適用于IPV6協(xié)議下的防火墻體系架構(gòu)網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第5頁。2023/6/667.1.2防火墻的功能對防火墻有兩個基本需求：一是保證內(nèi)部網(wǎng)的安全性；二是保證內(nèi)部網(wǎng)與外部網(wǎng)之間的連通性。（1）過濾不安全數(shù)據(jù)和非法用戶。（2）報警與審計。

（3）透明代理。

（4）抗攻擊能力。

（5）VPN功能。

（6）路由管理。

網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第6頁。2023/6/677.1.3防火墻局限性7.1.3防火墻局限性1.對某些正常服務(wù)的限制2.無法抵御來自內(nèi)網(wǎng)的威脅3.無法阻擋旁路攻擊及潛在后門4.無法控制對病毒文件的傳輸5.內(nèi)網(wǎng)瓶頸問題

網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第7頁。2023/6/687.2防火墻技術(shù)與分類7.2.1包過濾防火墻技術(shù)1.簡單包過濾技術(shù)2.狀態(tài)檢測包過濾技術(shù)7.2.2代理服務(wù)防火墻技術(shù)1.電路級網(wǎng)關(guān)2.應(yīng)用級網(wǎng)關(guān)3.自適應(yīng)代理網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第8頁。7.2.1包過濾防火墻技術(shù)包過濾(PacketFilter)是所有防火墻中最核心的功能，與代理服務(wù)器技術(shù)相比，其優(yōu)勢是傳輸信息時不占用網(wǎng)絡(luò)帶寬。包過濾路由器在網(wǎng)絡(luò)上的物理位置和邏輯位置如圖7-2和圖7-3所示。包過濾型防火墻根據(jù)一組過濾規(guī)則集合，逐個檢查IP數(shù)據(jù)包，確定是否允許該數(shù)據(jù)包通過。

圖7-2包過濾路由器的物理位置網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第9頁。圖7-3包過濾路由器的邏輯位置網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第10頁。兩類包過濾防火墻技術(shù)包過濾防火墻技術(shù)根據(jù)所使用的過濾方法又具體可分為：簡單包過濾技術(shù)和狀態(tài)檢測包過濾技術(shù)。1.簡單包過濾技術(shù)也稱作稱靜態(tài)包過濾。簡單包過濾防火墻在檢查數(shù)據(jù)包報頭時，只是根據(jù)定義好的過濾規(guī)則集來檢查所有進(jìn)出防火墻的數(shù)據(jù)包報頭信息，并根據(jù)檢查結(jié)果允許或者拒絕數(shù)據(jù)包，并不關(guān)心服務(wù)器和客戶機(jī)之間的連接狀態(tài)。網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第11頁。2.狀態(tài)檢測包過濾技術(shù)也稱動態(tài)包過濾，是包過濾器和應(yīng)用級網(wǎng)關(guān)的一種折衷方案。該技術(shù)具有包過濾機(jī)制的高速和靈活性，也有應(yīng)用級網(wǎng)關(guān)的應(yīng)用層安全的優(yōu)點(diǎn)。狀態(tài)檢測包過濾防火墻除了有一個過濾規(guī)則集外，還要跟蹤通過自身的每一個連接，提取有關(guān)的通信和應(yīng)用程序的狀態(tài)信息，構(gòu)成當(dāng)前連接的狀態(tài)列表。網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第12頁。7.2.2代理服務(wù)防火墻技術(shù)代理服務(wù)（ProxyService）是指運(yùn)行于內(nèi)部網(wǎng)絡(luò)與外網(wǎng)之間的主機(jī)(堡壘主機(jī))上的一種應(yīng)用。當(dāng)用戶需要訪問代理服務(wù)器另一側(cè)主機(jī)時，代理服務(wù)器對于符合安全規(guī)則的連接，會代替主機(jī)響應(yīng)訪問請求，并重新向主機(jī)發(fā)出一個相同的請求。當(dāng)此連接請求得到回應(yīng)并建立起連接之后，內(nèi)部主機(jī)同外部主機(jī)之間的通信將通過代理程序的相應(yīng)連接映射來實(shí)現(xiàn)。代理既是客戶端（Client），也是服務(wù)器端（Server）。代理服務(wù)防火墻的工作原理如圖7-4。網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第13頁。圖7-4應(yīng)用代理防火墻的原理圖網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第14頁。代理服務(wù)防火墻主要包含以下三類：1.電路級網(wǎng)關(guān)也稱線路級網(wǎng)關(guān)，工作在會話層，在兩主機(jī)首次建立TCP連接時建立通信屏障。它作為服務(wù)器接收外來請求，轉(zhuǎn)發(fā)請求；與被保護(hù)的主機(jī)連接時則扮演客戶機(jī)角色、起到代理服務(wù)的作用。它監(jiān)視兩主機(jī)建立連接時的握手信息，如SYN，ACK和序列數(shù)據(jù)等是否合乎邏輯，然后由網(wǎng)關(guān)復(fù)制、傳遞數(shù)據(jù)，而不進(jìn)行數(shù)據(jù)包過濾。電路級網(wǎng)關(guān)中特殊的客戶程序只在初次連接時進(jìn)行安全協(xié)商控制，此后則不再參與內(nèi)外網(wǎng)之間的通信控制。網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第15頁。2.應(yīng)用級網(wǎng)關(guān)應(yīng)用級網(wǎng)關(guān)使用軟件來轉(zhuǎn)發(fā)和過濾特定的應(yīng)用服務(wù)，如TELNET，F(xiàn)TP服務(wù)等。這也是一種代理服務(wù)，只允許被認(rèn)為是可信的服務(wù)通過防火墻。此外，代理服務(wù)也可以過濾協(xié)議，如過濾FTP連接、拒絕使用FTP命令等。網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第16頁。3.自適應(yīng)代理自適應(yīng)代理(AdaptiveProxy)技術(shù)結(jié)合了代理服務(wù)器防火墻的安全性和包過濾防火墻的高速度等優(yōu)點(diǎn)。組成自適應(yīng)代理防火墻的基本要素有兩個：自適應(yīng)代理服務(wù)器(AdaptiveProxyServer)與動態(tài)包過濾器。在自適應(yīng)代理防火墻中，初始的安全檢查仍在應(yīng)用層中進(jìn)行，保證實(shí)現(xiàn)傳統(tǒng)防火墻的最大安全性。而一旦可信任身份得到認(rèn)證，建立了安全通道，隨后的數(shù)據(jù)包就可以重新定向到網(wǎng)絡(luò)層。這種技術(shù)能夠在確保安全性的基礎(chǔ)上提高代理服務(wù)器防火墻的性能。網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第17頁。2023/6/6187.2.3防火墻常見分類

7.2.3防火墻常見分類1.按照實(shí)現(xiàn)方法分類

（1）軟件防火墻運(yùn)行于特定的計算機(jī)上，一般來說這臺計算機(jī)就是整個網(wǎng)絡(luò)的網(wǎng)關(guān)。（2）硬件防火墻

由計算機(jī)硬件、通用操作系統(tǒng)和防火墻軟件組成。（3）專用防火墻采用特別優(yōu)化設(shè)計的硬件體系結(jié)構(gòu)，使用專用的操作系統(tǒng)。

網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第18頁。2.按照體系結(jié)構(gòu)分類

（1）個人防火墻安裝在計算機(jī)系統(tǒng)里的軟件防火墻，該軟件檢查到達(dá)防火墻兩端的所有數(shù)據(jù)包，無論是進(jìn)入還是發(fā)出，從而決定該攔截數(shù)據(jù)包還是允許其通過。

（2）分布式防火墻分布式防火墻負(fù)責(zé)對網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各結(jié)點(diǎn)之間的安全防護(hù)。分布式防火墻是一個完整的系統(tǒng)，而不是單一的產(chǎn)品。網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第19頁。2023/6/6207.3防火墻體系結(jié)構(gòu)目前，防火墻的體系結(jié)構(gòu)，一般主要有以下幾種7.3.1雙宿主主機(jī)結(jié)構(gòu)7.3.2屏蔽主機(jī)結(jié)構(gòu)7.3.3

屏蔽子網(wǎng)結(jié)構(gòu)網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第20頁。

7.3.1雙宿主主機(jī)結(jié)構(gòu)雙宿主主機(jī)防火墻體系結(jié)構(gòu)是圍繞著至少具有兩個網(wǎng)絡(luò)接口、帶有兩塊網(wǎng)卡的堡壘主機(jī)構(gòu)成，主機(jī)上的兩塊網(wǎng)卡分別與外部網(wǎng)以及內(nèi)部受保護(hù)網(wǎng)相連。堡壘主機(jī)上運(yùn)行防火墻軟件，可以轉(zhuǎn)發(fā)數(shù)據(jù)，提供服務(wù)等，這種主機(jī)可以充當(dāng)與其接口相連的網(wǎng)絡(luò)之間的路由器，它能夠從一個網(wǎng)絡(luò)到另一個網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第21頁。圖7-5雙宿主主機(jī)結(jié)構(gòu)網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第22頁。7.3.2屏蔽主機(jī)結(jié)構(gòu)雙宿主主機(jī)防火墻是由一臺同時連接在內(nèi)外部網(wǎng)絡(luò)的堡壘主機(jī)來提供安全保障，而屏蔽主機(jī)結(jié)構(gòu)中提供安全保護(hù)的主機(jī)僅僅與內(nèi)部網(wǎng)相連。此外還有一臺單獨(dú)的包過濾路由器，它的作用是避免用戶直接與內(nèi)部網(wǎng)絡(luò)相連。屏蔽主機(jī)結(jié)構(gòu)如圖7-6所示。網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第23頁。圖7-6屏蔽主機(jī)結(jié)構(gòu)網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第24頁。7.3.3

屏蔽子網(wǎng)結(jié)構(gòu)在屏蔽子網(wǎng)結(jié)構(gòu)中，有二臺與邊界網(wǎng)絡(luò)直接相連的過濾路由器，一臺位于邊界網(wǎng)絡(luò)與外部網(wǎng)之間，我們稱之為外部路由器；另一臺位于邊界網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間，我們稱之為內(nèi)部路由器；在這種結(jié)構(gòu)下，黑客要攻擊到內(nèi)部網(wǎng)必須通過二臺路由器的安全控制，即使入侵者通過了堡壘主機(jī)，他還必須通過內(nèi)部路由器才能抵達(dá)內(nèi)部網(wǎng)。網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第25頁。圖7-7屏蔽子網(wǎng)結(jié)構(gòu)網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第26頁。2023/6/6277.4防火墻安全規(guī)則通常情況下，網(wǎng)絡(luò)管理員在防火墻設(shè)備的訪問控制列表ACL（AccessControlList）中設(shè)定包過濾規(guī)則，以此來表明是否允許或者拒絕數(shù)據(jù)包通過。包過濾防火墻檢查數(shù)據(jù)流中每個數(shù)據(jù)包的報頭信息，例如源地址、目標(biāo)地址、協(xié)議類型、協(xié)議標(biāo)志、服務(wù)類型等，并與過濾規(guī)則進(jìn)行匹配，從而在內(nèi)外網(wǎng)絡(luò)之間實(shí)施訪問控制功能.網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第27頁。圖7-8包過濾防火墻的安全規(guī)則網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第28頁。防火墻規(guī)則設(shè)置中所涉及的動作主要有以下幾種：允許:允許數(shù)據(jù)包通過防火墻傳輸，并按照路由表中的信息被轉(zhuǎn)發(fā)。放棄:不允許數(shù)據(jù)包通過防火墻傳輸，但僅丟棄，不發(fā)任何相應(yīng)數(shù)據(jù)包。拒絕:不允許數(shù)據(jù)包通過防火墻傳輸，并向數(shù)據(jù)包的源端發(fā)送目的主機(jī)不可達(dá)的ICMP數(shù)據(jù)包。返回:沒有發(fā)現(xiàn)匹配的規(guī)則，執(zhí)行默認(rèn)動作。網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第29頁。所有的防火墻都是在以下兩種模式下配置安全規(guī)則：“白名單”模式系統(tǒng)默認(rèn)為拒絕所有的流量，這需要在你的網(wǎng)絡(luò)中特殊指定能夠進(jìn)入和出去的流量的一些類型，因此白名單上的規(guī)則是具有合法性訪問的安全規(guī)則“黑名單”模式系統(tǒng)默認(rèn)為允許所有的流量，這種情況需要特殊指定要拒絕的流量的類型，因此在黑名單上定義的安全規(guī)則屬于非法的、被禁止的網(wǎng)絡(luò)訪問，這種模式是一種開放的默認(rèn)管理模式。網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第30頁。包過濾防火墻一般有兩類過濾規(guī)則的設(shè)置方法

1.按地址過濾用于拒絕偽造的數(shù)據(jù)包。若想阻止偽造原地址的數(shù)據(jù)包進(jìn)入內(nèi)部網(wǎng)，可按表7-1設(shè)置規(guī)則。2.按服務(wù)類型過濾即是按數(shù)據(jù)包的服務(wù)端口號來過濾。在TCP協(xié)議中，協(xié)議是雙向的，以Telnet為例，其IP包的交換也是雙向的。服務(wù)器端包過濾應(yīng)該按照表7-2設(shè)置規(guī)則。網(wǎng)絡(luò)安全技術(shù)及應(yīng)用全文共33頁，當(dāng)前為第31頁。2023/6/6327.5防火墻應(yīng)用7.5.1構(gòu)建防火墻的基本步驟1.配置內(nèi)外部網(wǎng)絡(luò)2.用戶自定義安全策略3.搭建防火墻安全體系結(jié)構(gòu)