《計算機網絡安全原理》第12章 網絡防火墻

本PPT是電子工業(yè)出版社出版的教材《計算機網絡安全原理》配套教學PPT（部分內容的深度和廣度在教材的基礎上有所擴展），作者：吳禮發(fā)本PPT可能直接或間接采用了網上資源、公開學術報告中的部分PPT頁面、圖片、文字，引用時我們力求在該PPT的備注欄或標題欄中注明出處，如果有疏漏之處，敬請諒解。同時對被引用資源或報告的作者表示誠摯的謝意！本PPT可免費使用、修改，使用時請保留此頁。聲明第十二章網絡防火墻邊界防護防火墻體系結構31防火墻概述防火墻的工作原理內容提綱防火墻技術發(fā)展趨勢245防火墻的選購和使用5一、基本概念防火墻（Firewall）是在兩個網絡之間執(zhí)行訪問控制策略的一個或一組安全系統(tǒng)。它是一種計算機硬件和軟件系統(tǒng)集合，是實現網絡安全策略的有效工具之一，被廣泛地應用到Internet與Intranet之間。所有的內部網絡與外部網絡之間的通信都必須經過防火墻進行檢查與連接，只有授權允許的通信才能獲準通過防火墻。防火墻可以阻止外界對內部網資源的非法訪問，也可以防止內部對外部的不安全訪問。防火墻的基本概念防火墻的基本概念防火墻本身必須具有很強的抗攻擊能力，以確保其自身的安全性。防火墻簡單的可以只用路由器實現，復雜的可以用主機、專用硬件設備及軟件甚至一個子網來實現（體系結構部分將詳細介紹）。網絡防火墻的主要功能保護脆弱和有缺陷的網絡服務集中化的安全管理加強對網絡系統(tǒng)的訪問控制加強隱私對網絡存取和訪問進行監(jiān)控審計保護脆弱和有缺陷的網絡服務防火墻通過過濾不安全的服務而降低風險，能極大地提高一個內部網絡的安全性。例如，防火墻可以禁止Telnet、FTP進出受保護網絡，避免外部攻擊者利用這些脆弱的協(xié)議來攻擊內部網絡。網絡防火墻的主要功能(1/5)集中化的安全管理通過以防火墻為中心的安全方案配置，能將所有安全軟件配置在防火墻上，集中安全管理更經濟。例如，網絡訪問時，一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)不必分散在各個主機上，而集中在防火墻上。網絡防火墻的主要功能(2/5)加強對網絡系統(tǒng)的訪問控制一個防火墻的主要功能是對整個網絡的訪問控制。比如，防火墻可以屏蔽部分主機，使外部網絡無法訪問。同樣，可以屏蔽部分主機的特定服務，使得外部網絡可以訪問該主機的其它服務，但無法訪問該主機的特定服務。網絡防火墻的主要功能(3/5)加強隱私保護內網信息，避免泄露內部網絡的某些安全漏洞。使用防火墻就可以屏蔽泄露網絡內部細節(jié)的服務，如Finger服務，DNS服務。Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。內網的DNS將暴露內部主機的域名和IP地址信息。網絡防火墻的主要功能(4/5)對網絡存取和訪問進行監(jiān)控審計如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網絡使用情況的統(tǒng)計數據。當發(fā)生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監(jiān)測和攻擊的詳細信息。網絡防火墻的主要功能(5/5)二、分類防火墻分類（一）按照軟、硬件形式劃分軟件防火墻：運行于特定的計算機上，它需要客戶預先安裝好的計算機操作系統(tǒng)的支持，一般來說這臺計算機就是整個網絡的網關。硬件防火墻：基于PC架構，這些PC架構計算機上運行一些經過裁剪和簡化的操作系統(tǒng)。至少應具備三個端口，分別接內網，外網和DMZ區(qū)。芯片級防火墻：基于專門的硬件平臺，沒有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強，性能更高。防火墻分類（二）從防火墻技術分包過濾(Packetfiltering)型：工作在OSI網絡參考模型的網絡層和傳輸層，它根據數據包頭源地址，目的地址、端口號和協(xié)議類型等標志確定是否允許通過。只有滿足過濾條件的數據包才被轉發(fā)到相應的目的地，其余數據包則被從數據流中丟棄。應用代理(ApplicationProxy)型：工作在OSI的最高層，即應用層。其特點是完全"阻隔"了網絡通信流，通過對每種應用服務編制專門的代理程序，實現監(jiān)視和控制應用層通信流的作用。防火墻分類（三）從防火墻結構分單一主機防火墻：與一臺計算機結構差不多。需要連接一個以上的內、外部網絡。用硬盤來存儲防火墻所用的基本程序，如包過濾程序和代理服務器程序等，有的防火墻還把日志記錄也記錄在此硬盤上。路由器集成防火墻：許多中、高檔的路由器中已集成了防火墻功能。分布式防火墻：防火墻已不再是一個獨立的硬件實體，而是由多個軟、硬件組成的系統(tǒng)。不是只是位于網絡邊界，而是滲透于網絡的每一臺主機，對整個內部網絡的主機實施保護。防火墻分類（四）從防火墻應用部署位置分邊界防火墻

：位于內、外部網絡的邊界，所起的作用的對內、外部網絡實施隔離，保護邊界內部網絡。這類防火墻一般都是硬件類型的，價格較貴，性能較好。也稱為“網絡防火墻”。個人防火墻：安裝于單臺主機中，防護的也只是單臺主機。這類防火墻應用于廣大的個人用戶，通常為軟件防火墻，價格最便宜，性能也最差。混合式防火墻：可以說就是“分布式防火墻”或者“嵌入式防火墻”，它是一整套防火墻系統(tǒng)，由若干個軟、硬件組件組成，分布于內、外部網絡邊界和內部各主機之間，既對內、外部網絡之間通信進行過濾，又對網絡內部各主機間的通信進行過濾。它屬于最新的防火墻技術之一，性能最好，價格也最貴。

防火墻分類（五）從防火墻性能分：分為百兆級、千兆級、萬兆級防火墻因為防火墻通常位于網絡邊界，所以不可能只是十兆級的。這主要是指防火的通道帶寬(Bandwidth)，或者說是吞吐率。當然通道帶寬越寬，性能越高，這樣的防火墻因包過濾或應用代理所產生的延時也越小，對整個網絡通信性能的影響也就越小。網絡防火墻按照實現技術來分，主要可分為兩類：一類是網絡級防火墻，另一類是應用級防火墻。防火墻分類（六）防火墻的類型（六）網絡級防火墻，也稱為包過濾防火墻。這是一種具有特殊功能的路由器，作用在網絡層和傳輸層。根據分組包頭源地址，目的地址和端口號、協(xié)議類型等標志確定是否允許數據包通過。只有滿足過濾邏輯的數據包才被轉發(fā)到相應的目的地出口端，其余數據包則從數據流中丟棄。應用級防火墻：也叫應用網關（ApplicationGateway）。它作用在應用層，其特點是完全“阻隔”了網絡通信流，通過對每種應用服務編制專門的代理程序，實現監(jiān)視和控制應用層通信流的作用。防火墻的類型（六）三、相關概念：個人防火墻個人防火墻個人防火墻就是一個位于用戶計算機和它所連接的網絡之間的程序。在用戶的計算機和網絡進行通訊時，執(zhí)行預設的訪問控制規(guī)則，以“允許”或“拒絕”計算機和網絡之間的通訊；最大限度地阻止網絡中的黑客或惡意代碼訪問用戶的計算機。四、相關概念：病毒防火墻防火墻與“病毒防火墻”“病毒防火墻”：病毒實時檢測和清除系統(tǒng)，是反病毒軟件的一種工作模式。不是對進出網絡的病毒進行監(jiān)控，而是對所有的系統(tǒng)應用程序進行監(jiān)控，由此來保障用戶系統(tǒng)的“無毒”環(huán)境。而網絡防火墻并不監(jiān)控全部的系統(tǒng)應用程序，它只是對存在網絡訪問的那部分應用程序進行監(jiān)控。利用網絡防火墻，可以預防黑客入侵，防止木馬盜取機密信息等。說明：現在有不少網絡防火墻也可以查殺病毒防火墻體系結構31防火墻概述防火墻的工作原理內容提綱防火墻技術發(fā)展趨勢245防火墻的選購和使用技術的發(fā)展過程(1/3)1980

1990

2000防火墻的發(fā)展階段

包過濾代理服務自適應代理動態(tài)包過濾下圖表示了防火墻技術的簡單發(fā)展階段技術的發(fā)展過程(2/3)第一代防火墻：1983年第一代防火墻技術出現，它幾乎是與路由器同時問世的。它采用了包過濾（Packetfilter）技術，可稱為簡單包過濾（靜態(tài)包過濾）防火墻。第二代防火墻：1991年，貝爾實驗室提出了第二代防火墻——應用型防火墻（代理防火墻）的初步結構。技術發(fā)展過程(3/3)第三代防火墻：1992年，USC信息科學院開發(fā)出了基于動態(tài)包過濾（Dynamicpacketfilter）技術的第三代防火墻，后來演變?yōu)槟壳八f的狀態(tài)檢測（Statefulinspection）防火墻。1994年，以色列的CheckPoint公司開發(fā)出了第一個采用狀態(tài)檢測技術的商業(yè)化產品。第四代防火墻：1998年，NAI公司推出了一種自適應代理（Adaptiveproxy）防火墻技術，并在其產品GauntletFirewallforNT中得以實現，給代理服務器防火墻賦予了全新的意義。具有應用代理的安全性，但不采用應用代理的數據傳送方式，而采用包過濾的傳送方式，由此取得安全和效率的一個折中31一、包過濾技術防火墻的包過濾技術包過濾防火墻從數據包中提取收發(fā)IP地址，TCP端口等信息，按預先設置的規(guī)則過濾。濾除不符合規(guī)定的IP包。包過濾防火墻通常是一個具有包過濾功能的路由器。因為路由器工作在網絡層，因此包過濾防火墻又叫網絡層防火墻。UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource數據包數據包根據策略決定如何處理數據包控制策略數據TCP報頭IP報頭分組過濾判斷信息防火墻的包過濾技術包頭中的主要信息包過濾防火墻利用的包頭信息IP協(xié)議類型(TCP、UDP，ICMP等)；IP源地址和目標地址；IP選擇域的內容；TCP或UDP源端口號和目標端口號；ICMP消息類型。包過濾操作的六項要求六項要求：包過濾設備必須存儲包過濾規(guī)則；當包到達端口時，分析IP、TCP或UDP報文頭中的字段。包過濾規(guī)則的存儲順序與應用順序相同；如果一條規(guī)則阻止包傳輸，此包便被禁止；如果一條規(guī)則允許包傳輸或接受，此包可正常通行；如果一個包不滿足任何一條規(guī)則，該包就被阻塞。規(guī)則4、5說明規(guī)則以正確順序放置很重要規(guī)則6依據的原理是：未明確表示允許的便被禁止。包過濾操作的要求包過濾規(guī)則實例（1/3）HTTP包過濾規(guī)則包過濾規(guī)則實例（2/3）Telnet包過濾規(guī)則包過濾規(guī)則實例（3/3）假設內部網絡服務器的IP地址是，服務器提供電子郵件功能，SMTP使用的端口為25。Internet上有一個hacker主機可能對內部網構成威脅，可以為這個網絡設計以下過濾規(guī)則：規(guī)則1：我們不相信從hacker來的連接；規(guī)則2：允許其他站點和電子郵件服務器的連接；規(guī)則包的方向源地址目的地址協(xié)議源端口目的端口是否通過A入hacker內部任意任意任意拒絕B入任意TCP任意25允許C出任意TCP25任意允許Cisco路由器包過濾規(guī)則Cisco路由器是使用較廣泛的網絡設備，以之為例說明包過濾規(guī)則在網絡中的實際使用。Cisco路由器的訪問列表被定義為應用于Internet地址的一系列允許和拒絕條件的集合，這些條件用來完成包過濾規(guī)則。路由器逐個測試包與訪問列表中的條件，第一個匹配便可以決定路由器接受或拒絕該包，路由器也就同時停止比較剩余訪問列表。Cisco路由器包過濾規(guī)則Cisco路由器有兩類訪問列表：標準訪問列表（StandardAccessControlList）：只通過單一的IP地址用于匹配；擴展訪問列表（ExtendedAccessControlList）：使用協(xié)議類型等選項信息用于匹配操作。

Cisco的標準訪問列表（1/3）標準訪問列表的語法規(guī)則如下：

access-listlist-number(permit|deny)source-ip-addresswildcard-masklist-number是從1~99的整數，用于標識序號；address與wildcard-mask都是32bit的值。在wildcard-mask中與“1”相關的地址位在比較中忽略，全零部分是必須要配的部分。如果wildcard-mask的值沒有規(guī)定，默認為。標準訪問列表只考慮數據包的源IP地址，不考慮目標地址。將ACL進行網絡接口配置時，可以通過in和out參數控制數據包的方向，是流入還是流出。noaccess-listlist-number/*用于刪除指定編號的訪問列表*/Cisco的標準訪問列表（2/3）access-list1permit55access-list1permit55若兩條規(guī)則為對流入數據的控制；兩條規(guī)則允許來自C類網的

和B類網的

主機通過Cisco路由器的包過濾，進行網絡訪問。Cisco的標準訪問列表（3/3）假設一A類網絡連接到過濾路由器上。使用下面的ACL進行流出控制:access-list3permitaccess-list3deny55access-list3permit55規(guī)則1允許來自子網23的IP地址為的主機的流量。規(guī)則2阻塞所有來自子網23的流量，且不影響規(guī)則1。規(guī)則3允許來自整個A類網絡的通信流量。該列表實現以下安全策略：允許來自主機的流量，阻止所有其它來自網絡的流量，允許來自的所有其他子網的流量。Cisco的擴展訪問列表(1/3)擴展訪問表：該類表可以基于源和目的IP地址及協(xié)議信息進行過濾接口流量。其語法規(guī)則如下：access-listlist-number(permit|deny)protocolsourcesource-maskdestinationdestination-mask[operatoroperand]list-number=100~199，序號用于表示一個或多個permit/deny條件protocol={ip,tcp,udp,icmp}源匹配時，與source-mask中的1對應的地址位被忽略，與0對應的位參與匹配目的匹配方法與源相同[operatoroperand]用于比較端口號等信息operator={lt,eq,gt,neq}，operand是端口號Cisco的擴展訪問列表(2/3)假設網絡策略拒絕從5到你的網絡的SMTP連接，擴展訪問表設置如下：noaccess-list101access-list101denytcp555eq25access-list101permitanyany規(guī)則1刪除以前的擴展訪問列表101規(guī)則2拒絕從主機5到網絡的目的端口為25的SMTP包規(guī)則3允許從任意主機來的任意包通過，無本規(guī)則將拒絕任何包Cisco的擴展訪問列表(3/3)設內部網絡為，一個擴展訪問表的例子：Noaccess-list101注釋：刪除已有的訪問表101access-list101permittcp5555gt1023注釋：允許任何發(fā)往內網中端口大于1023號的TCP連接access-list101permittcp55eq25注釋：允許任何到主機的SMTP端口的連接access-list101permiticmp5555注釋：允許發(fā)來的差錯反饋信息的icmp消息包過濾技術的特點（1/2）包過濾技術的優(yōu)點：用一個放置在重要位置上的包過濾路由器即可保護整個網絡，這樣，不管內部網的站點規(guī)模多大，只要在路由器上設置合適的包過濾，各站點均可獲得良好的安全保護；包過濾工作對用戶來說是透明的。包過濾不需用戶軟件支持，也不要對客戶機做特殊設置；包過濾技術是一種有效而通用的控制網絡流量的方法，經常作為不可信網絡的第一層防衛(wèi)；可以有效阻塞公開的惡意站點的信息流。包過濾技術的特點（2/2）包過濾技術的缺點：安全判決的信息不足，僅依賴網絡層和傳輸層信息，如IP地址、端口號、TCP標志等，只能“就事論事”地進行安全判決。由于缺少信息，一些協(xié)議如RPC、UDP難以有效過濾；支持規(guī)則的數量有限，規(guī)則過多則會降低網絡效率。正確制定規(guī)則并不容易不可能引入認證機制包過濾路由器與普通路由器(1/2)普通路由器只簡單地查看每一數據包的目的地址，并選擇數據包發(fā)往目標地址的最佳路徑。當路由器知道如何發(fā)送數據包到目標地址，則發(fā)送該包；如果不知道如何發(fā)送數據包到目標地址，則返還數據包，通知源地址“數據包不能到達目標地址”。過濾路由器將更嚴格地檢查數據包，除了決定是否發(fā)送數據包到其目標外，還決定它是否應該發(fā)送。“應該”或“不應該”由站點的安全策略決定，并由過濾路由器強制執(zhí)行。包過濾路由器與普通路由器(2/2)在對包作出路由決定時，普通路由器只依據包的目的地址引導包，而包過濾路由器要依據路由器中的包過濾規(guī)則作出是否引導該包的決定包過濾路由器以包的目標地址、包的源地址和包的傳輸協(xié)議為依據，確定允許或不允許某些包在網上傳輸。二、狀態(tài)檢測技術安全網域HostCHostDWeb服務器：TCP2:80內部網絡允許用戶訪問Web站點，如果是簡單包過濾對于進入的包必須開放以下規(guī)則：所有源

TCP端口為80，IP地址任意，目標內部IP，端口號大于1024。1024以上的臨時端口基于狀態(tài)檢查的包過濾技術存在什么安全問題？狀態(tài)檢測技術狀態(tài)檢測防火墻又稱動態(tài)包過濾防火墻。狀態(tài)檢測防火墻在網絡層由一個檢查引擎截獲數據包，抽取出與應用層狀態(tài)有關的信息，并以此作為依據決定對該數據包是接受還是拒絕。檢查引擎維護一個動態(tài)的狀態(tài)信息表并對后續(xù)的數據包進行檢查。一旦發(fā)現任何連接的參數有意外變化，該連接就被中止它在協(xié)議底層截取數據包，然后分析這些數據包，并且將當前數據包和狀態(tài)信息與前一時刻的數據包和狀態(tài)信息進行比較，從而得到該數據包的控制信息，來達到保護網絡安全的目的基于狀態(tài)檢查的包過濾技術網絡中的連接狀態(tài)表安全網域HostCHostDWeb服務器：TCP2:80狀態(tài)檢查包過濾進入的數據包，目標為內部的1024以上的端口且它的信息與連接狀態(tài)表里某一條記錄匹配，才允許進入基于狀態(tài)檢查的包過濾技術狀態(tài)檢測技術：優(yōu)點狀態(tài)檢測防火墻克服了包過濾防火墻和應用代理服務器的局限性，能夠根據協(xié)議、端口及源地址、目的地址的具體情況決定數據包是否可以通過。對于每個安全策略允許的請求，狀態(tài)檢測防火墻啟動相應的進程，可以快速地確認符合授權標準的數據包，這使得本身的運行速度很快。跟蹤通過防火墻的網絡連接和包，這樣它就可以使用一組附加的標準，以確定是否允許和拒絕通信。防火墻的狀態(tài)監(jiān)視器還能監(jiān)視RPC(遠程調用請求)和UDP的端口信息。包過濾防火墻和代理服務防火墻都不支持此類端口的檢測狀態(tài)檢測技術：缺點狀態(tài)檢測防火墻的安全特性是最好的，但其配置非常復雜，會降低網絡效率。三、代理服務技術應用級代理應用代理是代理內部網絡用戶與外部網絡服務器進行信息交換的程序。它將內部用戶的請求確認后送達外部服務器，同時將外部服務器的響應再回送給用戶。用戶主機代理服務器感覺的連接實際的連接外部主機應用層代理請求應答應答應答請求請求服務器代理客戶機代理服務器應用代理應用代理位于防火墻內客戶機代理可以監(jiān)控客戶機與服務器之間所有交互審計日志應用級代理的優(yōu)點由于代理直接和應用程序交互，它可以根據應用上下文進行決策和判定，而不僅僅依據IP地址和端口號?？梢宰龀龈鼮闇蚀_的判定。應用級代理問題：網絡內部如果有一個存在安全漏洞的應用，但廠商尚未發(fā)布相應的補丁信息來彌補該缺陷，怎么辦？應用代理可以有效解決該問題，應用代理可以被配置來識別嘗試攻擊應用程序安全漏洞的惡意流量，進而保護運行了不安全應用的系統(tǒng)。數據包數據包根據策略決定如何處理數據包應用級代理控制策略數據TCP報頭IP報頭分組過濾判斷信息應用代理判斷信息應用代理可以對數據包的數據區(qū)進行分析，并以此判斷數據是否允許通過。應用級代理VS包過濾技術以HTTP流量為例：包過濾技術僅僅知道應該允許或者拒絕HTTP流量；應用級代理可以配置來過濾具體HTTP流量類型的數據；防火墻管理員的管理帶來極大的伸縮性，可以嚴格控制什么流量將會被允許，什么流量將被拒絕。應用級代理的優(yōu)點允許用戶“直接”訪問Internet：在相應后臺軟件的支持下，代理服務系統(tǒng)允許用戶從自己的系統(tǒng)訪問Internet，但不允許數據包直接傳送而是通過雙穴主機或堡壘主機間接傳送適合于做日志應用級代理的缺點(1/2)對每一類應用，都需要專門的代理。大多數代理服務器只能處理相對較少的應用。應用代理往往比包過濾防火墻性能要差。應用代理在應用層處理報文，要求應用代理服務器花費更多的時間來處理報文，造成數據傳輸的延遲。應用代理服務器比相應的包過濾防火墻更加昂貴。應用代理服務器對硬件的要求通常較高，升級的成本也較高。不能使用戶免于協(xié)議本身缺點的限制應用級代理的缺點(2/2)有些服務要求建立直接連接，無法使用代理比如聊天服務、或者即時消息服務代理服務器的實現應用級代理服務器回路級代理服務器公共代理服務器(適用于多個協(xié)議)專用代理服務器(只適用于單個協(xié)議)智能代理服務器自適應代理技術(1/2)新型的自適應代理(Adaptiveproxy)防火墻，本質上也屬于代理服務技術，但它也結合了動態(tài)包過濾(狀態(tài)檢測)技術自適應代理技術是在商業(yè)應用防火墻中實現的一種革命性的技術。組成這類防火墻的基本要素有兩個：自適應代理服務器與動態(tài)包過濾器。它結合了代理服務防火墻安全性和包過濾防火墻的高速度等優(yōu)點，在保證安全性的基礎上將代理服務器防火墻的性能提高10倍以上自適應代理技術(2/2)在自適應代理與動態(tài)包過濾器之間存在一個控制通道。在對防火墻進行配置時，用戶僅僅將所需要的服務類型、安全級別等信息通過相應代理的管理界面進行設置就可以了。然后，自適應代理就可以根據用戶的配置信息，決定是使用代理服務器從應用層代理請求，還是使用動態(tài)包過濾器從網絡層轉發(fā)包。如果是后者，它將動態(tài)地通知包過濾器增減過濾規(guī)則，滿足用戶對速度和安全性的雙重要求四、下一代防火墻Gartner，2009《DefiningtheNext-GenerationFirewall）》，下一代防火墻定義：一種深度包檢測防火墻，超越了基于端口、協(xié)議的檢測和阻斷，增加了應用層的檢測和入侵防護針對應用、用戶、終端及內容的高精度管控外部安全智能一體化引擎多安全模塊智能數據聯(lián)動可視化智能管理高性能處理架構本質上是前面介紹哪種防火墻？下一代防火墻下一代防火墻下一代防火墻下一代防火墻防火墻體系結構31防火墻概述防火墻的工作原理內容提綱防火墻技術發(fā)展趨勢245防火墻的選購和使用防火墻體系結構防火墻體系結構一般有四種：過濾路由器或屏蔽路由器結構結構（Packet-filteringRouterorScreeningRouter

）雙穴主機或雙宿主機結構(DualHomedGateway)屏蔽主機或主機過濾結構(ScreenedHostGateway)過濾子網或屏蔽子網結構(ScreenedSubnet)相關概念：堡壘主機堡壘主機（BastionHost）：被網絡管理員認定為網絡安全核心點的系統(tǒng)，必須具有很強的安全性：安全的操作系統(tǒng)；關閉不必需的服務；避免安裝不必需的軟件；有限制地訪問磁盤，一般能夠訪問配置文件即可；…堡壘主機常常充當內部網絡或防火墻中應用代理的角色。堡壘主機是最顯露的主機，因此也應當是最安全的主機。BastionHostBastionHosthighlysecurehostsystem

Asystemidentifiedbythefirewalladministratorasacriticalstrongpointinthenetwork′ssecurityThebastionhostservesasaplatformforanapplication-levelorcircuit-levelgateway相關概念：DMZ區(qū)中立區(qū)或非軍事化區(qū)域（DemilitarizedZone：DMZ）存在于企業(yè)內部網絡和外部網絡之間的一個小型網絡。由屏蔽路由器建立或阻塞路由器建立。DMZ用來作為外網和內網的緩沖區(qū)以進一步隔離公網和內部私有網絡。DMZ放置一些必須公開的服務器客戶機客戶機服務器內部網絡過濾路由器結構防火墻客戶機Internet路由器防火墻一、過濾路由器結構(1/2)可以由廠家專門生產的過濾路由器來實現，也可以由安裝了具有過濾功能軟件的普通路由器實現。過濾路由器防火墻作為內外連接的惟一通道，要求所有的報文都必須在此通過檢查。許多路由器本身帶有報文過濾配置選項，過濾路由器結構的防火墻的過濾軟件與之有什么區(qū)別呢？過濾路由器結構是最簡單的防火墻結構。缺點：沒有或有很簡單的日志記錄功能，網絡管理員很難確定網絡系統(tǒng)是否正在被攻擊或已經被入侵。規(guī)則表隨著應用的深化會變得很大而且很復雜。依靠一個單一的部件來保護網絡系統(tǒng)，一旦部件出現問題，會失去保護作用，而用戶可能還不知道。一、過濾路由器結構(2/2)二、雙穴主機體系結構(1/3)定義：用一臺裝有兩塊網卡的堡壘主機（稱為雙穴主機或雙宿主主機）做防火墻。兩塊網卡各自與受保護網和外部網相連，每塊網卡都有獨立的IP地址。堡壘主機上運行著防火墻軟件(應用層網關)，可以轉發(fā)應用程序，也可提供服務等功能。有文獻稱為：雙穴主機網關結構(DualHomedGateway)內部網絡外部網絡

禁止內外網絡之間直接通信雙穴主機

所有的通信必須經過雙穴主機二、雙穴主機體系結構(2/3)防火墻二、雙穴主機體系結構(3/3)優(yōu)點：雙穴主機網關優(yōu)于屏蔽路由器的地方是堡壘主機的系統(tǒng)軟件可用于維護系統(tǒng)日志、硬件拷貝日志或遠程日志。這對于日后的檢查非常有用，但這不能幫助網絡管理者確認內網中哪些主機可能已被黑客入侵。缺點：如何保護堡壘主機？一旦入侵者侵入堡壘主機并使其只具有路由功能，則任何網上用戶均可以隨便訪問內部網絡。三、屏蔽主機體系結構(1/3)定義：屏蔽主機體系結構包括：一個分組（包）過濾路由器(或稱為屏蔽路由器)連接外部網絡，再通過一個堡壘主機與內部網絡相連，通常在路由器上設立過濾規(guī)則，并使這個堡壘主機成為從外部網絡惟一可直接到達的主機，這確保了內部網絡不受未被授權的外部用戶的攻擊。來自外部網絡的數據包先經過屏蔽路由器過濾，不符合過濾規(guī)則的數據包被過濾掉；符合規(guī)則的包則被傳送到堡壘主機上。其代理服務軟件將允許通過的信息傳輸到受保護的內部網上。進行規(guī)則配置，只允許外部主機與堡壘主機通訊互聯(lián)網對內部其他主機的訪問必須經過堡壘主機不允許外部主機直接訪問除堡壘主機之外的其他主機包過濾路由器三、屏蔽主機體系結構(2/3)堡壘主機防火墻優(yōu)點：如果受保護網絡是一個虛擬擴展的本地網，即沒有子網和路由器，那么內網的變化不影響堡壘主機和屏蔽路由器的配置。危險區(qū)域只限制在堡壘主機和屏蔽路由器。缺點：堡壘主機與其他主機在同一個子網，一旦包過濾路由器被攻破，整個內網和堡壘主機之間就再也沒有任何阻擋。一旦入侵者侵入堡壘主機并使其只具有路由功能，則任何網上用戶均可以隨便訪問內部網絡（與雙穴主機結構弱點一樣）。三、屏蔽主機體系結構(3/3)ScreenedhostfirewallsystemScreenedhostfirewallsystem(single-homedbastionhost)single-homedbastionhostScreenedhostfirewall,single-homedbastionconfigurationFirewallconsistsoftwosystems:Apacket-filteringrouterAbastionhostConfigurationforthepacket-filteringrouter:OnlypacketsfromandtothebastionhostareallowedtopassthroughtherouterThebastionhostperformsauthenticationandproxyfunctionssingle-homedbastionhostGreatersecuritythansingleconfigurationsbecauseoftworeasons:Thisconfigurationimplementsbothpacket-levelandapplication-levelfiltering(allowingforflexibilityindefiningsecuritypolicy)AnintrudermustgenerallypenetratetwoseparatesystemsThisconfigurationalsoaffordsflexibilityinprovidingdirectInternetaccess(publicinformationserver,e.g.Webserver)ScreenedhostfirewallsystemScreenedhostfirewallsystem(dual-homedbastionhost)FirewallConfigurationsScreenedhostfirewall,dual-homedbastionconfigurationThepacket-filteringrouterisnotcompletelycompromisedTrafficbetweentheInternetandotherhostsontheprivatenetworkhastoflowthroughthebastionhost四、過濾子網體系結構(1/7)在外界網絡和內部網絡之間建立一個雙方都可以訪問的獨立網絡（過濾子網），用兩臺分組過濾路由器將這一子網分別與內部網絡和外部網絡分開：四、過濾子網體系結構(2/7)過濾子網結構防火墻內部屏蔽路由器

對外服務器堡壘主機內部網絡Internet防火墻外部屏蔽路由器客戶機客戶機服務器客戶機客戶機參數網絡

DMZ四、過濾子網體系結構(3/7)過濾子網也常常被稱為DMZ（DemilitarizedZone）區(qū)或參數網絡或周邊網絡或屏蔽網絡，它可以只包含堡壘主機，也可以增加需要對外提供服務的Web服務器。過濾子網不提供外部網絡和內部網絡之間的通路。它是在內/外部網之間另加的一個安全保護層，相當于一個應用網關。如果入侵者成功地闖過外層保護網到達防火墻，參數網絡就能在入侵者與內部網之間再提供一層保護。如果過濾子網中的堡壘主機被攻破會有什么后果？四、過濾子網體系結構(4/7)如果入侵者僅僅侵入到過濾子網中的的堡壘主機，他只能偷看到過濾子網的信息流而看不到內部網的信息，過濾子網的信息流僅往來于外部網到堡壘主機。沒有內部網主機間的信息流(重要和敏感的信息)在過濾子網中流動，所以堡壘主機受到損害也不會破壞內部網的信息流四、過濾子網體系結構(5/7)堡壘主機在過濾子網結構中，堡壘主機與過濾子網相連，而該主機是外部網服務于內部網的主節(jié)點。在內、外部路由器上建立包過濾，以便內部網的用戶可直接操作外部服務器；在主機上建立代理服務，在內部網用戶與外部服務器之間建立間接的連接。接收外來電子郵件并分發(fā)給相應站點；接收外來FTP并連到內部網的匿名FTP服務器；接收外來的有關內部網站點的域名服務。 四、過濾子網體系結構(6/7)內部路由器主要功能是保護內部網免受來自外部網與過濾子網的侵擾。內部路由器可以設定，使過濾子網上的堡壘主機與內部網之間傳遞的各種服務和內部網與外部網之間傳遞的各種服務不完全相同。內部路由器完成防火墻的大部分包過濾工作，它允許某些站點的包過濾系統(tǒng)認為符合安全規(guī)則的服務在內/外部網之間互傳。根據各站點的需要和安全規(guī)則，可允許的服務是如下的外向服務：Telnet、FTP、WAIS、Archie、Gopher或者其它服務。四、過濾子網體系結構(7/7)外部路由器既可保護過濾子網又保護內部網。實際上，在外部路由器上僅做一小部分包過濾，它幾乎讓所有過濾子網的外向請求通過。它與內部路由器的包過濾規(guī)則基本上相同。 外部路由器的包過濾主要是對過濾子網上的主機提供保護。一般情況下，因為過濾子網上主機的安全主要通過主機安全機制加以保障，所以由外部路由器提供的很多保護并非必要真正有效的任務是阻隔來自外部網上偽造源地址進來的任何數據包。這些數據包自稱來自內部網，其實它是來自外部網Screened-subnetfirewallsystemScreenedSubnetFirewallArchitectureDemilitarizedZone(DMZ)InternalNetworkEnclaveboundaryExternalNetworkOuterRouter:NoAccesstoInternalNetfirewallIsolatedNetworkScreenedsubnetfirewallconfigurationMostsecureconfigurationofthethreeTwopacket-filteringroutersareusedCreationofanisolatedsub-networkScreenedsubnetfirewallAdvantages:ThreelevelsofdefensetothwartintrudersTheoutsiderouteradvertisesonlytheexistenceofthescreenedsubnettotheInternet(internalnetworkisinvisibletotheInternet)Theinsiderouteradvertisesonlytheexistenceofthescreenedsubnettotheinternalnetwork(thesystemsontheinsidenetworkcannotconstructdirectroutestotheInternet)內部網絡外部網絡堡壘主機內部屏蔽路由器外部屏蔽路由器禁止內外網絡直接進行通訊內外部網絡之間的通信都經過堡壘主機過濾子網體系結構過濾子網體系結構混合結構的防火墻不同結構防火墻的組合使用多堡壘主機；合并內部路由器與外部路由器；合并堡壘主機與外部路由器；合并堡壘主機與內部路由器；使用多臺內部路由器；使用多臺外部路由器；使用多個過濾子網；使用雙穴主機與過濾子網。防火墻體系結構31防火墻概述防火墻的工作原理內容提綱防火墻技術發(fā)展趨勢245防火墻的選購和使用用戶對防火墻的要求越來越高網絡安全是通過技術與管理相結合來實現的，良好的網絡管理加上優(yōu)秀的防火墻技術是提高網絡安全性能的最好選擇。隨著新的攻擊手段的不斷出現，以及防火墻在用戶的核心業(yè)務系統(tǒng)中占據的地位越來越重要，用戶對防火墻的要求越來越高發(fā)展趨勢為適應Internet的發(fā)展，未來防火墻技術的發(fā)展趨勢為：智能化：防火墻將從目前的靜態(tài)防御策略向具備人工智能的智能化方向發(fā)展；高速度：防火墻必須在運算速度上做相應的升級，才不致于成為網絡的瓶頸；并行體系結構：分布式并行處理的防火墻是防火墻的另一發(fā)展趨勢；發(fā)展趨勢為適應Internet的發(fā)展，未來防火墻技術的發(fā)展趨勢為：多功能：未來網絡防火墻將在保密性、包過濾、服務、管理和安全等方面增加更多更強的功能；（All-In-One技術）專業(yè)化：電子郵件防火墻、FTP防火墻等針對特定服務的專業(yè)化防火墻將作為一種產品門類出現；防病毒：現在許多防火墻都內置了病毒和內容掃描功能。

IPv6網絡需求：下一代網絡的新需求發(fā)展趨勢網絡的防火墻產品還將把網絡前沿技術，如Web頁面超高速緩存、虛擬網絡和帶寬管理等與其自身結合起來。

發(fā)展趨勢防火墻體系結構31防火墻概述防火墻的工作原理內容提綱防火墻技術發(fā)展趨勢245防火墻的選購和使用116一、評價標準防火墻的評價標準防火墻的評價標準用于評價一個防火墻的綜合性能。主要的評價指標包括：并發(fā)連接數吞吐量安全性穩(wěn)定性…并發(fā)連接數（1/5）并發(fā)連接數是指防火墻或代理服務器對其業(yè)務信息流的處理能力，是防火墻能夠同時處理的點對點連接的最大數目。并發(fā)連接數反映出防火墻設備對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力。并發(fā)連接數（2/5）簡單說，并發(fā)連接數就是防火墻所能處理的最大會話數量。防火墻里有一個并發(fā)連接表，是防火墻用以存放并發(fā)連接信息的地方。并發(fā)連接表的大小，就是防火墻所能支持的最大并發(fā)連接數。并發(fā)連接數（3/5）并發(fā)連接數的增大意味著內存資源的消耗增加

以每個并發(fā)連接表項占用300B計算，1000個并發(fā)連接將占用300B×1000×8bit/B≈2.3Mb內存空間；10000個并發(fā)連接將占用23Mb內存空間100000個并發(fā)連接將占用230Mb內存空間，如果試圖實現1000000個并發(fā)連接的產品，產品需要提供2.24Gb內存空間。并發(fā)連接數（4/5）并發(fā)連接數的增大應充分考慮CPU的處理能力。CPU的主要任務是把網絡上的流量從一個網段盡可能快速地轉發(fā)到另外一個網段上，并且在轉發(fā)過程中對此流量按照一定的訪問控制策略進行許可檢查、流量統(tǒng)計和訪問審計等操作。如果貿然增大系統(tǒng)的并發(fā)連接表，勢必影響防火墻對連接請求的處理延遲，造成某些連接超時，致使連接報文重發(fā)，最后形成雪崩效應，致使整個防火墻系統(tǒng)崩潰。并發(fā)連接數（5/5）物理鏈路的實際承載能力將影響防火墻發(fā)揮出其對海量并發(fā)連接的處理能力。由于防火墻通常都部署在Internet出口處，在客戶端PC與目的資源中間的路徑上，總是存在著瓶頸鏈路。瓶頸鏈路可能是2Mbps專線，也可能是512Kbps乃至64Kbps的低速鏈路。擁擠的低速鏈路根本無法承載太多的并發(fā)連接，即便是防火墻能夠支持大規(guī)模的并發(fā)訪問連接，也無法發(fā)揮出其原有的性能。吞吐量（1/2）網絡中的數據是由一個個數據包組成，防火墻對每個數據包的處理要耗費資源。吞吐量是指在保證丟失數據幀的情況下，設備能夠接受的最大速率。吞吐量（2/2）吞吐量的測試方法：在測試中以一定速率發(fā)送一定數量的幀，并計算待測設備傳輸出去的幀；如果發(fā)送給設備的幀與設備發(fā)出的幀數量相等，那么將發(fā)送速率提高并重新測試；如果發(fā)送給設備的幀多于設備發(fā)出的幀，則適當降低發(fā)送速率重新測試，直至得出最終結果。對應用網關防火墻而言，關鍵的性能指標不再是網絡層吞吐量，而是應用識別及分析。首先要考察防火墻能夠劫持多少種網絡應用，其次是應用識別和控制的精細度，如是否支持對應用子功能的識別及控制。另外，應用特征庫的更新速度也很重要應用識別及分析能力安全性防火墻自身的安全性主要體現在自身設計和管理兩個方面。設計的安全性關鍵在于操作系統(tǒng)，只有自身具有完整信任關系的操作系統(tǒng)才可以談論系統(tǒng)的安全性。防火墻自身的安全實現直接影響整體系統(tǒng)的安全性。穩(wěn)定性有些防火墻尚未最后定型或經過嚴格的大量測試就被推向了市場，其穩(wěn)定性可想而知。防火墻的穩(wěn)定性可以通過幾種方法判斷：從權威的測評認證機構獲得。考察產品是否獲得更多的國家權威機構的認證、推薦和入網證明，來間接了解其穩(wěn)定性。實際調查，這是最有效的辦法：考察這種防火墻是否已經有了使用單位、其用戶量如何，特別是用戶對于產品的評價。自己試用。在自己的網絡上進行一段時間的試用。高性能高性能是防火墻的一個重要指標，它直接體現了防火墻的可用性。如果由于使用防火墻而帶來了網絡性能較大幅度的下降，就意味著安全代價過高。一般來說，包過濾防火墻加載上百條規(guī)則，其性能下降不應超過5％。功能靈活對通信行為的有效控制，要求防火墻設備有一系列不同級別，滿足不同用戶的各類安全控制需求。對普通用戶，只要對IP地址進行過濾即可；如果是內部有不同安全級別的子網，有時則必須允許高級別子網對低級別子網進行單向訪問管理簡便網絡技術發(fā)展很快，各種安全事件不斷出現，這就要求安全管理員經常調整網絡安全策略。防火墻的管理在充分考慮安全需要的前提下，必須提供方便靈活的管理方式和方法，這通常體現為管理途徑、管理工具和管理權限。可視化管理抵抗拒絕服務攻擊在當前的網絡攻擊中,拒絕服務攻擊是使用頻率最高的方法。很多防火墻本身都存在拒絕服務攻擊漏洞。國標防火墻標準133二、防火墻產品防火墻產品防火墻產品防火墻產品137三、典型應用典型應用之一Internet與企業(yè)、政府等內部網絡之間的應用防火墻連接WAN和內網，實現內網對Internet的訪問，同時實現DMZ區(qū)管理，允許WAN和內網對DMZ區(qū)服務器的特定的服務端口的訪問，根據客戶要求允許或禁止DMZ對內網和WAN的訪問。典型應用之二企業(yè)、政府等多個內部網絡中的應用防火墻連接省內各個級別的局域網，根據需要實現局域網之間的訪問控制，以及各個局域網對公共服務器、局域網服務器的訪問典型應用之三VPN的應用通過防火墻的隧道VPN和撥號VPN的功能，實現公網對防火墻內部網絡的直接訪問以及多個防火墻各自的內部網絡之間的訪問，基于IPsec協(xié)議的VPN保證了數據傳輸的安全性、完整性和高效性。典型應用之四雙通道以及多通道的實現通過防火墻的策略路由功能，實現內網對多個外網的訪問，同時對訪問的用戶和訪問的服務進行控制四、工作步驟第一步：制定安全策略內部員工訪問互聯(lián)網的限制外網訪問內部網的策略進入公網的數據加密策略創(chuàng)建防火墻的步驟第二步：搭建安全體系結構安全策略轉化為安全體系結構對外服務器的配置DMZ的設置創(chuàng)建防火墻的步驟第三步：制定規(guī)則次序規(guī)則先后的次序決定防火墻的功能防火墻順序檢查規(guī)則，一旦匹配，則停止檢查并執(zhí)行這條規(guī)則。創(chuàng)建防火墻的步驟第四步：落實規(guī)則集（12方面）切斷默認允許內部出網添加鎖定丟棄不匹配的信息包丟棄并不記錄允許DNS訪問允許郵件訪問允許WEB訪問阻塞DMZ允許內部的POP訪問強化DMZ的規(guī)則允許管理員訪問創(chuàng)建防火墻的步驟第五步：注意更換控制規(guī)則變動是注釋中記錄信息規(guī)則更改者的名字規(guī)則變更的日期和時間規(guī)則變更的原因第六步：審計工作創(chuàng)建防火墻的步驟規(guī)則變動是注釋中記錄信息規(guī)則更改者的名字規(guī)則變更的日期和時間規(guī)則變更的原因創(chuàng)建防火墻的步驟路由器使用ACL處理數據包的過程存在進站ACL？拒絕或允許？查詢路由表是否有到目標網絡的路由？拒絕或允許？存在出站ACL？NNNY允許拒絕拒絕Y數據包進入路由器接口的數據包丟棄數據包出站OUT進站IN訪問控制列表（ACL）分類標準IPACL：只對數據包的源IP地址進行檢查其列表號1-90或1300-1999。擴展IPACL：對數據包的源和目標IP地址進行檢查源和目標端口號其列表號100-199或2000-2699訪問控制列表命令格式標準IPACLAccess-listAccess-list-number

(deny/permit)source-address[source-wildcard]擴展IPACLAccess-listAccess-list-number

(deny/permit)protocolsource-addresssource-wildcard[operatorport]destination-addressdestination-wildcard[operatorport][established][log]命令字訪問控制列表編號對符合匹配的數據包所采取的動作數據包源地址通配符掩碼數據包源地址數據包源地址協(xié)議數據包源地址通配符掩碼邏輯操作：eq、neq、gt、lt、rage判斷包頭的ACK，若設置，則匹配ACL配置實例：允許一個源通信量通過PermittingTrafficfromSourceNetworkaccess-list1permit55interfaceethernet0ipaccess-group1outinterfaceethernet1ipaccess-group1outFTP服務器Web服務器ACL配置：外網只能訪問WEB不能訪問FTPaccess-list110permit55host3eq21access-list110permit55host3eq20access-list110denyanyhost3eq21access-list110denyanyhost3eq20access-list110permitany

host3eq80interfaceethernet1ipaccess-group110out