防火墙基础

null第八章 防火墙基础浙江金融职业学院第八章 防火墙基础项目 包过滤 浙江金融职业学院项目 包过滤 目的 1. 通过实验，了解普通包过滤的基本概念和原理，如方向、协议、端口、源地址、目的地址等等，掌握常用服务所对应的协议和端口。 2. 会在防火墙中的配置普通包过滤的方法，学会判断是否生效。 任务 1. ping命令传输数据包的过滤； 2. 局域网数据传输数据包过滤； 相关知识浙江金融职业学院相关知识防火墙的概念 防火墙的分类 防火墙主要技术null浙江金融职业学院0、引言　 一、什么是防火墙 二、防火墙能做什么？（防火墙的五大功能 ） 三、防火墙分类 四 、防火墙的体系结构 五、小资料 ：防火墙的发展简史null浙江金融职业学院Internet 的发展给政府机构、企事业单位带来了革命性的改革和开放。他们正努力通过利用 Internet 来提高办事效率和市场反应速度，以便更具竞争力。通过 Internet ，人们可以从异地取回重要数据，同时又要面对 Internet 开放带来的数据安全的新挑战和新危险：各种用户的安全访问；以及保护机密信息不受黑客和工业间谍的入侵。因此，重要的系统必须加筑安全的 " 战壕 " ，而这个 " 战壕 " 就是防火墙。安全管理员的目的是选择性地拒绝进出网络的数据流量，防火墙现在已成为各企业网络中实施安全保护的核心。 null浙江金融职业学院防火最初的思想是对内部网络总是信任的，而对外部网络却总是不信任的，所以最初的防火墙是只对外部进来的通信进行过滤，而对内部网络用户发出的通信不作限制。 ----------单向导通性 目前的防火墙在过滤机制上有所改变，不仅对外部网络发出的通信连接要进行过滤，对内部网络用户发出的部分连接请求和数据包同样需要过滤，但防火墙仍只对符合安全策略的通信通过，也可以说具有“单向导通”性。 null浙江金融职业学院本义是指古代构筑和使用木制结构房屋的时侯，为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称之为“防火墙” 一 ．什么是防火墙？浙江金融职业学院一 ．什么是防火墙？防火墙是指设置在不同网络（如：可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据网络系统的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。null浙江金融职业学院它具有以下三个方面的基本要求： 内部网络和外部网络之间的所有网络数据流都必须经过防火墙 只有符合安全策略的数据流才能通过防火墙 防火墙自身应具有非常强的抗攻击免疫力 null浙江金融职业学院在逻辑上，防火墙是一个分离器，一个限制器，也是一个器，有效地监控了内部网和 Internet 之间的任何活动，保证了内部网络的安全。 防火墙逻辑位置示意图 二 ．防火墙能做什么？ 浙江金融职业学院二 ．防火墙能做什么？ 1、 实现一个网络的安全策略 -----防火墙是网络安全的屏障 一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击，如 IP 选项中的源路由攻击和 ICMP 重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 null浙江金融职业学院 通过以防火墙为中心的安全配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。null浙江金融职业学院2、创建一个阻塞点-----对网络存取和访问进行监控： 防火墙在一个系统私有网络和分网间建立一个检查点。这种实现要求所有的流量都要通过这个检查点。一旦这些检查点清楚地建立，防火墙设备就可以监视，过滤所有进来和出去的流量。网络安全产业称这些检查点为阻塞点。通过强制所有进出流量都通过这些检查点，网络管理员可以集中在较少的地方来实现安全目的。null浙江金融职业学院 如果没有这样一个供监视利控制信息的点，系统或安全管理员则要在大量的地方来进行监测。检查点的另一个名字叫做网络边界。 null浙江金融职业学院3、记录Internet活动----对网络存取和访问进行审计： 防火墙还能够强制日志记录，并且提供警报功能。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。null浙江金融职业学院通过在防火墙上实现日志服务，安全管理员可以监视所有从外部网或互联网的访问。好的日志策略是实现适当网络安全的有效工具之一。防火墙对于管理员进行日志存档提供了更多的信息。 null浙江金融职业学院4、限制网络暴露 -----防止内部信息的外泄： 防火墙在你的网络周围创建了一个保护的边界。并且对于公网隐藏了你内部系统的—些信息以增加保密性。当远程节点侦测你的网络时，他们仅仅能看到防火墙。远程设备将不会知道你内部网络的布局以及都有些什么。防火墙提高认证功能和对网络加密来限制网络信息的暴露。通过对所能进来的流量时行源检查，以限制从外部发动的攻击。null浙江金融职业学院 或者：防火墙的五大功能 　　1）．允许网络管理员定义一个中心点来防止非法用户进入内部网络。 2）．可以很方便地监视网络的安全性，并报警。 　　3）．可以作为部署NAT（Network Address Translation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。 null浙江金融职业学院 　　4）．是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。 5）．可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署WWW服务器和FTP服务器，将其作为向外部发布内部信息的地点。从技术角度来讲，就是所谓的停火区（DMZ）。 null浙江金融职业学院防火墙的不足之处：P178 （1）（2）（3）（4）（5）三、防火墙的分类浙江金融职业学院三、防火墙的分类　 1. 从防火墙的软、硬件形式分：软件防火墙、硬件防火墙。 2. 从防火墙技术来分： “包过滤型”，“应用代理型” 3. 从防火墙结构分：单一主机防火墙、路由器集成式防火墙、分布式防火墙 4. 按防火墙的应用部署位置分：边界防火墙、个人防火墙、混合防火墙三大类。四、　防火墙技术的两大分类 浙江金融职业学院四、　防火墙技术的两大分类 防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分为二大类：包过滤、应用代理。 包过滤防火墙 以以色列的Checkpoint防火墙和 Cisco公司的PIX防火墙为代表 代理防火墙（应用层网关防火墙） 以美国NAI公司的Gauntlet防火墙为代表。null浙江金融职业学院包过滤（ Packet filtering ）：作用在网络层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。 null浙江金融职业学院应用代理（ Application Proxy ）：也叫应用网关（ Application Gateway ） , 它作用在应用层，其特点是完全 " 阻隔 " 了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。 null浙江金融职业学院1．包过滤 第一代：静态包过滤 这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”，即明确允许那些管理员希望通过的数据包，禁止其他的数据包。 null浙江金融职业学院null浙江金融职业学院 第二代：动态包过滤 这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测（Stateful Inspection）技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更改。null浙江金融职业学院图2 动态包过滤防火墙 null浙江金融职业学院2． 代理防火墙 第一代：代理防火墙 代理防火墙也叫应用层网关（Application Gateway）防火墙。这种防火墙通过一种代理（Proxy）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。 null浙江金融职业学院　所谓代理服务器，是指代表客户处理在服务器连接请求的程序。当代理服务器得到一个客户的连接意图时，它们将核实客户请求，并经过特定的安全化的Proxy应用程序处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用。null浙江金融职业学院代理类型防火墙的最突出的优点就是安全。由于每一个内外网络之间的连接都要通过Proxy的介入和转换，通过专门为特定的服务如Http编写的安全化的应用程序进行处理，然后由防火墙本身提交请求和应答，没有给内外网络的计算机以任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。包过滤类型的防火墙是很难彻底避免这一漏洞的null浙江金融职业学院图3 传统代理型防火墙 null浙江金融职业学院代理防火墙的最大缺点就是速度相对比较慢，当用户对内外网络网关的吞吐量要求比较高时，（比如要求达到75-100Mbps时）代理防火墙就会成为内外网络之间的瓶颈。所幸的是，目前用户接入Internet的速度一般都远低于这个数字。在现实环境中，要考虑使用包过滤类型防火墙来满足速度要求的情况，大部分是高速网（ATM或千兆位以太网等）之间的防火墙。 null浙江金融职业学院第二代：自适应代理防火墙 自适应代理技术（Adaptive proxy）是最近在商业应用防火墙中实现的一种革命性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个：自适应代理服务器（Adaptive Proxy Server）与动态包过滤器（Dynamic Packet filter）。 null浙江金融职业学院图4 自适应代理防火墙 null浙江金融职业学院在自适应代理与动态包过滤器之间存在一个控制通道。在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置就可以了。然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。 null浙江金融职业学院两种防火墙技术的对比 　　包过滤防火墙 优点 ：　 价格较低 ， 　　 性能开销小，处理速度较快  缺点 　　定义复杂，容易出现因配置不当带来问题 　　允许数据包直接通过，容易造成数据驱动式攻击的潜在危险 null浙江金融职业学院代理防火墙 　　内置了专门为了提高安全性而编制的Proxy应用程序，能够透彻地理解相关服务的命令，对来往的数据包进行安全化处理 　　速度较慢，不太适用于高速网之间的应用 null浙江金融职业学院 复合型防火墙 　　由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。这种结合通常是以下两种方案。 null浙江金融职业学院屏蔽主机防火墙体系结构：P180 在该结构中，包过滤路由器或防火墙与 Internet 相连，同时一个堡垒机安装在内部网络，通过在包过滤路由器或防火墙上过滤规则的设置，使堡垒机成为 Internet 上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。 null浙江金融职业学院屏蔽子网防火墙体系结构：P182 堡垒机放在一个子网内，形成非军事化区，两个包过滤路由器放在这一子网的两端，使这一子网与 Internet 及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和包过滤路由器共同构成了整个防火墙的安全基础。 四、防火墙的体系结构浙江金融职业学院四、防火墙的体系结构（1）双重宿主主机体系结构。围绕具有双重宿主功能的主机而构筑的。 （2）屏蔽主机体系结构。使用一个单独的路由器来提供内部网络主机之间的服务。 （3）蔽子网体系结构。在屏蔽主机体系结构的基础上添加额外的安全层，它通过添加周边网络把内部网络更进一步地与因特网隔离开。  五 、 小资料 ：　防火墙的发展史浙江金融职业学院 五 、 小资料 ：　防火墙的发展史第一代防火墙 　　第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet filter）技术。下图表示了防火墙技术的简单发展历史。 null浙江金融职业学院又称包过滤防火墙，主要通过对数据包源地址、日的地址、端口号等参数来决定是否允许该数据包通过，对其进转发，但这种防火墙很难抵御IP地址欺骗等攻击，而且审计功能很差。 null浙江金融职业学院第二、三代防火墙 　　1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。 第二代防火墙，也称代理服务器，它用来提供网络服务级的控制，起到外部网络向被保护的内部网络申请服务时中间转接作用，这种方法可以有效地防止对内部网络的直接攻击，安全性较高。 null浙江金融职业学院第三代防火墙有效地提高了防火墙的安全性，称为状态监控功能防火墙，它可以对每一层的数据包进行检测和监控。 null浙江金融职业学院第四代防火墙 1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的第四代防火墙，后来演变为目前所说的状态监视（Stateful inspection）技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。 它可以抵御目前常见的网络攻击手段，如IP地址欺骗、特洛伊木马攻击、Internet蠕虫、口令探寻攻击、邮件攻击等等。 null浙江金融职业学院　第五代防火墙 　　1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。