密码编码学与网络安全（第五版）课件：17-防火墙技术.ppt

1、 防火墙技术防火墙技术2022-1-20华中农业大学信息学院华中农业大学信息学院2主要内容主要内容v防火墙概述防火墙概述v防火墙发展史及分类防火墙发展史及分类v防火墙的体系结构防火墙的体系结构v防火墙的发展趋势防火墙的发展趋势v防火墙产品介绍防火墙产品介绍2022-1-20华中农业大学信息学院华中农业大学信息学院3防火墙概述防火墙概述v防火墙是什么防火墙是什么所谓防火墙指的是一个有软件和硬件设备组合而所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，使间的界面上构造的保护屏障，使Interne

2、t与与Intranet之间建立起一个安全网关（之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵），从而保护内部网免受非法用户的侵入，是一种安全方法的形象说法，防火墙主要由入，是一种安全方法的形象说法，防火墙主要由服务访问政策、验证工具、包过滤和应用网关服务访问政策、验证工具、包过滤和应用网关4个部分组成。个部分组成。2022-1-20华中农业大学信息学院华中农业大学信息学院4防火墙的设计目标防火墙的设计目标v所有通信都必须经过防火墙所有通信都必须经过防火墙通过阻塞未通过防火墙的访问实现通过阻塞未通过防火墙的访问实现v只有被授权的通信才能通过防火墙只有被

3、授权的通信才能通过防火墙授权是本地安全策略规定的授权是本地安全策略规定的v对于渗透必须是免疫的对于渗透必须是免疫的即必须使用运行安全操作系统的可信系统即必须使用运行安全操作系统的可信系统2022-1-20华中农业大学信息学院华中农业大学信息学院5所采用的技术所采用的技术v服务控制：服务控制：决定哪些服务可以被访问决定哪些服务可以被访问v方向控制：方向控制：决定哪些特定方向上的服务请求可被发起并通过决定哪些特定方向上的服务请求可被发起并通过防火墙防火墙v用户控制：用户控制：根据用户正在试图访问的服务器，来控制其访问根据用户正在试图访问的服务器，来控制其访问v行为控制：行为控制：控制一个具体的服务

4、作用实现控制一个具体的服务作用实现2022-1-20华中农业大学信息学院华中农业大学信息学院6防火墙的功能防火墙的功能v定义单一阻塞点定义单一阻塞点v提供监视安全事件的功能提供监视安全事件的功能v用用 IPSec 实现实现VPNv安全无关的功能，如安全无关的功能，如NAT等等2022-1-20华中农业大学信息学院华中农业大学信息学院7防火墙的局限性防火墙的局限性v防外不防内防外不防内防火墙可以禁止系统用户经过网络连接发送专有防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已经在防火墙

5、放在公文包中带出去。如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户偷窃数据，内部，防火墙是无能为力的。内部用户偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内防火墙。对于来自知情者的威胁只能要求加强内部管理，如主机安全和用户教育、管理、制度等。部管理，如主机安全和用户教育、管理、制度等。2022-1-20华中农业大学信息学院华中农业大学信息学院8防火墙的局限性防火墙的局限性v不能防范绕过防火墙的攻击不能防范绕过防火墙的攻击防火墙能够有效地防止通过它进行传输信息，然防火墙能够有效地防止通过它进行传输

6、信息，然而不能防止不通过它而传输的信息。例如，如果而不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入那么防火墙绝对没有办法阻止入侵者进行拨号入侵。侵。v防火墙配置复杂，容易出现安全漏洞防火墙配置复杂，容易出现安全漏洞v防火墙往往只认机器（防火墙往往只认机器（IP地址）不认人（用地址）不认人（用户身份），并且控制粒度较粗。户身份），并且控制粒度较粗。2022-1-20华中农业大学信息学院华中农业大学信息学院9防火墙的局限性防火墙的局限性v防火墙不能防范病毒防火墙不能防范病毒防

7、火墙不能防止感染了病毒的软件或文件的传输。防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。这只能在每台主机上装反病毒软件。v防火墙不能防止数据驱动式攻击。防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到内部当有些表面看来无害的数据被邮寄或复制到内部网主机上并被执行而发起攻击时，就会发生数据网主机上并被执行而发起攻击时，就会发生数据驱动攻击。特别是随着驱动攻击。特别是随着Java、JavaScript、ActiveX的应用，这一问题更加突出。的应用，这一问题更加突出。2022-1-20华中农业大学信息学院华中农业大学信息学院10防火墙发展史及分类防

8、火墙发展史及分类v第一代防火墙第一代防火墙几乎与路由器同时出现，采用了包过滤技术。几乎与路由器同时出现，采用了包过滤技术。v第二、三代防火墙第二、三代防火墙1989年，贝尔实验室的年，贝尔实验室的Dave Presotto和和Howard Trickey推出了第推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙二代防火墙，即电路层防火墙，同时提出了第三代防火墙应用应用层防火墙（代理防火墙）的初步结构。层防火墙（代理防火墙）的初步结构。v第四代防火墙第四代防火墙1992年，年，USC信息科学院的信息科学院的BobBraden开发出了基于动态包过滤开发出了基于动态包过滤（Dynamic p

9、acket filter）技术的第四代防火墙，后来演变为目前）技术的第四代防火墙，后来演变为目前所说的状态监视（所说的状态监视（Stateful inspection）技术。）技术。1994年，以色列的年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。公司开发出了第一个采用这种技术的商业化的产品。v第五代防火墙第五代防火墙1998年，年，NAI公司推出了一种自适应代理（公司推出了一种自适应代理（Adaptive proxy）技术，）技术，并在其产品并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防中得以实现，给代理类型的防火墙赋予了

10、全新的意义，可以称之为第五代防火墙。火墙赋予了全新的意义，可以称之为第五代防火墙。 2022-1-20华中农业大学信息学院华中农业大学信息学院11防火墙发展史防火墙发展史2022-1-20华中农业大学信息学院华中农业大学信息学院12防火墙的分类防火墙的分类v包过滤路由器包过滤路由器v应用级网关应用级网关v电路级网关电路级网关2022-1-20华中农业大学信息学院华中农业大学信息学院13包过滤路由器包过滤路由器2022-1-20华中农业大学信息学院华中农业大学信息学院14v静态包过滤静态包过滤 这种类型的防火墙根据定义好的过滤规则审查每个数据这种类型的防火墙根据定义好的过滤规则审查每个数据包，以

11、便确定其是否与某一条包过滤规则匹配。过滤规包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括则基于数据包的报头信息进行制订。报头信息中包括IP源地址、源地址、IP目标地址、传输协议目标地址、传输协议(TCP、UDP、ICMP等等等等)、TCP/UDP目标端口、目标端口、ICMP消息类型等。包过滤类消息类型等。包过滤类型的防火墙要遵循的一条基本原则是型的防火墙要遵循的一条基本原则是“最小特权原则最小特权原则”，即明确允许那些管理员希望通过的数据包，禁止其他的即明确允许那些管理员希望通过的数据包，禁止其他的数据包。数据包。 2022-1-20华中农业大学

12、信息学院华中农业大学信息学院15v动态包过滤动态包过滤 这种类型的防火墙采用动态设置包过滤规则的方法，这这种类型的防火墙采用动态设置包过滤规则的方法，这种技术后来发展成为包状态监测（种技术后来发展成为包状态监测（Stateful Inspection）技术。采用这种技术的防火墙对通过其建立的每一个连技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增接都进行跟踪，并且根据需要可动态地在过滤规则中增加或删除。加或删除。2022-1-20华中农业大学信息学院华中农业大学信息学院16代理防火墙（应用级网关）代理防火墙（应用级网关）2022-1-20华中农业

13、大学信息学院华中农业大学信息学院17v代理防火墙代理防火墙代理防火墙也叫应用层网关（代理防火墙也叫应用层网关（Application Gateway）防）防火墙。这种防火墙通过一种代理（火墙。这种防火墙通过一种代理（Proxy）技术参与到一）技术参与到一个个TCP连接的全过程。从内部发出的数据包经过这样的连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的被网络安全专

14、家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。核心技术就是代理服务器技术。2022-1-20华中农业大学信息学院华中农业大学信息学院18v自适应代理防火墙自适应代理防火墙自适应代理技术是最近在商业应用防火墙中实现的一种自适应代理技术是最近在商业应用防火墙中实现的一种革命性的技术。它可以结合代理类型防火墙的安全性和革命性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高础之上将代理型防火墙的性能提高10倍以上。倍以上。2022-1-20华中农业大学信息学院华中农

15、业大学信息学院19电路级网关电路级网关2022-1-20华中农业大学信息学院华中农业大学信息学院20包过滤技术包过滤技术 2022-1-20华中农业大学信息学院华中农业大学信息学院21包过滤技术的原理包过滤技术的原理v在路由器上加入在路由器上加入IP Filtering 功能，这样的路由器就成为功能，这样的路由器就成为Screening Router 。vRouter逐一审查每个数据包以判定它是否与其它包过滤规则逐一审查每个数据包以判定它是否与其它包过滤规则相匹配（只检查包头，不理会包内的正文信息）。如果找到相匹配（只检查包头，不理会包内的正文信息）。如果找到一个匹配，且规则允许这包，这个包则

16、根据路由表中的信息一个匹配，且规则允许这包，这个包则根据路由表中的信息前行；前行；v如果找到一个匹配，且规则允许拒绝此包，这一包则被舍弃；如果找到一个匹配，且规则允许拒绝此包，这一包则被舍弃；v如果无匹配规则，用户配置的缺省参数将决定此包是前行还如果无匹配规则，用户配置的缺省参数将决定此包是前行还是被舍弃。是被舍弃。 2022-1-20华中农业大学信息学院华中农业大学信息学院22IPv4版本号版本号Version(4bit)报头长报头长IHL(4bit) 服务类型服务类型 ServiceType (8bit)分组总长度分组总长度Total Length(16bit)标识标识Identifica

17、tion(16bit)标志标志Flags(3bit)片偏移片偏移Fragment Offset(13bit)生存时间生存时间Time to Live(8bit)传输层协议传输层协议Protocol(8bit)头部校验和头部校验和 Header Checksum(16bit)源源IP地址地址Source Address(32bit)宿宿IP地址地址Destination Address(32bit)可选项可选项Option有效负载有效负载Payload（0或多个字节）或多个字节）20 bytes0 4 8 16 19 31填充域填充域padding2022-1-20华中农业大学信息学院华中农业大

18、学信息学院23ICMP报文报文ICMPICMP报文的一般格式报文的一般格式Data差错信息差错信息出错出错IPIP数据报的头数据报的头+64+64个字节数据个字节数据类型类型Type(8bit)代码代码Code (8bit) 检验和检验和Checksum(16bit)不同类型和代码有不同的内容不同类型和代码有不同的内容Data0 8 16 31ICMP header ICMP data IP header I P data 封装封装2022-1-20华中农业大学信息学院华中农业大学信息学院24TCP头部头部源端口源端口 Source Port(16bit)宿端口宿端口 Destination

19、Port(16bit)序列号序列号 Sequence Number (32bit)确认号确认号 Acknowledgment Number(32bit)DataOffset(4bit)Reserved(6bit)URGACKPSHRSTSYNFIN窗口大小窗口大小 Window size(16bit)校验和校验和 Checksum(16bit)紧急指针紧急指针 Urgent Pointer (16bit)选项选项 Options (0或多个或多个 32bit 字字)数据数据 Data ( 可选可选)2022-1-20华中农业大学信息学院华中农业大学信息学院25UDP头部头部UDP源端口源端口U

20、DP宿端口宿端口UDP长度长度UDP校验和校验和16bit16bit最小值为最小值为8全全“0”：不选；：不选；全全“1”：校验和为：校验和为0。2022-1-20华中农业大学信息学院华中农业大学信息学院26包过滤的依据包过滤的依据v IP 源地址源地址v IP目的地址目的地址v 封装协议封装协议(TCP、UDP、或或IP Tunnel)v TCP/UDP源端口源端口v TCP/UDP目的端口目的端口v ICMP包类型包类型v TCP报头的报头的ACK位位v 包输入接口和包输出接口包输入接口和包输出接口2022-1-20华中农业大学信息学院华中农业大学信息学院27依赖于服务的过滤依赖于服务的过

21、滤v多数服务对应特定的端口，例：多数服务对应特定的端口，例：Telnet、SMTP、POP3分别为分别为23、25、110。如要封锁输入。如要封锁输入Telnet 、SMTP的连的连接，则接，则Router丢弃端口值为丢弃端口值为23和和25的所有数据包。的所有数据包。v 典型的过滤规则有以下几种：典型的过滤规则有以下几种：只允许进来的只允许进来的Telnet会话连接到指定的一些内部主机会话连接到指定的一些内部主机只允许进来的只允许进来的FTP会话连接到指定的一些内部主机会话连接到指定的一些内部主机允许所有出去的允许所有出去的Telnet 会话会话 允许所有出去的允许所有出去的FTP 会话会话

22、拒绝从某些指定的外部网络进来的所有信息拒绝从某些指定的外部网络进来的所有信息2022-1-20华中农业大学信息学院华中农业大学信息学院28独立于服务的过滤独立于服务的过滤v有些类型的攻击很难用基本包头信息加以鉴别，有些类型的攻击很难用基本包头信息加以鉴别，因为独立于服务。要防止这类攻击，需要在过滤因为独立于服务。要防止这类攻击，需要在过滤规则中考虑其它信息，如：路由表、特定的规则中考虑其它信息，如：路由表、特定的IP选项、选项、特定的片段偏移等。不依赖于服务的攻击有三类：特定的片段偏移等。不依赖于服务的攻击有三类：v源源IP地址欺骗攻击地址欺骗攻击入侵者从伪装成源自一台内部主机的一个外部地点传

23、送入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包；这些信息包似乎像包含了一个内部系统的一些信息包；这些信息包似乎像包含了一个内部系统的源源IP地址。如果这些信息包到达地址。如果这些信息包到达Router的外部接口，则的外部接口，则舍弃每个含有这个源舍弃每个含有这个源IP地址的信息包，就可以挫败这种地址的信息包，就可以挫败这种源欺骗攻击。源欺骗攻击。2022-1-20华中农业大学信息学院华中农业大学信息学院29v源路由攻击源路由攻击攻击者为信息包指定一个穿越攻击者为信息包指定一个穿越Internet的路由，这类攻的路由，这类攻击企图绕过安全措施，并使信息包沿一条意外（疏漏）击企图绕过

24、安全措施，并使信息包沿一条意外（疏漏）的路径到达目的地。可以通过舍弃所有包含这类源路由的路径到达目的地。可以通过舍弃所有包含这类源路由选项的信息包方式，来挫败这类攻击。选项的信息包方式，来挫败这类攻击。v残片攻击残片攻击入侵者利用入侵者利用IP分段特性生成一个极小的片断并将分段特性生成一个极小的片断并将TCP报报头信息肢解成一个分离的信息包片断，使数据包绕过用头信息肢解成一个分离的信息包片断，使数据包绕过用户定义的过滤规则。入侵者希望过滤路由器只检查第一户定义的过滤规则。入侵者希望过滤路由器只检查第一分段，而允许其它分段通过。通过舍弃所有协议类型为分段，而允许其它分段通过。通过舍弃所有协议类型

25、为TCP、IP报头中报头中Fragment Offset=1的数据包，即可挫的数据包，即可挫败残片的攻击。败残片的攻击。 2022-1-20华中农业大学信息学院华中农业大学信息学院30推荐的过滤规则推荐的过滤规则v任何进入内网的数据包不能将内部地址作为源地址任何进入内网的数据包不能将内部地址作为源地址v任何进入内网的数据包必须将内部地址作为目标地址任何进入内网的数据包必须将内部地址作为目标地址v任何离开内网的数据包必须将内部地址作为源地址任何离开内网的数据包必须将内部地址作为源地址v任何离开内网的数据包不能将内部地址作为目标地址任何离开内网的数据包不能将内部地址作为目标地址v任何进入或离开内网

26、的数据包不能把一个私有地址或任何进入或离开内网的数据包不能把一个私有地址或者者127.0.0.0/8作为源或目标地址作为源或目标地址v保留、保留、DHCP自动配置和多播地址也要被阻塞：自动配置和多播地址也要被阻塞： 0.0.0.0/8 169.254.0.0/16 192.0.2.0/24 224.0.0.0/4 240.0.0.0/42022-1-20华中农业大学信息学院华中农业大学信息学院31包过滤路由器的优点包过滤路由器的优点v实现包过滤几乎不再需要费用。这些特点都包含再标准实现包过滤几乎不再需要费用。这些特点都包含再标准的路由器软件中。绝大多数的路由器软件中。绝大多数Internet防

27、火墙系统只用一个防火墙系统只用一个包过滤路由器。包过滤路由器。v执行执行PACKET FILTER 所用的时间很少或几乎不需要什所用的时间很少或几乎不需要什么时间。因为么时间。因为Internet 访问一般被提供给一个访问一般被提供给一个WAN接口。接口。如果通信负载适中且定义的过滤很少的话，则对路由性如果通信负载适中且定义的过滤很少的话，则对路由性能没有多大影响。能没有多大影响。 v包过滤路由器对终端用户和应用程序是透明的，因此不包过滤路由器对终端用户和应用程序是透明的，因此不需要专门的用户培训或在每台主机上设置特别的软件。需要专门的用户培训或在每台主机上设置特别的软件。2022-1-20华

28、中农业大学信息学院华中农业大学信息学院32包过滤路由器的局限性包过滤路由器的局限性v定义包过滤器的工作复杂定义包过滤器的工作复杂, 要了解要了解Internet各种服务、各种服务、包头格式和每个域查找的特定值。包头格式和每个域查找的特定值。v管理困难。管理困难。v通过路由器的数据包有可能被用于数据驱动攻击。通过路由器的数据包有可能被用于数据驱动攻击。v过滤器数目增加，路由器吞吐量下降。过滤器数目增加，路由器吞吐量下降。v无法对流动的信息提供全面控制，不能理解上下文。无法对流动的信息提供全面控制，不能理解上下文。v一些应用协议不适合于包过滤，如：一些应用协议不适合于包过滤，如：RPC、FTP等。

29、等。v日志能力较弱，不能报告谁企图入侵。日志能力较弱，不能报告谁企图入侵。v难以针对用户实施安全策略。难以针对用户实施安全策略。2022-1-20华中农业大学信息学院华中农业大学信息学院33代理服务技术代理服务技术 v该该技术它能够将所有跨越防火墙的网络通信链路分为两段。技术它能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的连接，由两个代理服务防火墙内外计算机系统间应用层的连接，由两个代理服务器之间的连接来实现，外部计算机的网络链路只能到达代器之间的连接来实现，外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用。理服务器，从而起到隔离防火墙

30、内外计算机系统的作用。v此外，代理服务器也对过往的数据包进行分析、记录、形此外，代理服务器也对过往的数据包进行分析、记录、形成报告，当发现攻击迹象时会向网络管理员发出警告，并成报告，当发现攻击迹象时会向网络管理员发出警告，并保留攻击痕迹。保留攻击痕迹。2022-1-20华中农业大学信息学院华中农业大学信息学院34代理服务技术代理服务技术2022-1-20华中农业大学信息学院华中农业大学信息学院35应用层网关应用层网关 v应用层网关（也称为代理服务器）技术是在网络的应用应用层网关（也称为代理服务器）技术是在网络的应用层上实现协议过滤和转发功能。它针对特定的网络应用层上实现协议过滤和转发功能。它针

31、对特定的网络应用服务协议，如：超文本传输协议（服务协议，如：超文本传输协议（HTTP）、远程文件传）、远程文件传输协议（输协议（FTP）等，使用指定的数据过滤规则。并在过滤）等，使用指定的数据过滤规则。并在过滤的同时，对数据包进行必要的分析、记录和统计，形成的同时，对数据包进行必要的分析、记录和统计，形成报告。记录和控制所有进出流量是应用层网关的一个主报告。记录和控制所有进出流量是应用层网关的一个主要优点。要优点。2022-1-20华中农业大学信息学院华中农业大学信息学院36应用层上的过滤应用层上的过滤2022-1-20华中农业大学信息学院华中农业大学信息学院37应用层网关应用层网关2022-

32、1-20华中农业大学信息学院华中农业大学信息学院38代理服务的优点代理服务的优点v1）易于配置，软件实现，界面友好）易于配置，软件实现，界面友好v2）日志记录，便于分析）日志记录，便于分析v3）灵活控制进出流量、内容（）灵活控制进出流量、内容（who、what、where、when）例如，例如，可以过滤协议：为防止用户向匿名可以过滤协议：为防止用户向匿名FTP服务器写数据，可拒服务器写数据，可拒绝使用绝使用FTP 协议中的协议中的 put 命令；命令；可以过滤内容：文本过滤、图像过滤、病毒扫描等。可以过滤内容：文本过滤、图像过滤、病毒扫描等。v4）为用户提供透明的加密机制，）为用户提供透明的加

33、密机制，VPNv5）便于与其它安全手段集成便于与其它安全手段集成认证认证 授权授权 加密加密 TLS协议协议2022-1-20华中农业大学信息学院华中农业大学信息学院39代理服务的缺点代理服务的缺点v速度慢：检查内容，转发速度慢：检查内容，转发/响应响应v代理对用户不透明代理对用户不透明对客户端要定制软件或改动；如何跨平台；代理服务难以让可户对客户端要定制软件或改动；如何跨平台；代理服务难以让可户非常满意非常满意v不能改进底层协议的安全不能改进底层协议的安全IP欺骗欺骗 SYN泛滥泛滥 拒绝服务攻击拒绝服务攻击v有可能受到协议漏洞的威胁有可能受到协议漏洞的威胁2022-1-20华中农业大学信息

34、学院华中农业大学信息学院40包过滤与代理的结合包过滤与代理的结合v为提高安全性，将包过滤方法与应用代理的方法结合起为提高安全性，将包过滤方法与应用代理的方法结合起来，形成复合型防火墙产品。有两种方案：来，形成复合型防火墙产品。有两种方案： 屏蔽主机网关：在该结构中，包过滤路由器或防火墙与屏蔽主机网关：在该结构中，包过滤路由器或防火墙与Internet相连，同时一个堡垒机安装在内部网络，通过在包过滤路由器或相连，同时一个堡垒机安装在内部网络，通过在包过滤路由器或防火墙上过滤规则的设置，使堡垒机成为防火墙上过滤规则的设置，使堡垒机成为Internet上其它节点所上其它节点所能到达的唯一节点，这确保

35、了内部网络不受未授权外部用户的攻能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。击。屏蔽子网网关：堡垒机放在一个子网内，形成非军事化区，两个屏蔽子网网关：堡垒机放在一个子网内，形成非军事化区，两个包过滤路由器放在这一子网的两端，使这一子网与包过滤路由器放在这一子网的两端，使这一子网与Internet及内及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和包过滤部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和包过滤路由器共同构成了整个防火墙的安全基础。路由器共同构成了整个防火墙的安全基础。2022-1-20华中农业大学信息学院华中农业大学信息学院41v代理服务器及防火墙软件：代理

36、服务器及防火墙软件：WingateMicrosoft Proxy Server2022-1-20华中农业大学信息学院华中农业大学信息学院42电路层网关电路层网关( (Circuit Gateway)Circuit Gateway)v电路网关工作在电路网关工作在OSI的会话层。分组地址是一个应用层的用的会话层。分组地址是一个应用层的用户进程。电路网关在两个通信端点之间复制字节。电路网户进程。电路网关在两个通信端点之间复制字节。电路网关包含有支持某些关包含有支持某些TCP/IP应用的程序代码，但通常是有限应用的程序代码，但通常是有限的。的。v电路网关适于限制内部网对外部的访问，但不能实施协议电路网

37、关适于限制内部网对外部的访问，但不能实施协议过滤。从电路网关出来的连接好象都是从防火墙产生的，过滤。从电路网关出来的连接好象都是从防火墙产生的，故可以隐藏内部网络信息。故可以隐藏内部网络信息。v电路网关与包过滤相似，但比包过滤高两层，安全性更好。电路网关与包过滤相似，但比包过滤高两层，安全性更好。2022-1-20华中农业大学信息学院华中农业大学信息学院43电路层网关电路层网关2022-1-20华中农业大学信息学院华中农业大学信息学院44一个例子一个例子v用包过滤路由器封锁所有输入用包过滤路由器封锁所有输入Telnet和和Ftp 连接的网点。路连接的网点。路由器允许由器允许Telnet和和Ft

38、p包只通过一个主系统，即包只通过一个主系统，即Telnet/Ftp应用网关，然后再连接到目的主系统：应用网关，然后再连接到目的主系统：用户首先把用户首先把Telnet连接到应用网关，并输入内部主系统名字；连接到应用网关，并输入内部主系统名字；网关检验用户的源网关检验用户的源IP地址，并根据访问准则接受或拒绝；地址，并根据访问准则接受或拒绝；用户可能需要证明自己的身份（可使用一次性口令装置）；用户可能需要证明自己的身份（可使用一次性口令装置）；代理服务软件在网关和内部主系统之间建立代理服务软件在网关和内部主系统之间建立Telnet连接；连接；代理服务软件在两个连接之间传送数据；代理服务软件在两个

39、连接之间传送数据；应用网关记录连接情况。应用网关记录连接情况。2022-1-20华中农业大学信息学院华中农业大学信息学院45复合型防火墙复合型防火墙 v采用何种形式的防火墙取决于经费、技术、时间等。采用何种形式的防火墙取决于经费、技术、时间等。应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层链路层链路层物理层物理层包过滤应用网关电路网关2022-1-20华中农业大学信息学院华中农业大学信息学院46防火墙的体系结构防火墙的体系结构v屏蔽路由器（屏蔽路由器（Screened Router）v单宿主机网关（单宿主机网关（Single Homed Host Gateway）v双宿主机网关（

40、双宿主机网关（Dual Homed Host Gateway）v屏蔽主机网关（屏蔽主机网关（Screened Gateway）v屏蔽子网网关（屏蔽子网网关（Screened Subnet）2022-1-20华中农业大学信息学院华中农业大学信息学院47屏蔽路由器屏蔽路由器v包过滤路由器：路由器上可以安装基于包过滤路由器：路由器上可以安装基于IP层的数据包过滤软件，实现数据包过滤功层的数据包过滤软件，实现数据包过滤功能，是最简单的防火墙。能，是最简单的防火墙。v缺点：缺点：日志没有或很少，难以判断是否被入侵日志没有或很少，难以判断是否被入侵规则表会随着应用变得很复杂规则表会随着应用变得很复杂单一的

41、部件保护，脆弱单一的部件保护，脆弱2022-1-20华中农业大学信息学院华中农业大学信息学院48单宿主机网关单宿主机网关2022-1-20华中农业大学信息学院华中农业大学信息学院49单宿主机网关单宿主机网关v由屏蔽路由器和应用网关组成。由屏蔽路由器和应用网关组成。v两道屏障：两道屏障：网络层的包过滤网络层的包过滤应用层代理服务应用层代理服务v优点：双重保护，安全性更高。优点：双重保护，安全性更高。v实施策略：针对不同的服务，选择其中的一种或两实施策略：针对不同的服务，选择其中的一种或两种保护措施。种保护措施。2022-1-20华中农业大学信息学院华中农业大学信息学院50双宿主机网关双宿主机网关

42、v安全性：安全性：实现了数据包级和应用级的过滤，在系统安全策略允许实现了数据包级和应用级的过滤，在系统安全策略允许的范畴内有很好的灵活性；的范畴内有很好的灵活性；攻击者需要攻破两个独立的系统才能威胁到内网安全。攻击者需要攻破两个独立的系统才能威胁到内网安全。2022-1-20华中农业大学信息学院华中农业大学信息学院51v用一台装有两块网卡的计算机作为堡垒主机用一台装有两块网卡的计算机作为堡垒主机（Bastion host），），两块网卡分别与内部网和外部两块网卡分别与内部网和外部网（或屏蔽路由器）相连，每块网卡有各自的网（或屏蔽路由器）相连，每块网卡有各自的IP地地址。堡垒主机上运行防火墙软件

43、址。堡垒主机上运行防火墙软件代理服务（应代理服务（应用层网关）。用层网关）。v优点：与屏蔽路由器相比，提供日志以备检查优点：与屏蔽路由器相比，提供日志以备检查v缺点：双宿主机易受攻击缺点：双宿主机易受攻击双宿主机网关双宿主机网关2022-1-20华中农业大学信息学院华中农业大学信息学院52屏蔽子网网关屏蔽子网网关v组成：一个包含堡垒主机的周边子网、两组成：一个包含堡垒主机的周边子网、两台屏蔽路由器。台屏蔽路由器。2022-1-20华中农业大学信息学院华中农业大学信息学院53v屏蔽子网网关中，添加周边网络进一步地把内部网屏蔽子网网关中，添加周边网络进一步地把内部网络与络与Internet隔离开。

44、隔离开。v通过在周边网络上隔离堡垒主机，能减少在堡垒主通过在周边网络上隔离堡垒主机，能减少在堡垒主机上侵入的影响。机上侵入的影响。v要想侵入用这种类型的体系结构构筑的内部网络，要想侵入用这种类型的体系结构构筑的内部网络，侵袭者必须通过外部路由器，堡垒主机，内部路由侵袭者必须通过外部路由器，堡垒主机，内部路由器三道关口。器三道关口。2022-1-20华中农业大学信息学院华中农业大学信息学院54v周边网络（非军事化区、隔离区（周边网络（非军事化区、隔离区（DMZ）周边网络是另一个安全层，是在外部网络与内部网络之周边网络是另一个安全层，是在外部网络与内部网络之间的附加的网络间的附加的网络。v作用：作

45、用：对于周边网络，如果某人侵入周边网上的堡垒主机，他对于周边网络，如果某人侵入周边网上的堡垒主机，他仅能探听到周边网上的通信。因为所有周边网上的通信仅能探听到周边网上的通信。因为所有周边网上的通信来自或者通往堡垒主机或来自或者通往堡垒主机或Internet。因为没有严格的内部通信（即在两台内部主机之间的通因为没有严格的内部通信（即在两台内部主机之间的通信，这通常是敏感的或者专有的）能越过周边网。所以，信，这通常是敏感的或者专有的）能越过周边网。所以，如果堡垒主机被损害，内部的通信仍将是安全的。如果堡垒主机被损害，内部的通信仍将是安全的。2022-1-20华中农业大学信息学院华中农业大学信息学院

46、55v堡垒主机：接受来自外界连接的主要入口。堡垒主机：接受来自外界连接的主要入口。v作用：作用：对于进来的电子邮件（对于进来的电子邮件（SMTP）会话，传送电子邮件到会话，传送电子邮件到站点；站点；对于进来的对于进来的FTP连接，转接到站点的匿名连接，转接到站点的匿名FTP服务器；服务器；对于进来的域名服务（对于进来的域名服务（DNS）站点查询等。站点查询等。2022-1-20华中农业大学信息学院华中农业大学信息学院56v出站服务按如下任一方法处理：出站服务按如下任一方法处理：在外部和内部的路由器上设置数据包过滤来允许内部的在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部的服

47、务器。客户端直接访问外部的服务器。设置代理服务器在堡垒主机上运行（如果用户的防火墙设置代理服务器在堡垒主机上运行（如果用户的防火墙使用代理软件）来允许内部的客户端间接地访问外部的使用代理软件）来允许内部的客户端间接地访问外部的服务器。用户也可以设置数据包过滤来允许内部的客户服务器。用户也可以设置数据包过滤来允许内部的客户端在堡垒主机上同代理服务器交谈。但是禁止内部的客端在堡垒主机上同代理服务器交谈。但是禁止内部的客户端与外部世界之间直接通信（如拨号上网）。户端与外部世界之间直接通信（如拨号上网）。2022-1-20华中农业大学信息学院华中农业大学信息学院57v外部路由器：外部路由器：在理论上，

48、外部路由器保护周边网和内部网使之免受在理论上，外部路由器保护周边网和内部网使之免受来自来自Internet的侵犯。实际上，外部路由器倾向于允的侵犯。实际上，外部路由器倾向于允许几乎任何东西从周边网出站，并且它们通常只执行许几乎任何东西从周边网出站，并且它们通常只执行非常少的数据包过滤。非常少的数据包过滤。外部路由器安全任务之一是：阻止从外部路由器安全任务之一是：阻止从Internet上伪造上伪造源地址进来的任何数据包。源地址进来的任何数据包。2022-1-20华中农业大学信息学院华中农业大学信息学院58v内部路由器（阻塞路由器）内部路由器（阻塞路由器）保护内部的网络使之免受保护内部的网络使之免

49、受Internet和周边子网的侵犯。和周边子网的侵犯。v内部路由器为用户的防火墙执行大部分的数据包过滤工作。内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网到它允许从内部网到Internet的有选择的出站服务。这些服务的有选择的出站服务。这些服务是用户使用数据包过滤而不是通过代理服务提供。是用户使用数据包过滤而不是通过代理服务提供。v内部路由器所允许的在周边网和内部网之间服务可不同于内内部路由器所允许的在周边网和内部网之间服务可不同于内部路由器所允许的在外部和内部网之间的服务。部路由器所允许的在外部和内部网之间的服务。v限制堡垒主机与内部网之间的通信可减少堡垒机被攻破时对限制

50、堡垒主机与内部网之间的通信可减少堡垒机被攻破时对内部网的危害。内部网的危害。2022-1-20华中农业大学信息学院华中农业大学信息学院59内部防火墙问题内部防火墙问题 v在大部分讨论中，都假定建立防火墙的目的在于保护内在大部分讨论中，都假定建立防火墙的目的在于保护内部网免受外部网的侵扰。但有时为了某些原因，我们还部网免受外部网的侵扰。但有时为了某些原因，我们还需要对内部网的部分站点再加以保护以免受内部的其它需要对内部网的部分站点再加以保护以免受内部的其它站点的侵袭。因此，有时我们需要在同一结构的两个部站点的侵袭。因此，有时我们需要在同一结构的两个部分之间，或者在同一内部网的两个不同组织结构之间