计算机网络安全课件-防火墙技术.ppt

1、计计 算算 机机 网网 络络 安安 全全 技技 术术第三篇第三篇 网络安全技术网络安全技术第第3章防火墙技术章防火墙技术计计 算算 机机 网网 络络 安安 全全 技技 术术本章学习目标l防火墙的定义、发展简史、目的、功能、局限性l包过滤防火墙和代理防火墙的实现原理、技术特点以及实现方式l防火墙的常见体系结构l分布式防火墙的体系结构、特点计计 算算 机机 网网 络络 安安 全全 技技 术术l防火墙（Firewall）是一种将内部网和公众网如Internet分开的方法。它能限制被保护的网络与Internet网络之间，或者与其他网络之间进行的信息存取、传递操作，可以作为不同网络或网络安全域之间信息的

2、出入口，能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。l防火墙是提供信息安全服务，实现网络和信息安全的基础设施。计计 算算 机机 网网 络络 安安 全全 技技 术术l辞海上说“防火墙：用非燃烧材料砌筑的墙。设在建筑物的两端或在建筑物内将建筑物分割成区段，以防止火灾蔓延。”l简单的说，防火墙是位于内部网络与外部网络之间、或两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，

3、通过强制实施统一的安全策略，限制外界用户对内部网络的访问及管理内部用户访问外部网络的权限的系统，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。计计 算算 机机 网网 络络 安安 全全 技技 术术l第一代防火墙：几乎与路由器同时出现，采用了包过滤（Packet Filter）技术。l第二、三代防火墙：1989年，贝尔实验室的Dave.Presotto和Howard.Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙应用层防火墙（代理防火墙）的初步结构。l第四代防火墙：1992年，USC信息科学院的Bob.Braden开发出了基于动态包过滤（Dynamic P

4、acket Filter）技术的第四代防火墙，后来演变为目前所说的状态监视（State Fulinspection）技术。1994年，以色列的Check.Point公司开发出了第一个基于这种技术的商业化的产品。l第五代防火墙：1998年，NAI公司推出了一种自适应代理（Adaptive Proxy）技术，并在其产品Gauntlet Fire wall for NT中得以实现。计计 算算 机机 网网 络络 安安 全全 技技 术术计计 算算 机机 网网 络络 安安 全全 技技 术术l通常应用防火墙的目的有以下几个方面：限制他人进入内部网络；过滤掉不安全的服务和非法用户；防止入侵者接近用户的防御设施

5、；限定人们访问特殊站点；为监视局域网安全提供方便。l无论何种类型防火墙，从总体上看，都应具有以下五大五大基本功能：基本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。l防火墙的主要功能就是控制对受保护网络的非法访问，它通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，用以防范外对内、内对外的非法访问。计计 算算 机机 网网 络络 安安 全全 技技 术术l防火墙防外不防内 l网络应用受到结构性限制 传统防火墙不能在有在两个内部网络之间通信需求的VPN网络中使用，否

6、则VPN通信将被中断。虽然目前有一种SSL VPN技术可以绕过企业边界的防火墙进入内部网络VPN通信，但是应用更广泛的传统IPSec VPN通信中还是不能使用，除非是专门的VPN防火墙。l防火墙难于管理和配置，易造成安全漏洞 l效率较低、故障率高 l很难为用户在防火墙内外提供一致的安全策略 l防火墙只实现了粗粒度的访问控制 计计 算算 机机 网网 络络 安安 全全 技技 术术l优良的性能 l可扩展的结构和功能 l简化的安装与管理 l主动过滤 l防病毒与防黑客 l未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全、数据的安全等五个方面。此外，防火墙产品还将把网络前沿技

7、术，如Web页面超高速缓存、虚拟网络和带宽管理等与其自身结合起来。计计 算算 机机 网网 络络 安安 全全 技技 术术l包过滤防火墙：数据包过滤（Packet Filtering）技术是防火墙为系统提供安全保障的主要技术，它通过设备对进出网络的数据流进行有选择地控制与操作。l包过滤操作一般都是在选择路由的同时在网络层对数据包进行选择或过滤（通常是对从Internet进入到内部网络的包进行过滤）。选择的依据是系统内设置的过滤逻辑，被称为访问控制表（Access Control Table）或规则表。规则表指定允许哪些类型的数据包可以流入或流出内部网络，例如：只接收来自某些指定的IP地址的数据包或

8、者内部网络的数据包可以流向某些指定的端口等；哪些类型的数据包的传输应该被拦截。防火墙的IP包过滤规则以IP包信息为基础，对IP包源地址、目标地址、传输方向、分包、IP包封装协议（TCP/UDP/ICMP/IP Tunnel）、TCP/UDP目标端口号等进行筛选、过滤。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。计计 算算 机机 网网 络络 安安 全全 技技 术术l包过滤操作可以在路由器上进行，也可以在网桥，甚至在一个单独的主机上进行。l数据包过滤是一个网络安全保护机制，它用来控制流出和流入网络的数据。不符合网络安全的那些服

9、务将被严格限制。基于包中的协议类型和协议字段值，过滤路由器能够区分网络流量；基于协议特定的标准，路由器在其端口能够区分包和限制包的能力叫包过滤（Packet Filtering）。正是因为这种原因，过滤路由器也可以称作包过滤路由器（Packet Filter Router）。计计 算算 机机 网网 络络 安安 全全 技技 术术l一般防火墙的包过滤的过滤规则是在启动时配置好的，只有系统管理员才可以修改，是静态存在的，称为静态规则。利用静态包过滤规则建立的防火墙就叫静态包过滤防火墙，见图。计计 算算 机机 网网 络络 安安 全全 技技 术术l采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，

10、并且根据需要可动态地在过滤规则中增加或更新条目。即采用了基于连接状态的检查和动态设置包过滤规则的方法，将属于同一连接的所有包作为一个整体的数据流看待，通过规则表与连接状态表的共同配合进行检查。动态过滤规则技术避免了静态包过滤的问题，使防火墙弥补了许多不安全的隐患，在最大程度上降低了黑客攻击的成功率，从而大大提高了系统的性能和安全性。计计 算算 机机 网网 络络 安安 全全 技技 术术l不用改动应用程序。包过滤不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。l一个过滤路由器能协助保护整个网络。l数据包过滤对用户透明。数据包过滤是在IP层实现的，Internet根本感觉

11、不到它的存在；包过滤不要求任何自定义软件或者客户机配置；它也不要求用户任何特殊的训练或者操作，使用起来很方便。l过滤路由器速度快、效率高。较Proxy而言，过滤路由器只检查报头相应的字段，一般不查看数据包的内容，而且某些核心部分是由专用硬件实现的，故其转发速度快、效率较高。计计 算算 机机 网网 络络 安安 全全 技技 术术l不能彻底防止地址欺骗。l一些应用协议不适合于数据包过滤。如RPC、FTP。l正常的数据包过滤路由器无法执行某些安全策略。如数据包的报头信息只能说明数据包来自什么主机，而不知是什么用户；只知数据包发送到什么端口，而不知是发到什么应用程序。l安全性较差。过滤判别的只有网络层和

12、传输层的有限信息；过滤规则的数目是有限制的；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；大多数过滤器中缺少审计和报警机制，通常它没有用户的使用记录，这样，管理员就不能从访问记录中发现黑客的攻击记录。l数据包工具存在很多局限性。如数据包过滤规则难以配置，管理方式和用户界面较差；对安全管理人员素质要求高；建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。计计 算算 机机 网网 络络 安安 全全 技技 术术l代理防火墙的原理：所谓代理服务器，是指代表客户处理在服务器连接请求的程序。当代理服务器得

13、到一个客户的连接意图时，它将核实客户请求，并用特定的安全化的Proxy应用程序来处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内、外部网络的作用，所以有叫代理防火墙。代理防火墙工作于应用层，且针对特定的应用层协议。代理防火墙通过编程来弄清用户应用层的流量，并能在用户层和应用协议层间提供访问控制；而且，还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。代理防火墙的工作原理如图所示。计计 算算 机机 网网 络络 安安 全全

14、 技技 术术l代理服务器（Proxy Server）作为内部网络客户端的服务器，拦截住所有要求，也向客户端转发响应。代理客户（Proxy Client）负责代表内部客户端向外部服务器发出请求，当然也向代理服务器转发响应。直实服务器外部 响应转发请求Internet代理客户应用层代理服务代理服务器应用协议分析请求转发响应Intranet真实的客户端代理防火墙（代理防火墙（Proxy）分为应用层网关和电路层网关。）分为应用层网关和电路层网关。计计 算算 机机 网网 络络 安安 全全 技技 术术l应用层网关（Application Level Gateways）防火墙是传统代理型防火墙，它的核心技术

15、就是代理服务器技术，它是基于软件的，通常安装在专用工作站系统上。这种防火墙通过代理技术参与到一个TCP连接的全过程，并在网络应用层上建立协议过滤和转发功能，所以叫做应用层网关。当某用户（不管是远程的还是本地的）想和一个运行代理的网络建立联系时，此代理（应用层网关）会阻塞这个连接，然后在过滤的同时，对数据包进行必要的分析、登记和统计，形成检查报告。如果此连接请求符合预定的安全策略或规则，代理防火墙便会在用户和服务器之间建立一个“桥”，从而保证其通讯。对不符合预定的安全规则的，则阻塞或抛弃。l同时，应用层网关将内部用户的请求确认后送到外部服务器，再将外部服务器的响应回送给用户。计计 算算 机机 网

16、网 络络 安安 全全 技技 术术l应用层网关防火墙最突出的优点就是安全，这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。由于每一个内外网络之间的连接都要通过Proxy的介入和转换，通过专门为特定的服务如HTTP编写的安全化的应用程序进行处理，然后由防火墙本身提交请求和应答，没有给内外网络的计算机以任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网络。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。包过滤类型的防火墙是很难彻底避免这一漏洞的。l应用层网关防火墙同时也是内部网与外部网的隔离点，起着监视和隔

17、绝应用层通信流的作用，它工作在OSI模型的最高层，掌握着应用系统中可用作安全决策的全部信息。计计 算算 机机 网网 络络 安安 全全 技技 术术l代理防火墙的最大缺点就是速度相对比较慢，当用户对内外网络网关的吞吐量要求比较高时，（比如要求达到75M100Mbps时）代理防火墙就会成为内外网络之间的瓶颈。所幸的是，目前用户接入Internet的速度一般都远低于这个数字。在现实环境中，要考虑使用包过滤类型防火墙来满足速度要求的情况，大部分是高速网（ATM或千兆位Intranet等）之间的防火墙。计计 算算 机机 网网 络络 安安 全全 技技 术术l另一种类型的代理技术称为电路层网关（Circuit

18、 Level Gateway）或TCP通道（TCP Tunnels）。在电路层网关中，包被提交用户应用层处理。电路层网关用来在两个通信的终点之间转换包，如图所示。计计 算算 机机 网网 络络 安安 全全 技技 术术l电路层网关是建立应用层网关的一个更加灵活方法。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，一般采用自适应代理技术，也称为自适应代理防火墙。在电路层网关中，需要安装特殊的客户机软件。组成这种类型防火墙的基本要素有两个：自适应代理服务器（Adaptive Proxy Server）与动态包过滤器（Dynamic Packet Filter）。在自适应代理与动态包过滤器

19、之间存在一个控制通道。计计 算算 机机 网网 络络 安安 全全 技技 术术包过滤防火墙代理防火墙优点价格较低内置了专门为了提高安全性而编制的Proxy应用程序，能够透彻地理解相关服务的命令，对来往的数据包进行安全化处理性能开销小，处理速度较快安全，不允许数据包通过防火墙，避免了数据驱动式攻击的发生缺点定义复杂，容易出现因配置不当带来的问题速度较慢，不太适用于高速网（ATM或千兆位Intranet等）之间的应用允许数据包直接通过，容易造成数据驱动式攻击的潜在危险不能理解特定服务的上下文环境，相应控制只能在高层由代理服务和应用层网关来完成计计 算算 机机 网网 络络 安安 全全 技技 术术l双端口

20、或三端口的结构 l透明的访问方式 l灵活的代理系统 l多级的过滤技术 l网络地址转换技术（NAT）l网络状态监视器 lInternet网关技术 l安全服务器网络（SSN）l用户鉴别与加密 l用户定制服务 l审计和告警 计计 算算 机机 网网 络络 安安 全全 技技 术术l这种防火墙在网络应用层提供授权检查及代理服务。当外部某台主机试图访问（如Telnet）受保护网时，它必须先在防火墙上经过身份认证。通过身份认证后，防火墙运行一个专门为Telnet设计的程序，把外部主机与内部主机连接。在这个过程中，防火墙可以限制用户访问的主机、访问的时间及访问的方式。同样，受保护网络内部用户访问外部网时也需先登

21、录到防火墙上，通过验证后才可使用Telnet或FTP等有效命令。l应用网关代理（Application Gateway Proxy）的优点是既可以隐藏内部IP地址，也可以给单个用户授权，即使攻击者盗用了一个合法的IP地址，也通不过严格的身份认证。其缺点是这种认证使得应用网关不透明，用户每次连接都要受到“盘问”，这给用户带来许多不便；而且这种代理技术需要为每个应用网关写专门的程序。计计 算算 机机 网网 络络 安安 全全 技技 术术l回路级代理服务器也称一般代理服务器，它适用于多个协议，但无法解释应用协议，需要通过其他方式来获得信息。所以，回路级代理服务器通常要求修改过的用户程序。其中，套接字服

22、务器（Sockets Server）就是回路级代理服务器。l套接字（Sockets）是一种网络应用层的国际标准。当受保护网络客户机需要与外部网交互信息时，在防火墙上的套接字服务器检查客户的UserID、IP源地址和IP目的地址，经过确认后，套服务器才与外部的段服务器建立连接。对用户来说，受保护网与外部网的信息交换是透明的，感觉不到防火墙的存在，那是因为因特网络用户不需要登录到防火墙上。但是客户端的应用软件必须支持“Socketsifide API”，受保护网络用户访问公共网络所使用的IP地址也都是防火墙的IP地址。计计 算算 机机 网网 络络 安安 全全 技技 术术l一个防火墙系统通常由屏蔽路

23、由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器，它通过对每一个到来的IP包依据一组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息，例如协议号、收发报文的IP地址和端口号、连接标志及另外一些IP选项，对IP包进行过滤。屏蔽路由器（Screening Router）又叫包过滤路由器，是最简单、最常见的防火墙，屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。除具有路由功能外，再装上包过滤软件，利用包过滤规则完成基本的防火墙功能。如图所示。工作站工作站工作站服务器屏蔽路由器防火墙Internet计计 算算 机机 网网 络络 安安 全全 技技 术术l这种配置是

24、用一台装有两块网卡（NIC）的计算机作堡垒主机，两块网卡各自与受保护网络和外部网络相连，每一块网卡都有一个IP地址。堡垒主机上运行着防火墙软件代理服务器软件（应用层网关），可以转发应用程序，提供服务等。所以叫做双缩主机网关（Dual Homed Gateway）防火墙，如图所示。工作站 工作站 工作站 工作站 120.120.110.100 10.10.10.0 NIC 代理服务器 NIC Internet 计计 算算 机机 网网 络络 安安 全全 技技 术术l屏蔽主机网关（Screened Gateway）由屏蔽路由器和应用网关组成，屏蔽路由器的作用是包过滤，应用网关的作用是代理服务，即在内

25、部网络和外部网络之间建立了两道安全屏障，既实现了网络层安全（包过滤），又实现了应用层安全（代理服务）。屏蔽主机网关很容易实现：在内部网络与因特网的交汇点，安装一台屏蔽路由器，同时在内部网络上安装一个堡垒主机（应用层网关）即可，如图所示。工作站 工作站 工作站 工作站 屏蔽路由器 Internet Intranet 应用网关 计计 算算 机机 网网 络络 安安 全全 技技 术术l被屏蔽子网（Screened Subnet）防火墙是在屏蔽主机网关防火墙的基础上再加一个路由器，两个屏蔽路由器放在子网的两端，形成一个被称为非军事区（灰色阴影区域）的子网，即在内部网络和外部网络之间建立一个被隔离的子网。

26、如图示。内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信，像WWW和FTP服务器可放在DNZ中。工作站 工作站 工作站 服务器 Internet 外部屏蔽路由器 应 用 网 关 内部屏蔽路由器 Intranet 计计 算算 机机 网网 络络 安安 全全 技技 术术l支持的局域网接口类型、数量及服务器平台 l支持的协议 l对加密技术的支持 l对认证技术的支持 l对访问控制技术的支持 l对各种防御功能的支持 l对安全特性的支持 l管理功能 l记录和报表功能 计计 算算 机机 网网 络络 安安 全全 技技 术术l因为传统的防火墙设置在网络边界，在内部企业网和外部互联网之间构成一个屏

27、障，进行网络存取控制，所以称为“边界式防火墙”（Perimeter Firewall）。随着计算机网络安全技术的发展和用户对防火墙功能要求的不断提高，在目前传统的边界式防火墙基础上开发出了一种新型防火墙，那就是“分布式防火墙”（Distributed Firewall）。它要负责对网络边界、各子网和网络内部各节点之间的安全防护，所以分布式防火墙是一个完整的系统，而不是单一的产品。计计 算算 机机 网网 络络 安安 全全 技技 术术l分布式防火墙的体系结构包含如下三个部分：网络防火墙（Network Firewall）功能上与传统的边界式防火墙类似，用于内部网与外部网之间，以及内部网各子网之间的

28、防护。主机防火墙（Host Firewall）用于对网络中的服务器和桌面机进行防护。中心管理（Central Management）：这是一个服务器软件，负责总体安全策略的策划、管理、分发及日志的汇总，防火墙可以进行智能管理，提高了防火墙的安全防护灵活性。这是一种新的防火墙管理功能，也是传统的边界式防火墙所不具有的。计计 算算 机机 网网 络络 安安 全全 技技 术术l主机驻留：这种分布式防火墙的最主要特点就是采用主机驻留方式，所以也可称之为“主机防火墙”，它的重要特征是驻留在被保护的主机（关键服务器、数据及工作站）上，该主机以外的网络不管是处在网络内部还是网络外部都认为是不可信任的，因此可以

29、针对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略。l嵌入操作系统内核：这主要是针对目前的纯软件的分布式防火墙来说的。众所周知的，操作系统自身存在许多安全漏洞，运行在其上的应用软件无一不受到威胁。为了彻底堵住操作系统的漏洞，分布式防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行，直接接管网卡，对所有的信息流进行过滤与限制，无论是来自Internet，还是来自内部网络，在把所有IP数据包进行检查后再提交操作系统。l类似于个人防火墙 l适用于服务器托管 计计 算算 机机 网网 络络 安安 全全 技技 术术l通过网络地址转换把内部地址转换成统一的外部地址，避免了使用代理服务所引

30、起的账号安全问题和代理服务端口被利用的危险。同时为了避免各种代理服务端口探测和其他各种常用服务端口的探测，如：Web代理端口80、8080；21（FTP）；80（WWW）；25（SMTP）；110（POP3）；53（DNS），可以启用Microsoft Proxy Server的动态包过滤功能和IP分段过滤，达到端口隐形的效果。为了访问Internet和向外提供服务，还需要在Proxy Server的过滤列表中加入许可。l案例（略）计计 算算 机机 网网 络络 安安 全全 技技 术术习题三l简要回答防火墙的定义和发展简史。l设置防火墙目的是什么？防火墙的功能和局限性各有哪些？l简述防火墙的发展动态和趋势。l试述包过滤防火墙的原理及特点。静态包过滤和动态包过滤有什么区别？l试述代理防火墙的原理及特点。应用层网关和电路层网关有什么区别？l防火墙的主要技术及实现方式有哪些？l防火墙的常见体系结构有哪几种？l屏蔽路由器防火墙和屏蔽主机网关防火墙各如何实现？l简述分布式防火墙的体系结构、主要特点。l分布式防火墙的优势主要体现在哪几个方面？l上机练习：配置一个双缩主机网关防火墙。