第5章 防火墙技术基础

缺点
5.4 其他技术
• NAT技术
– 对Internet隐藏内部地址，防止内部地址公开
• VPN技术
– 通过公共介质如Internet扩展公司的网络。对传输数据进行加 密，然后将数据封装在IP包里，通过Internet路由出去
• 内容检查技术
– 通过对信息流内容的分析，从而确保数据流的安全
• 加密技术
5.1.3 防火墙的缺陷
• 防火墙防范功能不完备 • 防火墙的缺陷：
– 防火墙不能防范不经过防火墙的攻击 – 防火墙不能防止感染了病毒的软件或文件的传输 – 防火墙不能防止数据驱动式攻击
• 防火墙需要其他的安全策略配合
5.1.4 防火墙的分类
• 按照防火墙对内外来往数据的处理方法分类
– 包过滤防火墙
5.2.1 包过滤的原理(续) —— TCP/UDP端口
UNIX服务器
Web服务器
Web客户
客户机向服务器发送目 标地址是Web服务器， 目标TCP端口为80的分 组，防火墙则放行，其 他的IP包均过滤。
PC客户机
5.2.1 包过滤的原理(续) —— TCP/UDP端口(续)
• 用户无法知道要访问的服务器正在运行的端口号 • 源地址不能相信，目标端口也不可信任 • 对于TCP协议，利用ACK位
应用层 表示层 会话层 传输层 网络层 链路层 应用层 表示层 会话层 传输层 网络层 链路层 物理层 应用层 表示层 会话层
传输层
网络层
链路层
物理层
物理层
5.3.1 代理技术的工作层次(续) —— 传统代理型防火墙(续)
• 安全
– 每一个内外网络之间的连接都要通过Proxy的介入和转换，保 证了安全
5.4.1 NAT
• NAT，Network Address Translation，网络地址翻译
– 将一个IP地址用另一个IP地址代替
• 应用场合
– 隐藏内部网络地址 – 内部网络地址使用私有的IP地址
• 内部网对外部是不可见
– Internet不能访问内部网，内部网主机之间可以相互访问
5.4.1 NAT(续)
5.2.1 包过滤的原理(续) —— 使用ACK位
外部Web服务器
2）服务器应答 (ACK置位）
1）客户发起连接请求 (ACK没有置位)
PC客户机
5.2.1 包过滤的原理(续) ——动态包过滤技术
• 使用ACK位无法解决一些问题
– FTP协议 – UDP协议
• 使用动态包过滤技术
– 动态设置包过滤规则
• VPN建立可信的安全连接，并保证数据的安全传输 • VPN帮助企业降低花费 • VPN简化网络的设计和管理
5.4.3 状态检查
• 状态检查定义
– 对每一个通过防火墙的数据包都要进行检查 – 看数据包是否属于一个已经通过防火墙并且正在进行连接的 会话，或者基于一组与包过滤规则相似的规则集对数据包进 行处理
Telnet应用程序产生目标 IP为UNIX服务器地址 TCP端口号为23的IP分组
Telnet客户
—— 服务器端TCP/UDP端口过滤(续)
• TCP/IP客户程序使用大于1023的随机分配的端口号 • 打开所有高于1023的端口不安全 • 可以要求防火墙放行已知服务的数据包，其他的全部 挡在防火墙之外
• 使用应用级网关防火墙解决访问问题 • 应用级网关的缺陷
– 应用级网关要为每一种应用定制代理 – 代理不透明 – 不能为基于TCP以外的应用提供很好的代理
5.4.2 VPN
• VPN定义
– 通过一个公共网络建立的一个临时的、安全的连接 – 一条穿过混乱的公共网络的安全、稳定的隧道 – 对企业内部网的扩展
• 路由器 • 主机 • 子网
5.1.2 防火墙的功能
• 防火墙是企业网络中实施安全保护的核心 • 防火墙能够拒绝进出网络的数据流量
5.1.2 防火墙的功能(续)
• 防火墙的主要功能有：
– – – – – – – 过滤不安全的服务和非法用户 控制对特殊站点的访问 提供监视Internet安全访问和预警的可靠节点 实现公司的安全策略 防止暴露内部网的结构 审计和记录Internet使用费用 在物理上设置一个单独的网段，放置服务器
– 包过滤准则非常复杂，在实现上非常困难，对包过滤准则难 以进行检验 – 包过滤技术对于高层的协议无法实现有效的过滤 – 包过滤技术只能够实现基于主机和端口的过滤，无法实现针 对用户和应用程序的过滤 – 当网络安全的方案十分复杂时，不能用数据包过滤技术来单 独解决
5.3 代理技术
• • • • 代表企业内部网络和外界打交道的服务器 不允许存在任何网络内外的直接连接 提供公共和专用的DNS、邮件服务器等多种功能 代理服务器重写数据包时会修改一些数据
包过滤防火墙和代理防火墙技术特点
包过滤防火墙 代理防火墙
内置了专门为提高安全性而编制的代 理应用程序，能够透彻理解相关服务 的命令，对来往数据包进行安全化处 理 安全，不允许数据包通过防火墙，避 免了数据驱动式攻击的发生 速度较慢，不太适用于高速网（千兆 以太等）
价格较低
优点
性能开销小， 处理速度较快 定义复杂，容易出现因配置 不当带来的问题 允许数据包直接通过，容易 造成数据驱动式攻击的潜在 危险 不能理解特定服务的上下文 环境，相应控制只能在高层 由代理服务器和应用网关来 完成
5.3.1 代理技术的工作层次(续) —— 自适应代理防火墙
应用层 应用层 表示层 会话层 应用层 表示层 会话层 传输层 网络层 链路层
表示层 会话层 传输层
网络层 链路层 物理层
传输层
网络层 链路层 物理层
物理层
5.3.1 代理技术的工作层次(续) —— 自适应代理防火墙(续)
• 在自适应代理与动态包过滤器之间存在一个控制通道 • 用户配置防火墙十分简单 • 自适应代理根据用户的配置信息，决定是从应用层代 理请求还是从网络层转发包
5.3.1 代理技术的工作层次
• 代理服务技术工作于OSI模型的应用层
– 代理服务技术支持对高层协议的过滤 – 代理服务中可以做到基于用户的认证
• 也叫应用层网关（Application Gateway）防火墙 • 代理技术可以隐藏内部网结构
5.3.1 代理技术的工作层次(续) —— 传统代理型防火墙
5.5 案例分析
• 防火墙安装和投入使用后，并非就万无一失
– 防火墙安全防护功能的发挥需要依赖很多因素 – 结合其他的安全技术，提高防火墙的安全性 – 及时更新防火墙
5.5.1 未制定完整的企业安全策略 —— 网络环境
VLAN 1
WWW EMail DataBase
VLAN4 VLAN 2
接ISP 带路由模块的 三层交换机 VLAN 3 Internet 防火墙
网络安全技术
第五章 防火墙技术基础
本章目标
• • • • • 了解防火墙的概念及其功能 掌握防火墙的分类 掌握包过滤防火墙的工作原理及其优缺点 掌握代理服务器的工作原理及其优缺点 了解防火墙上可以应用的其他技术
5.1 防火墙基础技术
• 对黒客来说，只要有一点系统漏洞 就足够了 • 保护网络安全的第一个建议就是安 装防火墙
– 加密技术可以提供保密性、可认证性和完整性
5.4 其他技术(续)
• 安全审计
– 对网络上发生的事件进行记载和分析 – 对某些被保护网络的敏感信息访问保持不间断的记录 – 通过各种不同类型的报表、报警等方式向系统管理人员进行报告
• 身份认证
– 用户认证 – 客户认证 – 会话认证
• 负载均衡
– 平衡服务器的负载，由多个服务器为外部网络用户提供相同的应用 服务
5.4.3 状态检查(续) —— 执行步骤
• 检查数据包是否是一个已经建立并且正在使用的通信流 的一部分 • 不同的协议的数据包的检查程度不同 • 如果数据包和连接表的各项都不匹配，防火墙会检测数 据包是否与它所配置的规则集相匹配 • 数据包通过检查后，防火墙会在其连接表中为此次对话 创建或者更新一个连接项 • 防火墙通常对TCP包中被设置的FIN位进行检测或者通 过使用计时器来决定何时从连接表中删除某连接项
• • • • 防火墙可以把所有发给UNIX计算机的数据包都给过滤掉 防火墙可以根据IP地址判断是否过滤数据包 IP地址欺骗技术可以破坏上面的防范措施 采用TCP/UDP端口过滤技术
5.2.1 包过滤的原理(续) —— 服务器端TCP/UDP端口过滤
UNIX服务器 Telnet服务器 防火墙阻断目标地址 为UNIX服务器，TCP 端口号为23的IP分组， 让其他分组通行
5.5.1 未制定完整的企业安全策略 ——问题描述
• 防火墙投入运行后，实施了一套较为严格的安全规则， 导致公司员工无法使用QQ聊天软件 • 员工自己拨号上网，导致感染了特洛依木马和蠕虫等 病毒，并立刻在公司内部局域网中传播开来，造成内 部网大面积瘫痪
5.5.1 未制定完整的企业安全策略 —— 问题分析
• 发展成为状态检测（Stateful Inspection）技术 • 仍然存在问题，可以使用代理服务器
5.2.2 包过滤技术的优点
• 优越的通信性能
– 仅在第三层进行数据包的过滤，可以通过硬件实现 – 对用户来说是完全透明 – 可以通过普通的路由器实现，节省投资
5.2.3 包过滤技术的缺点
• 包过滤技术的缺陷主要为：
• 速度相对比较慢
– 当用户对内外网络网关的吞吐量要求比较高时，代理防火墙 就会成为内外网络之间的瓶颈
5.3.1 代理技术的工作层次(续) —— 适应代理技术
• 适应代理技术（adaptive proxy）
– 代理防火墙的安全性 – 包过滤防火墙的高速度
• 组成适应代理技术的基本要素