第4章防火墙技术

目的地址 172.46.23.45 任意 任意 172.46.23.45
协 议 TCP TCP TCP TCP
源端口 / / / /
目的端口 25 >1023 25 >1023
动 作 拒绝 任意 允许 允许
图9.23 进攻X窗口服务
（7）ACK位在数据包过滤中的作用
表9.2 过滤规则示例
规则
A B
包过滤最明显的缺陷是即使是最基本的网络 服务和协议，它也不能提供足够的安全保护，包 过滤是不够安全的。
① 包过滤规则难于配置。一旦配置，数据包过滤 规则也难于检验。 ② 包过滤仅可以访问包头信息中的有限信息。
③ 包过滤是无状态的，因为包过滤不能保持与传 输相关的状态信息或与应用相关的状态信息。 ④ 包过滤对信息的处理能力非常有限。 ⑤ 一些协议不适合用数据包过滤，如基于RPC的 应用的“r”命令等。
图9.6 双宿主机防火墙
双宿主主机防火墙采用主机取代路由器执 行安全控制功能，故类似于包过滤防火墙， 双宿主主机可以在内部网络和外部网络之间 进行寻径。 双宿主主机防火墙的最大特点是IP层的通 信被阻止，两个网络之间的通信可通过应用 层数据共享或应用层代理服务来完成，而不 能直接通信。
图9.7 应用层数据共享
图9.25 Telnet代理服务
图9.26 Internet客户通过代理服务器访问内部网主机
提供代理应用层网关主要有以下优点。 （1）应用层网关有能力支持可靠的用户认证并 提供详细的注册信息。 （2）应用层的过滤规则相对于包过滤路由器来 说更容易配置和测试。 （3）代理工作在客户机和真实服务器之间，完 全控制会话，所以可以提供很详细的日志和安全 审计功能。 （4）提供代理服务的防火墙可以被配置成惟一 的可被外部看见的主机，这样可以隐藏内部网的 IP地址，可以保护内部主机免受外部网的进攻。 （5）通过代理访问Internet，可以解决合法的 IP地址不够用的问题。
防火墙按体系结构可以分为包过滤防火墙、屏 蔽主机防火墙、屏蔽子网防火墙、多宿主主机防火 墙和通过混合组合而衍生的其他结构的防火墙。 4.3.1 包过滤型防火墙
包过滤型防火墙的核心技术就是安全策略设计 即包过滤算法的设计。
图9.5 包过滤型防火墙
包过滤型防火墙具有以下优点。 （1）处理包的速度比代理服务器快，过滤路 由器为用户提供了一种透明的服务，用户不用改 变客户端程序或改变自己的行为。 （2）实现包过滤几乎不再需要费用（或极少 的费用），因为这些特点都包含在标准的路由器 软件中。 （3）包过滤路由器对用户和应用来讲是透明 的。
9.4.2 代理技术
代理技术也称为应用层网关技术，代理技术与 包过滤技术完全不同，包过滤技术是在网络层拦截 所有的信息流，代理技术是针对每一个特定应用都 有的一个程序。
1．应用级代理 应用级代理有两种情况，一种是内部网通过代 理访问外部网。另一种情况是，外部网通过代理访 问内部网。 代理使得网络管理员能够实现比包过滤路由器 更严格的安全策略，它会对应用程序的数据进行校 验以确保数据格式可以接受。
2．数据包过滤特性
（1）IP包过滤特性 （2）TCP包过滤特性 （3）UDP包的过滤特性 （4）ICMP包的过滤特性
图9.19 TCP的连接过程
图9.21 UDP动态数据包过滤
在决定包过滤防火墙是否返回ICMP错误代码 时，应考虑以下几点。
① 防火墙应该发送什么消息。
② 是否负担得起生成和返回错误代码的高额费用。
（1）包过滤控制点 （2）包过滤操作过程 （3）包过滤规则 （4）防止两类不安全设计的措施 （5）对特定协议包的过滤
5．认证、签名和数据加密策略 6．密钥分配策略 7．审计策略 审计是用来记录如下事件： （1）哪个用户访问哪个对象； （2）用户的访问类型； （3）访问过程是否成功。
4.3
防火墙的体系结构
图9.14 使用合并内部路由器和外部路由器的体系结构
（3）使用多台堡垒主机的体系结构如图9.15所示。
图9.15 两个堡垒主机和两个“非军事区”
图9.16 牺牲主机结构
ห้องสมุดไป่ตู้
（4）使用多台外部路由器的体系结构，如图9.17所示。
图9.17 使用多台外部路由器的体系结构
9.3.5 堡垒主机
堡垒主机是一种被强化的可以防御进攻的计算 机，是高度暴露于Internet中的，也是网络中最容 易受到侵害的主机。
4.2
防火墙的设计策略和安全策略
4.2.1 防火墙的设计策略 防火墙一般执行以下两种基本设计策略中的 一种。 （1）除非明确不允许，否则允许某种服务。 （2）除非明确允许，否则将禁止某种服务。
4.2.2 防火墙的安全策略
研制和开发一个有效的防火墙，首先要设计和 制定一个有效的安全策略。安全策略应包含以下主 要内容：
（1）用户账号策略；
（3）信任关系策略； （5）认证策略； （7）数据加密策略； （9）审计策略。
（2）用户权限策略；
（4）包过虑策略； （6）签名策略； （8）密钥分配策略；
1．用户账号策略 2．用户权限策略 3．信任关系策略
图9.2 单向信任关系
图9.3 双向信任关系
图9.4 多重信任关系
4．包过虑策略 这里主要从以下几个方面来讨论包过滤策略： 包过滤控制点； 包过滤操作过程； 包过滤规则； 防止两类不安全设计的措施； 对特定协议包的过滤。
然而，应用层代理也有明显的缺点，主要包括以 下几点。
（1）有限的连接性。
（2）有限的技术。应用层网关不能为RPC、Talk和 其他一些基于通用协议簇的服务提供代理。 （3）性能。应用层实现的防火墙会造成明显的性能 下降。
（4）每个应用程序都必须有一个代理服务程序来进 行安全控制，每一种应用程序升级时，一般代理服 务程序也要升级。 （5）应用层网关要求用户改变自己的行为，或者在 访问代理服务的每个系统上安装特殊的软件。（6） 对用户不透明。在一个要求用户接口和用户体系结 构友好易操作的今天，这种“不友好”性显得不合 时宜。
（4）一些包过滤网关不支持有效的用户认证。 （5）不可能提供有用的日志，或根本就不提供， 这使用户发觉网络受攻击的难度加大，也就谈不 上根据日志来进行网络的优化、完善以及追查责 任。 （6）随着过滤器数目的增加，路由器的吞吐量 会下降。 （7）IP包过滤器无法对网络上流动的信息提供 全面的控制。 （8）允许外部网络直接连接到内部网络的主机 上，易造成敏感数据的泄漏。
方向
出 入
源地址
172.46.23.45 任意
目的地址
任意 172.46.23.45
协议
TCP TCP
源端口
>1023 23
目的端口
23 >1023
ACK设置
任意 是
动作
允许 允许
图9.24 用ACK位阻止欺骗
（8）包过滤技术的优点
① 帮助保护整个网络，减少暴露的风险； ② 对用户完全透明，不需要对客户端做任何改动， 也不需要对用户做任何培训； ③ 很多路由器可以作数据包过滤，因此不需要专门 添加设备。
包过滤路由器常见的攻击有以下几种。
（1）源IP地址欺骗式攻击。 （2）源路由攻击。 （3）极小数据段式攻击。
9.3.2 多宿主主机（多宿主网关）防火墙
多宿主主机拥有多个网络接口，每一个 接口都连在物理上和逻辑上都分离的不同的 网段上。每个不同的网络接口分别连接不同 的子网，不同子网之间的相互访问实施不同 的访问控制策略。
包过滤型防火墙存在以下的缺点。 （1）防火墙的维护比较困难，定义数据包过滤器 会比较复杂，因为网络管理员需要对各种Internet 服务、包头格式以及每个域的意义有非常深入的理 解，才能将过滤规则集尽量定义得完善。 （2）只能阻止一种类型的IP欺骗，即外部主机伪 装内部主机的IP，对于外部主机伪装其他可信任的 外部主机的IP却不可阻止。 （3）任何直接经过路由器的数据包都有被用做数 据驱动攻击的潜在危险。
构筑堡垒主机的基本原则有以下两条。 （1）使堡垒主机尽可能简单 （2）做好备份工作以防堡垒主机受损
1．堡垒主机的主要结构
当前堡垒主机主要采用以下3种结构。
（1）无路由双宿主主机
（2）牺牲主机
（3）内部堡垒主机
2．堡垒主机的选择 （1）选择主机时，应选择一个可以支持多个网络接口同时处 于活跃状态，从而能够向内部网用户提供多个网络服务的机 器。 （2）建议用户选择较为熟悉的UNIX操作系统作为堡垒主机的 操作系统。 （3）选择堡垒主机时，不需要功能过高、速度过快的机器， 而是争取做到物尽其用。但是应使堡垒主机的内存和硬盘足 够大，以保证足够的信息交换空间。 （4）在网络上，堡垒主机应位于DMZ内没有机密信息流或信 息流不太敏感的部分。 （5）在配置堡垒主机的网络服务时，应注意除了不得不提供 的基本网络服务（如SMTP，FTP，WAIS，HTTP，NNTP 和Gopher）外，应把那些内部网不使用的服务统统关闭。 而且应尽量减少堡垒主机上的用户账户数，如果有可能，应 禁止一切用户账户。
图9.8 运行代理服务器的双宿主机
使用双宿主主机作为防火墙，防火墙本身 的安全性至关重要。
图9.9 运行代理服务器的双宿主机
9.3.3 屏蔽主机型防火墙
屏蔽主机型防火墙由堡垒主机和包过滤路由 器组成，所有的外部主机与一个堡垒主机相连接 而不让它们与内部主机直接相连。
图9.10 被屏蔽主机结构
采用防火墙保护内部网有以下优点。 （1）防火墙允许网络管理员定义一个中心“扼制点” 来防止非法用户（如黑客和网络破坏者等）进入内 部网。 （2）保护网络中脆弱的服务。 （3）在防火墙上可以很方便地监视网络的安全性， 并产生报警。 （4）可以集中安全性。 （5）防火墙可以作为部署（网络地址转换Network Address Translator，NAT）的逻辑地址。 （6）增强保密性和强化私有权。 （7）防火墙是审计和记录Internet使用量的一个最 佳地方。 （8）防火墙也可以成为向客户发布信息的地点。
③ 返回错误代码能使得侵袭者得到很多有关你发送 的数据包过滤信息。 ④ 什么错误代码对你的网站有意义。
（5）RPC服务中的包过滤的特点
图9.22 RPC的端口映射
（6）源端口过滤的作用
表9.1 过滤规则示例
规 则 A B C D
方 向 入 出 出 入
源地址 任意 172.46.23.45 172.46.23.45 任意
（2）只有被授权的合法数据，即符合安全策略的 数据，才可以通过防火墙，其他的数据将被防火墙 丢弃。
（3）防火墙本身不受各种攻击的影响，否则，防 火墙的保护功能将大大降低。
（4）采用目前新的信息安全技术，如现代加密技 术、一次口令系统、智能卡等增强防火墙的保护 功能，为内部网提供更好的保护。 （5）人机界面良好。
防火墙有如下的缺陷和不足。 （1）限制有用的网络服务。 （2）无法防护内部网用户的攻击。 （3）防火墙无法防范通过防火墙以外的其他途径的 攻击。 （4）防火墙也不能完全防止传送已感染病毒的软件 或文件。 （5）防火墙无法防范数据驱动型的攻击。 （6）不能防备新的网络安全问题。
图9.1 防火墙后门
9.4
防火墙的主要技术
9.4.1 数据包过滤技术 数据包过滤技术是在网络中的适当位置对数据 包实施有选择的通过的技术。
1．包过滤的模型
图9.18 包过滤模型
包过滤一般要检查下面几项： （1）IP源地址； （2）IP目的地址； （3）协议类型（TCP包、UDP包和ICMP包）； （4）TCP或UDP的源端口； （5）TCP或UDP的目的端口； （6）ICMP消息类型； （7）TCP报头中的ACK位。 另外，TCP的序列号、确认号，IP校验以及分段 偏移也往往是要检查的选项。
图9.11 堡垒主机转发数据包
9.3.4 屏蔽子网型防火
图9.12 被屏蔽子网防火墙系统（DMZ）
墙根据堡垒主机和包过滤器的各种组合，基于屏 蔽子网的防火墙系统衍生出了一些派生结构体系。
（1）合并“非军事区”的外部路由器和堡垒主机 的结构系统。
图9.13 使用合并外部路由器和堡垒主机体系结构
（2）合并DMZ的内部路由器和外部路由器结构如图 9.14所示。
第4章 防火墙技术
4.1 4.2
防火墙概述 防火墙的设计策略和安全策略
4.3 9.4
防火墙的体系结 防火墙的主要技术
4.1
防火墙概述
4.1.1 防火墙的基本概念 防火墙是在两个网络之间执行控制和安全策略 的系统，它可以是软件，也可以是硬件，或两者并 用。
4.1.2 防火墙的作用与不足
总的来说，防火墙系统应具有以下5个方面的特 性。 （1）内部网和外部网之间的数据传输都必须经过 防火墙。