防火墙体系结构

5
3.1 包过滤型防火墙
举例：
阻塞所有进入的Telnet连接 路由器只需简单地丢弃所有TCP端口号等于23 的数据包 将进来的Telnet连接限制到内部的数台机器上 路由器必须拒绝所有TCP端口号等于23并且目 标IP地址不等于允许主机的IP地址的数据包
6
3.1 包过滤型防火墙
优点：
处理数据包的速度比较快(与代理服务器相比)
1
3.1 包过滤型防火墙
Internet
内部网
包过滤型防火墙，往往可以用一台过滤路由器 (Screened Router)来实现，对所接收的每个数据 包做允许/拒绝的决定 包过滤型防火墙一般作用在网络层，故也称网络 层防火墙或IP过滤器
2
3.1 包过滤型防火墙
Source Host A Host B Destination Host C Host C Permit Pass Discard Protocol TCP UDP
应用级网关
堡垒主机
本质上同屏蔽主机防火墙一样，但增加了一层保 护体系——周边网络(DMZ)。堡垒主机位于周边 网络上，周边网络和内部网络被内部屏蔽路由器 分开
24
3.4 屏蔽子网防火墙
为什么使用周边网络
在屏蔽主机结构中，堡垒主机最容易受到攻击。而且 内部网对堡垒主机是完全公开的，入侵者只要破坏了 这一层的保护，那么入侵也就大功告成了 屏蔽子网结构就是在屏蔽主机结构中再增加一台路由 器的安全机制，这台路由器的意义就在于它能够在内 部网和外部网之间构筑出一个安全子网，从而使得内 部网与外部网之间有两层隔断。要想侵入用这种体系 结构构筑的内部网络，侵袭者必须通过两个路由器， 即使侵袭者已设法侵入堡垒主机，他将仍然必须通过 内部路由器
源IP地址、目标IP地址 协议类型(TCP、UDP、ICMP等等) TCP/UDP源端口、目标端口 ICMP消息类型 TCP包头中的ACK位等
4
3.1 包过滤型防火墙
对到达包过滤防火墙的数据包：
规则允许该数据包通过，那么该数据包就会按 照路由表中的信息被转发 规则拒绝该数据包，那么该数据包就会被丢弃 如果没有匹配规则，根据系统的设计策略(缺省 禁止/缺省允许)决定是转发还是丢弃数据包
在流量适中并定义较少过滤规则时，路由器的性能 几乎不受影响
实现包过滤几乎不再需要费用
标准的路由器软件包含数据包过滤功能
包过滤路由器对用户和应用来讲是透明的
不必对用户进行特殊的培训 不必在每台主机上安装特定的软件 用户不用改变客户端程序或改变自己的行为
7
3.1 包过滤型防火墙
缺点：
包过滤防火墙的维护比较困难
14
3.2 双宿/多宿主机防火墙
运行代理服务的优点
可以将被保护的网络内部结构屏蔽起来，增强网络的 安全性 可用于实施较强的数据流监控、过滤、记录和报告等
运行代理服务的缺点
使访问速度变慢 提供服务相对滞后
应用级网关需要针对每一个特定的Internet服务安装相应的代 理服务器软件，用户不能使用未被服务器支持的服务，可能会 花费一定的时间等待新服务器软件
有些服务无法提供
15
3.3 屏蔽主机防火墙
Internet
防火墙
专门设置一个过滤路 由器，把所有外部到 内部的连接都路由到 堡垒主机上，强迫所 有的外部主机与一个 堡垒主机相连，而不 让它们直接与内部主 机相连
堡垒主机
16
3.3 屏蔽主机防火墙
过滤路由器
连接Internet和内部网络，它是内部网络的第一 道防线 过滤路由器需要进行适当的配置，使所有的外 部连接被路由到堡垒主机上 过滤路由器的重要性：
应用层代理 外部网 网络接口 网络层路由 网络接口 内部网
上图：网络层路由功能未被禁止，数据包绕过防 12 火墙
3.2 双宿/多宿主机防火墙
两个网络之间的通信 方式：
应用层数据共享，用户 直接登录
外部网 应用层 数据共享 网络接口 网络接口
内部网
应用层代理服务，在双 宿主机上运行代理服务 器
26
3.4 屏蔽子网防火墙
周边网络的作用
堡垒主机位于周边网络，即使被控制，入侵者 仍然不能直接侵袭内部网络，内部网络仍受到 内部过滤路由器的保护 原因：
大部分局域网采用以太网，以太网的特点是广播， 一台位于网络上的机器可以监听网络上的所有信息 如果没有周边网络，一旦堡垒主机被攻破，入侵者 可以监听整个网络的对话，获得
25
3.4 屏蔽子网防火墙
周边网络
也称为"停火区"或"非军事区"(DeMilitarised Zone， DMZ) 处于Internet和内部网络之间 包含两个包过滤路由器和一个/多个堡垒主机 可以放置一些信息和服务器，如WWW和FTP服务器， 以便于公众访问，这些服务器可能会受到攻击，因为 它们是牺牲服务器，但内部网络还被保护着 通过DMZ网络直接进行信息传输是严格禁止的 是最安全的防火墙系统，因为在定义了“非军事区"网 络后，它支持网络层和应用层安全功能
网络接口 外部网
应用层代理
网络接口 内部网
13
3.2 双宿/多宿主机防火墙
用户直接登录的不足
支持用户账号会降低机器本身的稳定性和可靠 性
用户账号的存在会给入侵者提供相对容易的入侵通 道 因为用户的行为是不可预知的，如双宿主机上有很 多用户账户，这会给入侵检测带来很大的麻烦
如果双宿主机上有很多账号，管理员维护困难
10
3.2 双宿/多宿主机防火墙
网络接口 外部网
应用层代理
网络接口 内部网
双宿/多宿主机：有两个或多个网络接口的计算机 系统，可以连接多个网络，实现多个网络之间的访 问控制 双宿/多宿主机防火墙：用双宿/多宿主机实现防火 墙的功能
11
3.2 双宿/多宿主机防火墙
特点：
IP层通信被阻止
双宿主机内外的网络均可与双宿主机实时通信 内外网络之间不可直接通信，内外部网络之间的IP数据流被双 宿主机完全切断
定义数据包过滤器比较复杂，网络管理员需要对各种Internet 服务、包头格式、以及每个域的意义有非常深入的理解
只能阻止一种类型的IP欺骗
即外部主机伪装内部主机的IP，对于外部主机伪装其他可信任 的外部主机的IP不能阻止
任何直接经过路由器的数据包都有被用做数据驱动式 攻击的潜在危险
数据驱动式攻击：表面上无害的数据被邮寄或拷贝到内部主机 上，但其中包含了一些隐藏的指令，一旦执行能够让主机修改 访问控制和与安全有关的文件，使得入侵者能够获得对系统的 访问权
8
3.1 包过滤型防火墙
缺点：
一些包过滤路由器不支持有效的用户认证
因为IP地址是可以伪造的，因此如果没有基于用户 的认证，仅通过IP地址来判断是不安全的
不能提供有用的日志，或根本不提供日志 随着过滤器数目的增加，路由器的吞吐量会下 降 IP包过滤器可能无法对网络上流动的信息提供 全面的控制
是否正确配置是这种防火墙安全与否的关键 过滤路由器的路由表应当受到严格的保护，否则如 果路由表遭到破坏，数据包就不会被路由到堡垒主 机上，使堡垒主机被绕过
17
3.3 屏蔽主机防火墙
堡垒主机(Bastion Host)
位于内部网络，是一台安全性很高的主机，其上没有 任何入侵者可以利用的工具，不能作为黑客进一步入 侵的基地 堡垒主机上一般安装的是代理服务器程序，即外部网 络访问内部网络的时候，首先经过外部路由器的过滤， 然后通过代理服务器代理后才能进入内部网络 堡垒主机在应用层对客户的请求做判断，允许或禁止 某种服务。如果该请求被允许，堡垒主机就把数据包 发送到某一内部主机或屏蔽路由器上，否则抛弃该数 据包
又称阻塞路由器，位于内部网和周边网之间 用于保护内部网不受周边网和因特网的侵害 完成防火墙的大部分的过滤工作
30
3.4 屏蔽子网防火墙
外部路由器
保护周边网上的主机 外部路由器还可以防止部分IP欺骗
内部路由器分辨不出一个声称从非军事区来的数据 包是否真的从非军事区来，而外部路由器很容易分 辨出真伪
用户的口令和帐号 私人的敏感文件(email等)
27
3.4 屏蔽子网防火墙
如果堡垒主机位于周边网络上，即使入侵 者控制了堡垒主机，也只能侦听到
Internet和堡垒主wenku.baidu.com之间的会话 内部主机和堡垒主机之间的会话
内部网络之间的通信仍然是安全的，因为 内部网络上的数据包虽然在内部网络上是 广播式的，但内部过滤路由器会阻止这些 数据包流入周边网络(发往周边网络和 Internet的数据包除外)
包过滤路由器能够允许或拒绝特定的服务，但是不 能理解特定服务的上下文环境和数据
9
3.1 包过滤型防火墙
应用场合
机构是非集中化管理 机构没有强大的集中安全策略 网络的主机数非常少 主要依赖于主机安全来防止入侵，但是当主机 数增加到一定的程度的时候，仅靠主机安全是 不够的 没有使用DHCP这样的动态IP地址分配协议
18
3.3 屏蔽主机防火墙
对于入站连接，根据安全策略，屏蔽路由器可以：
允许某种服务的数据包先到达堡垒主机，然后与内部 主机连接 直接禁止某种服务的数据包入站连接
对于出站连接，根据安全策略：
对于一些服务(Telnet)，可以允许它直接通过屏蔽路由 器连接到外部网络，而不通过堡垒主机 其它服务(WWW和SMTP等)，必须经过堡垒主机才能 连接到Internet，并在堡垒主机上运行该服务的代理服 务器
19
3.3 屏蔽主机防火墙
屏蔽主机防火墙转发数据包的过程
应用层代理 表示层 会话层 传输层 IP包过滤 数据链路层 物理层 过滤路由器 Internet 网络层 数据链路层 物理层 内部堡垒主机 内部网
20
3.3 屏蔽主机防火墙
与包过滤型防火墙的比较：
其提供的安全等级比包过滤防火墙系统要高， 实现了网络层安全(包过滤)和应用层安全(代理 服务) 入侵者在破坏内部网络的安全性之前，必须首 先渗透两种不同的安全系统 即使入侵者进入了内部网络，也必须和堡垒主 机竞争，堡垒主机是一台安全性很高的主机
过滤路由器 内部网络 202.112.108.0
主机 202.112.108.7
堡垒主机 202.112.108.8
22
3.3 屏蔽主机防火墙
路由表被破坏的情况：
Internet 目的 转发至... 路由信息被删除
过滤路由器 内部网络 202.112.108.0
堡垒主机 被越过 主机 202.112.108.7 堡垒主机 202.112.108.8
包过滤规则
查找对应的 控制策略
根据策略决定如 何处理该数据包
数据包
Host A
拆开数据包
Host C
数据
IP报头
TCP报头
企业内部网
分组过滤判断信息
3
3.1 包过滤型防火墙
路由器审查每个数据包，确定其是否与某 一条包过滤规则匹配 过滤规则基于可以提供给IP转发过程的包 头信息，包头信息中包括：
28
3.4 屏蔽子网防火墙
堡垒主机
位于周边网络 运行各种各样的代理服务器 可以被认为是应用层网关，是这种防御体系的 核心 入站服务，要求所有服务都通过堡垒主机 出站服务，不一定要求所有服务都经过堡垒主 机，可以由内部路由器和Internet直接通话
29
3.4 屏蔽子网防火墙
内部路由器
堡垒主机的路由项目被从路 由表中删除 进入屏蔽路由器的流量不会 被转发到堡垒主机上，可能 被转发到另一主机上，外部 主机直接访问了内部主机， 绕过了防火墙 过滤路由器成为唯一一道防 线，入侵者很容易突破屏蔽 路由器，内部网络不再安全
23
3.4 屏蔽子网防火墙
DMZ
过滤路由器 外部网
屏蔽子网
过滤路由器 内部网
3. 防火墙体系结构
包过滤型防火墙(Package Filtering Firewall) 双宿/多宿主机防火墙(Dual-Homed/MultiHomed Host Firewall) 屏蔽主机防火墙(Screened Host Firewall) 屏蔽子网防火墙(Screened Subnet Firewall) 其它防火墙结构
21
3.3 屏蔽主机防火墙
Internet 目的 202.112.108.0 转发至 202.112.108.8
路由器不被正常路由 的例子：
正常路由情况：
内部网络地址： 202.112.108.0 堡垒主机地址： 202.112.108.8 路由表内容 所有流量发到堡垒主机 上