网络安全防火墙技术讲解

2. 包过滤防火墙的优点
一个屏蔽路由器能保护整个网络 用一个恰当配置的屏蔽路由器，连接内部网络与外部网络， 进行数据包过滤，就可以取得较好的网络安全效果。
包过滤对用户透明 包过滤不要求任何客户机配置。当屏蔽路由器决定让数据 包通过时，它与普通路由器没什么区别，用户感觉不到它 的存在。
屏蔽路由器速度快、效率高 屏蔽路由器只检查包头信息，一般不查看数据部分，而且 某些核心部分是由专用硬件实现的，故其转发速度快、效 率较高。
表5--1所列便是数据包过滤规则的示例，根据这些规则，便可对
表5--2中列出的各项实际通信的数据包进行过滤，有的数据包能通过，
有的则遭到拒绝。
表9-1规则表列
规则 来源IP地址 目的IP地址 1 20.210.21.72 任意 2 140.130.149.* 140.112.*.*
类型
来源端 口号
来源端 口
目的 端口
规则
2558 23 1
6726 25 4
1692 53 5
23
4396 3
18162 23 2
结果
拒绝 通过 拒绝 通过 通过
建立规则集要十分细心，一个小错误，都可能整个导致整个 规则的不安全 建立规则集也是一项比较烦琐的工作，要建立正确的、完善 的过滤规则集并不是一件容易的事。
请求的程序。
2、几个常用概念
包过滤: 也被称为数据包过滤，是在网络层中对数据包实施有选 择的通过，依据系统事先设定好的过滤规则，检查数据流 中的每个数据包，根据数据包的源地址、目标地址以及端 口等信息来确定是否允许数据包通过。
状态检查技术： 第三代网络安全技术。状态检测模块在不影响网络安全 正常工作的前提下，采用抽取相关数据的方法对网络通信 的各个层次实行检测，并作为安全决策依据。
– 如果按照规则属于不该放行的，防火墙就阻止该数据包
通行；
– 不与包过滤规则匹配的，防火墙就丢弃该数据包。
包过滤技术的工作过程：
包过滤防火墙读取包头信息，与信息过滤规则比较，顺
序检查规则表中每一条规则，直至发现包中的信息与某 条规则相符。
如果有一条规则不允许发送某个包，路由器就将它丢弃；
如果有一条规则允许发送某个包，路由器就将它发送；
5.1 防火墙概述
1、防火墙的概念 防火墙（Firewall）是指隔离在内部网络与外部网络之间的一
道防御系统，它能挡住来自外部网络的攻击和入侵，保障着 内部网络的安全。
Internet
工作站
防火墙
内部网
......
服务器
工作站
工作站
1、防火墙的概念
2、几个常用概念
外部网络（外网）:
防火墙之外的网络，一般为Internet，默认为风险区域。
当一个初始化连接会话的第一个数据包到达防火墙时，状 态检测引擎会检测到这是一个发起连接的初始数据包（由 SYN标志判断），然后它就会把这个数据包中的信息与防火 墙规则作比较。 如果没有相应规则允许，防火墙就会拒绝这次连接； 如果规则允许，它就允许数据包发送并且在状态表中新建 一条会话；
好的过滤规则，检查数据流中的每个包，根据包头信息来确 定是否允许数据包通过，拒绝发送可疑的包。 使用包过滤技术的防火墙叫做包过滤防火墙（Packet filter），因为它工作在网络层，又叫网络层防火墙 （Network level firewall）。 包过滤防火墙的主要构件： 屏蔽路由器（Screening Router，也称为过滤路由器）是在 普通路由器基础上加入IP过滤功能而实现的，是防火墙最基 本的构件。
总之，从安全性的角度考虑，第一种准则更可取一些，而从 灵活性和使用方便性的角度考虑，第二种准则更适合。
5.1.2 防火墙的作用
从总体上看，防火墙应具有以下基本功能： 可以限制未授权用户进入内部网络，过滤掉不安全服务和
非法用户； 防止入侵者接近内部网络的防御设施，对网络攻击进行检
测和告警； 限制内部用户访问特殊站点； 记录通过防火墙的信息内容和活动，为监视Internet安全
内部网络（内网）：
防火墙之内的网络，一般为局域网，默认为安全区域。
非军事化区（DMZ）：
为了配置管理方便，内网中需要向外网提供服务的服务
器（ 如WWW、FTP、SMTP、DNS等）往往放在Internet与内 部网络之间一个单独的网段，这个网段便是非军事化区。 代理服务器:
是指代表内部网络用户向外部网络中的服务器进行连接
提供方便。
5.1.3 防火墙的优、缺点
1．优点 防火墙是加强网络安全的一种有效手段，它有以下优点： （1）防火墙能强化安全策略 （2）防火墙能有效地记录Internet上的活动 （3）防火墙是一个安全策略的检查站 2．缺点 有人认为只要安装了防火墙，所有的安全问题就会迎刃而
解。但事实上，防火墙并不是万能的，安装了防火墙的系 统仍然存在着安全隐患。以下是防火墙的一些缺点：
不能防范全部的威胁可以防范某些新的威胁，但没有一个防火墙 能自动防御所有的新的威胁。
防火墙不能防范病毒 防火墙不能防范从网络上传染来的病毒，也不能消除计算机已存 在的病毒。无论防火墙多么安全，用户都需要一套防毒软件来防 范病毒。
5.2 防火墙技术分类
根据工作在网络中作用层的不同，防火墙可以分为 包过滤防火墙和代理服务器两类： 包过滤防火墙 又称网络层防火墙。数据包过滤是防火墙中最基本、最简
– 当客户机需要使用外网的服务器上的数据时，首先将数据
请求发给代理服务器；
– 代理服务器根据请求向服务器索取数据； – 然后再由代理服务器将数据传输给客户机。 – 同样，代理服务器在外网向内网申请服务时也发挥了中间
转接的作用。
5.2.1 包过滤技术
1、包过滤（Packet Filtering）技术 在网络层中对数据包实施有选择的通过，依据系统事先设定
单的一种。 用来防止整个网络出现的外来非法的入侵。 该类防火墙运行在TCP/IP协议的网络层上，它对进出内部
网络的所有信息进行分析，并按照一定的信息过滤规则对 信息进行限制，允许授权信息通过，拒绝非授权信息通过。
5.2 防火墙技术分类
代理服务器 又叫应用层防火墙， 这种防火墙是目前较通用的一种； 从应用程序来进行接入控制。例如，可以只允许通过访问 万维网的应用，而阻止 FTP 应用的通过。 其基本工作过程是：
单纯由屏蔽路由器构成的防火墙并不十分安全 危险地带包括路由器本身及路由器允许访问的主机，一旦 屏蔽路由器被攻陷就会对整个网络产生威胁。
4．包过滤防火墙的发展阶段
第一代：静态包过滤防火墙 根据数据包头进行过滤
第二代：动态包过滤（Dynamic Packet Filter）防火墙 动态包过滤防火墙只在用户请求下打开端口，并在服务完 毕后关闭这个端口，这样就避免了普通包过滤防火墙那种 因静态地开放端口，而受到攻击的可能性。
第三代：全状态检测（Stateful Inspection）防火墙
第三代：全状态检测（Stateful Inspection）防火墙
Internet上传输的数据都必须遵循TCP/IP协议，根据TCP协 议，每个可靠连接的建立需要经过：⑴“客户端请求”；⑵ “服务器应答”；⑶“客户端再应答”三个阶段。 常用的Web浏览、文件下载、收发邮件等都要经过这三个阶 段。这反映出数据包并不是独立的，而是前后之间有着密切 的状态联系，基于这种状态变化，引出了状态检测技术。 状态检测技术采用的是一种基于连接的状态检测机制，将 属于同一连接的所有包作为一个整体的数据流看待，构成连 接状态表； 通过规则表与状态表的共同配合，对表中的各个连接状态 因素加以识别，以决定是否允许包通过。
2．缺点
不能防范恶意的内部用户 如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户 可以不经过防火墙窃取数据、破坏硬件和软件，这类攻击占了全 部攻击的一半以上。
不能防范不通过防火墙的连接 防火墙能够有效防范地通过它传输的信息，却不能防范不通过它 传输的信息。例如，如果站点允许对防火墙后面的内部系统进行 拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。
目的端口号
动作
任意 任意 任意
拒绝
TCP 任意 23(Telnet) 通过
3 140Βιβλιοθήκη Baidu112.*.* 140.130.149.* TCP 23
任意
通过
4 140.*.*.* 5 任意
140.*.*.* 任意
TCP 任意 任意 任意
25(Email) 任意
通过 拒绝
表5-2过滤表列
包 来源IP地址
目的IP地址
虚拟专用网（VPN）： 在公用中配置的专用网络。
漏洞： 是系统中的安全缺陷。
数据驱动攻击： 入侵者把一些具有破坏数据藏匿在正常数据中。当这些数 据被激活时，发生的攻击。比如。
一个站点的地址为： http://web.gges.tp.edu.tw/asp/wish/wishshow.asp?id= 117。在wish后，用“%5c”替换“/”，地址就变成了 http://web.gges.tp.edu.tw/asp/wish%5c wishshow.asp?id=117，这样就可以暴出对方数据库了。根 据错误提示，数据库是db.mdb，而且还可以直接下载。
通常防火墙作为网络安全的第一道防线。
3. 包过滤防火墙的缺点
屏蔽路由器的缺点也是很明显的： 通常它没有用户的使用记录
这样就不能从访问记录中发现黑客的攻击记录。 配置繁琐
没有一定的经验，是不可能将过滤规则配置得完美。有的 时候，因为配置错误，防火墙根本就不起作用。
不能在用户级别上进行过滤 只能认为内部用户是可信任的、外部用户是可疑的。
IP地址欺骗： 入侵者利用伪造的IP地址，产生的虚假的数据包，乔装成 来处内部的数据。
3. 防火墙安全策略
为网络建立防火墙，首先要决定防火墙将采取何种安全控制 基本准则。一个防火墙应该使用以下两种基本策略中的一种： （1）除非明确允许，否则就禁止 这种方法堵塞了两个网络之间的所有数据传输，除了那
分组过滤示意图
包过滤技术的工作原理： 包过滤技术主要是在IP层实现的。 包过滤防火墙基于一定的过滤规则，通过检测、分析流经的 数据包头信息（包括源、目标IP地址，协议类型，源、目标端 口等）以及数据包传输方向等来判断是否允许通过：
– 如果数据包信息与用户制定的通行规则相匹配，防火墙就
允许其通过，并通过路由转发；
类型
1 20.210.21.72 140.130.149.60 TCP 2 140.130.149.28 140.130.149.48 TCP 3 120.132.78.54 140.130.149.60 UDP 4 140.112.68.35 140.130.149.210 TCP 5 140.130.149.186 140.112.127.3 TCP
第5章 防火墙技术
第5章 防火墙技术
防火墙及相关概念 包过滤与代理 防火墙的体系结构 分布式防火墙与嵌入式防火墙
5.1 防火墙概述
防火墙是一种解决网络之间访问控制的有效方法。 防火墙是一种综合性的技术，涉及计算机网络技术、密码技
术、安全技术、软件技术、安全协议、网络标准化组织（ISO） 的安全规范以及安全操作系统等多方面。 从1991年6月ANS公司的第一个防火墙产品ANS Interlock Service防火墙上市以来，到目前为止，世界上至少有几十家 公司和研究所在从事防火墙技术的研究和产品开发。
些被明确允许的服务和应用程序。 因此，应该逐个定义每一个允许的服务和应用程序，而
任何一个可能成为防火墙漏洞的服务和应用程序都不能 允许使用。 这是一个最安全的方法，但从用户的角度来看，这样可 能会有很多限制，不是很方便。一般在防火墙配置中都 会使用这种策略。
3. 防火墙安全策略
（2）除非明确禁止，否则就允许 这种方法允许两个网络之间所有数据传输，除非那些被 明确禁止的服务和应用程序。 因此，每一个不信任或有潜在危害的服务和应用程序都 应该逐个拒绝。 虽然这对用户是一个灵活和方便的方法，它却可能存在 严重的安全隐患。
如果没有任何一条规则能符合，路由器就会使用默认规则
，一般情况下，默认规则就是禁止该包通过。
过滤规则的表示形式
过滤规则通常以表格的形式表示，其中包括以某种次序排 列的条件和动作序列。
当收到一个数据包时，则按照从前至后的顺序与表格中每 行的条件比较，直到满足某一行的条件，然后执行相应的 动作（转发或丢弃）。