第7讲 防火墙(一 )
52
第 7 第 第第第(一)
description
第7讲 防火墙(一 ). 一、防火墙基本知识. 1、防火墙的提出 2、防火墙示意图 3、防火墙是什么 4、防火墙概念 5、防火墙实现层次 6、防火墙功能 7、防火墙的作用 8、争议及不足. 1、防火墙的提出. 企业上网 面 临 的 安 全 问 题之一 : 内部网与互联网的有效隔离 解答: 防火墙. 网络间的访问 ----需隔离 FIREWALL. 2. 部门子网. 3. 分公司网络. Internet. 1. 企业内联网. 2、防火墙示意图. 3、防火墙是什么(1). - PowerPoint PPT Presentation
Transcript of 第7讲 防火墙(一 )
第 7 讲 防火墙(一)
一、防火墙基本知识1 、防火墙的提出2 、防火墙示意图3 、防火墙是什么4 、防火墙概念5 、防火墙实现层次6 、防火墙功能7 、防火墙的作用8 、争议及不足
企业上网 面 临 的 安 全 问 题之一 : 内部网与互联网的有效隔离
解答 :
防火墙
网络间的访问 ---- 需隔离 FIREWALL
1 、防火墙的提出
2 、防火墙示意图
InternetInternet
1. 企业内联网
2. 部门子网
3. 分公司网络
3 、防火墙是什么( 1)
在一个受保护的企业内部网络与互联网间 ,用来强制执行企业安全策略的一个或一组系统 .
• 防火墙主要用于保护内部安全网络免受外部网不安全网络的侵害。
• 典型情况:安全网络为企业内部网络,不安全网络为因特网。
• 但防火墙不只用于因特网,也可用于Intranet各部门网络之间(内部防火墙)。例:财务部与市场部之间。
3 、防火墙是什么( 2)
4 、防火墙概念( 1 )最初含义:当房屋还处于木制结构的时侯,人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。
Rich Kosinski(Internet Security 公司总裁):防火墙是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问。换句话说,防火墙是一道门槛,控制进 / 出两个方向的通信。
• William Cheswick和 Steve Beilovin( 1994):防火墙是放置在两个网络之间的一组组件,这组组件共同具有下列性质:1.只允许本地安全策略授权的通信信息通
过2.双向通信信息必须通过防火墙3.防火墙本身不会影响信息的流通
4 、防火墙概念( 2 )
4 、防火墙概念( 3 )简单的说,网络安全的第一道防线
防火墙是位于两个信任程度不同的网络之间(如企业内部网络和 Internet 之间)的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。
5 、防火墙实现层次
6 、防火墙功能( 1 )基本功能模块
应用程序代理
包过滤 &状态检测
用户认证
NAT
VPN
日志IDS与报警
内容过滤
防火墙的功能
过滤进出网络的数据
管理进出网络的访问行为
封堵某些禁止的业务
记录进出网络的信息和活动
对网络攻击进行检测和告警
6 、防火墙功能( 2 )
7 、防火墙的作用( 1 )Internet 防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户,如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络,并抗击来自各种路线的攻击。 Internet 防火墙能够简化安全管理,网络安全性是在防火墙系统上得到加固,而不是分布在内部网络的所有主机上。在防火墙上可以很方便的监视网络的安全性,并产生报警。应该注意的是:对一个内部网络已经连接到Internet 上的机构来说,重要的问题并不是网络是否会受到攻击,而是何时会受到攻击。网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录,防火墙就形同虚设。在这种情况下,网络管理员永远不会知道防火墙是否受到攻击。
Internet 防火墙可以作为部署 NAT(Network Address Translator ,网络地址变换)的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题,并消除机构在变换 ISP 时带来的重新编址的麻烦。Internet 防火墙是审计和记录 Internet使用量的一个最佳地方。网络管理员可以在此向管理部门提供Internet 连接的费用情况,查出潜在的带宽瓶颈的位置,并能够根据机构的核算模式提供部门级的记费。Internet 防火墙也可以成为向客户发布信息的地点。 Internet 防火墙作为部署 WWW 服务器和 FTP服务器的地点非常理想。还可以对防火墙进行配置,允许 Internet 访问上述服务,而禁止外部对受保护的内部网络上其它系统的访问。
互聯网互聯网
非法获取内部数非法获取内部数据据
7 、防火墙的作用( 2 )示意图
8 、争议及不足使用不便,认为防火墙给人虚假的安全感
对用户不完全透明,可能带来传输延迟、瓶颈及单点失效
不能替代墙内的安全措施 不能防范恶意的知情者 不能防范不通过它的连接 不能防范全新的威胁 当使用端 - 端加密时,其作用会受到很大的限制
二、防火墙种类
1 、防火墙的种类2 、包过滤防火墙3 、 NAT 模式4 、代理服务器5 、全状态检查
1 、防火墙的种类
防火墙的存在形式:软件、硬件。根据防范方式和侧重点的不同可分为四类: 包过滤 应用层代理 电路层代理 状态检查
2 、包过滤防火墙( 1 )
2 、包过滤防火墙( 2 )
包过滤防火墙对所接收的每个数据包做允许拒绝的决定。防火墙审查每个数据报以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给 IP转发过程的包头信息。包头信息中包括 IP 源地址、 IP 目标端地址、类型( TCP 、 UDP 、 ICMP 、或IPTunnel )、 TCP/UDP 目标端口、 ICMP消息类型、 TCP包头中的 ACK 位置。
包的进入接口和出接口如果有匹配并且规则允许该数据包,那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包,那么该数据包就会被丢弃。如果没有匹配规则,用户配置的缺省参数会决定是转发还是丢弃数据包。包过滤防火墙使得防火墙能够根据特定的服务允许或拒绝流动的数据,因为多数的服务收听者都在已知的 TCP/UDP端口号上。例如, Telnet 服务器在 TCP 的 23号端口上监听远地连接,而 SMTP 服务器在 TCP 的 25号端口上监听人连接。为了阻塞所有进入的 Telnet 连接,防火墙只需简单的丢弃所有 TCP端口号等于 23 的数据包。为了将进来的Telnet 连接限制到内部的数台机器上,防火墙必须拒绝所有 TCP端口号等于 23 并且目标 IP 地址不等于允许主机的IP 地址的数据包。
2 、包过滤防火墙( 3 )检查内容数据包过滤一般要检查网络层的 IP头和传输层的头: IP 源地址 IP 目标地址 协议类型( TCP包、 UDP包和 ICMP包) TCP 或 UDP包的目的端口 TCP 或 UDP包的源端口 ICMP消息类型 TCP包头的 ACK 位 TCP包的序列号、 IP校验和等
优点:• 速度快,性能高• 对用户透明
缺点:• 维护比较困难 (需要对 TCP/IP了解)• 安全性低( IP欺骗等)• 不提供有用的日志,或根本就不提供• 不能根据状态信息进行控制• 不能处理网络层以上的信息• 无法对网络上流动的信息提供全面的 控制
2 、包过滤防火墙( 4 )优缺点
互连的物理介质
应用层
表示层
会话层
传输层
应用层
表示层
会话层
传输层
网络层
数据链路层物理
层
网络层
数据链路层
物理层
网络层
数据链路层
物理层
2 、包过滤防火墙( 5 )透明模式包过滤 :网桥形式
3 、 NAT 模式( 1 )
3 、 NAT 模式( 2 ) NAT Sample (PAT)
3 、 NAT 模式( 3 )虚拟 IP
3 、 NAT 模式( 4 )路由模式
4 、代理服务器( 1 )代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。不允许通信直接经过外部网和内部网。将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“ 链接”,由两个终端代理服务器上的“ 链接”来实现。外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。
4 、代理服务器( 2 )
4 、代理服务器( 3 ) Telnet代理服务器
4 、代理服务器( 4 )代理服务的分类代理服务分类:代理服务可分为应用级代理与电路级代理:应用级代理是已知代理服务向哪一应用提供的代理,它在应用协议中理解并解释命令。应用级代理的优点为它能解释应用协议从而获得更多的信息,缺点为只适用于单一协议。电路级代理是在客户和服务器之间不解释应用协议即建立回路。电路级代理的优点在于它能对各种不同的协议提供服务,缺点在于它对因代理而发生的情况几乎不加控制。
4 、代理服务器( 5 )应用层代理的优点
应用层代理能够让网络管理员对服务进行全面的控制,因为代理应用限制了命令集并决定哪些内部主机可以被该服务访问。网络管理员可以完全控制提供那些服务,因为没有特定服务的代理就表示该服务不提供。防火墙可以被配置成唯一的可被外部看见的主机,这样可以保护内部主机免受外部主机的进攻。应用层代理有能力支持可靠的用户认证并提供详细的注册信息。另外,用于应用层的过滤规则相对于包过滤防火墙来说更容易配置和测试。代理工作在客户机和真实服务器之间,完全控制会话,所以可以提供很详细的日志和安全审计功能。
• 应用层代理的最大缺点是要求用户改变自己的行为,或者在访问代理服务的每个系统上安装特殊的软件。比如,透过应用层代理 Telnet 访问要求用户通过两步而不是一步来建立连接。不过,特殊的端系统软件可以让用户在 Telnet命令中指定目标主机而不是应用层代理来使应用层代理透明。• 每个应用程序都必须有一个代理服务程序来进行安全控制,每一种应用升级时,一般代理服务程序也要升级。
4 、代理服务器( 6 )应用层代理的缺点
5 、全状态检查( 1 )状态检测技术:在包过滤的同时,检察数据包之间的关联性,数据包中动态变化的状态码。监测引擎:一个在网关上执行网络安全策略的软件模块 。监测引擎采用抽取有关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考。当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。
应用层
表示层
会话层
传输层
应用层
表示层
会话层
传输层
网络层
数据链路层
物理层
网络层
数据链路层
物理层
网络层
数据链路层
物理层
应用层
表示层
会话层
传输层
监测引擎
5 、全状态检查( 2 )
5 、全状态检查( 3 )状态检测的优缺点
优点: 一旦某个访问违反安全规定,就会拒绝该访问,
并报告有关状态作日志记录。 它会监测无连接状态的远程过程调用( RPC )
和用户数据报( UDP )之类的端口信息。缺点: 降低网络速度 配置比较复杂
三、防火墙体系结构
1 、双重宿主主机体系结构2 、屏蔽主机体系结构3 、屏蔽子网体系结构4 、其它的防火墙结构
1 、双重宿主主机体系结构( 1 )双重宿主主机体系结构是围绕双重宿主主机构筑的。双重宿主主机至少有两个网络接口,它位于内部网络和外部网络之间,这样的主机可以充当与这些接口相连的网络之间的路由器,它能从一个网络接收 IP数据包并将之发往另一网络。然而实现双重宿主主机的防火墙体系结构禁止这种发送功能,完全阻止了内外网络之间的 IP 通信。两个网络之间的通信可通过应用层数据共享和应用层代理服务的方法实现。一般情况下采用代理服务的方法。
InternetInternet
防火墙双重宿主主机
内部网络
…
1 、双重宿主主机体系结构( 2 )
1 、双重宿主主机体系结构( 3 )
双重宿主主机的特性: 安全至关重要(唯一通道),其用户口令控
制安全是关键。 必须支持很多用户的访问(中转站),其性
能非常重要。缺点:双重宿主主机是隔开内外网络的唯一屏障,一旦它被入侵,内部网络便向入侵者敞开大门。
2 、屏蔽主机体系结构( 1 )
屏蔽主机体系结构由防火墙和内部网络的堡垒主机承担安全责任。一般这种防火墙较简单,可能就是简单的路由器。典型构成:包过滤路由器+堡垒主机。 包过滤路由器配置在内部网和外部网之间,保证外
部系统对内部网络的操作只能经过堡垒主机。 堡垒主机配置在内部网络上,是外部网络主机连接
到内部网络主机的桥梁,它需要拥有高等级的安全。
2 、屏蔽主机体系结构( 2 )
屏蔽路由器可按如下规则之一进行配置: 允许内部主机为了某些服务请求与外部网上的主机建立直接连接(即允许那些经过过滤的服务)。
不允许所有来自外部主机的直接连接。安全性更高,双重保护:实现了网络层安全(包过滤)和应用层安全(代理服务)。缺点:过滤路由器能否正确配置是安全与否的关键。如果路由器被损害,堡垒主机将被穿过,整个网络对侵袭者是开放的。
……
防火墙
堡垒主机
因特网
2 、屏蔽主机体系结构( 3 )
3 、屏蔽子网体系结构( 1 )
屏蔽子网体系结构在本质上与屏蔽主机体系结构一样,但添加了额外的一层保护体系——周边网络。堡垒主机位于周边网络上,周边网络和内部网络被内部路由器分开。 原因:堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机,能减少在堡垒主机被侵入的影响。
InternetInternet
周边网络
内部网络
…
外部路由器堡垒主机
内部路由器
3 、屏蔽子网体系结构( 2 )
3 、屏蔽子网体系结构( 3 )
周边网络是一个防护层,在其上可放置一些信息服务器,它们是牺牲主机,可能会受到攻击,因此又被称为非军事区( DMZ )。周边网络的作用:即使堡垒主机被入侵者控制,它仍可消除对内部网的侦听。
3 、屏蔽子网体系结构( 4 )
堡垒主机 堡垒主机位于周边网络,是整个防御体系的核心。
堡垒主机可被认为是应用层网关,可以运行各种代理服务程序。
对于出站服务不一定要求所有的服务经过堡垒主机代理,但对于入站服务应要求所有服务都通过堡垒主机。
3 、屏蔽子网体系结构( 5 )
外部路由器(访问路由器) 作用:保护周边网络和内部网络不受外部网络的侵犯。 它把入站的数据包路由到堡垒主机。 防止部分 IP欺骗,它可分辨出数据包是否真正来自周边
网络,而内部路由器不可。
内部路由器(阻塞路由器) 作用:保护内部网络不受外部网络和周边网络的侵害,它执行大部分过滤工作。
外部路由器一般与内部路由器应用相同的规则。
4 、其它的防火墙结构( 1 )
Outside
DemilitarizedDemilitarizedZones (DMZs)Zones (DMZs)
Public Access Server
Public Access Server
4 、其它的防火墙结构( 2 )一个堡垒主机和一个非军事区示意图
……
DMZ
堡垒主机内部网
外部路由器
InternetInternet
4 、其它的防火墙结构( 3 )两个堡垒主机和两个非军事区
外部DMZ
外部堡垒主机
内部网
外部路由器
InternetInternet
……
内部堡垒主机
内部DMZ
