【教学课件】第十二章防火墙.ppt

第十二章 防火墙,12.1 防火墙概述,什么是防火墙古代修筑在房屋之间的一道墙,用于防止火势蔓延现在用于控制两个不同安全策略的网络之间互访,执行访问控制策略,通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接，同时不会妨碍人们对风险区域的访问。在Internet上超过三分之一的Web网站都是由某种形式的防火墙加以保护，这是对黑客防范最严，安全性较强的一种方式，任何关键性的服务器，都建议放在防火墙之后。,防火墙概念,防火墙是位于两个或多个网络之间，执行访问控制策略的一个或一组系统，是一类防范措施的总称.一个好的防火墙具备:内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全政策的数据流才能通过防火墙 防火墙自身应对渗透(peneration)免疫,12.1.2 防火墙的功能,服务控制，确定哪些服务可以被访问方向控制，对于特定的服务，可以确定允许哪个方向能够通过防火墙用户控制，根据用户来控制对服务的访问行为控制，控制一个特定的服务的行为,对内部网实现集中的安全管理,强化网络安全策略防止非授权用户进入内部网络方便的监视网络安全并及时报警实现网络地址转换对内部网络进行划分,实现重点网段的隔离审计和记录网络访问,防火墙的作用,确保一个单位内的网络与因特网的通信符合该单位的安全方针，为管理人员提供下列问题的答案:谁在使用网络 他们在网络上做什么 他们什么时间使用了网络 他们上网去了何处 谁要上网没有成功,防火墙的基本规则,防火墙设计策略一种是“一切未被允许的就是禁止的”一种是“一切未被禁止的都是允许的”。第一种的特点是安全性好，但是用户所能使用的服务范围受到严格限制。第二种的特点是可以为用户提供更多的服务，但是在日益增多的网络服务面前，很难为用户提供可靠的安全防护。,12.2 防火墙技术,数据包过滤技术包过滤防火墙 以色列的Checkpoint防火墙和Cisco公司的PIX防火墙为代表代理服务代理防火墙（应用层网关防火墙）。以美国NAI公司的Gauntlet防火墙为代表。,12.2.1 数据包过滤技术,TCP协议:IP源地址IP目的地址IP协议字段TCP源端口TCP目的端口TCP标志字段,UDP协议:IP源地址IP目的地址IP协议字段UDP源端口UDP目的端口,包过滤防火墙,第一代：静态包过滤 据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”，即明确允许那些管理员希望通过的数据包，禁止其他的数据包。,HTTP数据包的过滤,第二代：动态包过滤 这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测（Stateful Inspection）技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更改,跟踪每个连接,包过滤防火墙的优缺点,优点 实现简单、费用低、对用户透明、效率高缺点处理数据包的能力有限无法识别应用层协议规则的有效性很难进行测试,针对包过滤防火墙的攻击,IP地址欺骗，例如，假冒内部的IP地址 对策：在外部接口上禁止内部地址源路由攻击，即由源指定路由 对策：禁止这样的选项小碎片攻击，利用IP分片功能把TCP头部切分到不同的分片中 对策：丢弃分片太小的分片利用复杂协议和管理员的配置失误进入防火墙 例如，利用ftp协议对内部进行探查,代理防火墙,第一代：代理防火墙 也叫应用层网关（Application Gateway）防火墙。代理防火墙通过编程来弄清用户应用层的流量，并能在用户层和应用协议层间提供访问控制；而且，还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。,不允许直接连接，而是强制检查和过滤所有的网络数据包。用户并不直接与真正的服务器通信，而是与代理服务器通信。,电路级网关防火墙,通用代理服务器，不需要识别在同一个协议栈上运行的不同应用，则不需要设置代理模块,自适应代理防火墙 自适应代理技术（Adaptive proxy）是最近在商业应用防火墙中实现的一种革命性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个：自适应代理服务器（Adaptive Proxy Server）与动态包过滤器（Dynamic Packet filter）。,代理防火墙的特点,特点所有的连接都通过防火墙，防火墙作为网关在应用层上实现可以监视包的内容可以实现基于用户的鉴别所有的应用需要单独实现可以提供理想的日志功能安全性高，但是开销比较大,两种防火墙技术的比较,举例：防火墙与Web服务器之间的配置策略,根据不同的需要，防火墙在网中的配置有很多方式。根据防火墙和Web服务器所处的位置，总的可以分为3种配置：Web服务器置于防火墙之内Web服务器置于防火墙之外Web服务器置于防火墙之上,1.Web服务器置于防火墙之内,2.Web服务器置于防火墙之外,事实上，为保证组织内部网络的安全，将Web服务器完全置于防火墙之外是比较合适的。在这种模式中，Web服务器不受保护，但内部网则处于保护之下，即使黑客闯进了受保护的Web站点，内部网络仍是安全的。在这种配置中，防火墙对Web站点的保护几乎不起作用。,3.Web服务器置于防火墙之上,一些管理者试图在防火墙机器上运行Web服务器，以此增强Web站点的安全性。这种配置的缺点是，一旦服务器有一点毛病，整个组织和Web站点就全部处于危险之中。,防火墙的发展史,第一代防火墙：采用了包过滤（Packet Filter）技术。第二、三代防火墙：1989年，推出了电路层防火墙，和应用层防火墙的初步结构。第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。第五代防火墙：1998年，NAI公司推出了一种自适应代理技术，可以称之为第五代防火墙。,发展图示,个人防火墙,个人防火墙实例,个人防火墙实例-日志,访问web服务,个人防火墙实例-网络状态,个人防火墙实例安全级别,低：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。计算机将完全信任局域网，允许局域网内部的机器访问自己提供的各种服务（文件、打印机共享服务）但禁互联网上的机器访问这些服务。中：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务（文件、打印机共享服务），局域网和互联网上的机器将无法看到本机器。高：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务（文件、打印机共享服务），局域网和互联网上的机器将无法看到本机器。除了是由已经被认可的程序打开的端口，系统会屏蔽掉向外部开放的所有端口。,个人防火墙实例IP规则,个人防火墙实例ping规则,个人防火墙实例访问控制列表,个人防火墙实例高级设置,防火墙的局限性(1),防火墙也不能完全防止受病毒感染的文件或软件的传输。目前防火墙对于来自网络内部的攻击还无能为力。防火墙不能防范不经过防火墙的攻击，如内部网用户通过拨号直接进入Internet。,防火墙的局限性(2),为了提高安全性，限制或关闭了一些有用但存在安全缺陷的网络服务，给用户带来使用的不便。防火墙对用户不完全透明，可能带来传输延迟、瓶颈及单点失效。作为一种被动的防护手段，防火墙不能防范因特网上不断出现的新的威胁和攻击。,