防火墙与入侵检测(三)主流防火墙的部署与实现.ppt

《防火墙与入侵检测(三)主流防火墙的部署与实现.ppt》由会员分享，可在线阅读，更多相关《防火墙与入侵检测(三)主流防火墙的部署与实现.ppt（38页珍藏版）》请在三一办公上搜索。

1、第三章 主流防火墙的部署与实现,防火墙的部署与实现,在具体的实现过程中，防火墙往往不只是一台单一的设备或者装到某一台主机上的软件系统，而是多台（套）设备或软件的组合。不同的组合方式体现了系统不同的安全要求，也决定了系统将采取不同的安全策略和实施办法。防火墙的部署和实现结构可以说是组织或机构安全的实现基础，对于系统的整体安全来说具有重要的意义。,防火墙的部署与实现,过滤路由器堡垒主机多重宿主主机屏蔽主机屏蔽子网其他结构,过滤路由器,定义：放在内部网络和外部网络之间，具有数据过滤功能的路由器。功能：按照预定义的过滤规则，允许授权数据通过，拒绝非授权数据通过。与普通路由器的区别：普通路由器是重要的网

2、络数据传输和转发设备。通常具有若干个接口，每个接口都有独立的IP地址。过滤路由器也起到和普通路由器一样的数据转发作用，但一般来说，过滤路由器只有两种接口，甚至只有两个接口。不但要根据目的地址决定转发的接口，还要根据过滤规则决定是否允许转发该数据包。优点：快速、透明、实现容易。过滤路由器可以高速的转发数据包，使得防火墙不会成为系统访问的性能瓶颈，这是其他类型防火墙很难赶超的优势。用户只需要付出很小的代价甚至不需要任何代价即可获得相当安全的服务，这比单独购买独立的防火墙产品具有更大的成本优势。用户不需要改变客户端的程序或者改变自己的行为模式，也不必对用户进行特殊的培训或者再每台主机上安装特定的软件

3、。用户感觉不到防火墙对用户数据包的检查。用户只需要购买相应的防火墙模块，插入路由器机箱的扩展槽即可完成部署。,过滤路由器,缺点：配置复杂，维护困难；过滤规则应该包括对所有可能的节点、所有可用的服务的限制条件。但是在实际使用过程中这是不可能做到的任何管理员都无法精确的预先确定内联网络用户的行为。因此，只能在开始使用防火墙的时候制定基础的和已经明确的过滤规则，在后续的使用过程中根据需要逐步添加。只针对数据包本身进行检测，只能检测出部分攻击行为；主要工作在网络层，这决定了它的主要过滤功能是针对传输层一下的信息单元头部各个字段的。无法防范数据驱动式攻击；只能简单地判断IP地址，而无法进行用户级的身份认

4、证和鉴别；随着过滤规则的增加，路由器的吞吐量将会下降；无法对数据流进行全面地控制，不能理解特定服务的上下文环境和数据。,过滤路由器,过滤规则 过滤规则的主要字段：源地址 发送者的IP地址；源端口号 发送者的端口号；目的地址 接收者的IP地址；目的端口号 接收者的端口号；协议标志 数据使用协议；过滤方式 过滤路由器对符合上述字段的数据包采取的动作，要么是“允许”，即允许数据包通过过滤路由器转发；要么是“拒绝”，即拒绝数据包通过过滤路由器转发。,过滤路由器,过滤路由器的过滤规则一般遵循“拒绝访问一切未经特许的服务”，即默认状态下，一切网络访问都是被禁止的，允许访问的规则只能后续逐步的添加到系统中。

5、在执行过程中则遵循“第一条匹配规则适用”的原则，即对每个数据包，过滤路由器都将从第一条规则开始顺序的检索，直到找到第一条匹配规则为止。,过滤路由器,防火墙过滤规则,过滤路由器,过滤规则具有顺序敏感的特性，即不同顺序的规则执行的结果是不同的，这就带来了规则的冲突问题。规则冲突：两个或两个以上的规则匹配同一个数据包、或者一个规则永远都无法匹配任何通过该过滤路由器的包。包括无用冲突 符合某一条过滤规则中指定的源和目的网络的数据包根本不会通过该过滤路由器屏蔽冲突 当排在过滤规则表后面的一条过滤规则能匹配的所有数据包也被排在过滤规则表前面的一条过滤规则匹配的时候，后面的这条过滤规则永远无法得到执行，原因

6、是两个规则之间存在包含关系，解决方法是将子集规则排在过滤规则表的前面,过滤路由器,泛化冲突 一个排序在前的过滤规则能匹配的所有数据包也能被一个排序在后的过滤规则匹配关联冲突 如果动作不同的过滤规则之间存在交叉的部分，即存在关联关系，那么允许集和拒绝集之间就会有重叠冗余冲突 一条过滤规则能匹配的数据包也能匹配另一条过滤规则，并且两条过滤规则采取的动作是相同的,堡垒主机,定义：堡垒主机由一台计算机担当，并拥有两块或者多块网卡分别连接各内部网络和外部网络。作用：隔离内部网络和外部网络，为内部网络设立一个检查点，对所有进出内部网络的数据包进行过滤，集中解决内部网络的安全问题。,堡垒主机,设计原则：最小

7、服务原则 在堡垒主机上运行并提供网络服务的各种软件不可能没有缺陷，而这些缺陷就是入侵者侵入堡垒主机的通道，因此，必须采用最小服务原则，尽可能地减少堡垒主机提供的服务，而且对于必须设置的服务，只能授予尽可能低的权限，才能保证堡垒主机的安全性。预防原则 用户必须加强与堡垒主机的联系，对堡垒主机的安全情况进行持续不断地监测；仔细分析堡垒主机的日志，及时地对攻击行为作出响应。同时还要做最坏的准备，努力做到即使堡垒主机背破坏了，内联网络的安全也会得到保障。为此需要仔细观察堡垒主机提供的服务，根据这些服务的内容确定其服务的可信度和权限，保证让内联网络主机只有在堡垒主机正常工作时才能信任堡垒主机。,堡垒主机

8、,类型：内部堡垒主机 专用于向内联网络主机提供服务的内部服务器。它与内联网络的某些主机进行交互以转发信息。在这种类型的堡垒主机上一般会启用较多的服务，并且通常会开放许多的端口来满足应用程序的需求。外部堡垒主机 又称无路由多宿主主机，有多个网络接口，但这些接口间没有直接的信息交换。它可以作为公开的网络服务器，也可以作为一台单独的防火墙，或者作为一个更复杂的防火墙的一部分。作为公开的网络服务器使用时，不转发任何请求，只提供该服务必需的端口。同样，作为防火墙使用时，也必须关闭堡垒主机的路由转发功能。牺牲主机 一般用于向外联网络提供服务，它上面没有任何需要保护的信息，也不与任何入侵者意图攻击的内部主机

9、相连接，而且只提供最低限度的服务。当用户不能确定特定服务需要什么安全特性的时候，或者要使用某种特殊的服务，而现有的防火墙技术难以保障安全性的时候，可以将这些服务配置在牺牲主机上。,堡垒主机,系统需求：强健性 堡垒主机可以长期稳定地无故障运行，堡垒主机具有足够的安全性，用户网络的安全性可以完全依赖于堡垒主机；可用性 堡垒主机不应该发生任何停机故障。用户可以通过热备份等冗余容错措施来保障堡垒主机持续可用；可扩展性 堡垒主机可以根据用户的需求进行适当的剪裁，能够满足用户网络不断变化的需要；易用性 堡垒主机应该是易配置的，监控和维护操作也应该是简单、灵活的。,堡垒主机,对软硬件性能的具体需求内存堡垒主

10、机必须有效地运行多种网络服务，并且对多个服务请求作出快速的响应，只有这样，堡垒主机才能不成为系统的瓶颈。外存一般不需要很大地外部存储器，但为了承担更多地应用级服务，则必须有一定的存储空间。系统速度系统整体的速度。操作系统具有高度限制性的基础软件平台，并且具有高度的可靠性、高度的安全性、灵活的可扩展性以及成熟性几个重要的特点。,堡垒主机,对软硬件性能的具体需求服务 堡垒主机一般要设置用户网络所需的网络服务，并且还要设置对外提供的网络服务。分为无风险服务、低风险服务、高风险服务和禁用的服务4个级别。无风险服务 可以直接实施；低风险服务 某些情况下可能存在安全隐患，但只需施加一些控制策略即可消除，这

11、类服务只能由堡垒主机提供；高风险服务 在使用时会产生无法彻底消除地安全隐患，一般应该被禁用，即使要启动这类服务也不能将其放置在堡垒主机上；禁用的服务 具有较高的安全隐患，会给用户网络带来很大的危险，应该禁止使用。堡垒主机上只能配置必要的服务，其他一切非必要服务都应该关闭，防止这些服务未知的漏洞成为攻击堡垒主机的秘密通道。,堡垒主机,部署位置：堡垒主机的位置问题是事关堡垒主机和内部网络的安全性的重要问题。物理位置 安全性较好且环境参数符合相应国际、国内标准的房间里如果攻击者和堡垒主机有物理上的接触，其入侵的方法就是网络安全人员所不能控制的堡垒主机往往配置了用户网络与外联网络互联互通地重要服务。如

12、果受到损害则用户网络将会与外联网络完全断开。网络位置 不适合放置在内联网络中，比较适合放置在周边网络（有时称为参数网络）中，周边网络实际上是内联网络和外联网络之间的一个隔离缓冲网络。,多重宿主主机,采用一台堡垒主机作为连接内联网络和外联网络的通道。具体做法是在这台堡垒主机上安全多块网卡，每一块网卡都连接不同的内联子网和外联网络，信息的交换通过应用层数据共享或者应用层代理服务实现，而网络层直接的信息交换是被绝对禁止的。堡垒主机上需要安装访问控制软件，用以实现对交换信息的过滤和控制功能。采用应用层数据共享技术的双宿主主机防火墙采用应用层代理服务器技术的双宿主网关防火墙,多重宿主主机,双宿主主机防火

13、墙实际上就是一台具有安全控制功能的双网卡堡垒主机。两块网卡中的一块负责连接内部网络，另一块负责连接外部网络。内网主机可登录双宿主主机，使用其提供的网络服务，而双宿主主机负责维护用户账户数据库。外网主机也可使用双宿主主机提供的某些网络服务。若网络服务被安全策略允许，则内部用户和外部用户就可通过共享缓存共享数据以实现信息交换，但绝对不允许内部用户与外部用户直接进行连接。双宿主主机防火墙的优点是：易于实现网络安全策略、成本较低。双宿主主机防火墙的缺点是：用户帐户不安全；用户账户数据库管理维护困难；用户账户数据的频繁存取资源耗费大，降低了系统的稳定性和可靠性；允许用户登录到防火墙主机上威胁到防火墙系统

14、的安全。下图为双宿主主机防火墙的示意图：,多重宿主主机,双宿主网关无需用户登录至防火墙主机，而是在防火墙上安装各种代理服务器。内网主机要访问外网时，只需将请求发送至相应的代理服务器，通过过滤规则的检测并获得允许后，再由代理服务器代为转发至外网指定主机。而外网主机所有对内网的请求都由代理服务接收并处理，规则允许的外部连接由相应的代理服务器转发至内网目标主机，规则不允许的外部连接则被拒绝。双宿主网关防火墙的优点是：无用户账户数据库，管理难度小、系统风险低；代理服务器技术使得防火墙提供的服务具有良好的可扩展性；屏蔽了内网主机，阻止了信息的泄露。双宿主网关防火墙的缺点是：存在单失效点，防火墙配置复杂；

15、防火墙主机本身的性能是影响系统整体性能的瓶颈；灵活性较差。下图为双宿主网关防火墙的示意图：,屏蔽主机,屏蔽主机防火墙实际上结合了两种不同类型的防火墙：过滤路由器实现的是包过滤防火墙的功能，而堡垒主机实现的是代理防火墙的功能。,屏蔽主机,系统构成一台过滤路由器和一台堡垒主机构成。其中，过滤路由器被部署在内联网络和外联网络交界的位置上。而堡垒主机与其他内联网络的主机一样与过滤路由器相连接。工作原理过滤路由器的路由表是定制的，将所有外联网络对内联网络的请求都定向到堡垒主机处，而堡垒主机上运行着各种网络服务的代理服务器组件。,屏蔽主机,内联网络对外联网络发起的连接有不同的处理方法：1 除了堡垒主机的请

16、求之外，过滤路由器阻塞所有内联网络到外联网络的访问请求，过滤路由器将这些请求全部重定向到堡垒主机上，而堡垒主机上的代理服务器组件负责这些请求访问权限的判定，如果过滤规则允许，则相应地代理服务器组件将该访问请求转发至过滤路由器，再由过滤路由器转发至外联网络的目的主机。2 根据安全策略，过滤路由器允许某些特定的主机或者某些特定的服务请求无需经过堡垒主机上的代理服务器的处理，可以直接通过过滤路由器访问外联网络，而其他的主机和服务请求则必须经过堡垒主机上的代理服务器处理，获得授权以后才能访问外联网络。,屏蔽主机,安全性操作包过滤防火墙代理防火墙优点能提供比单纯的过滤路由器和多重宿主主机更高的安全性；支

17、持多种网络服务的深层过滤，并具有相当的可扩展性；系统本身稳固可靠。保护简单配置的路由器比保护一台主机要容易的多。缺点堡垒主机和其它内网主机放在一起，它们之间没有一道安全隔离屏障；过滤路由器容易受到攻击。内联网络的安全性维系在相对脆弱的路由表上。,屏蔽主机,目的网络222.168.199.0转发至222.168.199.6路由表项被删除,222.168.199.160,222.168.199.6,屏蔽子网,非军事区（DMZ，Demilitarized Zone）又称屏蔽子网、周边网络或参数网络。它是在内网和外网间构建的一个缓冲网络，目的是最大限度地减少外部入侵者对内网的侵害。DMZ是一个小型的网

18、络，在它的内部只部署安全代理网关和各种公用信息服务器。在边界上，DMZ通过内部过滤路由器与内联网络相连，通过外部过滤路由器与外联网络相连。安全策略的实施由执行包过滤规则的内部过滤路由器和外部过滤路由器，以及DMZ内执行安全代理功能的堡垒主机共同实现。具有网络层包过滤和应用层代理两个不同级别的访问控制功能。,屏蔽子网,屏蔽子网,三叉防火墙,屏蔽子网,内部路由器内部路由器部署在内联网络和DMZ交界处，又称为阻塞路由器。保护内联网络免遭来自外联网络和DMZ的攻击。它执行屏蔽子网防火墙的大部分包过滤工作。允许从内联网络到外联网络有选择的出站服务，这些服务将只使用发出请求的内部主机提供的包过滤功能，而不

19、使用安全代理网关提供的安全代理功能。内部路由器将限制与非军事区中安全代理网关堡垒主机进行连接的内部主机数目，而且需要对能够连接到安全代理网关堡垒主机的内部主机进行重点保护。,屏蔽子网,外部路由器外部路由器部署在DMZ与外联网络的交界处，又称访问路由器或者接触路由器。理论上同样执行网络层的包过滤功能，为DMZ和内联网络提供第一层保护。但实际上内部路由器和外部路由器的规则基本上是相同的，而且基本上是通用规则。因此，外部路由器只执行了一小部分过滤功能。真正作用：防止源IP地址欺骗攻击和源路由攻击。限制内联网络和外联网络之间的连接。,屏蔽子网,堡垒主机堡垒主机负责执行屏蔽子网防火墙的应用层访问控制操作

20、。在堡垒主机上要安装相应的代理服务器组件，对于从内部服务器或内部主机发来的请求要进行应用层检查，符合允许条件后再由相应代理服务程序代为转发至外联网络的目的主机处。堡垒主机的这种安全代理网关功能可以由三叉防火墙代替以获得更高的安全性并简化了管理行为。公用信息服务器公共信息服务器主要是为了面向外联网络提供信息服务而设立的。每一台公用服务器都是一台牺牲主机，其上只提供必要的服务而不允许向内联网络转发信息。,屏蔽子网,优点内联网络实现了与外联网络的隔离，内部结构无法探测，外联网络只能知道到外部路由器或非军事区的存在，而不知道内部路由器的存在，也就无法探测到内部网络路由器后面的内部网络。内联网络安全防护

21、严密。降低了堡垒主机处理的负载量，减轻了堡垒主机的压力，增强了堡垒主机的可靠性和安全性。非军事区的划分将用户网络的信息流量明确地分为不同的等级，通过内部路由器的隔离作用，机密信息流受到严密的保护，减少了信息泄漏现象的发生。,其他结构,多堡垒主机 在屏蔽子网中使用多台堡垒主机扮演不同的角色，可同时为多个用户提供多种不同的网络服务，通过热备份机制增强了堡垒主机的可用性，此外还可隔离不同安全级别的数据和服务器。下图描述了多堡垒主机防火墙的结构：,其他结构,合并内部路由器和外部路由器 这种方案是屏蔽子网的一种变形。它将屏蔽子网中的内部路由器和外部路由器的功能合并，只使用一台过滤路由器来实现。这台过滤路

22、由器最少要有三个接口：一个接口连接内网，另一个接口连接外网，还有一个接口连接DMZ。这种方案的最大的优点是节约了路由器的成本，但是也存在单路由器安全性低的问题一旦该路由器被入侵者攻破，整个内部网络将直接面对入侵者。下图描述了合并内部路由器和外部路由器防火墙的结构：,其他结构,合并外部路由器与堡垒主机 这种防火墙是将屏蔽子网防火墙的外部路由器与堡垒主机合并而来，其功能等价于屏蔽子网。这么做的原因是外部路由器只执行很弱的安全过滤功能，所以可以用堡垒主机来替代。这种方案节约了外部路由器的成本，在功能上也没有下降，但是堡垒主机的安全性问题必须要着重考虑。左图描述了合并外部路由器与堡垒主机防火墙的结构：

23、,其他结构,多外部路由器 这种防火墙可以实现对具有多个接入点的用户网络进行安全防护。不同的外部路由器连接不同的外部网络。下图描述了多外部路由器屏蔽子网防火墙的结构：,其他结构,多DMZ 如果用户网络不但需要多点接入，而且还需要和不同的外部网络交换安全等级不同的数据，或者用户不希望被任何人探知自己的数据流向，那么最好的办法还是使用多个屏蔽子网。这种类型的防火墙叫做多DMZ防火墙。这种防火墙为用户提供了很好的策略可用性和服务可用性，并能增强系统的稳固性。但是具有配置复杂、管理困难的缺陷。左图描述了这种复杂的多DMZ防火墙的结构：,本章小结,不同的防火墙实现结构讲直接影响防火墙执行访问控制策略的有效性，也影响到防火墙系统所能提供的安全性。最主要的安全防护部署方案都是基于非军事区技术的。虽然其结构及由此带来的配置、维护和管理操作复杂了一些，但是它能够为用户网络提供较高的安全等级。,