《网络安全-郑万波》网络安全-5.ppt

网络安全,第 5 讲,2,第5章 防火墙技术,防火墙技术概述 防火墙的分类 新一代防火墙的主要技术 防火墙体系结构 防火墙技术发展动态和趋势 防火墙的选购和使用 防火墙产品介绍,3,防火墙技术概述,防火墙定义 防火墙的本义原是指房屋之间修建的可以防止火灾发生时蔓延到别的房屋的墙。多数防火墙里都有一个重要的门，允许人们进入或离开房屋。即：防火墙在提供增强安全性的同时允许必要的访问。 计算机网络安全中的防火墙（Firewall）指位于不同网络安全域之间的软件和硬件设备的一系列部件的组合,做为不同网络安全域之间通信流的唯一通道，根据用户的有关安全策略控制进出不同网络安全域的访问。,网络安全 第7讲 保密通信（一）,防火墙定义 William Cheswick和Steve Beilovin（1994）：防火墙是放置在两个网络之间的一组组件，这组组件共同具有下列性质： 只允许本地安全策略授权的通信信息通过 双向通信信息必须通过防火墙 防火墙本身不会影响信息的流通 防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。 传统防火墙概念特指网络层实现,防火墙技术概述,5,防火墙系统模型,防火墙技术概述,DMZ即隔离区，也称非军事化区。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如Web服务器、FTP服务器和论坛等。,6,在互联网上防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域（即Internet或有一定风险的网络）与安全区域（即通常讲的内部网络）的连接，同时不妨碍本地网络用户对风险区域的访问。 防火墙可以监控进出网络的通信，仅让安全、核准了的信息进入，抵制对本地网络安全构成威胁的数据。因此，防火墙的作用是防止不希望的、未授权的通信进出被保护的网络，迫使用户强化自己的网络安全政策，简化网络的安全管理。 要使一个防火墙有效，所有来自和去往Internet的信息都必须经过防火墙，接收防火墙的检查。,防火墙技术概述,7,防火墙本身必须具有很强的抗攻击能力，以确保其自身的安全性。简单的防火墙可以只用路由器实现，复杂的可以用主机、专用硬件设备及软件甚至一个子网来实现。 通常意义上讲的硬防火墙为硬件防火墙，它是通过专用硬件和专用软件的结合来达到隔离内、外部网络的目的，价格较贵，但效果较好，一般小型企业和个人很难实现。 软件防火墙是通过软件的方式来达到，价格便宜，但这类防火墙只能通过一定的规则来达到限制一些非法用户访问内部网的目的。防火墙安装和投入使用后，要想充分发挥它的安全防护作用，必须对它进行跟踪和动态维护，并及时对防火墙进行更新。,防火墙技术概述,8,防火墙的目的和功能 防火墙负责管理风险区域网络和安全区域网络之间的访问。在没有防火墙时，内部网络上的每个节点都暴露给风险区域上的其他计算机，内部网络极易受到攻击，内部网络的安全性要由每台计算机来决定，并且整个内部网络的安全性等于其中防护能力最弱的系统。可以把防火墙想像成门卫，所有进入的消息和发出的消息都会被仔细检查以严格遵守选定的安全标准。因此，对于连接到互联网的内部网络，一定要选用适当的防火墙。,防火墙技术概述,9,应用防火墙的目的 所有内部网络与外部网络的信息交流必须经过防火墙。 确保内部网向外部网的全功能互联。 防止入侵者接近防御设施，限制进入受保护网络，保护内部网络的安全。 只有按本地的安全策略被授权的信息才允许通过。 防火墙本身具有防止被穿透的能力，防火墙本身不受各种攻击的影响。 为监视网络安全提供方便。,防火墙技术概述,10,防火墙已成为控制网络系统访问的非常流行的方法，事实上在Internet上的很多网站都是由某种形式的防火墙加以保护的，任何关键性的服务器，都建议放在防火墙之后。,防火墙技术概述,11,防火墙基本功能 防火墙是网络安全政策的有机组成部分，通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理，防止外部网络不安全的信息流入内部网络和限制内部网络的重要信息流到外部网络。从总体上看，防火墙应具有以下五大基本功能。 过滤进、出内部网络的数据。 管理进、出内部网络的访问行为。 封堵某些禁止的业务。 记录通过防火墙的信息内容和活动。 对网络攻击进行检测和报警。,防火墙技术概述,12,除此以外，有的防火墙还根据需求包括其他的功能，如网络地址转换功能(NAT)、双重DNS（双重DNS，即对外解析成公网地址，对内解析成内网地址。）、虚拟专用网络(VPN)、扫毒功能、负载均衡和计费等功能。 为实现以上功能，在防火墙产品的开发中，广泛地应用网络拓扑技术、计算机操作系统技术、路由技术、加密技术、访问控制技术以及安全审计技术等。,防火墙技术概述,13,防火墙的局限性 通常，认为防火墙可以保护处于它身后的内部网络不受外界的侵袭和干扰，但随着网络技术的发展，网络结构日趋复杂，传统防火墙在使用的过程中暴露出以下的不足和弱点。 防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据，防火墙无法检查。传统的防火墙在工作时，入侵者可以伪造数据绕过防火墙或者找到防火墙中可能敞开的后门。 防火墙不能防止来自网络内部的攻击和安全问题。网络攻击中有相当一部分攻击来自网络内部，对于来自企业内部的员工来说，防火墙形同虚设。防火墙可以设计为既防外也防内，但绝大多数单位因为不方便，不要求防火墙防内。,防火墙技术概述,14,由于防火墙性能上的限制，因此它通常不具备实时监控入侵的能力。 防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备，就像门卫一样，要根据政策规定来执行安全，而不能自作主张。 防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能，即使集成了第三方的防病毒的软件，也没有一种软件可以查杀所有的病毒。 防火墙不能防止利用服务器系统和网络协议漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击，防火墙不能防止。,防火墙技术概述,15,防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。（数据驱动攻击是通过向某个程序发送数据，以产生非预期结果的攻击，通常为攻击者给出访问目标系统的权限，数据驱动攻击分为缓冲区溢出攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击等。 ） 防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主动泄密，防火墙是无能为力的。 防火墙不能防止本身的安全漏洞的威胁。防火墙保护别人有时却无法保护自己，目前还没有厂商绝对保证防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安全保护。,防火墙技术概述,16,由于防火墙的局限性，因此仅在内部网络入口处设置防火墙系统不能有效地保护计算机网络的安全。而入侵检测系统(Intrusion Detection System：IDS)可以弥补防火墙的不足，它为网络提供实时的监控，并且在发现入侵的初期采取相应的防护手段。IDS系统作为必要附加手段，已经为大多数组织机构的安全构架所接受。,防火墙技术概述,防火墙的设计策略 防火墙一般执行以下两种基本设计策略中的一种。 （1）除非明确不允许，否则允许某种服务。 （2）除非明确允许，否则将禁止某种服务。,防火墙的安全策略 研制和开发一个有效的防火墙，首先要设计和制定一个有效的安全策略。安全策略应包含以下主要内容： （1）用户账号策略； （2）用户权限策略； （3）信任关系策略； （4）包过虑策略； （5）认证策略； （6）签名策略； （7）数据加密策略； （8）密钥分配策略； （9）审计策略。,1用户账号策略 2用户权限策略 3信任关系策略,单向信任关系,双向信任关系,多重信任关系,4包过虑策略 这里主要从以下几个方面来讨论包过滤策略： 包过滤控制点； 包过滤操作过程； 包过滤规则； 防止两类不安全设计的措施； 对特定协议包的过滤。,5认证、签名和数据加密策略 6密钥分配策略 7审计策略 审计是用来记录如下事件： （1）哪个用户访问哪个对象； （2）用户的访问类型； （3）访问过程是否成功。,23,第5章 防火墙技术,防火墙技术概述 防火墙的分类 新一代防火墙的主要技术 防火墙体系结构 防火墙技术发展动态和趋势 防火墙的选购和使用 防火墙产品介绍,防火墙的分类,组成组件：硬件防火墙、软件防火墙、芯片防火墙 实现平台：windows、linux、unix 保护对象：主机防火墙、网络防火墙 网络性能：百兆防火墙、千兆防火墙 功能和技术：主机防火墙、病毒防火墙、智能防火墙 体系结构：包过滤防火墙、应用层代理、电路级网关、地址翻译防火墙、状态防火墙,24,25,防火墙的分类,按组成结构分类：目前普遍应用的防火墙按组成结构可分为以下三种。 软件防火墙：网络版的软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个内部网络的网关。软件防火墙就像其他的软件产品一样需要先在计算机上安装并做好配置才可以使用。,26,硬件防火墙：这里说的硬件防火墙是针对芯片级防火墙来说的。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，它们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有UNIX、Linux和FreeBSD系统。,防火墙的分类,27,芯片级防火墙：基于专门的硬件平台，核心部分就是ASIC芯片，所有的功能都集成做在芯片上。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。,防火墙的分类,28,三种类型防火墙比较 由于软件防火墙和硬件防火墙的结构是运行于一定的操作系统之上，就决定了它的功能是可以随着客户的实际需要而做相应调整的，这一点比较灵活。从性能上来说，多添加一个扩展功能就会对防火墙处理数据的性能产生影响，添加的扩展功能越多，防火墙的性能就下降的越快。,防火墙的分类,29,软件防火墙和硬件防火墙的安全性很大程度上决定于操作系统自身的安全性。无论是UNIX、Linux还是FreeBSD系统，都或多或少存在漏洞，一旦被人取得了控制权，将可以随意修改防火墙上的策略和访问权限，进入内网进行任意破坏，将危及整个内网的安全。芯片级防火墙不存在这个问题，自身有很好的安全保护，所以较其他类型的防火墙安全性高一些。,防火墙的分类,30,芯片级防火墙专有的ASIC芯片，促使它们比其他种类的防火墙速度更快，处理能力更强。专用硬件和软件的结合提供了线速处理、深层次信息包检查、坚固的加密、复杂内容和行为扫描功能的优化等，不会在网络流量的处理上出现瓶颈。采用PC架构的硬件防火墙技术在百兆防火墙上取得了很大的成功，但由于CPU处理能力和PCI总线速度的制约，在实际应用中，尤其在小包情况下，这种结构的千兆防火墙远远达不到千兆的转发速度，难以满足千兆骨干网络的应用要求。目前使用芯片级防火墙技术成为实现千兆防火墙的主要选择。,防火墙的分类,31,按采用技术分类：常见防火墙按采用的技术分类主要有包过滤防火墙、代理防火墙和状态监测防火墙，每种防火墙都有各自的优缺点。,防火墙的分类,32,包过滤防火墙 包过滤（Packet Filtering）是第一代防火墙技术。其技术依据是网络中的分包传输技术，它工作在OSI模型的网络层。网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的IP源地址、IP目标地址、封装协议(TCP、UDP、ICMP等)、TCP/UDP源端口和目标端口等。,防火墙的分类,33,包过滤操作通常在选择路由的同时对数据包进行过滤(通常是对从外部网络到内部网络的包进行过滤)。包过滤这个操作可以在路由器上进行，也可以在网桥，甚至在一个单独的主机上进行。 传统的包过滤只是与规则表进行匹配。防火墙的IP包过滤，主要是根据一个有固定排序的规则链过滤，其中的每个规则包含着IP地址、端口、传输方向、分包、协议等多项内容。同时，一般防火墙的包过滤的过滤规则是在启动时配置好的，只有系统管理员才可以修改，是静态存在的，称为静态过滤规则。,防火墙的分类,34,有些防火墙采用了基于连接状态的检查，将属于同一连接的所有包作为一个整体的数据流看待，通过规则表与连接状态表的共同配合进行检查，称为动态过滤规则。 包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”，即明确允许管理员指定希望通过的数据包，而禁止其他的数据包。,防火墙的分类,包过滤模型,包过滤一般要检查下面几项： （1）IP源地址； （2）IP目的地址； （3）协议类型（TCP包、UDP包和ICMP包）； （4）TCP或UDP的源端口； （5）TCP或UDP的目的端口； （6）ICMP消息类型； （7）TCP报头中的ACK位。 另外，TCP的序列号、确认号，IP校验以及分段偏移也往往是要检查的选项。,在决定包过滤防火墙是否返回ICMP错误代码时，应考虑以下几点。 防火墙应该发送什么消息。 是否负担得起生成和返回错误代码的高额费用。 返回错误代码能使得侵袭者得到很多有关你发送的数据包过滤信息。 什么错误代码对你的网站有意义。,一个可靠的分组过滤防火墙依赖于规则集 第一条规则：主机10.1.1.1任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。第二条规则：任何主机的20端口访问主机10.1.1.1的任何端口，基于TCP协议的数据包允许通过。第三条规则：任何主机的20端口访问主机10.1.1.1小于1024的端口，如果基于TCP协议的数据包都禁止通过。,源端口过滤的作用,包过滤实例,第一，假设处于一个C类网116.111.4.0，认为站点202.208.5.6上有不健康的BBS，所以希望阻止网络中的用户访问该点的BBS；再假设这个站点的BBS服务是通过Telnet方式提供的，那么需要阻止到那个站点的的出站Telnet服务，对于Internet的其他站点，允许内部网用户通过Telnet方式访问，但不允许其他站点以Telnet方式访问网络。 第二，为了收发电子邮件，允许SMTP出站入站服务，邮件服务器是IP地址为116.111.4.1。 第三，对于WWW服务，允许内部网用户访问Internet上任何网络和站点，但只允许一个公司的网络访问内部WWW服务器，内部WWW服务器的IP地址为116.111.4.5，因为你们是合作伙伴关系，那个公司的网络为98.120.7.0。,40,41,规则A、B用来阻止你的内部主机以Telnet服务形式联接到站202.108.5.6，规则C、D允许你的内部主机以Telnet方式访问Internet上的任何主机。这似乎和我们的政策发生了矛盾，但事实上并部矛盾。在前面提到过规则的次序是十分重要的，而且防火墙实施规则的特点是当防火墙找到匹配的规则后就不再向下应用其他的规则，所以当内部网主机访问站点202.108.5.6，并试图通过Telnet建立联接时，这个联接请求会被规则A阻塞，因为规则A正好与之相匹配。至于规则B，实际上并非毫无用处，规则B用来限制站点202.108.5.6 Telnet服务的返回包。事实上，内部主机试图建立Telnet联接时就会被阻塞，一般不会存在返回包，但高明的用户也可能想出办法使联接成功，那时B规则也会有用，总之，有些冗余对安全是有好处的。当用户以Telnet方式访问除202.105.5.6之外的其他站点时，规则A、B不匹配，所以应用C、D规则，内部主机被允许建立联接，返回包也被允许入站。 规则E、F用于允许出站的SMTP服务，规则G、H用于允许入站的SMTP服务，SMTP服务的端口是25。 I和J规则用于允许出站的WWW服务，K、L规则用于允许网络95.120.7.0的主机访问你的网络WWW服务器。 规则M是默认项，它实现的准则是“没有明确允许就表示禁止”。,42,43,包过滤防火墙的优点 一个包过滤防火墙能协助保护整个网络 。一个单个的、恰当放置的包过滤防火墙有助于保护整个网络，这是数据包过滤的主要优点。 数据包过滤对用户透明。数据包过滤不要求任何自定义软件或者客户机配置，也不要求用户任何特殊的训练或者操作。当数据包过滤防火墙决定让数据包通过时，它与普通路由器没什么区别。较强的“透明度”是包过滤的一大优势。,防火墙的分类,44,速度快、效率高。包过滤防火墙只检查报头相应的字段，一般不查看数据报的内容，而且某些核心部分是由专用硬件实现的，故其转发速度快、效率较高。 价格较低。相对于其他类型的防火墙，包过滤防火墙的价格较低。,防火墙的分类,45,包过滤防火墙的缺点 不能彻底防止地址欺骗。大多数包过滤防火墙都是基于源IP地址、目的IP地址而进行过滤的。而IP地址的伪造是很容易、很普遍的。包过滤防火墙在这点上大都无能为力。即使按MAC地址进行绑定，也是不可信的。对于一些安全性要求较高的网络，包过滤防火墙是不能胜任的。 一些应用协议不适合于数据包过滤。如RPC、X-Window等。,防火墙的分类,46,无法执行某些安全策略。包过滤防火墙上的信息不能完全满足用户对安全策略的需求。例如，对于数据包的来源，包过滤防火墙只能限制主机而不能限制用户；对于数据包的去向，包过滤防火墙不能通过端口号对高级协议强行限制。 数据包过滤工具存在很多局限性。如数据包过滤规则难以配置、过滤规则冗长而复杂不易理解和管理、规则的正确性测试困难、随过滤数目的增加防火墙性能下降、没有用户的使用记录以及无黑客的攻击记录。,防火墙的分类,47,包过滤防火墙技术虽然能确保一定的安全保护，且也有许多优点，但是包过滤防火墙技术，本身存在较多缺陷，不能提供较高的安全性。在实际应用中，现在很少把包过滤技术当作单独的安全解决方案，而是把它与其他防火墙技术揉合在一起使用。,防火墙的分类,48,代理防火墙：代理防火墙是一种较新型的防火墙技术，它分为应用层网关防火墙和电路层网关防火墙。 代理防火墙通过编程来弄清用户应用层的流量，并能在用户层和应用协议层提供访问控制。 代理防火墙记录所有应用程序的访问情况，记录和控制所有进出流量的能力是代理防火墙的主要优点之一。代理防火墙一般是运行代理服务器的主机。,防火墙的分类,49,代理服务器指代表客户处理与服务器连接的请求的程序。当代理服务器接收到用户对某站点的访问请求后会检查该请求是否符合规则，如果规则允许用户访问该站点的话，代理服务器会像一个客户一样去那个站点取回所需信息再转发给客户。代理服务器通常都拥有一个高速缓存，这个缓存存储着用户经常访问的站点内容，在下一个用户要访问同一站点时，服务器就不用重复地获取相同的内容，直接将缓存内容发出即可，既节约了时间也节约了网络资源。,防火墙的分类,50,代理服务器通常运行在两个网络之间，它对于客户来说像是一台服务器，而对于外界的服务器来说，它又是一台客户机。 工作原理如图所示。,防火墙的分类,51,代理的工作方式,防火墙的分类,52,应用层网关型防火墙(应用级代理) 应用层网关防火墙也就是传统的代理型防火墙。应用层网关型防火墙工作在OSI模型的应用层，且针对特定的应用层协议。它的核心技术就是代理服务器技术，它是基于软件的，通常安装在专用的服务器或工作站系统上。它适用于特定的互联网服务，如超文本传输(HTTP)和远程文件传输(FTP)等。应用级网关比单一的包过滤更为可靠，而且会详细地记录所有的访问状态信息。,防火墙的分类,1应用级代理 应用级代理有两种情况，一种是内部网通过代理访问外部网。另一种情况是，外部网通过代理访问内部网。 代理使得网络管理员能够实现比包过滤路由器更严格的安全策略，它会对应用程序的数据进行校验以确保数据格式可以接受。,Telnet代理服务,Internet客户通过代理服务器访问内部网主机,56,但是应用级网关也存在一些不足之处，首先它会使访问速度变慢，因为它不允许用户直接访问网络，而且应用级网关需要对每一个特定的互联网服务安装相应的代理服务软件，用户不能使用未被服务器支持的服务，对每一类服务要使用特殊的客户端软件，并且不是所有的互联网应用软件都可以使用代理服务器。,防火墙的分类,57,应用层网关允许网络管理员实施一个较包过滤更为严格的安全策略，为每一个期望的应用服务在其网关上安装专用的代码(一个代理服务)，同时，代理代码也可以配置成支持一个应用服务的某些特定的特性。对应用服务的访问都是通过访问相应的代理服务实现的，而不允许用户直接登录到应用层网关。 应用层网关安全性的提高是以购买网关硬件平台的费用为代价的。,防火墙的分类,58,应用层网关的好处在于代理服务限制了命令集合和内部主机支持的服务。它授予网络管理员对每一个服务的完全控制权。另外，应用层网关安全性较好，支持强用户认证、提供详细的日志信息以及较包过滤更易于配置和测试的过滤规则。 应用层网关的最大的局限性在于它需要在访问代理服务的系统上安装特殊的软件，此外速度相对比较慢。,防火墙的分类,59,电路层网关防火墙：另一种类型的代理技术称为电路层网关或TCP通道。在电路层网关中，包被提交用户应用层处理。电路层网关用来在两个通信的终点之间转换包。,防火墙的分类,60,电路层网关工作在会话层。在两主机首次建立TCP连接时创立一个电子屏障。它作为服务器接收外来请求，并转发请求，与被保护的主机连接时则担当客户机角色，起代理服务的作用。它监视两主机建立连接时的握手信息是否合乎逻辑，信号有效后网关仅复制、传递数据，而不进行过滤。电路层网关中特殊的客户程序只在初次连接时进行安全协商控制，其后透明。只有懂得如何与该电路网关通信的客户机才能到达防火墙另一边的服务器。,防火墙的分类,61,电路层网关防火墙的特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。,防火墙的分类,62,电路层网关常用于向外连接，这时网络管理员对其内部用户是信任的。电路层网关防火墙可以被设置成混合网关，对内连接支持应用层或代理服务，而对外连接支持电路层功能。这样使得防火墙系统对于要访问Internet服务的内部用户来说使用起来很方便，由于连接似乎是起源于防火墙，因而可以隐藏受保护网络的有关信息，又能提供保护内部网络免于外部攻击的防火墙功能。,防火墙的分类,电路级网关,Socks服务器,Socks是一种非常强大的电路级网关防火墙，它只中继基于TCP的数据包,65,代理技术的优点： 代理易于配置。因为代理是一个软件，所以它较包过滤更易配置，配置界面十分友好。如果代理实现得好，可以对配置协议要求较低，从而避免了配置错误。 代理能生成各项记录。因为代理工作在应用层，它检查各项数据，所以可以按一定准则，让代理生成各项日志、记录。这些日志、记录对于流量分析和安全检验是十分重要和宝贵的。当然，也可以用于记费等应用。,防火墙的分类,66,代理能灵活、完全地控制进出流量和内容。通过采取一定的措施，按照一定的规则，可以借助代理实现一整套的安全策略，比如可说控制“谁”、“什么”、“时间”、“地点”。 代理能过滤数据内容。可以把一些过滤规则应用于代理，让它在高层实现过滤功能，例如文本过滤、图像过滤(目前还未实现，但这是一个热点研究领域)，预防病毒或扫描病毒等。,防火墙的分类,67,代理能为用户提供透明的加密机制。用户通过代理进出数据，可以让代理完成加解密的功能，从而方便用户，确保数据的机密性。这点在虚拟专用网中特别重要。代理可以广泛地用于企业外部网中，提供较高安全性的数据通信。 代理可以方便地与其他安全手段集成。目前的安全问题解决方案很多，如认证、授权、账号、数据加密和安全协议等。如果把代理与这些手段联合使用，将大大增加网络安全性。这也是近期网络安全的发展方向。,防火墙的分类,68,代理技术的缺点 代理速度较包过滤慢。包过滤只是简单查看TCP/IP报头，检查特定的几个域，不作详细分析和记录。而代理工作于应用层，要检查数据包的内容，按特定的应用协议(如HTTP)进行审查、扫描数据包内容，并进行代理(转发请求或响应)，故其速度较慢。 代理对用户不透明。许多代理要求客户端作相应改动或安装定制客户端软件，这给用户增加了不透明度。为庞大的互异网络的每一台内部主机安装和配置特定的应用程序既耗费时间，又容易出错，原因是硬件平台和操作系统都存在差异。,防火墙的分类,69,对于每项服务代理可能要求不同的服务器。可能需要为每项协议设置一个不同的代理服务器，因为代理服务器不得不理解协议以便判断什么是允许的和不允许的，并且还装扮一个对真实服务器来说是客户、对代理客户来说是服务器的角色。挑选、安装和配置所有这些不同的服务器也可能是一项较大的工作。 除了一些为代理而设的服务外，代理服务器要求对客户、过程之一或两者进行限制，每一种限制都有不足之处，由于这些限制，代理应用就不能像非代理应用运行得那样好，往往可能曲解协议说明，并且缺少灵活性。,防火墙的分类,70,代理服务不能保证免受所有协议弱点的限制。作为一个安全问题的解决方法，代理取决于对协议中哪些是安全操作的判断能力。每个应用层协议，都或多或少存在一些安全问题，对于一个代理服务器来说，要彻底避免这些安全隐患几乎是不可能的，除非关掉这些服务。 代理不能改进底层协议的安全性。因为代理工作于TCP/IP之上，属于应用层，所以它就不能改善底层通信协议的能力。如IP欺骗、SYN泛滥、ICMP欺骗和一些拒绝服务的攻击。而这些方面，对于一个网络的健壮性是相当重要的。,防火墙的分类,71,状态监测防火墙 状态监测（Stateful Inspection）防火墙安全特性非常好，它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后指定安全决策的参考。,防火墙的分类,72,状态包检查的逻辑流程,74,监测型防火墙技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。同时，这种检测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计，在针对网络系统的攻击中，有相当比例的攻击来自网络内部。因此，监测型防火墙不但超越了传统防火墙的定义，而且在安全性上也超越了前几代产品。,防火墙的分类,75,76,77,ZFW（Zone-Based Policy Firewall）,ZFW（Zone-Based Policy Firewall），是一种基于区域的防火墙，基于区域的防火墙配置的防火墙策略都是在数据从一个区域发到另外一个区域时才生 效，在同一个区域内的数据是不会应用任何策略的，所以我们就可以将需要使用策略的接口划入不同的区域，这样就可以应用我们想要的策略。但是，有时某些接口之间可能不需要彼此使用策略，那么这样的接口只要划入同一个区域，它们之间就可以任意互访了。,78,Zone是应用防火墙策略的最小单位，一个zone中可以包含一个接口，也可以包含多个接口。 区域之间的所有数据默认是全部被丢弃的，所以必须配置相应的策略来允许某些数据的通过。同区域的接口是不需要配置策略的，因为他们默认就是可以自由访问的，我们只需要在区域与区域之间配置策略，而配置这样的区域与区域之间的策略，必须定义从哪个区域到哪个区域，即必须配置方向，配置一个包含源区域和目的区域的一组策略，这样的一个区域组，被称为Zone-Pairs。一个Zone-Pairs，就表示了从一个区域到另一个区域的策略，而配置一个区域到另一个区域的策略，就必须配置一个Zone-Pairs，并加入策略。 当配置了一个区域到另一个区域的策略后，如果策略动作是inspect，则并不需要再为返回的数据配置策略，因为返回的数据是默认被允许的，如果策略动作时pass或drop则不会有返回流量或被直接被掉弃。如果有两个zone，并且希望在两个方向上都应用策略，就是每个方向一个zone-pairs。,79,Zone特性一：一个zone是一系列接口的集合 Zone特性二：如果两个接口不属于zone，他们之间的流量不受任何影响。 Zone特性三：如果一个接口属于zone，而另一个接口不属于zone，他们之间 是不能通讯的. Zone特性四：若两个接口属于不同的zone，可以通过配置policy来允许流量， 默认所有流量都丢弃。 Zone特性五：在相同的security zone内部接口的流量可以自由流转，不需要 策略。,80,81,状态监测防火墙的优点 监测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。 监测RPC和UDP之类的端口信息，而包过滤和代理网关都不支持此类端口。 性能坚固。,防火墙的分类,82,状态监视器防火墙的缺点 配置非常复杂。 会降低网络的速度。,防火墙的分类,表9.3 防火墙技术比较表,84,第5章 防火墙技术,防火墙技术概述 防火墙的分类 新一代防火墙的主要技术 防火墙体系结构 防火墙技术发展动态和趋势 防火墙的选购和使用 防火墙产品介绍,85,双端口或三端口的结构：新一代防火墙产品具有两个或三个独立的网卡，内外两个网卡可不作IP转化而串接于内部网与外部网之间，另一个网卡可专用于对服务器的安全保护。 透明的访问方式： 以前的防火墙在访问方式上或者要求用户进行系统登录，或者要求用户安装防火墙的客户端软件。新一代防火墙利用了透明的代理系统技术，从而降低了系统登录固有的安全风险和出错概率。,新一代防火墙的主要技术,86,灵活的代理系统 ：代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。新一代防火墙采用了两种代理机制，一种用于代理从内部网络到外部网络的连接，另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转换(NAT)技术来解决，后者采用非保密的用户定制代理或保密的代理系统技术来解决。,新一代防火墙的主要技术,87,多级的过滤技术：为保证系统的安全性和防护水平，新一代防火墙采用了三级过滤措施，并辅以鉴别手段。在分组过滤一级，能过滤掉所有的源路由分组和假冒的IP源地址；在应用级网关一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所用通用服务；在电路网关一级，实现内部主机与外部站点的透明连接，并对服务的通行实行严格控制。,新一代防火墙的主要技术,88,网络地址转换技术(NAT) 新一代防火墙利用NAT技术能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，同时允许内部网络使用自己定制的IP地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。网络地址转换的过程对于用户来说是透明的，不需要进行设置。 有些防火墙提供了“内部网络到外部网络”，“外部网络到内部网络”的双向的NAT功能。,新一代防火墙的主要技术,地址翻译,图9.32 将内部地址翻译成网关地址,地址翻译可以有多种模式，主要有如下几种。 （1）静态翻译 （2）动态翻译 （3）端口转换 （4）负载平衡翻译 （5）网络冗余翻译,92,93,双重DNS 在域名服务方面，新一代防火墙采用两种独立的域名服务器，一种是内部DNS服务器，主要处理内部网络的DNS信息，另一种是外部DNS服务器，专门用于处理机构内部向Internet提供的部分DNS信息。,新一代防火墙的主要技术,94,安全的应用服务 由于是直接串连在网络中，防火墙必须支持用户在Internet互连的所有服务，同时还要防止与Internet服务有关的安全漏洞。 在匿名FTP方面，服务器只提供对有限的受保护的部份目录的只读访问。 在WWW服务器中，只支持静态的网页，而不允许图形或CGI代码等在防火墙内运行。 SMTP与POP邮件服务器要对所有进、出防火墙的邮件作处理，并利用邮件映射与标头剥除的方法隐去内部的邮件环境。 Telnet服务器对用户连接的识别作专门处理。 网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。,新一代防火墙的主要技术,95,安全服务器网络(Security Server Network) 第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护。它将对外服务器作为一个独立网络处理，对外服务器既是内部网的一部分，又与内部网关完全隔离。这就是安全服务器网络（SSN）技术，对SSN上的主机既可单独管理，也可设置成通过FTP、Telnet等方式从内部网上管理。,新一代防火墙的主要技术,96,SSN的方法提供的安全性要比传统的隔离区(DMZ)方法好，因为SSN与外部网之间有防火墙保护，SSN与内部网之间也有防火墙的保护，而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。一旦SSN受破坏，内部网络仍会处于防火墙的保护之下，而一旦DMZ受到破坏，内部网络便暴露于攻击之下。,新一代防火墙的主要技术,97,用户鉴别与加密 为了降低防火墙产品在Telnet、FTP等服务和远程管理上的安全风险，鉴别功能必不可少，新一代防火墙采用一次性使用的口令字系统来作为用户的鉴别手段，并实现了对邮件的加密。,新一代防火墙的主要技术,98,用户定制服务 为满足特定用户的特定需求，新一代防火墙在提供众多服务的同时，还为用户定制提供支持，这类选项有通用TCP、出站UDP、FTP以及SMTP等类，如果某一用户需要建立一个数据库的代理，便可利用这些支持，方便设置。,新一代防火墙的主要技术,99,审计和告警 新一代防火墙产品的审计和告警功能十分健全，日志文件包括一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器和域名服务器等。 告警功能以发出邮件、声音等多种方式报警。 此外新一代防火墙还在网络诊断，数据备份与保全等方面具有特色。,新一代防火墙的主要技术,100,第5章 防火墙技术,防火墙技术概述 防火墙的分类 新一代防火墙的主要技术 防火墙体系结构 防火墙技术发展动态和趋势 防火墙的选购和使用 防火墙产品介绍,101,防火墙体系结构,屏蔽路由器(Screening Router)结构 屏蔽路由器结构是防火墙最基本的结构。它可以用路由器实现，也可以用主机来实现。屏蔽路由器作为内外连接的惟一通道，要求所有的报文都必须在此通过检查。路由器上可安装基于IP层的报文过滤软件，实现报文过滤功能。许多路由器本身带有报文过滤配置选项，但一般比较简单。屏蔽路由器对用户透明，而且设置灵活，所以应用比较广泛。这种体系结构存在以下缺点：,102,屏蔽路由器示意图,防火墙体系结构,103,没有或只有很简单的日志记录功能，网络管理员很难确定网络系统是否正在被攻击或已经被入侵。 规则表随着应用的深化会变得大且复杂。 依靠一个单一的部件来保护网络系统，一旦部件出现问题，会失去保护作用，而用户可能无察觉。,防火墙体系结构,104,双穴主机网关(Dual Homed Gateway)结构 这种配置是用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网和外部网相连，每块网卡都有独立的IP地址。堡垒主机上运行着防火墙软件(应用层网关)，可以转发应用程序，也可提