网络安全技术及应用第七章幻灯片.ppt

网络安全技术及应用第七章网络安全技术及应用第七章第1页，共32页，编辑于2022年，星期二第第7章章 防火墙及其应用防火墙及其应用7.1 防火墙概述防火墙概述7.2 防火墙技术与分类防火墙技术与分类7.3防火墙体系结构防火墙体系结构7.4 防火墙安全规则防火墙安全规则7.5防火墙应用防火墙应用2022/10/52第2页，共32页，编辑于2022年，星期二7.1 防火墙概述防火墙概述n7.1.1 防火墙概念与发展历程防火墙概念与发展历程n 1.防火墙概念防火墙概念 防火墙是指设置在不同网络之间，例如可防火墙是指设置在不同网络之间，例如可信任的内部网和不可信的公共网，或者不同网信任的内部网和不可信的公共网，或者不同网络安全域之间的软硬件系统组合。它可通过监络安全域之间的软硬件系统组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状地对外部屏蔽网络内部的信息、结构和运行状况，以此来保护企业内部网络的安全。况，以此来保护企业内部网络的安全。2022/10/53第3页，共32页，编辑于2022年，星期二2.防火墙的发展防火墙的发展n第一代防火墙：第一代防火墙技术几乎与路由器同时出现，第一代防火墙：第一代防火墙技术几乎与路由器同时出现，主要基于包过滤技术（主要基于包过滤技术（Packet Filter），是依附于路由器的包），是依附于路由器的包过滤功能实现的防火墙。过滤功能实现的防火墙。n第二代防火墙：第二代防火墙：1989年，贝尔实验室的年，贝尔实验室的Dave Presotto和和Howard Trickey最早推出了第二代防火墙，即电路层最早推出了第二代防火墙，即电路层防火墙。防火墙。n第三代防火墙：到第三代防火墙：到20世纪世纪90年代初，开始推出第三代防年代初，开始推出第三代防火墙，即应用层防火墙（或者叫做代理防火墙）。火墙，即应用层防火墙（或者叫做代理防火墙）。n第四代防火墙：到第四代防火墙：到1992年，年，USC信息科学院的信息科学院的BobBraden开发出了基于动态包过滤（开发出了基于动态包过滤（Dynamic Packet Filter）技）技术的的第四代防火墙。术的的第四代防火墙。n第五代防火墙：到了第五代防火墙：到了1998年，年，NAI公司推出了一种自适应代公司推出了一种自适应代理（理（Adaptive Proxy）技术，可以称之为第五代防火墙。）技术，可以称之为第五代防火墙。第4页，共32页，编辑于2022年，星期二3.防火墙的发展趋势防火墙的发展趋势n高安全性和高效率高安全性和高效率n对数据包的全方位检查对数据包的全方位检查 n分布式防火墙技术分布式防火墙技术 n建立与部署适用于建立与部署适用于IP V6协议下的防火墙体系协议下的防火墙体系架构架构第5页，共32页，编辑于2022年，星期二7.1.2 防火墙的功能防火墙的功能n对防火墙有两个基本需求：一是保证内部网的安全性；二对防火墙有两个基本需求：一是保证内部网的安全性；二是保证内部网与外部网之间的连通性。是保证内部网与外部网之间的连通性。（1）过滤不安全数据和非法用户。）过滤不安全数据和非法用户。（2）报警与审计。）报警与审计。（3）透明代理。）透明代理。（4）抗攻击能力。）抗攻击能力。（5）VPN 功能。功能。（6）路由管理。）路由管理。2022/10/56第6页，共32页，编辑于2022年，星期二7.1.3 防火墙局限性防火墙局限性n7.1.3 防火墙局限性防火墙局限性 1.对某些正常服务的限制对某些正常服务的限制 2.无法抵御来自内网的威胁无法抵御来自内网的威胁 3.无法阻挡旁路攻击及潜在后门无法阻挡旁路攻击及潜在后门 4.无法控制对病毒文件的传输无法控制对病毒文件的传输 5.内网瓶颈问题内网瓶颈问题 2022/10/57第7页，共32页，编辑于2022年，星期二7.2 防火墙技术与分类防火墙技术与分类n7.2.1 包过滤防火墙技术包过滤防火墙技术 1.简单包过滤技术简单包过滤技术 2.状态检测包过滤技术状态检测包过滤技术n7.2.2 代理服务防火墙技术代理服务防火墙技术 1.电路级网关电路级网关 2.应用级网关应用级网关 3.自适应代理自适应代理2022/10/58第8页，共32页，编辑于2022年，星期二7.2.1包过滤防火墙技术包过滤防火墙技术n包过滤包过滤(Packet Filter)是所有防火墙中最核心的功能，与代理服务器是所有防火墙中最核心的功能，与代理服务器技术相比，其优势是传输信息时不占用网络带宽。包过滤路由器在网络技术相比，其优势是传输信息时不占用网络带宽。包过滤路由器在网络上的物理位置和逻辑位置如图上的物理位置和逻辑位置如图7-2和图和图7-3所示。包过滤型防火墙根据一组所示。包过滤型防火墙根据一组过滤规则集合，逐个检查过滤规则集合，逐个检查IP数据包，确定是否允许该数据包通过。数据包，确定是否允许该数据包通过。图图7-2 7-2 包过滤路由器的物理位置包过滤路由器的物理位置第9页，共32页，编辑于2022年，星期二图图7-3 包过滤路由器的逻辑位置包过滤路由器的逻辑位置第10页，共32页，编辑于2022年，星期二两类包过滤防火墙技术两类包过滤防火墙技术 包过滤防火墙技术根据所使用的过滤方法又具包过滤防火墙技术根据所使用的过滤方法又具体可分为：简单包过滤技术和状态检测包过滤体可分为：简单包过滤技术和状态检测包过滤技术。技术。1.简单包过滤技术简单包过滤技术 也称作称静态包过滤。简单包过滤防火墙也称作称静态包过滤。简单包过滤防火墙在检查数据包报头时，只是根据定义好的过滤在检查数据包报头时，只是根据定义好的过滤规则集来检查所有进出防火墙的数据包报头信规则集来检查所有进出防火墙的数据包报头信息，并根据检查结果允许或者拒绝数据包，并息，并根据检查结果允许或者拒绝数据包，并不关心服务器和客户机之间的连接状态。不关心服务器和客户机之间的连接状态。第11页，共32页，编辑于2022年，星期二 2.状态检测包过滤技术状态检测包过滤技术 也称动态包过滤，是包过滤器和应用级网也称动态包过滤，是包过滤器和应用级网关的一种折衷方案。该技术具有包过滤机制的关的一种折衷方案。该技术具有包过滤机制的高速和灵活性，也有应用级网关的应用层安全高速和灵活性，也有应用级网关的应用层安全的优点。状态检测包过滤防火墙除了有一个过的优点。状态检测包过滤防火墙除了有一个过滤规则集外，还要跟踪通过自身的每一个连接，滤规则集外，还要跟踪通过自身的每一个连接，提取有关的通信和应用程序的状态信息，构成提取有关的通信和应用程序的状态信息，构成当前连接的状态列表。当前连接的状态列表。第12页，共32页，编辑于2022年，星期二7.2.2代理服务防火墙技术代理服务防火墙技术 代理服务（代理服务（Proxy Service）是指运行于内部网络与外网之）是指运行于内部网络与外网之间的主机间的主机(堡垒主机堡垒主机)上的一种应用。当用户需要访问代理服上的一种应用。当用户需要访问代理服务器另一侧主机时，代理服务器对于符合安全规则的连接，会务器另一侧主机时，代理服务器对于符合安全规则的连接，会代替主机响应访问请求，并重新向主机发出一个相同的请求。代替主机响应访问请求，并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后，内部主机同外部主当此连接请求得到回应并建立起连接之后，内部主机同外部主机之间的通信将通过代理程序的相应连接映射来实现。代理既机之间的通信将通过代理程序的相应连接映射来实现。代理既是客户端（是客户端（Client），也是服务器端（），也是服务器端（Server）。代理服务防）。代理服务防火墙的工作原理如图火墙的工作原理如图7-4。第13页，共32页，编辑于2022年，星期二图图7-4应用代理防火墙的原理图应用代理防火墙的原理图第14页，共32页，编辑于2022年，星期二 代理服务防火墙主要包含以下三类：代理服务防火墙主要包含以下三类：1.电路级网关电路级网关 也称线路级网关，工作在会话层，在两主机首次建立也称线路级网关，工作在会话层，在两主机首次建立TCP连接时建立通信屏障。它作为服务器接收外来请求，转发请求；连接时建立通信屏障。它作为服务器接收外来请求，转发请求；与被保护的主机连接时则扮演客户机角色、起到代理服务的作与被保护的主机连接时则扮演客户机角色、起到代理服务的作用。它监视两主机建立连接时的握手信息，如用。它监视两主机建立连接时的握手信息，如SYN，ACK和和序列数据等是否合乎逻辑，然后由网关复制、传递数据，序列数据等是否合乎逻辑，然后由网关复制、传递数据，而不进行数据包过滤。电路级网关中特殊的客户程序只在而不进行数据包过滤。电路级网关中特殊的客户程序只在初次连接时进行安全协商控制，此后则不再参与内外网之初次连接时进行安全协商控制，此后则不再参与内外网之间的通信控制。间的通信控制。第15页，共32页，编辑于2022年，星期二2.应用级网关应用级网关 应用级网关使用软件来转发和过滤特定的应用级网关使用软件来转发和过滤特定的应用服务，如应用服务，如TELNET，FTP服务等。这也是服务等。这也是一种代理服务，只允许被认为是可信的服务通一种代理服务，只允许被认为是可信的服务通过防火墙。此外，代理服务也可以过滤协议，过防火墙。此外，代理服务也可以过滤协议，如过滤如过滤FTP连接、拒绝使用连接、拒绝使用FTP命令等。命令等。第16页，共32页，编辑于2022年，星期二 3.自适应代理自适应代理 自适应代理自适应代理(Adaptive Proxy)技术结合了代理服务器技术结合了代理服务器防火墙的安全性和包过滤防火墙的高速度等优点。组成防火墙的安全性和包过滤防火墙的高速度等优点。组成自适应代理防火墙的基本要素有两个：自适应代理服务自适应代理防火墙的基本要素有两个：自适应代理服务器器(Adaptive Proxy Server)与动态包过滤器。在自适应与动态包过滤器。在自适应代理防火墙中，初始的安全检查仍在应用层中进行，保证实现代理防火墙中，初始的安全检查仍在应用层中进行，保证实现传统防火墙的最大安全性。而一旦可信任身份得到认证，建立传统防火墙的最大安全性。而一旦可信任身份得到认证，建立了安全通道，随后的数据包就可以重新定向到网络层。这种技了安全通道，随后的数据包就可以重新定向到网络层。这种技术能够在确保安全性的基础上提高代理服务器防火墙的性能。术能够在确保安全性的基础上提高代理服务器防火墙的性能。第17页，共32页，编辑于2022年，星期二7.2.3 防火墙常见分类防火墙常见分类 7.2.3 防火墙常见分类防火墙常见分类n1.按照实现方法分类按照实现方法分类 （1）软件防火墙）软件防火墙 运行于特定的计算机上，一般来说这台计算机运行于特定的计算机上，一般来说这台计算机就是整个网络的网关。就是整个网络的网关。（2）硬件防火墙）硬件防火墙 由计算机硬件、通用操作系统和防火墙软件组成。由计算机硬件、通用操作系统和防火墙软件组成。（3）专用防火墙）专用防火墙 采用特别优化设计的硬件体系结构，使用专用的操作采用特别优化设计的硬件体系结构，使用专用的操作系统。系统。2022/10/518第18页，共32页，编辑于2022年，星期二n2.按照体系结构分类按照体系结构分类 （1）个人防火墙）个人防火墙 安装在计算机系统里的软件防火墙，该软件检查到达防火墙安装在计算机系统里的软件防火墙，该软件检查到达防火墙两端的所有数据包，无论是进入还是发出，从而决定该拦截数据两端的所有数据包，无论是进入还是发出，从而决定该拦截数据包还是允许其通过。包还是允许其通过。（2）分布式防火墙）分布式防火墙 分布式防火墙负责对网络边界、各子网和网络内部各结点之分布式防火墙负责对网络边界、各子网和网络内部各结点之间的安全防护。分布式防火墙是一个完整的系统，而不是单一的间的安全防护。分布式防火墙是一个完整的系统，而不是单一的产品。产品。第19页，共32页，编辑于2022年，星期二7.3 防火墙体系结构防火墙体系结构 目前，防火墙的体系结构，一般主要有以下几种目前，防火墙的体系结构，一般主要有以下几种n7.3.1 双宿主主机结构双宿主主机结构n7.3.2 屏蔽主机结构屏蔽主机结构n7.3.3 屏蔽子网结构屏蔽子网结构2022/10/520第20页，共32页，编辑于2022年，星期二7.3.1 双宿主主机结构双宿主主机结构 双宿主主机防火墙体系结构是围绕着至少双宿主主机防火墙体系结构是围绕着至少具有两个网络接口、带有两块网卡的堡垒主机具有两个网络接口、带有两块网卡的堡垒主机构成，主机上的两块网卡分别与外部网以及内构成，主机上的两块网卡分别与外部网以及内部受保护网相连。堡垒主机上运行防火墙软件，部受保护网相连。堡垒主机上运行防火墙软件，可以转发数据，提供服务等，这种主机可以充可以转发数据，提供服务等，这种主机可以充当与其接口相连的网络之间的路由器，它能够当与其接口相连的网络之间的路由器，它能够从一个网络到另一个网络发送从一个网络到另一个网络发送IP数据包。数据包。第21页，共32页，编辑于2022年，星期二n图图7-5 双宿主主机结构双宿主主机结构第22页，共32页，编辑于2022年，星期二7.3.2 屏蔽主机结构屏蔽主机结构 双宿主主机防火墙是由一台同时连接在内双宿主主机防火墙是由一台同时连接在内外部网络的堡垒主机来提供安全保障，而屏蔽外部网络的堡垒主机来提供安全保障，而屏蔽主机结构中提供安全保护的主机仅仅与内部网主机结构中提供安全保护的主机仅仅与内部网相连。此外还有一台单独的包过滤路由器，它相连。此外还有一台单独的包过滤路由器，它的作用是避免用户直接与内部网络相连。屏蔽的作用是避免用户直接与内部网络相连。屏蔽主机结构如图主机结构如图7-6所示。所示。第23页，共32页，编辑于2022年，星期二n图图7-6 屏蔽主机结构屏蔽主机结构第24页，共32页，编辑于2022年，星期二7.3.3 屏蔽子网结构屏蔽子网结构 在屏蔽子网结构中，有二台与边界网络直在屏蔽子网结构中，有二台与边界网络直接相连的过滤路由器，一台位于边界网络与外接相连的过滤路由器，一台位于边界网络与外部网之间，我们称之为外部路由器；另一台位部网之间，我们称之为外部路由器；另一台位于边界网络与内部网络之间，我们称之为内部于边界网络与内部网络之间，我们称之为内部路由器；在这种结构下，黑客要攻击到内部网路由器；在这种结构下，黑客要攻击到内部网必须通过二台路由器的安全控制，即使入侵者必须通过二台路由器的安全控制，即使入侵者通过了堡垒主机，他还必须通过内部路由器才通过了堡垒主机，他还必须通过内部路由器才能抵达内部网。能抵达内部网。第25页，共32页，编辑于2022年，星期二n图图7-7 屏蔽子网结构屏蔽子网结构第26页，共32页，编辑于2022年，星期二7.4 防火墙安全规则防火墙安全规则n通常情况下，网络管理员在防火墙设备的访问通常情况下，网络管理员在防火墙设备的访问控制列表控制列表ACL（Access Control List）中设定）中设定包过滤规则，以此来表明是否允许或者拒绝数包过滤规则，以此来表明是否允许或者拒绝数据包通过。包过滤防火墙检查数据流中每个数据包通过。包过滤防火墙检查数据流中每个数据包的报头信息，例如源地址、目标地址、协据包的报头信息，例如源地址、目标地址、协议类型、协议标志、服务类型等，并与过滤规议类型、协议标志、服务类型等，并与过滤规则进行匹配，从而在内外网络之间实施访问控则进行匹配，从而在内外网络之间实施访问控制功能制功能.2022/10/527第27页，共32页，编辑于2022年，星期二n图图7-8 包过滤防火墙的安全规则包过滤防火墙的安全规则第28页，共32页，编辑于2022年，星期二 防火墙规则设置中所涉及的动作主要有以防火墙规则设置中所涉及的动作主要有以下几种：下几种：n允许允许:允许数据包通过防火墙传输，并按照路由表允许数据包通过防火墙传输，并按照路由表中的信息被转发。中的信息被转发。n放弃放弃:不允许数据包通过防火墙传输，但仅丢弃，不允许数据包通过防火墙传输，但仅丢弃，不发任何相应数据包。不发任何相应数据包。n拒绝拒绝:不允许数据包通过防火墙传输，并向数据包不允许数据包通过防火墙传输，并向数据包的源端发送目的主机不可达的的源端发送目的主机不可达的ICMP数据包。数据包。n返回返回:没有发现匹配的规则，执行默认动作。没有发现匹配的规则，执行默认动作。第29页，共32页，编辑于2022年，星期二n所有的防火墙都是在以下两种模式下配置安全所有的防火墙都是在以下两种模式下配置安全规则：规则：n“白名单白名单”模式模式 系统默认为拒绝所有的流量，这需要在你的网系统默认为拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型，络中特殊指定能够进入和出去的流量的一些类型，因此白名单上的规则是具有合法性访问的安全规则因此白名单上的规则是具有合法性访问的安全规则n“黑名单黑名单”模式模式 系统默认为允许所有的流量，这种情况需要特系统默认为允许所有的流量，这种情况需要特殊指定要拒绝的流量的类型，因此在黑名单上定义殊指定要拒绝的流量的类型，因此在黑名单上定义的安全规则属于非法的、被禁止的网络访问，这种的安全规则属于非法的、被禁止的网络访问，这种模式是一种开放的默认管理模式。模式是一种开放的默认管理模式。第30页，共32页，编辑于2022年，星期二n包过滤防火墙一般有两类过滤规则的设置方法包过滤防火墙一般有两类过滤规则的设置方法 1.按地址过滤按地址过滤 用于拒绝伪造的数据包。若想阻止伪造原地址的数据包进入内用于拒绝伪造的数据包。若想阻止伪造原地址的数据包进入内部网，可按表部网，可按表7-1设置规则。设置规则。2.按服务类型过滤按服务类型过滤 即是按数据包的服务端口号来过滤。在即是按数据包的服务端口号来过滤。在TCP协议中，协议是协议中，协议是双向的，以双向的，以Telnet为例，其为例，其IP包的交换也是双向的。服务器端包的交换也是双向的。服务器端包过滤应该按照表包过滤应该按照表7-2设置规则。设置规则。第31页，共32页，编辑于2022年，星期二7.5 防火墙应用防火墙应用n7.5.1 构建防火墙的基本步骤构建防火墙的基本步骤 1.配置内外部网络配置内外部网络 2.用户自定义安全策略用户自定义安全策略 3.搭建防火墙安全体系结构搭建防火墙安全体系结构 4.配置防火墙安全规则配置防火墙安全规则 5.审计日志管理审计日志管理2022/10/532第32页，共32页，编辑于2022年，星期二