--- 第5章防火墙技术

网络信息安全 ---第5章防火墙技术电子信息工程学院计算机科学与技术系

第5章防火墙技术 • 防火墙及相关概念 • 包过滤与代理 • 防火墙的体系结构 • 分布式防火墙与嵌入式防火墙

防火墙的定义 5.1 防火墙概述传统的防火墙概念概念：防火墙被设计用来防止火从大厦的一部分传播到另一部分

5.1 防火墙概述 1、IT防火墙的概念 • 防火墙（Firewall）是一个由软件和硬件设备组合而成、架设在内部网和外部网之间，它能挡住来自外部网络的攻击和入侵，是内部网的安全屏障，保障着内部网络的安全。

1、防火墙的概念

2、几个常用概念 • 外部网络（外网）: • 防火墙之外的网络，一般为Internet，默认为风险区域。 • 内部网络（内网）： • 防火墙之内的网络，一般为局域网，默认为安全区域。 • 非军事化区（DMZ）： • 介于外网与与内部网络之间一个单独的区域，内网中需要向外网提供服务的服务器（如WWW、FTP、SMTP、DNS等）往往放这个区域内，这个区域称为非军事化区。 • 代理服务器: • 是指代表内部网络用户向外部网络中的服务器进行连接请求的程序。

2、几个常用概念 • 包过滤: • 也被称为数据包过滤，是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤规则，检查数据流中的每个数据包，根据数据包的源地址、目标地址以及端口等信息来确定是否允许数据包通过。 • 状态检查技术： • 第三代网络安全技术。状态检测模块在不影响网络安全正常工作的前提下，采用抽取相关数据的方法对网络通信的各个层次实行检测，并作为安全决策依据。 • 虚拟专用网（VPN）： • 在公用中配置的专用网络。 • 漏洞： • 是系统中的安全缺陷。

数据驱动攻击： • 数据驱动攻击是通过向某个活动中的服务发送数据，以产生非预期结果来进行的攻击。入侵者把一些具有破坏数据藏匿在正常数据中。当这些数据被激活时，发生的攻击。比如。 • 一个站点的地址为：http://web.gges.tp.edu.tw/asp/wish/wishshow.asp?id=117。在wish后，用“%5c”替换“/”，地址就变成了http://web.gges.tp.edu.tw/asp/wish%5c wishshow.asp?id=117，这样就可以暴出对方数据库了。根据错误提示，数据库是db.mdb，而且还可以直接下载。

IP地址欺骗： • 入侵者利用伪造的IP地址，产生的虚假的数据包，乔装成来处内部的数据。

3. 防火墙安全策略 防火墙采取的安全控制准则，有下面两种： • （1）除非明确允许，否则就禁止 • 堵塞了两个网络之间的所有数据传输，除了那些被明确允许的服务和应用程序。 • 需要逐个定义每一个允许的服务和应用程序，而任何一个可能成为不安全的服务和应用程序都不能允许使用。 • 这是一个最安全的方法。一般在防火墙配置中都会使用这种策略。

3. 防火墙安全策略 • （2）除非明确禁止，否则就允许 • 这种策略允许两个网络之间所有数据传输，除非那些被明确禁止的服务和应用程序。 • 需要逐个定义每一个不信任或有潜在危害的服务和应用程序，他们都在拒绝之列。 • 这种策略可能存在严重的安全隐患，实际中用得较少。 • 总之，从安全性的角度考虑，第一种准则更可取一些，而从灵活性和使用方便性的角度考虑，第二种准则更适合。

5.1.2 防火墙的作用 从总体上看，防火墙应具有以下基本功能： • 可以限制未授权用户进入内部网络，过滤掉不安全服务和非法用户； • 防止入侵者接近内部网络的防御设施，对网络攻击进行检测和告警； • 限制内部用户访问特殊站点； • 记录通过防火墙的信息内容和活动，为监视Internet安全提供方便。

5.1.3 防火墙的优、缺点 1．优点防火墙是加强网络安全的一种有效手段，它有以下优点：（1）防火墙能强化安全策略（2）防火墙能有效地记录Internet上的活动（3）防火墙是一个安全策略的检查站 2．缺点有人认为只要安装了防火墙，所有的安全问题就会迎刃而解。但事实上，防火墙并不是万能的，安装了防火墙的系统仍然存在着安全隐患。以下是防火墙的一些缺点：

2．缺点 • 不能防范恶意的内部用户 • 如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户可以不经过防火墙窃取数据、破坏硬件和软件。 • 这类攻击占了全部攻击的一半以上。 • 不能防范不通过防火墙的连接 • 防火墙能够有效防范地通过它传输的信息，却不能防范不通过它传输的信息。 • 例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。

2．缺点 • 不能防范全部的威胁 • 可以防范某些新的威胁，但没有一个防火墙能自动防御所有的新的威胁。 • 防火墙不能防范病毒 • 防火墙不能防范从网络上传染来的病毒，也不能消除计算机已存在的病毒。 • 无论防火墙多么安全，用户都需要一套防毒软件来防范病毒。

5.2 防火墙技术分类 • 防火墙的分类根据工作在网络中作用层的不同，防火墙可以分为： • 包过滤防火墙（网络层防火墙） • 代理服务器（应用层防火墙） • 包过滤防火墙（网络层防火墙） • 数据包的概念及其结构： • 数据包过滤是防火墙中最基本、最简单的一种； • 该类防火墙运行在TCP/IP协议的网络层上，它对进出内部网络的所有数据包进行检查，或者放行，或者丢弃，取决于事先建立的一套过滤规则。所以称为包过滤防火墙。

包过滤防火墙

5.2 防火墙技术分类 • 代理服务器（应用层防火墙） • 根据使用的应用程序来进行接入控制。 • 例如，可以只允许通过访问万维网的应用，而阻止 FTP 应用的通过。 • 其基本工作过程是： • 当客户机需要使用外网的服务器上的数据时，首先将这些请求发送给代理服务器； • 代理服务器根据这些请求，向服务器索取数据； • 然后，再由代理服务器将数据传输给客户机。 • 同样，当外网向内网申请服务时，代理服务器也发挥了中间转接的作用。

应用代理防火墙

5.2.1 包过滤技术 1、包过滤（Packet Filtering）技术 • 包过滤技术的工作原理： • 包过滤技术主要是在IP层实现的。 • 包过滤防火墙基于一定的过滤规则，通过检测、分析流经的数据包头信息（包括源、目标IP地址，协议类型，源、目标端口等）以及数据包传输方向等来判断是否允许通过： • 如果数据包信息与用户制定的通行规则相匹配，防火墙就允许其通过，并通过路由转发； • 如果按照规则属于不该放行的，防火墙就阻止该数据包通行； • 不与包过滤规则匹配的，防火墙就丢弃该数据包。

包过滤防火墙工作原理图 IP报头 Source 安全网域 Destination TCP报头数据 Permit Protocol Host A Host C Pass TCP Host C Host D Host B Host C Block UDP 控制策略查找对应的控制策略根据策略决定如何处理该数据包拆开数据包数据包数据包数据包数据包数据包数据包分组过滤判断信息过滤依据主要是TCP/IP报头里面的信息，不能对应用层数据进行处理

包过滤技术的工作过程： • 包过滤防火墙读取包头信息，与信息过滤规则比较，顺序检查规则表中每一条规则，直至发现包中的信息与某条规则相符。 • 如果有一条规则不允许发送某个包，路由器就将它丢弃；如果有一条规则允许发送某个包，路由器就将它发送； • 如果没有任何一条规则符合，路由器就会使用默认规则，一般情况下，默认规则就是禁止该包通过。

过滤规则的表示形式 • 过滤规则通常以表格的形式表示，其中包括以某种次序排列的条件和动作序列。 • 当收到一个数据包时，则按照从前至后的顺序与表格中每行的条件比较，直到满足某一行的条件，然后执行相应的动作（转发或丢弃）。

表5--1所列便是数据包过滤规则的示例，根据这些规则，便可对表5--2中列出的各项实际通信的数据包进行过滤，有的数据包能通过，有的则遭到拒绝。 表5-1规则表

表5-2过滤表列 • 建立规则集要十分细心，一个小错误，都可能整个导致整个规则的不安全 • 建立规则集也是一项比较烦琐的工作，要建立正确的、完善的过滤规则集并不是一件容易的事。

2. 包过滤防火墙的优点 • 一个屏蔽路由器能保护整个网络 • 用一个恰当配置的屏蔽路由器，连接内部网络与外部网络，进行数据包过滤，就可以取得较好的网络安全效果。 • 包过滤对用户透明 • 包过滤不要求任何客户机配置。当屏蔽路由器决定让数据包通过时，它与普通路由器没什么区别，用户感觉不到它的存在。 • 屏蔽路由器速度快、效率高 • 屏蔽路由器只检查包头信息，一般不查看数据部分，而且某些核心部分是由专用硬件实现的，故其转发速度快、效率较高。 • 通常防火墙作为网络安全的第一道防线。

3. 包过滤防火墙的缺点 屏蔽路由器的缺点也是很明显的： • 通常它没有用户的使用记录 • 这样就不能从访问记录中发现黑客的攻击记录。 • 配置繁琐 • 没有一定的经验，是不可能将过滤规则配置得完美。有的时候，因为配置错误，防火墙根本就不起作用。 • 不能在用户级别上进行过滤 • 只能认为内部用户是可信任的、外部用户是可疑的。 • 单纯由屏蔽路由器构成的防火墙并不十分安全 • 危险地带包括路由器本身及路由器允许访问的主机，一旦屏蔽路由器被攻陷就会对整个网络产生威胁。

4．包过滤防火墙的发展阶段 • 第一代：静态包过滤防火墙 • 根据数据包头进行过滤 • 第二代：动态包过滤（Dynamic Packet Filter）防火墙 • 动态包过滤防火墙只在用户请求下打开端口，并在服务完毕后关闭这个端口，这样就避免了普通包过滤防火墙那种因静态地开放端口，而受到攻击的可能性。 • 第三代：全状态检测（Stateful Inspection）防火墙

第三代：全状态检测（Stateful Inspection）防火墙 • Internet上传输的数据都必须遵循TCP/IP协议，根据TCP协议，每个可靠连接的建立需要经过：⑴“客户端请求”；⑵“服务器应答”；⑶“客户端再应答”三个阶段。 • 常用的Web浏览、文件下载、收发邮件等都要经过这三个阶段。这反映出数据包并不是独立的，而是前后之间有着密切的状态联系，基于这种状态变化，引出了状态检测技术。 • 状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表； • 通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别，以决定是否允许包通过。

当一个初始化连接会话的第一个数据包到达防火墙时，状态检测引擎会检测到这是一个发起连接的初始数据包（由SYN标志判断），然后它就会把这个数据包中的信息与防火墙规则作比较。当一个初始化连接会话的第一个数据包到达防火墙时，状态检测引擎会检测到这是一个发起连接的初始数据包（由SYN标志判断），然后它就会把这个数据包中的信息与防火墙规则作比较。 • 如果没有相应规则允许，防火墙就会拒绝这次连接； • 如果规则允许，它就允许数据包发送并且在状态表中新建一条会话；

通常这条会话会包括此连接的源地址、源端口、目标地址、目标端口、连接时间等信息，对于TCP连接，它还应该会包含序列号和标志位等信息。 通常这条会话会包括此连接的源地址、源端口、目标地址、目标端口、连接时间等信息，对于TCP连接，它还应该会包含序列号和标志位等信息。 • 当后续数据包到达时，如果这个数据包不含SYN标志，也就是说这个数据包不是发起一个新的连接时，状态检测引擎就会直接把它的信息与状态表中的会话条目进行比较： • 如果信息匹配，就直接允许数据包通过，这样不再去接受规则的检查，提高了效率， • 如果信息不匹配，数据包就会被丢弃或连接被拒绝，并且每个会话还有一个超时值，过了这个时间，相应会话条目就会被从状态表中删除掉。

状态检测防火墙允许会话数据包传递时，会动态打开端口，传输完毕后又动态地关闭这个端口，这样就避免了普通包过滤防火墙那种静态地开放端口的危险做法，同时由于有会话超时的限制，它也能够有效地避免外部的DoS攻击。状态检测防火墙允许会话数据包传递时，会动态打开端口，传输完毕后又动态地关闭这个端口，这样就避免了普通包过滤防火墙那种静态地开放端口的危险做法，同时由于有会话超时的限制，它也能够有效地避免外部的DoS攻击。 • 　状态检测技术提供了更完整的对网络层和传输层的控制能力。

4．包过滤防火墙的发展阶段 • 第四代：深度包检测（Deep Packet Inspection）防火墙 • 它融合了入侵检测技术和攻击防范的功能。 • 功能更强大、安全性更强，可以抵御目前常见的网络攻击手段，如IP地址欺骗、特洛伊木马攻击、Internet蠕虫、口令探寻攻击、邮件攻击等

5.2.2 代理技术 • 代理服务器 • 是指代表内网用户向外网服务器进行连接请求的服务程序。 • 代理服务器运行在两个网络之间，它对于客户机来说像是一台真的服务器，而对于外网的服务器来说，它又是一台客户机。 • 代理服务器的工作过程：当客户机需要使用外网服务器上的数据时， • 首先将请求发给代理服务器； • 代理服务器再根据这一请求向服务器索取数据； • 代理服务器将数据传输给客户机； • 代理服务器在外部网络向内部网络申请服务时，其作用也是中间转接。

代理服务器

应用代理示意图 手动更新 • 可以在诺顿杀毒软件窗口中点击“Live Update”命令按钮，启动手动更新 • 点击“下一步”，只要计算机连接到Internet并且有新的病毒库，计算机便会进行更新.

2. 代理的优点 • 代理易于配置 • 代理因为是一个软件，所以它比过滤路由器容易配置。 • 代理能生成各项记录 • 因代理在应用层检查各项数据，按一定准则，生成各项日志、记录。这些日志、记录对于流量分析、安全检验是十分重要和宝贵的。 • 代理能灵活、完全地控制进出信息 • 通过采取一定的措施，按照一定的规则，可以借助代理实现一整套的安全策略，控制进出的信息。 • 代理能过滤数据内容 • 可以把一些过滤规则应用于代理，在应用层实现过滤功能。

3. 代理的缺点 • 代理速度比路由器慢 • 代理对用户不透明 • 对于每项服务，代理可能要求不同的服务器 • 代理服务通常要求对客户或过程进行限制 • 代理服务受协议弱点的限制 • 代理不能改进底层协议的安全性

4．代理防火墙的发展阶段 （1）应用层代理（Application Proxy） • 代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。 • 应用层代理为某个特定应用服务提供代理，它对应用协议进行解析并解释应用协议的命令。 • 根据其处理协议的功能可分为FTP网关型防火墙、Telnet网关型防火墙、WWW网关型防火墙等。 • 应用层代理的优点是能解释应用协议，支持用户认证，从而能对应用层的数据进行更细粒度的控制。缺点是效率低，不能支持大规模的并发连接，只适用于单一协议。

（2）电路层代理（Circuit Proxy） • 也称为电路级代理服务器。在电路层网关中，包被提交到用户应用层处理。电路层网关用来在两个通信的终点之间转换包。 • 它适用于多个协议，但无法解释应用协议，需要通过其他方式来获得信息。所以，电路级代理服务器通常要求修改过的用户程序。其中，套接字服务器（Sockets Server）就是电路级代理服务器。 • 对用户来说，内网与外网的信息交换是透明的，感觉不到防火墙的存在，那是因为因特网络用户不需要登录到防火墙上。但是客户端的应用软件必须支持“SocketsifideAPI”，内部网络用户访问外部网所使用的IP地址也都是防火墙的IP地址。

（3）自适应代理（Adaptive Proxy） • 自适应代理防火墙允许用户根据具体需求，定义防火墙策略，而不会牺牲速度或安全性。如果对安全要求较高，那么最初的安全检查仍在应用层进行，保证实现传统代理防火墙的最大安全性。而一旦代理明确了会话的所有细节，其后的数据包就可以直接经过速度更快的网络层。 • 自适应代理可以和安全脆弱性扫描器、病毒安全扫描器和入侵检测系统之间实现更加灵活的集成。作为自适应安全计划的一部分，自适应代理将允许经过正确验证的设备在安全传感器和扫描仪发现重要的网络威胁时，根据防火墙管理员事先确定的安全策略，自动“适应”防火墙级别。

5.2.3 防火墙技术的发展趋势 • 1．功能融合 • 与VPN技术融合。 • 与入侵检测技术和攻击防御技术的融合 • 提供对应用层攻击行为的检测和对应用层内容的过滤功能。 • 提供防病毒的功能。 • 2．集成化管理 • 3．分布式体系结构

5.3 防火墙体系结构 • （1）双重宿主主机结构； • （2）被屏蔽主机结构； • （3）被屏蔽子网结构。

5.3.1. 双重宿主主机结构 • 双宿主机（Dual-homed host），又称堡垒主机（Bastion host），是一台至少配有两个网络接口的主机，它可以充当与这些接口相连的网络之间的路由器，在网络之间发送数据包。 • 一般情况下双宿主机的路由功能是被禁止的，这样可以隔离内部网络与外部网络之间的直接通信，从而达到保护内部网络的作用。

双重宿主主机

1．双宿主机网关 1．双宿主机网关双宿主机网关是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络，又称为堡垒主机。堡垒主机上运行着防火墙软件（通常是代理服务器），可以转发应用程序，提供服务等。

8.3.2屏蔽主机结构 • 屏蔽主机结构需要配备一台堡垒主机和一个有过滤功能的屏蔽路由器，如图5-3所示， • 屏蔽路由器连接外部网络，堡垒主机安装在内部网络上。 • 通常在路由器上设立过滤规则，并使这个堡垒主机成为外部网络唯一可直接到达的主机。 • 入侵者要想入侵内部网络，必须过屏蔽路由器和堡垒主机两道屏障，所以屏蔽主机结构比双重宿主主机结构具有更好的安全性和可用性。

屏蔽主机结构

2．屏蔽主机结构 2．屏蔽主机网关堡垒主机有两块网卡，一块连接内部网络，一块连接包过滤路由器。双宿堡垒主机在应用层提供代理服务

--- 第5章 防火墙技术