第8章防火墙安全技术.ppt
,,,,8.1概述,8.2防火墙的类型,8.3防火墙的设计与实现,第8章防火墙技术,8.5应用实例,8.4防火墙的安全管理技术,,,,,8.1防火墙概述,本节内容8.1.1防火墙的基本概念8.1.2防火墙的目的和作用8.1.3防火墙的发展,,,,,8.1.1防火墙的基本概念1.防火墙的基本概念古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生,它能够防止火势蔓延到别的寓所。自然,这种墙因此而得名“防火墙(FireWall)”。现在,如果一个网络连接了Internet,它的用户就可以访问外部世界并与之通信,同时,外部世界也同样可以访问该网络并与之交互。为安全起见,可以在该网络和Internet之间插入一个中介系统,竖起一道安全屏障,这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵,提供扼守本地网络的安全和审计的关卡。这种中介系统叫做“防火墙”或“防火墙系统”。防火墙是在两个网络间实现访问控制的一个或一组软硬件系统。防火墙的最主要功能就是屏蔽或允许指定的数据通信,而该功能的实现又主要是依靠一套访问控制策略,由访问控制策略来决定通信的合法性。防火墙是在两个网络通信时执行的一种访问控制手段,它能允许“经同意”的人和数据进入你的网络,同时将“未经不同意”的人和数据拒之门外,最大限度地阻止网络中的非法用户来访问你的网络,防止他们更改、复制和毁坏你的重要信息。防火墙实质上就是一种过滤塞,只让经你允许的内容通过这个塞子,别的内容都统统过滤掉。在网络的世界里,要由防火墙过滤的就是承载通信数据的通信包。,,,,,2.防火墙的基本任务1实现一个公司的安全策略防火墙的主要意图是强制执行你的安全策略。通过前面几章的学习我们认识到了网络安全中安全策略的重要性。关键的问题是如何通过防火墙来实施这些策略。2创建一个阻塞点防火墙在一个公司私有网络和子网间建立一个检查点。这种实现要求所有的流量都要通过这个检查点。一旦这些检查点建立后,防火墙就可以监视、过滤和检查所有进来和出去的流量。网络安全产业称这些检查点为“阻塞点”。通过强制所有进出流量都通过这些检查点,网络管理员可以集中在一个地方来实现安全目的。如果没有这样一个供监视和控制信息的检查点,系统或安全管理员则要在很多地方来进行监测。检查点的另一个名字叫做“网络边界”。3记录Internet活动防火墙还能够强制日志记录,并且提供警报功能。通过在防火墙上实现日志服务,安全管理员可以监视所有从外部网或互联网的访问。一个好的日志策略是实现适当网络安全的有效工具之一。防火墙对于管理员进行日志存档提供了更多的信息。4限制网络暴露防火墙在你的网络周围创建了一个保护的边界。并且对于公网隐藏了你内部系统的一些信息以增加保密性。当远程结点试图侦测你的网络时,他们仅仅能看到防火墙。远程设备将不会知道你内部网络的布局以及存放的信息。防火墙提高认证功能和对网络加密来限制网络信息的暴露。通过对所有流量的检查,限制从外部发动的攻击。,,,,,3.基本术语1网关Gateway网关是在两台设备之间提供转发服务的系统。网关的范围可以从互联网应用程序如公共网关接口(CGI)到在两台主机间处理流量的防火墙网关。这个术语是非常常见的,而且可用于一个防火墙组件里,在两个不同的网络路由和处理数据。2电路级网关(CircuitLevelGateway)电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法,电路级网关是在OSI模型中会话层上来过滤数据包。另外,电路级网关还提供一个重要的安全功能网络地址翻译NAT将所有公司内部的IP地址映射到一个“安全”的IP地址,这个地址是由防火墙使用的。有两种方法来实现这种类型的网关,一种是由一台主机充当筛选路由器而另一台充当应用级防火墙;另一种是在第一个防火墙主机和第二个防火墙主机之间建立安全的连接。3应用级网关ApplicationLevelGateway)应用级网关可以工作在OSI七层模型的任一层上,能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做一些复杂的访问控制。,,,,,4堡垒主机(BastionHost)堡垒主机应是在Internet高度暴露的,也是网络中最容易受到侵入的主机。堡垒主机也就是防火墙体系中的大无畏者,其目的是把敌人的火力吸引到自己身上,从而达到保护其他主机的目的。堡垒主机的设计思想就是检查点原则,把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其他主机的安全。通常情况下,堡垒主机上运行一些通用的网络操作系统、并存放一些不重要或已过期的机密文件。5双宿主机(DualHomedHost)现代的防火墙系统大多是双宿主机,即有两个网络接口的计算机系统,其中一个接口连接内部网,另一个接口连接外部网。有的防火墙是多宿主机,有三个或多个网络接口,可以联接多个网络,实现多个网络之间的访问控制。6数据包过滤(PackageFilterRing)一些设备,如路由器、网关或双宿主机,可以有选择地控制网络上往来的数据流。当数据包要经过这些设备时,这些设备可以检查IP数据包的相应选项,根据既定的规则来决定是否允许数据包通过。7屏蔽路由器(ScreenedRouter)屏蔽路由器也叫过滤路由器,是一种可以根据过滤原则对数据包进行阻塞和转发的路由器,现在有很多路由器都具备包过滤的功能。,,,,,8屏蔽主机(ScreenedHost)被放置到屏蔽路由器后面网络上的主机称为屏蔽主机,该主机能被访问的程度取决于路由器的屏蔽规则。屏蔽子网指位于屏蔽路由器后面的子网,子网能被访问的程度取决于屏蔽规则。9代理服务器(ProxyServer)代理服务器就像中间人,是一种代表客户和服务器通信的程序,一般在应用层实现。典型的代理接受用户的请求,然后根据事先定义好的规则,决定用户或用户的IP地址是否有权使用代理服务器,然后代表客户建立一个与服务器之间的连接。10IP地址欺骗(IPSpoofing)这是一种黑客的攻击形式,黑客使用一台机器上网,而借用另一台机器的IP地址,从而冒充另一台机器与服务器打交道。防火墙可以识别这种IP地址欺骗。11隧道路由器(TunnelingRouter)它是一种特殊的路由器,可以对数据包进行加密,让数据能通过非信任网,如Internet,然后在另一端用同样的路由器进行解密。12虚拟专用网(VirtualPrivateNetwork,VPN)一种联接两个远程局域网的方式,联接要通过非信任网,如Internet,所以一般通过隧道路由器或VPN网关来实现互联。,,,,,13DNS欺骗(DNSSpoofing)通过破坏被攻击主机上的域名服务器的缓存,或破坏一个域名服务器来伪造IP地址和主机名的映射,从而冒充其他机器。DNS欺骗现在也是黑客攻击服务器的常用手段。14Internet控制报文协议(ICMP)ICMP的全称是InternetControlMessageProtocol(网间报文控制协议),它是IP不可分割的一部分,用来提供错误报告。一旦发现各种错误类型就将其返回原主机,最常见的ping命令就是基于ICMP的。ICMP的统计信息包含收发的各种类型的ICMP报文的计数以及收发错误报文的计数。15纵深防御(DefenseInDepth)一种确保网络尽可能安全的安全措施,一般与防火墙联合使用。16最小特权(LeastPrivilege)在运行和维护系统中,尽可能地减少用户的特权,但同时也要使用户有足够的权限来做事,这样就会减少特权被滥用的机会。内部人员滥用特权很可能在防火墙上打开一个安全缺口,这是很危险的,很多的入侵是由此引发的。,,,,,17网络地址翻译(NAT)网络地址解释是对Internet隐藏内部地址,防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制,完善内部寻址模式。把未注册IP地址映射成合法地址,就可以对Internet进行访问。对于NAT的另一个名字是IP地址隐藏。RFC1918概述了地址并且IANA建议使用内部地址机制,以下地址作为保留地址10.0.0.0-10.255.255.255(A类保留地址)172.16.0.0-172.31.255.255(B类保留地址)192.168.0.0-192.168.255.255(C类保留地址)如果你选择上述例表中的网络地址,不需要向任何互联网授权机构注册即可使用。使用这些网络地址的一个好处就是在互联网上永远不会被路由。互联网上所有的路由器发现源或目标地址含有这些私有网络ID时都会自动丢弃。,,,,,18非军事化区域DMZDMZ是一个小型网络存在于公司的内部网络和外部网络之间。这个网络由筛选路由器建立,有时是一个阻塞路由器。DMZ用来作为一个额外的缓冲区以进一步隔离公网和你的内部私有网络。DMZ另一个名字叫做ServiceNetwork,因为它非常方便。这种实施的缺点在于存在于DMZ区域的任何服务都不会得到防火墙的安全保护。19筛选路由器(SieveRouter)筛选路由器的另一个术语就是包过滤路由器并且至少有一个接口是连向公网的,它是对进出内部网络的所有信息进行分析,并按照一定的安全策略信息过滤规则对进出内部网络的信息进行限制,允许授权信息通过,拒绝非授权信息。信息过滤规则是以其所收到的数据包头信息为基础的。采用这种技术的防火墙优点在于速度快、实现方便,但安全性能差,且由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同,故兼容性差。20阻塞路由器阻塞路由器也叫内部路由器,用以保护内部的网络使之免受Internet和周边网的侵犯。阻塞路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网络到Internet的有选择的出站服务。内部路由器所允许的在堡垒主机和用户内部网之间服务可以不同于内部路由器所允许的在Internet和用户内部网之间的服务。限制堡垒主机和内部网之间服务的理由是减少由此而导致来自堡垒主机侵袭的机器的数量。,,,,,4.防火墙的特性大多数防火墙系统具有包过滤、电路级网关和应用级网关的功能。它们检查单独的数据包或整个信息包,然后利用事先订制的规则来强制安全策略。只有那些可接受的数据包才能进出整个网络。当你实施一个防火墙策略时,这三种防火墙类型可能都需要。1认证防火墙是一个合理的放置提供认证方法来避开特定的IP包。你可以要求一个防火墙令牌(firewalltoken),或反向查询一个IP地址。反向查询可以检查用户是否真正地来自它所报告的源位置。这种技术有效地反击IP欺骗的攻击。防火墙还允许终端用户认证。应用级网关或代理服务器可以工作在TCP/IP的每一层上。多数的代理服务器提供完整的用户账号数据库。结合使用这些用户账号数据库和代理服务器自定义的选项来进行认证。代理服务器还可以利用这些账号数据库来提供更详细的日志。2日志和警报为了不降低网络性能和效率,在默认配置下,包过滤及筛选路由器是不进行日志记录的,更为重要的是,防火墙并不能对所有事件创建日志。筛选路由器只能记录一些最基本的信息,而电路级网关也只能记录少量的信息。因为你要在防火墙上创建一个阻塞点,潜在的黑客必须要先穿过它。如果你放置全面记录日志的设备并在防火墙本身实现这种技术,那么你有可能捕获到所有用户的活动。可以确切地知道黑客在做什么并得到这些活动信息代审计。一些防火墙允许你预先配置对不期望的活动做出响应。防火墙两种最普通的活动是中断TCP/IP连接和自动发出警告。,,,,,8.1.2防火墙的目的和作用1.构建网络防火墙的主要目的l控制访问者进入一个被严格控制的点;l防止进攻者接近防御设备;l控制内部人员从一个特别控制点离开;l检查、筛选、过滤和屏蔽信息流中的有害信息,防止对计算机和计算机网络进行恶意破坏。防火墙的目的在于实现安全访问控制,在OSI体系结构中,防火墙可以在OSI七层中的五层设置。一般的防火墙模型如图8-1所示。,,,,,,,,,2.网络防火墙的主要作用防火墙是一种非常有效的网络安全模型,通过它可以隔离内外网络,以达到网络中安全区域的连接,同时不妨碍人们对风险区域的访问。监控出入网络的信息,仅让安全的、符合规则的信息进入内部网络,为网络用户提供一个安全的网络环境。其主要作用是l有效收集和记录Internet上活动和网络误用情况;l能有效隔离网络中的多个网段,能有效地过滤、筛选和屏蔽一切有害的信息和服务;l防火墙就像一个能发现不良现象的警察,能执行和强化网络的安全策略;l保证对主机的安全访问;l保证多种客户机和服务器的安全性;l保护关键部门不受到来自内部的攻击和外部的攻击,为通过Internet与远程访问的雇员、客户、供应商提供安全通道。,,,,,3.防火墙的特性防火墙系统具有以下几方面的特性l所有在内部网络和外部网络之间传输的数据都必须通过防火墙。l只有被授权的合法数据,即防火墙系统中安全策略允许的数据,可以通过防火墙。l防火墙本身可以经受住各种攻击。l使用目前新的信息安全技术。比如现代密码技术、一次口令系统、智能卡等。l人机界面友好、配置使用方便,易管理。系统管理员可以方便地对防火墙进行设置,对Internet的访问者、被访问者、访问协议以及访问方式进行控制。l广泛的服务支持。通过将动态的、应用层的过滤能力和认证相结合,可实现WWW浏览器、HTTP服务器、FTP等;l私有数据的加密支持。保证通过Internet进行虚拟私人网络和商务活动不受损坏;l户端认证。只允许指定的用户访问内部网络或选择服务,是企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分;l欺骗。欺骗是从外部获取网络访问权的常用手段,防火墙能监视这样的数据包并能扔掉它们;C/S模式和跨平台支持,能使运行在另一平台的管理模块控制运行在另一平台的监视模块。,,,,,8.1.3防火墙的发展1.防火墙的发展历史第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packetfilter)技术。1989年,贝尔实验室的DavePresotto和HowardTrickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙应用层防火墙(代理防火墙)的初步结构。第四代防火墙是1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamicpacketfilter)技术的第四代防火墙,后来演变为目前所说的状态监视(Statefulinspection)技术。1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙是1998年,NAI公司推出了一种自适应代理(Adaptiveproxy)技术,并在其产品GauntletFirewallforNT中得以实现,给代理类型的防火墙赋予了全新的意义。高级应用代理(AdvancedApplicationProxy)的研究,克服速度和安全性之间的矛盾,可以称之为第五代防火墙。,,,,,2.防火墙的发展趋势今后,防火墙将朝下列技术和方向发展动态包过滤;内核透明代理;用户强认证机制;加密技术;智能日志、审计跟踪和实时报警;内容和策略感知能力;内部信息隐藏技术;提高防火墙产品的集成性和采用分布式管理,加强防火墙之间的交互操作性。,,,,,8.2防火墙的类型,本节内容8.2.1包过滤防火墙8.2.2代理服务器8.2.3电路层网关8.2.4混合型防火墙8.2.5应用级网关8.2.6状态/动态检测防火墙8.2.7网络地址翻译NAT8.2.8个人防火墙8.2.9智能防火墙,,,,,8.2.1包过滤防火墙1.包过滤型防火墙的基本功能包过滤型防火墙(PacketFilterFirewall)的包过滤器安装在路由器上,工作在网络层(IP),因此也称为网络层防火墙。它基于单个包实施网络控制,根据所收到数据包的源地址、目的地址、源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数,与用户预定的访问控制表进行比较,判定数据是否符合预先制定的安全策略,决定数据包的转发或丢弃,即实施信息的过滤。它实际上是控制内部网络上的主机可直接访问外部网络,而外部网络上的主机对内部网络的访问则要受到限制。这种防火墙的优点是简单、方便、速度快,透明性好,对网络性能影响不大,但它缺乏用户日志(Log)和审计信息(Audit),缺乏用户认证机制,不具备登录和报告性能,不能进行审核管理,且过滤规则的完备性难以得到检验,过滤规则复杂难以管理。因此安全性较差。,,,,,2.包过滤防火墙的优缺点1优点防火墙对每条传入和传出网络的包实行控制。每个IP包的字段都被检查,例如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。防火墙可以识别和丢弃带欺骗性源IP地址的包。包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。包过滤通常被包含在路由器数据包中,所以不必额外的系统来处理这个特征。(2)缺点配置困难。因为包过滤防火墙很复杂,人们经常会忽略建立一些必要的规则,或者错误配置了已有的规则,在防火墙上留下漏洞。然而,在市场上,许多新版本的防火墙对这个缺点正在作改进,如开发者实现了基于图形化用户界面GUI的配置和更直接的规则定义。为特定服务开放的端口存在着危险,可能会被用于其他传输。例如,Web服务器默认端口为80,而计算机上又安装了RealPlayer,那么它会搜寻可以允许连接到RealAudio服务器的端口,而不管这个端口是否被其他协议所使用,RealPlayer正好是使用80端口而搜寻的。就这样,RealPlayer无意中利用了Web服务器的端口。“包过滤”技术是用关键词进行“包内容”的检查和过滤的,因之,对于“图片”信息,防火墙是不能对其内容进行“过滤”检查的。攻击者绕过防火墙进入网络,例如拨号连接。换句话说,防火墙是不能阻止对于“绕道而行”进入网络的攻击的。,,,,,8.2.2代理服务器1.代理服务器防火墙的基本功能代理服务器防火墙(ProxyServiceFirewall)通过在主机上运行代理服务程序,直接对特定的应用层进行服务,因此也称为应用层防火墙。其核心是运用防火墙主机上的代理服务器进程,代理网络用户完成TCP/IP功能,实际上是为特定网络应用而连接两个网络的网关,且对不同的应用(如E-mail、FTP、Telnet、WWW等)都应用一个不同的代理。代理服务可以实施用户认证、详细日志、审计跟踪、数据加密等功能和对具体协议及应用的过滤,如阻止Java或JavaScript程序的运行。应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。它只接受来自内部网络特定用户应用程序的通信,然后建立于公共网络服务器单独的连接。网络内部的用户不直接与外部的服务器通信,所以服务器不能直接访问内部网的任何一部分。另外,如果不为特定的应用程序安装代理程序代码,这种服务是不会被支持的,不能建立任何连接。这种建立方式拒绝任何没有明确配置的连接,从而提供了额外的安全性和控制性。应用程序代理防火墙可以配置成允许来自内部网络的任何连接,它也可以配置成要求用户认证后才建立连接。要求认证的方式由只为已知的用户建立连接的这种限制,为安全性提供了额外的保证。如果网络受到危害,这个特征使得从内部发动攻击的可能性大大减少。,,,,,2.代理防火墙的优缺点1优点指定对连接的控制,例如允许或拒绝基于服务器IP地址的访问,允许或拒绝基于用户所请求连接的IP地址的访问。通过限制某些协议的传输请求,以减少网络中不必要的服务。大多数代理防火墙能够记录所有的连接,包括地址和持续时间。这些信息对追踪攻击和发生的未授权访问的事件是很有用的。2缺点必须在一定范围内定制用户系统,这取决于所用的应用程序。一些应用程序不支持代理连接。,,,,,8.2.3电路层网关电路层网关(CircuitGateway)在网络的传输层上实施访问策略,是在内、外网络主机之间建立一个虚拟电路进行通信,相当于在防火墙上直接开了个口子进行传输,不象应用层防火墙那样能严密控制应用层的信息。电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话Session是否合法,电路级网关是在OSI模型中会话层上来过滤数据包的。实际上,电路级网关并非作为一个独立的产品存在,它通常与其他的应用级网关结合在一起,如TrustInationSystems公司的GauntletInternetFirewall;DEC公司的AltaVistaFirewall等产品。另外,电路级网关还提供一个重要的安全功能代理服务器(ProxyServer),代理服务器是在其上运行一个叫做“地址转移”的进程,将所有内部IP地址映射到一个外部IP地址,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一些缺陷,因为该网关是在会话层工作的,就无法检查应用层级的数据包。,,,,,8.2.4混合型防火墙混合型防火墙(HybridFirewall)是把过滤和代理服务等功能结合起来,形成新的防火墙,所用主机称为堡垒主机,负责代理服务。混合型防火墙采用的技术有l动态包过滤;l内核透明技术;l用户认证机制;l内容和策略感知能力;l内部信息隐藏;l智能日志、审计和实时报警;l防火墙的交互操作性;l各种安全技术的有机结合等。,,,,,8.2.5应用级网关应用级网关(ApplicationGateway)使用专用软件来转发和过滤特定的应用服务,如Telnet、FTP等服务连接。应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做一些复杂的访问控制。但每一种协议需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。常用的应用级防火墙已有了相应的代理服务,例如HTTP、NNTP、FTP、Telnet、Rlogin、X-Windows等,但是,对于新开发的应用,尚没有相应的代理服务,它们将通过网络级防火墙和一般的代理服务。应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,而且有的应用级网关缺乏“透明度”。在实际使用中,用户在受信任的网络上通过防火墙访问Internet时,经常会发现存在延迟并且必须进行多次登录(Login)才能访问Internet或Intranet。,,,,,8.2.6状态/动态检测防火墙1.状态/动态检测防火墙的基本功能状态/动态检测防火墙,试图跟踪通过防火墙的网络连接和包,这样防火墙就可以使用一组附加的标准,以确定是否允许和拒绝通信。这一目标是在使用了基本包过滤防火墙的通信上应用一些技术实现的。包过滤防火墙对一个数据包是允许还是拒绝,完全取决于包自身所包含的内容,如源地址、目的地址、端口号等。如果数据包中没有包含任何描述它在信息流中的位置的信息,则认为该包是无状态的,一个状态包检查防火墙跟踪的包中必须包含所需的信息。一个状态/动态检测防火墙可截断所有传入的通信,而允许所有传出的通信。只有按要求传入的数据被允许通过,直到连接被关闭为止。而未被请求的传入通信被截断。,,,,,状态/动态检测防火墙可提供的额外服务有l将某些类型的连接重定向到审核服务中去。例如,到专用Web服务器的连接,在Web服务器连接被允许之前,可能被发到SecutID服务器(用一次性口令来使用)。l拒绝携带某些数据的网络通信,如带有附加可执行程序的传入电子消息,或包含ActiveX程序的Web页面。跟踪连接状态的方式取决于包通过防火墙的类型lTCP包当建立起一个TCP连接时,通过的第一个包被标有包的SYN标志。通常情况下,防火墙丢弃所有外部的连接企图,除非已经建立起某条特定规则来处理。lUDP包UDP包比TCP包简单,因为它们不包含任何连接或序列信息。它们只包含源地址、目的地址、校验码和携带的数据。这种信息的缺乏使得防火墙确定包的合法性很困难,因为没有打开的连接可利用,以测试传入的包是否应被允许通过。对传入的包,若它所使用的地址和UDP包携带的协议与传出的连接请求匹配,该包就被允许通过。防火墙能跟踪传出的请求,并详细记录下所使用的地址、协议和包的类型,然后对照保存过的信息核对传入的包,以确保这些包是被请求的。,,,,,2.状态/动态检测防火墙的优缺点1优点l具有检查IP包的每个字段的能力,并遵从基于包中信息的过滤规则。l具有识别带有欺骗性源IP地址包的能力。l包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。l基于应用程序信息验证一个包的状态的能力,例如基于一个已经建立的FTP连接,允许返回的FTP包通过。l基于应用程序信息验证一个包状态的能力,例如允许一个先前认证过的连接继续与被授予的服务通信。l记录有关通过的每个包的详细信息的能力。基本上,防火墙用来确定包状态的所有信息都可以被记录,包括应用程序对包的请求,连接的持续时间,内部和外部系统所做的连接请求等。2缺点状态/动态检测防火墙唯一的缺点就是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞,特别是在同时有许多连接激活的时候,或者是有大量的过滤网络通信的规则存在时。特别是,硬件速度越快,这个问题就越不易察觉,而且防火墙的制造商一直致力于提高他们产品的速度。,,,,,8.2.7网络地址翻译NAT1.NAT的基本功能网络地址翻译NATNetwareAddressTranslation协议是将内部网络的多个IP地址转换到一个公共IP地址与Internet连接。当内部用户与一个公共主机通信时,NAT能追踪是哪一个用户所发出的请求,修改传出的包,这样包就像是来自单一的公共IP地址,然后再打开连接。一旦建立了连接,在内部计算机和Web站点之间来回流动的通信就都是透明的。当从公共网络传来一个未经请求的连接时,NAT有一套规则来决定如何处理它。如果没有事先定义好的规则,NAT可丢弃所有未经请求的传入连接,就像包过滤防火墙所做的那样。,,,,,2.地址翻译技术1静态翻译一个指定的内部主机有一个固定不变的地址翻译表,通过这张表,可将内部地址翻译成防火墙的外网接口地址。2动态翻译为了隐藏内部主机的身份或扩展内部网络的地址空间,一个大的Internet客户群共享一组较小的InternetIP地址。3负载平衡翻译一个IP地址和端口被翻译为同等配置的多个服务器,当请求到达时,防火墙将按照一个算法来平衡所有联接到内部的服务器,这样向一个合法IP地址请求,实际上是有多台服务器在提供服务。4网络冗余翻译多个Internet联接被附加在一个NAT防火墙上,而这个防火墙根据负载和可用性对这些联接进行选择和使用。,,,,,3.NAT的优缺点1优点所有内部的IP地址对外面的人来说是隐蔽的。因为这个原因,网络之外没有人可以通过指定IP地址的方式直接对网络内的任何一台特定的计算机发起攻击。如果因为某种原因公共IP地址资源比较短缺的话,NAT可以使整个内部网络共享一个IP地址。可以启用基本的包过滤防火墙安全机制,因为所有传入的包如果没有专门指定配置到NAT,那么就会被丢弃。内部网络的计算机就不可能直接访问外部网络。2缺点NAT的缺点和包过滤防火墙的缺点是一样的。虽然可以保障内部网络的安全,但它也有一定的局限性。而且内网可以利用现流传较广的木马程序,可以通过NAT做外部连接,就像穿过包过滤防火墙一样的容易。,,,,,8.2.8个人防火墙1.个人防火墙的基本功能个人防火墙是一种能够保护个人计算机系统安全的软件,它可以直接在用户的计算机上运行,使用与状态/动态检测防火墙相同的方式来保护计算机免受攻击。个人防火墙是安装在计算机网络接口的较低级别上,用以监视传入传出网卡的所有网络通信。一旦安装上个人防火墙,就可以把它设置成“学习模式”,这样的话,对遇到的每一种新的网络通信,个人防火墙都会提示用户一次,询问如何处理这种通信。然后个人防火墙便记住响应方式,并应用于以后遇到的相同网络通信。例如,如果用户已经安装了一台个人Web服务器,个人防火墙可能将第一个传入的Web连接作上标志,并询问用户是否允许它通过。用户可能允许所有的Web连接、来自某些特定IP地址范围的连接等,个人防火墙然后把这条规则应用于所有传入的Web连接。,,,,,2.个人防火墙的优缺点1优点增加了保护级别,不需要额外的硬件资源。个人防火墙除了可以抵挡外来攻击的同时,还可以抵挡内部的攻击。2缺点个人防火墙主要的缺点就是对公共网络只有一个物理接口。真正的防火墙应当监视并控制两个或更多的网络接口之间的通信。这样一来,个人防火墙本身容易受到威胁,或者说是具有这样一个弱点,网络通信可以绕过防火墙的规则进行。,,,,,8.2.9智能防火墙智能防火墙从技术特征上,是利用统计、记忆、概率和决策的智能方法来对数据进行识别,并达到访问控制的目的。一个典型的例子可以说明智能防火墙对网络安全是很重要的。传统的防火墙对包的检查,就像对人的相貌的识别,采用图像识别一样。把一个人的相貌转换为图像,对图像的每一个像素进行记忆,然后进行匹配检查。通过检查上千万个像素之后,告诉你,这是谁。这就是智能识别。智能防火墙无须海量计算就可以轻松找到网络行为的特征值来识别网络行为,从而轻松的执行访问控制。,,,,,1.智能防火墙的关键技术1防攻击技术智能防火墙能智能识别恶意数据流量,并有效地阻断恶意数据攻击。智能防火墙可以有效地解决SYNFlooding,LandAttack,UDPFlooding,FraggleAttack,PingFlooding,Smurf,PingofDeath,UnreachableHost等攻击。防攻击技术还可以有效的切断恶意病毒或木马的流量攻击。2防扫描技术智能防火墙能智能识别黑客的恶意扫描,并有效地阻断或欺骗恶意扫描者。对目前已知的扫描工具如ISS,SSS,NMAP等扫描工具,智能防火墙可以防止被扫描。防扫描技术还可以有效地解决代表或恶意代码的恶意扫描攻击。3防欺骗技术智能防火墙提供基于MAC的访问控制机制,可以防止MAC欺骗和IP欺骗,支持MAC过滤,支持IP过滤。将防火墙的访问控制扩展到OSI的第二层。,,,,,4入侵防御技术智能防火墙为了解决准许放行包的安全性,对准许放行的数据进行入侵检测,并提供入侵防御保护。入侵防御技术采用了多种检测技术,特征检测可以准确检测已知的攻击,特征库涵盖了目前流行的网络攻击;异常检测基于对监控网络的自学习能力,可以有效地检测新出现的攻击;检测引擎中还集成了针对缓冲区溢出等特定攻击的检测。智能防火墙完成了深层数据包监控,并能阻断应用层攻击。5包擦洗和协议正常化技术智能防火墙支持包擦洗技术,对IP,TCP,UDP,ICMP等协议的擦洗,实现协议的正常化,消除潜在的协议风险和攻击。这些方法对消除TCP/IP协议的缺陷和应用协议的漏洞所带来的威胁,效果显著。,,,,,2.智能防火墙的功能和特点智能防火墙成功地解决了普遍存在的拒绝服务攻击的问题、病毒传播的问题和高级应用入侵的行为,代表着防火墙的主流发展方向。新一代的智能防火墙自身的安全性较传统的防火墙有很大的提高,在特权最小化、系统最小化、内核安全、系统加固、系统优化和网络性能最大化方面,与传统防火墙相比,有质的飞跃。智能防火墙执行全访问的访问控制策略,而不是简单的过滤。基于对行为的识别,可以根据什么人、什么时间、什么地点、什么行为来执行访问控制,大大增强了防火墙的安全性,更聪明更智能。智能防火墙具备集中网络管理平台,具备配置管理、性能管理、故障管理、安全管理、审计管理五大管理域。智能防火墙提供网络实时监控功能。支持监控防火墙的性能如CPU、内存、网络和硬盘的使用率等信息。支持监控防火墙的状态,并实时报警。支持实时监控,包括性能监控、接口流量监控等。智能防火墙提供对日志的监控,自动处理,人工或自动导出,数据库导入,查看,查询,显示,报警等功能。并支持条件查询。,,,,,3.智能防火墙的典型应用除传统防火墙的应用外,智能防火墙还有以下特殊应用场合。保护网络和站点免受黑客的攻击。由于目前众多的防火墙无法抵御DDoS的攻击,使得网站和网络频繁遭受黑客的攻击。采用智能防火墙,可以有效解决DDoS攻击。阻断病毒的恶意传播。智能防火墙可以智能识别病毒的恶意扫描和流量攻击,有效切断恶意病毒的传播途径。由于智能防火墙是从流量异常来判断病毒的传播,避免了每一次新病毒的爆发所带来的灾难。有效监控和管理内部局域网。传统的防火墙只防外不防内,导致内部局域网速度慢,恶意病毒和木马盛行。智能防火墙的防欺骗功能和MAC控制功能,能有效发现内部恶意流量,帮助安全管理员来找到攻击源。保护必需的应用安全。智能防火墙的入侵防护功能,深层的应用数据检测可以有效的发现对应用的恶意攻击,并加以制止。提供强大的身份认证授权和审计管理。对优化进行身份鉴别授权和审计,是网络安全的要素之一,基于人而不是IP进行管理,更能有效的进行网络安全管理。也为网络取证提供防抵赖的功能。,,,,,8.3防火墙的设计与实现,本节内容8.3.1防火墙的设计技术8.3.2防火墙的实现技术,,,,,8.3.1防火墙的设计技术为了网络的安全可靠,防火墙必须满足以下要求l防火墙应由多个构件组成,形成一个有一定冗余度的安全系统,避免成为网络的单失效点。l防火墙应能抵抗网络黑客的攻击,并可对网络通信进行监控和审计。这样的网络结点,称为阻塞点。l防火墙一旦失效、系统重启或系统崩溃时,则应完全阻断内、外网络站点的连接,以防非法用户闯入。l防火墙应提供强制认证服务,外部网络站点对内部网络的访问应经过防火墙的认证检查,包括对网络用户和数据源的认证。应支持E-mail、FTP、Telnet和WWW等服务。l防火墙对内部网络应做到屏蔽作用,并且隐藏内部网站的地址和内部网络的拓扑结构。,,,,,在防火墙设计中,安全策略是防火墙的灵魂和基础。通常,防火墙采用的安全策略有如下两个基本准则l一切未被允许的访问就是禁止的。l一切未被禁止的访问就是允许的。建立防火墙是在对网络的服务功能和拓扑结构仔细分析的基础上,在被保护的网络周边,通过专用硬件、软件及管理措施的综合,对跨越网络边境的信息,提供监测、控制甚至修改的措施。,,,,,8.3.2防火墙的实现技术1决定防火墙的类型与拓扑结构针对防火墙所保护的系统安全级别作出定性和定量评估,从系统的成本、安全保护实现的难易程度以及升级、改造和维护的难易程度,决定该防火墙的类型和拓扑结构。2制定安全策略在实现过程中,没有被允许的服务是被禁止的,没有被禁止的服务都是允许的。网络安全的第一策略是拒绝一切未许可的服务,即由防火墙逐项删除未许可的服务后,再转发信息。在此策略的指导下,再针对系统制定各项具体策略。3确定包过滤规则一般以处理IP数据包包头信息为基础,包括过滤规则、过滤方式、源和目的端口号及协议类型等,它决定算法执行时顺序,因此正确的排列顺序至关重要。4防火墙维护和管理方案的制定防火墙的日常维护是对访问记录进行审计,发现入侵和非法访问,据此对防火墙的安全性进行评价,需要时进行适当改进。管理工作要根据拓扑结构的改变或安全策略的变化,对防火墙进行硬件与软件的修改和升级。通过维护和管理进一步优化其性能,以保证网络及其信息的安全性。,,,,,8.4防火墙的安全管理技术,本节内容8.4.1防火墙的安全性8.4.2防火墙的安全策略8.4.3防火墙安全技术,,,,,8.4.1防火墙的安全性防火墙是网络上使用最多且是最重要的安全设备,是网络安全的重要基石。但防火墙不是万能的,有一定的缺陷和局限性。正确认识和使用防火墙,确保网络的安全使用,研究防火墙的局限性和脆弱性是十分必要的。1.防火墙的脆弱性l防火墙的操作系统不能保证没有漏洞。l防火墙的硬件不能保证不失效。所有的硬件都有一个生命周期,都会老化,总有失效的一天。l防火墙软件不能保证没有漏洞。防火墙软件也是软件,是软件就会有漏洞。