华南师范大学 Changshema@gmail.com 防火墙 华南师范大学 Changshema@gmail.com
学习目标 了解防火墙的定义和类型 掌握防火墙的原理 了解防火墙技术的发展趋势
防火墙(Firewall)的定义 在互联网上,防火墙是一种有效的网络安全系统,通过它可以隔离风险区域(Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍安全区域对风险区域的访问。
防火墙 防火墙的基本设计目标 防火墙的控制能力 对于一个网络来说,所有通过“内部”和“外部”的网络流量都要经过防火墙 通过一些安全策略,来保证只有经过授权的流量才可以通过防火墙 防火墙本身必须建立在安全操作系统的基础上 防火墙的控制能力 服务控制,确定哪些服务可以被访问 方向控制,对于特定的服务,可以确定允许哪个方向能够通过防火墙 用户控制,根据用户来控制对服务的访问 行为控制,控制一个特定的服务的行为
防火墙的功能 防火墙定义一个必经之点,一般都包含以下三种基本功能 可以限制未授权的用户进入内部网络,过滤掉不安全的服务和非法用户 防止入侵者接近网络防御设施 限制内部用户访问特殊站点 由于防火墙假设了网络边界和服务,因此适合于相对独立的网络,例如Intranet等种类相对集中的网络。任何关键性的服务器,都应该放在防火墙之后。 防火墙提供了一个监视各种安全事件的位置,可以在防火墙上实现审计和报警 防火墙可以是地址转换,Internet日志、审计,甚至计费功能的理想平台 防火墙可以作为IPSec的实现平台
防火墙的局限性 防火墙不能防范网络内部的攻击。比如:防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。 防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令,并授予其临时的网络访问权限。 防火墙不能防止传送己感染病毒的软件或文件,不能期望防火墙去对每一个文件进行扫描,查出潜在的病毒。 对于绕过防火墙的攻击,它无能为力,例如,在防火墙内部通过拨号出去
防火墙的分类 分组过滤(Packet Filtering):作用在协议组的网络层和传输层,根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过,只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端,其余的数据包则从数据流中丢弃。 应用代理(Application Proxy):也叫应用网关(Application Gateway),它作用在应用层,其特点是完全“阻隔”网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。 电路级网关,又叫状态检测(Status Detection):直接对分组里的数据进行处理,并且结合前后分组的数据进行综合判断,然后决定是否允许该数据包通过。
包过滤路由器 基本思想简单 如何过滤 对于每个进来的包,适用一组规则,然后决定转发或者丢弃该包 往往配置成双向的 过滤的规则以IP和传输层的头中的域(字段)为基础,包括源和目标IP地址、IP协议域、源和目标端口号 过滤器往往建立一组规则,根据IP包是否匹配规则中指定的条件来作出决定。 如果匹配到一条规则,则根据此规则决定转发或者丢弃 如果所有规则都不匹配,则根据缺省策略
安全缺省策略 两种基本策略,或缺省策略 没有被拒绝的流量都可以通过(默认转发) 没有被允许的流量都要拒绝(默认丢弃) 管理员必须针对每一种新出现的攻击,制定新的规则 没有被允许的流量都要拒绝(默认丢弃) 比较保守 根据需要,逐渐开放
包过滤防火墙 数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。 通常情况下,如果规则中没有明确允许指定数据包的出入,那么数据包将被丢弃
包过滤路由器示意图 网络层 链路层 物理层 外部网络 内部网络
包过滤防火墙(小结) 在网络层上进行监测 通常在路由器上实现 优点 缺点 并没有考虑连接状态信息 实际上是一种网络的访问控制机制 实现简单 对用户透明 效率高 缺点 正确制定规则并不容易 不可能引入认证机制
针对包过滤防火墙的攻击 IP地址欺骗,例如,假冒内部的IP地址 源路由攻击,即由源指定路由 对策:在外部接口上禁止内部地址 源路由攻击,即由源指定路由 对策:禁止这样的选项 小碎片攻击,利用IP分片功能把TCP头部切分到不同的分片中 对策:丢弃分片太小的分片 利用复杂协议和管理员的配置失误进入防火墙 例如,利用ftp协议对内部进行探查
应用层网关 也称为代理服务器 特点 所有的连接都通过防火墙,防火墙作为网关 在应用层上实现 可以监视包的内容 可以实现基于用户的认证 所有的应用需要单独实现 可以提供理想的日志功能 非常安全,但是开销比较大
应用层网关 应用代理(Application Proxy)是运行在防火墙上的一种服务器程序,防火墙主机可以是一个具有两个网络接口的双重宿主主机,也可以是一个堡垒主机。代理服务器被放置在内部服务器和外部服务器之间,用于转接内外主机之间的通信,它可以根据安全策略来决定是否为用户进行代理服务。
应用层网关的结构和协议栈示意图 HTTP FTP Telnet Smtp 传输层 网络层 链路层
应用层网关的优缺点 优点 缺点 允许用户“直接”访问Internet 易于记录日志 新的服务不能及时地被代理 每个被代理的服务都要求专门的代理软件 客户软件需要修改,重新编译或者配置 有些服务要求建立直接连接,无法使用代理 比如聊天服务、或者即时消息服务 代理服务不能避免协议本身的缺陷或者限制
应用层网关实现 编写代理软件 客户软件 协议对于应用层网关的处理 代理软件一方面是服务器软件 另一方面也是客户软件 但是它所提供的服务可以是简单的转发功能 另一方面也是客户软件 对于外面真正的服务器来说,是客户软件 针对每一个服务都需要编写模块或者单独的程序 实现一个标准的框架,以容纳各种不同类型的服务 软件实现的可扩展性和可重用性 客户软件 软件需要定制或者改写 对于最终用户的透明性? 协议对于应用层网关的处理 协议设计时考虑到中间代理的存在,特别是在考虑安全性,比如数据完整性的时候
应用层网关—代理服务器 发展方向——智能代理 两个代理服务器的实现例子 不仅仅完成基本的代理访问功能 还可以实现其他的附加功能,比如 对于内容的自适应剪裁 增加计费功能 提供数据缓冲服务 两个代理服务器的实现例子 MSP – Microsoft Proxy Server squid
Microsoft Proxy Server 2.0 一个功能强大的代理服务器 提供常用的Internet服务 除了基本的Web Proxy,还有Socks Proxy和Winsock Proxy 强大的cache和log功能 对于软硬件的要求比较低 安装管理简单 与NT/2000集成的认证机制 扩展的一些功能 反向proxy: proxy作为Internet上的一个Web server 反向hosting,以虚拟Web Server的方式为后面的Web Server独立地发布到Internet上 安全报警
电路层网关 本质上,也是一种代理服务器 有状态的包过滤器 动态包过滤器 状态 上下文环境 流状态 认证和授权方案 例子:socks
常见防火墙系统模型 常见防火墙系统一般按照四种模型构建 几个概念 筛选路由器模型 单宿主堡垒主机(屏蔽主机防火墙)模型 双宿主堡垒主机模型(屏蔽防火墙系统模型) 屏蔽子网模型。 几个概念 堡垒主机(Bastion Host):对外部网络暴露,同时也是内部网络用户的主要连接点 单宿主主机(single-homed host):只有一个网络接口的通用计算机系统 双宿主主机(dual-homed host):至少有两个网络接口的通用计算机系统 DMZ(Demilitarized Zone,非军事区或者停火区):在内部网络和外部网络之间增加的一个子网
筛选路由器模型 筛选路由器模型是网络的第一道防线,功能是实施包过滤。创建相应的过滤策略时对工作人员的TCP/IP的知识有相当的要求,如果筛选路由器被黑客攻破那么内部网络将变得十分的危险。该防火墙不能够隐藏内部网络的信息,不具备监视和日志记录功能。
单宿主堡垒主机模型 单宿主堡垒主机(屏蔽主机防火墙)模型由包过滤路由器和堡垒主机组成。该防火墙系统提供的安全等级比包过滤防火墙系统要高,因为它实现了网络层安全(包过滤)和应用层安全(代理服务)。所以入侵者在破坏内部网络的安全性之前,必须首先渗透两种不同的安全系统。
双宿主堡垒主机模型 双宿主堡垒主机模型(屏蔽防火墙系统)可以构造更加安全的防火墙系统。双宿主堡垒主机有两种网络接口但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行将所有去往内部网络的信息经过堡垒主机。
屏蔽子网模型 屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一,因为在定义了“中立区”(DMZ,Demilitarized Zone)网络后,它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组,以及其它公用服务器放在DMZ网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备。
配置方案一 屏蔽主机方案:单宿主堡垒主机 只允许堡垒主机可以与外界直接通讯 优点:两层保护:包过滤+应用层网关;灵活配置 缺点:一旦包过滤路由器被攻破,则内部网络被暴露
配置方案二 屏蔽主机方案:双宿主堡垒主机 从物理上把内部网络和Internet隔开,必须通过两层屏障 优点:两层保护:包过滤+应用层网关;配置灵活
配置方案三 屏蔽子网防火墙 优点 三层防护,用来阻止入侵者 外面的router只向Internet暴露屏蔽子网中的主机
防火墙的发展 分布式防火墙 应用层网关的进一步发展 与其他技术的集成 认证机制 智能代理 比如NAT、VPN(IPSec)、IDS,以及一些认证和访问控制技术 防火墙自身的安全性和稳定性
本章复习思考题 什么是防火墙?古时候的防火墙和目前通常说的防火墙有什么联系和区别? 简述防火墙的分类,并说明分组过滤防火墙的基本原理。 常见防火墙模型有哪些?比较他们的优缺点。 编写防火墙规则:禁止除管理员计算机(IP为172.18.25.110)外任何一台电脑访问某主机(IP为172.18.25.109)的终端服务(TCP端口3389)。