防火墙技术介绍 严峻的网络安全形势,促进了防火墙技术的不断发展。防火墙是一种综合性的科学技术,涉及网络通信、数据加密、安全决策、信息安全、硬件研制、软件开发等综合性课题。
防火墙的基本概念 防火墙的定义 防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力,它是提供信息安全服务、实现网络和信息安全的基础设施。图8.1为防火墙示意图。
图1 防火墙示意图 返回本节
防火墙的发展简史 第一代防火墙:采用了包过滤(Packet Filter)技术。 第二、三代防火墙:1989年,推出了电路层防火墙,和应用层防火墙的初步结构。 第四代防火墙:1992年,开发出了基于动态包过滤技术的第四代防火墙。 第五代防火墙:1998年,NAI公司推出了一种自适应代理技术,可以称之为第五代防火墙。
图 2 防火墙技术的简单发展历史 返回本节
设置防火墙的目的和功能 (1)防火墙是网络安全的屏障 (2)防火墙可以强化网络安全策略 (3)对网络存取和访问进行监控审计 (4)防止内部信息的外泄 返回本节
防火墙的局限性 (1)防火墙防外不防内。 (2)防火墙难于管理和配置,易造成安全漏洞。 (3)很难为用户在防火墙内外提供一致的安全策略。 (4)防火墙只实现了粗粒度的访问控制。 返回本节
防火墙技术发展动态和趋势 (1)优良的性能 (2)可扩展的结构和功能 (3)简化的安装与管理 (4)主动过滤 (5)防病毒与防黑客 返回本节
防火墙技术 防火墙的技术种类 1.包过滤防火墙 2.代理防火墙 3.状态监视器防火墙 4.复合式防火墙
包过滤防火墙 包过滤防火墙的工作原理 采用这种技术的防火墙产品,通过在网络中的适当位置对数据包进行过滤,根据检查数据流中每个数据包的源地址、目的地址、所有的TCP端口号和TCP链路状态等要素,然后依据一组预定义的规则,以允许合乎逻辑的数据包通过防火墙进入到内部网络,而将不合乎逻辑的数据包加以删除。
包过滤防火墙 (1)数据包过滤技术的发展:静态包过滤、动态包过滤。 (2)包过滤的优点:不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高。
(3)包过滤的缺点:不能彻底防止地址欺骗;一些应用协议不适合于数据包过滤(如UDP协议);正常的数据包过滤路由器无法执行某些安全策略;安全性较差 ;数据包工具存在很多局限性。
图3 包过滤处理
图4 静态包过滤防火墙
图5 动态包过滤防火墙
代理防火墙 (1)代理防火墙的原理: 代理防火墙运行在两个网络之间,它对于客户来说像是一台真的服务器一样,而对于外界的服务器来说,它又是一台客户机。当代理服务器接收到用户的请求后,会检查用户请求的站点是否符合公司的要求,如果公司允许用户访问该站点的话,代理服务器会像一个客户一样,去那个站点取回所需信息再转发给客户。
代理技术的优点 1)代理易于配置。 2)代理能生成各项记录。 3)代理能灵活、完全地控制进出流量、内容。 4)代理能过滤数据内容。 5)代理能为用户提供透明的加密机制。 6)代理可以方便地与其他安全手段集成。
代理技术的缺点 1)代理速度较路由器慢。 2)代理对用户不透明。 3)对于每项服务代理可能要求不同的服务器。 4)代理服务不能保证免受所有协议弱点的限制。 5)代理不能改进底层协议的安全性。
代理的工作方式
两种防火墙技术 返回本节
状态监视器防火墙 (1) 状态监视器防火墙的工作原理 这种防火墙安全特性非常好,它采用了一个在网关上执行网络安全策略的软件引擎,称之为检测模块。检测模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施监测,抽取部分数据,即状态信息,并动态地保存起来作为以后指定安全决策的参考。
(2) 状态监视器防火墙的优缺点 状态监视器的优点: 检测模块支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。 它会监测RPC和UDP之类的端口信息,而包过滤和代理网关都不支持此类端口。 性能坚固 状态监视器的缺点: 配置非常复杂。 会降低网络的速度。
4.复合式防火墙 常见是代理服务器和状态分析技术的组合 具有对一切连接尝试进行过滤的功能; 提取和管理多种状态信息的功能; 智能化做出安全控制和流量控制的决策; 提供高性能的服务和灵活的适应性; 具有网络内外完全透明的特性。
防火墙的优缺点 优点: 1、保护网络中脆弱的服务 2、实现网络安全性监视和实时报警 3、增强保密性和强化私有权 4、实现网络地址转换 5、实现安全性失效和自动故障恢复 缺点: 1、不能防范恶毒的知情者(内网用户和内外串通) 2、不能防范不经过它的连接 3、不能防备全部的威胁,特别是新产生的威胁 4、不能有效地防范病毒的攻击
现代防火墙的安全技术及实现方式 第四代防火墙技术 第四代防火墙,具有安全操作系统的防火墙产品。 1.双端口或三端口的结构 新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不作IP转化而串接于内部网与外部网之间,另一个网卡可专用于对服务器的安全保护。
2.透明的访问方式 以前的防火墙在访问方式上要么要求用户作系统登录,要么需要通过SOCKS等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险和出错概率。 3.灵活的代理系统 代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。第四代防火墙采用了两种代理机制,一种用于代理从内部网络到外部网络的连接,另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转换(NAT)技术来解决,后者采用非保密的用户定制代理或保密的代理系统技术来解决。
4.多级的过滤技术 为保证系统的安全性和防护水平,第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒的IP源地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所用通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。 5.网络地址转换技术(NAT) 第四代防火墙利用NAT技术能透明地对所有内部地址作转换,使外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的IP地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
6. Internet网关技术 由于是直接串连在网络之中,第四代防火墙必须支持用户在Internet互连的所有服务,同时还要防止与Internet服务有关的安全漏洞。故它要能以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”作物理上的隔离。 7、安全服务器网络(SSN) 利用保护策略对服务器实施保护,利用网卡将对外服务器作独立网络处理,与内部网关安全隔离。
8.用户鉴别与加密 为了降低防火墙产品在Telnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少,第四代防火墙采用一次性使用的口令字系统来作为用户的鉴别手段,并实现了对邮件的加密。 9.用户定制服务 为满足特定用户的特定需求,第四代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用TCP,出站UDP、FTP、SMTP等类,如果某一用户需要建立一个数据库的代理,便可利用这些支持,方便设置。
10.审计和告警 第四代防火墙产品的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、域名服务器等。告警功能会守住每一个TCP或UDP探寻,并能以发出邮件、声响等多种方式报警。
防火墙的基本组成结构 1.屏蔽路由器 2.双宿堡垒主机 3.屏蔽主机防火墙 4.屏蔽子网防火墙
1.屏蔽路由器 又称包过滤路由器,在一般路由器的基础上增加了一些新的安全控制功能,是一个检查通过它的数据包的路由器。 屏蔽路由器示意图
2.双宿堡垒主机 又称应用型防火墙,在运行防火墙软件的堡垒主机上运行代理服务器。 双宿堡垒主机示意图
3.屏蔽主机防火墙 屏蔽主机防火墙由包过滤路由器和堡垒主机(Bastion Host)组成,它所提供的安全性能要比包过滤防火墙系统要强,因为它实现了网络层安全(包过滤)和应用层安全(代理服务)的结合。当入侵者在破坏内部网络的安全性之前,必须首先突破这两种不同的安全系统。 屏蔽主机网关示意图
原理和实现过程 : 堡垒主机位于内部网络上,而包过滤路由器则放置在内部网络和外部网络之间。在路由器上设置相应的规则,使得外部系统只能访问堡垒主机。由于内部主机与堡垒主机处于同一个网络,内部系统是否允许直接访问外部网络,或者是要求使用堡垒主机上的代理服务来访问外部网络完全由企业的安全策略来决定。对路由器的过滤规则进行配置,使得其只接收来自堡垒主机的内部数据包,就可以强制内部用户使用代理服务,从而加强内部用户对外部Internet访问的管理。
4.屏蔽子网防火墙 屏蔽子网防火墙利用两台屏蔽路由器把子网与内外部网络隔离开,堡垒主机、信息服务器、Modem组,以及其他公用服务器放在该子网中,这个子网称为“停火区”或“非军事区”(DeMilitarised Zone,DMZ) 屏蔽子网防火墙示意图
防火墙的物理位置 1、服务器置于防火墙之内 2、服务器置于防火墙之外 3、服务器置于防火墙之上
如图所示,将Web服务器装在防火墙内的好处是它得到了安全保护,不容易被黑客闯入。 1、 服务器置于防火墙之内 如图所示,将Web服务器装在防火墙内的好处是它得到了安全保护,不容易被黑客闯入。 内部网 Web 服务器 防火墙 Internet
如图所示,为保证内部网络的安全,将Web服务器完全置于防火墙之外是比较合适的。在这种模式中,Web服务器不受保护,但内部网则处于保护之下。 2、 服务器置于防火墙之外 如图所示,为保证内部网络的安全,将Web服务器完全置于防火墙之外是比较合适的。在这种模式中,Web服务器不受保护,但内部网则处于保护之下。 内部网 Web 服务器 防火墙 Internet
如图所示,有些管理者试图在防火墙机器上运行Web服务器,以此增强Web站点的安全性。 3 服务器置于防火墙之上 如图所示,有些管理者试图在防火墙机器上运行Web服务器,以此增强Web站点的安全性。 内部网 Web 防火墙和 服务器 Internet