第五章 防火墙技术 深职院 计算机网络技术专业 池瑞楠.

Presentation on theme: "第五章 防火墙技术 深职院 计算机网络技术专业 池瑞楠."— Presentation transcript:

1 第五章 防火墙技术 深职院 计算机网络技术专业 池瑞楠

2 本章学习目标 了解防火墙的定义、发展简史、目的、功能、局限性及其发展动态和趋势。
掌握包过滤防火墙和和代理防火墙的实现原理、技术特点和实现方式；熟悉防火墙的常见体系结构。 熟悉防火墙的产品选购和设计策略。

3 5.1　防火墙技术概述 防火墙的定义 防火墙的功能和局限性 防火墙的发展简史 返回本章首页

4 防火墙的定义 防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。
它是不同网络或网络安全域之间信息的唯一出入口 。

5 防火墙的功能 访问控制 对网络存取和访问进行监控审计 防止内部信息的外泄 支持VPN功能 支持网络地址转换 ……

6 防火墙的基本特征 内部网络和外部网络之间的所有网络数据流都必须经过防火墙 只有符合安全策略的数据流才能通过防火墙
防火墙自身应具有非常强的抗攻击免疫力

7 防火墙的局限性 防火墙不能防范不经过防火墙的攻击。如拨号访问、内部攻击等。 防火墙不能解决来自内部网络的攻击和安全问题。
防火墙不能防止策略配置不当或错误配置引起的安全威胁。 防火墙不能防止利用标准网络协议中的缺陷进行的攻击。 防火墙不能防止利用服务器系统漏洞所进行的攻击。 防火墙不能防止受病毒感染的文件的传输。 防火墙不能防止数据驱动式的攻击。有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。 防火墙不能防止本身的安全漏洞的威胁。目前还没有厂商绝对保证防火墙不会存在安全漏洞。 防火墙不能防止可接触的人为或自然的破坏。

8 防火墙的发展简史

9 5.2 防火墙的分类 按形态分类 软件防火墙 硬件防火墙 保护整个网络 按保护对象分类 保护单台主机 网络防火墙 单机防火墙

10 单机防火墙&网络防火墙 单机防火墙 网络防火墙 保护单台主机 安全策略分散 安全功能简单 普通用户维护 安全隐患较大 策略设置灵活
产品形态 软件 硬件或者软件 安装点 单台独立的 Host 网络边界处 安全策略 分散在各个安全点 对整个网络有效 保护范围 单台主机 一个网段 管理方式 分散管理 集中管理 功能 功能单一 功能复杂、多样 管理人员 普通计算机用户 专业网管人员 安全措施 单点安全措施 全局安全措施 结论 单机防火墙是网络防火墙的有益补充，但不能代替网络防火墙为内部网络提供强大的保护功能 保护单台主机 安全策略分散 安全功能简单 普通用户维护 安全隐患较大 策略设置灵活 保护整个网络 安全策略集中 安全功能复杂多样 专业管理员维护 安全隐患小 策略设置复杂

11 硬件防火墙&软件防火墙 仅获得Firewall软件，需要准备额外的OS平台 硬件+软件，不用准备额外的OS平台 安全性依赖低层的OS
网络适应性弱（主要以路由模式工作） 稳定性高 软件分发、升级比较方便 硬件+软件，不用准备额外的OS平台 安全性完全取决于专用的OS 网络适应性强（支持多种接入模式） 稳定性较高 升级、更新不太灵活 操作系统平台 安全性 性能 稳定性 网络适应性 分发 升级 成本 硬件防火墙 基于精简专用OS 高 较高 强 不易 较容易 Price=firewall+Server 软件防火墙 基于庞大通用OS 较强 非常容易 容易 Price=Firewall

12 按防火墙的体系结构分类 多宿主主机 被屏蔽主机 被屏蔽子网

13 概念 堡垒主机(Bastion host):堡垒主机是一种配置了安全防范措施的网络上的计算机，堡垒主机为网络之间的通信提供了一个阻塞点，也就是说如果没有堡垒主机，网络之间将不能相互访问。 DMZ(Demilitarized Zone，非军事区或者停火区)：为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施。

14 双宿主主机 （Dual-Homed Host Firewall）

15 被屏蔽主机 (Screened Host Firewall)
外部网络必须通过堡垒主机才能访问内部网络中的资源。 内部网络中的计算机则可以通过堡垒主机或者屏蔽路由器访问外部网络中的某些资源

16 被屏蔽子网 (Screened subnet Firewall)
内网可以访问外网 内网可以访问DMZ 外网不能访问内网 外网可以访问DMZ中的服务器 DMZ不能访问内网和外网

17 5.3 防火墙实现技术原理 简单包过滤防火墙 动态包过滤(状态检测) 防火墙 应用代理防火墙 包过滤与应用代理复合型防火墙

18 1．简单包过滤防火墙 （Packet filtering）
数据包过滤技术的发展：静态包过滤、动态包过滤。 包过滤防火墙在网络层实现数据的转发，包过滤模块一般检查网络层、传输层内容，包括下面几项： ① 源、目的IP地址； ② 源、目的端口号； ③ 协议类型； ④ TCP报头的标志位。

19 简单包过滤防火墙的工作原理1

20 简单包过滤防火墙的工作原理2 应用层 数据 应用层 数据 TCP 层 TCP 数据 TCP 层 数据 TCP IP 层 IP TCP 数据 IP 层 TCP 数据 IP 只检查报头 网络接口层 ETH TCP 数据 IP 网络接口层 TCP 数据 IP ETH 简单包过滤防火墙不检查数据区 简单包过滤防火墙不建立连接状态表 前后报文无关 应用层控制很弱 TCP 数据 IP

21 包过滤防火墙的工作流程

22 包过滤防火墙的特点 优点： 缺点： 保护整个网络；对用户透明；可用路由器，不需要其他设备。
1.包过滤的一个重要的局限是它不能分辨好的和坏的用户，只能区分好的包和坏的包。 2.包过滤规则难配置。 3.新的协议的威胁。 4.IP欺骗

23 应用实例 要求： 1.内网的用户可以访问所有的WEB服务器。 2.外网的用户只可以访问内部的WEB服务器（ ）。

24 E0访问规则 【问题】 1.第一条中源地址是否可以改为any?为什么？ 2.第一条中源端口是否可以改为any?为什么？
方向 动作 源地址 源端口 目的地址 目的端口 协议 进站 允许 /24 >1023 any 80 TCP 拒绝 【问题】 1.第一条中源地址是否可以改为any?为什么？ 2.第一条中源端口是否可以改为any?为什么？ 3.S0口需要什么样的规则？ 答案： 1.可以改为any，不影响正常用户的使用，但是某些用户伪装源IP，可以实现攻击。 2.源端口可以改为any，不影响正常用户的使用，但是对于内网是不安全的，万一其他端口的过滤规则做的不好，外面的用户可以访问内网的FTP等应用了，或者针对内网135、139等端口的扫描和SYN攻击。

25 S0访问规则 【问题】 1. 攻击者在内网安装了一个服务端的端口大于1023，客户端的端口是80的木马，是否可以通过这个防火墙？
方向 动作 源地址 源端口 目的地址 目的端口 协议 进站 允许 any >1023 80 TCP /24 拒绝 【问题】 1. 攻击者在内网安装了一个服务端的端口大于1023，客户端的端口是80的木马，是否可以通过这个防火墙？ 2.防火墙是否能够阻挡对服务器的SYN扫描？ 1、可以（这里说的还是传统类型的木马——由客户端主动连接服务器的）。 2、不能。

26 判断数据包的标志位 【问题】 1.此时防火墙是否能够阻挡对服务器的SYN扫描？ 2.对于特殊构造了标志位的数据包？
方向 动作 源地址 源端口 目的地址 目的端口 协议 标志位 进站 允许 any >1023 80 TCP established 拒绝 【问题】 1.此时防火墙是否能够阻挡对服务器的SYN扫描？ 2.对于特殊构造了标志位的数据包？ 3.是否可以阻挡反弹端口的木马？ 1、不能 2、不能 3、不能，所有的防火墙都不能阻止反弹端口的木马。

27 2. 动态包过滤 (状态检测) 防火墙 工作原理1：

28 动态包过滤 (状态检测) 防火墙的工作原理2 建立连接状态表 只检查报头
应用层 数据 应用层 数据 TCP 层 TCP 数据 TCP 层 数据 TCP 建立连接状态表 IP 层 IP TCP 数据 IP 层 TCP 数据 IP 只检查报头 网络接口层 ETH TCP 数据 IP 网络接口层 TCP 数据 IP ETH TCP 数据 IP 不检查数据区 建立连接状态表 前后报文相关 应用层控制很弱

29 应用实例 【问题】 动态包过滤防火墙如何解决了特殊构造了标志位的数据包？但是还是无法阻挡反弹端口的木马。 …… 规则 1. SYN 允许
TCP 开始攻击 IP SYN 允许 TCP 开始攻击 IP 连接表 2. ACK TCP 开始攻击 IP 允许 TCP 开始攻击 IP …… n. TCP 开始攻击 IP SYN 通过建立动态连接表，对数据包的前后关系进行检查 【问题】 动态包过滤防火墙如何解决了特殊构造了标志位的数据包？但是还是无法阻挡反弹端口的木马。

30 动态包过滤防火墙的工作流程

31 3．代理防火墙（Proxy Server） 代理防火墙的工作过程：

32 代理防火墙的工作原理

33 代理服务器的类型 HTTP代理：代理客户机的http访问，主要代理浏览器访问网页，它的端口一般为80、8080、3128等。
FTP代理：代理客户机上的ftp软件访问ftp服务器，其端口一般为21、2121。 POP3代理：代理客户机上的邮件软件用pop3方式收邮件，其端口一般为110。 Telnet代理：能够代理通信机的telnet，用于远程控制，入侵时经常使用。其端口一般为23。 Socks代理：是全能代理，支持多种协议，包括http、ftp请求及其它类型的请求，其标准端口为1080。 ……

34 应用实例 例1：不允许上www.sina.com。 方法： 1.使用包过滤防火墙把www.sina.com服务器的所有IP过滤掉。
, , , , , , , , , , , , 例1：不允许上 方法： 1.使用包过滤防火墙把 2.使用代理防火墙过滤域名 clint

35 Client用SOCKS5 SOCKS5代理服务器 170.1.1.* 【问题】
可以，因为代理防火墙可以把

36 Client用“特殊”的HTTP代理 【说明】
HTTP代理需要“特殊” 定制，代理服务器知道这类client端发出的请求是要访问

37 代理技术的优点 代理易于配置。 代理能生成各项记录。 代理能灵活、完全地控制进出流量、内容。 代理能过滤数据内容。
代理能为用户提供透明的加密机制。 代理可以方便地与其他安全手段集成。

38 代理技术的缺点 代理速度较路由器慢。 代理对用户不透明。 对于每项服务代理可能要求不同的服务器。 代理服务不能保证免受所有协议弱点的限制。
代理防火墙提供应用保护的协议范围是有限的 。

39 自适应代理防火墙 检测应用层的头部信息，然后在网络层转发。

40 复合型防火墙的工作原理 建立连接状态表 检查整个报文内容 101001001001010010000011100111101111011
应用层 数据 应用层 数据 TCP 层 TCP 数据 TCP 层 数据 TCP 建立连接状态表 IP 层 IP TCP 数据 IP 层 TCP 数据 IP 可以检查整个数据包内容 根据需要建立连接状态表 网络层保护强 应用层控制细 会话控制较弱 检查整个报文内容 网络接口层 ETH TCP 数据 IP 网络接口层 TCP 数据 IP ETH TCP 数据 IP

41 防火墙核心技术比较               
综合安全性 网络层保护 应用层保护 应用层透明 整体性能 处理对象 简单包过滤防火墙 状态检测包过滤防火墙 应用代理防火墙 复合型防火墙      单个包报头      单个包报头      单个包全部      单个包全部

42 5.4 防火墙的应用实验（一） 瑞星个人防火墙2008版

43 5.4 防火墙的应用实验（二） 代理类型—CCProxy 1.设置IE的HTTP代理参数，观察经过代理后，数据包头的变化。
2.设置IE的socks代理参数，观察经过代理后，数据包头的变化。 3. CCProxy常用功能的设置： 用户 IP+MAC 内容 流量

44 补充：防火墙其它功能 安全审计 双地址路由 负载均衡 端口映射 双机热备 DHCP环境支持 防御功能 MAC绑定功能 联动功能 带宽管理
内容过滤 VPN功能 双地址路由 端口映射 DHCP环境支持 MAC绑定功能 带宽管理 多协议支持 安全审计：通过对被保护网络的敏感信息访问保持不间断的记录，以不同类型的报擎提示向管理人员报告，帮助管理员事后分析 防御功能：能防御的 DoS攻击类型 、支持病毒扫描 、阻止 ActiveX、Java、Cookies、Javascript侵入 联动功能： 内容过滤：HTTP、FTP、SMTP等协议层，根据过滤条件，对信息流进行控制，防火墙控制的结果是：允许通过、修改后允许通过、禁止通过、记录日志、报警等。 过滤内容主要指URL、HTTP携带的信息：Java Applet、 JavaScript、ActiveX和电子邮件中的Subject、To、From域等。 Vpn功能： 带宽管理：

45 服务器负载均衡 负载均衡算法： 顺序选择地址+权值 根据PING的时间间隔来选择地址+权值 根据Connect的时间间隔来选择地址+权值
负载均衡有两方面的含义：首先，大量的并发访问或数据流量分担到多台节点设备上分别处理，减少用户等待响应的时间；其次，单个重负载的运算分担到多台节点设备上做并行处理，每个节点设备处理结束后，将结果汇总，返回给用户，系统处理能力得到大幅度提高。

46 双机热备（HA)功能 通过协议交换两台防火墙的状态信息
当主防火墙出现故障或宕机时，这台防火墙的连接不需要从新建立就可以透明的迁移到从防火墙，用户感觉不到任何变化。

47 双地址路由功能

48 MAP (端口映射)

49 对DHCP应用环境的支持 根据Host B的MAC地址进行访问控制 设定Host B的MAC地址 设定Host B的IP地址为空

50 IP与MAC地址绑定后，不允许Host B假冒Host A的IP地址上网

51 多协议支持 支持动态路由 多协议支持 对OSPF路由协议的支持 对RIP、RIP2协议的支持 对NETBEUI、VOD协议的支持
支持 802.1q 和 Cisco 的 ISL 协议 等VLAN专用协议 支持DHCP、BOOTP协议……

52 5.5 防火墙性能指标 最大位转发率 吞吐量 延时 丢包率 背靠背 最大并发连接数 最大并发连接建立速率 平均无故障间隔时间

53 最大位转发率 定义：防火墙的位转发率指在特定负载下每秒钟防火墙将允许的数据流转发至正确的目的接口的位数。
最大位转发率指在不同的负载下反复测量得出的位转发率数值中的最大值 备注：将测试结果乘以帧长就是位转发率

54 吞吐量 定义：在不丢包的情况下能够达到的最大速率
衡量标准：吞吐量作为衡量防 火墙性能的重要指标之一,吞吐量小就会造成网络新的瓶颈，以至影响到整个网络的性能

55 延时 定义：入口处输入帧最后1个比特到达至出口处输出帧的第一个比特输出所用的时间间隔 衡量标准：防火墙的时延能够体现它处理数据的速度
造成数据包延迟到达目标地 数据包首先排队待防火墙检查后转发

56 丢包率 丢包率=（1000-800）/1000=20% 定义：在连续负载的情况下，防火墙设备由于资源不足应转发但却未转发的帧百分比
衡量标准：防火墙的丢包率对其稳定性、可靠性有很大的影响 防火墙由于资源不足只转发了800个包 丢包率=（ ）/1000=20%

57 背靠背 定义：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数。
衡量标准：背对背包的测试结果能体现出被测防火墙的缓冲容量 ,网络上经常有一些应用会产生大量的突发数据包（例如：NFS,备份，路由更新等），而且这样的数据包的丢失可能会产生更多的数据包，强大缓冲能力可以减小这种突发对网络造成的影响。 包数量（n） 背靠背指标体现防火墙对突发数据的处理能力 峰值 时间（t） 少量包 包增多 包减少 没有数据

58 并发连接数 定义：指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数
衡量标准：并发连接数的测试主要用来测试被测防火墙建立和维持TCP连接的性能，同时也能通过并发连 接数的大小体现被测防火墙对来自于客户端的TCP连接请求的响应能力。 并发连接数指标可以用来衡量穿越防火墙的主机之间能同时建立的最大连接数

59 最大并发连接建立速率 定义：指穿越防火墙的主机之间或主机与防火墙之间单位时间内建立的最大连接数 。
衡量标准：最大并发连接数建立速率主要用来衡量防火墙单位时间内建立和维持TCP连接的能力 单位时间内增加的并发连接数

60 防火墙功能指标 分级带宽管理 LAN接口 多协议支持 认证支持 高级访问控制

61 小型网络解决方案

62 典型的网络安全解决方案

63 双机热备