[网络安全理论与应用第十二章.ppt

第十二章 防火墙技术 基本概念 防火墙定义 为什么需要防火墙 对防火墙的两大需求 防火墙系统四要素 防火墙技术的发展过程 引入防火墙技术的好处 争议及不足 防火墙定义 防火墙是位于两个(或多个)网络间，实施网间访问控制的一组组件的集 合，它满足以下条件： 内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全政策的数据流才能通过防火墙 防火墙自身应对渗透(peneration)免疫 为什么需要防火墙 Why Security is Harder than it Looks 内部网特点 组成结构复杂 各节点通常自主管理 信任边界复杂，缺乏有效管理 有显著的内外区别 机构有整体的安全需求 最薄弱环节原则 为什么需要防火墙 保护内部不受来自Internet的攻击 为了创建安全域 为了增强机构安全策略 对防火墙的两大需求 保障内部网安全 保证内部网同外部网的连通 防火墙系统四要素 安全策略 内部网 外部网 技术手段 防火墙技术发展过程 20世纪70年代和80年代，多级系统和安全模型吸引了大量的研究 屏蔽路由器、网关 防火墙工具包 商业产品防火墙 新的发展 防火墙技术带来的好处 强化安全策略 有效地记录Internet上的活动 隔离不同网络，限制安全问题扩散 是一个安全策略的检查站 争议及不足 使用不便，认为防火墙给人虚假的安全感 对用户不完全透明，可能带来传输延迟、瓶颈及单点失效 不能替代墙内的安全措施 不能防范恶意的知情者 不能防范不通过它的连接 不能防范全新的威胁 不能有效地防范数据驱动式的攻击 当使用端-端加密时，其作用会受到很大的限制 防火墙简图 防火墙的位置 默认安全策略 没有明确禁止的行为都是允许的 没有明确允许的行为都是禁止的 防火墙体系结构 双宿/多宿主机模式 (dual-homed/multi-homed) 屏蔽主机模式 屏蔽子网模式 双宿主机模式 多宿主机模式 屏蔽主机模式 屏蔽主机防火墙系统（单连结点堡垒主机） 屏蔽主机防火墙系统（双连结点堡垒主机） 屏蔽子网模式 实施中的其他问题 最少服务、最小特权原则 使用多堡垒主机 合并内部路由器与外部路由器 合并堡垒主机与外部路由器 合并堡垒主机与内部路由器 使用多台内部路由器 使用多台外部路由器 使用多个周边网络 使用双重宿主主机与屏蔽子网 防火墙相关技术 静态包过滤 动态包过滤 应用程序网关(代理服务器) 电路级网关 网络地址翻译 虚拟专用网 静态包过滤 根据流经该设备的数据包地址信息，决定是否允许该数据包通过 判断依据有(只考虑IP包)： 数据包协议类型：TCP、UDP、ICMP、IGMP等 源、目的IP地址 源、目的端口：FTP、HTTP、DNS等 IP选项：源路由、记录路由等 TCP选项：SYN、ACK、FIN、RST等 其它协议选项：ICMP ECHO、ICMP ECHO REPLY等 数据包流向：in或out 数据包流经网络接口：eth0、eth1 包过滤示例 包过滤示例(续) 动态包过滤 Check point一项称为“Stateful Inspection”的技术 可动态生成/删除规则 分析高层协议 上一个示例的另一种解法(续) 包过滤技术的一些实现 商业版防火墙产品 个人防火墙 路由器 Open Source Software Ipfilter (FreeBSD、OpenBSD、Solaris，…) Ipfw (FreeBSD) Ipchains (Linux 2.0.x/2.2.x) Iptables (Linux 2.4.x) 应用程序网关(代理服务器) 应用程序网关的一些实现 商业版防火墙产品 商业版代理(cache)服务器 Open Source TIS FWTK(Firewall toolkit) Apache Squid 电路级网关 拓扑结构同应用程序网关相同 接收客户端连接请求，代理客户端完成网络连接 在客户和服务器间中转数据 通用性强 电路级网关实现方式 简单重定向 根据客户的地址及所请求端口，将该连接重定向到指定的服务器地址及端口上 对客户端应用完全透明 在转发前同客户端交换连接信息 需对客户端应用作适当修改 Sockify 电路级网关的一些实现 Socks Winsock Dante 网络地址翻译(NAT) 目的 解决IP地址空间不足问题 向外界隐藏内部网结构 方式 M-1：多个内部网地址翻译到1个IP地址 1-1：简单的地址翻译 M-N：多个内部网地址翻译到N个IP地址池 虚拟专用网(VPN) 各级网络安全技术 关于防火墙技术的一些观点 防火墙技术是一项已成熟的技术 目前更需要的是提高性能，尤其是将它集成到更大的安全环境中去时：