第五章防火墙技术和VPN12课时.docx

1、第五章防火墙技术和VPN12课时第五章 防火墙技术和VPN（1-2课时）一、教学对象：02(秋)、03（春、秋）计算机专业二、教学目标：1、了解防火墙的定义、功能和局限性。2、了解防火墙的分类、基本技术、常见体系结构。3、掌握防火墙的访问控制策略和防火墙的配置。3、了解防火墙的性能指标、选择原则和主要的防火墙产品。4、了解防火墙技术的发展趋势。三、重点和难点（1）重点： 理解防火墙的定义。 了解防火墙的分类、常见体系结构。 掌握防火墙的访问控制策略和防火墙的配置。（2）难点： 了解防火墙的分类、基本技术、常见体系结构。 掌握防火墙的访问控制策略和防火墙的配置。 了解防火墙的性能指标、选择原则和

2、主要的防火墙产品。四、教学内容第一节 防火墙技术概述一、什么是防火墙防火墙是一个或一组在两个网络之间执行访问控制策略的系统，包括硬件和软件，目的是保护网络不被可疑人侵扰。本质上说，它遵从的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。防火墙是不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制出入网络的信息流。任何一个好的防火墙必须具备以下三个特性： 所有在内部网络和外部网络之间传输的数据必须通过防火墙； 只有被授权的合法数据即防火墙系统中安全策略

3、允许的数据可以通过防火墙。 防火墙本身不受各种攻击的影响。在逻辑上，防火墙是一个分离器、一个限制器、也是一个分析器，有效地监控内部网和Internet之间的任何活动，保证内部网络的安全。防火墙的逻辑结构图如下所示：从物理上讲，防火墙通常是一组硬件设备（路由器、主机）和软件的多种组合。二、防火墙的功能1、控制不安全的服务，保护易受攻击的服务。防火墙可以控制不安全的服务，只有授权的协议和服务才能通过防火墙。防火墙能防止易受攻击的服务，如NFS进出子网，这使得子网免于受来自外界的基于该服务的攻击。防火墙还能阻止基于路由的攻击策略，防火墙会拒绝这种攻击试探。2、站点访问控制防火墙可以提供对指定站点的访

4、问控制，比如有些主机允许被外部网络访问，而有些则要被保护起来，防止不必要、也不安全的访问。3、集中式的安全保护使用防火墙，可以将所有需要修改的软件和附件的安全软件都放在防火墙上，而不使用防火墙就必须将所有软件分散到各个主机上。使用防火墙，保护相对集中、经济。4、防止内部信息外漏通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。可以防止DNS等服务对私有信息的泄漏。5、网络连接的日志记录和使用统计如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙

5、能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。三、防火墙的缺点1、不能防范恶意的知情者2、防火墙不能防范不通过它的连接3、防火墙不能防备全新的威胁4、防火墙不能防范病毒（只针对源、目标地址和端口号，不扫描数据的确切内容）第二节 防火墙的分类一、按产品形态划分1、 软件防火墙2、 软硬一体化防火墙3、 硬件防火墙（操作系统内核安全应用软件）二、按适用范围划分1、网络防火墙（电信级防火墙、企业级防火墙、SOHO防火墙）：不是针对每台主机分别进行保护，而是让所有对信息的访问通过某一点，并保护这一点。2、主机防火墙：以软件的形式驻留在受保护的机器上，起保护单个机器的作用。对一个网络来说，防

6、护措施应该是全方位的，既要有在网络边界的网络防火墙，又要有驻留在单台主机上的主机防火墙。三、按应用技术划分1、包过滤防火墙。作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。包过滤防火墙遵循“最小特权原则”，即明确允许那些管理员希望通过的数据包通过，而禁止其他的数据包通过。优点： 不用改动应用程序 数据包过滤对用户透明。 过滤路由器速度快，效率高。缺点 不能彻底防止地址欺骗。 有些应用协议不适合于数据报过滤。如FTP。 不能执行基于用户的安全策略。2、代理防火墙

7、它作用在应用层，其特点是完全 阻隔 了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。代理服务器作为内部网络客户端的服务器，拦截住所有请求，并向代理客户转发；代理客户负责代表内部客户端向外部服务器发出请求，并将从外部服务器获得的响应向代理服务器转发；最后，代理服务器将获得的响应转发给内部真实的客户端。代理服务器有应用层代理防火墙和电路层代理防火墙两种。优点： 内外网络不直接接触，这种防火墙的安全性好。 可以灵活地控制进出的流量和内容。 可以生成各种类型的记录，方便审计和进行日志分析。 代理易于配置。缺点： 代理速度较路由器慢，不太适用于高速网之间的应用； 代

8、理对用户不透明； 对于每项服务代理可能要求不同的服务器。3、 复合防火墙结合使用包过滤防火墙和代理防火墙，以取长补短。屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与 Internet 相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒机成为 Internet 上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个分组过滤路由器放在这一子网的两端，使这一子网与 Internet 及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了整个防

9、火墙的安全基础。四、按网络接口划分1、千兆防火墙2、百兆防火墙3、十兆防火墙第三节 防火墙的主要技术一、包过滤技术包过滤技术是防火墙最基本的功能，现在防火墙已经由最初的地址、端口判定控制，发展到判断通信报文协议头的各部分，以及通信协议的应用层命令、内容、用户认证、用户规则甚至状态监测等。包过滤技术包括，静态包过滤和动态包过滤。一般防火墙的包过滤的过滤规则是在启动时配置好的，只有系统管理员才可以修改，是静态存在的，称为静态规则。这种类型的防火墙根据定义好的过滤规则审查每个数据包，即与规则表进行比较，以便确定其是否与某一条包过滤规则匹配。动态包过滤跟踪防火墙建立的每一个连接，并根据需要动态地在过滤

10、规则中增加和更新条目，将属于同一连接的所有包作为一个整体的数据流看待，通过规则表与连接状态表的共同配合进行检查。二、代理服务技术在应用网关上运行应用代理程序，一方面代替原来的客户建立连接，另一方面代替原来的客户程序，与服务器建立连接，使得用户可以通过应用网关安全地使用Internet服务，而对于非法用户的请求将不予理睬。三、多级的过滤技术防火墙采用包、应用网关、电路网关的三级过滤措施。在包过滤一级，能过滤掉所有的源路由分组和假冒的IP源地址；在应用网关一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所有通用服务；在电路网关一级，实现内部主机与外部站点的透明连接，并对服务

11、的执行严格的控制。四、网络地址转换技术（NAT）NAT是一种用于把内部IP地址转换成临时的、外部的IP地址的技术。当不同的内部网络向外连接时使用相同的IP地址，而内部网络互相通信时则使用内部IP地址。这样，两个IP地址就不会发生冲突，防火墙利用NAT技术能透明地对所有内部地址做转换，使得外部网络无法了解内部网络的内部结构，并可以节省IP资源，同时允许内部网络使用自己编的IP源地址和专用网络，防火墙能详尽记录每个主机的通信，确保每个分组送往正确的地址。五、Internet网关技术由于防火墙直接串接在网络之中，它必须支持用户在Internet上的所有服务，同时还要防止与Internet服务有关的安

12、全漏洞。故它要能以多种安全的应用服务器（包括FTP、Finger、Mail、Ident、News、WWW等）来实现网关功能。采用两种独立的域名服务器，一种是内部DNS服务器，主要处理内部网络的DNS信息，另一种是外部DNS服务器，专门用于处理机构内部向Internet提供的部分DNS信息。六、安全服务器网络（SSN）防火墙采用分别保护的策略保护对外服务器，它利用一张网卡将对外服务器作为一个独立网关完全隔离。SSN与外部网之间有防火墙保护，SSN与内部网之间也有防火墙保护，一旦SSN受到破坏，内部网络仍会处于防火墙的保护之中。七、审计和告警现在的防火墙产品的审计和告警功能已十分完善，都包含日志文

13、件详细记录网络通信信息，日志文件包括：一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、域名服务器等。第四节 防火墙的体系结构一、屏蔽路由器体系结构1、屏蔽路由器的体系结构屏蔽路由器（Screening Router），包过滤路由器，是最简单、最常见的防火墙。它位于内部网络和外部网络之间。优点： 容易实现，费用少。 网络层实现，对用户透明。缺点： 没有或很少有日志功能。 规则表随着应用的深化而变得很大而且复杂。 依靠一个单一的部件保护系统，一旦部件出现问题，会使网络的大门敞开。

14、2、屏蔽路由器的规则（P90） 失效安全原则：如果一个分组不满足任何规则，则该分组被阻塞。 宽容原则：没有被明确禁止的就是允许的。二、双重宿主主机体系结构这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机，又称堡垒主机，用两个网络适配器分别连接两个网络。这样的主机可以充当与这些接口相连的网络之间的路由器，并能够从一个网络到另一个网络发送IP数据包。然而，实现双重宿主主机的防火墙体系结构必须禁止这种发送，应为它会使宿主网关失去“放火”功能。因此，IP数据报从一个网络并不是直接发送到其他网络。防火墙内部的网络系统能与双重宿主主机通信，同时防火墙外部的网络系统也能与双重宿主主机通信。通过

15、双重宿主主机，防火墙内外的计算机便可以进行通信了，但是这些系统不能直接互相通信，他们之间的通信必须通过双重宿主主机的过滤和控制。堡垒主机上运行着防火墙软件（通常是代理服务器），可以转发应用程序，提供服务等。优点： 网关将受保护网络与外界完全分离。 代理服务器提供日志，有助于发现入侵。 由于它本身就是一台主机，可以用于身份验证、代理服务等多重功能。缺点： 每项服务必须使用专门的代理服务器。 该部件出现问题，将使网络安全受到危害。三、主机屏蔽防火墙体系结构屏蔽主机网关易于实现，安全性好，应用广泛。它又分为单宿堡垒主机和双宿堡垒主机两种类型。先来看单宿堡垒主机类型。一个包过滤路由器连接外部网络，同时

16、一个堡垒主机安装在内部网络上。堡垒主机只有一个网卡，与内部网络连接（如图2）。通常在路由器上设立过滤规则，并使这个单宿堡垒主机成为从Internet惟一可以访问的主机，确保了内部网络不受未被授权的外部用户的攻击。而Intranet内部的客户机，可以受控制地通过屏蔽主机和路由器访问Internet。双宿堡垒主机型与单宿堡垒主机型的区别是，堡垒主机有两块网卡，一块连接内部网络，一块连接包过滤路由器（如图3）。双宿堡垒主机在应用层提供代理服务，与单宿型相比更加安全。优点：配置更加灵活；更加安全。四、子网屏蔽防火墙体系结构这种方法是在Intranet和Internet之间建立一个被隔离的子网，即DMZ

17、。用两个包过滤路由器将这一子网分别与Intranet和Internet分开。两个包过滤路由器放在子网的两端，在子网内构成一个“缓冲地带”，两个路由器一个控制Intranet 数据流，另一个控制Internet数据流，Intranet和Internet均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。可根据需要在屏蔽子网中安装堡垒主机，为内部网络和外部网络的互相访问提供代理服务，但是来自两网络的访问都必须通过两个包过滤路由器的检查。这种结构的防火墙安全性能高，具有很强的抗攻击能力，但需要的设备多，造价高。DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化

18、区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。第五节 防火墙的配置和访问控制策略一、常用的三种配置方案1、双宿主主机2、屏蔽主机3、屏蔽子网二、防火墙与Web服务器之间的配置策略1、 Web服务器置于防火墙之内2、 Web服务器置于防火墙之外3、 Web

19、服务器置于防火墙之上三、防火墙的访问控制策略访问控制描述符：流向；服务；指定主机；用户个人；时间；公用或私用；服务质量第六节 防火墙的选择一、防火墙功能指标1、产品类型：基于路由器的包过滤防火墙、基于通过操作系统的防火墙、基于专用安全操作系统的防火墙。2、LAN接口： 支持的LAN接口类型（如以太网、快速以态网、千兆以太网、ATM等）。 支持的最大LAN接口数。 服务器平台：运行什么操作系统。3、协议支持： 支持的非IP协议，如AppleTalk、IPX及NETBEUI。 建立VPN通道所需要的协议：如IPsec、PPTP、专用协议等。4、加密支持（是否提供硬件加密、加密算法是什么）5、认证支

20、持：是指防火墙支持的身份认证协议，一般情况下具有一个或多个认证方案，如口令方式、数字证书等。6、访问控制 通过防火墙的包内容设置。（TCP、UDP、ICMP、IP） 在应用层提供代理支持。指防火墙是否支持应用层代理，如 HTTP、FTP、TELNET、SNMP等。 在传输层提供代理服务。 FTP文件类型过滤。 支持网络地址转换。 支持硬件口令、智能卡。7、防御功能 支持病毒扫描 提供内容过滤。过滤内容主要指URL、HTTP携带的信息：Java Applet、 JavaScript、ActiveX和电子邮件中的Subject、To、From域等。防火墙控制的结果是：允许通过、修改后允许通过、禁止

21、通过、记录日志、报警等。 能防御DoS攻击类型：拒绝服务攻击(DoS)就是攻击者过多地占用共享资源，导致服务器超载或系统资源耗尽，而使其他用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警等机制，可在一定程度上防止或减轻DoS黑客攻击。 阻止 ActiveX、Java、Cookies、Javascript侵入。属于HTTP内容过滤，防火墙应该能够从HTTP页面剥离Java Applet、ActiveX等小程序及从Script、PHP和ASP等代码检测出危险代码或病毒，并向浏览器用户报警。同时，能够过滤用户上载的CGI、ASP等程序，当发现危险代码时，向服务器报警。8、安全特性 提供入侵

22、实时警报。 提供实时入侵防范。 识别、记录和防止企图进行IP地址欺骗。9、管理功能 通过集成策略集中管理多个防火墙。 提供基于时间的访问控制。 支持SNMP监视和配置。 本地管理。通过控制台或防火墙提供的键盘和显示器对防火墙进行配置管理。 远程管理。 支持带宽管理。防火墙能够根据当前的流量动态调整某些客户端占用的带宽。 负载均衡特性。负载均衡可以看成动态的端口映射，它将一个外部地址的某一 TCP或UDP端口映射到一组内部地址的某一端口，负载均衡主要用于将某项服务（如HTTP）分摊到一组内部服务器上以平衡负载。 失败恢复特性。指支持容错技术，如双机热备份、故障恢复，双电源备份等。10、记录和报表

23、功能 处理完整日志的方法。 提供自动日志扫描。指防火墙是否具有日志的自动分析和扫描功能，这可以获得更详细的统计结果，达到事后分析、亡羊补牢的目的。 提供自动报表、日志报告书写器。 报警通知机制。 提供简要报表。 提供实时统计。二、防火墙的选择原则1、防火墙自身的安全性 防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性关键在于操作系统，应用系统的安全是以操作系统的安全为基础。同时，防火墙自身的安全实现也直接影响整体系统的安全性。2、系统的稳定性 从权威的测评认证机构获得。 实际调查：考察这种防火墙是否已经有了使用单位、其用户量如何，特别是用户们对于该防火墙的评价。 自己试用。 厂

24、商开发研制的历史。 厂商实力，如资金、技术开发人员、市场销售人员和技术支持人员多少等等。3、是否高效 高性能是防火墙的一个重要指标，它直接体现了防火墙的可用性。如果由于使用防火墙而带来了网络性能较大幅度的下降，就意味着安全代价过高。一般来说，防火墙加载上百条规则，其性能下降不应超过 5 （指包过滤防火墙）。 4、 是否可靠 可靠性对防火墙类访问控制设备来说尤为重要，直接影响受控网络的可用性。5、 是否功能灵活对通信行为的有效控制，要求防火墙设备有一系列不同级别，满足不同用户的各类安全控制需求的控制注意。例如对普通用户，只要对 IP 地址进行过滤即可；如果是内部有不同安全级别的子网，有时则必须允

25、许高级别子网对低级别子网进行单向访问。 6、是否配置方便 在网络入口和出口处安装新的网络设备是每个网管员的恶梦 , 因为这意味着必须修改几乎全部现有设备的配置。支持透明通信的防火墙，在安装时不需要对原网络配置做任何改动，所做的工作只相当于接一个网桥或 Hub 。7、是否管理简便要求防火墙的管理在充分考虑安全需要的前提下，必须提供方便灵活的管理方式和方法，这通常体现为管理途径、管理工具和管理权限。 8、是否可以抵抗拒绝服务攻击 9、是否可以针对用户身份过滤 防火墙过滤报文，需要一个针对用户身份而不是 IP 地址进行过滤的办法。目前常用的是一次性口令验证机制 , 保证用户在登录防火墙时 , 口令不

26、会在网络上泄露 , 这样，防火墙就可以确认登录上来的用户确实和他所声称的一致。10、是否可扩展、可升级 用户的网络不是一成不变的，和防病毒产品类似，防火墙也必须不断地进行升级，此时支持软件升级就很重要了。如果不支持软件升级的话，为了抵御新的攻击手段，用户就必须进行硬件上的更换，而在更换期间网络是不设防的，同时用户也要为此花费更多的钱。三、主要的防火墙产品1、硬件防火墙（1）特点： 用专用芯片处理数据包，CPU只作管理。使用专用的操作系统平台。 高带宽，高吞吐量，真正线速带宽。 安全和速度兼顾，没有用户限制。 管理简单、快捷，提供Web管理方式。（2）产品NetScreen-25、Netscre

27、en-204、NetScreen-208、NetScreen-500、NetScreen-50002、软硬件防火墙（1）特点： 机箱cpu防火墙软件 采用专用或通用操作系统。核心技术是软件，容易产生网络带宽瓶颈。只能满足低带宽要求，吞吐量不高。可达到理论值的20%-70。（2）产品Pix501、Pix502、Pix515e、Pix525、Pix535。性能由低到高。Pix501、Pix502属于10Mbps产品，Pix515e、Pix525属于100Mbps产品，Pix535属于1000Mbps产品。Pix系列使用于有专业工程师的企业用户。Pix501、Pix502适用于小企业，Pix515e

28、、Pix525、Pix535适用于大中型企业。完全采用命令行形式，如果需要图形化的管理界面，必须安装特殊的程序。 清华紫光的UF5300、东软的NetEye、安氏领信LinkTrust、瑞星企业级防火墙RFW-100、联想网御百兆防火墙、方正方御防火墙、Symantec VelociRaptor、诺基亚IP30防火墙、龙马卫士防火墙。3、软件防火墙（1）特点 由于操作系统平台的限制，极易造成网络带宽瓶颈。可达到理论值的20%-70。 可以满足低带宽、低流量环境下的安全需要。 有用户限制，按用户数购买。（2）CheckPoint的Firewall-1、FillWall-1/VPN-1 Secur

29、eSever、FireWall-1/VPN-1 Gateway和VPN-1/FireWall-1 SmallOffice。Firewall-1是一个综合安全性套件。FillWall-1/VPN-1 SecureSever为个人应用程序服务器提供全防伪的防火墙保护。FireWall-1/VPN-1 Gateway可保护Internet商业通信私密性和对关键网络资源的未授权访问。第七节 防火墙的发展一、防火墙的发展趋势分布式防火墙：把网络防火墙的功能进行细化和简化后，得到成本较低、功能专一的防火墙，分布在整个企业网中保护每一个子网节点。企业网内部各子网结点的通信都受到防火墙的控制，有效防止了对内部各子网间的攻击企图。二、防火墙需求的变化