《防火墙技术》讲义

防火墙技术 什么是防火墙 防火墙是一种功能,它使得内部网络和外部网络或 Internet互相隔离,以此来保护内部网络或主机。简单的 防火墙可以由 Router,3 Layer Switch的ACL( access control list)来充当,也可以用一台主机,甚至是一个子 网来实现。复杂的可以购买专门的硬件防火墙或软件防 火墙来实现

1 防火墙技术 ◼ 什么是防火墙 防火墙是一种功能，它使得内部网络和外部网络或 Internet互相隔离，以此来保护内部网络或主机。简单的 防火墙可以由Router，3 Layer Switch的ACL（access control list）来充当，也可以用一台主机，甚至是一个子 网来实现。复杂的可以购买专门的硬件防火墙或软件防 火墙来实现

防火墙的架构 Client workstati 外部网络 0000DD0oI Switch Client Workstation Firewall File Server 2

2 防火墙的架构

防火墙的特点 1、广泛的服务支持:通过将动态的、应用层的过滤能力和认证 相结合,可实现WWW浏览器、HTTP服务器、FTP等; 2、对私有数据的加密支持:保证通过 Internet进行虚拟私人网 络和商务活动不受损坏; 3、客户端认证只允许指定的用户访问内部网络或选择服务:企 业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分; 4、反欺骗:欺骗是从外部获取网络访问权的常用手段,它使数 据包好似来自网络内部。防火墙能监视这样的数据包并能扔掉它们; 5、CS模式和跨平台支持:能使运行在一平台的管理模块控制 运行在另一平台的监视模块

3 防火墙的特点 ◼ 1、广泛的服务支持：通过将动态的、应用层的过滤能力和认证 相结合，可实现WWW浏览器、HTTP服务器、 FTP等； ◼ 2、对私有数据的加密支持：保证通过Internet进行虚拟私人网 络和商务活动不受损坏； ◼ 3、客户端认证只允许指定的用户访问内部网络或选择服务：企 业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分； ◼ 4、反欺骗：欺骗是从外部获取网络访问权的常用手段，它使数 据包好似来自网络内部。防火墙能监视这样的数据包并能扔掉它们； ◼ 5、C/S模式和跨平台支持：能使运行在一平台的管理模块控制 运行在另一平台的监视模块

防火墙的功能: 1、过滤掉不安全服务和非法用户 2、控制对特殊站点的访问 3、提供监视 Internet安全和预警的方便端点

4 防火墙的功能： ◼ 1、过滤掉不安全服务和非法用户 ◼ 2、控制对特殊站点的访问 ◼ 3、提供监视Internet安全和预警的方便端点

防火墙的分类 包过滤防火墙 状态检测防火墙 代理服务防火墙

5 防火墙的分类 ◼ 包过滤防火墙 ◼ 状态检测防火墙 ◼ 代理服务防火墙

包过滤防火墙 包过滤是在IP层实现的,因此,它可以只用路由器完成。包过滤根 据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等 报头信息来判断是否允许包通过。过滤用户定义的内容,如IP地址。 其工作原理是系统在网络层检查数据包,与应用层无关,包过滤器 的应用非常广泛,因为CPU用来处理包过滤的时间可以忽略不计 而且这种防护措施对用户透明,合法用户在进出网络时,根本感觉 不到它的存在,使用起来很方便。这样系统就具有很好的传输性能, 易扩展。但是这种防火墙不太安全,因为系统对应用层信息无感 知——也就是说,它们不理解通信的内容,不能在用户级别上进行 过滤,即不能识别不同的用户和防止IP地址的盗用。如果攻击者把 自己主机的IP地址设成一个合法主机的IP地址,就可以很轻易地通 过包过滤器,这样更容易被黑客攻破

6 包过滤防火墙 ◼ 包过滤是在IP层实现的，因此，它可以只用路由器完成。包过滤根 据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等 报头信息来判断是否允许包通过。过滤用户定义的内容，如IP地址。 其工作原理是系统在网络层检查数据包，与应用层无关，包过滤器 的应用非常广泛，因为CPU用来处理包过滤的时间可以忽略不计。 而且这种防护措施对用户透明，合法用户在进出网络时，根本感觉 不到它的存在，使用起来很方便。这样系统就具有很好的传输性能， 易扩展。但是这种防火墙不太安全，因为系统对应用层信息无感 知——也就是说，它们不理解通信的内容，不能在用户级别上进行 过滤，即不能识别不同的用户和防止IP地址的盗用。如果攻击者把 自己主机的IP地址设成一个合法主机的IP地址，就可以很轻易地通 过包过滤器，这样更容易被黑客攻破

包过滤防火墙的表示 应用 应用 应用层 表示 表示 表示 会话量 会话层 传输晨 传输 传晨 网络 网络 网络 叔糖链路层数链客据链客层 理 物理层 物理

7 包过滤防火墙的表示

包过滤防火墙优点 简单、方便、速度快、透明性好,对网络性能影响不大 可以用于禁止外部不合法用户对企业内部网的访问 ■防火墙对每条传入和传出网络的包实行低水平控制 每个IP包的字段都被检查,例如源地址、目的地址、协 议、端口等。防火墙将基于这些信息应用过滤规则 ■防火墙可以识别和丢弃带欺骗性源IP地址的包 包过滤防火墙是两个网络之间访问的唯一来源。因为所 有的通信必须通过防火墙,绕过是困难的 包过滤通常被包含在路由器数据包中,所以不必额外的 系统来处理这个特征

8 包过滤防火墙优点 ◼ 简单、方便、速度快、透明性好，对网络性能影响不大， 可以用于禁止外部不合法用户对企业内部网的访问 ◼ 防火墙对每条传入和传出网络的包实行低水平控制。 ◼ 每个IP包的字段都被检查，例如源地址、目的地址、协 议、端口等。防火墙将基于这些信息应用过滤规则。 ◼ 防火墙可以识别和丢弃带欺骗性源IP地址的包。 ◼ 包过滤防火墙是两个网络之间访问的唯一来源。因为所 有的通信必须通过防火墙，绕过是困难的。 ◼ 包过滤通常被包含在路由器数据包中，所以不必额外的 系统来处理这个特征

包过滤防火墙的缺点 通信信息:包过滤防火墙只能访问部分数据包的头信息; 应用状态信息:包过滤防火墙是无状态的,所以它不可 能保存来自于通信和应用的状态信息 ■信息处理:包过滤防火墙处理信息的能力是有限的。允 许数据包直接通过,容易造成数据驱动式攻击的潜在危 险 比如针对微软IS漏洞的 Unicode攻击,因为这种攻击是 走的防火墙所允许的80端口,而包过滤的防火墙无法对 数据包内容进行核査,因此此时防火墙等同于虚设,未 打相应 patch的提供web服务的系统,即使在防火墙的屏 障之后,也会被攻击者轻松拿下超级用户的权限

9 包过滤防火墙的缺点 ◼ 通信信息：包过滤防火墙只能访问部分数据包的头信息； ◼ 应用状态信息：包过滤防火墙是无状态的，所以它不可 能保存来自于通信和应用的状态信息； ◼ 信息处理：包过滤防火墙处理信息的能力是有限的。允 许数据包直接通过，容易造成数据驱动式攻击的潜在危 险。 比如针对微软IIS漏洞的Unicode攻击，因为这种攻击是 走的防火墙所允许的80端口，而包过滤的防火墙无法对 数据包内容进行核查，因此此时防火墙等同于虚设，未 打相应patch的提供web服务的系统，即使在防火墙的屏 障之后，也会被攻击者轻松拿下超级用户的权限

应用级网关 应用级网关也就是通常我们提到的代理服务器。它适用 于特定的互联网服务,如超文本传输(HTP),远程文件 传输(FTP)等等。代理服务器通常运行在两个网络之间, 它对于客户来说象是一台真的服务器,而对于外界的服 务器来说,它又是一台客户机。当代理服务器接收到用 户对某站点的访问请求后会检査该请求是否符合规定, 如果规则允许用户访问该站点的话,代理服务器会象 个客户一样去那个站点取回所需信息再转发给客户。典 型的内部网络地址:192.168

10 应用级网关 ◼ 应用级网关也就是通常我们提到的代理服务器。它适用 于特定的互联网服务，如超文本传输(HTTP)，远程文件 传输(FTP)等等。代理服务器通常运行在两个网络之间， 它对于客户来说象是一台真的服务器，而对于外界的服 务器来说，它又是一台客户机。当代理服务器接收到用 户对某站点的访问请求后会检查该请求是否符合规定， 如果规则允许用户访问该站点的话，代理服务器会象一 个客户一样去那个站点取回所需信息再转发给客户。典 型的内部网络地址：192.168……