网络与信息安全学习（六）

7.1防火墙概述

7.1.1 防火墙定义与分类

防火墙（Firewall）是目前保护计算机网络的主要安全设备，作为一种隔离控制技术，防火墙在内部网络和不安全的外部网络（如：Internet）之间建立一道屏障，阻止外部对内网的非法访问，同时，阻止重要信息从内网非法流出。

防火墙作为一种主要的网络安全系统，将网络隔离成内网和外网，它是内外网之间的检查站,通过对数据的过滤和筛选，保护内部网络资源和信息的安全。

1.防火墙的定义与位置
防火墙是指设置在不同网络（如：可信任的内网和外网或专用网与不可信的公用网）之间的有关部件（软硬件）的组合。

防火墙依照特定的规则，允许或是限制传输的数据通过。

防火墙可配置成不同的保护级别，级别越高，安全措施更严密，也更安全。

一些关键性的服务器（如：OA服务器、WWW服务器等），都应放在防火墙之后。防火墙一般部署在相对独立的网络中，如：Intranet（企业内部网）、校园网中。

2.防火墙的发展与分类

1）第一代防火墙

2）第二、三代防火墙

3）第四代防火墙　

4）第五代防火墙　　

按所采用的技术分类：

（1）包过滤防火墙

这种防火墙建立一套过滤规则，检查每一个通过的网络数据包或丢弃或允许通过，相当是一种 IP 包过滤器，运行在底层的TCP/IP协议栈上，只允许符合特定规则的包通过，其余的一概禁止通过防火墙（但病毒防火墙不能阻止其通过）。

这些规则通常由管理员定义或设置，过滤规则利用IP包的多种属性，如：源 IP地址、源端口号、目的 IP 地址或端口号、服务类型 (如：WWW 或FTP)等，也能经通信协议、TTL值、域名或网段等属性进行过滤。　　

（2）代理防火墙

这种防火墙先接受来自内部网络特定用户应用程序的通信，然后建立与公共网络服务器单独的连接，网络内部的用户不直接与外部的服务器通信。

（3）状态检测防火墙

这种防火墙跟踪通过防火墙的网络连接和数据包，然后用一组附加的标准，确定是否允许或拒绝通信。

2）根据所采用的软、硬件形式不同

（1）软件防火墙这种防火墙需要操作系统的支持，俗称“个人防火墙”。

（2）硬件防火墙

目前大多数防火墙都是基于PC架构的硬件防火墙，相当于一台PC机。这类防火墙由于采用其它厂商开发的内核（操作系统），可能会受操作系统本身安全的影响。

（3）芯片级防火墙

芯片级防火墙是一种基于硬件平台的防火墙，内嵌ASIC（专用系统集成电路）芯片，运行专用的操作系统，因此，防火墙本身漏洞少。

芯片级防火墙速度更快、处理能力更强、性能也更好。著名的生厂商有：NetScreen、Cisco等。

7.1.2 防火墙的功能与原理

1、防火墙的工作原理

防火墙就是一种过滤器，它过滤的是承载通信数据的数据包，具有IP地址过滤功能，即检查IP包头。

在实际中，仅靠IP地址进行数据过滤还不够，还要对服务器的TCP/ UDP端口进行过滤，因为目标主机上运行着多种应用服务，而每个应用服务都有自己的端口号。

2、防火墙的功能

1）数据包过滤只允许符合安全策略的数据包通过。防火墙跨接于分离的物理网段之间，在包转发过程中进行审查。

2）控制内外网之间的所有数据流都经过防火墙，只有当防火墙是内、外网之间通信的唯一通道，才可全面、有效地保护内部网络不受侵害。防火墙属于用户网络边界上的安全设备。所谓网络边界是指：采用不同安全策略的两个网络连接处，如：用户网和外网（互联网）的连接、用户网与其它业务单位网的连接、用户网内不同部门间的连接等。

3）自身抗攻击，防火墙处于网络边界（缘），易受到黑客的攻击，要求防火墙自身具有很强的抗攻击能力。

要求：

a）防火墙自身安装安全性高的操作系统。

b）防火墙本身只提供很少的服务，除了专门的防火墙嵌入系统外，不再运行其它应用程序。

4）审计和报警

某个访问违反安全策略，防火墙将启用审计和报警功能，并作记录和报告。

审计监控通信行为和完善安全策略，检查安全漏洞和错误配置。

报警则是有通信违反安全策略时，以声音、邮件、电话、手机短信等及时通知网络管理员。

查看日志进行相关数据的统计、分析，发现系统在安全方面存在的隐患，有针对性地采取改进措施。

5）网络地址转换

防火墙通过网络地址转换（NAT）功能，屏蔽内部网络的IP地址，保护内部网络用户。NAT又分SNAT (Source NAT，源地址转换)和DNAT (Destination NAT，目的地址转换)两种。

a） SNAT

SNAT改变转发数据包的源地址，对内部网络地址进行转换，使外部非法用户难以对内部主机发起攻击，同时节省公网IP资源，只通过一个或几个公网IP地址共享上网。

b）DNAT

DNAT是改变转发数据包的目的地址，外部网络主机向内部网络主机发出通信连接时，先把目的地址转换为防火墙的地址，然后再通过防火墙转发外部网络的通信，去与内部网络主机连接；这样外部网络主机与内部网络主机的通信，实际上变成了防火墙与内部网络主机的通信。NAT功能现已成为防火墙的标配。

6）代理服务

（1）透明代理

原理：防火墙截取内部网络主机与外部网络的通信，由防火墙实施与外部网络主机通信，然后把结果传给内部网络主机，此过程中，内网主机感觉不到是在与防火墙通信。外部网络只”看到”防火墙，这就隐藏了内部网络，提高了内网安全。

7）流量控制、统计和计费

流量控制分为基于IP地址的控制和基于用户的控制。

基于IP地址的控制：对通过防火墙各个网络接口的流量进行控制。

基于用户的控制：通过用户登录，控制每个用户的流量，防止某些用户占用过多的资源。

流量统计建立在流量控制之上。防火墙通过对IP、服务、时间、协议等流量进行统计，并与管理界面挂接，以统计报表形式输出，这样，可实现流量计费。

8）虚拟专用网VPN

现防火墙都有支持VPN的功能。

9）URL级信息过滤

对某些URL站点或目录进行特权访问，不进行频繁地审核，称为“URL级信息过滤”功能。

国内主流厂商为：天融信、深信服、网御神州、北京星辰、华为等，都提供不同级别的防火墙产品。

7.1.3 防火墙的局限性

1.防火墙防外不防内

网络安全攻击事件70%以上来自内部网络攻击。

2.不能防范不经过防火墙的攻击

3.不能防范恶意的知情者

若入侵者已经在防火墙内部，将数据复制到如磁盘或Ｕ盘中带出去，防火墙是无能为力的。

4.对用户不完全透明

1）防火墙身兼认证、访问控制等多项任务, 可能产生传输延迟。

2）防火墙可能产生单点失效的瓶颈问题。

5.防火墙管理和配置较复杂

防火墙的管理与配置较复杂，由此可能产生一些安全漏洞。防火墙实现的是粗粒度的访问控制，且不能与企业内部的其它安全机制集成。

6.不能防范病毒的进入

7.防火墙难于提供内外一致的安全策略

防火墙的安全控制主要是基于用户IP地址，而不是基于用户身份。

7.1.4 对防火墙的攻击

对防火墙而言，网络分为可信任网络和不可信任网络，一般，内部网络是可信网络，而Internet等外部网络是不可信网络。

防火墙通常部署在可信网络的边界，直接面对外部不可信网络，极易受到黑客攻击。

1.欺骗攻击

采取IP地址欺骗技术，伪装成可信网络用户地址，欺骗防火墙侵入内部网络。

2.直接攻击

恶意破坏者采取：协议漏洞攻击、碎片攻击等手段，直接攻击防火墙使其死机或者失去可用性。

3.拒绝服务攻击

是防火墙较难阻挡的攻击之一。

4.防火墙抗攻击的关键

1）采用专用、安全的防火墙操作系统。只有采用具有完整信任关系的操作系统才是安全的。

2）防火墙自身只提供少量、必须的服务，除专门的防火墙嵌入系统外，不再运行其它应用程序。

7.2 防火墙体系结构

防火墙可采用不同的结构（架构），不同的结构所提供的安全级别不同，维护费用也不同，用户可根据自己的网络环境和安全需求进行选择。

7.2.1双重宿主主机结构

在堡垒主机上运行防火墙软件和代理服务，双重宿主主机有两个网络接口，一个接内网，一个接外网。

这种结构的防火墙只以代理方式提供服务。

7.2.2屏蔽主机结构

这种防火墙由包过滤路由器和堡垒主机组成，用一台路由器把内网和外网隔开，提供服务的堡垒主机连接在内网中。

7.2.3屏蔽子网结构

屏蔽子网防火墙利用两台路由器连接的子网与内外部网络隔离开，堡垒主机及其他公用服务器放在该子网中。

1.非军事化区(DMZ)

DMZ区处在带包过滤功能的边界路由器（外部路由器）与内部路由器之间。

7.3 防火墙关键技术

7.3.1包过滤技术

防火墙对数据的过滤，是根据数据包包头部分的源IP地址、目的IP地址、源端口、目的端口、协议类型(TCP包、UDP包等)及数据包传输方向等信息，判断是否符合安全规则，以确定是否允许该数据包通过。

1、技术特点

速度快，但安全性不强，易受攻击。

2、过滤规则实例

3、包过滤技术的不足

1）不能防范黑客攻击

2）不支持应用层协议

3）不能处理新的安全问题

7.3.2 代理技术

代理技术隔断内网与外网的直接通信，所有通信都是经应用代理软件转发，访问者不与服务器建立直接的TCP 连接。

1.应用层代理

应用层代理也称应用层网关，它是基于软件的。

2.自适应代理技术

自适应代理技术（Adaptive Proxy，AP）也称动态代理技术，是增强型的应用网关。这种技术主要用于实时应用（如：视频会议）中。

3.代理的优点

4.代理的不足

7.3.3 状态检测技术

1.技术原理

状态检测是新一代防火墙的核心技术，由以色列Checkpoint公司开发，又称为动态包过滤技术。

它对于新建的应用连接，先检查预先设置的安全规则，允许符合规则的连接通过，然后在内存中记录该连接的相关信息，生成状态检测表（连接表）；对于该连接的后续数据包，只要符合状态表，就允许通过。

状态检测在网络层有一个检测引擎（其中内嵌算法），该引擎捕获数据包并抽取出与应用层状态有关的信息，并以此决定对该连接是接受还是拒绝。故状态检测技术安全性较高，同时具有较好的适应性和扩展性。

状态检测算法能识别进出的应用层数据，算法通过己知数据包的信息对检测引擎进行训练，然后检测（比较）进出的数据包。

2.主要优点

　 1）安全性好

2）执行效率高

3）扩展性好

　 4）配置方便，应用范围广

不仅支持基于TCP的应用，还支持基于UDP的应用。

3.主要不足

　只是检测数据包的第三层（网络层）信息，无法识别数据包中的垃圾邮件、广告以及木马等。

7.3.4 防火墙配置实例

以TD-W89741N增强型防火墙为例。该型防火墙可对内部主机上网行为进行控制。

通过“内网主机”、“外网主机”和“日程计划”三个参数，构建上网控制规则，在某个时间段内允许/禁止内部主机访问外网。

需求：

1、在周一至周五的上班时间段（8：30--18：00），仅允许张三（MAC地址为00:11:22:33:44:55）浏览网页，其他人都不能上网。

2、非上班时间段所有人都可以上网。

实现：

步骤一、设置防火墙缺省过滤规则。

步骤二、设置张三在上班时间内可浏览网页。

1、添加张三主机条目

2、添加外网主机条目

3、添加日程计划

4、添加防火墙规则

步骤三、设置上班时间段其他人不许上网。

步骤四、开启防火墙，使所有条目生效。

7.4.2 防火墙新增技术

1.加密技术

2.安全审计

对网络上发生的事件进行记载和分析，可报警；在防火墙的控制台上实时显示与安全有关的信息、对用户口令进行动态跟踪。

3.采用安全内核

取消操作系统内核中可能引起安全问题的功能，构成高安全等级的内核，使防火墙更安全，如：Cisco的IPX防火墙（采用专用的OS）等。

对操作系统安全加固：

①取消危险的系统调用；

②限制命令的执行权限；

③取消IP转发功能；

⑥对驻留分组过滤；

⑦取消动态路由功能。

4.身份认证

1)用户认证(UA) 防火墙设定用户的访问权限。

2)客户认证(CA) 防火墙提供特定的服务权限。

3)会话认证(SA) 防火墙提供通信双方透明的会话授权机制。

实现方法：

(1)基于口令的认证

(2)基于地址的认证

(3)密码体制认证

一般采用口令认证，而口令通常以密文的方式存放在一个文件中。若攻击者得到这个文件，采用字典攻击或猜测（暴力破解）攻击来可能破解出口令。

5.内容检查

对高层服务协议的数据进行监控，对数据流内容进行分析。内容检查功能检查邮件的发送者是否伪造或者冒充。对邮件的主题域和基于关键字的增强扫描，防止恶意事件的传播和机密信息扩散。

6.多级（多层）过滤

即在网络层一级过滤，在传输层一级遵循过滤规则过滤，在应用网关（应用层）一级控制和监测Internet提供的服务，每种过滤技术对应于不同的网络层。

7 .病毒防火墙

这种防火墙主要用在个人防火墙中，纯软件形式。

8 .分布式防火墙

（1）网络防火墙：用于内部网与外部网之间，以及内部网各子网之间的防护。

（2）主机防火墙：用于对网络中的服务器和桌面机进行防护。

（3）管理中心：一种服务器软件，负责总体安全策略的策划、管理等。

分布式防火墙渗透于网络的每一台主机，对整个内部网络的主机实施保护。分布式的结构，集中式的管理。思科、3Com等厂商已开发，该种防火墙适合于大型网络。

9.集成式防火墙

集成IDS、IPS和病毒检测等安全设备或直接把IDS、病毒检测内嵌到防火墙中，使防火墙具有IDS和病毒检测的功能，协同配合，构建立体化防御体系，若发现网络安全事件，由防火墙进行过滤和报告。

7.4.3 VPN技术

1. VPN的定义和功能

1）VPN的定义

VPN（Virtual Private Network）即虚拟私有网络。指通过公共网络建立的一个临时和安全的连接，是一条在公用网络上的安全隧道，它是对内部网的扩展。

2）VPN功能

(1)加密数据保证通过公网传输信息的机密性。

(2) 身份认证保证信息的完整性和合法性，并鉴别用户的身份。

(3)提供访问控制不同的用户有不同的访问权限。

２. VPN的原理与分类

远程访问VPN:

远程访问VPN也称移动VPN，是指通过公网远程访问内网而建立的的一种VPN。分为用户发起的VPN连接和接入服务器发起的VPN连接二种。其中用户发起的VPN连接，其过程是：

首先，远程用户通过服务提供点拨入Internet，然后，通过网络隧道协议与单位网络建立一条隧道(可加密)连接，从而访问单位网络中的内部资源。由用户端维护与管理发起隧道连接的有关协议和软件。

接入服务器发起的VPN连接，其过程是：用户通过本地号码拨入ISP，然后，ISP的接入服务器建立一条隧道连接到用户的单位网络。构建VPN所需的协议及软件由ISP维护和管理。

3. VPN的关键技术

实际应用中，VPN用户对数据传送的安全性极为关注，因为VPN通道传输的一般都是私密（或机密）信息。

VPN采用密码技术、身份认证技术、隧道技术等技术来保证数据传输的安全。

1）密码技术

2）身份认证技术

3）隧道技术

（1）第二层隧道协议

第二层隧道协议是一个协议簇，包括：点到点隧道协议（PPTP）、第二层转发协议（L2F），第二层隧道协议（L2TP）等。数据包依靠第二层（数据链路层）协议进行传输。

（2）第三层隧道协议

第三层隧道协议也是一个协议簇，包括：通用路由封装GRE协议和IPSec安全协议，数据包依靠第三层（网络层）协议进行传输。

第二层和第三层隧道协议的主要区别：用户数据在网络协议栈的不同层被封装。