网络安全 第十二章 防火墙原理与设计

网络安全 第十二章 防火墙原理与设计

防火墙概述

本章所叙述的是网络防火墙、边界防火墙,如若无特殊说明的话。

防火墙是由软件和硬件组成的系统,它处于安全的网络和不安全的网络之间,根据由系统管理员设置的访问控制规则,对数据流进行过滤。

它是进入系统的安全门,对于内部攻击以及绕过防火墙的连接无能为力。

防火墙满足的要求:

  • 所有进出网络的数据流都必须经过防火墙
  • 只允许经过授权的数据流通过防火墙
  • 防火墙自身对入侵是免疫的

防火墙不能防范的攻击:

  • 来自内部恶意知情者的攻击
  • 不通过防火墙的连接
  • 病毒

防火墙的发展:

  • 第一代防火墙,包过滤防火墙
    • 仅能实现简单的访问控制
  • 第二代防火墙,代理防火墙
    • 安全较高,但是处理速度较慢
  • 第三代防火墙,状态检测防火墙
    • 同一个数据流内的报文是存在联系的
  • 第四代防火墙,统一威胁管理(UTM)
    • 继承 VPN、防病毒、邮件过滤关键字过滤等功能,导致效率不高
  • 第五代防火墙,下一代防火墙(NG)
    • 解决了统一威胁管理防火墙效率不高和报文深度检测能力不足的问题

防火墙技术

网络地址转换 NAT

NAT 可解决地址紧缺的问题,隐藏了内部网络的拓扑结构,提升网络安全性。

  • 静态 NAT
    • 内部网络地址与外部网络的 IP 地址是一一对应的
  • 动态 NAT
    • 可用的 IP 地址限定在一个范围内,IP 池
  • PAT 端口地址转换
    • 在进行网络地址转换时,不仅网络地址发生改变,而且协议端口也会发生改变
  • SNAT 源网络地址转换
    • 在内部用户使用专用地址访问 Internet 时,必须将 IP 头部中的数据源地址转换成合法的 Internet 地址
  • DNAT 目标网络地址转换
    • 必须将数据包中的目的地址转换成服务器的专用地址,使合法的Internet IP 地址与内部网络中服务器的专用地址相对应

包过滤防火墙

包过滤型防火墙工作在 OSI 网络参考模型的网络层和传输层,根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过防火墙。只有满足过滤条件的数据包才被转发到相应的目的地。

静态包过滤防火墙

根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。

其静态数据包的过滤发生在网络层上。对数据包采用过滤规则进行检查,如果没有规则与包头信息匹配,则施加默认规则。

实例:

  • 拒绝来自 130.33.0.0 的数据包,这是一种保守策略
  • 拒绝来自外部网络的 Telnet 服务(端口号 23)的数据包
  • 拒绝试图访问内网主机 193.77.21.9 的数据包
  • 禁止 HTTP 服务(端口号 80)的数据包通过防火墙

包过滤器的工作原理:

  • 过滤规则
    • 根据数据包的源地址、目的地址、端口号决定是否丢弃该包
  • 过滤位置
    • 网络入口处、网络出口处、二者同时
  • 访问控制策略
    • 网管编写访问控制列表,明确哪些主机或哪些服务不可接受或可接受

包过滤器防火墙的配置:

  • 必须用设备提供商可支持的语法重写这些表达式
  • 必须用逻辑表达式清楚地表述数据包的类型
  • 管理员必须明确企业网络的安全策略

静态包过滤防火墙的优缺点:

  • 优点
    • 对网络性能影响小
    • 成本较低
  • 缺点
    • 安全性低
    • 缺少状态感知能力
    • 容易遭受 IP 欺骗攻击
    • 创建访问控制规则比较困难

动态包过滤防火墙

典型的动态包过滤防火墙工作于网络层,先进的动态包过滤防火墙工作在传输层。具有状态感知能力。

动态包过滤防火墙需要对已建连接和规则表进行动态维护,因此是动态的和有状态的

典型的动态包过滤防火墙能感觉到新建连接与已建连接的差别。(检测数据包中的协议的标志位)

实现动态包过滤器有两种主要的方式:

  • 实时地改变普通包过滤器的规则集
  • 采用类似电路级网关的方式转发数据包

动态包过滤防火墙的优缺点:

  • 优点
    • 采用 SMP 技术,对网络性能影响小
    • 安全性优于静态包过滤防火墙
    • 状态感知能力提高了性能
    • 不考虑操作系统成本,成本很低
  • 缺点
    • 仅工作于网络层,仅检查 IP 头和 TCP 头
    • 没过滤数据包的净荷部分,安全性较低
    • 容易遭受 IP 欺骗攻击
    • 创建规则难,必须考虑规则的先后次序
    • 如果建连接时,没遵循三步握手协议,会引入风险

应用代理型防火墙

特殊的报文攻击(SYN 攻击、ICMP 洪水),过滤方法并不能消除危害。

应用代理型防火墙工作在应用层,其特点是完全“阻隔”网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。

应用网关型防火墙

通过一种代理(Proxy)技术参与到一个 TCP 连接的全过 程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。

自适应代理型防火墙

结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。

基本要素:自适应代理服务器 + 动态包过滤器

防火墙工作于 OSI 模型的层次越高,能提供的安全保护等级就越高。

防火墙体系结构

堡垒主机:一种被强化的可以防御进攻的计算机,被暴露于互联网上,作为进入内部网络的一个检查点,集中解决安全问题。

设计和建立堡垒主机的两条基本原则:

  • 最简化原则。堡垒主机越简单,对其保护越方便
  • 预防原则。充分对最坏情况加以准备

非军事区:停火区,在内部网络和外部网络之间增加的一个子网,堡垒主机通常在此。

双宿主主机体系结构

双宿主主机的防火墙系统由一台装有两张网卡的堡垒主机构成。两张网卡分别与外部网以及内部受保护网相连。

IP 层的通信是被禁止的,两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。

双重宿主主机是唯一的隔开内部网和外部因特网之间的屏障。如果入侵者获得了双重宿主主机的访问权,内部网络就会被入侵。因此,双宿柱主机的身份认证系统应十分强大。

屏蔽主机体系结构

在屏蔽主机过滤结构提供安全保护的主机仅仅与内部网相连,另外,主机过滤还有一台单独的过滤路由器。包过滤路由器避免用户直接与代理服务器相连。

堡垒主机是 Internet 上的主机能连接到内部网络上的系统的桥梁,仅有某些确定类型的连接被允许。数据包过滤也允许堡垒主机开放可允许的连接到外部世界。

屏蔽子网体系结构

屏蔽子网结构就是在屏蔽主机结构中再增加一层边界网络(DMZ)的安全机制,使得内部网与外部网之间有二层隔断。

防火墙的结构组合策略

在构造防火墙体系时,一般很少使用单一的技术,通常都是多种解决方案的组合。 例如:

  • 多堡垒主机
  • 合并内、外部路由器
  • 合并堡垒主机与外部路由器
  • 合并堡垒主机与内部路由器

Comments

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×