网络与信息安全学习（六）_状态检测防火墙这种防火墙跟踪通过防火墙的网络连接和数据包然后使用一组附加

7.1防火墙概述

7.1.1 防火墙定义与分类

 防火墙（Firewall）是目前保护计算机网络的主要安全设备，作为一种隔离控制技术，防火墙在内部网络和不安全的外部网络（如：Internet）之间建立一道屏障，阻止外部对内网的非法访问，同时，阻止重要信息从内网非法流出。

防火墙作为一种主要的网络安全系统，将网络隔离成内网和外网，它是内外网之间的检查站,通过对数据的过滤和筛选，保护内部网络资源和信息的安全。

1.防火墙的定义与位置
防火墙是指设置在不同网络（如：可信任的内网和外网或专用网与不可信的公用网）之间的有关部件（软硬件）的组合。

防火墙依照特定的规则，允许或是限制传输的数据通过。

防火墙可配置成不同的保护级别，级别越高，安全措施更严密，也更安全。

一些关键性的服务器（如：OA服务器、WWW服务器等），都应放在防火墙之后。防火墙一般部署在相对独立的网络中，如：Intranet（企业内部网）、校园网中。

  2.防火墙的发展与分类

     1）第一代防火墙

     2）第二、三代防火墙

     3）第四代防火墙 　

     4）第五代防火墙 　　

按所采用的技术分类 ：

       （1）包过滤防火墙

这种防火墙建立一套过滤规则，检查每一个通过的网络数据包或丢弃或允许通过，相当是一种 IP 包过滤器，运行在底层的TCP/IP协议栈上，只允许符合特定规则的包通过，其余的一概禁止通过防火墙（但病毒防火墙不能阻止其通过）。

                这些规则通常由管理员定义或设置，过滤规则利用IP包的多种属性，如：源 IP地址、源端口号、目的 IP 地址或端口号、服务类型 (如：WWW 或FTP)等，也能经通信协议、TTL值、域名或网段等属性进行过滤。 　　

（2）代理防火墙

这种防火墙先接受来自内部网络特定用户应用程序的通信，然后建立与公共网络服务器单独的连接，网络内部的用户不直接与外部的服务器通信。

（3）状态检测防火墙

这种防火墙跟踪通过防火墙的网络连接和数据包，然后用一组附加的标准，确定是否允许或拒绝通信。

2）根据所采用的软、硬件形式不同

（1）软件防火墙   这种防火墙需要操作系统的支持，俗称“个人防火墙”。 

（2）硬件防火墙

目前大多数防火墙都是基于PC架构的硬件防火墙，相当于一台PC机。这类防火墙由于采用其它厂商开发的内核（操作系统），可能会受操作系统本身安全的影响。  

（3）芯片级防火墙  

 芯片级防火墙是一种基于硬件平台的防火墙，内嵌ASIC（专用系统集成电路）芯片，运行专用的操作系统，因此，防火墙本身漏洞少。

芯片级防火墙速度更快、处理能力更强、性能也更好。著名的生厂商有：NetScreen、Cisco等。

7.1.2 防火墙的功能与原理
 

1、防火墙的工作原理

防火墙就是一种过滤器，它过滤的是承载通信数据的数据包，具有IP地址过滤功能，即检查IP包头。

在实际中，仅靠IP地址进行数据过滤还不够，还要对服务器的TCP/ UDP端口进行过滤，因为目标主机上运行着多种应用服务，而每个应用服务都有自己的端口号。

2、防火墙的功能

        1）数据包过滤        只允许符合安全策略的数据包通过。防火墙跨接于分离的物理网段之间，在包转发过程中进行审查。

       2）控制内外网之间的所有数据流都经过防火墙，只有当防火墙是内、外网之间通信的唯一通道，才可全面、有效地保护内部网络不受侵害。防火墙属于用户网络边界上的安全设备。所谓网络边界是指：采用不同安全策略的两个网络连接处，如：用户网和外网（互联网）的连接、用户网与其它业务单位网的连接、用户网内不同部门间的连接等。

    3）自身抗攻击，防火墙处于网络边界（缘），易受到黑客的攻击，要求防火墙自身具有很强的抗攻击能力。

要求：

        a）防火墙自身安装安全性高的操作系统。

        b）防火墙本身只提供很少的服务，除了专门的防火墙嵌入系统外，不再运行其它应用程序。

    4）审计和报警

某个访问违反安全策略，防火墙将启用审计和报警功能，并作记录和报告。

审计监控通信行为和完善安全策略，检查安全漏洞和错误配置。

报警则是有通信违反安全策略时，以声音、邮件、电话、手机短信等及时通知网络管理员。

查看日志进行相关数据的统计、分析，发现系统在安全方面存在的隐患，有针对性地采取改进措施。

5）网络地址转换

防火墙通过网络地址转换（NAT）功能，屏蔽内部网络的IP地址，保护内部网络用户。NAT又分SNAT (Source NAT，源地址转换)和DNAT (Destination NAT，目的地址转换)两种。

         a） SNAT

           SNAT改变转发数据包的源地址，对内部网络地址进行转换，使外部非法用户难以对内部主机发起攻击，同时节省公网IP资源，只通过一个或几个公网IP地址共享上网。

       b）DNAT

            DNAT是改变转发数据包的目的地址，外部网络主机向内部网络主机发出通信连接时，先把目的地址转换为防火墙的地址，然后再通过防火墙转发外部网络的通信，去与内部网络主机连接；这样外部网络主机与内部网络主机的通信，实际上变成了防火墙与内部网络主机的通信。NAT功能现已成为防火墙的标配。

    6）代理服务

         （1）透明代理

原理：防火墙截取内部网络主机与外部网络的通信，由防火墙实施与外部网络主机通信，然后把结果传给内部网络主机，此过程中，内网主机感觉不到是在与防火墙通信。外部网络只”看到”防火墙，这就隐藏了内部网络，提高了内网安全。

  7）流量控制、统计和计费

流量控制分为基于IP地址的控制和基于用户的控制。

基于IP地址的控制：对通过防火墙各个网络接口的流量进行控制。

基于用户的控制：通过用户登录，控制每个用户的流量，防止某些用户占用过多的资源。

流量统计建立在流量控制之上。防火墙通过对IP、服务、时间、协议等流量进行统计，并与管理界面挂接，以统计报表形式输出，这样，可实现流量计费。

    8）虚拟专用网VPN

现防火墙都有支持VPN的功能。

    9）URL级信息过滤

对某些URL站点或目录进行特权访问，不进行频繁地审核，称为“URL级信息过滤”功能。

国内主流厂商为：天融信、深信服、网御神州、北京星辰、华为等，都提供不同级别的防火墙产品。

7.1.3  防火墙的局限性
 

     1.防火墙防外不防内

网络安全攻击事件70%以上来自内部网络攻击。

      2.不能防范不经过防火墙的攻击

      3.不能防范恶意的知情者

若入侵者已经在防火墙内部，将数据复制到如磁盘或Ｕ盘中带出去，防火墙是无能为力的。

      4.对用户不完全透明

          1）防火墙身兼认证、访问控制等多项任务, 可能产生传输延迟。

          2）防火墙可能产生单点失效的瓶颈问题。

  5.防火墙管理和配置较复杂

防火墙的管理与配置较复杂，由此可能产生一些安全漏洞。防火墙实现的是粗粒度的访问控制，且不能与企业内部的其它安全机制集成。

  6.不能防范病毒的进入

  7.防火墙难于提供内外一致的安全策略

防火墙的安全控制主要是基于用户IP地址，而不是基于用户身份。

7.1.4  对防火墙的攻击

对防火墙而言，网络分为可信任网络和不可信任网络，一般，内部网络是可信网络，而Internet等外部网络是不可信网络。

防火墙通常部署在可信网络的边界，直接面对外部不可信网络，极易受到黑客攻击。

1.欺骗攻击

采取IP地址欺骗技术，伪装成可信网络用户地址，欺骗防火墙侵入内部网络。

2.直接攻击

恶意破坏者采取：协议漏洞攻击、碎片攻击等手段，直接攻击防火墙使其死机或者失去可用性。

  3.拒绝服务攻击

是防火墙较难阻挡的攻击之一。

  4.防火墙抗攻击的关键

        1）采用专用、安全的防火墙操作系统。只有采用具有完整信任关系的操作系统才是安全的。

        2）防火墙自身只提供 少量、必须的服务，除专门的防火墙嵌入系统外，不再运行其它应用程序。

7.2  防火墙体系结构
 

防火墙可采用不同的结构（架构），不同的结构所提供的安全级别不同，维护费用也不同，用户可根据自己的网络环境和安全需求进行选择。

 7.2.1双重宿主主机结构

在堡垒主机上运行防火墙软件和代理服务，双重宿主主机有两个网络接口，一个接内网，一个接外网。

这种结构的防火墙只以代理方式提供服务。

7.2.2屏蔽主机结构

       这种防火墙由包过滤路由器和堡垒主机组成，用一台路由器把内网和外网隔开，提供服务的堡垒主机连接在内网中。

7.2.3屏蔽子网结构

屏蔽子网防火墙利用两台路由器连接的子网与内外部网络隔离开，堡垒主机及其他公用服务器放在该子网中。

   1.非军事化区(DMZ)

DMZ区处在带包过滤功能的边界路由器（外部路由器）与内部路由器之间。

7.3 防火墙关键技术

7.3.1包过滤技术

防火墙对数据的过滤，是根据数据包包头部分的源IP地址、目的IP地址、源端口、目的端口、协议类型(TCP包、UDP包等)及数据包传输方向等信息，判断是否符合安全规则，以确定是否允许该数据包通过。

1、技术特点

速度快，但安全性不强，易受攻击。

2、过滤规则实例

3、包过滤技术的不足

1）不能防范黑客攻击

2）不支持应用层协议

3）不能处理新的安全问题

7.3.2 代理技术

           代理技术隔断内网与外网的直接通信，所有通信都是经应用代理软件转发，访问者不与服务器建立直接的TCP 连接。

1.应用层代理

       应用层代理也称应用层网关，它是基于软件的。

2.自适应代理技术

自适应代理技术（Adaptive Proxy，AP）也称动态代理技术，是增强型的应用网关。这种技术主要用于实时应用（如：视频会议）中。

3.代理的优点

4.代理的不足

7.3.3  状态检测技术

       1.技术原理

状态检测是新一代防火墙的核心技术，由以色列Checkpoint公司开发，又称为动态包过滤技术。

 

它对于新建的应用连接，先检查预先设置的安全规则，允许符合规则的连接通过，然后在内存中记录该连接的相关信息，生成状态检测表（连接表）；对于该连接的后续数据包，只要符合状态表，就允许通过。

状态检测在网络层有一个检测引擎（其中内嵌算法），该引擎捕获数据包并抽取出与应用层状态有关的信息，并以此决定对该连接是接受还是拒绝。故状态检测技术安全性较高，同时具有较好的适应性和扩展性。

状态检测算法能识别进出的应用层数据，算法通过己知数据包的信息对检测引擎进行训练，然后检测（比较）进出的数据包。

2.主要优点

   　   1）安全性好

          2）执行效率高

          3）扩展性好

   　   4）配置方便，应用范围广

   不仅支持基于TCP的应用，还支持基于UDP的应用。

    3.主要不足

　只是检测数据包的第三层（网络层）信息，无法识别数据包中的垃圾邮件、广告以及木马等。

7.3.4 防火墙配置实例

以TD-W89741N增强型防火墙为例。该型防火墙可对内部主机上网行为进行控制。

通过“内网主机”、“外网主机”和“日程计划”三个参数，构建上网控制规则，在某个时间段内允许/禁止内部主机访问外网。

需求：

1、在周一至周五的上班时间段（8：30--18：00），仅允许张三（MAC地址为00:11:22:33:44:55）浏览网页，其他人都不能上网。

2、非上班时间段所有人都可以上网。

实现：

步骤一、设置防火墙缺省过滤规则。

步骤二、设置张三在上班时间内可浏览网页。

          1、添加张三主机条目

          2、添加外网主机条目

          3、添加日程计划

          4、添加防火墙规则

步骤三、设置上班时间段其他人不许上网。

步骤四、开启防火墙，使所有条目生效。

7.4.2 防火墙新增技术

    1.加密技术

    2.安全审计

对网络上发生的事件进行记载和分析，可报警；在防火墙的控制台上实时显示与安全有关的信息、对用户口令进行动态跟踪。

    3.采用安全内核

取消操作系统内核中可能引起安全问题的功能，构成高安全等级的内核，使防火墙更安全，如：Cisco的IPX防火墙（采用专用的OS）等。

对操作系统安全加固：

        ①取消危险的系统调用；

               ②限制命令的执行权限；

                    ③取消IP转发功能；

                         ⑥对驻留分组过滤；

                                ⑦取消动态路由功能。

   4.身份认证

        1)用户认证(UA)      防火墙设定用户的访问权限。

       2)客户认证(CA)       防火墙提供特定的服务权限。

   3)会话认证(SA)       防火墙提供通信双方透明的会话授权机制。

实现方法：

          (1)基于口令的认证

          (2)基于地址的认证

          (3)密码体制认证

一般采用口令认证，而口令通常以密文的方式存放在一个文件中。若攻击者得到这个文件，采用字典攻击或猜测（暴力破解）攻击来可能破解出口令。

  5.内容检查

对高层服务协议的数据进行监控，对数据流内容进行分析。内容检查功能检查邮件的发送者是否伪造或者冒充。对邮件的主题域和基于关键字的增强扫描，防止恶意事件的传播和机密信息扩散。

  6.多级（多层）过滤 

即在网络层一级过滤，在传输层一级遵循过滤规则过滤，在应用网关（应用层）一级控制和监测Internet提供的服务，每种过滤技术对应于不同的网络层。

7 .病毒防火墙

这种防火墙主要用在个人防火墙中，纯软件形式。

8 .分布式防火墙

（1）网络防火墙：用于内部网与外部网之间，以及内部网各子网之间的防护。

 （2）主机防火墙：用于对网络中的服务器和桌面机进行防护。

 （3）管理中心：一种服务器软件，负责总体安全策略的策划、管理等。

           分布式防火墙渗透于网络的每一台主机，对整个内部网络的主机实施保护。分布式的结构，集中式的管理。思科、3Com等厂商已开发，该种防火墙适合于大型网络。

  9.集成式防火墙

             集成IDS、IPS和病毒检测等安全设备或直接把IDS、病毒检测内嵌到防火墙中，使防火墙具有IDS和病毒检测的功能，协同配合，构建立体化防御体系，若发现网络安全事件，由防火墙进行过滤和报告。

7.4.3  VPN技术

   1. VPN的定义和功能

      1）VPN的定义

            VPN（Virtual Private Network）即虚拟私有网络。指通过公共网络建立的一个临时和安全的连接，是一条在公用网络上的安全隧道，它是对内部网的扩展。

      2）VPN功能

         (1)加密数据     保证通过公网传输信息的机密性。

        (2) 身份认证   保证信息的完整性和合法性，并鉴别用户的身份。

      (3)提供访问控制    不同的用户有不同的访问权限。

２. VPN的原理与分类

远程访问VPN:

              远程访问VPN也称移动VPN，是指通过公网远程访问内网而建立的的一种VPN。分为用户发起的VPN连接和接入服务器发起的VPN连接二种。其中用户发起的VPN连接，其过程是：

           首先，远程用户通过服务提供点拨入Internet，然后，通过网络隧道协议与单位网络建立一条隧道(可加密)连接，从而访问单位网络中的内部资源。由用户端维护与管理发起隧道连接的有关协议和软件。

接入服务器发起的VPN连接，其过程是：用户通过本地号码拨入ISP，然后，ISP的接入服务器建立一条隧道连接到用户的单位网络。构建VPN所需的协议及软件由ISP维护和管理。

    3. VPN的关键技术

实际应用中，VPN用户对数据传送的安全性极为关注，因为VPN通道传输的一般都是私密（或机密）信息。

VPN采用密码技术、身份认证技术、隧道技术等技术来保证数据传输的安全。

         1）密码技术

         2）身份认证技术

         3）隧道技术

           （1）第二层隧道协议

第二层隧道协议是一个协议簇，包括：点到点隧道协议（PPTP）、第二层转发协议（L2F），第二层隧道协议（L2TP）等。数据包依靠第二层（数据链路层）协议进行传输。

        （2）第三层隧道协议

第三层隧道协议也是一个协议簇，包括：通用路由封装GRE协议和IPSec安全协议，数据包依靠第三层（网络层）协议进行传输。

第二层和第三层隧道协议的主要区别：用户数据在网络协议栈的不同层被封装。