网络安全之防火墙技术笔记_双宿主主机防火墙

防火墙的概述
 

定义
防火墙是位于两个(或多个)网络间，实施网间访问控制
的一组组件的集合。
核心思想
在不安全的网际网环境中构造一个相对安全的子网环境
（硬件、软件皆可）

防火墙需要满足的条件
内部和外部之间的所有网络数据流必须经过防火墙
只有符合安全策略的数据流才能通过防火墙
防火墙自身应对渗透(peneration)免疫（不受各种攻击的影响）

防火墙的功能
“阻止”
        就是阻止某种类型的通信量通过防火墙（从外部网络到内部网络，或反过来）
“允许”
        功能与“阻止”恰好相反
防火墙必须能够识别通信量的各种类型。不过在大多数情况下防火墙的主要功能是“阻止”

网络安全的屏障（可定制）
过滤不安全的服务：（两层含义）
        内部提供的不安全服务
        内部访问外部的不安全服务
集中式安全保护（非军事化区）
阻断特定的网络攻击（联动技术的产生）

是监视局域网安全和预警的方便端点
提供包括安全和统计数据在内的审计数据，好的防火墙还能灵活设置各种报警方式。
加密支持功能
认证支持功能
管理功能
记录和报表功能

防火墙的发展历史

1986年，美国digital公司在Internet上安装了全球第
一个商用防火墙系统，提出了防火墙概念。

防火墙的发展大致可划分为4个阶段

-------------------------------------------------------------------------------------------------

第一代防火墙 （只能作为应急措施）
基于路由器的防火墙
网络访问控制功能通过路由控制来实现
特点
以访问控制表（ACL）方式实现对分组的过滤
过滤判决的依据可以是地址、端口号、IP标志等
只有分组过滤功能

缺点
路由协议本身就具有安全漏洞，外部网络要探测内部网络十分容易
路由器上分组过滤规则的设置和配置存在安全隐患
最大的隐患：攻击者可以“假冒”IP地址

--------------------------------------------------------------------------------------------------------

第二代防火墙
用户化防火墙工具套
特点
将分组过滤功能从路由器中独立出来，并加上审计和告警功能
针对用户需求，提供模块化的软件包
软件可通过网络发送，用户可自己动手构造防火墙

存在的问题
配置和维护过程复杂、费时
对用户的技术要求高
全软件实现，安全性和处理速度均有局限
实践表明，使用中出现差错的情况很多

--------------------------------------------------------------------------------------------------------

第三代防火墙
建立在通用操作系统上的商用防火墙产品
特点
批量上市的专用防火墙
包括分组过滤或者借用路由器的分组过滤功能
装有专用的代理系统，监控所有协议的数据和指令
保护用户编程空间和用户配置内核参数的设置
安全性和速度大为提高

存在的问题
作为基础的操作系统及其内核往往不为防火墙管理者所知。由于源码的保密，其安全性无从保证
由于大多数防火墙厂商并非是通用操作系统的厂商，通用操作系统厂商不会对防火墙中使用的操作系统的安全性负责
用户必须依赖两方面的安全支持；一是防火墙厂商；二是操作系统厂商

----------------------------------------------------------------------------------------------------------------------------

第四代防火墙
具有安全操作系统的防火墙
特点
防火墙厂商具有操作系统的源代码，并可实现安全内核
对安全内核实现加固定处理。即去掉不必要的系统特性，加上内核特性，强化安全保护
对每个服务器、子系统都作安全处理，一旦黑客攻破了一个服务器，它将会被隔离在此服务器内，不会对网络的其他部分构成威胁
在功能上包括分组过滤、应用网关、电路级网关，且具有加密与认证功能
透明性好，易使用

-------------------------------------------------------------------------------------------------------------------------

常见的防火墙产品

个人防火墙
天网、瑞星、Norton、NOD32
软件防火墙
Check Point Firewall-1
Microsoft ISA Server 
硬件防火墙
思科IOS防火墙，适用于中小型企业
NetScreen公司高端防火墙，采用专用集成电路(ASIC)芯片
国内，安氏、华为、清华等，采用网络处理器(NP)芯片

----------------------------------------------------------------------------------------------

防火墙的几种常见类型

---------------------------------------------------------

分组过滤防火墙
双宿主主机防火墙
屏蔽主机防火墙
屏蔽子网防火墙

------------------------------------------------------------

分组过滤防火墙
又称包过滤防火墙或屏蔽路由器
首先检查经过路由器的数据包源地址、目的地址、TCP端口、UDP端口等参数，再由策略决定是否允许该数据包通过，并对其进行路由选择转发。

特点
屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。
实现IP层的安全
缺点
是网络中的“单失效点”
不支持有效的用户认证，不提供有用的日志
安全性低

---------------------------------------------------------------------------------------------------------------------------------

双宿主主机防火墙  （不适合于一些高灵活性要求）

就是用一台装有两块网卡的堡垒主机做防火墙。两块网卡分别与内部网和外部网相连。
堡垒主机上运行着防火墙软件，采用代理服务的方法，转发报文和提供服务等

堡垒主机的作用  
阻止IP层通信
实现应用层安全
中间转接作用

优缺点
堡垒主机的系统软件可用于身份认证和维护系统日志，有利于进行安全审计
仍然是“单失效点”
隔离了一切内部网与Internet的直接连接
代表产品：ISA防火墙
Microsoft® Internet Security and Acceleration Server (简称为ISA)  

------------------------------------------------------------------------------------------------------------------------------

屏蔽主机防火墙
分组过滤路由器连接外部网络
运行网关软件的堡垒主机安装在内部网络
提供了较高的安全等级
过滤路由器是否正确配置，是防火墙安全与否的关键
路由表应受到严格保护

------------------------------------------------------------------------------------------------------------------------------

屏蔽子网防火墙——最安全的防火墙系统 （解决了单一失效点的问题）

在内部网络和外部网络之间建立一个被隔离的子网（非军事区，Demilitarized Zone，DMZ），也称为屏蔽子网
在很多实现中，两个分组过滤路由器放在子网的两端，内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过屏蔽子网进行通信

通常将堡垒主机、各种信息服务器等公用服务器放于DMZ中
堡垒主机通常是黑客集中攻击的目标，如果没有DMZ，入侵者将可以监听整个内部网络；有了
DMZ，堡垒主机不再是“单一失效点”

-----------------------------------------------------------------------------------------------------------------------------

防火墙的几种常用技术

数据包过滤技术

一种简单、高效的安全控制技术。

系统在网络层检查数据包，与应用层无关

工作原理
依据在系统内设置的过滤规则（通常称为访问控制表ACL——AccessControlList）对数据流中每个数据包包头中的参数或它们的组合进行检查，以确定是否允许该数据包进出内部网络。

包过滤一般要检查（网络层的IP头和传输层的头）：
        IP源地址
        IP目的地址
        协议类型（TCP包/UDP包/ICMP包）
        TCP或UDP的源端口
        TCP或UDP的目的端口
        ICMP消息类型
        TCP报头中的ACK位

举例：
某条过滤规则为：禁止地址1的任意端口到地址2的80端口的TCP包
含义？
地址2的计算机有可能是个WWW服务器
表示禁止地址1的计算机连接地址2的计算机的WWW服务

优点
逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好
主要缺点
安全控制的力度只限于源地址、目的地址和端口号等，不能保存与传输或与应用相关的状态信息，因而只能进行较为初步的安全控制，安全性较低；
数据包的源地址、目的地址以及端口号等都在数据包的头部，很有可能被窃听或假冒

注意：
创建规则比较困难，且易产生冲突；
规则过于复杂并难以测试，必须要用手工或用仪器才能彻底检测规则的正确性；
对特定协议包的过滤
FTP协议：使用两个端口，因此要作特殊的考虑
UDP协议：要对UDP数据包进行过滤，防火墙应有动态数据包过滤的特点

---------------------------------------------------------------------------------------------------------------------

动态包过滤技术

当配置了动态控制列表，可以实现指定用户的IP数据流
临时通过防火墙时，进行会话连接。当动态控制列表被
触发后，动态访问控制列表重新配置接口上的已有的访
问控制列表，允许指定的用户访问指定的IP地址。在会
话结束后，将接口配置恢复到原来的状态
一般结合身份认证机制进行实现

用户打开发起一个到防火
墙的Telnet会话
防火墙收到Telnet数据包
后，打开Telenet会话，
提示用户输入认证信息，
并对用户身份进行认证

通过身份认证后，用户
退出Telnet，防火墙访问
控制列表创建一个临时
访问控制列表规则

用户能通过防火墙访问
内部网络
超过预设定时间后，防
火墙删除这个临时访问
控制列表规则

------------------------------------------------

代理服务器技术

代理服务技术

是运行于连接内部网络与外部网络的主机（堡垒主机）上的一种应用，是一种比较高级的防火墙技术。

工作过程
1. 从工作站到Web服务器的Web页请求
2. 验证请求是否符合安全规则
3. 从代理服务器重新发送到Web服务器的Web请求

4. Web服务器响应代理服务器的Web请求
5. Web页响应从代理服务器送到请求它的工作站

主要优点

内部网络拓扑结构等重要信息不易外泄，从而减少了黑客攻击时所必需的必要信息

可以实施用户认证、详细日志、审计跟踪和数据加密等
功能和对具体协议及应用的过滤。同时当发现被攻击迹
象时会向网络管理员发出警报，并保留攻击痕迹，安全
性较高。

主要缺点

针对不同的应用层协议必须有单独的应用代理，也不能自动支持新的网络应用

有些代理还需要相应的支持代理的客户和服务器软件

用户需专门学习程序的使用方法才能通过代理访问Internet
性能下降

------------------------------------------------------------------------------------------------------------------------

状态检测技术

动态状态表
跟踪每一个网络会话的状态，对每一个数据包的检查不
仅根据规则表，更考虑了数据包是否符合会话所处的状
态
检测模块（检测引擎）
状态检测防火墙采用了一个在网关上执行网络安全策略
的软件引擎，称之为检测模块。
在不影响网络正常工作的前提下，可抽取OSI各层的相
关数据，实施监测，并动态地保存起来作为以后制定安
全策略的参考
 

特点
既能够提供代理服务的控制灵活性，又能够提供包过滤的高效性，是二者的结合
工作过程
对新建的应用连接，状态检测检查预先设置的安全规则，
允许符合规则的连接；请求数据包通过，并记录下该连
接的相关信息，生成状态表，对该连接的后续的大量数
据包，只要符合状态表，就可以通过，不需检查规则表。


主要优点
高安全性(工作在数据链路层和网络层之间；“状态感知”能力)
高效性(对连接的后续数据包直接进行状态检查)
应用范围广(支持基于无连接协议的应用)
主要缺点
状态检测防火墙在阻止DDoS攻击、病毒传播问题以及高级应用入侵问题（如实现应用层内容过滤）等方面显得力不从心

-----------------------------------------------------------------------------------------------------------------------------

网络地址转换技术

NAT
Network Address Translation
就是将一个IP地址用另一个IP地址代替
主要作用
隐藏内部网络的IP地址
解决地址紧缺问题
注意
NAT本身并不是一种有安全保证的方案，它仅仅在包的最外层改变IP地址，所以通常要把NAT集成在防火墙系统中

SNAT & DNAT
        静态(Static)网络地址转换和动态(Dynamic)网络地址转换
        源(Source)网络地址转换和目标(Destination)网络地址转换
NAT的三种方式
        M-1：多个内部地址翻译到一个IP地址
        1-1：一个内部地址翻译到一个IP地址
        M-N：多个内部地址翻译到N个IP地址

静态网络地址转换
        内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址
        特点：性能好，不需维护地址的转换状态表
动态网络地址转换
        可用的合法IP地址是一个范围，而内部网络地址的范围大于
        合法IP的范围，在做地址转换时，如果合法IP都被占用，此
        时从内部网络的新的请求会由于没有合法地址可以分配而失
        败

        解决：PAT(端口地址转换/翻译)

        特点：功能强大，但需要维护转换状态表

源网络地址转换

        修改数据包中IP头部中的数据源地址（通常发生在使用
        私有地址的用户访问Internet的情况下，把私有地址翻译
        成合法的因特网地址）
目标网络地址转换

        修改数据包中IP头部中的数据目的地址（通常发生在防
        火墙之后的服务器上

---------------------------------------------------------------------------------------------------

防火墙的局限性

网络的安全性通常是以网络服务的开放性和灵活性
为代价的

防火墙的使用也会削弱网络的功能：

由于防火墙的隔离作用，在保护内部网络的同时使它与
外部网络的信息交流受到阻碍；

由于在防火墙上附加各种信息服务的代理软件，增大了
网络管理开销，还减慢了信息传输速率，在大量使用分
布式应用的情况下，使用防火墙是不切实际的。

防火墙只是整个网络安全防护体系的一部分，而且
防火墙并非万无一失：

只能防范经过其本身的非法访问和攻击，对绕过防火墙
的访问和攻击无能为力；

不能解决来自内部网络的攻击和安全问题；

不能防止受病毒感染的文件的传输；

不能防止策略配置不当或错误配置引起的安全威胁；

不能防止自然或人为的故意破坏；

不能防止本身安全漏洞的威胁。