防火墻技術課件簡介課件名稱防火墻技術適用專業及等級安全L1級內容簡介防火墻技術大綱防火墻類型、功能、性能指標、局限性介紹版本V_1.0日期2015.09.23主要更新內容無負責人曹二皇遺留問題無教材主要閱讀對象安全管理人員、安全技術人員培訓重點：熟悉防火墻類型、功能、性能指標等，熟練掌握防火墻技術原理、功能等。建議培訓時間：約2小時課程基礎：熟悉中國移動防火墻及web服務器技術規范及設備安全技術要求系統管理人員培訓重點：了解防火墻類型、功能、性能指標等，熟練防火墻技術原理、功能等。建議培訓時間：約1小時課程基礎：無提綱防火墻簡介防火墻類型防火墻功能防火墻技術相關術語防火墻性能指標防火墻的局限性簡介——防火墻是什么？

“城門失火，殃及池魚”怎么辦？簡介——防火墻是什么？InputInputoutputoutputforwardforward過濾！過濾！過濾！實現一個公司的安全策略創建一個阻塞點記錄INTERNET活動限制網絡暴露簡介——防火墻是什么？Internet路由器內部子網1內部子網2企業內部網簡介——防火墻的發展歷程（1）第一階段：基于路由器的防火墻第二階段：用戶化的防火墻工具套第三階段：建立在通用操作系統上的防火墻第四階段：具有安全操作系統的防火墻簡介——防火墻的發展歷程（2）第一代基于路由器防火墻產品的特點：利用路由器本身對分組的解析,以訪問控制表（ACL）方式實現對分組的過濾；過濾判決的依據可以是：地址、端口號、IP旗標及其它網絡特征；只有分組過濾的功能，且防火墻與路由器是一體的，對安全要求低的網絡可采用路由器附帶防火墻功能的方法；簡介——防火墻的發展歷程（3）第一代防火墻產品的不足之處：路由協議十分靈活，本身具有安全漏洞，外部網絡要探尋內部網絡十分容易；路由器上的分組過濾規則的設置和配置存在安全隱患；攻擊者可以“假冒”地址，由于信息在網絡上是以明文傳送的，黑客可以在網絡上偽造假的路由信息欺騙防火墻；防火墻的規則設置會大大降低路由器的性能；簡介——防火墻的發展歷程（4）作為第二代防火墻產品，用戶化的防火墻工具套具有以下特征：將過濾功能從路由器中獨立出來，并加上審計和告警功能；針對用戶需求，提供模塊化的軟件包；軟件可通過網絡發送，用戶可根據需要構造防火墻；與第一代防火墻相比，安全性提高了，價格降低了。簡介——防火墻的發展歷程（5）第二代防火墻產品的不足之處：配置和維護過程復雜、費時；對用戶的技術要求高；全軟件實現，安全性和處理速度均有局限；實踐表明，使用中出現差錯的情況很多；簡介——防火墻的發展歷程（6）第三代建立在通用操作系統上的防火墻具有以下特點：是批量上市的專用防火墻產品；包括分組過濾或者借用路由器的分組過濾功能；裝有專用的代理系統，監控所有協議的數據和指令；保護用戶編程空間和用戶可配置內核參數的設置；安全性和速度大為提高；簡介——防火墻的發展歷程（7）第三代防火墻產品存在的問題：作為基礎的操作系統及其內核往往不為防火墻管理者所知，由于源碼的保密，其安全性無從保證；由于大多數防火墻廠商并非通用操作系統的廠商，通用操作系統廠商不會對操作系統的安全性負責；從本質上看，第三代防火墻既要防止來自外部網絡的攻擊，還要防止來自操作系統廠商的攻擊；用戶必須依賴兩方面的安全支持：一是防火墻廠商、一是操作系統廠商；簡介——防火墻的發展歷程（8）第四代具有安全操作系統的防火墻具有以下特點：防火墻廠商具有操作系統的源代碼，并可實現安全內核；對安全內核實現加固處理:即去掉不必要的系統特性，加固內核，強化安全保護；對每個服務器、子系統都作了安全處理，一旦黑客攻破了一個服務器，它將會被隔離在此服務器內，不會對網絡的其它部分構成威脅；具有加密與鑒別功能；透明性好，易于使用；防火墻類型包過濾防火墻狀態檢測防火墻代理防火墻混合防火墻個人防火墻防火墻類型——包過濾（1）包過濾防火墻又叫網絡級防火墻，是防火墻最基本的形式；防火墻的任務，就是作為“通信警察”，指引包和截住那些有危害的包。包過濾防火墻檢查每一個通過的網絡包，或者丟棄，或者放行，取決于所建立的一套規則；本質上，包過濾防火墻是多址的，表明它有兩個或兩個以上網絡適配器或接口。例如，作為防火墻的設備可能有兩塊網卡，一塊連到內部網絡，一塊連到公共的Internet。防火墻類型——包過濾（2）包過濾防火墻的工作原理：防火墻可以提供內部信息以說明所通過的連接狀態和一些數據流的內容，把判斷的信息同規則表進行比較，在規則表中定義了各種規則來表明是否同意或拒絕包的通過。包過濾防火墻檢查每一條規則直至發現包中的信息與某規則相符。如果沒有一條規則能符合，防火墻就會使用默認規則，一般情況下，默認規則就是要求防火墻丟棄該包。其次，通過定義基于TCP或UDP數據包的端口號，防火墻能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。防火墻類型——包過濾（3）建立包過濾防火墻規則的例子如下：在公共網絡，只允許目的地址為80端口的包通過。這條規則只允許傳入的連接為Web連接。這條規則也允許與Web連接使用相同端口的連接，所以它并不是十分安全。丟棄從公共網絡傳入，但源地址為內部網絡地址的包，從而減少IP欺騙性的攻擊。丟棄包含源路由信息的包，以減少源路由攻擊。要記住，在源路由攻擊中，傳入的包包含路由信息，它覆蓋了包通過網絡應采取得正常路由，可能會繞過已有的安全程序。通過忽略源路由信息，防火墻可以減少這種方式的攻擊。防火墻類型——包過濾（4）使用包過濾防火墻的優點包括：防火墻對每條傳入和傳出網絡的包實行低水平控制；每個IP包的字段都被檢查，例如源地址、目的地址、協議、端口等，防火墻將基于這些信息應用過濾規則；防火墻可以識別和丟棄帶欺騙性源IP地址的包；包過濾防火墻是兩個網絡之間訪問的唯一來源，因為所有的通信必須通過防火墻，繞過是困難的；包過濾通常被包含在路由器數據包中，所以不必額外的系統來處理這個特征；防火墻類型——包過濾（5）使用包過濾防火墻的缺點包括：配置困難：因為包過濾防火墻很復雜，人們經常會忽略建立一些必要的規則，或者錯誤配置了已有的規則，在防火墻上留下漏洞；為特定服務開放的端口存在著危險，可能會被用于其他傳輸；可能還有其他方法繞過防火墻進入網絡，例如撥入連接，但這個并不是防火墻自身的缺點，而是不應該在網絡安全上單純依賴防火墻的原因；防火墻類型——狀態檢測（1）狀態檢測又稱動態包過濾，是在傳統包過濾上的功能擴展，最早由checkpoint提出。防火墻類型——狀態檢測（2）工作原理：TCP包：當建立起一個TCP連接時，通過的第一個包被標有包的SYN標志。通常情況下，防火墻丟棄所有外部的連接企圖，除非已經建立起某條特定規則來處理它們。對內部的連接試圖連到外部主機，防火墻注明連接包，允許響應隨后在兩個系統之間傳輸的包，直到連接結束為止。在這種方式下，傳入的包只有在它是響應一個已建立的連接時，才會被允許通過。防火墻類型——狀態檢測（3）工作原理：UDP包：UDP包比TCP包簡單，因為它們不包含任何連接或序列信息。它們只包含源地址、目的地址、校驗和攜帶的數據。這種信息的缺乏使得防火墻確定包的合法性很困難，因為沒有打開的連接可利用，以測試傳入的包是否應被允許通過。可是，如果防火墻跟蹤包的狀態，就可以確定。對傳入的包，若它所使用的地址和UDP包攜帶的協議與傳出的連接請求匹配，該包就被允許通過。和TCP包一樣，沒有傳入的UDP包會被允許通過，除非它是響應傳出的請求或已經建立了指定的規則來處理它。對其他種類的包，情況和UDP包類似。防火墻仔細地跟蹤傳出的請求，記錄下所使用的地址、協議和包的類型，然后對照保存過的信息核對傳入的包，以確保這些包是被請求的。防火墻類型——狀態檢測（4）狀態/動態檢測防火墻的優點有：具有檢查IP包的每個字段的能力，并遵從基于包中信息的過濾規則；識別帶有欺騙性源IP地址包的能力；具有基于應用程序信息驗證一個包的狀態的能力，例如基于一個已經建立的FTP連接，允許返回的FTP包通過；允許一個先前認證過的連接繼續與被授予的服務通信；具有記錄有關通過的每個包的詳細信息的能力。基本上，防火墻用來確定包狀態的所有信息都可以被記錄，包括應用程序對包的請求，連接的持續時間，內部和外部系統所做的連接請求等；防火墻類型——狀態檢測（5）狀態/動態檢測防火墻的缺點：狀態/動態檢測防火墻唯一的缺點就是所有這些記錄、測試和分析工作可能會造成網絡連接的某種遲滯，特別是在同時有許多連接激活的時候，或者是有大量的過濾網絡通信的規則存在時。可是，硬件速度越快，這個問題就越不易察覺，而且防火墻的制造商一直致力于提高他們產品的速度。防火墻類型——代理防火墻（1）應用級防火墻主要工作在應用層。應用級防火墻往往又稱為應用級網關。應用程序代理防火墻實際上并不允許在它連接的網絡之間直接通信。相反，它是接受來自內部網絡特定用戶應用程序的通信，然后建立對公共網絡服務器單獨的連接。網絡內部的用戶不直接與外部的服務器通信，所以服務器不能直接訪問內部網的任何一部分。另外，如果不為特定的應用程序安裝代理程序代碼，這種服務是不會被支持的，不能建立任何連接。這種建立方式拒絕任何沒有明確配置的連接，從而提供了額外的安全性和控制性。

防火墻類型——代理防火墻（2）代理防火墻通常支持的一些常見的應用程序有：HTTPHTTPS/SSLSMTPPOP3IMAPNNTPTELNETFTP防火墻類型——代理防火墻（3）應用程序代理防火墻可以配置成允許來自內部網絡的任何連接，它也可以配置成要求用戶認證后才建立連接。要求認證的方式由只為已知的用戶建立連接的這種限制，為安全性提供了額外的保證。如果網絡受到危害，這個特征使得從內部發動攻擊的可能性大大減少。防火墻類型——代理防火墻（4）

工作原理：應用級防火墻檢查進出的數據包，通過自身（網關）復制傳遞數據，防止在受信主機與非受信主機間直接建立聯系。應用級防火墻能夠理解應用層上的協議，能夠做復雜一些的訪問控制，并做精細的注冊和審核。其基本工作過程是：當客戶機需要使用服務器上的數據時，首先將數據請求發給代理服務器，代理服務器再根據這一請求向服務器索取數據，然后再由代理服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道，外部的惡意侵害也就很難傷害到內網。防火墻類型——代理防火墻（5）使用應用程序代理防火墻的優點有：指定對連接的控制，例如允許或拒絕基于服務器IP地址的訪問，或者是允許或拒絕基于用戶所請求連接的IP地址的訪問；通過限制某些協議的傳出請求，來減少網絡中不必要的服務；大多數代理防火墻能夠記錄所有的連接，包括地址和持續時間；這些信息對追蹤攻擊和發生的未授權訪問的事件是很有用的；防火墻類型——代理防火墻（6）應用程序代理防火墻的缺點有：必須在一定范圍內定制用戶的系統，這取決于所用的應用程序；一些應用程序可能根本不支持代理連接；實現麻煩，而且有的應用級網關缺乏“透明度”；在實際使用中，用戶在受信任網絡上通過防火墻訪問Internet時，經常會出現延遲和多次登錄才能訪問外網的問題；應用級防火墻每一種協議需要相應的代理軟件，使用時工作量大，效率不如網絡級防火墻；防火墻類型——混合型防火墻具有包過濾防火墻的功能；具有應用級代理防火墻的功能；結合兩類防火墻高效率和高安全性的優點；防火墻類型——個人防火墻現在網絡上流傳著很多的個人防火墻軟件，它是應用程序級的。個人防火墻是一種能夠保護個人計算機系統安全的軟件，它可以直接在用戶的計算機上運行，使用與狀態/動態檢測防火墻相似的方式，保護一臺計算機免受攻擊。通常，這些防火墻是安裝在計算機網絡接口的較低級別上，使得它們可以監視傳入傳出網卡的所有網絡通信。以個人PC為主，單一主機為防護主體；以Port阻擋為主，或結合入侵檢測系統的部分功能；均為Windows操作系統的軟件；防火墻類型——個人防火墻

1.防火墻能夠控制是否允許某個模塊訪問網絡。當應用程序訪問網絡的時候，對參與訪問的模塊進行檢查，根據模塊的訪問規則決定是否允許該訪問。

2.通過啟發式查毒技術，當有程序進行網絡活動的時候，對該進程調用未知木馬掃描程序進行掃描，提高對可疑程序自動識別的能力

3.對需要調用IE接口的程序進行檢查,對惡意程序進行檢查，報警并阻斷

4.提供強大的、可以升級的黑名單規則庫。庫中是非法的、高風險、高危害的網站地址列表，符合該庫的訪問會被禁止的。

防火墻功能從總體上看，防火墻應具有以下基本功能：過濾進、出網絡的數據；管理進、出網絡的訪問行為；封堵某些禁止的業務；記錄通過防火墻的信息內容和活動；對網絡攻擊的檢測和告警；防火墻功能網絡地址轉換NAT防火墻雙機熱備負載均衡聯動：與IDS聯動/與病毒服務器的聯動VPN功能功能與技術——過濾過濾是防火墻所要實現的最基本功能，現在的防火墻已經由最初的地址、端口判定控制，發展到判斷通信報文協議頭的各部分，以及通信協議的應用層命令、內容、用戶認證、用戶規則甚至狀態檢測等等。

功能與技術——URL級信息過濾這往往是代理模塊的一部分，許多產品把這個功能單獨提取出來，以滿足用戶需要，它實現起來其實是和代理結合在一起的。URL過濾用來控制內部網絡對某些站點的訪問，如禁止訪問某些站點、禁止訪問站點下的某些目錄、只允許訪問某些站點或者其下目錄等等。功能與技術——NAT（1）NAT——網絡地址轉換翻譯內部主機的IP地址而使外部的監視器無法探測到他們。為什么需要網絡地址轉換？Internet技術是基于IP協議的技術，所有的信息通信都是通過IP包來實現的，每一個設備需要進行通信都必須有一個唯一的IP地址，NAT很好的解決了IP地址短缺的問題；避免內部主機直接暴露在網絡中；功能與技術——NAT（2）NAT的實現方式當網絡數據包流入防火墻時，系統會檢查該數據包是否符合用戶設定的NAT規則，如果找到符合的規則，系統會按照規則對數據包進行轉換，同時建立一條NAT進程，當有數據包返回時，將檢查進程表，進行相應的處理。這里我們可以看到，NAT需要對每一條TCP/IP連接建立一條對應的NAT進程表項。假如不對查詢算法進行優化，在訪問量大的情況下，查詢NAT進程表項將會占用大量CPU。功能與技術——NAT（3）NAT的模式靜態地址映射：在內部的IP地址與公有IP地址間建立一一對應的靜態映射關系，對用戶來說，既可擁有自己的公有地址，方便的和外部通信，又可不必直接與外部網絡相連，得到防火墻的保護；動態地址池分配：采用動態地址池分配，管理員可以事先定義好一組可用的公有Internet地址，當用戶需要對外訪問時，防火墻將會從這一組可用的公有Internet地址中的IP動態分配抽取一個沒有使用的IP地址給用戶，使用戶得到合法的IP地址與外部訪問。當用戶完成訪問時，系統將回收這個IP地址，將它分配給另外一個用戶使用；端口地址轉換：采用端口地址轉換，管理員只需要設定一個或多個可以用作端口地址轉換的公有Internet地址，用戶的訪問將會映射到IP池中IP的一個端口上去，這使每個合法InternetIP可以映射六萬多個臺內部網主機；功能與技術——NAT（4）網絡地址轉換NAT防火墻09外部地址9內部用戶:6012:601209:6000109:60001功能與技術——代理透明代理（Transparentproxy）透明代理實質上屬于DNAT的一種，它主要指內網主機需要訪問外網主機時，不需要做任何設置，完全意識不到防火墻的存在，而完成內外網的通信。但其基本原理是防火墻截取內網主機與外網通信，由防火墻本身完成與外網主機通信，然后把結果傳回給內網主機，在這個過程中，無論內網主機還是外網主機都意識不到它們其實是在和防火墻通信。而從外網只能看到防火墻，這就隱藏了內網網絡，提高了安全性;功能與技術——代理傳統代理傳統代理工作原理與透明代理相似，所不同的是它需要在客戶端設置代理服務器。代理能實現較高的安全性，不足之處是響應變慢。功能與技術——審計和報警機制（1）在防火墻結合網絡配置和安全策略對相關數據分析完成以后，就要作出接受、拒絕、丟棄或加密等決定。如果某個訪問違反安全規定，審計和報警機制開始起作用，并作記錄，報告等等；審計是一種重要的安全措施，用以監控通信行為和完善安全策略，檢查安全漏洞和錯誤配置，并對入侵者起到一定的威懾作用。報警機制是在通信違反相關策略以后，以多種方式如聲音、郵件、電話、手機短信息及時報告給管理人員；功能與技術——審計和報警機制（2）防火墻的審計和報警機制在防火墻體系中是很重要的，只有有了審計和報警，管理人員才可能知道網絡是否受到了攻擊。另外，防火墻的該功能也有很大的發展空間，如日志的過濾、抽取、簡化等等。日志還可以進行統計、分析、（按照特征）存儲（在數據庫中），稍加擴展便又是一個網絡分析與查詢模塊。功能與技術——審計和報警機制（3）日志由于數據量比較大，主要通過兩種方式解決，一種是將日志掛接在內網的一臺專門存放日志的日志服務器上；一種是將日志直接存放在防火墻本身的存儲器上。日志單獨存放這種方式配置較為麻煩，然而可以存放的日志量可以很大；日志存放在防火墻本身時，無需做額外配置，然而由于防火墻容量一般很有限，所存放的日志量往往較小。目前這兩種方案在防火墻產品中均有使用。功能與技術——流量控制（帶寬管理）流量控制可以分為基于IP地址的控制和基于用戶的控制。基于IP地址的控制是對通過防火墻各個網絡接口的流量進行控制，基于用戶的控制是通過用戶登錄來控制每個用戶的流量，從而防止某些應用或用戶占用過多的資源。并且通過流量控制可以保證重要用戶和重要接口的連接。功能與技術——統計分析、流量計費流量統計是建立在流量控制基礎之上的。一般防火墻通過對基于IP、服務、時間、協議等等進行統計，并可以與管理界面實現掛接，實時或者以統計報表的形式輸出結果。流量計費從而也是非常容易實現的。功能與技術——MAC與IP地址的綁定MAC與IP地址綁定起來，主要用于防止受控（不可訪問外網）的內部用戶通過更換IP地址訪問外網。8800:88:CC:A0:2C:4DIP包8888:88:88:88:88:88IP包功能與技術——雙機備份與負載均衡防火墻雙機備份與負載均衡防火墻與IDS聯動功能聯動（與IDS的聯動）監測網絡報文設置命令功能與技術——VPN（1）在以往的網絡安全產品中VPN是作為一個單獨一個產品出現的，現在更多的廠家把兩者捆綁到一起，這似乎體現了一種產品整合的趨勢。

功能與技術——VPN（2）VPN功能（網關到網關模式）InternetVPN網關B非安全通道安全通道非安全通道VPN網關A數據在這一段是認證的數據在這一段是加密的功能與技術——抗攻擊能力（1）DOS（DDOS）攻擊（分布式）拒絕服務攻擊是目前一種很普遍的攻擊方式，在預防上也是比較困難的；目前防火墻對于這種攻擊的解決辦法主要是提高防火墻本身的健壯性（如增加緩沖區大小）；例如：在Linux內核中有一個防止Synflooding攻擊的選項：CONFIG_SYN_COOKIES，它是通過為每一個Syn建立一個緩沖（cookie）來分辨可信請求和不可信請求；另外對于ICMP攻擊，可以通過關閉ICMP回應來實現；功能與技術——抗攻擊能力（2）IP假冒（IPspoofing）IP假冒是指一個非法的主機假冒內部的主機地址，騙取服務器的“信任”，從而達到對網絡的攻擊目的;防火墻設計上應該知道網絡內外的IP地址分配，從而丟棄所有來自網絡外部但卻有內部地址的數據包；防火墻將內網的實際地址隱蔽起來，外網很難知道內部的IP地址，攻擊難度加大；IP假冒主要來自外部，對內網可不考慮此問題（其實同時內網的IP假冒情況也可以得到遏制）；功能與技術——抗攻擊能力（3）特洛伊木馬防火墻本身預防木馬比較簡單，只要不讓系統不能執行下載的程序即可；一個需要說明的地方是必須指出的是，防火墻能抗特洛伊木馬的攻擊并不意味著內網主機也能防止木馬攻擊。事實上，內網主機可能會透過防火墻下載執行攜帶木馬的程序而感染。內網主機的在預防木馬方面的安全性仍然需要主機自己解決（防火墻只能在內網主機感染木馬以后起一定的防范作用）；功能與技術——抗攻擊能力（4）口令字攻擊口令字攻擊既可能來自外部，也可能來自內部，主要是來自內部；（在管理主機與防火墻通過單獨接口通信的情況下，口令字攻擊是不存在的）來自外部的攻擊即用窮舉的辦法猜測防火墻管理的口令字，這個很容易解決，只要不把管理部分提供給外部接口即可；內部的口令字攻擊主要是窮舉和嗅探，其中以嗅探危害最大。嗅探指監測網絡截獲管理主機給防火墻的口令字，如果口令字已加密，則解密得到口令字；目前一般采用一次性口令和禁止直接登錄防火墻的措施來防止對口令字的攻擊。；功能與技術——抗攻擊能力（5）郵件詐騙郵件詐騙是目前越來越突出的攻擊方式。防火墻本身防止郵件詐騙非常簡單，不接收任何郵件就可以了。然而象木馬攻擊一樣，內網主機仍可收發郵件，郵件詐騙的危險仍然存在，其解決辦法一個是內網主機本身采取措施防止郵件詐騙，另一個是在防火墻上做過濾。功能與技術——抗攻擊能力（6）抗網絡安全性分析網絡安全性分析工具本是供管理人員分析網絡安全性之用的（例如：端口掃描器、數據包嗅探器等），一旦這類工具用作攻擊網絡的手段，則能較方便地探測到內部網絡的安全缺陷和弱點所在，這些分析工具給網絡安全構成了直接威脅；防火墻可采用地址轉換等技術，將內部網絡隱蔽起來，使網絡安全分析工具無法從外部對內部網作分析；防火墻技術相關術語(1)幾個概念堡壘主機(BastionHost)：對外部網絡暴露，同時也是內部網絡用戶的主要連接點雙宿主主機(dual-homedhost)：至少有兩個網絡接口的通用計算機系統DMZ(DemilitarizedZone，非軍事區或者停火區)：在內部網絡和外部網絡之間增加的一個子網防火墻技術相關術語—透明接入防火墻技術相關術語—路由接入防火墻技術相關術語—混合接入防