第8章防火墻技術的原理與應用

8.1防火墻概述

8.2防火墻技術與類型

8.3防火墻主要技術參數

8.4防火墻防御體系結構類型

8.5防火墻部署與應用案例8.6本章小結

本章思考與練習

8.1防

火

墻

概

述

8.1.1防火墻技術背景目前，各組織機構都是通過便利的公共網絡與客戶、合作伙伴進行信息交換的，但是，一些敏感的數據有可能泄露給第三方，特別是連上因特網的網絡將面臨黑客的攻擊和入侵。為了應對網絡威脅，連網的機構或公司將自己的網絡與公共的不可信任的網絡進行隔離，其方法是根據網絡的平安信任程度和需要保護的對象，人為地劃分假設干平安區域，這些平安區域有：*公共外部網絡，如Internet。*內聯網(Intranet)，如某個公司或組織的專用網絡，網絡訪問限制在組織內部。*Extranet，是內聯網的擴展延伸，常用作組織與合作伙伴之間進行通信。*軍事緩沖區域，簡稱DMZ，該區域是介于內部網絡和外部網絡之間的網絡段，常放置公共效勞設備，向外提供信息效勞。在平安區域劃分的根底上，通過一種網絡平安設備，控制平安區域間的通信，就能實現隔離有害通信的作用，進而可以阻斷網絡攻擊。這種平安設備的功能類似于防火使用的墻，因而人們就把這種平安設備俗稱為“防火墻〞，它一般安裝在不同的平安區域邊界處，用于網絡通信平安控制，由專用硬件或軟件系統組成。8.1.2防火墻工作原理防火墻是由一些軟、硬件組合而成的網絡訪問控制器，它根據一定的平安規那么來控制流過防火墻的網絡包，如禁止或轉發，能夠屏蔽被保護網絡內部的信息、拓撲結構和運行狀況，從而起到網絡平安屏障的作用。防火墻一般用來將內部網絡與Internet或者其他外部網絡互相隔離，限制網絡互訪，保護內部網絡的平安，如圖8-1所示。圖8-1防火墻部署安裝示意圖

防火墻根據網絡包所提供的信息實現網絡通信訪問控制：如果網絡通信包符合網絡訪問控制策略，就允許該網絡通信包通過防火墻，否那么不允許，如圖8-2所示。防火墻的平安策略有兩種類型，即：(1)只允許符合平安規那么的包通過防火墻，其他通信包禁止。(2)禁止與平安規那么相沖突的包通過防火墻，其他通信包都允許。圖8-2防火墻工作示意圖

防火墻簡單的可以用路由器、交換機實現，復雜的就要用一臺計算機，甚至一組計算機實現。按照TCP/IP協議的層次，防火墻的訪問控制可以作用于網絡接口層、網絡層、傳輸層、應用層，首先依據各層所包含的信息判斷是否遵循平安規那么，然后控制網絡通信連接，如禁止、允許。防火墻簡化了網絡的平安管理。如果沒有它，網絡中的每個主機都處于直接受攻擊的范圍之內。為了保護主機的平安，就必須在每臺主機上安裝平安軟件，并對每臺主機都要定時檢查和配置更新。歸納起來，防火墻的功能有：*過濾非平安網絡訪問。將防火墻設置為只有預先被允許的效勞和用戶才能通過防火墻，禁止未授權的用戶訪問受保護的網絡，降低被保護網絡受非法攻擊的風險。*限制網絡訪問。防火墻只允許外部網絡訪問受保護網絡的指定主機或網絡效勞，通常受保護網絡中的Mail、FTP、WWW效勞器等可讓外部網絡訪問，而其他類型的訪問那么予以禁止。防火墻也用來限制受保護網絡中的主機訪問外部網絡的某些效勞，例如某些不良網址。*網絡訪問審計。防火墻是外部網絡與受保護網絡之間的惟一網絡通道，可以記錄所有通過它的訪問并提供網絡使用情況的統計數據。依據防火墻的日志，可以掌握網絡的使用情況，例如網絡通信帶寬和訪問外部網絡的效勞數據。防火墻的日志也可用于入侵檢測和網絡攻擊取證。*網絡帶寬控制。防火墻可以控制網絡帶寬的分配使用，實現局部網絡質量效勞(QoS)保障。*協同防御。目前，防火墻和入侵檢測系統通過交換信息實現聯動，根據網絡的實際情況配置并修改平安策略，增強網絡平安。8.1.3防火墻缺陷盡管防火墻有許多防范功能，但它也有一些力不能及的地方，因為防火墻只能對通過它的網絡通信包進行訪問控制，所以對未經過它的網絡通信就無能為力了。例如，如果允許從內部網絡直接撥號訪問外部網絡，那么防火墻就失效了，攻擊者通過用戶撥號連接直接訪問內部網絡，繞過防火墻控制，也能造成潛在的攻擊途徑。除此之外，防火墻還有一些脆弱點，例如:*防火墻不能完全防止感染病毒的軟件或文件傳輸。防火墻是網絡通信的瓶頸，因為已有的病毒、操作系統以及加密和壓縮二進制文件的種類太多，以致于不能指望防火墻逐個掃描每個文件查找病毒，而只能在每臺主機上安裝反病毒軟件。*防火墻不能防止基于數據驅動式的攻擊。當有些外表看來無害的數據被郵寄或復制到主機上并被執行而發起攻擊時，就會發生數據驅動攻擊效果。防火墻對此無能為力。*防火墻不能完全防止后門攻擊。防火墻是粗粒度的網絡訪問控制，某些基于網絡隱蔽通道的后門能繞過防火墻的控制，例如tunnel等。8.2防火墻技術與類型

8.2.1包過濾包過濾是在IP層實現的防火墻技術。包過濾根據包的源IP地址、目的IP地址、源端口、目的端口及包傳遞方向等包頭信息判斷是否允許包通過。此外，還有一種可以分析包中數據區內容的智能型包過濾器。基于包過濾技術的防火墻，簡稱包過濾型防火墻，英文表示就是PacketFilter，其工作機制如圖8-3所示。

圖8-3包過濾工作機制

目前，包過濾是防火墻的根本功能之一。多數現代的IP路由軟件或設備都支持包過濾功能，并默認轉發所有的包。ipf、ipfw、ipfwadm是有名的自由過濾軟件，可以運行在Linux操作系統平臺上。包過濾的控制依據是規那么集，典型的過濾規那么表示格式由規那么號、匹配條件、匹配操作三局部組成，包過濾規那么格式隨所使用的軟件或防火墻設備的不同而略有差異，但一般的包過濾防火墻都用源IP地址、目的IP地址、源端口號、目的端口號、協議類型(UDP，TCP，ICMP)、通信方向及規那么運算符來描述過濾規那么條件。而匹配操作有拒絕、轉發、審計等三種。表8-1是包過濾型防火墻過濾規那么表，這些規那么的作用在于只允許內、外網的郵件通信，其他的通信都禁止。表8-1防火墻過濾規那么表包過濾型防火墻對用戶透明，合法用戶在進出網絡時，感覺不到它的存在，使用起來很方便。在實際網絡平安管理中，包過濾技術經常用來進行網絡訪問控制。下面以CiscoIOS為例，說明包過濾器的作用。CiscoIOS有兩種訪問規那么形式，即標準IP訪問表和擴展IP訪問表，它們的區別主要是訪問控制的條件不一樣。標準IP訪問表只是根據IP包的源地址進行。標準IP訪問控制規那么的格式如下：assess-listlist-mumber{deny|pernit}source[source-wildcard][log]而擴展IP訪問規那么的格式是:assess-listlist-mumber{deny|pernit}protocolsourcesource-wildcardsource-qualifiersdestinationdestination-wildcarddestination-qualifiers[log|log-input]其中：*標準IP訪問控制規那么的list-number規定為1～99，而擴展IP訪問規那么的list-number規定為100～199；*deny表示假設經過CiscoIOS過濾器的包條件匹配，那么禁止該包通過；*permit表示假設經過CiscoIOS過濾器的包條件匹配，那么允許該包通過；*source表示來源的IP地址；*source-wildcard表示發送數據包的主機IP地址的通配符掩碼，其中1代表“忽略〞，0代表“需要匹配〞，any代表任何來源的IP包；*destination表示目的IP地址；*destination-wildcard表示接收數據包的主機IP地址的通配符掩碼；*protocol表示協議選項，如IP、ICMP、UDP、TCP等；*log表示記錄符合規那么條件的網絡包。下面給出一個例子，用Cisco路由器防止DDoS攻擊，配置信息如下：!theTRINOODDoSsystemsaccess-list170denytcpanyanyeq27665logaccess-list170denyudpanyanyeq31335logaccess-list170denyudpanyanyeq27444log!theStacheldrahtDDoSsystemsaccess-list170denytcpanyanyeq16660logaccess-list170denytcpanyanyeq65000log!theTrinityV3systemsaccess-list170denytcpanyanyeq33270logaccess-list170denytcpanyanyeq39268log!theSubsevensystemsandsomevariantsaccess-list170denytcpanyanyrange67116712logaccess-list170denytcpanyanyeq6776logaccess-list170denytcpanyanyeq6669logaccess-list170denytcpanyanyeq2222logaccess-list170denytcpanyanyeq7000log簡而言之，包過濾成為當前解決網絡平安問題的重要技術之一，不僅可以用在網絡邊界上，而且也可應用在單臺主機上。例如，現在的個人防火墻以及Windows2000和WindowsXP都提供了對TCP、UDP等協議的過濾支持，用戶可以根據自己的平安需求，通過過濾規那么的配置來限制外部對本機的訪問。圖8-4是利用Windows2000系統自帶的包過濾功能對139端口進行過濾，這樣可以阻止基于RPC的漏洞攻擊。圖8-4Windows2000過濾配置示意圖

包過濾防火墻技術的優點是低負載、高通過率、對用戶透明；但是包過濾技術的弱點是不能在用戶級別進行過濾，如不能識別不同的用戶和防止IP地址的盜用。如果攻擊者把自己主機的IP地址設置成一個合法主機的IP地址，就可以輕易通過包過濾器。

8.2.2應用效勞代理應用效勞代理防火墻扮演著受保護網絡的內部網主機和外部網絡主機的網絡通信連接“中間人〞的角色，代理防火墻代替受保護網絡的主機向外部網絡發送效勞請求，并將外部效勞請求響應的結果返回給受保護網絡的主機，如圖8-5所示。圖8-5代理效勞工作流程示意圖采用代理效勞技術的防火墻簡稱代理效勞器，它能夠提供在應用級的網絡平安訪問控制。代理效勞器按照所代理的效勞可以分為FTP代理、TELENET、HTTP代理、SOCKET代理、郵件代理等。代理效勞器通常由一組按應用分類的代理效勞程序和身份驗證效勞程序構成。每個代理效勞程序應用到一個指定的網絡端口，代理客戶程序通過該端口獲得相應的代理效勞。例如，IE瀏覽器支持多種代理配置，包括HTTP、FTP、SOCKs等，如圖8-6所示。圖8-6IE瀏覽器配置示意圖

代理效勞技術也是常用的防火墻技術，平安管理員為了對內部網絡用戶進行應用級上的訪問控制，常安裝代理效勞器，如圖8-7所示。受保護內部用戶對外部網絡訪問時，首先需要通過代理效勞器的認可，才能向外提出請求，而外網的用戶只能看到代理效勞器，從而隱藏了受保護網的內部結構及用戶的計算機信息。因而，代理效勞器可以提高網絡系統的平安性。應用效勞代理技術的優點是：圖8-7代理效勞器工作示意圖*不允許外部主機直接訪問內部主機；*支持多種用戶認證方案；*可以分析數據包內部的應用命令；*可以提供詳細的審計記錄。而它的缺點是：*速度比包過濾慢；*對用戶不透明；*與特定應用協議相關聯，代理效勞器并不能支持所有的網絡協議。8.2.3網絡地址轉換NAT是“NetworkAddressTranslation〞的英文縮寫，中文的意思是“網絡地址轉換〞。NAT技術主要是為了解決公開地址缺乏而出現的，它可以緩解少量因特網IP地址和大量主機之間的矛盾。但NAT技術用在網絡平安應用方面，那么能透明地對所有內部地址作轉換，使外部網絡無法了解內部網絡的內部結構，從而提高內部網絡的平安性。基于NAT技術的防火墻上裝有一個合法的IP地址集，當內部某一用戶訪問外網時，防火墻動態地從地址集中選一個未分配的地址分配給該用戶，該用戶即可使用這個合法地址進行通信。實現網絡地址轉換的方式有：靜態NAT(staticNAT)、NAT池(pooledNAT)和端口NAT(PAT)三種類型。其中，靜態NAT設置起來最為簡單，此時內部網絡中的每個主機都被永久映射成外部網絡中的某個合法的地址。而NAT池那么是在外部網絡中定義了一系列的合法地址，采用動態分配的方法映射到內部網絡。PAT那么是把內部地址映射到外部網絡的一個IP地址的不同端口上。NAT的三種方式目前已被許多的路由器產品支持。在路由器上定義啟用NAT的一般步驟如下：第一步，確定使用NAT的接口，通常將連接到內部網絡的接口設定為NAT內部接口，將連接到外網的接口設定為NAT的外部接口。第二步，設定內部全局地址的轉換地址及轉換方式。第三步，根據需要將外部全局地址轉換為外部本地地址。目前，專用的防火墻產品都支持地址轉換技術，比較常見的有：IP-Filter和iptable。IP-Filter的功能強大，它可完成ipfwadm、ipchains、ipfw等防火墻的功能，而且安裝配置相比照較簡單。8.3防火墻主要技術參數

8.3.1防火墻功能指標防火墻主要功能類指標項如表8-2所示。

表8-2防火墻主要功能類指標項

8.3.2防火墻性能指標評估防火墻性能指標涉及到防火墻所采用的技術，根據現有防火墻產品，防火墻在性能方面的指標主要有：*最大吞吐量：檢查防火墻在只有一條默認允許規那么和不丟包的情況下到達的最大吞吐速率。*轉送速率：檢查防火墻在通常平安規那么發生作用的情況下，能以多快的速度轉送正常的網絡通信量。*最大規那么數：檢查在添加大數量訪問規那么的情況下，防火墻的性能變化狀況。*并發連接數：防火墻在單位時間內所能建立的最大TCP連接數，即每秒的連接數。8.3.3防火墻平安指標由于防火墻在網絡平安中扮演著重要的角色，因此防火墻的自身平安至關重要。當前，評價防火墻的平安功能的指標主要有：*入侵實時警告：防火墻能夠對自身和受保護網絡的非法攻擊進行多種告警，如聲音、日志、郵件、呼機、等。*實時入侵防范：提供實時入侵響應功能，當發生入侵事件時，防火墻能夠動態響應，調整平安策略，阻擋惡意報文。*抗攻擊性要求：防火墻具有抵抗針對本身和受保護網絡的攻擊能力，這些攻擊包括IP地址欺騙、拒絕效勞攻擊、滲透性攻擊等。*防火墻所采用的操作系統應是平安可信的：防火墻應采用平安的操作系統或平安增強型的操作系統。8.4防火墻防御體系結構類型8.4.1基于雙宿主主機防火墻結構基于雙宿主主機結構是最根本的防火墻系統結構。這種系統實質上是至少具有兩個網絡接口卡的主機系統。在這種結構中，一般都是將一個內部網絡和外部網絡分別連接在不同的網卡上，使內外網絡不能直接通信。對從一塊網卡上送來的IP包，經過一個平安檢查模塊檢查后，如果是合法的，那么轉發到另一塊網卡上，以實現網絡的正常通信；如果不合法，那么阻止通信。這樣，內外網絡直接的IP數據流完全在雙宿主主機的控制之中，如圖8-8所示。圖8-8雙宿主主機防火墻結構

8.4.2基于代理型防火墻結構雙宿主主機結構由一臺同時連接內外網絡的主機提供平安保障，代理型結構那么不同。代理型結構中由一臺主機同外部網連接，該主機代理內部網和外部網的通信。同時，代理型結構中還包括過濾路由器，即代理效勞器和路由器共同構建了一個網絡平安邊界防御架構，如圖8-9所示。圖8-9代理型防火墻結構

在這種結構中，代理主機位于內部網絡。一般情況下，過濾路由器可按如下規那么進行配置：*允許其他內部主機為某些類型的效勞請求與外部網絡建立直接連接。*任何外部網(或Internet)的主機只能與內部網絡的代理主機建立連接。*任何外部系統對內部網絡的操作都必須經過代理主機。同時，代理主機本身要求要有較全面的平安保護。由于這種結構允許包從外部網絡直接傳送到內部網(代理主機)，因此這種結構的平安控制看起來似乎比雙宿主主機結構差。在雙宿主主機結構中，外部網絡的包理論上不可能直接抵達內部網。但實際上，應用雙宿主主機結構防護數據包從外部網絡進入內部網絡也很容易失敗，并且這種失敗是隨機的，所以無法有效地預先防范。一般來說，代理型結構比雙宿主主機結構能提供更好的平安保護，同時操作也更加簡便。代理型結構的主要缺點是，只要攻擊者設法攻破了代理主機，那么對于攻擊者來說，整個內部網絡與代理主機之間就沒有任何障礙了，攻擊者變成了內部合法用戶，完全可以偵聽到內部網絡上的所有信息。8.4.3基于屏蔽子網的防火墻結構如圖8-10所示，子網過濾結構是在代理型結構中增加了一層周邊網絡的平安機制，使內部網絡和外部網絡有兩層隔離帶。周邊網絡隔離堡壘主機與內部網，減輕攻擊者攻破堡壘主機時對內部網絡的沖擊力。攻擊者即使攻破了堡壘主機，也不能偵聽到內部網絡的信息，不能對內部網絡直接操作。基于屏蔽子網的防火墻結構的特點是：*應用代理位于被屏蔽子網中，內部網絡向外公開的效勞器也放在被屏蔽子網中，外部網絡只能訪問被屏蔽子網，不能直接進入內部網絡。*兩個包過濾路由器的功能和配置是不同的，包過濾路由器A的作用是過濾外部網絡對被屏蔽子網的訪問。包過濾路由器B的作用是過濾被屏蔽子網對內部網絡的訪問。所有外部網絡經由被屏蔽子網對內部網絡的訪問，都必須經過代理效勞器的檢查和認證。*優點：平安級別最高。*缺點：本錢高，配置復雜。圖8-10屏蔽子網防火墻結構

8.5防火墻部署與應用案例

8.5.1防火墻部署的根本方法與步驟防火墻部署是指根據受保護的網絡環境和平安策略，如網絡物理結構或邏輯區域，將防火墻安裝在網絡系統中的過程。防火墻部署的根本過程包含以下幾個步驟：第一步，根據組織或公司的平安策略要求，將網絡劃分成假設干平安區域；第二步，在平安區域之間設置針對網絡通信的訪問控制點；第三步，針對不同訪問控制點的通信業務需求，制定相應的邊界平安策略；第四步，依據控制點的邊界平安策略，采用適宜的防火墻技術和防范結構；第五步，在防火墻上，配置實現對應的邊界平安策略；第六步，測試并驗證邊界平安策略是否正常執行。第七步，運行和維護防火墻。8.5.2基于Cisco路由器的平安應用案例圖8-11某公司的網絡結構

為了保證內部網絡和路由器的平安，特定義如下平安策略：*只允許指定的主機收集SNMP管理信息；*禁止來自外部網絡的非法通信流通過；*禁止來自內部網絡的非法通信流通過；*只允許指定的主機遠程訪問路由器。Cisco路由器的平安配置信息如下：HostnameEast!interfaceEthernet0ipipaccess-group100in!interfaceEthernet1ipipaccess-group102in!routerospf44network55area0network55area1!!access-list75appliestohostsallowedtogatherSNMPinfo!fromthisrouternoaccess-list75!!access-list100appliestotrafficfromexternalnetworks!totheinternalnetworkortotherouternoaccess-list100access-list100denyip 55anylogaccess-list100denyiphost0host0logaccess-list100denyip55anylogaccess-list100denyip55anylogaccess-list100denyip55 anylogaccess-list100denyip 55 anylogaccess-list100denyip 55 anylogaccess-list100denyip 55 anylogaccess-list100denyip 55 anylogaccess-list100denyip55anylogaccess-list100denyipanyhost55logaccess-list100denyipanyhostlogaccess-list100permittcpany55establishedaccess-list100denyicmpanyanyechologaccess-list100denyicmpanyanyredirectlogaccess-list100denyicmpanyanymask-requestlogaccess-list100permiticmpaccess-list100permitospfaccess-list100denytcpanyanyrange60006063logaccess-list100denytcpanyanyeq6667logaccess-list100denytcpanyanyrange1234512346logaccess-list100denytcpanyanyeq31337logaccess-list100permittcpgt1023access-list100denyudpanyanyeq2049logaccess-list100denyudpanyanyeq31337logaccess-list100denyudpanyanyrange3340034400logaccess-list100permitudpanyeqgt1023access-list100denytcpanyrange065535anyrange065535logaccess-list100denyudpanyrange065535anyrange065535logaccess-list100denyipanyanylog!!access-list102appliestotrafficfromtheinternalnetwork!toexternalnetworksortotherouteritselfnoaccess-list102access-list102denyiphost50host50logaccess-list102permiticmp55anyechoaccess-list102permiticmp55anyparameter-problemaccess-list102permiticmp55anypacket-too-bigaccess-list102permiticmp55anysource-quenchaccess-list102denytcpanyanyrange119logaccess-list102denytcpanyanyeq43logaccess-list102denytcpanyanyeq93logaccess-list102denytcpanyanyra