防火墙技术

3.1 防火墙基础

3.1.1 基本概念

防火墙：过滤！

实现一个机构的安全策略

创建一个阻塞点

记录internet 活动

限制网络暴露

什么是防火墙?

• 防火墙是设置在用户网络和外界之间的一道屏障，防止不可预料的、潜在的破坏侵入用户网络;

• 防火墙在开放和封闭的界面上构造一个保护层，属于内部范围的业务，依照协议在授权许可下进行;外部对内部网络的访问受到防火墙的限制

防火墙功能

• 过滤进出网络的数据

• 管理进出网络的访问行为

• 封堵某些禁止的访问行为

• 记录通过防火墙的信息内容和活动

• 对网络攻击进行检测和告警

防火墙分类

3.1.2 访问控制机制

访问控制机制的演变

1、路由器—>ACL 访问控制列表

2、包过滤防火墙—>根据IP五元组判断能否通过

3、状态监测防火墙—>根据应用判断能否通过

4、应用代理防火墙—>根据应用判断能否通过

5、多检测机制防火墙—>根据多个IP包判断整体应用后判断能否通过

6、多功能集成网关(下一代防火墙 )—>嵌入多种防护功能，经过多层过滤后判断能否通过

1. 包过滤防火墙

数据包过滤(Packet Filtering)技术在网络层对数据包进行选择， 选择的依据是系统内设置的过滤逻辑，即访问控制表(Access Control List，ACL)

• 包过滤防火墙分为静态包过滤、动态包过滤防火墙

• 包检查器并不是检查数据包的所有内容，只检查报头(IP、TCP头部)

优点

◆逻辑简单 ◆有较强的透明性 ◆网络性能的影响较小 ◆开销较小，设备便宜

缺点

◆无法对数据包的内容进行过滤审核

◆在传输层或则是网络层上检测数据，不 能在更高一层检测数据，比如能禁止和通过一个向内的HTTP请求，但不能判断这个 请求是非法的还是合法的。

◆防止欺骗攻击很难，特别是容易受到IP 欺骗攻击(允许来自网络外部的流量，包过 滤防火墙只能检测数据包中的源IP，无法 确定是否是真正的源地址)

◆所有可能用到的端口(尤其是>1024的端 口)都必需放开,增加了被攻击的可能性

◆在复杂的网络中很难管理

◆通常来说包过滤技术是防火墙技术中最低的。

2. 状态检测防火墙

状态检测防火墙由动态包过滤防火墙演变而来，工作在传输层，使用各种状态表(state tables)来追踪活跃的TCP会话，它能够根据连接状态信息动态地建 立和维持一个连接状态表，并且把这个连接状态表用于后续报文的处理。

状态检测技术一般的检查点有:

• 检查数据包是否是一个已经建立并且正在使用的通信流的一部分。

• 如果数据包和连接表的各项都不匹配，那么防火墙就会检测数据包 是否与它所配置的规则集相匹配。

• 在检测完毕后，防火墙会根据路由转发数据包，并且会在连接表中 为此次对话创建或者更新一个连接项

• 防火墙通常对TCP包中被设置的FIN位进行检测、通过会话超时设置决定何时从连接表中删除某连接项。

优点

◆更高的安全性

◆高效性

◆应用范围广

缺点

◆不能对应用层数据进行控制

◆不能产生高层日志

◆配置复杂

3. 应用代理防火墙

应用代理(Application Proxy)也称为应用层网关(Application Gateway)

• 工作在应用层，其核心是代理进程

• 每一种应用对应一个代理进程，实现监视和控制应用层通信流

• 自适应代理防火墙:在每个连接通信的开始仍然需要在应用层接受检测， 而后面的包可以经过安全规则由自适应代理程序自动的选择是使用包过滤还是代理

优点

◆可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强

◆代理完全控制会话，可以提供很详细的日志和安全审计功能

◆可以隐藏内部网的IP地址，保护内部主机免受外部主机的进攻

◆可以集成认证机制

缺点

◆最大缺点是要求用户改变自己的行为，或者在访问代理服务的 每个系统上安装特殊的软件

◆分析困难，实现困难，每一种应用服务必须设计一个代理软件模块进行安全控制，并 且应用升级时，一半代理服务程序也要升级

◆影响用户网络速度(命令解释)

◆不能防止SYN攻击

4. 复合型防火墙

复合型防火墙是指综合了状态检测与应用代理的新一代的防火墙

• 对整个报文进行访问控制和处理，具体检测内容由策略决定，

• 如果策略是包过滤策略，则对TCP、IP报头进行检测，

• 如果策略是应用代理策略，则对用户数据进行检测

优点

◆可以检查整个数据包的内容

◆根据需要建立连接状态表

◆网络层保护强

◆应用层控制细

缺点

◆会话控制较弱

5. 核检测防火墙

对于简单包过滤防火墙、状态检测包过滤防火墙和应用代理防火墙，他们只是检查单个报文，所以只检查其中的一个报文，但是他们都不能把这些报文组合起来，形成一个会话 来进行处理。

对于核检测防火墙，它可以将不同报文，在防火墙内部， 模拟成应用层客户端或服务器端，对整个报文进行重组，合成一个会话来进行理解，进行访问控制。

可以提供更细的访问控制，同时能生产访问日志。可以看到，它的上下报文是相关的，它具备包过滤和应用代理防 墙的全部特点，还增加了对会话的保护能力。

优点

◆网络层保护强

◆应用层保护强

◆会话层保护强

◆前后报文有联系，可以关联进行出来

缺点

◆不能防病毒传播

◆不能防止一些未知的入侵或攻击

小结

◼ 包过滤防火墙: 包过滤防火墙不检查数据区，包过滤防火墙不建立连接状态表，前后报文无关，应用层控制很弱。

◼ 应用代理防火墙:不检查IP、TCP报头，不建立连接状态表 ，网络层保护比较弱，影响用户的网速。

◼ 状态检测防火墙:不检查数据区，建立连接状态表，前后报文相关，应用层控制很弱。

◼ 复合型防火墙:可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细，会话控制较弱

◼ 核检测防火墙:可以检查整个数据包内容，网络层保护强， 应用层保护强，前后报文有联系。

3.2 防火墙设计原则及优缺点

3.2.1 设计原则

• 过滤不安全服务的原则

◼ 防火墙应封锁所有信息流，然后对希望提供的安全服务逐项开放

◼ 这是一种非常有效实用的方法，可以造成一种十分安全的环境，因为只有经过仔细挑选的服务才能允许用户使用

• 屏蔽非法用户的原则

◼ 防火墙可先允许所有的用户和站点对内部网络的访问，然后网络管理员按照 IP 地址对未授权的用户或不信任的站点进行逐项屏蔽

◼ 这种方法构成了一种更为灵活的应用环境，网络管理员可以针对不同的服务面向不同的用户开放，也就是能自由地设置各个用户的不同访问权限

3.2.2 优缺点

优点:

◼ 允许管理员定义一个中心扼制点防止非法用户进入内部网络

◼ 保护网络中脆弱的服务

◼ 用户可方便的监视网络的安全并产生报警

◼ 集中安全性

◼ 增强保密性

◼ 是审计和记录网络流量的一个最佳地方

缺点:

◼ 限制有用的服务

◼ 不能有效防止内部的攻击

◼ Internet防火墙不能防止通过防火墙以外的攻击

◼ 不能完全防止传送已感染病毒的文件和软件

◼ 无法防范数据驱动型攻击

◼ 不能防备新的网络安全问题

3.3 防火墙体系结构

• 屏蔽主机网关 Screened Host Gateway

包过滤路由器只放行到堡垒主机的数据包

➢ 一个分组过滤路由器 连接外部网络

➢ 一个堡垒主机安装在 内部网络上;

➢ 通常在路由器上设立过滤规则，并使这个 堡垒主机成为从外部网络唯一可直接到达 的主机，这确保了内部网络不受未被授权 的外部用户的攻击

• 屏蔽子网Screened Subnet Firewall

◼ 在内部网络和外部网络之间增加一个子网

◼ 屏蔽子网区域称为边界网络Perimeter Network，也称为非军事区 DMZ(De-Militarized Zone)

入侵者攻击内部网络至少要突破两个路由器:

• 内部路由器

◼ 负责管理DMZ到内部网

◼ 仅接收来自堡垒主机的数据包

◼ 完成防火墙的大部分工作

• 外部路由器

◼ 防范通常的外部攻击络的访问

◼ 管理Internet到DMZ的访问

◼ 只允许外部系统访问堡垒主机

• 堡垒主机

◼ 安全防护、运行各种代理服务

3.4 硬件防火墙的性能指标

1. 吞吐量

1、定义:在不丢包的情况下能够达到的最大速率

2、衡量标准:吞吐量作为衡量防火墙性能的重要指标之一，吞吐量小就会造成网络新的瓶颈，以致影响到整个网络的性能

2. 延时

1、定义:入口输入帧最后一个比特到达至出口处 输出帧的第一个比特 输出所用的时间间隔

2、衡量标准:防火墙的延时能够体现出它处理数据的速度

3. 丢包率

1、定义:在连续负载的情况下，防火墙设备由于资源不足应转发但却未转发的帧百分比

2、衡量标准:防火墙的丢包率对其稳定性、可靠性有很大的 影响

4. 背靠背

1、定义:从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数

2、衡量标准:背对背包的测试结果能体现出被测防火墙的缓冲容量， 网络上经常有一些应用会产生大量的突发数据包(例如:NFS、备份、 路由更新等)，而且这样的数据包的丢失可能会产生更多的数据包，强大的缓冲能力可以减小这种突发情况对网络造成的影响

5. 最大并发连接数

最大并发连接数:

指穿越防火墙的主机之间与防火墙之间能同时建立的最大连接数

• 衡量标准:并发连接数的测试主要用来测试被测防火墙建立和维持TCP连接的性能，同时也能通过并发连接数的大小体现被测防火墙对来自于客户端的TCP连接请求响应的能力

6. 每秒新建连接数

每秒新建连接数则指防火墙由开始建立连接直到达到最大连接数的 速率指标，也是防火墙的性能指标之一

3.4 分布式防火墙

边界防火墙的固有欠缺：

1. 结构上受限制：企业网物理边界日趋模糊

2. 内部不够安全：80%的攻击和越权访问来自于内部

3. 效率不高：边界防火墙把检查机制集中在网络边界的单点，造成了网络访问的瓶颈问题(大容量、高性能、可扩展、安全策略的复杂性)

4. 单点故障：边界防火墙本身也存在着单点故障危险， 一旦出现问题或被攻克，整个内部网络将 会完全暴露在外部攻击者面前

3.4.1 定义

1. 从狭义来讲，分布式防火墙产品是指那些驻留在网络主机中，如服务器或桌面机，并对主机系统自身提供安全防护的软件产品

2. 从广义来讲，分布式防火墙是一种新的防火墙体系 结构。

◼ 它们包含如下产品:网络防火墙、主机防火墙、中心管理等

1、网络防火墙

用于内部网与外部网之间(即传统的边界防火墙)和内部网子网之间的防护产品

2、主机防火墙

对于网络中的服务器和桌面机进行防护，这些主机的物理位置可能在内部网中，也可能在内部网外，如托管服务器或移动办公的便携机

3、中心管理

中心管理是分布式防火墙系统的核心和重要特征之一

◼ 总体安全策略的策划、管理、分发及日志的汇总，解决 了由分布技术而带来的管理问题。

◼ 边界防火墙只是网络中的单一设备，管理是局部的。对分布式防火墙来说，每个防火墙作为安全监测机制可以根据安全性的不同要求布置在网络中的任何需要的位置上，但总体安全策略又是统一策划和管理的，安全策略的分发及日志的汇总都是中心管理应具备的功能。

优点

1、增加系统安全性

(1)增加了针对主机的入侵监测和防护功能;

(2)加强了对来自内部攻击的防范;

(3)可以实施全方位的安全策略;

(4)提供了多层次立体的防范体系。

2、保证系统性能

消除了结构性瓶颈问题，提高了系统性能。

3、系统的可扩展性

随系统扩充提供了安全防护无限扩充的能力。