简单包过滤防火墙
•包过滤器操作的基本过程
•包过滤规则必须被包过滤设备端口存储起来。 •当包到达端口时，对包报头进行语法分析。大多数 包过滤设备只检查IP、TCP、或UDP报头中的字段。 •包过滤规则以特殊的方式存储。应用于包的规则的 顺序与包过滤器规则存储顺序必须相同。 •若一条规则阻止包传输或接收，则此包便不被允许。 •若一条规则允许包传输或接收，则此包便可以被继 续处理。 •若包不满足任何一条规则，则此包便被阻塞。
• 基于安全操作系统的防火墙
– 防火墙厂商具有操作系统的源代码，并可实现安全内 核。 – 去掉不必要的系统特性，加固内核，强化安全保护。 – 在功能上包括了分组过滤、应用网关、电路级网关。 – 增加了许多附加功能：加密、鉴别、审计、NAT转换。 – 透明性好，易于使用。
内容提要
• • • • • • 防火墙的基本概念 防火墙的发展历程 防火墙的核心技术 防火墙的体系结构 防火墙的构造体系 防火墙的功能与原理
•
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Identification |R|DF|MF| Fragment Offset | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |<-------------16----------->|<---3---->|<----------13----------->|
简单包过滤防火墙
• • • • • 不检查数据区。 不建立连接状态表。 前后报文无关。 应用层控制很弱。 效率高。
包过滤路由器
• 基本的思想很简单
– 对于每个进来的包，适用一组规则，然后 决定转发或者丢弃该包 – 往往配置成双向的
包过滤路由器
• 如何过滤
– 过滤的规则以IP和传输层的头中的域(字段) 为基础，包括源和目标IP地址、IP协议域、 源和目标端口号 – 过滤器往往建立一组规则，根据IP包是否匹 配规则中指定的条件来作出决定。
Ftp文件传输协议
命令通道：21端口
client
数据通道：20端口
ftp server 21
PORT 5151 OK
5151
5150
20
建立数据通道 OK
Ftp文件传输协议(续)
命令通道：21端口
client
数据通道：大于1023
ftp server 21
PASV PORT 3267
5151
5150
• 如果匹配到一条规则，则根据此规则决定转发或 者丢弃 • 如果所有规则都不匹配，则根据缺省策略
安全缺省策略
• 两种基本策略，或缺省策略
– 没有被拒绝的流量都可以通过
• 管理员必须针对每一种新出现的 攻击，制定新的规则
– 没有被允许的流量都要拒绝
• 比较保守 • 根据需要，逐渐开放
包过滤防火墙
• 在网络层上进行监测
计算机网络安全
防火墙技术
内容提要
• • • • • • 防火墙的基本概念 防火墙的发展历程 防火墙的核心技术 防火墙的体系结构 防火墙的构造体系 防火墙的功 安全协议 安全的密码算法
防火墙(Firewall)
• 防火墙的基本设计目标
– 对于一个网络来说，所有通过“内部”和“外部”的网络 流量都要经过防火墙 – 防火墙的基本目标是通过隔离达到访问控制的目的 – 通过一些安全策略，来保证只有经过授权的流量才可以通 过防火墙 – 防火墙本身必须建立在安全操作系统的基础上
– 服务控制，确定哪些服务可以被访问 – 方向控制，对于特定的服务，可以确定允许哪个 方向能够通过防火墙 – 用户控制，根据用户来控制对服务的访问 – 行为控制，控制一个特定的服务的行为
防火墙能做什么
• 定义一个必经之点
– 挡住未经授权的访问流量 – 禁止具有脆弱性的服务带来危害 – 实施保护，以避免各种IP欺骗和路由攻 击
根据需要建立连接状态表。 网络层保护强。 应用层控制细。 会话控制弱。
核检测防火墙
• • • • • 网络层保护强。 应用层保护强。 会话保护很强。 上下文相关。 前后报文有联系。
内容提要
• • • • • • 防火墙的基本概念 防火墙的发展历程 防火墙的核心技术 防火墙的体系结构 防火墙的构造体系 防火墙的功能与原理
– 并没有考虑连接状态信息
• 通常在路由器上实现
– 实际上是一种网络的访问控制机制
• 数据包过滤技术的发展：静态包过滤、 动态包过滤
包过滤防火墙
• 优点：
– – – – – 不用改动应用程序 一个过滤路由器能协助保护整个网络 过滤路由器速度快 数据包过滤对用户透明 效率高
包过滤防火墙
• 缺点：
– – – – – 正确制定规则并不容易 不可能引入认证机制 不能彻底防止地址欺骗 一些应用协议不适合于数据包过滤 正常的数据包过滤路由器无法执行某些安 全策略
状态检测包过滤防火墙
• • • • • 不检查数据区。 建立连接状态表。 前后报文相关。 应用层控制很弱。 检测性能提高了。
应用代理防火墙
• • • • 不检查IP、TCP包头。 不建立连接状态表。 网络层保护比较弱。 安全性提高了，性能降低了。
复合型防火墙
• 可以检查整个数据包内容。
• • • •
防火墙能做什么
• 防火墙提供了一个监视各种安全事件的位置， 所以，可以在防火墙上实现审计和报警 • 对于有些Internet功能来说，防火墙也可以是一 个理想的平台，比如地址转换，Internet日志、 审计，甚至计费功能 • 防火墙可以作为IPSec的实现平台
防火墙本身的局限性
• 对于绕过防火墙的攻击，它无能为力， 例如，在防火墙内部通过拨号出去 • 防火墙不能防止内部的攻击，以及内部 人员与外部人员的联合攻击(比如，通过 tunnel进入) • 防火墙不能防止被病毒感染的程序或者 文件、邮件等 • 防火墙的性能要求
• 防火墙工具组件
– 将过滤功能从路由器中独立出来，并加上审计和告警 功能 – 针对用户需求，提供模块化的软件包 – 软件可以通过网络发送，用户可根据需要构造防火墙 – 与第一代相比，安全性提高了，价格降低了
防火墙的发展历程
• 基于通用操作系统的防火墙
– – – – – 是批量上市的专用防火墙。 包括分组过滤或者借用路由器的分组过滤功能。 装有专用的代理系统，监控所有协议的数据和指令。 保护用户编程空间和用户可配置内核参数的设置。 安全性和速度大为提高
IP碎片攻击
• 2. IP碎片攻击 IP首部有两个字节表示整个IP数据包的长度， 所以IP数据包最长只能为0xFFFF，就是65535 字节。如果有意发送总长度超过65535的IP碎 片，一些老的系统内核在处理的时候就会出现 问题，导致崩溃或者拒绝服务。 • 另外，如果分片之间偏移量经过精心构造，一 些系统就无法处理，导致死机。所以说，漏洞 的起因是出在重组算法上。
针对包过滤防火墙的攻击
• IP地址欺骗，例如，假冒内部的IP地址。
– 对策：在外部接口上禁止内部地址
• 源路由攻击，即由源指定路由，绕开防火墙。
– 对策：禁止这样的选项
• IP碎片攻击。
– 对策：Windows系统请打上最新的Service Pack，目前的 Linux内核已经不受影响。 如果可能，在网络边界上禁止碎片包通过，或者用iptables限 制每秒通过碎片包的数目。 如果防火墙有重组碎片的功能，请确保自身的算法没有问题， 否则被DoS就会影响整个网络。 Win2K系统中，自定义IP安全策略，设置“碎片检查”。
防火墙的类型
• • • • • 简单包过滤防火墙 状态检测包过滤防火墙 应用代理防火墙 包过滤与应用代理复合型防火墙 核检测防火墙
简单包过滤防火墙
• 包过滤防火墙是第一代和最基本形式的防火墙， 防火墙检查每一个通过的数据包，并查看数据 包的包头，然后依据一套规则决定或者丢弃， 或者放行该数据包。这称为包过滤防火墙。 • 包过滤防火墙检查每一个传入包，查看包中可 用的基本信息（源地址和目的地址、端口号、 协议等）。然后，将这些信息与设立的规则相 比较。
串口：可对 防火墙进行 初始化的配置
内容提要
• • • • • • 防火墙的基本概念 防火墙的发展历程 防火墙的核心技术 防火墙的体系结构 防火墙的构造体系 防火墙的功能与原理
防火墙的发展历程
• 基于路由器的防火墙
– – – – 利用路由器本身对分组的解析，进行分组过滤 过滤判断依据：地址、端口号以及其他网络特征 防火墙与路由器合为一体，只有过滤功能 适用于对安全要求不高的网络环境
20 3267
建立数据通道 OK
针对ftp的包过滤规则注意事项
• 建立一组复杂的规则集
– 是否允许正常模式的ftp数据通道？ – 有些ftp client不支持pasv模式
• 动态监视ftp通道发出的port命令
– 有一些动态包过滤防火墙可以做到
• 启示
– 包过滤防火墙比较适合于单连接的服务(比如smtp, pop3)，不适合于多连接的服务(比如ftp)
核检测技 术就是基 于操作系 统内核的 会话检测 技术。
• 基于内核的会话检测技术就是在 操作系统内核模拟出典型的应用 层协议，在内核实现应用层协议 的过滤，从而得到极高的性能。