–根据客户的地址及所请求端口，将该 连接重定向到指定的服务器地址及端口 上 –对客户端应用完全透明
在转发前同客户端交换连接信息
–需对客户端应用作适当修改
Sockify
38 2013-7-14
电路级网关的一些实现
Socks
Winsock Dante
39 2013-7-14
网络地址翻译(NAT)
11 2013-7-14


防火墙技术带来的好处
强化安全策略
有效地记录Internet上的活动 隔离不同网络，限制安全问题扩散 是一个安全策略的检查站
12 2013-7-14
争议及不足
使用不便，认为防火墙给人虚假的安全 感 对用户不完全透明，可能带来传输延迟、 瓶颈及单点失效 不能替代墙内的安全措施
–个人防火墙已得到了广泛的应用 –操作系统大多已提供了许多在传统意义上还属于 防火墙的手段 –IPv6以及IPSec技术的发展 –防火墙这一概念还不能抛弃
48 2013-7-14
分布式防火墙(续一)

思路
–主要防护工作在主机端 –打破传统防火墙的物理拓扑结构，不单纯依靠物 理位置来划分内外 –由安全策略来划分内外网
传输层
网络层
静态包过滤
信道加密
链路层 物理层
45 2013-7-14

基本概念


防火墙配置模式 防火墙相关技术 几个新的方向
46 2013-7-14
关于防火墙技术的一些观点

防火墙技术是一项已成熟的技术
目前更需要的是提高性能，尤其是将它集 成到更大的安全环境中去时：
– 用户界面和管理 – 互操作性 – 标准化
3 2013-7-14
防火墙定义

防火墙是位于两个(或多个)网络间，实施 网间访问控制的一组组件的集 合，它满足 以下条件：
–内部和外部之间的所有网络数据流必须经过 防火墙 –只有符合安全政策的数据流才能通过防火墙
–防火墙自身应对渗透(peneration)免疫
4 2013-7-14
为什么需要防火墙
18 2013-7-14
双宿主机模式
内部网
堡垒主机
外 部 网 络
最少服务 最小特权
19 2013-7-14
多宿主机模式
堡垒主机 外 部 网 络 内部网2
内部网1
20 2013-7-14
屏蔽主机模式
外 部 网 络
内部网
包过滤路由器
堡垒主机
21 2013-7-14
屏蔽主机防火墙系统（单连结点堡垒主机）
30 2013-7-14
包过滤示例(续)
10.11.15.4
内部网
堡垒主机
192.168.0.1
10.11.12.13
外 部 网 络
Set internal=192.168.0.0/24 Deny ip from $internal to any in via eth0 Deny ip from not $internal to any in via eth1 Allow udp from $internal to any dns Allow udp from any dns to $internal Allow tcp from any to any established Allow tcp from $internal to any www in via eth1 Allow tcp from $internal to any ftp in via eth1 Allow tcp from any ftp-data to $internal in via eth0 Deny ip from any to any
5 2013-7-14
Why Security is Harder than it Looks
所有软件都是有错的 通常情况下99.99%无错的程序很少会出问题


同安全相关的99.99%无错的程序可以确信会 被人利用那0.01%的错误

0.01%安全问题等于100%的失败
6 2013-7-14
内部网特点
组成结构复杂
各节点通常自主管理 信任边界复杂，缺乏有效管理 有显著的内外区别 机构有整体的安全需求
最薄弱环节原则
7 2013-7-14
为什么需要防火墙
保护内部不受来自Internet的攻击
为了创建安全域 为了增强机构安全策略
8 2013-7-14
对防火墙的两大需求
Source
– TIS FWTK(Firewall toolkit) – Apache – Squid
3关相同

接收客户端连接请求，代理客户端完成网 络连接
在客户和服务器间中转数据


通用性强
37 2013-7-14
电路级网关实现方式
简单重定向
34 2013-7-14
应用程序网关(代理服务器)
发送请求
客 户 网 关
转发请求
服务器
转发响应
请求响应
1. 网关理解应用协议，可以实施更细粒度的访问控制 2. 对每一类应用，都需要一个专门的代理 3. 灵活性不够
35 2013-7-14
应用程序网关的一些实现
商业版防火墙产品
商业版代理(cache)服务器 Open
网络安全理论与应用
第十二章 防火墙技术
卫文学 信息科学与工程学院
2003.3 山东科技大学

基本概念 防火墙配置模式
防火墙相关技术 几个新的方向
2 2013-7-14

基本概念




防火墙定义 为什么需要防火墙 对防火墙的两大需求 防火墙系统四要素 防火墙技术的发展过程 引入防火墙技术的好处 争议及不足
Firewall
堡垒主机
Internet
信息服务器
內部網路
22 2013-7-14
屏蔽主机防火墙系统（双连结点堡垒主机）
Firewall
堡垒主机
Internet
信息服务器
內部網路
23 2013-7-14
屏蔽子网模式
堡垒主机
内部网
内部路由器
外部路由器
外 部 网 络
周 边 网 解决了单点失效问题
DMZ区
Inside
Gateway(s)
Outside
15 2013-7-14
防火墙的位置
16 2013-7-14
默认安全策略
没有明确禁止的行为都是允许的
没有明确允许的行为都是禁止的
17 2013-7-14
防火墙体系结构
双宿/多宿主机模式
(dualhomed/multi-homed)
屏蔽主机模式 屏蔽子网模式
33 2013-7-14
包过滤技术的一些实现
商业版防火墙产品
个人防火墙 路由器 Open
Source Software
– Ipfilter (FreeBSD、OpenBSD、 Solaris，…) – Ipfw (FreeBSD) – Ipchains (Linux 2.0.x/2.2.x) – Iptables (Linux 2.4.x)
目的
–解决IP地址空间不足问题 –向外界隐藏内部网结构
方式
–M-1：多个内部网地址翻译到1个IP地 址 –1-1：简单的地址翻译 –M-N：多个内部网地址翻译到N个IP地 址池
40 2013-7-14
虚拟专用网(VPN)
路由-路由 加密隧道(VPN)
端-路由 加密隧道
广域网络
端-端 加密数据流
Set internal=192.168.0.0/24 Deny ip from $internal to any in via eth0 Deny ip from not $internal to any in via eth1 Allow $internal access any dns by udp keep state Allow $internal acess any www by tcp keep state Allow $internal access any ftp by tcp keep state Deny ip from any to any
保障内部网安全
保证内部网同外部网的连通
9 2013-7-14
防火墙系统四要素
安全策略
内部网 外部网 技术手段
10 2013-7-14
防火墙技术发展过程

20世纪70年代和80年代，多级系统和安 全模型吸引了大量的研究 屏蔽路由器、网关
防火墙工具包 商业产品防火墙 新的发展

当然其他方面的改进也是存在的
47 2013-7-14
分布式防火墙
传统防火墙技术的几个问题
–依赖于防火墙一端可信，另一端是潜在的敌人 –Internet的发展使从外部穿过防火墙访问内部网的 需求增加了 –一些内部主机需要更多的权限 –只依赖于端-端加密并不能完全解决问题 –过于依赖物理拓扑结构

考虑到下面几个事实
– – – – – – 数据包协议类型：TCP、UDP、ICMP、IGMP等 源、目的IP地址 源、目的端口：FTP、HTTP、DNS等 IP选项：源路由、记录路由等 TCP选项：SYN、ACK、FIN、RST等 其它协议选项：ICMP ECHO、ICMP ECHO REPLY等
29 2013-7-14
41 2013-7-14
各级网络安全技术
HTTP FTP TCP IP/IPSec SMTP
(a) Network Level