网络安全笔记之防火墙

Lesson5 防火墙

u 防火墙可在链路层、网络层、应用层上实现隔离。可以基于物理的，基于逻辑的（防火墙可以用于内部网络不通的安全域之间）。

防火墙是被动防御装置。预先设定策略。

u 防火墙的功能：网络安全的屏障；过滤不安全的服务（内部提供的不安全符合和内部访问外部的不安全服务）；隔断特定的网络攻击（联动技术，防火墙与其他网络安全设备（如ＩＤＳ）一起生效，使有些主动性）；部署NAT机制；监视网络安全和预警。

NAT作用：隐藏内部拓扑结构；节省IP地址；减少路由表项。防火墙是部署NAT的较好地点。

u 防火墙的分类

1、个人防火墙:安装在操作系统上，主要作用于本机与其他主机间。不是网络与网络之间。也属于软件防火墙。

2、软件防火墙：比个人防火墙有更强的功能。网络防火墙。如Check Point公司的FireWall-1.

3、一般硬件防火墙：采用PC架构（修改内核，嵌入式主机），功能较全，性能一般。

测试防火墙，评测网基本参数

4、纯硬件防火墙：有专用的芯片，如ASCI芯片，NP技术（国内），处理防火墙的核心策略。高性能，有很高的并发连接数和吞吐量。

5、分布式防火墙：新体系结构。

u 防火墙的局限性：降低了网络服务的开放性和灵活性；削弱网络功能（在防火墙上附件各种信息服务（软件）的代理增大了网络管理开销，减慢了信息传输速率）；对绕过防火墙的攻击，不能产生屏蔽；防火墙防外不防内，不能解决来自内部网络的攻击；

u 防火墙体系结构（决定防火墙功能、性能和使用范围）提供不同级别的安全，费用各不相同。

1、分组过滤路由：可由路由器实现或主机实现；允许内部主机和Internet直接通信。在分组过滤路由器上安装基于ＩＰ层的报文过滤软件。

危险性分布：路由器、被保护网络的所有主机、允许访问的各种服务类型

优：简单易安装；缺：在单机上实现，是网络的瓶颈，没有用户认证，无日志（无法区别使用相同IP地址的不同用户）

2、双宿主机

不使用分组过滤规则，内-外，需要代理（双宿主机）的认证，具有双网卡，放于被保护网络和Internet之间，完全阻断内-外IP通信，内-外通信通关过应用层数据共享或应用层代理服务完成。代理服务更便于用户使用和管理。

堡垒主机上有防火墙软件有利于整体性能安全性的提高。

优：可身份认证、维护系统日志，安全审计；缺：仍然是网络的瓶颈，不适用于高灵活性要求的场合。

3、屏蔽主机

灵活易实现更安全。分组过滤路由器+堡垒主机构成。分组过滤路由器安装在外部网络，运行着网关软件的堡垒主机安装在内部网络。通过设计过滤规则，使所有来自外部Internet的通信只能到达内部的堡垒主机，不能与内网的其他主机直接通信。内部其他主机到外Internet的通信要先到达堡垒主机，由堡垒主机代理后发出。

实现了网络层安全（包过滤）和应用层安全（堡垒主机上代理软件实现代理服务）。

关键：过滤路由器的配置，应严格保护过滤路由器的路由表（否则堡垒主要可能被绕过）。ICMP重定向可以改变路由路径使路径最优，可能被黑客利用重定向发往他所掌控的主机。

4、屏蔽子网

外部路由器+堡垒主机+内部路由器，内-外之间建立被隔离的子网，DMZ，堡垒主机、各种服务器，成为专门提供服务的场所。一般实现：两个分组过滤路由器放在子网两端，内-外网均可访问被屏蔽的子网DMZ，但禁止内-外穿过屏蔽子网进行通信。

Lesson6 防火墙实现技术

u 数据包过滤

在网络层过滤数据包，与应用层无关（不能控制传输数据的内容）。

依据系统内部设置的ACL列表对数据流中每个数据包的包头中的数据（检查IP源，IP目的，协议类型，TCP/UDP源端口/目的端口，ICMP消息类型，TCP报头的ACK位）或组合进行检查。

缺：只能初步的安全控制，不能保存于传输或与应用相关的状态信息,不能区分应用传输中的主动方和被动方；可能被或假冒；规则列表ACL创建困难。难于测试规则的正确性，有时要使用专门仪器测试。正确排列ACL中过滤规则很重要。通常在ACL表最后一条是“禁止所有”，实现除非明文允许进入的才进入。

u 代理服务

工作在应用层。先整合成应用层数据。如关键字过滤，URL过滤。运用于堡垒主机上的应用，堡垒主机上也设有过滤规则。如WWW代理，Email代理。

优：完全阻断内-外直接连接，隐藏内部拓扑结构；工作在Client与Server之间，可完全控制相互之间的会话，可进行用户认证，审计，详细日志。

缺：不同的服务必须有单独的应用层代理，需要一一设计，增大了管理复杂性。某些代理需要支持代理的客户端和服务端软件，增加了用户负担。工作在高层的第七层，处理效率比较低。

该技术主要用于整个局域网与Internet连接（一个组织。学校）；进行与应用层相关的邮件过滤，URL过滤等。

u 状态检测

工作在数据链路层和网络层之间，可以检查OSI 所有7层的信息。

（状态）检测引擎：根据规则表，是否符合会话所处状态。可抽取OSI模型有用的7层信息，并可动态保存这些信息为以后安全策略的制定做参考。

动态状态表：相对于静态状态表，对外出数据包身份做标记，允许相同的连接进入。

状态检测的流程图（略）

状态检测优：高安全性，高效性（对连接的后续数据奥直接进行状态检查，而不是先进行很长的ACL规则检查），应用范围广（支持无连接的UDP，RPC等）

缺：对DDoS攻击，病毒传播无能为力。

u 网络地址转换

NAT本身并不是一种有安全保证的方案，在包的最外层改变IP地址。故通常把NAT集成在防火墙中。

NAT是基于网络层的应用。NAT分类。

SNAT：静态网络地址转换或 源网络地址转换

DNAT：动态网络地址转换或目标网络地址转换

静态网络地址转换：内部网络中每个主机被永久映射到一个合法的IP；

1:1，不需要维护地址转换状态表。

动态网络地址转换：内部网络地址范围大于合法IP的范围。

PAT端口地址转换：以解决动态网络转换时，外部合法IP不够分配的情况。

还是首先进行NAT转换，当不够时，在使用原来的IP +端口信息转换。

PAT大约可以支持64500个连接。65536-1024=64512

源NAT：修改数据报中IP头部中的源IP地址（多发生在内部使用私有地址的用户访问Internet时，将私有IP转换成合法ＩＰ）

目标NAT：修改数据报中IP头部中目的IP（多发生在防火墙之后的服务器上）