网络安全(五):防火墙技术
1、防火墙的基本概念
防火墙(firewall)是在网络之间执行控制策略的系统,包括硬件和软件。
设置防火墙的目的是保护内部网络资源不被外部非授权用户使用,防止内部收到外部非法用户的攻击,防火墙安装的位置在内部网络与外部网络之间。
防火墙的主要功能包括:
1、检测所有从外部网络进入内部网络的数据包;
2、检查所有从内部网络流出到外部网络的数据包;
3、执行安全策略限制所有不符合安全策略要求的数据包通过。
4、具有防攻击能力,保证自身的安全性的能力。
网络活动的本质是分布式进程通信。进程通信是计算机之间通过相互交换数据包的方式来实现的。
从网络安全角度来看,对网络资源的非法使用与对网络系统的破坏必然要以"合法"的网络用户身份,通过伪造正常的网络服务请求数据包的方式进行。若没有防火墙隔离内部网络与外部网络,内部网络中的主机会直接暴露给外部网络的所有主机,很容易遭到外部非法用户的攻击。
防火墙通过检查所有进出网络的数据包,检查数据包的合法性,判断是否会对网络安全构成威胁,为内部网络建立安全边界(security perimeter)。
构成防火墙系统的两个基本部件:包过滤器(packet filtering router) 和 应用级网关 (application gateway)。最简单的防火墙是由一个包过滤路由器组成,而复杂的防火墙系统是由包过滤路由器和应用级网关组合而成的。
2、包过滤路由器
2.1、包过滤的基本概念
包过滤是基于路由器技术的。包过滤路由器结构示意图如下:
路由器按照系统内部设置的分组过滤规则(即访问控制表),检查每个分组的源IP地址、目的IP地址,决定该分组是否应该转发。普通的路由器只对分组的网络层报头进行处理,但对传输层报头是不进行处理的,而包过滤路由器需要检查TCP报头的端口号字节。包过滤规则一般是基于部分或全部报头的内容。如,TCP报头信息可以是:
源IP地址、目的IP地址、协议类型、IP选项内容、源TCP端口号、目的TCP端口号、TCP ACK表示。
包过滤流程图如下:
实现包过滤的关键是制定包过滤规则,包过滤路由器将分析所接收的包,按照每一条包过滤的规则加以判断,符合包转发规则的包才能被转发,不符合包转发规则的包被丢弃。
2.2、包过滤路由器配置的基本方法
包过滤路由器也称为屏蔽路由器(screening route)。包过滤路由器是被保护的内部网络与外部不信任网络之间的第一道防线。
假设网络安全策略规定:内部网络的E-mail服务器(IP地址为192.1.6.2,TCP端口号为25)可以接收来自外部网络用户的所有电子邮件;允许内部网络用户传送电子邮件到外部电子邮件服务器;拒绝所有与外部网络中名字为TESTHOST主机的连接。
按照以上安全策略的规定,可以用如下过滤规则描述:
规则1:不允许来自TESTHOST主机的所有连接;
规则2:不允许内部网络与TESTHOST主机的连接;
规则3:允许所有进入内部网络SMTP的连接;
规则4:允许内部网络SMTP与外部网络的连接。
* 表示任意合法的IP地址与端口号值。表中过滤规则1、2表示阻塞外部主机TESTHOST与内部网络任何一个主机(*)的任何一个端口(*)之间传输的数据包。过滤规则3表示,允许外部用户传送到内部网络电子邮件服务器(端口号25)的数据包。过滤规则4表示,允许内部邮件服务器传送到外部网络的电子邮件数据包。
2.3、包过滤方法的优缺点
包过滤是实现防火墙功能的有效与基本的方法。包过滤方法的优点如下:
·结构简单,便于管理,造价低;
·包过滤在网络层、传输层进行操作,对应用透明。
缺点如下:
·在路由器中配置包过滤规则比较困难;
·由于包过滤只能工作在"假定内部主机是可靠的,外部主机是不可靠的",只能控制到主机一致,不涉及包的内容与用户一级,有较大的局限性。
3、应用级网关的概念
3.1、多归属主机
包过滤在网络层、传输层对进出内部网络的数据包进行监控,但网络用户对网络资源和服务的访问发生在应用层,因此在应用层上实现对用户身份认证和访问操作分类检查和过滤,该功能由应用级网关完成。
多归属主机(multi-homed host)。多归属主机又称为多宿主,是具有多个网络接口卡的主机,结构如下所示:
多归属主机具有两个或两个以上的网络接口,每个网络接口与一个网络连接。由于它可以具有在不同网络之间交换数据的"路由"能力,也被称为"网关"。
若将多归属主机用在应用层的用户身份认证与服务请求合法性检查上,则这一类可以起到防火墙作用的多归属主机就称为"应用级网关"或"应用网关"。
3.2、应用级网关
若多归属主机连接了两个网络,则它可以成为双归属主机(dual-homed host)。双归属主机可以用在网络安全与网络服务的代理上。只要能够确定应用程序访问控制规则,就可采用双归属主机作用应用级网关,在应用层过滤进出内部网络特定服务的用户请求与响应。
应用级网关认为用户身份和服务请求与响应时合法的,就会将服务请求与响应转发到相应的服务器或主机;若应用级网关认为用户身份和服务请求与响应时合法的,它就会将服务请与响应转发到相应的服务器或主机;若认为是非法的,则拒绝用户的服务请求,丢弃相应的包,并且向网络管理员报警。
对于应用级网关,若内部网络的FTP服务器只能被内部用户访问,则所有外部网络用户对内部FTP服务的访问都认为是非法的。
应用级网关工作原理示意图:
应用级网关的应用程序访问控制软件在接收到外部用户对内部FTP复用的访问请求时,都认为是非法的,丢弃该访问请求。同样,若确定内部网络用户只能访问外部某几个确定的Web服务器,则凡是不再允许范围内的访问请求一律被拒绝。
3.3、应用代理
应用代理(application proxy)是应用级网关的另一种形式,但工作方式不同。应用级网关是以存储转发方式,检查和确定网络服务请求的用户身份是否合法,决定是转发还是丢弃该服务请求。应用级网关在应用层"转发"合法的应用请求。
应用代理与应用网关的不同之处在于:应用代理完全接管了用户与服务器的访问,隔离了用户主机与被访问服务器之间数据包的交换通道。实际应用中,应用代理的功能由代理服务器(proxy server)实现。
应用代理工作示意图如下:
当外部网络主机访问内部网络的Web服务器时,应用代理将代替该用户与内部网络的Web服务建立连接,完成用户所需要的操作,然后再将检索的结果回送给请求服务的用户。因此,对于外部网络的用户来说,看似是"直接"访问了该服务器,而实际访问服务器的是应用代理。
应用代理应该是双向的,既可以作为外部网络主机用户访问内部网络服务器的代理,也可以作为内部网络主机用户访问外部网络服务器的代理。
应用级网关与应用代理的优点是可以针对某一特定的网络服务,并能在应用层协议的基础上分析与转发服务请求与响应。同时,一般都具有日志记录功能,日志记录了网络上所发生的事件,管理员可以根据日志,监控可疑的行为并进行相应的处理。
因应用级网关与应用代理只使用一台计算机,因此易于建立与维护,若要支持不同的网络服务,则需要配备不同的应用服务代理软件。
4、防火墙的系统结构
防火墙是一个由软件与硬件组成的系统。防火墙系统,将包过滤路由器与应用级网关作为基本单元,采用多级的结构与多种组态。
应用级网关结构示意图:
用一个双归属主机作为应用级网关可以起到防火墙的作用,这种结构下,应用级网络完全暴露给整个外部网络,应用级网络的自身安全会影响到整个系统的运行,因此运行应用级网关软件的计算机系统必须非常可靠。
将处于防火墙关键部位、运行应用级网关软件的计算机系统成为堡垒主机(bastion host)。
4.1、防火墙系统结构表示
任何一种结构的防火墙系统都是由包过滤路由器与应用级网关组合而成。
防火墙配置表示如下:
4.2、典型防火墙的系统结构分析
一个堡垒主机组成的S-B1防火墙系统结构,示意图如下:
S表示一个包过滤路由器,B1表示堡垒主机只连接到一个网络中。需要注意的是,在实际的防火墙应用中,堡垒主机可由两种具体实现方案:一种是应用级网关通过两个网卡,分别连接到两个网络中;另一种结构更简单,只需要通过一块网卡接入网络中,在包过滤路由器配合下,同样可以起到堡垒主机的作用。
包路由器转发过程如下所示:
如果某外部网络中某个主机的用户访问内部网络中的文件服务器,则用户请求访问文件服务器包的目的IP地址应该是文件服务器的IP地址。假设文件服务器的IP地址为199.24.180.1。包过滤器首先检查用户请求包的源IP地址,确定它是合法的,则根据目的IP地址查转发路由器表。在包过滤路由器的转发路由表中,凡是自外部用户请求访问内部网络中的文件服务器199.24.180.1的1分组,一律转发到IP地址为199.24.180.10的堡垒机,由堡垒机判断该用户是不是内部网络文件服务器的合法用户。
若是文件服务器的合法用户,则堡垒主机将该服务请求包转发到文件服务器。由文件服务器最终处理用户的服务请求。同样,如果内部网络的用户访问外包部主机的服务,则内部用户发出的服务请求包也需要经过堡垒主机与包过滤路由器审查。
S-B1-S-B1配置的防火墙结构示意图:
从外包过滤器开始的部分是由网络系统所属的单位组建的,因此属于单位的内部网络。外包过滤路由器与外堡垒主机构成了防火墙的过滤子网。内包过滤路由器与内堡垒主机用来进一步保护内部网络的服务器与工作站。
通常将必须向外不提供服务并且安全要求相对较低的1服务器连接在过滤子网,而将安全要求比较高的服务器、工作站连接在内部网络的服务子网中,过滤子网称为安全缓冲区或非军事区(demilitarized zone,DMZ)。
非军事区(DMZ)是指一个公共访问区域,任何非敏感、需要外部用户直接访问的Web、Email服务器都可以防止在DMZ中。
在讨论多级防火墙结构时需注意以下问题:
1、在这种结构中,外部用户访问内部网络服务,需要经过多级过滤路由器与堡垒主机的审查,外部非法用户进入系统内部网络成功的可能性会大大减低,可提高造价和降低访问速度;
2、在实际防火墙产品设计中,设计人员经常将地址转换(NAT)、加密传输、入侵检测(IDS)等功能加入防火墙中,以增强防火墙设备保护网络安全的能力。
5、防火墙报文过滤规则制定方法
5.1、执行网络安全策略的基本思路
制定网络安全策略的有两种基本思想:凡是没有明确表示允许的就要被禁止;凡是没有明确表示禁止的就要被允许。
网络安全策略指定一般采用第一种方法,即明确的限定用户在网络中的访问权限与能够使用的服务,这种思想符合"最小权限"的原则,赋予用户能够完成任务所"必要"的访问权限与可以使用的服务类型。
5.2、防火墙报文过滤规则的制定方法示例
如下所示,两个路由器、一个防火墙,以及一个DMZ与被保护的内部网络组成的网络系统。
5.2.1、ICMP报文过滤规则
ICMP协议用于测试网络的连通性,较容易伪造。Ping命令经常被用来作为对攻击目标进行踩点和试探的工具,是对目标主机开展攻击的第一步。因此首先需要制定防火墙对ICMP报文的过滤规则,阻断可能对网络构成威胁的报文。
报文过滤规则如下:
规则1:当企业网络的任何一台主机向外部网络的一台主机发送了报文时,发生路由器或主机因拥塞而丢弃报文之后,向源主机报告拥塞出现,防火墙允许ICMP源抑制报文通过,使得企业网主机能够了解外部网络拥塞的发生。
规则2:为了使企业内部主机具有Ping外部网络主机的能力,防火墙允许内部网络向外部网络发送ICMP回应请求报文;
规则3:防火墙允许内部网络向外部网络发送Ping命令之后,外部网络的ICMP回应应答报文通过;
规则4:当企业网的某一台主机向外部网络的一台主机发送了报文时,发生目的主机不可达的现象,防火墙允许ICMP协议目的主机不可达报文通过;
规则5:当企业网的某一台向外部网络的某一台主机发送了报文时,发生目的主机协议不可达的现象,防火墙允许ICMP协议不可达报文通过;
规则6:当企业网的某一台主机向外部网络的一台主机发送了报文时,发生因传输路径上转发器太多,造成报文生存时间TTL超时问题,防火墙允许ICMP协议超时报文通过。
规则7:为了防止外部网络主机向企业网主机发送Ping命令,防火墙阻断ICMP协议回应请求报文通过;
规则8:为了防止外部网络主机视图改变主机的路由表,防火墙阻断ICMP协议重定向报文通过;
规则9:为了防止企业网内部主机向外部网络发送回应应答报文,防火墙阻断所有通过192.168.2.2/24端口向外发送的ICMP协议回应应答报文通过;
规则10:为了防止外部网络企图了解企业网的结构,防火墙阻断所有通过192.168.2.2/24端口向外发送的ICMP协议超时报文通过。
5.2.2、Web访问的报文过滤规则
规则1:防火墙允许任何外部网络主机对DMZ中Web服务器(192.168.1.1)的HTTP请求报文通过;
规则2:防火墙阻断任何外部网络主机对内部网络的Web服务器(192.168.8.2)的HTTP请求报文通过;
规则3:防火墙允许DMZ中Web服务器对任何外部网络主机HTTP应答报文通过;
规则4:防火墙阻断内部网络的Web服务器对任何外部网络主机HTTP应答报文通过。
6、总结
1、网络空间安全研究的对象包括应用安全、系统安全、网络安全、网络空间安全基础、密码学及其应用等5个方面的内容。
2、X.800标准提出的5类网络安全服务是认证、访问控制、数据机密性、数据完整性与防抵赖。
3、密码技术是保证网络安全的核心技术之一。常用的加密技术可分为对称加密与非对称加密两类;
4、网络安全协议包括网络层IPSec与IPSec VPN协议、传输层SSL与TLP协议、应用层PGP与SET协议;
5、任何危及网络与信息系统安全的行为都视为"攻击"。最常用的网络攻击可分为被动攻击与主动攻击两类;
6、目前出现的网络攻击可分为欺骗类攻击、DoS/DDoS类攻击、信息收集类攻击、漏洞类攻击4种基本类型;
7、入侵检测系统是对计算机和网络资源的恶意使用行为进行识别的系统。它的目的是检测和发现可能存在的攻击行为,包括来自系统外部的入侵行为和来及内部用户的非授权行为,并采取响应的防护手段。
8、设置防火墙的目的是保护内部网络资源不被外部非授权用户使用,防止内部网络受到外部非法用户的攻击。
