信息安全概论徐茂智邹维1_信息安全概论第17讲上课用课件.pptVIP

信息安全概论 第17讲 2008年x月y日 6.3.2 防火墙技术原理 1. 包过滤技术 包过滤防火墙优点与弱点 2. 状态检测技术 3. 代理服务 4. 安全策略与规则 作业 * * Digital公司1986年在Internet上安装了全球第一个商用防火墙系统后，相关技术与应用得到了快速的发展，经历三个阶段： 包过滤技术 代理服务技术 状态检测技术 包过滤（Packet Filtering）是指防火墙在网络层中（如图6.7所示），通过检查网络数据流中数据包的报头（如源、目的地址、协议类型、端口等），将报头信息与事先设定的过滤规则相比较，据此决定是否允许该数据包通过，其关键是过滤规则的设计。 包过滤技术是最早应用于防火墙的技术，也是最简单、某些情形下最有效的防火墙技术。 包过滤技术检查的数据包报头信息主要有： （1）IP数据包的源IP地址、目的IP地址、协议类型、选项字段等。 （2）TCP数据包的源端口、目标端口、标志段等。 USENET新闻 NNTP 119 远程电子邮件 POP-3 110 WWW服务 HTTP 80 查询有关一个用户的信息 Finger 79 简单文件传输协议（Trivial FTP） TFTP 69 电子邮件 SMTP 25 远程登录 Telnet 23 文件传输 FTP 21 用途 协议 端口 TCP端口号1024以下被用于一些标准的通信服务。表6.2 一些常用的TCP端口. 如只允许HTTP通信，而不允许Telnet通信，则通过设定允许TCP端口80的通信、禁止TCP端口23的通信，即可简单方便地对这两项服务进行过滤。 （3）UDP数据包的源端口、目标端口。 UDP的应用有DNS（Domain Name System，域名系统）、RPC（Remote Procedure Call，远程调用）、实时多媒体应用RTP（Real-time Transport Protocol，实时传输协议）等，同样通过设定基于UDP端口的过滤规则，可以方便地对各项服务进行过滤。 （4）ICMP类型。 ICMP（Intenet Control Message Protocol，Internet控制消息协议）主要用于传递控制或错误消息，如常用的端到端故障查找工具Ping就是利用ICMP中的“回应请求”（ICMP类型编号8）实现的。因此通过设定ICMP关键字或类型编号的过滤规则，就可以对ICMP通信进行过滤，如表6.3所示。 表6.3 一些常见的ICMP类型 到目的地时间超时 超时 11 常规的ping请求 回应请求 8 路由器接收通信量太大 源端抑制 4 无法到达目标地址 无法到达目的地 3 对ping的响应 回应答复 0 可能的控制原因 ICMP类型名称 ICMP类型编号 包过滤防火墙优点： 不需内部网络用户做任何配置，对用户来说是完全透明的。 简单、有效。 包过滤防火墙弱点： 只能检查数据包的报头信息，无法检查数据包的内容，不能进行数据内容级别的访问控制。 没有考虑数据包的上下文关系，每一个数据包都要与设定的规则匹配，影响数据包的通过速率，无法满足一些访问控制的要求。 过滤规则的制定很复杂，容易产生冲突或漏洞，出现因配置不当带来的安全问题。 一个正常网络连接中的源和目的地址、协议类型、协议信息（如TCP/UDP端口、ICMP类型）、标志（如TCP连接状态标志）等构成该连接的状态表，将数据包报头的相关信息与状态表进行对比，就可以知道该数据包是一个新的网络连接还是某个已有连接中的数据包。 状态检测技术也叫动态包过滤技术，是包过滤技术的延伸。 基于状态检测（Stateful Inspection）在包过滤技术防火墙的基础上，增加了对状态的检测： 状态检查流程 检测数据包是否是状态表中已有连接的数据包，如果是已有连接的数据包而且状态正确，则允许通过。 如果不是已有连接的数据包，则进行包过滤技术的检查。 包过滤允许通过，则在状态表中添加其所在的连接。 某个连接结束或超时，则在状态表中删除该连接信息。 状态检查原理 状态检测防火墙的数据包过滤规则是预先设定的，但状态表是动态建立的，可以实现对一些复杂协议建立的临时端口进行有效的管理。 如FTP协议只是通过21端口进行控制连接，其数据传送是通过动态端口建立的另一个子连接进行传送。如果边界部署的是一个基于包过滤技术的防火墙，就需要将所有端口打开，将会带来很大的安全隐患。但对于基于状态检测技术的防火墙，则能够通过跟踪、分析控制连接中的信息，得知控制连接所协商的数据传送子连接端口，在防火墙上将该端口动态开启，并在连接结束后关闭，保证内部网络的安全。 2. 状态检测技