防火墙包过滤规则的优化和分析
目录
第一章引言 (2)
1.1课题的国内外概况 (2)
1.2本论文题目的理论意义和实用价值 (3)
第二章包过滤防火墙技术 (5)
2.1包过滤防火墙技术简介 (5)
2.2防火墙包过滤技术的特点 (6)
2.3包过滤防火墙工作原理 (7)
2.4数据包过滤技术 (10)
2.5数据包过滤类型 (14)
2.5.1. IP包过滤 (14)
2.5.2 .TCP包过滤 (15)
2.5.3. UDP数据包过滤 (15)
2.5.4. 源端口过滤 (15)
第三章具体实现 (18)
3.1数据库表的建立 (18)
3.2封包监视的设计 (21)
第四章防火墙系统的设计与实现 (26)
4.1总体框架模型设计 (26)
4.2包过滤驱动程序设计 (26)
4.3上层应用程序的设计 (27)
4.4.防火墙的优化 (27)
第五章总结与展望 (29)
参考文献 (30)
致谢.................................................................................. 错误!未定义书签。
第一章引言
1.1 课题的国内外概况
包过滤防火墙是最简单的一种防火墙,它在网络层截获网络数据包,根据防火墙的规则表,来检测攻击行为。包过滤防火墙一般作用在网络层(IP层),故也称网络层防火墙(Network Lev Firewall)或IP过滤器(IP filters)。数据包过滤(Packet Filtering)是指在网络层对数据包进行分析、选择。通过检查数据流中每一个数据包的源IP地址、目的IP地址、源端口号、目的端口号、协议类型等因素或它们的组合来确定是否允许该数据包通过。在网络层提供较低级别的安全防护和控制。
包过滤防火墙工作在网络层,对数据包的源及目地 IP 具有识别和控制作用,对于传输层,也只能识别数据包是 TCP 还是 UDP 及所用的端口信息,如下图所示。现在的路由器、Switch Router 以及某些操作系统已经具有用 Packet Filter 控制的能力。
由于只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析,包过滤防火墙的处理速度较快,并且易于配置。
简单介绍近年来,Internet的快速增长促进了信息技术的飞速发展,它的迅猛成长正在使世界成为一个整体。但随之而来的是数据的完整性与安全性问题。人们一方面要把自己的内部网接入Internet,以便公司成员可以最大可能地利用Internet 上的资源,同时大家都需要把自己的数据有意识地保护起来,以防数泄密及受到外界对内部系统的恶意破坏。而当前能采用的有效措施就是防火墙。防火墙大致可以分为两大类:包过滤防火墙和代理防火墙。其中包过滤技术由于可以与现有的路由器集成,也可以用独立的包过滤软件实现,使用较灵活,应用比较广泛。
本文由此展开,主要介绍包过滤。开始文章介绍了一些网络的基本概念,数据包截取需要用到的非常重要的库函数winpcap的结构。在此基础上回顾了当前包过滤技术研究的进展和现状,着重介绍了包过滤的原理、以及优点和缺点。最后介绍了一个在单机上实现的简单的对指定端口实现数据包抓取的程序。
随着网络技术的飞速发展,网络安全问题日益突出。防火墙是目前广泛使用的一种网络安全技术,已成为企业内部与公用网络之间的一道必备的屏障,个人用户也纷
纷安装了个人防火墙软件。防火墙往往放在网络的出口,成为一个信息流量的阻塞点,若造成网络阻塞,再安全的防火墙也无法应用。在实现中需要解决的主要问题是如何提高包过滤的性能。
本文研究目标是实现一种基于Windows的包过滤型防火墙。其核心问题是如何基于NDIS中间驱动程序在Windows内核中截获数据包,并提高包过滤的性能。
1.2本论文题目的理论意义和实用价值
防火墙技术的发展离不开社会需求的变化,着眼未来,我们注意到以下几个新的需求。
·远程办公的增长。这次全国主要城市先后受到 SARS 病毒的侵袭,直接促成大量的企事业在家办公,这就要求防火墙既能抵抗外部攻击,又能允许合法的远程访问,做到更细粒度的访问控制。现在一些厂商推出的 VPN (虚拟专用网)技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙,这样可以确保信息的保密性,又能成为识别入侵行为的手段。
·内部网络“包厢化”( compartmentalizing )。人们通常认为处在防火墙保护下的内网是可信的,只有 Internet 是不可信的。由于黑客攻击技术和工具在Internet 上随手可及,使得内部网络的潜在威胁大大增加,这种威胁既可以是外网的人员,也可能是内网用户,不再存在一个可信网络环境。
由于无线网络的快速应用以及传统拨号方式的继续存在,内网受到了前所未有的威胁。企业之前的合作将合作伙伴纳入了企业网络里,全国各地的分支机构共享一个论坛,都使可信网络的概念变得模糊起来。应对的办法就是将内部网细分成一间间的“包厢”,对每个“包厢”实施独立的安全策略。
Internet 的迅速发展,为人们提供了发布信息和检索信息的场所,但同时它也带来了信息污染和信息被破坏的危险,网络的安全性问题已成为一个重要研究课题。在Internet上存在两种安全性问题:①Internet服务本身所固有的脆弱性;②主机配置和访问控制难于实现或过于复杂而产生的安全漏洞。Internet 安全的脆弱性的表现形式主要有Internet蠕虫(Worm) ,身份验证机制的脆弱性,网上传输的信息易窃取及易被欺骗等。其中蠕虫程序与计算机病毒有区别,它是一个独立、完整的程序,本身并不损坏任何文件或窃取信息,但它严重干扰了网络的正常操作,使受感染的计算机处
于重负载状态,拒绝其他机器用户的服务请求。而通过破译口令的加密方式和截获传递口令报文的方法,就可以获得该帐户的权限,其身份验证机制的脆弱性由此表现出来。特别是一些TC 或UD 服务的身份验证仅仅依赖报文中的IP 地址,管理员不能对某个用户定义访问权限,必须以主机为单位来定义访问权限,该主机上所有用户的权限都一样,这样就容易产生安全问题. 当使用Telnet或FTP与远程主机相连并进行身份验证时,使用的用户口令以明文的形式在Internet上传输,这样只需监视、截获连接中包含用户名和口令的IP 报文,就很容易获得某台主机的帐户。E-mail在网上也是以明文传输,通过监视网上交换的电子邮件可以获得有关某个站点的信息。
第二章包过滤防火墙技术
2.1 包过滤防火墙技术简介
防火墙是专用网络系统,旨在防止未经授权的访问或从。防火墙是用于防止未经授权的Internet网络的互联网连接的用户访问私营,尤其是内部网,虽然使用防火墙保护互联网从单一的电脑也越来越大,随着越来越多的电脑用户成为世界知道,网络安全问题的。防火墙可以是即时通讯在硬件和软件,或两者相结合的,一般可分为下列之一类别:数据包过滤,应用网关,电路级网关和代理服务器。虽然他们都不同层次的不同情况在实用性和缺点,本文只处理数据包过滤器,如他们更有可能得到有效的硬件实现研究。包过滤字段的标题是基于他们对网络资源的众所周知的方法限制访问滤波要求的能力,按照指定的数据包分类过滤规则。这些规则可以看作是头字段的逻辑功能的数据包。分类数据包也出现在计算其他领域,如路由,策略路由,区分交通服务质量,然而,并非所有的人都使用或需要分类的基础上多包头中的字段。例如,一个简单的包转发路由器只需要根据数据包进行分类在一个领域(目的地的IP地址)来执行正确的路线。过滤的概念和分类是紧密联系在一起,因此,这些条款将用于在本文件比较松散,除非区别要避免混淆。总的想法包过滤,或分类,是人开始在后来扩大由他人创立和雅各布森,虽然包分类问题时,防火墙的主要焦点本文件的背景是计算机网络在许多领域。快速和有效的数据包分类在多个领域的头是一个具有挑战性的问题。主要有两种方法来实施该系统的过滤:翻译为基础和模式为基础。第一种方法由一个指令集的规范规则和一名翻译引擎解释处理能力的指示表,而后者匹配图案用一些比较机制,不需要翻译引擎。它也可以使用这些做法都一起实现方便和效率之间的平衡。
防火墙是内部、外部两个网络之间的一个阻隔,通过允许和拒绝经过防火墙的数据流,防止不希望的、未授权的通信,并实现对进、出内部网络的服务和访问的审计和控制防火墙对网络用户提供访问控制服务和通信安全服务,对网络用户基本上是“透明”的,并且只有授权的管理员方可对防火墙进行管理。
防火墙一般要解决的安全问题可分为被保护系统(即内部网)的安全问题和自身的安全问题。防火墙产品主要分为两类:包过滤和应用级防火墙本标准规定了包过滤防
火墙的各级安全要求。
包过滤防火墙根据安全功能策略建立包过滤规则。过滤规则的主要要素有源IP 地址、目的IP地址、协议号、源端口、目的端口、连接标志和另外一些IP选项,以及包到达或发出的接口。
包过滤防火墙工作在网络层,对数据包的源及目地 IP 具有识别和控制作用,对于传输层,也只能识别数据包是 TCP 还是 UDP 及所用的端口信息,如下图所示。现在的路由器、 Switch Router 以及某些操作系统已经具有用 Packet Filter 控制的能力。由于只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析,包过滤防火墙的处理速度较快,并且易于配置。
包过滤防火墙是用一个软件查看所流经的数据包的包头(header),由此决定整个包的命运。它可能会决定丢弃(DROP)这个包,可能会接受(ACCEPT)这个包(让这个包通过),也可能执行其它更复杂的动作。
在Linux系统下,包过滤功能是内建于核心的(作为一个核心模块,或者直接内建),同时还有一些可以运用于数据包之上的技巧,不过最常用的依然是查看包头以决定包的命运。
2.2 防火墙包过滤技术的特点
包过滤防火墙工作在网络层,对数据包的源及目地IP具有识别和控制作用,对于传输层,也只能识别数据包是TCP还是UDP及所用的端口信息,如下图所示。现在的路由器、Switch Router以及某些操作系统已经具有用Packet Filter控制的能力。
由于只对数据包的IP地址、TCP/UDP协议和端口进行分析,包过滤防火墙的处理速度较快,并且易于配置。
(1)优点:
●对于一个小型的、不太复杂的站点,包过滤比较容易实现。
●因为过滤路由器工作在IP层和TCP层,所以处理包的速度比代理服务器快。
●过滤路由器为用户提供了一种透明的服务,用户不需要改变客户端的任何应用程
序,也不需要用户学习任何新的东西。因为过滤路由器工作在IP层和TCP层,而IP层和TCP层与应用层的问题毫不相关。所以,过滤路由器有时也被称为“包过滤网关”或“透明网关”,之所被称为网关,是因为包过滤路由器和传统路由器不
同,它涉及到了传输层。
●过滤路由器在价格上一般比代理服务器便宜。
(2)缺点:
●一些包过滤网关不支持有效的用户认证。
●规则表很快会变得很大而且复杂,规则很难测试。随着表的增大和复杂性的增加,
规则结构出现漏洞的可能性也会增加。
●这种防火墙最大的缺陷是它依赖一个单一的部件来保护系统。如果这个部件出现
了问题,会使得网络大门敞开,而用户其至可能还不知道。
●在一般情况下,如果外部用户被允许访问内部主机,则它就可以访问内部网上的
任何主机。
●包过滤防火墙只能阻止一种类型的IP欺骗,即外部主机伪装内部主机的IP,对
于外部主机伪装外部主机的IP欺骗却不可能阻止,而且它不能防止DNS欺骗。虽然,包过滤防火墙有如上所述的缺点,但是在管理良好的小规模网络上,它能够正常的发挥其作用。一般情况下,人们不单独使用包过滤网关,而是将它和其他设备(如堡垒主机等)联合使用。
综上可见,包过滤防火墙技术面太过初级,就好比一位保安只能根据访客来自哪个省市来判断是否允许他(她)进入一样,难以履行保护内网安全的职责。
2.3 包过滤防火墙工作原理
包过滤防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。
包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。
在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。
第一代:静态包过滤
这种类型的防火墙根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP 源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP 消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”,即明确允许那些管理员希望通过的数据包,禁止其他的数据包。
图2.3.1 简单包过滤防火墙
第二代:动态包过滤
这种类型的防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。
图2.3.2 动态包过滤防火墙
包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层
和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
包过滤是一种内置于Linux内核路由功能之上的防火墙类型,其防火墙工作在网络层。
(1)使用过滤器。数据包过滤用在内部主机和外部主机之间,过滤系统是一台路由器或是一台主机。过滤系统根据过滤规则来决定是否让数据包通过。用于过滤数据包的路由器被称为过滤路由器。
数据包过滤是通过对数据包的IP头和TCP头或UDP头的检查来实现的,主要信息有:
●IP源地址
●IP目标地址
●协议(TCP包、UDP包和ICMP包)
●TCP或UDP包的源端口
●TCP或UDP包的目标端口
●ICMP消息类型
●TCP包头中的ACK位
●数据包到达的端口
●数据包出去的端口
在TCP/IP中,存在着一些标准的服务端口号,例如,HTTP的端口号为80。通过屏蔽特定的端口可以禁止特定的服务。包过滤系统可以阻塞内部主机和外部主机或另外一个网络之间的连接,例如,可以阻塞一些被视为是有敌意的或不可信的主机或网络连接到内部网络中。
(2)过滤器的实现。数据包过滤一般使用过滤路由器来实现,这种路由器与普
通的路由器有所不同。
普通的路由器只检查数据包的目标地址,并选择一个达到目的地址的最佳路径。它处理数据包是以目标地址为基础的,存在着两种可能性:若路由器可以找到一个路径到达目标地址则发送出去;若路由器不知道如何发送数据包则通知数据包的发送者“数据包不可达”。
过滤路由器会更加仔细地检查数据包,除了决定是否有到达目标地址的路径外,还要决定是否应该发送数据包。“应该与否”是由路由器的过滤策略决定并强行执行的。
路由器的过滤策略主要有:
●拒绝来自某主机或某网段的所有连接。
●允许来自某主机或某网段的所有连接。
●拒绝来自某主机或某网段的指定端口的连接。
●允许来自某主机或某网段的指定端口的连接。
●拒绝本地主机或本地网络与其它主机或其它网络的所有连接。
●允许本地主机或本地网络与其它主机或其它网络的所有连接。
●拒绝本地主机或本地网络与其它主机或其它网络的指定端口的连接。
●允许本地主机或本地网络与其它主机或其它网络的指定端口的连接。
2.4 数据包过滤技术
这种技术是在网络中适当的位置对数据包实施有选择的通过,选择依据,即为系统内设置的过滤规则(通常称为访问控制表-----Access Control List),只有满足过滤规则的数据包才被转发至相应的网络接口,其余数据包则被从数据流中删除。
包过滤在本地端接收数据包时,一般不保留上下文,只根据目前数据包的内容做决定。根据不同的防火墙的类型,包过滤可能在进入、输出时或这两个时刻都进行。可以拟定一个要接受的设备和服务的清单,一个不接受的设备和服务的清单,组成访问控制表。在主机或网络级容易用包过滤接受或决绝访问,例如,可以允许主机A和主机B之间的任何IP访问,或者拒绝除A外的任何设备对B的访问。
包过滤的设置: ⑴必须知道什么是应该和不应该被允许的,即必须制定一个安全策略。⑵必须正式规定允许的包类型、包字段的逻辑表达。⑶必须用防火墙支持的
语法重写表达式。
下面是我就一个简单的按地址数据包过滤方式,它按照源地址进行过滤。比如说,认为网络202.110.8.0是一个危险的网络,那么就可以用源地址过滤禁止内部主机和该网络进行通信。在网络中数据是以数据包的形式传输的。这样,当数据包经过防火墙时,防火墙可以检查数据包中的那些信息,然后根据规则决定是否允许该包通过,就源地址过滤而言,防火墙只要检查目标地址和源地址就可以了。表1.1表示的是根据上面的政策所制定的规则。表1.1表示的是根据上面的政策所制定的规则。
表1.1 过滤规则示例
规则方向源地址目标地址动作
A出内部网络202.110.8.0拒绝
B入202.110.8.0内部网络拒绝
这种方式没有利用全部信息,对于当今网络攻击的发展以无法满足防火墙的需求,下面是一种更为先进的过滤方式——按服务过滤。
假设安全策略是禁止外部主机访问内部的E-mail服务器(SMTP,端口25),允许内部主机访问外部主机,实现这种的过滤的访问控制规则类似表1.2。
规则按从前到后的顺序匹配,字段中“*”代表任意值,没有被过滤器规则明确允许的包将被拒绝。就是说,每一条规则集都跟随一条含蓄的规则,就像表1.2中的规则C。这与一般原则是一致的:没有明确允许就被禁止。
任何一种协议都是建立在双方的基础上的,信息流也是双向的,所以在考虑允许内部用户访问Internet时,必须允许数据包不但可以出站而且可以入站。同理,若禁止一种服务,也必须从出站和入站两方面制定规则,规则总是成对出现的。
表 1.2规则表
规则方向动作源地址源端口目的地
址
目的端
口
注释
A进拒绝m*E-mail25不信任
B出允许****允许联接
C双向拒绝****缺省状态
下面,通过一个包过滤实例来讲解分析。第一,假设处于一个C类网116.111.4.0,认为站点202.208.5.6上有不健康的BBS,所以希望阻止网络中的用户访问该点的BBS;再假设这个站点的BBS服务是通过Telnet方式提供的,那么需要阻止到那个站点的的出站Telnet服务,对于Internet的其他站点,允许内部网用户通过Telnet 方式访问,但不允许其他站点以Telnet方式访问网络。第二,为了收发电子邮件,允许SMTP出站入站服务,邮件服务器是IP地址为116.111.4.1。第三,对于WWW服务,允许内部网用户访问Internet上任何网络和站点,但只允许一个公司的网络访问内部WWW服务器,内部WWW服务器的IP地址为116.111.4.5,因为你们是合作伙伴关系,那个公司的网络为98.120.7.0。根据上面的安全策略可以得到表1.3。
表1.3 过滤规则示例
规则方
向
源地址目标地址
协
议
源端
口
目标端
口
ACK设置动作
A出116.111.
4.0
202.108.
5.6
TCP>102323任意拒绝
B入202.108.
5.6
116.111.
4.0
TCP23>1023是任意
C出116.111.
4.0
任意TCP>102323任意允许
D入任意116.111.
4.0
TCP23>1023是允许
E出116.111.
4.1
任意TCP>102325任意允许
F入任意116.111.
4.1
TCP25>1023是允许
G入任意116.111.
4.1
TCP>102325任意允许
H出116.111.
4.1
任意TCP25>1023任意允许
I出116.111.
4.0
任意TCP>102380任意允许
J入任意116.111.
4.0
TCP80>1023是允许
K入98.120.7
.0
116.111.
4.5
TCP>102380任意允许
L出116.111.
4.5
98.120.7
.0
TCP80>1023任意允许
M 双
向
任意任意
任
意
任意任意
规则A、B用来阻止你的内部主机以Telnet服务形式联接到站202.108.5.6,规则C、D允许你的内部主机以Telnet方式访问Internet上的任何主机。这似乎和我们的政策发生了矛盾,但事实上并部矛盾。在前面提到过规则的次序是十分重要的,而且防火墙实施规则的特点是当防火墙找到匹配的规则后就不再向下应用其他的规则,所以当内部网主机访问站点202.108.5.6,并试图通过Telnet建立联接时,这个联接请求会被规则A阻塞,因为规则A正好与之相匹配。至于规则B,实际上并非毫无用处,规则B用来限制站点202.108.5.6 Telnet服务的返回包。事实上,内部主机试图建立Telnet联接时就会被阻塞,一般不会存在返回包,但高明的用户也可能想出办法使联接成功,那时B规则也会有用,总之,有些冗余对安全是有好处的。当用户以Telnet方式访问除202.105.5.6之外的其他站点时,规则A、B不匹配,所以应用C、D规则,内部主机被允许建立联接,返回包也被允许入站。
规则E、F用于允许出站的SMTP服务,规则G、H用于允许入站的SMTP服务,SMTP 服务的端口是25。
I和J规则用于允许出站的WWW服务,K、L规则用于允许网络95.120.7.0的主机访问你的网络WWW服务器。
规则M是默认项,它实现的准则是“没有明确允许就表示禁止”。
2.5 数据包过滤类型
2.5.1. IP包过滤
IP分段字段用来确定数据包在传输过程中是否被重新分段,分段带来的问题是只有第一个段有高层协议的报头(如TCP头),而其他的段中没有。数据包过滤器一般是让非首段包通过,而仅对第一个分段进行过滤,因为目标主机如果得不到第一个分段,也就不能组装一个完整的数据包,因此这样做是可以接受的。强大的防火墙应该考虑非第一个分段有可能泄露有用的信息,比如出站的NFS数据包几乎肯定要分段,内部网中的敏感数据经过NFS传输可能会泄露,因此防火墙要根据第一个分段的操作策略来决定是否转发非第一个分段。
IP分段也经常用来进行拒绝服务攻击。攻击者向目标主机发送第一个分段包,防火墙对这种包不作处理直接让其通过,目标主机得不到第一个分段来重组数据包时,会放弃该包,同时发一个ICMP“数据组装超时”的包给源主机。如果目标主机大量收
到这种非第一个分段包,它需要占用大量的CPU时间来处理。当达到一定极限之后,目标主机就不能处理正常的服务了,而造成拒绝服务攻击。此外返回的ICMP也会泄露有用的消息,因此对这种ICMP,防火墙应该过滤掉。
2.5.2 .TCP包过滤
TCP是面向联接的可靠传输协议,TCP的可靠主要是通过下面三条来保证的:目标主机将按发送的顺序接受应用数据;目标主机将接受所有的应用数据;目标主机将不重复接受任何数据。
TCP协议通过对错误的数据重传来保证数据可靠到达,并且事先要建立起联接才能传输。如果要阻止TCP的联接,仅阻止第一个联接请求包就够了。因为没有第一个数据包,接受端不会吧之后的数据组装程数据包,且不会建立起联接。TCP的启动联接请求包中的ACK位为0,而其他的数据包ACK位为1,所以可以通过对ACK位的判断来确定是否是启动联接请求。
2.5.
3. UDP数据包过滤
与TCP数据包结构相比, UDP数据包要比TCP数据包简单得多,这是因为UDP
是一种无联接得协议,而TCP是一种有联接得协议。
UDP不向TCP那样可靠,它得传输就像邮局发明信片一样,发出去后,得不到答复,不知道明信片是否真的到达了目的地。UDP数据包到通过MTU(最大传输单元)小的网络需要分段,然后各段分别传输,任何一个片段丢失后,数据包就损坏了,而UDP没有重传机制,这样就不能保证数据传输的完整性。即使数据包不分段,数据包也可能由于错误路由或网络拥挤而丢失。
UDP的返回包的特点时目标端口是请求包的源端口,目标地址是请求包的源地址,源端口是请求包的目的端口,源地址是请求包的目标地址。因此,过程2的数据包被阻塞,而过程1的数据包被允许进入。
2.5.4. 源端口过滤
在前面的例子中,过滤规则用到了源端口,如果防火墙在过滤数据包时不考虑源端口,很容易给入侵者可乘之机。假设路由器不支持检查源端口,要实现发送电子邮件的功能,规则如表2.1所示。
规则方向源地址目标地址协议源端
口
目标端口动作
A入任意116.111.4
.1
TCP/25拒绝
B出116.111.4.
1
任意TCP/>1023任意
C出116.111.4.
1
任意TCP/25允许
D如任意116.111.4
.1
TCP/>1023允许
规则A、B允许入站的SMTP联接。规则C、D允许出站的SMTP联接。
2.2.5.ACK位在数据包过滤中的作用
ACK位在数据包过滤中的作用是很关键的。假设防火墙不考虑ACK位,那么对于允许内部网络主机利用Telnet服务访问Internet的策略可以以下方式实现。
如果有一个用户在他的主机上,用端口号23联接到内部网主机的一个大于1023的端口上,则这种联接将会被允许,可见,系统存在着安全缺口。
一般只检查返回包的ACK位,因为联接请求包的ACK位可能不会被置位,而返回包ACK位一定会被置位。当加上ACK位检测后,得到如表2.2所示的规则。
规则方
向
源地址目标地址
协
议
源端
口
目标端
口
ACK设置动作
A出116.111.4
.1
任意TCP>102323任意允许
B入任意116.111.4
.1
TCP23>1023是允许
当黑客试图通过端口23建立入站联接时,因为第一个请求包的ACK不被置位,所以该包回被禁止进入你的内部网络,第一个联接请求包被拒绝后,联接就很难建立起来了。
如果入侵者把第一个数据包的ACK位置位,则该数据包可以通过防火墙,但目标主机会把这个数据包当作以前联接中的一个数据包,而不是建立一个新的联接。因为这个数据包不属于目标主机所知的任何联接(序列号不能匹配),所以它被抛弃掉。
第三章具体实现
此虚拟网络防火墙主要分为四个模块:封包监视,控制规则,日志查询,安全策略。模块之间具体关系如图3.1所表示。
图3.1
虚拟防火墙设计时采用JAVA(前台)+数据库SQL(后台),利用JAVA进行界面及各种操作选择的设计,在此基础上建立的JDBC,为独立于数据库管理系统DBMS的应用提供了能与多个不同数据库连接的通用接口。
下面就封包监视这一模块的设计进行分析。
3.1 数据库表的建立
数据库表的创建主要是为了方便各种攻击流规则的记录的增加和删除,以及日志的记录和查询都可以很方便的通过数据库来进行操作。具体各个表的创建如下所示:表RuleBook用来记录各种匹配规则,表结构如表3.1所示。
表3.1 RuleBook匹配规则表
RuleName 用来记录规则名称,主键,char类型Protocol 协议类型,char类型
Source1IP用来记录源端IP地址,int类型Source1IP用来记录源端IP地址,int类型Source1IP用来记录源端IP地址,int类型Source1IP用来记录源端IP地址,int类型SourcePort 源端口号,int类型
Direct 单向双向选择,char类型
Aim1IP用来记录目的IP地址,int类型
Aim2IP用来记录目的IP地址,int类型
Aim3IP用来记录目的IP地址,int类型
Aim4IP用来记录目的IP地址,int类型AimPort目的端口号,int类型
Remark备注说明,char类型
表Safety用来记录各种受约束网络信息,表结构如表3.2所示。
表3.2 Safety受约束网络信息表SafetyName用来记录约束网络名称,主键,char类型Source1aIP Source2aIP用来记录开始IP地址,int类型Source3aIP Source4aIP用来记录开始IP地址,int类型Source1bIP Source2bIP用来记录结束IP地址,int类型Source3bIP Source4bIP用来记录结束IP地址,int类型Remarklog备注说明,char类型
防火墙技术课后题
第5章:防火墙技术 一、选择题 1.为确保企业局域网的信息安全,防止来自internet的黑客入侵,采用()可以实现一定的防范作用。 A。网管软件 B。最件列表 C。防火墙 D。防病毒软件 2.网络防火墙的作用是()。(多选项) A.防止内部信息外泄 B。防止系统感染病毒与非法访问 C。防止黑客访问 D。建立内部信息和功能与外部信息和功能之间的屏障 3.防火墙采用的最简单的技术是() A。安装保护卡B。隔离C。包过滤D。设置进入密码 4. 防火墙技术可分为()等到3大类型,防火墙系统通常由()组成,防止不希望的、未经授权的进出被保护的内部网络,它是一种()网络系统安全措施。 1)A包过滤、入侵检测和数据加密 B.包过滤、入侵检测和应用代理“ C包过滤、应用代理和入侵检测 D.包过滤、状态检测和应用代理 2)A.杀病毒卡和杀毒软件 B.代理服务器和入检测系统 C.过滤路由器和入侵检测系统 D.过滤路由器和代理服务器 3)A.被动的 B.主动的 C.能够防止内部犯罪的 D.能够解决所有问题的 5. 防火墙是建军立在内外网络边界上的一类安全保护机制,它的安全架构基于()。一般为代理服务器的保垒主机上装有(),其上运行的是()。 1)A.流量控制技术 B 加密技术 C.信息流填充技术 D.访问控制技术 2)A.一块网卡且有一个IP地址 B.两个网卡且有两个不同的IP地址
C.两个网卡且有相同的IP地址 D.多个网卡且动态获得IP地址 3)A.代理服务器软件 B.网络操作系统 C.数据库管理系统 D.应用软件 6.在ISO OSI/RM 中对网络安全服务所属的协议层次进行分析,要求每个协议层都能提供网络安全服务。其中用户身份认证在(1)进行,而IP过滤型防火墙在(2)通过控制网落边界的信息流动,来强化内部网络的安全性。 A 网络层 B 会话层 C 物理层 D 应用层 7. 下列关于防火墙的说法正确的是() A 防火墙的安全性能是根据系统安全的要求而设置的 B 防火墙的安全性能是一致的,一般没有级别之分 C防火墙不能把内部网络隔离为可信任网络 D 一个防火墙只能用来对两个网络之间的互相访问实行强制性管理的安全系统 8. 防火墙有()作用。(多选题) A 提高计算机系统总体的安全性 B 提高网络的速度 C 控制对网点系统的访问 D 数据加密 9.下列()不是专门的防火墙产品 A. ISA server 2004 B. cisco router C. topsec 网络卫士 D. check point 防火墙 10. ( )不是防火墙的功能 A. 过滤进出网络的数据包 B. 保护存储数据包 C. 封堵某些禁止的访问行为 D. 记录通过防火墙的信息内容和活动 二.问答题 1.什么是防火墙?防火墙应具有的基本功能是什么?使用防火墙的好处有那些? 2.总的来说。防火墙主要由那向部分组成? 3.防火墙按照技术分类,分成几类? 4.包过滤防火墙的工作原理是什么?包过滤防火墙有什么优缺点? 5.包过滤防火墙一般检查那几项 6 包过滤防火墙中制定访问控制规则一般有哪些? 7 代理服务器的工作原理是什么?代理服务器有什么优、缺点? 8 举例说明现在应用的有哪几种代理服务? 9 在防火墙的部署中,一般有哪几种体系结构? 10 简述网络地址转换(NAT)的原理。它主要应用有那些方面? 11 常见的放火墙产品有哪些?试比较它们的特点与技术性能。
包过滤防火墙策略的应用
中图分类号:TP393.08文献标识码:A文章编号:1009-2552(2009)12-0152-03 包过滤防火墙策略的应用 陈宝林 (北京联合大学生物化学工程学院,北京100023) 摘要:在TCP P IP网络中,包过滤防火墙的策略制定是至关重要的。策略就是让包过滤防火墙在转发数据包之前打开TCP P IP封装,检查进出网络的数据包的各种属性,决定是否允许该数据包通过防火墙。文中对TCP、IP数据包进行了描述,给出了一些策略实例。 关键词:防火墙;过滤;策略 Application of packet filtering firewall strategies CHEN Bao-lin (School of Biochemistry and Engineering,Beijing Union University,Beijing100023,C hina) Abstract:In TCP P IP network,the packet filtering fire wall strategies is essential.Strategy is to make the packet filtering firewall open TCP P IP packa ge before the data packet for warding,check various properties of data packet then decide on whether to allo w the pac ket through the firewall.In this paper TCP、IP packets are described,and some policy instance are proposed. Key w ords:fire wall;filter;strategies 在TCP P IP网络中,包过滤防火墙的工作原理是在转发数据包之前打开TCP P I P封装,检查进出网络的数据包的各种属性,根据用户设定的安全策略决定是否允许须该数据包通过防火墙。制定合适的安防策略才能使防火墙有效地保护内部网络或主机。 TCP P IP数据包头格式,了解包头格式对防火墙策略的制定是非常必要的。如果对数据包头一无所知是很难制定出合适的策略的。 I P数据包头如表1所示,各字段的属性为: 版本:标识了IP协议的版本(IPv4P IPv6)。 报头长度:标识了IP报头的长度,长度单位为32比特。 服务类型:它用来表示特殊报文的处理方式。 总长度。 标记字段:长度位3位,其中第一位没有被使用,第二位是不分片位DF,位被置1,第三位MF,当路由器对数据进行分片时,除了最后一个分片的MF 位为0外,其他所有的MF全部为1。 分片偏移:以8个bit为单位,用于指明分片起始点相对于报头的起始点的偏移量。 生存时间:在最初创建报文时,TTL就被设定为某个特定值,当报文沿路由器传送时,每经过一个路由器TTL的值就会减小1,当TTL为零的时候,就会丢弃这个报文,同时向源地址发送错误报告,促使重新发送。 协议:字段长度为8位,它给出了主机到主机传输层的地址或者协议号。 校验和:针对IP报头的纠错字段。 收稿日期:2009-11-12 作者简介:陈宝林(1955-),男,1982年毕业于哈尔滨电工学院(现哈尔滨理工大学),北京联合大学教师,研究方向为计算 机网络安全。 ) 152 )
状态检测防火墙原理
浅谈状态检测防火墙和应用层防火墙的原理(结合ISA SERVER) 防火墙发展到今天,虽然不断有新的技术产生,但从网络协议分层的角度,仍然可以归为以下三类: 1,包过滤防火墙; 2,基于状态检测技术(Stateful-inspection)的防火墙; 3,应用层防火墙。 这三类防火墙都是向前包容的,也就是说基于状态检测的防火墙也有一般包过滤防火墙的功能,而基于应用层的墙也包括前两种防火墙的功能。在这里我将讲讲后面两类防火墙的实现原理。 先从基于状态检测的防火墙开始吧,为什么会有基于状态检测的防火墙呢?这就要先看看第一类普通包过滤防火要缺点,比如我们要允许内网用户访问公网的WEB服务,来看看第一类普通包过滤防火墙是怎样处理的呢?那们应该建立一条类似图1所示的规则: 但这就行了吗?显然是不行的,因为这只是允许我向外请求WEB服务,但WEB服务响应我的数据包怎么进来呢还必须建立一条允许相应响应数据包进入的规则。好吧,就按上面的规则加吧,在动作栏中我们填允许,由于现据包是从外进来,所以源地址应该是所有外部的,这里不做限制,在源端口填80,目标地址也不限定,这个这端口怎么填呢?因为当我访问网站时本地端口是临时分配的,也就是说这个端口是不定的,只要是1023以上的有可能,所以没有办法,那只有把这些所有端口都开放了,于是在目标端口填上1024-65535,这样规则就如图示了,实际上这也是某些第一类防火墙所采用的方法。 想一想这是多么危险的,因为入站的高端口全开放了,而很多危险的服务也是使用的高端口啊,比如微软的终端远程桌面监听的端口就是3389,当然对这种固定的端口还好说,把进站的3389封了就行,但对于同样使用高但却是动态分配端口的RPC服务就没那么容易处理了,因为是动态的,你不便封住某个特定的RPC服务。 上面说了这是某些普通包过滤防火墙所采用的方法,为了防止这种开放高端口的风险,于是一些防火墙又根据T 接中的ACK位值来决定数据包进出,但这种方法又容易导致DoS攻击,何况UDP协议还没有这种标志呢?所包过滤防火墙还是没有解决这个问题,我们仍然需要一种更完美的方法,这时就有了状态检测技术,我们先不解么是状态检测防火墙,还是来看看它是怎样处理上面的问题的。同上面一样, 首先我们也需要建立好一条类似图1的规则(但不需要图2的规则),通常此时规则需要指明网络方向,即是进还是出,然后我在客户端打开IE向某个网站请求WEB页面,当数据包到达防火墙时,状态检测检测到这是一个发起连接的初始数据包(由SYN标志),然后它就会把这个数据包中的信息与防火墙规则作比较没有相应规则允许,防火墙就会拒绝这次连接,当然在这里它会发现有一条规则允许我访问外部WEB服务,于允许数据包外出并且在状态表中新建一条会话,通常这条会话会包括此连接的源地址、源端口、目标地址、目标连接时间等信息,对于TCP连接,它还应该会包含序列号和标志位等信息。当后续数据包到达时,如果这个数
【使用防火墙实现URL 过滤】
使用防火墙实现URL 过滤 【实验名称】 使用防火墙实现URL 过滤 【实验目的】 利用防火墙的URL 过滤功能对用户的Web 访问进行控制 【背景描述】 某企业网络的出口使用了一台防火墙作为接入Internet 的设备,并且内部网络使用私有编址方案。最近网络管理员发现,一些员工在上班时间经常访问一些娱乐网站(例如https://www.sodocs.net/doc/e18006906.html, ),影响了工作质量。 现在公司希望员工在上班时间不能访问这些网站(https://www.sodocs.net/doc/e18006906.html, ),但是广告部员工因为业务需要,可以访问这些网站获取信息。 【需求分析】 为了限制内部用户可以访问的Web 站点,可以使用防火墙的URL 过滤功能,使防火墙阻断内部用户对某些站点(URL )的访问请求。 【实验拓扑】 LAN 192.168.1.1/24 192.168.1.30/24 WAN 1.1.1.1/24 192.168.1.200/24 【实验设备】 防火墙连接到Internet 的链路 防火墙 1台 PC 2台 【预备知识】
网络基础知识 防火墙基础知识 【实验原理】 防火墙的URL过滤功能可以对用户的URL请求进行过滤,只有目标为允许访问的URL 的请求才能够通过防火墙。 【实验步骤】 第一步:配置防火墙接口的IP地址 进入防火墙的配置页面:网络配置—>接口IP,单击<添加>按钮为接口添加IP地址。 为防火墙的LAN接口配置IP地址及子网掩码。 为防火墙的WAN接口配置IP地址及子网掩码。
第二步:配置默认路由 进入防火墙的配置页面:网络配置—>策略路由,点击<添加>按钮,添加一条到达Internet的默认路由。 第三步:配置广告部的NAT规则 进入防火墙配置页面:安全策略—>安全规则,单击页面上方的
防火墙有什么用工作原理介绍
防火墙有什么用工作原理介绍 什么是防火墙,有什么作用 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种 获取安全性方法的形象说法,它是一种计算机硬件和软件的结合, 使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙 主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。 该计算机流入流出的所有网络通信和数据包均要经过此防火墙。 在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在 两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的 人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不 通过防火墙,公司内部的人就无法访问Internet,Internet上的人 也无法和公司内部的人进行通信。 XP系统相比于以往的Windows系统新增了许多的网络功能(Windows7的防火墙一样很强大,可以很方便地定义过滤掉数据包),例如Internet连接防火墙(ICF),它就是用一段"代码墙"把电脑和Internet分隔开,时刻检查出入防火墙的所有数据包,决定拦截或 是放行那些数据包。防火墙可以是一种硬件、固件或者软件,例如 专用防火墙设备就是硬件形式的防火墙,包过滤路由器是嵌有防火 墙固件的路由器,而代理服务器等软件就是软件形式的防火墙。 ICF工作原理 ICF被视为状态防火墙,状态防火墙可监视通过其路径的所有通讯,并且检查所处理的每个消息的源和目标地址。为了防止来自连
防火墙试题及答案
防火墙培训试题 1.关于防火墙的描述不正确的是:() A、防火墙不能防止内部攻击。 B、如果一个公司信息安全制度不明确,拥有再好的防火墙也没有用。 C、防火墙可以防止伪装成外部信任主机的IP地址欺骗。 D、防火墙可以防止伪装成内部信任主机的IP地址欺骗。 2.防火墙的主要技术有哪些?() A.简单包过滤技术 B.状态检测包过滤技术 C.应用代理技术 D.复合技术 E.地址翻译技术 3.防火墙有哪些部属方式?() A.透明模式 B.路由模式 C.混合模式 D.交换模式 4.判断题:并发连接数——指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最 大连接数。() 5.判断题:对于防火墙而言,除非特殊定义,否则全部ICMP消息包将被禁止通过防火墙 (即不能使用ping命令来检验网络连接是否建立)。() 6.下列有关防火墙局限性描述哪些是正确的。() A、防火墙不能防范不经过防火墙的攻击 B、防火墙不能解决来自内部网络的攻击和安全问题 C、防火墙不能对非法的外部访问进行过滤 D、防火墙不能防止策略配置不当或错误配置引起的安全威胁 7.防火墙的作用() A、过滤进出网络的数据 B、管理进出网络的访问行为 C、封堵某些禁止的行为 D、记录通过防火墙的信息内容和活动 8.防火墙能够完全防止传送己被病毒感染的软件和文件 9.一般情况下,防火墙是关闭远程管理功能的,但如果必须进行远程管理,则应该采用 ()或者()的登录方式。
10.防火墙的测试性能参数一般包括() A)吞吐量 B)新建连接速率 C)并发连接数 D)处理时延 11.防火墙能够作到些什么?() A、包过滤 B、包的透明转发 C、阻挡外部攻击 D、记录攻击 12.防火墙有哪些缺点和不足?() A、防火墙不能抵抗最新的未设置策略的攻击漏洞 B、防火墙的并发连接数限制容易导致拥塞或者溢出 C、防火墙对服务器合法开放的端口的攻击大多无法阻止 D、防火墙可以阻止内部主动发起连接的攻击 13.防火墙中地址翻译的主要作用是:() A. 提供应用代理服务 B. 隐藏内部网络地址 C. 进行入侵检测 D. 防止病毒入侵 14.判断题:防火墙必须记录通过的流量日志,但是对于被拒绝的流量可以没有记录。 () 15.防火墙一般需要检测哪些扫描行为?() A、Port-scan B、icmp-scan C、udp-scan D、tcp-synflood 16.判断题:VPN用户登录到防火墙,通过防火墙访问内部网络时,不受访问控制策略的约 束。() 17.判断题:在配置访问规则时,源地址,目的地址,服务或端口的范围必须以实际访问需 求为前提,尽可能的缩小范围。() 18.简答题:状态检测防火墙的优点有哪些? 19.简答题:防火墙部署的原则有哪些? 20.简答题:防火墙策略设置的原则有哪些?
防火墙-实验报告
一、实验目的 ●通过实验深入理解防火墙的功能和工作原理 ●熟悉天网防火墙个人版的配置和使用 二、实验原理 ●防火墙的工作原理 ●防火墙能增强机构内部网络的安全性。防火墙系统决定了 哪些内部服务可以被外界访问;外界的哪些人可以访问内 部的服务以及哪些外部服务可以被内部人员访问。防火墙 必须只允许授权的数据通过,而且防火墙本身也必须能够 免于渗透。 ●两种防火墙技术的对比 ●包过滤防火墙:将防火墙放置于内外网络的边界;价格较 低,性能开销小,处理速度较快;定义复杂,容易出现因 配置不当带来问题,允许数据包直接通过,容易造成数据 驱动式攻击的潜在危险。 ●应用级网关:内置了专门为了提高安全性而编制的Proxy 应用程序,能够透彻地理解相关服务的命令,对来往的数 据包进行安全化处理,速度较慢,不太适用于高速网 (ATM或千兆位以太网等)之间的应用。 ●防火墙体系结构 ●屏蔽主机防火墙体系结构:在该结构中,分组过滤路由器 或防火墙与Internet 相连,同时一个堡垒机安装在内部
网络,通过在分组过滤路由器或防火墙上过滤规则的设 置,使堡垒机成为Internet 上其它节点所能到达的唯一 节点,这确保了内部网络不受未授权外部用户的攻击。 ●双重宿主主机体系结构:围绕双重宿主主机构筑。双重宿 主主机至少有两个网络接口。这样的主机可以充当与这些 接口相连的网络之间的路由器;它能够从一个网络到另外 一个网络发送IP数据包。但是外部网络与内部网络不能 直接通信,它们之间的通信必须经过双重宿主主机的过滤 和控制。 ●被屏蔽子网体系结构:添加额外的安全层到被屏蔽主机体 系结构,即通过添加周边网络更进一步的把内部网络和外 部网络(通常是Internet)隔离开。被屏蔽子网体系结构 的最简单的形式为,两个屏蔽路由器,每一个都连接到周 边网。一个位于周边网与内部网络之间,另一个位于周边 网与外部网络(通常为Internet)之间。 四、实验内容和步骤 (1)简述天网防火墙的工作原理 天网防火墙的工作原理: 在于监视并过滤网络上流入流出的IP包,拒绝发送可疑的包。基于协议特定的标准,路由器在其端口能够区分包和限制包的能力叫包过滤。由于Internet 与Intranet 的连接多数都要使用路由器,所以Router成为内外通信的必经端口,Router的厂商在Router上加入IP 过
包过滤防火墙的工作原理
******************************************************************************* ?包过滤防火墙的工作原理 ?包过滤(Packet Filter)是在网络层中根据事先设置的安全访问策略(过滤规 则),检查每一个数据包的源IP地址、目的IP地址以及IP分组头部的其他各种标志信息(如协议、服务类型等),确定是否允许该数据包通过防火墙。 如图8-5所示,当网络管理员在防火墙上设置了过滤规则后,在防火墙中会形成一个过滤规则表。当数据包进入防火墙时,防火墙会将IP分组的头部信息与过滤规则表进行逐条比对,根据比对结果决定是否允许数据包通过。 ?3.包过滤防火墙的应用特点 ?包过滤防火墙是一种技术非常成熟、应用非常广泛的防火墙技术,具有以下 的主要特点: ?(1)过滤规则表需要事先进行人工设置,规则表中的条目根据用户的安全 要求来定。 ?(2)防火墙在进行检查时,首先从过滤规则表中的第1个条目开始逐条进 行,所以过滤规则表中条目的先后顺序非常重要。 (3)由于包过滤防火墙工作在OSI参考模型的网络层和传输层,所以包过滤防火墙对通过的数据包的速度影响不大,实现成本较低。 ?代理防火墙的工作原理 ?代理防火墙具有传统的代理服务器和防火墙的双重功能。如图8-6所示,代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户 机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务 器仅是一台客户机。 ?2.代理防火墙的应用特点 ?代理防火墙具有以下的主要特点: ?(1)代理防火墙可以针对应用层进行检测和扫描,可有效地防止应用层的 恶意入侵和病毒。 ?(2)代理防火墙具有较高的安全性。由于每一个内外网络之间的连接都要 通过代理服务器的介入和转换,而且在代理防火墙上会针对每一种网络应用(如HTTP)使用特定的应用程序来处理。 ?(3)代理服务器通常拥有高速缓存,缓存中保存了用户最近访问过的站点 内容。 ?(4)代理防火墙的缺点是对系统的整体性能有较大的影响,系统的处理效 率会有所下降,因为代理型防火墙对数据包进行内部结构的分析和处理,这会导致数据包的吞吐能力降低(低于包过滤防火墙)。 *******************************************************************************
防火墙的设计与实现
课程设计报告 课程名称计算机网络 课题名称1、防火墙技术与实现 2、无线WLAN的设计与实现 专业计算机科学与技术 班级0802班 学号200803010212
姓名王能 指导教师刘铁武韩宁 2011年3 月6 日
湖南工程学院 课程设计任务书 一.设计内容: 问题1:基于802.1X的认证系统 建立为了便于集中认证和管理接入用户,采用AAA(Authentication、Authorization 和Accounting)安全体系。通过某种一致的办法来配置网络服务,控制用户通过网络接入服务器的访问园区网络,设计内容如下: 1.掌握IEEE820.1X和RADIUS等协议的工作原理,了解EAP协议 2.掌握HP5308/HP2626交换机的配置、调试方法 3.掌握WindowsIAS的配置方法和PAP,CHAP等用户验证方法 4.建立一个基于三层交换机的模拟园区网络,用户通过AAA方式接入园区网络 问题2:动态路由协议的研究与实现 建立基于RIP和OSPF协议的局域网,对RIP和OSPF协议的工作原理进行研究,设计内容如下: 1.掌握RIP和OSPF路由协议的工作原理 2.掌握HP5308三层交换机和HP7000路由器的配置、调试方法 3.掌握RIP和OSPF协议的报文格式,路由更新的过程 4.建立基于RIP和OSPF协议的模拟园区网络 5.设计实施与测试方案 问题3:防火墙技术与实现 建立一个园区网络应用防火墙的需求,对具体实施尽心设计并实施,设计内容如下: 1.掌握防火墙使用的主要技术:数据包过滤,应用网关和代理服务 2.掌握HP7000路由器的配置、调试方法
包过滤防火墙
包过滤防火墙 防火墙的最简单的形式是包过滤防火墙。一个包过滤防火墙通常是一台有能力过滤数据包某些内容的路由器。包过滤防火墙能检查的信息包括第3层信息,有时也包括第4层的信息。例如,带有扩展ACL的Cisco路由器能过滤第3层和第4层的信息。 一、过滤操作 当执行数据包时,包过滤规则被定义在防火墙上。这些规则用来匹配数据包内容以决定哪些包被允许和哪些包被拒绝。当拒绝流量时,可以采用两个操作:通知流量的发送者其数据将丢弃,或者没有任何通知直接丢弃这些数据。 二、过滤信息 包过滤防火墙能过滤以下类型的信息: ★第3层的源和目的地址; ★第3层的协议信息; ★第4层的协议信息; ★发送或接收流量的接口。 三、包过滤防火墙的优点 包过滤防火墙有两个主要的优点: ★能以很快的速度处理数据包; ★易于匹配绝大多数第3层域和第4层报文头的域信息,在实施安全策略时提供许多灵活性。 因为包过滤防火墙只检查第3层和/或第4层信息,所以很多路由选择产品支持这种过滤类型。 因为路由器通常是在网络的边界,提供WAN和MAN接入,所以能使用包过滤来提供额外层面的安全。 四、包过滤防火墙的局限性 除了上面提到的优点,包过滤防火墙有以下这些缺点: ★可能比较复杂,不易配置; ★不能阻止应用层的攻击; ★只对某些类型的TCP/IP攻击比较敏感; ★不支持用户的连接认证; ★只有有限的日志功能。 包过滤防火墙不能阻止所有类型的攻击。例如,不检测HTTP连接的实际内容。攻击网络的一种最流行的方式是利用在Web服务器上发现的漏洞。包过滤防火墙不能检测这些攻击,因为它们发生在已被允许的TCP连接之上。
包过滤防火墙不能检测和阻止某些类型的TCP/IP攻击,比如TCP SYN泛洪和IP欺骗。如果包过滤防火墙允许到内部Web服务器的流量,它不会关心这是些什么类型的流量。黑客可能利用这一点,用TCP SYN泛洪攻击Web服务器的80端口,表面上想要服务器上的资源,但相反是占用了上面的资源。另一个例子是,包过滤防火墙不能检测所有类型的IP欺骗攻击,如果允许来自外部网络的流量,包过滤防火墙只能检测在数据包中的源IP地址,不能确定是不是数据包的真正的源地址(或目的地址)。黑客利用这一点,从一个允许的源地址使用允许的流量通过用泛洪来攻击内部网络,以便对内部网络实施DoS攻击。 IP欺骗和DoS攻击,通常可以在允许一个人通过防火墙之前使其先认证流量的方法来处理。但是,包过滤防火墙只检测第3层和第4层的信息。执行认证要求防火墙处理认证信息,这是第7层(应用层)的处理过程。 包过滤防火墙通常支持日志功能。但是日志功能被局限在第3层和第4层的信息。比如,不能记录封装在HTTP传输报文中的应用层数据。 五、包过滤防火墙的使用 因为这些限制,包过滤防火墙通常用在以下方面: ★作为第一线防御(边界路由器); ★当用包过滤就能完全实现安全策略并且认证不是一个问题的时候; ★在要求最低安全性并要考虑成本的SOHO网络中。 包过滤防火墙能用于不同子网之间不需要认证的内部访问控制。当和其他类型的防火墙相比,因为包过滤防火墙的简易性和低成本,很多SOHO网络使用包过滤防火墙。但是,包过滤防火墙不能为SOHO提供全面的保护,但是至少提供了最低级别的保护来防御很多类型的网络威胁和攻击。
防火墙 实验报告
一、实验目得 ●通过实验深入理解防火墙得功能与工作原理 ●熟悉天网防火墙个人版得配置与使用 二、实验原理 ●防火墙得工作原理 ●防火墙能增强机构内部网络得安全性.防火墙系统决定了 哪些内部服务可以被外界访问;外界得哪些人可以访问内 部得服务以及哪些外部服务可以被内部人员访问。防火墙 必须只允许授权得数据通过,而且防火墙本身也必须能够 免于渗透。 ●两种防火墙技术得对比 ●包过滤防火墙:将防火墙放置于内外网络得边界;价格较 低,性能开销小,处理速度较快;定义复杂,容易出现因配置 不当带来问题,允许数据包直接通过,容易造成数据驱动 式攻击得潜在危险. ●应用级网关:内置了专门为了提高安全性而编制得Proxy 应用程序,能够透彻地理解相关服务得命令,对来往得数据 包进行安全化处理,速度较慢,不太适用于高速网(ATM 或千兆位以太网等)之间得应用。 ●防火墙体系结构 ●屏蔽主机防火墙体系结构:在该结构中,分组过滤路由器 或防火墙与Internet 相连,同时一个堡垒机安装在内
部网络,通过在分组过滤路由器或防火墙上过滤规则得设 置,使堡垒机成为Internet 上其它节点所能到达得唯 一节点,这确保了内部网络不受未授权外部用户得攻击。 ●双重宿主主机体系结构:围绕双重宿主主机构筑。双重宿 主主机至少有两个网络接口。这样得主机可以充当与这些 接口相连得网络之间得路由器;它能够从一个网络到另外 一个网络发送IP数据包.但就是外部网络与内部网络不能 直接通信,它们之间得通信必须经过双重宿主主机得过滤 与控制. ●被屏蔽子网体系结构:添加额外得安全层到被屏蔽主机体 系结构,即通过添加周边网络更进一步得把内部网络与外 部网络(通常就是Internet)隔离开。被屏蔽子网体系结 构得最简单得形式为,两个屏蔽路由器,每一个都连接到周 边网。一个位于周边网与内部网络之间,另一个位于周边 网与外部网络(通常为Internet)之间。 四、实验内容与步骤 (1)简述天网防火墙得工作原理 天网防火墙得工作原理: 在于监视并过滤网络上流入流出得IP包,拒绝发送可疑得包。基于协议特定得标准,路由器在其端口能够区分包与限制包得能力叫包过滤。由于Internet与Intranet 得连接多数都要使用路由器,所以Router成为内外通信得必经端口,Router得厂商在Router上加
防火墙的分类
防火墙技术可根据防的方式和侧重点的不同而分为很多种类型,但总体来讲可分为包过滤、应用级网关和代理服务器等几大类型。 1.数据包过滤型防火墙 数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统设置的过滤逻辑,被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上。路由器是部网络与Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。 数据包过滤防火墙的缺点:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。 分组过滤或包过滤,是一种通用、廉价、有效的安全手段。之所以通用,因为它不针对各个具体的网络服务采取特殊的处理方式;之所以廉价,因为大多数路由器都提供分组过滤功能;之所以有效,因为它能很大程度地满足企业的安全要求。所根据的信息来源于IP、TCP或UDP。 包过滤的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:据以过滤判别的只有网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC一类的协议;另外,大多数过
实验13 标准ACL配置包过滤防火墙
实验 标准ACL 配置包过滤防火墙(在模拟器上做) 一 、实验目的 ? 掌握路由器标准访问控制列表(ACL )的配置与使用。 ? 了解包过滤防火墙的基本实现方法。 二 、实验条件 ? 华为Quidway R1760路由器二台、网线若干、微机若干台、专用配置电缆二条。 ? 实验拓扑:如下图所示。 三、实验内容 1、 配置四个PC 机的IP 地址和默认网关 2、 按图配置两个路由器R1和R2的端口IP 地址和静态路由 1)配置R1: [R1]int s0 [R1-s0]ip add 2.2.2.1 255.255.255.0 [R1-s0]undo shutdown [R1-s0]clock rate 64000 [R1-s0]int e0 [R1-e0]ip add 192.168.0.3 255.255.255.0 [R1-e0]undo shutdown [R1-e0]quit [R1]ip route-static 1.1.1.0 255.255.255.0 2.2.2.2 ‘设置本路由器到1.1.1.0网段的静态路由 [R1]ip routing [R1]dis ip routing-table [R1]firewall enable ‘本路由器上设置防火墙 [R1]firewall default permit ‘防火墙默认允许所有地址输入输出 [R1]acl 10 ‘创建acl 10规则 [R1-acl-10]rule normal deny source 1.1.1.1 ‘此规则第一条规定拒绝来自信源1.1.1.1的信息 [R1-acl-10]rule normal permit source any ‘此规则第二条规定允许来自其他信源的信息 PC1:192.168.0.1/24 网关:192.168.0.3 PC2:192.168.0.2/24 网关:192.168.0.3 PC3:1.1.1.1/24 网关:1.1.1.3 PC3:1.1.1.2/24 网关:1.1.1.3
包过滤防火墙的工作原理
?包过滤防火墙的工作原理 ?包过滤(Packet Filter)是在网络层中根据事先设置的安全访 问策略(过滤规则),检查每一个数据包的源IP地址、目的IP 地址以及IP分组头部的其他各种标志信息(如协议、服务类型 等),确定是否允许该数据包通过防火墙。 如图8-5所示,当网络管理员在防火墙上设置了过滤规则后,在防火墙中会形成一个过滤规则表。当数据包进入防火墙时,防火墙会将IP 分组的头部信息与过滤规则表进行逐条比对,根据比对结果决定是否允许数据包通过。 ?3.包过滤防火墙的应用特点 ?包过滤防火墙是一种技术非常成熟、应用非常广泛的防 火墙技术,具有以下的主要特点: ?(1)过滤规则表需要事先进行人工设置,规则表中的 条目根据用户的安全要求来定。 ?(2)防火墙在进行检查时,首先从过滤规则表中的第 1个条目开始逐条进行,所以过滤规则表中条目的先后顺序非 常重要。 (3)由于包过滤防火墙工作在OSI参考模型的网络层和传输层,所以包过滤防火墙对通过的数据包的速度影响不大,实现成本较低。 ?代理防火墙的工作原理 ?代理防火墙具有传统的代理服务器和防火墙的双重功能。
如图8-6所示,代理服务器位于客户机与服务器之间,完 全阻挡了二者间的数据交流。从客户机来看,代理服务器 相当于一台真正的服务器;而从服务器来看,代理服务器 仅是一台客户机。 ?2.代理防火墙的应用特点 ?代理防火墙具有以下的主要特点: ?(1)代理防火墙可以针对应用层进行检测和扫描,可 有效地防止应用层的恶意入侵和病毒。 ?(2)代理防火墙具有较高的安全性。由于每一个内外 网络之间的连接都要通过代理服务器的介入和转换,而且在代理防火墙上会针对每一种网络应用(如HTTP)使用特定的应用程序来处理。 ?(3)代理服务器通常拥有高速缓存,缓存中保存了用户最近 访问过的站点内容。 ?(4)代理防火墙的缺点是对系统的整体性能有较大的 影响,系统的处理效率会有所下降,因为代理型防火墙对数据包进行内部结构的分析和处理,这会导致数据包的吞吐能力降低(低于包过滤防火墙)。
包过滤防火墙
Working Principle of the Packet Filter Firewall With the rapid development of the knowledge economy in the 21st century, “E-commerce" is undoubtedly the biggest hot topic at present. E-commerce appears in nearly every field of the economic life for its high efficiency, convenience and low cost. Its practical value and the borderless penetration of the network have presented an unavoidable challenge to the global trade, economy, technology, politics, law and other sectors. As the combination of the computer application technology and the modern economic and trading activities, E-commerce has become one of the important symbols of humankind entering a new era of knowledge economy. However, advantages are inevitably accompanied by disadvantages and E-commerce must make painstaking effort to get further development. For example, the security of E-commerce is an increasingly prominent and very serious issue and it can be said that the security of E-commerce has seriously affected and restricted its development. Use filter. Packet filtering is used between the internal host and external host; the filter system is a router or a host. The filter system determines whether to let the data packet pass according to the filter rules. As shown in Figure 4, the router used to filter the data packet is called filtering router. The implementation of the router. Packet filtering is generally implemented by a kind of router, which is different from the ordinary router. The ordinary router just checks the destination address of the data packet and chooses the best path to get to the destination address. Its processing of the data packet is based on the destination address and there are two possibilities: if the router can find a path to the destination address, it will send the data packet; if the router does not know how to send the data packet, it will send a data packet of “Data Unreachable” to the sender. The filtering router will further check the data packet; in addition to determining whether there is path to the destination address, it has to determine whether the data packet should be sent. “Should or not” is determined and compulsorily implemented by the filtering strategy of the router. Implementation of the Packet Filter Firewall Under Linux, the packet filtering functions are built in the core, meanwhile, there are some techniques applied to the data packets. Under the Linux environment, the text creates a packet filter firewall for the network topology shown in Figure 6. The network topology supposes that the intranet has a valid Internet address. To isolate the intranet segment from the Internet, the packet filter firewall is used between the Intranet and the Internet. The Intranet interface of the firewall is eth1 and the Internet interface of the firewall is eth0. Besides, there are three servers in the Intranet providing services to the outside. The following part adopts the method of editing and executing executable script to create the firewall. The specific process is as follows:Under the directory of /etc, use the command of touch to create an empty script file, execute chmod command and add executable authority. Edit the rc.local file and add filter-firewall to the end to ensure that the script can be executed automatically when booting the https://www.sodocs.net/doc/e18006906.html,e
防火墙工作原理和种类
近年来,随着普通计算机用户群的日益增长,“防火墙”一词已经不再是服务器领域的专署,大部分家庭用户都知道为自己爱机安装各种“防火墙”软件了。但是,并不是所有用户都对“防火墙”有所了解的,一部分用户甚至认为,“防火墙”是一种软件的名称…… 到底什么才是防火墙?它工作在什么位置,起着什么作用?查阅历史书籍可知,古代构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称为“防火墙”(Fire Wall)。时光飞梭,随着计算机和网络的发展,各种攻击入侵手段也相继出现了,为了保护计算机的安全,人们开发出一种能阻止计算机之间直接通信的技术,并沿用了古代类似这个功能的名字——“防火墙”技术来源于此。用专业术语来说,防火墙是一种位于两个或多个网络间,实施网络之间访问控制的组件集合。对于普通用户来说,所谓“防火墙”,指的就是一种被放置在自己的计算机与外界网络之间的防御系统,从网络发往计算机的所有数据都要经过它的判断处理后,才会决定能不能把这些数据交给计算机,一旦发现有害数据,防火墙就会拦截下来,实现了对计算机的保护功能。 防火墙技术从诞生开始,就在一刻不停的发展着,各种不同结构不同功能的防火墙,构筑成网络上的一道道防御大堤。 一.防火墙的分类 世界上没有一种事物是唯一的,防火墙也一样,为了更有效率的对付网络上各种不同攻击手段,防火墙也派分出几种防御架构。根据物理特性,防火墙分为两大类,硬件防火墙和软件防火墙。软件防火墙是一种安装在
负责内外网络转换的网关服务器或者独立的个人计算机上的特殊程序,它是以逻辑形式存在的,防火墙程序跟随系统启动,通过运行在 Ring0 级别的特殊驱动模块把防御机制插入系统关于网络的处理部分和网络接口设备驱动之间,形成一种逻辑上的防御体系。 在没有软件防火墙之前,系统和网络接口设备之间的通道是直接的,网络接口设备通过网络驱动程序接口(Network Driver Interface Specification,NDIS)把网络上传来的各种报文都忠实的交给系统处理,例如一台计算机接收到请求列出机器上所有共享资源的数据报文, NDIS 直接把这个报文提交给系统,系统在处理后就会返回相应数据,在某些情况下就会造成信息泄漏。而使用软件防火墙后,尽管 NDIS 接收到仍然的是原封不动的数据报文,但是在提交到系统的通道上多了一层防御机制,所有数据报文都要经过这层机制根据一定的规则判断处理,只有它认为安全的数据才能到达系统,其他数据则被丢弃。因为有规则提到“列出共享资源的行为是危险的”,因此在防火墙的判断下,这个报文会被丢弃,这样一来,系统接收不到报文,则认为什么事情也没发生过,也就不会把信息泄漏出去了。 软件防火墙工作于系统接口与 NDIS 之间,用于检查过滤由 NDIS 发送过来的数据,在无需改动硬件的前提下便能实现一定强度的安全保障,但是由于软件防火墙自身属于运行于系统上的程序,不可避免的需要占用一部分CPU 资源维持工作,而且由于数据判断处理需要一定的时间,在一些数据流量大的网络里,软件防火墙会使整个系统工作效率和数据吞吐速度下降,甚至有些软件防火墙会存在漏洞,导致有害数据可以绕过它的防御体系,给数据安全带来损失,因此,许多企业并不会考虑用软件防火墙方案作为公司网络的防御措施,而是使用看得见摸得着的硬件防火墙。 硬件防火墙是一种以物理形式存在的专用设备,通常架设于两个网络的