防火墙培训教材

这是我去年在某家大公司写的防火墙培训教材，现在也给大家培训培训

1 防火墙的基本概念

1.1什么是防火墙

在大厦构造中，防火墙被设计用来防止或从大厦的一部分传播到另一部分。我们所涉及的防火墙服务于类似的目的：防止因特网的危险传播到你的内部网络。实际上，因特网防火墙不像一座现代化大厦中的防火墙，它更像中世纪城堡的护城河。
防火墙一方面阻止来自因特网的对受保护网络的未授权或未验证的访问，另一方面允许内部网络的用户对因特网进行Web访问或收发E-mail等。防火墙也可以作为一个访问因特网的权限控制关口，如允许组织内的特定的人可以访问因特网。现在的许多防火墙同时还具有一些其他特点，如进行身份鉴别，对信息进行安全（加密）处理等等。
防火墙不单用于对因特网的连接，也可以用来在组织内部保护大型机和重要的资源（数据）。对受保护数据的访问都必须经过防火墙的过滤，即使该访问是来自组织内部。
当外部网络的用户访问网内资源时，要经过防火墙；而内部网络的用户访问网外资源时，也会经过防火墙。这样，防火墙起了一个「警卫」的作用，可以将需要禁止的数据包在这里给丢掉。

1.2网络的不安全因素

　　一个网络系统的最主要的目的是实现「资源共享」，同时实现对数据的协作处理、信息的传递等等。网络自身的这种开放性是引发网络安全问题的最直接原因。
网络的不安全因素有以下几类：
1）环境：各类天灾及事故都会对网络造成损害，令网络完全瘫痪或不能正常工作。
2）资源共享：包括硬件共享、软件共享、数据共享。资源的相互共享为异地用户提供了方便，同时也给非法用户创造了条件。非法用户可以通过终端来窃取信息、破坏信息。共享资源与使用者之间有相当一段距离，这也为窃取信息在时间和空间上提供了便利条件。
3）数据传输：信息需要通过数据通信来传输。在传输过程中，信息容易被窃听、修改。
4）计算机病毒：借助网络，病毒可以在短时间内感染大量的计算机，使网络趋于瘫痪。如「蠕虫」病毒及电子邮件「炸弹」。
5）网络管理：对系统的管理措施不当，会造成设备的损坏、重要信息的人为泄露等等。

1.3防火墙的作用

我们将防火墙比作中世纪城堡的护城河，并且像护城河一样，防火墙不是坚不可摧的。它不防备已经是里面的人；如果与内部的防御相配合，它工作的最好；同时，即使你把所有的船都收藏起来，人们有时仍然能设法横渡。构筑防火墙需要昂贵的花费和努力，而且它对内部人员的限制是令人厌烦的。
　防火墙对网络威胁进行极好的防范，但是，它们不是安全解决方案的全部。某些威胁是防火墙力所不及的。
1）　防火墙不能防范恶意的知情者：防火墙可以禁止系统用户通过网络发送专有的信息。但是用户可以将数据复制到磁盘或者纸上，放在公文包里带出去。如果侵袭者已经在防火墙的内部，防火墙实际上无能为力。
2）　防火墙对不通过它的连接难有作为：防火墙能有效的控制穿过它的传输信息，但对于不穿过它的传输信息无能为力。
3）　防火墙不能防备所有新的威胁：一个好的设计能防备新的威胁，但没有防火墙能自动防御所有新的威胁。人们不断发现利用以前可信赖的服务的新的侵袭方法。
4）　防火墙不能防备病毒：有太多种的病毒和太多种的方法可以使得病毒隐藏在数据中。

2 防火墙的实现

2.1防火墙的分类

一般把防火墙分为两类：网络层防火墙、应用层防火墙。网络层的防火墙主要获取数据包的包头信息，如协议号、源地址、目的地址、目的端口等或者直接获取包头的一段数据。应用层的防火墙对于整个信息流进行分析。
实现防火墙时，共有以下几种：
　１ 应用网关（application gateway）：检验通过此网关的所有数据包中的应用层的数据；经常是由经过修改的应用程序组成运行在防火墙上。如FTP应用网关，对于连接的client端来说是一个FTP server，对于server端来说是一个FTP client。连接中传输的所有ftp数据包都必须经过此FTP应用网关。
２ 电路级网关（circuit-level gateway）：此电路指虚电路。在TCP或UDP发起（open）一个连接或电路之前，验证该会话的可靠性。只有在握手被验证为合法且握手完成之后，才允许数据包的传输。一个会话建立后，此会话的信息被写入防火墙维护的有效连接表中。数据包只有在它所含的会话信息符合该有效连接表中的某一入口（entry）时，才被允许通过。会话结束时，该会话在表中的入口被删掉。电路级网关只对连接在会话层进行验证。一旦验证通过，在该连接上可以运行任何一个应用程序。以FTP为例，电路层网关只在一个FTP会话开始时，在tcp层对此会话进行验证。如果验证通过，则所有的数据都可以通过此连接进行传输，直至会话结束。
３ 包过滤（packet filter）：对每个数据包按照用户所定义的进行过滤，如比较数据包的源地址、目的地址是否符合规则等。包过滤不管会话的状态，也不分析数据。如用户规定允许端口是21或者大于等于1024的数据包通过，则只要端口符合该条件，数据包便可以通过此防火墙。如果配置的规则比较符合实际应用的话，在这一层能够过滤掉很多有安全隐患的数据包。
４ 代理（proxy）：通常情况下指的是地址代理，一般位于一台代理服务器或路由器上。它的机制是将网内主机的IP地址和端口替换为服务器或路由器的IP地址和端口。举例来说，一个公司内部网络的地址是129.0.0.0网段，而公司对外的正式IP地址是202.138.160.2~202.38.160.6，则内部的主机129.9.10.100以WWW方式访问网外的某一台服务器时，在通过代理服务器后，IP地址和端口可能为202.138.160.2:6080。在代理服务器中维护着一张地址对应表。当外部网络的WWW服务器返回结果时，代理服务器会将此IP地址及端口转化为内部网络的IP地址和端口80。使用代理服务器可以让所有的外部网络的主机与内部网络之间的访问都必须通过它来实现。这样可以控制对内部网络带有重要资源的机器的访问。
　路由器中的防火墙主要是指包过滤加地址转换。

2.2包过滤

包过滤应用在路由器中，就为路由器增加了对数据包的过滤功能。一般情况下，指的是对IP数据包的过滤。对路由器需要转发的数据包，先获取包头信息，包括IP层所承载的上层协议的协议号，数据包的源地址、目的地址、源端口、目的端口等，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。
包过滤在IP数据包中所取的用来判断的元素如图3所示（图中IP所承载的上层协议为TCP）：
图3 包过滤元素
　大多数数据包过滤系统在数据本身上不做任何事：它们不做基于内容的决定。有了数据包过滤，你可以说：
　不让任何人从外界使用Telnet登录。
或者：
让每个人经由SMTP向我们发送电子邮件。
或者是：
　那机器经由NNTP能把新闻发给我们，但是没有其他机器能这样做。
　然而，你不可以这样说：
这个用户能从外部远程登录，但是其它用户不能这样做。
因为「用户」 不是数据包过滤系统所能辨认的。同时，你也不可以说：
你能发送这些文件而不是那些文件。
因为「文件」也不是数据包过滤系统所能辨认的

2.3访问列表
为了过滤数据包，需要配置一些规则，规定什么样的数据包可以通过，什么样的不能通过。IP层所能获取的通用信息如上图。则配置的规则应该对这些参数作出规定。
一般采用称为访问列表的技术用来配置过滤规则。访问列表分为两类：标准访问列表、扩展访问列表。
2.3.1标准访问列表
标准访问列表的格式如下：
access-list listnumber permit│deny address {wildcard-mask}
此格式表示：允许或拒绝来自指定网络的数据包，该网络由IP地址（address）和地址通配比较位（wildcard-mask）指定。
通配比较位用法类似于子网掩码而写法不相同。IP地址与地址通配位的关系语法上规定如下：在通配位中相应位为1的地址中的位在比较中被忽略。地址与通配位都是32位的长整形数（unsigned long）。如通配位是0x00ffffff（0.255.255.255），则比较时，高8位需要比较，其他的都被忽略。又如IP地址是129.102.1.1，通配位是0.0.255.255，则地址与通配位合在一起表示129.102.0.0网段。若要表示202.38.160.0网段，地址位写成202.38.160.X（X是0~255之间的任意一个数字），通配位为0.0.0.255。在程序中，用异或等位*作高效率的实现这类比较。
标准访问列表的例子：
1)　access-list 4 deny 202.38.160.0 0.0.255.255
表示该规则序号为4，禁止来自202.38.0.0网络的主机的访问。
2)　access-list 4 permit 202.38.160.1 0.0.0.255
表示该规则序号为4，允许来自202.38.160.0网络的主机的访问。与2）规则一起表示禁止一个大网段上的主机但允许其中的一小部分主机的访问。

2.3.2扩展访问列表：
扩展访问列表的格式如下：　
access-list listnumber permit│deny protocol source source-wildcard-mask destination destination-wildcard-mask {operator operand} {log}
此格式表示允许或拒绝满足如下条件的数据包：
　带有指定的协议（portocol），如tcp、udp等；
　数据包来自由source及source-wildcard-mask指定的网络；
　数据包去往由destination及destination-wildcard-mask指定的网络；
　{可选} 该数据包的目的端口在由operator operand规定的端口范围之内；
并按要求做或不做日志。
扩展访问列表的例子：
1)　100 deny tcp 129.9.0.0 0.0.255.255 202.38.160.0 0.0.0.255 eq www log
表示该规则序号为100，禁止129.9.0.0网段内的主机建立与202.38.160.0网段内的主机的www端口(80)的连接，并对违反此规则的事件作日志。
2)　100 permit tcp 129.9.8.0 0.0.0.255 202.38.160.0 0.0.0.255 eq www
表示该规则序号为100，允许129.9.8.0网段内的主机建立与202.38.160.0网段内的主机的WWW端口(80)的连接。
3)　101 deny tcp any 202.38.160.1 0.0.0.0 eq telnet
表示该规则序号为101，禁止一切主机建立与IP地址为202.38.160.1的主机的telnet(23)的连接。
4)　102 deny udp 129.9.8.0 0.0.0.255 202.38.160.0 0.0.0.255 gt 128
表示该规则序号为102，禁止129.9.8.0网段内的主机建立与202.38.160.0网段内的主机的端口号大于128的UDP（用户数据报协议）连接。

2.3.3删除访问列表：
no access-list listnumber {subitem}
表示删除指定的listnumber的访问列表，或者删除其中的一项。

2.3.4建立访问列表的索引
建立索引的目的是：进行快速定位；即对于需要过滤的数据包，快速的确定需要和哪些规则进行比较。
索引项根据网段的大小（unsigned long类型，带地址通配位如0.0.255.255）进行排列，比较时采用二分法进行比较。如图4所示：

　　　　　　 图4 索引及所指的值

索引项中的一个域指向一个指针链。如图中的10.0.0.0索引项指向规则2，规则2再指向规则102，表示一个源地址为10.0.0.0网段的数据包，需要和规则为2和102的进行比较。先比较规则为2的标准规则（标准规则判断的范围比较大）。
规定如下：
　比较的时候，先比较规则序号小的（在索引指向的域中可以做到这一点）。如先比较2，再比较4，再比较103，再比较104。倘若用户将要判定的源地址属于同一个网段的规则写成了好几个不同规则序号的规则，那么过滤的效率降低也是没有办法的。一般较正常的情况下，一个索引项后跟一个或两个规则序号。如图1中所示。如果在索引中，没有那个网段的话，需要与源地址为any的规则进行比较。

•　不同序号的规则没有时间上的先后顺序。例如：先配置103，再配102，如果这两个序号的规则序列中都有判断129.9.0.0网络的规则，则过来一个129.9.0.0网络的包，先和102的比较，再和103的比较。（和上面一点有些重合）

　同一序号的规则的配置也没有时间上的先后顺序。在排列时，
　　　　　　 图5 规则的组织
深度最大的那个排在前面。规则的组织图请看图5。
这一点需要加以特别说明，也是程序中应该注意的地方。例如：先配置 2 permit 129.102.1.1 0.0.0.0; 再配置一条同样序号的 2 deny 129.102.0.0 0.0.255.255；前一条直接指定了主机，它的深度最大，还是排在前面。比较时，129.102.0.0网络的数据包会在序号为4的规则中搜索。若是129.102.1.1，则被前一条满足，就不再往后比较了。这是因为规则是按照深度的大小来排的。
可以看出，深度是指通配位而言的。一般来说，深度越大，通配位越小。如
0.0.0.　0比较时的深度要比0.0.255.255的深度大。
此观点来自于：一个数据包只被一组规则中的某一个允许或拒绝，也就是最终起作用的是一条规则（该规则的深度最大）。

　如果通配位不规则（如0.0.123.234），规则的组织仍是按照通配位的大小。这是基于这样的考虑：
1）　这种写法非常的少；
2）　倘若真的写出了这样的规则，一般不太明白这样的通配位与地址相结合表示什么样的地址范围；
3）　可能运用的地方应该是属于圈定一小部分IP地址，如0.0.0.128，它的深度比较大，比0.0.0.255要大。满足0.0.0.255的不一定满足0.0.0.128所指的。
规定规则以通配位大小进行排列，通配位小的在前面，可以减少很多麻烦，也方便了程序的编写。
根据深度优先的排列后，在命令行上配置的规则就没有先后顺序之分了。

　如果源地址是any，则将此规则放在数组下标为199的那一项上。规则间也以序号大小排列。
　　　将源地址为any的规则组织在一起是基于如下考虑：
1)　索引的每一个值都属于any，没有必要将这些规则所在的access-list的序号加在每一个索引所指的内容中去；否则的话，每一个数据包都需要和该序号的所有规则进行比较；
2)　any的情况容易引发安全漏洞。允许any代表允许来自世界各地的访问。一般不建议配置源地址是any的规则（deny any是个例外）。
3)　配置any的情况，大部分是因为需要配置一个对其他情况的一个缺省处理。如配置access-list 1 deny any表示其他规则不能判定的数据包都会被拒绝掉。
4)　一般源地址为any的规则数目比较少，可以组织在一起。

　用户配置的规则和现有的规则有冲突的情况，如用户已经配了一条1 deny any；现在又配了一条2 permit any；这两条命令的比较范围是重叠的，实际比较时序号为2的起作用（2把1的结论给推翻了）。序号为1的是无效的，降低了效率。如果和同样序号的规则发生冲突，如上面的2是1，则将后一条放在排在前一条的后面。
可以看出，不同深度的规则在配置时是没有冲突的。
　　　一个数据包的过滤经过如下，以图1中的索引为例，
1)　若过来一个129.9.0.0网络的数据包，在索引中找到第二个是匹配的，该数据包将和序号为103的规则以深度优先进行比较；如果被某一个规则拒绝或者允许，则返回该结果（不再比较源地址为any的规则）；如果不在103的任何一条规则之内（103属于扩展规则，还需要比较其他项，可以有这种情况出现），则和源地址为any的规则进行比较；如果还是没有规则拒绝或者允许该数据包，则返回缺省过滤结果；
2)　若数据包来自129.8.0.0网络，在索引中找不到匹配的项，则直接和源地址为any的规则进行比较；如果没有规则拒绝或者允许该数据包，则返回缺省过滤结果；

2.3.5 包过滤在路由器中的实现
　包过滤模块不是作为一个进程在系统中运行，而是向IP层提供了一个函数接口。该函数的参数是pMBuf及pIp等，也就是能提供数据包信息的一些参数，如源地址、目的地址、源端口、目的端口等。
　那么什么时候调用该函数？当路由器的IP层收到一个数据包时，该数据包有两个去处：路由器本身或者由路由器转发到某一个地方。对数据包进行检查应该在这两个地方进行。
在程序中，对于到路由器本身的数据包，在交给上层协议处理之前调用包过滤提供的函数；对于路由器需要转发的数据包，在调用转发函数之前调用包过滤提供的函数。
模块实现时的重点在于：
　将用户在命令行上所敲的命令转换成自己的一个数据结构；
　为数据结构建立一个索引；
数据结构本身需要包括实现扩展访问列表的所有内容，如源、目的地址与端口，源、目的通配位等等。标准的访问列表可以采用和扩展访问列表一致的数据结构，其中某些域无意义。
访问列表数据结构：
typedef struct tagExtendAL
{
　int listnumber; /* 访问列表序号(1-199) */
　int permission; /* 禁止(0)或允许(1) */
　UCHAR protocol; /* 协议类型，如6代表tcp */
　ULONG sourceaddr; /* 源地址，如129.102.2.21 */
　ULONG sourcemask; /* 源地址通配位 */
　ULONG destaddr; /* 源地址，如129.9.181.1 */
ULONG destmask; /* 目的地址通配位 */
　struct PortRange portnum; /* 端口范围，如ftp(21)—www(80) */
　int blog; /* 是否做记录 */
　struct tagExtendAL *pNextAL; /* 指向下一个ExtendAL 数据结构 */
} ExtendAL; (Extended Access-List，扩展访问列表)

标准访问列表也采用此数据结构（listnumber{1-99}）。其中的destaddr、destmask、portnum、blog域在此时无意义。ExtendAL数据结构中的portnum域的类型是struct PortRange，该结构定义如下：
struct PortRange
{　
USHORT min;　　/* 小的端口号 */
　USHORT max;　/* 大的端口号 */
};
在PortRange结构中，当min为最大值65535时，代表的是「neq」这种情况，neq的那个值在max中。这样就能表示不连续的范围。如neq www，则min为65535，max为80，相当于表示范围 {1，79}  {81，65535}。

3 常用网络攻击方法
1）　IP地址伪装（IP Spoofing）：攻击方发出的数据包中的源地址改成受攻击方的网络地址，向该网络发送数据包。
2）　IP抢劫（IP Hijacking、IP Splicing）：攻击者中途截取一个已经连接成功的会话。这种攻击通常发生在用户身份被验证后，这样攻击者看起来是一个合法用户。对于这种攻击的最主要的防范方法是对网络层或会话层的传输的数据进行加密。
3）　Smurf：攻击方通过第三方网络介以一伪造的地址将数据包传入，大量的数据包使得网络速度迅速下降直至崩溃。这种攻击很难查出攻击者。
4）　Dumpster diving：通过搜寻公司的垃圾文件以获得口令等敏感性数据。
5）　War-dialing：通过不断快速的枚举法来获得用户帐号和口令。这是一非常古老的方法。但现在使用它的逐渐又多了起来。如对于采用密钥长度为56位的DES加密的数据，可以在一个月之内被破译（按照目前的计算速度），对于40位或48位的则只需几个小时或几天。DES是使用最广泛的加密技术。
6）　利用*作系统缺陷：利用系统中漏洞直接对系统进行攻击。如「蠕虫」病毒是利用finger命令中的bug，令缓冲区溢出，再将控制转移到自己的程序中。还可以利用系统缺陷，绕过防火墙的检验，直接获取数据。发现系统中的缺陷，应该立即采取对策，防止对系统的进一步危害。
7）　拒绝服务denial of service：特征是攻击者通过各种方法使合法的用户不能使用某种服务。例如：
　「淹没」一个网络，从而阻止合法的数据传输；
　破坏两台机器见间的连接，使用户不能访问该服务；
　阻止特定的个人访问某种资源；
　中断到某个特定系统或个人的服务；
一些拒绝服务攻击被称为「非对称攻击」，特点是攻击方利用有限的资源去攻击一个比较大的网络。如攻击者可能可以利用一个低速的modem，将一个大型的网络搞垮。
拒绝服务攻击的种类有多种，以下三种是比较基本的：
　消耗有限的、不可更新的资源；
　毁坏或者更改配置的信息；
　对于网络的物理组件的破坏或者更改；
这里就第一种即「消耗有限的资源」做一些说明。
计算机和网络需要有特定的资源来运行：网络带宽、内存和磁盘空间、cpu时间、数据结构、对其他网络和计算机的访问；并且还包括一些环境资源，如电、冷气甚至还有水。
有这样一种攻击方法：攻击者建立一个到目标机器的连接，但是用某种方法阻止将此连接的最终完成；这样，在目标机器上就预留了一些用来完成连接所需的数据结构。结果一些合法的连接被拒绝了，因为目标机器正在等待完成那些已经完成一半的连接。应该注意到，这种攻击并不消耗网络带宽，它只是消耗建立连接所需的核心的数据结构。这也意味着可以从利用拨号上网来攻击一个非常快速的网络。这是一个「非对称攻击」的好例子。
其他的方法有创建一个恶意的进程不断的生成新的进程，消耗系统资源

一些图形都没法贴出来，效果减色不少，所以我提供图文并茂的 DOC 档案翻译成繁体中文放在这里，有兴趣的人可以下载观看唷

感谢大大提供这ㄇ好ㄉ教材供大家学习,在这先谢大大无私ㄉ分享

真是太感谢楼主了，
虽然市面上有很多防火墙的软体，
但如果自己没稍加研究的话，
架上去反而是累了自己疲于修改，
所以非常谢谢大大无私的提供。

真是感激不尽ㄚ，楼主相当用心整理出这么多防火墙概念谢谢啦

感谢...
正在学习跟资讯网路安全相关的课程
所以应该是个很好的参考资料

很棒的教学~
知道防火墙的原理~
感谢大大提供~

谢谢大大的解说让我对防火墙有进一步的认识
我之前使用卡巴防毒软体.里面有防骇入侵的功能
大概30分钟就给你来一次.超恐怖的(被盗到怕了)
但是卡巴吃资源吃的很严重的.
大大有比较好用的软体能介绍一下吗!!

谢谢大大的分享防火墙的教学,这真是不错的资料,谢谢大大啰

非常谢谢大大无私的提供，让我获益良多。

嗯嗯...
我只知道要用比较好...
对于防火墙的比较一无所知....谢谢教导