网络,信息,安全第十三章-防火墙技术.ppt

1、第四部分安全技术和产品第13章 防火墙技术,2,导读,谈到网络安全，首先想到的一般就是防火墙。防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止不可预测的、潜在破坏性的侵入。防火墙作为网络安全体系的基础和核心控制设备，在网络安全中具有举足轻重的地位。,3,内容,13.1 防火墙的基本概念 13.2 防火墙类型及体系结构 13.3 防火墙的基本技术及附加功能 13.4 防火墙技术的几个新方向 13.5 防火墙产品及应用,4,什么是防火墙? 在电脑中,防火墙是一种设备,可使个别网络不受公共网络的影响. 防火墙是一种必不可少的安全增强点. 防火墙是放置在两个网络之间的一些组件. 防火墙是在内部

2、网和外部网之间实施安全防范的系统.,5,防火墙作为网络防护的第一道防线，它由软件或/和硬件设备组合而成，它位于企业或网络群体计算机与外界网络的边界，限制着外界用户对内部网络的访问以及管理内部用户访问外界网络的权限。,6,防火墙具有的性质: 双向通信必须通过防火墙; 防火墙本身不会影响信息的流通; 只允许本身安全策略授权的通信信息通过.,7,内容,13.1 防火墙的基本概念 13.2 防火墙类型及体系结构 13.3 防火墙的基本技术及附加功能 13.4 防火墙技术的几个新方向 13.5 防火墙产品及应用,8,13.2.1 包过滤防火墙,包是网络上信息流动的基本单位，它由数据负载和协议头两个部分组

3、成。包过滤是基于协议头的内容进行过滤的,9,包过滤防火墙是最快的防火墙,因为它们的操作处于网络层并且只是粗略检查特定的连接的合法性. 在包过滤防火墙中,端点之间可以建立直接连接.,10,13.2.2 应用代理防火墙,真正可靠的安全防火墙应该禁止所有通过防火墙的直接连接在协议栈的最高层检验所有的输入数据。,11,13.2.3 电路级网关型防火墙,电路级网关型防火墙起一定的代理服务作用，它监视两台主机建立连接时的握手信息，从而判断该会话请求是否合法，一旦会话连接有效，该网关仅复制、传递数据。,12,电路级网关不允许端点到端点的直接连接,具有隐藏内部网络信息的能力. 电路级网关型防火墙和包过滤防火墙

4、有一个共同的特点,都是依靠特定的逻辑来判断是否允许数据包通过.,13,13.2.4 状态包检测防火墙,状态包检测模式增加了更多的包和包之间的安全上下文检查，以达到与应用级代理防火墙相类似的安全性能。,14,状态包检测防火墙工作在协议栈的较低层,通过防火墙的所有数据包都在低层处理,不需要协议栈的上层处理任何数据包,减少了高层开销,效率提高. 状态包检测防火墙不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据. 状态包检测防火墙仍然允许外部用户直接访问内网系统和应用程序.,15,13.2.5 双重宿主主机体系结构(Dual Homed Host),双重宿主主机体系结构是围绕具有双重宿

5、主的计算机构筑的，该计算机至少有两个网络接口(NIC)。,16,13.2.6 屏蔽主机体系结构(Screened Host),屏蔽主机体系结构使用一个单独的路由器来提供外部网络与内部堡垒主机(Bastion Host)连接的服务。,17,13.2.7 屏蔽子网结构(Screened Subnet Architectures),屏蔽子网结构通过进一步增加隔离内外网的边界网络(Perimeter Network)为屏蔽主机结构增添了额外的安全层。,18,内容,13.1 防火墙的基本概念 13.2 防火墙类型及体系结构 13.3 防火墙的基本技术及附加功能 13.4 防火墙技术的几个新方向 13.5

6、 防火墙产品及应用,19,13.3.1 包过滤技术,包过滤器是最原始的防火墙。包过滤器根据每个包头部内的信息来决定是否要将包继续传输，从而增强安全性。理论上，包过滤器可以被配置为根据协议包头的任何部分进行判断，但是大部分的过滤器被配置成只过滤最有用的数据域，主要是： IP地址 协议类型 TCP/UDP头信息 分片字段,20,包过滤器的使用,21,创建包过滤规则 在确定包过滤的配置规则之前，需要作如下决定： 打算提供何种网络服务，并以何种方向(从 内部网络到外部网络，或者从外部网络到内 部网络)提供这些服务。 是否限制内部主机与因特网进行连接。 因特网上是否存在某些可信任主机，它们需 要以什么形

7、式访问内部网。,22,对于不同的包过滤产品，用来生成规则的信息也不同，但通常都包括以下信息： 接口和方向：包是流入还是离开网络，这些包通过哪种接口。 源和目的IP地址：检查包从何而来(源IP地址)、发往何处(目的IP地址)。 IP选项：检查所有选项字段，特别是要阻止源路由(Source Routing)选项。 高层协议：使用IP包的上层协议类型，例如TCP还是UDP。 TCP包的ACK位检查：这一字段可帮助确定是否有，及以何种方向建立连接。 ICMP的报文类型：可以阻止某些刺探网络信息的企图。 TCP和UDP包的源和目的端口：此信息帮助确定正在使用的是哪些服务。,23,危险服务 Telnet：

8、如果让一个主机的这个端口打开，很可能给黑客提供一条访问系统资源的通路。 NetBIOS：如果让Windows或SMB服务器的这个端口对互联网提供服务，就等于让黑客像本地用户一样访问你的网络。 网络文件系统(NFS)：如果允许这种服务数据通过防火墙，网络外部的某人很有可能会在网络中安装一个文件系统，然后就像是被连接到本地网络一样访问该文件和目录。 网络信息服务(NIS)：这种服务，被人们称为“黄页”，会给黑客提供重要的信息，例如网络上的主机名或用户名。 X窗口：使用X客户和服务器会引发许多安全问题。,24,用于包过滤的IP头信息 头部信息中有三种信息在包过滤中很重要： IP地址，包括源和目的地址

9、； 协议类型，例如TCP、UDP、ICMP； IP选项，例如源路由选择。,25,1.IP地址 所有防火墙都具有IP地址过滤功能。这项任务就是要检查IP包头，根据其IP源地址和目标地址作出放行/禁止决定。,26,2.协议字段 这一字段定义了包负载所使用的协议。例如，可以是TCP和UDP两种因特网上常用的协议，也可以是诸如ICMP等其它协议。通常，承载ICMP数据的包都应丢弃，因为ICMP数据将会告知对方本网内部的信息。,27,3.分片字段 由于TCP报头信息只包含在第0个分片中，因此无状态包过滤器通常是让所有非首个分片通过，并且仅在数据包的第0分片上做数据包过滤。,28,用于包过滤的TCP头信息

10、 TCP的可靠性在于它对应用层的3个保证： 目标将按发送的顺序接收应用程序数据 目标将接收所有应用程序数据 目标将不重复接收任何应用程序数据,29,端口和套接字 把地址和端口结合起来，就可以唯一地标识一条连接。这种数字的组合名字我们称为套接字（Socket）。 在包过滤规则中使用端口号可以同时拒绝或允许各种网络服务。 服务器TCP端口过滤 把IP地址和目标服务器TCP端口结合起来就可以作为过滤标准来实现可靠的防火墙 客户机的TCP端口,30,端口过滤规则的创建 控制SMTP连接流入和流出的例子,规则2和规则4允许 大于端口1023的所有服务，不论是流入还是流出方向。 黑客可以利用这一个漏洞去做

11、各种事情。,31,改进以后的例子, 指定了源端口。,32,检查SYN位 提防SYN洪水攻击 检查ACK位 检查ACK位，防火墙只允许内部客户访问外部Web服务器，反之则禁止。,33,UDP端口过滤 采用代理服务器的方式,34,IMCP包 ICMP数据很有用，但也很有可能被利用来收集网络的有关信息，我们必须加以区别对待。防火墙的一个重要功能就是让外部不能得到网络内部主机的信息。因为这一点，需要阻止以下几种报文类型： 流入的echo请求和流出的echo响应允许内部用户使用ping命令测试外部主机的连通性，但不允许相反方向的类似报文。 流入的重定向报文这些信息可以用来重新配置网络的路由表。 流出的目

12、的不可到达报文和流出的服务不可用报文不允许任何人刺探网络。通过找出那些不可到达或那些不可提供的服务，黑客就更加容易锁定攻击目标。,35,包过滤器的优点： 包过滤是“免费的”。如果己经有了路由器，它很可能支持包过滤。在小型局域网内，单个路由器用作包过滤器足够了。 理论上只需要在局域网连接到因特网或外部网的地方布置一个过滤器。这里是网络的一个扼流点。 使用包过滤器，不需要专门培训用户或使用专门的客户端和服务器程序。屏蔽路由器或者包过滤主机会为网络的客户端透明地完成各种工作。,36,包过滤器的不足之处： 使路由器难以配置，特别是使用大量规则进行复杂配置的时候。在这种情况下，很难进行完全地测试。 当包

13、过滤器出现故障，或者配置不正确的时候，对网络产生的危害比代理服务器产生的危害大得多。 包过滤器只对少量数据，如IP包的头部信息进行操作。由于仅使用这些信息来决定是否让这些包通过防火墙，所以包过滤器的工作限制在它力所能及的范围之内。 很多具有包过滤功能的防火墙缺少健壮的日志功能，因此当系统被渗入或被攻击时，很难得到大量的有用信息。,37,13.3.2 堡垒主机,堡垒主机通常是指那些在安全方面能够达到普通工作站所不能达到程度的计算机系统。这样一个计算机系统会最大程度利用底层操作系统所提供的资源保护、审计和认证机制等功能，并且对完成既定任务所不需要的应用和服务都已从计算机系统中删除，这样就减少了成为

14、受害目标的机会。,38,39,40,13.3.3 应用网关和代理服务器,代理服务器工作在应用层，它能提供多种服务。网络中所有的包必须经过代理服务器来建立一个特别的连接，因而代理服务器提供了客户和服务器之间的通路。 它接收客户的请求，然后代表客户向服务器发出实际的请求。在客户和服务器之间没有实际的IP包经过。代理服务器位于连接的中间，它分别向客户和服务器通话来保持它们的连接。,41,1.在代理服务器中禁止路由 当用双宿主机来作为代理服务器时，应确保关掉这两个网络适配器之间的路由(在缺省情况下这是允许的)。 禁止主机的IP转发或者路由之后，客户/服务器之间所有的连接都必须流经允许的代理应用程序，否

15、则就被阻塞。,42,2.使用代理服务器可以得到如下的好处: 隐藏受保护网络中客户和服务器的网络信息。 代理服务器是能够对受保护网络和因特网之间的网络服务进行控制的惟一点(Single Point)。即使代理应用瘫痪，也不能通过设置堡垒主机来允许通信经过。 代理服务器可以被设置来记录所提供的服务的相关信息，并且对可疑活动和未授权的访问进行报警。 一些代理服务器可以筛选返回数据的内容，并阻塞对某些站点的访问。它们也能够阻塞包含已知病毒和其它可疑对象的包。,43,代理服务器的缺点主要包括: 尽管代理服务器提供了一个进行访问控制的惟一点，但它也是导致整个系统瘫痪的惟一点。 每一个网络服务都需要它自己的

16、代理服务程序。虽然存在一般的解决方案，但是它没有提供与代理服务器相同级别的安全性。 在客户使用代理服务器之前可能需要被修改或者重新配置。,44,3.传统代理 FTP使用传统代理以后，要包含以下步骤： (1) 用户执行FTP客户命令，例如ftp 。 (2) 代理服务器提示输入用户名，用户做出响应。 (3) 代理服务器提示输入口令，用户做出响应。 (4) 用户向代理服务器指明实际的FTP连接目标，一般的格式是: 。这里，username是目标系统中的合法用户名，此处是最终的FTP会话目标。 (5) 代理服务器将登录信息转发给目标，如果认证成功，那么就通知客户应用程序，现在用户可以执行FTP命令了。

17、 (6) 代理服务器从用户的客户软件接收FTP命令，并向目标服务器转发这些命令。 (7) 目标服务器响应代理服务器的命令，就像它是实际的客户一样，并将根据用户命令响应的数据返回到代理服务器。 (8) 代理服务器将从目标服务器接收到的数据转发到用户的客户应用软件。,45,透明代理 为了使代理应用程序更易于终端用户的管理和使用，就需要使代理应用程序对用户透明。这就是说，用户不需要敲入额外的命令，甚至根本不需要知道使用了代理服务器。从用户的观点看，透明代理就像直接连接一样(像一个包过滤器)，用户甚至不需要知道存在代理服务器。,46,47,4.网络地址转换 实现NAT的地址映射有许多方法： 使用静态地

18、址分配(Static Translation，也称为端口转发，Port Forwarding)，它们用NAT为内部网络的客户绑定一个固定IP地址。 使用动态地址分配(Dynamic Translation，也称为自动模式，隐藏模式或IP伪装)的NAT为访问外部网络的客户分配一个IP地址。在客户会话结束，或者超过某一时限后，合法的外部网络地址会返回到地址池，等待下次分配，实现IP地址的复用。,48,1.基本NAT 基本NAT要求给NAT分配一个或多个有效因特网地址，以便用这些地址为内部网络用户建立连接。这意味着在任何时刻，分配给NAT使用的有效IP地址应该不小于连往外部网络的会话数。如果给NAT

19、分配10个可以使用的IP地址，那么在内部网络就只能有10个客户同时向外部网络建立连接。 2.网络地址端口转换 如果同时有许多用户向外部建立连接，而NAT又没有足够多的有效IP地址，那么基本NAT就不行了。IP地址和端口号的组合被用于惟一地表示一个TCP或者UDP通信终端。NAPT服务器维护一张将客户的连接转换为外部IP地址和为该IP地址分配的惟一端口号的表，这样就可以确定各个用户的连接了。,49,5.内容屏蔽或阻塞访问 URL地址阻塞：可以指定哪些URL地址会被阻塞(或者允许访问)。 类别阻塞：这种方法可以指定阻塞含有某种内容的数据包。 嵌入的内容：一些代理软件应用程序能够设置为阻塞Java、ActiveX控件，或者其它一些嵌入在Web请求的响应里的对象。,50,日志和报警措施 代理服务器一个不可忽视的重要功能就是能够记录用户的各种行为信息。在事先可预测的条件下，一些行为还可以设置为触发一个警报(例如：一封寄给管理员的E-mail；一条在控制台上弹出的消息)。,51,内容,13.1 防