网络安全技术：防火墙

IP网络技术

网络安全技术：防火墙防火墙基本概念防火墙相关技术防火墙技术发展趋势防火墙的部署方式目录网络系统的风险和威胁所有的软件都是有错的.通常情况下99.99%的无错程序很少出现问题.安全相关的99.99%的无错程序可以确信会有人利用那0.01%的错误.0.01%安全问题等于100%的失败.无处不在的攻击经济利益的驱使.技术怪才们的成就感.攻击的自动化,远程化和协作化.网络技术的普及也导致了攻击技术的广泛传播,包括攻击方法和攻击工具网络系统安全的复杂性网络元素的复杂性PC主机:硬件系统OS系统:linux/windows/solaris/winCE/Vxworks/IOS/应用软件:交换设备/路由设备:多种的网络协议:管理模式的复杂性安全意识内部人员的管理,权限分配和密码管理错误的网络配置安全措施实施的难度数据通信网络拓扑结构数据通信设备Hub集线器 连接多个网络设备,提供802.3协议的电气互联功能,不具有交换功能.所有的用户共享带宽.交换机 二层交换机:利用端口和MAC地址的映射关系进行数据报文的转发. 三层交换机:具有二层交换机功能以及部分路由器的功能,实现利用IP地址和MAC地址进行转发.路由器 边缘路由器:路由表相对较小. 核心路由器:大容量的路由表,高的处理能力.网关:实现一种协议到另外一种协议的转换功能.防火墙:作为一个网络接入到另外一个网络的安全控制点.防火墙的定义防火墙是位于两个(或多个)网络之间,实施网络间控制的一组组件的集合,它满足以下条件:

(1)内部和外部网络之间的数据都必须流经防火墙. (2)只有符合预先定义的安全策略的数据才能通过防火墙. (3)防火墙能够具有自我免疫的能力,能够抵制各种攻击. (4)防火墙具有完善的日志/报警/监控功能,良好的用户接口防火墙的基本概念防火墙是一种高级访问控制设备，是置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全策略控制进出网络的访问行为。两个安全域之间通信流的唯一通道安全域1HostAHostB

安全域2HostCHostD

UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为防火墙基本作用合理划分网络,设置访问控制点,保护私有网络.防止进攻者接近内部网络限制内部用户的外部访问行为对外部隐藏内部网络细节提供内部网络和外部网络的连通防火墙越来越重要!防火墙五大核心功能

过滤进、出网络的数据，是网络安全的屏障管理进、出网络的访问行为，防止内部信息的外泄封堵某些禁止的业务，对网络存取和访问进行控制记录通过防火墙的信息内容和活动对网络攻击进行检测和告警，强化网络安全策略

防火墙的分类包过滤防火墙工作在传输层和网络层.状态检测包过滤防火墙(SPF:StatefulPacketFiltering)

工作在传输层和网络层,除了进行数据包安全规则匹配和过滤外,提供对于数据连接的状态检测,这是目前主流的防火墙技术应用层(代理)防火墙工作在应用层,表示层或者会话层.包过滤防火墙也称作访问控制列表，它是根据已经定义好的过滤规则来审查每个数据包，并确定该数据包是否与过滤规则匹配，从而决定数据包是否能通过。包过滤防火墙对每一个数据包的包头进行分析，按照包过滤规则来进行判定，与规则相匹配的包根据路由信息继续转发，否则就将之丢弃。此外，包过滤防火墙会对每一个通过防火墙的数据包的包头长度、选项、数据段和标志等信息进行结构化检查，以防止错误的数据包通过防火墙。简单包过滤防火墙工作原理应用层TCP层IP层网络接口层应用层TCP层IP层网络接口层开始攻击开始攻击TCP开始攻击TCPIP开始攻击TCPIPETH1001100110011001100110100110101开始攻击TCPIP1001100110011001100110100110101开始攻击开始攻击TCP开始攻击TCPIP开始攻击TCPIPETH1.检查IP、TCP报头2.不建立状态连接表3.不对内容检查包过滤是作用在网络层和传输层，它根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。包过滤防火墙的优缺点优点可以与现有的路由器集成，也可以用独立的包过滤软件来实现，而且数据包过滤对用户来说是透明的，成本低、速度快、效率高。缺点包过滤技术的主要依据是包含在IP报头中的各种信息，可是IP包中信息的可靠性没有保证，IP源地址可以伪造，通过内部合谋，入侵者轻易就可以绕过防火墙；并非所有的服务都与静态端口绑定，包过滤只能够过滤IP地址，所以它不能识别相同IP地址下不同的用户，从而不具备身份认证的功能；工作在网际层和传输层，不能检测那些对高层进行的攻击；如果为了提高安全性而使用很复杂的过滤规则，那么效率就会大大降低；对每一个数据包单独处理，不具备防御DoS攻击和DDoS攻击的能力。状态检测防火墙是一种动态包过滤防火墙，也称为自适应防火墙，它在基本包过滤防火墙的基础增加了状态检测的功能。状态检测防火墙记录和跟踪所有进出数据包的信息，对连接的状态进行动态维护和分析。一旦发现异常的流量或异常的连接，就动态生成过滤规则，制止可能的攻击行为。因此，状态检测防火墙具有较强的对DoS攻击和DDoS攻击的防御能力。状态检测包过滤防火墙工作原理应用层TCP层IP层网络接口层应用层TCP层IP层网络接口层开始攻击开始攻击TCP开始攻击TCPIP开始攻击TCPIPETH1001100110011001100110100110101开始攻击TCPIP1001100110011001100110100110101开始攻击开始攻击TCP开始攻击TCPIP开始攻击TCPIPETH1.检查IP、TCP报头2.建立状态连接表3.不对内容检查状态检测工作原理是检测每一个有效连接的状态，并根据这些状态信息决定网络数据包是否能够通过防火墙。它在协议栈低层截取数据包，然后分析这些数据包，并且将当前数据包及其状态信息和其前一时刻的数据包及其状态信息进行比较，从而得到该数据包的控制信息，以达到提高效率、保护网络安全的目的。

状态检测防火墙的优缺点优点具备包过滤防火墙的一切优点；能够灵活地动态地生成过滤规则，自动适应网络的工作状态；具备较好的DoS攻击和DDoS攻击防御能力；与应用代理防火墙相比，状态检测防火墙工作在协议栈的较低层，通过防火墙的所有数据包都在底层处理，减少了高层协议栈的开销，执行效率较高，具有较好的可伸缩性和易扩展性，应用范围广。缺点不能对应用层数据进行控制；不能记录高层次的日志。应用代理防火墙工作在应用层，它针对专门的应用层协议制定数据过滤和转发规则，其核心技术是代理服务器技术。应用代理防火墙的实现是基于软件的，主要包含三个模块：客户代理模块、服务器代理和过滤模块。客户代理模块负责处理客户的访问请求，由过滤模块分析和决定是否接受该请求；如果允许，则由服务器代理模块建立与服务器的连接，转发请求；服务器代理模块将服务器的应答传递给客户代理模块，再转发给客户。代理防火墙工作原理1.不检查IP、TCP报头2.不建立状态连接表3.网络层保护比较弱应用层TCP层IP层网络接口层应用层TCP层IP层网络接口层开始攻击开始攻击TCP开始攻击TCPIP开始攻击TCPIPETH1001100110011001100110100110101开始攻击TCPIP1001100110011001100110100110101开始攻击开始攻击TCP开始攻击TCPIP开始攻击TCPIPETH代理技术也叫应用网关（ApplicationGateway）,作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务(如http,ftp,smtp)编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。应用代理防火墙的优缺点优点可以实现身份认证，例如最常见的用户和密码认证；可以进行内容过滤，防止一些应用层攻击（例如溢出攻击），还可过滤一些应用层数据（例如JavaApplet、JavaScript、ActiveX、电子邮件的MIME类型等）。可以记录非常详尽的应用层日志记录，比如记录进入防火墙的数据包中有关应用层的命令以及命令的完成情况等。缺点工作效率较低；对不同的应用层服务都可能需要定制不同的应用代理防火墙软件，缺乏灵活性，不易扩展。复合型防火墙工作原理应用层TCP层IP层网络接口层应用层TCP层IP层网络接口层开始攻击开始攻击TCP开始攻击TCPIP开始攻击TCPIPETH1001100110011001100110100110101开始攻击TCPIP1001100110011001100110100110101开始攻击开始攻击TCP开始攻击TCPIP开始攻击TCPIPETH1.检查整个报文内容2.建立状态连接表复合型防火墙是结合了状态检测技术和应用网关的技术，每次检查整个报文的内容，包括IP头和TCP头以及内容数据，并且建立连接状态表。内核监测防火墙工作原理应用层TCP层IP层网络接口层应用层TCP层IP层网络接口层100110011001100110011010011010110011001100110011001101001101011.检查多个报文组成的会话2.建立状态连接表3.增强网络层保护能力4.增强应用层保护能力5.增强会话层保护能力6.前后报文有联系内核监测防火墙将报文进行会话重写，对多个报文组成的会话进行检查，并且建立连接状态表，这样可以增强网络层、应用层和会话层的保护能力，同时使得前后报文有联系。防火墙的比较包过滤防火墙特点：只针对IP地址（复杂的会根据协议及端口），不关心数据内容；速度快，对用户透明，无需配置；缺点：1、无法对数据包内容做检查；2、无法提供详细记录；3、所有端口必须静态开放，无法控制高端口；4、复杂配置下容易出错;状态检测包过滤防火墙特点：速度快；更加安全；不易出错,结合了包过滤和应用层防火墙的两者的优点,配合相关的硬件转发部件可以实现更高的速度;应用层防火墙特点：可以提供复杂的访问控制；内容过滤功能；成熟的日志；缺点：速度慢，只适合已知的应用协议；防火墙的体系结构IPNetworkApplicationTCP/UDPTransportLinkPhysicalPacketFiltersCircuitGatewaysApplicationGatewaysPolicyNATALGVPNFEGEE1T1RTOS:嵌入式实时操作系统TCP/IPStack:Policy:安全策略NAT:地址转换ALG:应用层网关VPN:虚拟个人专用网NP/ASIC/Switchchipset防火墙技术-Policy

LinkPhysicalPhysical

LinkPhysicalPhysical

Link

LinkFirewallHostHostClient

ApplicationServer

ApplicationIPIPIPTCPTCPTrustedUntrustedPolicyAddressesServiceScheduleActionAddress:定义规则的源区域和目的区域,源IP地址和目标IP地址Service:如HTTP/FTP/SMTP/POP3/TELNET等应用层协议.和Address一起完成IP五元组的定义.Schedule:定义何时生效的时间信息,例如每天早上8:30分Action:对于匹配数据报文的最终处理结果,一般包括丢弃/转发/VPN隧道封装.防火墙技术-Policy

LinkPhysicalPhysical

LinkPhysicalPhysical

Link

LinkFirewallHostHostClient

ApplicationServer

ApplicationIPIPIPTCPTCPTrustedUntrustedPolicyAddressesUsersAuthenticateAUTHUser:定义该规则限制的对象用户对象.Authentication:定义该类用户进行认证的方式,如RADIUS/LDAP防火墙技术-PolicySetgroupservicecomSetgroupservicecomaddFTP-PutSetgroupservicecomaddMAILSetgroupservicecomaddPOP3SetgroupserviceinternetSetgroupserviceinternetaddFTP-GetSetgroupserviceinternetaddHTTPSetgroupserviceinternetaddHTTPSSetgroupservicewebSetgroupservicewebaddHTTPSetgroupservicewebaddHTTPSTrust->Untrust: setpolicyfromtrusttountrustenganyanypermit setpolicyfromtrusttountrustofficeanyInternetpermitwebauth setpolicytopfromtrusttountrustanyanyComdenyUntrust->DMZ mailpermit Webpermit防火墙技术-NATNAT:NetworkAddressTranslation,网络地址转换.实现内部网络私有IP地址到外部全局IP地址的映射.

一个公司从电信局仅仅分配一个公网的IP地址,如何实现内部用户都能够访问Internet?一个公司只有一个IP地址,如何实现同时采用多台服务器提供Web/Email服务?NAT的作用缓解IP地址耗尽 节约公用IP地址和金钱实现TCP负载均衡 隐藏内部网络的细节私有IP地址空间AddressRangeMask~55/~55/~55/防火墙技术-NATMany-To-Many:多对多的映射,又包括N-N,N-M,N-1N-N映射:实现内部网络的主机IP地址和外部网络IP地址一一映射关系.N-M映射:实现内部网络的主机在上网时,可以从一个较小的地址池中动态选择一个IP地址作为访问外部网络的IP地址.N-1映射:实现内部网络的主机使用同一IP地址访问Internet.防火墙技术-NATNAT实例NAT地址映射表InsideOutsideOutsideInside防火墙技术-NAT节约IP地址实例通过NAT技术,可以实现内部网络的私有地址IP地址的重叠,达到节约IP地址的目的防火墙技术-NAPT问题提出:多个内部网络主机,但是只有一个或者几个外部IP地址.解决:实现多对一的映射(N-1映射).NAPT:NetworkAddressandPortTranslation.可以实现一个IP地址多个主机共享Internet接入利用NAPT可以将多台内部服务器提供的服务虚拟成一个服务器Port800:8080Port230:23Port210:21防火墙技术-ALGNAT/NAPT存在的问题:对于在TCP/UDP报文中存在源IP地址的应用情况下,仅仅更改IP地址头部的源IP地址是不够的,还必须了解应用层协议的数据报报文,进行应用层协议数据报中相关地址的转换.这就是ALG的一种作用.ALG:应用层网关(applicationlayergateway),实现对于应用层数据的分析.例如实现更加细致的控制,可以实现FTP只能对外提供GET服务,不允许进行PUT操作等.防火墙技术-ALG需要ALG处理的协议和应用包括:FTP/DNS/SIP/SNMP/NetBIOSoverTCP/UDP等.Pinhole技术:对于类似于FTP的协议,应用程序的两个对端实体的通信端口是进行协商动态分配,这就要求防火墙能够识别,动态的生成安全策略,打开这些端口.这就是ALG中的Pinhole(针眼)技术的作用.包括:SIP/H.323等协议,而且这类协议越来越多.防火墙技术-VPNVPN:虚拟私有网virtualprivatenetwork(VPN)提供了远端计算机之间,利用公共广域网络(例如Internet)进行安全通信的通道.VPN的好处节约通信成本充分利用Internet技术,更高带宽和更丰富的应用.保证网上交易的安全性,促进E-commerce的发展.保证企业接入的安全性,实现SOHO的生活方式.防火墙技术-VPNVPN的应用环境BranchOfficesTradingPartnersMobileUsersMainOfficeInternetIntranetVPN-betweenMainandBranchOfficesExtranetVPN-totradingpartnersandsuppliersMobileUserVPN-formobileemployees防火墙技术-VPNRemoteOfficeOptionalNetworkWebServerFTPServerCorporateNetworkMobileUsersRouterInternetRemoteVPNndoeVirtualPrivateNetworkingISPISPISPISPVPNParticipationIPSec+IKE典型的VPN组网结构防火墙技术-VPNVPN的核心就是在两点之间建立安全通道(tunnel)NetworkClientServerDataprotectedfromendtoendEnd-to-EndTunnelPhysicalDataNetworkApplicationNode-to-NodeTunnelSecurityPhysicalDataNetworkApplicationvsEnd-to-EndTunnelSecurityDataprotectedwithincommunicationlinkonlyNode-to-NodeTunnelEncryptorEncryptorFirewallFirewall防火墙技术-加密加密密钥的加密对称密钥加密方法防火墙技术-加密公共密钥加密非对称密钥加密防火墙技术-加密加密的方法 DES,IDEA,AES密钥的产生 X.500目录服务 数字证书 X.509数字证书密钥的分发 IKE:Internetkeyexchange 防火墙技术-攻击检测与预防网络攻击的一般步骤:执行探测探测网络拓扑,发现活动主机(IPaddresssweep)检测活动主机的活动端口(portscans)判断主机的操作系统,利用操作系统的已知漏洞实现攻击. 发动攻击隐藏发动攻击的主机.执行一系列攻击删除或者销毁攻击证据防火墙技术-防止IP扫描

IP地址扫描(IPaddressSweep):攻击者通过ICMP请求报文的方式探测主机.通过检测同一个sourceIP地址在一个时间间隔内发送的ICMP报文数来确定是否存在IP地址的扫描,如果发现,那么对于以后的ICMP进行抛弃防火墙技术-防止端口扫描

端口扫描(portscanning):攻击源通过试探建立TCP连接来探测被攻击对象对外部提供的服务.防火墙技术-防止OS类型探测对于TCP数据报文中Flag位的异常设置,不同OS的TCP/IP协议栈具有不同的实现,将有不同的应答报文,攻击者将利用这个差别来决定操作系统.SYNandFINaresetFINflagwithoutACKTCPheaderwithoutFlagset防火墙将检测这些非正常的TCP报文,实现对其丢弃.防火墙技术-防止IP隐藏攻击者主要利用IP数据包中的宽松源路由选项(Loosesourcerouteoption)和严格源路由选项(Strictsourcerouteoption),通过指定路由的方式,使得攻击数据包能够到达目标主机.防火墙可以配置是否对于IP数据包的路由选项进行处理,检测到这类数据报文可以进行抛弃.防火墙技术-DenyofServiceDoS:拒绝服务攻击的主要方法是通过向被攻击者发送大量的伪造的数据报文,导致被攻击者忙于处理伪造数据报文而不能处理合法的报文.其核心就是“资源耗尽”.DDoS:DistributedDOS,攻击者通过伪装IP地址,或者利用攻击代理,从多个攻击点向同一受攻击者发送攻击.网络设备的资源

CPU处理能力系统内存数据带宽内部核心数据结构:例如防火墙的状态表;SOCKET连接表.DoS的分类:根据攻击对象不同FirewallDoSAttack:由于防火墙是内部网络对外的通道,攻击者希望通过攻击防火墙实现内部网络的不可用性,这也是黑客的最大追求.NetworkDoSAttack:导致网络设备的不可用性.OSDosAttack:导致主机操作系统直接崩溃.防火墙技术-FirewallDoSattackSessiontableflood(Session表淹没):恶意数据大量占用Session表.解决方法:基于源或目的的session限制Session表的主动老化防火墙技术-FirewallDoSattackSYN-ACK-ACKProxyflood原因:当一个需要认证的用户进行Telnet或者FTP服务时,防火墙将首先进行TCP链接的代理,提示用户输入用户名和密码,同时建立session表项.解决:配置相应的SYN-ACK-ACK最大数量,超过这个阈值则进行丢弃. 防火墙技术-NetworkDoSattack攻击种类包括:SYNflood/ICMPflood/UDPflood基本攻击原理(SYNflood)解决方法:代理服务/阈值限制利用伪造的IP地址和被攻击者建立TCP链接,在TCP链接的超时时间内建立大量的连接未完的TCP链接,导致被攻击者资源耗尽,不能对外提供服务.防火墙技术-NetworkDoSattackSYN-Flood攻击预防防火墙技术-NetworkDoSattackICMPFlood预防防火墙技术-NetworkDoSattackUDPFlood预防(主要用于DNS的攻击)防火墙技术-OSDoSattackPingofDeath攻击:IP数据报文的最长为65535字节,但是有些Ping的程序或者恶意代码允许构造的大于IP数据报文长度的ICMP报文,导致被攻击者在进行报文重组过程中存在缓冲区溢出,导致系统崩溃.解决方法:防火墙将检测这些oversize的数据包,进行丢弃.防火墙技术-OSDoSattackTeardropattack(泪滴攻击):利用IP头部的错误分片偏移,导致系统崩溃.防火墙的不足之处无法防护内部用户之间的攻击无法防护基于操作系统漏洞的攻击无法防护内部用户的其他行为无法防护端口反弹木马的攻击无法防护病毒的侵袭无法防护非法通道出现不足之处防火墙发展趋势-外部环境变化自动化程度和攻击速度增加病毒的传播以小时计算，对网络影响越来越大……攻击工具越来越复杂攻击工具越来越隐蔽，功能方式越来越多样……发现漏洞越来越快发现漏洞远比修补漏洞的速度要快……针对网络设备的攻击越来越多针对防火墙、路由器、DNS服务器的攻击越来越多……网络的智能越来越边缘化 需要在最低层次(接入层/汇聚层)提供网络安全控制.防火墙作为防御者,需要更快,更强,更智能防火墙发展趋势-体系结构防火墙/交换机/路由器网络设备的融合处理硬件化:网络速度越来越快,做为网络控制结点的防火墙是网络带宽的瓶颈.通过NP或者ASIC的数据转发,结合SFP,由CPU实现第一个数据包的处理,而由硬件进行绝大多数的报文转发,大大提高速度.

LinkPhysicalPhysical

LinkPhysicalPhysical

Link

LinkRouterHostHostClient

ApplicationServer

ApplicationIPIPIPTCPTCPIntegratedsecurityRouterNP/ASIC防火墙发展趋势-功能变化DeepInspection:深度检查,对于应用层的数据报文进行检查,发现是否存在攻击.防火墙发展趋势-功能变化Anti-virus防病毒功能:通过对SMTP/POP3/HTTP进行重组,检查其中的附件文件,通过内置或者外部的病毒扫描引擎检查是否存在病毒.协议分析:因为对于象TCP这样的有链接的协议和一些应用层协议,都可以利用有穷状态机来描叙,协议分析就是根据有穷状态机来分析通信双方是否为正常的通信.防火墙发展趋势-功能变化增值业务的组合

外部的Anti-Virus服务器外部的URL检查服务器外部的Email内容过滤服务器IDS的联动:IDS进行攻击检测后,能够通过对网络入口点的防火墙进行攻击描述,由防火墙进行控制,实现防火墙由被动防御角色到主动防御角色的转变.硬件防火墙发展历程OS内核IP协议栈+通用处理器平台ASIC芯片+控制管理CPU可编程网络处理器+控制管理CPU第一代第二代第三代第一代硬件防火墙使用的是OS内核IP协议栈加通用处理器平台;第二代就使用了ASIC芯片，用它来转发网络数据报，同时使用一块CPU负责控制管理;第三代硬件防火墙，就用到了可编程网络处理器，也就是NP，用NP来完成数据的转发，同时使用一块CPU负责控制管理。CPU+NP架构CPUCPU负责控制层面，NP负责转