第5章静态侦测与防火墙技术

第五章静态侦测与防火墙技术网络信息安全技术6/13/20231本章主要内容第一章概述基本原理 主要类型

主要弱点6/13/20232第五章静态侦测与防火墙技术第一章概述防御从这一节，我们进入网络防御的内容网络防御的目标要有针对性要达到一定的坚固程度对于性能和效率的影响在容忍范围之内网络防御的范畴侦测、封锁、隔离、取证、恢复6/13/20233第五章静态侦测与防火墙技术第一章概述防御范畴的展开描述侦测：判定攻击的存在及其有关性质封锁：阻断攻击隔离：事先从静态结构上切断可用于攻击的所有隐通道取证：记录与攻击有关的证据恢复：清除攻击带来的影响，进入常态6/13/20234第一章概述第五章静态侦测与防火墙技术静态侦测和动态侦测以通信参数所满足的特定条件为依据的侦测，称为静态侦测以通信内容所满足的特定条件为依据的侦测，称为动态侦测本节主要介绍静态侦测技术和以静态侦测结果为依据的网络封锁系统——防火墙6/13/20235第五章静态侦测与防火墙技术墙·城墙·长城原始人的洞穴是人类最初的居所，墙把人类家居的内部和外部区分开来古代的城墙，把地域分割成城的内部和外部。无论是人还是物，要想从外部进入内部或者从内部进入外部，只有穿过城门，接受必要的盘查。不符合通行条件的，就不予放行中国的万里长城，把地域分割成长城的内部和外部，而长城上的关口则成了通行检查的场所6/13/20236第五章静态侦测与防火墙技术防火墙防火墙部署在一个网络与其他网络相连接的必经要道上，把网络世界分割成内部和外部防火墙以静态的方式侦测进出网络内部的通信参数，符合条件的通信予以放行，不符合条件的通信予以截断6/13/20237第五章静态侦测与防火墙技术数据包过滤“恶意”主机或网段6/13/20238第五章静态侦测与防火墙技术通信参数与通信内容通信参数是关于本次通信的信息通信内容是本次通信要传达的信息通信参数一般通过各层协议的包头来定义和指定，具有相对固定的格式和位置通信内容一般在各层协议的静荷之中，不具有相对固定的格式和位置6/13/20239第五章静态侦测与防火墙技术按通信参数的层次分类包过滤型防火墙依据源/目的IP地址，源/目的端口号，协议类型（五元组）对IP包进行侦测和封锁的防火墙应用网关型防火墙按照用户ID、目的URL等应用层通信参数对通信协议进行侦测和封锁的防火墙复合型防火墙同时具有上述二者的功能6/13/202310第五章静态侦测与防火墙技术防火墙的体系结构屏蔽路由器（ScreeningRouter）双宿主网关（DualHostGateway）屏蔽主机网关（ScreenedGateway）被屏蔽子网（ScreenedSubnet）6/13/202311第五章静态侦测与防火墙技术屏蔽路由器屏蔽路由器可以专用硬件实现，也可以用通用主机来实现屏蔽路由器作为内外连接的惟一通道，要求所有的数据包都必须在此通过检查，按照规则实现包过滤功能许多路由器本身就带有包过滤配置选项，但一般比较简单缺点：一旦被攻陷后很难发现，而且不能识别不同的用户6/13/202312屏蔽路由器外网内网主机第五章静态侦测与防火墙技术6/13/202313第五章静态侦测与防火墙技术双宿主网关双宿主网关是用一台装有两块网卡的堡垒主机的做防火墙，两块网卡各自与被保护网和外部网相连堡垒主机上运行防火墙系统，可以转发应用程序，提供服务等与屏蔽路由器相比优点：堡垒主机的系统软件可用于维护护系统日志、硬件拷贝日志或远程日志缺点：堡垒主机被控制并使其只具有路由功能，任何网上用户均可以随便访问内部网6/13/202314第五章静态侦测与防火墙技术双宿主网关外网内网主机6/13/202315第五章静态侦测与防火墙技术屏蔽主机网关

一个堡垒主机安装在内部网络上，通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络惟一可直接到达的主机，这确保了内部网络不受未被授权的外部用户的攻击优点：易于实现也最为安全危险：主要集中于堡垒主机和屏蔽路由器，如果攻击者控制堡垒主机系统，其上的访问控制策略被人为改变或者被废除，内网中的其余主机就会受到很大威胁6/13/202316第五章静态侦测与防火墙技术主机屏蔽网关（必经的代理）外网内网被屏蔽主机（禁止直接路由）路由器6/13/202317第五章静态侦测与防火墙技术被屏蔽子网增加一个把内部网与互联网隔离的周边网络（也称为非军事区DMZ），从而进一步实现屏蔽主机的安全性，通过使用周边网络隔离堡垒主机能够削弱外部网络对堡垒主机的攻击使用两个屏蔽路由器，分别位于周边网与内部网、周边网与外部网之间攻击者要攻入这种结构的内部网络，必须通过两个路由器，因而不存在危害内部网的单一入口点6/13/202318第五章静态侦测与防火墙技术子网屏蔽网关（必经的代理）外网被屏蔽子网路由器路由器DMZ（非军事区）6/13/202319第五章静态侦测与防火墙技术规则案例1：Web服务器开放80，关闭其他即使被安装了木马程序，木马也不能与外界联系采用非军事区6/13/202320第五章静态侦测与防火墙技术不设防的信息发布网站互联网6/13/202321第五章静态侦测与防火墙技术采用非军事区结构的信息发布网站非军事区(DMZ)Internet外部路由器内部路由器WWW/代理FTPDNS/SMTP内部DNS/SMTP6/13/202322第五章静态侦测与防火墙技术规则案例2：开天窗允许个别远程IP通过防火墙，不允许其他远程IP通过防火墙支持异地办公6/13/202323第五章静态侦测与防火墙技术防火墙开天窗AB6/13/202324第五章静态侦测与防火墙技术规则案例3：内外有别可以由内向外，不能由外向内内部发起的连接带回来的外部回应，由于携带了“应答位”信息，不受此规则约束6/13/202325第五章静态侦测与防火墙技术防火墙规则配置的基本准则.一切未被允许的就是禁止的。防火墙应该封锁所有的信息流，然后对希望提供的服务逐项开放。优点:实用,安全.缺点:可靠性高于易用性..一切未被禁止的就是允许的。防火墙应该转发所有的信息流，然后逐项屏蔽有害的服务。优点:灵活,缺点安全可靠性不高 6/13/202326第五章静态侦测与防火墙技术弱点可以绕过防火墙防外不防内对合法性的区分能力弱（仅仅局限于地址、端口等结构特征）本身可能有漏洞操作系统底座的安全性可能不够6/13/202327第五章静态侦测与防火墙技术伪装合法地址绕过防火墙VerIHLService长度包序号标志分段偏移TTL协议CRC源地址（冒充内部主机、信任主机）目的地址选项Pad数据6/13/202328第五章静态侦测与防火墙技术伪装信任主机绕过防火墙我是AAB6/13/202329第五章静态侦测与防火墙技术通过电话拨号绕过防火墙ModemModem6/13/202330第五章静态侦测与防火墙技术利用防火墙漏洞绕过包过滤检查过滤规则IP源路由选项6/13/202331第五章静态侦测与防火墙技术防外不防内内部人员对内部网的主机进行入侵、破坏，根本就不必经过防火墙，因此防火墙派不上什么用场要防内，还需要复杂的身份认证和权限管理措施，这些在本课程的后面章节里会有所涉及6/13/202332第五章静态侦测与防火墙技术对合法性的区分能力弱包过滤防火墙只能区分地址的不同、端口的不同。伪造合法的源地址进行攻击，防火墙基本上是束手无策的80端口是最基本的对外服务，一般是应该开放的；但是，有一些攻击就是利用80端口进行的，这使这类防火墙的角色多少有些尴尬：要么关闭对外服务，要么无法防范这种攻击！应用网关防火墙虽然在一定程度上对此有所补救，但仍然有大量区分能力上的盲点。伪装成合法通信来骗过防火墙是不难做到的。6/13/202333第五章静态侦测与防火墙技术本身可能有漏洞设计得不好的防火墙，自身就存在安全漏洞，特别是上一节讲到的缓冲区溢出漏洞特定的数据包流经有漏洞的防火墙，会使它失去作用或取得对它的控制许多防火墙是在一些安全性值得商榷的免费防火墙软件基础上改装的，改装过程中未能对安全性有所改进甚至有所破坏，这样的防火墙的安全性实在堪忧一个本来用于安全防范的系统，如果由于自身的漏洞导致安全问题，该是多么大的讽刺啊6/13/202334第五章静态侦测与防火墙技术操作系统底座未必坚固你的防火墙做得再好，如果放在一个不那么坚固的操作系统底座上，也难免在整体的安全效果上欠佳有些防火墙采用的操作系统是在某个免费操作系统的基础上改写的，其安全性很有问题因此，一些对安全性有超出一般要求的应用部门，总是希望防火墙建立在有某种特殊安全保障措施的操作系统底座上，比如说，建立在TCSEC的B1以上级别的操作系统底座上

6/13/202335第五章静态侦测与防火墙技术攻击下防火墙的安全性遇到攻击时，防火墙可能有如下四种表现：未受伤害，能够继续正常工作关闭并重新启动，同时恢复到正常工作状态关闭并禁止所有的数据通行关闭并允许所有的数据通行显然，前两种比较理想，第三种说得过去，最后一种是最糟糕的6/13/202336第五章静态侦测与防火墙技术防火墙面临的考验网络带宽越来越大防火墙所处的位置不能绕过，面临大流量的压力性能成为制约