防火墙技术与应用-第2版课件第1章-防火墙在网络安全防护体系中的地位和作用

第1章防火墙在网络安全防护体系中的地位和作用南京师范大学计算机与电子信息学院陈波本章知识结构1.1网络中计算机之间的通信及安全威胁1.1.1网络体系结构计算机网络系统可以看成是一个扩大了的计算机系统，在网络操作系统和网络协议（如TCP/IP）的支持下，位于不同主机内的操作系统进程可以像在一个单机系统中一样互相通信，只不过通信时延稍大一些而已。相互通信的两个计算机系统必须高度协调工作才行，而这种“协调”是相当复杂的，于是人们提出了“分层”的处理方法。1.1网络中计算机之间的通信及安全威胁1.1.1网络体系结构开放系统互联参考模型OSI国际标准化组织（InternationalOrganizationforStandardization，ISO）于1977年成立了专门的机构研究异构网络系统互连的问题。不久，诞生了一个试图使各种计算机在世界范围内互连成网络的标准框架，即著名的开放系统互联参考模型（OpenSystemsInterconnectionReferenceModel，OSI/RM）。OSI参考模型采用结构描述方法将整个网络的通信功能划分为7部分（层次），在每个协议层中完成一系列的特定功能。OSI参考模型的最大优点是将服务、接口和协议这3个概念明确地区别开来。1.1网络中计算机之间的通信及安全威胁1.1.1网络体系结构TCP/IP结构TCP/IP协议族可以看作是一组不同层的集合，每一层负责一个具体任务，各层联合工作以实现整个网络通信。一般将TCP/IP协议族分为4个功能层：应用层、传输层、网络层和网络接口层。1.1网络中计算机之间的通信及安全威胁1.1.1网络体系结构TCP/IP结构（1）应用层应用层包含应用程序实现服务所使用的协议。用户通常与应用层进行交互。（2）传输层传输层响应来自应用层的服务请求，并向网络层发出服务请求。1.1网络中计算机之间的通信及安全威胁1.1.1网络体系结构TCP/IP结构（3）网络层网络层负责处理网络上的主机间路由及存储转发网络数据包。（4）网络接口层网络接口层有时又称数据链路层，一般负责处理通信介质的细节问题。1.1网络中计算机之间的通信及安全威胁1.1.1网络体系结构主要协议IP协议IPv4是一个面向数据的协议，设计用于分组交换网络（例如以太网），是一个尽最大努力交付协议。互联网中的每台主机都有一个IP地址，一个IP地址用点分十进制法表示。IP实现了分片概念。1.1网络中计算机之间的通信及安全威胁1.1.1网络体系结构主要协议TCP协议TCP是面向连接的，通过所谓的数据流，在两个网络主机之间提供一个可复用的、可靠的通信信道。TCP保证数据从发送者到接收者可靠和有序地交付。TCP给每个报文一个序列号，通过检查序列号以确保没有报文丢失。TCP使用校验和来控制是否正确接收一个给定的报文。TCP应用拥塞控制，实现高性能和避免网络链路拥塞。1.1网络中计算机之间的通信及安全威胁1.1.1网络体系结构主要协议TCP协议16位字段指定源和目的端口，在传输层中端口用于多路复用，通过网络端口，使不同的应用程序在一个IP地址上监听成为可能。1.1网络中计算机之间的通信及安全威胁1.1.1网络体系结构主要协议TCP协议序号有两个重要的作用，首先用于配置连接时设置初始序号，如果连接建立，有效载荷中的第一个数据字节就是序号。如果ACK标志被设置，则确认号指定发送者期望的下一个序号。1.1网络中计算机之间的通信及安全威胁1.1.1网络体系结构主要协议TCP协议6个比特的TCP标志用于提供有关当前TCP报文状态的信息。窗口大小字段用于指定发送者希望接收的从确认号开始的字节数。1.1网络中计算机之间的通信及安全威胁1.1.1网络体系结构主要协议TCP协议校验和用于在目的地检验到达的报文是否未被篡改。只有设置URG标志时，才使用紧急指针字段，它指定了从序号开始的偏移量，指明TCP有效载荷中从哪个点开始的数据应立即移交给应用层。1.1网络中计算机之间的通信及安全威胁1.1.1网络体系结构主要协议TCP协议1）S→R：发送方发送一个带有SYN标志位（置1）和一个序号为x的报文。2）S←R：接收者应答一个带有SYN和ACK标志位（都置1）的TCP报文，确认号被设置为主机希望接收的下一个序号，这个例子中是x+1。此外，接收者将它的序号设置为y，因为它也希望与另一方同步这个序号。3）S→R：发送方发送一个带有ACK标志位（置1）的TCP报文，它响应的报文序号为x+1，同时增加确认号为y+1。1.1网络中计算机之间的通信及安全威胁1.1.1网络体系结构主要协议UDP协议用户数据报协议UDP是IP上面一层，包含两个部分：首部和数据。UDP只在IP的数据包服务之上增加了很少一点功能，也就是端口和差错校验的功能。UDP最主要的缺点是，它不提供任何的可靠性和数据报有序性。1.1网络中计算机之间的通信及安全威胁【应用示例1-1】网络中数据包传输分析通过嗅探工具Wireshark捕获实际的数据包来分析网络中数据包传输的细节。Wireshark是一个开源免费的网络和协议分析工具，支持各种平台，可以从下载。Wireshark首先通过网卡捕获数据，通常将网卡设置成promiscuous模式（混杂模式或称为监控模式）以捕获网段中的所有数据包，然后把捕获的内容按层级解析为帧、段和数据包等。Wireshark根据地址、协议和数据等上下文信息解析和呈现数据。1.1网络中计算机之间的通信及安全威胁1.1.2网络信息流动过程中面临的安全威胁通常可以将网络通信中面临的安全威胁分为中断、截获、篡改和伪造4类。（1）中断威胁中断（Interruption）威胁使得在用的信息系统毁坏或不能使用，即破坏可用性。1.1网络中计算机之间的通信及安全威胁1.1.2网络信息流动过程中面临的安全威胁（1）中断威胁攻击者可以从下列几个方面破坏信息系统的可用性：拒绝服务攻击或分布式拒绝服务攻击。使合法用户不能正常访问网络资源，或是使有严格时间要求的服务不能及时得到响应。摧毁系统。物理破坏网络系统和设备组件使网络不可用，或者破坏网络结构使之瘫痪等。如硬盘等硬件的毁坏，通信线路的切断，文件管理系统的瘫痪等。1.1网络中计算机之间的通信及安全威胁1.1.2网络信息流动过程中面临的安全威胁（2）截获威胁截获（Interception）威胁是指一个非授权方介入系统，使得信息在传输中被丢失或泄露的攻击，它破坏了保密性。非授权方可以是一个人、一个程序或一台计算机。1.1网络中计算机之间的通信及安全威胁1.1.2网络信息流动过程中面临的安全威胁（2）截获威胁这种攻击主要包括：在信息传递过程中，利用电磁泄露或搭线窃听等方式截获机密信息，或是通过对信息流向、流量、通信频度和长度等参数的分析，推测出有用信息，如用户口令、账号等。在信息源端，利用恶意代码等手段非法复制敏感文件。1.1网络中计算机之间的通信及安全威胁1.1.2网络信息流动过程中面临的安全威胁（3）篡改威胁篡改（Modification）威胁以非法手段窃得对信息的管理权，通过未授权的创建、修改、删除和重放等操作而使信息的完整性受到破坏。1.1网络中计算机之间的通信及安全威胁1.1.2网络信息流动过程中面临的安全威胁（3）篡改威胁这些攻击主要包括：改变数据文件，如修改数据库中的某些值等。替换某一段程序使之执行另外的功能。1.1网络中计算机之间的通信及安全威胁1.1.2网络信息流动过程中面临的安全威胁（4）伪造威胁在伪造（Fabrication）威胁中，一个非授权方将伪造的客体插入系统中，破坏信息的可认证性。例如在网络通信系统中插入伪造的事务处理或者向数据库中添加记录。1.2网络安全技术框架1.2.1针对OSI模型的网络安全体系安全体系结构是指对网络系统安全功能的抽象描述，从整体上定义网络系统应提供的5类安全服务、用来支持安全服务的8种安全机制以及安全管理。1.2网络安全技术框架1.2.1针对OSI模型的网络安全体系网络安全体系结构安全服务：一个系统各功能部件所提供的安全功能的总和。从协议分层的角度，底层协议实体为上层实体提供安全服务，而对外屏蔽安全服务的具体实现。OSI安全体系结构模型中定义了5类安全服务：认证（Authentication）、访问控制（AccessControl）、数据保密性（Confidentiality）、数据完整性（Integrity）、不可否认性（Non-repudiation）。1.2网络安全技术框架1.2.1针对OSI模型的网络安全体系网络安全体系结构安全机制：指安全服务的实现机制，一种安全服务可以由多种安全机制来实现，一种安全机制也可以为多种安全服务所用。8种安全机制是：数据加密、数字签名、访问控制、数据完整性、鉴别交换、业务流填充、路由控制和公证。安全管理：包括两方面的内容，一是安全的管理（ManagementofSecurity），网络和系统中各种安全服务和安全机制的管理，如认证或加密服务的激活，密钥等参数的分配、更新等；二是管理的安全（SecurityofManagement），是指各种管理活动自身的安全，如管理系统本身和管理信息的安全。1.2网络安全技术框架1.2.2基于信息保障概念的网络空间纵深防护框架1.信息保障概念的提出1996年，美国国防部（DoD）在国防部令《DoDDirectiveS-3600.1：InformationOperation》中提出了信息保障（InformationAssurance，IA）的概念。其中对信息保障的定义为：通过确保信息和信息系统的可用性、完整性、保密性、可认证性和不可否认性等特性来保护信息系统的信息作战行动，包括综合利用保护、探测和响应能力以恢复系统的功能。1.2网络安全技术框架1.2.2基于信息保障概念的网络空间纵深防护框架2.网络空间纵深防护思路与框架（1）《信息保障技术框架》由美国国家安全局NSA提出的《信息保障技术框架》（InformationAssuranceTechnicalFramework，IATF）从整体、过程的角度看待信息安全问题，其核心思想是“纵深防护战略（Defense-in-Depth）”，它采用层次化的、多样性的安全措施来保障用户信息及信息系统的安全，人、技术和操作是3个核心因素。1.2网络安全技术框架1.2.2基于信息保障概念的网络空间纵深防护框架2.网络空间纵深防护思路与框架（2）《提升关键基础设施网络安全框架》旨在加强电力、运输和电信等“关键基础设施”部门的网络空间安全。框架分为识别（Identify）、保护（Protect）、检测（Detect）、响应（Respond）和恢复（Recover）5个层面，这可以看作是一种基于生命周期和流程的框架方法。2018年4月，NIST发布了该报告的1.1版本。NIST网络安全框架被广泛视为各类组织机构与企业实现网络安全保障的最佳实践性指南。1.2网络安全技术框架【应用示例1-2】针对TCP/IP网络的一种安全框架本案例给出了一种针对TCP/IP网络由安全服务、协议层次和实体单元组成的三维框架结构，从三个不同的角度阐述不同实体、不同层次的安全需求以及它们之间的逻辑关系。对TCP/IP网络的一种安全框架1.2网络安全技术框架1.2.2基于信息保障概念的网络空间纵深防护框架2.网络空间纵深防护思路与框架（2）《提升关键基础设施网络安全框架》旨在加强电力、运输和电信等“关键基础设施”部门的网络空间安全。框架分为识别（Identify）、保护（Protect）、检测（Detect）、响应（Respond）和恢复（Recover）5个层面，这可以看作是一种基于生命周期和流程的框架方法。2018年4月，NIST发布了该报告的1.1版本。NIST网络安全框架被广泛视为各类组织机构与企业实现网络安全保障的最佳实践性指南。1.3网络安全防护体系中的防火墙1.3.1防火墙与纵深防护1.标准定义国家标准《信息安全技术防火墙技术要求和测试评价方法》（GB/T20281—2020）给出的防火墙定义是，防火墙是对经过的数据流进行解析，并实现访问控制及安全防护功能的网络安全产品。1.3网络安全防护体系中的防火墙1.3.1防火墙与纵深防护根据这个定义，防火墙具有以下4个基本特征：部署位置上，防火墙是一个边界网关，设置在不同网络（如可信的企业内部网络和不可信的公共网络）或不同安全域之间，而且应当是不同网络或不同安全域之间信息的唯一出入口。工作原理上，防火墙根据网络安全策略对流经的数据进行解析、过滤、限制等控制。功能上，防火墙主要在网络层、传输层和应用层控制（允许、拒绝、监测）出入网络的信息流，新型防火墙还能实现更多应用层程序的访问控制、Web攻击防护、信息泄漏防护、恶意代码防护及入侵防御等功能，保证受保护部分的安全。性能上，防火墙应具有较高的处理效率和较强的自身抗攻击能力。1.3网络安全防护体系中的防火墙1.3.1防火墙与纵深防护2.防火墙与网络层次的关系防火墙理论上可以工作在TCP/IP模型中的各层。防火墙的主要工作在于实现访问控制策略，且所有防火墙均依赖于对TCP/IP各层协议所产生的信息流进行检查。一般说来，防火墙越是工作在协议的上层，其能够检查的信息就越多，也就能够获得更多的信息用于安全决策，因而检查的网络行为就可以越细致深入，提供的安全防护等级就越高。1.3网络安全防护体系中的防火墙1.3.1防火墙与纵深防护3.防火墙是纵深防护的重要组成（1）攻击发生前的防范使用防火墙，作为网络安全的第一道防线，它可以识别并阻挡许多黑客攻击行为。（2）攻击发生过程中的防范随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要，网络的防卫必须采用一种纵深的、多样的手段。（3）攻击发生后的应对防火墙、IPS等都提供详细的数据记录功能，可以对所有误操作的危险动作和蓄意攻击行为保留详尽的记录。1.3网络安全防护体系中的防火墙1.3.2防火墙与零信任安全1.基于边界的安全防御体系和传统防火墙的不足随着业务上云、数据上云、移动办公的普及，跨数据中心和多云环境移动的动态工作负载的复杂性日益增加，传统的安全边界不再存在。通过基于边界的安全防御体系和传统防火墙防范漏洞和攻击越来越困难。大量新漏洞和黑客攻击风险以及勒索软件和恶意软件爆发等针对性威胁说明了以下事实，暴露了传统安全模型的不足。网络无时无刻不处于危险的环境中。网络中自始至终存在外部或内部威胁。网络的位置不足以决定网络的可信程度。1.3网络安全防护体系中的防火墙1.3.2防火墙与零信任安全2.零