安全防护技术

第八章安全防护技术第一节防火墙技术本节主要内容：1.防火墙概述2.防火墙的实现技术3.防火墙体系结构4.个人防火墙Firewall Internet Internet第八章安全防护技术一、防火墙概述防火墙原是建筑物里用来防止火灾蔓延的隔断墙，在这里引申为保护内部网络安全的一道防护墙，是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。u内部和外部之间的所有网络数据流必须经过防火墙；u只有符合安全政策的数据流才能通过防火墙；u防火墙自身能抗攻击；防火墙=硬件+软件+控制策略Internet Intranet设计目标防火墙主要功能u过滤进、出网络的数据u管理进、出网络的访问行为u封堵某些禁止的业务u记录通过防火墙的信息内容和活动u对网络攻击进行检测和报警防火墙的优点 1.防止易受攻击的服务Ø通过过滤不安全的服务来降低子网上主系统的风险。Ø可以禁止某些易受攻击的服务(如NFS)进入或离开受保护的子网。Ø可以防护基于路由选择的攻击，如源路由选择和企图通过ICMP改向把发送路径转向遭致损害的网点。2.控制访问网点系统可以提供对系统的访问控制。如允许从外部访问某些主机(MailServer和WebServer)，同时禁止访问另外的主机。 3.集中安全性防火墙定义的安全规则可用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。防火墙的优点4.增强的保密、强化私有权使用防火墙系统，站点可以防止finger以及DNS域名服务。Finger能列出当前用户，上次登录时间，以及是否读过邮件等。 5.有关网络使用、滥用的记录和统计防火墙可以记录各次访问，并提供有关网络使用率等有价值的统计数字。 6.政策的执行防火墙可以提供实施和执行网络访问政策的工具。防火墙的优点防火墙的缺点 1 .不能防止内部攻击防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理，如主机安全和用户教育、管理、制度等。防火墙的缺点 2.不能防范不通过它的联接防火墙能够有效地防止通过它进行传输信息，然而不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。 3.不能防止全部的威胁只能防备已知的威胁，不能防备所有新的威胁。 4.防火墙不能防范病毒防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。防火墙的缺点 5.防火墙不能防止数据驱动式攻击当有些表面看来无害的数据被邮寄或复制到内部网主机上并被执行而发起攻击时，就会发生数据驱动攻击。特别是随着Java、JavaScript、ActiveX的应用，这一问题更加突出。第一代防火墙：1983年第一代防火墙技术出现，它几乎是与路由器同时问世的。它采用了包过滤（Packetfilter）技术，可称为简单包过滤（静态包过滤）防火墙。第二代防火墙：1991年，贝尔实验室提出了第二代防火墙——应用型防火墙（代理防火墙）的初步结构。防火墙的发展过程第三代防火墙：1992年，USC信息科学院开发出了基于动态包过滤（Dynamicpacketfilter）技术的第三代防火墙，后来演变为目前所说的状态检测（Statefulinspection）防火墙。1994年，以色列的CheckPoint公司开发出了第一个采用状态检测技术的商业化产品。防火墙的发展过程第四代防火墙：1998年，NAI公司推出了一种自适应代理（Adaptiveproxy）防火墙技术，并在其产品GauntletFirewallforNT中得以实现，给代理服务器防火墙赋予了全新的意义。防火墙的发展过程1980 1990 2000 防火墙的发展阶段包过滤代理服务自适应代理动态包过滤下图表示了防火墙技术的简单发展阶段防火墙的发展过程二、防火墙的实现技术当前所采用的防火墙技术共可分为三类：u包过滤防火墙u应用级网关u状态检测防火墙包过滤防火墙包过滤防火墙的工作原理对于每个进来的包，适用一组规则，然后决定转发或者丢弃该包，往往配置成双向的(出站和入站) 如何过滤过滤的规则以IP和传输层的头中的域(字段)为基础，包括源和目标IP地址、IP协议域、源和目标端口号事先建立一组规则，根据IP包是否匹配规则中指定的条件来作出决定。Ø如果匹配到一条规则，则根据此规则决定转发或者丢弃Ø如果所有规则都不匹配，则根据缺省策略安全缺省策略两种基本策略，或缺省策略u一切未被禁止的就是允许的Ø管理员必须针对每一种新出现的攻击，制定新的规则Ø需要确定那些被认为是不安全的服务，禁止其访问；而其他服务则被认为是安全的，允许访问。这种方法构成了一种更为灵活的应用环境，可以为用户提供更多的服务，其缺点在于很难提供可靠的安全防护。u一切未被允许的就是禁止的u比较保守u根据需要，逐渐开放u需要确定所有可以被提供的服务以及它们的安全性，然后，开放这些服务，并将所有其他未被列入的服务排除在外，禁止访问。优点是可以造成一种十分安全的环境，其缺点在于用户所能使用的服务范围受到很大限制。拒绝允许允许拒绝包过滤防火墙在网络层上进行监测u并没有考虑连接状态信息通常在路由器上实现u实际上是一种网络层的访问控制机制优点：u实现简单u对用户透明u效率高缺点：u正确制定规则并不容易u不可能引入认证机制安全缺省策略两种基本策略，或缺省策略u一切未被禁止的就是允许的u管理员必须针对每一种新出现的攻击，制定新的规则u需要确定那些被认为是不安全的服务，禁止其访问；而其他服务则被认为是安全的，允许访问。这种方法构成了一种更为灵活的应用环境，可以为用户提供更多的服务，其缺点在于很难提供可靠的安全防护。u一切未被允许的就是禁止的u比较保守u根据需要，逐渐开放u需要确定所有可以被提供的服务以及它们的安全性，然后，开放这些服务，并将所有其他未被列入的服务排除在外，禁止访问。优点是可以造成一种十分安全的环境，其缺点在于用户所能使用的服务范围受到很大限制。包过滤防火墙在网络层上进行监测u并没有考虑连接状态信息通常在路由器上实现u实际上是一种网络层的访问控制机制优点：u实现简单u对用户透明u效率高缺点：u正确制定规则并不容易u不可能引入认证机制Host C Host D 数据包数据包数据包数据包数据包查找对应的控制策略拆开数据包进行分析根据策略决定如何处理该数据包数据包控制策略v基于源IP地址v基于目的IP地址v基于源端口v基于目的端口v基于时间v基于用户v基于流量v基于访问内容可以灵活的制定的控制策略包过滤防火墙的工作原理包过滤防火墙（1）数据包过滤技术的发展：静态包过滤、动态包过滤。（2）包过滤的优点：不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高。（3）包过滤的缺点：不能彻底防止地址欺骗；一些应用协议不适合于数据包过滤（如UDP协议）；正常的数据包过滤路由器无法执行某些安全策略；安全性较差；数据包工具存在很多局限性。应用代理网关技术应用代理网关防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的TCP连接，应用层的协议会话过程必须符合代理的安全策略要求。应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强。应用级网关型防火墙结构示意结构示意图 HTTP FTP Telnet Smtp 传输层网络层链路层协议栈结构应用级网关型防火墙安全网域HostCHostD数据包数据包数据包数据包数据包查找对应的防火墙控制策略拆开数据包根据策略决定如何处理该数据包数据包应用级网关可以对数据包的数据区进行分析，并以此判断数据是否允许通过控制策略数据TCP报头IP报头分组过滤判断信息应用级网关判断信息可以实现基于内容的安全v应用控制可以对常用的高层应用做更细的控制v如HTTP的GET、POST、HEAD v如FTP的GET、PUT等物理层链路层网络层传输层会话层表示层应用层物理层链路层网络层传输层会话层表示层应用层内部网络外部网络防火墙内部接口外部接口根据策略检查应用层的数据符合策略应用层应用层应用层前三种防火墙的比较包过滤防火墙状态检测防火墙应用层防火墙二、防火墙的实现技术当前所采用的防火墙技术共可分为三类：u包过滤防火墙u应用级网关u状态检测防火墙状态检测防火墙包过滤防火墙局限性：u包过滤防火墙只通过简单的规则控制数据流的进出，没考虑高层的上下文信息u具有未授权用户可利用的漏洞状态检测防火墙摒弃了包过滤防火墙仅考查数据包的IP地址等几个参数，而不关心数据包连接状态变化的缺点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。状态检测防火墙通过建立一个出网的TCP连接目录而加强TCP数据流的检测规则(连接记录)报文过滤机制只允许那些和目录中某个连接匹配的数据流通过防火墙已连接80177.231.32.121035192.168.1.106已连接25173.66.32.1221033192.168.1.101已连接80216.32.42.1231031192.168.1.102已连接80210.9.88.291030192.168.1.100连接状台目的端口目的地址源端口源地址状态检测原理安全网域HostCHostD数据包数据包数据包数据包数据包查找对应的连接是否存在拆开数据包根据连接存在与否和策略决定如何处理该数据包数据包策略和状态信息库数据3TCP报头IP报头状态检查数据2TCP报头IP报头数据1TCP报头IP报头状态检查防火墙的包过滤器通过建立外向TCP连接表，加强了处理TCP通信规则已连接25HostA1035HostD已连接23xxx1033HostC已连接21HostA1031HostB已连接80HostA1030HostB连接状态目的端口目的地址源端口源地址HTTP例子如果是简单包过滤对于进入的包必须开放以下规则所有源 TCP端口为80，IP地址任意，目标为内部IP,端口号大于1024。容易受到攻击；安全网域 Host CHost D web 服务器：TCP 202.38.75.11:80 1024­16383中的临时端口HTTP例子安全网域 Host CHost D web 服务器：TCP 202.38.75.11:80 1024­16383中的临时端口进入的数据包，目标为内部的1024­16383之间端口且它的信息与连接字典里某一条记录匹配，才允许进入（包过滤加状态检测） 1993年，Check Point公司成功推出了世界上第一台商用的状态检测防火墙产品已连接80192.168.3.63211202.38.73.54已连接80192.168.3.63221202.38.75.11已连接80192.168.3.63280202.38.64.3已连接25177.231.32.121035192.168.3.106已连接25173.66.32.1221033192.168.3.101已连接80216.32.42.1231031192.168.3.102已连接80202.38.75.111030192.168.3.100连接状态目的端口目的地址源端口源地址三种防火墙的比较包过滤防火墙状态检测防火墙应用层防火墙三、防火墙体系结构目前，防火墙的体系结构一般有以下几种：Ø屏蔽路由器Ø双重宿主主机体系结构Ø被屏蔽主机体系结构Ø被屏蔽子网体系结构。有关术语u堡垒主机(Bastionhost):堡垒主机是一种配置了安全防范措施的网络上的计算机，