网络安全07-防火墙

网络安全防火墙技术网络安全的构成物理安全性设备的物理安全：防火、防盗、防破坏等通信网络安全性防止入侵和信息泄露系统安全性计算机系统不被入侵和破坏用户访问安全性通过身份鉴别和访问控制，阻止资源被非法用户访问数据安全性数据的完整、可用数据保密性信息的加密存储和传输安全的分层结构和主要技术物理安全层网络安全层系统安全层用户安全层应用安全层数据安全层加密访问控制授权用户/组管理单机登录身份认证反病毒风险评估入侵检测审计分析安全的通信协议VPN防火墙存储备份防火墙基本概念什么是防火墙防火墙是位于两个(或多个)网络间，实施网间访问控制的组件集合，通过建立一整套规则和策略来监测、限制、更改跨越防火墙的数据流，达到保护内部网络的目的防火墙的设计目标内部和外部之间的所有网络数据流必须经过防火墙；只有符合安全政策的数据流才能通过防火墙；防火墙自身能抗攻击；防火墙=硬件+软件+控制策略防火墙逻辑位置示意图Email服务器Web服务器AInternet内部客户机AIntranet数据库服务器Web服务器B外部客户机C外部客户机D防火墙内部客户机B两个网络安全域间通信流的唯一通道源主机目的主机控制协议主机CWebA主机D主机A主机BWebAWebBWebB允许允许拒绝拒绝TCPUDPHTTPIP根据访问控制规则决定进出网络的行为企业网现状移动用户Internet用户Internet企业网分公司商业伙伴危机四伏常见的威胁粗心大意或不满的员工恶意代码(Malware)病毒、蠕虫、特洛伊木馬、恶作剧程序恶性的竞争对手黑客(Hacker)……需求为什么需要防火墙保护内部网不受来自Internet的攻击创建安全域强化机构安全策略对防火墙的两大需求保障内部网安全保证内部网同外部网的连通防火墙系统四要素安全策略内部网外部网技术手段防火墙的控制能力服务控制确定哪些服务可以被访问；方向控制对于特定的服务，可以确定允许哪个方向能够通过防火墙；用户控制根据用户来控制对服务的访问；行为控制控制一个特定的服务的行为；防火墙能做什么-1隔断挡住未经授权的访问流量；禁止具有脆弱性的服务带来危害；实施保护，以避免各种IP欺骗和路由攻击；过滤过滤掉未经授权的网络流量；代理防火墙能做什么-2审计报警NAT解决IP地址不足的问题保护内部网络地址配置隐藏网络服务的真实地址计费VPN(IPSec)防火墙技术带来的好处强化安全策略有效地记录Internet上的活动隔离不同网络，限制安全问题扩散是一个安全策略的检查站防火墙的不足使用不便，有些人认为防火墙给人虚假的安全感对用户不完全透明，可能带来传输延迟瓶颈及单点失效不能替代墙内的安全措施不能防范恶意的知情者不能防范不通过它的连接，如拨号不能防范全新的威胁不能有效地防范数据驱动式的攻击，如病毒当使用端-端加密时其作用会受到很大的限制关于防火墙的争议防火墙破坏了Internet端到端的特性，阻碍了新的应用的发展防火墙没有解决主要的安全问题，即网络内部的安全问题防火墙给人一种误解，降低了人们对主机安全的意识防火墙的类型防火墙的类型包过滤路由器应用层网关电路层网关包过滤路由器基本的思想在网络层对数据包进行选择对于每个进来的包，适用一组规则，然后决定转发或者丢弃该包判断依据有(只考虑IP包)：数据包协议类型：TCP、UDP、ICMP、IGMP等源、目的IP地址源、目的端口：FTP、HTTP、DNS等IP选项：源路由、记录路由等TCP选项：SYN、ACK、FIN、RST等其它协议选项：ICMPECHO、ICMPECHOREPLY等数据包流向：in或out数据包流经网络接口：eth0、eth1包过滤路由器示意图网络层链路层物理层外部网络内部网络包过滤防火墙的特点在网络层上进行监测并没有考虑连接状态信息通常在路由器上实现实际上是一种网络的访问控制机制优点：实现简单对用户透明一个包过滤路由器即可保护整个网络缺点：正确制定规则并不容易不可能引入认证机制包过滤防火墙只通过简单的规则控制数据流的进出，没考虑高层的上下文信息过滤规则举例第一条规则：主机10.1.1.1任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。第二条规则：任何主机的20端口访问主机10.1.1.1的任何端口，基于TCP协议的数据包允许通过。第三条规则：任何主机的20端口访问主机10.1.1.1小于1024的端口，如果基于TCP协议的数据包都禁止通过。组序号动作源IP目的IP源端口目的端口协议类型1允许10.1.1.1***TCP2允许*10.1.1.120*TCP3禁止*10.1.1.1201024TCP针对包过滤防火墙的攻击IP地址欺骗，例如，假冒内部的IP地址对策：在外部接口上禁止内部地址源路由攻击，即由源指定路由从而旁路安全措施对策：禁止这样的选项小碎片攻击，利用IP分片功能把TCP头部切分到不同的分片中，以绕过用户定义的过滤规则对策：丢弃分片太小的分片利用复杂协议和管理员的配置失误进入防火墙例如，利用ftp协议对内部进行探查应用层网关应用层网关在应用层上建立协议过滤和转发功能针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告特点所有的连接都通过防火墙，防火墙作为网关在应用层上实现，网关理解应用协议，可以实施更细粒度的访问控制可以监视包的内容可以实现基于用户的认证可以提供理想的日志功能对每一类应用，都需要一个专门的代理，不够灵活非常安全，但是开销比较大应用层网关的工作原理客户网关服务器发送请求转发请求请求响应转发响应应用层网关不依赖包过滤工具来管理Internet服务，而是采用为每种所需服务在网关上安装代理服务的方式来管理Internet服务。如果网络管理员没有为某种应用安装代理编码，那么该项服务就不被支持并不能通过防火墙系统来转发。可以完全控制提供哪些服务，因为没有特定服务的代理就表示该服务不提供。应用层网关的协议栈结构HTTPFTPTelnetSmtp传输层网络层链路层应用层网关的优缺点优点允许用户“直接”访问Internet；易于记录日志；缺点新的服务不能及时地被代理每个被代理的服务都要求专门的代理软件客户软件需要修改，重新编译或者配置有些服务要求建立直接连接，无法使用代理比如聊天服务、或者即时消息服务代理服务不能避免协议本身的缺陷或者限制应用层网关实现编写代理软件代理软件一方面是服务器软件但是它所提供的服务可以是简单的转发功能另一方面也是客户软件对于外面真正的服务器来说，是客户软件针对每一个服务都需要编写模块或者单独的程序实现一个标准的框架，以容纳各种不同类型的服务软件实现的可扩展性和可重用性客户软件软件需要定制或者改写对于最终用户的透明性？协议对于应用层网关的处理协议设计时考虑到中间代理的存在，特别是在考虑安全性，比如数据完整性的时候电路层网关电路层网关是一个通用代理服务器，工作TCP/IP协议的TCP层将所有跨越防火墙的网络通信分为两段建立两个TCP连接，一个是内主机与防火墙，另一个是防火墙与外主机电路层网关只是在内部连接和外部连接之间来回拷贝字节，并不进行任何附加的包处理或过滤通过电路层网关传递的数据似乎起源于网关，隐藏了被保护网络的信息电路层网关常用于向外连接，对于要访问互联网服务的内部用户来说使用起来很方便电路层网关示意图不允许外部网与内部网的直接通信在网络的传输层上实施访问策略：防火墙建立两个TCP连接，一个是内主机与防火墙，另一个是防火墙与外主机连接似乎是起源于防火墙，从而隐藏了受保护网络的有关信息电路层网关的特点拓扑结构同应用程序网关相同接收客户端连接请求代理客户端完成网络连接在客户和服务器间中转数据通用性强电路层网关实现方式简单重定向根据客户的地址及所请求端口将该连接重定向到指定的服务器地址及端口上对客户端应用完全透明在转发前同客户端交换连接信息需对客户端应用作适当修改电路层网关的优缺点优点效率高精细控制，可以在应用层上授权为一般的应用提供了一个框架缺点客户程序需要修改个人防火墙是一种能够保护个人计算机系统安全的软件，它可以直接在用户的计算机上运行；可以对用户计算机的网络通信进行过滤；通常具有学习模式，可以在使用中不断增加新的规则；分布式防火墙传统防火墙技术的几个问题依赖于防火墙一端可信，另一端是潜在的敌人Internet的发展使从外部穿过防火墙访问内部网的需求增加了一些内部主机需要更多的权限只依赖于端-端加密并不能完全解决问题过于依赖物理拓扑结构分布式防火墙的思路主要工作防护工作在主机端；打破传统防火墙的物理拓扑结构，不单纯依靠物理位置来划分内外；由安全策略来划分内外网；具体方法：策略描述语言：说明什么连接允许，什么连接不允许；一系列系统管理工具：用于将策略发布到每一主机处，以保证机构的安全防火墙的配置模式防火墙简图Gateway(s)FilterFilterInsideOutside防火墙的位置默认安全策略没有明确禁止的行为都是允许的没有明确允许的行为都是禁止的防火墙体系结构双宿/多宿主机模式(dual-homed/multi-homed)屏蔽主机模式屏蔽子网模式双宿/多宿主机模式堡垒主机是一种配置了安全防范措施的网络上的计算机，它为网络之间的通信提供了一个阻塞点，也就是说如果没有堡垒主机，网络之间将不能相互访问。这种防火墙的特点是主机的路由功能是被禁止的，即主机在两个端口之间直接转发信息的功能被关掉。两个网络之间的通信通过应用层代理服务来完成。如果一旦黑客侵入堡垒主机并使其具有路由功能，防火墙将变得无用。屏蔽主机模式堡垒主机安装在内部网络上，在包过滤路由器上设立过滤规则，使堡垒主机成为从外部网络唯一可直接到达的主机，这确保了内部网络不受非授权外部用户的攻击。堡垒主机可以充当应用层网关和电路级网关。屏蔽主机防火墙实现了网络层（包过滤路由器）和应用层（堡垒主机）的安全，因而比单独的包过滤或应用网关代理更安全。在这一方式下，过滤路由器是否配置正确是这种防火墙安全与否的关键，如果路由表遭到破坏，堡垒主机就可能被越过，使内部网完全暴露屏蔽子网模式屏蔽子网防火墙是目前较流行的一种结构，采用了两个包过滤路由器和一个堡垒主机，在内外网络之间建立了一个被隔离的子网，定义为“非军事区”，有时也称作周边网，用于放置堡垒主机，WEB服务器、Mail服务器等公用服务器。内部网络和外部网络均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。在这一配置中，即使堡垒主机被入侵者控制，内部网仍受到内部包过滤路由器的保护。实施中的其他问题服务最小特权原则使用多堡垒主机合并内部路由器与外部路由器合并堡垒主机与外部路由器合并堡垒主机与内部路由器使用多台内部路由器使用多台外部路由器使用多个周边网络使用双重宿主主机与屏蔽子网谢谢！