网络安全理论与技术(第十一讲)

网络安全理论与技术网络安全理论与技术张卫东西安电子科技大学通信工程学院信息工程系西安电子科技大学通信工程学院信息工程系EE--mail:xdzwd@yahoocomcnmail:xdzwd@yahoocomcnEEmail:xd_zwd@yahoo.com.cnmail:xd_zwd@yahoo.com.cn网络安全理论与技术1数据包过滤包滤包过滤是一种保安机制，它控制哪些数据包可以进出网络而哪些数据包应被网络拒绝我们在这儿首进出网络而哪些数据包应被网络拒绝。我们在这儿首先简单介绍一些高层IP（因特网协议）网络的概念。一个文件要穿过网络，必须将文件分成小块，每小块文件单独传输。把文件分成小块的做法主要是为块文件单独传输文件成块做要是为了让多个系统共享网络，每个系统可以依次发送文件块。在IP网络中，这些小块被称为包。所有的信息传输都是以包的方式来实施的输都是以包的方式来实施的。网络安全理论与技术2数据包过滤的特点数据包过滤的安全策略基于以下几种方式：（1）数据包的源地址。（2）数据包的目的地址。（2）数据包的目的地址。（3）数据包的TCP/UDP源端口。（4）数据包的TCP/UDP目的端口。（4）数据包的TCP/UDP目的端口。（5）数据包的标志位。（6）用来传送数据包的协议。（6）用来传送数据包的协议。被过滤的数据包格式源地址目标地址源端口目的端口Data网络安全理论与技术3TCP或UDP头IP头数据包过滤包过滤是如何工作的?包过滤技术以允许或不允许某些包在网络上传递包滤包过滤技术可以允许或不允许某些包在网络上传递，它依据以下的判据：（1）将包的目的地址作为判据；（1）将包的目的地址作为判据；（2）将包的源地址作为判据；（3）将包的传送协议作为判据。将的传送协议作为判据包过滤系统只能让我们进行类似以下情况的操作：（1）不让任何用户从外部网用Telnet登录（1）不让任何用户从外部网用Telnet登录；（2）允许任何用户使用SMTP往内部网发电子邮件；（3）只允许某台机器通过NNTP往内部网发新闻。（3）只允许某台机器通过NNTP往内部网发新闻。网络安全理论与技术4数据包过滤包过滤系统不能允许我们进行如下的操作：（1）允许某个用户从外部网用l登录不允许其他用包滤（1）允许某个用户从外部网用Telnet登录而不允许其他用户进行这种操作。（2）允许用户传送一些文件而不允许用户传送其它文件（2）允许用户传送一些文件而不允许用户传送其它文件。入侵者总是把他们伪装成来自于内部网。要用包过入侵者总是把他们伪装成来自于内部网。要用包过滤路由器来实现我们设计的安全规则，唯一的方法是通过参数网络上的包过滤路由器。只有处在这种位置上的包滤路由才能查看包的地从辨认出这包过滤路由器才能通过查看包的源地址，从而辨认出这个包到底是来自于内部网还是来自于外部网。网络安全理论与技术5数据包过滤包滤源地址伪装装网络安全理论与技术6数据包过滤1．包过滤的优点包过滤方式有许多优点而其主要优点之是仅用个放置包滤包过滤方式有许多优点，而其主要优点之一是仅用一个放置在重要位置上的包过滤路由器就可保护整个网络。如果我们的站点与因特网间只有一台路由器，那么不管站点规模有多大，只要在这台路由器上设置合适的包过滤，我们的站点就可获得很好的网络安全保护。2．包过滤的缺点（1）在机器中配置包过滤规则比较困难；（2）对系统中的包过滤规则的配置进行测试也较麻烦；（3）许多产品的包过滤功能有这样或那样的局限性，要找一）许多产品的包过滤功能有这样或那样的局限性，要找个比较完整的包过滤产品比较困难。网络安全理论与技术7数据包过滤包过滤路由器的配置在配置包过滤路由器时我们首先要确定哪些服务允包滤在配置包过滤路由器时，我们首先要确定哪些服务允许通过而哪些服务应被拒绝，并将这些规定翻译成有关的包过滤规则。包过滤规则。下面给出将有关服务翻译成包过滤规则时非常重要的几个概念。（1）协议的双向性。协议总是双向的，协议包括一方发送一个请求而另一方返回一个应答。在制定包过滤规则时，要注意包个来路是从两个方向来到路由器的。（2）“往内”与“往外”的含义。在我们制定包过滤规则时，必须准确理解“往内”与“往外”的包和“往内”与“往外”须准确理解往内与往外的包和往内与往外的服务这几个词的语义。网络安全理论与技术8数据包过滤（3）“默认允许”与“默认拒绝”。网络的安全策略中的有两种方法：默认拒绝（没有明确地被允包滤许就应被拒绝）与默认允许（没有明确地被拒绝就应被允许）。从安全角度来看，用默认拒绝应该更合适。包的基本构造包的构造有点像洋葱一样它是由各层连接的协议组成的每包的构造有点像洋葱一样，它是由各层连接的协议组成的。每一层，包都由包头与包体两部分组成。在包头中存放与这一层相关的协议信息，在包体中存放包在这一层的数据信息。这些数据信息也包含了上层的全部信息在每层上对包的处理是将从上层获取也包含了上层的全部信息。在每一层上对包的处理是将从上层获取的全部信息作为包体，然后依本层的协议再加上包头。这种对包的层次性操作（每一层均加装一个包头）一般称为封装。网络安全理论与技术9数据包过滤包滤数据据包的的封装装网络安全理论与技术10数据包过滤包过滤处理内核过滤路由器可以利用包过滤作为手段来提高网络的安全性包滤全性。1．包过滤和网络策略包过滤还可以用来实现大范围内的网络安全策略网包过滤还可以用来实现大范围内的网络安全策略。网络安全策略必须清楚地说明被保护的网络和服务的类型、它们的重要程度和这些服务要保护的对象。2．一个简单的包过滤模型包过滤器通常置于一个或多个网段之间。外部网段是通过网络将用户的计算机连接到外面的网络上，内部网段用来连接公司的主机和其它网络资源。包过滤器设备的每一端口都可用来完成网络安全策略包过滤器设备的每一端口都可用来完成网络安全策略，该策略描述了通过此端口可访问的网络服务类型。网络安全理论与技术11数据包过滤3．包过滤器操作包滤（l）包过滤标准必须由包过滤设备端口存储起来，这些包过滤标准叫包过滤规则。（2）当包到达端口时，对包的报头进行语法分析，大多（2）当包到达端口时，对包的报头进行语法分析，大多数包过滤设备只检查IP、TCP或UDP报头中的字段，不检查包体的内容。（3）包过滤器规则以特殊的方式存储（3）包过滤器规则以特殊的方式存储。（4）如果一条规则阻止包传输或接收，此包便不被允许通过。（5）如果一条规则允许包传输或接收，该包可以继续处理。（6）如果一个包不满足任何一条规则该包被阻塞（6）如果一个包不满足任何一条规则，该包被阻塞。网络安全理论与技术12数据包过过滤操作作流程程图网络安全理论与技术13数据包过滤4．包过滤设计包滤考虑图中的网络，其中包过滤路由器被用作在内部被保护网络和外部不信任网络之间护网络和外部不信任网络之间的第一道防线。假设网络策略安全规则确假设网络策略安全规则确定：从外部主机发来的因特网邮件在某一特定网关被接收，邮件在某特定网关被接收，并且想拒绝从不信任的CREE-PHOST的主机发来的数据流。网络安全理论与技术14数据包过滤在这个例子中，SMTP使用的网络安全策略必须翻译成包过滤规则。我们可以把网络安全规则翻译成下列中文包滤成包过滤规则。我们可以把网络安全规则翻译成下列中文规则：[过滤器规则1]：我们不相信从CREE-PHOST来的连接。[过滤器规则2]：我们允许与我们的邮件网关的连接。这些规则可以编成表。其中星号(*)表明它可以匹配该列的任何值列的任何值。对于过滤器规则1：阻塞任何从(*)CREE-PHOST端口来的到我们任意(*)主机的任意(*)端口的连接来的到我们任意()主机的任意()端口的连接。对于过滤器规则2：允许任意(*)外部主机从其任意(*)端口到我们的Mail-GW主机端口的连接。网络安全理论与技术15数据包过滤序动作内部主机内外部主机外说明1阻塞**Cree-phost*阻塞来自CREEPHOST流量包滤1阻塞Cree-phost阻塞来自CREEPHOST流量2允许Mail-GW252*允许我们的邮件网关的连接3允许**325允许输出SMTP至远程邮件网关对于过滤器规则3：表示了一个内部主机发送SMTP邮件到外部主机端口25如果外部站点对SMTP不使用端口253允许325允许输出SMTP至远程邮件网关件到外部主机端口25。如果外部站点对SMTP不使用端口25，那么SMTP发送者便发送邮件。这些规则应用的顺序与它们在表中的顺序相同如果这些规则应用的顺序与它们在表中的顺序相同。如果一个包不与任何规则匹配，它就会遭到拒绝。表中规定：它允许任何外部机器从端口25产生一个请求。端口25应该保留SMTP。网络安全理论与技术16数据包过滤包过滤规则制定包过滤规则时应注意的事项：包滤制定包过滤规则时应注意的事项：（l）联机编辑过滤规则。（2）要用IP地址值，而不用主机名。（2）要用IP地址值，而不用主机名。依据地址进行过滤在包过滤系统中，昀简单的方法是依据地址进行过滤。用地址进行过滤可以不管使用什么协议，仅根据源地址/目的地址对流动的包进行过滤我们可用这种方法地址/目的地址对流动的包进行过滤。我们可用这种方法只让某些被指定的外部主机与某些被指定的内部主机进行交互。还可以防止黑客用伪包装成来自某台主机，而行交还可以防黑客用伪包装成来自某台主机，而其实并非来自于那台主机的包对网络进行的侵扰。网络安全理论与技术17数据包过滤包滤依据服务进行过滤依据服务进行过滤务行1．往外的Telnet服务按服务过滤，就是根据相应的TCP/UDP端口进行过滤。在往外的Telnet服务中，一个本地用户与一个远程服务器交互。我们必须对往外与往内的包都加以处理。2．往内的Telnet服务2．往内的Telnet服务3．依据源端口来过滤依据源端口来过滤必须有个前提，提供端口号的机器必须是真实的。源来有个前，号真实如若入侵者已经通过root完全控制了这台机器，那他就可随意在这台机器上，也就等于在我们包过滤规则的端口上运行任意的客户程序或服务器程序。有时我们就根本不能相信由对方机器提供的机器源地址，因为有可能那台机器就是入侵者伪装的。网络安全理论与技术18数据包过滤•包过滤内在缺点：包滤¾虽然有一些工具可以用来维护它，但这种防火墙的维护比较困难。¾IP包中的目的地址、源地址、源端口和目标端口是唯一可以用于判断是否允许包通过的信息断是否允许包通过的信息。¾这种防火墙只能阻止一种类型的IP欺骗，即外部主机伪装内部主机的IP，对于外部主机伪装其他外部主机的IP却不可能阻止，而且它不能防止DNS欺骗。¾如果外部用户被允许访问内部主机则他就可以直接访问内部网上的任何主机。¾一些包过滤网关不支持有效的用户认证。¾这种网关不可能提供有用的日志，或根本就不提供，而日志在入侵检查中的作用是很重要的很多黑客入侵了内部网络都会在日志检查中的作用是很重要的。很多黑客入侵了内部网络，都会在日志中留下蛛丝马迹，这对于追查黑客是很有用处的。网络安全理论与技术19分组过滤原理分组过滤原理DestinationProtocolPermitSource控制策略UDPBlockHostCHostBTCPPassHostCHostA查找对应的控制策略安全网域HostCHostD查找对应的控制策略根据策略决定如何处理该数据包HostCHostD拆开数据包何处理该数据包数据数据包数据包数据包包数据TCP报头IP报头数据TCP报头IP报头分组过滤判断信息过滤依据主要是TCP/IP报头里面的信息，不能对应用层数据进行处理网络安全理论与技术20数据包过滤防火墙的实现过程数据包过滤防火墙的实现过程建立安全策略•建立安全策略–规定哪些数据包允许通过、哪些不允许通过•转化成对IP地址和端口的判断•转化具体防火墙支持的语法格式转化具体防火墙支持的语法格式•在具体的系统上设置网络安全理论与技术21数据包过滤实例下面将通过个例子来讲解这种过滤方式第一、假设处于一个类网络116.111.4.0，认为站点下面，将通过一个例子来讲解这种过滤方式将通过一个例子来讲解这种过滤