计算机网络安全基础

1安全网管技术张焕杰中国科学技术大学网络信息中心james@ustc.edu.cn~james/nmsTel:3601897(O)2第3章网络隔离与防火墙技术(1)本章主要内容–物理隔离技术与双网隔离计算机–协议隔离技术–防火墙技术–包过滤防火墙–Socks协议参考资料：–计算机网络安全基础，袁津生等，人民邮电出版社3网络隔离与防火墙技术根据安全等级不同将网络划分不同的部分各个部分之间采用物理、逻辑隔离或受限访问方式互连物理隔离–网络间禁止有物理通信线路连接–困难拨号/无线网络移动设备逻辑隔离–协议转换受限访问–防火墙4案例：政府网络一般划分为3个安全等级不同的部分–内部保密专用网络，传送保密信息–业务网络，传送政府业务管理信息–Internet连接网络，建设网站或对外访问保密网络要求跟其它部分物理隔离其它部分可以在保证安全性情况下互连5案例：证券交易网一般划分为3个安全等级不同的部分–证券交易业务专用网络，传送证券业务信息–企业内综合管理网络，传送办公、财务、VOIP等企业内部管理信息–Internet连接网络，建设网站或对外访问交易网络首先要保证可靠性和安全性，跟其它部分物理隔离，必要时可以采用逻辑隔离方式连接其它可以在保证安全性情况下互连63.1物理隔离网络间禁止有物理通信线路连接建立2套独立的网络系统–交换机、服务器、布线、客户机难点：–无处不在的Internet拨号/无线网络移动设备–每人2台计算机？7双网隔离计算机•解决每人2台计算机的问题•1台计算机，可以分时使用内网或外网•关键部件•硬盘•网线•软盘/USB/MODEM等•共享部件•显示器•键盘/鼠标•主板/电源•原理•切换关键部件8简单双网隔离计算机外网硬盘内网硬盘外网网线内网网线公共部件控制卡控制开关9简单双网隔离计算机优点–一台计算机，可以分时使用内外网–降低成本–控制卡简单缺点–增加硬盘–增加网线–安装复杂，重新安装一个操作系统–内外网数据无法传递–切换时需要断电、切换、重新启动10复杂双网隔离计算机内网硬盘外网网线内网网线公共部件控制卡远端设备使用控制卡上的翻译功能将硬盘分为逻辑上独立的部分充分使用UTP中的8芯，减少一根网线11复杂双网隔离计算机优点–仅仅增加控制卡和远端设备（无源），成本低–安装容易，不需重新安装操作系统–软切换，界面友好–存在数据传输通道设置一个逻辑分区，内网状态只读，外网状态可读写缺点–控制卡复杂12双网隔离计算机侧重保密需求政府中应用较多对病毒并无特别防护使用中注意其它数据传输途径的危害–软盘/USB等–MODEM133.2协议隔离技术使用不同的协议，切断整个系统内的全局连通性避免被攻击后整个系统处于危险状态类似于代理技术，协议转换相当于在不同协议之间的代理常用于安全要求较高，但是又不得不建立连接的地方14串口/并口隔离技术转换机1转换机2TCP/IPTCP/IP串口/并口专用协议，专用程序简单协议如：文件传送特定协议包的转发15串口/并口隔离技术优点–简单，相对比较安全缺点–专有的转换程序、协议，不容易维护–速率慢–隐患如简单的文件传输，带病毒的文件也会被传输16异构协议的隔离技术转换机1转换机2TCP/IPTCP/IPIPX/SPX专用协议，专用程序简单协议如：文件传送特定协议包的转发17异构协议的隔离技术破坏全局连通性仅仅允许特定数据包被转发安全性取决于–程序的实现–转换机的操作系统安全性–转换的协议细节18异构协议的隔离技术转换的协议–一般采用基于数据包收/发的通信方式–跟应用直接相关–如证券交易的操作主机签到/签到应答交易请求/交易应答查询请求/查询应答协议越简单，实现的难度越低，越不容易出现问题，越安全19案例：网上证券交易系统转换机1转换机2IPX/SPX防火墙证券业务专网防火墙加/解密交易处理Internet客户机Internet20同构协议的隔离技术单向连接–仅仅允许信息单向流动–如一个系统需要公开发布的信息，可以通过单向连接传输出去，而系统不具备任何被攻击的可能实时交换–先连接到一个网络上读取一些数据–断开所有连接，对数据进行处理、安全检查–再连接到一个网络上发送这些数据21实时交换技术外网内网控制存储介质从外网取数据22实时交换技术外网内网控制存储介质处理、安全检查23实时交换技术外网内网控制存储介质数据发送给内网24实时交换技术破坏了全局连通性依靠类似存储转发机制安全性提高？系统效率？防火墙技术Firewall来源于建筑业，用墙来分隔建筑物的各个部分，并具有防火功能。万一某一部分或单元失火时，火灾被限制在一个局部范围内，其它部分不会受到损害。26防火墙技术主要介绍：1.防火墙基本概念2.防火墙的分类3.包过滤4.代理服务27防火墙基本概念防火墙是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，目的是保护网络不被他人侵扰。本质上，它遵循的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。网络边界上访问控制设施。根据预先定义的策略控制穿过防火墙的信息流通。28防火墙基本概念通常，防火墙就是位于内部网或Web站点与因特网之间的一个设备。防火墙是由管理员为保护自己的网络免遭外界非授权访问但又允许与因特网联接而发展起来的。防火墙可以看成是安装在两个网络之间的一道栅栏，根据安全计划和安全策略中的定义来保护其后面的网络。29防火墙基本概念由软件和硬件组成的防火墙应该具有以下功能：–所有进出网络的通信流都应该通过防火墙。–所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。–理论上说，防火墙是穿不透的。30防火墙基本概念内部网需要防范的三种攻击有：–间谍：试图偷走敏感信息的黑客、入侵者和闯入者。–盗窃：盗窃对象包括数据、Web表格、磁盘空间和CPU资源等。–破坏系统：通过路由器或主机／服务器蓄意破坏文件系统或阻止授权用户访问内部网（外部网）和服务器。防火墙的作用是保护Web站点和公司的内部网，使之免遭因特网上各种危险的侵犯。31防火墙基本概念防火墙在因特网与内部网中的位置从逻辑上讲，防火墙是一个控制器，控制内外网之间的通信。从物理角度看，防火墙物理实现的方式有所不同。通常防火墙是一组硬件设备，即路由器、计算机或者是路由器、计算机和配有适当软件的网络的多种组合。32防火墙基本概念防火墙的基本功能–防火墙能够强化安全策略–防火墙能有效地记录因特网上的活动–防火墙限制暴露用户点–防火墙是一个安全策略的检查站防火墙的不足之处–不能防范恶意的知情者–防火墙不能防范不通过它的连接–防火墙不能防备全部的威胁–防火墙不能防范病毒33防火墙分类包过滤型–根据数据包的源地址、目的地址、协议、端口、协议内部数据、时间、物理接口来判断是否允许数据包通过。–外在表现：路由型、透明网桥型、混合型–优点：性能高，对应用透明，使用方便–缺点：安全控制粒度不够细34防火墙分类应用层代理–对不同的应用进行相关的特殊处理，一般具有身份认证、访问控制、日志等功能。–不同的应用需要不同的代理：HTTP、FTP、TELNET、SMTP、POP3优点：–安全控制粒度细，可以实现基于用户的控制缺点：–每种应用要设置，对用户不透明，不是所有应用都支持代理–使用复杂–性能低35防火墙分类代理的实现过程36应用层代理HTTP，本身支持代理–GETURL_You_WantHTTP/1.0–CONNECTIP:PORTHTTP/1.0(tcpproxyforssl)POP3协议，原来不支持代理，扩展语法–USERproxy-user:server-user[@server]–PASSproxy-pass:server-pass37防火墙分类链路级代理–类似于应用层代理，区别是不针对专门应用协议，而是针对TCP、UDP连接进行中继服务，一般具有身份认证、访问控制、日志等功能，最典型的是socks代理。优点：–安全控制粒度适中，可以实现基于用户的控制–在Windows环境下，通过截获winsock调用，基本上可以做到对应用透明，使用方便缺点：–性能低383.4包过滤防火墙包过滤型防火墙是应用最普遍的防火墙。包是网络上信息流动的单位。包过滤型防火墙对经过它的数据包进行处理，仅仅允许安全策略允许的数据包通过。其他的数据包全部丢弃。在处理过程中可以进行日志记录。包过滤一直是一种简单而有效的方法。通过拦截安全策略不允许的数据包，保护内部网络的安全。39包过滤防火墙包过滤防火墙一般放置在不同安全等级的网络之间案例：XXX市政府业务网络结构图40包过滤防火墙每个数据包有两个部分：数据部分和包头。每个数据包都包含有特定信息的一组报头，其主要信息是：–IP协议类型（TCP、UDP，ICMP等）–IP源地址–IP目标地址–IP选择域的内容–TCP或UDP源端口号–TCP或UDP目标端口号–ICMP消息类型包过滤器主要根据以上信息决定一个数据是否符合安全策略要求41包过滤防火墙包过滤系统只能让我们进行类似以下情况的操作：–外部用户仅仅能访问服务器上的服务–允许任何用户使用SMTP往内部网发电子邮件；–只允许某台机器使用QQ42包过滤防火墙包过滤不能允许我们进行如下的操作：–禁止用户发送垃圾邮件–用户只能发送QQ信息，不能接收QQ信息–用户只能看文本的，不能看图片43包过滤防火墙包过滤器规则–包过滤器工作时依靠预先设定的规则来对数据包进行判断没有被明确允许的都被拒绝规则有先后顺序关系规则的例子–Allowproto=icmpsrc=202.38.64.0/24–Rejectproto=tcpsrc=202.38.64.40dst=202.38.64.2dport=80–Allowproto=tcpdst=202.38.64.2dport=8044包过滤操作流程图45包过滤防火墙包过滤设计考虑图中的网络，其中过滤路由器被用作在内部被保护网络和外部不信任网络之间的第一道防线。策略：内部SMTPServer:202.38.64.1允许从128.0.0.1以外的SMTP连接允许SMTPServer对外发邮件46包过滤防火墙序号动作协议SRCSportDSTDportSYN1REJTCP128.0.0.01any202.38.64.1252ACPTCPany1024202.38.64.1253ACPTCP202.38.64.125any1024!SYN4ACPTCP202.38.64.11024any255ACPTCPany25202.38.64.11024!SYN47包过滤防火墙仅仅根据单个数据包判断的包过滤防火墙有很多弊端如：–仅仅允许内部机器访问DNS服务(UDP53)48包过滤防火墙序号动作协议SRCSportDSTDportSYN1ACPUDP内网1024any532ACPUDPany53内网1024所有内网UDP1024端口都开放了！！！49包过滤防火墙状态包过滤StatefulFirewall记录数据包的连接状态–TCP:SYN_SENT,SYN_RECV,ESTABLISHED,TIME_OUT等，根据数据包的内容动态修改–UDP:无状态，第一个数据包触发创建一个新连接，后续的数据包刷新该连接，直到超时后连接信息被删除–ICMP:状态50包过滤防火墙状态表超时协议SRCSportDSTDportstate51SYNSYNACKACKClientServer状态SYN_SENTESTABLISHED52包过滤防火墙状态过滤–状态：ESTABLISHED–已经建立的连接的数据包RELATED–已经建立的连接相关连接的数据包，如ftp的data连接N