运行安全--防火墙与入侵检测

计算机网络与信息安全技术研究中心1运行安全--防火墙与入侵检测主讲人：翟健宏Email:zhaijh@hit.edu.cn办公室:新技术楼509Tel:0451-86402573计算机网络与信息安全技术研究中心防火墙与入侵检测的关系2INTERNETRouterFirewallIDSSwitchMailProxyFtpWebSwitchCANWMHUBHUBKerberosVPN计算机网络与信息安全技术研究中心一、防火墙1防火墙的基本概念与体系结构2防火墙相关技术3防火墙技术的发展3计算机网络与信息安全技术研究中心41防火墙的基本概念与体系结构1.1防火墙定义•防火墙是位于两个或多个网络之间，执行访问控制策略的一个或一组系统，是一类防范措施的总称。•一个好的防火墙具备：1.内部和外部之间的所有网络数据流必须经过防火墙2.只有符合安全政策的数据流才能通过防火墙3.防火墙自身应对渗透(penetration)免疫计算机网络与信息安全技术研究中心5•1.2防火墙与OSI/RM模型计算机网络与信息安全技术研究中心61.3防火墙的概念•堡垒主机：BastionHost–堡垒主机是一种配置了安全防范措施的网络的计算机，堡垒主机为网络之间的通信提供了一个阻塞点，也就是说如果没有堡垒主机，网络之间将不能相互访问。•双宿主机：Dual-homedHost–有两个网络接口的计算机系统，一个接口接内部网，一个接口接外部网。计算机网络与信息安全技术研究中心71.4防火墙的作用•确保一个单位内的网络与因特网的通信符合该单位的安全方针，为管理人员提供下列问题的答案：①谁在使用网络②他们在网络上做什么③他们什么时间使用了网络④他们上网去了何处⑤谁要上网没有成功计算机网络与信息安全技术研究中心81.5防火墙的优点①防火墙是网络安全的屏障A.一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。②控制对主机系统的访问③监控和审计网络访问A.如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。计算机网络与信息安全技术研究中心9④防止内部信息的外泄A.利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。⑤部署网络地址翻译(NAT)机制A.可以缓解地址空间短缺问题，隐藏内部网络结构。计算机网络与信息安全技术研究中心101.6防火墙的弱点①防火墙不能防范来自内部网络的攻击；②防火墙不能有效防范感染了病毒的软件或文件的传输；③防火墙不能防范不经由防火墙的攻击；计算机网络与信息安全技术研究中心11防火墙后门计算机网络与信息安全技术研究中心121.7防火墙策略在构筑防火墙之前,需要制定一套完整有效的安全战略①网络服务访问策略–一种高层次的具体到事件的策略，主要用于定义在网络中允许或禁止的服务。②防火墙设计策略一种是“一切未被允许的就是禁止的”，一种是“一切未被禁止的都是允许的”。第一种的特点是安全性好，但是用户所能使用的服务范围受到严格限制。第二种的特点是可以为用户提供更多的服务，但是在日益增多的网络服务面前，很难为用户提供可靠的安全防护。计算机网络与信息安全技术研究中心131.8防火墙的基本结构(1)屏蔽路由器•优点：易于实现。•危险区域：路由器及路由器允许访问的主机。•缺点：路由器一旦被控制后很难发现，而且不能识别不同的用户。计算机网络与信息安全技术研究中心14（2）双重宿主主机•优点：堡垒主机的系统软件可用于维护系统日志、硬件复制日志或远程日志。•危险区域：堡垒主机。•缺点：一旦入侵者侵入堡垒主机并使其只具有路由功能，则网上任何用户均可以自由访问内网。计算机网络与信息安全技术研究中心15(3)屏蔽主机防火墙•优点：易于实现，安全。•危险区域：堡垒主机，屏蔽路由器。•缺点：同双宿主机防火墙。计算机网络与信息安全技术研究中心16（4）屏蔽子网防火墙•在内部网络和外部网络之间建立一个被隔离的子网（周边网络。两个分组过滤路由器放在子网的两端，在子网内构成一个非军事区（DMZ）。有的DMZ中还设有一个堡垒主机作为唯一可访问点，支持终端交互或作为应用网关代理。计算机网络与信息安全技术研究中心17(5)一个堡垒主机和一个非军事区•堡垒主机的一个网络接口接到非军事区（DMZ）另一个网络接口接到内部网络，过滤路由器的一端接到因特网，另一端接到非军事区。计算机网络与信息安全技术研究中心181防火墙的基本概念与体系结构2防火墙相关技术3防火墙技术的发展计算机网络与信息安全技术研究中心192.1防火墙的分类1)包过滤防火墙第一代也是最基本形式的防火墙。根据所建立的一套规则，检查每一个通过的网络包，或者丢弃，或者放行，称为包过滤防火墙。目的是放行正常的数据包，截住有危害的数据包。例:规则1:阻断telnet连接；规则2:允许传入Web连接；查看网络包的目的地址端口号，目的端口为23的丢弃，目的端口为80的则放行。2防火墙相关技术计算机网络与信息安全技术研究中心202)状态/动态检测防火墙•包过滤防火墙见到的每一个网络包都是孤立存在的，包中没有任何描述它在信息流中的位置的信息，该包被认为是无状态的。一个有状态包检查防火墙跟踪的不仅是包中包含的信息，防火墙还记录有用的信息以帮助识别包，例如已有的网络连接、数据的传出请求等。状态/动态检测防火墙是在使用基本包过滤防火墙的通信上，跟踪通过防火墙的网络连接和包，以使用一组附加的标准，确定允许或拒绝通信。•例1：对于传入的TCP包，只有它是在响应一个已建立的连接时，才会被允许通过。•例2：对于传入的UDP包，若它所使用的地址和UDP包携带的协议与传出的连接请求相匹配，则该包就被允许通过。计算机网络与信息安全技术研究中心213)代理防火墙•代理（Proxy）技术只允许单个或少数主机提供因特网访问服务。只有具有访问因特网能力的主机才可以作为那些无权访问因特网的主机的代理，使其可以完成因特网访问工作。客户与代理服务器对话，代理服务器核实客户请求，中继到真实服务器上，并将答复中继给客户。代理服务器在外部网络向内部网络中请服务时发挥了中间转接作用。内部网络只接受代服务器提出的服务请求，拒绝外部网络其他节点的直接请求。计算机网络与信息安全技术研究中心224)个人防火墙个人防火墙是一种能够保护个人计算机系统安全的软件，一般是应用程序级的。它可以直接在用户的计算机上运行，使用与状态/动态检测防火墙相同的方式保护一台计算机免受攻击。通常，个人防火墙安装在计算机网络接口的较低级别上，使其可以监视传入传出网卡的所有网络通信。计算机网络与信息安全技术研究中心231)静态包过滤•概念•根据流经该设备的数据包地址信息，决定是否允许该数据包通过。•判断依据有(只考虑IP包)：–数据包协议类型：TCP、UDP、ICMP、IGMP等–源、目的IP地址–源、目的端口：FTP、HTTP、DNS等–IP选项：源路由、记录路由等–TCP选项：SYN、ACK、FIN、RST等–其它协议选项：ICMPECHO、ICMPECHOREPLY等–数据包流向：in或out–数据包流经网络接口：eth0、eth1。2.2技术原理计算机网络与信息安全技术研究中心24•静态包过滤防火墙工作示意图计算机网络与信息安全技术研究中心25访问控制列表（ACL，AccessControlList）数据包过滤规则。只有满足访问控制列表的数据包才被转发，其余数据包则被从数据流中删除。访问控制列表的配置有两种方式：限制策略。接受受信任的IP包，拒绝其他所有IP包；宽松策略。拒绝不受信任的IP包，接受其他所有IP包。计算机网络与信息安全技术研究中心26顺序协议源地址目的地址源端口目的端口方向行为1TCP192.168.10.11*.*.*.*any80outdeny2TCP192.168.10.**.*.*.*any90outaccept3TCP*.*.*.*202.106.185.236any80outaccept4TCP192.168.10.**.*.*.*any21outaccept5TCP192.168.10.*202.106.185.236any21outaccept6TCP*.*.*.**.*.*.*anyanyoutdeny7UDP192.168.10.*202.106.185.236any53outaccept8UDP*.*.*.*202.106.185.236any53outaccept9UDP*.*.*.**.*.*.*anyanyoutdeny•访问控制列表实例•访问控制列表中规则出现的顺序至关重要。计算机网络与信息安全技术研究中心272)动态包过滤•概念–Checkpoint一项称为“StatefulInspection”的技术；–它根据数据包的头信息打开或关闭端口。当一组数据包通过打开的端口到达目的地，防火墙就关闭这些端口；–可动态生成/删除规则；–分析高层协议。计算机网络与信息安全技术研究中心28动态访问控制列表（动态包过滤技术）配置动态访问控制列表，可以实现指定用户的IP数据流临时通过防火墙，进行会话连接，从而实现对数据包的动态过滤。当动态访问控制列表被触发后，动态访问控制列表重新配置接口上已有的访问控制列表，允许指定的用户访问指定的IP地址。在会话结束后，将接口配置恢复到原来的状态。动态包过滤技术一般结合身份认证机制实现。例如，用户首先发起一个到防火墙的标准Telnet会话，防火墙进行身份验证。如果用户通过身份验证，则激活动态访问控制列表，在防火墙开放一个数据通道，此时，用户便可以暂时通过防火墙访问内部网络目标主机。计算机网络与信息安全技术研究中心29动态包过滤技术实例•①用户发起一个到防火墙的Telnet会话。•②防火墙接收到Telnet数据包分组后，打开Telnet会话，提示用户输入认证信息并对用户身份进行验证。•③通过身份认证后，用户退出Telnet会话，防火墙访问控制列表内创建一个临时条目。该临时条目可限制用户临时访问的网络范围。•④用户通过防火墙交换数据。•⑤超过预定超时时间（Timeout）后，防火墙将删除这个临时访问控制列表规则，系统管理员也可以手动删除它。计算机网络与信息安全技术研究中心303)应用级网关•概念1.网关理解应用协议，可以实施更细粒度的访问控制2.对每一类应用，都需要一个专门的代理3.灵活性不够计算机网络与信息安全技术研究中心31计算机网络与信息安全技术研究中心324)电路级网关防火墙•概念–拓扑结构同应用程序网关相同–接收客户端连接请求，代理客户端完成网络连接–在客户和服务器间中转数据–通用性强计算机网络与信息安全技术研究中心33•输入数据流输出数据流计算机网络与信息安全技术研究中心345)网络地址翻译(NAT)•目的–解决IP地址空间不足问题–向外界隐藏内部网结构•方式–M-1：多个内部网地址翻译到1个IP地址–1-1：简单的地址翻译–M-N：多个内部网地址翻译到N个IP地址池计算机网络与信息安全技术研究中心35静态网络地址翻译技术如果网络地址翻译完全依赖于人工指定内部局部地址和内部全局地址之间的映射关系来运行，称之为静态网络地址翻译技术。内部局部IP内部全局IP•静态网络地址翻译地址转换原理图计算机网络与信息安全技术研究中心36动态网络地址翻译技术•如果NAT映射表由防火墙动态建立，对网络管理员和用户透明，则称之为动态网络地址翻译技术。•网络地址翻译技术允许将多个内部IP地址映射成为一个外部IP地址。•从本质上讲，网络地址映射并不是简单的IP地址之间的映射，而是网络套接字映射，网络套接字由IP地址和端口号共同组成。•这种方法在节省了大量网络IP地址的同时隐藏了内部网络拓朴结构。计算机网络与信息安全技术研究中心37•动态网络地址翻译地址转换原理图计算机网络与信息安全技术研究中心38•1防火墙的基本概念与体系结构•2防火墙相关技术•3防火墙技术的发展计算机网络与信息安全技术研究中心39