防火墙技术介绍

1防火墙基本原理及相关技术2目录一、信息安全概述二、防火墙技术及应用概述三、DDoS攻击四、DNS安全五、密码技术六、VPN技术七、应用安全八、蠕虫病毒3防火墙早已部署安全事件却依然发生应用层攻击传统防火墙无能为力多种设备串接，问题多多多功能产品性能不足6什么是信息安全？Availability可用性Integrality完整性Confidentiality机密性安全对象A：可用性，保证网络和系统的稳定运行，确保数据的正常使用I：完整性，确保数据不被非法用户篡改或合法用户的无意非授权修改C：机密性，确保只有相应权限的用户才能看到相应的信息AIC：安全三要素7威胁漏洞风险资产对策利用导致危害被减轻直接影响威胁漏洞风险威胁、漏洞、风险利用漏洞对信息系统产生危害软件、硬件、流程中的弱点产生威胁的可能性，安全事件的发生8系统漏洞是怎么产生的voidmain(){inta,b,c;printf(inputa,b,c\n);scanf(%d%d%d,&a,&b,&c);printf(a=%d,b=%d,c=%d,a,b,c);}“scanf”函数没有进行输入长度校验，从而产生溢出漏洞。9大多数漏洞都产生于参数传递JPG格式中的漏洞：–GDIPlus.DLL漏洞MS04-028NickDeBaggis–漏洞产生原因：JPEG格式中的注释段（COM）由0xFFFE开始(标记)+2字节注释段字节数(参数)+注释（数据）构成。因为字节数这个参数值包含了本身所占的2字节，所以GDIPLUS.dll在解析jpg格式文件中的注释段时会把这个值减去2，如果这个值设置成0，1就会产生整数溢出。10一次攻击实例1.目标服务器没有漏洞，很安全。2.目标服务器开了3389远程管理，非加密可以利用3.内网几台计算机有漏洞，直接拿下。顺便开个监听，看能不能抓到管理员登录服务器的信息。4.管理员总不登录？DoS一下，强迫管理员登录。5.管理员发现服务器不正常，登录去看看，被直接抓到口令。攻击机网管机内网目标服务器Internet11网络安全的基本技术应用层表示层会话层传输层网络层链路层物理层基于状态转发技术IPSec抗DoS/DDoS链路加密电磁防泄漏特征匹配技术12基本技术——基于状态表转发如收到的数据包为新建TCP连接的数据包，则根据预定义规则决定是否转发。如确定需要转发则在状态表中增加相关表项，并开始跟踪TCP握手信息。如收到的数据包为非新建连接，则检查状态表表项。如有相关表项则根据表项进行转发，否则丢弃该数据包。如该数据包为TCPFIN包，则转发后删除相关表项。状态表中的表项都有预定义的老化时间。如超过老化时间仍没有新的数据包通过，则删除该条记录。无老化时间的记录称为长连接，用于某些特殊应用新建连接非新建连接状态表老化？13基本技术——特征匹配技术特征库***************************************:\X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*******************************************************************************特征库以太网帧头IP头TCP头应用层数据对比14网络安全设备部署模式旁路部署在线部署交换机上设置镜像端口，安全设备旁路进行抓包和特征匹配。某些网关类安全设备（如VPN）的单臂部署模式在拓扑形式上与此类似，但是数据包需要进行转发的。网关类安全设备大多采用此种将设备串入链路中的在线部署方式。透明模式向网线一样工作桥模式相当于交换机路由模式相当于路由器混合模式既有路由模式也有桥模式15种类型防火墙：包过滤防火墙：根据一组规则允许/阻塞一些数据包。应用代理型防火墙：作为应用层代理服务器，提供安全防护。状态检测型防火墙：比包过滤防火墙具有更高的智能和安全性，会话成功建立连接以后记录状态信息并时时更新，所有会话数据都要与状态表信息相匹配；否则会话被阻断。状态检测技术现代防火墙基本为3种类型防火墙的综合体，即采用状态检测型包过滤技术，同时提供透明应用代理功能。17包过滤防火墙•基本概念：数据包过滤是指在网络中的适当位置对数据包实施有选择的通过。选择的依据就是系统内设置的过滤规则或称访问控制表。•包过滤操作过程：①包过滤规则必须被存储在包过滤设备的端口；②当数据包在端口到达时，包头被提取，同时包过滤设备检查IP、TCP、UDP等包头中的信息；③包过滤规则以特定的次序被存储，每一规则按照被存储的次序作用于包；④如果一条规则允许传输，包就被通过；如果一条规则阻止传输，包就被弃掉或进入下一条规则。18检查项IP包的源地址IP包的目的地址TCP/UDP源端口IP包检测包头检查路由安全策略：过滤规则路由表包过滤防火墙转发符合不符合丢弃包过滤防火墙—图示19包过滤防火墙—技术评价优点：•速度快，吞吐率高（过滤规则较少时）•对应用程序透明（无帐号口令等)缺点：•安全性低•不能过滤传输层以上的信息•不能监控链路状态信息20ClientServer代理服务器代理客户机请求应答被转发的请求被转发的应答应用代理防火墙双向通信必须经过应用代理，禁止IP直接转发；只允许本地安全策略允许的通信信息通过；代理服务器评价来自代理客户的请求并决定请求是否被认可。如果请求被认可，代理服务器便代表客户接触真正的服务器并且转发从代理客户到真正的服务器的请求以及真正的服务器到代理客户的响应。安全策略访问控制应用代理防火墙—图示21应用代理防火墙—技术评价优点：•可以将被保护网络内部的结构屏蔽起来•可以实施较强的数据流监控、记录。•可提供应用层的安全（身份验证等）缺点：•灵活性通用性较差，只支持有限的应用。•不透明（用户每次连接可能要受到“盘问”）•代理服务的工作量较大，需要专门的硬件（工作站）来承担22基于状态的包过滤防火墙IP包检测包头下一步处理安全策略：过滤规则会话连接状态缓存表状态检测包过滤防火墙符合不符合丢弃符合检查项IP包的源、目的地址、端口TCP会话的连接状态上下文信息23•Gartner提出•集成IPS•集成应用识别和流控•所有功能集成化，统一开启•功能全开性能下降少•IDC提出•集成防火墙•集成IPS•集成防病毒•功能不一定全部开启•性能全开性能下降多NGFW和UTM概念由不同机构提出，均为在现有防火墙上增加应用层功能，本质无区别！下一代防火墙统一威胁管理24应用防火墙传统的防火墙基于IP与端口进行访问控制应用防火墙在原有的基础上，基于应用层识别技术进行访问控制根据各种网络应用进行访问控制（如带宽管理，应用控制，网站过滤等）有效识别应用层数据中的威胁，进行阻断（如病毒、木马、恶意代码、基于漏洞的攻击等）P2P/网游ERP视频/个人通讯传统防火墙应用防火墙25IPS库病毒库URL库协议库APP-ID专业特征库应用层安全防护，包括后门、木马、间谍软件、协议异常、漏洞攻击、缓冲区溢出攻击、SQL注入攻击等威胁的防御防御文件型、网络型和混合型等各类病毒，准确查杀各种变种病毒、未知病毒超过2500条协议库，可对各类P2P/IM、流媒体、炒股软件、网络游戏等多种应用协议进行识别及控制基于内容分类的URL访问控制，超过1000万URL地址信息，提供灵活的分类26？DoS（DenialofService）拒绝服务攻击，造成目的计算机或网络无法提供正常的服务的攻击行为被称为DoS攻击DDoS（DistributedDenialofService）分布式拒绝服务攻击，将多台计算机联合起来作为攻击平台，对一个或者多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。28SYNFlood-最经典的拒绝服务攻击SYNSYN+ACKACK合法用户服务器SYNSYN+ACK攻击者服务器三次握手成功waitingwaitingwaitingwaiting三次握手失败大量的无效半连接将导致服务器资源耗尽！SYNSYN+ACK…29DDoS—增强版DoS国外视频组织VideoLan.org遭到60G的DDoS攻击过程DDoS看起来是这样的……30CC-应用层DDoS的典型代表CC：ChallengeCollapsarHTTPGetHTTPGetHTTPGetHTTPGetHTTPGet数据库查询请求Crashed！攻击者代理服务器网站服务器数据库攻击者通过代理服务器向网站发起大量动态页面的查询请求，从而导致后台数据库的崩溃31DDoS攻击案例史上最强DDoS攻击：2013年3月26日，欧洲反垃圾邮件组织Spamhaus将荷兰托管公司Cyberbunker列入黑名单，从而遭受到了300G的DDoS攻击。发生在我们身边的DDoS：2012年2月7日，我国国际出入口以及湖南、吉林、江苏、广东、浙江等多个省份的域名服务器（DNS）流量出现异常激增，全网DNS流量峰值达到90Gbps。32无连接SYN代理-最简单的防护技术合法用户服务器攻击者服务器Guard3000Guard3000SYNSYN+ACKACKSYNSYN+ACKACKSYNSYN+ACKwaiting&drop33无连接SYNCookie-增强型的防护技术合法用户服务器攻击者服务器Guard3000Guard3000SYNSYN+ACK（+Cookie）ACK（+Cookie）SYNSYN+ACKACKSYNSYN+ACK（+Cookie）SYNSYN+ACK（+Cookie）nowaiting34人们只告诉电脑访问哪个网站，DNS服务器来告诉电脑网站的具体地址用户终端DNS:DomainNameSystem36DNS缓存和递归服务器缓存服务器递归服务器有人问我baidu.com是什么，我没有记录，你来告诉它电话簿缓存服务器中没有的域名信息会交由递归服务器进行查找；递归服务器的查找过程对服务器性能消耗很大，过量的查找可能会导致系统崩溃。保存最近的数百万个DNS查询记录缓存可以加快响应速度。通话记录DNS系统（内部分为缓存服务器和递归服务器）用户DNS请求37典型的DNS攻击之DNSFloodDNSFlood：向被攻击的DNS服务器发送大量的域名解析请求，并且请求解析的域名是随机生成的根本不存在的域名，对这些虚假域名做查询会对递归服务器造成极大的性能压力，甚至造成服务器崩溃。递归服务器无法响应会造成缓存服务器的缓存内容无法更新，从而造成缓存服务器的失效。大量DNS查询请求Crashed！攻击者代理服务器缓存服务器递归服务器非法域名请求非法域名请求非法域名请求非法域名请求非法域名请求查询性能压力过大缓存记录无法更新38典型的DNS攻击之DNS缓存投毒普通用户攻击者本地DNS服务器上一级DNS服务器普通用户域名解析记录Baidu.comX.X.X.XDNS缓存投毒：所谓投毒就是用恶意的错误域名记录去代替原有的正确记录。攻击者模拟上级服务器的应答报文，使服务器错误接收恶意伪造信息39DNS攻击实例典型的虚假域名DDoS攻击，请求的二级域名是