09(防火墙与入侵检测)

网络安全防御术第10章防火墙与入侵检测内容提要防火墙技术防火墙的基本概念防火墙类型、工作原理防火墙体系结构防火墙的部署方案防火墙局限性入侵检测技术入侵检测系统的基本概念入侵检测的常用方法入侵检测工具使用10.1防火墙技术防火墙简介防火墙是设置在不同网络或者安全域之间的一系列部件的组合。充当可信区域与不可信区域之间信息唯一出入口，通过对出入数据的过滤、监管，防范网络入侵。防火墙有硬件防火墙和软件防火墙两种。Internet防火墙防火墙的功能根据不同的需要，防火墙的功能有比较大差异，但主要包含以下几种基本功能：过滤掉不安全的服务和数据包；限制内部用户访问特殊站点；隔离内部网络与外部不可信网络；提供逻辑地址的转换服务；对网络通信行为进行审计。防火墙适合于相对独立的网络，Internet上的Web网站中，超过三分之一的站点都是有某种防火墙保护的，任何关键性的服务器，都应该放在防火墙之后。防火墙的类型按照防火墙处理数据的方法，可分为包过滤防火墙、代理防火墙和状态检测防火墙三大体系。包过滤防火墙代理服务防火墙应用级代理防火墙电路级代理防火墙状态检测防火墙1.包过滤防火墙也称网络级防火墙或包过滤器。包过滤防火墙作用在网络层和传输层，主要基于源地址、目的地址以及端口的条件作为通过与否的判断。一个路由器就是一个简单的包过滤防火墙，但只能判断IP地址。网络级防火墙首先要制定过滤规则，工作时，检查出入数据包的首部信息与过滤规则是否匹配，决定是允许通过还是拒绝。数据报报文段（IP首部）（TCP首部）数据过滤规则目的端口源端口目的IP地址源IP地址允许丢弃或拒绝序号动作源IP目的IP源端口目的端口协议类型1允许10.1.1.1***TCP2允许*10.1.1.120*TCP3禁止*10.1.1.2201024TCP第一条规则：主机10.1.1.1任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。第二条规则：任何主机的20端口访问主机10.1.1.1的任何端口，基于TCP协议的数据包允许通过。第三条规则：任何主机的20端口访问主机10.1.1.2小于1024的端口，如果基于TCP协议的数据包都禁止通过。过滤规则包过滤器的核心是过滤规则的制定，过滤规则存放于路由器的访问控制列表ACL中。例：规则的制定规则次序同样的规则，以不同的次序放置，可能会完全改变防火墙的运转情况。防火墙以顺序方式检查信息包，当防火墙接收到一个信息包时，它先与第一条规则相比较，然后是第二条、第三条……当它发现一条匹配规则时，就停止检查并应用那条规则。如果信息包经过每一条规则而没有发现匹配，这个信息包便会被拒绝。通常的顺序是，较特殊的规则在前，较普通的规则在后，防止在找到一个特殊规则之前一个普通规则便被匹配，这可以使你的防火墙避免配置错误。规则不能出现矛盾网络的头号敌人是错误配置。规则不宜太多尽量保持规则集简洁和简短，规则的正确性验证复杂度与规则数量直接相关。规则越多，就越可能犯错误，规则越少，理解和维护就越容易。一个好的准则是最好不要超过30条。一旦规则超过50条，就会以失败而告终。规则越少，规则集就越简洁，错误配置的可能性就越小，系统就越安全。因为规则少意味着只分析少数的规则，防火墙的CPU周期就短，防火墙效率就可以提高。每条规则要有针对性，避免过宽或过严数据包的处理包过滤防火墙只在网络层和传输层检查数据，与应用层无关。有过滤规则？匹配？有更多条目？下一条目动作禁止或丢弃丢弃，发送ICMP消息允许转发数据包到达NNNYYY数据包处理过程实例：用WinRoute创建包过滤规则WinRoute既可以作为一个服务器的防火墙系统，也可以作为一个代理服务器软件。比较常用的是WinRoute4.1，安装文件如图所示。以管理员身份安装该软件，安装完毕后，启动“WinRouteAdministration”，WinRoute的管理界面如图所示。默认情况下，该密码为空。点击按钮“OK”，进入系统管理。当系统安装完毕以后，需要修改默认设置，点击工具栏图标，出现本地网络设置对话框，然后查看“Ethernet”的属性，将两个复选框全部选中，如图所示。利用WinRoute创建包过滤规则规则内容：防止主机被别的计算机使用“Ping”指令探测选择菜单项“PacketFilter”，如图所示。在包过滤对话框中可以看出目前主机还没有任何的包过滤规则，如图所示。选中网卡图标，单击按钮“添加”。出现过滤规则添加对话框，所有的过滤规则都在此处添加，如图所示。因为“Ping”指令用的协议是ICMP，所以这里要对ICMP协议设置过滤规则。在协议下拉列表中选择“ICMP”，如图所示。在“ICMPType”栏目中，将复选框全部选中。在“Action”栏目中，选择单选框“Drop”。在“LogPacket”栏目中选中“LogintoWindow”，创建完毕后点击按钮“OK”，一条规则就创建完毕，如图所示。点击按钮“应用”，规则生效。设置完毕，该主机就不再响应外界的“Ping”指令了，使用指令“Ping”来探测主机，将收不到回应。虽然主机没有响应，但是已经将事件记录到安全日志了。选择菜单栏“View”下的菜单项“LogsSecurityLogs”，察看日志纪录如图所示。案例2用WinRoute禁用FTP访问规则内容：禁止使用FTP访问主机172.18.25.109FTP服务用TCP协议，FTP占用TCP的21端口，源IP地址是“172.18.25.109”，所以创建规则如表所示。组序号动作源IP目的IP源端口目的端口协议类型1禁止*172.18.25.109*21TCP利用WinRoute建立访问规则，如图所示。设置访问规则以后，再访问主机“172.18.25.109”的FTP服务，将遭到拒绝，如图所示。访问违反了访问规则，会在主机的安全日志中记录下来，如图所示。包过滤防火墙评价特点：只针对IP地址及端口，不关心数据内容；优点：速度快，对用户透明，配置简单。缺点：1、无法对数据包内容进行检查；2、无法提供详细日志记录；3、内外网不隔离；4、复杂配置下容易出错。2.代理服务防火墙代理服务防火墙基于软件。代理服务可以提供较好的访问控制和审计功能，对进出防火墙的信息进行记录。代理服务提供两级连接和地址转换功能，实现内外网络的隔离。从外面来的访问者只能看到代理服务器但看不见任何内部资源；而内部用户根本感觉不到代理服务器的存在，他们可以自由访问外部站点。代理服务作用于更高层的协议，比包过滤具备更严格的安全策略。代理服务器实现内部网络私有IP地址到外部全局IP地址的映射.NAT的作用缓解IP地址耗尽，节约公用IP地址和金钱隐藏内部网络的细节私有IP地址空间AddressRangeMask10.0.0.0~10.255.255.25510.0.0.0/255.0.0.0172.16.0.0~173.31.25.255172.16.0.0/255.240.0.0192.168.0.0~192.168.255.255192.168.0.0/255.255.255.0网络地址转换NAT网络地址转换NATInsideOutsideOutsideInside网络地址转换NATNAT地址映射表每个客户机/服务器通信需要两个连接：内连接：客户机防火墙外连接：防火墙服务器两个连接一旦建立，网关只进行数据中转，并将IP地址转换为自己的IP地址，使外界认为是网关在与目的主机进行通信。HTTPFTPTelnetSMTP外连接内连接代理防火墙一般工作过程请求到达代理服务器，代理服务器检查防火墙规则集，检查数据包首部信息和数据。如果不允许该请求发出，代理服务器拒绝该请求，发送ICMP消息。如果允许该请求发出，代理服务器修改源IP地址，创建数据包。代理服务器将数据包发给目的计算机，数据包显示源IP地址来自代理服务器。返回的数据包又被发送到代理服务器。服务器再次根据防火墙规则及检查数据包首部信息和数据。如果不允许该数据包进入内部网，代理服务器丢弃该数据包。如果允许该数据包进入内部网，代理服务器将它发给主机，此时数据包显示来自外部主机而不是代理服务器。ABC代理服务器与包过滤器的比较代理服务器工作在高层，因此提供比包过滤器更宽范围的检测，更详细的系统日志。代理服务器提供地址转换服务，对外隐藏了内部地址。使用代理服务器可使恶意数据包不能直接到达内部主机。如果包过滤器不能正常工作，出现的结果是所有数据都能到达内网，如果代理服务器不能正常工作，网络通信将阻断。2-1.应用代理防火墙作用在应用层（也称应用级网关），检查所有应用层报文。每一种应用服务需要一个不同的应用代理程序，对每个新的应用必须添加对此应用的服务程序。对源IP地址、端口、检测报文内容均进行检测。与包过滤器都依靠特定的逻辑来判断是否允许数据包通过，然而，包过滤器允许内外网的计算机直接相连接，网关不允许端到端的直接连接。操作系统提供支持，受操作系统缺陷影响。用户通过23号端口远程登录到应用级网关网关允许用户接入目标主机检测源IP/端口是否在允许的源地址列表用户是否通过身份验证网关初始化一个新的，从网关到目的主机的TCP连接拒绝NNYY用户通过23号端口Telnet登陆过程检测报文内容是否符合规则NY优点：将内外网完全隔离，比较安全（双宿主主机）基于软件，灵活地实现数据监控、过滤、记录及报告。缺点：常用的应用级防火墙已有了相应的代理服务器，如：HTTP，FTP，Telnet等。但对于新开发的应用，无法通过相应的应用代理。由于检查整个报文内容，存在延迟问题。由操作系统提供支持，受操作系统缺陷影响。应用代理防火墙评价2-2.电路级代理防火墙电路级防火墙在会话层上过滤数据，位置比包过滤器高，比应用网关低。电路级防火墙用来监控受信任的客户或服务器与不受信任的主机之间的TCP握手信息，这样来决定该会话是否合法。通过在TCP三次握手过程中，检查双方的SYN、ASK和发送接收序号是否合乎逻辑来判断会话是否合法。一旦合法，就为双方建立连接，并维护一张合法会话连接表。当会话信息与表中条目匹配时，允许数据通过。会话结束，表中条目删除。实际上电路级代理并非作为独立产品存在，它常与其他应用级网关结合在一起。电路级网关的优点：不关心上层协议，应用广泛；转发速度快；提供地址转换，隐藏内网。缺点：对应用级数据包透明；会话建立后，不对数据进行分析；易受IP欺骗。3.状态检测防火墙作用于网络层、传输层和应用层。结合了包过滤防火墙、电路级代理防火墙和应用级代理防火墙的特点。与包过滤防火墙一样能够在网络层和传输层上对通过数据包进行IP地址和端口的过滤；与电路级防火墙一样进行SYN和ACK标记和序号的逻辑检查，在防火墙的核心部分建立状态连接表，且对连接表进行维护，将进出数据当成一个个事件进行处理，而不是只进行数据包的检查。与应用级防火墙一样检查应用层上数据的内容是否符合安全规则。数据包是否属于一个已存在的连接建立连接项数据包到达NY数据包的内容是否符合规则集？丢弃，更新日志，发送ICMP允许，将数据转发给接口，更新对话表，更新日志YNN状态检测防火墙数据处理过程数据包IP地址及端口是否符合规则集Y状态检测防火墙与应用级/网络级网关不同之处是：它并不打破客户/服务器模式来进行应用层数据的分析，它允许受信任的客户机与不受信任的服务器之间建立直接连接。状态检测防火墙不依靠与应用层有关的代理，而是依靠特定算法来识别进出应用层数据是否合法，从理论上更灵活有效。状态检测防火墙检查的层面从网络层到应用层，能够详细记录每个数据包，包括应用程序对包的请求、连接请求、连接的持续时间等。状态检测防火墙的缺点：所有这些记录、测试可能会造成网络响应的迟滞，尤其是过滤规则复杂的情况下。状态检测防