您好,欢迎访问三七文档
当前位置:首页 > 电子/通信 > 综合/其它 > 【网络通信安全管理员认证-中级】第八章防火墙与入侵检测
网络通信安全管理员认证防火墙与入侵检测Copyright©2010Mazhao问题的提出你想免受黑客的攻击吗?你如何把攻击抵御在企业外部吗?马其顿防线---开始防御解答:为什么需要防火墙?保护内部不受来自Internet的攻击为了创建安全域为了增强机构安全策略对防火墙的两大需求保障内部网安全保证内部网同外部网的连通什么是防火墙(Firewall)防火墙的本义原是指古代人们当房屋还处于木制结构的时侯,人们将石块堆砌在房屋周围用来防止火灾的发生。原是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开什么是计算机网络中的防火墙(Firewall)?Internet1.企业内联网2.部门子网3.分公司网络防火墙定义防火墙是一种(被动的)访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问。换句话说,防火墙是一道门槛,根据安全策略控制进/出两个方向的通信。注解:1、内部网与互联网的有效隔离2、内网与外网之间的第一道安全屏障3、它将不可信网络同可信任网络隔离开4、防火墙本身具有较强的抗攻击能力防火墙示意图内部网过滤防火墙过滤外部网具体解释—什么是防火墙1在一个受保护的企业内部网络与互联网间,用来强制执行企业安全策略的一个或一组系统.具体解释—什么是防火墙2防火墙主要用于保护内部安全网络免受外部网不安全网络的侵害。典型情况:安全网络为企业内部网络,不安全网络为因特网。但防火墙不只用于因特网,也可用于Intranet各部门网络之间(内部防火墙)。例:财务部与市场部之间。防火墙应具有的特性防火墙是放置在两个可信程度不同的网络之间的一组组件,这组组件共同具有下列性质双向通信必须通过防火墙防火墙本身不会影响信息的流通只允许本身安全策略授权的通信信息通过防火墙的功能防火墙的功能过滤进出网络的数据管理进出网络的访问行为封堵某些禁止的业务记录进出网络的信息和活动对网络攻击进行检测和告警互聯网试图穿越防火墙防火墙的组成防火墙=过滤器+安全策略防火墙的存在形式:软件、硬件功能组成:应用程序代理包过滤&状态检测用户认证NATVPN日志IDS与报警内容过滤防火墙的发展历史图示现在和未来的防火墙集成入侵检测人工智能(神经网络模糊识别专家系统)深度包检测技术网络处理器(NetworkProcessor)和专用集成电路(ASIC)—千兆分布式防火墙的分类1.包过滤防火墙(分组)2.应用代理防火墙3.电路级网关型防火墙4.状态包检测防火墙5.自适应代理型防火墙这是根据采用工作的网络层次不同进行分类的包过滤防火墙1包是网络上信息流动的基本单位,它由数据负载和包头两个部分组成。包过滤器又称为过滤路由器,它把包头信息和管理员设定的规则表进行比较,如果有一条规则不允许发送某个包,路由器将会丢弃它。通过检查数据流中每一个数据包的源地址、目的地址、所用端口、协议状态等因素,或它们的组合来确定是否允许该数据包通过。包过滤防火墙2防火墙通常就是一个具备包过滤功能的简单路由器,支持因特网安全。因为包过滤是路由器的固有属性,因而它是一种因特网互联更加安全的简单方法。过滤路由器与普通路由器的差别主要在于,普通路由器只是简单地查看每一个数据包的目标地址,并且选取数据包发往目标地址的最佳路径。作为过滤路由器,它将更严格地检查数据包,除了决定它是否能发送数据包到其它目标之外,过滤路由器还决定它是否应该发送。“应该”或者“不应该”由站点的安全策略决定,并由过滤路由器强制设置。包过滤防火墙的示意图包过滤防火墙的示意图2防火墙服务器工作站台式PC打印机服务器数据包安全区域数据包服务器控制策略查找对应的策略数据IP报头TCP报头分组过滤判断包过滤服务器的工作层面互连的物理介质应用层表示层会话层传输层应用层表示层会话层传输层网络层数据链路层物理层网络层数据链路层物理层包过滤所检查的内容IP源地址IP目标地址协议类型(TCP包、UDP包和ICMP包)TCP或UDP包的目的端口TCP或UDP包的源端口ICMP消息类型TCP包头的ACK位TCP包的序列号、IP校验和等包过滤例子第一条规则:主机10.1.1.1任何端口访问任何主机的任何端口,基于TCP协议的数据包都允许通过。第二条规则:任何主机的20端口访问主机10.1.1.1的任何端口,基于TCP协议的数据包允许通过。第三条规则:任何主机的20端口访问主机10.1.1.1小于1024的端口,如果基于TCP协议的数据包都禁止通过。组序号动作源IP目的IP源端口目的端口协议类型1允许10.1.1.1***TCP2允许*10.1.1.120*TCP3禁止*10.1.1.1201024TCP推荐配置软件WinRoute4.1包过滤防火墙的优缺点优点:1、使用方便,对用户透明2、效率高,速度快3、可方便用于隔离内外网络例子:包过滤路由器与守卫有些相似,当装载有包的运输卡车到达时,“包过滤”守卫快速的察看包的住户地址是否正确,检查卡车的标识(证件)以确保它也是正确的,接着送卡车通过关卡传递包。缺点:安全性低例子1、包过滤的一个重要的局限是它不能分辨好的用户和不好的用户,它只能区分好的包和坏的包。包过滤只好工作在有黑白分明的安全策略的网中,即内部人是好的,外部人是不好的。缺点例子2只是粗略检查特定的连接的合法性。例如HTTP通常为Web服务连接使用80号端口。如果公司的安全策略允许内部职员访问网站,包过滤防火墙可能设置允许所有的连接通过80号这一缺省端口。不幸的是,像这样的假设会造成实质上的安全危机。当包过滤防火墙假设来自80端口的传输通常是标准Web服务连接时,它对于应用层实际所发生的事件的能见度为零。任何意识到这一缺陷的人都可通过在80端口上绑定其它没有被认证的服务,从而进入私有网络而不会被阻塞。代理服务器Proxy所谓代理就是一个提供替代连接并且充当服务的网关。(跳板、中间人、中介)代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。不允许通信直接经过外部网和内部网。代理服务位于内部用户(在内部的网络上)和外部服务(在因特网上)之间。代理在幕后处理所有用户和因特网服务之间的通信以代替相互间的直接交谈。将所有跨越防火墙的网络通信链路分为两段。外部计算机的网络链路只能到达代理服务器,内外计算机应用层的连接由终止于ProxyServer上的连接来实现,从而起到了隔离防火墙内外计算机系统的作用。代理服务器示意图代理服务器的分类和构件代理服务分类:应用级代理电路级代理。构件:防火墙主机可以是有一个内部网络接口和一个外部网络接口的双重宿主主机,也可以是一些可以访问因特网并可被内部主机访问的堡垒主机。应用层代理服务器防火墙真正可靠的安全防火墙应该禁止所有通过防火墙的直接连接——在协议栈的最高层检验所有的输入数据。它通过在协议栈的最高层(应用层)检查每一个包从而提供足够的应用级连接信息。因为在应用层中它有足够的能见度,应用级代理防火墙能很容易看见前面提及的每一个连接的细节从而实现各种安全策略。例如这种防火墙很容易识别重要的应用程序命令,像FTP的“put”上传请求和“get”下载请求应用代理服务器示意图TelnetFTPSMTPHTTP外部主机外部连接应用级网关内部连接内部主机应用代理服务器的比喻和刚才在输入包中查找地址不同的是,“应用级代理”安全守卫打开每个包并检查其中内容并将发送者的信任书同已明确建立的评价标准相对比。如果每个传输包都通过了这种细致的检查,那么守卫签署传送标记,并在内部送一份可信快递以传递该包到合适的住户,卡车及司机无法进入。这种安全检查不仅更可靠,而且司机看不到内部网络。尽管这些额外的安全机制将花费更多处理时间,但可疑行为绝不会被允许通过“应用级代理”安全守卫。应用代理服务器的优缺点优点:1、安全性高,通常认为它是最安全的防火墙技术2、透明是代理服务的一大优点。对于用户来说,代理服务器给出用户直接使用真正的服务器的假象;对于真正的服务器来说,代理服务器给出真正的服务器在代理主机上直接处理用户的假象(与用户真正的主机不同)安全性高1、代理服务器并非将用户的全部网络服务请求提交给因特网上的真正服务器,因为代理服务器能依据安全规则和用户的请求作出判断是否代理执行该请求,所以它能控制用户的请求。有些请求可能会被否决,比如,FTP代理就可能拒绝用户把文件往远程主机上传送,或者它只允许用户将某些特定的外部站点的文件下载。代理服务可能对于不同的主机执行不同的安全规则,而不对所有主机执行同一个标准。2、在防火墙处终止客户连接并初始化一条到受保护内部网络的新连接。它将内部和外部系统隔离开来,从外面只看到代理服务器,而看不到任何内部资源,而且代理服务器只允许被代理的服务通过。这使得系统外部的黑客要探测防火墙内部系统变得更加困难。缺点:需要消耗大量的CPU资源,导致相对低的性能每个应用程序都必须有一个代理服务程序来进行安全控制,每一种应用升级时,一般代理服务程序也要升级。不能完全透明地支持各种服务、应用,一种代理只提供一种服务电路级网关型防火墙电路级代理是在客户和服务器之间不解释应用协议即建立回路。电路级代理的优点在于它能对各种不同的协议提供服务,缺点在于它对因代理而发生的情况几乎不加控制。电路级起一定的代理服务作用,它监视两主机建立连接时的握手信息,从而判断该会话请求是否合法一旦会话连接有效,该网关仅复制、传递数据。但由于其对会话建立后所传输的具体内容不再作进一步地分析,因此安全性稍低。它和包过滤型防火墙有一个共同特点,都是依靠特定的逻辑来判断是否允许数据包通过,但包过滤型防火墙允许内外计算机系统建立直接联系,而电路级网关无法IP直达。电路网关示意图OutInOutOutInIn外部主机内部连接内部主机电路级网关外部连接应用代理与电路网关的比较应用代理与电路网关的比较包过滤和代理的比较状态包检测防火墙问题的提出:上面提到的包过滤技术简单的查看每一个单一的输入包信息,而状态包检测模式则增加了更多的包和包之间的安全上下文检查,以达到与应用级代理防火墙相类似的安全性能。在包过滤的同时,检察数据包之间的关联性,数据包中动态变化的状态码。状态包检测防火墙状态包检测防火墙在网络层拦截输入包,并利用足够的企图连接的状态信息做出决策(通过对高层的信息进行某种形式的逻辑或数学运算)安全决策所需的相关状态信息在检测模块中检测,然后保留在为评价后续连接企图的动态状态表(库)中。被检查通过的包发往防火墙内部,允许直接连接内部、外部主机系统。工作在协议栈的较低层,通过防火墙的所有数据包都在低层处理,不需要协议栈的上层来处理任何数据包,因此减少了高层协议头的开销,执行效率也大大提高了。状态包防火墙示意图OutInOutOutInIn外部连接外部主机信息处理状态信息库内部连接内部主机状态包检测防火墙工作层面应用层表示层会话层传输层应用层表示层会话层传输层网络层数据链路层物理层网络层数据链路层物理层网络层数据链路层物理层应用层表示层会话层传输层监测引擎状态包检测防火墙工作机理监测引擎:一个在网关上执行网络安全策略的软件检测模块。监测引擎采用抽取有关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考。当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。提示只是状态检测型防火墙除了可以利用第三层网络参数执行决策之外,还可以利用网络连接及应用服务的各种状态来执行决策。另外,所执行的决策也不仅限于数据包的放行与阻隔,类似加密这样的处理也可以作为一种控制决策被执行一个比喻假设我们的安全守卫是状态包检测守卫。这次当包到来时,和仅简单地检查地址所不同的是,守卫检测货物单看是否包内有任何东西是被禁止的。虽然它比简单的包过滤好,但它还是不如真正打开包检测它的内容安全。如果包看起来是可接受
本文标题:【网络通信安全管理员认证-中级】第八章防火墙与入侵检测
链接地址:https://www.777doc.com/doc-311556 .html