12防火墙

2020/2/241第十二章防火墙一、防火墙的概念二、防火墙的体系结构三、防火墙的技术四、防火墙的基本功能五、防火墙的系统补充：两个技巧：ping和netstat命令2020/2/242信息安全的关键技术目前，信息安全的关键技术有：1）常规安全技术2）防火墙技术3）数据加密技术4）漏洞扫描技术5）入侵检测技术2020/2/2431、防火墙的概念英特网防火墙是这样的（一组）系统，它能增强机构内部网络的安全性。用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取。防火墙只是保护网络安全与保密的一种概念，并无严格的定义2020/2/244一、防火墙概述什么是防火墙(Firewall)？防火墙：在两个信任程度不同的网络之间设置的、用于加强访问控制的软硬件保护设施。2020/2/245防火墙应用在以下位置：①保证对主机和应用安全访问；②保证多种客户机和服务器的安全性；③保护关键部门不受到来自内部的攻击、外部的攻击、为通过Internet与远程访问的雇员、客户、供应商提供安全通道。2020/2/246防火墙的用途1）作为“扼制点”，限制信息的进入或离开；2）防止侵入者接近并破坏你的内部设施；3）监视、记录、审查重要的业务流；4）实施网络地址转换，缓解地址短缺矛盾。防火墙只允许已授权的业务流通过，而且本身也应抵抗渗透攻击。建立防火墙必须全面考虑安全策略，否则形同虚设。2020/2/247防火墙的局限性1）防火墙防外不防内防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理，如主机安全和用户教育、管理、制度等。2020/2/2482）不能防范绕过防火墙的攻击防火墙能够有效地防止通过它进行传输信息，然而不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。3）防火墙配置复杂，容易出现安全漏洞4）防火墙往往只认机器（IP地址）不认人（用户身份），并且控制粒度较粗。2020/2/2495）防火墙不能防范病毒防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。6）防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到内部网主机上并被执行而发起攻击时，就会发生数据驱动攻击。特别是随着Java、JavaScript、ActiveX的应用，这一问题更加突出。2020/2/2410允许拒绝防火墙设计政策防火墙一般实施两个基本设计方针之一:1.NO原则：“没有明确允许的都是被禁止的”，即拒绝一切未予特许的东西。2.Yes原则：“没有明确禁止的都是被允许的”；也即是允许一切未被特别拒绝的东西允许拒绝2020/2/2411一般防火墙具备的特点(4点)：①广泛的服务支持，通过将动态的、应用层的过滤能力和认证相结合，可实现浏览器、HTTP服务器、FTP等。②对私有数据的加密支持，保证通过Internet进行虚拟私人网络和商务活动不受损坏。③客户端认证只允许指定的用户访问内部网络或选择服务，是企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分。2020/2/2412一般防火墙具备的特点:④反欺骗，欺骗是从外部获取网络访问权的常用手段，它使数据包好似来自网络内部。Firewall-1能监视这样的数据包并能扔掉它们；C/S模式和跨平台支持，能使运行在一平台的管理模块控制运行在另一平台的监视模块。2020/2/2413防火墙应具有以下五大基本功能：•过滤进出网络的数据包；•管理进出网络的访问行为；•封堵某些禁止的访问行为；•记录通过防火墙的信息内容和活动；•对网络攻击进行检测和告警。2020/2/24142、防火墙的体系结构•双宿/多宿主机模式(dual-homed/multi-homed)•屏蔽主机模式•屏蔽子网模式2020/2/2415双宿/多宿主机模式它是一种拥有两个或多个连接到不同网络上的网络接口的防火墙，通常用一台装有两块或多块网卡的堡垒主机做防火墙，两块或多块网卡各自与受保护网和外部网相连Internet堡垒主机内部网最小特权最少服务2020/2/2416Internet堡垒主机内部网2多宿主机模式内部网12020/2/2417Internet堡垒主机内部网屏蔽路由器屏蔽主机模式屏蔽主机防火墙由包过滤路由器和堡垒主机组成2020/2/2418屏蔽主机模式特点•在这种方式的防火墙中，堡垒主机安装在内部网络上，通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络唯一可直接到达的主机，这确保了内部网络不受未被授权的外部用户的攻击。屏蔽主机防火墙实现了网络层和应用层的安全，因而比单独的包过滤或应用网关代理更安全。在这一方式下，过滤路由器是否配置正确是这种防火墙安全与否的关键，如果路由表遭到破坏，堡垒主机就可能被越过，使内部网完全暴露。2020/2/2419屏蔽子网模式•采用了两个包过滤路由器和一个堡垒主机，在内外网络之间建立了一个被隔离的子网，定义为“非军事区（de-militarizedzone）”网络，有时也称作周边网(perimeternetwork)2020/2/2420周边网络屏蔽子网模式Internet堡垒主机内部网外部路由器内部路由器2020/2/2421屏蔽子网模式特点•网络管理员将堡垒主机，WEB服务器、Mail服务器等公用服务器放在非军事区网络中。内部网络和外部网络均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。在这一配置中，即使堡垒主机被入侵者控制，内部网仍受到内部包过滤路由器的保护。•堡垒主机运行各种代理服务2020/2/2422周边网络的作用对于周边网络，如果某人侵入周边网上的堡垒主机，他仅能探听到周边网上的通信。因为所有周边网上的通信来自或者通往堡垒主机或Internet。因为没有严格的内部通信(即在两台内部主机之间的通信，这通常是敏感的或者专有的)能越过周边网。所以，如果堡垒主机被损害，内部的通信仍将是安全的。2020/2/2423堡垒主机接受来自外界连接的主要入口：1对于进来的电子邮件（SMTP）会话，传送电子邮件到站点；2对于进来的FTP连接，转接到站点的匿名FTP服务器；3对于进来的域名服务（DNS）站点查询等。2020/2/24243、防火墙技术：链路层技术、网络层技术、应用层技术；产品实施中技术具有双重或者多重性包过滤(packetfilter)应用代理(app-proxy)状态检测技术2020/2/2425包过滤技术的原理在路由器上加入IPFiltering功能，这样的路由器就成为ScreeningRouter。Router逐一审查每个数据包以判定它是否与其它包过滤规则相匹配(只检查包头，不理会包内的正文信息)。如果找到一个匹配，且规则允许这包，这个包则根据路由表中的信息前行；如果找到一个匹配，且规则允许拒绝此包，这一包则被舍弃；如果无匹配规则，一个用户配置的缺省参数将决定此包是前行还是被舍弃。2020/2/2426代理服务技术该技术它能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的连接，由两个代理服务器之间的连接来实现，外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用。此外，代理服务器也对过往的数据包进行分析、记录、形成报告，当发现攻击迹象时会向网络管理员发出警告，并保留攻击痕迹。2020/2/2427状态检测技术在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。2020/2/2428用户眼中的代理免费代理出现原因：系统漏洞；管理员设置的代理；ISP提高影响，在一段时间内开发的代理。代理服务器的设置IE中：工具——Internet选项——连接——局域网设置2020/2/24294、防火墙的功能要求①管理界面良好，配置容易、方便、安全，易于配置管理和监控②病毒自动扫描，堵截非法URL和Java过滤③进行用户验证，防止网络攻击④具有多协议适应性⑤防止基于协议的攻击⑥测试方便2020/2/24302）防火墙选择①具有标准的防火墙特性②实际的用户安全需求（如安全级别、用户数、代理权、过滤和容错、价格等）③可信的系统集成商④与单机操作系统无缝连接，克服弱点⑤必要的防火墙产品测试⑥综合安全手段与整体安全性能（如员工素质、专网连接、关键密码等）2020/2/24313）防火墙产品CheckPointFirewall-14.0AXENTRaptorCyberGuardFirewallSecureComputingSecureZoneCiscoPIXFirewall520NetscreenNetscreen-100NetGuardGuardian3.02020/2/24325、防火墙系统路由器+防火墙路由器：具备基于网络层的存取控制方法，可以对IP包的源/目的地址及端口号作出存取控制的决定。防火墙：基于应用层的代理服务器主机。存在于两个网络中间，不允许直接数据传输，有较大的Cache,可以做详细的日志及审计，对节省流量、计费、安全都提供了一定的功能。2020/2/2433补充：Windows操作系统常用网络命令使用技巧详解•一、Ping命令的使用技巧Ping是个使用频率极高的实用程序，用于确定本地主机是否能与另一台主机交换（发送与接收）数据报。根据返回的信息，我们就可以推断TCP/IP参数是否设置得正确以及运行是否正常。需要注意的是：成功地与另一台主机进行一次或两次数据报交换并不表示TCP/IP配置就是正确的，我们必须执行大量的本地主机与远程主机的数据报交换，才能确信TCP/IP的正确性。2020/2/2434Ping命令的常用参数选项•pingIP–t连续对IP地址执行Ping命令，直到被用户以Ctrl+C中断。pingIP-l3000指定Ping命令中的数据长度为3000字节，而不是缺省的32字节。pingIP–n执行特定次数的Ping命令。2020/2/2435Netstat命令的使用技巧•Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情况。•如果我们的计算机有时候接受到的数据报会导致出错数据删除或故障，TCP/IP可以容许这些类型的错误，并能够自动重发数据报。但如果累计的出错情况数目占到所接收的IP数据报相当大的百分比，或者它的数目正迅速增加，那么我们就应该使用Netstat查一查为什么会出现这些情况了。2020/2/2436当前计算机开放许多端口,状态为:”LISTENING”表示某端口正在监听,还没有和其他计算机建立连接.“ESTABLISHED”表示正在和某计算机进行通信,并将通信计算机的IP和端口号显示出来.2020/2/2437Netstat的妙用•经常上网的人一般都使用ICQ的，不知道我们有没有被一些讨厌的人骚扰，想投诉却又不知从和下手？但怎样才能通过ICQ知道对方的IP呢？如果对方在设置ICQ时选择了不显示IP地址，那我们是无法在信息栏中看到的。其实，我们只需要通过Netstat就可以很方便的做到这一点：当他通过ICQ或其他的工具与我们相连时（例如我们给他发一条ICQ信息或他给我们发一条信息），我们立刻在DOS命令提示符下输入netstat-n或netstat-a就可以看到对方上网时所用的IP或ISP域名了，甚至连所用Port都完全暴露了。