华南农业大学彭思喜电商安全第4章防火墙技术.ppt

,电子商务安全与保密,第4章：防火墙技术,（1）了解防火墙的定义、发展简史、目的、功能、局限性及其发展动态和趋势。 （2）掌握包过滤防火墙和和代理防火墙的实现原理、技术特点和实现方式；熟悉防火墙的常见体系结构。 （3）熟悉防火墙的产品选购 （4）了解防火墙的使用,防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施。,防火墙的定义,图9.1 防火墙示意图,防火墙逻辑结构图,图9.1 防火墙示意图,防火墙模型,第一代防火墙：采用了包过滤（Packet Filter）技术。 第二、三代防火墙：1989年，推出了电路层防火墙，和应用层防火墙的初步结构。 第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。 第五代防火墙：1998年，NAI公司推出了一种自适应代理技术，可以称之为第五代防火墙。,防火墙发展简史,设置防火墙的目的和功能,（1）防火墙是网络安全的屏障 （2）防火墙可以强化网络安全策略 （3）对网络存取和访问进行监控审计 （4）防止内部信息的外泄,防火墙的局限性,（1）限制有用的网络服务 （2）防火墙防外不防内。 （3）Internet防火墙无法防范通过防火墙以外的其他途径的攻击。 （4）防火墙不能完全防止传送感染病毒的软件或文件 （5）防火墙不能防止新的网络安全问题。,防火墙的技术分类,1包过滤防火墙 2代理防火墙,包过滤防火墙,（1）数据包过滤技术的发展：静态包过滤、动态包过滤。 （2）包过滤的优点：不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高。,（3）包过滤的缺点： 不能彻底防止地址欺骗； 一些应用协议不适合于数据包过滤； 正常的数据包过滤路由器无法执行某些安全策略； 安全性较差 ； 数据包工具存在很多局限性。,包过滤防火墙,图 包过滤处理,代理防火墙的原理： 代理防火墙通过编程来弄清用户应用层的流量，并能在用户层和应用协议层间提供访问控制；而且，还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。,代理防火墙,图 代理的工作方式,代理技术的优点 1）代理易于配置。 2）代理能生成各项记录。 3）代理能灵活、完全地控制进出流量、内容。 4）代理能过滤数据内容。 5）代理可以方便地与其他安全手段集成。,代理技术的缺点 1）代理速度较路由器慢。 2）代理对用户不透明。 3）对于每项服务代理可能要求不同的服务器。 4）代理服务不能保证免受所有协议弱点的限制 5）代理不能改进底层协议的安全性。,表 两种防火墙技术,两种防火墙技术的对比,防火墙的常见体系结构,1屏蔽路由器 2双穴主机网关 3屏蔽主机网关 4被屏蔽子网,屏蔽路由器,屏蔽路由器,屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。路由器上可以装基于IP层的报文过滤软件，实现报文过滤功能。许多路由器本身带有报文过滤配置选项，但一般比较简单。,屏蔽路由器的缺点,（1）没有或有很简单的日志记录功能，网络管理员很难确定网络系统是否正在被攻击或已经被入侵。 (2) 规则表随着应用的深化会变得很大而且很复杂。 (3) 依靠一个单一的部件来保护网络系统，一旦部件出现问题，会失去保护作用，而用户可能还不知道。,双穴主机网关,双穴主机网关,这种配置是用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网和外部网相连，每块网卡都有独立的IP地址。堡垒主机上运行着防火墙软件(应用层网关)，可以转发应用程序，也可提供服务等功能,双穴主机网关的优点,双穴主机网关优于屏蔽路由器的地方是：堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。这对于日后的检查很有用。但这不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。,双穴主机网关的缺点,双穴主机网关的一个致命弱点是：一旦入侵者侵入堡垒主机并使其只具有路由功能，则任何网上用户均可以随便访问内网。,屏蔽主机网关,屏蔽主机网关,屏蔽主机网关包括一个分组过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上，通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络惟一可直接到达的主机，这确保了内部网络不受未被授权的外部用户的攻击。进出内部网络的数据只能沿图中的虚线流动。,屏蔽主机网关的特性,危险带限制在堡垒主机和屏蔽路由器。网关的基本控制策略由安装在上面的软件决定。如果攻击者设法登录到它上面，内网中的其余主机就会受到很大威胁。这与双穴主机网关受攻击时的情形差不多。,被屏蔽子网,被屏蔽子网,这种方法是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中，两个分组过滤路由器放在子网的两端，在子网内构成一个“非军事区”DMZ。有的屏蔽子网中还设有一堡垒主机作为唯一可访问点，支持终端交互或作为应用网关代理。这种配置的危险带仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。,被屏蔽子网,被屏蔽子网的结构特征,如果攻击者试图完全破坏防火墙，他必须重新配置连接三个网的路由器，既不切断连接又不要把自己锁在外面，同时又不使自己被发现，这样也还是可能的。但若禁止网络访问路由器或只允许内网中的某些主机访问它，则攻击会变得很困难。在这种情况下，攻击者得先侵入堡垒主机，然后进入内网主，再返回来破坏屏蔽路由器，整个过程中不能引发警报。,典型防火墙产品介绍,国外： 1.Check point Firewall 2.Cisco PIX 3.AXENT Raptor 4.NAI 5.Novell,典型防火墙产品介绍,国内： 1.清华紫光 2.实达朗新 3.天融新的网络卫士防火墙,1.未制定完整的企业安全策略 某中型企业购买了适合自己网络特点的防火墙，刚投入使用后，发现以前局域网中肆虐横行的蠕虫病毒不见了，企业网站遭受拒绝服务攻击的次数也大大减少了，为此，公司领导特意表扬了负责防火墙安装实施的信息部。,防火墙失败案例分析,1.未制定完整的企业安全策略,问题描述： 防火墙投入运行后，实施了一套较为严格的安全规则，导致公司员工无法使用qq聊天软件，于是没过多久就有员工自己拨号上网，导致感染了特洛依木马和蠕虫等病毒，并立刻在公司内部局域网中传播开来，造成内部网大面积瘫痪。,1.未制定完整的企业安全策略,问题分析： 我们知道，防火墙作为一种保护网络安全的设备，必须部署在受保护网络的边界处，只有这样防火墙才能控制所有出入网络的数据通信，达到将入侵者拒之门外的目的。如果被保护网络的边界不惟一，有很多出入口，那么只部署一台防火墙是不够的。在本案例中，防火墙投入使用后，没有禁止私自拨号上网行为，使得许多pc机通过电话线和internet相连，导致网络边界不惟一，入侵者可以通过攻击这些pc机然后进一步攻击内部网络，从而成功地避开了防火墙。,1.未制定完整的企业安全策略,解决办法： 根据自己企业网的特点，制定一整套安全策略，并彻底地贯彻实施。比如说，制定一套安全管理规章制度，严禁员工私自拨号上网; 同时封掉拨号上网的电话号码，并购买检测拨号上网的软件，这样从管理和技术上杜绝出现网络边界不惟一的情况发生。另外，考虑到企业员工的需求，可以在防火墙上添加按照时间段生效的安全规则，在非工作时间打开qq使用的tcp/udp端口，使得企业员工可以在工余时间使用qq聊天软件。,1.未制定完整的企业安全策略,结论与启示： 防火墙只是保证安全的一种技术手段，要想真正实现安全，安全策略是核心问题。,1.未制定完整的企业安全策略,2.未考虑防火墙的可扩充性 某大型企业一年前购买了几十台防火墙，分布在总部局域网和全国各地的分支机构中。刚投入使用后，各部门和分支机构都反映不错，没有影响到网络性能。随着信息化程度的不断提高，该企业决定构建视频会议系统，却发现防火墙不支持该应用协议，如果要实现视频会议，必须让防火墙打开一个很大的缺口，这会留下很大的安全隐患。,防火墙失败案例分析,问题分析： 视频会议系统一般都采用h.323协议，在创建符合h.323协议的voice-over-ip通道时，需要用到tcp协议的1720、1731和1735等端口，并且会使用到tcp协议的、大于1024的端口及udp协议的、大于30000的端口，这些端口是动态随机选取的。如果防火墙没有专门针对h.323协议实现动态包过滤，那么必须静态地配置安全规则，打开tcp协议1024到65535之间的所有端口以及udp协议30000到65535之间的所有端口，这样等于给防火墙打开了一个缺口，留下了安全隐患。此外，视频会议系统对于网络的服务质量和语音传输的优先级要求很高，如果防火墙不支持qos功能，就无法保证参加视频会议的主机的的语音和视频质量。本案例说明了企业在选购防火墙时没有充分考虑到今后网络的扩展性，导致防火墙不能适应新的应用环境。,2.未考虑防火墙的可扩充性,解决办法： 购买防火墙前应充分考虑到各种应用的可能性。如果问题已经发生，请求防火墙厂商或安全集成商帮助解决。,2.未考虑防火墙的可扩充性,结论与启示： “安全当头，应用为先”。如果不支持诸如视频等网络应用，再好的安全设施也是没有意义的。,2.未考虑防火墙的可扩充性,3.未考虑与其他安全产品的配合使用 某公司购买了防火墙后，紧接着又购买了漏洞扫描和ids（入侵检测系统）产品。当系统管理员利用ids发现入侵行为后，必须每次都要手工调整防火墙安全策略，使管理员工作量剧增，而且经常调整安全策略，也给整个网络带来不良影响。,防火墙失败案例分析,问题分析： 选购防火墙时未充分考虑到与其他安全产品如ids的联动功能，导致不能最大程度地发挥安全系统的作用。,3.未考虑与其他安全产品的配合使用,解决办法： 购买防火墙前应查看企业网是否安装了漏洞扫描或ids等其他安全产品，以及具体产品名称和型号，然后确定所要购买的防火墙是否有联动功能（即是否支持其他安全产品，尤其是ids产品），