防火墙技术及应用-1.ppt

第8章 防火墙(Firewall)技术及应用,移动 用户,Internet 用户,Internet,企业网,分公司,商业伙伴,防火墙技术概述,防火墙的概念 防火墙是指设置在不同网络（如可信赖的企业内部局域网和不可信赖的公共网络）之间或网络安全域之间的一系列部件的组合，通过监测、限制、更改进入不同网络或不同安全域的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以防止发生不可预测的、潜在破坏性的入侵，实现网络的安全保护。,防火墙 = 硬件 + 软件 + 控制策略,防火墙是实现网络和信息安全的基础设施，一个高效可靠的防火墙应用具备以下的基本特性： 防火墙是不同网络之间，或网络的不同安全域之间的唯一出入口，从里到外(inbound)和从外到里(outbound)的所有信息都必须通过防火墙； 通过安全策略来控制不同网络或网络不同安全域之间的通信，只有本地安全策略授权的通信才允许通过； 防火墙本身是免疫的，即防火墙本身具有较强的抗攻击能力。,Internet 外部(不可信)的网络,Intranet 内部( 受保护)网络,不能随便进来，当然也不能随便出去,防火墙的基本功能,监控并限制访问 控制协议和服务 保护内部网络 网络地址转换（NAT） 虚拟专用网（VPN） 日志记录与审计,防火墙的基本原理,所有的防火墙功能的实现都依赖于对通过防火墙的数据包的相关信息进行检查，而且检查的项目越多、层次越深，则防火墙越安全。 由于现在计算机网络结构采用自顶向下的分层模型，而分层的主要依据是各层的功能划分，不同层次功能的实现又是通过相关的协议来实现的。 所以，防火墙检查的重点是网络协议及采用相关协议封装的数据。,防火墙提供的机制 -服务控制(service control),确定可以访问的Internet服务类型(双向的)。防火墙可以基于IP地址、协议和TCP端口号对流量进行过滤；或者提供代理软件，对收到的每个服务请求进行解释，然后才允许通过,防火墙用来控制访问和执行站点安全策略的四种通用技术。,防火墙提供的机制 -方向控制(direction control),确定特点服务请求发起和允许通过防火墙的方向。,防火墙提供的机制 -用户控制(user control),根据试图访问服务器的用户来控制服务器的访问权限。通常这个功能应用于在防火墙周界以内的用户(即本地用户)。也可以用于来自外部用户的流量。,防火墙提供的机制 -行为控制(behavior control),控制特点服务的使用方法。 过滤垃圾邮件；控制外部用户只能对本地Web服务器上的部分信息进行访问。,防火墙的基本准则,默认丢弃-所有未被允许的就是禁止的 所有未被允许的就是禁止的，这一准则是指根据用户的安全管理策略，所有未被允许的通信禁止通过防火墙。 默认转发-所有未被禁止的就是允许的 所有未被禁止的就是允许的，这一准则是指根据用户的安全管理策略，防火墙转发所有信息流，允许所有的用户和站点对内部网络的访问，然后网络管理员按照IP地址等参数对未授权的用户或不信任的站点进行逐项屏蔽。,先否定一切,先肯定一切,防火墙的应用,防火墙在网络中的位置-多应用于一个局域网的出口处或置于两个网络中间。,财务处,实验室,使用了防火墙后的网络组成-三部分,防火墙是构建可信赖网络域的安全产品。当一个网络在加入了防火墙后，防火墙将成为不同安全域之间的一个屏障，原来具有相同安全等级的主机或区域将会因为防火墙的介入而发生变化 .,信赖域和非信赖域,信赖主机和非信赖主机,DMZ(Demilitarized zone)称为“隔离区”或“非军事化区”，它是介于信赖域和非信赖域之间的一个安全区域。,防火墙应用的局限性,防火墙不能防范未通过自身的网络连接 对于有线网络来说，防火墙是进出网络的唯一节点。但是如果使用无线网络（如无线局域网），内部用户与外部网络之间以及外部用户与内部网络之间的通信就会绕过防火墙，这时防火墙就没有任何用处。,防火墙不能防范全部的威胁 防火墙安全策略的制定建立在已知的安全威胁上，所以防火墙能够防范已知的安全威胁。 防火墙不能防止感染了病毒的软件或文件的传输 即使是最先进的数据包过滤技术在病毒防范上也是不适用的，因为病毒的种类太多，操作系统多种多样，而且目前的病毒编写技术很容易将病毒隐藏在数据中。,防火墙不能防范内部用户的恶意破坏 据相关资料统计，目前局域网中有80%以上的网络破坏行为是由内部用户所为(80/20规则)，如在局域网中窃取其他主机上的数据、对其他主机进行网络攻击、散布计算机病毒等。这些行为都不通过位于局域网出口处的防火墙，防火墙对其无能为力。,防火墙本身也存在安全问题 防火墙的工作过程要依赖于防火墙操作系统，与我们平常所使用的Windows、Linux等操作系统一样，防火墙操作系统也存在安全漏洞，而且防火墙的功能越强、越复杂，其漏洞就会越多 。 加密 笔记本,防火墙的基本类型,包过滤防火墙-CHeckpoint 代理防火墙-Cauntlet 状态检测防火墙-Cisco PIX 分布式防火墙,防火墙的基本类型,包过滤(packet filtering)防火墙 包过滤防火墙是最早使用的一种防火墙技术，它在网络的进出口处对通过的数据包进行检查，并根据已设置的安全策略决定数据包是否允许通过。 IP分组,IP分组组成=IP头部+高层数据,包过滤防火墙的工作原理 包过滤是在网络层中根据事先设置的安全访问策略（过滤规则），检查每一个数据包的源IP地址、目的IP地址以及IP分组头部的其他各种标志信息（如协议、服务类型等）源、目的端口，确定是否允许该数据包通过防火墙。,当网络管理员在防火墙上设置了过滤规则(访问控制列表Access Control List,ACL)后，在防火墙中会形成一个过滤规则表。当数据包进入防火墙时，防火墙会将IP分组的头部信息与过滤规则表进行逐条比对，根据比对结果决定是否允许数据包通过。,deny ip host 00 any,过滤规则举例,第一条规则：内部主机任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。 第二条规则：任何主机的20端口访问主机的任何端口，基于TCP协议的数据包允许通过。 第三条规则：任何主机的20端口访问主机小于1024的端口，如果基于TCP协议的数据包都禁止通过（与1、2作为系列规则时该规则无效）。,包过滤防火墙的应用特点 过滤规则表事先人工设置-根据用户的安全要求来定。 进行检查时，首先从第1个条目开始逐条进行，所以条目先后顺序非常重要。 由于包过滤防火墙工作在OSI参考模型的网络层和传输层，所以包过滤防火墙 对通过的数据包的速度影响不大，实现成本较低。,包过滤防火墙,在网络层上进行监测 -并没有考虑连接状态信息，仅考虑单个IP数据报 通常在路由器上实现 -实际上是一种网络层的访问控制（ACL） 优点： 实现简单 对用户透明 效率高 缺点： 正确制定规则并不容易 不可能引入认证机制 举例： ipchains and iptables,基本思想 对于每个进来的包，适用 一组规则，然后决定转发 或者丢弃该包往往配置 成双向的(出站和入站),如何过滤 如果匹配到一条规则，则根据此规则决定转发或者丢弃,如果所有规则都不匹配，则根据缺省策略,包过滤原理,数据包,数据包,数据包,数据包,查找对应的规则,拆开数据包,根据规则决定如何处理该数据包,防火墙规则,数据包,过滤依据主要是单个数据包TCP/IP报头里面的信息，不能对应用层数据进行处理,数据,TCP头,IP头,分组过滤判断信息,Host A,包过滤防火墙的设置(1) 从内往外的telnet服务,往外包的特性(用户操作信息) IP源是内部地址 目标地址为server TCP协议，目标端口23 源端口1023 连接的第一个包ACK=0，其他包ACK=1,往内包的特性(显示信息) IP源是server 目标地址为内部地址 TCP协议，源端口23 目标端口1023 所有往内的包都是ACK=1,包过滤防火墙的设置(2) 从外往内的telnet服务,往内包的特性(用户操作信息) IP源是外部地址 目标地址为本地server TCP协议，目标端口23 源端口1023 连接的第一个包ACK=0，其他包ACK=1,往外包的特性(显示信息) IP源是本地server 目标地址为外部地址 TCP协议，源端口23 目标端口1023 所有往的包都是ACK=1,包过滤防火墙的设置,双向允许,只允许出站,针对包过滤防火墙的攻击,IP地址欺骗，例如，假冒内部的IP地址 对策：在外部接口上禁止内部地址 源路由攻击，即由源指定路由（通常针对路由器的攻击） 对策：禁止这样的选项 小碎片攻击，利用IP分片功能把TCP头部切分到不同的分片中,绕过基于TCP头信息的过滤规则 对策：丢弃分片太小的分片,Linux 中IP包处理的体系结构,IP包接收器,IP转发器,IP本地分发器,Linux 中IP包处理的体系结构,Linux 中IP包处理的体系结构,选择 网络设备 组装 以太帧 做准备,以太帧 协议类型 字段为 0X0800,Linux内核2.4中网络层的处理流程,Prerouting的作用是数据包刚刚到达防火墙时，改变其目的地址，可以在这里定义 进行目的NAT的规则，因为路由器进行路由时只检查数据包的目的ip地址， 所以为了使数据包得以正确路由，我们必须在路由之前就进行目的NAT。 Postrouting的作用是数据包就要离开防火前之前改变其源地址；可以在这里定义 进行源NAT的规则，系统在决定了数据包的路由以后在执行该链中的规则。,Linux中的包过滤防火墙-NetFilter(iptables) iptables 实现的功能 -通过三种表来体现,包过滤（packet filter） -对数据报进行过滤 -连接跟踪（新增功能） 网络地址转换（NAT） -对需要转发的数据包的目的地址进行地址转换 -源NAT （SNAT）、目的NAT（DNAT）、 伪装IP 透明代理 数据报更改处理(Mangle) -可以实现对数据报的修改：服务类型字段、生存时间等。,iptables 结构图 -五种内置链(规则) 组合成三个表,Filter-默认的表 包含真正的 防火墙过滤规则,NAT 包含源和目的地址 和端口转换的规则,mangle 包含用于设置特殊 的数据包路由标志的规则 服务类型字段/TTL等,包进入规则表及规则链图,0,,54 54,iptables 的命令格式,一个iptables命令基本上包含如下五部分：希望工作在哪个表上、希望使用该表的哪个链、进行的操作(插入，添加，删除，修改)、对特定规则的目标动作、匹配数据报条件。 -基本的语法为： iptables -t table -Operation chain -j target match 例如：希望添加一个规则，允许所有从任何地方到本地smtp端口的连接： iptables -t filter -A INPUT -j ACCEPT -p tcp -dport smtp,iptables -t table -Operation chain -j target match iptables -t filter -A INPUT -j ACCEPT -p tcp -dport smtp,基本的Operation -A 在链尾添加一条规则 -I 插入规则； -D 删除规则 -R 替代一条规则； -L 列出规则。,表 table Filter NAT mangle,-j 基本的target 处理动作 适用于所有的链： ACCEPT 接收该数据报； DROP 丢弃该数据报； QUEUE 排队该数据报到用户空间； RETURN 返回到前面调用的链,所有的规则链chain INPUT OUTPUT FORWARD PREROUTING POSTROUTING,基本的match 适用于所有的链： -p 指定协议(tcp/icmp/udp/.)； -s 源地址(ip address/masklen)； -d 目的地址(ip address/masklen)； -i 数据报输入接口； -o 数据报输出接口；,规则：允许所有从任何地方到本地smtp端口的连接,命令和应用举例,将分配给A、B单位的真实IP绑定到防火墙的外网接口，以root权限执行以下命令： ifconfig eth0 add 00 netmask ifconfig eth0 add 00 netmask ,Internet,WWW服务器A 私有IP：00 真实IP：00,WWW服务器B 伪IP：00 真实IP：00,linux防火墙的ip地址分别为： 内网接口eth1： 外网接口eth0：,命令和应用举例,对防火墙接收到的源ip地址为00和00的数据包进行源NAT(SNAT): iptables -t nat -A POSTROUTING -o eth0 -s 00 -j SNAT -to 00 iptables -t nat -A POSTROUTING -o eth0 -s 00 -j SNAT -to 00,Internet,WWW服务器A 伪IP：00 真实IP：00,WWW服务器B 伪IP：00 真实IP：00,linux防火墙的ip地址分别为： 内网接口eth1： 外网接口eth0：,命令和应用举例,对防火墙接收到的目的ip为00和00的所有数据包进行目的NAT(DNAT): iptables -t nat -A PREROUTING -i eth0 -d 00 -j DNAT -to 00 iptables -t nat -A PREROUTING -i eth0 -d 00 -j DNAT -to 00,Internet,WWW服务器A 伪IP：00 真实IP：00,WWW服务器B 伪IP：00 真实IP：00,linux防火墙的ip地址分别为： 内网接口eth1： 外网接口eth0：,注意事项,-在使用iptables防火墙之前，必须先打开IP转发功能。 # echo 1 /proc/sys/net/ipv4/ip_forwar