信息安全原理与应用-防火墙技术及应用.ppt

电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处1 信息安全原理与应用信息安全原理与应用 第十二章第十二章 防火墙技术及应用防火墙技术及应用 本章由王昭主写本章由王昭主写 2 讨论议题 防火墙的基本概念 防火墙的体系结构 防火墙相关技术 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处3 防火墙定义 防火墙是位于两个或多个网络之间，执行访问控制 策略的一个或一组系统，是一类防范措施的总称 . 一个好的防火墙具备: 内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全政策的数据流才能通过防火墙 防火墙自身应对渗透免疫 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处4 防火墙的访问控制能力 服务控制，确定哪些服务可以被访问 方向控制，对于特定的服务，可以确定允许哪 个方向能够通过防火墙 用户控制，根据用户来控制对服务的访问 行为控制，控制一个特定的服务的行为 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处5 防火墙的作用 防火墙对企业内部网实现了集中的安全管理 防火墙能防止非授权用户进入内部网络。 防火墙可以方便地监视网络的安全性并报警。 可以作为部署网络地址转换NAT的地点 可以实现重点网段的分离 防火墙是审计和记录网络的访问和使用的最佳地 方。 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处6 防火墙的局限性 限制或关闭了一些有用但存在安全缺陷的网络服务 ，给用户带来使用的不便。 目前防火墙对于来自网络内部的攻击还无能为力。 防火墙不能防范不经过防火墙的攻击。 可能带来传输延迟、瓶颈及单点失效。 防火墙不能有效地防范数据驱动式攻击。 作为一种被动的防护手段，防火墙不能防范因特网 上不断出现的新的威胁和攻击。 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处7 防火墙安全策略 在构筑防火墙之前，需要制定一套完整有效的 安全战略 网络服务访问策略 一种高层次的具体到事件的策略，主要用于定义在 网络中允许或禁止的服务。 防火墙设计策略 一切未被允许的就是禁止的 一切未被禁止的都是允许的 8 讨论议题 防火墙的基本概念 防火墙的体系结构 防火墙相关技术 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处9 防火墙的体系结构 包过滤型防火墙（Package Filtering) 双宿/多宿主机模式 (Dual-Homed /Multi- Homed Host Firewall) 屏蔽主机模式(Screened Host Firewall ) 屏蔽子网模式(Screened Subnet mode) 其他模式 10 几个概念 堡垒主机:Bastion Host 堡垒主机是一种配置了安全防范措施的网络上的计 算机，堡垒主机为网络之间的通信提供了一个阻塞 点，也就是说如果没有堡垒主机，网络之间将不能 相互访问。 双宿主机:Dual-homed Host 有两个网络接口的计算机系统，一个接口接内部网 ，一个接口接外部网. DMZ(Demilitarized Zone，非军事区或者停火区) 在内部网络和外部网络之间增加的一个子网 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处 包过滤防火墙 往往用一台路由器来实现 基本的思想很简单 对所接收的每个数据包进行检查，根据过滤 规则，然后决定转发或者丢弃该包 往往配置成双向的 11 12 包过滤防火墙 往往用一台路由器来实现 基本的思想很简单 对所接收的每个数据包进行检查，根据过滤规则，然 后决定转发或者丢弃该包 往往配置成双向的 如何过滤 过滤规则基于IP包头信息。IP源地址、目的地址、 TCP/UDP端口、ICMP消息类型、TCP头中的ACK位 。 过滤器往往建立一组规则，根据IP包是否匹配规则中 指定的条件来作出决定。 如果有匹配按规则执行，没有匹配，则按缺省策略。 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处 13 双宿/多宿主机模式 它是一种拥有两个或多个连接到不同网络上的网络接口 的防火墙。 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处 14 屏蔽主机模式 屏蔽主机防火墙由包过滤路由器和堡垒主机组 成 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处 15 屏蔽子网模式 采用了两个包过滤路由器和一个堡垒主机，在内外网 络之间建立了一个被隔离的子网，定义为“非军事区（ de-militarized zone）”网络，有时也称作周边网 (perimeter network) 16 讨论议题 防火墙的基本概念 防火墙的体系结构 防火墙相关技术 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处 17 防火墙相关技术 静态包过滤 状态监测 应用程序网关(代理服务器) 电路级网关 深度包检查技术 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处 18 静态包过滤 根据流经该设备的数据包头信息，决定是否允许该数据 包通过 如何过滤 过滤规则基于IP包头信息。 IP源地址、目的地址、 TCP/UDP端口、ICMP消息类 型、TCP头中的ACK位。 过滤器往往建立一组规则， 根据IP包是否匹配规则中指定 的条件来作出决定。 如果有匹配按规则执行，没 有匹配，则按缺省策略 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处 19 重要的约定 访问规则要使用IP地址，而不使用主机名或域 名 不要回应所有经过外部网络接口来的ICMP包 。 要丢弃所有通过外部网络适配器流入，且其源 地址是来自受保护网络的包。 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处 telnet服务的数据包的特性 20 从内往外的telnet服务 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处 针对telnet服务的过滤规则 21 双向允许 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处 针对SMTP服务的过滤规则 22 双向允许 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处 针对WWW服务的过滤规则 23 允许内部网用户的WWW服务 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处 正常模式的FTP过滤规则 24 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处 PASV模式的FTP过滤规则 25 26 针对包过滤防火墙的攻击 IP地址欺骗，例如，假冒内部的IP地址 对策：在外部接口上禁止内部地址 源路由攻击，即由源指定路由 对策：禁止这样的选项 小碎片攻击，利用IP分片功能把TCP头部切分到不同 的分片中 对策：丢弃分片太小的分片 利用复杂协议和管理员的配置失误进入防火墙 例如，利用ftp协议对内部进行探查 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处 27 防火墙相关技术 静态包过滤 状态监测 应用程序网关(代理服务器) 电路级网关 深度包检查技术 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处 28 动态包过滤 Check point一项称为“Stateful Inspection”的技术 防火墙跟踪客户端口，而不是打开全部高编号端口给 外部访问，因而更安全。 状态监测防火墙建立连 接状态表，记录外出的 TCP连接及相应的高编号 客户端口，以验证任何进 入的通信是否合法。可动 态生成/删除规则 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处 29 动态包过滤特点 优点： 对网络通信的各层实施监测分析。 能够提供对基于无连接的协议（UDP）的应用及基于端 口动态分配的协议的应用的安全支持。 总之，这类防火墙减少了端口的开放时间，提供了对几 乎所有服务的支持。 缺点：是它也允许外部客户和内部主机的直接连接；不 提供用户的鉴别机制。 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处 30 防火墙相关技术 静态包过滤 状态监测 应用程序网关(代理服务器) 电路级网关 深度包检查技术 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处 31 应用级网关 1. 网关理解应用协议，可以 实施更细粒度的访问控制 2. 对每一类应用，都需要一 个专门的代理 3. 灵活性不够 32 应用层网关的特点 所有的连接都通过防火墙，防火墙作为网关 在应用层上实现 可以监视包的内容 可以实现基于用户的认证 所有的应用需要单独实现 可以提供理想的日志功能 非常安全，但是开销比较大 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处 33 防火墙相关技术 静态包过滤 状态监测 应用程序网关(代理服务器) 电路级网关 深度包检查技术 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处 34 电路级网关防火墙 拓扑结构同应用程序网关相同 本质上，也是一种代理服务器，接收客户端连接请求， 代理客户端完成网络连接 在客户和服务器间中转数据 通用性强 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处 35 电路级网关防火墙特点 电路级网关是一个通用代理服务器，它工作于 OSI互联模型的会话层或是TCP/IP协议的TCP 层。它适用于多个协议，但它不能识别在同一 个协议栈上运行的不同的应用，当然也就不需 要对不同的应用设置不同的代理模块，但这种 代理需要对客户端作适当修改。 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处 36 防火墙相关技术 静态包过滤 状态监测 应用程序网关(代理服务器) 电路级网关 深度包检查技术 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处 37 深度包检测技术 与只是检查数据包的包头部分的浅层包检查技术（通 常称为状态监测技术）不同，深度包检查（deep packet inspection，DPI）也称为完全包检查（ complete packet inspection）和信息提取（Information extraction）。 DPI技术组术组 合了入侵检测检测 系统统、入侵保护护系统统及传统传统 状态监测态监测 防火墙墙的功能。这这种组组合使它能够检测单够检测单 独的IDS、IPS或者状态监测态监测 防火墙墙不能检测检测 的攻击击 行为为。 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处 38 其他防火墙技术 网络地址转换 热恢复策略 流量控制 IP和MAC绑定 身份鉴别 负载均衡 内容安全 加密 审计 防火墙的免疫设计 分布式防火墙 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处 39 防火墙的发展趋势 高速 应用ASIC、FPGA和网络处理器是实现高速 防火墙的主要方法，算法也是关键。 多功能化 比如NAT、VPN(IPSec)、IDS，以及一些鉴 别和访问控制技术 安全 防火墙自身的安全性和稳定性 电子工业出版社，信息安全原理与应用，2010.1 版权所有,引用请注明出处 40 参考文献 王昭，袁春编著，信息安全原理与应用，电子工业出版 社，北京，2010，1 Wi