安全连入Internet防火墙.ppt

安全连入Internet 防火墙 防火墙的工作原理与布置 背景 Internet的设计就是为资源共享为目标的用户数量的增加 恶劣的用户也在增加许多TCP IP的服务有漏洞 特别网管服务窃听和假冒比较容易服务策略的缺乏导致许多不需要的服务开放存取控制设置复杂导致安全漏洞防火墙 一个经济的解决方案 本节内容 Internet及其安全防火墙的基本知识防火墙的功能分类防火墙的布置与环境 Internet及其安全 Internet的基本协议Internet的基本服务与安全相关的问题 Internet 以TCP IP协议为基础初始目标是在研究人员之间进行通信 原型系统为ARPANET DARPA资助 1980后迅速推广到教育 政府 商业与国际机构目前一般用户为商业用户成为了国家信息基础设施 NII Internet提供的基本服务 SMTP 简单邮件传送协议SimpleMailTransferProtocolTELNET 对远地主机的基本的终端仿真FTP 文件传送协议FileTransferProtocolDNS 域名系统DomainNameService信息提供服务Gopher WAIS WWW http进程调用服务 Internet主机 操作系统的特点就是并行和共享Unix系统Sun IBM LinuxWindows系统NT XP 2000VMS AS400 其他系统OS 2 Macintosh 网络分层的思路 书信邮件的例子应用 信的内容与将来如何投递没有关系网络 加信封 信封及地址与如何投递没有关系物理 加邮包 运邮件的车跟具体信封地址没有关系两个人的合同谈判翻译秘书传真 邮件示意 信件 信件 合同谈判 英语 Ilike 德语 Ilike Faxto 德语 Ilike Faxfrom 德语 Ilike 德语 Ilike 中文 Ilike 英语 Ilike 德语 Ilike Faxto 德语 Ilike Faxfrom 德语 Ilike 德语 Ilike 中文 Ilike 合同谈判 网络的视角 系统互连 OSI 第一层 物理层Physical 第二层 数据链路DataLink 第三层 网络层Network 第四层 传输层Transport 第五层 会话Session 第六层 表示层Presentation 第七层 应用层Application 网络中的数据传送 物理层 链路层 网络层 传输层 会话层 表示层 应用层 物理层 链路层 网络层 TCP IP协议层次结构 物理 数据链路层 Ethernet 网络层Network IP ICMP 传输层Transport TCP UDP 应用层Application FTP Telnet DNS NFS PING ARP AddressResolutionProtocol地址解析协议 IP数据包发送前查找对应IP地址主机的物理地址在网络上广播ARP请求缓存已经找到的硬件地址参见RFC826 ICMP互连网控制报文协议InternetControlMessageProtocol 用于传送错误和控制报文 控制IP协议主机关闭 网关阻塞或不通 其他故障PING是一个著名的应用RFC792 IP InternetProtocol 协议 接收物理层 Ethernet 发来的数据将数据传送到高层协议 如TCP UDP不可靠的数据报协议不保障报文顺序 不检查错误 不保证对方收到包含源IP地址和目的IP地址SourceAddress DestinationAddress上层协议 TCP UDP 认为这些地址都是正确的 不对原IP地址进行认证 RFC760 TCP协议TransmissionControlProtocol IP数据报包含了封装的TCP报文通过连接建立和报文序号以及检错编码保证数据完整性TCP协议将数据送往应用层处理TELNET FTP XWindow SMTP等都是基于有连接的TCP协议 UDP协议UserDatagramProtocol 与TCP在同一个层次 直接为应用服务不检错 不重发 不排序无连接的协议NTP DNS使用UDP TCP UDP的地址结构 源IP地址 32bits 源端口 16bits 目的IP地址目的端口 一个连接的例子 Telnet服务器运行在192 168 0 1上 在端口23上听是否有连接请求Telnet客户端在192 168 20 1中申请了一个未用的端口 如3987 然后向服务器发连接请求当连接成功后 双方都记下自己以及对方的地址和端口 192 168 20 1 3987 192 168 0 1 23 Internet上安全事件不断 服务安全问题 协议安全问题Sendmail FreeFTP发现漏洞Telnet FTP Xwindow易于窃听蠕虫病毒泛滥主机配置错误导致的安全问题弱口令 口令破解程序 NFS协议不能认证用户管理人员的变动和水平 一些安全问题 窃听 假冒 IP假冒 同一网段内 改就行原路径问题 sourceroute 改变IP设计原路径发送请求获得回应Email假冒 不仅是地址 而且还从正确的服务器来 Internet及其安全总结 Internet是以TCP IP协议为基础的ARP IP TCP UDP ICMPISO的七层开放系统模型与Internet的5层模型数据传送方法Internet很不安全协议本身 服务 配置以及系统本身 防火墙的基本知识 防火墙的主要目标是控制对一个受保护网络的访问 强迫所有连接都接受防火墙的检查和评估 可以是路由器 计算机或一群计算机 防火墙通过边界控制保护整个网络 而不需要对每个网内的主机进行单独的保护 为内网仍旧可以采用相互信任的模式提供了一定的安全基础 防火墙能够做什么 保护内网有漏洞的服务控制对内网系统的访问将安全问题集中解决增加隐私保护内网系统不可见审计和统计网络使用和错误强制执行统一的安全策略 防火墙的缺陷 外网获得内网的服务不如原来方便后门并没有完全堵住通过MODEM的外拨通过MODEM的内拨内部攻击者无法防止逃避防火墙的监管其他问题新的攻击 数据驱动的攻击 新的病毒 通信瓶颈 依赖 alleggsinsinglebasket 防火墙运行的网络层次 数据链路层 Ethernet 网络层Network IP ICMP 传输层Transport TCP UDP 应用层Application FTP Telnet DNS NFS PING 简单防火墙运行的层次少 而复杂防火墙运行的层次就多 防火墙的功能分类 包过滤防火墙状态检查机制防火墙应用代理网关防火墙专用代理防火墙混合型防火墙网络地址转换基于主机的防火墙个人防火墙 个人防火墙设备 包过滤防火墙 最基本的防火墙功能包含有许多过滤规则最基本的工作模式是工作在第二 第三层存取控制一般基于以下参数原地址 数据包从哪里来目标地址 数据包要进入哪个系统通信类型 通信协议 IP IPX或其他协议其他信息 IP数据包头的其他信息第二层工作可以增加冗余和完成负载均衡 边界路由器包过滤BoundaryRouterPacketFilter ISP 边界路由器包过滤 外部DMZ 受保护的内网 主防火墙 demilitarizedzone 包过滤防火墙特点 非常快 可以安装在最外的边界上根据策略 如阻止SNMP 允许HTTP可能的弱点应用相关的漏洞没有办法保护审计不够详细无法支持高级的用户认证无法防止高级攻击 如IP地址假冒目前 很难找到只有包过滤功能的防火墙路由器 SOHO防火墙 操作系统自带的防火墙 包过滤防火墙的过滤规则 过滤规则 动作 允许 Accept Allow 拒绝 Deny 丢弃 Discard 规则间的关系凡是没有定义的就禁止 允许 一条禁止和一条允许 禁止还是允许 一般 不要忘记最后禁止所有的通信外出通信和进入通信同等重要 状态检查防火墙StatefulInspectionFirewalls 工作在2 3 4层不是简单开放大于1023的端口而是记住每个TCP连接或UDP通信的状态 应用代理网关防火墙Application ProxyGatewayFirewalls 代理网关防火墙主要工作在应用层 2 3 4 7 部分语义的检查可以进行用户认证身份认证 基于生物特征的认证可以进行原地址检查不足慢 不适合快速网络针对新的应用 升级麻烦 一个代理网关防火墙的例子 DNSFingerFTPHTTPHTTPSLDAPNNTPSMTPTelnet 内网 外网 ProxyAgent 代理网关的运行步骤 用户Telnet网关并输入内部主机名网关检查用户的IP地址决定是否允许连接网关要求用户进行认证 可以是基于硬件的或生物基础的代理服务建立一个从代理到内部主机的Telnet连接代理在这两个连接中传输数据网关记录这次连接 专用代理防火墙DedicatedProxyServers 混合的防火墙HybridFirewall 现有的防火墙基本都是混合功能的配置 安装更加复杂考察功能参数就很重要后面介绍防火墙的一些其他基本功能 NAT 网络地址转换NetworkAddressTraslation 目的 隐藏内部网络地址减少真实IP地址的使用方法 静态地址转换 StaticNAT 隐藏网络地址转换 HidingNAT 端口地址转换 PortAddressTranslation 防火墙功能总结 包过滤防火墙状态检查机制防火墙应用代理网关防火墙专用代理防火墙混合型防火墙网络地址转换基于主机的防火墙个人防火墙 个人防火墙设备 防火墙的布置与环境 布置防火墙及环境的四条建议非军事区 DMZ VPN及其的布置IDSDNS一个服务器布放的例子 布置防火墙的建议 NISTGuidelines 越简单越好 KeepItSimple 不要追求复杂方案 要能够易懂才能易于管理和维护 和进行事件处理 复杂必然不安全 按照设计使用设备不要用路由器中的包过滤当防火墙 不要指望交换机中的安全机制 这样容易错误地配置设计有深度的防御 DefenseinDepth 安全分层 路由安全 多防火墙墙 操作系统注意内部威胁并非怀疑同事的攻击 攻击可能越过Firewall 重要建议 所有的规则都会被打破在防火墙布置时牢记在防火墙设计时牢记各自的系统有各自的需求 应该具针对具体应用设计有针对性的防火墙的布置 DMZ网络 DeMilitarizedZone ISP 边界包过滤防火墙 受保护内网 外部DMZ网络 外部WEB服务器 主防火墙 内部DMZ网络 内网防火墙 内部邮件服务器 另一种DMZ网络 ISP 边界包过滤防火墙 外部DMZ网络 应用代理服务器 主防火墙 服务DMZ网络 受保护内网 VPN VirtualPrivateNetwork VPNGateway 内部网络 Internet VPN的类型 PPTP Point to pointTunnelingProtocol 用户到NAS之间的连接保密口令机制CHAPL2TP Layer2TunnelingProtocol 第二层安全 IPSEC InternetProtocolSecurity 最完善的安全机智 VPN与专用网相比的优势 租线路昂贵无须专用接入设备移动时节约长途电话开销大规模造成的复杂问题不存在管理更容易扩展方便 VPN与专用网相比的优势的缺点 设备成本 如果需要高性能的话技术门槛 维护和管理开销法律问题性能问题 服务质量 IPSEC的主要内容 IPAuthenticationHeader AH IPEncapsulatingSecurityPayload ESP IPPayloadcompression IPComp InternetKeyExchange IKE IPSec的两种工作模式 传输模式用于主机之间的通信IP地址不变 只加密内容隧道模式主要用于有Gateway参与的通信加密所有的内容 包括原IP头 VPN的布置 内网 Internet 内网 Internet 内网 Internet IDS IntrusionDetectionSystem 能够与防火墙连动基于主机的IDS装在主机上 可检测高层攻击 影响性能 不能检测网络型攻击 使系统不稳定 基于网络的IDS协议分析 更有效 分段攻击检测困难 在交换型网络上运行困难 可能被发现 网卡运行模式问题 DOS攻击 防火墙与IDS联合布置 ISP 边界包过滤防火墙 受保护内网 外部DMZ网络 外部WEB服务器 主防火墙 内部DMZ网络 内网防火墙 内部邮件服务器 NetworkIDS NetworkIDS DNS 在网络上做名字解析 210 17 12 15相互通信用TCP查询用UDP有防火墙的网络一般将DNS分开内部的域名不让外部知道 保护隐私 防火墙和DNS的布置 ISP 边界包过滤防火墙 受保护内网 外部DMZ网络 外部WEB服务器 主防火墙 内部DMZ网络 内网防火墙 内部邮件服务器 InternalDNS ExternalDNS 服务器与防火墙放置的考虑 没有适合所有情况的解决方案一些建议 用边界包过滤防火墙保护外部服务器不要将可以外部存取的服务器放在内网将内部服务器放在内部服务器后面隔离容易受攻击的服务器 服务器布放的例子 外部存取服务器 如www服务