安全网管技术.ppt

1 安全网管技术 张焕杰中国科学技术大学网络信息中心james http 202 38 64 40 james nmsTel 3601897 O 2 第3章网络隔离与防火墙技术 2 本章主要内容物理隔离技术与双网隔离计算机协议隔离技术防火墙技术包过滤防火墙Socks协议参考资料 计算机网络安全基础 袁津生等 人民邮电出版社 3 包过滤防火墙 状态包过滤StatefulFirewall记录数据包的连接状态TCP SYN SENT SYN RECV ESTABLISHED TIME OUT等 根据数据包的内容动态修改UDP 无状态 第一个数据包触发创建一个新连接 后续的数据包刷新该连接 直到超时后连接信息被删除ICMP 状态 4 包过滤防火墙 状态表连接 并发连接数 5 状态的维护 对于TCP 跟踪所有的数据包 依据TCP有限状态机动态修改状态对于UDP等无连接协议 一定时间内没有数据就认为连接结束 实现时设置超时时间TCP也有超时处理 6 包过滤防火墙 状态过滤对所有已经建立的连接的数据包都允许 包括相关的连接的数据包 非法的数据包禁止管理员只要定义规则 判断新连接的数据包是否需要允许即可控制信息流简化了配置 方便了管理 提高了安全性 7 地址转换 NATNetworkAddressTranslation对通过防火墙的数据包IP地址进行改变隐藏内部网络结构 提高安全性解决IPv4地址不足将正式地址和内部保留地址进行互相翻译10 172 16 172 31 192 168 比代理效率高 8 地址转换 NATNetworkAddressTranslation适应所有IP通信重写IP地址1 1的映射类似直拨电话NAPTNetworkAddressPortTranslation只能处理TCP UDP ICMP通信重写IP地址和端口信息1 M的映射类似电话分机概念 9 10 20 11 NAT NAPT 尽量使用NAT 基本上各种协议都可用解决IP地址不足时 往往要用到NAPT 12 13 14 数据包内数据的处理 NAT仅仅处理数据包头的信息有时不能有效工作数据包中包含的IP地址 端口信息需要同时修改DNS中的A和PTR查询 应答Netmeeting中的IP地址信息FTPPORT命令SIP协议等只有完全处理了这些信息 应用才能正确工作 15 NAT的分类 不同的产品的术语不同Linux下的NAT有两种实现在路由处理时修改IP地址 只能实现1 1的翻译 不处理任何其他数据 这种NAT工作方式不在本课程中讨论Netfilter iptables下的地址转换 是一种NAPT实现 是重点 16 NAT的分类 对每个连接的第一个数据包的处理分类SNAT修改第一个连接包的源地址常用于把内部的IP地址转换成正式IP地址对外通信DNAT修改第一个连接包的目的地址常用于从外面访问内部的服务器 17 地址换换SNAT NAT设备 客户机 服务器 10 0 0 1 1024 202 38 64 2 80 61 132 182 2 8133 202 38 64 2 80 61 132 182 2 8133 202 38 64 2 80 10 0 0 1 1024 202 38 64 2 80 内部网络 外部网络 源地址转换SNAT 18 地址换换DNAT NAT设备 服务器 客户机 10 0 0 1 80 202 38 64 2 1024 61 132 182 2 80 202 38 64 2 1024 61 132 182 2 80 202 38 64 2 1024 10 0 0 1 80 202 38 64 2 1024 内部网络 外部网络 目的地址转换DNAT 19 NAT的分类 CiscoInsidesource InsidedestinationOutsidesource Outidedestination 20 21 22 23 Cisco更具体信息 DeployingandTroubleshootingNetworkAddressTranslation http 210 45 224 8 james cw2003 NMS 2102 pdf 24 nat中的内定规则链 PREROUTING 进来的数据包 路由 本机 发出的数据包 POSTROUTING PREROUTING处理DNAT规则POSTROUTING处理SNAT规则 25 例子 26 Linux配置 echo1 proc sys net ipv4 ip forwardipaddadd218 22 10 4 24deveth0ipaddradd192 168 0 1 24deveth1iplinkseteth0upiplinkseteth1upiprouteadd0 0via218 22 10 1iptables tnat APOSTROUTING jSNAT to218 22 10 1 oeth0 27 28 复杂的设置 1增加一个IP地址 含义是让Linux能接收到发送给218 22 10 5的数据包 以便进行地址转换ipaddradd218 22 10 5deveth0 2将所有发送给218 22 10 5的数据包 转换成发送给192 168 0 2iptables tnat APREROUTING jDNAT d218 22 10 5 to192 168 0 2 3将所有由192 168 0 2发出的数据包 转换成由218 22 10 5发出iptables tnat APOSTROUTING jSNAT to218 22 10 5 s192 168 0 2 oeth0 29 设置 2 4从内部发送给192 168 0 2的要进行转换为从网关发出的 否则内部的机器无法连接218 22 10 5 因为返回的数据包不经过网关就发送回去了iptables tnat APOSTROUTING jSNAT to192 168 0 1 s192 168 0 0 24 d192 168 0 2 oeth1 5其他的转换iptables tnat APOSTROUTING jSNAT to218 22 10 4 s192 168 0 0 24 oeth0 30 Linux网关 31 设置要求 网关的eth0接口接电信出口 可用的地址段为218 22 166 98 218 22 166 110掩码255 255 255 240 网关是218 22 166 97 eth2接内部网络 地址为192 168 1 254 内部网络的IP地址范围为192 168 192 168 1 11地址转换成218 22 166 101 作为www服务器 开放80端口192 168 1 12地址转换成218 22 166 102 作为邮件服务器 开放25 80 110 143端口其它计算机转换为218 22 166 99 这个IP也是Linux网关的IP地址 32 基本设置 ipaddradd218 22 166 99 28deveth0ipaddradd218 22 166 101 28deveth0ipaddradd218 22 166 102 28deveth0ipaddradd192 168 1 254 24deveth2iplinkseteth0upiplinkseteth2up 缺省路由iprouteadd0 0via218 22 166 97 到校内192 168 的路由 下一跳是主干交换机的IP地址iprouteadd192 168 0 0 16via192 168 1 253 33 NAT设置 iptables tnat APREROUTING jDNAT d218 22 166 101 to192 168 1 11iptables tnat APOSTROUTING jSNAT oeth0 s192 168 1 11 to218 22 166 101iptables tnat APOSTROUTING jSNAT s192 168 0 0 16 d192 168 1 11 to192 168 1 254iptables tnat APREROUTING jDNAT d218 22 166 102 to192 168 1 12iptables tnat APOSTROUTING jSNAT oeth0 s192 168 1 12 to218 22 166 102iptables tnat APOSTROUTING jSNAT s192 168 0 0 16 d192 168 1 12 to192 168 1 254 34 NAT设置 其他出去的转换 都转化成从网关的IP出去的iptables tnat APOSTROUTING jSNAT oeth0 s192 168 0 0 16 to218 22 166 99 35 包过滤设置 首先允许所有建立的连接iptables AFORWARD jACCEPT mstate stateESTABLISHED RELATED www服务器 允许连接TCP80端口 其他的被拒绝 并记录日志 记录日志时每分钟最多记录10条日志iptables AFORWARD jACCEPT ptcp d192 168 1 11 dport80iptables AFORWARD jLOG d192 168 1 11 mlimit limit10 min log prefix WWW 36 包过滤设置 mail服务器iptables AFORWARD jACCEPT ptcp d192 168 1 12 dport25iptables AFORWARD jACCEPT ptcp d192 168 1 12 dport80iptables AFORWARD jACCEPT ptcp d192 168 1 12 dport110iptables AFORWARD jACCEPT ptcp d192 168 1 12 dport143iptables AFORWARD jLOG d192 168 1 12 mlimit limit10 min log prefix mail iptables AFORWARD jDROP oeth2 37 Linux下实现透明网桥型包过滤 Linux下bridge 实现了网桥的功能 包括STP生成树协议使用ebtablsbridge nfpatch可以实现网桥型的包过滤iptables mphysdev扩展 physdev in physdev out 38 透明网桥包过滤 Linux机器 服务器 eth0 eth1 要求 设置透明网桥包过滤 外部网络 39 透明网桥包过滤 brctladdbrbr0brctladdifbr0eth0brctladdifbr0eth2iplinkseteth0upiplinkseteth1upiplinksetbr0upipaddraddxx xx xx xx ybr0 40 透明网桥包过滤 iptables AFORWARD jACCEPT mstate stateESTABLISHED RELATEDiptables AFORWARD jACCEPT dserver ip ptcp dport80iptables AFORWARD jDROP mphysdev physdev outeth1 41 防火墙产品 基于通用平台的软件系统软件型基于专用平台的集成产品ASIC芯片实现包处理通用CPU实现包处理 42 基于通用平台的软件产品 基于通用的硬件 软件平台如基于WindowsNT系统 Solaris系统价格相对较低功能丰富强调认证的较多安全性依赖于底层的操作系统在国内商用的不多Check Point 43 专用ASIC芯片实现的 典型产品为Netscreen公司产品利用ASIC芯片实现包过滤 地址转换 加密处理可以得到极高的性能Netscreen540012Gbps3DES加密到6Gbps 44 大部分的防火墙 基于IA架构CPU PIIPIII专用的软件CiscoPIX 专门开发的操作系统在Linux或FreeBSD的基础上加固得到的操作系统减少不必要的模块增强一些安全性国内的产品90 多属于这类 45 不当的设置防火墙会造成问题 完全过滤icmp消息可能会导致PathMTUdiscoveryblackholeMTUMaxTransmitUnix最大传输单元 Ethernet是1500MSSMaxSegmentSizeTCP中一个包的最大数据长度 一般是1500 40TCP建立连接时会发送MSS选项有些链路MTU可能会比1500小 46 PathMTUDiscovery Router1 Router2 Client Server MSS1460 MTU1400 Size 1500DF ICMPFragneed Server接收到ICMP错误消息后 会减小发送的大小 47 PathMTUDiscovery Router1 Router2 Client Server MSS1460 MTU1400 Size 1500DF ICMPFragneed 如果Server接收不到ICMP错误消息 Client端无法从Server端接收到大数据包 X 48 PathMTUDiscovery 故障现象telnetxx x x x80能连接上无法取得稍微大一点的文件对方是Solaris BSD服务器常见解决