防火墙安全等级及策略.ppt

防火墙安全等级及策略 防火墙安全等级及策略 防火墙安全等级概述 防火墙安全等级概述 从2010年5月1日起 对防火墙 安全路由器等13种产品 实行强制性认证 未获得中国信息安全认证证书的产品 不得进入政府采购 其中 备受关注的防火墙类产品从09年5月份开始接受中国信息安全认证中心的强制检测 中国信息安全认证中心依照的检测标准之一就是 信息安全技术防火墙技术要求和测试评价方法GB T20281 2006 在该 方法 中 防火墙在安全等级方面被分为了三级 第三级为最高级 由于整个标准文字非常多 看起来比较费力 我们从功能分类方面大致上归纳了三个等级之间的区别 第一级 包过滤 应用代理 NAT 流量统计 安全审计 管理 第二级 除包含第一级所有功能分类外 增加了状态检测 深度包检测 IP MAC地址绑定 动态开放端口 策略路由 带宽管理 双机热备 负载均衡功能 第三级 除包含第二级所有功能分类外 增加了VPN 协同联动功能 除了在功能分类上有区别外 每个功能分类下的功能要求细目也是逐级加强 增多 由于功能要求细目数量比较多 在此不做分析 防火墙安全等级概述 我们单从功能分类方面也会发现 防火墙第二级增加了很多实用功能 尤其是IP MAC地址绑定 带宽管理 双机热备 在企业网络管理中更为实用 而第三级中增加的VPN功能和协同联动功能 更为企业远程接入和全网安全提供了保障 我们知道 国家密码管理局在2009年初颁布了最新的 SSLVPN技术规范 并对涉密产品中的算法做出了严格的限定 SM1算法成为商用密码产品中使用范围最广的算法 而 方法 中规定 防火墙第三级中的VPN功能 必须符合国家密码管理局相关的标准 这样一来 符合第三级标准的防火墙不仅具备了传统防护墙的实用功能 更拥有了符合国家标准的加密传输功能 成为政府 金融 企业中传输加密的首选产品 设定防火墙安全等级 虽然防火墙预设会根据你连接的网络类型而套用不同的安全等级 但也可以随时视需要变更这项设定执行此动作的步骤如下 1 点选主功能表上的 状态 2 在 防护 区段 点选 设定 3 选择 防火墙 选项 4 在 网络 区段 点选 设定 5选择网路 如果网路不只一个的话 並且指定你想要用来识別的网路名称 点选 设定 6 指定此网路是受信任的网路或公共网路 受信任位置 受信任的网路是区域网路 例如家里的网路 你可以与网路上的其他电脑共用档案或印表机 如果你选择此项 在你的电脑连接到区域网路时 防火墙套用的安全等级可让你与网路上的其他电脑共享各种资源 公用位置 公共网路是指你的电脑可以在公共场所连线的网路 例如在机场 大学 网吧 等 如果你选择此项 防火墙会套用限制性较高的安全等级 防止网路上的其他电脑存取你的共用资源 硬件防火墙如果从技术上来分又可分为两类 即标准防火墙和双家网关防火墙 防火墙安全技术 防火墙 是一种形象的说法 其实它是一种由计算机硬件和软件的组合 使互联网与内部网之间建立起一个安全网关 scuritygateway 从而保护内部网免受非法用户的侵入 它其实就是一个把互联网与内部网 通常这局域网或城域网 隔开的屏障 防火墙如果从实现方式上来分 又分为硬件防火墙和软件防火墙两类 防火墙安全技术 防火墙实现应用安全八项实用技术 1 深度数据包处理深度数据包处理有时被称为深度数据包检测或者语义检测 它就是把多个数据包关联到一个数据流当中 在寻找攻击异常行为的同时 保持整个数据流的状态 深度数据包处理要求以极高的速度分析 检测及重新组装应用流量 以避免给应用带来时延 下面每一种技术代表深度数据包处理的不同级别 2 TCP IP终止应用层攻击涉及多种数据包 并且常常涉及多种请求 即不同的数据流 流量分析系统要发挥功效 就必须在用户与应用保持互动的整个会话期间 能够检测数据包和请求 以寻找攻击行为 至少 这需要能够终止传输层协议 并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式 3 SSL终止如今 几乎所有的安全应用都使用HTTPS确保通信的保密性 然而 SSL数据流采用了端到端加密 因而对被动探测器如入侵检测系统 IDS 产品来说是不透明的 为了阻止恶意流量 应用防火墙必须终止SSL 对数据流进行解码 以便检查明文格式的流量 这是保护应用流量的最起码要求 如果你的安全策略不允许敏感信息在未加密的前提下通过网络传输 你就需要在流量发送到Web服务器之前重新进行加密的解决方案 防火墙安全技术 4 URL过滤一旦应用流量呈明文格式 就必须检测HTTP请求的URL部分 寻找恶意攻击的迹象 譬如可疑的统一代码编码 unicodeencoding 对URL过滤采用基于特征的方案 仅仅寻找匹配定期更新的特征 过滤掉与已知攻击如红色代码和尼姆达有关的URL 这是远远不够的 这就需要一种方案不仅能检查RUL 还能检查请求的其余部分 其实 如果把应用响应考虑进来 可以大大提高检测攻击的准确性 虽然URL过滤是一项重要的操作 可以阻止通常的脚本少年类型的攻击 但无力抵御大部分的应用层漏洞 5 请求分析全面的请求分析技术比单单采用URL过滤来得有效 可以防止Web服务器层的跨站脚本执行 cross sitescripting 漏洞和其它漏洞 全面的请求分析使URL过滤更进了一步 可以确保请求符合要求 遵守标准的HTTP规范 同时确保单个的请求部分在合理的大小限制范围之内 这项技术对防止缓冲器溢出攻击非常有效 6 用户会话跟踪更先进的下一个技术就是用户会话跟踪 这是应用流量状态检测技术的最基本部分 跟踪用户会话 把单个用户的行为关联起来 这项功能通常借助于通过URL重写 URLrewriting 来使用会话信息块加以实现 只要跟踪单个用户的请求 就能够对信息块实行极其严格的检查 这样就能有效防御会话劫持 session hijacking 及信息块中毒 cookie poisoning 类型的漏洞 防火墙安全技术 7 响应模式匹配响应模式匹配为应用提供了更全面的保护 它不仅检查提交至Web服务器的请求 还检查Web服务器生成的响应 它能极其有效地防止网站受毁损 或者更确切地说 防止已毁损网站被浏览 对响应里面的模式进行匹配相当于在请求端对URL进行过滤 响应模式匹配分三个级别 防毁损工作由应用防火墙来进行 它对站点上的静态内容进行数字签名 如果发现内容离开Web服务器后出现了改动 防火墙就会用原始内容取代已毁损页面 至于对付敏感信息泄露方面 应用防火墙会监控响应 寻找可能表明服务器有问题的模式 譬如一长串Java异常符 如果发现这类模式 防火墙就会把它们从响应当中剔除 或者干脆封阻响应 8 行为建模行为建模有时称为积极的安全模型或 白名单 whitelist 安全 它是唯一能够防御最棘手的应用漏洞 零时间漏洞的保护机制 零时间漏洞是指未写入文档或 还不知道 的攻击 对付这类攻击的唯一机制就是只允许已知是良好行为的行为 其它行为一律禁止 这项技术要求对应用行为进行建模 这反过来就要求全面分析提交至应用的每个请求的每次响应 目的在于识别页面上的行为元素 譬如表单域 按钮和超文本链接 这种级别的分析可以发现恶意表单域及隐藏表单域操纵类型的漏洞 同时对允许用户访问的URL实行极其严格的监控 行为建模是唯一能够有效对付全部16种应用漏洞的技术 行为建模是一种很好的概念 但其功效往往受到自身严格性的限制 某些情况譬如大量使用JavaScript或者应用故意偏离行为模型都会导致行为建模犯错 从而引发误报 拒绝合理用户访问应用 行为建模要发挥作用 就需要一定程度的人为干预 以提高安全模型的准确性 防火墙安全策略 安全策略也可以称为访问上的控制策略 它包含了访问上的控制以及组织内其他资源使用的种种规定 访问控制包含了哪些资源可以被访问 如读取 删除 下载等行为的规范 以及哪些人拥有这些权力等信息 1 网络服务访问策略网络服务访问策略是一种高层次的 具体到事件的策略 主要用于定义在网络中允许的或禁止的网络服务 还包括对拨号访问以及PPP 点对点协议 连接的限制 这是因为对一种网络服务的限制可能会促使用户使用其他的方法 所以其他的途径也应受到保护 比如 如果一个防火墙阻止用户使用Telnet服务访问因特网 一些人可能会使用拨号连接来获得这些服务 这样就可能会使网络受到攻击 网络服务访问策略不但应该是一个站点安全策略的延伸 而且对于机构内部资源的保护也起全局的作用 这种策略可能包括许多事情 从文件切碎条例到病毒扫描程序 从远程访问到移动介质的管理 防火墙安全策略 2 防火墙的设计策略防火墙的设计策略是具体地针对防火墙 负责制定相应的规章制度来实施网络服务访问策略 在制定这种策略之前 必须了解这种防火墙的性能以及缺陷 TCP IP自身所具有的易攻击性和危险 防火墙一般执行一下两种基本策略中的一种 除非明确不允许 否则允许某种服务 除非明确允许 否则将禁止某项服务 执行第一种策略的防火墙在默认情况下允许所有的服务 除非管理员对某种服务明确表示禁止 执行第二种策略的防火墙在默认情况下禁止所有的服务 除非管理员对某种服务明确表示允许 防火墙可以实施一种宽松的策略 第一种 也可以实施一种限制性策略 第二种 这就是制定防火墙策略的入手点 防火墙安全策略 3 安全策略设计时需要考虑的问题为了确定防火墙安全设计策略 进而构