CISP-2-防火墙技术.ppt

信息安全技术防火墙技术 坚韧不拔 追求卓越 什么是防火墙 安全产品的形象比喻 安全运输 读卡器 闭路电视监控室 进入系统的安全门 监视和报警 巡逻保安 防火墙和路由器访问控制列表 网络入侵检测 安全代理程序 中央控制的安全和策略管理 身份识别 AAA认证 访问控制服务器及证书验证 加密及虚拟专网 VPN 防火墙概念 防火墙是指设置在不同网络或网络安全域 公共网和企业内部网 之间的一系列部件的组合 它是不同网络 安全域 之间的唯一出入口 能根据企业的安全政策控制 允许 拒绝 监测 出入网络的信息流 且本身具有很高的抗攻击能力 它是提供信息安全服务 实现网络和信息安全的基础设施 防火墙的目的 实现一个公司的安全策略防火墙的主要意图是强制执行你的安全策略 在前面的课程提到过在适当的网络安全中安全策略的重要性 举个例子 也许你的安全策略只需对MAIL服务器的SMTP流量作些限制 那么你要直接在防火墙强制这些策略 创建一个阻塞点防火墙在一个公司私有网络和分网问建立一个检查点 这种实现要求所有的流量都要通过这个检查点 一旦这些检查点清楚地建立 防火墙设备就可以监视 过滤和检查所有进来和出去的流量 网络安全产业称这些检查点为阻塞点 通过强制所有进出流量都通过这些检查点 网络管理员可以集中在较少的方来实现安全目的 如果没有这样一个供监视和控制信息的点 系统或安全管理员则要在大量的地方来进行监测 检查点的另一个名字叫做网络边界 防火墙的目的 记录Internet活动防火墙还能够强制日志记录 并且提供警报功能 通过在防火墙上实现日志服务 安全管理员可以监视所有从外部网或互联网的访问 好的日志策略是实现适当网络安全的有效工具之一 防火墙对于管理员进行日志存档提供了更多的信息 限制网络暴露防火墙在你的网络周围创建了一个保护的边界 并且对于公网隐藏了你内部系统的一些信息以增加保密性 当远程节点侦测你的网络时 他们仅仅能看到防火墙 远程设备将不会知道你内部网络的布局以及都有些什么 防火墙提高认证功能和对网络加密来限制网络信息的暴露 通过对所能进来的流量时行源检查 以限制从外部发动的攻击 防火墙的控制能力 服务控制 确定哪些服务可以被访问方向控制 对于特定的服务 可以确定允许哪个方向能够通过防火墙用户控制 根据用户来控制对服务的访问行为控制 控制一个特定的服务的行为 防火墙特征 保护脆弱和有缺陷的网络服务集中化的安全管理加强对网络系统的访问控制加强隐私对网络存取和访问进行监控审计 保护脆弱和有缺陷的网络服务一个防火墙能极大地提高一个内部网络的安全性 并通过过滤不安全的服务而降低风险 由于只有经过精心选择的应用协议才能通过防火墙 所以网络环境变得更安全 如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络 这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络 防火墙特征 cont 防火墙特征 cont 集中化的安全管理通过以防火墙为中心的安全方案配置 能将所有安全软件 如口令 加密 身份认证 审计等 配置在防火墙上 与将网络安全问题分散到各个主机上相比 防火墙的集中安全管理更经济 例如在网络访问时 一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上 而集中在防火墙一身上 加强对网络系统的访问控制一个防火墙的主要功能是对整个网络的访问控制 比如防火墙可以屏蔽部分主机 使外部网络无法访问 同样可以屏蔽部分主机的特定服务 使得外部网络可以访问该主机的其它服务 但无法访问该主机的特定服务 防火墙不应向外界提供网络中任何不需要服务的访问权 这实际上是安全政策的要求了 控制对特殊站点的访问 如有些主机或服务能被外部网络访问 而有些则需被保护起来 防止不必要的访问 防火墙特征 cont 加强隐私隐私是内部网络非常关心的问题 一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣 甚至因此而暴漏了内部网络的某些安全漏洞 使用防火墙就可以隐蔽那些透漏内部细节如Finger DNS等服务 Finger显示了主机的所有用户的注册名 真名 最后登录时间和使用shell类型等 但是Finger显示的信息非常容易被攻击者所获悉 攻击者可以知道一个系统使用的频繁程度 这个系统是否有用户正在连线上网 这个系统是否在被攻击时引起注意等等 防火墙可以同样阻塞有关内部网络中的DNS信息 这样一台主机的域名和IP地址就不会被外界所了解 防火墙特征 cont 对网络存取和访问进行监控审计如果所有的访问都经过防火墙 那么 防火墙就能记录下这些访问并作出日志记录 同时也能提供网络使用情况的统计数据 当发生可疑动作时 防火墙能进行适当的报警 并提供网络是否受到监测和攻击的详细信息 另外 收集一个网络的使用和误用情况是非常重要的 首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击 并且清楚防火墙的控制是否充足 而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的 防火墙特征 cont 提纲 防火墙概念防火墙功能防火墙分类和特点 防火墙技术 防火墙 是加载于可信网络与不可信网络之间的安全设备 是网络安全政策的有机组成部分 它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理 防火墙可以是软件 硬件和软硬件结合的发展历经简单包过滤 应用代理 状态检测 状态包过滤 防火墙最新技术是具有数据流过滤功能的防火墙对于一个网络来说 所有通过 内部 和 外部 的网络流量都要经过防火墙防火墙本身必须建立在安全操作系统的基础上 防火墙的控制能力 服务控制 确定哪些服务可以被访问方向控制 对于特定的服务 可以确定允许哪个方向能够通过防火墙用户控制 根据用户来控制对服务的访问行为控制 控制一个特定的服务的行为 防火墙主要功能 过滤进 出网络的数据管理进 出网络的访问行为封堵某些禁止的业务记录通过防火墙的信息内容和活动对网络攻击进行检测和报警 内部工作子网与外网的访问控制 进行访问规则检查 发起访问请求 合法请求则允许对外访问 将访问记录写进日志文件 合法请求则允许对外访问 发起访问请求 防火墙在此处的功能 1 工作子网与外部子网的物理隔离2 访问控制3 对工作子网做NAT地址转换4 日志记录 DMZ区域与外网的访问控制 进行访问规则检查 发起访问请求 合法请求则允许对外访问 将访问记录写进日志文件 禁止对外发起连结请求 发起访问请求 防火墙在此处的功能 1 DMZ网段与外部子网的物理隔离2 访问控制3 对DMZ子网做MAP映射4 日志记录 内部子网与DMZ区的访问控制 进行访问规则检查 发起访问请求 合法请求则允许对外访问 将访问记录写进日志文件 禁止对工作子网发起连结请求 发起访问请求 拨号用户对内部网的访问控制 拨号服务器Cisco2620 移动用户 PSTN Modem Modem 进行一次性口令认证 认证通过后允许访问内网 将访问记录写进日志文件 下属机构对总部的访问控制 下属机构 DDN FRX 25专线 FW VPN FW VPN 进行规则检查 将访问记录写进日志文件 防火墙在此处的功能 1 将内部子网与连接下属机构的公网隔离开2 控制下属机构子网用户对总部内网的访问3 对下属机构网络与总部子网之间的通讯做日志和审计 基于时间的访问控制 HostC HostD 在防火墙上制定基于时间的访问控制策略 上班时间不允许访问Internet 上班时间可以访问公司的网络 Internet 用户级权限控制 HostC HostD HostB HostA 受保护网络 Internet 预先可在防火墙上设定用户 root 123 Yes admin 883 No 不管那台电脑都可以用相同的用户名来登陆防火墙 只需在防火墙设置该用户的规则即可 高层协议控制 应用控制可以对常用的高层应用做更细的控制如HTTP的GET POST HEAD如FTP的GET PUT等 应用层 应用层 内部网络 外部网络 防火墙 内部接口 外部接口 根据策略检查应用层的数据 符合策略 IP与MAC绑定 Internet HostB 199 168 1 3 HostC 199 168 1 4 HostD 199 168 1 5 00 50 04 BB 71 A6 00 50 04 BB 71 BC Bind199 168 1 2To00 50 04 BB 71 A6 Bind199 168 1 4To00 50 04 BB 71 BC IP与MAC地址绑定后 不允许HostB假冒HostA的IP地址上网 防火墙允许HostA上网 流量控制 HostC HostD HostB HostA 受保护网络 HostA的流量已达到10M HostA的流量已达到极限值30M 阻断HostA的连接 Internet 端口映射 Internet 公开服务器可以使用私有地址隐藏内部网络的结构 199 168 1 6 12 4 1 5 202 102 1 3 199 168 1 2 80 202 102 1 3 80 199 168 1 3 21 202 102 1 3 21 199 168 1 4 25 202 102 1 3 25 199 168 1 5 53 202 102 1 3 53 http 199 168 1 2 http 202 102 1 3 NAT网关和IP复用 防火墙 Eth2 192 168 1 23 Eth0 101 211 23 1 源地址 192 168 1 21目地址 202 102 93 54 源地址 101 211 23 1目地址 202 102 93 54 101 211 23 2 隐藏了内部网络的结构内部网络可以使用私有IP地址公开地址不足的网络可以使用这种方式提供IP复用功能 透明接入 受保护网络 Internet 如果防火墙支持透明模式 则内部网络主机的配置不用调整 199 168 1 8 同一网段 透明模式下 这里不用配置IP地址 透明模式下 这里不用配置IP地址 DefaultGateway 199 168 1 8 防火墙相当于网桥 原网络结构没有改变 信息系统审计与日志 Internet 202 102 1 2 202 102 1 3 写入日志 写入日志 一旦出现安全事故可以查询此日志 身份鉴别功能 HostC HostD HostB HostA 受保护网络 Internet 预先可在防火墙上设定用户 root asdasdf 验证通过则允许访问 root 123 Yes admin 883 No 用户身份认证根据用户控制访问 防火墙的类型 包过滤路由器应用层网关电路层网关这仅是一种防火墙分类方法 所着眼的视角不同 得到的类型划分也不一样 包过滤防火墙 基本的思想很简单对于每个进来的包 适用一组规则 然后决定转发或者丢弃该包往往配置成双向的如何过滤过滤的规则以IP和传输层的头中的域 字段 为基础 包括源和目标IP地址 IP协议域 源和目标端口号过滤器往往建立一组规则 根据IP包是否匹配规则中指定的条件来作出决定 包过滤路由器示意图 包过滤 HostC HostD 数据包 数据包 数据包 数据包 数据包 查找对应的控制策略 拆开数据包进行分析 根据策略决定如何处理该数据包 数据包 控制策略 基于源IP地址基于目的IP地址基于源端口基于目的端口基于时间基于用户基于流量基于数据流 可以灵活的制定的控制策略 包过滤防火墙的优缺点 在网络层上进行监测并没有考虑连接状态信息通常在路由器上实现实际上是一种网络的访问控制机制优点实现简单对用户透明效率高缺点正确制定规则并不容易不可能引入认证机制 针对包过滤防火墙的攻击 IP地址欺骗 例如 假冒内部的IP地址对策 在外部接口上禁止内部地址源路由攻击 即由源指定路由对策 禁止这样的选项小碎片攻击 利用IP分片功能把TCP头部切分到不同的分片中对策 丢弃分片太小的分片利用复杂协议和管理员的配置失误进入防火墙例如 利用ftp协议对内部进行探查 应用层网关 也称为代理服务器特点所有的连接都通过防火墙 防火墙作为网关在应用层上实现可以监视包的内容可以实现基于用户的认证所有的应用需要单独实现可以提供理想的日志功能非常安全 但是开销比较大 应用层网关的优缺点 优点允许用户 直接 访问Internet易于记录日志缺点新的服务不能及时地被代理每个被代理的服务都要求专门的代理软件客户软件需要修改 重新编译或者配置有些服务要求建立直接连接 无法使用代理代理服务不能避免协议本身的缺陷或者限制 电路层网关 工作于OSI RM的会话层充当屏蔽路由器 将内外网彻底隔离 防火墙的配置 几个概念堡垒主机 BastionHost 对外部网络暴露 同时也是内部网络用户的主要连接点双宿主主机 dual homedhost 至少有两个网络接口的通用计算机系统DMZ DemilitarizedZone 非军事区或者停火区 在内部网络和外部网络之间增加的一个子网 配置方案一 双宿主堡垒主机方案 所有的流量都通过堡垒主机优点 简单 配置方案二 双宿主堡垒主机方案 只允许堡垒主机可以与外界直接通讯优点 两层保护 包过滤 应用层网关 灵活配置缺点 一旦包过滤路由器被攻破 则内部网络被暴露 配置方案三 单宿主堡垒主机方案 从物理上把内部网