第12章防火墙

.,第十二章防火墙技术,主流安全防护技术,何路helu,本章要求,了解防火墙的定义、发展历史、目的、功能、局限性等掌握包过滤、应用代理、电路级代理和NAT代理等工作原理、技术特点和实现方式；掌握防火墙的规则配置方法熟悉防火墙的常见体系结构,本节主要内容,一、防火墙概述二、防火墙技术分析三、防火墙部署,建筑业中的防火墙,建筑业中的防火墙用在建筑单位间，防止火势的蔓延。,IT领域中的防火墙,在网络安全领域中，防火墙用来指应用于内部网络（局域网）和外部网络（Internet）之间的，用来保护内部网络免受非法访问和破坏的网络安全系统。,防火墙功能示意,两个不同网络安全域间通信流的唯一通道，对流过的网络数据进行检查，阻止攻击数据包通过。,安全网域一,安全网域二,防火墙主要功能,过滤进、出网络的数据;防止不安全的协议和服务；管理进、出网络的访问行为；记录通过防火墙的信息内容与活动；对网络攻击进行检测与告警;防止外部对内部网络信息的获取提供与外部连接的集中管理；,防火墙不能防范的攻击,来自内部的安全威胁；病毒开放应用服务程序的漏洞；特洛伊木马；社会工程；不当配置,衡量防火墙三大要求,安全内部和外部间所有数据必须通过防火墙只有符合安全策略的数据流才能通过防火墙防火墙自身要安全管理良好的人机交互界面提供强劲的管理及扩展功能速度,防火墙发展历程,主要经历了三个阶段：基于路由器的防火墙基于通用操作系统的防火墙基于安全操作系统的防火墙,防火墙基本结构,防火墙构成四要素：外部网内部网安全策略技术手段,本节主要内容,一、防火墙概述二、防火墙技术分析三、防火墙部署,防火墙分类,按实现技术分类：包过滤型代理型防火墙按体系结构分类：双宿/多宿主机防火墙屏蔽主机防火墙屏蔽子网防火墙混合结构,包过滤防火墙,包过滤防火墙在决定能否及如何传送数据包之外，还根据其规则集，看是否应该传送该数据包普通路由器当数据包到达时，查看IP包头信息，根据路由表决定能否以及如何传送数据包,静态包过滤防火墙,传输层传输层传输层,路由与包过滤,路由进行转发，过滤进行筛选,HostA,SeverX,包过滤所检查的内容,源和目的的IP地址IP选项IP的上层协议类型（TCP/UDP/ICMP）TCP和UDP的源及目的端口ICMP的报文类型和代码我们称这种对包头内容进行简单过滤的方式为静态包过滤,包过滤配置,包过滤防火墙配置步骤：知道什么是应该和不应被允许，制定安全策略规定允许的包类型、包字段的逻辑表达用防火墙支持的语法重写表达式,规则制定的策略,规则制定的基本策略：允许任何访问，除非规则特别地禁止拒绝任何访问，除非被规则特别允许,规则制定的策略,过滤的两种基本方式按服务过滤：根据安全策略决定是否允许或拒绝某一种服务按规则过滤：检查包头信息，与过滤规则匹配，决定是否转发该数据包,依赖于服务的过滤,多数服务对应特定的端口，如要封锁输Telnet、SMTP的连接，则Router丢弃端口值为23和25的所有数据包。典型的过滤规则有以下几种：只允许进来的Telnet会话连接到指定的内部主机只允许进来的FTP会话连接到指定的内部主机允许所有出去的Telnet会话允许所有出去的FTP会话拒绝从某些指定的外部网络进来的所有信息,按规则过滤,有些类型的攻击很难用基本包头信息加以鉴别，因为独立于服务。如果防范则需要定义规则1）源IP地址欺骗攻击入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包；这些信息包似乎像包含了一个内部系统的源IP地址。如果这些信息包到达Router的外部接口，则舍弃每个含有这个源IP地址的信息包，就可以挫败这种源欺骗攻击。,按规则过滤,2）源路由攻击攻击者为信息包指定一个穿越Internet的路由，这类攻击企图绕过安全措施，并使信息包沿一条意外(疏漏)的路径到达目的地。可以通过舍弃所有包含这类源路由选项的信息包方式，来挫败这类攻击。3）残片攻击入侵者利用IP分段特性生成一个极小的片断并将TCP报头信息肢解成一个分离的信息包片断，使数据包绕过用户定义的过滤规则。黑客希望过滤路由器只检查第一分段，而允许其它分段通过。通过舍弃所有协议类型为TCP、IP报头中FragmentOffset=1的数据包，即可挫败残片的攻击。,推荐的规则,任何进入内网的数据包不能将内部地址作为源地址任何进入内网的数据包必须将内部地址作为目标地址任何离开内网的数据包必须将内部地址作为源地址任何离开内网的数据包不能将内部地址作为目标地址任何进入或离开内网的数据包不能把一个私有地址或者/8作为源或目标地址,静态包过滤的优缺点,优点：速度快价格低对用户透明缺点：配置难把握防范能力低没有用户身份验证机制,动态包过滤,动态包过滤是CheckPoint的一项称为“StatefulInspection”的专利技术，也称状态检测防火墙。动态包过滤防火墙不仅以一个数据包的内容作为过滤的依据，还根据这个数据包在信息流位置加以判断。动态包过滤防火墙可阻止未经内网请求的外部通信，而允许内网请求的外部网站传入的通信。,动态包过滤防火墙,使用动态包过滤制定的规则,Setinternal=/24Denyipfrom$internaltoanyinviaeth0Denyipfromnot$internaltoanyinviaeth1Allow$internalaccessanydnsbyudpkeepstateAllow$InternalacessanywwwbytcpkeepstateAllow$internalaccessanyftpbytcpkeepstateDenyipfromanytoany,动态包过滤的优缺点,优点：基于应用程序信息验证一个包状态的能力记录通过的每个包的详细信息缺点：造成网络连接的迟滞系统资源要求较高,防火墙分类：包过滤代理型防火墙：应用代理型代理型防火墙：电路代理型代理型防火墙：NAT,代理服务技术,代理服务技术能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的连接，由两个代理服务器之间的连接来实现，外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用。,应用代理防火墙,工作在应用层对所有规则内允许的应用程序作中转转发牺牲了对应用程序的透明性,应用代理防火墙,应用代理防火墙,应用代理,应用代理工作原理示意,应用代理防火墙,应用代理服务器的安全性屏蔽内网用户与外网的直接通信，提供更严格的检查提供对协议的控制，拒绝所有没有配置的连接提供用户级控制，可近一步提供身份认证等信息,应用代理的优缺点,优点：可以隐藏内部网络的信息；可以具有强大的日志审核；可以实现内容的过滤；缺点：价格高速度慢失效时造成网络的瘫痪,防火墙分类：包过滤代理型防火墙：应用代理型代理型防火墙：电路代理型代理型防火墙：NAT,电路级代理,电路级代理因此可以同时为不同的服务，如WEB、FTP、TELNET提供代理服即SOCKS代理，它工作在传输层。,应用代理,应用代理工作在应用层，对于不同的服务，必须使用不同的代理软件。,应用代理,内部主机,WEB服务,FTP服务,WEBFTP,电路级代理优缺点,优点：隐藏内部网络信息配置简单，无需为每个应用程序配置一个代理缺点：多数电路级网关都是基于TCP端口配置，不对数据包检测，可能会有漏洞,防火墙分类：包过滤代理型防火墙：应用代理型代理型防火墙：电路代理型代理型防火墙：NAT,NAT防火墙,NAT定义NAT（NetworkAddressTransla-tion）网络地址翻译最初设计目的是用来增加私有组织的可用地址空间和解决将现有的私有TCP/IP网络连接到网上的IP地址编号问题,NAT防火墙,NAT提供的功能内部主机地址隐藏网络负载均衡网络地址交叠,NAT（网络地址翻译）,根据内部IP地址和外部IP地址的数量对应关系，NAT分为：基本NAT：简单的地址翻译M-1，多个内部网地址翻译到1个IP地址M-N，多个内部网地址翻译到N个IP地址池,NAT的优缺点,优点管理方便并且节约IP地址资源。隐藏内部IP地址信息。仅当向某个外部地址发送过出站包时，NAT才允许来自该地址的流量入站。缺点外部应用程序却不能方便地与NAT网关后面的应用程序联系。,本节主要内容,一、防火墙概述二、防火墙技术分析三、防火墙布署,防火墙布置,简单包过滤路由双宿/多宿主机模式屏蔽主机模式屏蔽子网模式,包过滤路由,包过滤路由器,优点：配置简单缺点：日志没有或很少，难以判断是否被入侵规则表会随着应用变得很复杂单一的部件保护，脆弱,双宿/多宿主机模式,堡垒主机：关键位置上用于安全防御的某个系统，攻击者攻击网络必须先行攻击的主机。双宿/多宿主机防火墙又称为双宿/多宿网关防火墙，它是一种拥有两个或多个连接到不同网络上的网络接口的防火墙，通常用一台装有两块或多块网卡的堡垒主机做防火墙，两块或多块网卡各自与受保护网和外部网相连,双宿/多宿主机模式,应用代理服务器完成：对外屏蔽内网信息设置访问控制对应用层数据严格检查,优点：配置简单检查内容更细致屏蔽了内网结构缺点：应用代理本身的安全性,屏蔽主机,两道屏障：网络层的包过滤；应用层代理服务注：与双宿主机网关不同，这里的应用网关只有一块网卡。,屏蔽主机,优点：双重保护，安全性更高。实施策略：针对不同的服务，选择其中的一种或两种保护措施。,屏蔽子网,屏蔽子网,1）周边网络：非军事化区、停火区（DMZ）周边网络是另一个安全层,是在外部网络与内部网络之间的附加的网络。对于周边网络，如果某人侵入周边网上的堡垒主机，他仅能探听到周边网上的通信。2）内部路由器（阻塞路由器）：保护内部的网络使之免受Internet和周边子网的侵犯。它为用户的防火墙执行大部分的数据包过滤工作,屏蔽子网,3）外部路由器：在理论上，外部路由器保护周边网和内部网使之免受来自Interne