《防火墙技术》PPT课件.ppt

防火墙相关知识,议程,防火墙概述定义架构主流技术防火墙功能以及其实现可以依赖防火墙的不可以依赖防火墙的总结,防火墙概述,安全产品的形象比喻,安全运输,读卡器,闭路电视监控室,进入系统的安全门,监视和报警,巡逻保安,防火墙和路由器访问控制列表,网络入侵检测,安全代理程序,中央控制的安全和策略管理,身份识别、AAA认证、访问控制服务器及证书验证,加密及虚拟专网(VPN),防火墙知识,定义：防火墙应当是两个或多个网络之间信息必须流经的节流单点，流经数据应可被控制、记录（认证）来源建筑词汇，用于限制（潜在的）火灾在建筑内部的蔓延，后被引申至信息安全领域中访问控制、边界整合类的middlebox产品1988年DigitalEquipmentCorporation(DEC)开发出了第一款防火墙：SEAL（SecureExternalAccessLink）摘自/wiki/Firewall_(networking),防火墙文化,一段台词“-John,letsfeeditatapeworm.-Nah,itstoorisky.Itmightsmashthesystem.-Howdthekidgetinthroughthebackdoor?-Wetookitout.-Canweinvadethedeeplogic?-Wekeephittingadamnfirewall.”取自电影wargame（1983）,防火墙需求的产生,操作系统和应用安全问题溢出蠕虫安全策略执行全局安全策略的一部分信息泄漏防止企业敏感信息外泄审计辅助系统、入侵检测日志阻止信息访问CHIPA：ChildrensInternetProtectionAct,通用基础架构,防火墙区域信任区非信任区DMZ防火墙实现应用层传输层网络层数据链路层,防火墙硬件平台,X86平台灵活开发，投资少，周期短，无法满足高速环境NP架构灵活性适中，转发性能好ASIC架构开发投资大，周期长，性能好，升级难,防火墙工作模式,包过滤防火墙路由器实现包过滤功能应用层网关内、外网的“中间人”基于状态监测的包过滤防火墙主流技术,物理层,数据链路层,网络层,传输层,会话层,表示层,应用层,应用层防火墙,状态监测,包过滤,包过滤防火墙,包过滤防火墙对含有IP地址（源、目的）、端口号（源、目的）、协议类型等内容的包头进行检测典型产品：路由器优点高效对用户透明缺点检测不考虑数据内容、会话连接,物理层,数据链路层,网络层,传输层,会话层,表示层,应用层,包过滤,包过滤,包过滤信息数据包的头信息(源地址、目的地址、协议、源端口、目的端口、包长度)到达防火墙的哪一个接口上，从防火墙的哪一个接口上出去传输层头部选项和标志位数据包到达的日期和时间,主要威胁,IP欺骗在数据包包头中插入虚假源地址，以使该数据包看似发自受信源解决方法：确定数据包并非来自包头指示位置IP源路由选项允许数据包源的用户指定通向某一目的地的路径多用于排错同样被利用与伪造受信源地址,路由器检测异常流量,路由器对数据包进行标识，阻塞URL和字节数匹配访问列表，策略路由.,Router(config)#classmapmatchanyhttphacksRouter(configcmap)#matchprotocolhttpurl*cmd.exe*Router(configcmap)#matchprotocolhttpurl*root.exe*“Router(config)#policymapmarkinboundhttphacksRouter(configpmap)#classhttphacksRouter(configpmap)#setipdscp1Router(config)#interfaceethernet0/0Router(configif)#servicepolicyinputmarkinboundhttphacks,match-any,进行或(满足任一),定义流类型,如何处理,URL关键字,matchpacketlengthmin404max404,字节数,阻塞,基于应用访问列表Router(config)#accesslist105denyipanyanydscp1logRouter(config)#accesslist105permitipanyanyRouter(config)#interfaceethernet0/1Router(configif)#ipaccessgroup105out基于策略Router(config)#policymapdropinboundhttphacksRouter(configpmap)#classhttphacksRouter(configpmap)#police10000003125031250conformactiondropexceedactiondropviolate-actiondropRouter(config)#interfaceethernet0/0Router(configif)#servicepolicyinputdropinboundhttphacks,CodeRed阻塞,基于策略路由Router(config)#accesslist106permitipanyanydscp1Router(config)#routemapnull_policy_route10Router(config-rmap)#matchipaddress106Router(config-rmap)#setinterfaceNull0Router(config)#interfaceethernet0/0Router(configif)#ippolicyroutemapnull_policy_route,应用层防火墙,应用层防火墙运行在网络和服务器之间的应用层网关典型产品：ISA优点提供7层及以下层面防护缺点可能造成服务瓶颈,物理层,数据链路层,网络层,传输层,会话层,表示层,应用层,应用层防火墙,状态监测防火墙,基于状态监测的包过滤防火墙由CheckPoint提出根据其协议以及连接状态对穿过防火墙的数据进行检测，可以追踪和控制会话流优点高效完善的审计、日志功能缺点缺乏应用层检测,物理层,数据链路层,网络层,传输层,会话层,表示层,应用层,状态监测,会话流,Router#showipcacheflow|include0050.scramscrappersdativeDstIPaddressPrSrcPDstPPktsVl15Vl2060F9F00502Vl108Null906045700501Vl15Vl33306300000501Vl12Null506B30100501Vl15Vl374060EED00501Vl110Null2060E7100501Vl15Vl3506121F00501Vl15Vl2106100000501Vl15Vl320609B600501Vl53Null6606113200501,会话流（flow）通过分析流入/流出网络的流，对通信会话/应用信息作出实时的安全判断,状态监测,状态和上下文信息数据包的头信息(源地址、目的地址、协议、源端口、目的端口、包长度)连接状态信息(哪一个连接打开了哪一个端口)TCP和IP分段数据(例如：分段号、顺序号)数据包重组、应用类型、上下文校验(即：包属于哪个通讯会话session)到达防火墙的哪一个接口上，从防火墙的哪一个接口上出去第二层信息（如VLANID号)数据包到达的日期和时间,SYN标记检查,禁用了SYN标记检查,启用了SYN标记检查,防火墙功能以及其实现,防火墙所具备的,访问控制攻击检测和防御传输安全（VPN）路由地址转换用户认证可用性提高,访问控制,访问控制机制自主访问控制主体访问控制：特权、口令客体访问控制：ACL、ACE强制访问控制(MAC）防火墙以其阻塞点的身份实现监视和控制服务控制：确定哪些服务可以被访问方向控制：对于特定的服务，可以确定允许哪个方向能够通过防火墙用户控制：根据用户来控制对服务的访问行为控制：控制一个特定的服务的行为,访问控制与审核,防火墙对进/出流量的记录可作为审核入侵检测系统、系统日志有效的补充身份认证-访问控制-审核入侵检测系统以事件为主导系统日志以行为为主导注意事项时区时滞,攻击检测和防御,攻击检测和防御踩点防御拒绝服务攻击防御内容监控与过滤深度检测（DPI）,踩点防御,踩点：为更有效、更隐蔽的进行攻击所实施的工作常见踩点收集信息公开域信息（googlehacking,whois）扫描信息存活性扫描端口扫描（TCP，UDP，RPC)Bannergrabbing漏洞扫描OSfingerprint社交工程,主机存活扫描技术,主机扫描的目的是确定在目标网络上的主机是否可达。这是信息收集的初级阶段，其效果直接影响到后续的扫描。常用的传统扫描手段有：ICMPEcho扫描ICMPSweep扫描BroadcastICMP扫描Non-EchoICMP扫描,规避技术,为到达规避防火墙和入侵检测设备的目的，ICMP协议提供网络间传送错误信息的功能也成为了主要的扫非常规描手段错误的数据分片：发送错误的分片（如某些分片丢失）通过超长包探测内部路由器：超过目标系统所在路由器的PMTU且设置禁止分片标志,端口扫描技术,端口的一些概念用以从网络层映射至进程0-1024为知名端口常见端口扫描技术TCP利用TCP报头的6个标志位扫描方式：SYN，ACK，FIN，NULL，XmasUDP利用UDP端口关闭时返回的ICMP信息扫描方式：Traceroute扫描中常见的几种状态：open、close、filter,服务及系统指纹,如何判断服务？端口:只用于粗略判断启动的服务Banner:一般可用于确定服务版本信息指纹:基本可以精确至小版本号,Bannergrab技术,为判断服务类型、应用版本、OS平台，模拟各种协议初始化握手，获取信息在安全意识普遍提升的今天，对Banner的伪装导致精度大幅降低,WWW服务威胁程度：高判定精度：低,FTP服务威胁程度：高判定精度：低,Telnet服务威胁程度：中判定精度：低,指纹堆栈技术,类似BannerGrabing,但是精度更高常见的可判断的fingerprintOSfingerprintHTTPfingerprint系统、应用应尽可能结合起来，进行综合判断,HTTPFingerprinting技术,技术源动力：弥补BannerGrabing技术的不足传统查看Banner的方式精确度很差，伪装手段多样IIS如果用户输入变为abc;droptablesqltest-则语句变为select*fromsqltestwherename=abc;droptablesqltest-威胁获取敏感信息执行系统命令,跨站脚本攻击,WEB,WEBServer/Code,数据提交,XSS,alert(“XSS”),阻断,跨站脚本攻击,名词解释利用客户端对服务端的信任关系以及CGI程序缺乏对用户提交的变量中的HTML代码进行过滤或转换，从而达到脚本注入的目的三个类型：反射注入、存贮注入和DOM注入/xss.html危害显示Cookie屏蔽（伪造）页面信息拒绝服务攻击突破内外网不同的安全设置与其它漏洞结合，修改系统设置，查看系统文件，执行系统命令,流量数据能够提供的,地域、IP、AS号,时间段（分钟、时、月、年）,Flag、ToS、包长、应用类型,呈现全网、采集器、路由器、端口、用户、流量分析设备的状态信息流量数据透视的视角NetworkPeersRoutersInterfacesProfiles（剖面，侧影）Customers流量和路由数据从这些不同的角度都是可用的,流量分析的技术手段,Netflow技术,基本的流量分析和网络计费技术与其兼容NetstreamJ-flow与其类似Sflow（Foundry、HP）解决关于IP流量的5W问题:谁,什么,何地,何时,如何7个关键字段的定义只记录入方向穿过和终止在路由器上的流量,Netflow采样,抽样的场合流速大于OC-3（155M）的环境下（思科推荐）10Gbps1:50002.5Gbps1:1000抽样的好处降低CPU利用率不改变流量的统计特性抽样的方法固定包间隔时间周期随机的（根据统计原则推荐使用，支持此方法的平台最多）,Net