信息安全第13章_防火墙技术

1、第十三章第十三章主讲人：任凯主讲人：任凯联系方式：联系方式：renkai_百度云盘：百度云盘：http:/ 防火墙作为网络防护的第一道防线，它由设备组合而成，它位于企业或网络群体计算机与外界网络的边界，着外界用户对内部网络的访问以及管理内部用户访问外界网络的信息安全技术信息安全技术v应用代理防火墙应用代理防火墙v电路级网关防火墙电路级网关防火墙v状态包检测型防火墙状态包检测型防火墙FF信息安全技术v包是网络上信息流动的基本单位，它由和两个部分组成v包过滤是基于进行过滤的 Internet内部网包过滤路由器安全边界信息安全技术v包过滤防火墙特点：包过滤防火墙特点：q最快的防火墙，因为它们的操作处

2、于，只粗略地检查头部信息q因为端点之间可以通过防火墙建立直接连接，一旦防火墙允许某一连接，就会允许外部计算机直接连接到防火墙后的目标，从而潜在地暴露了内部网络，使之容易遭到攻击信息安全技术v电路级网关防火墙电路级网关防火墙v状态包检测型防火墙状态包检测型防火墙FF信息安全技术v真正可靠的安全防火墙应该在协议栈的最高层检验所有的输入数据v在协议栈的，能够，从而实现各种安全策略v这种防火墙容易识别重要的应用程序命令，例如：FTP的“put”上传请求和“get”下载请求，还能够看到传输文件的内容信息安全技术v内建代理机制：有内部连接与外部连接两条连接内建代理机制：有内部连接与外部连接两条连接q将内部

3、和外部系统隔离开来，从外面只看到应用代理防火墙，而看不到任何内部资源TelnetFTPSMTPHTTP外部主机外部连接应用级网关内部连接内部主机信息安全技术q花费更多处理时间，可疑行为绝不会被允许通过q安全性高，可以过滤多种协议，通常认为它是最安全的防火墙类型q不能完全透明地支持各种服务与应用，同时一种代理只提供一种服务q另外需要消耗大量的CPU资源，导致相对低的性能信息安全技术v状态包检测型防火墙状态包检测型防火墙FF信息安全技术v起一定的代理服务作用，它监视两台主机，从而判断该会话请求是否合法，一旦会话连接有效，该网关仅复制、传递数据OutInOutOutInIn外部主机内部连接内部主机电

4、路级网关外部连接信息安全技术v在IP层代理各种高层会话，具有v对会话建立后所传输的具体内容不再作进一步地分析，因此v电路级网关建立两个TCP连接，确定哪些连接是允许的v包过滤防火墙一样，都是依靠特定的，但并不检测包中的内容v又同应用代理防火墙一样，信息安全技术FF信息安全技术v状态包检测模式增加了更多的包和包之间的安全上下文检查，以达到与应用级代理防火墙相类似的安全性能OutInOutOutInIn外部连接外部主机信息处理状态信息库内部连接内部主机信息安全技术v特点：特点：q查看完前面的包后，把它记在中，来确定对：如果接收到的TCP 第一次握手数据速率超过设定值，就阻止 TCP 第一次握手数据

5、通过：如果发现某个 IP 地址向另一 IP 地址的多个不同端口发送 TCP 报文段的速率超过设定值，就阻止来自该 IP 地址的 TCP 报文段信息安全技术v优点：优点：q工作在协议栈的较低层，通过防火墙的所有数据包都在网络层与运输层处理, 因此q一个连接在防火墙中建立起来，就，系统就可以去处理其他连接，执行效率可以得到进一步的提高 信息安全技术FF信息安全技术v 13.3.1 单防火墙结构单防火墙结构1屏蔽防火墙屏蔽防火墙q只对进出的数据进行各种过滤与检查，功能单一，主要q主要是，而外部计算机很少主动访问内部网络信息安全技术2单单 DMZ 防火墙防火墙q如果一个内部网络规模较大，同时内部有很多

6、服务器对外提供服务，这时就应该使用单 DMZ 防火墙q单 DMZ 防火墙信息安全技术3多多 DMZ 防火墙防火墙q防火墙上有较多的接口，可以对外提供多种服务信息安全技术v 使用两台防火墙：内部防火墙与外部防火墙，两者之间是 DMZv 同单防火墙结构类似，所有的数据在两台防火墙处都被过滤与检查，内部网络与外部网络中的计算机都可以访问DMZ，但外部计算机不能主动访问内部网络信息安全技术v 哪个子网最容易受到来自互联网中黑客攻击 v 对外服务网所在的区域通常称为什么v 该公司与商业合作伙伴通过互联网进行业务信息互换，为了保证商业信息秘密，请问该公司和合作伙伴需要购买什么类型的安全产品 v 该公司如何

7、改进增强WEB服务信息安全技术FF信息安全技术13.4.1 包过滤技术包过滤技术v 使用包过滤防火墙前要制定规则，多条规则组成一个v 用来生成规则进行过滤的包头部信息通常都包括以下信息：（1）接口和方向（2）源和目的 IP 地址（3）IP 选项（4）高层协议（5）TCP 包的 ACK 位检查（6）ICMP 的报文类型（7）TCP 和 UDP 包的源和目的端口信息安全技术viptables设置设置(man iptables看下相关资料看下相关资料):qiptables服务：service iptables start service iptables restart service iptabl

8、es stop q规则管理命令：追加，在当前链的最后新增一个规则n-I num : 插入，把当前规则插入为第几条，例: -I 3 :插入为第三条Replays替换/修改第几条规则 格式：iptables -R 3删除，明确指定删除第几条规则信息安全技术viptables设置设置:qFilter： 处理来自外部的数据 处理向外发送的数据 将数据转发到本机的其他网卡设备上q目标值：允许防火墙接收数据包防火墙丢弃包 防火墙将数据包移交到用户空间 防火墙停止执行当前链中的后续Rules，并返回到调用链中信息安全技术viptables命令常用参数设置命令常用参数设置:协议，如tcp, udp, icmp

9、等，all指定所有协议源地址目的地址执行目标,可能的值是ACCEPT, DROP, QUEUE, RETURN源端口,针对 -p tcp 或者 -p udp,例如”sport 22与”sport ssh”q-dport ：目的端口TCP标志，针对-p tcp，有效值可以是：SYN, ACK, FIN, RST, URG, PSH信息安全技术1用于包过滤的用于包过滤的 IP 头信息头信息(1) IP地址地址q检查IP包头，根据其作出放行/禁止决定q来自的IP数据报不可能具有内部网络的IP地址，否则一定就是IP地址欺骗qiptables -I INPUT -s /24 -j

10、DROP规则 方向源IP地址目的IP地址动作1流入流入 /24*拒绝拒绝2*允许允许信息安全技术(2)协议字段协议字段q这一字段定义了q通常，承载ICMP数据的包(协议字段为1)都应丢弃，因为ICMP数据将会告知对方本网内部的信息qiptables -A OUTPUT -p icmp -icmp-type echo-request -j ACCEPT规则规则方向方向协协 议议 字字 段段动作动作1*1拒绝拒绝2*允许允许信息安全技术（3）IP包分片与选项字段包分片与选项字段qIP包分片与选项字段可能导致某些攻击，现在IP包分片与选项字段用得越来越少，拒绝这样的IP包信息安

11、全技术2.用于包过滤的用于包过滤的TCP头信息头信息端口号端口号q控制SMTP连接流入和流出的例子,规则2和规则4允许大于端口1023的所有服务，不论是流入还是流出方向q黑客可以利用这一个漏洞去做各种事情1流入TCP外部内部25允许2流出TCP内部外部=1024允许3流出TCP内部外部25允许4流入TCP外部内部=1024允许5*禁止1流入TCP外部内部=102425允许2流出TCP内部外部25=1024允许3流出TCP内部外部=102425允许4流入TCP外部内部25=1024允许5*禁止信息安全技术viptables -A INPUT -p tcp -sport 1024:655356 -

12、dport 25 -j ACCEPTviptables -A OUTPUT -p tcp -sport 25 -dport 1024:655356 -j ACCEPTviptables -A OUTPUT -p tcp -sport 1024:655356 -dport 25 -j ACCEPTviptables -A INTPUT -p tcp -sport 25 -dport 1024:655356 -j ACCEPT信息安全技术v在TCP协议头中，有一个。在三次握手建立连接期间，需要指明对序列号进行同步时，这一同步位要置1vSYN洪水就是这样的一种攻击:黑客是不断发送SYN位已经置1的包

13、，这样目标主机就要浪费宝贵的CPU周期建立连接，并且分配内存v检查SYN位虽然不可能过滤所有SYN位已经置1的包，但是可以监视日志文件，2.用于包过滤的用于包过滤的TCP头信息头信息SYN位位信息安全技术2.2.用于包过滤的用于包过滤的TCPTCP头信息头信息ACKACK位位v 检查ACK位，防火墙只允许内部客户访问外部Web服务器，反之则禁止v iptables -A OUTPUT -p tcp -sport 1024:655356 -dport 25 -j ACCEPTv iptables -A INPUT -p tcp -sport 25 -dport 1024:655356 tcp-f

14、lags SYN -j ACCEPT规则规则 方向方向 协议协议 源地源地址址目的地目的地址址源端口源端口 目的端目的端口口ACK位位动作动作1流出流出 TCP内部内部外部外部102480均可均可允许允许2流入流入 TCP外部外部内部内部801024置置1允许允许3*禁止禁止信息安全技术13.4.1 包过滤技术包过滤技术vUDP包过滤包过滤vICMP包过滤包过滤q有可能被利用来收集网络的有关信息n源抑制报文n重定向报文q阻止以下几种报文类型：n流入的流入的echo请求和流出的请求和流出的echo响应响应：允许内部用户使用ping命令测试外部主机的连通性，但不允许相反方向的类似报文n流入的重定向

15、报文流入的重定向报文：可以用来重新配置网络的路由表n流出的目的不可到达报文和流出的服务不可用报文流出的目的不可到达报文和流出的服务不可用报文：不允许任何人刺探网络信息安全技术v 包过滤防火墙的优点：包过滤防火墙的优点：q包过滤是“免费的”。如果己经有了路由器，它很可能支持包过滤。在小型局域网内，单个路由器用作包过滤器足够了q理论上只需要在局域网连接到因特网或外部网的地方布置一个过滤器q使用包过滤器，不需要专门培训用户或使用专门的客户端和服务器程序信息安全技术包过滤防火墙的缺点包过滤防火墙的缺点:v使路由器难以配置，特别是使用大量规则进行复杂配置的时候。在这种情况下，很难进行完全地测试v当包过滤

16、器出现故障，或者配置不正确的时候，对网络产生的危害比代理服务器产生的危害大得多v包过滤器只对少量数据，如IP包的头部信息进行操作v很多具有包过滤功能的防火墙缺少健壮的日志功能，因此当系统被渗入或被攻击时，很难得到大量的有用信息信息安全技术FF信息安全技术1应用代理技术原理信息安全技术v 因为应用代理防火墙位于客户和提供网络服务的服务器之间，所以有很多方法来进行内容屏蔽或阻塞（1）URL地址阻塞（2）类别阻塞（3）嵌入的内容2内容屏蔽和阻塞内容屏蔽和阻塞信息安全技术v 应用代理防火墙的一个重要功能就是能够记录用户的各种行为信息v 在事先可预测的条件下，一些行为还可以设置为触发一个警报v 审查日志

17、是审查任何一个系统的重要组成部分，所以一定要尽可能多地记录各种事件，仔细观察记录的数据，力争从中发现不正常的现象3日志和报警措施日志和报警措施信息安全技术v 使用代理服务器优点使用代理服务器优点: :q隐藏受保护网络中客户和服务器的网络信息q代理服务器是能够对受保护网络和因特网之间的网络服务进行控制的惟一点(Single Point)。即使代理应用瘫痪，也不能通过设置堡垒主机来允许通信经过q代理服务器可以被设置来记录所提供的服务的相关信息，并且对可疑活动和未授权的访问进行报警q一些代理服务器可以筛选返回数据的内容，并阻塞对某些站点的访问。它们也能够阻塞包含已知病毒和其它可疑对象的包信息安全技术

18、v 代理服务器的缺点代理服务器的缺点: :q尽管代理服务器提供了一个进行访问控制的惟一点，但它也是导致整个系统瘫痪的惟一点q每一个网络服务都需要它自己的代理服务程序。虽然存在一般的解决方案，但是它没有提供与代理服务器相同级别的安全性q在客户使用代理服务器之前可能需要被修改或者重新配置信息安全技术vWindows的代理设置的代理设置:q工具Internet选项连接局域网设置q输入代理服务器地址和端口号q服务器地址：q端口号:8080q确定之后输入用户名和密码信息安全技术v传统防火墙具有以下不足：传统防火墙具有以下不足：(1)高成本：内部网中需要保护的主机或者资源越多，就需要设置越多的安全检查点(2)高管理负担：管理人