防火墙系统：防火墙概要

防火墙系统

防火墙概要

DALIANINTERNETSECURITYCo.,Ltd信息安全管理者过程目录防火墙概念包过滤用户认证访问控制虚拟专用网审计记录网络地址转换防火墙种类信息安全管理者过程防火墙概念防火墙(Firewall)概念一般定义

禁止外部网络的侵入，保护内部网络的系统物理构造

:进行包过滤,代理软件的独立系统或专用硬件阻塞点:进入内部网络的唯一的地点基本工作概念

联系请求

->确认请求

->承认

->处理承认的请求

->处理无承认的请求信息安全管理者过程防火墙系统设置时考虑事项保护什么样的资源？资源有多重要？认可什么样的用户？需要的应用，服务是什么？费用与效果方面为了保护而能实现的方法是什么？减少黑客等非法侵入时采取的行动是什么？怎么做定期系统检验?防火墙系统设计构思断开所有通行(基本设定)=>许可设置的通行许可所有通行(基本设定)=>断开设置的通行防火墙概念信息安全管理者过程防火墙构造设置在外部网和内部私设网之间所有信息必须通过防火墙才有效工作站或路由器中间

根据安全政策进行通行过滤防火墙概念信息安全管理者过程防火墙目的保护内部网的重要数据或资源内部的日常业务照常进行规模大的企业对安全和网管理提供保证自己公司提供的网络服务，透明的反映出来防火墙构筑时的优点保护脆弱的服务主机系统的访问控制安全政策的集中管理提供扩张的代理防止site系统的DNS信息露出提供网络使用日志和统计资料容易进行网络访问政策防火墙概念信息安全管理者过程1.防火墙概念防火墙构筑时的问题限制的服务内部用户的安全侵害接触新型态服务有难度不可能防御有病毒程序的下载，电子邮件传送的病毒防火墙系统的瓶颈现象防火墙系统崩溃时造成所有网络的深刻的安全侵害信息安全管理者过程包过滤概念利用包头信息来对包进行拒绝或接收的功能包过滤目的控制内部网络->外部网络的包传送的许可过滤外部网络的恶意包

(保护内部网络)观察错误网络的包泄露现在的网络等级防火墙根据IP包的

出发/目的地址和端口，进行包过滤

(网络等级防火墙的基本功能）

路由的直接控制，管理许可的访问状态和数据内容（网络等级防火墙的支持）2.包过滤(PacketFiltering)信息安全管理者过程3.用户认证(Authorization)

防火墙进入内部网络主机时应通过的地点(ChokePoint)

=>适合强有力的认证软件和硬件设置用户认证系统盗入时留意事项使用Sniffer网络工具的用户的账号，有可能泄漏密码

=>需要强有力的认证手段Sniffer监视和分析网络通行的程序提供网络上的数据包分析功能=>用于网络病毒等问题的发现用黑客工具来恶用=>ID,Password选择信息安全管理者过程3.用户认证(Authorization)例(ID:aaaa,Password:1111)信息安全管理者过程3.用户认证(Authorization)

例(ID:aaaa,

Password:1111)信息安全管理者过程3.用户认证(Authorization)OPIE(One-timePasswordsInEverything)美海军研究所开发的One-timePasswords系统一般PasswordsSeverClientPassword要求Password应答(评文)盗听可能性One-timePasswordsSeverClientChallengeResponse(Hash)盗听不可能PIN,ChallengeOne-timePasswordAuthenticatorPIN,ChallengeAuthenticatorOne-timePassword信息安全管理者过程3.用户认证（Authorization)OPIE使用例信息安全管理者过程4.访问控制(AccessControl)防火墙提供内部网络的访问控制功能除了电子邮件服务器或公开信息服务器的特定主机以外的内网访问控制确定访问邀请的许可与否

(例:TCPWrapper等)检查是否是系统允许的访问请求检查是否是通讯对象目的地地址检查网络资源的访问资格内部网络访问控制包过滤规则

经过外网和内网的IP地址或服务器端口号的分析强化外网的数据包的访问控制->保护内网安全，使用网络服务信息安全管理者过程5.虚拟专用网(VPN:VirtualPrivateNetwork)虚拟专用网概念<虚拟专用网构成图>住宅信息安全管理者过程5.虚拟专用网(VPN:VirtualPrivateNetwork)私设网优缺点优点

因为是封闭网所以数据传送不会往外泄漏设置的网络范围得到保障缺点

专用线费用增加远程电话连接费用增加

网络的扩张不容易信息安全管理者过程5.虚拟网(VPN:VirtualPrivateNetwork)VPN概念利用公用网(Internet)，像私设网一样能安全通讯的Solution形成用户间秘密化的终端

=>防止数据

盗用<VPN概念图>信息安全管理者过程5.虚拟网(VPN:VirtualPrivateNetwork)VPN优缺点优点

跟位置无关系，

Network的扩张很有可能性

(Scalability)

新旧

Node扩张时构筑应该迅速(Portability)

电话连接费用减少

(Costsaving)

专用线费用减少

(Costsaving)

提供给用户安全的Network访问手段RAS装备和

Network装备的维护费用减少缺点公用网的使用，不能保障网络范围装备的互换性问题（现在所有装备不能互换)信息安全管理者过程5.虚拟网(VPN:VirtualPrivateNetwork)VPN装备

TypeFirewallBasedVPN防火墙的添加功能多样的安全政策基准安全政策，安全设置以

GatewaytoGateway方式运作通讯两端间的防火墙一样时使用VPNRouterBasedVPN路由器的附加功能3COM,Cisco提供专用

VPNHardware处理速度快产品

:VSU,Securesuite2000等信息安全管理者过程6.审计记录(Logging&Auditing)提供访问信息或网络使用的有用的统计信息的追踪功能审计记录功能安全管理活动和事件的记录，调查，检验许可访问，无许可访问或攻击性信息的记录确认有侵入物时通报或提供Alert.对内网的审计追踪记录掌握内网的黑客掌握非法侵入者是否对系统内部入侵入侵时的适当的对策信息安全管理者过程6.审计记录(Logging&Auditing)Logscanner在Log文件里发现以上行为时通知管理者例信息安全管理者过程7.地址变换(NAT:NetworkAddressTranslation)NAT功能用私设

IP系统来使用Internet的GlobalRoutingNetwork时私设地址转换为公认地址Network地址转换例(1:1Mapping)0(公认IP)私设地址公认地址00

InternetLocalRoutingAreaGlobalRoutingArea0(私社IP)Source:0Destination:0SourcePort:1042DestPort:80Source:0Destination:0SourcePort:1042DestPort:80Source:0Destination:0SourcePort:80DestPort:1042Source:0Destination:0SourcePort:80DestPort:1042①③④②信息安全管理者过程7.地址变换(NAT:NetworkAddressTranslation)NAT必要性公认IP地址的不足(IPv4)ISP变更带来的地址体制变更最小化使用NAT时，提供内网设计的效率性和简易性

(cf.公认

IP地址

变为网络地址单位子网

=>内部主机数量多时网络构成非效率性)安全私设

IP地址不能在外部直接

Routing

=>在外部的攻击下不能直接露出在外部不能获得内部系统的IP信息=>外部的Scanning攻击下很安全信息安全管理者过程7.地址变换(NAT:NetworkAddressTranslation)私设IP地址域在RFC1918(AddressAllocationforPrivateAddress)里规定私设IP地址范围附加任意的私设IP地址时，不能跟其他战点（使用同样的地址）联网=>适合用私设IP地址范围

ClassNetworkAddressRangeA∼55B∼55C∼55信息安全管理者过程7.地址变换(NAT:NetworkAddressTranslation)NATTypeStaticMode(OnetoOneMapping)内部地址以规定的公认地址的MappingNATStatic规则例

私设

IP地址变换的公认地址备注5WebServer6DNSServer7MailServer双向

Mapping可能性内部->外部

:->5(Source地址)外部->内部

:5->(目的地地址）应该公开在网络上的System，在内部Network时主使用信息安全管理者过程7.地址变换(NAT:NetworkAddressTranslation)PortNATMode(ManytoOneMapping)对好多个内部地址Matching成规定的外部公认地址有几个用户变换为统一的外部公认地址，为了同时通信，把端口号变换为任意的号PortNAT例私设

IP地址变换的公认地址变换的端口号范围역∼01024∼65535∼172..32.255.255110000∼65535公认

IP数少时使用

(1个

IP地址->64512个连接可能性）Firewall最多实现的NATType信息安全管理者过程7.地址变换(NAT:NetworkAddressTranslation)DynamicMode(IPPool方式)公认IP群中一致性分配不使用的任意地址DynamicNAT例

私设

IP地址变换的公认

IP地址∼

552∼27内部Internet访问时=>公认

IPPool中分配不使用的IP访问结束

=>把公认

IP放在IPPool里内网系统中同时与Internet连接的有56个公认

IP地址个数充分时使用信息安全管理者过程7.地址变换(NAT:NetworkAddressTranslation)NAT的限度在IPLayer和

TCPLayer里工作

一般的

TCP/UDPApplication没问题NAT用户范围在Application层传送IP信息的协议(FTP,NetBIOSOver,Realaudio,H.323,Netmeeting,VDOLive,StreamWorks)没在NAT例处理的通行

(RIP,OSPF的

RoutingProtocol,IPMulticast,IPsec)=>有关

Application的代理，通信可能信息安全管理者过程8.防火墙种类过滤路由器OSI参考模版的阶层3和阶层4里工作

=>IP,TCP,UDP的错误内容分析内容分析通信协议的形态出发地地址，目的地地址通信协议的控制范围通信时的端口号信息安全管理者过程8.防火墙种类过滤路由器特点通过一般路由或有包过滤功能的主机的基本路由来体现。构筑过滤路由器防火墙时，有必要逐步的修改过滤规律和管理过滤规则使用错误时受到的伤害大包过滤规则的构成包过滤规则号出发地地址，出发地端口目的地地址，目的地端口(TCP,UDP,ICMP)协议的flag选择事项运行（拒绝/许可）信息安全管理者过程8.防火墙种类堡垒主机控制功能种类

:包过滤网关，applicition网关,