网络管理与安全 97P

1、1,网络管理与安全 -防火墙技术,2,防火墙的概念、功能和特点 防火墙的分类及应用 防火墙的体系结构 防火墙的发展趋势及应用 典型防火墙的使用,3,最初含义：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生时火势蔓延到别的房屋。这种墙被称之为防火墙。 而这里所说的防火墙是指隔离在本地网络与外界网络之间的一道防御系统，是一类防范措施的总称。 Rich Kosinski(Internet Security公司总裁）： 防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，控制进/出两个方向的通信。,4,一、

2、防火墙概述,什么是防火墙(Firewall) ？,防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。,5,定义为：“设置在两个或多个网络之间的安全阻隔，用于保证本地网络资源的安全，通常是包含软件部分和硬件部分的一个系统或多个系统的组合”。 基本工作原理是在可信任网络的边界（即常说的在内部网络和外部网络之间，我们认为内部网络是可信任的，而外部网络是不可信的）建立起网络控制系统，隔离内部和外部网络，执行访问控制策略，防止外部的未授权节点访问内部网络和非法向外传递内部信息，同时也防止非法和恶意的网络行为导致内部网络的运行被破坏。,6,防火墙只允许已授

3、权的业务流通过，而且本身也应抵抗渗透攻击。 建立防火墙必须全面考虑安全策略，否则形同虚设。,7,一、防火墙的功能,一、防火墙概述,1）作为“扼制点”，限制信息的进入或离开,限制安全问题扩散； 2）对网络存取和访问进行监控和审计,防止侵入者接近并破坏你的内部设施； 3）监视、记录、审查重要的业务流； 4）实施网络地址转换NAT，缓解地址短缺矛盾。 5) 实现VPN的连接.,8,防火墙功能模块,应用程序代理,包过滤&状态检测,用户认证,NAT,VPN,日志,IDS与报警,内容过滤,9,二、好的防火墙系统,一、防火墙概述,1）内部网络和外部网络之间传输的数据必须通过防火墙； 2）只有防火墙系统中安全

4、策略允许的数据可以通过防火墙； 3）防火墙本身不受各种攻击的影响。,10,三、防火墙的优点,一、防火墙概述,1.防止易受攻击的服务 通过过滤不安全的服务来降低子网上主系统的风险。 可以禁止某些易受攻击的服务(如NFS)进入或离开受保护的子网。 可以防护基于路由选择的攻击，如源路由选择和企图通过ICMP改向把发送路径转向遭致损害的网点。,11,一、防火墙概述,2.控制访问网点系统 可以提供对系统的访问控制。如允许从外部访问某些主机(Mail Server和Web Server) ，同时禁止访问另外的主机。 3.集中安全性 防火墙定义的安全规则可用于整个内部网络系统，而无须在内部网每台机器上分别设

5、立安全策略。 可以定义不同的认证方法，而不需要在每台机器上分别安装特定的认证软件。外部用户只需要经过一次认证即可访问内部网。例如对于密码口令系统或其他的身份认证软件等，放在防火墙系统中更是优于放在每个Internet能访问的机器上。,12,一、防火墙概述,4.增强的保密、强化私有权 使用防火墙系统，站点可以防止finger 以及DNS域名服务。Finger能列出当前用户，上次登录时间，以及是否读过邮件等。 5.有关网络使用、滥用的记录和统计 防火墙可以记录各次访问，并提供有关网络使用率等有价值的统计数字。 网络使用率统计数字可作为网络需求研究和风险分析的依据；收集有关网络试探的证据，可确定防火

6、墙上的控制措施是否得当，能否抵御试探和攻击。,13,UF3500/3100防火墙应用 三端口NAT模式,交换机,路由器,集线器,防火墙UF3500/3100,WWW 服务器,Mail服务器,PC,PC,FTP 服务器,14,四、防火墙的局限性,一、防火墙概述,1）防火墙防外不防内 防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理，如主机安全和用户教育、管理、制度等。,15,一、防火墙

7、概述,2）不能防范绕过防火墙的攻击 防火墙能够有效地防止通过它进行传输信息，然而不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。 3）防火墙配置复杂，容易出现安全漏洞 4）防火墙往往只认机器（IP地址）不认人（用户身份），并且控制粒度较粗。,16,一、防火墙概述,5）防火墙不能防范病毒 防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。 6）防火墙不能防止数据驱动式攻击。 当有些表面看来无害的数据被邮寄或复制到内部网主机上并被执行而发起攻击时，就会发生数据驱动攻击。特别是随着Java、J

8、avaScript、ActiveX的应用，这一问题更加突出。,17,7)当使用端到端加密时，其作用会受到很大限制。 8)过于依赖于拓扑结构。 9)是一种静态防御技术.防火墙不能防范不断更新的攻击方式，防火墙制定的安全策略是在已知的攻击模式下制定的，所以对全新的攻击方式缺少阻止功能。,18,五、防火墙的特点、策略及指标,一、防火墙概述,1、广泛的服务支持：通过将动态的、应用层的过滤能力和认证相结合，可实现WWW浏览器、HTTP服务器、 FTP等； 2、对私有数据的加密支持：保证通过Internet进行虚拟私人网络和商务活动的安全； 3、客户端认证：只允许指定的用户访问内部网络或选择服务：企业本地

9、网与分支机构、商业伙伴和移动用户间安全通信的附加部分；,19,一、防火墙概述,4、反欺骗：欺骗是从外部获取网络访问权的常用手段，它使数据包好似来自网络内部。防火墙能监视这样的数据包并能扔掉它们； 5、C/S模式和跨平台支持：能使运行在一平台的管理模块控制运行在另一平台的监视模块。,20,1、服务访问策略,二、网络政策,服务访问策略是整个机构信息安全策略的延伸，既要可靠又要切合实际。 一个典型的策略可以不允许从Internet访问网点，但要允许从网点访问Internet。 另一个典型策略是允许从Internet进行某些访问，但是或许只许可访问经过选择的系统，如Web服务器和电子邮件服务器。,21

10、,允许,拒绝,2、防火墙设计政策,防火墙一般实施两个基本设计方针之一: 1. “没有明确允许的都是被禁止的”，即拒绝一切未予特许的东西。 2. “没有明确禁止的都是被允许的”；也即是允许一切未被特别拒绝的东西,允许,拒绝,22,3 防火墙的指标,协议支持 加密支持 认证支持 访问控制 防御功能 管理功能,23,负载均衡特性 失败恢复特性 警告通知机制 记录和报表功能 重负载下性能参数 最大并发连接数,24,防火墙的技术分类,包过滤防火墙 检查每个在网络间被传送的IP数据包中的内容，并根据它们的地址及指定的应用服务来决定接受或拒绝这个数据包 应用代理服务器 应用代理服务器以对客户端的请求行使 “

11、代理”职责，应用代理是在网络应用层上建立协议过滤和转发功能 状态检测防火墙 克服了包过滤防火墙和应用代理服务器的局限性， 状态检测技术避免了静态包过滤技术的致命缺陷，即为了某种服务必须保持某些端口的永久开放，例如多媒体、SQL应用等，它直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。状态监测的缺点是：不能根据实际传输的数据内容进行判断，配置非常复杂，而且会降低网络的速度,25,防火墙按使用范围分类,个人防火墙 个人防火墙常见功能,26,防火墙按使用范围分类（续）,路由器防火墙 路由器防火墙常见功能,27,防火墙按使用范围分类（续）,低端硬件防火墙

12、低端硬件防火墙常见功能,28,防火墙按使用范围分类（续）,高端硬件防火墙 高端硬件防火墙常见功能,29,硬件防火墙,30,六、防火墙的体系结构,1）屏蔽路由器（Screened Router） 2）双宿主机网关； Dual Homed Host Gateway 3）屏蔽主机防火墙； Screened Gateway 4）屏蔽子网防火墙。 Screened Subnet,31,1.屏蔽路由器（Screened Router）,包过滤路由器： 路由 + 过滤 这是最简单的防火墙。 缺点： 日志没有或很少，难以判断是否被入侵 规则表会随着应用变得很复杂 单一的部件保护，脆弱,32,33,2.双宿主机

13、网关,防火墙体系结构,34,防火墙体系结构,用一台装有两块网卡的计算机作为堡垒主机（Bastion host），两块网卡分别与内部网和外部网（或屏蔽路由器）相连，每块网卡有各自的IP地址。堡垒主机上运行防火墙软件代理服务（应用层网关）。在建立双宿主机时，应关闭操作系统的路由功能（IP转发），否则两块网卡间的通信会绕过代理服务器软件。 优点：与屏蔽路由器相比，提供日志以备检查 缺点：双宿主机易受攻击,35,36,3.屏蔽主机防火墙,防火墙体系结构,37,屏蔽主机体系结构,38,39,防火墙体系结构,由屏蔽路由器和应用网关组成。 两道屏障：网络层的包过滤；应用层代理服务 注：与双宿主机网关不同，这

14、里的应用网关只有一块网卡。 优点：双重保护，安全性更高。 实施策略：针对不同的服务，选择其中的一种或两种保护措施。,40,4.屏蔽子网体系结构,防火墙体系结构,组成：一个包含堡垒主机的周边子网、两台屏蔽路由器。,41,屏蔽子网体系结构,42,43,多重堡垒主机结构,多重堡垒主机结构的网络拓扑,44,防火墙体系结构,屏蔽子网防火墙中，添加周边网络进一步地把内部网络与Internet隔离开。 通过在周边网络上隔离堡垒主机，能减少在堡垒主机上侵入的影响。 要想侵入用这种类型的体系结构构筑的内部网络，侵袭者必须通过外部路由器，堡垒主机，内部路由器三道关口。 1）周边网络：非军事化区、停火区（DMZ）

15、周边网络是另一个安全层,是在外部网络与内部网络之间的附加的网络。,45,防火墙体系结构,周边网络的作用 对于周边网络，如果某人侵入周边网上的堡垒主机，他仅能探听到周边网上的通信。因为所有周边网上的通信来自或者通往堡垒主机或Internet。 因为没有严格的内部通信(即在两台内部主机之间的通信，这通常是敏感的或者专有的)能越过周边网。所以，如果堡垒主机被损害，内部的通信仍将是安全的。,46,防火墙体系结构,2）堡垒主机 接受来自外界连接的主要入口： 1对于进来的电子邮件（SMTP）会话，传送电子邮件到站点； 2对于进来的FTP连接，转接到站点的匿名FTP服务器； 3对于进来的域名服务（DNS）站

16、点查询等。,47,防火墙体系结构,出站服务按如下任一方法处理： 1.在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器。 2.设置代理服务器在堡垒主机上运行（如果用户的防火墙使用代理软件）来允许内部的客户端间接地访问外部的服务器。用户也可以设置数据包过滤来允许内部的客户端在堡垒主机上同代理服务器交谈。但是禁止内部的客户端与外部世界之间直接通信(如拨号上网)。,48,防火墙体系结构,3）内部路由器 内部路由器（阻塞路由器）：保护内部的网络使之免受Internet和周边子网的侵犯。 内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网到Internet的有选择

17、的出站服务。这些服务是用户使用数据包过滤而不是通过代理服务提供。 内部路由器所允许的在周边网和内部网之间服务可不同于内部路由器所允许的在外部和内部网之间的服务。 限制堡垒主机与内部网之间的通信可减少堡垒机被攻破时对内部网的危害。,49,防火墙体系结构,4）外部路由器 在理论上，外部路由器保护周边网和内部网使之免受来自Internet的侵犯。实际上，外部路由器倾向于允许几乎任何东西从周边网出站，并且它们通常只执行非常少的数据包过滤。 外部路由器安全任务之一是：阻止从Internet上伪造源地址进来的任何数据包。,50,内部防火墙问题,防火墙体系结构,在大部分讨论中,都假定建立防火墙的目的在于保护

18、内部网免受外部网的侵扰。但有时为了某些原因，我们还需要对内部网的部分站点再加以保护以免受内部的其它站点的侵袭。因此，有时我们需要在同一结构的两个部分之间，或者在同一内部网的两个不同组织结构之间再建立防火墙（也被称为内部防火墙）。,51,网络防火墙位置模型,52,复合型防火墙,复合型防火墙,采用哪种形式的防火墙取决于经费、技术、时间等。,包过滤,应用网关,电路网关,53,网络结构分析,企业整体网络体系结构,54,高可用性设计,Active/Active冗余防火墙的设计,55,包过滤技术,包过滤技术,56,包过滤技术的原理,包过滤技术,在路由器上加入IP Filtering 功能，这样的路由器就成

19、为Screening Router 。 防火墙的安全规则由匹配条件和处理方式两部分组成。 Router逐一审查每个数据包以判定它是否与其它包过滤规则相匹配(只检查包头，不理会包内的正文信息)。 如果找到一个匹配，且规则允许这包，这个包则根据路由表中的信息前行； 如果找到一个匹配，且规则允许拒绝此包，这一包则被舍弃； 如果无匹配规则，一个用户配置的缺省参数将决定此包是前行还是被舍弃。,57,防火墙匹配条件列表,58,防火墙的规则动作,有以下几种类型： 通过（accept） 允许IP包通过防火墙传输。 放弃（deny） 不允许IP包通过防火墙传输，但仅仅丢弃，不做任何响应。 拒绝（reject）

20、不允许IP包通过防火墙传输，并向源端发送目的主机不可达的ICMP报文。 返回（return） 没有发现匹配的规则，省缺动作。,59,规则举例（包过滤）,只允许Telnet出站的服务,60,IPv4,包过滤技术,版本号,Version,(4bit),报头长,IHL,(4bit),服务类型,ServiceType,(8bit),分组总长度,Total Length,(16bit),标识,Identification,(16bit),标志,Flags,(3bit),片偏移,Fragment Offset,(13bit),生存时间,Time to Live,(8bit),传输层协议,Protocol,

21、(8bit),头部校验和,Header Checksum,(16bit),源,IP,地址,Source Address(32bit),宿,IP,地址,Destination Address(32bit),可选项,Option,有效负载 Payload（0或多个字节）,20 bytes,0 4 8 16 19 31,填充域,padding,61,ICMP报文,包过滤技术,ICMP报文的一般格式,Data,差错信息 出错IP数据报的头+64个字节数据,类型,Type,(8bit),代码,Code,(8bit),检验和,Checksum,(16bit),不同类型和代码有不同的内容Data,0 8 1

22、6 31,ICMP header ICMP data,IP header I P data,封装,62,TCP头部,包过滤技术,源端口,Source Port,(16bit),宿端口,Destination Port,(16bit),序列号,Sequence Number,(32bit),确认号,Acknowledgment Number,(32bit),Data,Offset,(4bit),Reserved,(6bit),U,R,G,A,C,K,P,S,H,R,S,T,S,Y,N,F,I,N,窗口大小,Window,size,(16bit),校验和,Checksum,(16bit),紧急指针

23、,Urgent Pointer,(16bit),选项,Options (0,或多个,32,bit,字,),数据,Data (,可选,),TCP头部,63,UDP头部,包过滤技术,UDP源端口,UDP宿端口,UDP长度,UDP校验和,16bit,16bit,最小值为8,全“0”：不选； 全“1”：校验和为0。,64,包过滤的依据,包过滤技术,IP 源地址 IP目的地址 封装协议(TCP、UDP、或IP Tunnel) TCP/UDP源端口 TCP/UDP目的端口 ICMP包类型 TCP报头的ACK位 包输入接口和包输出接口,65,依赖于服务的过滤,包过滤技术,多数服务对应特定的端口，例：Teln

24、et、SMTP、POP3分别为23、25、110。如要封锁输入Telnet 、SMTP的连接，则Router丢弃端口值为23和25的所有数据包。 典型的过滤规则有以下几种： .只允许进来的Telnet会话连接到指定的一些内部主机 .只允许进来的FTP会话连接到指定的一些内部主机 .允许所有出去的Telnet 会话 . 允许所有出去的FTP 会话 .拒绝从某些指定的外部网络进来的所有信息,66,独立于服务的过滤,有些类型的攻击很难用基本包头信息加以鉴别，因为独立于服务。要防止这类攻击，需要在过滤规则中考虑其它信息，如：路由表、特定的IP选项、特定的片段偏移等。不依赖于服务的攻击有三类： 1）源I

25、P地址欺骗攻击 入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包；这些信息包似乎像包含了一个内部系统的源IP地址。如果这些信息包到达Router的外部接口，则舍弃每个含有这个源IP地址的信息包，就可以挫败这种源欺骗攻击。,67,包过滤技术,2）源路由攻击 攻击者为信息包指定一个穿越Internet的路由，这类攻击企图绕过安全措施，并使信息包沿一条意外(疏漏)的路径到达目的地。可以通过舍弃所有包含这类源路由选项的信息包方式，来挫败这类攻击。 3）残片攻击 入侵者利用IP分段特性生成一个极小的片断并将TCP报头信息肢解成一个分离的信息包片断，使数据包绕过用户定义的过滤规则。黑客希望过滤路

26、由器只检查第一分段，而允许其它分段通过。通过舍弃所有协议类型为TCP、IP报头中Fragment Offset=1的数据包，即可挫败残片的攻击。,68,推荐的过滤规则,任何进入内网的数据包不能将内部地址作为源地址 任何进入内网的数据包必须将内部地址作为目标地址 任何离开内网的数据包必须将内部地址作为源地址 任何离开内网的数据包不能将内部地址作为目标地址 任何进入或离开内网的数据包不能把一个私有地址或者/8作为源或目标地址 保留、DHCP自动配置和多播地址也要被阻塞： /8 /16 /24 /4 240.0

27、.0.0/4,69,包过滤路由器的优点,包过滤技术,1、实现包过滤几乎不再需要费用。这些特点都包含再标准的路由器软件中。绝大多数Internet防火墙系统只用一个包过滤路由器. 2、执行PACKET FILTER 所用的时间很少或几乎不需要什么时间。因为Internet 访问一般被提供给一个WAN接口。如果通信负载适中且定义的过滤很少的话,则对路由性能没有多大影响. 3、包过滤路由器对终端用户和应用程序是透明的,因此不需要专门的用户培训或在每主机上设置特别的软件.,70,包过滤路由器的局限性,包过滤技术,1、定义包过滤器的工作复杂, 要了解Internet各种服务、包头格式和每个域查找的特定值

28、。管理困难。 2、通过路由器的数据包有可能被用于数据驱动攻击 3、过滤器数目增加，路由器吞吐量下降 4、无法对流动的信息提供全面控制。不能理解上下文。 5、一些应用协议不适合于包过滤，如：RPC、FTP等。 6、日志能力较弱。不能报告谁企图入侵。 7、难以针对用户实施安全策略。,71,代理服务技术,代理服务,该技术它能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的连接，由两个代理服务器之间的连接来实现，外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用。 此外，代理服务器也对过往的数据包进行分析、记录、形成报告，当发现攻击迹象时会向网络管理

29、员发出警告，并保留攻击痕迹。,72,代理服务技术,代理服务,73,应用层网关,应用网关,应用层网关（Application Level Gateways）技术是在网络的应用层上实现协议过滤和转发功能。它针对特定的网络应用服务协议，如：超文本传输协议(HTTP)、远程文件传输协议(FTP)等，使用指定的数据过滤规则。并在过滤的同时，对数据包进行必要的分析、记录和统计，形成报告。记录和控制所有进出流量是应用层网关的一个主要优点。,74,应用层上的过滤,应用网关,75,应用层网关,76,电路层网关(Circuit Gateway),电路网关工作在OSI的会话层。分组地址是一个应用层的用户进程。电路网

30、关在两个通信端点之间复制字节。电路网关包含有支持某些TCP/IP应用的程序代码，但通常是有限的。 电路网关适于限制内部网对外部的访问，但不能实施协议过滤。从电路网关出来的连接好象都是从防火墙产生的，故可以隐藏内部网络信息。 电路网关与包过滤相似，但比包过滤高两层，安全性更好。,77,电路层网关,78,一个例子,代理服务,用包过滤路由器封锁所有输入Telnet和Ftp 连接的网点。路由器允许Telnet和Ftp包只通过一个主系统，即Telnet/Ftp应用网关，然后再连接到目的主系统： 用户首先把Telnet连接到应用网关，并输入内部主系统名字； 网关检验用户的源IP地址，并根据访问准则接受或拒

31、绝； 用户可能需要证明自己的身份（可使用一次性口令装置）； 代理服务软件在网关和内部主系统之间建立Telnet连接； 代理服务软件在两个连接之间传送数据； 应用网关记录连接情况。,79,代理服务的优点,代理服务,1）易于配置 软件实现，界面友好 2）日志记录，便于分析 3）灵活控制进出流量、内容(who、what、 where 、when) 例如，可以过滤协议。为防止用户向匿名FTP服务器写数据，可拒绝使用FTP 协议中的 put 命令； 能过滤数据内容：文本过滤、图像过滤、病毒扫描等。 4）为用户提供透明的加密机制 VPN 5）便于与其它安全手段集成 认证 授权 加密 TLS协议,80,代理

32、服务的缺点,速度慢：检查内容；转发/响应 代理对用户不透明 对客户端要定制软件或改动； 如何跨平台；代理服务难以让可户非常满意 不能改进底层协议的安全 IP欺骗 SYN泛滥 拒绝服务攻击 有可能受到协议漏洞的威胁,81,包过滤与代理的结合,代理服务,为提高安全性，将包过滤方法与应用代理的方法结合起来，形成复合型防火墙产品。有两种方案。 1) 屏蔽主机防火墙体系结构：在该结构中，包过滤路由器或防火墙与Internet相连，同时一个堡垒机安装在内部网络，通过在包过滤路由器或防火墙上过滤规则的设置，使堡垒机成为Internet上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。,82,代理服务,2)屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个包过滤路由器放在这一子网的两端，使这一子网与Internet