華南農(nóng)業(yè)大學(xué)彭思喜電商安全第4章防火墻技術(shù).ppt

,電子商務(wù)安全與保密,第4章：防火墻技術(shù),（1）了解防火墻的定義、發(fā)展簡(jiǎn)史、目的、功能、局限性及其發(fā)展動(dòng)態(tài)和趨勢(shì)。 （2）掌握包過(guò)濾防火墻和和代理防火墻的實(shí)現(xiàn)原理、技術(shù)特點(diǎn)和實(shí)現(xiàn)方式；熟悉防火墻的常見(jiàn)體系結(jié)構(gòu)。 （3）熟悉防火墻的產(chǎn)品選購(gòu) （4）了解防火墻的使用,防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。防火墻本身具有較強(qiáng)的抗攻擊能力，它是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。,防火墻的定義,圖9.1 防火墻示意圖,防火墻邏輯結(jié)構(gòu)圖,圖9.1 防火墻示意圖,防火墻模型,第一代防火墻：采用了包過(guò)濾（Packet Filter）技術(shù)。 第二、三代防火墻：1989年，推出了電路層防火墻，和應(yīng)用層防火墻的初步結(jié)構(gòu)。 第四代防火墻：1992年，開(kāi)發(fā)出了基于動(dòng)態(tài)包過(guò)濾技術(shù)的第四代防火墻。 第五代防火墻：1998年，NAI公司推出了一種自適應(yīng)代理技術(shù)，可以稱之為第五代防火墻。,防火墻發(fā)展簡(jiǎn)史,設(shè)置防火墻的目的和功能,（1）防火墻是網(wǎng)絡(luò)安全的屏障 （2）防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略 （3）對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì) （4）防止內(nèi)部信息的外泄,防火墻的局限性,（1）限制有用的網(wǎng)絡(luò)服務(wù) （2）防火墻防外不防內(nèi)。 （3）Internet防火墻無(wú)法防范通過(guò)防火墻以外的其他途徑的攻擊。 （4）防火墻不能完全防止傳送感染病毒的軟件或文件 （5）防火墻不能防止新的網(wǎng)絡(luò)安全問(wèn)題。,防火墻的技術(shù)分類,1包過(guò)濾防火墻 2代理防火墻,包過(guò)濾防火墻,（1）數(shù)據(jù)包過(guò)濾技術(shù)的發(fā)展：靜態(tài)包過(guò)濾、動(dòng)態(tài)包過(guò)濾。 （2）包過(guò)濾的優(yōu)點(diǎn)：不用改動(dòng)應(yīng)用程序、一個(gè)過(guò)濾路由器能協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò)、數(shù)據(jù)包過(guò)濾對(duì)用戶透明、過(guò)濾路由器速度快、效率高。,（3）包過(guò)濾的缺點(diǎn)： 不能徹底防止地址欺騙； 一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過(guò)濾； 正常的數(shù)據(jù)包過(guò)濾路由器無(wú)法執(zhí)行某些安全策略； 安全性較差 ； 數(shù)據(jù)包工具存在很多局限性。,包過(guò)濾防火墻,圖 包過(guò)濾處理,代理防火墻的原理： 代理防火墻通過(guò)編程來(lái)弄清用戶應(yīng)用層的流量，并能在用戶層和應(yīng)用協(xié)議層間提供訪問(wèn)控制；而且，還可用來(lái)保持一個(gè)所有應(yīng)用程序使用的記錄。記錄和控制所有進(jìn)出流量的能力是應(yīng)用層網(wǎng)關(guān)的主要優(yōu)點(diǎn)之一。,代理防火墻,圖 代理的工作方式,代理技術(shù)的優(yōu)點(diǎn) 1）代理易于配置。 2）代理能生成各項(xiàng)記錄。 3）代理能靈活、完全地控制進(jìn)出流量、內(nèi)容。 4）代理能過(guò)濾數(shù)據(jù)內(nèi)容。 5）代理可以方便地與其他安全手段集成。,代理技術(shù)的缺點(diǎn) 1）代理速度較路由器慢。 2）代理對(duì)用戶不透明。 3）對(duì)于每項(xiàng)服務(wù)代理可能要求不同的服務(wù)器。 4）代理服務(wù)不能保證免受所有協(xié)議弱點(diǎn)的限制 5）代理不能改進(jìn)底層協(xié)議的安全性。,表 兩種防火墻技術(shù),兩種防火墻技術(shù)的對(duì)比,防火墻的常見(jiàn)體系結(jié)構(gòu),1屏蔽路由器 2雙穴主機(jī)網(wǎng)關(guān) 3屏蔽主機(jī)網(wǎng)關(guān) 4被屏蔽子網(wǎng),屏蔽路由器,屏蔽路由器,屏蔽路由器作為內(nèi)外連接的唯一通道，要求所有的報(bào)文都必須在此通過(guò)檢查。路由器上可以裝基于IP層的報(bào)文過(guò)濾軟件，實(shí)現(xiàn)報(bào)文過(guò)濾功能。許多路由器本身帶有報(bào)文過(guò)濾配置選項(xiàng)，但一般比較簡(jiǎn)單。,屏蔽路由器的缺點(diǎn),（1）沒(méi)有或有很簡(jiǎn)單的日志記錄功能，網(wǎng)絡(luò)管理員很難確定網(wǎng)絡(luò)系統(tǒng)是否正在被攻擊或已經(jīng)被入侵。 (2) 規(guī)則表隨著應(yīng)用的深化會(huì)變得很大而且很復(fù)雜。 (3) 依靠一個(gè)單一的部件來(lái)保護(hù)網(wǎng)絡(luò)系統(tǒng)，一旦部件出現(xiàn)問(wèn)題，會(huì)失去保護(hù)作用，而用戶可能還不知道。,雙穴主機(jī)網(wǎng)關(guān),雙穴主機(jī)網(wǎng)關(guān),這種配置是用一臺(tái)裝有兩塊網(wǎng)卡的堡壘主機(jī)做防火墻。兩塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連，每塊網(wǎng)卡都有獨(dú)立的IP地址。堡壘主機(jī)上運(yùn)行著防火墻軟件(應(yīng)用層網(wǎng)關(guān))，可以轉(zhuǎn)發(fā)應(yīng)用程序，也可提供服務(wù)等功能,雙穴主機(jī)網(wǎng)關(guān)的優(yōu)點(diǎn),雙穴主機(jī)網(wǎng)關(guān)優(yōu)于屏蔽路由器的地方是：堡壘主機(jī)的系統(tǒng)軟件可用于維護(hù)系統(tǒng)日志、硬件拷貝日志或遠(yuǎn)程日志。這對(duì)于日后的檢查很有用。但這不能幫助網(wǎng)絡(luò)管理者確認(rèn)內(nèi)網(wǎng)中哪些主機(jī)可能已被黑客入侵。,雙穴主機(jī)網(wǎng)關(guān)的缺點(diǎn),雙穴主機(jī)網(wǎng)關(guān)的一個(gè)致命弱點(diǎn)是：一旦入侵者侵入堡壘主機(jī)并使其只具有路由功能，則任何網(wǎng)上用戶均可以隨便訪問(wèn)內(nèi)網(wǎng)。,屏蔽主機(jī)網(wǎng)關(guān),屏蔽主機(jī)網(wǎng)關(guān),屏蔽主機(jī)網(wǎng)關(guān)包括一個(gè)分組過(guò)濾路由器連接外部網(wǎng)絡(luò)，同時(shí)一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)立過(guò)濾規(guī)則，并使這個(gè)堡壘主機(jī)成為從外部網(wǎng)絡(luò)惟一可直接到達(dá)的主機(jī)，這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)只能沿圖中的虛線流動(dòng)。,屏蔽主機(jī)網(wǎng)關(guān)的特性,危險(xiǎn)帶限制在堡壘主機(jī)和屏蔽路由器。網(wǎng)關(guān)的基本控制策略由安裝在上面的軟件決定。如果攻擊者設(shè)法登錄到它上面，內(nèi)網(wǎng)中的其余主機(jī)就會(huì)受到很大威脅。這與雙穴主機(jī)網(wǎng)關(guān)受攻擊時(shí)的情形差不多。,被屏蔽子網(wǎng),被屏蔽子網(wǎng),這種方法是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)，用兩臺(tái)分組過(guò)濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開(kāi)。在很多實(shí)現(xiàn)中，兩個(gè)分組過(guò)濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè)“非軍事區(qū)”DMZ。有的屏蔽子網(wǎng)中還設(shè)有一堡壘主機(jī)作為唯一可訪問(wèn)點(diǎn)，支持終端交互或作為應(yīng)用網(wǎng)關(guān)代理。這種配置的危險(xiǎn)帶僅包括堡壘主機(jī)、子網(wǎng)主機(jī)及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。,被屏蔽子網(wǎng),被屏蔽子網(wǎng)的結(jié)構(gòu)特征,如果攻擊者試圖完全破壞防火墻，他必須重新配置連接三個(gè)網(wǎng)的路由器，既不切斷連接又不要把自己鎖在外面，同時(shí)又不使自己被發(fā)現(xiàn)，這樣也還是可能的。但若禁止網(wǎng)絡(luò)訪問(wèn)路由器或只允許內(nèi)網(wǎng)中的某些主機(jī)訪問(wèn)它，則攻擊會(huì)變得很困難。在這種情況下，攻擊者得先侵入堡壘主機(jī)，然后進(jìn)入內(nèi)網(wǎng)主，再返回來(lái)破壞屏蔽路由器，整個(gè)過(guò)程中不能引發(fā)警報(bào)。,典型防火墻產(chǎn)品介紹,國(guó)外： 1.Check point Firewall 2.Cisco PIX 3.AXENT Raptor 4.NAI 5.Novell,典型防火墻產(chǎn)品介紹,國(guó)內(nèi)： 1.清華紫光 2.實(shí)達(dá)朗新 3.天融新的網(wǎng)絡(luò)衛(wèi)士防火墻,1.未制定完整的企業(yè)安全策略 某中型企業(yè)購(gòu)買了適合自己網(wǎng)絡(luò)特點(diǎn)的防火墻，剛投入使用后，發(fā)現(xiàn)以前局域網(wǎng)中肆虐橫行的蠕蟲(chóng)病毒不見(jiàn)了，企業(yè)網(wǎng)站遭受拒絕服務(wù)攻擊的次數(shù)也大大減少了，為此，公司領(lǐng)導(dǎo)特意表?yè)P(yáng)了負(fù)責(zé)防火墻安裝實(shí)施的信息部。,防火墻失敗案例分析,1.未制定完整的企業(yè)安全策略,問(wèn)題描述： 防火墻投入運(yùn)行后，實(shí)施了一套較為嚴(yán)格的安全規(guī)則，導(dǎo)致公司員工無(wú)法使用qq聊天軟件，于是沒(méi)過(guò)多久就有員工自己撥號(hào)上網(wǎng)，導(dǎo)致感染了特洛依木馬和蠕蟲(chóng)等病毒，并立刻在公司內(nèi)部局域網(wǎng)中傳播開(kāi)來(lái)，造成內(nèi)部網(wǎng)大面積癱瘓。,1.未制定完整的企業(yè)安全策略,問(wèn)題分析： 我們知道，防火墻作為一種保護(hù)網(wǎng)絡(luò)安全的設(shè)備，必須部署在受保護(hù)網(wǎng)絡(luò)的邊界處，只有這樣防火墻才能控制所有出入網(wǎng)絡(luò)的數(shù)據(jù)通信，達(dá)到將入侵者拒之門外的目的。如果被保護(hù)網(wǎng)絡(luò)的邊界不惟一，有很多出入口，那么只部署一臺(tái)防火墻是不夠的。在本案例中，防火墻投入使用后，沒(méi)有禁止私自撥號(hào)上網(wǎng)行為，使得許多pc機(jī)通過(guò)電話線和internet相連，導(dǎo)致網(wǎng)絡(luò)邊界不惟一，入侵者可以通過(guò)攻擊這些pc機(jī)然后進(jìn)一步攻擊內(nèi)部網(wǎng)絡(luò)，從而成功地避開(kāi)了防火墻。,1.未制定完整的企業(yè)安全策略,解決辦法： 根據(jù)自己企業(yè)網(wǎng)的特點(diǎn)，制定一整套安全策略，并徹底地貫徹實(shí)施。比如說(shuō)，制定一套安全管理規(guī)章制度，嚴(yán)禁員工私自撥號(hào)上網(wǎng); 同時(shí)封掉撥號(hào)上網(wǎng)的電話號(hào)碼，并購(gòu)買檢測(cè)撥號(hào)上網(wǎng)的軟件，這樣從管理和技術(shù)上杜絕出現(xiàn)網(wǎng)絡(luò)邊界不惟一的情況發(fā)生。另外，考慮到企業(yè)員工的需求，可以在防火墻上添加按照時(shí)間段生效的安全規(guī)則，在非工作時(shí)間打開(kāi)qq使用的tcp/udp端口，使得企業(yè)員工可以在工余時(shí)間使用qq聊天軟件。,1.未制定完整的企業(yè)安全策略,結(jié)論與啟示： 防火墻只是保證安全的一種技術(shù)手段，要想真正實(shí)現(xiàn)安全，安全策略是核心問(wèn)題。,1.未制定完整的企業(yè)安全策略,2.未考慮防火墻的可擴(kuò)充性 某大型企業(yè)一年前購(gòu)買了幾十臺(tái)防火墻，分布在總部局域網(wǎng)和全國(guó)各地的分支機(jī)構(gòu)中。剛投入使用后，各部門和分支機(jī)構(gòu)都反映不錯(cuò)，沒(méi)有影響到網(wǎng)絡(luò)性能。隨著信息化程度的不斷提高，該企業(yè)決定構(gòu)建視頻會(huì)議系統(tǒng)，卻發(fā)現(xiàn)防火墻不支持該應(yīng)用協(xié)議，如果要實(shí)現(xiàn)視頻會(huì)議，必須讓防火墻打開(kāi)一個(gè)很大的缺口，這會(huì)留下很大的安全隱患。,防火墻失敗案例分析,問(wèn)題分析： 視頻會(huì)議系統(tǒng)一般都采用h.323協(xié)議，在創(chuàng)建符合h.323協(xié)議的voice-over-ip通道時(shí)，需要用到tcp協(xié)議的1720、1731和1735等端口，并且會(huì)使用到tcp協(xié)議的、大于1024的端口及udp協(xié)議的、大于30000的端口，這些端口是動(dòng)態(tài)隨機(jī)選取的。如果防火墻沒(méi)有專門針對(duì)h.323協(xié)議實(shí)現(xiàn)動(dòng)態(tài)包過(guò)濾，那么必須靜態(tài)地配置安全規(guī)則，打開(kāi)tcp協(xié)議1024到65535之間的所有端口以及udp協(xié)議30000到65535之間的所有端口，這樣等于給防火墻打開(kāi)了一個(gè)缺口，留下了安全隱患。此外，視頻會(huì)議系統(tǒng)對(duì)于網(wǎng)絡(luò)的服務(wù)質(zhì)量和語(yǔ)音傳輸?shù)膬?yōu)先級(jí)要求很高，如果防火墻不支持qos功能，就無(wú)法保證參加視頻會(huì)議的主機(jī)的的語(yǔ)音和視頻質(zhì)量。本案例說(shuō)明了企業(yè)在選購(gòu)防火墻時(shí)沒(méi)有充分考慮到今后網(wǎng)絡(luò)的擴(kuò)展性，導(dǎo)致防火墻不能適應(yīng)新的應(yīng)用環(huán)境。,2.未考慮防火墻的可擴(kuò)充性,解決辦法： 購(gòu)買防火墻前應(yīng)充分考慮到各種應(yīng)用的可能性。如果問(wèn)題已經(jīng)發(fā)生，請(qǐng)求防火墻廠商或安全集成商幫助解決。,2.未考慮防火墻的可擴(kuò)充性,結(jié)論與啟示： “安全當(dāng)頭，應(yīng)用為先”。如果不支持諸如視頻等網(wǎng)絡(luò)應(yīng)用，再好的安全設(shè)施也是沒(méi)有意義的。,2.未考慮防火墻的可擴(kuò)充性,3.未考慮與其他安全產(chǎn)品的配合使用 某公司購(gòu)買了防火墻后，緊接著又購(gòu)買了漏洞掃描和ids（入侵檢測(cè)系統(tǒng)）產(chǎn)品。當(dāng)系統(tǒng)管理員利用ids發(fā)現(xiàn)入侵行為后，必須每次都要手工調(diào)整防火墻安全策略，使管理員工作量劇增，而且經(jīng)常調(diào)整安全策略，也給整個(gè)網(wǎng)絡(luò)帶來(lái)不良影響。,防火墻失敗案例分析,問(wèn)題分析： 選購(gòu)防火墻時(shí)未充分考慮到與其他安全產(chǎn)品如ids的聯(lián)動(dòng)功能，導(dǎo)致不能最大程度地發(fā)揮安全系統(tǒng)的作用。,3.未考慮與其他安全產(chǎn)品的配合使用,解決辦法： 購(gòu)買防火墻前應(yīng)查看企業(yè)網(wǎng)是否安裝了漏洞掃描或ids等其他安全產(chǎn)品，以及具體產(chǎn)品名稱和型號(hào)，然后確定所要購(gòu)買的防火墻是否有聯(lián)動(dòng)功能（即是否支持其他安全產(chǎn)品，尤其是ids產(chǎn)品），