網(wǎng)絡(luò)與信息安全第13章防火墻技術(shù).ppt

1、第13章 防火墻技術(shù),談到網(wǎng)絡(luò)安全，首先想到的一般就是防火墻。防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止不可預(yù)測的、潛在破壞性的侵入。防火墻作為網(wǎng)絡(luò)安全體系的基礎(chǔ)和核心控制設(shè)備，在網(wǎng)絡(luò)安全中具有舉足輕重的地位,第13章 防火墻技術(shù),Network and Information Security,13.1 防火墻基本概念,防火墻作為網(wǎng)絡(luò)防護(hù)的第一道防線，它由軟件或/和硬件設(shè)備組合而成，它位于企業(yè)或網(wǎng)絡(luò)群體計(jì)算機(jī)與外界網(wǎng)絡(luò)的邊界，限制著外界用戶對內(nèi)部網(wǎng)絡(luò)的訪問以及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限,第13章 防火墻技術(shù),Network and Information Security,

2、13.2.1 包過濾防火墻 包是網(wǎng)絡(luò)上信息流動(dòng)的基本單位，它由數(shù)據(jù)負(fù)載和協(xié)議頭兩個(gè)部分組成。包過濾是基于協(xié)議頭的內(nèi)容進(jìn)行過濾的,13.2 防火墻類型及體系結(jié)構(gòu),第13章 防火墻技術(shù),Network and Information Security,13.2.2 應(yīng)用代理防火墻 真正可靠的安全防火墻應(yīng)該禁止所有通過防火墻的直接連接在協(xié)議棧的最高層檢驗(yàn)所有的輸入數(shù)據(jù),第13章 防火墻技術(shù),Network and Information Security,13.2.3 電路級網(wǎng)關(guān)型防火墻 電路級網(wǎng)關(guān)型防火墻起一定的代理服務(wù)作用，它監(jiān)視兩臺主機(jī)建立連接時(shí)的握手信息，從而判斷該會(huì)話請求是否合法，一旦會(huì)話

3、連接有效，該網(wǎng)關(guān)僅復(fù)制、傳遞數(shù)據(jù),第13章 防火墻技術(shù),Network and Information Security,13.2.4 狀態(tài)包檢測防火墻 狀態(tài)包檢測模式增加了更多的包和包之間的安全上下文檢查，以達(dá)到與應(yīng)用級代理防火墻相類似的安全性能,第13章 防火墻技術(shù),Network and Information Security,13.2.5 雙重宿主主機(jī)體系結(jié)構(gòu)(Dual Homed Host) 雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主的計(jì)算機(jī)構(gòu)筑的，該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口(NIC,第13章 防火墻技術(shù),Network and Information Security,13.2.6

4、屏蔽主機(jī)體系結(jié)構(gòu)(Screened Host) 屏蔽主機(jī)體系結(jié)構(gòu)使用一個(gè)單獨(dú)的路由器來提供外部網(wǎng)絡(luò)與內(nèi)部堡壘主機(jī)(Bastion Host)連接的服務(wù),第13章 防火墻技術(shù),Network and Information Security,13.2.7 屏蔽子網(wǎng)結(jié)構(gòu)(Screened Subnet Architectures) 屏蔽子網(wǎng)結(jié)構(gòu)通過進(jìn)一步增加隔離內(nèi)外網(wǎng)的邊界網(wǎng)絡(luò)(Perimeter Network)為屏蔽主機(jī)結(jié)構(gòu)增添了額外的安全層,第13章 防火墻技術(shù),Network and Information Security,13.3.1 包過濾技術(shù) 包過濾器是最原始的防火墻。包過濾器根據(jù)

5、每個(gè)包頭部內(nèi)的信息來決定是否要將包繼續(xù)傳輸，從而增強(qiáng)安全性。理論上，包過濾器可以被配置為根據(jù)協(xié)議包頭的任何部分進(jìn)行判斷，但是大部分的過濾器被配置成只過濾最有用的數(shù)據(jù)域，主要是： IP地址 協(xié)議類型 TCP/UDP頭信息 分片字段,13.3 防火墻的基本技術(shù)及附加功能,第13章 防火墻技術(shù),Network and Information Security,包過濾器通?？梢允褂寐酚善鱽韺?shí)現(xiàn),第13章 防火墻技術(shù),Network and Information Security,創(chuàng)建包過濾規(guī)則 在確定包過濾的配置規(guī)則之前，需要作如下決定： 打算提供何種網(wǎng)絡(luò)服務(wù)，并以何種方向(從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)，或

6、者從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò))提供這些服務(wù)。 是否限制內(nèi)部主機(jī)與因特網(wǎng)進(jìn)行連接。 因特網(wǎng)上是否存在某些可信任主機(jī)，它們需要以什么形式訪問內(nèi)部網(wǎng),第13章 防火墻技術(shù),Network and Information Security,對于不同的包過濾產(chǎn)品，用來生成規(guī)則的信息也不同，但通常都包括以下信息： 接口和方向：包是流入還是離開網(wǎng)絡(luò)，這些包通過哪種接口。 源和目的IP地址：檢查包從何而來(源IP地址)、發(fā)往何處(目的IP地址)。 IP選項(xiàng)：檢查所有選項(xiàng)字段，特別是要阻止源路由(Source Routing)選項(xiàng)。 高層協(xié)議：使用IP包的上層協(xié)議類型，例如TCP還是UDP。 TCP包的ACK位檢查：

7、這一字段可幫助確定是否有，及以何種方向建立連接。 ICMP的報(bào)文類型：可以阻止某些刺探網(wǎng)絡(luò)信息的企圖。 TCP和UDP包的源和目的端口：此信息幫助確定正在使用的是哪些服務(wù),第13章 防火墻技術(shù),Network and Information Security,以下是一些明確不能讓它們通過防火墻的危險(xiǎn)服務(wù)： Telnet：如果讓一個(gè)主機(jī)的這個(gè)端口打開，很可能給黑客提供一條訪問系統(tǒng)資源的通路。 NetBIOS：如果讓W(xué)indows或SMB服務(wù)器的這個(gè)端口對互聯(lián)網(wǎng)提供服務(wù)，就等于讓黑客像本地用戶一樣訪問你的網(wǎng)絡(luò)。 網(wǎng)絡(luò)文件系統(tǒng)(NFS)：如果允許這種服務(wù)數(shù)據(jù)通過防火墻，網(wǎng)絡(luò)外部的某人很有可能會(huì)在網(wǎng)絡(luò)

8、中安裝一個(gè)文件系統(tǒng)，然后就像是被連接到本地網(wǎng)絡(luò)一樣訪問該文件和目錄。 網(wǎng)絡(luò)信息服務(wù)(NIS)：這種服務(wù)，被人們稱為“黃頁”，會(huì)給黑客提供重要的信息，例如網(wǎng)絡(luò)上的主機(jī)名或用戶名。 X窗口：使用X客戶和服務(wù)器會(huì)引發(fā)許多安全問題,第13章 防火墻技術(shù),Network and Information Security,IP包的頭部信息很有限。頭部信息中有三種信息在包過濾中很重要： IP地址，包括源和目的地址； 協(xié)議類型，例如TCP、UDP、ICMP； IP選項(xiàng)，例如源路由選擇,第13章 防火墻技術(shù),Network and Information Security,1.IP地址 所有防火墻都具有IP地址

9、過濾功能。這項(xiàng)任務(wù)就是要檢查IP包頭，根據(jù)其IP源地址和目標(biāo)地址作出放行/禁止決定,第13章 防火墻技術(shù),Network and Information Security,2.協(xié)議字段 這一字段定義了包負(fù)載所使用的協(xié)議。例如，可以是TCP和UDP兩種因特網(wǎng)上常用的協(xié)議，也可以是諸如ICMP等其它協(xié)議。通常，承載ICMP數(shù)據(jù)的包都應(yīng)丟棄，因?yàn)镮CMP數(shù)據(jù)將會(huì)告知對方本網(wǎng)內(nèi)部的信息,第13章 防火墻技術(shù),Network and Information Security,另一個(gè)IP級數(shù)據(jù)包過濾要注意的是分片字段。 由于TCP報(bào)頭信息只包含在第0個(gè)分片中，因此無狀態(tài)包過濾器通常是讓所有非首個(gè)分片通過，

10、并且僅在數(shù)據(jù)包的第0分片上做數(shù)據(jù)包過濾。因?yàn)?，如果?shù)據(jù)包過濾器放棄了第0分片后，不管后續(xù)接收了多少剩余分片，目標(biāo)系統(tǒng)都無法把其余的分片重新組裝成為原來的包,第13章 防火墻技術(shù),Network and Information Security,用于包過濾的TCP頭信息 控制SMTP連接流入和流出的例子,規(guī)則2和規(guī)則4允許大于端口1023的所有服務(wù)，不論是流入還是流出方向。黑客可以利用這一個(gè)漏洞去做各種事情,第13章 防火墻技術(shù),Network and Information Security,改進(jìn)以后的例子, 指定了源端口,第13章 防火墻技術(shù),Network and Information

11、Security,在TCP協(xié)議頭中，有一個(gè)控制比特位：SYN。在三次握手建立連接期間，需要指明對序列號進(jìn)行同步時(shí)，這一同步位要置1。 有一種常見的攻擊是拒絕服務(wù)攻擊，SYN洪水就是這樣的一種攻擊。它不做其它的事情，黑客只是不斷發(fā)送SYN位已經(jīng)置1的包，這樣目標(biāo)主機(jī)就要浪費(fèi)寶貴的CPU周期建立連接，并且分配內(nèi)存。檢查SYN位雖然不可能過濾所有SYN位已經(jīng)置1的包，但是可以監(jiān)視日志文件，發(fā)現(xiàn)不斷發(fā)送這類包的主機(jī)以便讓那些主機(jī)不能通過防火墻,第13章 防火墻技術(shù),Network and Information Security,檢查ACK位，防火墻只允許內(nèi)部客戶訪問外部Web服務(wù)器，反之則禁止,第1

12、3章 防火墻技術(shù),Network and Information Security,如果需要客戶端建立一個(gè)從內(nèi)部工作站到因特網(wǎng)上服務(wù)器的Telnet會(huì)話，但不允許相反方向的Telnet會(huì)話，那么就要建立以下規(guī)則,第13章 防火墻技術(shù),Network and Information Security,ICMP數(shù)據(jù)很有用，但也很有可能被利用來收集網(wǎng)絡(luò)的有關(guān)信息，我們必須加以區(qū)別對待。防火墻的一個(gè)重要功能就是讓外部不能得到網(wǎng)絡(luò)內(nèi)部主機(jī)的信息。因?yàn)檫@一點(diǎn)，需要阻止以下幾種報(bào)文類型： 流入的echo請求和流出的echo響應(yīng)允許內(nèi)部用戶使用ping命令測試外部主機(jī)的連通性，但不允許相反方向的類似報(bào)文。 流

13、入的重定向報(bào)文這些信息可以用來重新配置網(wǎng)絡(luò)的路由表。 流出的目的不可到達(dá)報(bào)文和流出的服務(wù)不可用報(bào)文不允許任何人刺探網(wǎng)絡(luò)。通過找出那些不可到達(dá)或那些不可提供的服務(wù)，黑客就更加容易鎖定攻擊目標(biāo),第13章 防火墻技術(shù),Network and Information Security,包過濾器是建立防火墻的第一步。與代理服務(wù)器相比較，包過濾器有其優(yōu)缺點(diǎn)。以下是包過濾器的一些優(yōu)點(diǎn)： 包過濾是“免費(fèi)的”。如果己經(jīng)有了路由器，它很可能支持包過濾。在小型局域網(wǎng)內(nèi)，單個(gè)路由器用作包過濾器足夠了。 理論上只需要在局域網(wǎng)連接到因特網(wǎng)或外部網(wǎng)的地方布置一個(gè)過濾器。這里是網(wǎng)絡(luò)的一個(gè)扼流點(diǎn)。 使用包過濾器，不需要專門培訓(xùn)

14、用戶或使用專門的客戶端和服務(wù)器程序。屏蔽路由器或者包過濾主機(jī)會(huì)為網(wǎng)絡(luò)的客戶端透明地完成各種工作,第13章 防火墻技術(shù),Network and Information Security,當(dāng)然，包過濾器也有不足之處： 使路由器難以配置，特別是使用大量規(guī)則進(jìn)行復(fù)雜配置的時(shí)候。在這種情況下，很難進(jìn)行完全地測試。 當(dāng)包過濾器出現(xiàn)故障，或者配置不正確的時(shí)候，對網(wǎng)絡(luò)產(chǎn)生的危害比代理服務(wù)器產(chǎn)生的危害大得多。 包過濾器只對少量數(shù)據(jù)，如IP包的頭部信息進(jìn)行操作。由于僅使用這些信息來決定是否讓這些包通過防火墻，所以包過濾器的工作限制在它力所能及的范圍之內(nèi)。 很多具有包過濾功能的防火墻缺少健壯的日志功能，因此當(dāng)系統(tǒng)被

15、滲入或被攻擊時(shí)，很難得到大量的有用信息,第13章 防火墻技術(shù),Network and Information Security,13.3.2 堡壘主機(jī) 堡壘主機(jī)通常是指那些在安全方面能夠達(dá)到普通工作站所不能達(dá)到程度的計(jì)算機(jī)系統(tǒng)。這樣一個(gè)計(jì)算機(jī)系統(tǒng)會(huì)最大程度利用底層操作系統(tǒng)所提供的資源保護(hù)、審計(jì)和認(rèn)證機(jī)制等功能，并且對完成既定任務(wù)所不需要的應(yīng)用和服務(wù)都已從計(jì)算機(jī)系統(tǒng)中刪除，這樣就減少了成為受害目標(biāo)的機(jī)會(huì),第13章 防火墻技術(shù),Network and Information Security,13.3.3 應(yīng)用網(wǎng)關(guān)和代理服務(wù)器 代理服務(wù)器工作在應(yīng)用層，它能提供多種服務(wù)。網(wǎng)絡(luò)中所有的包必須經(jīng)過代理服

16、務(wù)器來建立一個(gè)特別的連接，因而代理服務(wù)器提供了客戶和服務(wù)器之間的通路。 它接收客戶的請求，然后代表客戶向服務(wù)器發(fā)出實(shí)際的請求。在客戶和服務(wù)器之間沒有實(shí)際的IP包經(jīng)過。代理服務(wù)器位于連接的中間，它分別向客戶和服務(wù)器通話來保持它們的連接,第13章 防火墻技術(shù),Network and Information Security,在代理服務(wù)器中禁止路由 當(dāng)用雙宿主機(jī)來作為代理服務(wù)器時(shí)，應(yīng)確保關(guān)掉這兩個(gè)網(wǎng)絡(luò)適配器之間的路由(在缺省情況下這是允許的)。 禁止主機(jī)的IP轉(zhuǎn)發(fā)或者路由之后，客戶/服務(wù)器之間所有的連接都必須流經(jīng)允許的代理應(yīng)用程序，否則就被阻 塞,第13章 防火墻技術(shù),Network and Inf

17、ormation Security,使用代理服務(wù)器可以得到如下的好處: 隱藏受保護(hù)網(wǎng)絡(luò)中客戶和服務(wù)器的網(wǎng)絡(luò)信息。 代理服務(wù)器是能夠?qū)κ鼙Ｗo(hù)網(wǎng)絡(luò)和因特網(wǎng)之間的網(wǎng)絡(luò)服務(wù)進(jìn)行控制的惟一點(diǎn)(Single Point)。即使代理應(yīng)用癱瘓，也不能通過設(shè)置堡壘主機(jī)來允許通信經(jīng)過。 代理服務(wù)器可以被設(shè)置來記錄所提供的服務(wù)的相關(guān)信息，并且對可疑活動(dòng)和未授權(quán)的訪問進(jìn)行報(bào)警。 一些代理服務(wù)器可以篩選返回?cái)?shù)據(jù)的內(nèi)容，并阻塞對某些站點(diǎn)的訪問。它們也能夠阻塞包含已知病毒和其它可疑對象的包,第13章 防火墻技術(shù),Network and Information Security,代理服務(wù)器的缺點(diǎn)主要包括: 盡管代理服務(wù)器提供

18、了一個(gè)進(jìn)行訪問控制的惟一點(diǎn)，但它也是導(dǎo)致整個(gè)系統(tǒng)癱瘓的惟一點(diǎn)。 每一個(gè)網(wǎng)絡(luò)服務(wù)都需要它自己的代理服務(wù)程序。雖然存在一般的解決方案，但是它沒有提供與代理服務(wù)器相同級別的安全性。 在客戶使用代理服務(wù)器之前可能需要被修改或者重新配置,第13章 防火墻技術(shù),Network and Information Security,傳統(tǒng)代理 FTP使用傳統(tǒng)代理以后，要包含以下步驟： (1) 用戶執(zhí)行FTP客戶命令，例如ftp 。 (2) 代理服務(wù)器提示輸入用戶名，用戶做出響應(yīng)。 (3) 代理服務(wù)器提示輸入口令，用戶做出響應(yīng)。 (4) 用戶向代理服務(wù)器指明實(shí)際的FTP連接目標(biāo)，一般的格式是: 。這里，userna

19、me是目標(biāo)系統(tǒng)中的合法用戶名，此處是最終的FTP會(huì)話目標(biāo)。 (5) 代理服務(wù)器將登錄信息轉(zhuǎn)發(fā)給目標(biāo)，如果認(rèn)證成功，那么就通知客戶應(yīng)用程序，現(xiàn)在用戶可以執(zhí)行FTP命令了。 (6) 代理服務(wù)器從用戶的客戶軟件接收FTP命令，并向目標(biāo)服務(wù)器轉(zhuǎn)發(fā)這些命令。 (7) 目標(biāo)服務(wù)器響應(yīng)代理服務(wù)器的命令，就像它是實(shí)際的客戶一樣，并將根據(jù)用戶命令響應(yīng)的數(shù)據(jù)返回到代理服務(wù)器。 (8) 代理服務(wù)器將從目標(biāo)服務(wù)器接收到的數(shù)據(jù)轉(zhuǎn)發(fā)到用戶的客戶應(yīng)用軟件,第13章 防火墻技術(shù),Network and Information Security,透明代理 為了使代理應(yīng)用程序更易于終端用戶的管理和使用，就需要使代理應(yīng)用程序?qū)τ脩?/p>

20、透明。這就是說，用戶不需要敲入額外的命令，甚至根本不需要知道使用了代理服務(wù)器。從用戶的觀點(diǎn)看，透明代理就像直接連接一樣(像一個(gè)包過濾器)，用戶甚至不需要知道存在代理服務(wù)器,第13章 防火墻技術(shù),Network and Information Security,網(wǎng)絡(luò)地址轉(zhuǎn)換 實(shí)現(xiàn)NAT的地址映射有許多方法： 使用靜態(tài)地址分配(Static Translation，也稱為端口轉(zhuǎn)發(fā)，Port Forwarding)，它們用NAT為內(nèi)部網(wǎng)絡(luò)的客戶綁定一個(gè)固定IP地址。 使用動(dòng)態(tài)地址分配(Dynamic Translation，也稱為自動(dòng)模式，隱藏模式或IP偽裝)的NAT為訪問外部網(wǎng)絡(luò)的客戶分配一個(gè)IP

21、地址。在客戶會(huì)話結(jié)束，或者超過某一時(shí)限后，合法的外部網(wǎng)絡(luò)地址會(huì)返回到地址池，等待下次分配，實(shí)現(xiàn)IP地址的復(fù)用,第13章 防火墻技術(shù),Network and Information Security,1.基本NAT 基本NAT要求給NAT分配一個(gè)或多個(gè)有效因特網(wǎng)地址，以便用這些地址為內(nèi)部網(wǎng)絡(luò)用戶建立連接。這意味著在任何時(shí)刻，分配給NAT使用的有效IP地址應(yīng)該不小于連往外部網(wǎng)絡(luò)的會(huì)話數(shù)。如果給NAT分配10個(gè)可以使用的IP地址，那么在內(nèi)部網(wǎng)絡(luò)就只能有10個(gè)客戶同時(shí)向外部網(wǎng)絡(luò)建立連接。 2.網(wǎng)絡(luò)地址端口轉(zhuǎn)換 如果同時(shí)有許多用戶向外部建立連接，而NAT又沒有足夠多的有效IP地址，那么基本NAT就不行了

22、。IP地址和端口號的組合被用于惟一地表示一個(gè)TCP或者UDP通信終端。NAPT服務(wù)器維護(hù)一張將客戶的連接轉(zhuǎn)換為外部IP地址和為該IP地址分配的惟一端口號的表，這樣就可以確定各個(gè)用戶的連接了,第13章 防火墻技術(shù),Network and Information Security,內(nèi)容屏蔽或阻塞訪問 URL地址阻塞：可以指定哪些URL地址會(huì)被阻塞(或者允許訪問)。 類別阻塞：這種方法可以指定阻塞含有某種內(nèi)容的數(shù)據(jù)包。 嵌入的內(nèi)容：一些代理軟件應(yīng)用程序能夠設(shè)置為阻塞Java、ActiveX控件，或者其它一些嵌入在Web請求的響應(yīng)里的對象,第13章 防火墻技術(shù),Network and Information Security,日志和報(bào)警措施 代理服務(wù)器一個(gè)不可忽視的重要功能就是能夠記錄用戶的各種行為信息。在事先可預(yù)測的條件下，一些行為還可以設(shè)置為觸發(fā)一個(gè)警報(bào)