信息安全第13章_防火墻技術(shù)

1、第十三章第十三章主講人：任凱主講人：任凱聯(lián)系方式：聯(lián)系方式：renkai_百度云盤：百度云盤：http:/ 防火墻作為網(wǎng)絡(luò)防護(hù)的第一道防線，它由設(shè)備組合而成，它位于企業(yè)或網(wǎng)絡(luò)群體計(jì)算機(jī)與外界網(wǎng)絡(luò)的邊界，著外界用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問以及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的信息安全技術(shù)信息安全技術(shù)v應(yīng)用代理防火墻應(yīng)用代理防火墻v電路級(jí)網(wǎng)關(guān)防火墻電路級(jí)網(wǎng)關(guān)防火墻v狀態(tài)包檢測(cè)型防火墻狀態(tài)包檢測(cè)型防火墻FF信息安全技術(shù)v包是網(wǎng)絡(luò)上信息流動(dòng)的基本單位，它由和兩個(gè)部分組成v包過濾是基于進(jìn)行過濾的 Internet內(nèi)部網(wǎng)包過濾路由器安全邊界信息安全技術(shù)v包過濾防火墻特點(diǎn)：包過濾防火墻特點(diǎn)：q最快的防火墻，因?yàn)樗鼈兊牟僮魈?/p>

2、于，只粗略地檢查頭部信息q因?yàn)槎它c(diǎn)之間可以通過防火墻建立直接連接，一旦防火墻允許某一連接，就會(huì)允許外部計(jì)算機(jī)直接連接到防火墻后的目標(biāo)，從而潛在地暴露了內(nèi)部網(wǎng)絡(luò)，使之容易遭到攻擊信息安全技術(shù)v電路級(jí)網(wǎng)關(guān)防火墻電路級(jí)網(wǎng)關(guān)防火墻v狀態(tài)包檢測(cè)型防火墻狀態(tài)包檢測(cè)型防火墻FF信息安全技術(shù)v真正可靠的安全防火墻應(yīng)該在協(xié)議棧的最高層檢驗(yàn)所有的輸入數(shù)據(jù)v在協(xié)議棧的，能夠，從而實(shí)現(xiàn)各種安全策略v這種防火墻容易識(shí)別重要的應(yīng)用程序命令，例如：FTP的“put”上傳請(qǐng)求和“get”下載請(qǐng)求，還能夠看到傳輸文件的內(nèi)容信息安全技術(shù)v內(nèi)建代理機(jī)制：有內(nèi)部連接與外部連接兩條連接內(nèi)建代理機(jī)制：有內(nèi)部連接與外部連接兩條連接q將內(nèi)部

3、和外部系統(tǒng)隔離開來，從外面只看到應(yīng)用代理防火墻，而看不到任何內(nèi)部資源TelnetFTPSMTPHTTP外部主機(jī)外部連接應(yīng)用級(jí)網(wǎng)關(guān)內(nèi)部連接內(nèi)部主機(jī)信息安全技術(shù)q花費(fèi)更多處理時(shí)間，可疑行為絕不會(huì)被允許通過q安全性高，可以過濾多種協(xié)議，通常認(rèn)為它是最安全的防火墻類型q不能完全透明地支持各種服務(wù)與應(yīng)用，同時(shí)一種代理只提供一種服務(wù)q另外需要消耗大量的CPU資源，導(dǎo)致相對(duì)低的性能信息安全技術(shù)v狀態(tài)包檢測(cè)型防火墻狀態(tài)包檢測(cè)型防火墻FF信息安全技術(shù)v起一定的代理服務(wù)作用，它監(jiān)視兩臺(tái)主機(jī)，從而判斷該會(huì)話請(qǐng)求是否合法，一旦會(huì)話連接有效，該網(wǎng)關(guān)僅復(fù)制、傳遞數(shù)據(jù)OutInOutOutInIn外部主機(jī)內(nèi)部連接內(nèi)部主機(jī)電

4、路級(jí)網(wǎng)關(guān)外部連接信息安全技術(shù)v在IP層代理各種高層會(huì)話，具有v對(duì)會(huì)話建立后所傳輸?shù)木唧w內(nèi)容不再作進(jìn)一步地分析，因此v電路級(jí)網(wǎng)關(guān)建立兩個(gè)TCP連接，確定哪些連接是允許的v包過濾防火墻一樣，都是依靠特定的，但并不檢測(cè)包中的內(nèi)容v又同應(yīng)用代理防火墻一樣，信息安全技術(shù)FF信息安全技術(shù)v狀態(tài)包檢測(cè)模式增加了更多的包和包之間的安全上下文檢查，以達(dá)到與應(yīng)用級(jí)代理防火墻相類似的安全性能OutInOutOutInIn外部連接外部主機(jī)信息處理狀態(tài)信息庫(kù)內(nèi)部連接內(nèi)部主機(jī)信息安全技術(shù)v特點(diǎn)：特點(diǎn)：q查看完前面的包后，把它記在中，來確定對(duì)：如果接收到的TCP 第一次握手?jǐn)?shù)據(jù)速率超過設(shè)定值，就阻止 TCP 第一次握手?jǐn)?shù)據(jù)

5、通過：如果發(fā)現(xiàn)某個(gè) IP 地址向另一 IP 地址的多個(gè)不同端口發(fā)送 TCP 報(bào)文段的速率超過設(shè)定值，就阻止來自該 IP 地址的 TCP 報(bào)文段信息安全技術(shù)v優(yōu)點(diǎn)：優(yōu)點(diǎn)：q工作在協(xié)議棧的較低層，通過防火墻的所有數(shù)據(jù)包都在網(wǎng)絡(luò)層與運(yùn)輸層處理, 因此q一個(gè)連接在防火墻中建立起來，就，系統(tǒng)就可以去處理其他連接，執(zhí)行效率可以得到進(jìn)一步的提高 信息安全技術(shù)FF信息安全技術(shù)v 13.3.1 單防火墻結(jié)構(gòu)單防火墻結(jié)構(gòu)1屏蔽防火墻屏蔽防火墻q只對(duì)進(jìn)出的數(shù)據(jù)進(jìn)行各種過濾與檢查，功能單一，主要q主要是，而外部計(jì)算機(jī)很少主動(dòng)訪問內(nèi)部網(wǎng)絡(luò)信息安全技術(shù)2單單 DMZ 防火墻防火墻q如果一個(gè)內(nèi)部網(wǎng)絡(luò)規(guī)模較大，同時(shí)內(nèi)部有很多

6、服務(wù)器對(duì)外提供服務(wù)，這時(shí)就應(yīng)該使用單 DMZ 防火墻q單 DMZ 防火墻信息安全技術(shù)3多多 DMZ 防火墻防火墻q防火墻上有較多的接口，可以對(duì)外提供多種服務(wù)信息安全技術(shù)v 使用兩臺(tái)防火墻：內(nèi)部防火墻與外部防火墻，兩者之間是 DMZv 同單防火墻結(jié)構(gòu)類似，所有的數(shù)據(jù)在兩臺(tái)防火墻處都被過濾與檢查，內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)中的計(jì)算機(jī)都可以訪問DMZ，但外部計(jì)算機(jī)不能主動(dòng)訪問內(nèi)部網(wǎng)絡(luò)信息安全技術(shù)v 哪個(gè)子網(wǎng)最容易受到來自互聯(lián)網(wǎng)中黑客攻擊 v 對(duì)外服務(wù)網(wǎng)所在的區(qū)域通常稱為什么v 該公司與商業(yè)合作伙伴通過互聯(lián)網(wǎng)進(jìn)行業(yè)務(wù)信息互換，為了保證商業(yè)信息秘密，請(qǐng)問該公司和合作伙伴需要購(gòu)買什么類型的安全產(chǎn)品 v 該公司如何

7、改進(jìn)增強(qiáng)WEB服務(wù)信息安全技術(shù)FF信息安全技術(shù)13.4.1 包過濾技術(shù)包過濾技術(shù)v 使用包過濾防火墻前要制定規(guī)則，多條規(guī)則組成一個(gè)v 用來生成規(guī)則進(jìn)行過濾的包頭部信息通常都包括以下信息：（1）接口和方向（2）源和目的 IP 地址（3）IP 選項(xiàng)（4）高層協(xié)議（5）TCP 包的 ACK 位檢查（6）ICMP 的報(bào)文類型（7）TCP 和 UDP 包的源和目的端口信息安全技術(shù)viptables設(shè)置設(shè)置(man iptables看下相關(guān)資料看下相關(guān)資料):qiptables服務(wù)：service iptables start service iptables restart service iptabl

8、es stop q規(guī)則管理命令：追加，在當(dāng)前鏈的最后新增一個(gè)規(guī)則n-I num : 插入，把當(dāng)前規(guī)則插入為第幾條，例: -I 3 :插入為第三條Replays替換/修改第幾條規(guī)則 格式：iptables -R 3刪除，明確指定刪除第幾條規(guī)則信息安全技術(shù)viptables設(shè)置設(shè)置:qFilter： 處理來自外部的數(shù)據(jù) 處理向外發(fā)送的數(shù)據(jù) 將數(shù)據(jù)轉(zhuǎn)發(fā)到本機(jī)的其他網(wǎng)卡設(shè)備上q目標(biāo)值：允許防火墻接收數(shù)據(jù)包防火墻丟棄包 防火墻將數(shù)據(jù)包移交到用戶空間 防火墻停止執(zhí)行當(dāng)前鏈中的后續(xù)Rules，并返回到調(diào)用鏈中信息安全技術(shù)viptables命令常用參數(shù)設(shè)置命令常用參數(shù)設(shè)置:協(xié)議，如tcp, udp, icmp

9、等，all指定所有協(xié)議源地址目的地址執(zhí)行目標(biāo),可能的值是ACCEPT, DROP, QUEUE, RETURN源端口,針對(duì) -p tcp 或者 -p udp,例如”sport 22與”sport ssh”q-dport ：目的端口TCP標(biāo)志，針對(duì)-p tcp，有效值可以是：SYN, ACK, FIN, RST, URG, PSH信息安全技術(shù)1用于包過濾的用于包過濾的 IP 頭信息頭信息(1) IP地址地址q檢查IP包頭，根據(jù)其作出放行/禁止決定q來自的IP數(shù)據(jù)報(bào)不可能具有內(nèi)部網(wǎng)絡(luò)的IP地址，否則一定就是IP地址欺騙qiptables -I INPUT -s /24 -j

10、DROP規(guī)則 方向源IP地址目的IP地址動(dòng)作1流入流入 /24*拒絕拒絕2*允許允許信息安全技術(shù)(2)協(xié)議字段協(xié)議字段q這一字段定義了q通常，承載ICMP數(shù)據(jù)的包(協(xié)議字段為1)都應(yīng)丟棄，因?yàn)镮CMP數(shù)據(jù)將會(huì)告知對(duì)方本網(wǎng)內(nèi)部的信息qiptables -A OUTPUT -p icmp -icmp-type echo-request -j ACCEPT規(guī)則規(guī)則方向方向協(xié)協(xié) 議議 字字 段段動(dòng)作動(dòng)作1*1拒絕拒絕2*允許允許信息安全技術(shù)（3）IP包分片與選項(xiàng)字段包分片與選項(xiàng)字段qIP包分片與選項(xiàng)字段可能導(dǎo)致某些攻擊，現(xiàn)在IP包分片與選項(xiàng)字段用得越來越少，拒絕這樣的IP包信息安

11、全技術(shù)2.用于包過濾的用于包過濾的TCP頭信息頭信息端口號(hào)端口號(hào)q控制SMTP連接流入和流出的例子,規(guī)則2和規(guī)則4允許大于端口1023的所有服務(wù)，不論是流入還是流出方向q黑客可以利用這一個(gè)漏洞去做各種事情1流入TCP外部?jī)?nèi)部25允許2流出TCP內(nèi)部外部=1024允許3流出TCP內(nèi)部外部25允許4流入TCP外部?jī)?nèi)部=1024允許5*禁止1流入TCP外部?jī)?nèi)部=102425允許2流出TCP內(nèi)部外部25=1024允許3流出TCP內(nèi)部外部=102425允許4流入TCP外部?jī)?nèi)部25=1024允許5*禁止信息安全技術(shù)viptables -A INPUT -p tcp -sport 1024:655356 -

12、dport 25 -j ACCEPTviptables -A OUTPUT -p tcp -sport 25 -dport 1024:655356 -j ACCEPTviptables -A OUTPUT -p tcp -sport 1024:655356 -dport 25 -j ACCEPTviptables -A INTPUT -p tcp -sport 25 -dport 1024:655356 -j ACCEPT信息安全技術(shù)v在TCP協(xié)議頭中，有一個(gè)。在三次握手建立連接期間，需要指明對(duì)序列號(hào)進(jìn)行同步時(shí)，這一同步位要置1vSYN洪水就是這樣的一種攻擊:黑客是不斷發(fā)送SYN位已經(jīng)置1的包

13、，這樣目標(biāo)主機(jī)就要浪費(fèi)寶貴的CPU周期建立連接，并且分配內(nèi)存v檢查SYN位雖然不可能過濾所有SYN位已經(jīng)置1的包，但是可以監(jiān)視日志文件，2.用于包過濾的用于包過濾的TCP頭信息頭信息SYN位位信息安全技術(shù)2.2.用于包過濾的用于包過濾的TCPTCP頭信息頭信息ACKACK位位v 檢查ACK位，防火墻只允許內(nèi)部客戶訪問外部Web服務(wù)器，反之則禁止v iptables -A OUTPUT -p tcp -sport 1024:655356 -dport 25 -j ACCEPTv iptables -A INPUT -p tcp -sport 25 -dport 1024:655356 tcp-f

14、lags SYN -j ACCEPT規(guī)則規(guī)則 方向方向 協(xié)議協(xié)議 源地源地址址目的地目的地址址源端口源端口 目的端目的端口口ACK位位動(dòng)作動(dòng)作1流出流出 TCP內(nèi)部?jī)?nèi)部外部外部102480均可均可允許允許2流入流入 TCP外部外部?jī)?nèi)部?jī)?nèi)部801024置置1允許允許3*禁止禁止信息安全技術(shù)13.4.1 包過濾技術(shù)包過濾技術(shù)vUDP包過濾包過濾vICMP包過濾包過濾q有可能被利用來收集網(wǎng)絡(luò)的有關(guān)信息n源抑制報(bào)文n重定向報(bào)文q阻止以下幾種報(bào)文類型：n流入的流入的echo請(qǐng)求和流出的請(qǐng)求和流出的echo響應(yīng)響應(yīng)：允許內(nèi)部用戶使用ping命令測(cè)試外部主機(jī)的連通性，但不允許相反方向的類似報(bào)文n流入的重定向

15、報(bào)文流入的重定向報(bào)文：可以用來重新配置網(wǎng)絡(luò)的路由表n流出的目的不可到達(dá)報(bào)文和流出的服務(wù)不可用報(bào)文流出的目的不可到達(dá)報(bào)文和流出的服務(wù)不可用報(bào)文：不允許任何人刺探網(wǎng)絡(luò)信息安全技術(shù)v 包過濾防火墻的優(yōu)點(diǎn)：包過濾防火墻的優(yōu)點(diǎn)：q包過濾是“免費(fèi)的”。如果己經(jīng)有了路由器，它很可能支持包過濾。在小型局域網(wǎng)內(nèi)，單個(gè)路由器用作包過濾器足夠了q理論上只需要在局域網(wǎng)連接到因特網(wǎng)或外部網(wǎng)的地方布置一個(gè)過濾器q使用包過濾器，不需要專門培訓(xùn)用戶或使用專門的客戶端和服務(wù)器程序信息安全技術(shù)包過濾防火墻的缺點(diǎn)包過濾防火墻的缺點(diǎn):v使路由器難以配置，特別是使用大量規(guī)則進(jìn)行復(fù)雜配置的時(shí)候。在這種情況下，很難進(jìn)行完全地測(cè)試v當(dāng)包過濾

16、器出現(xiàn)故障，或者配置不正確的時(shí)候，對(duì)網(wǎng)絡(luò)產(chǎn)生的危害比代理服務(wù)器產(chǎn)生的危害大得多v包過濾器只對(duì)少量數(shù)據(jù)，如IP包的頭部信息進(jìn)行操作v很多具有包過濾功能的防火墻缺少健壯的日志功能，因此當(dāng)系統(tǒng)被滲入或被攻擊時(shí)，很難得到大量的有用信息信息安全技術(shù)FF信息安全技術(shù)1應(yīng)用代理技術(shù)原理信息安全技術(shù)v 因?yàn)閼?yīng)用代理防火墻位于客戶和提供網(wǎng)絡(luò)服務(wù)的服務(wù)器之間，所以有很多方法來進(jìn)行內(nèi)容屏蔽或阻塞（1）URL地址阻塞（2）類別阻塞（3）嵌入的內(nèi)容2內(nèi)容屏蔽和阻塞內(nèi)容屏蔽和阻塞信息安全技術(shù)v 應(yīng)用代理防火墻的一個(gè)重要功能就是能夠記錄用戶的各種行為信息v 在事先可預(yù)測(cè)的條件下，一些行為還可以設(shè)置為觸發(fā)一個(gè)警報(bào)v 審查日志

17、是審查任何一個(gè)系統(tǒng)的重要組成部分，所以一定要盡可能多地記錄各種事件，仔細(xì)觀察記錄的數(shù)據(jù)，力爭(zhēng)從中發(fā)現(xiàn)不正常的現(xiàn)象3日志和報(bào)警措施日志和報(bào)警措施信息安全技術(shù)v 使用代理服務(wù)器優(yōu)點(diǎn)使用代理服務(wù)器優(yōu)點(diǎn): :q隱藏受保護(hù)網(wǎng)絡(luò)中客戶和服務(wù)器的網(wǎng)絡(luò)信息q代理服務(wù)器是能夠?qū)κ鼙Ｗo(hù)網(wǎng)絡(luò)和因特網(wǎng)之間的網(wǎng)絡(luò)服務(wù)進(jìn)行控制的惟一點(diǎn)(Single Point)。即使代理應(yīng)用癱瘓，也不能通過設(shè)置堡壘主機(jī)來允許通信經(jīng)過q代理服務(wù)器可以被設(shè)置來記錄所提供的服務(wù)的相關(guān)信息，并且對(duì)可疑活動(dòng)和未授權(quán)的訪問進(jìn)行報(bào)警q一些代理服務(wù)器可以篩選返回?cái)?shù)據(jù)的內(nèi)容，并阻塞對(duì)某些站點(diǎn)的訪問。它們也能夠阻塞包含已知病毒和其它可疑對(duì)象的包信息安全技術(shù)

18、v 代理服務(wù)器的缺點(diǎn)代理服務(wù)器的缺點(diǎn): :q盡管代理服務(wù)器提供了一個(gè)進(jìn)行訪問控制的惟一點(diǎn)，但它也是導(dǎo)致整個(gè)系統(tǒng)癱瘓的惟一點(diǎn)q每一個(gè)網(wǎng)絡(luò)服務(wù)都需要它自己的代理服務(wù)程序。雖然存在一般的解決方案，但是它沒有提供與代理服務(wù)器相同級(jí)別的安全性q在客戶使用代理服務(wù)器之前可能需要被修改或者重新配置信息安全技術(shù)vWindows的代理設(shè)置的代理設(shè)置:q工具Internet選項(xiàng)連接局域網(wǎng)設(shè)置q輸入代理服務(wù)器地址和端口號(hào)q服務(wù)器地址：q端口號(hào):8080q確定之后輸入用戶名和密碼信息安全技術(shù)v傳統(tǒng)防火墻具有以下不足：傳統(tǒng)防火墻具有以下不足：(1)高成本：內(nèi)部網(wǎng)中需要保護(hù)的主機(jī)或者資源越多，就需要設(shè)置越多的安全檢查點(diǎn)(2)高管理負(fù)擔(dān)：管理人