第10講系統(tǒng)安全性-防火墻

1、網(wǎng)絡(luò)與信息安全技術(shù)網(wǎng)絡(luò)與信息安全技術(shù)第十講第十講防火墻防火墻華中科技大學(xué)軟件工程碩士課程華中科技大學(xué)軟件工程碩士課程主要內(nèi)容 防火墻基本概念 防火墻發(fā)展歷程 防火墻核心技術(shù) 防火墻體系結(jié)構(gòu) 防火墻的功能IT領(lǐng)域防火墻的概念一種高級訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)的有關(guān)安全政策控制進(jìn)出網(wǎng)絡(luò)的訪問行為(允許、拒絕、監(jiān)視、記錄)防火墻 的形態(tài) 類似于路由器，是一臺特殊的計算機防火墻 的形態(tài)Console口網(wǎng)絡(luò)接口擴展口電源防火墻的發(fā)展歷程利用路由器本身對分組的解析，進(jìn)行分組過濾過濾判斷依據(jù)：地址、端口號、IP標(biāo)識及其他網(wǎng)絡(luò)特征防

2、火墻與路由器合為一體，只有過濾功能適合于對安全性要求不高的網(wǎng)絡(luò)環(huán)境將過濾功能從路由器中獨立出來，并加上審計和告警功能根據(jù)用戶需求，提供模塊化的軟件包軟件可通過網(wǎng)絡(luò)發(fā)送，用戶可根據(jù)需要構(gòu)造防火墻與第一代防火墻相比，安全性提高了，價格降低了是批量上市的專用防火墻產(chǎn)品包括分組過濾或者借用路由器的分組過濾功能裝有專用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令保護用戶變成空間和用戶可配置內(nèi)核參數(shù)的設(shè)置安全性和速度大為提高防火墻廠商具有操作系統(tǒng)的源代碼，并可實現(xiàn)安全內(nèi)核去掉不必要的系統(tǒng)特性，加固內(nèi)核，強化安全保護在功能上包括了分組過濾、應(yīng)用網(wǎng)關(guān)、電路級網(wǎng)關(guān)增加了許多附加功能：加密、鑒別、審計、NAT轉(zhuǎn)換透明性好

3、，易于使用防火墻的核心技術(shù)簡單包過濾技術(shù)狀態(tài)檢測包過濾技術(shù)應(yīng)用代理防火墻包過濾與應(yīng)用代理復(fù)合型防火墻核檢測防火墻簡單包過濾 防火墻不檢查數(shù)據(jù)區(qū)不建立連接狀態(tài)表前后報文無關(guān)應(yīng)用層控制較弱數(shù)據(jù)數(shù)據(jù)TCPIPTCP數(shù)據(jù)ETHIPTCP數(shù)據(jù)狀態(tài)檢測包過濾 防火墻不檢查數(shù)據(jù)區(qū)建立連接狀態(tài)表前后報文相關(guān)應(yīng)用層控制很弱應(yīng)用代理防火墻不檢查IP、TCP報頭不建立連接狀態(tài)表網(wǎng)絡(luò)層保護比較弱復(fù)合型防火墻可以檢查整個數(shù)據(jù)包內(nèi)容根據(jù)需要建立連接狀態(tài)表網(wǎng)絡(luò)層保護強應(yīng)用層控制細(xì)會話控制較弱核檢測 防火墻網(wǎng)絡(luò)層保護強應(yīng)用層保護強會話保護很強上下文相關(guān)前后報文有聯(lián)系防火墻核心技術(shù)比較防火墻體系結(jié)構(gòu)在操作系統(tǒng)內(nèi)核完成應(yīng)用協(xié)議的

4、還原，極大地提高了性能連接表基于內(nèi)核的會話檢測技術(shù)在操作系統(tǒng)內(nèi)部模擬出典型的應(yīng)用層協(xié)議，在內(nèi)核實現(xiàn)對應(yīng)用層協(xié)議的過濾，從而得到極高的性能基于內(nèi)核的會話檢測技術(shù)進(jìn)行規(guī)則匹配、應(yīng)用層過濾頻繁在系統(tǒng)核心和應(yīng)用層之間切換消耗掉大量的系統(tǒng)資源生成大量的進(jìn)程，影響防火墻的性能直接在系統(tǒng)核心進(jìn)行應(yīng)用層過濾不需要頻繁在系統(tǒng)核心和應(yīng)用層之間切換在大量并發(fā)情況下不會生成大量進(jìn)程，有效的保護系統(tǒng)資源大大提高會話檢測的效率防火墻構(gòu)造體系 篩選路由器 多宿主主機 被屏蔽主機 被屏蔽子網(wǎng)篩選路由器多宿主主機缺點：如何保護宿主主機本身的安全缺點：如何保護宿主主機本身的安全被屏蔽主機 不允許外部主機直接訪問除堡壘主機之外的其

5、他主機 過濾器 進(jìn)行規(guī)則匹配，只允許外部主機與堡壘主機通信 對內(nèi)部其他主機的訪問必須通過堡壘主機堡壘主機缺點：堡壘主機與其它主機在同一個子網(wǎng)一旦堡壘主機被攻破或被越過，整個內(nèi)網(wǎng)和堡壘主機之間就再也沒有任何阻擋被屏蔽子網(wǎng)內(nèi)部篩選路由器禁止內(nèi)外網(wǎng)絡(luò)直接進(jìn)行通信外部篩選路由器堡壘主機 內(nèi)外部網(wǎng)絡(luò)之間的通信都經(jīng)過堡壘主機被屏蔽子網(wǎng)防火墻的功能訪問控制基于源IP地址基于目的IP地址基于源端口基于目的端口基于時間基于用戶基于流量基于文件基于網(wǎng)址基于MAC地址Access list to Access nat to any passAcce

6、ss to blockAccess default pass規(guī)則匹配成功服務(wù)器復(fù)雜均衡復(fù)雜均衡算法：順序選擇地址權(quán)值根據(jù)PING的時間間隔來選擇地址權(quán)值根據(jù)Connect的時間間隔來選擇地址權(quán)值根據(jù)connect然后發(fā)送請求并得到應(yīng)答的時間間隔來選擇地址權(quán)值相應(yīng)請求支持第三方認(rèn)證服務(wù)器分級帶寬管理日志分析 不做日志 做通信日志：即傳統(tǒng)日志 通信源地址、目的地址、源目端口、通信時間、通信協(xié)議、字節(jié)數(shù)、是否允許通過 做應(yīng)用層命令日志： 在通信日志的基礎(chǔ)上，記錄下各個應(yīng)用層命令及其參數(shù)。例如HTTP請求及其要取的網(wǎng)頁名 做訪問日志 在通信日志的基礎(chǔ)上，記錄

7、下用戶對網(wǎng)絡(luò)資源的訪問。與應(yīng)用層命令日志的區(qū)別是：應(yīng)用層命令日志記錄下大量的數(shù)據(jù)，有些用戶可能不需要，如協(xié)商通信參數(shù)過程。例如針對FTP協(xié)議，訪問日志只記錄下讀、寫文件的動作 做內(nèi)容日志 即在應(yīng)用層命令日志的基礎(chǔ)上，還記錄下用戶傳輸?shù)膬?nèi)容。如用戶發(fā)送的郵件，取下的網(wǎng)頁，但因為涉及隱私問題，普通防火墻沒有包含 提供日志分析工具 自動生成各種報表，智能化的指出網(wǎng)絡(luò)可能的安全漏洞通信日志應(yīng)用層命令日志訪問日志內(nèi)容日志防火墻雙機熱備份當(dāng)一臺防火墻故障時，這臺防火墻的連接不需要重新建立就可以透明的遷移到另一臺防火墻上，用戶不會察覺到通過STP協(xié)議可以交換兩臺防火墻的狀態(tài)信息防火墻接口備份前提：防火墻工作在負(fù)載均衡模式下如果某臺防火墻的一個接口出現(xiàn)故障，另外一臺均衡防火墻的接口將接管故障接口的全部通信故障防火墻的其它接口則繼續(xù)參與通信防火墻負(fù)載均衡與IDS的安全聯(lián)動誤操作的處理與病毒服務(wù)器的安全聯(lián)動無病毒則轉(zhuǎn)發(fā)最后一個報文，如有病毒則丟棄最后一個報文雙地址路由功能根據(jù)源、目的地址進(jìn)行路由IP與MA