信息安全第13章-防火墻技術(shù)

防火墻技術(shù)第十三章主講人：任凱聯(lián)系方式：renkai_jlxy@163.com百度云盤：/s/1qWykdjQ1本章提要了解防火墻的基本概念掌握防火墻的類型掌握防火墻在網(wǎng)絡(luò)上的設(shè)置方法理解包過濾技術(shù)的基本原理理解應(yīng)用代理技術(shù)的基本原理213.1防火墻技術(shù)防火墻是網(wǎng)絡(luò)安全中重要技術(shù)之一防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止不可預(yù)測(cè)的、潛在破壞性的侵入防火墻作為網(wǎng)絡(luò)安全體系的基礎(chǔ)和核心控制設(shè)備，在網(wǎng)絡(luò)安全中具有舉足輕重的地位313.1防火墻基本概念防火墻作為網(wǎng)絡(luò)防護(hù)的第一道防線，它由軟件或/和硬件設(shè)備組合而成，它位于企業(yè)或網(wǎng)絡(luò)群體計(jì)算機(jī)與外界網(wǎng)絡(luò)的邊界，限制著外界用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問以及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限4包過濾型防火墻應(yīng)用代理防火墻電路級(jí)網(wǎng)關(guān)防火墻狀態(tài)包檢測(cè)型防火墻13.2防火墻的類型

5包過濾型防火墻應(yīng)用代理防火墻電路級(jí)網(wǎng)關(guān)防火墻狀態(tài)包檢測(cè)型防火墻13.2防火墻的類型

F6包是網(wǎng)絡(luò)上信息流動(dòng)的基本單位，它由數(shù)據(jù)負(fù)載和協(xié)議頭兩個(gè)部分組成包過濾是基于協(xié)議頭的內(nèi)容進(jìn)行過濾的13.2.1包過濾防火墻7包過濾防火墻特點(diǎn)：最快的防火墻，因?yàn)樗鼈兊牟僮魈幱诰W(wǎng)絡(luò)層與運(yùn)輸層，只粗略地檢查頭部信息因?yàn)槎它c(diǎn)之間可以通過防火墻建立直接連接，一旦防火墻允許某一連接，就會(huì)允許外部計(jì)算機(jī)直接連接到防火墻后的目標(biāo)，從而潛在地暴露了內(nèi)部網(wǎng)絡(luò)，使之容易遭到攻擊13.2.1包過濾防火墻8包過濾型防火墻應(yīng)用代理防火墻電路級(jí)網(wǎng)關(guān)防火墻狀態(tài)包檢測(cè)型防火墻13.2防火墻的類型

F9真正可靠的安全防火墻應(yīng)該禁止所有通過防火墻的直接連接——在協(xié)議棧的最高層檢驗(yàn)所有的輸入數(shù)據(jù)在協(xié)議棧的最高層（應(yīng)用層）檢查每一個(gè)包，能夠看到所有的數(shù)據(jù)，從而實(shí)現(xiàn)各種安全策略這種防火墻容易識(shí)別重要的應(yīng)用程序命令，例如：FTP的“put”上傳請(qǐng)求和“get”下載請(qǐng)求，還能夠看到傳輸文件的內(nèi)容13.2.2應(yīng)用代理防火墻10內(nèi)建代理機(jī)制：有內(nèi)部連接與外部連接兩條連接將內(nèi)部和外部系統(tǒng)隔離開來，從外面只看到應(yīng)用代理防火墻，而看不到任何內(nèi)部資源13.2.2應(yīng)用代理防火墻11優(yōu)點(diǎn)：花費(fèi)更多處理時(shí)間，可疑行為絕不會(huì)被允許通過安全性高，可以過濾多種協(xié)議，通常認(rèn)為它是最安全的防火墻類型缺點(diǎn)：不能完全透明地支持各種服務(wù)與應(yīng)用，同時(shí)一種代理只提供一種服務(wù)另外需要消耗大量的CPU資源，導(dǎo)致相對(duì)低的性能13.2.2應(yīng)用代理防火墻12包過濾型防火墻應(yīng)用代理防火墻電路級(jí)網(wǎng)關(guān)防火墻狀態(tài)包檢測(cè)型防火墻13.2防火墻的類型

F13起一定的代理服務(wù)作用，它監(jiān)視兩臺(tái)主機(jī)建立連接時(shí)的握手信息，從而判斷該會(huì)話請(qǐng)求是否合法，一旦會(huì)話連接有效，該網(wǎng)關(guān)僅復(fù)制、傳遞數(shù)據(jù)13.2.3電路級(jí)網(wǎng)關(guān)型防火墻14在IP層代理各種高層會(huì)話，具有隱藏內(nèi)部網(wǎng)絡(luò)信息的能力，且透明性高對(duì)會(huì)話建立后所傳輸?shù)木唧w內(nèi)容不再作進(jìn)一步地分析，因此安全性稍低電路級(jí)網(wǎng)關(guān)建立兩個(gè)TCP連接，確定哪些連接是允許的包過濾防火墻一樣，都是依靠特定的邏輯來判斷是否允許數(shù)據(jù)包通過，但并不檢測(cè)包中的內(nèi)容又同應(yīng)用代理防火墻一樣，不允許內(nèi)外計(jì)算機(jī)建立直接的連接13.2.3電路級(jí)網(wǎng)關(guān)型防火墻15包過濾型防火墻應(yīng)用代理防火墻電路級(jí)網(wǎng)關(guān)防火墻狀態(tài)包檢測(cè)型防火墻13.2防火墻的類型

F16狀態(tài)包檢測(cè)模式增加了更多的包和包之間的安全上下文檢查，以達(dá)到與應(yīng)用級(jí)代理防火墻相類似的安全性能13.2.3狀態(tài)檢測(cè)防火墻17特點(diǎn)：查看完前面的包后，把它記在狀態(tài)信息庫(kù)中，來確定對(duì)后面包采取的動(dòng)作抵御SYN洪水攻擊：如果接收到的TCP第一次握手?jǐn)?shù)據(jù)速率超過設(shè)定值，就阻止TCP第一次握手?jǐn)?shù)據(jù)通過抵御TCP端口掃描：如果發(fā)現(xiàn)某個(gè)IP地址向另一IP地址的多個(gè)不同端口發(fā)送TCP報(bào)文段的速率超過設(shè)定值，就阻止來自該IP地址的TCP報(bào)文段13.2.3狀態(tài)檢測(cè)防火墻18優(yōu)點(diǎn)：工作在協(xié)議棧的較低層，通過防火墻的所有數(shù)據(jù)包都在網(wǎng)絡(luò)層與運(yùn)輸層處理,因此減少了開銷，提高效率一個(gè)連接在防火墻中建立起來，就不用再對(duì)該連接進(jìn)行更多的處理，系統(tǒng)就可以去處理其他連接，執(zhí)行效率可以得到進(jìn)一步的提高13.2.3狀態(tài)檢測(cè)防火墻19本章提要了解防火墻的基本概念掌握防火墻的類型掌握防火墻在網(wǎng)絡(luò)上的設(shè)置方法理解包過濾技術(shù)的基本原理理解應(yīng)用代理技術(shù)的基本原理F2013.3防火墻在網(wǎng)絡(luò)上的設(shè)置13.3.1單防火墻結(jié)構(gòu)1．屏蔽防火墻只對(duì)進(jìn)出的數(shù)據(jù)進(jìn)行各種過濾與檢查，功能單一，主要適用于小型的內(nèi)部網(wǎng)絡(luò)主要是內(nèi)部計(jì)算機(jī)訪問外部網(wǎng)絡(luò)，而外部計(jì)算機(jī)很少主動(dòng)訪問內(nèi)部網(wǎng)絡(luò)212．單DMZ防火墻如果一個(gè)內(nèi)部網(wǎng)絡(luò)規(guī)模較大，同時(shí)內(nèi)部有很多服務(wù)器對(duì)外提供服務(wù)，這時(shí)就應(yīng)該使用單DMZ防火墻單DMZ防火墻功能強(qiáng)，設(shè)置簡(jiǎn)單，是應(yīng)用最為廣泛的防火墻結(jié)構(gòu)13.3防火墻在網(wǎng)絡(luò)上的設(shè)置223．多DMZ防火墻防火墻上有較多的接口，可以對(duì)外提供多種服務(wù)13.3防火墻在網(wǎng)絡(luò)上的設(shè)置2313.3.2雙防火墻結(jié)構(gòu)使用兩臺(tái)防火墻：內(nèi)部防火墻與外部防火墻，兩者之間是DMZ同單防火墻結(jié)構(gòu)類似，所有的數(shù)據(jù)在兩臺(tái)防火墻處都被過濾與檢查，內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)中的計(jì)算機(jī)都可以訪問DMZ，但外部計(jì)算機(jī)不能主動(dòng)訪問內(nèi)部網(wǎng)絡(luò)24課堂練習(xí)哪個(gè)子網(wǎng)最容易受到來自互聯(lián)網(wǎng)中黑客攻擊對(duì)外服務(wù)網(wǎng)所在的區(qū)域通常稱為什么該公司與商業(yè)合作伙伴通過互聯(lián)網(wǎng)進(jìn)行業(yè)務(wù)信息互換，為了保證商業(yè)信息秘密，請(qǐng)問該公司和合作伙伴需要購(gòu)買什么類型的安全產(chǎn)品該公司如何改進(jìn)增強(qiáng)WEB服務(wù)25本章提要了解防火墻的基本概念掌握防火墻的類型掌握防火墻在網(wǎng)絡(luò)上的設(shè)置方法理解包過濾技術(shù)的基本原理理解應(yīng)用代理技術(shù)的基本原理F2613.4.1包過濾技術(shù)使用包過濾防火墻前要制定規(guī)則，多條規(guī)則組成一個(gè)訪問控制列表（AccessControlList,ACL）用來生成規(guī)則進(jìn)行過濾的包頭部信息通常都包括以下信息：（1）接口和方向（2）源和目的IP

地址（3）IP

選項(xiàng)（4）高層協(xié)議（5）TCP

包的ACK

位檢查（6）ICMP

的報(bào)文類型（7）TCP

和UDP

包的源和目的端口13.4防火墻基本技術(shù)2713.4防火墻基本技術(shù)iptables設(shè)置(maniptables看下相關(guān)資料):iptables服務(wù)：?jiǎn)?dòng)指令：serviceiptablesstart重啟指令：serviceiptablesrestart關(guān)閉指令：serviceiptablesstop規(guī)則管理命令-A：追加，在當(dāng)前鏈的最后新增一個(gè)規(guī)則-I

num

:

插入，把當(dāng)前規(guī)則插入為第幾條，例:-I3:插入為第三條-Rnum：Replays替換/修改第幾條規(guī)則格式：iptables-R3-Dnum：刪除，明確指定刪除第幾條規(guī)則2813.4防火墻基本技術(shù)iptables設(shè)置:Filter：INPUT：

處理來自外部的數(shù)據(jù)OUTPUT：

處理向外發(fā)送的數(shù)據(jù)FORWARD：

將數(shù)據(jù)轉(zhuǎn)發(fā)到本機(jī)的其他網(wǎng)卡設(shè)備上目標(biāo)值：ACCEPT：允許防火墻接收數(shù)據(jù)包DROP：防火墻丟棄包QUEUE：防火墻將數(shù)據(jù)包移交到用戶空間RETURN：防火墻停止執(zhí)行當(dāng)前鏈中的后續(xù)Rules，并返回到調(diào)用鏈中2913.4防火墻基本技術(shù)iptables命令常用參數(shù)設(shè)置:-p：協(xié)議，如tcp,udp,icmp等，all指定所有協(xié)議-s：源地址-d：目的地址-j：執(zhí)行目標(biāo),可能的值是ACCEPT,DROP,QUEUE,RETURN--sport：源端口,針對(duì)-ptcp或者-pudp,例如”–sport22″與”–sportssh”--dport：目的端口--tcp-flags：TCP標(biāo)志，針對(duì)-ptcp，有效值可以是：SYN,ACK,FIN,RST,URG,PSH3013.4防火墻基本技術(shù)1．用于包過濾的IP頭信息(1)

IP地址檢查IP包頭，根據(jù)其IP源地址和目標(biāo)地址作出放行/禁止決定來自因特網(wǎng)的IP數(shù)據(jù)報(bào)不可能具有內(nèi)部網(wǎng)絡(luò)的IP地址，否則一定就是IP地址欺騙iptables-IINPUT-s/24-jDROP規(guī)則方向源IP地址目的IP地址動(dòng)作1流入/24*拒絕2***允許31(2)協(xié)議字段這一字段定義了包負(fù)載所使用的協(xié)議通常，承載ICMP數(shù)據(jù)的包(協(xié)議字段為1)都應(yīng)丟棄，因?yàn)镮CMP數(shù)據(jù)將會(huì)告知對(duì)方本網(wǎng)內(nèi)部的信息iptables-AOUTPUT-picmp[--icmp-typeecho-request]-jACCEPT規(guī)則方向協(xié)議字段動(dòng)作1*1拒絕2**允許13.4防火墻基本技術(shù)32（3）IP包分片與選項(xiàng)字段IP包分片與選項(xiàng)字段可能導(dǎo)致某些攻擊，現(xiàn)在IP包分片與選項(xiàng)字段用得越來越少，拒絕這樣的IP包13.4防火墻基本技術(shù)3313.4防火墻基本技術(shù)2.用于包過濾的TCP頭信息——端口號(hào)控制SMTP連接流入和流出的例子,規(guī)則2和規(guī)則4允許大于端口1023的所有服務(wù)，不論是流入還是流出方向黑客可以利用這一個(gè)漏洞去做各種事情規(guī)則方向協(xié)議源地址目的地址目的端口動(dòng)作1流入TCP外部?jī)?nèi)部25允許2流出TCP內(nèi)部外部>=1024允許3流出TCP內(nèi)部外部25允許4流入TCP外部?jī)?nèi)部>=1024允許5*****禁止規(guī)則方向協(xié)議源地址目的地址源端口目的端口動(dòng)作1流入TCP外部?jī)?nèi)部>=102425允許2流出TCP內(nèi)部外部25>=1024允許3流出TCP內(nèi)部外部>=102425允許4流入TCP外部?jī)?nèi)部25>=1024允許5******禁止3413.4防火墻基本技術(shù)iptables-AINPUT-ptcp--sport1024:655356--dport25-jACCEPTiptables-AOUTPUT-ptcp--sport25--dport1024:655356-jACCEPTiptables-AOUTPUT-ptcp--sport1024:655356--dport25-jACCEPTiptables-AINTPUT-ptcp--sport25--dport1024:655356-jACCEPT35在TCP協(xié)議頭中，有一個(gè)控制比特位：SYN。在三次握手建立連接期間，需要指明對(duì)序列號(hào)進(jìn)行同步時(shí)，這一同步位要置1SYN洪水就是這樣的一種攻擊:黑客是不斷發(fā)送SYN位已經(jīng)置1的包，這樣目標(biāo)主機(jī)就要浪費(fèi)寶貴的CPU周期建立連接，并且分配內(nèi)存檢查SYN位雖然不可能過濾所有SYN位已經(jīng)置1的包，但是可以監(jiān)視日志文件，發(fā)現(xiàn)不斷發(fā)送這類包的主機(jī)以便讓那些主機(jī)不能通過防火墻2.用于包過濾的TCP頭信息——SYN位13.4防火墻基本技術(shù)3613.4防火墻基本技術(shù)2.用于包過濾的TCP頭信息——ACK位檢查ACK位，防火墻只允許內(nèi)部客戶訪問外部Web服務(wù)器，反之則禁止iptables-AOUTPUT-ptcp--sport1024:655356--dport25-jACCEPTiptables-AINPUT-ptcp--sport25--dport1024:655356–tcp-flagsSYN-jACCEPT規(guī)則方向協(xié)議源地址目的地址源端口目的端口ACK位動(dòng)作1流出TCP內(nèi)部外部≥102480均可允許2流入TCP外部?jī)?nèi)部80≥1024置1允許3*******禁止3713.4.1包過濾技術(shù)UDP包過濾ICMP包過濾有可能被利用來收集網(wǎng)絡(luò)的有關(guān)信息源抑制報(bào)文重定向報(bào)文阻止以下幾種報(bào)文類型：流入的echo請(qǐng)求和流出的echo響應(yīng)：允許內(nèi)部用戶使用ping命令測(cè)試外部主機(jī)的連通性，但不允許相反方向的類似報(bào)文流入的重定向報(bào)文：可以用來重新配置網(wǎng)絡(luò)的路由表流出的目的不可到達(dá)報(bào)文和流出的服務(wù)不可用報(bào)文：不允許任何人刺探網(wǎng)絡(luò)13.4防火墻基本技術(shù)38包過濾防火墻的優(yōu)點(diǎn)：包過濾是“免費(fèi)的”。如果己經(jīng)有了路由器，它很可能支持包過濾。在小型局域網(wǎng)內(nèi)，單個(gè)路由器用作包過濾器足夠了理論上只需要在局域網(wǎng)連接到因特網(wǎng)或外部網(wǎng)的地方布置一個(gè)過濾器使用包過濾器，不需要專門培訓(xùn)用戶或使用專門的客戶端和服務(wù)器程序13.4防火墻基本技術(shù)39包過濾防火墻的缺點(diǎn):使路由器難以配置，特別是使用大量規(guī)則進(jìn)行復(fù)雜配置的時(shí)候。在這種情況下，很難進(jìn)行完全地測(cè)試當(dāng)包過濾器出現(xiàn)故障，或者配置不正確的時(shí)候，對(duì)網(wǎng)絡(luò)產(chǎn)生的危害比代理服務(wù)器產(chǎn)生的危害大得多包過濾器只對(duì)少量數(shù)據(jù)，如IP包的頭部信息進(jìn)行操作很多具有包過濾功能的防火墻缺少健壯的日志功能，因此當(dāng)系統(tǒng)被滲入或被攻擊時(shí)，很難得到大量的有用信息13.4防火墻基本技術(shù)40本章提要了解防火墻的基本概念掌握防火墻的類型掌握防火墻在網(wǎng)絡(luò)上的設(shè)置方法理解包過濾技術(shù)的基本原理理解應(yīng)用代理技術(shù)的基本原理F411．應(yīng)用代理技術(shù)原理13.4.2應(yīng)用代理技術(shù)42因?yàn)閼?yīng)用代理防火墻位于客戶和提供網(wǎng)絡(luò)服務(wù)的服務(wù)器之間，所以有很多方法來進(jìn)行內(nèi)容屏蔽或阻塞（1）URL地址阻塞（2）類別阻塞（3）嵌入的內(nèi)容2．內(nèi)容屏蔽和阻塞13.4.2應(yīng)用代理技術(shù)43應(yīng)用代理防火墻的一個(gè)重要功能就是能夠記錄用戶的各種行為信息在事先可預(yù)測(cè)的條件下，一些行為還可以設(shè)置為觸發(fā)一個(gè)警報(bào)審查日志是審查任何一個(gè)系統(tǒng)的重要組成部分，所以一定要盡可能多地記錄各種事件，仔細(xì)觀察記錄的數(shù)據(jù)，力爭(zhēng)從中發(fā)現(xiàn)不正常的現(xiàn)象3．日志和報(bào)警措施13.4.2應(yīng)用代理技術(shù)44使用代理服務(wù)器優(yōu)點(diǎn):隱藏受保護(hù)網(wǎng)絡(luò)中客戶和服務(wù)器的網(wǎng)絡(luò)信息代理服務(wù)器是能夠?qū)κ鼙Ｗo(hù)網(wǎng)絡(luò)和因特網(wǎng)之間的網(wǎng)絡(luò)服務(wù)進(jìn)行控制的惟一點(diǎn)(SinglePoint)。即使代理應(yīng)用癱瘓，也不能通過設(shè)置堡壘主機(jī)來允許通信經(jīng)過代理服務(wù)器可以被設(shè)置來記錄所提供的服務(wù)的相關(guān)信息，并且對(duì)可疑活動(dòng)和未授權(quán)的訪問進(jìn)行報(bào)警