防火墻與入侵防護(hù)系統(tǒng)

廣州大學(xué)1第9章防火墻與入侵防護(hù)系統(tǒng)9.1防火墻的必要性9.2防火墻特征9.3防火墻類型9.4防火墻的布置9.5防火墻的部署和配置9.6入侵防護(hù)系統(tǒng)9.7一個(gè)例子：一體化威脅管理產(chǎn)品廣州大學(xué)29.1防火墻的必要性Internet的安全風(fēng)險(xiǎn)紛繁復(fù)雜的Internet網(wǎng)絡(luò)復(fù)雜用戶層次復(fù)雜情況瞬息變化企業(yè)網(wǎng)絡(luò)出于商業(yè)目的向公眾開(kāi)放TCP/IP協(xié)議的自身弱點(diǎn)攻擊工具非常容易取得安全教育嚴(yán)重不足Internet上沒(méi)有人能免于攻擊政府企業(yè)個(gè)人防火墻的定義

從廣泛、宏觀的意義上說(shuō)，防火墻是隔離在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一個(gè)防御系統(tǒng)。

AT&T的工程師WilliamCheswick和StevenBellovin給出了防火墻的明確定義，他們認(rèn)為防火墻是位于兩個(gè)網(wǎng)絡(luò)之間的一組構(gòu)件或一個(gè)系統(tǒng)，具有以下屬性：防火墻是不同網(wǎng)絡(luò)或者安全域之間信息流的唯一通道，所有雙向數(shù)據(jù)流必須經(jīng)過(guò)防火墻。只有經(jīng)過(guò)授權(quán)的合法數(shù)據(jù)，即防火墻安全策略允許的數(shù)據(jù)才可以通過(guò)防火墻。防火墻系統(tǒng)應(yīng)該具有很高的抗攻擊能力，其自身可以不受各種攻擊的影響。簡(jiǎn)而言之，防火墻是位于兩個(gè)(或多個(gè))網(wǎng)絡(luò)間，實(shí)施訪問(wèn)控制策略的一個(gè)或一組組件集合。

廣州大學(xué)69.1防火墻的必要性防火墻構(gòu)筑了一道安全邊界隔離了內(nèi)部系統(tǒng)與外部網(wǎng)絡(luò)廣州大學(xué)79.2防火墻特征防火墻(Firewall)防火墻的基本設(shè)計(jì)目標(biāo)對(duì)于一個(gè)網(wǎng)絡(luò)來(lái)說(shuō)，所有通過(guò)“內(nèi)部”和“外部”的網(wǎng)絡(luò)流量都要經(jīng)過(guò)防火墻通過(guò)一些安全策略，來(lái)保證只有經(jīng)過(guò)授權(quán)的流量才可以通過(guò)防火墻防火墻本身必須建立在安全操作系統(tǒng)的基礎(chǔ)上防火墻的控制能力服務(wù)控制，確定哪些服務(wù)可以被訪問(wèn)方向控制，對(duì)于特定的服務(wù)，可以確定允許哪個(gè)方向能夠通過(guò)防火墻用戶控制，根據(jù)用戶來(lái)控制對(duì)服務(wù)的訪問(wèn)行為控制，控制一個(gè)特定的服務(wù)的行為防火墻能為我們做什么強(qiáng)化網(wǎng)絡(luò)安全策略，提供集成功能

創(chuàng)建阻塞點(diǎn)12實(shí)現(xiàn)網(wǎng)絡(luò)隔離

3審計(jì)和記錄內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的活動(dòng)

4自身具有非常強(qiáng)的抵御攻擊的能力

5防火墻能為我們做什么創(chuàng)建阻塞點(diǎn)1

根據(jù)美國(guó)國(guó)家安全局制定的《信息保障技術(shù)框架》，防火墻適用于網(wǎng)絡(luò)系統(tǒng)的邊界（networkboundary），屬于用戶內(nèi)部網(wǎng)絡(luò)邊界安全保護(hù)設(shè)備。所謂網(wǎng)絡(luò)邊界就是采用不同安全策略的兩個(gè)網(wǎng)絡(luò)連接位置。防火墻就是在網(wǎng)絡(luò)的外邊界或周邊，在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立的唯一一個(gè)安全控制檢查點(diǎn)，通過(guò)允許、拒絕或重新定向經(jīng)過(guò)防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問(wèn)的審計(jì)和控制。從而實(shí)現(xiàn)防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，禁止存在安全脆弱性的服務(wù)進(jìn)出網(wǎng)絡(luò)，并抵抗來(lái)自各種路線的攻擊，進(jìn)而提高被保護(hù)網(wǎng)絡(luò)的安全性，降低風(fēng)險(xiǎn)。這樣一個(gè)檢查點(diǎn)被稱為阻塞點(diǎn)。這是防火墻所處網(wǎng)絡(luò)位置特性，同時(shí)也是一個(gè)前提。如果沒(méi)有這樣一個(gè)供監(jiān)視和控制信息的點(diǎn)，系統(tǒng)管理員要在大量的地方來(lái)進(jìn)行監(jiān)測(cè)。在某些文獻(xiàn)里，防火墻又被稱為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的單聯(lián)系點(diǎn)。需要注意的是，雖然存在著許多的多接入點(diǎn)網(wǎng)絡(luò)，但是每個(gè)出口也都要有防火墻設(shè)備，因此從邏輯上看，防火墻還是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的唯一聯(lián)系點(diǎn)。防火墻能為我們做什么強(qiáng)化網(wǎng)絡(luò)安全策略，提供集成功能

2

防火墻設(shè)備所處的位置，正好為系統(tǒng)提供了一個(gè)多種安全技術(shù)的集成支撐平臺(tái)。通過(guò)相應(yīng)的配置，可以將多種安全軟件，譬如口令檢查、加密、身份認(rèn)證、審計(jì)等，集中部署在防火墻上。與分散部署方案相比，防火墻的集中安全管理更經(jīng)濟(jì)、更加有效，簡(jiǎn)化了系統(tǒng)管理人員的操作，從而強(qiáng)化了網(wǎng)絡(luò)安全策略的實(shí)行。防火墻能為我們做什么實(shí)現(xiàn)網(wǎng)絡(luò)隔離

3

防火墻將網(wǎng)絡(luò)劃分成內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩個(gè)不同的部分，因此網(wǎng)絡(luò)隔離就成為防火墻的基本功能。防火墻通過(guò)將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相互隔離來(lái)確保內(nèi)部網(wǎng)絡(luò)的安全，同時(shí)限制局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響，降低外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)一些統(tǒng)計(jì)數(shù)據(jù)的探測(cè)能力。限制來(lái)自外部網(wǎng)絡(luò)的訪問(wèn)防火墻基礎(chǔ)功能之一就是限制信息包進(jìn)入網(wǎng)絡(luò)。防火墻針對(duì)每一個(gè)進(jìn)入內(nèi)部網(wǎng)絡(luò)的企圖都要根據(jù)依照安全策略制訂的規(guī)則進(jìn)行過(guò)濾，即授權(quán)檢查。如果該行為屬于系統(tǒng)許可的行為則予以放行，否則將拒絕該連接企圖。防火墻的這種功能實(shí)現(xiàn)了對(duì)系統(tǒng)資源的保護(hù)，防止了針對(duì)機(jī)密信息的泄漏、盜竊和破壞性為。限制網(wǎng)絡(luò)內(nèi)部未經(jīng)授權(quán)的訪問(wèn)傳統(tǒng)防火墻難于覺(jué)察內(nèi)部的攻擊和破壞行為。現(xiàn)代防火墻則加強(qiáng)了對(duì)內(nèi)部訪問(wèn)數(shù)據(jù)的監(jiān)控，主要表現(xiàn)就是一切都嚴(yán)格依照預(yù)先制訂的系統(tǒng)整體安全策略，限制內(nèi)部網(wǎng)絡(luò)未經(jīng)授權(quán)的訪問(wèn)。防火墻能為我們做什么審計(jì)和記錄內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的活動(dòng)

4

由于防火墻處在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相連接的阻塞點(diǎn)，所以它可以對(duì)所有涉及內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)存取與訪問(wèn)的行為進(jìn)行監(jiān)控。當(dāng)防火墻發(fā)現(xiàn)可疑的行為時(shí)，可以進(jìn)行及時(shí)的報(bào)警，并提供網(wǎng)絡(luò)是否受到破壞以及攻擊的詳細(xì)信息。對(duì)于內(nèi)部用戶的誤操作防火墻也將進(jìn)行嚴(yán)格的監(jiān)控，預(yù)防內(nèi)部用戶的破壞行為。此外，防火墻還能進(jìn)行網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)操做。以上提及的防火墻的操作和數(shù)據(jù)都將被詳細(xì)地記錄到日志文件（logfile）中并提交給網(wǎng)絡(luò)管理員進(jìn)行分析和審計(jì)。防火墻的日志文件既記錄正常的網(wǎng)絡(luò)訪問(wèn)行為又記錄非正常的網(wǎng)絡(luò)行為。對(duì)日志文件的分析和審計(jì)可以使管理員清楚地了解防火墻的安全保護(hù)能力和運(yùn)行情況；優(yōu)化防火墻，使其更加有效地工作；準(zhǔn)確地識(shí)別入侵者并采取行之有效的措施；及時(shí)地對(duì)非法行為及其造成的后果做出反應(yīng)；為網(wǎng)絡(luò)的優(yōu)化和建設(shè)提供必要的數(shù)據(jù)支撐。管理員需要關(guān)注的問(wèn)題不是網(wǎng)絡(luò)是否會(huì)受到攻擊，而是網(wǎng)絡(luò)何時(shí)會(huì)受到攻擊。因此要求管理員要及時(shí)地響應(yīng)報(bào)警信息并經(jīng)常性地審查防火墻日志記錄。防火墻能為我們做什么自身具有非常強(qiáng)的抵御攻擊的能力

5

由于防火墻是一個(gè)關(guān)鍵點(diǎn)，所以其自身的安全性就顯得尤為重要。一旦防火墻失效，則內(nèi)部網(wǎng)絡(luò)將完全曝光于外部入侵者的目光之下，網(wǎng)絡(luò)的安全將受到嚴(yán)重的威脅！一般來(lái)說(shuō)，防火墻是一臺(tái)安裝了安全操作系統(tǒng)且服務(wù)受限的堡壘主機(jī)。即防火墻自身的操作系統(tǒng)符合相應(yīng)的軟件安全級(jí)別；除了必要的功能外，防火墻不開(kāi)設(shè)任何多余的端口。這些措施在相當(dāng)程度上增強(qiáng)了防火墻抵御攻擊的能力，但這種安全性也只是相對(duì)的。防火墻本身的一些局限性對(duì)于繞過(guò)防火墻的攻擊，它無(wú)能為力，例如，在防火墻內(nèi)部通過(guò)撥號(hào)出去防火墻不能防止內(nèi)部的攻擊，以及內(nèi)部人員與外部人員的聯(lián)合攻擊(比如，通過(guò)tunnel進(jìn)入)防火墻不能防止被病毒感染的程序或者文件、郵件等防火墻的性能要求9.3

防火墻的類型包過(guò)濾路由器狀態(tài)檢測(cè)防火墻應(yīng)用層網(wǎng)關(guān)電路級(jí)網(wǎng)關(guān)包過(guò)濾路由器基本的思想很簡(jiǎn)單對(duì)于每個(gè)進(jìn)來(lái)的包，適用一組規(guī)則，然后決定轉(zhuǎn)發(fā)或者丟棄該包往往配置成雙向的如何過(guò)濾過(guò)濾的規(guī)則以IP和傳輸層的頭中的域(字段)為基礎(chǔ)，包括源和目標(biāo)IP地址、IP協(xié)議域、源和目標(biāo)端口號(hào)過(guò)濾器往往建立一組規(guī)則，根據(jù)IP包是否匹配規(guī)則中指定的條件來(lái)作出決定。如果匹配到一條規(guī)則，則根據(jù)此規(guī)則決定轉(zhuǎn)發(fā)或者丟棄如果所有規(guī)則都不匹配，則根據(jù)缺省策略數(shù)據(jù)包的過(guò)濾過(guò)濾的原理數(shù)據(jù)傳輸?shù)姆謱优c報(bào)頭的結(jié)構(gòu)物理鏈路層--Networkaccesslayer以太網(wǎng)，F(xiàn)DDI，ATM網(wǎng)絡(luò)層--InternetlayerIP傳輸層--TransportLayerTCPorUDP應(yīng)用層--ApplicationLayerFTP,Telnet,HTTP防火墻的過(guò)濾原理數(shù)據(jù)包的過(guò)濾ApplicationPresentationSessionTransportDataLinkPhysicalDataLinkPhysicalFirewallApplicationPresentationSessionTransportDataLinkPhysicalNetworkNetworkTransport物理層數(shù)據(jù)報(bào)頭的結(jié)構(gòu)物理報(bào)頭：以太網(wǎng)，F(xiàn)DDI，ATM等IP報(bào)頭結(jié)構(gòu)TCP數(shù)據(jù)報(bào)頭過(guò)濾對(duì)象針對(duì)IP協(xié)議的修改

針對(duì)IP協(xié)議的過(guò)濾操作將查看每個(gè)IP數(shù)據(jù)包的包頭，將包頭數(shù)據(jù)與規(guī)則集相比較，轉(zhuǎn)發(fā)規(guī)則集允許的數(shù)據(jù)包，拒絕規(guī)則集不允許的數(shù)據(jù)包。針對(duì)IP協(xié)議的過(guò)濾操作可以設(shè)定對(duì)源IP地址進(jìn)行過(guò)濾。對(duì)于包過(guò)濾技術(shù)來(lái)說(shuō)，有效的辦法是只允許受信任的主機(jī)訪問(wèn)網(wǎng)絡(luò)資源而拒絕一切不可信的主機(jī)的訪問(wèn)。針對(duì)IP協(xié)議的過(guò)濾操作也可以設(shè)定對(duì)目的IP地址進(jìn)行過(guò)濾。這種安全過(guò)濾規(guī)則的設(shè)定多用于保護(hù)目的主機(jī)或網(wǎng)絡(luò)。過(guò)濾對(duì)象針對(duì)ICMP協(xié)議的過(guò)濾

2ICMP協(xié)議在完成網(wǎng)絡(luò)控制與管理操作的同時(shí)也會(huì)泄漏網(wǎng)絡(luò)中的一些重要信息，甚至被攻擊者利用做攻擊用戶網(wǎng)絡(luò)的武器：要設(shè)定過(guò)濾安全策略，阻止類型8回送請(qǐng)求ICMP協(xié)議報(bào)文進(jìn)出用戶網(wǎng)絡(luò)。防止內(nèi)網(wǎng)拓?fù)浣Y(jié)構(gòu)信息泄露。很多攻擊者會(huì)將大量類型8的ICMP協(xié)議報(bào)文發(fā)往用戶網(wǎng)絡(luò)，使得目標(biāo)主機(jī)疲于接收處理這些垃圾數(shù)據(jù)而不能提供正常的服務(wù)，最終造成目標(biāo)主機(jī)的崩潰。攻擊者可利用類型5路由重定向ICMP協(xié)議報(bào)文，采用中間人（maninthemiddle）攻擊的辦法，偽裝成預(yù)期的接收者截獲或篡改正常的數(shù)據(jù)包，也可以將數(shù)據(jù)包導(dǎo)向受其控制的未知網(wǎng)絡(luò)。攻擊者可利用類型3目的不可達(dá)ICMP協(xié)議報(bào)文探知用戶網(wǎng)絡(luò)的敏感信息。對(duì)于ICMP報(bào)文包過(guò)濾器要精心地進(jìn)行設(shè)置，拒絕所有可能會(huì)被攻擊者利用、對(duì)網(wǎng)絡(luò)進(jìn)行破壞的ICMP數(shù)據(jù)包。過(guò)濾對(duì)象針對(duì)TCP協(xié)議的過(guò)濾

針對(duì)TCP協(xié)議的過(guò)濾可設(shè)定對(duì)源或目的端口的過(guò)濾，又稱端口過(guò)濾、協(xié)議過(guò)濾。只要針對(duì)服務(wù)使用的知名端口號(hào)進(jìn)行規(guī)則的設(shè)置，就可以實(shí)現(xiàn)對(duì)特定服務(wù)的控制。另一種針對(duì)TCP協(xié)議的過(guò)濾是對(duì)標(biāo)志位過(guò)濾。最常用的就是針對(duì)SYN和ACK的過(guò)濾。在TCP協(xié)議的連接建立過(guò)程中，報(bào)文頭部的一些標(biāo)志位的變化是需要注意的：當(dāng)連接發(fā)起者發(fā)出連接請(qǐng)求時(shí)，請(qǐng)求報(bào)文SYN位為1而包括ACK位在內(nèi)的其它標(biāo)志位為0。該報(bào)文攜帶發(fā)起者自行選擇的一個(gè)通信初始序號(hào)。若接收者接受該請(qǐng)求，則返回連接應(yīng)答報(bào)文。該報(bào)文的SYN位和ACK位為1。該報(bào)文不但攜帶對(duì)發(fā)起者通信初始序號(hào)的確認(rèn)（加1），而且攜帶接收者自行選擇的另一個(gè)通信初始序號(hào)。若接收者拒絕該請(qǐng)求，則返回報(bào)文RST位要置1。連接發(fā)起者還需要對(duì)接收者自行選擇的通信初始序號(hào)進(jìn)行確認(rèn)，返回該值加1作為希望接收的下一個(gè)報(bào)文的序號(hào)。同時(shí)ACK位置1。除了在連接請(qǐng)求的過(guò)程中，其它時(shí)候SYN位始終為0。結(jié)合三次握手的過(guò)程，只要通過(guò)對(duì)SYN=1的報(bào)文進(jìn)行操作，就可實(shí)現(xiàn)對(duì)連接會(huì)話的控制——拒絕這類報(bào)文，就相當(dāng)于阻斷了通信連接的建立。這就是利用TCP協(xié)議標(biāo)志位進(jìn)行過(guò)濾規(guī)則設(shè)定的基本原理。過(guò)濾對(duì)象針對(duì)TCP協(xié)議的過(guò)濾

針對(duì)IP協(xié)議的過(guò)濾操作還要注意IP數(shù)據(jù)包的分片問(wèn)題。攻擊者可以利用分片技術(shù)構(gòu)造特殊的數(shù)據(jù)包對(duì)網(wǎng)絡(luò)展開(kāi)攻擊。例如Tinyfragment攻擊是指通過(guò)惡意操作，發(fā)送極小的分片來(lái)繞過(guò)包過(guò)濾系統(tǒng)或者入侵檢測(cè)系統(tǒng)的一種攻擊手段。

攻擊者通過(guò)惡意操作，可將TCP報(bào)頭(通常為20字節(jié))分布在2個(gè)分片中，這樣一來(lái)，目的端口號(hào)可以包含在第二個(gè)分片中。

對(duì)于包過(guò)濾設(shè)備或者入侵檢測(cè)系統(tǒng)來(lái)說(shuō)，首先通過(guò)判斷目的端口號(hào)來(lái)采取允許/禁止措施。但是由于通過(guò)惡意分片使目的端口號(hào)位于第二個(gè)分片中，因此包過(guò)濾設(shè)備通過(guò)判斷第一個(gè)分片,決定后續(xù)的分片是否允許通過(guò)。但是這些分片在目標(biāo)主機(jī)上進(jìn)行重組之后將形成各種攻擊。通過(guò)這種方法可以迂回一些入侵檢測(cè)系統(tǒng)及一些安全過(guò)濾系統(tǒng)。目前一些智能的包過(guò)濾設(shè)備直接丟掉報(bào)頭中未包含端口信息的分片。

過(guò)濾對(duì)象針對(duì)UDP協(xié)議的過(guò)濾

UDP協(xié)議與TCP協(xié)議有很大的不同，因?yàn)樗鼈儾捎玫氖遣煌姆?wù)策略。TCP協(xié)議是面向連接的，相鄰報(bào)文之間具有著明顯的關(guān)系，數(shù)據(jù)流內(nèi)部也具有較強(qiáng)的相關(guān)性，因此過(guò)濾規(guī)則的制定比較容易；而UDP協(xié)議是基于無(wú)連接的服務(wù)的，一個(gè)UDP用戶數(shù)據(jù)報(bào)報(bào)文中攜帶了到達(dá)目的地所需的全部信息，不需要返回任何的確認(rèn)，報(bào)文之間的關(guān)系很難確定，因此很難制定相應(yīng)的過(guò)濾規(guī)則。究其根本原因是因?yàn)殪o態(tài)包過(guò)濾技術(shù)只針對(duì)包本身進(jìn)行操作而不記錄通信過(guò)程的上下文，也就無(wú)法從獨(dú)立的UDP用戶數(shù)據(jù)報(bào)中得到必要的信息。對(duì)于UDP協(xié)議，只能是要么阻塞某個(gè)端口，要么聽(tīng)之任之。多數(shù)人傾向于前一種方案，除非有很大的壓力要求允許進(jìn)行UDP傳輸。其實(shí)有效的解決辦法是采用動(dòng)態(tài)包過(guò)濾技術(shù)/狀態(tài)檢測(cè)技術(shù)。安全缺省策略兩種基本策略，或缺省策略沒(méi)有被拒絕的流量都可以通過(guò)管理員必須針對(duì)每一種新出現(xiàn)的攻擊，制定新的規(guī)則沒(méi)有被允許的流量都要拒絕比較保守根據(jù)需要，逐漸開(kāi)放包過(guò)濾路由器示意圖網(wǎng)絡(luò)層鏈路層物理層外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)包過(guò)濾防火墻在網(wǎng)絡(luò)層上進(jìn)行監(jiān)測(cè)并沒(méi)有考慮連接狀態(tài)信息通常在路由器上實(shí)現(xiàn)實(shí)際上是一種網(wǎng)絡(luò)的訪問(wèn)控制機(jī)制優(yōu)點(diǎn)：實(shí)現(xiàn)簡(jiǎn)單對(duì)用戶透明效率高缺點(diǎn)：正確制定規(guī)則并不容易不可能引入認(rèn)證機(jī)制包過(guò)濾防火墻的設(shè)置(1)從內(nèi)往外的telnet服務(wù)clientserver外部?jī)?nèi)部往外包的特性(用戶操作信息)IP源是內(nèi)部地址目標(biāo)地址為serverTCP協(xié)議，目標(biāo)端口23源端口>1023連接的第一個(gè)包ACK=0，其他包ACK=1往內(nèi)包的特性(顯示信息)IP源是server目標(biāo)地址為內(nèi)部地址TCP協(xié)議，源端口23目標(biāo)端口>1023所有往內(nèi)的包都是ACK=1包過(guò)濾防火墻的設(shè)置(2)從外往內(nèi)的telnet服務(wù)clientserver內(nèi)部外部往內(nèi)包的特性(用戶操作信息)IP源是外部地址目標(biāo)地址為本地serverTCP協(xié)議，目標(biāo)端口23源端口>1023連接的第一個(gè)包ACK=0，其他包ACK=1往外包的特性(顯示信息)IP源是本地server目標(biāo)地址為外部地址TCP協(xié)議，源端口23目標(biāo)端口>1023所有往內(nèi)的包都是ACK=1針對(duì)telnet服務(wù)的防火墻規(guī)則*:第一個(gè)ACK=0,其他=1服務(wù)方向包方向源地址目標(biāo)地址包類型源端口目標(biāo)端口ACK往外外內(nèi)部外部TCP>102323*往外內(nèi)外部?jī)?nèi)部TCP23>10231往內(nèi)外外部?jī)?nèi)部TCP>102323*往內(nèi)內(nèi)內(nèi)部外部TCP23>10231PacketFilterRules針對(duì)包過(guò)濾防火墻的攻擊IP地址欺騙，例如，假冒內(nèi)部的IP地址對(duì)策：在外部接口上禁止內(nèi)部地址源路由攻擊，即由源指定路由對(duì)策：禁止這樣的選項(xiàng)小碎片攻擊，利用IP分片功能把TCP頭部切分到不同的分片中對(duì)策：丟棄分片太小的分片利用復(fù)雜協(xié)議和管理員的配置失誤進(jìn)入防火墻例如，利用ftp協(xié)議對(duì)內(nèi)部進(jìn)行探查包過(guò)濾技術(shù)的優(yōu)點(diǎn)

包過(guò)濾技術(shù)實(shí)現(xiàn)簡(jiǎn)單、快速。經(jīng)典的解決方案只需要在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的路由器上安裝過(guò)濾模塊即可。包過(guò)濾技術(shù)的實(shí)現(xiàn)對(duì)用戶是透明的。用戶無(wú)需改變自己的網(wǎng)絡(luò)訪問(wèn)行為模式，也不需要在主機(jī)上安裝任何的客戶端軟件，更不用進(jìn)行任何的培訓(xùn)。包過(guò)濾技術(shù)的檢查規(guī)則相對(duì)簡(jiǎn)單，因此檢查操作耗時(shí)極短，執(zhí)行效率非常高，不會(huì)給用戶網(wǎng)絡(luò)的性能帶來(lái)不利的影響。包過(guò)濾技術(shù)存在的問(wèn)題

包過(guò)濾技術(shù)過(guò)濾思想簡(jiǎn)單，對(duì)信息的處理能力有限。只能訪問(wèn)包頭中的部分信息，不能理解通信的上下文，因此不能提供更安全的網(wǎng)絡(luò)防護(hù)能力。當(dāng)過(guò)濾規(guī)則增多的時(shí)候，對(duì)于過(guò)濾規(guī)則的維護(hù)是一個(gè)非常困難的問(wèn)題。不但要考慮過(guò)濾規(guī)則是否能夠完成安全過(guò)濾任務(wù)，還要考慮規(guī)則之間的關(guān)系防止沖突的發(fā)生。尤其是后一個(gè)問(wèn)題是非常難于解決的。包過(guò)濾技術(shù)控制層次較低，不能實(shí)現(xiàn)用戶級(jí)控制。特別是不能實(shí)現(xiàn)對(duì)用戶合法身份的認(rèn)證以及對(duì)冒用的IP地址的確定。包過(guò)濾技術(shù)存在的問(wèn)題

包過(guò)濾技術(shù)過(guò)濾思想簡(jiǎn)單，對(duì)信息的處理能力有限。只能訪問(wèn)包頭中的部分信息，不能理解通信的上下文，因此不能提供更安全的網(wǎng)絡(luò)防護(hù)能力。包過(guò)濾技術(shù)存在的問(wèn)題黑客可以利用第二條規(guī)則的漏洞，在WWW服務(wù)器上偽造源端口為80的IP包，根據(jù)規(guī)則2，防火墻將不對(duì)來(lái)自www服務(wù)器，源端口為80，目的端口是任意的IP包作檢查，這樣黑客的惡意數(shù)據(jù)包就可以穿越防火墻到達(dá)內(nèi)部主機(jī)客戶端。在這種情況下，黑客可以通過(guò)WWW服務(wù)器來(lái)訪問(wèn)客戶端上任意的Internet服務(wù)。規(guī)則1permit5protocoltcpportanytoport80規(guī)則2permit25.20.l77.5protocoltcpport80tol92.l68.26.55portany5WWW服務(wù)器狀態(tài)檢測(cè)防火墻reviewspacketheaderinformationbutalsokeepsinfoonTCPconnectionstypicallyhavelow,“known”portnoforserverandhigh,dynamicallyassignedclientportnosimplepacketfiltermustallowallreturnhighportnumberedpacketsbackinstatefulinspectionpacketfirewalltightensrulesforTCPtrafficusingadirectoryofTCPconnectionsonlyallowincomingtraffictohigh-numberedportsforpacketsmatchinganentryinthisdirectorymayalsotrackTCPseqnumbersaswell狀態(tài)檢測(cè)技術(shù)2

狀態(tài)的概念1狀態(tài)檢測(cè)技術(shù)基本原理4

狀態(tài)檢測(cè)技術(shù)的優(yōu)缺點(diǎn)3

深度狀態(tài)檢測(cè)本書(shū)的封面狀態(tài)檢測(cè)技術(shù)基本原理

狀態(tài)檢測(cè)技術(shù)根據(jù)連接的“狀態(tài)”進(jìn)行檢查。當(dāng)一個(gè)連接的初始數(shù)據(jù)報(bào)文到達(dá)執(zhí)行狀態(tài)檢測(cè)的防火墻時(shí)，首先要檢查該報(bào)文是否符合安全過(guò)濾規(guī)則的規(guī)定。如果該報(bào)文與規(guī)定相符合，則將該連接的信息記錄下來(lái)并自動(dòng)添加一條允許該連接通過(guò)的過(guò)濾規(guī)則，然后向目的地轉(zhuǎn)發(fā)該報(bào)文。以后凡是屬于該連接的數(shù)據(jù)防火墻一律予以放行，包括從內(nèi)向外的和從外向內(nèi)的雙向數(shù)據(jù)流。在通信結(jié)束、釋放該連接以后，防火墻將自動(dòng)地刪除關(guān)于該連接的過(guò)濾規(guī)則。動(dòng)態(tài)過(guò)濾規(guī)則存儲(chǔ)在連接狀態(tài)表中并由防火墻維護(hù)。為了更好地為用戶提供網(wǎng)絡(luò)服務(wù)以及更精確地執(zhí)行安全過(guò)濾，狀態(tài)檢測(cè)技術(shù)往往需要察看網(wǎng)絡(luò)層和應(yīng)用層的信息，但主要還是在傳輸層上工作。狀態(tài)的概念TCP協(xié)議及狀態(tài)

1UDP協(xié)議及狀態(tài)

2ICMP協(xié)議及狀態(tài)

3狀態(tài)的概念TCP協(xié)議及狀態(tài)

1TCP協(xié)議是一個(gè)面向連接的協(xié)議，對(duì)于通信過(guò)程各個(gè)階段的狀態(tài)都有很明確的定義，并可以通過(guò)TCP協(xié)議的標(biāo)志位進(jìn)行跟蹤。

TCP協(xié)議共有11個(gè)狀態(tài)，這些狀態(tài)標(biāo)識(shí)由RFC793定義，分別為：CLOSED、LISTEN、SYN-SENT、SYN-RECEIVED、ESTABLISHED、FIN-WAIT-1、CLOSE-WAIT、FIN-WAIT-2、LAST-ACK、TIME-WAIT、CLOSING。以上述狀態(tài)為基礎(chǔ)，結(jié)合相應(yīng)的標(biāo)志位信息，再加上通信雙方的IP地址和端口號(hào)，即可很容易地建立TCP協(xié)議的狀態(tài)連接表項(xiàng)并進(jìn)行精確地跟蹤監(jiān)控。當(dāng)TCP連接結(jié)束后，應(yīng)從狀態(tài)連接表中刪除相關(guān)表項(xiàng)。為了防止無(wú)效表項(xiàng)長(zhǎng)期存在于連接狀態(tài)表中給攻擊者提供進(jìn)行重放攻擊的機(jī)會(huì)，可以將連接建立階段的超時(shí)參數(shù)設(shè)置得較短，而連接維持階段的超時(shí)參數(shù)設(shè)置得較長(zhǎng)。最后連接釋放階段的超時(shí)參數(shù)也要設(shè)置得較短。狀態(tài)的概念TCP協(xié)議及狀態(tài)

1狀態(tài)的概念狀態(tài)檢測(cè)的流程1

首先需要建立好規(guī)則，通常此時(shí)規(guī)則需要指明網(wǎng)絡(luò)連接的方向，即是進(jìn)還是出，然后在客戶端打開(kāi)IE向某個(gè)網(wǎng)站請(qǐng)求WEB頁(yè)面，當(dāng)數(shù)據(jù)包到達(dá)防火墻時(shí)，狀態(tài)檢測(cè)引擎會(huì)檢測(cè)到這是一個(gè)發(fā)起連接的初始數(shù)據(jù)包(由SYN標(biāo)志)，然后就會(huì)把這個(gè)數(shù)據(jù)包中的信息與防火墻規(guī)則做比較，如果沒(méi)有相應(yīng)規(guī)則允許，防火墻就會(huì)拒絕這次連接。當(dāng)然在這里它會(huì)發(fā)現(xiàn)有一條規(guī)則允許訪問(wèn)外部WEB服務(wù)，于是允許數(shù)據(jù)包外出并且在狀態(tài)表中新建一條會(huì)話，通常這條會(huì)話會(huì)包括此連接的源地址、源端口、目標(biāo)地址、目標(biāo)端口、連接時(shí)間等信息，對(duì)于TCP連接，它還應(yīng)該會(huì)包含序列號(hào)和標(biāo)志位等信息。當(dāng)后續(xù)數(shù)據(jù)包到達(dá)時(shí)，如果這個(gè)數(shù)據(jù)包不含SYN標(biāo)志，也就是說(shuō)這個(gè)數(shù)據(jù)包不是發(fā)起一個(gè)新的連接時(shí)，狀態(tài)檢測(cè)引擎就會(huì)直接把它的信息與狀態(tài)表中的會(huì)話條目進(jìn)行比較，如果信息匹配，就直接允許數(shù)據(jù)包通過(guò)，這樣不再去接受規(guī)則的檢查，提高了效率，如果信息不匹配，數(shù)據(jù)包就會(huì)被丟棄或連接被拒絕，并且每個(gè)會(huì)話還有一個(gè)超時(shí)值，過(guò)了這個(gè)時(shí)間，相應(yīng)會(huì)話條目就會(huì)被從狀態(tài)表中刪除掉。狀態(tài)檢測(cè)的流程2500100036:80:3000TCPACKSYN目的地址源地址協(xié)議內(nèi)部網(wǎng)絡(luò)4匹配ACL和會(huì)話狀態(tài)會(huì)話狀態(tài)主機(jī)B36Internet32狀態(tài)檢查訪問(wèn)控制列表原理圖11、當(dāng)一個(gè)內(nèi)部主機(jī)與一個(gè)外部主機(jī)建立連接時(shí)，首先發(fā)送一個(gè)TCPSYN包或UDP數(shù)據(jù)包，包含目的IP、端口號(hào)，源IP和端口號(hào)2、當(dāng)內(nèi)部主機(jī)發(fā)送的數(shù)據(jù)包通過(guò)狀態(tài)檢查包過(guò)濾防火墻時(shí)，防火墻將在他的狀態(tài)表中建立一條狀態(tài)信息規(guī)則，然后將數(shù)據(jù)包發(fā)送到外部網(wǎng)絡(luò)上3、外部主機(jī)返回請(qǐng)求響應(yīng)時(shí)，防火墻從狀態(tài)表中查找是否存在相應(yīng)規(guī)則4、如果尋找到匹配的狀態(tài)信息，就讓該數(shù)據(jù)包通過(guò)，否則數(shù)據(jù)包被放棄，因?yàn)樗皇莾?nèi)部的請(qǐng)求當(dāng)會(huì)話關(guān)閉或一段延遲后，防火墻就將相應(yīng)的狀態(tài)信息規(guī)則從狀態(tài)表中刪除，保證了放棄的連接不會(huì)在狀態(tài)表中留下漏洞TCP狀態(tài)檢測(cè)

所謂Tinyfragment攻擊是指通過(guò)惡意操作，發(fā)送極小的分片來(lái)繞過(guò)包過(guò)濾系統(tǒng)或者入侵檢測(cè)系統(tǒng)的一種攻擊手段。

。攻擊者通過(guò)惡意操作，可將TCP報(bào)頭(通常為20字節(jié))分布在2個(gè)分片中，這樣一來(lái)，目的端口號(hào)可以包含在第二個(gè)分片中。對(duì)于包過(guò)濾設(shè)備或者入侵檢測(cè)系統(tǒng)來(lái)說(shuō)，首先通過(guò)判斷目的端口號(hào)來(lái)采取允許/禁止措施。但是由于通過(guò)惡意分片使目的端口號(hào)位于第二個(gè)分片中，因此包過(guò)濾設(shè)備通過(guò)判斷第一個(gè)分片,決定后續(xù)的分片是否允許通過(guò)。但是這些分片在目標(biāo)主機(jī)上進(jìn)行重組之后將形成各種攻擊。通過(guò)這種方法可以迂回一些入侵檢測(cè)系統(tǒng)及一些安全過(guò)濾系統(tǒng)。目前一些智能的包過(guò)濾設(shè)備直接丟掉報(bào)頭中未包含端口信息的分片。TCP協(xié)議及狀態(tài)

1狀態(tài)的概念UDP協(xié)議及狀態(tài)

2UDP協(xié)議與TCP協(xié)議有很大的不同，它是一種無(wú)連接的協(xié)議，其狀態(tài)很難進(jìn)行定義和跟蹤。通常的做法是將某個(gè)基于UDP協(xié)議的會(huì)話的所有數(shù)據(jù)報(bào)文看作是一條UDP連接，并在這個(gè)連接的基礎(chǔ)之上定義該會(huì)話的偽狀態(tài)信息。偽狀態(tài)信息主要由源IP地址、目的IP地址、源端口號(hào)以及目的端口號(hào)構(gòu)成。雙向的數(shù)據(jù)流源信息和目的信息正好相反。由于UDP協(xié)議是無(wú)連接的，所以無(wú)法定義連接的結(jié)束狀態(tài)，只能是設(shè)定一個(gè)不長(zhǎng)的超時(shí)參數(shù)，在超時(shí)到來(lái)的時(shí)候從狀態(tài)連接表中刪除該UDP連接信息。此外，UDP協(xié)議對(duì)于通信中的錯(cuò)誤無(wú)法進(jìn)行處理，需要通過(guò)ICMP協(xié)議報(bào)文傳遞差錯(cuò)控制信息。這就要求狀態(tài)檢測(cè)機(jī)制必須能夠從ICMP報(bào)文中提取通信地址和端口等信息來(lái)確定它與UDP連接的關(guān)聯(lián)性，判斷它到底屬于哪一個(gè)UDP連接，然后再采取相應(yīng)的過(guò)濾措施。這種ICMP報(bào)文的狀態(tài)屬性通常被定義為RELATED。狀態(tài)的概念I(lǐng)CMP協(xié)議及狀態(tài)

3ICMP協(xié)議是無(wú)連接的協(xié)議，還具有單向性的特點(diǎn)。在ICMP協(xié)議的13種類型中，有4對(duì)類型的報(bào)文具有對(duì)稱的特性，即屬于請(qǐng)求/響應(yīng)的形式。這4對(duì)類型的ICMP報(bào)文分別是回送請(qǐng)求/回送應(yīng)答、信息請(qǐng)求/信息應(yīng)答、時(shí)間戳請(qǐng)求/時(shí)間戳回復(fù)和地址掩碼請(qǐng)求/地址掩碼回復(fù)。其它類型的報(bào)文都不是對(duì)稱的，而是由主機(jī)或節(jié)點(diǎn)設(shè)備直接發(fā)出的，無(wú)法預(yù)先確定報(bào)文的發(fā)出時(shí)間和地點(diǎn)。因此，ICMP協(xié)議的狀態(tài)和連接的定義要比UDP協(xié)議更難。

ICMP協(xié)議的狀態(tài)和連接的建立、維護(hù)與刪除與UDP協(xié)議類似。但是在建立的過(guò)程中不是簡(jiǎn)單地只通過(guò)IP地址來(lái)判別連接屬性。ICMP協(xié)議的狀態(tài)和連接需要考慮ICMP報(bào)文的類型和代碼字段的含義，甚至還要提取ICMP報(bào)文的內(nèi)容來(lái)決定其到底與哪一個(gè)已有連接相關(guān)。其維護(hù)和刪除過(guò)程一是通過(guò)設(shè)定超時(shí)計(jì)時(shí)器來(lái)完成，二是按照部分類型的ICMP報(bào)文的對(duì)稱性來(lái)完成。當(dāng)屬于同一連接的ICMP報(bào)文完成請(qǐng)求——應(yīng)答過(guò)程后，即可將其從狀態(tài)連接表中刪除。

深度狀態(tài)檢測(cè)

深度狀態(tài)檢測(cè)技術(shù)能夠很好地實(shí)現(xiàn)對(duì)TCP協(xié)議的順序號(hào)進(jìn)行檢測(cè)的功能，通過(guò)對(duì)TCP報(bào)文的順序號(hào)字段的跟蹤監(jiān)測(cè)報(bào)文的變化，防止攻擊者利用已經(jīng)處理的報(bào)文的順序號(hào)進(jìn)行重放攻擊。對(duì)于FTP協(xié)議，深度狀態(tài)檢測(cè)機(jī)制可以深入到報(bào)文的應(yīng)用層部分來(lái)獲取FTP協(xié)議的命令參數(shù)，從而進(jìn)行狀態(tài)規(guī)則的配置。其中最主要的，F(xiàn)TP協(xié)議連接端口的選擇具有隨機(jī)的特點(diǎn)。深度狀態(tài)檢測(cè)機(jī)制可以分析應(yīng)用層的命令數(shù)據(jù)，找出其中的端口號(hào)等信息，從而精確地決定打開(kāi)哪些端口。與FTP協(xié)議類似的協(xié)議由很多，譬如RTSP、H.323等。深度狀態(tài)檢測(cè)機(jī)制都可以對(duì)它們的連接建立報(bào)文的應(yīng)用層數(shù)據(jù)進(jìn)行分析來(lái)決定相關(guān)的轉(zhuǎn)發(fā)端口等信息，因此具有部分的應(yīng)用層信息過(guò)濾功能。狀態(tài)檢測(cè)技術(shù)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)1缺點(diǎn)2狀態(tài)檢測(cè)技術(shù)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)1

安全性比靜態(tài)包過(guò)濾技術(shù)高。狀態(tài)檢測(cè)機(jī)制可以區(qū)分連接的發(fā)起方與接收方；可以通過(guò)狀態(tài)分析阻斷更多的復(fù)雜攻擊行為；可以通過(guò)分析打開(kāi)相應(yīng)的端口而不是“一刀切”，要么全打開(kāi)要么全不打開(kāi)。與靜態(tài)包過(guò)濾技術(shù)相比，提升了防火墻的性能。狀態(tài)檢測(cè)機(jī)制對(duì)連接的初始報(bào)文進(jìn)行詳細(xì)檢查，而對(duì)后續(xù)報(bào)文不需要進(jìn)行相同的動(dòng)作，只需快速通過(guò)即可。狀態(tài)檢測(cè)技術(shù)的優(yōu)缺點(diǎn)缺點(diǎn)2

主要工作在網(wǎng)絡(luò)層和傳輸層，對(duì)報(bào)文的數(shù)據(jù)部分檢查很少，安全性還不夠高。檢查內(nèi)容多，對(duì)防火墻的性能提出了更高的要求。全狀態(tài)檢測(cè)(StatefulInspection)ApplicationPresentationSessionTransportDataLinkPhysicalDataLinkPhysicalApplicationPresentationSessionTransportDataLinkPhysicalNetworkNetworkNetworkPresentationSessionTransportEngineINSPECTApplicationDynamicStateTables代理技術(shù)2

代理技術(shù)的具體作用1

代理技術(shù)概述4

代理技術(shù)的優(yōu)缺點(diǎn)3

代理技術(shù)的種類本書(shū)的封面代理技術(shù)概述

代理代碼

2代理的執(zhí)行1代理技術(shù)與包過(guò)濾技術(shù)的安全性比較4代理服務(wù)器的部署與實(shí)現(xiàn)

3代理技術(shù)的具體應(yīng)用隱藏內(nèi)部主機(jī)

1

代理服務(wù)器的作用之一隱藏內(nèi)部網(wǎng)絡(luò)中的主機(jī)。由于有代理服務(wù)器的存在，所以外部主機(jī)無(wú)法直接連接到內(nèi)部主機(jī)。它只能看到代理服務(wù)器，因此只能連接到代理服務(wù)器上。這種特性是十分重要的，因?yàn)橥獠坑脩魺o(wú)法進(jìn)行針對(duì)內(nèi)部網(wǎng)絡(luò)的探測(cè)，也就無(wú)法對(duì)內(nèi)部網(wǎng)絡(luò)上的主機(jī)發(fā)起攻擊。代理服務(wù)器在應(yīng)用層對(duì)數(shù)據(jù)包進(jìn)行更改，以自己的身份向目的地重新發(fā)出請(qǐng)求，徹底改變了數(shù)據(jù)包的訪問(wèn)特性。代理技術(shù)概述代理的執(zhí)行1

代理的執(zhí)行分為兩種情況：一種情況是代理服務(wù)器監(jiān)聽(tīng)來(lái)自內(nèi)部網(wǎng)絡(luò)的服務(wù)請(qǐng)求。當(dāng)請(qǐng)求到達(dá)代理服務(wù)器時(shí)按照安全策略對(duì)數(shù)據(jù)包中的首部和數(shù)據(jù)部分信息進(jìn)行檢查。通過(guò)檢查后，代理服務(wù)器將請(qǐng)求的源地址改成自己的地址再轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)的目標(biāo)主機(jī)上。外部主機(jī)收到的請(qǐng)求將顯示為來(lái)自代理服務(wù)器而不是源內(nèi)部主機(jī)。代理服務(wù)器在收到外部主機(jī)的應(yīng)答時(shí)，首先要按照安全策略檢查包的首部和數(shù)據(jù)部分的內(nèi)容是否符合安全要求。通過(guò)檢查后，代理服務(wù)器將數(shù)據(jù)包的目的地址改為內(nèi)部源主機(jī)的IP地址，然后將應(yīng)答數(shù)據(jù)轉(zhuǎn)發(fā)至該內(nèi)部源主機(jī)。另外一種情況是內(nèi)部主機(jī)只接收代理服務(wù)器轉(zhuǎn)發(fā)的信息而不接收任何外部地址主機(jī)發(fā)來(lái)的信息。這個(gè)時(shí)候外部主機(jī)只能將信息發(fā)送至代理服務(wù)器，由代理服務(wù)器轉(zhuǎn)發(fā)至內(nèi)部網(wǎng)絡(luò)，相當(dāng)于代理服務(wù)器對(duì)外部網(wǎng)絡(luò)執(zhí)行代理操作。具體來(lái)說(shuō)，所有發(fā)往內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包都要經(jīng)過(guò)代理服務(wù)器的安全檢查，通過(guò)后將源IP地址改為代理服務(wù)器的IP地址，然后這些數(shù)據(jù)包才能被代理服務(wù)器轉(zhuǎn)發(fā)至內(nèi)部網(wǎng)絡(luò)中的目標(biāo)主機(jī)。代理服務(wù)器負(fù)責(zé)監(jiān)控整個(gè)的通信過(guò)程以保證通信過(guò)程的安全性。代理技術(shù)概述代理代碼2

代理服務(wù)器的作用之一隱藏內(nèi)部網(wǎng)絡(luò)中的主機(jī)。由于有代理服務(wù)器的存在，所以外部主機(jī)無(wú)法直接連接到內(nèi)部主機(jī)。它只能看到代理服務(wù)器，因此只能連接到代理服務(wù)器上。這種特性是十分重要的，因?yàn)橥獠坑脩魺o(wú)法進(jìn)行針對(duì)內(nèi)部網(wǎng)絡(luò)的探測(cè)，也就無(wú)法對(duì)內(nèi)部網(wǎng)絡(luò)上的主機(jī)發(fā)起攻擊。代理服務(wù)器在應(yīng)用層對(duì)數(shù)據(jù)包進(jìn)行更改，以自己的身份向目的地重新發(fā)出請(qǐng)求，徹底改變了數(shù)據(jù)包的訪問(wèn)特性。代理技術(shù)概述代理服務(wù)器的部署與實(shí)現(xiàn)

3

代理服務(wù)器通常安裝在堡壘主機(jī)或者雙宿主網(wǎng)關(guān)上。如果將代理服務(wù)器程序安裝在堡壘主機(jī)上，則可能采取不同的部署與實(shí)現(xiàn)結(jié)構(gòu)。比如說(shuō)采用屏蔽主機(jī)或者屏蔽子網(wǎng)方案，將堡壘主機(jī)置于過(guò)濾路由器之后。這樣堡壘主機(jī)還可以獲得過(guò)濾路由器提供的、額外的保護(hù)。缺點(diǎn)則是如果過(guò)濾路由器被攻陷，則數(shù)據(jù)將旁路安裝代理服務(wù)器程序的堡壘主機(jī)，即代理服務(wù)器將不起作用。代理技術(shù)概述代理技術(shù)與包過(guò)濾技術(shù)的安全性比較

4

相對(duì)于包過(guò)濾技術(shù)而言，代理技術(shù)能夠?yàn)橛脩籼峁└叩陌踩燃?jí)：代理服務(wù)器不僅掃描數(shù)據(jù)包頭部的各個(gè)字段，還要深入到包的內(nèi)部，理解數(shù)據(jù)包載荷部分內(nèi)容的含義。這可為安全檢測(cè)和日志記錄提供詳細(xì)的信息。包過(guò)濾技術(shù)采用的是基于包頭信息的過(guò)濾機(jī)制，很難與代理技術(shù)相提并論。對(duì)于外網(wǎng)來(lái)說(shuō)，只能見(jiàn)到代理服務(wù)器而不能看見(jiàn)內(nèi)網(wǎng)；對(duì)于內(nèi)網(wǎng)來(lái)說(shuō)，也只能看見(jiàn)代理服務(wù)器而看不見(jiàn)外網(wǎng)。實(shí)現(xiàn)了網(wǎng)絡(luò)隔離，降低了用戶網(wǎng)絡(luò)受到直接攻擊的風(fēng)險(xiǎn)。而且對(duì)外網(wǎng)隱藏了內(nèi)網(wǎng)的結(jié)構(gòu)以及用戶，進(jìn)一步降低了用戶網(wǎng)絡(luò)遭受探測(cè)的風(fēng)險(xiǎn)。而包過(guò)濾技術(shù)在網(wǎng)絡(luò)隔離和預(yù)防探測(cè)方面做的不是很好。包過(guò)濾技術(shù)通常由路由器實(shí)現(xiàn)。若過(guò)濾機(jī)制被破壞，則內(nèi)網(wǎng)將毫無(wú)遮攔地直接與外網(wǎng)接觸。將不可避免地出現(xiàn)網(wǎng)絡(luò)攻擊和信息泄露的現(xiàn)象。而代理服務(wù)器要是損壞的話，只能是內(nèi)網(wǎng)與外網(wǎng)的連接中斷，但無(wú)法出現(xiàn)網(wǎng)絡(luò)攻擊和信息泄漏的現(xiàn)象。從這個(gè)角度看，代理技術(shù)比包過(guò)濾技術(shù)安全。代理技術(shù)的具體應(yīng)用過(guò)濾內(nèi)容2隱藏內(nèi)部主機(jī)

1保障安全

4提高系統(tǒng)性能

3保護(hù)電子郵件

6阻斷URL

5信息重定向

8身份認(rèn)證

7代理技術(shù)的具體應(yīng)用隱藏內(nèi)部主機(jī)

1

代理服務(wù)器的作用之一隱藏內(nèi)部網(wǎng)絡(luò)中的主機(jī)。由于有代理服務(wù)器的存在，所以外部主機(jī)無(wú)法直接連接到內(nèi)部主機(jī)。它只能看到代理服務(wù)器，因此只能連接到代理服務(wù)器上。這種特性是十分重要的，因?yàn)橥獠坑脩魺o(wú)法進(jìn)行針對(duì)內(nèi)部網(wǎng)絡(luò)的探測(cè)，也就無(wú)法對(duì)內(nèi)部網(wǎng)絡(luò)上的主機(jī)發(fā)起攻擊。代理服務(wù)器在應(yīng)用層對(duì)數(shù)據(jù)包進(jìn)行更改，以自己的身份向目的地重新發(fā)出請(qǐng)求，徹底改變了數(shù)據(jù)包的訪問(wèn)特性。代理技術(shù)的具體應(yīng)用過(guò)濾內(nèi)容2

在應(yīng)用層進(jìn)行檢查的另一個(gè)重要的作用是可以掃描數(shù)據(jù)包的內(nèi)容。這些內(nèi)容可能包含敏感的或者被嚴(yán)格禁止流出用戶網(wǎng)絡(luò)的信息，以及一些容易引起安全威脅的數(shù)據(jù)。后者包括不安全的Javaapplet小程序、ActiveX控件以及電子郵件中的附件等等。而這些內(nèi)容是包過(guò)濾技術(shù)無(wú)法控制的。支持內(nèi)容的掃描是代理技術(shù)與其它安全技術(shù)的一個(gè)重要區(qū)別。代理技術(shù)的具體應(yīng)用提高系統(tǒng)性能

3

雖然從訪問(wèn)控制的角度考慮，代理服務(wù)器因?yàn)閳?zhí)行了很細(xì)致的過(guò)濾功能而加大了網(wǎng)絡(luò)訪問(wèn)的延遲。但是它身處網(wǎng)絡(luò)服務(wù)的最高層，可以綜合利用緩存等多種手段優(yōu)化對(duì)網(wǎng)絡(luò)的訪問(wèn)，由此還進(jìn)一步減少了因?yàn)榫W(wǎng)絡(luò)訪問(wèn)產(chǎn)生的系統(tǒng)負(fù)載。因此，精心配置的代理技術(shù)可以提高系統(tǒng)的整體性能。代理技術(shù)的具體應(yīng)用保障安全

4

安全性的保障不僅僅指過(guò)濾功能的強(qiáng)大，還包括對(duì)過(guò)往數(shù)據(jù)日志的詳細(xì)分析和審計(jì)。這是因?yàn)閺倪@些數(shù)據(jù)中能夠發(fā)現(xiàn)過(guò)濾功能難以發(fā)現(xiàn)的攻擊行為序列，可以及時(shí)地提醒管理人員采取必要的安全保護(hù)措施；還可以對(duì)網(wǎng)絡(luò)訪問(wèn)量進(jìn)行統(tǒng)計(jì)進(jìn)而優(yōu)化網(wǎng)絡(luò)訪問(wèn)的規(guī)則，為用戶提供更好的服務(wù)。代理技術(shù)處于網(wǎng)絡(luò)協(xié)議的最高層，可以為日志的分析和審計(jì)提供最詳盡的信息，由此提高了網(wǎng)絡(luò)的安全性。代理技術(shù)的具體應(yīng)用阻斷URL

5

在代理服務(wù)器上可以實(shí)現(xiàn)針對(duì)特定網(wǎng)址及其服務(wù)器的阻斷，以實(shí)現(xiàn)阻止內(nèi)部用戶瀏覽不符合組織或機(jī)構(gòu)安全策略的網(wǎng)站內(nèi)容。代理技術(shù)的具體應(yīng)用保護(hù)電子郵件

6

電子郵件系統(tǒng)是互聯(lián)網(wǎng)最重要的信息交互系統(tǒng)之一，但是它的開(kāi)放性特點(diǎn)使得它非常脆弱，而且由于安全性較弱所以經(jīng)常被攻擊者做為網(wǎng)絡(luò)攻擊的重要途徑。代理服務(wù)器可以實(shí)現(xiàn)對(duì)重要的內(nèi)部郵件服務(wù)器的保護(hù)。通過(guò)郵件代理對(duì)郵件信息的重組與轉(zhuǎn)發(fā)，使得內(nèi)部郵件服務(wù)器不與外部網(wǎng)絡(luò)發(fā)生直接的聯(lián)系，從而達(dá)到保護(hù)的目的。代理技術(shù)的具體應(yīng)用身份認(rèn)證

7

代理技術(shù)能夠?qū)崿F(xiàn)包過(guò)濾技術(shù)無(wú)法實(shí)現(xiàn)的身份認(rèn)證功能。將身份認(rèn)證技術(shù)融合進(jìn)安全過(guò)濾功能中能夠大幅度提高用戶的安全性。支持身份認(rèn)證技術(shù)是現(xiàn)代防火墻的一個(gè)重要特征。具體的方式有傳統(tǒng)的用戶賬號(hào)/口令、基于密碼技術(shù)的挑戰(zhàn)/響應(yīng)等等。代理技術(shù)的具體應(yīng)用信息重定向

8

代理技術(shù)從本質(zhì)上是一種信息的重定向技術(shù)。這是因?yàn)樗梢愿鶕?jù)用戶網(wǎng)絡(luò)的安全需要改變數(shù)據(jù)包的源或目的地址，將數(shù)據(jù)包導(dǎo)引到符合系統(tǒng)需要的地方去。這在基于HTTP協(xié)議的多WWW服務(wù)器應(yīng)用領(lǐng)域中尤為重要。在這種環(huán)境下，代理服務(wù)器起到負(fù)載分配器和負(fù)載平衡器的作用。代理技術(shù)的種類應(yīng)用層網(wǎng)關(guān)1電路級(jí)網(wǎng)關(guān)2代理技術(shù)的種類應(yīng)用層網(wǎng)關(guān)1

應(yīng)用層網(wǎng)關(guān)能夠在應(yīng)用層截獲進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包，運(yùn)行代理服務(wù)器程序來(lái)轉(zhuǎn)發(fā)信息。它能夠避免內(nèi)部主機(jī)與外部不可信網(wǎng)絡(luò)之間的直接連接。它僅接收、過(guò)濾和轉(zhuǎn)發(fā)特定服務(wù)的數(shù)據(jù)包。對(duì)于那些沒(méi)有在應(yīng)用層網(wǎng)關(guān)上安裝代理的服務(wù)來(lái)說(shuō)，將無(wú)法進(jìn)行網(wǎng)絡(luò)訪問(wèn)。它對(duì)數(shù)據(jù)包進(jìn)行深度過(guò)濾，檢查行為一直深入到網(wǎng)絡(luò)協(xié)議的應(yīng)用層。它的缺點(diǎn)是對(duì)每一種服務(wù)都要開(kāi)發(fā)一種專用的代理代碼，實(shí)現(xiàn)麻煩，不及時(shí)，而且缺乏透明性。其優(yōu)點(diǎn)是配置簡(jiǎn)單、安全性高、還能支持很多應(yīng)用。下圖為應(yīng)用層網(wǎng)關(guān)實(shí)現(xiàn)HTTP協(xié)議代理的示意圖：代理技術(shù)的種類電路級(jí)網(wǎng)關(guān)2

電路級(jí)網(wǎng)關(guān)工作在會(huì)話層?？勺鳛榉?wù)器接收并轉(zhuǎn)發(fā)外部請(qǐng)求，與內(nèi)部主機(jī)連接時(shí)則起代理客戶機(jī)的作用。它使用自己獨(dú)立的網(wǎng)絡(luò)協(xié)議棧完成TCP的連接而不使用操作系統(tǒng)的協(xié)議棧，因此可以監(jiān)視主機(jī)建立連接時(shí)的各種數(shù)據(jù)是否合乎邏輯、會(huì)話請(qǐng)求是否合法。一旦連接建立，則只負(fù)責(zé)數(shù)據(jù)的轉(zhuǎn)發(fā)而不進(jìn)行過(guò)濾。用戶需要改變自己的客戶端程序來(lái)建立與電路級(jí)網(wǎng)關(guān)的通信通道，只有這樣才能到達(dá)防火墻另一邊的服務(wù)器。下圖為電路級(jí)網(wǎng)關(guān)示意圖：應(yīng)用層網(wǎng)關(guān)也稱為代理服務(wù)器特點(diǎn)所有的連接都通過(guò)防火墻，防火墻作為網(wǎng)關(guān)在應(yīng)用層上實(shí)現(xiàn)可以監(jiān)視包的內(nèi)容可以實(shí)現(xiàn)基于用戶的認(rèn)證所有的應(yīng)用需要單獨(dú)實(shí)現(xiàn)可以提供理想的日志功能非常安全，但是開(kāi)銷比較大應(yīng)用層網(wǎng)關(guān)的結(jié)構(gòu)示意圖應(yīng)用層網(wǎng)關(guān)的協(xié)議棧結(jié)構(gòu)HTTPFTPTelnetSmtp傳輸層網(wǎng)絡(luò)層鏈路層應(yīng)用層網(wǎng)關(guān)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)允許用戶“直接”訪問(wèn)Internet易于記錄日志缺點(diǎn)新的服務(wù)不能及時(shí)地被代理每個(gè)被代理的服務(wù)都要求專門的代理軟件客戶軟件需要修改，重新編譯或者配置有些服務(wù)要求建立直接連接，無(wú)法使用代理比如聊天服務(wù)、或者即時(shí)消息服務(wù)代理服務(wù)不能避免協(xié)議本身的缺陷或者限制應(yīng)用層網(wǎng)關(guān)實(shí)現(xiàn)編寫(xiě)代理軟件代理軟件一方面是服務(wù)器軟件但是它所提供的服務(wù)可以是簡(jiǎn)單的轉(zhuǎn)發(fā)功能另一方面也是客戶軟件對(duì)于外面真正的服務(wù)器來(lái)說(shuō)，是客戶軟件針對(duì)每一個(gè)服務(wù)都需要編寫(xiě)模塊或者單獨(dú)的程序?qū)崿F(xiàn)一個(gè)標(biāo)準(zhǔn)的框架，以容納各種不同類型的服務(wù)軟件實(shí)現(xiàn)的可擴(kuò)展性和可重用性客戶軟件軟件需要定制或者改寫(xiě)對(duì)于最終用戶的透明性？協(xié)議對(duì)于應(yīng)用層網(wǎng)關(guān)的處理協(xié)議設(shè)計(jì)時(shí)考慮到中間代理的存在，特別是在考慮安全性，比如數(shù)據(jù)完整性的時(shí)候應(yīng)用層網(wǎng)關(guān)——代理服務(wù)器發(fā)展方向——智能代理不僅僅完成基本的代理訪問(wèn)功能還可以實(shí)現(xiàn)其他的附加功能，比如對(duì)于內(nèi)容的自適應(yīng)剪裁增加計(jì)費(fèi)功能提供數(shù)據(jù)緩沖服務(wù)兩個(gè)代理服務(wù)器的實(shí)現(xiàn)例子MSP–MicrosoftProxyServersquidMicrosoftProxyServer2.0一個(gè)功能強(qiáng)大的代理服務(wù)器提供常用的Internet服務(wù)除了基本的WebProxy，還有SocksProxy和WinsockProxy強(qiáng)大的cache和log功能對(duì)于軟硬件的要求比較低安裝管理簡(jiǎn)單與NT/2000集成的認(rèn)證機(jī)制擴(kuò)展的一些功能反向proxy:proxy作為Internet上的一個(gè)Webserver反向hosting，以虛擬WebServer的方式為后面的WebServer獨(dú)立地發(fā)布到Internet上安全報(bào)警MicrosoftProxyServerv2管理示意圖squid關(guān)于squid是一個(gè)功能全面的WebProxyCache可以運(yùn)行在各種UNIX版本上是一個(gè)自由軟件，而且源碼開(kāi)放功能強(qiáng)大，除了http協(xié)議之外，還支持許多其它的協(xié)議，如ftp、ssl、DNS等代理服務(wù)管理和配置/usr/local/squid

/etc/squid.conf默認(rèn)端口3128一種使用方案Linux+Squid電路級(jí)網(wǎng)關(guān)電路級(jí)網(wǎng)關(guān)本質(zhì)上，也是一種代理服務(wù)器有狀態(tài)的包過(guò)濾器動(dòng)態(tài)包過(guò)濾器狀態(tài)上下文環(huán)境流狀態(tài)認(rèn)證和授權(quán)方案例子：sockssocks專門設(shè)計(jì)用于防火墻在應(yīng)用層和傳輸層之間墊了一層Sockslib和socksserver不支持ICMPSocksv4和socksv5基于用戶的認(rèn)證方案對(duì)UDP的支持正在普及和流行可以參考有關(guān)的RFCsocks應(yīng)用傳輸層網(wǎng)絡(luò)層鏈路層clientSocksserverpolicyserverSocksv5在socksv4的基礎(chǔ)上發(fā)展起來(lái)Socksv4支持基于TCP的應(yīng)用穿越防火墻Socksv5增加了對(duì)于UDP協(xié)議的支持Socksv5增加了對(duì)于認(rèn)證方案的支持Socksv5支持IPv6地址Socks要求修改客戶程序，鏈接到sockslibrary，以便socksified首先連接到socksserver，然后再同目標(biāo)服務(wù)器連接對(duì)于UDP協(xié)議，首先同socksserver建立一個(gè)TCP連接，然后再傳送UDP數(shù)據(jù)TCP客戶的處理過(guò)程客戶首先與socksserver建立一個(gè)TCP連接，通常SOCKS端口為1080然后客戶與服務(wù)器協(xié)商認(rèn)證方案然后進(jìn)行認(rèn)證過(guò)程認(rèn)證完成之后客戶發(fā)出請(qǐng)求服務(wù)器送回應(yīng)答一旦服務(wù)器應(yīng)答指示成功，客戶就可以傳送數(shù)據(jù)了UDP客戶的處理過(guò)程請(qǐng)求命令為“UDPassociate”客戶->UDPrelayserver->目標(biāo)機(jī)器每一個(gè)UDP包包含一個(gè)UDP請(qǐng)求頭UDPpacket+-----+--------+-------+--------------+-------------+-----------+|RSV|FRAG|ATYP|DST.ADDR|DST.PORT|DATA|+-----+--------+-------+--------------+-------------+-----------+|2|1|1|Variable|2|Variable|+-----+--------+-------+--------------+-------------+-----------+FRAG:currentfragmentnumber電路層網(wǎng)關(guān)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)效率高精細(xì)控制，可以在應(yīng)用層上授權(quán)為一般的應(yīng)用提供了一個(gè)框架缺點(diǎn)客戶程序需要修改動(dòng)態(tài)鏈接庫(kù)？廣州大學(xué)929.4防火墻的布置防火墻的配置幾個(gè)概念堡壘主機(jī)(BastionHost)：對(duì)外部網(wǎng)絡(luò)暴露，同時(shí)也是內(nèi)部網(wǎng)絡(luò)用戶的主要連接點(diǎn)雙宿主主機(jī)(dual-homedhost)：至少有兩個(gè)網(wǎng)絡(luò)接口的通用計(jì)算機(jī)系統(tǒng)DMZ(DemilitarizedZone，非軍事區(qū)或者?；饏^(qū))：在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間增加的一個(gè)子網(wǎng)堡壘主機(jī)定義：堡壘主機(jī)由一臺(tái)計(jì)算機(jī)擔(dān)當(dāng)，并擁有兩塊或者多塊網(wǎng)卡分別連接各內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)。作用：隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，為內(nèi)部網(wǎng)絡(luò)設(shè)立一個(gè)檢查點(diǎn)，對(duì)所有進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行過(guò)濾，集中解決內(nèi)部網(wǎng)絡(luò)的安全問(wèn)題。設(shè)計(jì)原則：最小服務(wù)原則、預(yù)防原則。類型：內(nèi)部堡壘主機(jī)、外部堡壘主機(jī)、犧牲主機(jī)。系統(tǒng)需求：強(qiáng)健性、可用性、可擴(kuò)展性、易用性。服務(wù)：堡壘主機(jī)一般要設(shè)置用戶網(wǎng)絡(luò)所需的網(wǎng)絡(luò)服務(wù)，并且還要設(shè)置對(duì)外提供的網(wǎng)絡(luò)服務(wù)。分為無(wú)風(fēng)險(xiǎn)服務(wù)、低風(fēng)險(xiǎn)服務(wù)、高風(fēng)險(xiǎn)服務(wù)和禁用的服務(wù)4個(gè)級(jí)別。部署位置：堡壘主機(jī)的位置問(wèn)題是事關(guān)堡壘主機(jī)和內(nèi)部網(wǎng)絡(luò)的安全性的重要問(wèn)題。堡壘主機(jī)criticalstrongpointinnetworkhostsapplication/circuit-levelgatewayscommoncharacteristics:runssecureO/S,onlyessentialservicesmayrequireuserauthtoaccessproxyorhosteachproxycanrestrictfeatures,hostsaccessedeachproxysmall,simple,checkedforsecurityeachproxyisindependent,non-privilegedlimiteddiskuse,henceread-onlycode基于主機(jī)的防火墻usedt