版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
第8章防火墻技術(shù)清華大學(xué)出版社主編賈鐵軍副主編俞小怡羅宜元侯麗波編著常艷宋少婷高等院校計(jì)算機(jī)與信息類規(guī)劃教材網(wǎng)絡(luò)安全實(shí)用技術(shù)上海市精品課程特色教材上海高校優(yōu)秀教材獎(jiǎng)主編(第2版)目錄8.2防火墻類型28.3防火墻體系結(jié)構(gòu)38.4防火墻的主要應(yīng)用4
8.1網(wǎng)絡(luò)安全概述1
8.5智能防火墻概述58.6實(shí)驗(yàn)八防火墻的配置實(shí)驗(yàn)
6目錄教學(xué)目標(biāo)●掌握防火墻的概念和功能●了解防火墻的主要分類與體系結(jié)構(gòu)●理解典型防火墻系統(tǒng)設(shè)計(jì)
●了解內(nèi)外部防火墻的設(shè)計(jì)●掌握智能防火墻防范DDOS攻擊的方法重點(diǎn)重點(diǎn)
防火墻是指在兩個(gè)網(wǎng)絡(luò)之間加強(qiáng)訪問(wèn)控制的一整套裝置,即防火墻是構(gòu)造在一個(gè)可信網(wǎng)絡(luò)(一般指內(nèi)部網(wǎng))和不可信網(wǎng)絡(luò)(一般指外部網(wǎng))之間的保護(hù)裝置,強(qiáng)制所有的訪問(wèn)和連接都必須經(jīng)過(guò)這個(gè)保護(hù)層,并在此進(jìn)行連接和安全檢查。只有合法的數(shù)據(jù)包才能通過(guò)此保護(hù)層,從而保護(hù)內(nèi)部網(wǎng)資源免遭非法入侵。
8.1防火墻概述
現(xiàn)代網(wǎng)絡(luò)安全服務(wù)一般有兩種:一是存取控制,禁止非法通信和連網(wǎng);二是通信安全服務(wù),提供授權(quán)數(shù)據(jù)的完整性、可靠性,具有對(duì)同級(jí)通信者的訪問(wèn)否定權(quán)。當(dāng)用戶連上Internet,就可在中間插入中介系統(tǒng)的控制關(guān)聯(lián),防止通過(guò)網(wǎng)絡(luò)進(jìn)行的攻擊,并提供單一的安全和審計(jì)的安裝控制點(diǎn),中間系統(tǒng)就是防火墻.
網(wǎng)絡(luò)安全技術(shù)包括傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)和分布式網(wǎng)絡(luò)安全技術(shù),主要解決如何利用Internet進(jìn)行安全通信,保護(hù)內(nèi)網(wǎng)免受外部攻擊.8.1防火墻概述8.1防火墻概述8.1.1防火墻的概念
防火墻(FireWall)是指一種放置在本地的計(jì)算機(jī)與外界網(wǎng)絡(luò)之間的系統(tǒng),從網(wǎng)絡(luò)發(fā)往計(jì)算機(jī)的所有數(shù)據(jù)都要經(jīng)過(guò)其判斷處理后,才會(huì)決定能不能把這些數(shù)據(jù)交給計(jì)算機(jī),一旦發(fā)現(xiàn)有害數(shù)據(jù),防火墻就會(huì)攔截下來(lái),從而實(shí)現(xiàn)了對(duì)計(jì)算機(jī)的保護(hù)功能。網(wǎng)絡(luò)防火墻的部署結(jié)構(gòu)如圖8-1所示。
8.1防火墻概述8.1.2防火墻的功能1.過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù),強(qiáng)化安全策略。防火墻是信息進(jìn)出網(wǎng)絡(luò)的必經(jīng)之路,它可以檢測(cè)所有經(jīng)過(guò)數(shù)據(jù)的細(xì)節(jié),并根據(jù)事先定義好的策略允許或禁止這些數(shù)據(jù)的通過(guò)。此外,可以將某些安全軟件(如口令、加密、身份認(rèn)證、審計(jì)等)配置在防火墻上,以實(shí)現(xiàn)更好的安全策略。
2.管理和控制進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為。只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能夠通過(guò)防火墻,這樣網(wǎng)絡(luò)環(huán)境變得更安全。比如防火墻可以禁止NFS協(xié)議進(jìn)出受保護(hù)的網(wǎng)絡(luò),這樣外部攻擊者就不能夠利用協(xié)議的脆弱性攻擊內(nèi)部網(wǎng)絡(luò)。8.1防火墻概述3.
對(duì)不安全的服務(wù)進(jìn)行限制和攔截,盡可能不暴露內(nèi)部網(wǎng)絡(luò)。通過(guò)隔離內(nèi)、外網(wǎng)絡(luò),可以防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò),并能有效防止郵件炸彈、蠕蟲(chóng)病毒、宏病毒的攻擊。4.記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)。因?yàn)閮?nèi)、外網(wǎng)絡(luò)之間的數(shù)據(jù)包必須經(jīng)過(guò)防火墻,所以防火墻能對(duì)這些數(shù)據(jù)包進(jìn)行記錄并寫(xiě)進(jìn)日志系統(tǒng),同時(shí)可對(duì)使用情況進(jìn)行數(shù)據(jù)統(tǒng)計(jì)。5.對(duì)網(wǎng)絡(luò)攻擊檢測(cè)和告警。當(dāng)受保護(hù)的網(wǎng)絡(luò)遭受可疑訪問(wèn)時(shí),防火墻能進(jìn)行適當(dāng)報(bào)警,并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。8.1防火墻概述8.1.3防火墻的特性與相關(guān)術(shù)語(yǔ)。1.內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過(guò)防火墻。這是防火墻所處網(wǎng)絡(luò)位置特性,同時(shí)也是一個(gè)前提。因?yàn)橹挥挟?dāng)防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通信的唯一通道,才可以全面、有效地保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)不受侵害。2.只有符合安全策略的數(shù)據(jù)流才能通過(guò)防火墻。防火墻最基本的功能是確保網(wǎng)絡(luò)流量的合法性,并在此前提下將網(wǎng)絡(luò)的流量快速地從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。防火墻將網(wǎng)絡(luò)流量通過(guò)相應(yīng)的網(wǎng)絡(luò)接口接收上來(lái),按照協(xié)議棧的層次結(jié)構(gòu)順序上傳,在適當(dāng)?shù)膮f(xié)議層進(jìn)行訪問(wèn)規(guī)則和安全審查,然后將符合通過(guò)條件的報(bào)文從相應(yīng)的網(wǎng)絡(luò)接口送出,而對(duì)于那些不符合通過(guò)條件的報(bào)文則予以阻斷。8.1防火墻概述8.1.3防火墻的特性與相關(guān)術(shù)語(yǔ)。3.防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊能力。這是防火墻之所以能擔(dān)當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護(hù)重任的先決條件。防火墻處于網(wǎng)絡(luò)邊緣,它就像一個(gè)邊界衛(wèi)士一樣,每時(shí)每刻都要面對(duì)黑客的入侵,這樣就要求防火墻自身要具有非常強(qiáng)的抗擊入侵的能力。其中防火墻操作系統(tǒng)本身的安全性是關(guān)鍵。其次就是防火墻自身具有非常少的服務(wù)功能,除了專門的防火墻嵌入系統(tǒng)外,再?zèng)]有其它應(yīng)用程序在防火墻上運(yùn)行。8.1防火墻概述8.1.3防火墻的特性與相關(guān)術(shù)語(yǔ)。與防火墻有關(guān)的術(shù)語(yǔ)1.網(wǎng)關(guān)。網(wǎng)關(guān)是在兩上設(shè)備之間提供轉(zhuǎn)發(fā)服務(wù)的系統(tǒng)。網(wǎng)關(guān)的范圍可以從互聯(lián)網(wǎng)應(yīng)用程序,如公共網(wǎng)關(guān)接口(CGI),到在兩臺(tái)主機(jī)間處理流量的防火墻網(wǎng)關(guān)。根據(jù)工作位置范圍,網(wǎng)關(guān)又可劃分為電路級(jí)網(wǎng)關(guān)和應(yīng)用級(jí)網(wǎng)關(guān):1電路級(jí)網(wǎng)關(guān):電路級(jí)網(wǎng)關(guān)是用來(lái)監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的TCP握手信息,這樣來(lái)決定該會(huì)話是否合法,在OSI模型中會(huì)話層上過(guò)濾數(shù)據(jù)包,這樣比包過(guò)濾防火墻要高兩層。另外,電路級(jí)網(wǎng)關(guān)還提供一個(gè)重要的安全功能:網(wǎng)絡(luò)地址轉(zhuǎn)移(NAT)將所有公司內(nèi)部的IP地址映射到一個(gè)“安全”的IP地址,這個(gè)地址是由防火墻使用的。8.1防火墻概述8.1.3防火墻的特性與相關(guān)術(shù)語(yǔ)。2.應(yīng)用級(jí)網(wǎng)關(guān):工作在OSI七層模型的任一層上,能夠檢查進(jìn)出的數(shù)據(jù)包,通過(guò)網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù),防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。應(yīng)用級(jí)網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議,能夠做復(fù)雜一些的訪問(wèn)控制,并做精細(xì)的注冊(cè)。通常是在特殊的服務(wù)器上安裝軟件來(lái)實(shí)現(xiàn)的。2包過(guò)濾包過(guò)濾是處理網(wǎng)絡(luò)上基于逐包packet-by-packet流量的設(shè)備。包過(guò)濾設(shè)備允許或阻止包,典型的實(shí)施方法是通過(guò)標(biāo)準(zhǔn)的路由器進(jìn)行包過(guò)濾。8.1防火墻概述8.1.3防火墻的特性與相關(guān)術(shù)語(yǔ)。3代理服務(wù)器代理服務(wù)器代表內(nèi)部客戶端與外部的服務(wù)器通信。代理服務(wù)器這個(gè)術(shù)語(yǔ)通常是指一個(gè)應(yīng)用級(jí)的網(wǎng)關(guān),雖然電路級(jí)網(wǎng)關(guān)也可作為代理服務(wù)器的一種。4網(wǎng)絡(luò)地址翻譯(NAT)網(wǎng)絡(luò)地址轉(zhuǎn)換是對(duì)Internet隱藏內(nèi)部地址,防止內(nèi)部地址公開(kāi)。這一功能可以克服IP尋址方式的諸多限制,完善內(nèi)部尋址模式。把未注冊(cè)IP地址映射成合法地址,就可以對(duì)Internet進(jìn)行訪問(wèn)。8.1防火墻概述8.1.3防火墻的特性與相關(guān)術(shù)語(yǔ)。5堡壘主機(jī)堡壘主機(jī)是一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī),被暴露于因特網(wǎng)之上,作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn),以達(dá)到把整個(gè)網(wǎng)絡(luò)的安全問(wèn)題集中在某個(gè)主機(jī)上解決,從而省時(shí)省力,不用考慮其它主機(jī)的安全的目的。6強(qiáng)化操作系統(tǒng)防火墻要求盡可能只配置必需的少量的服務(wù)。為了加強(qiáng)操作系統(tǒng)的穩(wěn)固性,防火墻安裝程序要禁止或刪除所有不需要的服務(wù)。多數(shù)的防火墻產(chǎn)品,都可以在目前較流行的操作系統(tǒng)上運(yùn)行。理論上來(lái)講,讓操作系統(tǒng)只提供最基本的功能,可以使利用系統(tǒng)Bug來(lái)攻擊的方法非常困難。最后,當(dāng)加強(qiáng)系統(tǒng)時(shí),還要考慮到除了TCP/IP協(xié)議外不要把任何協(xié)議綁定到外部網(wǎng)卡上。8.1防火墻概述8.1.3防火墻的特性與相關(guān)術(shù)語(yǔ)。7篩選路由器篩選路由器的另一個(gè)術(shù)語(yǔ)是包過(guò)濾路由器或外部路由器并且至少有一個(gè)接口是連向公網(wǎng)的,如Internet。它是對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析,并按照一定的安全策略——信息過(guò)濾規(guī)則對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行篩選,允許授權(quán)信息通過(guò),拒絕非授權(quán)信息通過(guò)。信息過(guò)濾規(guī)則是以其所收到的數(shù)據(jù)包頭信息為基礎(chǔ)的。采用這種技術(shù)的防火墻優(yōu)點(diǎn)在于速度快、實(shí)現(xiàn)方便,但安全性能差,且由于不同操作系統(tǒng)環(huán)境下TCP和UDP端口號(hào)所代表的應(yīng)用服務(wù)協(xié)議類型有所不同,故兼容性差。8阻塞路由器阻塞路由器(也叫內(nèi)部路由器)保護(hù)內(nèi)部的網(wǎng)絡(luò)使之免受Internet和周邊網(wǎng)的侵犯。內(nèi)部路由器為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過(guò)濾工作。它允許從內(nèi)部網(wǎng)絡(luò)到Internet的有選擇的出站服務(wù)。這些服務(wù)是用戶的站點(diǎn)能使用數(shù)據(jù)包過(guò)濾而不是代理服務(wù)安全支持和安全提供的服務(wù)。8.1防火墻概述8.1.3防火墻的特性與相關(guān)術(shù)語(yǔ)。9非軍事化區(qū)域(DMZ)DMZ是一個(gè)小型網(wǎng)絡(luò)隔離帶,存在于公司的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。這個(gè)網(wǎng)絡(luò)由篩選路由器建立,有時(shí)是一個(gè)阻塞路由器。DMZ用來(lái)作為一個(gè)額外的緩沖區(qū)以進(jìn)一步隔離公網(wǎng)和內(nèi)部私有網(wǎng)絡(luò)。DMZ另一個(gè)名字叫做ServiceNetwork,因?yàn)樗浅7奖?。這種實(shí)施的缺點(diǎn)在于存在于DMZ區(qū)域的任何服務(wù)器都不會(huì)得到防火墻的完全保護(hù)。8.1防火墻概述8.1.4防火墻的主要缺陷1無(wú)法消滅攻擊源互聯(lián)網(wǎng)上病毒、木馬、惡意試探等等造成的攻擊行為絡(luò)繹不絕。設(shè)置得當(dāng)?shù)姆阑饓δ軌蜃钃跛鼈?,但是無(wú)法清除攻擊源。即使防火墻進(jìn)行了良好的設(shè)置,使得攻擊無(wú)法穿透防火墻,但各種攻擊仍然會(huì)源源不斷地向防火墻發(fā)出嘗試。例如接主干網(wǎng)1000M網(wǎng)絡(luò)帶寬的某站點(diǎn),其日常流量中平均有10M左右是攻擊行為。那么,即使成功設(shè)置了防火墻后,這10M的攻擊流量依然不會(huì)有絲毫減少。2.無(wú)法防御病毒攻擊計(jì)算機(jī)病毒攻擊的方式多種多樣,大多數(shù)病毒都是根據(jù)系統(tǒng)存在的漏洞進(jìn)行攻擊,對(duì)于這種攻擊,防火墻經(jīng)常是無(wú)能為力的。在內(nèi)部網(wǎng)絡(luò)用戶下載外網(wǎng)的帶毒文件的時(shí)候,防火墻無(wú)能為力。8.1防火墻概述8.1.4防火墻的主要缺陷3無(wú)法阻止內(nèi)部攻擊“外緊內(nèi)松”是一般局域網(wǎng)絡(luò)的特點(diǎn)。在一道嚴(yán)密防守的防火墻背后,內(nèi)部網(wǎng)絡(luò)一片混亂也很有可能。比如,外部攻擊者通過(guò)社會(huì)工程學(xué)發(fā)送帶木馬的郵件、帶木馬的URL等方式在內(nèi)部主機(jī)上注入木馬,然后由中木馬的機(jī)器主動(dòng)對(duì)攻擊者連接,可以將鐵壁一樣的防火墻瞬間破壞掉。另外,防火墻無(wú)法防御內(nèi)部各主機(jī)間的攻擊行為。4.自身設(shè)計(jì)漏洞不管是硬件防火墻還是軟件防火墻,都會(huì)出現(xiàn)軟/硬件方面的故障,也存在或多或少設(shè)計(jì)上的漏洞,不法分子就可能利用這些設(shè)計(jì)漏洞,繞過(guò)防火墻,對(duì)系統(tǒng)進(jìn)行攻擊。8.1防火墻概述8.1.4防火墻的主要缺陷5影響相關(guān)服務(wù)通常為了達(dá)到信息安全,人們關(guān)閉了很多不必要的服務(wù)。但是這些服務(wù)也有很多是很常用的,關(guān)閉了它們之后,人們對(duì)網(wǎng)絡(luò)的易用性顯然會(huì)受到影響。8.2防火墻的類型8.2.1按物理特性劃分1軟件防火墻軟件防火墻是一種安裝在負(fù)責(zé)內(nèi)外網(wǎng)絡(luò)轉(zhuǎn)換的網(wǎng)關(guān)服務(wù)器或者獨(dú)立的個(gè)人計(jì)算機(jī)上的特殊程序,它是以邏輯形式存在的,防火墻程序跟隨系統(tǒng)啟動(dòng),通過(guò)運(yùn)行在Ring0級(jí)別的特殊驅(qū)動(dòng)模塊把防御機(jī)制插入系統(tǒng)關(guān)于網(wǎng)絡(luò)的處理部分和網(wǎng)絡(luò)接口設(shè)備驅(qū)動(dòng)之間,形成一種邏輯上的防御體系。2硬件防火墻硬件防火墻是是針對(duì)芯片級(jí)防火墻而言的,最大的差別在于基于專用的硬件平臺(tái)。目前市場(chǎng)上大多數(shù)防火墻都是這種所謂的硬件防火墻,都基于PC架構(gòu),就是說(shuō),它們和普通的家庭用的PC沒(méi)有太大區(qū)別。8.2防火墻的類型8.2.1按物理特性劃分3.軟硬件防火墻
軟硬件結(jié)合防火墻很容易與硬件防火墻混淆,其基本結(jié)構(gòu)是機(jī)箱+CPU+防火墻軟件集成于一體(PC-BOX結(jié)構(gòu)),其采用通用或?qū)S?通常為通用操作系統(tǒng)的定制版本)操作系統(tǒng),但核心技術(shù)仍然為軟件,安全性在很大程度上取決于操作系統(tǒng)和所實(shí)現(xiàn)的網(wǎng)絡(luò)協(xié)議棧的安全性。雖然軟硬件結(jié)合防火墻的速度和性能優(yōu)于軟件防火墻,其安全性還是不夠理想,通常用于小型網(wǎng)絡(luò)。這種方式實(shí)現(xiàn)內(nèi)容過(guò)濾與軟件防火墻十分相似,性能不佳,在骨干網(wǎng)中通常需要布置大量硬件設(shè)備進(jìn)行分流處理,成本高。8.2防火墻的類型8.2.2按過(guò)濾機(jī)制劃分包過(guò)濾技術(shù)——網(wǎng)絡(luò)級(jí)防火墻包過(guò)濾防火墻工作在網(wǎng)絡(luò)層,通過(guò)檢查單個(gè)包的地址、協(xié)議、端口等信息決定是否允許此數(shù)據(jù)包通過(guò)。路由器就是一個(gè)傳統(tǒng)的網(wǎng)絡(luò)級(jí)防火墻。包過(guò)濾防火墻檢查規(guī)則表中的每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符,如果沒(méi)有一條能符合,就會(huì)使用默認(rèn)規(guī)則,一般情況下,默認(rèn)規(guī)則就是要求防火墻丟棄該包。圖8-2包過(guò)濾防火墻8.2防火墻的類型8.2.2按過(guò)濾機(jī)制劃分使用包過(guò)濾防火墻的主要優(yōu)點(diǎn)包括:1防火墻對(duì)每條傳入和傳出網(wǎng)絡(luò)的包實(shí)行低水平控制。2每個(gè)IP包的字段都被檢查,例如源地址、目的地址、協(xié)議、端口等。3防火墻可以識(shí)別和丟棄帶欺騙性源IP地址的包。4包過(guò)濾防火墻是兩個(gè)網(wǎng)絡(luò)之間訪問(wèn)的唯一來(lái)源。因?yàn)樗械耐ㄐ疟仨毻ㄟ^(guò)防火墻,繞過(guò)是困難的。5包過(guò)濾通常被包含在路由器數(shù)據(jù)包中,所以不必額外的系統(tǒng)來(lái)處理這個(gè)特征。8.2防火墻的類型8.2.2按過(guò)濾機(jī)制劃分第一代靜態(tài)包過(guò)濾類型防火墻圖8-3第一代靜態(tài)包過(guò)濾防火墻的數(shù)據(jù)通路8.2防火墻的類型8.2.2按過(guò)濾機(jī)制劃分第二代動(dòng)態(tài)包過(guò)濾類型防火墻。這類防火墻采用動(dòng)態(tài)設(shè)置包過(guò)濾規(guī)則的方法,避免了靜態(tài)包過(guò)濾所具有的問(wèn)題。這種技術(shù)后來(lái)發(fā)展成為包狀態(tài)監(jiān)測(cè)(StatefulInspection)技術(shù)。采用這種技術(shù)的防火墻對(duì)通過(guò)其建立的每一個(gè)連接都進(jìn)行跟蹤,并且根據(jù)需要可動(dòng)態(tài)地在過(guò)濾規(guī)則中增加或更新條目,圖8-4第二代靜態(tài)包過(guò)濾防火墻的數(shù)據(jù)通路8.2防火墻的類型8.2.2按過(guò)濾機(jī)制劃分應(yīng)用代理技術(shù)——應(yīng)用網(wǎng)關(guān)防火墻
應(yīng)用級(jí)網(wǎng)關(guān)防火墻的別名是代理服務(wù)器,有較好的訪問(wèn)控制,是目前最安全的防火墻技術(shù),對(duì)用戶是不透明的。
代理服務(wù)器通常運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間,對(duì)于客戶來(lái)說(shuō)是象是一臺(tái)真的服務(wù)器一樣,而對(duì)于外界的服務(wù)器來(lái)說(shuō),又是一臺(tái)客戶機(jī)。
代理服務(wù)器都通常擁有一個(gè)高速緩存,這個(gè)緩存存儲(chǔ)有用戶經(jīng)常訪問(wèn)站點(diǎn)的內(nèi)容,在下一個(gè)用戶要訪問(wèn)同樣的站點(diǎn)時(shí),服務(wù)器就用不著重復(fù)地去抓同樣的內(nèi)容,既節(jié)約了時(shí)間也節(jié)約了網(wǎng)絡(luò)資源。代理服務(wù)器會(huì)象一堵真的墻那樣擋在內(nèi)部用戶和外界之間,從外面只能看到代理服務(wù)器而看不到任何的內(nèi)部資源,諸如用戶的IP等。應(yīng)用級(jí)網(wǎng)關(guān)比單一的包過(guò)濾更為可靠,而且會(huì)詳細(xì)地記錄下所有的訪問(wèn)記錄。但是應(yīng)用級(jí)網(wǎng)關(guān)的訪問(wèn)速度慢,因?yàn)樗辉试S用戶直接訪問(wèn)網(wǎng)絡(luò)。而且應(yīng)用級(jí)網(wǎng)關(guān)需要對(duì)每一個(gè)特定的互聯(lián)網(wǎng)服務(wù)安裝相應(yīng)的代理服務(wù)軟件,用戶不能使用未被服務(wù)器支持的服務(wù),效率不如網(wǎng)絡(luò)級(jí)防火墻。8.2防火墻的類型8.2.2按過(guò)濾機(jī)制劃分應(yīng)用代理技術(shù)——應(yīng)用網(wǎng)關(guān)防火墻
8.2防火墻的類型8.2.2按過(guò)濾機(jī)制劃分狀態(tài)檢測(cè)技術(shù)——?jiǎng)討B(tài)包過(guò)濾“狀態(tài)檢測(cè)”技術(shù)是繼“包過(guò)濾”技術(shù)和“應(yīng)用代理”技術(shù)后發(fā)展的防火墻技術(shù),狀態(tài)檢測(cè)最早由checkpoint公司提出。對(duì)新建的應(yīng)用連接,狀態(tài)檢測(cè)檢查預(yù)先設(shè)置的安全規(guī)則,允許符合規(guī)則的連接通過(guò),并在內(nèi)存中記錄下該連接的相關(guān)信息,生成狀態(tài)表。對(duì)該連接的后續(xù)數(shù)據(jù)包,只要符合狀態(tài)表就可以通過(guò)。傳統(tǒng)的包過(guò)濾在遇到利用動(dòng)態(tài)端口的協(xié)議時(shí)會(huì)發(fā)生困難,如FTP,防火墻事先無(wú)法知道哪些端口需要打開(kāi),而如果采用原始的靜態(tài)包過(guò)濾,又希望用到此服務(wù)的話,就需要實(shí)現(xiàn)將所有可能用到的端口打開(kāi),而這往往是個(gè)非常大的范圍,會(huì)給安全帶來(lái)不必要的隱患。而狀態(tài)檢測(cè)通過(guò)檢查應(yīng)用程序信息(如FTP的PORT和PASS命令),來(lái)判斷此端口是否允許需要臨時(shí)打開(kāi),而當(dāng)傳輸結(jié)束時(shí),端口又馬上恢復(fù)為關(guān)閉狀態(tài)。
8.2防火墻的類型8.2.3 按處理能力劃分目前,按處理能力可劃分為百兆防火墻、千兆防火墻及萬(wàn)兆防火墻。一般來(lái)說(shuō),軟件防火墻和軟硬件結(jié)合防火墻的處理能力可以在百兆以上,但是達(dá)不到千兆,硬件防火墻可以達(dá)到千兆以上。隨著網(wǎng)絡(luò)帶寬的不斷增加,軟件防火墻和軟硬件結(jié)合防火墻的使用空間越來(lái)越小,硬件防火墻是適應(yīng)未來(lái)網(wǎng)絡(luò)安全發(fā)展的有效手段。目前很多千兆硬件防火墻產(chǎn)品標(biāo)稱有內(nèi)容過(guò)濾能力,但一般或者是可選模塊,啟用后會(huì)明顯降低防火墻性能;或者是只能過(guò)濾特定的字段,如URL過(guò)濾,并且隨模式數(shù)量的增大性能呈指數(shù)下降。
8.2防火墻的類型8.2.4 按部署方式劃分按部署方式可劃分為終端(單機(jī))防火墻和網(wǎng)絡(luò)防火墻。終端防火墻產(chǎn)品絕大多數(shù)是軟件產(chǎn)品,目前也有一些高端網(wǎng)卡具有一定的防火墻處理能力,終端防火墻由于數(shù)據(jù)量小通常不需要很高的處理能力,內(nèi)容過(guò)濾實(shí)現(xiàn)相對(duì)容易,但需要在每個(gè)終端都部署,成本相對(duì)較高,并且不利于集中式管理。網(wǎng)絡(luò)防火墻本質(zhì)上是一個(gè)網(wǎng)絡(luò)交換設(shè)備,需要很強(qiáng)的處理能力和轉(zhuǎn)發(fā)能力,并且自身的安全性要求非常高,增加內(nèi)容過(guò)濾無(wú)疑會(huì)帶來(lái)性能的降低,這也是目前防火墻研究的熱點(diǎn),采用合理的機(jī)制將性能降低控制在可以接受的范圍內(nèi)。
8.3防火墻體系結(jié)構(gòu)8.3.1屏蔽路由器防火墻體系結(jié)構(gòu)主要有四種:·屏蔽路由器·雙宿主主機(jī)網(wǎng)關(guān);·被屏蔽主機(jī)網(wǎng)關(guān);·被屏蔽子網(wǎng)。圖8-5屏蔽路由器圖8-6雙宿主機(jī)網(wǎng)關(guān)圖8-7被屏蔽主機(jī)網(wǎng)關(guān)圖8-8被屏蔽子網(wǎng)8.3防火墻體系結(jié)構(gòu)8.3.1屏蔽路由器屏蔽路由器是一個(gè)具有數(shù)據(jù)包過(guò)濾功能的路由器,既可以是一個(gè)硬件設(shè)備,也可以是一臺(tái)主機(jī)。路由器上安裝有IP層的包過(guò)濾軟件,可以進(jìn)行簡(jiǎn)單的數(shù)據(jù)包過(guò)濾。因?yàn)槁酚善魇鞘鼙Wo(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)連接的必然通道,所以屏蔽路由器的使用范圍很廣。其缺點(diǎn)也很明顯,一旦屏蔽路由器的包過(guò)濾功能失效,受保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)就可進(jìn)行任何數(shù)據(jù)通信。圖8-5屏蔽路由器8.3防火墻體系結(jié)構(gòu)8.3.2雙重宿主主機(jī)網(wǎng)關(guān)
雙重宿主主機(jī)網(wǎng)關(guān)是圍繞具有雙重宿主的主機(jī)計(jì)算機(jī)而構(gòu)筑的,該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口。這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器;能夠從一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。實(shí)現(xiàn)雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送功能。所以IP數(shù)據(jù)包從一個(gè)網(wǎng)絡(luò)并不是直接發(fā)送到其它網(wǎng)絡(luò)。防火墻內(nèi)部的系統(tǒng)能與雙重宿主主機(jī)通信,同時(shí)防火墻外部的系統(tǒng)能與雙重宿主主機(jī)通信,但是這些系統(tǒng)不能直接互相通信。它們之間的IP通信被完全阻止。
雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)是相當(dāng)簡(jiǎn)單的:雙重宿主主機(jī)位于兩者之間,并且被連接到因特網(wǎng)和內(nèi)部的網(wǎng)絡(luò)。在雙重宿體主機(jī)體系中應(yīng)用最廣泛的是雙穴主機(jī)網(wǎng)關(guān),這種網(wǎng)關(guān)是用一臺(tái)裝有兩塊網(wǎng)卡的堡壘主機(jī)做防火墻。兩塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連。堡壘主機(jī)上運(yùn)行著防火墻軟件,可以轉(zhuǎn)發(fā)應(yīng)用程序,提供服務(wù)等。
8.3防火墻體系結(jié)構(gòu)8.3.2雙重宿主主機(jī)網(wǎng)關(guān)8.3防火墻體系結(jié)構(gòu)8.3.3屏蔽主機(jī)網(wǎng)關(guān)
屏蔽主機(jī)網(wǎng)關(guān)使用一個(gè)單獨(dú)的路由器提供來(lái)自僅僅與內(nèi)部的網(wǎng)絡(luò)相連的主機(jī)的服務(wù)。在這種體系結(jié)構(gòu)中,主要的安全由數(shù)據(jù)包過(guò)濾。在屏蔽的路由器上的數(shù)據(jù)包過(guò)濾是按這樣一種方法設(shè)置,即堡壘主機(jī)是因特網(wǎng)上的主機(jī)能連接到內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)的橋梁。僅有某些確定類型的連接被允許。任何外部的系統(tǒng)試圖訪問(wèn)內(nèi)部的系統(tǒng)或者服務(wù)將必須連接到這臺(tái)堡壘主機(jī)上。堡壘主機(jī)需要擁有高等級(jí)的安全。在屏蔽路由器中數(shù)據(jù)包過(guò)濾配置的可選方案如下:允許其它的內(nèi)部主機(jī)為了某些服務(wù)與因特網(wǎng)上的主機(jī)連接。不允許來(lái)自內(nèi)部主機(jī)的所有連接。用戶可以針對(duì)不同的服務(wù)混合使用上述手段;某些服務(wù)可以被允許直接經(jīng)由數(shù)據(jù)包過(guò)濾,而其它服務(wù)可以被允許僅僅間接地經(jīng)過(guò)代理。這完全取決于用戶實(shí)行的安全策略。圖8-7雙宿主機(jī)網(wǎng)關(guān)8.3防火墻體系結(jié)構(gòu)8.3.3屏蔽主機(jī)網(wǎng)關(guān)
8.3防火墻體系結(jié)構(gòu)8.3.4被屏蔽子網(wǎng)被屏蔽子網(wǎng)添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu),即通過(guò)添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與Internet隔離開(kāi)。堡壘主機(jī)是用戶的網(wǎng)絡(luò)上最容易受侵襲的機(jī)器。任憑用戶盡最大的力氣去保護(hù)它,仍是最有可能被侵襲的機(jī)器,本質(zhì)上是能夠被侵襲的機(jī)器。如果在屏蔽主機(jī)體系結(jié)構(gòu)中,用戶的內(nèi)部網(wǎng)絡(luò)對(duì)來(lái)自用戶的堡壘主機(jī)的侵襲門戶洞開(kāi),那么用戶的堡壘主機(jī)是非常誘人的攻擊目標(biāo)。在它與用戶的其它內(nèi)部機(jī)器之間沒(méi)有其它的防御手段時(shí)。如果有人成功地侵入屏蔽主機(jī)體系結(jié)構(gòu)中的堡壘主機(jī),就可進(jìn)入了內(nèi)部系統(tǒng)。通過(guò)在周邊網(wǎng)絡(luò)上隔離堡壘主機(jī),能減少在堡壘主機(jī)上侵入的影響。屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡(jiǎn)單的形式為,兩個(gè)屏蔽路由器,每一個(gè)都連接到周邊網(wǎng)。一個(gè)位于周邊網(wǎng)與內(nèi)部的網(wǎng)絡(luò)之間,另一個(gè)位于周邊網(wǎng)與外部網(wǎng)絡(luò)之間。為了侵入用這種類型的體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò),入侵者必須要通過(guò)兩個(gè)路由器。即使侵襲者設(shè)法侵入堡壘主機(jī),他將仍然必須通過(guò)內(nèi)部路由器。在此情況下,沒(méi)有損害內(nèi)部網(wǎng)絡(luò)的單一的易受侵襲點(diǎn)。作為入侵者,只是進(jìn)行了一次訪問(wèn)。8.3防火墻體系結(jié)構(gòu)8.3.4被屏蔽子網(wǎng)
8.4防火墻的主要應(yīng)用
在規(guī)劃網(wǎng)絡(luò)時(shí),就必須考慮整體網(wǎng)絡(luò)的安全性,而在這其中,防火墻是第一道防護(hù)。防火墻的選擇必須考慮的問(wèn)題,建議以下幾點(diǎn)。
好的防火墻是一個(gè)整體網(wǎng)絡(luò)的保護(hù)者,保護(hù)整個(gè)局域網(wǎng)。好的防火墻必須能彌補(bǔ)其他操作系統(tǒng)的不足:好的防火墻必須是建立在操作系統(tǒng)之前而不是在操作系統(tǒng)之上,所以操作系統(tǒng)有的漏洞可能并不會(huì)影響到一個(gè)好的防火墻系統(tǒng)所提供的安全性,由于硬件平臺(tái)的普及以及執(zhí)行效率的因素,大部分企業(yè)均會(huì)把對(duì)外提供各種服務(wù)的服務(wù)器分散至許多操作平臺(tái)上,但我們?cè)跓o(wú)法保證所有主機(jī)安全的情況下,選擇防火墻作為整體安全的保護(hù)者,這正說(shuō)明了操作系統(tǒng)提供了B級(jí)或是C級(jí)的安全并不一定會(huì)直接對(duì)整體安全造成影響,好的防火墻必須能彌補(bǔ)操作系統(tǒng)的不足。8.4防火墻的選擇與應(yīng)用
在現(xiàn)代企業(yè)中,為了加強(qiáng)自身網(wǎng)絡(luò)的安全,免受非法用戶的入侵,企業(yè)通常采用“被屏蔽子網(wǎng)”體系結(jié)構(gòu)來(lái)構(gòu)建本企業(yè)網(wǎng)絡(luò),這通常由三部分組成:邊界網(wǎng)絡(luò)、外圍網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò),其結(jié)構(gòu)如圖所示。8.4.1企業(yè)網(wǎng)絡(luò)的體系結(jié)構(gòu)8.4防火墻的選擇與應(yīng)用
8.4.1企業(yè)網(wǎng)絡(luò)的體系結(jié)構(gòu)8.4防火墻的選擇與應(yīng)用
8.4.1企業(yè)網(wǎng)絡(luò)的體系結(jié)構(gòu)8.4防火墻的選擇與應(yīng)用8.4.2內(nèi)部防火墻系統(tǒng)設(shè)計(jì)1.內(nèi)部防火墻應(yīng)用思想內(nèi)部防火墻在控制外圍網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)通信的同時(shí),還負(fù)有審查內(nèi)部通信流量的責(zé)任,因?yàn)閮?nèi)部通信的合法目的地可能是內(nèi)部網(wǎng)絡(luò)中的任何服務(wù)器,因而更難控制,因此內(nèi)部防火墻比外圍防火墻在技術(shù)上具有更嚴(yán)格的要求。內(nèi)部防火墻要能實(shí)現(xiàn)對(duì)內(nèi)外接口處異常IP數(shù)據(jù)包的檢測(cè);實(shí)現(xiàn)防火墻兩側(cè)DNS服務(wù)器間的映射;解決內(nèi)網(wǎng)SMPT、FTP和WEB等服務(wù)器與相應(yīng)堡壘主機(jī)間的數(shù)據(jù)轉(zhuǎn)發(fā);解決VPN的通信問(wèn)題以及支持通過(guò)代理服務(wù)器來(lái)實(shí)現(xiàn)對(duì)外網(wǎng)的Web訪問(wèn)等多種功能。不同企業(yè)的網(wǎng)絡(luò)具有很大差異性,有些規(guī)則對(duì)企業(yè)網(wǎng)并非是必需的。企業(yè)網(wǎng)內(nèi)部防火墻規(guī)則的選擇,涉及到企業(yè)網(wǎng)所處的具體網(wǎng)絡(luò)環(huán)境和企業(yè)特點(diǎn)等多個(gè)因素,規(guī)則過(guò)多過(guò)細(xì)則影響網(wǎng)絡(luò)運(yùn)行效率,過(guò)少過(guò)粗又可能妨礙網(wǎng)絡(luò)的安全運(yùn)行。因此,在應(yīng)用企業(yè)網(wǎng)絡(luò)內(nèi)部防火墻時(shí),應(yīng)謹(jǐn)慎和仔細(xì)的選擇。8.4防火墻的選擇與應(yīng)用8.4.2內(nèi)部防火墻系統(tǒng)設(shè)計(jì)1.內(nèi)部防火墻的應(yīng)用方案內(nèi)部防火墻主要防止外部用戶訪問(wèn)內(nèi)部網(wǎng)絡(luò),并且限制內(nèi)部用戶可以執(zhí)行的操作。因此,內(nèi)部防火墻具體應(yīng)用方案可以實(shí)現(xiàn)如下功能:(1)內(nèi)部防火墻可以精確制定各用戶的訪問(wèn)權(quán)限,保證內(nèi)網(wǎng)用戶只能訪問(wèn)必要資源。(2)對(duì)于撥號(hào)備份線路的連接,通過(guò)強(qiáng)大的認(rèn)證功能,實(shí)現(xiàn)對(duì)遠(yuǎn)程用戶的管理。(3)內(nèi)部防火墻可以記錄網(wǎng)段的訪問(wèn)信息,及時(shí)發(fā)現(xiàn)誤操作和來(lái)自內(nèi)部網(wǎng)絡(luò)其他網(wǎng)段的攻擊行為。(4)通過(guò)集中的安全策略管理,每個(gè)網(wǎng)段上的主機(jī)不必單獨(dú)設(shè)立安全策略,降低了人為因素導(dǎo)致產(chǎn)生網(wǎng)絡(luò)安全問(wèn)題的可能性。8.4防火墻的選擇與應(yīng)用8.4.3外部防火墻系統(tǒng)設(shè)計(jì)外部防火墻是處于企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)(包括Internet、廣域網(wǎng)、邊界網(wǎng)絡(luò)和其他公司的專用網(wǎng)絡(luò))之間的安全防線。防火墻的內(nèi)、外網(wǎng)卡分別連接于內(nèi)、外網(wǎng)絡(luò),但內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)是從邏輯上完全隔開(kāi)的。8.4防火墻的選擇與應(yīng)用8.4.3外部防火墻系統(tǒng)設(shè)計(jì)外部防火墻的應(yīng)用方案在企業(yè)設(shè)計(jì)網(wǎng)絡(luò)時(shí),外部防火墻是內(nèi)、外網(wǎng)絡(luò)間的唯一通信通道。安裝外部防火墻后,可以實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的有效隔離,防范來(lái)自外部網(wǎng)絡(luò)的非法攻擊。同時(shí),保證了DMZ區(qū)服務(wù)器的相對(duì)安全性和使用便捷性。外部防火墻是目前應(yīng)用最主要的防火墻。如果要保證網(wǎng)絡(luò)的安全性,就不能再有另外的其他網(wǎng)絡(luò)連接途徑。在有些企業(yè)中允許一些特殊用戶(如企業(yè)高層領(lǐng)導(dǎo))通過(guò)撥號(hào)方式與其他網(wǎng)絡(luò)連接。這樣,企業(yè)網(wǎng)絡(luò)的安全性就無(wú)法控制,在無(wú)形之中就給非法用戶打開(kāi)了一個(gè)可以入侵的大門,這是需要絕對(duì)禁止的。8.4防火墻的選擇與應(yīng)用8.4.3外部防火墻系統(tǒng)設(shè)計(jì)外部防火墻具體可以實(shí)現(xiàn)以下功能:(1)通過(guò)源地址過(guò)濾,拒絕外部非法IP地址,有效避免了外部網(wǎng)絡(luò)上與業(yè)務(wù)無(wú)關(guān)的主機(jī)越權(quán)訪問(wèn),防火墻可以只保留有用的服務(wù)。(2)關(guān)閉其他不需要的服務(wù),將系統(tǒng)受攻擊的可能性降低到最小限度,使黑客無(wú)機(jī)可乘。(3)制定訪問(wèn)策略,使只有被授權(quán)的外部主機(jī)可以訪問(wèn)內(nèi)部網(wǎng)絡(luò)有限的IP地址,保證外部網(wǎng)絡(luò)只能訪問(wèn)內(nèi)部網(wǎng)絡(luò)中必要的資源,與業(yè)務(wù)無(wú)關(guān)的操作將被拒絕。8.4防火墻的選擇與應(yīng)用8.4.3外部防火墻系統(tǒng)設(shè)計(jì)外部防火墻具體可以實(shí)現(xiàn)以下功能:(4)由于外部網(wǎng)絡(luò)的DMZ區(qū)主機(jī)的所有訪問(wèn)都要經(jīng)過(guò)防火墻,防火墻可以全面監(jiān)視外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)活動(dòng),并進(jìn)行詳細(xì)記錄,通過(guò)分析可以發(fā)現(xiàn)可疑的攻擊行為。(5)對(duì)于遠(yuǎn)程登錄的用戶,如TELNET等,防火墻利用加強(qiáng)的認(rèn)證功能,可以有效地防止非法入侵。(6)集中管理網(wǎng)絡(luò)的安全策略,因此入侵者無(wú)法通過(guò)更改一臺(tái)主機(jī)的安全策略而達(dá)到控制其他資源,獲取訪問(wèn)權(quán)限的目的。(7)進(jìn)行地址轉(zhuǎn)換工作,是外部網(wǎng)絡(luò)不能看到內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu),從而使入侵者找不到攻擊目標(biāo)。8.4防火墻的選擇與應(yīng)用8.4.3外部防火墻系統(tǒng)設(shè)計(jì)2.外部防火墻系統(tǒng)設(shè)計(jì)規(guī)則在通常情況下,外部防火墻要以默認(rèn)形式或者通過(guò)配置來(lái)實(shí)現(xiàn)以下規(guī)則。(1)除了被允許的通信外,拒絕所有其他通行。(2)阻止聲明具有內(nèi)部或外圍網(wǎng)絡(luò)源地址的外來(lái)數(shù)據(jù)包。(3)阻止聲明具有外部源IP地址的外出數(shù)據(jù)包(通信應(yīng)該只來(lái)自堡壘主機(jī))。(4)允許從DNS解析程序到Internet上的DNS服務(wù)器的基于TCP或UDP協(xié)議的DNS查詢和應(yīng)答。(5)允許基于UDP的外部客戶端查詢DNS解析程序并提供應(yīng)答。(6)允許SMTP堡壘主機(jī)與Internet的郵件相互進(jìn)出。(7)允許有代理發(fā)起的通信從代理服務(wù)器到達(dá)Internet。(8)允許代理應(yīng)答從Internet定向到外圍網(wǎng)絡(luò)上的代理服務(wù)器。8.4防火墻的選擇與應(yīng)用8.4.3外部防火墻系統(tǒng)設(shè)計(jì)8.5智能防火墻8.5.1傳統(tǒng)防火墻遺留的主要安全問(wèn)題
3大安全問(wèn)題:以拒絕訪問(wèn)(DDOS)為主要目的的網(wǎng)絡(luò)攻擊。以蠕蟲(chóng)(Worm)為主要代表的病毒傳播。以垃圾電子郵件(SPAM)為代表的內(nèi)容控制。原因:計(jì)算機(jī)能力有限。訪問(wèn)控制機(jī)制為簡(jiǎn)單的過(guò)濾。無(wú)法區(qū)分識(shí)別善意和惡意的行為8.5智能防火墻8.5.2新一代智能防火墻
智能防火墻從技術(shù)特征上,是利用統(tǒng)計(jì)、記憶、概率和決策的智能方法來(lái)對(duì)數(shù)據(jù)進(jìn)行識(shí)別,并達(dá)到訪問(wèn)控制的目的。新的數(shù)學(xué)方法,消除了匹配檢查所需要的海量計(jì)算,高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值,直接進(jìn)行訪問(wèn)控制。由于這些方法多是人工智能學(xué)科采用的方法,因此,又稱為智能防火墻。8.5智能防火墻智能防火墻體系結(jié)構(gòu)圖8-14智能防火墻體系結(jié)構(gòu)8.5智能防火墻8.5.4智能防火墻的關(guān)鍵技術(shù)
1.防攻擊技術(shù)智能防火墻能智能識(shí)別惡意數(shù)據(jù)流量,并有效地阻斷惡意數(shù)據(jù)攻擊。智能防火墻可以有效地解決SYNFlooding,LandAttack,UDPFlooding,PingFlooding,Smurf,PingofDeath,UnreachableHost等攻擊。防攻擊技術(shù)還可以有效的切斷惡意病毒或木馬的流量攻擊。關(guān)于這部分內(nèi)容我們?cè)诤竺孢€會(huì)進(jìn)一步闡述。
2.防掃描技術(shù)智能防火墻能智能識(shí)別黑客的惡意掃描,并有效地阻斷或欺騙惡意掃描者。對(duì)目前已知的掃描工具如ISS,SSS,NMAP等掃描工具,智能防火墻可以防止被掃描。防掃描技術(shù)還可以有效地解決代表或惡意代碼的惡意掃描攻擊。8.5智能防火墻8.5.4智能防火墻的關(guān)鍵技術(shù)
3.防欺騙技術(shù)智能防火墻提供基于MAC的訪問(wèn)控制機(jī)制,可以防止MAC欺騙和IP欺騙,支持MAC過(guò)濾,支持IP過(guò)濾。將防火墻的訪問(wèn)控制擴(kuò)展到OSI的第二層。
4.入侵防御技術(shù)智能防火墻為了解決準(zhǔn)許放行包的安全性,對(duì)準(zhǔn)許放行的數(shù)據(jù)進(jìn)行入侵檢測(cè),并提供入侵防御保護(hù)。入侵防御技術(shù)采用了多種檢測(cè)技術(shù),特征檢測(cè)可以準(zhǔn)確檢測(cè)已知的攻擊,特征庫(kù)涵蓋了目前流行的網(wǎng)絡(luò)攻擊;異常檢測(cè)基于對(duì)監(jiān)控網(wǎng)絡(luò)的自學(xué)習(xí)能力,可以有效地檢測(cè)新出現(xiàn)的攻擊;檢測(cè)引擎中還集成了針對(duì)緩沖區(qū)溢出等特定攻擊的檢測(cè)。智能防火墻完成了深層數(shù)據(jù)包監(jiān)控,并能阻斷應(yīng)用層攻擊。
5.包擦洗和協(xié)議正?;夹g(shù)6.AAA技術(shù)8.5智能防火墻8.5.4智能防火墻的關(guān)鍵技術(shù)
5.包擦洗和協(xié)議正?;夹g(shù)智能防火墻支持包擦洗技術(shù),對(duì)IP、TCP、UDP、ICMP等協(xié)議的擦洗,實(shí)現(xiàn)協(xié)議的正?;凉撛诘膮f(xié)議風(fēng)險(xiǎn)和攻擊。這些方法對(duì)消除TCP/IP協(xié)議的缺陷和應(yīng)用協(xié)議的漏洞所帶來(lái)的威脅,效果顯著。6.AAA技術(shù)IPv4版本的一大缺陷是缺乏身份認(rèn)證功能,所以在IPv6版本中增加了該功能。問(wèn)題是IPv6的推廣尚需時(shí)日,IPv4在相當(dāng)長(zhǎng)一段時(shí)間內(nèi),還會(huì)繼續(xù)存在。智能防火墻增加了對(duì)IP層的身份認(rèn)證。基于身份來(lái)實(shí)現(xiàn)訪問(wèn)控制。8.5智能防火墻8.5.4新一代智能防火墻的主要特點(diǎn)智能防火墻相比與傳統(tǒng)的防火墻,增加了規(guī)則自學(xué)習(xí)模塊以及規(guī)則優(yōu)化模塊,而這恰恰是智能防火墻的核心。智能防火墻執(zhí)行全訪問(wèn)的訪問(wèn)控制,而不是簡(jiǎn)單的進(jìn)行過(guò)濾策略?;趯?duì)行為的識(shí)別,可以根據(jù)什么人、什么時(shí)間、什么地點(diǎn)(網(wǎng)絡(luò)層),什么行為(OSI7層)來(lái)執(zhí)行訪問(wèn)控制,大大增強(qiáng)了防火墻的安全性,更聰明更智能。智能防火墻具備集中網(wǎng)絡(luò)管理平臺(tái),具備配置管理、性能管理、故障管理、安全管理、審計(jì)管理五大管理域。智能防火墻提供對(duì)日志的監(jiān)控,自動(dòng)處理,人工或自動(dòng)導(dǎo)出,數(shù)據(jù)庫(kù)導(dǎo)入,查看,查詢,顯示,報(bào)警等功能。支持條件查詢。8.5智能防火墻8.5.5用智能防火墻阻止攻擊
威脅網(wǎng)絡(luò)安全行為的90%來(lái)自于以拒絕訪問(wèn)(DOS和DDOS)為主要目的網(wǎng)絡(luò)攻擊。DOS(DenialofService)攻擊是一種很簡(jiǎn)單但又很有效的進(jìn)攻方式,能夠利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源,從而使合法用戶無(wú)法得到服務(wù)。DDOS(DistributedDenialofService)是一種基于DOS的特殊形式的拒絕服務(wù)攻擊,攻擊者通過(guò)事先控制大批傀儡機(jī),并控制這些設(shè)備同時(shí)發(fā)起對(duì)目標(biāo)的DOS攻擊,具有較大的破壞性。從現(xiàn)在和未來(lái)看,防火墻都是抵御DOS/DDOS攻擊的重要組成部分,這是由防火墻在網(wǎng)絡(luò)拓?fù)涞奈恢煤桶缪莸慕巧珱Q定的。8.5智能防火墻8.5.5用智能防火墻阻止攻擊1基于狀態(tài)的資源控制,保護(hù)防火墻資源
(1)控制連接、與半連的超時(shí)時(shí)間;必要時(shí),可以縮短半連接的超時(shí)時(shí)間,加速半連接的化;
(2)限制系統(tǒng)各個(gè)協(xié)議的最大連接值,保證協(xié)議的連接數(shù)不超過(guò)系統(tǒng)限制,在達(dá)到連接上限后刪除新建的連接;
(3)限制系統(tǒng)符合條件源/目的主機(jī)連接數(shù)量;2智能TCP代理有效防范SYNFlood攻擊3基于流量分析的包過(guò)濾對(duì)DOS和病毒檢測(cè)8.5智能防火墻8.5.5用智能防火墻阻止攻擊2智能TCP代理有效防范SYNFlood攻擊SYNFlood攻擊原理。要達(dá)到防御此類攻擊目的,首先就要了解該類攻擊的原理。SYNFlood攻擊所利用的是TCP協(xié)議存在的漏洞,那么TCP的漏洞在哪里呢?原來(lái)TCP協(xié)議是面向連接的,在每次發(fā)送數(shù)據(jù)以前,都會(huì)在服務(wù)器與客戶端之間先虛擬出一條路線,稱TCP連接,以后的各數(shù)據(jù)通信都經(jīng)由該路線進(jìn)行,直到本TCP連接結(jié)束。而UDP協(xié)議則是無(wú)連接的協(xié)議,基于UDP協(xié)議的通信,各數(shù)據(jù)報(bào)并不經(jīng)由相同的路線。在整個(gè)TCP連接中需要經(jīng)過(guò)三次協(xié)商,俗稱“三次握手”來(lái)完成。8.5智能防火墻8.5.5用智能防火墻阻止攻擊2智能TCP代理有效防范SYNFlood攻擊第一次:客戶端發(fā)送一個(gè)帶有SYN標(biāo)記的TCP報(bào)文到服務(wù)端,正式開(kāi)始TCP連接請(qǐng)求。在發(fā)送的報(bào)文中指定了自己所用的端口號(hào)以及TCP連接初始序號(hào)等信息。第二次:服務(wù)器端在接收到來(lái)自客戶端的請(qǐng)求之后,返回一個(gè)帶有SYN+ACK標(biāo)記的報(bào)文,表示接受連接,并將TCP序號(hào)加l。第三次:客戶端接收到來(lái)自服務(wù)器端的確認(rèn)信息后,也返回一個(gè)帶有ACK標(biāo)記的報(bào)文,表示已經(jīng)接收到來(lái)自服務(wù)器端的確認(rèn)信息。服務(wù)器端在得到該數(shù)據(jù)報(bào)文后,一個(gè)TCP連接才算真正建立起來(lái)。8.5智能防火墻8.5.5用智能防火墻阻止攻擊2智能TCP代理有效防范SYNFlood攻擊在以上三次握手中,當(dāng)客戶端發(fā)送一個(gè)TCP連接請(qǐng)求給服務(wù)器端,服務(wù)器也發(fā)出了相應(yīng)的響應(yīng)數(shù)據(jù)報(bào)文之后,可能由于某些原因(如客戶端突然死機(jī)或斷網(wǎng)等原因),客戶端不能接收到來(lái)自服務(wù)器端的確認(rèn)數(shù)據(jù)報(bào),這就造成了以上三次連接中的第一次和第二次握手的TCP半連接(并不是完全不連接,連接并未完全中斷)。由于服務(wù)器端發(fā)出了帶SYN+ACK標(biāo)記的報(bào)文,卻并沒(méi)有得到客戶端返回相應(yīng)的ACK報(bào)文,于是服務(wù)器就進(jìn)入等待狀態(tài),并定期反復(fù)進(jìn)行SYN+ACK報(bào)文重發(fā),直到客戶端確認(rèn)收到為止。這樣服務(wù)器端就會(huì)一直處于等待狀態(tài),并且由于不斷發(fā)送SYN+ACK報(bào)文,使得CPU及其他資源嚴(yán)重消耗,還因大量報(bào)文使得網(wǎng)絡(luò)出現(xiàn)堵塞,這樣不僅服務(wù)器可能崩潰,而且網(wǎng)絡(luò)也可能處于癱瘓。8.5智能防火墻8.5.5用智能防火墻阻止攻擊2智能TCP代理有效防范SYNFlood攻擊SYNFlood攻擊正是利用了TCP連接的這樣一個(gè)漏洞來(lái)實(shí)現(xiàn)攻擊目的的。當(dāng)惡意的客戶端構(gòu)造出大量的這種TCP半連接發(fā)送到服務(wù)器端時(shí),服務(wù)器端就會(huì)一直陷入等待的過(guò)程中,并且耗用大量的CPU資源和內(nèi)存資源來(lái)進(jìn)行SYN+ACK報(bào)文的重發(fā),最終使得服務(wù)器端崩潰。8.5智能防火墻8.5.5用智能防火墻阻止攻擊用防火墻防御SYNFlood攻擊。智能TCP代理型防火墻的防御方法是客戶端要與服務(wù)器建立TCP連接的三次握手過(guò)程中,因?yàn)樗挥诳蛻舳伺c服務(wù)器端(通常分別位于外、內(nèi)部網(wǎng)絡(luò))中間,充當(dāng)代理角色,這樣客戶端要與服務(wù)器端建立一個(gè)TCP連接,就必須先與防火墻進(jìn)行三次TCP握手,當(dāng)客戶端和防火墻三次握手成功之后,再由防火墻與客戶端進(jìn)行三次TCP握手,完成后再進(jìn)行一個(gè)TCP連接的三次握手。一個(gè)成功的TCP連接所經(jīng)歷的兩個(gè)三次握手過(guò)程(先是客戶端到防火墻的三次握手,再是防火墻到服務(wù)器端的三次握手)8.5智能防火墻8.5.5用智能防火墻阻止攻擊用防火墻防御SYNFlood攻擊。8.5智能防火墻8.5.5用智能防火墻阻止攻擊用防火墻防御SYNFlood攻擊。從整個(gè)過(guò)程可以看出,由于所有的報(bào)文都是通過(guò)防火墻轉(zhuǎn)發(fā),而且未同防火墻建立起TCP連接就無(wú)法同服務(wù)器端建立連接,所以使用這種防火墻就相當(dāng)于起到一種隔離保護(hù)作用,安全性較高。當(dāng)外界對(duì)內(nèi)部網(wǎng)絡(luò)中的服務(wù)器端進(jìn)行SYNFlood攻擊時(shí),實(shí)際上遭受攻擊的不是服務(wù)器而是防火墻。而防火墻自身則又是具有抗攻擊能力的,可以通過(guò)規(guī)則設(shè)置,拒絕外界客戶端不斷發(fā)送的SYN+ACK報(bào)文。8.5智能防火墻8.5.5用智能防火墻阻止攻擊用防火墻防御SYNFlood攻擊。防火墻工作時(shí),并不會(huì)立即開(kāi)啟TCP代理(以免影響速度),只有當(dāng)網(wǎng)絡(luò)中的TCP半連接達(dá)到系統(tǒng)設(shè)置的TCP代理啟動(dòng)警戒線時(shí),正常TCPIntercept會(huì)自動(dòng)啟動(dòng),并且當(dāng)系統(tǒng)的TCP半連接超過(guò)系統(tǒng)TCPIntercept高警戒線時(shí),系統(tǒng)進(jìn)入入侵模式,此時(shí)新連接會(huì)覆蓋舊的TCP連接;此后,系統(tǒng)全連接數(shù)增多,半連接數(shù)減小,當(dāng)半連接數(shù)降到入侵模式低警戒線時(shí),系統(tǒng)推出入侵模式。如果此時(shí)攻擊停止,系統(tǒng)半連接數(shù)量逐漸降到TCP代理啟動(dòng)警戒線以下,智能TCP代理模塊停止工作。通過(guò)智能TCP代理可以有效防止SYNFlood攻擊,保證網(wǎng)絡(luò)資源安全。8.5智能防火墻8.5.5用智能防火墻阻止攻擊用防火墻防御SYNFlood攻擊。8.5智能防火墻8.5.5用智能防火墻阻止攻擊3基于流量分析的包過(guò)濾對(duì)DoS和病毒檢測(cè)網(wǎng)絡(luò)監(jiān)控在抵御DDOS攻擊中有重要的意義。智能防火墻支持流量分析功能,它將網(wǎng)絡(luò)交換中的數(shù)據(jù)包識(shí)別為流的方式加以記錄,并封裝為UDP包發(fā)送到分析器上,這樣就為網(wǎng)絡(luò)管理、流量分析和監(jiān)控、入侵檢測(cè)等提供了豐富的資料來(lái)源(學(xué)習(xí)資料)??梢栽诓挥绊戅D(zhuǎn)發(fā)性能的同時(shí)記錄、發(fā)送流量數(shù)據(jù)信息,并能夠利用防火墻的安全管理平臺(tái)對(duì)接收到的資料進(jìn)行分析、處理。8.5智能防火墻8.5.5用智能防火墻阻止攻擊3基于流量分析的包過(guò)濾對(duì)DoS和病毒檢測(cè)通過(guò)監(jiān)控網(wǎng)絡(luò)流量,防火墻可以有效的抵御DDOS攻擊,但當(dāng)攻擊流數(shù)量超過(guò)一定程度,已經(jīng)完全占據(jù)了帶寬時(shí),雖然防火墻已經(jīng)通過(guò)安全策略把攻擊數(shù)據(jù)包丟棄(過(guò)濾掉),但由于攻擊數(shù)據(jù)包已占據(jù)所有的網(wǎng)絡(luò)帶寬,這時(shí)正常的用戶訪問(wèn)依然無(wú)法完成。利用流量分析監(jiān)視蠕蟲(chóng)病毒。防止蠕蟲(chóng)病毒的攻擊,重要的是防止蠕蟲(chóng)病毒的擴(kuò)散,只有盡早發(fā)現(xiàn),才可以迅速采取措施有效阻止病毒。各種蠕蟲(chóng)病毒在感染了系統(tǒng)后,為了傳播自身,會(huì)主動(dòng)向外發(fā)送特定的數(shù)據(jù)包并掃描相關(guān)端口。利用這個(gè)特性,防火墻可在安全管理平臺(tái)上建立相關(guān)的蠕蟲(chóng)病毒查詢模板,定期查詢,當(dāng)發(fā)現(xiàn)了匹配的資料時(shí),可以分析該地址是否已經(jīng)感染病毒,通過(guò)相應(yīng)過(guò)濾規(guī)則,采取相應(yīng)的措施。8.6WindowsServer2016防火墻安全配置
1.啟用/關(guān)閉防火墻
(1)打開(kāi)“網(wǎng)絡(luò)連接”,右擊要保護(hù)的連接,單擊“屬性”,出現(xiàn)“本地連接屬性”對(duì)話框。
(2)選擇“高級(jí)”選項(xiàng)卡,單擊“設(shè)置”按鈕,出現(xiàn)啟動(dòng)/停止防火墻界面。如果要啟用
Internet
連接防火墻,請(qǐng)單擊“啟用(O)”按鈕;如果要禁用Internet
連接防火墻,請(qǐng)單擊“關(guān)閉(F)”按鈕。
8.6WindowsServer2016防火墻安全配置2.防火墻服務(wù)設(shè)置
Windows
Server2016
火墻能夠管理服務(wù)端口,例如HTTP的80端口、FTP的21端口等,只要系統(tǒng)提供了這些服務(wù),Internet連接防火墻就可以監(jiān)視并管理這些端口。
(1)解除阻止設(shè)置。在“例外”選項(xiàng)卡中,可以通過(guò)設(shè)定讓防火墻禁止和允許本機(jī)中某些應(yīng)用程序訪問(wèn)網(wǎng)絡(luò),加上“√”表示允許,不加“√”表示禁止。如果允許本機(jī)中某項(xiàng)應(yīng)用程序訪問(wèn)網(wǎng)絡(luò),則在對(duì)話框中間列表中所列出該項(xiàng)服務(wù)前加“√”
(如果不存在則可單擊“添加程序”按鈕進(jìn)行添加);如果禁止本機(jī)中某項(xiàng)應(yīng)用程序訪問(wèn)網(wǎng)絡(luò),則將該項(xiàng)服
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 重慶2020-2024年中考英語(yǔ)5年真題回-教師版-專題07 閱讀理解之說(shuō)明文
- 企業(yè)安全管理人員盡職免責(zé)培訓(xùn)課件
- 《卓越的銷售技巧》課件
- 養(yǎng)老院老人康復(fù)設(shè)施維修人員福利待遇制度
- 新冠救治和轉(zhuǎn)運(yùn)人員的閉環(huán)管理要點(diǎn)(醫(yī)院新冠肺炎疫情防控感染防控專家課堂培訓(xùn)課件)
- 《團(tuán)隊(duì)發(fā)展與增員》課件
- 掛靠買車合同(2篇)
- 2024年度文化藝術(shù)節(jié)攤位柜臺(tái)租賃及展覽合作合同范本3篇
- 2024年水果種植與銷售一體化采購(gòu)合同范本3篇
- 2025年汕頭貨運(yùn)從業(yè)資格證繼續(xù)教育考試題
- 國(guó)家開(kāi)放大學(xué)《組織行為學(xué)》章節(jié)測(cè)試參考答案
- 《班主任工作常規(guī)》課件
- HTML5CSS3 教案及教學(xué)設(shè)計(jì)合并
- 青島版六三二年級(jí)上冊(cè)數(shù)學(xué)乘加乘減解決問(wèn)題1課件
- 電子課件機(jī)械基礎(chǔ)(第六版)完全版
- 消防維保方案 (詳細(xì)完整版)
- 臨沂十二五城市規(guī)劃研究專題課件
- 2022更新國(guó)家開(kāi)放大學(xué)電大《計(jì)算機(jī)應(yīng)用基礎(chǔ)本》終結(jié)性考試試題答案格式已排好任務(wù)一
- DB64∕T 001-2009 梯田建設(shè)技術(shù)規(guī)范
- DB62∕T 4128-2020 公路工程竣工文件材料立卷歸檔規(guī)程
- 五年級(jí)道德與法治上冊(cè)部編版第10課《傳統(tǒng)美德源遠(yuǎn)流長(zhǎng)》課件(第2課時(shí))
評(píng)論
0/150
提交評(píng)論