防火墙安全

《防火墙安全》由会员分享，可在线阅读，更多相关《防火墙安全（49页珍藏版）》请在金锄头文库上搜索。

1、安全连入Internet：防火墙,防火墙的工作原理与布置,屈万勰 刘传宇,背景,Internet的设计就是为资源共享为目标的 用户数量的增加，恶劣的用户也在增加 许多TCP/IP的服务有漏洞，特别网管服务 窃听和假冒比较容易 服务策略的缺乏导致许多不需要的服务开放 存取控制设置复杂导致安全漏洞 防火墙：一个经济的解决方案,本节内容,Internet及其安全 防火墙的基本知识 防火墙的功能分类 防火墙的布置与环境,Internet及其安全,Internet的基本协议 Internet的基本服务 与安全相关的问题,Internet,以TCP/IP协议为基础 初始目标是在研究人员之间进行通信（原型系

2、统为ARPANET，DARPA资助） 1980后迅速推广到教育、政府、商业与国际机构 目前一般用户为商业用户 成为了国家信息基础设施（NII）,Internet提供的基本服务,SMTP：简单邮件传送协议 Simple Mail Transfer Protocol TELNET：对远地主机的基本的终端仿真 FTP：文件传送协议 File Transfer Protocol DNS：域名系统 Domain Name Service 信息提供服务 Gopher、WAIS、WWW/http 进程调用服务,Internet主机,操作系统的特点就是并行和共享 Unix系统 Sun, IBM, Linux

3、Windows系统 NT, XP, 2000 VMS、AS400、其他系统 OS/2，Macintosh,网络分层的思路,书信邮件的例子 应用：信的内容与将来如何投递没有关系 网络：加信封，信封及地址与如何投递没有关系 物理：加邮包，运邮件的车跟具体信封地址没有关系 两个人的合同谈判 翻译 秘书传真,邮件示意,信件,信件,合同谈判,英语：I like,德语：I like,Fax to: 德语：I like,Fax from: 德语：I like,德语：I like,中文：I like,英语：I like,德语：I like,Fax to: 德语：I like,Fax from: 德语：I li

4、ke,德语：I like,中文：I like,合同谈判,网络的视角-系统互连(OSI),第一层：物理层 Physical,第二层：数据链路 Data Link,第三层：网络层 Network,第四层：传输层 Transport,第五层：会话层 Session,第六层：表示层 Presentation,第七层：应用层 Application,网络中的数据传送,物理层,链路层,网络层,传输层,会话层,表示层,应用层,物理层,链路层,网络层,TCP/IP协议层次结构,物理/数据链路层 (Ethernet),网络层 Network (IP, ICMP),传输层 Transport (TCP, UDP)

5、,应用层 Application (FTP, Telnet, DNS, NFS, PING),ARP：Address Resolution Protocol 地址解析协议,IP数据包发送前 查找对应IP地址主机的物理地址 在网络上广播ARP请求 缓存已经找到的硬件地址 参见RFC826,ICMP互连网控制报文协议 Internet Control Message Protocol,用于传送错误和控制报文，控制IP协议 主机关闭/网关阻塞或不通/其他故障 PING是一个著名的应用 RFC792,IP (Internet Protocol)协议,接收物理层（Ethernet）发来的数据 将数据传送

6、到高层协议，如TCP、UDP 不可靠的数据报协议 不保障报文顺序，不检查错误，不保证对方收到 包含源IP地址和目的IP地址 Source Address & Destination Address 上层协议（TCP、UDP）认为这些地址都是正确的，不对原IP地址进行认证。 RFC760,TCP协议 Transmission Control Protocol,IP数据报包含了封装的TCP报文 通过连接建立和报文序号以及检错编码保证数据完整性 TCP协议将数据送往应用层处理 TELNET，FTP，X Window，SMTP等都是基于有连接的TCP协议,UDP协议 User Datagram Pro

7、tocol,与TCP在同一个层次，直接为应用服务 不检错，不重发，不排序 无连接的协议 NTP, DNS使用UDP,TCP/UDP的地址结构,源IP地址（32bits） 源端口(16bits) 目的IP地址 目的端口,Internet上安全事件不断,服务安全问题/协议安全问题 Sendmail、Free FTP发现漏洞 Telnet/FTP/X window易于窃听 蠕虫病毒泛滥 主机配置错误导致的安全问题 弱口令、口令破解程序、NFS协议不能认证用户 管理人员的变动和水平,一些安全问题：窃听、假冒,IP假冒，同一网段内，改就行 原路径问题（source route） 改变IP 设计原路径 发

8、送请求 获得回应 Email假冒，不仅是地址，而且还从正确的服务器来。,Internet及其安全总结,Internet是以TCP/IP协议为基础的 ARP, IP, TCP, UDP, ICMP ISO的七层开放系统模型与Internet的5层模型 数据传送方法 Internet很不安全 协议本身，服务，配置以及系统本身,防火墙的基本知识,防火墙的主要目标是控制对一个受保护网络的访问，强迫所有连接都接受防火墙的检查和评估。 可以是路由器、计算机或一群计算机。 防火墙通过边界控制保护整个网络，而不需要对每个网内的主机进行单独的保护，为内网仍旧可以采用相互信任的模式提供了一定的安全基础。,防火墙能

9、够做什么,保护内网有漏洞的服务 控制对内网系统的访问 将安全问题集中解决 增加隐私保护 内网系统不可见 审计和统计网络使用和错误 强制执行统一的安全策略,防火墙的缺陷?,防火墙可以阻断攻击，但不能消灭攻击源 防火墙不能抵抗最新的未设置策略的攻击漏洞 防火墙的并发连接数限制易导致拥塞或溢出 防火墙对服务器合法开放的端口的攻击大多无法阻止 防火墙对待内部主动发起连接的攻击一般无法阻止 防火墙本身也会出现问题和受到攻击 防火墙不处理病毒,防火墙运行的网络层次,数据链路层 (Ethernet),网络层 Network (IP, ICMP),传输层 Transport (TCP, UDP),应用层 Ap

10、plication (FTP, Telnet, DNS, NFS, PING),简单防火墙运行的层次少，而复杂防火墙运行的层次就多,防火墙的功能分类,包过滤防火墙 状态检查机制防火墙 应用代理网关防火墙 专用代理防火墙 混合型防火墙 网络地址转换 基于主机的防火墙 个人防火墙个人防火墙设备,包过滤防火墙,最基本的防火墙功能 包含有许多过滤规则 最基本的工作模式是工作在第二，第三层 存取控制一般基于以下参数 原地址：数据包从哪里来 目标地址：数据包要进入哪个系统 通信类型：通信协议，IP、IPX或其他协议 其他信息，IP数据包头的其他信息 第二层工作可以增加冗余和完成负载均衡,边界路由器包过滤

11、Boundary Router Packet Filter,ISP,边界路由器包过滤,外部DMZ,受保护的内网,主防火墙,demilitarized zone,包过滤防火墙特点,非常快，可以安装在最外的边界上 根据策略，如阻止SNMP,允许HTTP 可能的弱点 应用相关的漏洞没有办法保护 审计不够详细 无法支持高级的用户认证 无法防止高级攻击，如IP地址假冒 目前，很难找到只有包过滤功能的防火墙 路由器，SOHO防火墙，操作系统自带的防火墙,过滤规则,动作： 允许(Accept/Allow) 拒绝(Deny) 丢弃(Discard) 规则间的关系 凡是没有定义的就禁止允许？ 一条禁止和一条允许

12、禁止还是允许？ 一般：不要忘记最后禁止所有的通信 外出通信和进入通信同等重要,状态检查防火墙 Stateful Inspection Firewalls,工作在2，3，4层 不是简单开放大于1023的端口而是记住每个TCP连接或UDP通信的状态,应用代理网关防火墙 Application-Proxy Gateway Firewalls,代理网关防火墙主要工作在应用层(2,3,4,7) 部分语义的检查 可以进行用户认证 身份认证,基于生物特征的认证 可以进行原地址检查 不足 慢,不适合快速网络 针对新的应用,升级麻烦,一个代理网关防火墙的例子,DNS Finger FTP HTTP HTTPS

13、LDAP NNTP SMTP Telnet,内网,外网,Proxy Agent,代理网关的运行步骤,用户Telnet网关并输入内部主机名 网关检查用户的IP地址决定是否允许连接 网关要求用户进行认证，可以是基于硬件的或生物基础的 代理服务建立一个从代理到内部主机的Telnet连接 代理在这两个连接中传输数据 网关记录这次连接,专用代理防火墙 Dedicated Proxy Servers,混合的防火墙 Hybrid Firewall,现有的防火墙基本都是混合功能的 配置，安装更加复杂 考察功能参数就很重要 后面介绍防火墙的一些其他基本功能,防火墙功能总结,包过滤防火墙 状态检查机制防火墙 应用

14、代理网关防火墙 专用代理防火墙 混合型防火墙 网络地址转换 基于主机的防火墙 个人防火墙个人防火墙设备,防火墙的布置与环境,布置防火墙及环境的四条建议 非军事区(DMZ) VPN及其的布置 IDS DNS 一个服务器布放的例子,布置防火墙的建议（NIST Guidelines）,越简单越好(Keep It Simple) 不要追求复杂方案,要能够易懂才能易于管理和维护,和进行事件处理；复杂必然不安全。 按照设计使用设备 不要用路由器中的包过滤当防火墙，不要指望交换机中的安全机制。这样容易错误地配置 设计有深度的防御(Defense in Depth) 安全分层：路由安全，多防火墙墙，操作系统

15、注意内部威胁 并非怀疑同事的攻击，攻击可能越过Firewall,重要建议,所有的规则都会被打破 在防火墙布置时牢记 在防火墙设计时牢记 各自的系统有各自的需求，应该具针对具体应用设计有针对性的防火墙的布置,DMZ网络(DeMilitarized Zone),ISP,边界包过滤防火墙,受保护内网,外部DMZ网络,外部WEB服务器,主防火墙,内部DMZ网络,内网防火墙,内部邮件服务器,另一种DMZ网络,ISP,边界包过滤防火墙,外部DMZ网络,应用代理服务器,主防火墙,服务DMZ网络,受保护内网,服务器与防火墙放置的考虑,没有适合所有情况的解决方案 一些建议： 用边界包过滤防火墙保护外部服务器 不要将可以外部存取的服务器放在内网 隔离容易受攻击的服务器,服务器布放的例子,外部存取服务器(如www服务器) 放在外部DMZ中，在边界包过滤防火墙和主防火墙之间 VPN和拨号服务器 外部DMZ中，以保证这些通信受检查 内部服务器(邮件服务器，目录服务器) 内部DMZ，如果WWW服务器有外部Proxy,服务器布放的例子（续）,外部DMZ网络,外部WEB服务器,主防火墙/VPN,内部DMZ网络,内网防火墙,邮件服务器,Network IDS,DNS,拨号服务器,DNS,内网,外网,本讲义小节,Internet及其安全 防火墙的基本知识 防火墙的功能分类 防火墙的布置与环境,谢谢大家,