《信息安全技术——3(2)》由会员分享,可在线阅读,更多相关《信息安全技术——3(2)(47页珍藏版)》请在金锄头文库上搜索。
1、信息安全技术,访问控制与防火墙技术,提纲,访问控制技术 防火墙技术基础 防火墙安全设计策略 第四代防火墙的主要技术 防火墙发展的新方向 防火墙选择原则与常见产品 本章小结,什么是防火墙?,防火墙 建筑学上的防火墙概念 由不燃烧材料构成,为减少或避免建筑、结构、设备遭受热辐射危害和防止火灾蔓延所设置的具有耐火性的墙 信息科学中的防火墙概念 一种将内部网和公众网络分开的方法,属于一种隔离技术,是在两个网络通信时执行的一种访问控制手段,允许用户“同意”的人和数据进入网络,同时将用户“不同意”的人和数据拒于门外,最大限度地阻止网络中的黑客来访问自己的网络,防止非法更改、复制和毁坏自己的重要信息。,防火
2、墙的发展里程,防火墙的发展里程 基于路由器的防火墙; 用户化的防火墙工具套; 建立在通用操作系统上的防火墙; 具有安全操作系统的防火墙; 获得安全操作系统的途径 通过许可证方式获得操作系统源码; 通过固化操作系统内核来提高可靠性;,防火墙的优点,防火墙的优点 防火墙对企业内网实现了集中安全管理,可以强化网络安全策略,比分散的主机管理更经济易行; 防火墙能防止非授权用户进入内部网络; 可以作为部署网络地址转换NAT ( Network Address Translation)的地点,利用NAT技术可以缓解地址空间的短缺,隐藏内部网的结构; 利用防火墙对内部网络的划分,可以实现重点网段的分离,从而
3、限制问题的扩散; 由于所有的访问都经过防火墙,防火墙是审记和记录网络的访问和使用的最佳地方;,防火墙的局限性,防火墙的局限性 限制有用的网络服务 防火墙为提高被保护网络的安全行,限制或关闭了许多有用但存在安全缺陷的网络服务; 无法防护来自网络内部的攻击 “外战内行,内战外行” Internet防火墙无法防范通过防火墙以外的其他途径的攻击 比如私自通过电话线上网 防火墙无法防范数据驱动型的攻击 不能防备新的网络安全问题 防火墙属于被动式防护手段,只能对已知的网络威胁起作用,防火墙的类型,防火墙的类型 数据包过滤路由器 代理服务器 应用层网关 电路层网关,数据包过滤路由器,数据包过滤路由器 在网络
4、中适当的位置对数据包实施有选择的通过规则、选择依据等(即为系统内设置的过滤规则),只有满足过滤规则的数据包才被转发至相应的网络接口,其余数据包则被从数据流中删除。 控制站点与站点、站点与网络、网络与网络之间的相互访问,但不能控制传输的数据内容(因为内容是应用层数据,不是包过滤系统所能辨识)。,包过滤检查模块,包过滤检查模块 深入到系统的网络层和数据链路层之间 因为数据链路层是事实上的网卡(NIC),网络层是第一层协议堆栈,所以防火墙位于软件层次的最底层。 通过检查模块,防火墙能拦截和检查所有出站的数据。,防火墙检查模块的执行过程,防火墙检查模块的执行过程 防火墙检查模块首先验证这个包是否符合过
5、滤规则,无论是否符合过滤规则,防火墙一般要记录数据包情况,不符合规则的包要进行报警或通知管理员。 对丢弃的数据包,防火墙可以给发送方一个消息,也可以不给(取决于包过滤策略)。 包检查模块能检查包中的所有信息,一般是网络层的IP头和传输层的头。 包过滤在本地接收数据包时,一般不保留上下文,只根据目前数据包的内容做决定。根据不同的防火墙的类型,包过滤可能在进入、输出时或这两个时刻都进行。可以拟定一个要接受的设备和服务的清单,一个不接受的设备和服务的清单,组成访问控制表。,包过滤模型,设置步骤,设置步骤 制订一个安全策略,规定哪些是允许的,哪些是不允许的; 设定允许的包类型、包字段的逻辑表达; 用防
6、火墙支持的语法重写表达式;,按地址过滤,说明: 数据包过滤方式:按源地址进行过滤 规则A、B:禁止内部主机和202.110.8.0进行通信 过滤规则没有充分利用全部信息,过滤机制欠合理,过滤规则实例,按服务过滤,按服务过滤的访问控制规则举例,说明: 假设安全策略是禁止外部主机访问内部的E-mail服务器(SMTP,端口25),允许内部主机访问外部主机,通常源端口不作为规则的判断参数,包过滤防火墙的优点,包过滤防火墙的优点 仅一个关键位置设置一个数据包过滤路由器,就可以保护整个网络,而且数据包过滤对用户是透明的。 对网络管理员和应用程序的透明度较高。网络管理员只需根据一张常用服务与协议(端口)的
7、对应表,就可以方便地设置过滤规则,而无需了解具体的过滤技术细节。内部网络或者外部网络的服务也无需进行修改,就可以达到控制进出数据包的目的。 由于工作在较低的层面(网络层),多数的路由器都具有包过滤功能,网络管理员可以方便地在路由器中实现包过滤。实现容易,而且效率较高。,包过滤防火墙的不足,包过滤防火墙的不足 包过滤规则比较复杂,缺乏规则的正确性自动检测工具; 无法查出具有数据驱动攻击这类潜在危险数据包; 过滤规则的增加会导致分析计算量的增加,从而降低路由器的吞吐量,影响网络性能; 抗欺骗性能力不强 不能有效应对伪造IP地址的攻击,*包状态检查,包状态检查 与包过滤的对比 在包过滤中,检测只对单
8、一的数据包进行; 包状态检查中,检测针对一定数量的数据包进行,这些数据包是在网络层拦截的,数量的多少取决于包状态检查模块有足够信息判定连接的安全性。 与应用层代理的对比 工作在网络层,所以比应用层代理具有更快的速度。 包状态检查无法理解应用层的内容,难以收集到足够的安全信息,作出更好的判断和选择,这决定它无法达到应用层网关的安全系数。,提出的背景,许多安全专家相信真正可靠的防火墙安全仅仅发生在禁止所有通过防火墙的直接连接,在TCP/IP的最高层检验所有的输入数据。,基于代理服务器的防火墙,基于代理服务器的防火墙 代理 是一种代替客户端与服务器之间的直接会话,将客户端要求传达给服务器,并把服务器
9、的应答传回客户端的防火墙技术。 基本思想 内部网络用户希望访问外网,而允许所有内部用户自由地访问外部网络是很危险的、很难监控的,为此,通常采用一种折中的方法,就是让所有用户通过一台单一的设备访问外部网络,这台单一的设备就是代理服务器。,主要实现方式,代理服务器 应用层网关 工作在应用层,主要是为内部网络提供代理服务。 针对每一个特定应用都有一个代理程序 电路层网关 适用于多个协议 在两台主机首次建立连接时提供了一个安全屏障,它的特殊客户程序只在初次连接时进行安全协商控制,其后就透明了。 自适应代理 工作在应用层和网络层 可以看作包状态检查与代理技术的结合,不同防火墙的对比(工作层面),工作的层
10、面 包过滤 网络层 应用层网关 应用层 电路层网关 会话层与应用层 自适应代理 网络层与应用层 包状态检查 网络层,不同防火墙的对比(非法包判断能力),对非法包判断能力方面 防火墙技术的工作层次越高,对数据包的理解能力越好,对非法包的判断能力越高。 包过滤和包状态检查 能力较低 应用层网关、电路层网关、自适应代理 能力较高,不同防火墙的对比(工作效率方面),从工作效率方面考虑 防火墙技术的实现过程越简单,其效率越高;工作层次越低,防火墙技术的实现过程越简单。 包过滤都是效率较高的防火墙技术。 包状态检查虽然工作在较低层次,但它的成功率影响着它的效率。 代理(应用层网关、电路层网关、自适应代理)
11、工作在较高层次,工作时既要进行较复杂的检查,又要建立替代连接(对TCP协议而一言),所以效率较低。,提纲,访问控制技术 防火墙技术基础 防火墙安全设计策略 第四代防火墙的主要技术 防火墙发展的新方向 防火墙选择原则与常见产品 本章小结,知识点,防火墙体系结构 网络服务访问权限策略 防火墙设计策略及要求 防火墙与加密机制,防火墙体系结构,防火墙体系结构 屏蔽路由器 双宿主主机网关 屏蔽主机网关 屏蔽子网 其他体系结构,防火墙体系结构_屏蔽路由器,屏蔽路由器(Screening Router) 由厂家专门生产的路由器实现,也可以用主机来实现。 屏蔽路由器作为内外连接的惟一通道,要求所有的报文都必须
12、在此通过检查。路由器上可以安装基于IP层的报文过滤软件,实现报文过滤功能。许多路由器本身带有报文过滤配置选项,但一般比较简单。,屏蔽路由器的安全性分析,屏蔽路由器的安全性分析 包括路由器本身及路由器允许访问的主机。 屏蔽路由器的缺点 被攻击后很难发现 不能识别不同的用户,防火墙体系结构_双宿主主机网关,双宿主主机网关(DualHomed Gateway) 用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网络和外部网络相连。堡垒主机上运行着防火墙软件,可以转发应用程序,提供服务等。,双宿主主机网关的安全性分析,双宿主主机网关的安全性分析 与屏蔽路由器相比,双宿主主机网关堡垒主机的系统软
13、件可以用于维护系统日志、硬件备份日志或远程日志。 风险 一旦被攻克使其仅具有路由功能,那么任何用户都可以从外网访问内网。,防火墙体系结构_屏蔽主机网关,屏蔽主机网关(Screened Gateway) 一个堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为从外网惟一可以直接到达的主机,这确保了内网不受未授权的外部用户的攻击。 如果受保护的网络是一个虚拟扩展的本地网(即没有子网和路由器),那么内网的变化不影响堡垒主机和屏蔽路由器的配置;,屏蔽主机网关的安全性分析,屏蔽主机网关的安全性分析 易于实现也最为安全。 安全风险主要在堡垒主机和屏蔽路由器 网关的基本控制策略由安装在
14、上面的软件决定。 如果攻击者设法登录到网关,内网中的其余主机都将受到威胁。,防火墙体系结构_屏蔽子网,屏蔽子网(Screened Subnet) 在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。 在许多实现中,两个分组过滤路由器放在子网的两端,在子网内构成一个DNS,内网和外网都可以访问被屏蔽子网,但禁止它们穿过被屏蔽子网通信。有的屏蔽子网中还设有堡垒主机作为惟一可访问点,支持终端交互或作为应用网关代理。,屏蔽子网的安全性分析,屏蔽子网的安全性分析 存在的危险仅包括堡垒主机、子网主机以及所有连接内网、外网和屏蔽子网的路由器。 如果攻击者
15、试图完全破坏防火墙,必须重新配置连续3个网的路由器,既不切断连接又不要把自己锁在外面,同时又不使自己被发现,实现难度较大,但仍有可能。 如果禁止网络访问路由器或只允许内网中的某些主机访问它,则攻击将更为困难。在这种情况下,攻击者需要先侵入堡垒主机,然后进入内网主机,再返回来破坏屏蔽路由器,而且整个过程中不能出发报警。,防火墙体系结构的变化和组合,防火墙体系结构的变化和组合 多堡垒主机结构 合并内外路由器结构 合并堡垒主机和外部路由器结构 合并堡垒主机和内部路由器结构 使用多内部路由器结构 使用多外部路由器结构 使用多周边网结构 参看博士论文“防火墙系统及其分布式应用的研究”的第二章(来自“万方
16、-学位论文库”),根据具体要求来设计,兼顾服务性能、安全性和成本。,知识点,防火墙体系结构 网络服务访问权限策略 防火墙设计策略及要求 防火墙与加密机制,访问权限安全策略,访问权限安全策略 网络服务访问策略 防火墙设计策略,网络服务访问策略,网络服务访问策略 是一种高层次的、具体到事件的策略,主要用于定义在网络中允许的或禁止的网络服务,而且还包括对拨号访问以及SLIP/PPP连接的限制。 策略一定要具有现实性和完整性 现实性的策略在降低网络风险和为用户提供合理的网络资源之间做出了一个权衡 要充分考虑所设计策略的可行性(能否被管理员和一般用户理解并接受,是否具有可执行性等),两个通用网络服务访问策略,一般情况下,一个防火墙执行两个通用网络服务访问策略中的一个: 允许从内部站点访问Internet而不允许从Internet访问内部站点; 只允许从Internet访问特定的系统,如信息服务器和电子邮件服务器。,知识点,防火墙体系结构 网络服务访问权限策略 防火墙设计策略及要求 防火墙与加密机制,两种基本防火墙设计策略(1/2),策略一:除非明确不允许,否则
