《网络安全-20:防火墙》由会员分享,可在线阅读,更多相关《网络安全-20:防火墙(71页珍藏版)》请在金锄头文库上搜索。
1、Chapter 20 防 火 墙密码编码学与网络安全密码编码学与网络安全*1西安电子科技大学计算机学院简介n信息系统不断发展完善n每个人都希望与互联网相连或连接到网上n存在安全忧虑q不能很容易地使组织中的各系统得到安全保护n典型地使用防火墙n用以提供边界防御n作为复杂的安全策略的一部分Date2西安电子科技大学计算机学院什么是防火墙?n是网络控制和监视的关键点n用不同的信任与网络相连接n对网络服务进行强制性限制q只准允许授权的通信通过n对访问进行审查和控制q对于异常行为能够实现报警n提供NAT和使用监视n用 IPSec 实现VPN n对于渗透必须是免疫的。Date3西安电子科技大学计算机学院防
2、火墙的设计目标n所有通信都必须经过防火墙n只有被授权的通信才能通过防火墙n对于渗透必须是免疫的Date4西安电子科技大学计算机学院防火墙的局限性一、防火墙概述1)防火墙防外不防内防火墙可以禁止系统用户经过网络连接发送 专有的信息,但用户可以将数据复制到磁盘 、磁带上,放在公文包中带出去。如果入侵 者已经在防火墙内部,防火墙是无能为力的 。内部用户偷窃数据,破坏硬件和软件,并 且巧妙地修改程序而不接近防火墙。对于来 自知情者的威胁只能要求加强内部管理,如 主机安全和用户教育、管理、制度等。Date5西安电子科技大学计算机学院一、防火墙概述2)不能防范绕过防火墙的攻击防火墙能够有效地防止通过它进行
3、传输信息, 然而不能防止不通过它而传输的信息。例如, 如果站点允许对防火墙后面的内部系统进行拨 号访问,那么防火墙绝对没有办法阻止入侵者 进行拨号入侵。3)防火墙配置复杂,容易出现安全漏洞4)防火墙往往只认机器(IP地址)不认人( 用户身份),并且控制粒度较粗。防火墙的局限性Date6西安电子科技大学计算机学院一、防火墙概述5)防火墙不能防范病毒防火墙不能防止感染了病毒的软件或文件的 传输。这只能在每台主机上装反病毒软件。6)防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到 内部网主机上并被执行而发起攻击时,就会 发生数据驱动攻击。特别是随着Java、 JavaScript
4、、ActiveX的应用,这一问题更加 突出。Date7西安电子科技大学计算机学院防火墙的分类n包过滤路由器n应用级网关n电路级网关Date8西安电子科技大学计算机学院Date9西安电子科技大学计算机学院Date10西安电子科技大学计算机学院Date11西安电子科技大学计算机学院服务访问政策是整个机构信息安全政策的延 伸,既要可靠又要切合实际。一个典型的政策可以不允许从Internet访问网 点,但要允许从网点访问Internet。另一个典型政策是允许从Internet进行某些访 问,但是或许只许可访问经过选择的系统, 如Web服务器和电子邮件服务器。服务访问政策Date12西安电子科技大学计算
5、机学院允许拒绝防火墙设计政策 防火墙一般实施两个基本设计方针之一:1. “没有明确允许的都是被禁止的”,即拒绝一切未予特许 的东西。2. “没有明确禁止的都是被允许的”;也即是允许一切未被 特别拒绝的东西 允许拒绝Date13西安电子科技大学计算机学院防火墙的体系结构1)屏蔽路由器(Screened Router)2)双宿主机网关;Dual Homed Host Gateway3)屏蔽主机防火墙;Screened Gateway4)屏蔽子网防火墙。Screened SubnetDate14西安电子科技大学计算机学院1.屏蔽路由器(Screened Router)包过滤路由器: 路由 + 过滤
6、这是最简单的防火墙。 缺点:日志没有或很少,难以判断是否被入侵规则表会随着应用变得很复杂单一的部件保护,脆弱Date15西安电子科技大学计算机学院2.双宿主机网关Date16西安电子科技大学计算机学院用一台装有两块网卡的计算机作为堡垒主机( Bastion host),两块网卡分别与内部网和外部 网(或屏蔽路由器)相连,每块网卡有各自的 IP地址。堡垒主机上运行防火墙软件代理 服务(应用层网关)。在建立双宿主机时,应 关闭操作系统的路由功能(IP转发),否则两 块网卡间的通信会绕过代理服务器软件。优点:与屏蔽路由器相比,提供日志以备检查缺点:双宿主机易受攻击Date17西安电子科技大学计算机学
7、院3.屏蔽主机防火墙Date18西安电子科技大学计算机学院屏蔽主机体系结构 Date19西安电子科技大学计算机学院由屏蔽路由器和应用网关组成。两道屏障:网络层的包过滤;应用层代理服务注:与双宿主机网关不同,这里的应用网关只 有一块网卡。优点:双重保护,安全性更高。实施策略:针对不同的服务,选择其中的一种 或两种保护措施。Date20西安电子科技大学计算机学院4.屏蔽子网体系结构组成:一个包含堡垒主机的周边子网、 两台屏蔽路由器。Date21西安电子科技大学计算机学院屏蔽子网体系结构 Date22西安电子科技大学计算机学院屏蔽子网防火墙中,添加周边网络进一步地把 内部网络与Internet隔离开
8、。通过在周边网络上隔离堡垒主机,能减少在堡 垒主机上侵入的影响。要想侵入用这种类型的体系结构构筑的内部网 络,侵袭者必须通过外部路由器,堡垒主机, 内部路由器三道关口。1)周边网络:非军事化区、停火区(DMZ)周边网络是另一个安全层,是在外部网络与内部 网络之间的附加的网络。Date23西安电子科技大学计算机学院周边网络的作用对于周边网络,如果某人侵入周边网上的堡垒 主机,他仅能探听到周边网上的通信。因为所 有周边网上的通信来自或者通往堡垒主机或 Internet。因为没有严格的内部通信(即在两台内部主机之 间的通信,这通常是敏感的或者专有的)能越过 周边网。所以,如果堡垒主机被损害,内部的
9、通信仍将是安全的。Date24西安电子科技大学计算机学院2)堡垒主机接受来自外界连接的主要入口:1对于进来的电子邮件(SMTP)会话,传送 电子邮件到站点;2对于进来的FTP连接,转接到站点的匿名FTP 服务器;3对于进来的域名服务(DNS)站点查询等。Date25西安电子科技大学计算机学院出站服务按如下任一方法处理:1.在外部和内部的路由器上设置数据包过滤来 允许内部的客户端直接访问外部的服务器。2.设置代理服务器在堡垒主机上运行(如果用 户的防火墙使用代理软件)来允许内部的客户 端间接地访问外部的服务器。用户也可以设置 数据包过滤来允许内部的客户端在堡垒主机上 同代理服务器交谈。但是禁止内
10、部的客户端与 外部世界之间直接通信(如拨号上网)。Date26西安电子科技大学计算机学院3)内部路由器内部路由器(阻塞路由器):保护内部的网络使之免 受Internet和周边子网的侵犯。内部路由器为用户的防火墙执行大部分的数据包过滤 工作。它允许从内部网到Internet的有选择的出站服务 。这些服务是用户使用数据包过滤而不是通过代理服 务提供。内部路由器所允许的在周边网和内部网之间服务可不 同于内部路由器所允许的在外部和内部网之间的服务 。限制堡垒主机与内部网之间的通信可减少堡垒机被攻 破时对内部网的危害。 Date27西安电子科技大学计算机学院4)外部路由器在理论上,外部路由器保护周边网和
11、内 部网使之免受来自Internet的侵犯。实际上, 外部路由器倾向于允许几乎任何东西从周边 网出站,并且它们通常只执行非常少的数据 包过滤。外部路由器安全任务之一是:阻止从Internet 上伪造源地址进来的任何数据包。Date28西安电子科技大学计算机学院内部防火墙问题 在大部分讨论中,都假定建立防火墙的目的在 于保护内部网免受外部网的侵扰。但有时为 了某些原因,我们还需要对内部网的部分站 点再加以保护以免受内部的其它站点的侵袭 。因此,有时我们需要在同一结构的两个部 分之间,或者在同一内部网的两个不同组织 结构之间再建立防火墙(也被称为内部防火 墙)。Date29西安电子科技大学计算机学
12、院复合型防火墙 采用哪种形式的防火墙取决于经费、技术、时间等。应用层表示层会话层传输层网络层链路层物理层包过滤应用网关电路网关Date30西安电子科技大学计算机学院包过滤技术 Date31西安电子科技大学计算机学院包过滤技术的原理在路由器上加入IP Filtering 功能,这样的路由器就成 为Screening Router 。Router逐一审查每个数据包以判定它是否与其它包过 滤规则相匹配(只检查包头,不理会包内的正文信息)。 如果找到一个匹配,且规则允许这包,这个包则根据 路由表中的信息前行;如果找到一个匹配,且规则允许拒绝此包,这一包则 被舍弃;如果无匹配规则,一个用户配置的缺省参数
13、将决定此 包是前行还是被舍弃。 Date32西安电子科技大学计算机学院IPv4版本号 Version (4bit)报头长 IHL (4bit)服务类型ServiceType (8bit)分组总长度 Total Length (16bit) 标识 Identification (16bit)标志 Flags (3bit)片偏移 Fragment Offset (13bit) 生存时间 Time to Live (8bit)传输层协议 Protocol (8bit)头部校验和Header Checksum (16bit) 源IP地址 Source Address(32bit) 宿IP地址 Dest
14、ination Address(32bit) 可选项 Option 有效负载 Payload(0或多个字节)20 bytes0 4 8 16 19 31填充域 paddingDate33西安电子科技大学计算机学院ICMP报文ICMP报文的一般格式Data差错信息出错IP数据报的头+64个字节数据类型 Type(8bit)代码 Code (8bit)检验和 Checksum(16bit)不同类型和代码有不同的内容Data0 8 16 31ICMP header ICMP data IP header I P data 封装Date34西安电子科技大学计算机学院TCP头部源端口Source Por
15、t (16bit)宿端口Destination Port (16bit)序列号Sequence Number (32bit)确认号Acknowledgment Number(32bit)Data Offset (4bit)Reserved(6bit)U R GA C KP S HR S TS Y NF I N窗口大小Window size(16bit)校验和Checksum(16bit)紧急指针Urgent Pointer (16bit)选项 Options (0或多个32bit字)数据Data (可选)Date35西安电子科技大学计算机学院UDP头部UDP源端口UDP宿端口UDP长度UDP校验和16bit16bit最小值为8全“0”:不选;全“1”:校验和为0。Date36西安电子科技大学计算机学院包过滤的依据l IP 源地址l IP目的地址l 封装协议(TCP、UDP、或IP Tunnel)l TCP/UDP源端口l TCP/UDP目的端口l ICMP包类型l TCP报头的ACK位l 包输入接口和包输出接口Date37西安电子科技大学计算机学院依赖于服务的过滤多数服务对应特定的端口,例:Telnet、SMTP、POP3分别 为23、25、110。如要封锁输入Telnet 、SMT
