《防火墙安全等级及策略课件》由会员分享,可在线阅读,更多相关《防火墙安全等级及策略课件(13页珍藏版)》请在金锄头文库上搜索。
1、防火墙安全等级及策略1防火墙安全等级及策略防火防火墙安全等安全等级及策略及策略1 1 防火防火墙安全等安全等级设置置2 2 防火防火墙技技术3 3 防火防火墙安全策略安全策略4 42防火墙安全等级及策略 防火墙安全等级概述防火墙安全等级概述 从从20102010年年5 5月月1 1日起,对防火墙、安全路由器等日起,对防火墙、安全路由器等1313种产品,实行强制性认证,未获得中国信息安种产品,实行强制性认证,未获得中国信息安全认证证书的产品,不得进入政府采购。其中,备受关注的防火墙类产品从全认证证书的产品,不得进入政府采购。其中,备受关注的防火墙类产品从0909年年5 5月份开始接受中月份开始接
2、受中国信息安全认证中心的强制检测。国信息安全认证中心的强制检测。中国信息安全认证中心依照的检测标准之一就是中国信息安全认证中心依照的检测标准之一就是信息安全技术信息安全技术 防火墙技术要求和测试评价方法防火墙技术要求和测试评价方法 GB/T20281-2006GB/T20281-2006。在该。在该方法方法中,防火墙在安全等级方面被分为了三级,第三级为最高级。中,防火墙在安全等级方面被分为了三级,第三级为最高级。由于整个标准文字非常多,看起来比较费力,我们从功能分类方面大致上归纳了三个等级之间的区由于整个标准文字非常多,看起来比较费力,我们从功能分类方面大致上归纳了三个等级之间的区别。别。 第
3、一级:包过滤、应用代理、第一级:包过滤、应用代理、NATNAT、流量统计、安全审计、管理。、流量统计、安全审计、管理。第二级:除包含第一级所有功能分类外,增加了状态检测、深度包检测、第二级:除包含第一级所有功能分类外,增加了状态检测、深度包检测、IP/MACIP/MAC地地址绑定、动态开放端口、策略路由、带宽管理、双机热备、负载均衡功能。址绑定、动态开放端口、策略路由、带宽管理、双机热备、负载均衡功能。第三级:除包含第二级所有功能分类外,增加了第三级:除包含第二级所有功能分类外,增加了VPNVPN、协同联动功能。、协同联动功能。 除了在功能分类上有区别外,每个功能分类下的功能要求细目也是逐级加
4、强、增多。由除了在功能分类上有区别外,每个功能分类下的功能要求细目也是逐级加强、增多。由于功能要求细目数量比较多,在此不做分析。于功能要求细目数量比较多,在此不做分析。3防火墙安全等级及策略 防火墙安全等级概述防火墙安全等级概述 我们单从功能分类方面也会发现,防火墙第二级增加了很多实用功我们单从功能分类方面也会发现,防火墙第二级增加了很多实用功能,尤其是能,尤其是IP/MACIP/MAC地址绑定、带宽管理、双机热备,在企业网络管地址绑定、带宽管理、双机热备,在企业网络管理中更为实用。而第三级中增加的理中更为实用。而第三级中增加的VPNVPN功能和协同联动功能,更为企功能和协同联动功能,更为企业
5、远程接入和全网安全提供了保障。业远程接入和全网安全提供了保障。我们知道,国家密码管理局在我们知道,国家密码管理局在20092009年初颁布了最新的年初颁布了最新的SSLVPNSSLVPN技术规范技术规范,并对涉密产品中的算法做出了严格的限定,并对涉密产品中的算法做出了严格的限定,SM1SM1算法成算法成为商用密码产品中使用范围最广的算法。而为商用密码产品中使用范围最广的算法。而方法方法中规定,防火墙中规定,防火墙第三级中的第三级中的VPNVPN功能,必须符合国家密码管理局相关的标准。这样一功能,必须符合国家密码管理局相关的标准。这样一来,符合第三级标准的防火墙不仅具备了传统防护墙的实用功能,更
6、来,符合第三级标准的防火墙不仅具备了传统防护墙的实用功能,更拥有了符合国家标准的加密传输功能,成为政府、金融、企业中传输拥有了符合国家标准的加密传输功能,成为政府、金融、企业中传输加密的首选产品。加密的首选产品。 4防火墙安全等级及策略设定防火墙安全等级 虽虽然防火然防火墙预设墙预设会根据你会根据你连连接的网接的网络类络类型而套用不同的安全等型而套用不同的安全等级级,但也可以,但也可以随随时视时视需要需要变变更更这项设这项设定定 执执行此行此动动作的步作的步骤骤如下:如下: 1.1.点点选选主功能表上的主功能表上的【状状态态】; 2.2.在在【防防护护】区段,点区段,点选选【设设定定】; 3.
7、3.选择选择【防火防火墙墙】选项选项; 4.4.在在【网网络络】区段,点区段,点选选【设设定定】; 5 5选择选择网路网路 ( (如果网路不只一个的话如果网路不只一个的话) ),並且指定你想要用来识別的网路名称。,並且指定你想要用来识別的网路名称。点选点选【设定设定】; 6.6.指定此网路是受信任的网路或公共网路。指定此网路是受信任的网路或公共网路。 受信任位置:受信任的受信任位置:受信任的网网网网路是区域网路路是区域网路 ( (例如家里的网路例如家里的网路) ),你可以与网路,你可以与网路上的其他电脑共用档案或印表机。如果你选择此项,在你的电脑连接到区上的其他电脑共用档案或印表机。如果你选择
8、此项,在你的电脑连接到区域网路时,防火墙套用的安全等级可让你与网路上的其他电脑共享各种资域网路时,防火墙套用的安全等级可让你与网路上的其他电脑共享各种资源。源。 公用位置:公共网路是指你的电脑可以在公共场所连线的网路,例如在机公用位置:公共网路是指你的电脑可以在公共场所连线的网路,例如在机场、大学、网吧场、大学、网吧.等。如果你选择此项,防火墙会套用限制性较高的安等。如果你选择此项,防火墙会套用限制性较高的安全等级,防止网路上的其他电脑存取你的共用资源。全等级,防止网路上的其他电脑存取你的共用资源。5防火墙安全等级及策略硬件防火墙如果硬件防火墙如果从技术上来分又从技术上来分又可分为两类可分为两
9、类, ,即即标准防火墙和双标准防火墙和双家网关防火墙。家网关防火墙。防火墙安全技术“ “防火防火墙墙” ”是一种形象的是一种形象的说说法法, ,其其实实它是一种由它是一种由计计算机硬件算机硬件和和软软件的件的组组合合, ,使互使互联联网与网与内部网之内部网之间间建立起一个安全建立起一个安全 网关网关(scuritygateway),(scuritygateway),从而保从而保护护内部网免受非法用内部网免受非法用户户的侵入,它其的侵入,它其实实就是一个就是一个把互把互联联网与内部网(通常网与内部网(通常这这局域网或城域网)隔开的局域网或城域网)隔开的屏障。屏障。防火墙如果从实现防火墙如果从实现
10、方式上来分,又分方式上来分,又分为硬件防火墙和软为硬件防火墙和软件防火墙两类件防火墙两类6防火墙安全等级及策略防火墙安全技术 防火墙实现应用安全八项实用技术防火墙实现应用安全八项实用技术防火墙实现应用安全八项实用技术防火墙实现应用安全八项实用技术 : 1.1.深度数据包处理深度数据包处理深度数据包处理有时被称为深度数据包检测或者语义检测,它就是把多个数据包关深度数据包处理有时被称为深度数据包检测或者语义检测,它就是把多个数据包关联到一个数据流当中,在寻找攻击异常行为的同时,保持整个数据流的状态。深度数据联到一个数据流当中,在寻找攻击异常行为的同时,保持整个数据流的状态。深度数据包处理要求以极高
11、的速度分析、检测及重新组装应用流量,以避免给应用带来时延。下包处理要求以极高的速度分析、检测及重新组装应用流量,以避免给应用带来时延。下面每一种技术代表深度数据包处理的不同级别。面每一种技术代表深度数据包处理的不同级别。 2.2.TCP/IPTCP/IP终终止止应应用用层层攻攻击击涉及多种数据包,并且常常涉及多种涉及多种数据包,并且常常涉及多种请请求,即不同的数据流。流量分析求,即不同的数据流。流量分析系系统统要要发挥发挥功效,就必功效,就必须须在用在用户户与与应应用保持互用保持互动动的整个会的整个会话话期期间间,能,能够检测够检测数据包和数据包和请请求,以求,以寻寻找攻找攻击击行行为为。至少
12、,。至少,这这需要能需要能够终够终止止传输层协议传输层协议,并且在整个数据流而不是,并且在整个数据流而不是仅仅仅仅在在单单个数据包中个数据包中寻寻找找恶恶意模式。意模式。 3.3.SSLSSL终终止止如今,几乎所有的安全如今,几乎所有的安全应应用都使用用都使用HTTPSHTTPS确保通信的保密性。然而,确保通信的保密性。然而,SSLSSL数据流采数据流采用了端到端加密,因而用了端到端加密,因而对对被被动动探探测测器如入侵器如入侵检测检测系系统统(IDSIDS)产产品来品来说说是不透明的。是不透明的。为为了阻止了阻止恶恶意流量,意流量,应应用防火用防火墙墙必必须终须终止止SSLSSL,对对数据流
13、数据流进进行解行解码码,以便,以便检查检查明文格式的明文格式的流量。流量。这这是保是保护应护应用流量的最起用流量的最起码码要求。如果你的安全策略不允要求。如果你的安全策略不允许许敏感信息在未加密的敏感信息在未加密的前提下通前提下通过过网网络传输络传输,你就需要在流量,你就需要在流量发发送到送到WebWeb服服务务器之前重新器之前重新进进行加密的解决方案。行加密的解决方案。 7防火墙安全等级及策略防火墙安全技术 4.URL4.URL过滤过滤一旦一旦应应用流量呈明文格式,就必用流量呈明文格式,就必须检测须检测HTTPHTTP请请求的求的URLURL部分,部分,寻寻找找恶恶意攻意攻击击的迹的迹象,譬
14、如可疑的象,譬如可疑的统统一代一代码编码码编码(unicodeunicodeencodingencoding)。)。对对URLURL过滤过滤采用基于特征的方案,采用基于特征的方案,仅仅寻仅仅寻找匹配定期更新的特征、找匹配定期更新的特征、过滤过滤掉与已知攻掉与已知攻击击如如红红色代色代码码和尼姆达有关的和尼姆达有关的URLURL,这这是是远远远远不不够够的。的。这这就需要一种方案不就需要一种方案不仅仅能能检查检查RULRUL,还还能能检查请检查请求的其余部分。其求的其余部分。其实实,如果把如果把应应用响用响应应考考虑进虑进来,可以大大提高来,可以大大提高检测检测攻攻击击的准确性。的准确性。虽虽然
15、然URLURL过滤过滤是一是一项项重要重要的操作,可以阻止通常的脚本少年的操作,可以阻止通常的脚本少年类类型的攻型的攻击击,但无力抵御大部分的,但无力抵御大部分的应应用用层层漏洞。漏洞。 5.5.请求分析请求分析全面的请求分析技术比单单采用全面的请求分析技术比单单采用URLURL过滤来得有效,可以防止过滤来得有效,可以防止WebWeb服务器层的跨站服务器层的跨站脚本执行(脚本执行(cross-sitescriptingcross-sitescripting)漏洞和其它漏洞。全面的请求分析使)漏洞和其它漏洞。全面的请求分析使URLURL过滤更进过滤更进了一步:可以确保请求符合要求、遵守标准的了一
16、步:可以确保请求符合要求、遵守标准的HTTPHTTP规范,同时确保单个的请求部分在规范,同时确保单个的请求部分在合理的大小限制范围之内。这项技术对防止缓冲器溢出攻击非常有效。合理的大小限制范围之内。这项技术对防止缓冲器溢出攻击非常有效。 6.6.用户会话跟踪用户会话跟踪 更先进的下一个技术就是用户会话跟踪。这是应用流量状态检测技术的最基本部分:更先进的下一个技术就是用户会话跟踪。这是应用流量状态检测技术的最基本部分:跟踪用户会话,把单个用户的行为关联起来。这项功能通常借助于通过跟踪用户会话,把单个用户的行为关联起来。这项功能通常借助于通过URLURL重写(重写(URLURLrewritingr
17、ewriting)来使用会话信息块加以实现。只要跟踪单个用户的请求,就能够对信息块)来使用会话信息块加以实现。只要跟踪单个用户的请求,就能够对信息块实行极其严格的检查。这样就能有效防御会话劫持(实行极其严格的检查。这样就能有效防御会话劫持(session-hijackingsession-hijacking)及信息块中)及信息块中毒(毒(cookie-poisoningcookie-poisoning)类型的漏洞。)类型的漏洞。 8防火墙安全等级及策略防火墙安全技术 7.7.响应模式匹配响应模式匹配响应模式匹配为应用提供了更全面的保护:它不仅检查提交至响应模式匹配为应用提供了更全面的保护:它不
18、仅检查提交至WebWeb服务器的请求,服务器的请求,还检查还检查WebWeb服务器生成的响应。它能极其有效地防止网站受毁损,或者更确切地说,防服务器生成的响应。它能极其有效地防止网站受毁损,或者更确切地说,防止已毁损网站被浏览。对响应里面的模式进行匹配相当于在请求端对止已毁损网站被浏览。对响应里面的模式进行匹配相当于在请求端对URLURL进行过滤。响进行过滤。响应模式匹配分三个级别。防毁损工作由应用防火墙来进行,它对站点上的静态内容进行应模式匹配分三个级别。防毁损工作由应用防火墙来进行,它对站点上的静态内容进行数字签名。如果发现内容离开数字签名。如果发现内容离开WebWeb服务器后出现了改动,
19、防火墙就会用原始内容取代已服务器后出现了改动,防火墙就会用原始内容取代已毁损页面。至于对付敏感信息泄露方面,应用防火墙会监控响应,寻找可能表明服务器毁损页面。至于对付敏感信息泄露方面,应用防火墙会监控响应,寻找可能表明服务器有问题的模式,譬如一长串有问题的模式,譬如一长串JavaJava异常符。如果发现这类模式,防火墙就会把它们从响应异常符。如果发现这类模式,防火墙就会把它们从响应当中剔除,或者干脆封阻响应。当中剔除,或者干脆封阻响应。 8.8.行为建模行为建模行为建模有时称为积极的安全模型或行为建模有时称为积极的安全模型或“ “白名单白名单” ”(whitelistwhitelist)安全,
20、它是唯一能)安全,它是唯一能够防御最棘手的应用漏洞够防御最棘手的应用漏洞零时间漏洞的保护机制。零时间漏洞是指未写入文档或零时间漏洞的保护机制。零时间漏洞是指未写入文档或“ “还不知道还不知道” ”的攻击。对付这类攻击的唯一机制就是只允许已知是良好行为的行为,其它的攻击。对付这类攻击的唯一机制就是只允许已知是良好行为的行为,其它行为一律禁止。这项技术要求对应用行为进行建模,这反过来就要求全面分析提交至应行为一律禁止。这项技术要求对应用行为进行建模,这反过来就要求全面分析提交至应用的每个请求的每次响应,目的在于识别页面上的行为元素,譬如表单域、按钮和超文用的每个请求的每次响应,目的在于识别页面上的
21、行为元素,譬如表单域、按钮和超文本链接。这种级别的分析可以发现恶意表单域及隐藏表单域操纵类型的漏洞,同时对允本链接。这种级别的分析可以发现恶意表单域及隐藏表单域操纵类型的漏洞,同时对允许用户访问的许用户访问的URLURL实行极其严格的监控。行为建模是唯一能够有效对付全部实行极其严格的监控。行为建模是唯一能够有效对付全部1616种应用漏种应用漏洞的技术。行为建模是一种很好的概念,但其功效往往受到自身严格性的限制。某些情洞的技术。行为建模是一种很好的概念,但其功效往往受到自身严格性的限制。某些情况譬如大量使用况譬如大量使用JavaScriptJavaScript或者应用故意偏离行为模型都会导致行为
22、建模犯错,从而引或者应用故意偏离行为模型都会导致行为建模犯错,从而引发误报,拒绝合理用户访问应用。行为建模要发挥作用,就需要一定程度的人为干预,发误报,拒绝合理用户访问应用。行为建模要发挥作用,就需要一定程度的人为干预,以提高安全模型的准确性以提高安全模型的准确性 9防火墙安全等级及策略防火墙安全策略 安全策略也可以称为访问上的控制策略。它包含了访问上的控制以及组织内其他资源使安全策略也可以称为访问上的控制策略。它包含了访问上的控制以及组织内其他资源使用的种种规定。访问控制包含了哪些资源可以被访问,如读取、删除、下载等行为的规用的种种规定。访问控制包含了哪些资源可以被访问,如读取、删除、下载等
23、行为的规范,以及哪些人拥有这些权力等信息。范,以及哪些人拥有这些权力等信息。 1)1)网网络络服服务访问务访问策略策略网网络络服服务访问务访问策略是一种高策略是一种高层层次的、具体到事件的策略,主要用于定次的、具体到事件的策略,主要用于定义义在网在网络络中允中允许许的或禁止的网的或禁止的网络络服服务务,还还包括包括对拨对拨号号访问访问以及以及PPP(PPP(点点对对点点协议协议) )连连接接的限制。的限制。这这是因是因为对为对一种网一种网络络服服务务的限制可能会促使用的限制可能会促使用户户使用其他的方法,所使用其他的方法,所以其他的途径也以其他的途径也应应受到保受到保护护。比如,如果一个防火。
24、比如,如果一个防火墙墙阻止用阻止用户户使用使用TelnetTelnet服服务务访问访问因特网,一些人可能会使用因特网,一些人可能会使用拨拨号号连连接来接来获获得得这这些服些服务务,这样这样就可能会使网就可能会使网络络受到攻受到攻击击。网。网络络服服务访问务访问策略不但策略不但应该应该是一个站点安全策略的延伸,而且是一个站点安全策略的延伸,而且对对于机构内部于机构内部资资源的保源的保护护也起全局的作用。也起全局的作用。这这种策略可能包括种策略可能包括许许多事情,从文件多事情,从文件切碎条例到病毒切碎条例到病毒扫扫描程序,从描程序,从远远程程访问访问到移到移动动介介质质的管理。的管理。10防火墙安
25、全等级及策略防火墙安全策略 2)2)防火防火墙墙的的设计设计策略策略防火防火墙墙的的设计设计策略是具体地策略是具体地针对针对防火防火墙墙,负责负责制定相制定相应应的的规规章制度来章制度来实实施网施网络络服服务访问务访问策略。在制定策略。在制定这这种策略之前,必种策略之前,必须须了解了解这这种防火种防火墙墙的性能以及缺陷、的性能以及缺陷、TCP/IPTCP/IP自身所具有的易攻自身所具有的易攻击击性和危性和危险险。防火。防火墙墙一般一般执执行一下两种基本策略中行一下两种基本策略中的一种:的一种:除非明确不允除非明确不允许许,否,否则则允允许许某种服某种服务务; ; 除非明确允除非明确允许许,否,
26、否则则将禁止某将禁止某项项服服务务。执执行第一种策略的防火行第一种策略的防火墙墙在默在默认认情况下允情况下允许许所有的服所有的服务务,除非管理,除非管理员对员对某种某种服服务务明确表示禁止。明确表示禁止。执执行第二种策略的防火行第二种策略的防火墙墙在默在默认认情况下禁止所有的服情况下禁止所有的服务务,除非管理除非管理员对员对某种服某种服务务明确表示允明确表示允许许。防火。防火墙墙可以可以实实施一种施一种宽宽松的策略松的策略( (第一第一种种) ),也可以,也可以实实施一种限制性策略施一种限制性策略( (第二种第二种) ),这这就是制定防火就是制定防火墙墙策略的入手点。策略的入手点。11防火墙安
27、全等级及策略防火墙安全策略 3)3)安全策略安全策略设计时设计时需要考需要考虑虑的的问题问题为为了确定防火了确定防火墙墙安全安全设计设计策略,策略,进进而构建而构建实现预实现预期安全策略的防火期安全策略的防火墙墙,应应从从最安全的防火最安全的防火墙设计墙设计策略开始,即除非明确允策略开始,即除非明确允许许,否,否则则禁止某种服禁止某种服务务。策略。策略应应该该解决以下解决以下问题问题:*需要什么服需要什么服务务,如,如TelnetTelnet、WWWWWW或或NFSNFS等等; ;*在那里使用在那里使用这这些服些服务务,如本地、穿越因特网、从家里或,如本地、穿越因特网、从家里或远远方的方的办办公机构公机构等等; ;*是否是否应应当支持当支持拨拨号入网和加密等服号入网和加密等服务务; ;*提供提供这这些服些服务务的的风险风险是什么是什么; ;*若提供若提供这这种保种保护护,可能会,可能会导导致网致网络络使用上的不方便等使用上的不方便等负负面影响,面影响,这这些影些影响会有多大响会有多大; ;*与可用性相比,站点的安全性放在什么位置。与可用性相比,站点的安全性放在什么位置。12防火墙安全等级及策略谢谢!13防火墙安全等级及策略
