防火墙攻防技术.ppt

信息安全,防火墙技术,授课内容,防火墙基本知识防火墙技术防火墙种类防火墙体系结构防火墙技术回顾与展望如何选择防火墙产品典型配置案例,授课内容,防火墙基本知识防火墙技术防火墙种类防火墙体系结构防火墙技术回顾与展望如何选择防火墙产品典型配置案例,防火墙基本知识,防火墙的概念防火墙的功能模型防火墙的基本安全策略防火墙的作用防火墙的评价,防火墙基本知识,防火墙的概念防火墙的功能模型防火墙的基本安全策略防火墙的作用防火墙的评价,防火墙基本知识,防火墙的概念防火墙的功能模型防火墙的基本安全策略防火墙的作用防火墙的评价,防火墙的概念,防火墙主要用于保护安全网络免受不安全网络的侵害。典型情况：安全网络为企业内部网络，不安全网络为因特网。但防火墙不只是用于企业内部网络与因特网之间，也可用于Intranet各部门网络之间（内部防火墙）。例如：财务部与市场部之间。,防火墙示意图,小 结,防火墙是位于两个信任程度不同的网络之间（如企业内部网络和 Internet 之间）的软件和硬件设备的组合。通过在防火墙中设置适当的过滤规则（安全策略），就可以使某些服务可以通过防火墙，某些服务不可以通过防火墙。以防止对重要信息资源的非法存取和访问，达到保护系统安全的目的。,防火墙基本知识,防火墙的概念防火墙的功能模型防火墙的基本安全策略防火墙的作用防火墙的评价,防火墙的功能模型,防火墙基本知识,防火墙的概念防火墙的功能模型防火墙的基本安全策略防火墙的作用防火墙的评价,防火墙基本安全策略（1）,目前安全策略主要有两种：（1）没有被允许就是禁止；（2）没有被禁止就是允许。目前一般采用策略（1）来设计防火墙,防火墙基本知识,防火墙的概念防火墙的功能模型防火墙的基本安全策略防火墙的作用防火墙的评价,防火墙的作用,防火墙可强迫所有进出信息都通过这个唯一狭窄的检查点，便于集中实施安全策略。防火墙可以实行强制的网络安全策略，如：禁止不安全的协议防火墙可以对网络存取和访问进行监控审计。,非法获取内部数据,防火墙的作用示意图,防火墙基本知识,防火墙的概念防火墙的功能模型防火墙的基本安全策略防火墙的作用防火墙的评价,防火墙的评价-防火墙可以防范什么,过滤不安全服务和非法用户。控制对特殊站点的访问。提供监视和跟踪的作用。通过安全和审计，提供有关通过防火墙的传输类型和数量以及有多少次试图闯入防火墙的企图等等信息。,防火墙的评价-防火墙不可以防范什么,防火墙不能防范绕过防火墙的攻击，例如:内部提供拨号服务。防火墙不能防范来自内部人员恶意的攻击。防火墙不能阻止被病毒感染的程序或文件的传递。防火墙不能防止数据驱动式攻击。例如:特洛伊木马。防火墙不是解决所有网络安全问题的万能药方，只是网络安全政策和策略中的一个组成部分。,防火墙的评价-防火墙不可以防范什么,内部提供拨号服务绕过防火墙,授课内容,防火墙基本知识防火墙技术防火墙种类防火墙体系结构防火墙技术回顾与展望如何选择防火墙产品典型配置案例,授课内容,防火墙基本知识防火墙技术防火墙种类防火墙体系结构防火墙技术回顾与展望如何选择防火墙产品典型配置案例,防火墙的种类,包过滤代理服务状态监视,防火墙的种类,包过滤代理服务状态监视,包过滤防火墙（1）,数据包过滤是指在网络中的适当位置对数据包实施有选择的通过。选择的依据就是系统内设置的过滤规则或称访问控制表。过滤系统可以是一台路由器或是一台主机，其中用于过滤数据包的路由器称为屏蔽路由器。,包过滤防火墙（2）,包过滤型防火墙示意图,包过滤防火墙（3）,数据包过滤一般是检查网络层的IP包头和传输层的包头：IP源地址、IP目标地址 协议类型（TCP包、UDP包和ICMP包）TCP或UDP包的源端口、目的端口 ICMP消息类型 TCP包头的ACK位 TCP包的序列号、IP校验和等 数据包过滤系统对数据本身一般不做任何事，即它们不做基于内容的决定。,检查项,IP 包的源地址,IP 包的目的地址,TCP/UDP 源端口,IP 包,检测包头,检查路由,安全策略：过滤规则,路由表,包过滤防火墙,转发,符合,不符合,丢弃,包过滤防火墙（5）,包过滤防火墙（6）,优点：速度快，吞吐率高（过滤规则较少时）对应用程序透明（无帐号口令等)缺点：安全性低不能过滤传输层以上的信息不能监控链路状态信息,防火墙的种类,包过滤代理服务状态监视,Client,Server,代理服务器,安全策略访问控制,代理客户机,请求,应答,被转发的请求,被转发的应答,应用代理防火墙,双向通信必须经过应用代理，禁止IP直接转发；,只允许本地安全策略允许的通信信息通过；,代理服务（1）,代理服务器示意图,代理服务（2）,代理服务要求有两个部件：代理服务器和代理客户。代理服务器运行在防火墙上，代理客户运行在客户机上。代理服务器评价来自代理客户的请求并决定请求是否被认可。如果请求被认可，代理服务器便代表客户接触真正的服务器并且转发从代理客户到真正的服务器的请求以及真正的服务器到代理客户的响应。,代理服务（3）,代理服务（6）,优点：安全性高可以将被保护网络内部的结构屏蔽起来可以实施较强的数据流监控、记录。即使一个基于代理服务的防火墙遭到破坏，外部用户仍不能连接到防火墙后面的网络可提供应用层的安全（身份验证等）即使攻击者盗用了一个合法的IP地址，它也通不过严格的身份验证。,代理服务（7）,缺点：灵活性通用性较差，只支持有限的应用。即需要为每一种网络应用专门设计开发代理服务软件及相应的监控、过滤功能。不透明（用户每次连接可能要受到“盘问”）代理服务的工作量较大，需要专门的硬件（工作站）来承担,防火墙的种类,包过滤代理服务状态监视,检查项,IP 包的源、目的地址、端口,TCP 会话的连接状态,上下文信息,状态监视（1）,可对各层的通信进行主动、实时的监控,重组会话，对应用进行细粒度检测,特点：,监测引擎,状态监视器示意图,IP 包,检测包头,下一步处理,安全策略：过滤规则,会话连接状态缓存表,状态检测包过滤防火墙,符合,不符合,丢弃,状态检测包过滤检测流程示意,符合,状态监视（2）,状态监视（3）,优点：1.安全性得到进一步提高。2.可监测无连接状态的远程过程调用和用户数据报之类的端口信息。缺点：1.降低网络速度2.配置比较复杂,状态监视（4）,状态检测技术对于新建立的连接，首先检查预先设置的安全规则，允许符合规则的连接通过，并记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要是符合状态表的，就可以通过。这种方式的好处在于：由于不需要对每个数据包进行规则检查，而是一个连接的后续数据包（通常是大量的数据包）通过散列算法，直接进行状态检查，只要符合状态表，就可以通过，从而使性能得到较大的提高；而且，它根据从所有各层中提取的与状态相关信息来做出安全决策，使得安全性也得到进一步的提高。,授课内容,引言：目前流行的六种安全技术防火墙基本知识防火墙技术防火墙种类防火墙体系结构防火墙技术回顾与展望如何选择防火墙产品典型配置案例,防火墙的体系结构,双重宿主主机体系结构屏蔽主机体系结构屏蔽子网体系结构其它的防火墙结构,防火墙的体系结构,双重宿主主机体系结构屏蔽主机体系结构屏蔽子网体系结构其它的防火墙结构,双重宿主主机体系结构,双重宿主主机有两个网络接口，它位于内部网络和外部网络之间。双重宿主主机的防火墙体系结构阻止内、外网络之间直接的IP通信。两个网络之间的IP通信需要通过应用层代理服务的方法实现。,防火墙,双重宿主主机,内部网络,双重宿主主机体系结构,代理服务器示意图,防火墙的体系结构,双重宿主主机体系结构屏蔽主机体系结构屏蔽子网体系结构其它的防火墙结构,屏蔽主机体系结构（1）,屏蔽主机体系结构由包过滤路由器和内部网络的堡垒主机承担安全责任。典型构成：包过滤路由器堡垒主机 包过滤路由器配置在内部网和外部网之间，保证外部系统对内部网络的操作只能经过堡垒主机。堡垒主机配置在内部网络上，是外部网络主机连接到内部网络主机的桥梁，它需要拥有高等级的安全。,包过滤路由器,内部网络,屏蔽主机体系结构,堡垒主机,防火墙,屏蔽主机体系结构（2）,优点：安全性更高，实现了网络层安全（包过滤）和应用层安全（代理服务）双重保护。缺点：过滤路由器能否正确配置是安全与否的关键。如果路由器被损害，堡垒主机将被暴露。,防火墙的体系结构,双重宿主主机体系结构屏蔽主机体系结构屏蔽子网体系结构其它的防火墙结构,屏蔽子网体系结构（1）,屏蔽子网体系结构在本质上与屏蔽主机体系结构一样，但添加了额外的一层保护体系周边网络。堡垒主机位于周边网络上，周边网络和内部网络被内部路由器分开。原因：堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机，能减少在堡垒主机被侵入的影响。,周边网络非军事区(DMZ),内部网络,外部路由器,堡垒主机,内部路由器,屏蔽子网体系结构,防火墙,屏蔽子网体系结构（2）,1、周边网络 周边网络是一个防护层，在其上可放置一些信息服务器，它们是牺牲主机，可能会受到攻击，因此又被称为非军事区(DMZ)。周边网络的作用：即使堡垒主机被入侵者控制，它仍可消除对内部网的侦听。,屏蔽子网体系结构（3）,2、堡垒主机 堡垒主机位于周边网络，是整个防御体系的核心。堡垒主机可被认为是应用层网关，可以运行各种代理服务程序。对于出站服务不一定要求所有的服务经过堡垒主机代理，但对于入站服务应要求所有服务都通过堡垒主机。,屏蔽子网体系结构（4）,3、外部路由器（访问路由器）作用：保护周边网络和内部网络不受外部网络的侵犯。它把入站的数据包路由到堡垒主机。防止部分IP欺骗，它可分辨出数据包是否真正来自周边网络，而内部路由器不可。,屏蔽子网体系结构（5）,4、内部路由器（阻塞路由器）作用：保护内部网络不受外部网络和周边网络的侵害，它执行大部分过滤工作。外部路由器一般与内部路由器应用相同的规则。,防火墙的体系结构,双重宿主主机体系结构屏蔽主机体系结构屏蔽子网体系结构其它的防火墙结构,其它的防火墙结构（1）,1、一个堡垒主机和一个非军事区,防火墙,其它的防火墙结构（2）,2、两个堡垒主机和两个非军事区,外部DMZ,外部堡垒主机,内部网,外部路由器,内部堡垒主机,内部DMZ,防火墙,授课内容,引言：目前流行的六种安全技术防火墙基本知识防火墙技术防火墙种类防火墙体系结构防火墙技术回顾与展望如何选择防火墙产品典型配置案例,防火墙技术的回顾与展望,防火墙技术与产品发展回顾防火墙的五大基本功能防火墙的六大关键技术防火墙产品的四个发展阶段第四代防火墙的主要技术与功能防火墙的安全标准防火墙技术展望,防火墙技术的回顾与展望,防火墙技术与产品发展回顾防火墙的五大基本功能防火墙的六大关键技术防火墙产品的四个发展阶段第四代防火墙的主要技术与功能防火墙的安全标准防火墙技术展望,防火墙技术与产品发展回顾,防火墙的五大基本功能：过滤进、出网络的数据;管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击检测和告警。,防火墙技术的回顾与展望,防火墙技术与产品发展回顾防火墙的五大基本功能防火墙的六大关键技术防火墙产品的四个发展阶段第四代防火墙的主要技术与功能防火墙的安全标准防火墙技术展望,防火墙的六大关键技术,包过滤技术代理技术状态检查技术地址转换技术（NAT）虚拟专网技术（VPN）内容检查技术,防火墙的六大关键技术,包过滤技术代理技术状态检查技术地址转换技术（NAT）虚拟专网技术（VPN）内容检查技术,网络地址转换技术（NAT）,NAT（Network Address Translation）:就是将一个IP地址用另一个IP地址代替。应用领域：网络管理员希望隐藏内部网络的IP地址。合法Internet IP地址有限，而且受保护网络往往有自己的一套IP地址规划（非正式IP地址）,网络地址转换技术（NAT）,解决方法：网络地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet时，防火墙动态地从地址集中选一个未分配的地址分配给该用户；对于内部的某些服务器如Web服务器，网络地址转换器允许为其分配一个固定的合法地址。好处：缓解IP地址匮乏问题；对外隐藏了内部主机的IP地址，提高了安全性。,隐藏内部网络的 IP 地址及内部网络结构,节约有效的 IP 地址空间,发出请求,应答发给,发出请求,发出请求,应答发给,应答发给,NAT,Intranet,防火墙,路由器,将内部网地址转换成网关地址,问题：所有返回数据包目的IP都是，防火墙如何识别并送回真正主机？方法：1、防火墙记住所有发送包的目的端口；2、防火墙记住所有发送包的TCP序列号,操作模式:Route/Transparent,Route 每个接口有IP地址，IP包从一个端口路由到另一端口，没有地址翻译Transparent 网络接口没有IP地址，类似于二层交换机,透明模式的支持,受保护网络,如果防火墙支持透明模式，则内部网络主机的配置不用调整,同一网段,透明模式下，这里不用配置IP地址,透明模式下，这里不用配置IP地址,防火墙相当于网桥，原网络结构没有改变,防火墙的六大关键技术,包过滤技术代理技术状态检查技术地址转换技术（NAT）虚拟专网技术（VPN）内容检查技术,内容检查技术,提供对高层服务协议数据的监控能力。包括计算机病毒、恶意的Java Applet或ActiveX控件的攻击、恶意的电子邮件及不健康网页内容等的过滤防护。,Internet,网关防病毒,DMZEmailHTTP,财务部,市场部,研发部,Router,Exe/doc/zip,病毒库,隔离病毒邮件,Internet,入侵检测,DMZEmailFtpHTTP,财务部,市场部,研发部,Router,恶意的攻击和扫描,告警!,内容安全控制 网络访问的内容控制，支持WEB内容的关键字过滤，屏蔽具有激越或敏感的网页内容，提供了内容级可控制手段。,URL 过滤/关键字段过滤/IP地址过滤 Java/ActiveX/Cookies,Internet 内容安全控制,管理与控制控制颗粒精细,Reject:/xxx.asp?,可定义的返回提示,防火墙技术的回顾与展望,防火墙技术与产品发展回顾防火墙的五大基本功能防火墙的六大关键技术防火墙产品的四个发展阶段第四代防火墙的主要技术与功能防火墙的安全标准防火墙技术展望,防火墙技术与产品发展回顾,防火墙产品的四个发展阶段（四代）基于路由器的防火墙用户化的防火墙工具套件建立在通用操作系统上的防火墙具有安全操作系统的防火墙,第一代：基于路由器的防火墙,称为包过滤防火墙特征：以访问控制表方式实现包过滤过滤的依据是IP地址、端口号和其它网络特征只有包过滤功能，且防火墙与路由器合为一体,第一代：基于路由器的防火墙,缺点：路由协议本身具有安全漏洞路由器上的包过滤规则的设置和配置复杂攻击者可假冒地址本质缺陷：防火墙的设置会大大降低路由器的性能（一对矛盾）路由器：为网络访问提供动态灵活的路由 防火墙：对访问行为实施静态固定的控制,包过滤型防火墙,第二代:用户化的防火墙工具套件,特征：将过滤功能从路由器中独立出来，并加上审计和告警功能；针对用户需求提供模块化的软件包；纯软件产品。安全性提高，价格降低；缺点：配置和维护过程复杂费时；对用户技术要求高；全软件实现，安全性和处理速度均有局限；,Internet客户通过代理服务访问内部网主机,第三代：建立在通用操作系统上的防火墙,是近年来在市场上广泛使用的防火墙。特征包括包过滤或借用路由器的包过滤功能；装有专用的代理服务系统，监控所有协议的数据和指令；保护用户编程空间和用户可配置内核参数的设置；安全性和速度大为提高。,第三代：建立在通用操作系统上的防火墙,实现方式：软件、硬件、软硬结合。问题：作为基础的操作系统及其内核的安全性无从保证。通用操作系统厂商不会对防火墙的安全性负责；第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统漏洞的攻击。用户必须依赖两方面的安全支持：防火墙厂商和操作系统厂商。上述问题在基于Windows NT开发的防火墙产品中表现得十分明显。,被屏蔽子网防火墙系统,第四代：具有安全操作系统的防火墙,第四代防火墙本身是一个安全操作系统，安全性有质的提高。获得安全操作系统的方法：通过许可证方式获得操作系统的源码；通过固化操作系统内核来提高可靠性。,第四代：具有安全操作系统的防火墙,特点：防火墙厂商具有操作系统的源代码，并可实现安全内核；对安全内核实现加固处理：即去掉不必要的系统特性，强化安全保护；对每个服务器、子系统都作了安全处理；一旦黑客攻破了一个服务器，它将会被隔离在此服务器内，不会对网络的其它部分构成威胁。在功能上包括了分组过滤、代理服务，且具有加密与鉴别功能；透明性好，易于使用。,防火墙技术的回顾与展望,防火墙技术与产品发展回顾防火墙的五大基本功能防火墙的六大关键技术防火墙产品的发展回顾第四代防火墙的主要技术与功能防火墙的安全标准防火墙技术展望,第四代防火墙的主要技术与功能,双端口或三端口结构透明的访问方式灵活的代理系统 采用了两种代理机制，一种用于从内部网到外部网的连接，另一种用于此外部网到内部网的连接；前者采用NAT技术，后者采用用户定制代理服务。多级的过滤技术网络地址转换技术（NAT）,第四代防火墙的主要技术与功能,安全服务器网络（SSN）对外服务器既是内部网的一部分，又与内部网完全隔离。第四代防火墙采用分别保护的策略对向外提供服务的网络提供保护，它利用一张网卡将对外服务器作为一个独立网络处理。用户鉴别与加密用户定制服务审计和告警,防火墙技术的回顾与展望,防火墙技术与产品发展回顾防火墙的五大基本功能防火墙的六大关键技术防火墙产品的发展回顾第四代防火墙的主要技术与功能防火墙的安全标准防火墙技术展望,防火墙的安全标准（1）,防火墙技术发展很快，但是现在标准尚不健全，导致不同的防火墙产品兼容性差，给不同厂商的防火墙产品的互联带来了困难。为了解决这个问题目前已提出了2个标准：1、RSA数据安全公司与一些防火墙的生产厂商（如Checkpoint公司、TIS公司等）以及一些TCP/IP协议开发商（如FTP公司等）提出了SecureWAN（SWAN）标准，它能使在IP层上由支持数据加密技术的不同厂家生产的防火墙和TCPIP协议具有互操作性，从而解决了建立虚拟专用网（VPN）的一个主要障碍。,防火墙的安全标准（2）,此标准包含两个部分：防火墙中采用的信息加密技术一致，即加密算法、安全协议一致，使得遵循此标准生产的防火墙产品能够实现无缝互联，但又不失去加密功能；安全控制策略的规范性、逻辑上的正确合理性，避免了各大防火墙厂商推出的防火墙产品由于安全策略上的漏洞而对整个内部保护网络产生危害。,防火墙的安全标准（3）,2、美国国家计算机安全协会NCSA（National Computer Security Association）成立的防火墙开发商FWPD（Firewall Product Developer）联盟制订的防火墙测试标准。,授课内容,防火墙基本知识防火墙技术防火墙种类防火墙体系结构防火墙技术回顾与展望如何选择防火墙产品典型配置案例,如何选择防火墙（1）,选择防火墙的标准有很多，但最重要的是以下几条：1、总拥有成本 防火墙产品作为网络系统的安全屏障，其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。如果仅做粗略估算，非关键部门的防火墙购置成本不应该超过网络系统的建设总成本，关键部门则应另当别论。,如何选择防火墙（2）,2、防火墙本身是安全的 作为信息系统安全产品，防火墙本身也应该保证安全，不给外部侵入者以能够轻易地绕过防线进入系统内部的可乘之机。通常，防火墙的安全性问题来自两个方面：其一是防火墙本身的设计是否合理。只有通过权威认证机构的全面测试才能确定。其二是使用不当。一般来说，防火墙的许多配置需要系统管理员手工修改，如果系统管理员对防火墙不十分熟悉，就有可能在配置过程中遗留大量的安全漏洞。,如何选择防火墙（3）,3、可扩充性 在网络系统建设的初期，由于内部信息系统的规模较小，遭受攻击造成的损失也较小，因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加，网络的风险成本也会急剧上升，此时便需要增加具有更高安全性的防火墙产品。好的产品应该留给用户足够的弹性空间，在安全水平要求不高的情况下，可以只选购基本系统，而随着要求的提高，用户仍然有进一步增加选件的余地。,如何选择防火墙（4）,4、防火墙的安全性能防火墙产品最难评估的方面是防火墙的安全性能，即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样，普通用户通常无法判断。即使安装好了防火墙，如果没有实际的外部入侵，也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的，所以用户在选择防火墙产品时，应该尽量选择市场份额较大同时又通过了权威认证机构认证测试的产品。,防火墙小结（1）,防火墙是使用最广泛的网络安全工具，是网络安全的第一道防线，用以防止 外部网络的未授权访问。（目前在全球连入 Internet的计算机中约有1/3是处于防火墙保护之下。）防火墙具有副作用，使内部网络与外部网络（Internet）的信息系统交流受到阻碍，增大了网络管理开销，而且减慢了信息传递速率。,防火墙小结（2）,防火墙具有局限性。防火墙不是解决网络安全问题的万能药方，它只是网络安全政策和策略的一个组成部分。网络安全由安全的操作系统、应用软件、防火墙、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件来保证的。一个单独的安全组件只能完成其中部分的功能。,谢谢大家！,目前流行的六种安全技术,防病毒PKI公钥基础设施防火墙VPN虚拟专用网漏洞扫描入侵检测,防火墙网关,NAT技术中将不合法IP转换为合法IP,包过滤防火墙（4）,包过滤操作过程：(1)包过滤规则必须被存储在包过滤设备的端口；(2)当数据包在端口到达时，包头被提取，同时包 过滤设备检查IP、TCP、UDP等包头中的信息；(3)包过滤规则以特定的次序被存储，每一规则按 照被存储的次序作用于包；(4)如果一条规则允许传输，包就被通过；如果一条规则阻止传输，包就被弃掉或进入下一条规则。,状态监视（2）,监测引擎：一个在网关上执行网络安全策略的软件模块。监测引擎采用抽取有关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态地保存起来作为以后执行安全策略的参考。当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、身份认证、报警等处理动作。,防火墙,内部网络,外部网络,Web Server,FTP/SMTPServer,DMZ OR SSN,双向NAT,操作模式:NAT/Route/Transparent,NAT 网络地址翻译，每个接口有一个IP地址，向外的包IP地址翻译成对外端口的IP地址任何接口均支持灵活的动态IP地址Route 每个接口有IP地址，IP包从一个端口路由到另一端口，没有地址翻译基于端口级的双向NAT/Route选择，配置灵活Transparent 网络接口没有IP地址，类似于二层交换机,