信息安全第11章防火墻.ppt

第11章 防火墻,主要內(nèi)容,11.1 防火墻的原理 11.2 防火墻的分類 11.3 防火墻技術(shù) 11.4 防火墻的體系結(jié)構(gòu) 11.5 防火墻的局限性,Internet,為什么需要防火墻,Internet的開放性導(dǎo)致網(wǎng)絡(luò)安全威脅無處不在,拒絕服務(wù)攻擊,ARP攻擊泛濫,未授權(quán)資源訪問,非法資源訪問,各種協(xié)議漏洞攻擊,沒有防火墻的 Internet千瘡百孔,11.1 防火墻的原理,Willam Cheswick和 steven Beellovin：防火墻是位于兩個(gè)（或多個(gè)）網(wǎng)絡(luò)間，實(shí)施網(wǎng)間訪問控制的一組組件的集合，它滿足以下條件： 內(nèi)部和外部之間的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過防火墻； 有符合安全政策的數(shù)據(jù)流才能通過防火墻； 防火墻自身能抗攻擊。,防火墻可以是在可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的一個(gè)緩沖系統(tǒng)，它可以是一臺(tái)有訪問控制策略的路由器，或者一臺(tái)多個(gè)網(wǎng)絡(luò)接口的計(jì)算機(jī)、也可以是安裝在某臺(tái)特定機(jī)器上的軟件。它被配置成保護(hù)指定網(wǎng)絡(luò)，使其免受來自于非信任網(wǎng)絡(luò)區(qū)域的某些協(xié)議與服務(wù)的影響。,防火墻的基本功能,服務(wù)控制：確定哪些服務(wù)可以被訪問； 方向控制：對(duì)于特定的服務(wù)，可以確定允許哪個(gè)方向能夠通過防火墻； 用戶控制：根據(jù)用戶來控制對(duì)服務(wù)的訪問； 行為控制：控制一個(gè)特定的服務(wù)的行為。,防火墻在網(wǎng)絡(luò)中的位置 防火墻多應(yīng)用于一個(gè)局域網(wǎng)的出口處（如圖（a）所示）或置于兩個(gè)網(wǎng)絡(luò)中間（如圖（b）所示）。,防火墻在網(wǎng)絡(luò)中的位置,安全域?yàn)槭裁葱枰踩颍?傳統(tǒng)防火墻通常都基于接口進(jìn)行策略配置，網(wǎng)絡(luò)管理員需要為每一個(gè)接口配置安全策略。 防火墻的端口朝高密度方向發(fā)展，基于接口的策略配置方式給網(wǎng)絡(luò)管理員帶來了極大的負(fù)擔(dān)，安全策略的維護(hù)工作量成倍增加，從而也增加了因?yàn)榕渲靡氚踩L(fēng)險(xiǎn)的概率。,教學(xué)樓 #1,教學(xué)樓 #2,教學(xué)樓 #3,服務(wù)器群,辦公樓 #1,辦公樓 #2,實(shí)驗(yàn)樓 #1,實(shí)驗(yàn)樓 #2,宿舍樓,Internet,配置維護(hù)太復(fù)雜了！,安全域什么是安全域？,將安全需求相同的接口劃分到不同的域，實(shí)現(xiàn)策略的分層管理。,防火墻,Trust,Untrust,Internet,教學(xué)樓 辦公樓 實(shí)驗(yàn)樓 宿舍樓,DMZ,Web服務(wù)器 FTP服務(wù)器 郵件服務(wù)器 打印服務(wù)器,配置維護(hù)簡單多了！,1 信賴域和非信賴域 2 信賴主機(jī)和非信賴主機(jī) 3、DMZ DMZ（Demilitarized zone）稱為“隔離區(qū)”或“非軍事化區(qū)”，它是介于信賴域和非信賴域之間的一個(gè)安全區(qū)域。,Trust,安全域域間策略,市場部門 /16,防火墻,研發(fā)部門 /16,域間策略,Untrust,Internet,DMZ,Web Server ,Mail Server ,Trust區(qū)域的市場部門員工在上班時(shí)間可以訪問Internet Untrust區(qū)域在任何時(shí)候都不允許訪問DMZ區(qū)域的郵件服務(wù)器 Trust區(qū)域的研發(fā)部門員工在任何時(shí)候都可以訪問DMZ區(qū)域的Web服務(wù)器,使用防火墻后的網(wǎng)絡(luò)組成,防火墻的實(shí)施策略,一切未被禁止的就是允許的（Yes規(guī)則） 確定那些被認(rèn)為是不安全的服務(wù)，禁止其訪問；而其他服務(wù)則被認(rèn)為是安全的，允許訪問。 一切未被允許的就是禁止的（No規(guī)則） 確定所有可以被提供的服務(wù)以及它們的安全性，然后開放這些服務(wù)，并將所有其他未被列入的服務(wù)排除在外，禁止訪問。,11.2 防火墻的分類,根據(jù)防火墻形式分類 根據(jù)實(shí)現(xiàn)原理分類 根據(jù)防火墻結(jié)構(gòu)分類 按照防火墻應(yīng)用部署分類,根據(jù)防火墻形式分類,軟件防火墻 運(yùn)行于特定的計(jì)算機(jī)上，它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持 硬件防火墻 基于PC架構(gòu)，運(yùn)行一些經(jīng)過裁剪和簡化的操作系統(tǒng)，一般至少應(yīng)具備三個(gè)端口 芯片級(jí)防火墻 專有的ASIC芯片，速度更快，處理能力更強(qiáng)，性能更高，專用操作系統(tǒng)，價(jià)格相對(duì)比較高昂,根據(jù)實(shí)現(xiàn)原理分類,包過濾(Packet Filtering)型 工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，根據(jù)數(shù)據(jù)包頭源地址、目的地址、端口號(hào)和協(xié)議類型等標(biāo)志確定是否允許通過。 應(yīng)用代理(Application Proxy)型 工作在OSI的最高層，即應(yīng)用層。其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。,根據(jù)防火墻結(jié)構(gòu)分類,單一主機(jī)防火墻 最為傳統(tǒng)的防火墻，獨(dú)立于其它網(wǎng)絡(luò)設(shè)備，位于網(wǎng)絡(luò)邊界。一般都集成了兩個(gè)以上的以太網(wǎng)卡，連接一個(gè)以上的內(nèi)、外部網(wǎng)絡(luò)。 路由器集成式防火墻 在許多中、高檔路由器中集成了防火墻功能。如Cisco IOS防火墻系列。但這種防火墻通常是較低級(jí)的包過濾型。這樣企業(yè)就不用再同時(shí)購買路由器和防火墻 分布式防火墻 由多個(gè)軟、硬件組成的系統(tǒng)。滲透于網(wǎng)絡(luò)的每一臺(tái)主機(jī)，對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)的主機(jī)實(shí)施保護(hù)。在網(wǎng)絡(luò)服務(wù)器中，通常會(huì)安裝一個(gè)用于防火墻系統(tǒng)管理軟件，在服務(wù)器及各主機(jī)上安裝有集成網(wǎng)卡功能的PCI防火墻卡 ，一塊防火墻卡同時(shí)兼有網(wǎng)卡和防火墻的雙重功能。這樣一個(gè)防火墻系統(tǒng)就可以徹底保護(hù)內(nèi)部網(wǎng)絡(luò)。,按照防火墻應(yīng)用部署分類,邊界防火墻 位于內(nèi)、外部網(wǎng)絡(luò)的邊界，所起的作用的對(duì)內(nèi)、外部網(wǎng)絡(luò)實(shí)施隔離，保護(hù)邊界內(nèi)部網(wǎng)絡(luò)。一般都是硬件類型 個(gè)人防火墻 安裝于單臺(tái)主機(jī)中。應(yīng)用于廣大的個(gè)人用戶，通常為軟件防火墻，價(jià)格最便宜，在功能上有很大的限制。 混合式防火墻 是一整套防火墻系統(tǒng)，由若干個(gè)軟、硬件組件組成，分布于內(nèi)、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機(jī)之間，既對(duì)內(nèi)、外部網(wǎng)絡(luò)之間通信進(jìn)行過濾，又對(duì)網(wǎng)絡(luò)內(nèi)部各主機(jī)間的通信進(jìn)行過濾。它屬于最新的防火墻技術(shù)之一，性能最好，價(jià)格也最貴。,11.3 防火墻技術(shù),數(shù)據(jù)包過濾 代理服務(wù),數(shù)據(jù)包過濾技術(shù),什么是包過濾？ 包過濾是訪問控制技術(shù)的一種，對(duì)于需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，首先獲取包頭信息（包括源地址、目的地址、源端口和目的端口等），然后與設(shè)定的策略進(jìn)行比較，根據(jù)比較的結(jié)果對(duì)數(shù)據(jù)包進(jìn)行相應(yīng)的處理（允許通過或直接丟棄）。 數(shù)據(jù)包過濾原理 在網(wǎng)絡(luò)的適當(dāng)位置，根據(jù)系統(tǒng)設(shè)置的過濾規(guī)則。對(duì)數(shù)據(jù)包實(shí)施過濾，只允許滿足過濾規(guī)則的數(shù)據(jù)包通過并被轉(zhuǎn)發(fā)到目的地，而其他不滿足規(guī)則的數(shù)據(jù)包被丟棄。 包過濾技術(shù)出現(xiàn)了兩種不同版本，稱為“靜態(tài)包過濾”和“動(dòng)態(tài)包過濾”。,包過濾防火墻工作示意圖,靜態(tài)包過濾類型防火墻,采用數(shù)據(jù)包過濾技術(shù) 根據(jù)定義好的過濾規(guī)則審查每個(gè)數(shù)據(jù)包，過濾規(guī)則基于數(shù)據(jù)包的報(bào)頭信息進(jìn)行制訂。 報(bào)頭信息中包括IP源地址、IP目標(biāo)地址、傳輸協(xié)議(TCP、UDP、ICMP等等)、TCP/UDP目標(biāo)端口、ICMP消息類型等。,包過濾防火墻規(guī)則示例,1：內(nèi)部主機(jī)任何端口訪問任何主機(jī)的任何端口，基于TCP協(xié)議的數(shù)據(jù)包 都允許通過。 2：任何主機(jī)的20端口訪問主機(jī)的任何端口，基于TCP協(xié)議的數(shù)據(jù)包允許通過。 3：任何主機(jī)的20端口訪問主機(jī)小于1024的端口，如果基于TCP協(xié)議的數(shù)據(jù)包都禁止通過（與1、2作為系列規(guī)則時(shí)該規(guī)則無效）。,狀態(tài)監(jiān)測防火墻,靜態(tài)包過濾最明顯的缺陷是，為了實(shí)現(xiàn)期望的通信，它必須保持一些端口永久開放，這就為潛在的攻擊提供了機(jī)會(huì)。為了克服這個(gè)弱點(diǎn)，發(fā)展出了動(dòng)態(tài)包過濾技術(shù)，它根據(jù)數(shù)據(jù)包的頭信息打開或關(guān)閉端口。,狀態(tài)檢測防火墻的工作示意圖,包過濾防火墻的優(yōu)缺點(diǎn),優(yōu)點(diǎn)： 性能優(yōu)于其他防火墻，因?yàn)樗鼒?zhí)行的計(jì)算較少，并且容易用硬件方式實(shí)現(xiàn)； 規(guī)則設(shè)置簡單，通過禁止內(nèi)部計(jì)算機(jī)和特定Internet資源連接，單一規(guī)則即可保護(hù)整個(gè)網(wǎng)絡(luò)； 不需要對(duì)客戶端計(jì)算機(jī)進(jìn)行專門配置； 通過NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換），可以對(duì)外部用戶屏蔽內(nèi)部IP 缺點(diǎn)： 無法識(shí)別協(xié)議層次，也無法對(duì)協(xié)議子集進(jìn)行約束，甚至最基本的服務(wù)，如ftp中的put和get命令也無法識(shí)別； 處理包內(nèi)信息的能力有限，通常不能提供其他附加服務(wù)； 一般無法約束由內(nèi)部主機(jī)到防火墻服務(wù)器上的信息，只能控制哪些信息可以通過，從而入侵者可能訪問到防火墻主機(jī)的服務(wù)，帶來安全隱患； 由于對(duì)眾多網(wǎng)絡(luò)服務(wù)的支持所造成的復(fù)雜性，很難對(duì)規(guī)則有效性進(jìn)行測試。,NAT為什么需要NAT？,NAT（Network Addressing Translation：網(wǎng)絡(luò)地址轉(zhuǎn)換）,問題,如何應(yīng)對(duì)IPv4地址日益短缺的問題？,如何有效隱藏私網(wǎng)內(nèi)部結(jié)構(gòu)？,解決之道,NAT,NAT基本原理和實(shí)現(xiàn)方式,基本原理 僅在私網(wǎng)主機(jī)需要訪問Internet時(shí)才會(huì)分配到合法的公網(wǎng)地址，而在內(nèi)部互聯(lián)時(shí)則使用私網(wǎng)地址。當(dāng)訪問Internet的報(bào)文經(jīng)過防火墻時(shí)，會(huì)用一個(gè)合法的公網(wǎng)地址替換原報(bào)文中的源IP地址，并對(duì)這種轉(zhuǎn)換進(jìn)行記錄；之后，當(dāng)報(bào)文從Internet側(cè)返回時(shí)，防火墻查詢?cè)械挠涗?，將?bào)文的目的地址再替換回原來的私網(wǎng)地址，并送回發(fā)出請(qǐng)求的主機(jī)。,NAT基本NAT方式,00,8,NAT地址池,NAT轉(zhuǎn)換表項(xiàng),防火墻,1、只轉(zhuǎn)換IP地址，對(duì)TCP/UDP協(xié)議端口號(hào)不做處理。 2、一個(gè)公網(wǎng)IP地址不能同時(shí)被多個(gè)用戶使用。,源 00,目的 00,源 5,目的 5,內(nèi)網(wǎng)主機(jī),外網(wǎng)服務(wù)器,代理服務(wù)技術(shù),代理服務(wù)原理 代理服務(wù)是在防火墻主機(jī)上運(yùn)行的專門的應(yīng)用程序或服務(wù)器程序，這些程序根據(jù)安全策略處理用戶對(duì)網(wǎng)絡(luò)服務(wù)的請(qǐng)求，代理服務(wù)位于內(nèi)部網(wǎng)和外部網(wǎng)之間，處理其間的通信以代替互相的直接通信。,代理防火墻,代理防火墻的工作原理 代理防火墻具有傳統(tǒng)的代理服務(wù)器和防火墻的雙重功能。如圖所示，代理服務(wù)器位于客戶機(jī)與服務(wù)器,代理防火墻的工作示意圖,之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看，代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器；而從服務(wù)器來看，代理服務(wù)器僅是一臺(tái)客戶機(jī)。,應(yīng)用網(wǎng)關(guān)(Application Gateway)型防火墻,一般被配置為雙宿主網(wǎng)關(guān)，具有兩個(gè)網(wǎng)絡(luò)接口卡，跨接內(nèi)部網(wǎng)和外部網(wǎng)。 缺點(diǎn)：速度相對(duì)比較慢 優(yōu)點(diǎn)：安全性高,電路級(jí)網(wǎng)關(guān)防火墻,電路級(jí)網(wǎng)關(guān)是一個(gè)通用代理服務(wù)器，通?？梢哉J(rèn)為它工作于OSI互聯(lián)模型的會(huì)話層或是TCP/IP協(xié)議的TCP層 電路級(jí)網(wǎng)關(guān)的實(shí)現(xiàn)典型是Socks5協(xié)議，支持多種認(rèn)證方式。,11.4 防火墻的體系結(jié)構(gòu),堡壘主機(jī)（Bastion Host） 物理內(nèi)部網(wǎng)中唯一可供外界訪問到的主機(jī)，它通常配置了嚴(yán)格的安全防范措施，堡壘主機(jī)為內(nèi)部網(wǎng)和外部網(wǎng)之間的通信提供一個(gè)阻塞點(diǎn)。 DMZ 指供外部網(wǎng)訪問的專門區(qū)域，用于發(fā)布信息、提供服務(wù)。通常情況下，外部網(wǎng)和內(nèi)部網(wǎng)都可以訪問這一區(qū)域。 防火墻的體系結(jié)構(gòu)一般有雙重宿主主機(jī)體系結(jié)構(gòu)、屏蔽主機(jī)體系結(jié)構(gòu)和屏蔽子網(wǎng)體系結(jié)構(gòu)。,雙重宿主主機(jī)體系結(jié)構(gòu),IP數(shù)據(jù)包從一個(gè)網(wǎng)絡(luò)（例如Internet）并不是直接發(fā)送到其它網(wǎng)絡(luò)（例如內(nèi)部的、被保護(hù)的網(wǎng)絡(luò)），即內(nèi)部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)不能直接通信，而是由雙重宿主主機(jī)在中間實(shí)現(xiàn)交接過濾。,屏蔽主機(jī)體系結(jié)構(gòu),屏蔽主機(jī)體系結(jié)構(gòu)防火墻使用一個(gè)路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開 任何外部的系統(tǒng)要訪問內(nèi)部的系統(tǒng)或服務(wù)都必須先連接到堡壘主機(jī)。 內(nèi)部網(wǎng)也只有堡壘主機(jī)可以連接 Internet，堡壘主機(jī)實(shí)際也就