防火墻安全等級及策略.ppt

防火墻安全等級及策略 防火墻安全等級及策略 防火墻安全等級概述 防火墻安全等級概述 從2010年5月1日起 對防火墻 安全路由器等13種產(chǎn)品 實行強制性認(rèn)證 未獲得中國信息安全認(rèn)證證書的產(chǎn)品 不得進入政府采購 其中 備受關(guān)注的防火墻類產(chǎn)品從09年5月份開始接受中國信息安全認(rèn)證中心的強制檢測 中國信息安全認(rèn)證中心依照的檢測標(biāo)準(zhǔn)之一就是 信息安全技術(shù)防火墻技術(shù)要求和測試評價方法GB T20281 2006 在該 方法 中 防火墻在安全等級方面被分為了三級 第三級為最高級 由于整個標(biāo)準(zhǔn)文字非常多 看起來比較費力 我們從功能分類方面大致上歸納了三個等級之間的區(qū)別 第一級 包過濾 應(yīng)用代理 NAT 流量統(tǒng)計 安全審計 管理 第二級 除包含第一級所有功能分類外 增加了狀態(tài)檢測 深度包檢測 IP MAC地址綁定 動態(tài)開放端口 策略路由 帶寬管理 雙機熱備 負載均衡功能 第三級 除包含第二級所有功能分類外 增加了VPN 協(xié)同聯(lián)動功能 除了在功能分類上有區(qū)別外 每個功能分類下的功能要求細目也是逐級加強 增多 由于功能要求細目數(shù)量比較多 在此不做分析 防火墻安全等級概述 我們單從功能分類方面也會發(fā)現(xiàn) 防火墻第二級增加了很多實用功能 尤其是IP MAC地址綁定 帶寬管理 雙機熱備 在企業(yè)網(wǎng)絡(luò)管理中更為實用 而第三級中增加的VPN功能和協(xié)同聯(lián)動功能 更為企業(yè)遠程接入和全網(wǎng)安全提供了保障 我們知道 國家密碼管理局在2009年初頒布了最新的 SSLVPN技術(shù)規(guī)范 并對涉密產(chǎn)品中的算法做出了嚴(yán)格的限定 SM1算法成為商用密碼產(chǎn)品中使用范圍最廣的算法 而 方法 中規(guī)定 防火墻第三級中的VPN功能 必須符合國家密碼管理局相關(guān)的標(biāo)準(zhǔn) 這樣一來 符合第三級標(biāo)準(zhǔn)的防火墻不僅具備了傳統(tǒng)防護墻的實用功能 更擁有了符合國家標(biāo)準(zhǔn)的加密傳輸功能 成為政府 金融 企業(yè)中傳輸加密的首選產(chǎn)品 設(shè)定防火墻安全等級 雖然防火墻預(yù)設(shè)會根據(jù)你連接的網(wǎng)絡(luò)類型而套用不同的安全等級 但也可以隨時視需要變更這項設(shè)定執(zhí)行此動作的步驟如下 1 點選主功能表上的 狀態(tài) 2 在 防護 區(qū)段 點選 設(shè)定 3 選擇 防火墻 選項 4 在 網(wǎng)絡(luò) 區(qū)段 點選 設(shè)定 5選擇網(wǎng)路 如果網(wǎng)路不只一個的話 並且指定你想要用來識別的網(wǎng)路名稱 點選 設(shè)定 6 指定此網(wǎng)路是受信任的網(wǎng)路或公共網(wǎng)路 受信任位置 受信任的網(wǎng)路是區(qū)域網(wǎng)路 例如家里的網(wǎng)路 你可以與網(wǎng)路上的其他電腦共用檔案或印表機 如果你選擇此項 在你的電腦連接到區(qū)域網(wǎng)路時 防火墻套用的安全等級可讓你與網(wǎng)路上的其他電腦共享各種資源 公用位置 公共網(wǎng)路是指你的電腦可以在公共場所連線的網(wǎng)路 例如在機場 大學(xué) 網(wǎng)吧 等 如果你選擇此項 防火墻會套用限制性較高的安全等級 防止網(wǎng)路上的其他電腦存取你的共用資源 硬件防火墻如果從技術(shù)上來分又可分為兩類 即標(biāo)準(zhǔn)防火墻和雙家網(wǎng)關(guān)防火墻 防火墻安全技術(shù) 防火墻 是一種形象的說法 其實它是一種由計算機硬件和軟件的組合 使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān) scuritygateway 從而保護內(nèi)部網(wǎng)免受非法用戶的侵入 它其實就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng) 通常這局域網(wǎng)或城域網(wǎng) 隔開的屏障 防火墻如果從實現(xiàn)方式上來分 又分為硬件防火墻和軟件防火墻兩類 防火墻安全技術(shù) 防火墻實現(xiàn)應(yīng)用安全八項實用技術(shù) 1 深度數(shù)據(jù)包處理深度數(shù)據(jù)包處理有時被稱為深度數(shù)據(jù)包檢測或者語義檢測 它就是把多個數(shù)據(jù)包關(guān)聯(lián)到一個數(shù)據(jù)流當(dāng)中 在尋找攻擊異常行為的同時 保持整個數(shù)據(jù)流的狀態(tài) 深度數(shù)據(jù)包處理要求以極高的速度分析 檢測及重新組裝應(yīng)用流量 以避免給應(yīng)用帶來時延 下面每一種技術(shù)代表深度數(shù)據(jù)包處理的不同級別 2 TCP IP終止應(yīng)用層攻擊涉及多種數(shù)據(jù)包 并且常常涉及多種請求 即不同的數(shù)據(jù)流 流量分析系統(tǒng)要發(fā)揮功效 就必須在用戶與應(yīng)用保持互動的整個會話期間 能夠檢測數(shù)據(jù)包和請求 以尋找攻擊行為 至少 這需要能夠終止傳輸層協(xié)議 并且在整個數(shù)據(jù)流而不是僅僅在單個數(shù)據(jù)包中尋找惡意模式 3 SSL終止如今 幾乎所有的安全應(yīng)用都使用HTTPS確保通信的保密性 然而 SSL數(shù)據(jù)流采用了端到端加密 因而對被動探測器如入侵檢測系統(tǒng) IDS 產(chǎn)品來說是不透明的 為了阻止惡意流量 應(yīng)用防火墻必須終止SSL 對數(shù)據(jù)流進行解碼 以便檢查明文格式的流量 這是保護應(yīng)用流量的最起碼要求 如果你的安全策略不允許敏感信息在未加密的前提下通過網(wǎng)絡(luò)傳輸 你就需要在流量發(fā)送到Web服務(wù)器之前重新進行加密的解決方案 防火墻安全技術(shù) 4 URL過濾一旦應(yīng)用流量呈明文格式 就必須檢測HTTP請求的URL部分 尋找惡意攻擊的跡象 譬如可疑的統(tǒng)一代碼編碼 unicodeencoding 對URL過濾采用基于特征的方案 僅僅尋找匹配定期更新的特征 過濾掉與已知攻擊如紅色代碼和尼姆達有關(guān)的URL 這是遠遠不夠的 這就需要一種方案不僅能檢查RUL 還能檢查請求的其余部分 其實 如果把應(yīng)用響應(yīng)考慮進來 可以大大提高檢測攻擊的準(zhǔn)確性 雖然URL過濾是一項重要的操作 可以阻止通常的腳本少年類型的攻擊 但無力抵御大部分的應(yīng)用層漏洞 5 請求分析全面的請求分析技術(shù)比單單采用URL過濾來得有效 可以防止Web服務(wù)器層的跨站腳本執(zhí)行 cross sitescripting 漏洞和其它漏洞 全面的請求分析使URL過濾更進了一步 可以確保請求符合要求 遵守標(biāo)準(zhǔn)的HTTP規(guī)范 同時確保單個的請求部分在合理的大小限制范圍之內(nèi) 這項技術(shù)對防止緩沖器溢出攻擊非常有效 6 用戶會話跟蹤更先進的下一個技術(shù)就是用戶會話跟蹤 這是應(yīng)用流量狀態(tài)檢測技術(shù)的最基本部分 跟蹤用戶會話 把單個用戶的行為關(guān)聯(lián)起來 這項功能通常借助于通過URL重寫 URLrewriting 來使用會話信息塊加以實現(xiàn) 只要跟蹤單個用戶的請求 就能夠?qū)π畔K實行極其嚴(yán)格的檢查 這樣就能有效防御會話劫持 session hijacking 及信息塊中毒 cookie poisoning 類型的漏洞 防火墻安全技術(shù) 7 響應(yīng)模式匹配響應(yīng)模式匹配為應(yīng)用提供了更全面的保護 它不僅檢查提交至Web服務(wù)器的請求 還檢查Web服務(wù)器生成的響應(yīng) 它能極其有效地防止網(wǎng)站受毀損 或者更確切地說 防止已毀損網(wǎng)站被瀏覽 對響應(yīng)里面的模式進行匹配相當(dāng)于在請求端對URL進行過濾 響應(yīng)模式匹配分三個級別 防毀損工作由應(yīng)用防火墻來進行 它對站點上的靜態(tài)內(nèi)容進行數(shù)字簽名 如果發(fā)現(xiàn)內(nèi)容離開Web服務(wù)器后出現(xiàn)了改動 防火墻就會用原始內(nèi)容取代已毀損頁面 至于對付敏感信息泄露方面 應(yīng)用防火墻會監(jiān)控響應(yīng) 尋找可能表明服務(wù)器有問題的模式 譬如一長串Java異常符 如果發(fā)現(xiàn)這類模式 防火墻就會把它們從響應(yīng)當(dāng)中剔除 或者干脆封阻響應(yīng) 8 行為建模行為建模有時稱為積極的安全模型或 白名單 whitelist 安全 它是唯一能夠防御最棘手的應(yīng)用漏洞 零時間漏洞的保護機制 零時間漏洞是指未寫入文檔或 還不知道 的攻擊 對付這類攻擊的唯一機制就是只允許已知是良好行為的行為 其它行為一律禁止 這項技術(shù)要求對應(yīng)用行為進行建模 這反過來就要求全面分析提交至應(yīng)用的每個請求的每次響應(yīng) 目的在于識別頁面上的行為元素 譬如表單域 按鈕和超文本鏈接 這種級別的分析可以發(fā)現(xiàn)惡意表單域及隱藏表單域操縱類型的漏洞 同時對允許用戶訪問的URL實行極其嚴(yán)格的監(jiān)控 行為建模是唯一能夠有效對付全部16種應(yīng)用漏洞的技術(shù) 行為建模是一種很好的概念 但其功效往往受到自身嚴(yán)格性的限制 某些情況譬如大量使用JavaScript或者應(yīng)用故意偏離行為模型都會導(dǎo)致行為建模犯錯 從而引發(fā)誤報 拒絕合理用戶訪問應(yīng)用 行為建模要發(fā)揮作用 就需要一定程度的人為干預(yù) 以提高安全模型的準(zhǔn)確性 防火墻安全策略 安全策略也可以稱為訪問上的控制策略 它包含了訪問上的控制以及組織內(nèi)其他資源使用的種種規(guī)定 訪問控制包含了哪些資源可以被訪問 如讀取 刪除 下載等行為的規(guī)范 以及哪些人擁有這些權(quán)力等信息 1 網(wǎng)絡(luò)服務(wù)訪問策略網(wǎng)絡(luò)服務(wù)訪問策略是一種高層次的 具體到事件的策略 主要用于定義在網(wǎng)絡(luò)中允許的或禁止的網(wǎng)絡(luò)服務(wù) 還包括對撥號訪問以及PPP 點對點協(xié)議 連接的限制 這是因為對一種網(wǎng)絡(luò)服務(wù)的限制可能會促使用戶使用其他的方法 所以其他的途徑也應(yīng)受到保護 比如 如果一個防火墻阻止用戶使用Telnet服務(wù)訪問因特網(wǎng) 一些人可能會使用撥號連接來獲得這些服務(wù) 這樣就可能會使網(wǎng)絡(luò)受到攻擊 網(wǎng)絡(luò)服務(wù)訪問策略不但應(yīng)該是一個站點安全策略的延伸 而且對于機構(gòu)內(nèi)部資源的保護也起全局的作用 這種策略可能包括許多事情 從文件切碎條例到病毒掃描程序 從遠程訪問到移動介質(zhì)的管理 防火墻安全策略 2 防火墻的設(shè)計策略防火墻的設(shè)計策略是具體地針對防火墻 負責(zé)制定相應(yīng)的規(guī)章制度來實施網(wǎng)絡(luò)服務(wù)訪問策略 在制定這種策略之前 必須了解這種防火墻的性能以及缺陷 TCP IP自身所具有的易攻擊性和危險 防火墻一般執(zhí)行一下兩種基本策略中的一種 除非明確不允許 否則允許某種服務(wù) 除非明確允許 否則將禁止某項服務(wù) 執(zhí)行第一種策略的防火墻在默認(rèn)情況下允許所有的服務(wù) 除非管理員對某種服務(wù)明確表示禁止 執(zhí)行第二種策略的防火墻在默認(rèn)情況下禁止所有的服務(wù) 除非管理員對某種服務(wù)明確表示允許 防火墻可以實施一種寬松的策略 第一種 也可以實施一種限制性策略 第二種 這就是制定防火墻策略的入手點 防火墻安全策略 3 安全策略設(shè)計時需要考慮的問題為了確定防火墻安全設(shè)計策略 進而構(gòu)