網(wǎng)絡(luò)安全技術(shù)：防火墻

IP網(wǎng)絡(luò)技術(shù)

網(wǎng)絡(luò)安全技術(shù)：防火墻防火墻基本概念防火墻相關(guān)技術(shù)防火墻技術(shù)發(fā)展趨勢防火墻的部署方式目錄網(wǎng)絡(luò)系統(tǒng)的風(fēng)險和威脅所有的軟件都是有錯的.通常情況下99.99%的無錯程序很少出現(xiàn)問題.安全相關(guān)的99.99%的無錯程序可以確信會有人利用那0.01%的錯誤.0.01%安全問題等于100%的失敗.無處不在的攻擊經(jīng)濟(jì)利益的驅(qū)使.技術(shù)怪才們的成就感.攻擊的自動化,遠(yuǎn)程化和協(xié)作化.網(wǎng)絡(luò)技術(shù)的普及也導(dǎo)致了攻擊技術(shù)的廣泛傳播,包括攻擊方法和攻擊工具網(wǎng)絡(luò)系統(tǒng)安全的復(fù)雜性網(wǎng)絡(luò)元素的復(fù)雜性PC主機(jī):硬件系統(tǒng)OS系統(tǒng):linux/windows/solaris/winCE/Vxworks/IOS/應(yīng)用軟件:交換設(shè)備/路由設(shè)備:多種的網(wǎng)絡(luò)協(xié)議:管理模式的復(fù)雜性安全意識內(nèi)部人員的管理,權(quán)限分配和密碼管理錯誤的網(wǎng)絡(luò)配置安全措施實施的難度數(shù)據(jù)通信網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)數(shù)據(jù)通信設(shè)備Hub集線器 連接多個網(wǎng)絡(luò)設(shè)備,提供802.3協(xié)議的電氣互聯(lián)功能,不具有交換功能.所有的用戶共享帶寬.交換機(jī) 二層交換機(jī):利用端口和MAC地址的映射關(guān)系進(jìn)行數(shù)據(jù)報文的轉(zhuǎn)發(fā). 三層交換機(jī):具有二層交換機(jī)功能以及部分路由器的功能,實現(xiàn)利用IP地址和MAC地址進(jìn)行轉(zhuǎn)發(fā).路由器 邊緣路由器:路由表相對較小. 核心路由器:大容量的路由表,高的處理能力.網(wǎng)關(guān):實現(xiàn)一種協(xié)議到另外一種協(xié)議的轉(zhuǎn)換功能.防火墻:作為一個網(wǎng)絡(luò)接入到另外一個網(wǎng)絡(luò)的安全控制點.防火墻的定義防火墻是位于兩個(或多個)網(wǎng)絡(luò)之間,實施網(wǎng)絡(luò)間控制的一組組件的集合,它滿足以下條件:

(1)內(nèi)部和外部網(wǎng)絡(luò)之間的數(shù)據(jù)都必須流經(jīng)防火墻. (2)只有符合預(yù)先定義的安全策略的數(shù)據(jù)才能通過防火墻. (3)防火墻能夠具有自我免疫的能力,能夠抵制各種攻擊. (4)防火墻具有完善的日志/報警/監(jiān)控功能,良好的用戶接口防火墻的基本概念防火墻是一種高級訪問控制設(shè)備，是置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全策略控制進(jìn)出網(wǎng)絡(luò)的訪問行為。兩個安全域之間通信流的唯一通道安全域1HostAHostB

安全域2HostCHostD

UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根據(jù)訪問控制規(guī)則決定進(jìn)出網(wǎng)絡(luò)的行為防火墻基本作用合理劃分網(wǎng)絡(luò),設(shè)置訪問控制點,保護(hù)私有網(wǎng)絡(luò).防止進(jìn)攻者接近內(nèi)部網(wǎng)絡(luò)限制內(nèi)部用戶的外部訪問行為對外部隱藏內(nèi)部網(wǎng)絡(luò)細(xì)節(jié)提供內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連通防火墻越來越重要!防火墻五大核心功能

過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)，是網(wǎng)絡(luò)安全的屏障管理進(jìn)、出網(wǎng)絡(luò)的訪問行為，防止內(nèi)部信息的外泄封堵某些禁止的業(yè)務(wù)，對網(wǎng)絡(luò)存取和訪問進(jìn)行控制記錄通過防火墻的信息內(nèi)容和活動對網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警，強(qiáng)化網(wǎng)絡(luò)安全策略

防火墻的分類包過濾防火墻工作在傳輸層和網(wǎng)絡(luò)層.狀態(tài)檢測包過濾防火墻(SPF:StatefulPacketFiltering)

工作在傳輸層和網(wǎng)絡(luò)層,除了進(jìn)行數(shù)據(jù)包安全規(guī)則匹配和過濾外,提供對于數(shù)據(jù)連接的狀態(tài)檢測,這是目前主流的防火墻技術(shù)應(yīng)用層(代理)防火墻工作在應(yīng)用層,表示層或者會話層.包過濾防火墻也稱作訪問控制列表，它是根據(jù)已經(jīng)定義好的過濾規(guī)則來審查每個數(shù)據(jù)包，并確定該數(shù)據(jù)包是否與過濾規(guī)則匹配，從而決定數(shù)據(jù)包是否能通過。包過濾防火墻對每一個數(shù)據(jù)包的包頭進(jìn)行分析，按照包過濾規(guī)則來進(jìn)行判定，與規(guī)則相匹配的包根據(jù)路由信息繼續(xù)轉(zhuǎn)發(fā)，否則就將之丟棄。此外，包過濾防火墻會對每一個通過防火墻的數(shù)據(jù)包的包頭長度、選項、數(shù)據(jù)段和標(biāo)志等信息進(jìn)行結(jié)構(gòu)化檢查，以防止錯誤的數(shù)據(jù)包通過防火墻。簡單包過濾防火墻工作原理應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層開始攻擊開始攻擊TCP開始攻擊TCPIP開始攻擊TCPIPETH1001100110011001100110100110101開始攻擊TCPIP1001100110011001100110100110101開始攻擊開始攻擊TCP開始攻擊TCPIP開始攻擊TCPIPETH1.檢查IP、TCP報頭2.不建立狀態(tài)連接表3.不對內(nèi)容檢查包過濾是作用在網(wǎng)絡(luò)層和傳輸層，它根據(jù)分組包頭源地址、目的地址和端口號、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。包過濾防火墻的優(yōu)缺點優(yōu)點可以與現(xiàn)有的路由器集成，也可以用獨立的包過濾軟件來實現(xiàn)，而且數(shù)據(jù)包過濾對用戶來說是透明的，成本低、速度快、效率高。缺點包過濾技術(shù)的主要依據(jù)是包含在IP報頭中的各種信息，可是IP包中信息的可靠性沒有保證，IP源地址可以偽造，通過內(nèi)部合謀，入侵者輕易就可以繞過防火墻；并非所有的服務(wù)都與靜態(tài)端口綁定，包過濾只能夠過濾IP地址，所以它不能識別相同IP地址下不同的用戶，從而不具備身份認(rèn)證的功能；工作在網(wǎng)際層和傳輸層，不能檢測那些對高層進(jìn)行的攻擊；如果為了提高安全性而使用很復(fù)雜的過濾規(guī)則，那么效率就會大大降低；對每一個數(shù)據(jù)包單獨處理，不具備防御DoS攻擊和DDoS攻擊的能力。狀態(tài)檢測防火墻是一種動態(tài)包過濾防火墻，也稱為自適應(yīng)防火墻，它在基本包過濾防火墻的基礎(chǔ)增加了狀態(tài)檢測的功能。狀態(tài)檢測防火墻記錄和跟蹤所有進(jìn)出數(shù)據(jù)包的信息，對連接的狀態(tài)進(jìn)行動態(tài)維護(hù)和分析。一旦發(fā)現(xiàn)異常的流量或異常的連接，就動態(tài)生成過濾規(guī)則，制止可能的攻擊行為。因此，狀態(tài)檢測防火墻具有較強(qiáng)的對DoS攻擊和DDoS攻擊的防御能力。狀態(tài)檢測包過濾防火墻工作原理應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層開始攻擊開始攻擊TCP開始攻擊TCPIP開始攻擊TCPIPETH1001100110011001100110100110101開始攻擊TCPIP1001100110011001100110100110101開始攻擊開始攻擊TCP開始攻擊TCPIP開始攻擊TCPIPETH1.檢查IP、TCP報頭2.建立狀態(tài)連接表3.不對內(nèi)容檢查狀態(tài)檢測工作原理是檢測每一個有效連接的狀態(tài)，并根據(jù)這些狀態(tài)信息決定網(wǎng)絡(luò)數(shù)據(jù)包是否能夠通過防火墻。它在協(xié)議棧低層截取數(shù)據(jù)包，然后分析這些數(shù)據(jù)包，并且將當(dāng)前數(shù)據(jù)包及其狀態(tài)信息和其前一時刻的數(shù)據(jù)包及其狀態(tài)信息進(jìn)行比較，從而得到該數(shù)據(jù)包的控制信息，以達(dá)到提高效率、保護(hù)網(wǎng)絡(luò)安全的目的。

狀態(tài)檢測防火墻的優(yōu)缺點優(yōu)點具備包過濾防火墻的一切優(yōu)點；能夠靈活地動態(tài)地生成過濾規(guī)則，自動適應(yīng)網(wǎng)絡(luò)的工作狀態(tài)；具備較好的DoS攻擊和DDoS攻擊防御能力；與應(yīng)用代理防火墻相比，狀態(tài)檢測防火墻工作在協(xié)議棧的較低層，通過防火墻的所有數(shù)據(jù)包都在底層處理，減少了高層協(xié)議棧的開銷，執(zhí)行效率較高，具有較好的可伸縮性和易擴(kuò)展性，應(yīng)用范圍廣。缺點不能對應(yīng)用層數(shù)據(jù)進(jìn)行控制；不能記錄高層次的日志。應(yīng)用代理防火墻工作在應(yīng)用層，它針對專門的應(yīng)用層協(xié)議制定數(shù)據(jù)過濾和轉(zhuǎn)發(fā)規(guī)則，其核心技術(shù)是代理服務(wù)器技術(shù)。應(yīng)用代理防火墻的實現(xiàn)是基于軟件的，主要包含三個模塊：客戶代理模塊、服務(wù)器代理和過濾模塊。客戶代理模塊負(fù)責(zé)處理客戶的訪問請求，由過濾模塊分析和決定是否接受該請求；如果允許，則由服務(wù)器代理模塊建立與服務(wù)器的連接，轉(zhuǎn)發(fā)請求；服務(wù)器代理模塊將服務(wù)器的應(yīng)答傳遞給客戶代理模塊，再轉(zhuǎn)發(fā)給客戶。代理防火墻工作原理1.不檢查IP、TCP報頭2.不建立狀態(tài)連接表3.網(wǎng)絡(luò)層保護(hù)比較弱應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層開始攻擊開始攻擊TCP開始攻擊TCPIP開始攻擊TCPIPETH1001100110011001100110100110101開始攻擊TCPIP1001100110011001100110100110101開始攻擊開始攻擊TCP開始攻擊TCPIP開始攻擊TCPIPETH代理技術(shù)也叫應(yīng)用網(wǎng)關(guān)（ApplicationGateway）,作用在應(yīng)用層，其特點是完全“阻隔”網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)(如http,ftp,smtp)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實現(xiàn)。應(yīng)用代理防火墻的優(yōu)缺點優(yōu)點可以實現(xiàn)身份認(rèn)證，例如最常見的用戶和密碼認(rèn)證；可以進(jìn)行內(nèi)容過濾，防止一些應(yīng)用層攻擊（例如溢出攻擊），還可過濾一些應(yīng)用層數(shù)據(jù)（例如JavaApplet、JavaScript、ActiveX、電子郵件的MIME類型等）?？梢杂涗浄浅Ｔ敱M的應(yīng)用層日志記錄，比如記錄進(jìn)入防火墻的數(shù)據(jù)包中有關(guān)應(yīng)用層的命令以及命令的完成情況等。缺點工作效率較低；對不同的應(yīng)用層服務(wù)都可能需要定制不同的應(yīng)用代理防火墻軟件，缺乏靈活性，不易擴(kuò)展。復(fù)合型防火墻工作原理應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層開始攻擊開始攻擊TCP開始攻擊TCPIP開始攻擊TCPIPETH1001100110011001100110100110101開始攻擊TCPIP1001100110011001100110100110101開始攻擊開始攻擊TCP開始攻擊TCPIP開始攻擊TCPIPETH1.檢查整個報文內(nèi)容2.建立狀態(tài)連接表復(fù)合型防火墻是結(jié)合了狀態(tài)檢測技術(shù)和應(yīng)用網(wǎng)關(guān)的技術(shù)，每次檢查整個報文的內(nèi)容，包括IP頭和TCP頭以及內(nèi)容數(shù)據(jù)，并且建立連接狀態(tài)表。內(nèi)核監(jiān)測防火墻工作原理應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層100110011001100110011010011010110011001100110011001101001101011.檢查多個報文組成的會話2.建立狀態(tài)連接表3.增強(qiáng)網(wǎng)絡(luò)層保護(hù)能力4.增強(qiáng)應(yīng)用層保護(hù)能力5.增強(qiáng)會話層保護(hù)能力6.前后報文有聯(lián)系內(nèi)核監(jiān)測防火墻將報文進(jìn)行會話重寫，對多個報文組成的會話進(jìn)行檢查，并且建立連接狀態(tài)表，這樣可以增強(qiáng)網(wǎng)絡(luò)層、應(yīng)用層和會話層的保護(hù)能力，同時使得前后報文有聯(lián)系。防火墻的比較包過濾防火墻特點：只針對IP地址（復(fù)雜的會根據(jù)協(xié)議及端口），不關(guān)心數(shù)據(jù)內(nèi)容；速度快，對用戶透明，無需配置；缺點：1、無法對數(shù)據(jù)包內(nèi)容做檢查；2、無法提供詳細(xì)記錄；3、所有端口必須靜態(tài)開放，無法控制高端口；4、復(fù)雜配置下容易出錯;狀態(tài)檢測包過濾防火墻特點：速度快；更加安全；不易出錯,結(jié)合了包過濾和應(yīng)用層防火墻的兩者的優(yōu)點,配合相關(guān)的硬件轉(zhuǎn)發(fā)部件可以實現(xiàn)更高的速度;應(yīng)用層防火墻特點：可以提供復(fù)雜的訪問控制；內(nèi)容過濾功能；成熟的日志；缺點：速度慢，只適合已知的應(yīng)用協(xié)議；防火墻的體系結(jié)構(gòu)IPNetworkApplicationTCP/UDPTransportLinkPhysicalPacketFiltersCircuitGatewaysApplicationGatewaysPolicyNATALGVPNFEGEE1T1RTOS:嵌入式實時操作系統(tǒng)TCP/IPStack:Policy:安全策略NAT:地址轉(zhuǎn)換ALG:應(yīng)用層網(wǎng)關(guān)VPN:虛擬個人專用網(wǎng)NP/ASIC/Switchchipset防火墻技術(shù)-Policy

LinkPhysicalPhysical

LinkPhysicalPhysical

Link

LinkFirewallHostHostClient

ApplicationServer

ApplicationIPIPIPTCPTCPTrustedUntrustedPolicyAddressesServiceScheduleActionAddress:定義規(guī)則的源區(qū)域和目的區(qū)域,源IP地址和目標(biāo)IP地址Service:如HTTP/FTP/SMTP/POP3/TELNET等應(yīng)用層協(xié)議.和Address一起完成IP五元組的定義.Schedule:定義何時生效的時間信息,例如每天早上8:30分Action:對于匹配數(shù)據(jù)報文的最終處理結(jié)果,一般包括丟棄/轉(zhuǎn)發(fā)/VPN隧道封裝.防火墻技術(shù)-Policy

LinkPhysicalPhysical

LinkPhysicalPhysical

Link

LinkFirewallHostHostClient

ApplicationServer

ApplicationIPIPIPTCPTCPTrustedUntrustedPolicyAddressesUsersAuthenticateAUTHUser:定義該規(guī)則限制的對象用戶對象.Authentication:定義該類用戶進(jìn)行認(rèn)證的方式,如RADIUS/LDAP防火墻技術(shù)-PolicySetgroupservicecomSetgroupservicecomaddFTP-PutSetgroupservicecomaddMAILSetgroupservicecomaddPOP3SetgroupserviceinternetSetgroupserviceinternetaddFTP-GetSetgroupserviceinternetaddHTTPSetgroupserviceinternetaddHTTPSSetgroupservicewebSetgroupservicewebaddHTTPSetgroupservicewebaddHTTPSTrust->Untrust: setpolicyfromtrusttountrustenganyanypermit setpolicyfromtrusttountrustofficeanyInternetpermitwebauth setpolicytopfromtrusttountrustanyanyComdenyUntrust->DMZ mailpermit Webpermit防火墻技術(shù)-NATNAT:NetworkAddressTranslation,網(wǎng)絡(luò)地址轉(zhuǎn)換.實現(xiàn)內(nèi)部網(wǎng)絡(luò)私有IP地址到外部全局IP地址的映射.

一個公司從電信局僅僅分配一個公網(wǎng)的IP地址,如何實現(xiàn)內(nèi)部用戶都能夠訪問Internet?一個公司只有一個IP地址,如何實現(xiàn)同時采用多臺服務(wù)器提供Web/Email服務(wù)?NAT的作用緩解IP地址耗盡 節(jié)約公用IP地址和金錢實現(xiàn)TCP負(fù)載均衡 隱藏內(nèi)部網(wǎng)絡(luò)的細(xì)節(jié)私有IP地址空間AddressRangeMask~55/~55/~55/防火墻技術(shù)-NATMany-To-Many:多對多的映射,又包括N-N,N-M,N-1N-N映射:實現(xiàn)內(nèi)部網(wǎng)絡(luò)的主機(jī)IP地址和外部網(wǎng)絡(luò)IP地址一一映射關(guān)系.N-M映射:實現(xiàn)內(nèi)部網(wǎng)絡(luò)的主機(jī)在上網(wǎng)時,可以從一個較小的地址池中動態(tài)選擇一個IP地址作為訪問外部網(wǎng)絡(luò)的IP地址.N-1映射:實現(xiàn)內(nèi)部網(wǎng)絡(luò)的主機(jī)使用同一IP地址訪問Internet.防火墻技術(shù)-NATNAT實例NAT地址映射表InsideOutsideOutsideInside防火墻技術(shù)-NAT節(jié)約IP地址實例通過NAT技術(shù),可以實現(xiàn)內(nèi)部網(wǎng)絡(luò)的私有地址IP地址的重疊,達(dá)到節(jié)約IP地址的目的防火墻技術(shù)-NAPT問題提出:多個內(nèi)部網(wǎng)絡(luò)主機(jī),但是只有一個或者幾個外部IP地址.解決:實現(xiàn)多對一的映射(N-1映射).NAPT:NetworkAddressandPortTranslation.可以實現(xiàn)一個IP地址多個主機(jī)共享Internet接入利用NAPT可以將多臺內(nèi)部服務(wù)器提供的服務(wù)虛擬成一個服務(wù)器Port800:8080Port230:23Port210:21防火墻技術(shù)-ALGNAT/NAPT存在的問題:對于在TCP/UDP報文中存在源IP地址的應(yīng)用情況下,僅僅更改IP地址頭部的源IP地址是不夠的,還必須了解應(yīng)用層協(xié)議的數(shù)據(jù)報報文,進(jìn)行應(yīng)用層協(xié)議數(shù)據(jù)報中相關(guān)地址的轉(zhuǎn)換.這就是ALG的一種作用.ALG:應(yīng)用層網(wǎng)關(guān)(applicationlayergateway),實現(xiàn)對于應(yīng)用層數(shù)據(jù)的分析.例如實現(xiàn)更加細(xì)致的控制,可以實現(xiàn)FTP只能對外提供GET服務(wù),不允許進(jìn)行PUT操作等.防火墻技術(shù)-ALG需要ALG處理的協(xié)議和應(yīng)用包括:FTP/DNS/SIP/SNMP/NetBIOSoverTCP/UDP等.Pinhole技術(shù):對于類似于FTP的協(xié)議,應(yīng)用程序的兩個對端實體的通信端口是進(jìn)行協(xié)商動態(tài)分配,這就要求防火墻能夠識別,動態(tài)的生成安全策略,打開這些端口.這就是ALG中的Pinhole(針眼)技術(shù)的作用.包括:SIP/H.323等協(xié)議,而且這類協(xié)議越來越多.防火墻技術(shù)-VPNVPN:虛擬私有網(wǎng)virtualprivatenetwork(VPN)提供了遠(yuǎn)端計算機(jī)之間,利用公共廣域網(wǎng)絡(luò)(例如Internet)進(jìn)行安全通信的通道.VPN的好處節(jié)約通信成本充分利用Internet技術(shù),更高帶寬和更豐富的應(yīng)用.保證網(wǎng)上交易的安全性,促進(jìn)E-commerce的發(fā)展.保證企業(yè)接入的安全性,實現(xiàn)SOHO的生活方式.防火墻技術(shù)-VPNVPN的應(yīng)用環(huán)境BranchOfficesTradingPartnersMobileUsersMainOfficeInternetIntranetVPN-betweenMainandBranchOfficesExtranetVPN-totradingpartnersandsuppliersMobileUserVPN-formobileemployees防火墻技術(shù)-VPNRemoteOfficeOptionalNetworkWebServerFTPServerCorporateNetworkMobileUsersRouterInternetRemoteVPNndoeVirtualPrivateNetworkingISPISPISPISPVPNParticipationIPSec+IKE典型的VPN組網(wǎng)結(jié)構(gòu)防火墻技術(shù)-VPNVPN的核心就是在兩點之間建立安全通道(tunnel)NetworkClientServerDataprotectedfromendtoendEnd-to-EndTunnelPhysicalDataNetworkApplicationNode-to-NodeTunnelSecurityPhysicalDataNetworkApplicationvsEnd-to-EndTunnelSecurityDataprotectedwithincommunicationlinkonlyNode-to-NodeTunnelEncryptorEncryptorFirewallFirewall防火墻技術(shù)-加密加密密鑰的加密對稱密鑰加密方法防火墻技術(shù)-加密公共密鑰加密非對稱密鑰加密防火墻技術(shù)-加密加密的方法 DES,IDEA,AES密鑰的產(chǎn)生 X.500目錄服務(wù) 數(shù)字證書 X.509數(shù)字證書密鑰的分發(fā) IKE:Internetkeyexchange 防火墻技術(shù)-攻擊檢測與預(yù)防網(wǎng)絡(luò)攻擊的一般步驟:執(zhí)行探測探測網(wǎng)絡(luò)拓?fù)?發(fā)現(xiàn)活動主機(jī)(IPaddresssweep)檢測活動主機(jī)的活動端口(portscans)判斷主機(jī)的操作系統(tǒng),利用操作系統(tǒng)的已知漏洞實現(xiàn)攻擊. 發(fā)動攻擊隱藏發(fā)動攻擊的主機(jī).執(zhí)行一系列攻擊刪除或者銷毀攻擊證據(jù)防火墻技術(shù)-防止IP掃描

IP地址掃描(IPaddressSweep):攻擊者通過ICMP請求報文的方式探測主機(jī).通過檢測同一個sourceIP地址在一個時間間隔內(nèi)發(fā)送的ICMP報文數(shù)來確定是否存在IP地址的掃描,如果發(fā)現(xiàn),那么對于以后的ICMP進(jìn)行拋棄防火墻技術(shù)-防止端口掃描

端口掃描(portscanning):攻擊源通過試探建立TCP連接來探測被攻擊對象對外部提供的服務(wù).防火墻技術(shù)-防止OS類型探測對于TCP數(shù)據(jù)報文中Flag位的異常設(shè)置,不同OS的TCP/IP協(xié)議棧具有不同的實現(xiàn),將有不同的應(yīng)答報文,攻擊者將利用這個差別來決定操作系統(tǒng).SYNandFINaresetFINflagwithoutACKTCPheaderwithoutFlagset防火墻將檢測這些非正常的TCP報文,實現(xiàn)對其丟棄.防火墻技術(shù)-防止IP隱藏攻擊者主要利用IP數(shù)據(jù)包中的寬松源路由選項(Loosesourcerouteoption)和嚴(yán)格源路由選項(Strictsourcerouteoption),通過指定路由的方式,使得攻擊數(shù)據(jù)包能夠到達(dá)目標(biāo)主機(jī).防火墻可以配置是否對于IP數(shù)據(jù)包的路由選項進(jìn)行處理,檢測到這類數(shù)據(jù)報文可以進(jìn)行拋棄.防火墻技術(shù)-DenyofServiceDoS:拒絕服務(wù)攻擊的主要方法是通過向被攻擊者發(fā)送大量的偽造的數(shù)據(jù)報文,導(dǎo)致被攻擊者忙于處理偽造數(shù)據(jù)報文而不能處理合法的報文.其核心就是“資源耗盡”.DDoS:DistributedDOS,攻擊者通過偽裝IP地址,或者利用攻擊代理,從多個攻擊點向同一受攻擊者發(fā)送攻擊.網(wǎng)絡(luò)設(shè)備的資源

CPU處理能力系統(tǒng)內(nèi)存數(shù)據(jù)帶寬內(nèi)部核心數(shù)據(jù)結(jié)構(gòu):例如防火墻的狀態(tài)表;SOCKET連接表.DoS的分類:根據(jù)攻擊對象不同F(xiàn)irewallDoSAttack:由于防火墻是內(nèi)部網(wǎng)絡(luò)對外的通道,攻擊者希望通過攻擊防火墻實現(xiàn)內(nèi)部網(wǎng)絡(luò)的不可用性,這也是黑客的最大追求.NetworkDoSAttack:導(dǎo)致網(wǎng)絡(luò)設(shè)備的不可用性.OSDosAttack:導(dǎo)致主機(jī)操作系統(tǒng)直接崩潰.防火墻技術(shù)-FirewallDoSattackSessiontableflood(Session表淹沒):惡意數(shù)據(jù)大量占用Session表.解決方法:基于源或目的的session限制Session表的主動老化防火墻技術(shù)-FirewallDoSattackSYN-ACK-ACKProxyflood原因:當(dāng)一個需要認(rèn)證的用戶進(jìn)行Telnet或者FTP服務(wù)時,防火墻將首先進(jìn)行TCP鏈接的代理,提示用戶輸入用戶名和密碼,同時建立session表項.解決:配置相應(yīng)的SYN-ACK-ACK最大數(shù)量,超過這個閾值則進(jìn)行丟棄. 防火墻技術(shù)-NetworkDoSattack攻擊種類包括:SYNflood/ICMPflood/UDPflood基本攻擊原理(SYNflood)解決方法:代理服務(wù)/閾值限制利用偽造的IP地址和被攻擊者建立TCP鏈接,在TCP鏈接的超時時間內(nèi)建立大量的連接未完的TCP鏈接,導(dǎo)致被攻擊者資源耗盡,不能對外提供服務(wù).防火墻技術(shù)-NetworkDoSattackSYN-Flood攻擊預(yù)防防火墻技術(shù)-NetworkDoSattackICMPFlood預(yù)防防火墻技術(shù)-NetworkDoSattackUDPFlood預(yù)防(主要用于DNS的攻擊)防火墻技術(shù)-OSDoSattackPingofDeath攻擊:IP數(shù)據(jù)報文的最長為65535字節(jié),但是有些Ping的程序或者惡意代碼允許構(gòu)造的大于IP數(shù)據(jù)報文長度的ICMP報文,導(dǎo)致被攻擊者在進(jìn)行報文重組過程中存在緩沖區(qū)溢出,導(dǎo)致系統(tǒng)崩潰.解決方法:防火墻將檢測這些oversize的數(shù)據(jù)包,進(jìn)行丟棄.防火墻技術(shù)-OSDoSattackTeardropattack(淚滴攻擊):利用IP頭部的錯誤分片偏移,導(dǎo)致系統(tǒng)崩潰.防火墻的不足之處無法防護(hù)內(nèi)部用戶之間的攻擊無法防護(hù)基于操作系統(tǒng)漏洞的攻擊無法防護(hù)內(nèi)部用戶的其他行為無法防護(hù)端口反彈木馬的攻擊無法防護(hù)病毒的侵襲無法防護(hù)非法通道出現(xiàn)不足之處防火墻發(fā)展趨勢-外部環(huán)境變化自動化程度和攻擊速度增加病毒的傳播以小時計算，對網(wǎng)絡(luò)影響越來越大……攻擊工具越來越復(fù)雜攻擊工具越來越隱蔽，功能方式越來越多樣……發(fā)現(xiàn)漏洞越來越快發(fā)現(xiàn)漏洞遠(yuǎn)比修補(bǔ)漏洞的速度要快……針對網(wǎng)絡(luò)設(shè)備的攻擊越來越多針對防火墻、路由器、DNS服務(wù)器的攻擊越來越多……網(wǎng)絡(luò)的智能越來越邊緣化 需要在最低層次(接入層/匯聚層)提供網(wǎng)絡(luò)安全控制.防火墻作為防御者,需要更快,更強(qiáng),更智能防火墻發(fā)展趨勢-體系結(jié)構(gòu)防火墻/交換機(jī)/路由器網(wǎng)絡(luò)設(shè)備的融合處理硬件化:網(wǎng)絡(luò)速度越來越快,做為網(wǎng)絡(luò)控制結(jié)點的防火墻是網(wǎng)絡(luò)帶寬的瓶頸.通過NP或者ASIC的數(shù)據(jù)轉(zhuǎn)發(fā),結(jié)合SFP,由CPU實現(xiàn)第一個數(shù)據(jù)包的處理,而由硬件進(jìn)行絕大多數(shù)的報文轉(zhuǎn)發(fā),大大提高速度.

LinkPhysicalPhysical

LinkPhysicalPhysical

Link

LinkRouterHostHostClient

ApplicationServer

ApplicationIPIPIPTCPTCPIntegratedsecurityRouterNP/ASIC防火墻發(fā)展趨勢-功能變化DeepInspection:深度檢查,對于應(yīng)用層的數(shù)據(jù)報文進(jìn)行檢查,發(fā)現(xiàn)是否存在攻擊.防火墻發(fā)展趨勢-功能變化Anti-virus防病毒功能:通過對SMTP/POP3/HTTP進(jìn)行重組,檢查其中的附件文件,通過內(nèi)置或者外部的病毒掃描引擎檢查是否存在病毒.協(xié)議分析:因為對于象TCP這樣的有鏈接的協(xié)議和一些應(yīng)用層協(xié)議,都可以利用有窮狀態(tài)機(jī)來描敘,協(xié)議分析就是根據(jù)有窮狀態(tài)機(jī)來分析通信雙方是否為正常的通信.防火墻發(fā)展趨勢-功能變化增值業(yè)務(wù)的組合

外部的Anti-Virus服務(wù)器外部的URL檢查服務(wù)器外部的Email內(nèi)容過濾服務(wù)器IDS的聯(lián)動:IDS進(jìn)行攻擊檢測后,能夠通過對網(wǎng)絡(luò)入口點的防火墻進(jìn)行攻擊描述,由防火墻進(jìn)行控制,實現(xiàn)防火墻由被動防御角色到主動防御角色的轉(zhuǎn)變.硬件防火墻發(fā)展歷程OS內(nèi)核IP協(xié)議棧+通用處理器平臺ASIC芯片+控制管理CPU可編程網(wǎng)絡(luò)處理器+控制管理CPU第一代第二代第三代第一代硬件防火墻使用的是OS內(nèi)核IP協(xié)議棧加通用處理器平臺;第二代就使用了ASIC芯片，用它來轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)報，同時使用一塊CPU負(fù)責(zé)控制管理;第三代硬件防火墻，就用到了可編程網(wǎng)絡(luò)處理器，也就是NP，用NP來完成數(shù)據(jù)的轉(zhuǎn)發(fā)，同時使用一塊CPU負(fù)責(zé)控制管理。CPU+NP架構(gòu)CPUCPU負(fù)責(zé)控制層面，NP負(fù)責(zé)轉(zhuǎn)