計算機網(wǎng)絡安全基礎

安全網(wǎng)管技術(shù)張煥杰中國科學技術(shù)大學網(wǎng)絡信息中心james@0/~james/nmsTel:3601897(O)1第一頁，共五十五頁。第3章網(wǎng)絡隔離與防火墻技術(shù)(1)本章主要內(nèi)容物理隔離技術(shù)與雙網(wǎng)隔離計算機協(xié)議隔離技術(shù)防火墻技術(shù)包過濾防火墻Socks協(xié)議參考資料：計算機網(wǎng)絡安全基礎，袁津生等，人民郵電出版社2第二頁，共五十五頁。網(wǎng)絡隔離與防火墻技術(shù)根據(jù)安全等級不同將網(wǎng)絡劃分不同的部分各個部分之間采用物理、邏輯隔離或受限訪問方式互連物理隔離網(wǎng)絡間禁止有物理通信線路連接困難撥號/無線網(wǎng)絡移動設備邏輯隔離協(xié)議轉(zhuǎn)換受限訪問防火墻3第三頁，共五十五頁。案例：政府網(wǎng)絡一般劃分為3個安全等級不同的部分內(nèi)部保密專用網(wǎng)絡，傳送保密信息業(yè)務網(wǎng)絡，傳送政府業(yè)務管理信息Internet連接網(wǎng)絡，建設網(wǎng)站或?qū)ν庠L問保密網(wǎng)絡要求跟其它部分物理隔離其它部分可以在保證安全性情況下互連4第四頁，共五十五頁。案例：證券交易網(wǎng)一般劃分為3個安全等級不同的部分證券交易業(yè)務專用網(wǎng)絡，傳送證券業(yè)務信息企業(yè)內(nèi)綜合管理網(wǎng)絡，傳送辦公、財務、VOIP等企業(yè)內(nèi)部管理信息Internet連接網(wǎng)絡，建設網(wǎng)站或?qū)ν庠L問交易網(wǎng)絡首先要保證可靠性和安全性，跟其它部分物理隔離，必要時可以采用邏輯隔離方式連接其它可以在保證安全性情況下互連5第五頁，共五十五頁。3.1物理隔離網(wǎng)絡間禁止有物理通信線路連接建立2套獨立的網(wǎng)絡系統(tǒng)交換機、服務器、布線、客戶機難點：無處不在的Internet撥號/無線網(wǎng)絡移動設備每人2臺計算機？6第六頁，共五十五頁。雙網(wǎng)隔離計算機解決每人2臺計算機的問題1臺計算機，可以分時使用內(nèi)網(wǎng)或外網(wǎng)關鍵部件硬盤網(wǎng)線軟盤/USB/MODEM等共享部件顯示器鍵盤/鼠標主板/電源原理切換關鍵部件7第七頁，共五十五頁。簡單雙網(wǎng)隔離計算機外網(wǎng)硬盤內(nèi)網(wǎng)硬盤外網(wǎng)網(wǎng)線內(nèi)網(wǎng)網(wǎng)線公共部件控制卡控制開關8第八頁，共五十五頁。簡單雙網(wǎng)隔離計算機優(yōu)點一臺計算機，可以分時使用內(nèi)外網(wǎng)降低成本控制卡簡單缺點增加硬盤增加網(wǎng)線安裝復雜，重新安裝一個操作系統(tǒng)內(nèi)外網(wǎng)數(shù)據(jù)無法傳遞切換時需要斷電、切換、重新啟動9第九頁，共五十五頁。復雜雙網(wǎng)隔離計算機內(nèi)網(wǎng)硬盤外網(wǎng)網(wǎng)線內(nèi)網(wǎng)網(wǎng)線公共部件控制卡遠端設備使用控制卡上的翻譯功能將硬盤分為邏輯上獨立的部分充分使用UTP中的8芯，減少一根網(wǎng)線10第十頁，共五十五頁。復雜雙網(wǎng)隔離計算機優(yōu)點僅僅增加控制卡和遠端設備（無源），成本低安裝容易，不需重新安裝操作系統(tǒng)軟切換，界面友好存在數(shù)據(jù)傳輸通道設置一個邏輯分區(qū)，內(nèi)網(wǎng)狀態(tài)只讀，外網(wǎng)狀態(tài)可讀寫缺點控制卡復雜11第十一頁，共五十五頁。雙網(wǎng)隔離計算機側(cè)重保密需求政府中應用較多對病毒并無特別防護使用中注意其它數(shù)據(jù)傳輸途徑的危害軟盤/USB等MODEM12第十二頁，共五十五頁。3.2協(xié)議隔離技術(shù)使用不同的協(xié)議，切斷整個系統(tǒng)內(nèi)的全局連通性避免被攻擊后整個系統(tǒng)處于危險狀態(tài)類似于代理技術(shù)，協(xié)議轉(zhuǎn)換相當于在不同協(xié)議之間的代理常用于安全要求較高，但是又不得不建立連接的地方13第十三頁，共五十五頁。串口/并口隔離技術(shù)轉(zhuǎn)換機1轉(zhuǎn)換機2TCP/IPTCP/IP串口/并口專用協(xié)議，專用程序簡單協(xié)議如：文件傳送特定協(xié)議包的轉(zhuǎn)發(fā)14第十四頁，共五十五頁。串口/并口隔離技術(shù)優(yōu)點簡單，相對比較安全缺點專有的轉(zhuǎn)換程序、協(xié)議，不容易維護速率慢隱患如簡單的文件傳輸，帶病毒的文件也會被傳輸15第十五頁，共五十五頁。異構(gòu)協(xié)議的隔離技術(shù)轉(zhuǎn)換機1轉(zhuǎn)換機2TCP/IPTCP/IPIPX/SPX專用協(xié)議，專用程序簡單協(xié)議如：文件傳送特定協(xié)議包的轉(zhuǎn)發(fā)16第十六頁，共五十五頁。異構(gòu)協(xié)議的隔離技術(shù)破壞全局連通性僅僅允許特定數(shù)據(jù)包被轉(zhuǎn)發(fā)安全性取決于程序的實現(xiàn)轉(zhuǎn)換機的操作系統(tǒng)安全性轉(zhuǎn)換的協(xié)議細節(jié)17第十七頁，共五十五頁。異構(gòu)協(xié)議的隔離技術(shù)轉(zhuǎn)換的協(xié)議一般采用基于數(shù)據(jù)包收/發(fā)的通信方式跟應用直接相關如證券交易的操作主機簽到/簽到應答交易請求/交易應答查詢請求/查詢應答協(xié)議越簡單，實現(xiàn)的難度越低，越不容易出現(xiàn)問題，越安全18第十八頁，共五十五頁。案例：網(wǎng)上證券交易系統(tǒng)轉(zhuǎn)換機1轉(zhuǎn)換機2IPX/SPX防火墻證券業(yè)務專網(wǎng)防火墻加/解密交易處理Internet客戶機Internet19第十九頁，共五十五頁。同構(gòu)協(xié)議的隔離技術(shù)單向連接僅僅允許信息單向流動如一個系統(tǒng)需要公開發(fā)布的信息，可以通過單向連接傳輸出去，而系統(tǒng)不具備任何被攻擊的可能實時交換先連接到一個網(wǎng)絡上讀取一些數(shù)據(jù)斷開所有連接，對數(shù)據(jù)進行處理、安全檢查再連接到一個網(wǎng)絡上發(fā)送這些數(shù)據(jù)20第二十頁，共五十五頁。實時交換技術(shù)外網(wǎng)內(nèi)網(wǎng)控制存儲介質(zhì)從外網(wǎng)取數(shù)據(jù)21第二十一頁，共五十五頁。實時交換技術(shù)外網(wǎng)內(nèi)網(wǎng)控制存儲介質(zhì)處理、安全檢查22第二十二頁，共五十五頁。實時交換技術(shù)外網(wǎng)內(nèi)網(wǎng)控制存儲介質(zhì)數(shù)據(jù)發(fā)送給內(nèi)網(wǎng)23第二十三頁，共五十五頁。實時交換技術(shù)24第二十四頁，共五十五頁。3.3防火墻技術(shù)Firewall來源于建筑業(yè)，用墻來分隔建筑物的各個部分，并具有防火功能。萬一某一部分或單元失火時，火災被限制在一個局部范圍內(nèi)，其它部分不會受到損害。25第二十五頁，共五十五頁。防火墻技術(shù)

主要介紹： 1.防火墻基本概念 2.防火墻的分類 3.包過濾 4.代理服務26第二十六頁，共五十五頁。防火墻基本概念防火墻是在兩個網(wǎng)絡之間執(zhí)行訪問控制策略的一個或一組系統(tǒng)，包括硬件和軟件，目的是保護網(wǎng)絡不被他人侵擾。本質(zhì)上，它遵循的是一種允許或阻止業(yè)務來往的網(wǎng)絡通信安全機制，也就是提供可控的過濾網(wǎng)絡通信，只允許授權(quán)的通信。網(wǎng)絡邊界上訪問控制設施。根據(jù)預先定義的策略控制穿過防火墻的信息流通。

27第二十七頁，共五十五頁。防火墻基本概念通常，防火墻就是位于內(nèi)部網(wǎng)或Web站點與因特網(wǎng)之間的一個設備。防火墻是由管理員為保護自己的網(wǎng)絡免遭外界非授權(quán)訪問但又允許與因特網(wǎng)聯(lián)接而發(fā)展起來的。防火墻可以看成是安裝在兩個網(wǎng)絡之間的一道柵欄，根據(jù)安全計劃和安全策略中的定義來保護其后面的網(wǎng)絡。28第二十八頁，共五十五頁。防火墻基本概念由軟件和硬件組成的防火墻應該具有以下功能：所有進出網(wǎng)絡的通信流都應該通過防火墻。所有穿過防火墻的通信流都必須有安全策略和計劃的確認和授權(quán)。理論上說，防火墻是穿不透的。29第二十九頁，共五十五頁。防火墻基本概念內(nèi)部網(wǎng)需要防范的三種攻擊有：間諜：試圖偷走敏感信息的黑客、入侵者和闖入者。盜竊：盜竊對象包括數(shù)據(jù)、Web表格、磁盤空間和CPU資源等。破壞系統(tǒng)：通過路由器或主機／服務器蓄意破壞文件系統(tǒng)或阻止授權(quán)用戶訪問內(nèi)部網(wǎng)（外部網(wǎng)）和服務器。防火墻的作用是保護Web站點和公司的內(nèi)部網(wǎng)，使之免遭因特網(wǎng)上各種危險的侵犯。30第三十頁，共五十五頁。防火墻基本概念防火墻在因特網(wǎng)與內(nèi)部網(wǎng)中的位置

從邏輯上講，防火墻是一個控制器，控制內(nèi)外網(wǎng)之間的通信。從物理角度看，防火墻物理實現(xiàn)的方式有所不同。通常防火墻是一組硬件設備，即路由器、計算機或者是路由器、計算機和配有適當軟件的網(wǎng)絡的多種組合。31第三十一頁，共五十五頁。防火墻基本概念防火墻的基本功能防火墻能夠強化安全策略防火墻能有效地記錄因特網(wǎng)上的活動防火墻限制暴露用戶點防火墻是一個安全策略的檢查站防火墻的不足之處不能防范惡意的知情者防火墻不能防范不通過它的連接防火墻不能防備全部的威脅防火墻不能防范病毒32第三十二頁，共五十五頁。防火墻分類包過濾型根據(jù)數(shù)據(jù)包的源地址、目的地址、協(xié)議、端口、協(xié)議內(nèi)部數(shù)據(jù)、時間、物理接口來判斷是否允許數(shù)據(jù)包通過。外在表現(xiàn)：路由型、透明網(wǎng)橋型、混合型優(yōu)點：性能高，對應用透明，使用方便缺點：安全控制粒度不夠細33第三十三頁，共五十五頁。防火墻分類應用層代理對不同的應用進行相關的特殊處理，一般具有身份認證、訪問控制、日志等功能。不同的應用需要不同的代理：HTTP、FTP、TELNET、SMTP、POP3優(yōu)點：安全控制粒度細，可以實現(xiàn)基于用戶的控制缺點：每種應用要設置，對用戶不透明，不是所有應用都支持代理使用復雜性能低34第三十四頁，共五十五頁。防火墻分類

代理的實現(xiàn)過程35第三十五頁，共五十五頁。應用層代理HTTP，本身支持代理GETURL_You_WantHTTP/1.0CONNECTIP:PORTHTTP/1.0(tcpproxyforssl)POP3協(xié)議，原來不支持代理，擴展語法USERproxy-user:server-user[@server]PASSproxy-pass:server-pass

36第三十六頁，共五十五頁。防火墻分類鏈路級代理類似于應用層代理，區(qū)別是不針對專門應用協(xié)議，而是針對TCP、UDP連接進行中繼服務，一般具有身份認證、訪問控制、日志等功能，最典型的是socks代理。優(yōu)點：安全控制粒度適中，可以實現(xiàn)基于用戶的控制在Windows環(huán)境下，通過截獲winsock調(diào)用，基本上可以做到對應用透明，使用方便缺點：性能低37第三十七頁，共五十五頁。3.4包過濾防火墻包過濾型防火墻是應用最普遍的防火墻。包是網(wǎng)絡上信息流動的單位。包過濾型防火墻對經(jīng)過它的數(shù)據(jù)包進行處理，僅僅允許安全策略允許的數(shù)據(jù)包通過。其他的數(shù)據(jù)包全部丟棄。在處理過程中可以進行日志記錄。包過濾一直是一種簡單而有效的方法。通過攔截安全策略不允許的數(shù)據(jù)包，保護內(nèi)部網(wǎng)絡的安全。38第三十八頁，共五十五頁。包過濾防火墻 包過濾防火墻一般放置在不同安全等級的網(wǎng)絡之間案例：

XXX市政府業(yè)務網(wǎng)絡結(jié)構(gòu)圖39第三十九頁，共五十五頁。包過濾防火墻每個數(shù)據(jù)包有兩個部分：數(shù)據(jù)部分和包頭。每個數(shù)據(jù)包都包含有特定信息的一組報頭，其主要信息是：IP協(xié)議類型（TCP、UDP，ICMP等）IP源地址IP目標地址IP選擇域的內(nèi)容TCP或UDP源端口號TCP或UDP目標端口號ICMP消息類型包過濾器主要根據(jù)以上信息決定一個數(shù)據(jù)是否符合安全策略要求40第四十頁，共五十五頁。包過濾防火墻41第四十一頁，共五十五頁。包過濾防火墻42第四十二頁，共五十五頁。包過濾防火墻包過濾器規(guī)則包過濾器工作時依靠預先設定的規(guī)則來對數(shù)據(jù)包進行判斷沒有被明確允許的都被拒絕規(guī)則有先后順序關系規(guī)則的例子Allowproto=icmpsrc=/24Rejectproto=tcpsrc=0dst=dport=80Allowproto=tcpdst=dport=8043第四十三頁，共五十五頁。

包過濾操作流程圖

44第四十四頁，共五十五頁。包過濾防火墻 包過濾設計 考慮圖中的網(wǎng)絡，其中過濾路由器被用作在內(nèi)部被保護網(wǎng)絡和外部不信任網(wǎng)絡之間的第一道防線。策略：內(nèi)部SMTPServer:允許從以外的SMTP連接允許SMTPServer對外發(fā)郵件45第四十五頁，共五十五頁。包過濾防火墻序號動作協(xié)議SRCSportDSTDportSYN1REJTCP1any252ACPTCPany>1024253ACPTCP25any>1024!SYN4ACPTCP>1024any255ACPTCPany25>1024!SYN46第四十六頁，共五十五頁。包過濾防火墻僅僅根據(jù)單個數(shù)據(jù)包判斷的包過濾防火墻有很多弊端如：僅僅允許內(nèi)部機器訪問DNS服務(UDP53)47第四十七頁，共五十五頁。包過濾防火墻序號動作協(xié)議SRCSportDSTDportSYN1ACPUDP內(nèi)網(wǎng)>1024any532ACPUDPany53內(nèi)網(wǎng)>1024所有內(nèi)網(wǎng)UDP>1024端口都開放了?。?！48第四十八頁，共五十五頁。包過濾防火墻狀態(tài)包過濾StatefulFirewall記錄數(shù)據(jù)包的連接狀態(tài)TCP:SYN_SENT,SYN_RECV,ESTABLISHED,TIME_OUT等，根據(jù)數(shù)據(jù)包的內(nèi)容動態(tài)修改UDP:無狀態(tài)，第一個數(shù)據(jù)包觸發(fā)創(chuàng)建一個新連接，后續(xù)的數(shù)據(jù)包刷新該連接，直到超時后連接信息被刪除ICMP:狀態(tài)49第四十九頁，共五十五頁。包過濾防火墻狀態(tài)表超時協(xié)議SRCSportDSTDportstate50第五十頁，共五十五頁。SYNSYNACKACKClientServer狀態(tài)SYN_SENTESTABLISHED51第五十一頁，共五十五頁。包過濾防火墻狀態(tài)過濾狀態(tài)：ESTABLISHED已經(jīng)建立的連接的數(shù)據(jù)包RELATED已經(jīng)建立的連接相關連接的數(shù)據(jù)包，如ftp的data連接NEW新連接INVALID不屬于任何連接的無效數(shù)據(jù)包，一般情況下，這種數(shù)據(jù)包應該丟棄52第五十二頁，共五十五頁。