信息安全第11章防火墻.ppt

第11章 防火墻,主要內(nèi)容,11.1 防火墻的原理 11.2 防火墻的分類 11.3 防火墻技術(shù) 11.4 防火墻的體系結(jié)構(gòu) 11.5 防火墻的局限性,Internet,為什么需要防火墻,Internet的開放性導(dǎo)致網(wǎng)絡(luò)安全威脅無處不在,拒絕服務(wù)攻擊,ARP攻擊泛濫,未授權(quán)資源訪問,非法資源訪問,各種協(xié)議漏洞攻擊,沒有防火墻的 Internet千瘡百孔,11.1 防火墻的原理,Willam Cheswick和 steven Beellovin：防火墻是位于兩個（或多個）網(wǎng)絡(luò)間，實施網(wǎng)間訪問控制的一組組件的集合，它滿足以下條件： 內(nèi)部和外部之間的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過防火墻； 有符合安全政策的數(shù)據(jù)流才能通過防火墻； 防火墻自身能抗攻擊。,防火墻可以是在可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的一個緩沖系統(tǒng)，它可以是一臺有訪問控制策略的路由器，或者一臺多個網(wǎng)絡(luò)接口的計算機、也可以是安裝在某臺特定機器上的軟件。它被配置成保護指定網(wǎng)絡(luò)，使其免受來自于非信任網(wǎng)絡(luò)區(qū)域的某些協(xié)議與服務(wù)的影響。,防火墻的基本功能,服務(wù)控制：確定哪些服務(wù)可以被訪問； 方向控制：對于特定的服務(wù)，可以確定允許哪個方向能夠通過防火墻； 用戶控制：根據(jù)用戶來控制對服務(wù)的訪問； 行為控制：控制一個特定的服務(wù)的行為。,防火墻在網(wǎng)絡(luò)中的位置 防火墻多應(yīng)用于一個局域網(wǎng)的出口處（如圖（a）所示）或置于兩個網(wǎng)絡(luò)中間（如圖（b）所示）。,防火墻在網(wǎng)絡(luò)中的位置,安全域為什么需要安全域？,傳統(tǒng)防火墻通常都基于接口進行策略配置，網(wǎng)絡(luò)管理員需要為每一個接口配置安全策略。 防火墻的端口朝高密度方向發(fā)展，基于接口的策略配置方式給網(wǎng)絡(luò)管理員帶來了極大的負擔(dān)，安全策略的維護工作量成倍增加，從而也增加了因為配置引入安全風(fēng)險的概率。,教學(xué)樓 #1,教學(xué)樓 #2,教學(xué)樓 #3,服務(wù)器群,辦公樓 #1,辦公樓 #2,實驗樓 #1,實驗樓 #2,宿舍樓,Internet,配置維護太復(fù)雜了！,安全域什么是安全域？,將安全需求相同的接口劃分到不同的域，實現(xiàn)策略的分層管理。,防火墻,Trust,Untrust,Internet,教學(xué)樓 辦公樓 實驗樓 宿舍樓,DMZ,Web服務(wù)器 FTP服務(wù)器 郵件服務(wù)器 打印服務(wù)器,配置維護簡單多了！,1 信賴域和非信賴域 2 信賴主機和非信賴主機 3、DMZ DMZ（Demilitarized zone）稱為“隔離區(qū)”或“非軍事化區(qū)”，它是介于信賴域和非信賴域之間的一個安全區(qū)域。,Trust,安全域域間策略,市場部門 /16,防火墻,研發(fā)部門 /16,域間策略,Untrust,Internet,DMZ,Web Server ,Mail Server ,Trust區(qū)域的市場部門員工在上班時間可以訪問Internet Untrust區(qū)域在任何時候都不允許訪問DMZ區(qū)域的郵件服務(wù)器 Trust區(qū)域的研發(fā)部門員工在任何時候都可以訪問DMZ區(qū)域的Web服務(wù)器,使用防火墻后的網(wǎng)絡(luò)組成,防火墻的實施策略,一切未被禁止的就是允許的（Yes規(guī)則） 確定那些被認為是不安全的服務(wù)，禁止其訪問；而其他服務(wù)則被認為是安全的，允許訪問。 一切未被允許的就是禁止的（No規(guī)則） 確定所有可以被提供的服務(wù)以及它們的安全性，然后開放這些服務(wù)，并將所有其他未被列入的服務(wù)排除在外，禁止訪問。,11.2 防火墻的分類,根據(jù)防火墻形式分類 根據(jù)實現(xiàn)原理分類 根據(jù)防火墻結(jié)構(gòu)分類 按照防火墻應(yīng)用部署分類,根據(jù)防火墻形式分類,軟件防火墻 運行于特定的計算機上，它需要客戶預(yù)先安裝好的計算機操作系統(tǒng)的支持 硬件防火墻 基于PC架構(gòu)，運行一些經(jīng)過裁剪和簡化的操作系統(tǒng)，一般至少應(yīng)具備三個端口 芯片級防火墻 專有的ASIC芯片，速度更快，處理能力更強，性能更高，專用操作系統(tǒng)，價格相對比較高昂,根據(jù)實現(xiàn)原理分類,包過濾(Packet Filtering)型 工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，根據(jù)數(shù)據(jù)包頭源地址、目的地址、端口號和協(xié)議類型等標(biāo)志確定是否允許通過。 應(yīng)用代理(Application Proxy)型 工作在OSI的最高層，即應(yīng)用層。其特點是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。,根據(jù)防火墻結(jié)構(gòu)分類,單一主機防火墻 最為傳統(tǒng)的防火墻，獨立于其它網(wǎng)絡(luò)設(shè)備，位于網(wǎng)絡(luò)邊界。一般都集成了兩個以上的以太網(wǎng)卡，連接一個以上的內(nèi)、外部網(wǎng)絡(luò)。 路由器集成式防火墻 在許多中、高檔路由器中集成了防火墻功能。如Cisco IOS防火墻系列。但這種防火墻通常是較低級的包過濾型。這樣企業(yè)就不用再同時購買路由器和防火墻 分布式防火墻 由多個軟、硬件組成的系統(tǒng)。滲透于網(wǎng)絡(luò)的每一臺主機，對整個內(nèi)部網(wǎng)絡(luò)的主機實施保護。在網(wǎng)絡(luò)服務(wù)器中，通常會安裝一個用于防火墻系統(tǒng)管理軟件，在服務(wù)器及各主機上安裝有集成網(wǎng)卡功能的PCI防火墻卡 ，一塊防火墻卡同時兼有網(wǎng)卡和防火墻的雙重功能。這樣一個防火墻系統(tǒng)就可以徹底保護內(nèi)部網(wǎng)絡(luò)。,按照防火墻應(yīng)用部署分類,邊界防火墻 位于內(nèi)、外部網(wǎng)絡(luò)的邊界，所起的作用的對內(nèi)、外部網(wǎng)絡(luò)實施隔離，保護邊界內(nèi)部網(wǎng)絡(luò)。一般都是硬件類型 個人防火墻 安裝于單臺主機中。應(yīng)用于廣大的個人用戶，通常為軟件防火墻，價格最便宜，在功能上有很大的限制。 混合式防火墻 是一整套防火墻系統(tǒng)，由若干個軟、硬件組件組成，分布于內(nèi)、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機之間，既對內(nèi)、外部網(wǎng)絡(luò)之間通信進行過濾，又對網(wǎng)絡(luò)內(nèi)部各主機間的通信進行過濾。它屬于最新的防火墻技術(shù)之一，性能最好，價格也最貴。,11.3 防火墻技術(shù),數(shù)據(jù)包過濾 代理服務(wù),數(shù)據(jù)包過濾技術(shù),什么是包過濾？ 包過濾是訪問控制技術(shù)的一種，對于需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，首先獲取包頭信息（包括源地址、目的地址、源端口和目的端口等），然后與設(shè)定的策略進行比較，根據(jù)比較的結(jié)果對數(shù)據(jù)包進行相應(yīng)的處理（允許通過或直接丟棄）。 數(shù)據(jù)包過濾原理 在網(wǎng)絡(luò)的適當(dāng)位置，根據(jù)系統(tǒng)設(shè)置的過濾規(guī)則。對數(shù)據(jù)包實施過濾，只允許滿足過濾規(guī)則的數(shù)據(jù)包通過并被轉(zhuǎn)發(fā)到目的地，而其他不滿足規(guī)則的數(shù)據(jù)包被丟棄。 包過濾技術(shù)出現(xiàn)了兩種不同版本，稱為“靜態(tài)包過濾”和“動態(tài)包過濾”。,包過濾防火墻工作示意圖,靜態(tài)包過濾類型防火墻,采用數(shù)據(jù)包過濾技術(shù) 根據(jù)定義好的過濾規(guī)則審查每個數(shù)據(jù)包，過濾規(guī)則基于數(shù)據(jù)包的報頭信息進行制訂。 報頭信息中包括IP源地址、IP目標(biāo)地址、傳輸協(xié)議(TCP、UDP、ICMP等等)、TCP/UDP目標(biāo)端口、ICMP消息類型等。,包過濾防火墻規(guī)則示例,1：內(nèi)部主機任何端口訪問任何主機的任何端口，基于TCP協(xié)議的數(shù)據(jù)包 都允許通過。 2：任何主機的20端口訪問主機的任何端口，基于TCP協(xié)議的數(shù)據(jù)包允許通過。 3：任何主機的20端口訪問主機小于1024的端口，如果基于TCP協(xié)議的數(shù)據(jù)包都禁止通過（與1、2作為系列規(guī)則時該規(guī)則無效）。,狀態(tài)監(jiān)測防火墻,靜態(tài)包過濾最明顯的缺陷是，為了實現(xiàn)期望的通信，它必須保持一些端口永久開放，這就為潛在的攻擊提供了機會。為了克服這個弱點，發(fā)展出了動態(tài)包過濾技術(shù)，它根據(jù)數(shù)據(jù)包的頭信息打開或關(guān)閉端口。,狀態(tài)檢測防火墻的工作示意圖,包過濾防火墻的優(yōu)缺點,優(yōu)點： 性能優(yōu)于其他防火墻，因為它執(zhí)行的計算較少，并且容易用硬件方式實現(xiàn)； 規(guī)則設(shè)置簡單，通過禁止內(nèi)部計算機和特定Internet資源連接，單一規(guī)則即可保護整個網(wǎng)絡(luò)； 不需要對客戶端計算機進行專門配置； 通過NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換），可以對外部用戶屏蔽內(nèi)部IP 缺點： 無法識別協(xié)議層次，也無法對協(xié)議子集進行約束，甚至最基本的服務(wù)，如ftp中的put和get命令也無法識別； 處理包內(nèi)信息的能力有限，通常不能提供其他附加服務(wù)； 一般無法約束由內(nèi)部主機到防火墻服務(wù)器上的信息，只能控制哪些信息可以通過，從而入侵者可能訪問到防火墻主機的服務(wù)，帶來安全隱患； 由于對眾多網(wǎng)絡(luò)服務(wù)的支持所造成的復(fù)雜性，很難對規(guī)則有效性進行測試。,NAT為什么需要NAT？,NAT（Network Addressing Translation：網(wǎng)絡(luò)地址轉(zhuǎn)換）,問題,如何應(yīng)對IPv4地址日益短缺的問題？,如何有效隱藏私網(wǎng)內(nèi)部結(jié)構(gòu)？,解決之道,NAT,NAT基本原理和實現(xiàn)方式,基本原理 僅在私網(wǎng)主機需要訪問Internet時才會分配到合法的公網(wǎng)地址，而在內(nèi)部互聯(lián)時則使用私網(wǎng)地址。當(dāng)訪問Internet的報文經(jīng)過防火墻時，會用一個合法的公網(wǎng)地址替換原報文中的源IP地址，并對這種轉(zhuǎn)換進行記錄；之后，當(dāng)報文從Internet側(cè)返回時，防火墻查詢原有的記錄，將報文的目的地址再替換回原來的私網(wǎng)地址，并送回發(fā)出請求的主機。,NAT基本NAT方式,00,8,NAT地址池,NAT轉(zhuǎn)換表項,防火墻,1、只轉(zhuǎn)換IP地址，對TCP/UDP協(xié)議端口號不做處理。 2、一個公網(wǎng)IP地址不能同時被多個用戶使用。,源 00,目的 00,源 5,目的 5,內(nèi)網(wǎng)主機,外網(wǎng)服務(wù)器,代理服務(wù)技術(shù),代理服務(wù)原理 代理服務(wù)是在防火墻主機上運行的專門的應(yīng)用程序或服務(wù)器程序，這些程序根據(jù)安全策略處理用戶對網(wǎng)絡(luò)服務(wù)的請求，代理服務(wù)位于內(nèi)部網(wǎng)和外部網(wǎng)之間，處理其間的通信以代替互相的直接通信。,代理防火墻,代理防火墻的工作原理 代理防火墻具有傳統(tǒng)的代理服務(wù)器和防火墻的雙重功能。如圖所示，代理服務(wù)器位于客戶機與服務(wù)器,代理防火墻的工作示意圖,之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看，代理服務(wù)器相當(dāng)于一臺真正的服務(wù)器；而從服務(wù)器來看，代理服務(wù)器僅是一臺客戶機。,應(yīng)用網(wǎng)關(guān)(Application Gateway)型防火墻,一般被配置為雙宿主網(wǎng)關(guān)，具有兩個網(wǎng)絡(luò)接口卡，跨接內(nèi)部網(wǎng)和外部網(wǎng)。 缺點：速度相對比較慢 優(yōu)點：安全性高,電路級網(wǎng)關(guān)防火墻,電路級網(wǎng)關(guān)是一個通用代理服務(wù)器，通?？梢哉J為它工作于OSI互聯(lián)模型的會話層或是TCP/IP協(xié)議的TCP層 電路級網(wǎng)關(guān)的實現(xiàn)典型是Socks5協(xié)議，支持多種認證方式。,11.4 防火墻的體系結(jié)構(gòu),堡壘主機（Bastion Host） 物理內(nèi)部網(wǎng)中唯一可供外界訪問到的主機，它通常配置了嚴(yán)格的安全防范措施，堡壘主機為內(nèi)部網(wǎng)和外部網(wǎng)之間的通信提供一個阻塞點。 DMZ 指供外部網(wǎng)訪問的專門區(qū)域，用于發(fā)布信息、提供服務(wù)。通常情況下，外部網(wǎng)和內(nèi)部網(wǎng)都可以訪問這一區(qū)域。 防火墻的體系結(jié)構(gòu)一般有雙重宿主主機體系結(jié)構(gòu)、屏蔽主機體系結(jié)構(gòu)和屏蔽子網(wǎng)體系結(jié)構(gòu)。,雙重宿主主機體系結(jié)構(gòu),IP數(shù)據(jù)包從一個網(wǎng)絡(luò)（例如Internet）并不是直接發(fā)送到其它網(wǎng)絡(luò)（例如內(nèi)部的、被保護的網(wǎng)絡(luò)），即內(nèi)部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)不能直接通信，而是由雙重宿主主機在中間實現(xiàn)交接過濾。,屏蔽主機體系結(jié)構(gòu),屏蔽主機體系結(jié)構(gòu)防火墻使用一個路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開 任何外部的系統(tǒng)要訪問內(nèi)部的系統(tǒng)或服務(wù)都必須先連接到堡壘主機。 內(nèi)部網(wǎng)也只有堡壘主機可以連接 Internet，堡壘主機實際也就