信息安全原理与应用-防火墙技术及应用.ppt

1,信息安全原理与应用 第十二章 防火墙技术及应用 本章由王昭主写,2,讨论议题,防火墙的基本概念 防火墙的体系结构 防火墙相关技术,3,防火墙定义,防火墙是位于两个或多个网络之间，执行访问控制策略的一个或一组系统，是一类防范措施的总称 . 一个好的防火墙具备: 内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全政策的数据流才能通过防火墙 防火墙自身应对渗透免疫,4,防火墙的访问控制能力,服务控制，确定哪些服务可以被访问 方向控制，对于特定的服务，可以确定允许哪个方向能够通过防火墙 用户控制，根据用户来控制对服务的访问 行为控制，控制一个特定的服务的行为,5,防火墙的作用,防火墙对企业内部网实现了集中的安全管理 防火墙能防止非授权用户进入内部网络。 防火墙可以方便地监视网络的安全性并报警。 可以作为部署网络地址转换NAT的地点 可以实现重点网段的分离 防火墙是审计和记录网络的访问和使用的最佳地方。,6,防火墙的局限性,限制或关闭了一些有用但存在安全缺陷的网络服务，给用户带来使用的不便。 目前防火墙对于来自网络内部的攻击还无能为力。 防火墙不能防范不经过防火墙的攻击。 可能带来传输延迟、瓶颈及单点失效。 防火墙不能有效地防范数据驱动式攻击。 作为一种被动的防护手段，防火墙不能防范因特网上不断出现的新的威胁和攻击。,7,防火墙安全策略,在构筑防火墙之前，需要制定一套完整有效的安全战略 网络服务访问策略 一种高层次的具体到事件的策略，主要用于定义在网络中允许或禁止的服务。 防火墙设计策略 一切未被允许的就是禁止的 一切未被禁止的都是允许的,8,讨论议题,防火墙的基本概念 防火墙的体系结构 防火墙相关技术,9,防火墙的体系结构,包过滤型防火墙（Package Filtering) 双宿/多宿主机模式 (Dual-Homed /Multi-Homed Host Firewall) 屏蔽主机模式(Screened Host Firewall ) 屏蔽子网模式(Screened Subnet mode) 其他模式,10,几个概念,堡垒主机:Bastion Host 堡垒主机是一种配置了安全防范措施的网络上的计算机，堡垒主机为网络之间的通信提供了一个阻塞点，也就是说如果没有堡垒主机，网络之间将不能相互访问。 双宿主机:Dual-homed Host 有两个网络接口的计算机系统，一个接口接内部网，一个接口接外部网. DMZ(Demilitarized Zone，非军事区或者停火区) 在内部网络和外部网络之间增加的一个子网,包过滤防火墙,往往用一台路由器来实现 基本的思想很简单 对所接收的每个数据包进行检查，根据过滤规则，然后决定转发或者丢弃该包 往往配置成双向的,11,12,包过滤防火墙,往往用一台路由器来实现 基本的思想很简单 对所接收的每个数据包进行检查，根据过滤规则，然后决定转发或者丢弃该包 往往配置成双向的 如何过滤 过滤规则基于IP包头信息。IP源地址、目的地址、TCP/UDP端口、ICMP消息类型、TCP头中的ACK位。 过滤器往往建立一组规则，根据IP包是否匹配规则中指定的条件来作出决定。 如果有匹配按规则执行，没有匹配，则按缺省策略。,13,双宿/多宿主机模式,它是一种拥有两个或多个连接到不同网络上的网络接口的防火墙。,14,屏蔽主机模式,屏蔽主机防火墙由包过滤路由器和堡垒主机组成,15,屏蔽子网模式,采用了两个包过滤路由器和一个堡垒主机，在内外网络之间建立了一个被隔离的子网，定义为“非军事区（de-militarized zone）”网络，有时也称作周边网(perimeter network),16,讨论议题,防火墙的基本概念 防火墙的体系结构 防火墙相关技术,17,防火墙相关技术,静态包过滤 状态监测 应用程序网关(代理服务器) 电路级网关 深度包检查技术,18,静态包过滤,根据流经该设备的数据包头信息，决定是否允许该数据包通过,如何过滤 过滤规则基于IP包头信息。IP源地址、目的地址、TCP/UDP端口、ICMP消息类型、TCP头中的ACK位。 过滤器往往建立一组规则，根据IP包是否匹配规则中指定的条件来作出决定。 如果有匹配按规则执行，没有匹配，则按缺省策略,19,重要的约定,访问规则要使用IP地址，而不使用主机名或域名 不要回应所有经过外部网络接口来的ICMP包。 要丢弃所有通过外部网络适配器流入，且其源地址是来自受保护网络的包。,telnet服务的数据包的特性,20,从内往外的telnet服务,针对telnet服务的过滤规则,21,双向允许,针对SMTP服务的过滤规则,22,双向允许,针对WWW服务的过滤规则,23,允许内部网用户的WWW服务,正常模式的FTP过滤规则,24,PASV模式的FTP过滤规则,25,26,针对包过滤防火墙的攻击,IP地址欺骗，例如，假冒内部的IP地址 对策：在外部接口上禁止内部地址 源路由攻击，即由源指定路由 对策：禁止这样的选项 小碎片攻击，利用IP分片功能把TCP头部切分到不同的分片中 对策：丢弃分片太小的分片 利用复杂协议和管理员的配置失误进入防火墙 例如，利用ftp协议对内部进行探查,27,防火墙相关技术,静态包过滤 状态监测 应用程序网关(代理服务器) 电路级网关 深度包检查技术,28,动态包过滤,Check point一项称为“Stateful Inspection”的技术 防火墙跟踪客户端口，而不是打开全部高编号端口给外部访问，因而更安全。,状态监测防火墙建立连接状态表，记录外出的TCP连接及相应的高编号客户端口，以验证任何进入的通信是否合法。可动态生成/删除规则,29,动态包过滤特点,优点： 对网络通信的各层实施监测分析。 能够提供对基于无连接的协议（UDP）的应用及基于端口动态分配的协议的应用的安全支持。 总之，这类防火墙减少了端口的开放时间，提供了对几乎所有服务的支持。 缺点：是它也允许外部客户和内部主机的直接连接；不提供用户的鉴别机制。,30,防火墙相关技术,静态包过滤 状态监测 应用程序网关(代理服务器) 电路级网关 深度包检查技术,31,应用级网关,网关理解应用协议，可以实施更细粒度的访问控制 对每一类应用，都需要一个专门的代理 灵活性不够,32,应用层网关的特点,所有的连接都通过防火墙，防火墙作为网关 在应用层上实现 可以监视包的内容 可以实现基于用户的认证 所有的应用需要单独实现 可以提供理想的日志功能 非常安全，但是开销比较大,33,防火墙相关技术,静态包过滤 状态监测 应用程序网关(代理服务器) 电路级网关 深度包检查技术,34,电路级网关防火墙,拓扑结构同应用程序网关相同 本质上，也是一种代理服务器，接收客户端连接请求，代理客户端完成网络连接 在客户和服务器间中转数据 通用性强,35,电路级网关防火墙特点,电路级网关是一个通用代理服务器，它工作于OSI互联模型的会话层或是TCP/IP协议的TCP层。它适用于多个协议，但它不能识别在同一个协议栈上运行的不同的应用，当然也就不需要对不同的应用设置不同的代理模块，但这种代理需要对客户端作适当修改。,36,防火墙相关技术,静态包过滤 状态监测 应用程序网关(代理服务器) 电路级网关 深度包检查技术,37,深度包检测技术,与只是检查数据包的包头部分的浅层包检查技术（通常称为状态监测技术）不同，深度包检查（deep packet inspection，DPI）也称为完全包检查（complete packet inspection）和信息提取（Information extraction）。 DPI技术组合了入侵检测系统、入侵保护系统及传统状态监测防火墙的功能。这种组合使它能够检测单独的IDS、IPS或者状态监测防火墙不能检测的攻击行为。,38,其他防火墙技术,网络地址转换 热恢复策略 流量控制 IP和MAC绑定 身份鉴别 负载均衡 内容安全 加密 审计 防火墙的免疫设计 分布式防火墙,39,防火墙的发展趋势,高速 应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法，算法也是关键。 多功能化 比如NAT、VPN(IPSec)、IDS，以及一些鉴别和访问控制技术 安全 防火墙自身的安全性和稳定性,40,参考文献,王昭，袁春编著，信息安全原理与应用，电子工业出版社，北京，2010，1 William Stallings, Cryptography and network security: principles and practice, Second Edition 防火墙原理与实用技术，北京启明星辰有限公司，电子工业出版社，北京， 2002，1 William R Cheswick，戴宗坤译，防火墙与因特网安全,机械工业出版社，北京，2000，4 Terry William Ogletree，防火墙原理与实践，电子工业出版社，北京，2001，2 其他关于防火墙技术的书籍和站点 ,