网络安全防火墙技术网络安全的构成物理安全性设备的物理安全:防火、防盗、防破坏等通信网络安全性防止入侵和信息泄露系统安全性计算机系统不被入侵和破坏用户访问安全性通过身份鉴别和访问控制,阻止资源被非法用户访问数据安全性数据的完整、可用数据保密性信息的加密存储和传输安全的分层结构和主要技术物理安全层网络安全层系统安全层用户安全层应用安全层数据安全层加密访问控制授权用户/组管理单机登录身份认证反病毒风险评估入侵检测审计分析安全的通信协议VPN防火墙存储备份防火墙基本概念什么是防火墙防火墙是位于两个(或多个)网络间,实施网间访问控制的组件集合,通过建立一整套规则和策略来监测、限制、更改跨越防火墙的数据流,达到保护内部网络的目的防火墙的设计目标内部和外部之间的所有网络数据流必须经过防火墙;只有符合安全政策的数据流才能通过防火墙;防火墙自身能抗攻击;防火墙=硬件+软件+控制策略防火墙逻辑位置示意图Email服务器Web服务器AInternet内部客户机AIntranet数据库服务器Web服务器B外部客户机C外部客户机D防火墙内部客户机B两个网络安全域间通信流的唯一通道源主机目的主机控制协议主机CWebA主机D主机A主机BWebAWebBWebB允许允许拒绝拒绝TCPUDPHTTPIP根据访问控制规则决定进出网络的行为企业网现状移动用户Internet用户Internet企业网分公司商业伙伴危机四伏常见的威胁粗心大意或不满的员工恶意代码(Malware)病毒、蠕虫、特洛伊木馬、恶作剧程序恶性的竞争对手黑客(Hacker)……需求为什么需要防火墙保护内部网不受来自Internet的攻击创建安全域强化机构安全策略对防火墙的两大需求保障内部网安全保证内部网同外部网的连通防火墙系统四要素安全策略内部网外部网技术手段防火墙的控制能力服务控制确定哪些服务可以被访问;方向控制对于特定的服务,可以确定允许哪个方向能够通过防火墙;用户控制根据用户来控制对服务的访问;行为控制控制一个特定的服务的行为;防火墙能做什么-1隔断挡住未经授权的访问流量;禁止具有脆弱性的服务带来危害;实施保护,以避免各种IP欺骗和路由攻击;过滤过滤掉未经授权的网络流量;代理防火墙能做什么-2审计报警NAT解决IP地址不足的问题保护内部网络地址配置隐藏网络服务的真实地址计费VPN(IPSec)防火墙技术带来的好处强化安全策略有效地记录Internet上的活动隔离不同网络,限制安全问题扩散是一个安全策略的检查站防火墙的不足使用不便,有些人认为防火墙给人虚假的安全感对用户不完全透明,可能带来传输延迟瓶颈及单点失效不能替代墙内的安全措施不能防范恶意的知情者不能防范不通过它的连接,如拨号不能防范全新的威胁不能有效地防范数据驱动式的攻击,如病毒当使用端-端加密时其作用会受到很大的限制关于防火墙的争议防火墙破坏了Internet端到端的特性,阻碍了新的应用的发展防火墙没有解决主要的安全问题,即网络内部的安全问题防火墙给人一种误解,降低了人们对主机安全的意识防火墙的类型防火墙的类型包过滤路由器应用层网关电路层网关包过滤路由器基本的思想在网络层对数据包进行选择对于每个进来的包,适用一组规则,然后决定转发或者丢弃该包判断依据有(只考虑IP包):数据包协议类型:TCP、UDP、ICMP、IGMP等源、目的IP地址源、目的端口:FTP、HTTP、DNS等IP选项:源路由、记录路由等TCP选项:SYN、ACK、FIN、RST等其它协议选项:ICMPECHO、ICMPECHOREPLY等数据包流向:in或out数据包流经网络接口:eth0、eth1包过滤路由器示意图网络层链路层物理层外部网络内部网络包过滤防火墙的特点在网络层上进行监测并没有考虑连接状态信息通常在路由器上实现实际上是一种网络的访问控制机制优点:实现简单对用户透明一个包过滤路由器即可保护整个网络缺点:正确制定规则并不容易不可能引入认证机制包过滤防火墙只通过简单的规则控制数据流的进出,没考虑高层的上下文信息过滤规则举例第一条规则:主机10.1.1.1任何端口访问任何主机的任何端口,基于TCP协议的数据包都允许通过。第二条规则:任何主机的20端口访问主机10.1.1.1的任何端口,基于TCP协议的数据包允许通过。第三条规则:任何主机的20端口访问主机10.1.1.1小于1024的端口,如果基于TCP协议的数据包都禁止通过。组序号动作源IP目的IP源端口目的端口协议类型1允许10.1.1.1***TCP2允许*10.1.1.120*TCP3禁止*10.1.1.1201024TCP针对包过滤防火墙的攻击IP地址欺骗,例如,假冒内部的IP地址对策:在外部接口上禁止内部地址源路由攻击,即由源指定路由从而旁路安全措施对策:禁止这样的选项小碎片攻击,利用IP分片功能把TCP头部切分到不同的分片中,以绕过用户定义的过滤规则对策:丢弃分片太小的分片利用复杂协议和管理员的配置失误进入防火墙例如,利用ftp协议对内部进行探查应用层网关应用层网关在应用层上建立协议过滤和转发功能针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告特点所有的连接都通过防火墙,防火墙作为网关在应用层上实现,网关理解应用协议,可以实施更细粒度的访问控制可以监视包的内容可以实现基于用户的认证可以提供理想的日志功能对每一类应用,都需要一个专门的代理,不够灵活非常安全,但是开销比较大应用层网关的工作原理客户网关服务器发送请求转发请求请求响应转发响应应用层网关不依赖包过滤工具来管理Internet服务,而是采用为每种所需服务在网关上安装代理服务的方式来管理Internet服务。如果网络管理员没有为某种应用安装代理编码,那么该项服务就不被支持并不能通过防火墙系统来转发。可以完全控制提供哪些服务,因为没有特定服务的代理就表示该服务不提供。应用层网关的协议栈结构HTTPFTPTelnetSmtp传输层网络层链路层应用层网关的优缺点优点允许用户“直接”访问Internet;易于记录日志;缺点新的服务不能及时地被代理每个被代理的服务都要求专门的代理软件客户软件需要修改,重新编译或者配置有些服务要求建立直接连接,无法使用代理比如聊天服务、或者即时消息服务代理服务不能避免协议本身的缺陷或者限制应用层网关实现编写代理软件代理软件一方面是服务器软件但是它所提供的服务可以是简单的转发功能另一方面也是客户软件对于外面真正的服务器来说,是客户软件针对每一个服务都需要编写模块或者单独的程序实现一个标准的框架,以容纳各种不同类型的服务软件实现的可扩展性和可重用性客户软件软件需要定制或者改写对于最终用户的透明性?协议对于应用层网关的处理协议设计时考虑到中间代理的存在,特别是在考虑安全性,比如数据完整性的时候电路层网关电路层网关是一个通用代理服务器,工作TCP/IP协议的TCP层将所有跨越防火墙的网络通信分为两段建立两个TCP连接,一个是内主机与防火墙,另一个是防火墙与外主机电路层网关只是在内部连接和外部连接之间来回拷贝字节,并不进行任何附加的包处理或过滤通过电路层网关传递的数据似乎起源于网关,隐藏了被保护网络的信息电路层网关常用于向外连接,对于要访问互联网服务的内部用户来说使用起来很方便电路层网关示意图不允许外部网与内部网的直接通信在网络的传输层上实施访问策略:防火墙建立两个TCP连接,一个是内主机与防火墙,另一个是防火墙与外主机连接似乎是起源于防火墙,从而隐藏了受保护网络的有关信息电路层网关的特点拓扑结构同应用程序网关相同接收客户端连接请求代理客户端完成网络连接在客户和服务器间中转数据通用性强电路层网关实现方式简单重定向根据客户的地址及所请求端口将该连接重定向到指定的服务器地址及端口上对客户端应用完全透明在转发前同客户端交换连接信息需对客户端应用作适当修改电路层网关的优缺点优点效率高精细控制,可以在应用层上授权为一般的应用提供了一个框架缺点客户程序需要修改个人防火墙是一种能够保护个人计算机系统安全的软件,它可以直接在用户的计算机上运行;可以对用户计算机的网络通信进行过滤;通常具有学习模式,可以在使用中不断增加新的规则;分布式防火墙传统防火墙技术的几个问题依赖于防火墙一端可信,另一端是潜在的敌人Internet的发展使从外部穿过防火墙访问内部网的需求增加了一些内部主机需要更多的权限只依赖于端-端加密并不能完全解决问题过于依赖物理拓扑结构分布式防火墙的思路主要工作防护工作在主机端;打破传统防火墙的物理拓扑结构,不单纯依靠物理位置来划分内外;由安全策略来划分内外网;具体方法:策略描述语言:说明什么连接允许,什么连接不允许;一系列系统管理工具:用于将策略发布到每一主机处,以保证机构的安全防火墙的配置模式防火墙简图Gateway(s)FilterFilterInsideOutside防火墙的位置默认安全策略没有明确禁止的行为都是允许的没有明确允许的行为都是禁止的防火墙体系结构双宿/多宿主机模式(dual-homed/multi-homed)屏蔽主机模式屏蔽子网模式双宿/多宿主机模式堡垒主机是一种配置了安全防范措施的网络上的计算机,它为网络之间的通信提供了一个阻塞点,也就是说如果没有堡垒主机,网络之间将不能相互访问。这种防火墙的特点是主机的路由功能是被禁止的,即主机在两个端口之间直接转发信息的功能被关掉。两个网络之间的通信通过应用层代理服务来完成。如果一旦黑客侵入堡垒主机并使其具有路由功能,防火墙将变得无用。屏蔽主机模式堡垒主机安装在内部网络上,在包过滤路由器上设立过滤规则,使堡垒主机成为从外部网络唯一可直接到达的主机,这确保了内部网络不受非授权外部用户的攻击。堡垒主机可以充当应用层网关和电路级网关。屏蔽主机防火墙实现了网络层(包过滤路由器)和应用层(堡垒主机)的安全,因而比单独的包过滤或应用网关代理更安全。在这一方式下,过滤路由器是否配置正确是这种防火墙安全与否的关键,如果路由表遭到破坏,堡垒主机就可能被越过,使内部网完全暴露屏蔽子网模式屏蔽子网防火墙是目前较流行的一种结构,采用了两个包过滤路由器和一个堡垒主机,在内外网络之间建立了一个被隔离的子网,定义为“非军事区”,有时也称作周边网,用于放置堡垒主机,WEB服务器、Mail服务器等公用服务器。内部网络和外部网络均可访问屏蔽子网,但禁止它们穿过屏蔽子网通信。在这一配置中,即使堡垒主机被入侵者控制,内部网仍受到内部包过滤路由器的保护。实施中的其他问题服务最小特权原则使用多堡垒主机合并内部路由器与外部路由器合并堡垒主机与外部路由器合并堡垒主机与内部路由器使用多台内部路由器使用多台外部路由器使用多个周边网络使用双重宿主主机与屏蔽子网谢谢!