防火墙基本知识

09年04月防火墙基础知识主要内容防火墙基本知识防火墙技术防火墙选择防火墙部署防火墙基本知识—概念•防火墙的定义：是在两个网络之间执行访问控制策略的一组硬件和软件系统，其目的是保护本地网络的通信安全。•防火墙的保护功能：防火墙对内部网络的保护是双向的。从入的方向上，它阻止外面网络对本地网络的非法访问和入侵；从出的方向上，它控制本地网络对外部不良网络进行访问或者是未经允许的数据输出，防止内部信息的泄露。DMZ区Trust可信区域DPtech防火墙InternetUntrust不可信区域企业内部需要保护的区域企业对外提供服务功能属于缓冲区外网，默认是不安全的对外服务器防火墙基本知识—防火墙的作用•防火墙可强迫所有进出信息都通过这个唯一狭窄的检查点，便于集中实施安全策略。•防火墙可以实行强制的网络安全策略，如：禁止不安全的协议•防火墙可以对网络存取和访问进行监控审计。如：对P2P流量的监管和限流。•使用内部防火墙还可以防止一个网段的问题传播到另一个网段。防火墙主要是让网络“断”，默认所有数据都丢弃，只有合法的数据才能通过。防火墙基本知识—防护模型•防火墙主要是针对4层报文进行安全过滤，对7层应用层分析较少。防火墙主要管理范围主要内容防火墙基本知识防火墙技术防火墙种类防火墙发展防火墙主要技术防火墙选择防火墙部署典型配置案例种类型防火墙：包过滤防火墙：根据一组规则允许/阻塞一些数据包。应用代理型防火墙：作为应用层代理服务器，提供安全防护。状态检测型防火墙：比包过滤防火墙具有更高的智能和安全性，会话成功建立连接以后记录状态信息并时时更新，所有会话数据都要与状态表信息相匹配；否则会话被阻断。状态检测技术防火墙技术发展介绍现代防火墙基本为3种类型防火墙的综合体，即采用状态检测型包过滤技术，同时提供透明应用代理功能。包过滤防火墙•基本概念：数据包过滤是指在网络中的适当位置对数据包实施有选择的通过。选择的依据就是系统内设置的过滤规则或称访问控制表。•包过滤操作过程：①包过滤规则必须被存储在包过滤设备的端口；②当数据包在端口到达时，包头被提取，同时包过滤设备检查IP、TCP、UDP等包头中的信息；③包过滤规则以特定的次序被存储，每一规则按照被存储的次序作用于包；④如果一条规则允许传输，包就被通过；如果一条规则阻止传输，包就被弃掉或进入下一条规则。源端口IP包检测包头检查路由安全策略：过滤规则路由表包过滤防火墙转发符合不符合丢弃包过滤防火墙—图示包过滤防火墙—技术评价优点：•速度快，吞吐率高（过滤规则较少时）•对应用程序透明（无帐号口令等)缺点：•安全性低•不能过滤传输层以上的信息•不能监控链路状态信息代理服务器代理客户机请求应答被转发的请求被转发的应答应用代理防火墙双向通信必须经过应用代理，禁止IP直接转发；只允许本地安全策略允许的通信信息通过；应用代理防火墙—图示•代理服务器评价来自代理客户的请求并决定请求是否被认可。如果请求被认可，代理服务器便代表客户接触真正的服务器并且转发从代理客户到真正的服务器的请求以及真正的服务器到代理客户的响应。安全策略访问控制优点：•可以将被保护网络内部的结构屏蔽起来•可以实施较强的数据流监控、记录。•可提供应用层的安全（身份验证等）缺点：•灵活性通用性较差，只支持有限的应用。•不透明（用户每次连接可能要受到“盘问”）•代理服务的工作量较大，需要专门的硬件（工作站）来承担应用代理防火墙—技术评价基于状态的包过滤防火墙•状态检测技术对于新建立的连接，首先检查预先设置的安全规则，允许符合规则的连接通过，并记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要是符合状态表的，就可以通过。可对各层的通信进行主动、实时的监控重组会话，对应用进行细粒度检测基于状态的包过滤防火墙—图示IP包检测包头下一步处理安全策略：过滤规则会话连接状态缓存表状态检测包过滤防火墙符合不符合丢弃符合检查项IP包的源、目的地址、端口TCP会话的连接状态上下文信息特点：•安全性得到进一步提高。•可监测无连接状态的远程过程调用和用户数据报之类的端口信息。基于状态的包过滤防火墙—技术评价主要内容防火墙基本知识防火墙技术防火墙种类防火墙发展防火墙主要技术防火墙选择防火墙部署防火墙技术与产品发展回顾•防火墙产品的四个发展阶段（四代）–基于路由器的防火墙–用户化的防火墙工具套件–建立在通用操作系统上的防火墙–具有安全操作系统的防火墙第一代：基于路由器的防火墙•称为包过滤防火墙•特征：–以访问控制表方式实现包过滤–过滤的依据是IP地址、端口号和其它网络特征–只有包过滤功能，且防火墙与路由器合为一体•缺点：–路由协议本身具有安全漏洞–路由器上的包过滤规则的设置和配置复杂–攻击者可假冒地址–本质缺陷：防火墙的设置会大大降低路由器的性能（一对矛盾）•特征：–将过滤功能从路由器中独立出来，并加上审计和告警功能；–针对用户需求提供模块化的软件包；–纯软件产品。–安全性提高，价格降低；•缺点：–配置和维护过程复杂费时；–对用户技术要求高；–全软件实现，安全性和处理速度均有局限；第二代:用户化的防火墙工具套件•实现方式：软件、硬件、软硬结合。•问题：–作为基础的操作系统及其内核的安全性无从保证。–通用操作系统厂商不会对防火墙的安全性负责；–第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统漏洞的攻击。–用户必须依赖两方面的安全支持：防火墙厂商和操作系统厂商。上述问题在基于Windows/Linux开发的防火墙产品中表现得十分明显。第三代：建立在通用操作系统上的防火墙特点：•防火墙厂商具有操作系统的源代码，并可实现安全内核；这是一个安全厂商技术实力的体现•对安全内核实现加固处理：即去掉不必要的系统特性，强化安全保护，从而可以提供更高的处理性能•在功能上包括了分组过滤、代理服务，且具有加密与鉴别功能；•具有独立硬件技术的厂商，安全可靠性更高第四代：具有安全操作系统的防火墙主流安全厂商属于第四代技术。主要内容防火墙基本知识防火墙技术防火墙种类防火墙发展防火墙主要技术防火墙选择防火墙部署防火墙关键技术汇总•安全区域：Zone，防火墙最基本功能，将网络按照不同防护需求划分为隔离的区域•攻击防范：对各种攻击进行识别和阻断，保障网络内部用户的数据安全•VPN：VirtualPrivateNetwork，就是虚拟专用网，主要是保证在不可信的公网上建立用户的“专线”，通过加密实现逻辑上的专线建设，从而实现远程安全通信•NAT：NetworkAddressTranslation，就是地址转换，主要用于保护内网组网架构和地址匮乏•状态检测：保障应用链接是有内网用户发起，并且是按照标准状态进行；对外部发起的任何访问都不响应•状态热备：安全区域（ZONE）•安全区域：安全管理基本单位，通过划分不同区域，为其定级不同安全级别，从而执行相应的安全策略，主要是不同区域间的访问控制•将接口加入相应安全区域，即意味着与接口相连的网络接入本安全区域•Trust、Untrust、DMZ为防火墙默认三个安全区域防火墙交换机受信区域Trust非受信区域UntrustDMZ区受信区域－DMZ区，可以访问POP3和SMTP服务DMZ－受信区域，不可访问任何服务应用服务器非受信区域－DMZ区，可以访问POP3和SMTP服务DMZ－非受信区域，可以访问任何服务非受信区域和受信区域之间不能互访攻击防范—当前主要攻击•Land攻击防范•Smurf攻击防范•Fraggle攻击防范•WinNuke攻击防范•PingofDeath攻击防范•TearDrop攻击防范•IPSpoofing攻击防范•SYNFlood攻击防范•ICMPFlood攻击防范•UDPFlood攻击防范•ARP欺骗攻击防范•ARP主动反向查询•TCP报文标志位异常攻击防范•超大ICMP报文攻击防范•地址扫描的防范•端口扫描的防范•攻击按照不同划分标准，有不同分类。一般分为畸形报文（利用协议漏洞）、泛洪类（Flood，发起大量请求）、应用层（操作系统和软件漏洞），下面是当前知名攻击攻击防范各种网络攻击可以归结为：•侦测技术：攻击前奏，通过扫描和探测来摸清目标的网络架构、漏洞、操作系统等，为下一步攻击作准备。•欺骗技术：包括IP欺骗和ARP欺骗，用来隐蔽攻击行为•DOS/DDOS（拒绝服务/分布式拒绝服务攻击）：主流攻击模式，利用系统异常和大量虚假报文，让目标无法继续提供正常服务，从而达到攻击目的•蠕虫、木马等病毒攻击：应用层攻击，不仅仅是破坏目标应用，更是以获利为主要目的。•防火墙就是阻断侦测、识破欺骗、阻断攻击，实现对网络中安全威胁的防御。虚拟专用网（VPN）•通过组合数据封装和加密技术，实现私有数据通过公共网络平台进行安全传输，从而以经济、灵活的方式实现两个局域网络通过公共网络平台进行衔接，或者提供移动用户安全的通过公共网络平台接入内网。中心站点分支机构合作伙伴接入点移动用户SOHO用户VPN逻辑通道安全加密网络地址转换技术（NAT）•NAT就是将一个IP地址用另一个IP地址代替。•应用领域：–网络管理员希望隐藏内部网络的IP地址。–合法InternetIP地址有限，而且受保护网络往往有自己的一套IP地址规划（内网私有地址）10.1.5.22发出请求应答发给10.1.5.22NAT10.1.5.22↔202.1.1.1状态检测•根据协议的“状态机”识别各种协议的正确状态•一般包括H323/MGCP/SIP/H248/RTSP/ICMP/FTP/DNS/PPTP/NBT/ILS等•针对应用层协议包括SMTP/HTTP/Java/ActiveX/SQL注入攻击状态检测防火墙用户服务器用户初始化到服务器的一个会话该用户会话的后续数据包被允许非用户建立外部发起会话被拒绝监控通信过程中的数据包动态建立和删除访问规则状态热备•为避免防火墙故障导致网络不通，一般部署两台相同防火墙进行状态同步•热备分为两种模式：主机/备机，主机/主机。两台防火墙互为对方的备份，通过“心跳”监控，当发现对方无法工作时，直接接管对方工作•接管的切换时间一般为毫秒级，这样才能保障网络业务不中断DPtechADPtechB黑名单系统表项状态表项黑名单系统表项状态表项心跳监控主要内容防火墙基本知识防火墙技术防火墙选择防火墙部署典型配置案例种指标：•防火墙性能选择：吞吐量、最大并发连接数、每秒新建连接数•VPN性能：加密性能、最大并发连接数•物理接口的选择：接口数量和速率，主要是考虑部署、HA和