52防火墙技术

项目6防火墙与入侵检测技术的应用•检查项目5课后拓展任务•在信息化建设不断加强和深化的今天，网络是一把双刃剑，利用得好会给人们提供巨大的帮助，但如果使用不当，就会造成不可弥补的损失。因此网络管理员需要强有力的工具和耐心、细心来保障网络的正常有效运行。课前导入了解防火墙、入侵检测的主要应用掌握防火墙、入侵检测技术的工作原理、作用、体系结构、主要技术掌握防火墙、入侵检测技术应用的位置掌握防火墙的基本、简单配置知识目标技能目标认识防火墙和入侵检测产品能完成防火墙的基本配置至少掌握一种防火墙、入侵检测软件的配置和使用学会防火墙和入侵检测技术在实际网络中的应用掌握网络访问控制的配置【项目描述】在通用的网络安全防护手段中，大部分的用户和管理员都比较注意服务器和用户端病毒、木马、恶意软件的防护，条件允许的企业还安装了防火墙来提高网络安全性。星星有限公司为了保障公司网络安全，购买了一台硬件防火墙，用于防范外部网络的攻击并对内部网络用户的访问进行控制，此外还做了以下规定。（1）上班时间不能聊QQ或MSN，不能上网玩“种菜”或观看在线电影。（2）上班时不能下载大容量文件。另一家杜危软件公司由于条件有限，没有购买防火墙，网络管理员王兴为了网络安全运行，通过配置路由器来执行防火墙的功能。项目分解任务一：配置和应用防火墙任务1-1防火墙的基本配置任务1-2防火墙的应用任务1-3防火墙的安放位置任务二：应用入侵检测技术任务2-1认识入侵检测系统任务2-2基于SessionWall的入侵检测任务实施过程任务一：配置和应用防火墙任务1-1防火墙的基本配置1．防火墙设备初始化配置2．路由器充当防火墙的基本配置（1）模拟软件的下载与安装（2）通过模拟软件实现基本配置教师讲授+学生跟做教师讲授防火墙的定义•防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。•它是不同网络或网络安全域之间信息的唯一出入口。防火墙的功能•访问控制•对网络存取和访问进行监控审计•防止内部信息的外泄•支持VPN功能•支持网络地址转换•……防火墙的基本特征•内部网络和外部网络之间的所有网络数据流都必须经过防火墙•只有符合安全策略的数据流才能通过防火墙•防火墙自身应具有非常强的抗攻击免疫力防火墙的局限性•防火墙不能防范不经过防火墙的攻击。如拨号访问、内部攻击等。•防火墙不能解决来自内部网络的攻击和安全问题。•防火墙不能防止策略配置不当或错误配置引起的安全威胁。•防火墙不能防止利用标准网络协议中的缺陷进行的攻击。•防火墙不能防止利用服务器系统漏洞所进行的攻击。•防火墙不能防止受病毒感染的文件的传输。•防火墙不能防止数据驱动式的攻击。有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。•防火墙不能防止本身的安全漏洞的威胁。目前还没有厂商绝对保证防火墙不会存在安全漏洞。•防火墙不能防止可接触的人为或自然的破坏。防火墙的局限性软件防火墙硬件防火墙按形态分类按保护对象分类保护整个网络保护单台主机网络防火墙单机防火墙防火墙的分类1.保护单台主机2.安全策略分散3.安全功能简单4.普通用户维护5.安全隐患较大6.策略设置灵活1.保护整个网络2.安全策略集中3.安全功能复杂多样4.专业管理员维护5.安全隐患小6.策略设置复杂单机防火墙网络防火墙产品形态软件硬件或者软件安装点单台独立的Host网络边界处安全策略分散在各个安全点对整个网络有效保护范围单台主机一个网段管理方式分散管理集中管理功能功能单一功能复杂、多样管理人员普通计算机用户专业网管人员安全措施单点安全措施全局安全措施结论单机防火墙是网络防火墙的有益补充，但不能代替网络防火墙为内部网络提供强大的保护功能单机防火墙&网络防火墙操作系统平台安全性性能稳定性网络适应性分发升级成本硬件防火墙基于精简专用OS高高较高强不易较容易Price=firewall+Server软件防火墙基于庞大通用OS较高较高高较强非常容易容易Price=Firewall1.仅获得Firewall软件，需要准备额外的OS平台2.安全性依赖低层的OS3.网络适应性弱（主要以路由模式工作）4.稳定性高5.软件分发、升级比较方便1.硬件+软件，不用准备额外的OS平台2.安全性完全取决于专用的OS3.网络适应性强（支持多种接入模式）4.稳定性较高5.升级、更新不太灵活硬件防火墙&软件防火墙按防火墙的体系结构分类•多宿主主机•被屏蔽主机•被屏蔽子网概念•堡垒主机(Bastionhost):堡垒主机是一种配置了安全防范措施的网络上的计算机，堡垒主机为网络之间的通信提供了一个阻塞点，也就是说如果没有堡垒主机，网络之间将不能相互访问。•DMZ(DemilitarizedZone，非军事区或者停火区)：为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施。双宿主主机（Dual-HomedHostFirewall）•双宿主主机(Dual-homedHost):有两个网络接口的计算机系统，一个接口接内部网，一个接口接外部网。被屏蔽主机(ScreenedHostFirewall)•外部网络必须通过堡垒主机才能访问内部网络中的资源。•内部网络中的计算机则可以通过堡垒主机或者屏蔽路由器访问外部网络中的某些资源被屏蔽子网(ScreenedsubnetFirewall)•内网可以访问外网•内网可以访问DMZ•外网不能访问内网•外网可以访问DMZ中的服务器•DMZ不能访问内网和外网防火墙实现技术原理1.简单包过滤防火墙2.动态包过滤(状态检测)防火墙3.应用代理防火墙4.包过滤与应用代理复合型防火墙1．简单包过滤防火墙（Packetfiltering）•数据包过滤技术的发展：静态包过滤、动态包过滤。•包过滤防火墙在网络层实现数据的转发，包过滤模块一般检查网络层、传输层内容，包括下面几项：–①源、目的IP地址；–②源、目的端口号；–③协议类型；–④TCP报头的标志位。简单包过滤防火墙的工作原理1应用层TCP层IP层网络接口层TCP数据IP数据TCPTCP数据IPETH数据TCP数据IP应用层TCP层IP层网络接口层TCP数据IP数据TCPTCP数据IPETH数据只检查报头1010010010010100100000111001111011110110010010010100100000111001111011110111.简单包过滤防火墙不检查数据区2.简单包过滤防火墙不建立连接状态表3.前后报文无关4.应用层控制很弱简单包过滤防火墙的工作原理2包过滤防火墙的工作流程•优点：–保护整个网络；对用户透明；可用路由器，不需要其他设备。•缺点：–1.包过滤的一个重要的局限是它不能分辨好的和坏的用户，只能区分好的包和坏的包。–2.包过滤规则难配置。–3.新的协议的威胁。–4.IP欺骗包过滤防火墙的特点应用实例要求：1.内网的用户可以访问所有的WEB服务器。2.外网的用户只可以访问内部的WEB服务器（202.3.5.6）。E0访问规则E0端口方向动作源地址源端口目的地址目的端口协议进站允许192.168.6.0/241023any80TCP进站拒绝anyany【问题】1.第一条中源地址是否可以改为any?为什么？2.第一条中源端口是否可以改为any?为什么？3.S0口需要什么样的规则？S0访问规则【问题】1.攻击者在内网安装了一个服务端的端口大于1023，客户端的端口是80的木马，是否可以通过这个防火墙？2.防火墙是否能够阻挡对服务器的SYN扫描？方向动作源地址源端口目的地址目的端口协议进站允许any1023202.3.5.680TCP进站允许any80192.168.6.0/241023TCP进站拒绝anyany判断数据包的标志位【问题】1.此时防火墙是否能够阻挡对服务器的SYN扫描？2.对于特殊构造了标志位的数据包？3.是否可以阻挡反弹端口的木马？方向动作源地址源端口目的地址目的端口协议标志位进站允许any1023202.3.5.680TCP进站允许anyanyTCPestablished进站拒绝anyany2.动态包过滤(状态检测)防火墙工作原理1：应用层TCP层IP层网络接口层TCP数据IP数据TCPTCP数据IPETH数据TCP数据IP应用层TCP层IP层网络接口层TCP数据IP数据TCPTCP数据IPETH数据只检查报头1010010010010100100000111001111011110110010010010100100000111001111011110111.不检查数据区2.建立连接状态表3.前后报文相关4.应用层控制很弱建立连接状态表动态包过滤(状态检测)防火墙的工作原理2应用实例【问题】动态包过滤防火墙如何解决了特殊构造了标志位的数据包？但是还是无法阻挡反弹端口的木马。1.TCP开始攻击IP规则连接表TCP开始攻击IPTCP开始攻击IPTCP开始攻击IPSYNACKSYN2.允许允许TCP开始攻击IPn.……动态包过滤防火墙的工作流程典型的网络安全解决方案双机热备任务实施过程任务1-3防火墙的安放位置•1．防御主机•2．屏蔽子网•3．双重防火墙教师讲授任务实施过程任务二：应用入侵检测技术任务2-1认识入侵检测系统1．入侵检测的概念2．入侵检测系统安放的位置3．系统组成4．入侵检测系统的工作流程教师讲授+学生演示+学生实践任务实施过程任务2-2基于SessionWall的入侵检测1．SessionWall-3简介2．SessionWall-3软件安装、使用、设置教师讲授学生实践+学生总结+教师讲评拓展任务学生自主完成任务编号006-5任务名称使用Snort软件计划工时90min任务描述由于网络所面临的各种攻击不断变化，因此对攻击的检测方式也必须提高，这需要灵活性更强、功能更强大的软件来实现入侵检测功能，并通过软件的设置来检测、记录新的入侵行为并报警，Snort软件可以实现以上功能。在网络环境下，利用Snort软件在主机上配置入侵检测。任务分析（1）利用Snort软件及附加软件配置IDS（2）利用Snort规则文件定义对不同协议的数据包进行检测、记录、报警