第11章网络安全防御系统

第11章网络安全防御系统什么是防火墙古代修筑在房屋之间的一道墙,用于防止火势蔓延RichKosinski(InternetSecurity公司总裁）：防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，控制进/出两个方向的通信。11.1防火墙系统防火墙的原理WillamCheswick和stevenBeellovin：防火墙是位于两个（或多个）网络间，实施网间访问控制的一组组件的集合，它满足以下条件：内部和外部之间的所有网络数据流必须经过防火墙；符合安全政策的数据流才能通过防火墙；防火墙自身能抗攻击。ServerClient防火墙（Firewall）防火墙类似一堵城墙，将服务器与客户主机进行物理隔离，并在此基础上实现服务器与客户主机之间的授权互访、互通等功能。一个典型的防火墙使用形态进行访问规则检查发起访问请求合法请求则允许对外访问将访问记录写进日志文件合法请求则允许对外访问发起访问请求Internet区域Internet边界路由器DMZ区域重点子网防火墙在此处的功能：1、工作子网与外部子网的物理隔离2、访问控制3、对工作子网做NAT地址转换4、日志记录防火墙示意图Internet1.企业内联网2.部门子网3.分公司网络防火墙的概念是广义的在逻辑上，防火墙是分离器，限制器，也是一个分析器，有效地监控了内部网和外部网之间的任何活动，保证了内部网络的安全。在物理上，防火墙通常是一组硬件设备——路由器、主计算机，或者是路由器、计算机和配有软件的网络的组合。防火墙一般可分为多个部分，某些部分除了执行防火墙功能外还执行其它功能。如：加密和解密——VPN。防火墙的作用确保一个单位内的网络与因特网的通信符合该单位的安全方针，为管理人员提供下列问题的答案:–谁在使用网络–他们在网络上做什么–他们什么时间使用了网络–他们上网去了何处–谁要上网没有成功防火墙的实施策略一切未被禁止的就是允许的（Yes规则）确定那些被认为是不安全的服务，禁止其访问；而其他服务则被认为是安全的，允许访问。一切未被允许的就是禁止的（No规则）确定所有可以被提供的服务以及它们的安全性，然后开放这些服务，并将所有其他未被列入的服务排除在外，禁止访问。防火墙的分类根据防火墙形式分类根据防火墙结构分类按照防火墙应用部署分类根据防火墙实现技术分类根据防火墙形式分类软件防火墙软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。硬件防火墙基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有老版本的Unix、Linux和FreeBSD系统。由于此类防火墙采用的依然是别人的内核，因此依然会受到OS（操作系统）本身的安全性影响。芯片级防火墙基于专门的硬件平台，速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS（操作系统）,因此防火墙本身的漏洞比较少，不过价格相对比较高昂。根据防火墙结构分类单一主机防火墙最为传统的防火墙，独立于其它网络设备，位于网络边界。一般都集成了两个以上的以太网卡，连接一个以上的内、外部网络。路由器集成式防火墙在许多中、高档路由器中集成了防火墙功能。如CiscoIOS防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙分布式防火墙由多个软、硬件组成的系统。渗透于网络的每一台主机，对整个内部网络的主机实施保护。在网络服务器中，通常会安装一个用于防火墙系统管理软件，在服务器及各主机上安装有集成网卡功能的PCI防火墙卡，一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。按照防火墙应用部署分类网络防火墙位于内、外部网络的边界，所起的作用的对内、外部网络实施隔离基于主机的防火墙安装于单台主机中，防护的也只是单台主机。这类防火墙应用于广大的个人用户，通常为软件防火墙，价格最便宜，在功能上有很大的限制。根据实现技术分类包过滤防火墙状态防火墙应用网关防火墙11.1.3包过滤防火墙包过滤防火墙是最早出现的、形式最简单的一种防火墙。通常在路由器上通过访问控制列表来实现，通过检查数据包的报头信息，根据数据包的源地址、目的地址和以上其他的信息组合，按照过滤规则来决定是否允许数据包通过。包过滤防火墙在根据规则对数据包的相关内容进行匹配时，一般不判断数据包的上下文，只根据当前的数据包内容做决定。包过滤防火墙通常可以根据源IP地址、目的IP地址、传输层协议、端口号等来进行数据包的过滤TCP/IP层过滤依据网络层源IP地址、目的IP地址网络层IP、ICMP、OSPF、TCP、UDP或其它协议网络层IP优先级域（服务类型）传输层TCP和UDP端口号传输层TCP控制标记（SYN、ACK、FIN、PSH、RST等）一个包过滤防火墙的应用实例Internet222.20.1.10222.20.1.11交换机包过滤防火墙包过滤防火墙的优缺点优点：性能优于其他防火墙，因为它执行的计算较少，并且容易用硬件方式实现；规则设置简单，通过禁止内部计算机和特定Internet资源连接，单一规则即可保护整个网络；不需要对客户端计算机进行专门配置。缺点：对管理员的知识要求高；不能阻止应用层的攻击；只对某些类型的TCP/IP攻击比较敏感；不支持用户的连接认证；只有有限的日志功能。状态防火墙状态防火墙采用的是状态检测技术，这是由CheckPoint公司最先提出的一项具有突破性的防火墙技术。它把包过滤的快速性和代理的安全性很好地结合在一起，成为防火墙的基本过滤模式。先分析包过滤防火墙的一个问题阻止Internet上的任意主机发往内部网络中主机222.20.1.11的数据包。如果内部主机222.20.1.11要访问Internet上的某台主机？？Internet222.20.1.10222.20.1.11交换机包过滤防火墙E-mail服务器222.20.1.410.20.1.1尝试下面两种解决办法方法开放端口由于客户端在发出请求时，本地端口是临时分配的，也就是说这个端口是不定的，只要是1023以上的端口都有可能，所以如果要开放端口，只有把这些所有端口都开放显然，这是非常危险的尝试下面两种解决办法方法检查TCP控制位不是所有的传输层协议都支持控制字段控制字段的值也能被手工操控，根据TCP连接中的ACK位值来决定数据包进出，容易导致DoS攻击。11.1.4状态防火墙TCP的连接过程是一个有序过程，新连接一定是通过SYN包来开始的，防火墙可以将连接的信息记录到连接状态表中。数据通信过程是有方向性的，一定是发起方发送SYN，接收方发SYN/ACK，不是此方向的数据就是非法的。因此状态检测可以实现“A可以访问B而B却不能访问A”的效果。当222.20.1.11发送一个TCP连接请求SYN，源端口号是一个大于1023的整数（例如端口号为10000），目的端口号为80。这个数据包在到达状态防火墙后，防火墙会将这个连接信息记录到一个连接状态表中，然后再将这个数据包转发出去。当防火墙收到来自10.20.1.1的连接响应包时，首先查找连接状态表，就会知道从10.20.1.1的TCP80端口到222.20.1.11的TCP10000端口的响应是已存在的连接的一部分，就会允许数据包通过，从而双方在第三次握手之后建立连接。之后两者之间的通信由于是属于这个连接的，防火墙都会放行。包过滤和状态防火墙的比较当比较包过滤防火墙和状态防火墙时，状态防火墙更智能，因为它能理解连接的状态：初始化连接、传输数据或者释放连接。通常，一个状态防火墙包含了包过滤防火墙的功能。状态防火墙的优缺点优点：状态防火墙知晓连接的状态；状态防火墙无须打开很大范围的端口以允许通信；状态防火墙能比包过滤防火墙阻止更多类型的DoS攻击，并具有更丰富的日志功能。缺点：配置防火墙需要管理员对网络层和传输层的信息非常熟悉，配置起来会比较复杂；由于状态防火墙依然检验的是网络层和传输层的信息而不涉及到应用层，所以它任然不能阻止应用层攻击不是所有的协议都象TCP协议那样包含有状态信息11.1.5应用网关防火墙应用网关防火墙，也称为代理防火墙，能够根据网络层、传输层和应用层的信息对数据流进行过滤。由于应用网关防火墙要在应用层处理信息，所以绝大多数应用网关防火墙的控制和过滤功能是通过软件来完成的，这能够比包过滤或状态防火墙提供更细粒度的流量控制。应用网关防火墙的认证功能用户主动发送一个连接到应用网关防火墙的Web浏览器，或者应用网关防火墙截获用户到内部服务器的初始化连接请求后，发送给用户一个认证信息的请求（比如Web浏览器的弹出窗口）。然后应用网关防火墙对用户的身份信息进行认证。Internet222.20.1.10Web服务器222.20.1.5交换机应用网关防火墙E-mail服务器222.20.1.4外部用户Bob用户目的地址操作Bob222.20.1.4允许应用网关防火墙的分类连接网关防火墙直通代理防火墙连接网关防火墙过程①当外部用户Bob试图建立一个到内部Web服务器的连接时，连接网关防火墙会截获这个连接，并要求对用户进行认证过程②通过认证后，防火墙会打开一个到内部Web服务器的单独连接。Internet222.20.1.10Web服务器222.20.1.5交换机连接网关防火墙外部用户Bob用户目的地址操作Bob222.20.1.5允许①②直通代理防火墙过程①当外部用户Bob试图建立一个到内部Web服务器的连接时，和连接网关防火墙一样，直通代理会对用户进行认证。过程②认证通过后，这个连接和任何其它授权连接（网络层和传输层的信息）被添加到过滤规则表中。Internet222.20.1.10Web服务器222.20.1.5交换机直通代理防火墙外部用户Bob10.1.135.5用户目的地址操作Bob222.20.1.5允许①②源地址目的地址协议操作10.1.135.5222.20.1.5TCP允许应用网关防火墙的优缺点优点能够实现对用户的认证，这能够阻止绝大多数欺骗攻击。使用连接代理防火墙则能够监控连接上的所有数据，使得我们能够检测到应用层攻击，如不良的URL、缓存溢出企图、未授权的访问和更多类型的攻击，同时生成非常详细的日志。缺点密集性的处理过程要求大量的CPU资源和内存。详尽的日志能够也会占用大量磁盘空间。通常不支持所有的应用，它基本上被限制在一种或少数几种连接类型上。应用网关防火墙有时要求在客户端安装厂商指定的软件，用来处理认证过程和可能的连接重定向11.1.6混合防火墙与防火墙系统随着Internet的广泛使用和电子商务的蓬勃发展，对网络安全的需求也急剧增加。一个功能单一的防火墙产品往往无法满足越来越复杂的安全形势。为了提供健壮的安全特性，可以通过两个途径来对已有的防火墙进行改进。将前述多种类型的防火墙的功能整合带一个单一的防火墙产品中，这就是混合防火墙；将多种安全技术应用到各个防火墙组件中，构成防火墙系统。混合防火墙将多种安全技术集成在一起的单一设备，为网络提供更加综合性的保护。例如CiscoPIX防火墙，它支持一个状态防火墙、一个直通代理和最小形式的连接网关防火墙，也具有网络地址转换和很多其它安全特性。防火墙系统由多种安全技术、多台安全设备构成的，并且通过合理部署的安全防御系统。往往包含了边界路由器、防火墙、VPN、入侵检测等组件。I