搜索
第3章网络安全隔离技术网络隔离技术1、防火墙2、虚拟专网技术3、物理隔离技术隔离的本质是在需要交换信息甚至共享资源的情况下才出现,既要信息交换或共享资源,又要隔离。基带和宽带•基带是一种信号传输方法,它通过直接将电流送到电缆上完成。占用整个电缆传输。•宽带,通常将电缆分为通道,以便不同的数据能同时发送,即在同一电缆中可以发送多个信号。资源隔离基本概念•对资源分组取决于:资源的敏感程度、资源受到损害的可能性,或者是设计者所选择的资源分组的标准。•安全区域,是资源的一个逻辑分组(如系统、网络或进程),这些分组与可接受的风险级别类似。•安全区域的思想不只局限于网络。在某种程度上,安全区域可以这样来实现:将某些性质相类似的应用程序驻留在专门的服务器上隔离的必要性例如Slammer等蠕虫病毒对交换机的冲击,就是利用了流转发技术的三层交换机的工作原理,第一个数据包进来的时候,三层交换机要像路由器那样通过查找路由表,确定如何转发,并形成一个用ASIC完成转发查找的硬件流转发表。感染Slammer等蠕虫病毒的计算机会在很大的一段地址空间中,逐个发送指向不同IP地址的数据包。这种行为是恶意的。这样的操作会导致交换机的硬件流转发表溢出,导致CPU资源的大量浪费,甚至使交换机的CPU资源完全耗尽。同轴电缆网络隔离——同轴电缆192.168.1.5192.168.1.6192.168.1.7192.168.1.8192.168.1.90101010010101001010100101010应用层表示层会话层传输层网络层数据链路层物理层7网络隔离——集线器…应用层表示层会话层传输层网络层数据链路层物理层网络隔离——交换机物理编址网络拓扑结构错误校验帧序列化流控应用层表示层会话层传输层网络层数据链路层物理层网络隔离——虚拟子网(VLAN)InternetVLAN2VLAN1VLAN3网络隔离——虚拟子网(Cont.)VLAN在是交换机上的实现划分基于端口划分的VLAN基于MAC地址划分VLAN基于网络层划分VLAN根据IP组播划分VLAN路由器的协议层次路由器与网络隔离网络互连数据处理网络管理应用层表示层会话层传输层网络层数据链路层物理层路由器与网络隔离(Cont.)RouterARouterBRouterCRouterD12.0.0.0/813.0.0.0/811.0.0.0/82.2.2.2/242.2.2.1/243.3.3.2/243.3.3.1/241.1.1.1/241.1.1.2/24DestinationNexthopInterface…11.0.0.0/81.1.1.2P112.0.0.0/82.2.2.2P213.0.0.0/83.3.3.2P3路由器与网络隔离(Cont.)路由器作为唯一安全组件•相对交换机,集线器,能提供更高层次的安全功能路由器作为安全组件的一部分•在一个全面安全体系结构中,常用作屏蔽设备,执行包过滤功能,而防火墙对能够通过路由器的数据包进行检查典型的网络环境防火墙的定义传统的防火墙概念概念:防火墙被设计用来防止火从大厦的一部分传播到另一部分IT领域使用的防火墙概念两个安全域之间通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。IT领域使用的防火墙概念•防火墙(FireWall)是一种隔离控制技术,在某个机构的网络和不安全的网络(如Internet)之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止重要信息从企业的网络上被非法输出。•FireWall一般安装在路由器上以保护一个子网,也可以安装在一台主机上,保护这台主机不受侵犯。防火墙的发展历程•将过滤功能从路由器中独立出来,•针对用户需求,提供模块化的软件包•用户可根据需要构造防火墙•安全性提高了,价格降低了•利用路由器本身对分组的解析,进行分组过滤•过滤判断依据:地址、端口号•防火墙与路由器合为一体,只有过滤功能•适用于对安全性要求不高的网络环境是批量上市的专用防火墙产品包括分组过滤或者借用路由器的分组过滤功能装有专用的代理系统,监控所有协议的数据和指令保护用户编程空间和用户可配置内核参数的设置安全性和速度大为提高。防火墙厂商具有操作系统的源代码,并可实现安全内核在功能上包括了分组过滤、应用网关、电路级网关增加了许多附加功能:加密、鉴别、审计、NAT转换透明性好,易于使用基于通用操作系统的防火墙防火墙工具套基于安全操作系统的防火墙防火墙在网络中的位置防火墙放置于不同网络安全域之间21防火墙分类分组过滤防火墙应用代理防火墙状态检测防火墙防火墙——分组过滤防火墙HTTPDNS未经授权的用户Internet用户子网分组过滤也被称为包过滤。分组过滤防火墙根据数据包头信息对网络流量进行处理。分组过滤防火墙应用层表示层会话层传输层网络层数据链路层物理层分组过滤技术网络级防火墙,一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来自何方,去向何处。防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。表示层会话层网络层数据链路层物理层传输层应用层表示层会话层网络层数据链路层物理层传输层应用层表示层会话层网络层数据链路层物理层传输层非信任域防火墙信任域应用层网络层网络层网络层分组过滤原理安全网域HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包控制策略数据包过滤依据主要是TCP/IP报头里面的信息,不能对应用层数据进行处理数据TCP报头IP报头分组过滤判断信息分组过滤防火墙的优缺点•优点:容易实现,费用少,对性能的影响不大,对流量的管理较出色。•缺点较多,主要有:–过滤规则表随着应用的深化会很快变得很大而且复杂,这样不仅规则难以测试,而且规则结构出现漏洞的可能性也会增加。–包过滤技术只对数据包头进行检查,没有身份验证机制,因此不能分辨正常用户和入侵者。–包过滤技术不能进行应用层的深度检查,因此不能发现传输的恶意代码及攻击数据包。–包过滤技术容易遭受源地址欺骗。外部攻击者可通过将攻击数据包源地址改为内部地址而穿透防火墙。•虽然分组过滤防火墙有以上的缺点,但是由于其方便性,分组过滤仍是重要的安全措施。26防火墙——应用代理防火墙HTTPDNS未经授权的用户Internet用户子网应用代理防火墙HTTP服务器客户浏览器实际TCP连接1实际TCP连接2用户感觉的TCP连接应用层表示层会话层传输层网络层数据链路层物理层应用代理技术防火墙应用层表示层会话层网络层数据链路层物理层传输层应用层表示层会话层NETWORK数据链路层物理层传输层应用层表示层会话层NETWORK数据链路层物理层传输层非信任域防火墙信任域网络层网络层应用代理技术应用代理防火墙(applicationgateway)又被称为“堡垒主机”、“代理网关”、“应用级网关”、“代理服务器”。它的逻辑位置在OSI7层协议的应用层上,所以主要采用协议代理服务(proxyservices)。应用代理防火墙比分组过滤防火墙提供更高层次的安全性,但这是以丧失对应用程序的透明性为代价的。在实际工作中,应用网关一般由专用工作站系统来完成。但每一种协议需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。一般情况下,附加proxy服务器,如squid,能有效增加效率,并能实施关键字过滤。应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,而且有的应用级网关缺乏“透明度”。在实际使用中,用户在受信任的网络上通过防火墙访问Internet时,经常会发现存在延迟并且必须进行多次登录(Login)才能访问Internet或Intranet。应用代理原理安全网域HostCHostD数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包数据包应用代理可以对数据包的数据区进行分析,并以此判断数据是否允许通过控制策略数据TCP报头IP报头分组过滤判断信息应用代理判断信息应用代理防火墙的优缺点•与分组过滤技术相比,应用代理技术有以下的缺点:–应用代理防火墙工作在OSI模型最高层,因此开销较大。–对每项服务必须使用专门设计的代理服务器。应用代理防火墙通常支持常用的协议,例如:HTTP,FTP,Telnet等等,但不能所有的应用层协议。–应用代理防火墙配置的方便性较差,对用户不透明。例如使用HTTP代理,需要用户配置自己的IE,从而使之指向代理服务器。•优点:比起分组过滤防火墙,应用代理防火墙能够提供更高层次的安全性。–应用代理防火墙将保护网络与外界完全隔离。并提供更细致的日志,有助于发现入侵。–应用代理防火墙本身是一台主机,可以执行诸如身份验证等功能。–应用代理防火墙检测的深度更深,能够进行应用级的过滤。例如,有的应用代理防火墙可以过滤FTP连接并禁止FTP的“put”命令,从而保证用户不能往匿名FTP服务器上写入数据。防火墙——状态检测防火墙监听是否在连接状态表中YES转发是否匹配规则集NO丢弃或拒绝YESNO应用层表示层会话层传输层网络层数据链路层物理层一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别。状态检测技术表示层会话层网络层数据链路层物理层网络层应用层表示层会话层网络层数据链路层物理层网络层应用层表示层会话层网络层数据链路层物理层网络层非信任域防火墙信任域传输层传输层传输层应用层检测引擎状态检测原理安全网域HostCHostD数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包数据包状态检测可以结合前后数据包里的数据信息进行综合分析决定是否允许该包通过控制策略数据3TCP报头IP报头数据2TCP报头IP报头数据1TCP报头IP报头状态检测状态检测技术•状态检测防火墙的运行方式:–当一个数据包到达状态检测防火墙时,首先通过查看一个动态建立的连接状态表判断数据包是否属于一个已建立的连接。这个连接状态表包括源地址、目的地址、源端口号、目的端口号等及对该数据连接采取的策略(丢弃,拒绝或是转发)。连接状态表中记录了所有已建立连接的数据包信息。–如果数据包与连接状态表匹配,属于一个已建立的连接,则根据连接状态表的策略对数据包实施丢弃,拒绝或是转发。–如果数据包不属于一个已建立的连接,数据包与连接状态表不匹配,那么防火墙则会检查数据包是否与它所配置的规则集匹配。–大多数状态检测防火墙的规则仍然与普通的包过滤相似。也有的状态检测防火墙对应用层的信息进行检查。例如可以通过检查内网发往外网的FTP协议数据包中是否有put命令来阻断内网用户向外网的服务器上传数据。与此同时,状态检测防火墙将建立起连接状态表,记录该连接的地址信息以及对此连接数据包的策略。35防火墙的典型体系结构——包过滤路由器模型HTTPDNS包过滤路由器Internet工作站工作站FTP防火墙的典型体系结构——单宿主堡垒主机模型HTTPDNS包过滤路由器Internet工作站工作站堡垒主机HTTPDNS包过滤路由