1 / 44

第十一章 防火墙

第十一章 防火墙. 四川大学 曾雪梅 zengxm@scu.edu.cn. 主要内容. 防 火墙设计原则 防 火墙的特征 防 火墙的类型 防 火墙的配置 可 信系统 数据 访问控制 可信系统的概念 特 洛伊木马防范. Intranet. Internet. 防 火墙. 防 火墙 是一种保护本地系统或本地系统网络免受来自网络的安全威胁的有效手段 同时还可以通过广域网和 Internet 使得本地系统具有对外部的访问能力. 防 火墙设计原则. 问题 通 过 Internet 连通性获得的信息和服务对一个组织而言是非常重要的

camila
Download Presentation

第十一章 防火墙

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第十一章 防火墙 四川大学 曾雪梅 zengxm@scu.edu.cn

  2. 主要内容 • 防火墙设计原则 • 防火墙的特征 • 防火墙的类型 • 防火墙的配置 • 可信系统 • 数据访问控制 • 可信系统的概念 • 特洛伊木马防范

  3. Intranet Internet 防火墙 • 防火墙 • 是一种保护本地系统或本地系统网络免受来自网络的安全威胁的有效手段 • 同时还可以通过广域网和Internet使得本地系统具有对外部的访问能力

  4. 防火墙设计原则 • 问题 • 通过Internet连通性获得的信息和服务对一个组织而言是非常重要的 • 给驻地网络上的每台工作站和服务器都配备强大的安全措施是不可行的 • 解决办法:防火墙 • 防火墙设置在驻地网络和Internet之间 • 目标: • 建立可控链接 • 保护驻地网络免受基于Internet的攻击 • 提供了一个施加了安全和审计措施的遏制点

  5. 防火墙的特征 • 设计目标: • 所有入站和出站的网络流量都必须经过防火墙 (通过物理阻断所有试图避开防火墙访问本地网络的企图实现的) • 只有经过授权的网络流量(如符合本地安全策略定义的流量)才允许通过 • 防火墙本身是安全的,防火墙应该运行在有安全操作系统的可信系统之上

  6. 防火墙的特征 四种通用技术: • 服务控制 • 确定了可访问的Internet服务类型,这种控制是双向的 • 方向控制 • 确定特定的服务请求可以发起和通过的方向 • 用户控制 • 控制特定用户对某些服务的访问权限 • 行为控制 • 控制特定服务的应用方法(如 过滤电子邮件)

  7. 防火墙的功能 • 防火墙定义一个必经之点,一般都包含以下三种基本功能。 • 可以限制未授权的用户进入内部网络,过滤掉不安全的服务和非法用户 • 防止入侵者接近网络防御设施 • 限制内部用户访问特殊站点 • 由于防火墙假设了网络边界和服务,因此适合于相对独立的网络,例如Intranet等种类相对集中的网络。任何关键性的服务器,都应该放在防火墙之后。 • 防火墙提供了一个监视各种安全事件的位置,可以在防火墙上实现审计和报警 • 防火墙可以是地址转换,Internet日志、审计,甚至计费功能的理想平台 • 防火墙可以作为IPSec的实现平台

  8. 防火墙的局限性 • 防火墙不能防范网络内部的攻击。比如:防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。 • 防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令,并授予其临时的网络访问权限。 • 防火墙不能防止传送己感染病毒的软件或文件,不能期望防火墙去对每一个文件进行扫描,查出潜在的病毒。 • 对于绕过防火墙的攻击,它无能为力,例如,在防火墙内部通过拨号出去

  9. 防火墙的类型 • 三种通用的防火墙类型: • 包过滤 • 应用层网关 • 电路层网关

  10. 包过滤路由器 • 对每个进来的IP报文应用一些规则,以决定对该报文进行转发操作或丢弃操作。 • 双向过滤 • 报文过滤是通过基于对IP或TCP头部域匹配的规则实现的 • 两种默认的操作 (丢弃或转发)

  11. 安全网域 Host C Host D Source Destination Permit Protocol Host A Host C Accept TCP Host B Host C Drop UDP 包过滤原理 防火墙规则 根据规则决定如何处理该数据包 查找对应的规则 拆开数据包 数据包 数据包 数据包 数据包 IP报头 TCP报头 数据 数据包 分组过滤判断信息 过滤依据主要是单个数据包TCP/IP报头里面的信息,不能对应用层数据进行处理 Host A

  12. 报文过滤实例

  13. 包过滤路由器 • 优势: • 简单性 • 对用户透明 • 处理速度快 • 不足: • 不检查上层的数据 • 可用信息的有限性,日志记录功能非常有限 • 不支持认证 • 对利用TCP/IP规范和协议栈存在的问题进行的攻击是应用乏力的 • 只根据很少和的几个变量进行访问控制,很容易受到不正确配置而导致的安全漏洞的不利影响

  14. 包过滤路由器 • 可能的攻击方式及适当的应对措施 • IP 地址假冒攻击 • 入侵者从外部发送包的时候,把源IP地址字段的值改成内部主机的地址。仅使用源地址过滤,攻击将会成功 • 措施:外部来的内部源地址,简单丢弃 • 源路由攻击 • 源站点指定在通过Internet传送包时的路由途径,绕开某些安全措施点 • 措施:丢弃使用这种源路由方式的所有包 • 分片攻击 • 使用IP分段选项产生小分段,避开依赖TCP头文件信息的过滤规则 • 措施:丢弃所有协议类型为TCP而IP分段偏移量为1的包

  15. 安全网域 Host C Host D IP报头 IP报头 IP报头 TCP报头 TCP报头 TCP报头 数据3 数据2 数据1 基于状态检测的包过滤防火墙 策略和状态信息库 查找对应的连接是否存在 根据连接存在与否和策略决定如何处理该数据包 拆开数据包 数据包 数据包 数据包 数据包 数据包 数据包 状态检查 状态检查防火墙的包过滤器通过建立外向TCP连接表,加强了处理TCP通信规则

  16. HTTP 例子 如果是简单包过滤 对于进入的包必须开放以下规则 所有源TCP端口为80,IP地址任意,目标为 内部IP,端口号大于1024。容易受到攻击;

  17. 1024-16383中的临时端口 web 服务器 :TCP 202.38.75.11:80 安全网域 Host D Host C HTTP 例子 1993年,Check Point公司成功推出了世界上第一台商用的状态检测防火墙产品 进入的数据包,目标为内部的 1024 -16383之间端口且它的信息与连接字典里某一条记录匹配,才允许进入(包过滤加状态检测)

  18. 应用层网关 • 也称为代理服务器 • 起着应用层数据流的驿站的作用

  19. 真实 代理的工作方式

  20. 应用层网关 • 优势: • 比包过滤更安全 • 只需要检查有限的几种允许的应用 • 记录和审记所有的入站流量相对比较简单 • 不足: • 带来了对每个连接的额外的处理开销。

  21. 应用层 应用层 应用层 表示层 表示层 会话层 会话层 传输层 传输层 网络层 网络层 链路层 链路层 物理层 物理层 内部网络 外部网络 可以实现基于内容的安全 符合策略 根据策略检查应用层的数据 防火墙 应用层 应用层 内部接口 外部接口 • 应用控制可以对常用的高层应用做更细的控制 • 如HTTP的GET、POST、HEAD • 如FTP的GET、PUT等

  22. 电路层网关 • 独立的系统 • 作为应用层网关的一部分以用于某些特定的应用 • 网关建立两个TCP连接 • 网关将作为连接的两端主机传送TCP数据段的驿站,而不需要检查其内容。 • 安全功能包括决定哪些连接是允许的 • 典型应用场景是系统管理员信任系统内部用户 • SOCKS软件包提供了电路层网关实现的一个例子

  23. 三种防火墙的比较 包过滤防火墙 状态检测防火墙 应用层防火墙

  24. 堡垒主机 • 在防火墙管理员看来, 堡垒主机在保障网络安全中起着重要的作用 • 堡垒主机可以充当应用层网关和电路层网关的平台 • 特性: • 加固后的操作系统 • 必须的服务才安装在堡垒主机上 • 使用代理服务之前,通过堡垒主机进行认证 • 每个代理相互独立 • ………..

  25. 防火墙配置 • 相对简单的方案,可简单配置为一个单独的系统,如一个单独的报文过滤路由器或一个单独的网关,更多时候采用比较复杂的配置 • 三种常见的防火墙配置 • 屏蔽主机防火墙系统 (单宿主堡垒主机) • 屏蔽主机防火墙系统 (双宿主堡垒主机) • 屏蔽子网防火墙系统

  26. 防火墙配置 • 屏蔽主机防火墙系统 (单宿主堡垒主机) 两个组成部分 • 堡垒主机 • 包过滤路由器 配置: • 只允许堡垒主机可以与外界直接通讯 • 堡垒主机执行认证和代理功能 优点:两层保护:包过滤+应用层网关;灵活配置 缺点:一旦包过滤路由器被攻破,则内部网络被暴露

  27. 防火墙配置 • 相对简单配置有更高的安全性,原因有二: • 同时实现了报文层和就应用层的双层过滤,充分考虑了定义安全策略的灵活性 • 攻击者要想取得成功就必须同时攻破这两种独立的安全机制 • 这种配置也提供了直接进行Internet访问的灵活性(如 web服务器)

  28. 防火墙配置 • 屏蔽主机防火墙系统 (双宿主堡垒主机) • 优点: • 从物理上把内部网络和Internet隔开,必须通过两层屏障 • 两层保护 :包过滤+应用层网关;配置灵活

  29. 防火墙配置 • 屏蔽子网防火墙系统 • 安全性最好的一种 • 应用了两个报文过滤路由器 • 制造了一个独立的子网

  30. 防火墙配置 • 优势: • 三层防护,增加入侵难度 • 外部路由器向Internet展示的只有屏蔽子网的存在,故内部网络对Internet是不可见的 • 内部路由器向内部网络展示的也只有屏蔽子网的存在,故内部网络主机不能够直接访问Internet.

  31. 可信系统 • 提高系统对入侵者和恶意程序的抵御能力的一种途径

  32. 数据访问控制 • 在用户通过访问控制后,系统认为该用户是合法用户。 • 对每一个用户,还存在一个行为剖面文件,指定了该用户进一步的可允许的操作和文件访问权限 • 操作系统可以根据行为剖面文件实施一些访问控制

  33. 数据访问控制 • 访问控制的通用模型: • 访问矩阵 • 访问控制列表 • 权能票

  34. 数据访问控制 • 访问矩阵 • 主体: 指有能力对客体进行 访问的实体。通常主体和进程的概念是等价的 • 客体: 指施加了访问控制机制的任何事物 (如文件,程序 ) • 访问权限: 主体访问客体的方式,包括读、写和执行。

  35. 数据访问控制 • 访问控制列表:按列分解访问矩阵 • 列出了对每一个客体的可以访问的用户以及用户的访问方式 • 可以包含一个默认的或者公共的入口

  36. 数据访问控制 • 权能票:按行分解访问矩阵 • 指定某一用户对各种客体的访问权限 • 每个用户都有一定数量的权能票

  37. 可信系统的概念 • 可信系统 • 基于安全级别对数据和资源进行保护 (如 军事) • 不同用户可以访问不同安全级别的数据 • 多级安全性 • 数据被划分为多个类别或安全级别 • 一个多级安全系统必须保证: • 不上读: 主体只能对安全级别低于或等于自身的客体进行读操作(简单安全属性) • 不下写: 主体只能对安全级别高于或等于自身的客体进行写操作。 (*属性)

  38. 可信系统的概念 • 引用监控机概念: 对数据处理系统的多级安全性的实现

  39. 可信系统的概念 • 引用监控机 • 计算机硬件和操作系统之上的一个控制元件,主要用是基于主体和客体的安全参数决定主体对客体的访问方式 • 可以访问一个称为安全内核数据库的重要文件 • 通过一重要文件实施安全规则 (不上读,不下写)

  40. 可信系统的概念 • 引用监控机的属性 • 全局仲裁: 安全规则应该实施于系统中的每一个访问操作 • 隔离: 引用监控机和安全内核数据库应用了某种保护机制,以防未授权用户对其进行修改 • 可验证性: 引用监控机的正确性必须是可验证的(数学上) 一个可以在数学上得到验证的这样的系统称为可信系统。

  41. 特洛伊木马防范 特洛伊木马程序:是一个有用的(或表面看起来是有用的)程序或命令过程,其中包含秘密代码。当调用时,这些代码将进行一些不需要的或有害的操作 特洛伊木马程序的作用: • 当未授权用户无法直接完成某些操作时,就可以通过特洛伊木马程序来间接完成 • 制造特洛伊木马程序的另一个动机是破坏数据 防范特洛伊木马攻击的一个有效方法是使用安全可信的操作系统

  42. 特洛伊木马防范 特洛伊木马与安全操作系统

  43. 特洛伊木马防范 特洛伊木马与安全操作系统

More Related