1 / 88

第8讲 防火墙(二 )

第8讲 防火墙(二 ). 一、防火墙安全规则. 通常情况下,网络管理员在防火墙设备的访问控制列表 ACL ( Access Control List )中设定包过滤规则,以此来表明是否允许或者拒绝数据包通过。包过滤防火墙检查数据流中每个数据包的报头信息,例如源地址、目标地址、协议类型、协议标志、服务类型等,并与过滤规则进行匹配,从而在内外网络之间实施访问控制功能. 2014/8/27. 2. 包过滤防火墙的安全规则设置位置. 防火墙规则设置中所涉及的动作主要有以下几种: 允许 : 允许数据包通过防火墙传输,并按照路由表中的信息被转发。

stu
Download Presentation

第8讲 防火墙(二 )

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第8讲 防火墙(二)

  2. 一、防火墙安全规则 通常情况下,网络管理员在防火墙设备的访问控制列表ACL(Access Control List)中设定包过滤规则,以此来表明是否允许或者拒绝数据包通过。包过滤防火墙检查数据流中每个数据包的报头信息,例如源地址、目标地址、协议类型、协议标志、服务类型等,并与过滤规则进行匹配,从而在内外网络之间实施访问控制功能. 2014/8/27 2

  3. 包过滤防火墙的安全规则设置位置

  4. 防火墙规则设置中所涉及的动作主要有以下几种: • 允许: 允许数据包通过防火墙传输,并按照路由表中的信息被转发。 • 放弃: 不允许数据包通过防火墙传输,但仅丢弃,不发任何相应数据包。 • 拒绝: 不允许数据包通过防火墙传输,并向数据包的源端发送目的主机不可达的ICMP数据包。 • 返回: 没有发现匹配的规则,执行默认动作。

  5. 所有的防火墙都是在以下两种模式下配置安全规则:所有的防火墙都是在以下两种模式下配置安全规则: • “白名单”模式 系统默认为拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型,因此白名单上的规则是具有合法性访问的安全规则 • “黑名单”模式 系统默认为允许所有的流量,这种情况需要特殊指定要拒绝的流量的类型,因此在黑名单上定义的安全规则属于非法的、被禁止的网络访问,这种模式是一种开放的默认管理模式。

  6. 1.包过滤防火墙规则示例(1) • 包过滤防火墙一般有两类过滤规则的设置方法 1. 按地址过滤 用于拒绝伪造的数据包。若想阻止伪造原地址的数据包进入内部网,可按下表设置规则。

  7. 2. 按服务类型过滤 即是按数据包的服务端口号来过滤。在TCP协议中,协议是双向的,以Telnet为例,其IP包的交换也是双向的。首先,由Client向远程Telnet发送源端口大于1023(这个端口是Client主机动态分配的),目的端口为23(Server端口)的IP包;Telnet服务器接到请求后,即回送一个相应(ACK)包,在ACK包中源端口(Server端口)是23,目的端口(Client端口)是大于1023,所以服务器端包过滤应该按照下表设置规则。

  8. 将依据下图所示的屏蔽子网防火墙体系结构及实际应用需求,描述一组安全规则的配置。将依据下图所示的屏蔽子网防火墙体系结构及实际应用需求,描述一组安全规则的配置。 • 这里,假设外部包过滤路由器的外部IP地址为10.20.100.1,内部IP地址为10.20.100.2; • 内部包过滤路由器的外部地址IP为10.20.100.3,内部IP地址为192.168.0.1; • DMZ中Web服务器IP为10.20.100.6;SMTP服务器10.20.100.8。

  9. 规则集1:防火墙设备不允许任何人直接访问,也阻止防火墙直接访问其他设备。如下表设置。规则集1:防火墙设备不允许任何人直接访问,也阻止防火墙直接访问其他设备。如下表设置。

  10. 规则集2:允许信任网络向外的所有通信。如下表设置。

  11. 规则3:允许外部主机访问DMZ中的WWW服务器,并且允许内部主机访问该WWW服务器。HTTP是一个基于TCP的服务,大多数服务器使用端口80,客户机使用任何大于1023的端口。如下表设置。规则3:允许外部主机访问DMZ中的WWW服务器,并且允许内部主机访问该WWW服务器。HTTP是一个基于TCP的服务,大多数服务器使用端口80,客户机使用任何大于1023的端口。如下表设置。

  12. 规则集4:SMTP是一个基于TCP的服务,服务器使用端口25,客户机使用任何大于1023的端口。如下表设置。规则集4:SMTP是一个基于TCP的服务,服务器使用端口25,客户机使用任何大于1023的端口。如下表设置。

  13. 规则集5:禁止在公共网络上对所有内部服务器的Telnet访问,但允许内部使用Telnet。如下表设置。规则集5:禁止在公共网络上对所有内部服务器的Telnet访问,但允许内部使用Telnet。如下表设置。

  14. 规则集6:清理规则。最后,分别在内部和外部防火墙的安全规则集中增加清理规则,表明该防火墙的默认方式是拒绝任意形式的连接,即阻止其他规则没有明确允许的请求。如下表设置。规则集6:清理规则。最后,分别在内部和外部防火墙的安全规则集中增加清理规则,表明该防火墙的默认方式是拒绝任意形式的连接,即阻止其他规则没有明确允许的请求。如下表设置。

  15. 1、静态包过滤示例(2) 外 部 网 络 内部网 堡垒主机 在上图所示配置中,内部网地址为:192.168.0.0/24, 堡垒主机内网卡eth1地址为:192.168.0.1, 外网卡eth0地址为:10.11.12.13 DNS地址为:10.11.15.4 要求允许内部网所有主机能访问外网WWW、FTP服务, 外部网不能访问内部主机

  16. 静态包过滤规则设置—命令行 Set internal=192.168.0.0/24 Deny ip from $internal to any in via eth0 Deny ip from not $internal to any in via eth1 Allow udp from $internal to any dns Allow udp from any dns to $internal Allow tcp from any to any established Allow tcp from $internal to any www in via eth1 Allow tcp from $internal to any ftp in via eth1 Allow tcp from any ftp-data to $internal in via eth0 Deny ip from any to any

  17. 3、动态包过滤(1) • Check point一项称为“Stateful Inspection”的技术 • 可动态生成/删除规则 • 分析高层协议

  18. 3、动态包过滤(2) 上一个示例的另一种解法: Set internal=192.168.0.0/24 Deny ip from $internal to any in via eth0 Deny ip from not $internal to any in via eth1 Allow $internal access any dns by udp keep state Allow $internal acess any www by tcp keep state Allow $internal access any ftp by tcp keep state Deny ip from any to any

  19. 4、包过滤技术的一些实现 • 商业版防火墙产品 • 个人防火墙 • 路由器 • Open Source Software • Ipfilter (FreeBSD、OpenBSD、Solaris,…) • Ipfw (FreeBSD) • Ipchains (Linux 2.0.x/2.2.x) • Iptables (Linux 2.4.x)

  20. 发送请求 转发请求 请求响应 转发响应 5、应用程序网关(1)(代理服务器) 服务器 客 户 网 关 • 网关理解应用协议,可以实施更细粒度的访问控制 • 对每一类应用,都需要一个专门的代理 • 灵活性不够

  21. 5、应用程序网关(2)一些实现 • 商业版防火墙产品 • 商业版代理(cache)服务器 • Open Source • TIS FWTK(Firewall toolkit) • Apache • Squid

  22. 6、虚拟专用网(VPN)

  23. 7、防火墙的安全标准(1) • 防火墙技术发展很快,但是现在标准尚不健全,导致不同的防火墙产品兼容性差,给不同厂商的防火墙产品的互联带来了困难。 • 为了解决这个问题目前已提出了2个标准: • 1、RSA数据安全公司与一些防火墙的生产厂商(如Checkpoint公司、TIS公司等)以及一些TCP/IP协议开发商(如FTP公司等)提出了Secure/WAN(S/WAN)标准,它能使在IP层上由支持数据加密技术的不同厂家生产的防火墙和TCP/IP协议具有互操作性,从而解决了建立虚拟专用网(VPN)的一个主要障碍。

  24. 7、防火墙的安全标准(2) • 此标准包含两个部分: • ①防火墙中采用的信息加密技术一致,即加密算法、安全协议一致,使得遵循此标准生产的防火墙产品能够实现无缝互联,但又不失去加密功能; • ②安全控制策略的规范性、逻辑上的正确合理性,避免了各大防火墙厂商推出的防火墙产品由于安全策略上的漏洞而对整个内部保护网络产生危害。

  25. 7、防火墙的安全标准(3) • 2、美国国家计算机安全协会NCSA (National Computer Security Association)成立的防火墙开发商FWPD (Firewall Product Developer)联盟制订的防火墙测试标准。 • 3、我国质量技术监督局1999.11.11发布,2000.5.1开始实施: • 包过滤防火墙安全技术要求 • 应用级防火墙安全技术要求 • 网络代理服务器的安全技术要求

  26. 二、防火墙技术的回顾

  27. 1、防火墙技术与产品发展回顾 • 防火墙产品目前已形成一个产业,年增长率达173%。 • 五大基本功能: • 过滤进、出网络的数据; • 管理进、出网络的访问行为; • 封堵某些禁止的业务; • 记录通过防火墙的信息内容和活动; • 对网络攻击检测和告警。

  28. 2、防火墙产品发展的四个阶段 • 基于路由器的防火墙 • 用户化的防火墙工具套件 • 建立在通用操作系统上的防火墙 • 具有安全操作系统的防火墙

  29. 3、第一代:基于路由器的防火墙(1) • 称为包过滤防火墙 • 特征: • 以访问控制表方式实现分组过滤 • 过滤的依据是IP地址、端口号和其它网络特征 • 只有分组过滤功能,且防火墙与路由器一体

  30. 3、第一代:基于路由器的防火墙(2) • 缺点: • 路由协议本身具有安全漏洞 • 路由器上的分组过滤规则的设置和配置复杂 • 攻击者可假冒地址 • 本质缺陷:一对矛盾,防火墙的设置会大大降低路由器的性能。 • 路由器:为网络访问提供动态灵活的路由 • 防火墙:对访问行为实施静态固定的控制

  31. 3、第一代:基于路由器的防火墙(3) 包过滤型防火墙

  32. 4、第二代:用户化的防火墙工具套件(1) • 特征: • 将过滤功能从路由器中独立出来,并加上审计和告警功能; • 针对用户需求提供模块化的软件包; • 安全性提高,价格降低; • 纯软件产品,实现维护复杂。 • 缺点: • 配置和维护过程复杂费时; • 对用户技术要求高; • 全软件实现,安全性和处理速度均有局限;

  33. 4、第二代:用户化的防火墙工具套件(2) Internet客户通过代理服务访问内部网主机

  34. 5、第三代:建立在通用操作系统上的防火墙(1)5、第三代:建立在通用操作系统上的防火墙(1) • 是近年来在市场上广泛可用的一代产品。 • 特征 • 包括分组过滤或借用路由器的分组过滤功能; • 装有专用的代理系统,监控所有协议的数据和指令; • 保护用户编程空间和用户可配置内核参数的设置; • 安全性和速度大为提高。

  35. 5、第三代:建立在通用操作系统上的防火墙(2)5、第三代:建立在通用操作系统上的防火墙(2) • 实现方式:软件、硬件、软硬结合。 • 问题: • 作为基础的操作系统及其内核的安全性无从保证。 • 通用操作系统厂商不会对防火墙的安全性负责; • 从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统漏洞的攻击。 • 用户必须依赖两方面的安全支持:防火墙厂商和操作系统厂商。 • 上述问题在基于Windows NT开发的防火墙产品中表现得十分明显。

  36. 6、第四代:具有安全操作系统的防火墙(1) • 1997年初,此类产品面市。 • 安全性有质的提高。 • 获得安全操作系统的方法: • 通过许可证方式获得操作系统的源码; • 通过固化操作系统内核来提高可靠性。

  37. 6、第四代:具有安全操作系统的防火墙(2) • 特点: • 防火墙厂商具有操作系统的源代码,并可实现安全内核; • 对安全内核实现加固处理:即去掉不必要的系统特性,强化安全保护; • 对每个服务器、子系统都作了安全处理; • 在功能上包括了分组过滤、代理服务,且具有加密与鉴别功能; • 透明性好,易于使用。

  38. 6、第四代:具有安全操作系统的防火墙(3) • 第四代防火墙的主要技术与功能: • 灵活的代理系统:两种代理机制,一种用于从内部网到外部网的连接,另一种用于此外部网到内部网的连接; • 双端口或三端口结构; • 网络地址转换技术(NAT) • 虚拟专网技术(VPN)

  39. 6、第四代:具有安全操作系统的防火墙(4) • 安全服务器网络(SSN):对外服务器既是内部网的一部分,又与内部网完全隔离。第四代防火墙采用分别保护的策略对向外提供服务的网络提供保护,它利用一张网卡将对外服务器作为一个独立网络处理。 • 用户鉴别与加密 • 用户定制服务 • 审计和告警

  40. 三、防火墙新技术 • 1、关于防火墙技术的一些观点 • 2、PC防火墙 • 3、病毒防火墙 • 4、安全增强方面 • 5、安全网关 • 6、分布式防火墙

  41. 1、关于防火墙技术的一些观点 • 防火墙技术是一项已成熟的技术 • 目前更需要的是提高性能,尤其是将它集成到更大的安全环境中去时: • 用户界面和管理 • 互操作性 • 标准化 • 当然其他方面的改进也是存在的

  42. 2、PC防火墙(1) • 基于内部网的主机或其它形式上网的主机的防火墙(我们称之为PC防火墙)正是在这种意义上提出的。由于PC防火墙的对象是网络上的最终主机,所以PC防火墙的操作系统平台不如传统意义上的防火墙那样灵活,几乎没有选择的余地,完全由用户选择,这就决定了PC防火墙的核心技术事实上比传统防火墙难度更大。

  43. 2、PC防火墙(2) • 网络信息的访问控制 • 数据文件的安全访问和保密存储 • 实时的病毒监测 • 用户通信的保密

  44. 3、病毒防火墙(1) • 防火墙技术本身应该说不适合于反病毒,由于商业上的需求,相关专家和研发单位对此还是进行了很多研究,并给出了较为有效的相关技术产品。 • 病毒防火墙是安装在用户计算机系统之中的反病毒监控软件,它在用户计算机本地系统与外部环境之间完成实时过滤有害病毒数据的工作,能够有效的阻止来自本地资源和外部网络资源的病毒侵害。

  45. 3、病毒防火墙(2) • (1)保护计算机系统不受来自任何方面病毒的危害。 • (2)对计算机系统提供双向的保护,即病毒防火墙能对本地系统内的病毒进行“过滤”,防止它向网络或传统的存储介质扩散。 • (3)计算机病毒侵入系统后,其突发性虽然不像一般非法入侵那样强,但计算机病毒对本地资源的快速传染则是其他非法入侵无法相比的。病毒防火墙对病毒的“过滤”具有相当好的实时性,这种实时性表现在一旦病毒入侵系统或者从系统向其他资源感染,病毒防火墙会立刻监测到并加以清除。而单机版的防病毒软件主要是“静态”防病毒,不具备实时防病毒的特点。

  46. 3、病毒防火墙(3) • (4)病毒防火墙本身是一个安全的系统。这里的“安全”包含两方面的内容:其一,病毒防火墙本身是安全的,它能够抵抗任何病毒对其举行的攻击;其二,病毒防火墙对计算机系统来说也是安全的,在实时过滤病毒的过程中它不应该对无害的数据造成任何形式的损伤。 • (5)病毒防火墙具有简便和透明的特性。它对计算机(网络)系统提供的防病毒保护是实时的,相当于每时每刻都在为用户查、杀病毒,整个过程基本上不需要用户对其进行过多的干预,极好的保证了用户完成正常工作的效率。 • (6)病毒防火墙会对系统资源产生一定程度的占用,但是对于设计良好的病毒防火墙而言,这种占用应该是很小的。因为“实时性”与简便、透明等特点决定了病毒防火墙不可能占用太多的系统内存。

  47. 4、安全增强方面 • FTP Guard • 严格MAC,在不同安全级别网络间传递文件 • DTE Firewall • 采用一种基于表的MAC,较为灵活 • 安全网关

  48. 5、安全网关(1) • 信息流五要素: • time: 时间 • src-addr: 源地址 • dst-addr: 目的地址 • user: 用户 • data: 信息内容

More Related