1 / 124

计算机系统安全 第九章 防火墙

计算机系统安全 第九章 防火墙. 一、防火墙概述. 什么是防火墙 (Firewall) ?. 防火墙:在两个信任程度不同的网络之间设置的、用于加强访问控制的软、硬件保护设施。. 一、防火墙概述. 一、防火墙的用途. 1)作为 “ 扼制点 ” ,限制信息的进入或离开; 2)防止侵入者接近并破坏内部设施; 3)监视、记录、审查重要的业务流; 4)实施网络地址转换,缓解地址短缺矛盾。 防火墙只允许已授权的业务流通过,而且本身也应抵抗渗透攻击。 建立防火墙必须全面考虑安全策略,否则形同虚设。. 一、防火墙概述. 二、好的防火墙系统.

fraley
Download Presentation

计算机系统安全 第九章 防火墙

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 计算机系统安全 第九章 防火墙

  2. 一、防火墙概述 什么是防火墙(Firewall) ? 防火墙:在两个信任程度不同的网络之间设置的、用于加强访问控制的软、硬件保护设施。

  3. 一、防火墙概述 一、防火墙的用途 1)作为“扼制点”,限制信息的进入或离开; 2)防止侵入者接近并破坏内部设施; 3)监视、记录、审查重要的业务流; 4)实施网络地址转换,缓解地址短缺矛盾。 防火墙只允许已授权的业务流通过,而且本身也应抵抗渗透攻击。 建立防火墙必须全面考虑安全策略,否则形同虚设。

  4. 一、防火墙概述 二、好的防火墙系统 1)内部网络和外部网络之间传输的数据必须通过防火墙; 2)只有防火墙系统中安全策略允许的数据可以通过防火墙; 3)防火墙本身不受各种攻击的影响。

  5. 一、防火墙概述 三、防火墙的优点 1.防止易受攻击的服务 通过过滤不安全的服务来降低子网上主系统的风险。 可以禁止某些易受攻击的服务(如NFS)进入或离开受保护的子网。 可以防护基于路由选择的攻击,如源路由选择和企图通过ICMP改向把发送路径转向遭致损害的网点。

  6. 一、防火墙概述 2.控制访问网点系统 可以提供对系统的访问控制。如允许从外部访问某些主机(Mail Server和Web Server) ,同时禁止访问另外的主机。

  7. 一、防火墙概述 3.集中安全性 防火墙定义的安全规则可用于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。 可以定义不同的认证方法,而不需要在每台机器上分别安装特定的认证软件。 外部用户只需要经过一次认证即可访问内部网。 例如对于密码口令系统或其他的身份认证软件等,放在防火墙系统中更是优于放在每个Internet能访问的机器上。

  8. 一、防火墙概述 4.增强的保密、强化私有权 使用防火墙系统,站点可以防止finger 以及DNS域名服务。Finger能列出当前用户,上次登录时间,以及是否读过邮件等。

  9. 一、防火墙概述 5.有关网络使用、滥用的记录和统计 防火墙可以记录各次访问,并提供有关网络使用率等有价值的统计数字。 网络使用率统计数字可作为网络需求研究和风险分析的依据;收集有关网络试探的证据,可确定防火墙上的控制措施是否得当,能否抵御试探和攻击。

  10. 一、防火墙概述 四、防火墙的局限性 1)防火墙防外不防内 防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上,放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理,如主机安全和用户教育、管理、制度等。

  11. 一、防火墙概述 2)不能防范绕过防火墙的攻击 防火墙能够有效地防止通过它进行传输信息,然而不能防止不通过它而传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。

  12. 一、防火墙概述 3)防火墙配置复杂,容易出现安全漏洞 4)防火墙往往只认机器(IP地址)不认人(用户身份),并且控制粒度较粗。 5)防火墙不能防范病毒 防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。

  13. 一、防火墙概述 6)防火墙不能防止数据驱动式攻击。 当有些表面看来无害的数据被邮寄或复制到内部网主机上并被执行而发起攻击时,就会发生数据驱动攻击。特别是随着Java、JavaScript、ActiveX的应用,这一问题更加突出。

  14. 一、防火墙概述 五、防火墙的特点 1、广泛的服务支持:通过将动态的、应用层的过滤能力和认证相结合,可实现WWW浏览器、HTTP服务器、 FTP等; 2、对私有数据的加密支持:保证通过Internet进行虚拟私人网络和商务活动的安全; 3、客户端认证:只允许指定的用户访问内部网络或选择服务:企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分;

  15. 一、防火墙概述 五、防火墙的特点 4、反欺骗:欺骗是从外部获取网络访问权的常用手段,它使数据包好似来自网络内部。防火墙能监视这样的数据包并能扔掉它们; 5、C/S模式和跨平台支持:能使运行在一平台的管理模块控制运行在另一平台的监视模块。

  16. 一、防火墙概述 防火墙的分类 目前普遍应用的防火墙按组成结构可分为以下三种。 1) 软件防火墙 网络版的软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个内部网络的网关。软件防火墙就像其他的软件产品一样需要先在计算机上安装并做好配置才可以使用。

  17. 一、防火墙概述 防火墙的分类 2) 硬件防火墙 这里说的硬件防火墙针对芯片级防火墙来说是所谓的硬件防火墙。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,它们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有UNIX、Linux和FreeBSD系统。

  18. 一、防火墙概述 防火墙的分类 3) 芯片级防火墙 基于专门的硬件平台,核心部分就是ASIC芯片,所有的功能都集成做在芯片上。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。

  19. 一、防火墙概述 三种类型防火墙比较 由于软件防火墙和硬件防火墙的结构是运行于一定的操作系统之上,就决定了它的功能是可以随着客户的实际需要而做相应调整的,这一点比较灵活。从性能上来说,多添加一个扩展功能就会对防火墙处理数据的性能产生影响,添加的扩展功能越多,防火墙的性能就下降的越快。

  20. 一、防火墙概述 三种类型防火墙比较 软件防火墙和硬件防火墙的安全性很大程度上决定于操作系统自身的安全性。无论是UNIX、Linux还是FreeBSD系统,都或多或少存在漏洞,一旦被人取得了控制权,将可以随意修改防火墙上的策略和访问权限,进入内网进行任意破坏,将危及整个内网的安全。芯片级防火墙不存在这个问题,自身有很好的安全保护,所以较其他类型的防火墙安全性高一些。

  21. 一、防火墙概述 三种类型防火墙比较 芯片级防火墙专有的ASIC芯片,促使它们比其他种类的防火墙速度更快,处理能力更强。专用硬件和软件的结合提供了线速处理、深层次信息包检查、坚固的加密、复杂内容和行为扫描功能的优化等,不会在网络流量的处理上出现瓶颈。采用PC架构的硬件防火墙技术在百兆防火墙上取得了很大的成功,但由于CPU处理能力和PCI总线速度的制约,在实际应用中,尤其在小包情况下,这种结构的千兆防火墙远远达不到千兆的转发速度,难以满足千兆骨干网络的应用要求。目前使用芯片级防火墙技术成为实现千兆防火墙的主要选择。

  22. 二、网络政策 1、服务访问政策 服务访问政策是整个机构信息安全政策的延伸,既要可靠又要切合实际。 一个典型的政策可以不允许从Internet访问网点,但要允许从网点访问Internet。 另一个典型政策是允许从Internet进行某些访问,但是或许只许可访问经过选择的系统,如Web服务器和电子邮件服务器。

  23. 2、防火墙设计政策 防火墙一般实施两个基本设计方针之一: 1. “没有明确允许的都是被禁止的”,即拒绝一切未予特许的东西。 2. “没有明确禁止的都是被允许的”;也即是允许一切未被特别拒绝的东西 拒绝 允许 允许 拒绝

  24. 六、防火墙的体系结构 1)屏蔽路由器(ScreenedRouter) 2)双宿主机网关;Dual Homed Host Gateway 3)屏蔽主机防火墙;Screened Gateway 4)屏蔽子网防火墙。Screened Subnet

  25. 1.屏蔽路由器(Screened Router)

  26. 包过滤路由器: 路由 + 过滤 这是最简单的防火墙。 缺点: 日志没有或很少,难以判断是否被入侵 规则表会随着应用变得很复杂 单一的部件保护,脆弱 1.屏蔽路由器(Screened Router)

  27. 防火墙体系结构 2.双宿主机网关

  28. 防火墙体系结构 双宿主主机是一台安装有有两块网卡的计算机,每块网卡有各自的IP地址,并分别与受保护网和外部网相连。如果外部网络上的计算机想与内部网络上的计算机进行通信,它就必须与双宿主主机上与外部相连的IP地址联系,代理服务器软件再通过另一块网卡与内部网络相连接。 这种配置是用双宿主主机做防火墙,两块网卡各自在主机上运行着防火墙软件,可以转发应用程序、提供服务等。

  29. 防火墙体系结构 优点:网关可将受保护网络与外界完全隔离;代理服务器可提供日志,有助于网络管理员确认哪些主机可能已被入侵;同时,由于它本身是一台主机,所以可用于诸如身份验证服务器及代理服务器,使其具有多种功能。 缺点:双宿主主机的每项服务必须使用专门设计的代理服务器,即使较新的代理服务器能处理几种服务,也不能同时进行;另外,一旦双宿主主机受到攻击,并使其只具有路由功能,那么任何网上用户都可以随便访问内部网络了,这将严重损害网络的安全性。

  30. 防火墙体系结构 3.屏蔽主机防火墙

  31. 防火墙体系结构 由屏蔽路由器和应用网关组成。 两道屏障:网络层的包过滤;应用层代理服务 注:与双宿主机网关不同,这里的应用网关只有一块网卡。 优点:双重保护,安全性更高。 实施策略:针对不同的服务,选择其中的一种或两种保护措施。

  32. 防火墙体系结构 4.屏蔽子网体系结构

  33. 防火墙体系结构 组成:一个包含堡垒主机的周边子网、两台屏蔽路由器。 屏蔽子网防火墙中,添加周边网络进一步地把内部网络与Internet隔离开。 通过在周边网络上隔离堡垒主机,能减少在堡垒主机上侵入的影响。 要想侵入用这种类型的体系结构构筑的内部网络,侵袭者必须通过外部路由器,堡垒主机,内部路由器三道关口。

  34. 防火墙体系结构 1)周边网络:非军事化区、停火区(DMZ) 周边网络是另一个安全层,是在外部网络与内部网络之间的附加的网络。

  35. 防火墙体系结构 周边网络的作用 对于周边网络,如果某人侵入周边网上的堡垒主机,他仅能探听到周边网上的通信。因为所有周边网上的通信来自或者通往堡垒主机或Internet。 因为没有严格的内部通信(即在两台内部主机之间的通信,这通常是敏感的或者专有的)能越过周边网。所以,如果堡垒主机被损害,内部的通信仍将是安全的。

  36. 防火墙体系结构 • 2)堡垒主机 • 接受来自外界连接的主要入口: • 对于进来的电子邮件(SMTP)会话,传送电子邮件到站点; • 对于进来的FTP连接,转接到站点的匿名FTP服务器; • 对于进来的域名服务(DNS)站点查询等。

  37. 防火墙体系结构 出站服务按如下任一方法处理: 1.在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器。 2.设置代理服务器在堡垒主机上运行(如果用户的防火墙使用代理软件)来允许内部的客户端间接地访问外部的服务器。用户也可以设置数据包过滤来允许内部的客户端在堡垒主机上同代理服务器交谈。但是禁止内部的客户端与外部世界之间直接通信(如拨号上网)。

  38. 防火墙体系结构 3)内部路由器 内部路由器(阻塞路由器):保护内部的网络使之免受Internet和周边子网的侵犯。 内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网到Internet的有选择的出站服务。这些服务是用户使用数据包过滤而不是通过代理服务提供。

  39. 防火墙体系结构 3)内部路由器 内部路由器所允许的在周边网和内部网之间服务可不同于内部路由器所允许的在外部和内部网之间的服务。 限制堡垒主机与内部网之间的通信可减少堡垒机被攻破时对内部网的危害。

  40. 防火墙体系结构 4)外部路由器 在理论上,外部路由器保护周边网和内部网使之免受来自Internet的侵犯。实际上,外部路由器倾向于允许几乎任何东西从周边网出站,并且它们通常只执行非常少的数据包过滤。 外部路由器安全任务之一是:阻止从Internet上伪造源地址进来的任何数据包。

  41. 防火墙体系结构 在构造防火墙体系时,一般很少使用单一的技术,通常都是多种解决方案的组合。这种组合主要取决于网管中心向用户提供什么服务,以及网管中心能接受什么等级的风险。还要看投资经费、投资大小、技术人员的水平和时间等问题。

  42. 防火墙体系结构 • 一般包括下面几种形式: • 使用多个堡垒主机 • 合并内部路由器和外部路由器 • 合并堡垒主机和外部路由器 • 合并堡垒主机和内部路由器 • 使用多个内部路由器 • 使用多个外部路由器 • 使用多个周边网络 • 使用双宿主主机与屏蔽子网

  43. 防火墙体系结构 内部防火墙问题 在大部分讨论中,都假定建立防火墙的目的在于保护内部网免受外部网的侵扰。但有时为了某些原因,我们还需要对内部网的部分站点再加以保护以免受内部的其它站点的侵袭。因此,有时我们需要在同一结构的两个部分之间,或者在同一内部网的两个不同组织结构之间再建立防火墙(也被称为内部防火墙)。

  44. 复合型防火墙 复合型防火墙 采用哪种形式的防火墙取决于经费、技术、时间等。 应用网关 电路网关 包过滤

  45. 包过滤技术 包过滤技术

  46. 包过滤技术 包过滤技术的原理 在路由器上加入IP Filtering 功能,这样的路由器就成为Screening Router 。 Router逐一审查每个数据包以判定它是否与其它包过滤规则相匹配(只检查包头,不理会包内的正文信息)。 如果找到一个匹配,且规则允许这包,这个包则根据路由表中的信息前行; 如果找到一个匹配,且规则允许拒绝此包,这一包则被舍弃; 如果无匹配规则,一个用户配置的缺省参数将决定此包是前行还是被舍弃。

  47. 包过滤技术 IPv4 0 4 8 16 19 31 版本号 报头长 服务类型 分组总长度 Version IHL ServiceType Total Length (4bit) (4bit) (8bit) (16bit) 标识 标志 片偏移 Identification Flags Fragment Offset (16bit) (3bit) (13bit) 20 bytes 生存时间 传输层协议 头部校验和 Time to Live Protocol Header Checksum (8bit) (8bit) (16bit) IP 源 地址 Source Address(32bit) IP 宿 地址 Destination Address(32bit) 填充域 可选项 Option padding 有效负载 Payload(0或多个字节)

  48. 包过滤技术 ICMP报文 ICMP header ICMP data 封装 IP header I P data ICMP报文的一般格式 0 8 16 31 检验和 类型 代码 Type Checksum Code (8bit) (16bit) (8bit) 不同类型和代码有不同的内容Data 差错信息 出错IP数据报的头+64个字节数据 Data

  49. 包过滤技术 TCP头部 Source Port Destination Port 源端口 宿端口 (16bit) (16bit) Sequence Number (32bit) 序列号 Acknowledgment Number (32bit) 确认号 Data U A P R S F Reserved Window size 窗口大小 Offset R C S S Y I (6bit) (16bit) (4bit) G K H T N N Checksum (16bit) Urgent Pointer (16bit) 校验和 紧急指针 Options (0 32 bit ) 选项 或多个 字 Data ( ) 数据 可选

  50. 包过滤技术 UDP头部 16bit 16bit UDP源端口 UDP宿端口 UDP长度 UDP校验和 最小值为8 全“0”:不选; 全“1”:校验和为0。

More Related