如何活用防火牆 做好網路安全防護

1. 如何活用防火牆做好網路安全防護 主講：陳建民

2. Outline • 為何需使用防火牆 • 防火牆種類 • 封包過濾型 • 應用程式過濾型 • 防火牆網路架構 • 標準架構 • 3-Home架構 • 多層次架構 • 如何建置防火牆系統 • 如何定義存取的原則以限制未經授權的使用者存取您的網路 • 如何管理防火牆的日誌以了解防火牆保護企業網路的作為 • 如何掌握防火牆的運作異常現象，用最安全的機制保護您的網路

3. Outline • Firewall的設定 • 個人防火牆 • 商用防火牆 • 防火牆測試

4. Internet 企業網路的現況 Mobile用戶 商業夥伴 危機四伏 Internet用戶 企業網路 企業分公司

5. 常見的威脅 • 粗心大意或不滿的員工 • 社交工程攻擊(Social Engineering) • 揚名攻擊 • 電腦病毒(Computer Virus) • 惡性程式(Computer Malware) • 電腦蠕蟲、特洛伊木馬、惡作劇程式 • 惡性的商業競爭 • 電腦駭客(Hacker)

6. 常見的威脅(2)埠掃描 • 埠掃描(Port Scanning) Port Service 20?… closed 21?… FTP 22?… closed 23?… closed 24?… closed 25?… SMTP Attacker Port Scan Web Server

7. 常見的威脅(3)阻斷服務攻擊 • 阻斷服務攻擊(Denial of Service Attacks) • 磁碟空間(Disk Space) • 網路頻寬(Bandwidth) • 緩衝區(Buffers) • 中央處理器使用量(CPU Cycles Usage)

8. 安全的建議 建置 • 妥善的建置 • 完善的管理 • 持續的稽核 安全的環境 稽核 管理

9. 企業網站 公開 市場行銷 內部 人事、薪資 機密 核心技術 極機密 安全等級的劃分

10. 防火牆的功能 • 網路流量過濾(Packet Filter) • 過濾未經授權的網路流量 • 資料內容過濾(Application Filter) • 網路位置轉譯(NAT、PAT) • 解決IP位址不足的問題 • 保護內部網路位址配置 • 隱藏網際網路服務的真實位址

11. 防火牆技術的種類 • 封包過濾(Packet Filter) • 靜態(Static) • 檢查來源端與目的端的網路位址及埠號 • 動態(Dynamic or Stateful Inspection) • 設置了一個連結狀態表 ，將過往交通的狀態記錄下來 • 可以分辨出那些是從企業外發出的通信服務要求，而那些是回應企業內發出通信服務的返回資料 • 應用層級過濾(Application Filter) • 檢查資料內容 • 自由擴充功能

12. 封包過濾(Packet Filter) 目的端位址 來源端位址 目的端埠號 來源端埠號 資料 TCP/UDP封包 IP封包

13. ACK=1 ACK=1 FIN=1,ACK=1 SYN=1 ACK=1 SYN=1,ACK=1 FIN=1,ACK=1 動態過濾與靜態過濾的差異性TCP連線的建立與停止 TCP連線的建立 TCP連線的結束

14. 動態過濾與靜態過濾的差異性埠掃描的方式 – SYN與FIN的掃描 攻擊者 Internet 內部網路 防火牆

15. Application Filter TCP/UDP TCP/UDP IP IP 應用程式過濾(Application Filter)

16. 如何選擇防火牆的網路架構 • 堡壘主機式架構(BastionHost) • 3-Homed架構 • 多層次架構(Multi-Layered)

17. Internet 堡壘主機式架構(Bastion Host) • 基本防護 • 管理容易 • 成本低 防火牆 內部網路

18. Internet 3-Homed架構 • 管理容易 • 相對安全 非軍事管制區 DMZ Perimeter Network 防火牆 內部網路

19. 多層次架構(Multi-Layered) • 管理具彈性 • 安全性較佳 • 成本較高 Internet 非軍事管制區 DMZ Perimeter Network 外部防火牆 內部防火牆 內部網路

20. 各式防火牆架構的比較

21. 防火牆的建置 開始 了解企業的需求 選擇適當的防火牆產品 決定網路架構 安裝防火牆 設定防火牆 完成 測試防火牆

22. 設定防火牆的技巧 • 路由(Routing) • 封包過濾(Packet Filtering) • 網路位址轉譯(NAT、PAT)

23. 路由(Routing) 192.168.0.0 255.255.255.0 Internet 202.132.10.160 | 202.132.10.175 255.255.255.240 202.132.10.176 | 202.132.10.191 255.255.255.240 202.132.10.160 | 202.132.10.191 255.255.255.224

24. 封包過濾(Packet Filtering) ICMP HTTP FTP SMTP 存取規則

25. 網路位址轉譯(NAT、PAT) NATInternal IP = 192.168.0.1External IP = 202.132.10.10 Internet IP = 192.168.0.3 Web ServerIP = 131.107.50.1 IP = 192.168.0.4 2323 IP = 192.168.0.5

26. 設定防火牆的存取控制原則 開始 決定需求 定義規則 測試設定 修正設定 完成 套用生效

27. 設定防火牆的存取控制原則 • 注意事項 • 注意”預設的狀態” • 全部啟用 or 全部拒絕 • 以最嚴格的方式進行設定 • 紀錄所有的設定項目 • 定期稽核使用情形

28. 防火牆的紀錄(Logging)

29. 防火牆的監測與警示 • 入侵偵測 • 效能工具 • 警示通知 • E-Mail • 呼叫器 • 執行程式

30. Firewall的架設 • 不同的系統可以針對不同的安全需求架設防火牆 • 堡壘主機式防火牆(Bastion Host Firewall) • 雙閘式防火牆(Dual-Homed Firewall) • 屏障單機式防火牆(Screened Host Firewall) • 屏障子網域式防火牆(Screened Subnet Firewall)

31. Firewall的架設 • 堡壘主機式防火牆(Bastion Host Firewall) • 屬於封包過濾器 • 有兩塊網路卡 • 進出的封包均需經過該防火牆的檢查 • 內部網路與外部網路的交通無法直接相連 • 封包均需透過該堡壘主機的轉送

32. Firewall的架設 • 堡壘主機式防火牆 (Bastion Host Firewall) Internet 網卡 網卡 外部網路 堡壘主機式防火牆 內部網路

33. Firewall的架設 • 雙閘式防火牆(Dual-Homed Firewall) • 屬於代理伺服器型防火牆的一種 • 有兩塊網路卡 • 需安裝一特殊軟體-應用服務轉送器(Application Forwarder) • 所有的網路應用服務封包都需經過該應用服務轉送器的檢查 • 應用服務轉送器將過濾掉不被系統所允許的服務要求封包

34. Firewall的架設 • 雙閘式防火牆(Dual-Homed Firewall) 應用服務 轉換器 Internet 網卡 網卡 雙閘式防火牆 伺服端 客戶端 內部網路

35. Firewall的架設 • 屏障單機式防火牆(Screened Host Firewall) • 屬於結合封包過濾器及代理伺服器功能的一種架構 • 硬體設備除了一主機並需一路由器 • 路由器 • 必須有封包過濾的功能 • 主機 • 負責過濾及處理網路服務要求封包

36. Firewall的架設 • 屏障單機式防火牆(Screened Host Firewall) 防火牆主機 Internet 路由器 屏障子網域 內部網路

37. Firewall的架設 • 屏障子網域式防火牆(Screened Subnet Firewall) • 屏障子網域(Screen Subnet)，以加強系統的安全性 • 結合了許多個主機及兩個路由器 • 屏障子網域架設在外部網路與內部網路之間 • 對外公開的應用伺服主機均需架設在屏障子網域內 • 用外部路由器隔開外部網路與屏障子網域 • 內部路由器則隔開內部網路與屏障子網域 • 將內部網路的架構、各主機IP位址及名稱(Domain Name)完全隱藏起來 • 多次的過濾、檢查 • IP位址轉換的安全措施

38. Firewall的架設 • 屏障子網域式防火牆(Screened Subnet Firewall) WWW Server Mail Server Internet 路由器 路由器 FTP Server 內部路由器 保壘式主機 外部路由器 屏障子網域 公司內部網路

39. Firewall的缺點 • 易形成網路上的交通瓶頸 • 防火牆一旦被攻破，入侵者將可肆無忌憚地為所欲為 • 無法防止內部網路的使用者利用其合法的身份作破壞系統的行為 • 無法有效阻止開後門的行為 • 無法有效阻止有心人士利用原作業系統的漏洞進行入侵破壞行為 • 防火牆不提供資料完整性驗證的功能

40. 個人防火牆 • 如何設定winxp的個人防火牆 • 其他personal firewall • 如何檢查電腦的port是否被封鎖 • 檢視firewall log

41. winxp的個人防火牆 • 啟動 / 關閉 • 基本設定 • Windows firwwall 只阻檔單向封包(由外至內)。 • 設定那些程式或服務可以通過firewall • 暫時調高安全性：勾選不允許例外 • 進階設定 • 使某個連線不受firewall保護 • 開放特定的由外至內的port (用於本機擔任server 時) • 允許回應他人的 ping • 設定firewall log

42. Sygate personal firewall • Sygate Personal Firewall • 操作手冊 • 重要設定 • 規則設定 (Tools \ Advanced Rules…) (Ref 4)

43. Firewall 規則設定練習 ICMP HTTP FTP SMTP 存取規則

44. 如何關閉特定的服務 • 電腦管理 \ 服務及應用程式 • 範例：手動啟動 telnet • 以 netstat –an ，檢視 port 23是否開啟。 • 範例：如何關閉網路芳鄰 • 停用 NetBIOS over TCP / IP • TCPIP \ 進階 \ wins • File and printer sharing for microsoft networks

45. 如何關閉網路芳鄰

46. 檢視firewall log • Winxp firewall • Sygate Personal Firewall

47. 如何檢查電腦的port是否被封鎖 • 使用tools • Ip-tools • 使用網站提供的工具 • Shields Up • 那些port該封鎖？ • 其他

48. 那些port該封鎖？駭客攻擊十大port（2003年7~2003年12月）資料來源：賽門鐵克公司那些port該封鎖？駭客攻擊十大port（2003年7~2003年12月）資料來源：賽門鐵克公司

49. 專業防火牆功能說明 • 封包過濾(規則控管) • 頻寬管理 • IM/P2P 管理 • 阻絕外來攻擊 • 異常網路行為的偵測

50. 封包過濾 • 以目的地或來源地IP及存取的服務作為過濾的條件 • 訂定政策, Outgoing 或 Incoming • 觀察記錄以瞭解Firewall是否有正常工作 • 開放需要的服務,關閉其餘不需要的服務有助於安全性的提升