1 / 48

4.2.1 防火墙体系结构

4.2.1 防火墙体系结构. 基于网络防火墙的部件类型 屏蔽路由器 ( Screening router) 实施分组过滤 能够阻断网络与某一台主机的 IP 层的通信 堡垒主机 ( Bastion host) 一个网络系统中安全性最强的计算机系统 安全性受到最严密的监视 没有保护的信息 不能作为跳板 实施分组代理. 网络防火墙体系结构. 双重宿主机体系结构 基于堡垒主机 屏蔽主机体系结构 基于堡垒主机和屏蔽路由器 被屏蔽子网体系结构 双重屏蔽路由器. 双重宿主主机 ( dual-homed host). 连接因特网和局域网. 过滤和代理.

maia-tucker
Download Presentation

4.2.1 防火墙体系结构

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 4.2.1 防火墙体系结构 基于网络防火墙的部件类型 • 屏蔽路由器(Screening router) • 实施分组过滤 • 能够阻断网络与某一台主机的IP层的通信 • 堡垒主机(Bastion host) • 一个网络系统中安全性最强的计算机系统 • 安全性受到最严密的监视 • 没有保护的信息 • 不能作为跳板 • 实施分组代理

  2. 网络防火墙体系结构 • 双重宿主机体系结构 • 基于堡垒主机 • 屏蔽主机体系结构 • 基于堡垒主机和屏蔽路由器 • 被屏蔽子网体系结构 • 双重屏蔽路由器

  3. 双重宿主主机(dual-homed host) • 连接因特网和局域网 过滤和代理

  4. 屏蔽主机(Screened Host) • 用包过滤和应用代理的双重安全保护 • 包过滤器连接因特网 • 代理服务器为局域网上的客户机提供服务

  5. 屏蔽子网(Screened Subnet) • 添加额外的安全层进一步地把内部网络与Internet隔离开 DMZ

  6. 4.2.2 防火墙的安全策略 • 安全策略的两个层次 • 网络服务访问策略 • 防火墙设计策略 • 设计策略 • 用户账号策略 • 用户权限策略 • 信任关系策略 • 分组过滤策略 • 认证、签名和数据加密策略 • 密钥管理策略 • 审计策略

  7. 用户账号策略 • 口令最小长度 • 口令最长有效期 • 口令历史 • 口令存储方式 • 用户账号锁定方式 • 在若干次口令错误之后

  8. 用户权限策略 • 备份文件权限 • 远程/本地登录访问权限 • 远程/本地关机权限 • 更改系统时间权限 • 管理日志权限 • 删除/还原文件权限 • 设置信任关系权限 • 卷管理权限 • 安装/卸载设备驱动程序权限

  9. 审计策略 • 成功或者不成功的登录事件 • 成功或者不成功的对象访问 • 成功或者不成功的目录服务访问 • 成功或者不成功的特权使用 • 成功或者不成功的系统事件 • 成功或者不成功的账户管理事件

  10. 4.2.3 防火墙技术 分组过滤技术 • 依据 • IP分组的源地址和目的地址 • 源端口号和目的端口号 • 传送协议 • 优点 • 可以实现粗颗粒的网络安全策略 • 容易实现 • 配置成本低 • 速度快 • 局限性 • 配置分组过滤规则比较困难 • 不能识别分组中的用户信息 • 不能抵御IP地址欺骗

  11. 例4-1 • 某一个具有B类网络123.45的公司的网络管理员希望阻止来自因特网上的访问(123.45/16)。该网络中有一个特殊子网(123.45.6.0/24)是一个与某大学合作的,该大学的网址是135.79。他希望这个特殊的子网能够被该大学的所有子网访问。此外还希望阻止公司的网络被大学中某一个特殊子网(135.79.99.0/24)访问。试设计制订过滤规则。

  12. 某一个具有B类网络123.45的公司的网络管理员希望阻止来自因特网上的访问(123.45/16)。该网络中有一个特殊子网(123.45.6.0/24)是一个与某大学合作的,该大学的网址是135.79。他希望这个特殊的子网能够被该大学的所有子网访问。此外还希望阻止公司的网络被大学中某一个特殊子网(135.79.99.0/24)访问。试设计制订过滤规则。 • 制订过滤规则如下

  13. 例4-2 • 处于一个C类网络116.111.4.0的防火墙,第一,希望阻止网络中的用户访问主机202.108.5.6;假设需要阻止这个主机的Telnet服务,对于Internet的其他站点,允许网络内部用户通过Telnet方式访问,但不允许网络外部其他站点以Telnet方式访问网络。第二,为了收发电子邮件,允许SMTP出站入站服务,邮件服务器的IP地址为116.111.4.1。第三,对于WWW服务,允许内部网用户访问Internet上任何网络和站点,但只允许一个公司的网络98.120.7.0访问内部WWW服务器,内部WWW服务器的IP地址是116.111.4.5。试根据以上要求设计过滤规则。

  14. 23:telnet 25:SMTP 80: web >1023: 非系统进程

  15. 地址过滤配置实例

  16. 配置结果

  17. 问题1 某屏蔽子网的应用代理服务器中,对外接口的IP地址是202.120.1.1,对内接口的IP地址为192.168.1.1。问如何配置包过滤器规则,使得所有的内网与外网的通信都经过代理服务器的检查和传递。 DMZ

  18. 解答 • 某屏蔽子网的应用代理服务器中,对外接口的IP地址是202.120.1.1,对内接口的IP地址为192.168.1.1。问如何配置包过滤器规则,使得所有的内网与外网的通信都经过代理服务器的检查和传递。 包过滤器A 包过滤器B

  19. 防火墙安全策略的例子 • Allow all inbound and outbound ICMP • Allow inbound TCP 445 from hosts 192.168.4.0 – 192.168.20.255 • Block all inbound TCP • Block all inbound UDP • Allow all outbound TCP • Allow all outbound UDP

  20. 代理服务技术 • 代理 • 客户机与服务器之间的一个应用层中介 • 在两者之间传递应用程序的信息 • 可以根据数据包的内容进行检测 • 应用代理的原理 • 隔断通信双方的直接联系 • 将内部网络与外部网络从网络层起分开 • 所有通信都必须经应用层的代理进行转发 • 用另外的连接和封装转发应用层信息

  21. 代理服务技术 • 特点 • 安全性较高 • 能够识别应用层信息 • 数据重新封装 • 应用滞后 • 不支持没有开发代理的网络应用 • 客户端配置较复杂 • 需要在客户端进行代理设置 • 要求应用层数据中不包含加密、压缩数据 • Email中做不到 • 代理的实例 • 网络地址转换器(NAT) • URL过滤器(Web应用层)

  22. NAT • 网络层/传输层代理 • 提供外网IP地址与内网地址之间的转换 • 方便路由汇聚与IPv6网络连通 • 使得外网地址重用 • 分类 • 静态NAT • 将内部地址与外部地址固定地一一对应 • 动态NAT • 将多个内部地址与同一个外部地址对应(分时使用) • 通过TCP/UDP端口号区分(NAPT) • IPv4/IPv4 NAT(RFC1631, RFC2663, RFC3022, RFC3235) • IPv4/IPv6 NAT(RFC2766, RFC2765, RFC3027)

  23. 例4-3 NAT SA=176.16.1.1 DA=191.1.1.3 SA=191.1.1.1 DA=191.1.1.3 SA=191.1.1.3 DA=176.16.1.1 SA=191.1.1.3 DA=191.1.1.1

  24. 例4-4 NAPT

  25. NAPT 将地址转换扩展到端口号 • 全转换 Full Cone • 外网随时可以利用映射后的地址给内网发送UDP报文 • 受限转换 Restricted Cone • 当内网主机向外网发送数据分组后,外网才可以利用映射后的地址给内网发送UDP报文 • 端口受限转换 Port Restricted Cone • 当内网主机向外网发送数据分组后,外网才可以利用映射后相同的地址和端口号给内网发送UDP报文 • 对称NAT Symmetric NAT • 多个内网地址和端口号映射到同一个外网地址 • 当内网主机向外网发送数据分组后,外网才可以利用映射后相同的地址和端口号给内网发送UDP报文

  26. NAT-PT • 地址转换 • 静态地将每个IPv6地址转换成IPv4地址(NAT-PT) • 动态地将一个IPv6地址转换成一定期限的IPv4地址 • 动态地将一个IPv6地址转换成IPv4地址和TCP/UDP端口号(NAPT-PT) • 协议转换 • 在IPv4与对应的IPv6分组之间相互转换 • IPv4头与对应的IPv6头之间的相互转换 • TCP/UDP/ICMP校验和更新 • ICMPv4头与ICMPv6头之间的相互转换 • ICMPv4错误消息与ICMPv6错误消息的相互转换 • IPv4 sender does not perform path MTU discovery • RFC2765

  27. Problems of NATAndrew S. Tanenbaum • Violates architecture model of IP • Changes the Internet from a connectionless to connection-oriented • Violates the role of protocol layering • Does not support other transport protocol • Does not support IP addresses in the body • FTP and H.323 works this way • breaks many IP applications • RFC3027

  28. NAT穿透与语音通信 H.323与SIP的共同点 • 传输中需要建立两种通道 • 控制通道 • 媒体通道 • RTP/RTCP连接使用的UDP端口需要通过协商确定 • 因为一台主机可能建立多条媒体通道(多个媒体流) • 要求防火墙打开所有的端口号 • 发起呼叫方的IP地址在分组的载荷中 • 根据这个IP地址发回的分组将被防火墙阻挡 • 防火墙的穿透问题 • NAT-Friendly Application Design Guidelines • 在分组中不包含IP地址和端口号 • 许多协议无法根据这个指导原则构建 • RFC3235

  29. NAT穿透与语音通信 解决方案 • 应用级网关ALG(Application Layer Gateways ) • 存放应用层信息并用于NAT • 修改应用层信息中的IP地址 • 需要更新已有的NAT • 扩展性问题、可靠性问题和新应用布署问题 • Full Proxy • 由专门的应用层代理对业务流进行转发 • 代理在防火墙的外部 • 对载荷中的IP地址进行处理 • 对应答分组中的IP地址进行转换 NAT

  30. Traverse a Firewall • MIDCOM • Middlebox Communications protocol • 采用应用代理与NAT通信 • 允许一个应用实体控制NAT • 需要更新当前的NAT和防火墙 • RFC3303 • STUN • Simple traversal of UDP through NAT • 使得应用程序能发现NAT和防火墙的存在 • 通过发送绑定请求给STUN服务器并比较应答中的IP地址和端口号 • 使得应用程序发现映射的地址和端口号 • 确定NAT的地址映像 • 把映射后的地址放在分组载荷中 • RFC3489

  31. Traverse a Firewall • 建立高层隧道 • Firewall Enhancement Protocol (FEP) • allows ANY application to traverse a Firewall • 可以使用固定的端口号 • TCP/IP packet encoded into HTTP command • RFC3093 App App TCP TCP IP IP firewall FEP FEP TCP TCP IP IP 局限性?

  32. 状态检测技术 • 会话层代理 • 基于入侵检测 • 能够根据上层协议的状态进行过滤 • 对网络通信的各个协议层次实施监测 • 不仅检查数据分组的TCP/IP头 • 利用状态表跟踪每一个会话的状态 • 记录会话的序列 • 透明性较好 • 不修改应用程序的执行过程和处理步骤

  33. 基于网络防火墙的不足之处 • 基于分组网络头信息 • 容易被篡改 • 无双向的身份验证 • 粗颗粒的访问控制 • 防外不防内 • 不能防止旁路 • 不能预防新的攻击手段 • 不能防范病毒和后门

  34. 新型防火墙技术 • 可信信息系统技术 • 加强认证 • 计算机病毒检测防护技术和密码技术 • 加强应用层数据检查 • 自适应代理 • 适应新的应用 • 新功能 • spam过滤 • Web站点过滤

  35. 4.3入侵检测 • 识别越权使用计算机系统的人员及其活动 • 网络活动监视器 • 基本假设 • 入侵者的行为方式与合法用户是不同的 • 目标 • 发现新的入侵行为 • 对入侵事件的可说明性 • 能够对入侵事件做出反应

  36. 入侵检测 方法 • 记录有关证据 • 实时地检测网络中的所有分组 • 或检测主机的状态及日志或审计信息 • 识别攻击的类型 • 评估攻击的威胁程度 • 发出告警信息或主动采取措施阻止攻击 • 入侵防御

  37. 4.3.1入侵分类 • 攻击的方式 • 本地攻击 • 远程攻击 • 伪远程攻击 • 网络上的安全弱点 • 管理漏洞 • 软件漏洞 • 结构漏洞 • 信任漏洞 • 跳板(Zombie)

  38. 常见网络入侵类型 • 拒绝服务攻击 • 网络流量攻击 • 阻断 • 协议攻击 • 基于网络 • 窃取、伪造、篡改、阻断 • 用户账号攻击 • 基于主机 • 窃取、伪造、篡改

  39. 网络入侵的方式 • 端口扫描(port scanning) • IP哄骗(IP smurfing) • 洪泛攻击(flooding) • 缓存溢出(buffer overrun) • 脚本攻击(script attack) • 口令探测(password sniffing) • 会话劫持(session hijacking)

  40. 网络入侵的例子 • Land攻击(land attack) • SYN分组中IP源地址和目标地址相同 • 造成死机 • 泪滴攻击(tear dropping) • 一些操作系统在收到含有重叠偏移的伪造分段时将崩溃 • ICMP 洪泛攻击(ICMP flooding) • 广播ICMP应答请求(ping) • 加上假冒的返回地址 • 使得应答包返回到某一台被攻击的主机 • 错误长度攻击(length error) • 未知协议类型攻击(unknown protocol)

  41. 网络入侵的例子 • UDP 炸弹攻击(UDP bomb) • 伪造UDP长度字段 • 使它的值大于实际的UDP报文长度 • UDP端口扫描(UDP scanning) • TCP 端口扫描(TCP scanning) • SYN 洪泛攻击(SYN flooding) • UDP洪泛(UDP flooding) • 发送大量带有假返回地址的UDP包 • PHF攻击(PHF attack) • apache web服务器早期版本中的PHF脚本 • 网虫(Worm) • 消耗网络带宽和缓存资源 • CodeRed, SQL Slammer

  42. SYN 洪泛攻击 主机A 主机B Syn, Seq=x Syn, Seq=y, ACK=x+1 ACK=y+1

  43. 从网络对主机进行入侵的阶段 • 传播 • 发email • 发web连接请求 • 通过FTP • 感染局域网内共享文件 • 攻击破坏 • 删除文件 • 修改文件 • 拒绝服务 • 窃取信息 • 搜集资料 • 探测目标机IP地址 • 扫描端口 • 口令猜测 • 用户名猜测 • 进入系统 • 利用猜测的口令 • 利用缓存溢出 • 利用后门 • 驻留 • 建立新文件 • 修改系统文件 • 启动黑客进程 • 启动陷阱进程 状态分析

  44. IPv6的可信性 • Reliability • 自动配置 • Security • 巨大的稀疏地址空间可抵御恶意的自动端口扫描和自动传播的蠕虫 • IPv4/v6双地址机制可以进一步增加扫描的难度 • 自动配置的地址可动态改变以抵御重复入侵 • 通过IPsec支持网络数据安全

  45. 4.3.2入侵检测系统 要求 • 可用性 • 连续高效运行而不需要人工干预 • 具有较低的系统运行开销 • 可靠性 • 能够从系统崩溃中恢复过来 • 能够防止自身被篡改 • 可管理性 • 能够精确地实现安全策略 • 自适应性 • 能够适应用户行为的改变 • 例如在安装了新的软件之后用户的行为会发生变化 • 可扩展性 • 适应系统规模的扩张

  46. 系统构成 • 活动(activity) • 数据源的事例 • 被探测器(sensor)或者分析器识别 • 管理员 • 制订安全策略的人员 • 部署和配置ID系统 • 探测器 • 从数据源收集信息 • 如网卡的“混杂”(promiscuous)模式 • 数据源 • 原始数据 • 如网络上的数据包、监控日志 • 事件 • 数据源中发生的需要检测的情况 • 分析器 • 分析探测器收集的数据

  47. 系统构成 • 警告 • 分析器给管理器的消息 • 表示检测到一个入侵事件 • 提示(notification) • 在屏幕上显示、发Email或短消息 • 管理器 • 探测器的配置 • 分析器的配置 • 事件提示管理 • 数据汇总和报告 • 安全策略 • 预定义的文档 • 定义允许和禁止的服务

  48. 4.3.3入侵检测技术 1. 入侵检测方法分类 • 分类一 • 集中式入侵检测方法 • 基于主机 • 基于网络 • 分布式入侵检测方法

More Related