1、安全连入Internet:防火墙防火墙的工作原理与布置背景wInternet的设计就是为资源共享为目标的w用户数量的增加,恶劣的用户也在增加w许多TCP/IP的服务有漏洞,特别网管服务w窃听和假冒比较容易w服务策略的缺乏导致许多不需要的服务开放w存取控制设置复杂导致安全漏洞w防火墙:一个经济的解决方案防火墙:一个经济的解决方案本节内容wInternet及其安全w防火墙的基本知识w防火墙的功能分类w防火墙的布置与环境Internet及其安全wInternet的基本协议wInternet的基本服务w与安全相关的问题Internetw以TCP/IP协议为基础w初始目标是在研究人员之间进行通信(原型系
2、统为ARPANET,DARPA资助)w1980后迅速推广到教育、政府、商业与国际机构w目前一般用户为商业用户w成为了国家信息基础设施(NII)Internet提供的基本服务wSMTP:简单邮件传送协议Simple Mail Transfer ProtocolwTELNET:对远地主机的基本的终端仿真wFTP:文件传送协议File Transfer ProtocolwDNS:域名系统Domain Name Servicew信息提供服务Gopher、WAIS、WWW/httpw进程调用服务Internet主机w操作系统的特点就是并行和共享wUnix系统Sun, IBM, LinuxwWindows
3、系统NT, XP, 2000wVMS、AS400、其他系统OS/2,Macintosh网络分层的思路w书信邮件的例子应用:信的内容与将来如何投递没有关系网络:加信封,信封及地址与如何投递没有关系物理:加邮包,运邮件的车跟具体信封地址没有关系w两个人的合同谈判翻译秘书传真邮件示意信件信件合同谈判英语:I like德语:I likeFax to: 德语:I likeFax from: 德语:I like德语:I like中文:I like英语:I like德语:I likeFax to: 德语:I likeFax from: 德语:I like德语:I like中文:I like合同谈判网络的视角
4、-系统互连(OSI)第一层:物理层 Physical第二层:数据链路 Data Link第三层:网络层 Network第四层:传输层 Transport第五层:会话 Session第六层:表示层 Presentation第七层:应用层 Application网络中的数据传送物理层链路层网络层传输层会话层表示层应用层物理层链路层网络层TCP/IP协议层次结构物理/数据链路层 (Ethernet)网络层 Network (IP, ICMP)传输层 Transport (TCP, UDP)应用层 Application (FTP, Telnet, DNS, NFS, PING)ARP:Address
5、 Resolution Protocol地址解析协议wIP数据包发送前w查找对应IP地址主机的物理地址w在网络上广播ARP请求w缓存已经找到的硬件地址w参见RFC826ICMP互连网控制报文协议Internet Control Message Protocolw用于传送错误和控制报文,控制IP协议w主机关闭/网关阻塞或不通/其他故障wPING是一个著名的应用wRFC792IP (Internet Protocol)协议w接收物理层(Ethernet)发来的数据w将数据传送到高层协议,如TCP、UDPw不可靠的数据报协议不保障报文顺序,不检查错误,不保证对方收到w包含源IP地址和目的IP地址So
6、urce Address & Destination Addressw上层协议(TCP、UDP)认为这些地址都是正确的,不对原IP地址进行认证。wRFC760TCP协议Transmission Control ProtocolwIP数据报包含了封装的TCP报文w通过连接建立和报文序号以及检错编码保证数据完整性wTCP协议将数据送往应用层处理wTELNET,FTP,X Window,SMTP等都是基于有连接的TCP协议UDP协议User Datagram Protocolw与TCP在同一个层次,直接为应用服务w不检错,不重发,不排序w无连接的协议wNTP, DNS使用UDPTCP/UDP的地址结
7、构w源IP地址(32bits)w源端口(16bits)w目的IP地址w目的端口一个连接的例子wTelnet服务器运行在192.168.0.1上,在端口23上听是否有连接请求wTelnet客户端在192.168.20.1中申请了一个未用的端口,如3987,然后向服务器发连接请求w当连接成功后,双方都记下自己以及对方的地址和端口。w192.168.20.1:3987 192.168.0.1:23Internet上安全事件不断w服务安全问题/协议安全问题Sendmail、Free FTP发现漏洞Telnet/FTP/X window易于窃听蠕虫病毒泛滥w主机配置错误导致的安全问题弱口令、口令破解程序
8、、NFS协议不能认证用户w管理人员的变动和水平一些安全问题:窃听、假冒wIP假冒,同一网段内,改就行w原路径问题(source route)改变IP设计原路径发送请求获得回应wEmail假冒,不仅是地址,而且还从正确的服务器来。Internet及其安全总结wInternet是以TCP/IP协议为基础的ARP, IP, TCP, UDP, ICMPwISO的七层开放系统模型与Internet的5层模型数据传送方法wInternet很不安全协议本身,服务,配置以及系统本身防火墙的基本知识w防火墙的主要目标是控制对一个受保护网络的访问,强迫所有连接都接受防火墙的检查和评估。w可以是路由器、计算机或一
9、群计算机。w防火墙通过边界控制保护整个网络,而不需要对每个网内的主机进行单独的保护,为内网仍旧可以采用相互信任的模式提供了一定的安全基础。防火墙能够做什么w保护内网有漏洞的服务w控制对内网系统的访问w将安全问题集中解决w增加隐私保护内网系统不可见w审计和统计网络使用和错误w强制执行统一的安全策略防火墙的缺陷?w外网获得内网的服务不如原来方便w后门并没有完全堵住通过MODEM的外拨通过MODEM的内拨w内部攻击者无法防止逃避防火墙的监管w其他问题新的攻击,数据驱动的攻击,新的病毒,通信瓶颈,依赖(all eggs in single basket)防火墙运行的网络层次数据链路层 (Etherne
10、t)网络层 Network (IP, ICMP)传输层 Transport (TCP, UDP)应用层 Application (FTP, Telnet, DNS, NFS, PING)w简单防火墙运行的层次少,而复杂防火墙运行的层次就多防火墙的功能分类w包过滤防火墙w状态检查机制防火墙w应用代理网关防火墙w专用代理防火墙w混合型防火墙w网络地址转换w基于主机的防火墙w个人防火墙个人防火墙设备包过滤防火墙w最基本的防火墙功能w包含有许多过滤规则w最基本的工作模式是工作在第二,第三层w存取控制一般基于以下参数原地址:数据包从哪里来目标地址:数据包要进入哪个系统通信类型:通信协议,IP、IPX或其
11、他协议其他信息,IP数据包头的其他信息w第二层工作可以增加冗余和完成负载均衡边界路由器包过滤Boundary Router Packet FilterISP边界路由器包过滤外部DMZ受保护的内网主防火墙demilitarized zone包过滤防火墙特点w非常快,可以安装在最外的边界上w根据策略,如阻止SNMP,允许HTTPw可能的弱点应用相关的漏洞没有办法保护审计不够详细无法支持高级的用户认证无法防止高级攻击,如IP地址假冒w目前,很难找到只有包过滤功能的防火墙路由器,SOHO防火墙,操作系统自带的防火墙包过滤防火墙的过滤规则原地址原端口目标地址目标端口操作说明AnyAny192.1.1.0
12、1024Allow回答192.1.1.0 AnyAnyAnyAllow内访外AnyAny192.1.1.2SMTPAllow邮件AnyAny192.1.1.3HTTPAllowWebAnyAnyAnyAnyDeny拒绝过滤规则w动作:允许(Accept/Allow)拒绝(Deny)丢弃(Discard)w规则间的关系凡是没有定义的就禁止允许?一条禁止和一条允许禁止还是允许?一般:不要忘记最后禁止所有的通信外出通信和进入通信同等重要状态检查防火墙Stateful Inspection Firewallsw工作在2,3,4层w不是简单开放大于1023的端口而是记住每个TCP连接或UDP通信的状态1
13、92.1.1.61098210.9.8.380Established192.1.1.16 1046173.32.5.125Established192.1.1.98 1356216.1.1.5580Established应用代理网关防火墙Application-Proxy Gateway Firewallsw代理网关防火墙主要工作在应用层(2,3,4,7)w部分语义的检查w可以进行用户认证身份认证,基于生物特征的认证w可以进行原地址检查w不足慢,不适合快速网络针对新的应用,升级麻烦一个代理网关防火墙的例子DNSFingerFTPHTTPHTTPSLDAPNNTPSMTPTelnet内网外网Pr
14、oxy Agent代理网关的运行步骤w用户Telnet网关并输入内部主机名w网关检查用户的IP地址决定是否允许连接w网关要求用户进行认证,可以是基于硬件的或生物基础的w代理服务建立一个从代理到内部主机的Telnet连接w代理在这两个连接中传输数据w网关记录这次连接专用代理防火墙Dedicated Proxy Servers混合的防火墙Hybrid Firewallw现有的防火墙基本都是混合功能的w配置,安装更加复杂w考察功能参数就很重要w后面介绍防火墙的一些其他基本功能NAT:网络地址转换Network Address Traslationw目的:隐藏内部网络地址减少真实IP地址的使用w方法:
15、静态地址转换(Static NAT)隐藏网络地址转换(Hiding NAT)端口地址转换(Port Address Translation)防火墙功能总结w包过滤防火墙w状态检查机制防火墙w应用代理网关防火墙w专用代理防火墙w混合型防火墙w网络地址转换w基于主机的防火墙w个人防火墙个人防火墙设备防火墙的布置与环境w布置防火墙及环境的四条建议w非军事区(DMZ)wVPN及其的布置wIDSwDNSw一个服务器布放的例子布置防火墙的建议(NIST Guidelines)w越简单越好(Keep It Simple)不要追求复杂方案,要能够易懂才能易于管理和维护,和进行事件处理;复杂必然不安全。w按照设
16、计使用设备不要用路由器中的包过滤当防火墙,不要指望交换机中的安全机制。这样容易错误地配置w设计有深度的防御(Defense in Depth)安全分层:路由安全,多防火墙墙,操作系统w注意内部威胁并非怀疑同事的攻击,攻击可能越过Firewall重要建议w所有的规则都会被打破在防火墙布置时牢记在防火墙设计时牢记w各自的系统有各自的需求,应该具针对具体应用设计有针对性的防火墙的布置DMZ网络(DeMilitarized Zone)ISP边界包过滤防火墙受保护内网外部DMZ网络外部WEB服务器主防火墙内部DMZ网络内网防火墙内部邮件服务器另一种DMZ网络ISP边界包过滤防火墙外部DMZ网络应用代理服
17、务器主防火墙服务DMZ网络受保护内网VPN (Virtual Private Network)VPN Gateway内部网络InternetVPN的类型wPPTP (Point-to-point Tunneling Protocol)用户到NAS之间的连接保密口令机制CHAPwL2TP (Layer2 Tunneling Protocol)第二层安全,wIPSEC (Internet Protocol Security)最完善的安全机智VPN与专用网相比的优势w租线路昂贵w无须专用接入设备w移动时节约长途电话开销w大规模造成的复杂问题不存在w管理更容易w扩展方便VPN与专用网相比的优势的缺点w
18、设备成本,如果需要高性能的话w技术门槛,维护和管理开销w法律问题w性能问题,服务质量IPSEC的主要内容wIP Authentication Header (AH)wIP Encapsulating Security Payload (ESP)wIP Payload compression (IPComp)wInternet Key Exchange (IKE)IPSec的两种工作模式w传输模式用于主机之间的通信IP地址不变,只加密内容w隧道模式主要用于有Gateway参与的通信加密所有的内容,包括原IP头VPN的布置内网Internet内网Internet内网InternetIDS(Intr
19、usion Detection System)w能够与防火墙连动w基于主机的IDS装在主机上,可检测高层攻击,影响性能,不能检测网络型攻击,使系统不稳定。w基于网络的IDS协议分析,更有效,分段攻击检测困难,在交换型网络上运行困难,可能被发现(网卡运行模式问题),DOS攻击防火墙与IDS联合布置ISP边界包过滤防火墙受保护内网外部DMZ网络外部WEB服务器主防火墙内部DMZ网络内网防火墙内部邮件服务器Network IDSNetwork IDSDNSw在网络上做名字解析210.17.12.15相互通信用TCP查询用UDPw有防火墙的网络一般将DNS分开内部的域名不让外部知道,保护隐私防火墙和D
20、NS的布置ISP边界包过滤防火墙受保护内网外部DMZ网络外部WEB服务器主防火墙内部DMZ网络内网防火墙内部邮件服务器Internal DNSExternal DNS服务器与防火墙放置的考虑w没有适合所有情况的解决方案w一些建议:用边界包过滤防火墙保护外部服务器不要将可以外部存取的服务器放在内网将内部服务器放在内部服务器后面隔离容易受攻击的服务器服务器布放的例子w外部存取服务器(如www服务器)放在外部DMZ中,在边界包过滤防火墙和主防火墙之间wVPN和拨号服务器外部DMZ中,以保证这些通信受检查w内部服务器(邮件服务器,目录服务器)内部DMZ,如果WWW服务器有外部Proxy服务器布放的例子(续)外部DMZ网络外部WEB服务器主防火墙/VPN内部DMZ网络内网防火墙邮件服务器Network IDSDNS拨号服务器DNS内网外网防火墙的布置与环境总结w如何布置防火墙及环境w非军事区DMZwVPN及其的布置wIDSwDNSw一个服务器布放的例子本讲义小节wInternet及其安全w防火墙的基本知识w防火墙的功能分类w防火墙的布置与环境谢谢大家欢迎提问
