1、1华东理工大学计算机科学与工程系第第3章章 网络防御技术网络防御技术指导教师:杨建国2013年8月10日2华东理工大学计算机科学与工程系3.1 安全架构安全架构3.2 密码技术密码技术3.3 防火墙技术防火墙技术3.4 杀毒技术杀毒技术3.5 入侵检测技术入侵检测技术3.6 身份认证技术身份认证技术3.7 VPN技术技术3.8 反侦查技术反侦查技术3.9 蜜罐技术蜜罐技术第第3章章 网络防御技术网络防御技术3.10 可信计算可信计算3.11 访问控制机制访问控制机制3.12 计算机取证计算机取证3.13 数据备份与恢复数据备份与恢复3.14 服务器安全防御服务器安全防御3.15 内网安全管理内
2、网安全管理3.16 PKI网络安全协议网络安全协议3.17 信息安全评估信息安全评估3.18 网络安全方案设计网络安全方案设计3华东理工大学计算机科学与工程系3.3 防火墙技术防火墙技术4华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义411.3 防火墙p11.3.1 防火墙的基本原理p11.3.2 防火墙的技术p11.3.3 防火墙的配置方案p11.3.4 典型防火墙产品介绍5华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义511.3.1 防火墙的基本原理p防火墙是位于两个(或多个)网络间实施网间访问控制的一组组件的
3、集合,p它满足以下条件n内部和外部之间的所有网络数据流必须经过防火墙n只有符合安全政策的数据流才能通过防火墙n防火墙自身对渗透(penetration)是免疫的6华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义6p例如,在企业网络与Internet之间加一道防护。11.3.1 防火墙的基本原理7华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义711.3.1 防火墙的基本原理p再例如,如果用户不希望来自206.246.131.227的人访问自己的站点,那么就可以在防火墙上配置过滤规则阻止206.246.131.227的连
4、接请求,禁止他们的访问。p在这些人的终端上,他们可以见到“Connection Refused”(连接被拒绝)的消息或其他相似的内容(或者他们什么也接收不到,连接就中断了)。8华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义811.3.1 防火墙的基本原理p防火墙通常是单独的计算机、路由器或防火墙盒(专有硬件设备),他们充当访问网络的唯一入口点,并且判断是否接受某个连接请求。p只有来自授权主机的连接请求才会被处理,而剩下的连接请求被丢弃。9华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义9p防火墙主要用于保护内部安全网
5、络免受外部网不安全网络的侵害。n典型情况:安全网络为企业内部网络,不安全网络为因特网。p但防火墙不只用于因特网,也可用于Intranet各部门网络之间(内部防火墙)。例:财务部与市场部之间。11.3.1 防火墙的基本原理10华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义101.企业内联网2.部门子网3.分公司网络防火墙示意图11华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义11一个典型的防火墙使用形态进行访进行访问规则问规则检查检查发起访问发起访问请求请求将访问记将访问记录写进日录写进日志文件志文件合 法 请合 法
6、 请求 则 允求 则 允许 对 外许 对 外访问访问发起访问请求发起访问请求管理子网管理子网一般子网一般子网内部内部WWW重点子网重点子网12华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义1211.3.1 防火墙的基本原理p防火墙能分析任何协议的报文。基于它的分析,防火墙可以采取各种行动。p防火墙实现数据流控制的功能是通过预先设定安全规则来实现的。安全规则由匹配条件和处理方式两个部分组成:如果满足这个条件,将执行这种动作。p通常,这些规则由系统管理员根据自己组织中的访问策略镜像来制订和装备。13华东理工大学计算机科学与工程系2022-10-27网络入侵与
7、防范讲义网络入侵与防范讲义1311.3.1 防火墙的基本原理p大多数商业防火墙允许监视报文的内容。p用户可以使用这一功能来禁止JavaScript、VBScript、ActiveX scripts和Cookies在防火墙后的执行。p用户甚至能用防火墙创建的规则来禁止包含特定攻击性签名的报文通过。14华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义14防火墙的基本策略p大多数防火墙规则中的处理方式包括:nAccept:允许数据包或信息通过nReject:拒绝数据包或信息通过,并且通知信息源该信息被禁止nDrop:直接将数据包或信息丢弃,并且不通知信息源p所有
8、的防火墙在规则匹配的基础上都会采用以下两种基本策略中的一种:n没有明确禁止的行为都是允许的n没有明确允许的行为都是禁止的15华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义15防火墙的基本策略p没有明确禁止的行为都是允许的n“默认拒绝”原则n当防火墙采用这条基本策略时,规则库主要由处理方式为Accept的规则构成n通过防火墙的信息逐条与规则进行匹配,只要与其中任何一条匹配,则允许通过,如果不能与任何一条规则匹配则认为该信息不能通过防火墙。p没有明确允许的行为都是禁止的n“默认允许”原则n基于该策略时,防火墙中的规则主要由处理手段为Reject或Drop的规
9、则组成n通过防火墙的信息逐条与规则进行匹配,一旦与规则匹配就会被防火墙丢弃或禁止,如果信息不能与任何规则匹配,则可以通过防火墙。p前者比较严格,后者则相对宽容。可以灵活结合这两者进行规则制订。16华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义16防火墙的分类p防火墙按照使用对象可分为:个人防火墙和企业防火墙。n个人防火墙一般以软件服务的形式实现,它为个人计算机提供简单的防火墙功能。个人防火墙可能会随操作系统附带,价格较低。n企业防火墙指的是隔离在本地网络与外界网络之间的一道防御系统。企业防火墙可以使企业内部局域网(LAN)网络与Internet之间或者与
10、其他外部网络互相隔离、限制网络互访用来保护内部网络。实现形式:软件、硬件。17华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义17防火墙的分类(2)p从使用的技术上划分,防火墙可以分为:n包过滤防火墙p静态包过滤防火墙p动态包过滤防火墙n代理服务器型防火墙n电路级网关n混和型防火墙18华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义1811.3.2 防火墙的技术p包过滤防火墙p代理型防火墙p电路级网关p混和型防火墙19华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义19包过滤防火墙
11、p在基于TCP/IP协议的网络上,所有往来的信息都是以一定格式的信息包的形式传送,包中包含发送者的IP地址和接受者的IP地址信息。p当这些信息包被送上因特网时,路由器会读取接受者的IP并选择一条合适的物理线路发送出去,信息包可能经由不同的线路抵达目的地,当所有的包抵达目的地后会重新组装还原。20华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义20包过滤防火墙(2)p包过滤式防火墙会在系统进行IP数据包转发时设定访问控制列表,检查所有通过的数据包信息,并按照给定的规则进行访问控制和过滤。p如果对防火墙设定某一IP地址的站点为不适宜访问的话,那么,从这个地址来
12、的所有信息都会被防火墙屏蔽掉。21华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义21包过滤防火墙(3)p包过滤防火墙可以在一台路由器中实现,路由器采用包过滤功能以增强网络的安全性。p许多商业路由器产品都可以通过编程实现包过滤功能,如Cisco、Bay Networks、3COM、DEC、IBM等路由器产品。22华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义22包过滤防火墙(4)p当前,几乎所有的包过滤装置(过滤路由器或包过滤网关)都是按如下6种方式操作:p(1).对于包过滤装置的有关端口必须设置包过滤准则,也称为过
13、滤规则。p(2).当一个数据包到达过滤端口时,将对该数据包的头部进行分析。大多数包过滤装置只检查IP、TCP或UDP头部内的字段。p(3).包过滤规则按一定的顺序存储。当一个包到达时,将按过滤规则的存储顺序依次运用每条规则对包进行检查。23华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义23包过滤防火墙(5)p(4).如果一条规则禁止传递或接收一个包,则不允许该数据包通过。p(5).如果一条规则允许传递或接收一个包,则允许该数据包通过。p(6).如果一个数据包不满足任何规则,则该包被阻塞。24华东理工大学计算机科学与工程系2022-10-27网络入侵与防范
14、讲义网络入侵与防范讲义24应注意的问题p注意一:将规则按适当顺序排列非常重要否则有可能将本要拒绝的数据包通过。p注意二:过滤规则还要按“未被明确允许的就将被禁止”原则进行设计安全可靠网络时应遵循的“失效安全原则”。25华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义25包过滤技术发展阶段(1)p第一代:静态包过滤n这种类型的防火墙根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。n过滤规则基于数据包的报头信息进行制定。n包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”,即明确允许那些管理员希望通过的数据包,禁止其他的数据包
15、26华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义26安全网域安全网域Host C Host D UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource数数据据包包数数据据包包数据包数据包查找对应的查找对应的控制策略控制策略拆开数据包拆开数据包根据策略决定如根据策略决定如何处理该数据包何处理该数据包控制策略控制策略数据包数据包过滤依据主要是过滤依据主要是TCP/IP报头里报头里面的信息,不能对应用层数据进面的信息,不能对应用层数据进行处理行处理数据TCP报头IP报头分组
16、过滤判断信息分组过滤判断信息27华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义27包过滤技术发展阶段(2)p第二代:动态包过滤n该类防火墙避免了静态包过滤所具有的问题,采用动态设置包过滤规则的方法,后来发展成为所谓包状态检测技术。n它采用了一个在网关上执行网络安全策略的软件引擎,称之为检测模块。n检测模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施检测,建立状态连接表,并将进出网络的数据当成一个个会话,通过状态表跟踪会话状态,动态更新状态连接表。n它不仅根据规则表,更考虑了数据包是否符合会话所处的状态,提供了完整的对传输层的控
17、制能力。28华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义28包过滤技术发展阶段(3)p第二代:动态包过滤(续)n此技术对网络通信的各层实施监测分析,提取相关的通信和状态信息,并在动态连接表中进行状态及上下文信息的存储和更新,这些表被持续更新,为下一个通信检查提供累积的数据。n能够提供对基于无连接的协议(UDP)的应用(DNS、WAIS、etc)及基于端口动态分配的协议(RPC)的应用(如NFS、NIS)的安全支持,静态的包过滤和代理网关都不支持此类应用。29华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义29安全网
18、域安全网域Host C Host D 数数据据包包数数据据包包数据包数据包查找对应的查找对应的控制策略控制策略拆开数据包拆开数据包根据策略决定如根据策略决定如何处理该数据包何处理该数据包数据包数据包状态检测可以结合前后数据包里的状态检测可以结合前后数据包里的数据信息进行综合分析决定是否允数据信息进行综合分析决定是否允许该包通过许该包通过控制策略控制策略数据3TCP报头IP报头分组过滤判断信息分组过滤判断信息数据2TCP报头IP报头数据1TCP报头IP报头数据1TCP报头IP报头数据数据状态检测状态检测30华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义30
19、攻破包过滤式防火墙的方法(1)pIP攻击欺骗n通过向包过滤式防火墙发出一系列信息包,这些包中的IP地址已经被替换为一串顺序的IP地址,一旦有一个包通过了防火墙,黑客便可以用这个IP地址来伪装它们发出的信息。p路由攻击程序n黑客使用自己编制的路由攻击程序,这种程序使用动态路由协议来发送伪造的路由信息,这样,所有的信息包都会被重新路由到一个入侵者所指定的特别地址。31华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义31攻破包过滤式防火墙的方法(2)p SYN风暴攻击 n攻击者向被攻击的计算机发出许许多多个虚假的请求信息包,目标计算机响应了这种信息包后会等待请求
20、发出者的应答,而攻击者却不做任何的响应。n如果服务器在一定时间里没有收到响应信号的话就会结束这次请求连接,但是当服务器在遇到成千上万的虚假请求时,它便没有能力来处理正常的用户服务请求,处于这种攻击下的服务器表现为性能下降,服务响应时间变长,严重时服务完全停止甚至死机。32华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义32包过滤防火墙的优缺点p优点n逻辑简单,价格便宜,对网络性能的影响较小,有较强的透明性。n与应用层无关,无需改动任何客户机和主机上的应用程序,易于安装和使用。33华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与
21、防范讲义33包过滤防火墙的优缺点p缺点n配置基于包过滤方式的防火墙,需要对IP、TCP、UDP和ICMP等各种协议有深入的了解,否则容易出现因配置不当带来的问题;n由于过滤判别的只有网络层和传输层的有限信息,所以各种安全要求难以得到充分的满足;n由于数据包的地址及端口号都在数据包的头部,因而不能彻底防止地址欺骗,及外部客户与内部主机直接连接,不提供用户的鉴别机制。34华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义34代理型防火墙p代理服务器型防火墙通过在主机上运行代理的服务程序,直接对特定的应用层进行服务,因此,也称为应用型防火墙。p其核心是运行于防火墙
22、主机上的代理服务器程序。p针对不同的应用程序,代理服务型防火墙需要不同的代理模块。35华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义35代理服务器型防火墙(2)p代理服务可以实现用户认证、详细日志、审计跟踪和数据加密等功能,并实现对具体协议及应用的过滤。p这种防火墙能完全控制网络信息的交换,控制会话过程,具有灵活性和安全性,但可能影响网络的性能,对用户不透明,且对每一种服务都要设计一个代理模块,建立对应的网关层,实现起来比较复杂。36华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义36代理服务器型防火墙(3)p代理防
23、火墙也叫应用级网关。它适用于特定的互联网服务,如超文本传输(HTTP),远程文件传输(FTP)等等。p代理服务器通常运行在两个网络之间,它对于客户来说像是一台真的服务器,而对于外界的服务器来说,它又是一台客户机。p当代理服务器接收到用户对某站点的访问请求后会检查该请求是否符合规定,如果规则允许用户访问该站点的话,代理服务器会像一个客户一样去那个站点取回所需信息再转发给客户。37华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义37代理服务器型防火墙(4)p代理服务器通常都有一个高速缓存,这个缓存存储着用户经常访问的站点内容,在下一个用户要访问同一站点时,服务
24、器就不用重复的获取相同的内容,直接将缓存内容发出即可,既节约了时间也节约了网络资源。p代理服务器会像一堵墙一样挡在内部用户与外界之间,从外部只能看到该代理服务器而无法获知任何的内部资源,诸如用户的IP地址等。应用级网关比单一的包过滤更为可靠,而且会详细的记录所有的访问状态信息。38华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义38安全网域安全网域Host C Host D 数数据据包包数数据据包包数据包数据包查找对应的查找对应的控制策略控制策略拆开数据包拆开数据包根据策略决定如根据策略决定如何处理该数据包何处理该数据包数据包数据包应用代理可以对数据包的应
25、用代理可以对数据包的数据区进行分析,并以此数据区进行分析,并以此判断数据是否允许通过判断数据是否允许通过控制策略控制策略数据TCP报头IP报头分组过滤判断信息分组过滤判断信息应用代理判断信息应用代理判断信息39华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义39代理防火墙的优点p易于配置,界面友好;p不允许内外网主机的直接连接;p可以提供比包过滤更详细的日志记录,例如在一个HTTP连接中,包过滤只能记录单个的数据包,而应用网关还可以记录文件名,URL等信息;p可以隐藏用户内部IP地址;p可以给单个用户授权;p可以为用户提供透明的加密机制;p可以与认证、授权
26、等安全手段方便的集成。40华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义40自适应代理防火墙p自适应代理防火墙是近几年才在商业应用防火墙中广泛应用的一种新型防火墙。它结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。p组成这种类型防火墙的基本要素有两个:自适应代理服务器(Adaptive Proxy Server)与动态包过滤器(Dynamic Packet Filter)。41华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义41自适应代理防火墙p在
27、自适应代理服务器与动态包过滤之间存在一个控制通道。在对防火墙进行配置时,用户仅仅将所需要的服务类型、安全级别等信息通过相应代理服务器的管理界面进行设置就可以了。然后,自适应代理就可以根据用户的配置信息,决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者,它将动态地通知包过滤器增减过滤规则,满足用户对速度和安全性的双重要求。42华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义42代理防火墙优缺点p代理型防火墙的最突出的优点就是安全,很好地隐藏了内部用户的信息,可以方便地实现用户的认证和授权。p代理防火墙最大缺点的是速度相对比较慢,当用户对内外部
28、网络网关的吞吐量要求比较高时,代理防火墙就会成为内外部网络之间的瓶颈。而且,代理防火墙需要为不同的网络服务建立专门的代理服务,用户不能使用代理防火墙不支持的服务。43华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义43电路级网关p电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法。p我们知道,要使用TCP协议,首先必须通过三次握手建立TCP连接,然后,才开始发送数据。p电路级网关通过在TCP握手过程中,检查双方的SYN、ACK和序列数据是否为合理逻辑,来判断该请求的会话是否合法。一旦网关认为会话合法,就会为双
29、方建立连接网关仅复制、传递数据,而不进行过滤。44华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义44 p电路级网关是一个通用代理服务器,它工作于OSI互联模型的会话层或是TCP/IP协议的TCP层。p它适用于多个协议,但它不能识别在同一个协议栈上运行的不同的应用,当然也就不需要对不同的应用设置不同的代理模块。p它接受客户端的连接请求,代理客户端完成网络连接,建立起一个回路,对数据包起转发作用,数据包被提交给用户的应用层来处理。电路级网关45华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义45电路级网关p电路级网关还提
30、供一个重要的安全功能:网络地址转换(NAT)将所有内部IP地址映射到防火墙使用的一个“安全”的IP地址,使得传递的数据似乎起源于防火墙,从而隐藏了被保护网络的信息。p实际上,电路级网关并非作为一个独立的产品存在,它通常与其他的应用级网关结合在一起,所以有人也把电路级网关归为应用级网关,但它在会话层上过滤数据包,无法检查应用层级的数据包。46华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义46网络地址转换 p网络地址转换(NAT)是一种用于把内部IP地址转换成临时的、外部的、注册的IP地址的标准。p目的n解决IP地址空间不足问题n向外界隐藏内部网结构p它允许
31、具有私有IP地址的内部网络访问因特网。它还意味着用户不需要为其网络中每台机器取得注册的IP地址。47华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义47网络地址转换(2)p在内部网络访问外部网络时,将产生一个映射记录。p系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口与外部网络连接,这样对外就隐藏了真实的内部网络地址。p外部网络访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。48华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义48网络地址转换(3)
32、p防火墙根据预先定义好的映射规则来判断访问是否安全。n当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。n当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。49华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义49网络地址转换(4)p网络地址转换的过程对于用户来说是透明的。50华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义50网络地址转换(5)p问题:所有返回数据包目的IP都是200.200.200.200,防火墙如何识别并送回真正主机?
33、p方法:n防火墙记住所有发送包的目的端口;n防火墙记住所有发送包的TCP序列号。51华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义51混合型防火墙p当前的防火墙产品已不是单一的包过滤型或代理服务器型防火墙,而是将各种安全技术结合起来,综合各类型防火墙的优点,形成一个混合的多级防火墙。p不同的防火墙侧重点不同。从某种意义上来说,防火墙实际上代表了一个网络的访问原则。如果某个网络决定设立防火墙,那么首先需要决定本网络的安全策略,即确定哪些类型的信息允许通过防火墙,哪些类型的信息不允许通过防火墙。防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络交流的
34、数据进行检查,对符合安全策略的数据予以放行,将不符合的拒之门外。p在设计防火墙时,还要确定防火墙的类型和拓扑结构。一般来说,防火墙被设置在可信赖的内部网络和不可信赖的外部网络之间。52华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义5211.3.3 防火墙的配置方案p最简单的防火墙配置,就是直接在内部网和外部网之间加装一个包过滤路由器或者应用网关。为更好地实现网络安全,有时还要将几种防火墙技术组合起来构建防火墙系统。p目前比较流行的有以下三种防火墙配置方案。n双宿主机模式n屏蔽主机模式n屏蔽子网模式53华东理工大学计算机科学与工程系2022-10-27网络
35、入侵与防范讲义网络入侵与防范讲义53双宿主机模式p双宿主机结构采用主机替代路由器执行安全控制功能,故类似于包过滤防火墙,它是外部网络用户进入内部网络的唯一通道。p这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络,又称堡垒主机。54华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义54双宿主机模式(cont.)p堡垒主机上运行着防火墙软件,可以转发数据,提供服务等。55华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义55双宿主机模式(cont.)p双宿主机即一台配有多个网络接口
36、的主机,它可以用来在内部网络和外部网络之间进行寻径,与它相连的内部和外部网络都可以执行由它所提供的网络应用,如果这个应用允许的话,它们就可以共享数据。p如果在一台双宿主机中寻径功能被禁止了,则这个主机可以隔离与它相连的内部网络和外部网络之间的通信。56华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义56双宿主机模式(cont.)p这样就保证内部网络和外部网络的某些节点之间可以通过双宿主机上的共享数据传递信息,但内部网络与外部网络之间却不能传递信息,从而达到保护内部网络的作用。p这种防火墙的特点是主机的路由功能是被禁止的,两个网络之间的通信通过双宿主机来完成
37、。p双宿主机有一个致命弱点,一旦入侵者侵入堡垒主机并使该主机只具有路由器功能,则任何网上用户均可以随便访问有保护的内部网络。57华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义57内部网络外部网络双宿主机双宿主机v 58华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义58屏蔽主机模式p在这种模式下,一个包过滤路由器连接外部网络,堡垒主机安装在内部网络上。59华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义59屏蔽主机模式(2)p通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部
38、网络唯一可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。屏蔽主机防火墙实现了网络层和应用层的安全,因而比单独的包过滤或应用网关代理更安全。p在这一方式下,过滤路由器是否配置正确是这种防火墙安全与否的关键,如果路由表遭到破坏,堡垒主机就可能被越过,使内部网完全暴露。60华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义60堡垒主机堡垒主机进行规则配置,进行规则配置,只允许外部主机只允许外部主机与堡垒主机通讯与堡垒主机通讯对内部其他主对内部其他主机的访问必须机的访问必须经过堡垒主机经过堡垒主机o 缺点:n堡垒主机与其他主机在同一个子网堡垒主机与其
39、他主机在同一个子网n一旦堡垒主机被攻破或被越过,整一旦堡垒主机被攻破或被越过,整个内网和个内网和 堡垒主机之间就再也堡垒主机之间就再也没有任何阻挡。没有任何阻挡。不允许外部主机不允许外部主机直接访问除堡垒直接访问除堡垒主机之外的其他主机之外的其他主机主机过滤器过滤器61华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义61屏蔽子网模式p屏蔽子网防火墙是目前较流行的一种结构,采用了两个包过滤路由器和一个堡垒主机,在内外网络之间建立了一个被隔离的子网,定义为DMZ(非军事区、隔离区)。62华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入
40、侵与防范讲义62屏蔽子网模式(cont.)pDMZ:demilitarized zone的缩写,中文名称为“隔离区”,也称“非军事区”。p它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。p另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。63华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网
41、络入侵与防范讲义63屏蔽子网模式(cont.)p这种屏蔽子网模式是在Intranet和Internet之间建立一个被隔离的子网,用两个包过滤路由器将这一子网分别与Intranet和Internet分开。p两个包过滤路由器放在子网的两端,在子网内构成一个“缓冲地带”,两个路由器一个控制Intranet 数据流,另一个控制Internet数据流,Intranet和Internet均可访问屏蔽子网,但禁止它们穿过屏蔽子网通信。64华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义64屏蔽子网模式(cont.)p可根据需要在屏蔽子网中安装堡垒主机,为内部网络和外部网
42、络的互相访问提供代理服务,但是来自两网络的访问都必须通过两个包过滤路由器的检查。p对于向Internet公开的服务器,像WWW、FTP、Mail等Internet服务器也可安装在屏蔽子网内,这样无论是外部用户,还是内部用户都可访问。65华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义65屏蔽子网模式(cont.)p在这一配置中,即使堡垒主机被入侵者控制,内部网仍受到内部包过滤路由器的保护。p这种结构的防火墙安全性能高,具有很强的抗攻击能力,但需要的设备多,造价高。66华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义66
43、内部网络内部网络外部网络外部网络堡垒主机堡垒主机内部筛选路由器内部筛选路由器外部筛选路由器外部筛选路由器禁止内外网络禁止内外网络直接进行通讯直接进行通讯内外部网络之间的通内外部网络之间的通信都经过堡垒主机信都经过堡垒主机67华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义67防火墙的主要功能p防火墙的主要功能有n网络安全的屏障 n强化网络安全策略 n对网络存取和访问进行监控审计 n防止内部信息的外泄 68华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义68v 安全内核安全内核v访问控制访问控制v 内容安全内容安全v I
44、P与与MAC绑定绑定v 安全远程管理安全远程管理v 多种管理方式多种管理方式v 灵活接入灵活接入v 授权认证授权认证v 双机热备双机热备v 安全审计安全审计v 加密加密v 端口映射端口映射v 流量控制流量控制v 规则模拟测试规则模拟测试v 入侵检测入侵检测v 本地本地&远程管理远程管理v NAT转换转换&IP复用复用v 多端口结构多端口结构v 安全联动安全联动v 双系统双系统v 网络管理网络管理v 基于源地址、目的地址基于源地址、目的地址v 基于源端口、目的端口基于源端口、目的端口v 基于用户基于用户v 基于时间基于时间v 基于流量基于流量v 基于时间的控制基于时间的控制v 用户级权限控制用户
45、级权限控制防火墙69华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义69Host C Host D 数数据据包包数数据据包包数据包数据包数据包数据包数据包数据包查找对应的查找对应的控制策略控制策略拆开数据包拆开数据包进行分析进行分析根据策略决定如根据策略决定如何处理该数据包何处理该数据包数据包数据包控制策略控制策略v 基于基于MACv 基于源基于源IP地址地址v 基于目的基于目的IP地址地址v 基于源端口基于源端口v 基于目的端口基于目的端口v 基于时间基于时间v 基于用户基于用户v 基于流量基于流量可以灵活的制定可以灵活的制定的控制策略的控制策略70华东
46、理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义70Host C Host D 在防火墙上制定基于在防火墙上制定基于时间的访问控制策略时间的访问控制策略上班时间不允许上班时间不允许访问访问Internet上班时间可以访上班时间可以访问公司的网络问公司的网络Internet71华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义71 v 应用控制可以对常用的高层应用做更细的控制应用控制可以对常用的高层应用做更细的控制v 如如HTTP的的GET、POST、HEADv 如如FTP的的GET、PUT等等物理层链路层网络层传输层会话层表
47、示层应用层物理层链路层网络层传输层会话层表示层应用层内部网络内部网络外部网络外部网络防火防火墙墙内部接口内部接口外部接口外部接口根据策略检查根据策略检查应用层的数据应用层的数据符合策略符合策略应用层应用层应用层72华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义72InternetHost A 199.168.1.2Host B199.168.1.3Host C199.168.1.4Host D199.168.1.500-50-04-BB-71-A600-50-04-BB-71-BCBIND 199.168.1.2 To 00-50-04-BB-71-A6
48、BIND 199.168.1.2 To 00-50-04-BB-71-BCIP与与MAC地址绑定后,不允许地址绑定后,不允许Host B假冒假冒Host A的的IP地址上网地址上网防火墙允许防火墙允许Host A上网上网73华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义73安全网域安全网域Host C Host D Internet202.102.14.5Superman*管理员管理员黑客黑客如何实现如何实现安全管理呢安全管理呢可以采用一次性口令认证可以采用一次性口令认证来实现安全管理来实现安全管理用户名,口令用户名,口令用户名,口令用户名,口令74华东
49、理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义74Host C Host D Host B Host A 受保护网络受保护网络Internet PermitPasswordUsername预先可在防火墙上设定用户预先可在防火墙上设定用户Chenaf123验证通过则允许访问验证通过则允许访问Chenaf123YesLiwy883Nov 用户身份认证用户身份认证v 根据用户控制访问根据用户控制访问75华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义75Host A 199.168.1.2Host B199.168.1.3Ho
50、st C199.168.1.4Host D199.168.1.5Internet安全网域安全网域Host G Host H TCP202.102.1.2199.168.1.28:302001-02-07202.102.1.2 202.102.1.3TCP202.102.1.3199.168.1.59:102001-02-07写入日志写入日志写入日志写入日志一旦出现安全事故一旦出现安全事故可以查询此日志可以查询此日志76华东理工大学计算机科学与工程系2022-10-27网络入侵与防范讲义网络入侵与防范讲义76Internetv 公开服务器可以使用私有地址公开服务器可以使用私有地址v 隐藏内部网络
