1、防火墙原理防火墙原理Presented by:sunyanghua某某公司某某公司 信息部信息部2目录目录 1、网络风险与常见攻击 2、防火墙基础 3、防火墙基本结构 4、部署防火墙关键因素 5、我公司防火墙应用 6、参考材料31、网络风险与常见攻击、网络风险与常见攻击 网络复杂的结构和用户 业务需求需开放服务 主机系统服务漏洞 TCP/IP协议的开放弱点 各类攻击工具易获得 安全教育不足41、网络风险与常见攻击、网络风险与常见攻击51、网络风险与常见攻击、网络风险与常见攻击 一个典型的攻击者工具包网络扫描器口令破解报文监听特洛伊木马程序修改系统日志的工具隐藏活动的工具自动修改系统配置文件的工
2、具61、网络风险与常见攻击、网络风险与常见攻击 常见攻击1、拒绝服务攻击(Denial of Service-DOS)死亡之ping(64KB的ICMP包,导致TCP/IP协议栈崩溃,接收方死机)泪滴teardrop(伪造IP碎片内容,导致TCP/IP协议栈崩溃)UPD洪水(产生大量无用数据流,恶意占用带宽和主机处理能力)SYN洪水(利用TCP的ACK机制,使主机拒绝有效连接请求)LAND攻击(伪造源地址和目的地址相同的SYN包,主机接收大量空连接)Smurf攻击(修改ICMP应答地址为受害网络地址,大量广播包阻塞网络)畸形消息攻击(修改应用层数据包,造成操作系统服务崩溃)2、利用型攻击 口令
3、猜测 特洛伊木马 缓冲区溢出71、网络风险与常见攻击、网络风险与常见攻击 常见攻击3、信息收集型攻击 扫描技术(地址扫描、端口扫描)操作系统探测(利用NT与Unix的TCP/IP堆栈实现不同,获取主机操作系统)网络服务探测(利用DNS和LDAP协议认证缺陷,获取网络和用户信息)4、假消息攻击 DNS缓存污染(DNS交换不认证身份,修改DNS信息,使主机发往错误地址)伪造电子邮件(SMTP不对发送者身份确认,伪造邮件,附加木马程序)81、网络风险与常见攻击、网络风险与常见攻击如何解决:正确应用防火墙为核心的网络边界安全设施92、防火墙基础、防火墙基础 防火墙定义 百度百科:是一项协助确保信息安全
4、的设备,会依照特定的规则,允许或限制传输的数据通过。防火墙可以是一台专属的硬件也可是架设在一般硬件上的一套软件。Rich Kosinski(Internet Security公司总裁)防火墙是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问。换句话说,防火墙是一道门槛,控制进/出两个方向的通信。102、防火墙基础、防火墙基础 防火墙发展历程 1986年Digital推出第一台商用防火墙。第一代:包过滤路由器。如ACL。审计功能弱,过滤规则复杂,降低路由性能。第二代:代理服务器。应用级。每一网络应用设计一代理,纯软件,延迟大,安全性低。第三代:基于通用OS。
5、OS自身的安全性能导致防火墙安全能力不足。第四代:专用硬件和安全OS。专用防火墙OS,增强系统自身安全性;高处理能力,集成多功能。112、防火墙基础、防火墙基础 IP报头&TCP报头 122、防火墙基础、防火墙基础 防火墙的基本功能 应用程序代理应用程序代理包过滤包过滤&状态检测状态检测用户认证用户认证NATNATVPN&VPN&带宽带宽管理管理日志日志IDSIDS与报警与报警内容过滤内容过滤132、防火墙基础、防火墙基础 防火墙种类包过滤防火墙 包过滤防火墙对所接收的每个数据包做允许/拒绝的决定。防火墙审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包
6、头信息,包头信息中包括IP源地址、IP目标地址、协议类型(TCP包、UDP包和ICMP包)、TCP或UDP包的目的端口、TCP或UDP包的源端口、ICMP消息类型、TCP包头的ACK位、TCP包的序列号、IP校验和等。如:HTTP(80)FTP(21)SMTP(25)Telnet(23)142、防火墙基础、防火墙基础 防火墙种类包过滤防火墙 152、防火墙基础、防火墙基础 防火墙种类包过滤防火墙 优优点:点:速度快,性能高速度快,性能高 对对用用户户透明透明缺点:缺点:维护维护比比较较困困难难(需要需要对对TCP/IPTCP/IP了解了解 限制策略限制策略oror宽宽松策略)松策略)安全性低(
7、安全性低(IPIP欺欺骗骗、小碎片攻、小碎片攻击击等)等)不了解主机不了解主机间间会会话话关系关系 不能根据状不能根据状态态信息信息进进行控制行控制 不能不能处处理网理网络层络层以上的信息以上的信息 无法无法对对网网络络上流上流动动的信息提供全面的控制的信息提供全面的控制 规则规则配置存在安全配置存在安全隐隐患,易存在失患,易存在失误误162、防火墙基础、防火墙基础 防火墙种类代理防火墙 代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。不允许通信直接经过外部网和内部网。将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由两个终端代理服务器上的“链接”来
8、实现。外部计算机的网络链路只能到达代理服务器,从而起到了隔离内外计算机系统的作用。172、防火墙基础、防火墙基础 防火墙种类代理防火墙 代理防火墙最突出的特点是,将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由两个代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代理服务器,从而起到隔离防火墙内外计算机系统的作用。此外,代理防火墙在发现被攻击的迹象时,将向网络管理员发出警报,并保留攻击现场。也就是说,在代理服务中,内部各站点之间的连接被切断了,代理服务在幕后操纵着各站点间的连接。182、防火墙基础、防火墙基础 防火墙种类代理防火墙 优优点:点:更更细细
9、粒度的粒度的监测监测、审计审计和控制和控制 应应用用层规则层规则易配置易配置缺点:缺点:有限的有限的连连接性,一种代理接性,一种代理仅对应仅对应一种服一种服务务 部分部分协议协议无法无法实现实现,如,如RPCRPC等等 应应用用层层造成防火造成防火墙墙性能下降,速度慢性能下降,速度慢 升升级级/维护维护复复杂杂ApplicationPresentationSessionTransportDataLinkPhysicalNetworkDataLinkPhysicalApplicationPresentationSessionTransportDataLinkPhysicalApplication
10、PresentationSessionTransportNetworkNetworkTelnetHTTPFTP192、防火墙基础、防火墙基础 防火墙种类状态检测技术防火墙 状态检测技术是包过滤技术的延伸,经常被称为“动态数据包过滤”。在网络层拦截输入包,并利用足够的企图连接的状态信息作出决策。使用各种状态表(state tables)来追踪活跃的TCP会话。由用户定义的访问控制列表(ACL)决定允许建立哪些会话(session),只有与活跃会话相关联的数据才能穿过防火墙。内部主机外部主机信息处理状态信息库202、防火墙基础、防火墙基础 防火墙种类状态检测技术防火墙1防火墙检查数据包是否是一个已
11、经建立并且正在使用的通信流的一部分。2根据所使用的协议,决定对数据包的检查程度。3如果数据包和连接表的各项都不匹配,那么防火墙就会检测数据包是否与它所配置的规则集相匹配。4在数据包检测后,防火墙就会将该数据包转发到它的目的地址,并且防火墙会在其连接表中为此次对话创建或者更新一个连接项,防火墙将使用这个连接项对返回的数据包进行校验。212、防火墙基础、防火墙基础 防火墙种类状态检测技术防火墙 状态检测技术防火墙是对包过滤防火墙技术、代理服务防火墙技术的折中,它的速度和灵活性没有包过滤机制好,但比代理服务技术好。它的应用级安全不如代理服务技术强,但又比包过滤的机制的高。这种结合是对包过滤技术和代理
12、服务技术的折中。222、防火墙基础、防火墙基础 防火墙种类NAT技术 解决私有网络连接到互联网IP地址编号问题,NAT不是为防火墙而设计,但其在解决IP地址短缺的同时提供了内部主机地址隐藏的特性,使其成为防火墙核心技术之一。232、防火墙基础、防火墙基础 防火墙种类NAT技术 实现方式有静态地址翻译、动态地址翻译、端口地址翻译 NAT技术不仅用于解决地址转换,也可用于负载均衡。RFC1918:Private IP Networks.10.0.0.0/8172.16.0.0/12192.168.0.0/16243、防火墙基本结构、防火墙基本结构 屏蔽路由器(screening router)作用
13、在网络层(IP层),按照一定的安全策略,对进出内部网络的信息进行分析和限制,实现报文过滤功能。该防火墙优点在于速度快等,但安全性能差。这种防火墙的最大弱点是依靠一个单一的部件来保护系统,一旦部件出现问题,会使网络的大门敞开,而用户可能还不知道。网络层链路层物理层外部网络内部网络253、防火墙基本结构、防火墙基本结构 双宿主主机(Dual-Homed Host Firewall)用一台装有两块网卡的堡垒主机成防火墙。堡垒主机上运行着防火墙软件,可以转发应用程序,提供服务等。内外网络之间的IP数据流被双宿主主机完全切断。用堡垒机取代路由器执行安全控制功能。入侵者进入堡垒主机,则内部网透明。263、
14、防火墙基本结构、防火墙基本结构 屏蔽主机防火墙(Screened Host Firewall)堡垒主机与内部网相连,用屏蔽路由器连接到外部网上,屏蔽路由器作为第一道防线,堡垒主机作为第二道防线。这确保了内部网络不受未被授权的外部用户的攻击。该防火墙系统提供的安全等级比前面两种防火墙系统要高,主要用于企业小型或中型网络。273、防火墙基本结构、防火墙基本结构 屏蔽子网防火墙(Screened Subnet Firewall)在内部网络和外部网络之间建立一个被隔离的子网,这个子网可有堡垒主机和公用服务器组成,用两台屏蔽路由器将这一子网分别与内部网络和外部网络分开。内部网络和外部网络均可访问屏蔽子网
15、,但禁止它们穿过屏蔽子网进行通信,从而进一步实现屏蔽主机的安全性。DMZ:demilitarized zone284、部署防火墙关键因素、部署防火墙关键因素 自身安全性 专用硬件+安全OS 通用OS 防火墙专用OS专为网络安全设计,没有不必要的服务,无需打补丁和加固;而通用OS提供大量服务,需大量补丁,攻击方式多。良好的防火墙系统包含防火墙产品,防火墙运行平台和环境,防火墙安全控制策略,防火墙审计策略,防火墙管理手段。294、部署防火墙关键因素、部署防火墙关键因素 性能 并发连接数 转发速率 可靠 部件可靠 冗余设计 如电源热备份、系统热备份 304、部署防火墙关键因素、部署防火墙关键因素 抵
16、御拒绝服务攻击 日志管理/分析 附加功能 带宽管理 URL过滤(Java Applet,JavaScript,ActiveX,Servlet,CGI,PHP,DOC/ZIP文件)防病毒 报表管理 VPN 314、部署防火墙关键因素、部署防火墙关键因素 防火墙的局限性 1、防火墙不能防范未知的攻击方式 时刻关注TCP/IP攻击技术的发展 2、防火墙不能防范不经过防火墙的攻击 确认防火墙是对外的唯一连接 3、防火墙自身不能防范病毒 可以配合其他病毒监测设备实施病毒扫描和清除 4、控制粒度粗 没有用户认证机制,只认协议不识别用户 5、无法防范内部攻击 6、降低网络的可用性325、我公司防火墙应用、我公司防火墙应用 拓扑门户系统服务器IDSC楼B楼A楼服务器NGFW-4000千兆防火墙335、我公司防火墙应用、我公司防火墙应用 与 IDS 的安全联动Host C Host D Host B Host A 受保护网络IDS黑客发起攻击发送通知报文验证报文并采取措施发送响应报文识别出攻击行为阻断连接或者报警等346、参考材料、参考材料35