1、2023-1-174.2.1 防火墙体系结构基于网络防火墙的部件类型l屏蔽路由器(Screening router)l实施分组过滤l能够阻断网络与某一台主机的IP层的通信l堡垒主机(Bastion host)l一个网络系统中安全性最强的计算机系统l安全性受到最严密的监视l没有保护的信息l不能作为跳板l实施分组代理2023-1-17网络防火墙体系结构l 双重宿主机体系结构 基于堡垒主机l 屏蔽主机体系结构 基于堡垒主机和屏蔽路由器l 被屏蔽子网体系结构 双重屏蔽路由器2023-1-17双重宿主主机(DUAL-HOMED HOST)l连接因特网和局域网 双重宿主计算机 服务器 服务器 工作站 工作
2、站 工作站 因特网 过滤和代理2023-1-17屏蔽主机(SCREENED HOST)l 用包过滤和应用代理的双重安全保护l 包过滤器连接因特网l 代理服务器为局域网上的客户机提供服务 包过滤器 服务器 服务器 工作站 工作站 应用代理网关 因特网 2023-1-17屏蔽子网(SCREENED SUBNET)l添加额外的安全层进一步地把内部网络与Internet隔离开 包过滤器 服务器 服务器 工作站 工作站 工作站 应用代理服务器 包过滤器 因特网 DMZ2023-1-174.2.2 防火墙的安全策略l 安全策略的两个层次网络服务访问策略防火墙设计策略l 设计策略1.用户账号策略2.用户权限
3、策略3.信任关系策略4.分组过滤策略5.认证、签名和数据加密策略6.密钥管理策略7.审计策略2023-1-17用户账号策略用户账号策略l口令最小长度口令最小长度l口令最长有效期口令最长有效期l口令历史口令历史l口令存储方式口令存储方式l用户账号锁定方式用户账号锁定方式 在若干次口令错误之后在若干次口令错误之后2023-1-17用户权限策略用户权限策略l 备份文件权限备份文件权限l 远程远程/本地登录访问权限本地登录访问权限l 远程远程/本地关机权限本地关机权限l 更改系统时间权限更改系统时间权限l 管理日志权限管理日志权限l 删除删除/还原文件权限还原文件权限l 设置信任关系权限设置信任关系权
4、限l 卷管理权限卷管理权限l 安装安装/卸载设备驱动程序权限卸载设备驱动程序权限2023-1-17审计策略审计策略l成功或者不成功的登录事件成功或者不成功的登录事件l成功或者不成功的对象访问成功或者不成功的对象访问l成功或者不成功的目录服务访问成功或者不成功的目录服务访问l成功或者不成功的特权使用成功或者不成功的特权使用l成功或者不成功的系统事件成功或者不成功的系统事件l成功或者不成功的账户管理事件成功或者不成功的账户管理事件2023-1-174.2.3 防火墙技术分组过滤技术l 依据 IP分组的源地址和目的地址 源端口号和目的端口号 传送协议l 优点可以实现粗颗粒的网络安全策略容易实现配置成
5、本低速度快l 局限性配置分组过滤规则比较困难 不能识别分组中的用户信息不能抵御IP地址欺骗2023-1-17例例4-1l 某一个具有B类网络123.45的公司的网络管理员希望阻止来自因特网上的访问(123.45/16)。该网络中有一个特殊子网(123.45.6.0/24)是一个与某大学合作的,该大学的网址是135.79。他希望这个特殊的子网能够被该大学的所有子网访问。此外还希望阻止公司的网络被大学中某一个特殊子网(135.79.99.0/24)访问。试设计制订过滤规则。2023-1-17解解某一个具有B类网络123.45的公司的网络管理员希望阻止来自因特网上的访问(123.45/16)。该网络
6、中有一个特殊子网(123.45.6.0/24)是一个与某大学合作的,该大学的网址是135.79。他希望这个特殊的子网能够被该大学的所有子网访问。此外还希望阻止公司的网络被大学中某一个特殊子网(135.79.99.0/24)访问。试设计制订过滤规则。l 制订过滤规则如下规则源地址目标地址动作A135.79.99.0/24123.45.6.0/24拒绝B135.79.0.0/16123.45.6.0/24允许C0.0.0.0/00.0.0.0/0拒绝2023-1-17例例4-2l 处于一个C类网络116.111.4.0的防火墙,第一,希望阻止网络中的用户访问主机202.108.5.6;假设需要阻止
7、这个主机的Telnet服务,对于Internet的其他站点,允许网络内部用户通过Telnet方式访问,但不允许网络外部其他站点以Telnet方式访问网络。第二,为了收发电子邮件,允许SMTP出站入站服务,邮件服务器的IP地址为116.111.4.1。第三,对于WWW服务,允许内部网用户访问Internet上任何网络和站点,但只允许一个公司的网络98.120.7.0访问内部WWW服务器,内部WWW服务器的IP地址是116.111.4.5。试根据以上要求设计过滤规则。2023-1-17解23:telnet25:SMTP80:web1023:非系统进程2023-1-17地址过滤配置实例2023-1-
8、17配置结果2023-1-17 问题1DMZ 包过滤器A 服务器 服务器 工作站 工作站 工作站 应用代理服务器 包过滤器B 因特网 某屏蔽子网的应用代理服务器中,对外接口的IP地址是202.120.1.1,对内接口的IP地址为192.168.1.1。问如何配置包过滤器规则,使得所有的内网与外网的通信都经过代理服务器的检查和传递。2023-1-17解答l 某屏蔽子网的应用代理服务器中,对外接口的IP地址是202.120.1.1,对内接口的IP地址为192.168.1.1。问如何配置包过滤器规则,使得所有的内网与外网的通信都经过代理服务器的检查和传递。规则规则方向方向协议协议源地址源地址目地址目
9、地址源端口源端口目端口目端口动作动作AIn-202.120.1.1-允许允许Bout-202.120.1.1-允许允许C-禁止禁止规则规则方向方向协议协议源地址源地址目地址目地址源端口源端口目端口目端口动作动作Ain-192.168.1.1-允许允许Bout-192.168.1.1-允许允许C-禁止禁止包过滤器B包过滤器A2023-1-17问题2l主机防火墙如何对主机防火墙如何对UDP进行过滤进行过滤 UDP请求可能来自打印机或扫描仪请求可能来自打印机或扫描仪2023-1-17防火墙安全策略的例子l Allow all inbound and outbound ICMP l Allow inb
10、ound TCP 445 from hosts 192.168.4.0 192.168.20.255 l Block all inbound TCP l Block all inbound UDP l Allow all outbound TCP l Allow all outbound UDP 2023-1-17代理服务技术l代理 客户机与服务器之间的一个应用层中介 在两者之间传递应用程序的信息 可以根据数据包的内容进行检测l应用代理的原理 隔断通信双方的直接联系 将内部网络与外部网络从网络层起分开 所有通信都必须经应用层的代理进行转发 用另外的连接和封装转发应用层信息2023-1-17代理
11、服务技术l特点 安全性较高 能够识别应用层信息 数据重新封装 应用滞后 不支持没有开发代理的网络应用 客户端配置较复杂 需要在客户端进行代理设置 要求应用层数据中不包含加密、压缩数据 Email中做不到l代理的实例 网络地址转换器(NAT)URL过滤器(Web应用层)2023-1-17NATl 网络层/传输层代理提供外网IP地址与内网地址之间的转换 方便路由汇聚与IPv6网络连通使得外网地址重用l 分类静态NAT 将内部地址与外部地址固定地一一对应动态NAT 将多个内部地址与同一个外部地址对应(分时使用)通过TCP/UDP端口号区分(NAPT)IPv4/IPv4 NAT(RFC1631,RFC
12、2663,RFC3022,RFC3235)IPv4/IPv6 NAT(RFC2766,RFC2765,RFC3027)2023-1-17例例4-3 NATSA=176.16.1.1DA=191.1.1.3SA=191.1.1.1DA=191.1.1.3SA=191.1.1.3 DA=191.1.1.1SA=191.1.1.3 DA=176.16.1.12023-1-17例例4-4 NAPT2023-1-17NAPT将地址转换扩展到端口号l 全转换全转换 Full Cone 外网随时可以利用映射后的地址给内网发送UDP报文l 受限转换受限转换 Restricted Cone 当内网主机向外网发送
13、数据分组后,外网才可以利用映射后的地址给内网发送UDP报文l 端口受限转换端口受限转换 Port Restricted Cone 当内网主机向外网发送数据分组后,外网才可以利用映射后相同的相同的地址和端口号和端口号给内网发送UDP报文l 对称对称NAT Symmetric NAT 多个内网地址和端口号映射到同一个外网地址 当内网主机向外网发送数据分组后,外网才可以利用映射后相同的相同的地址和端口号和端口号给内网发送UDP报文2023-1-17NAT-PTl地址转换地址转换 静态地将每个IPv6地址转换成IPv4地址(NAT-PT)动态地将一个IPv6地址转换成一定期限的IPv4地址 动态地将一
14、个IPv6地址转换成IPv4地址和TCP/UDP端口号(NAPT-PT)l协议转换协议转换 在IPv4与对应的IPv6分组之间相互转换 IPv4头与对应的IPv6头之间的相互转换 TCP/UDP/ICMP校验和更新 ICMPv4头与ICMPv6头之间的相互转换 ICMPv4错误消息与ICMPv6错误消息的相互转换 IPv4 sender does not perform path MTU discovery lRFC27652023-1-17PROBLEMS OF NATANDREW S.TANENBAUMl Violates architecture model of IPl Changes
15、 the Internet from a connectionless to connection-orientedl Violates the role of protocol layeringl Does not support other transport protocoll Does not support IP addresses in the body FTP and H.323 works this way breaks many IP applications RFC30272023-1-17NAT穿透与语音通信H.323与与SIP的共同点的共同点l 传输中需要建立两种通道传
16、输中需要建立两种通道 控制通道 媒体通道 RTP/RTCP连接使用的UDP端口需要通过协商确定 因为一台主机可能建立多条媒体通道(多个媒体流)要求防火墙打开所有的端口号l 发起呼叫方的发起呼叫方的IP地址在分组的载荷中地址在分组的载荷中 根据这个IP地址发回的分组将被防火墙阻挡 防火墙的穿透问题l NAT-Friendly Application Design Guidelines 在分组中不包含IP地址和端口号 许多协议无法根据这个指导原则构建 RFC32352023-1-17NAT穿透与语音通信解决方案n 应用级网关应用级网关ALG(Application Layer Gateways)存
17、放应用层信息并用于NAT 修改应用层信息中的IP地址 需要更新已有的NAT 扩展性问题、可靠性问题和新应用布署问题n Full Proxy 由专门的应用层代理对业务流进行转发 代理在防火墙的外部 对载荷中的IP地址进行处理 对应答分组中的IP地址进行转换NAT2023-1-17TRAVERSE A FIREWALLl MIDCOM Middlebox Communications protocol 采用应用代理与NAT通信 允许一个应用实体控制NAT 需要更新当前的NAT和防火墙 RFC3303l STUN Simple traversal of UDP through NAT 使得应用程序能
18、发现NAT和防火墙的存在 通过发送绑定请求给STUN服务器服务器并比较应答中的IP地址和端口号 使得应用程序发现映射的地址和端口号 确定NAT的地址映像 把映射后的地址放在分组载荷中 RFC34892023-1-17TRAVERSE A FIREWALL l 建立高层隧道建立高层隧道Firewall Enhancement Protocol(FEP)allows ANY application to traverse a Firewall可以使用固定的端口号TCP/IP packet encoded into HTTP commandRFC3093AppTCPIPFEPTCPIPIPTCPFE
19、PIPTCPAppfirewall局限性?2023-1-17TRAVERSE A FIREWALLl IPsec Firewall traversal 为IPsec穿越NAT而建立的UDP隧道 the initiator is behind NA(P)T and the responder has a fixed static IP address Port no=4500 The remote host detect the presence of NAT and determine the NAT traversal capability detect whether the IP add
20、ress or the port changes along the path by sending the hashes of the IP addresses and ports UDP Encapsulation of IPsec ESP Packets RFC3948 Negotiation of NAT-Traversal in the IKE RFC39472023-1-17状态检测技术状态检测技术l会话层代理 基于入侵检测l能够根据上层协议的状态进行过滤 对网络通信的各个协议层次实施监测 不仅检查数据分组的TCP/IP头l利用状态表跟踪每一个会话的状态 记录会话的序列l透明性较好
21、 不修改应用程序的执行过程和处理步骤2023-1-17基于网络防火墙的不足之处l基于分组网络头信息基于分组网络头信息 容易被篡改l无双向的身份验证无双向的身份验证l粗颗粒的访问控制粗颗粒的访问控制l防外不防内防外不防内l不能防止旁路不能防止旁路l不能预防新的攻击手段不能预防新的攻击手段l不能防范病毒和后门不能防范病毒和后门2023-1-17新型防火墙技术l可信信息系统技术 加强认证l计算机病毒检测防护技术和密码技术 加强应用层数据检查l自适应代理 适应新的应用l新功能spam过滤Web站点过滤2023-1-174.3入侵检测 识别越权使用计算机系统的人员及其活动 网络活动监视器l基本假设 入侵
22、者的行为方式与合法用户是不同的l目标 发现新的入侵行为 对入侵事件的可说明性 能够对入侵事件做出反应2023-1-17入侵检测方法l记录有关证据 实时地检测网络中的所有分组 或检测主机的状态及日志或审计信息l识别攻击的类型l评估攻击的威胁程度l发出告警信息或主动采取措施阻止攻击 入侵防御2023-1-174.3.1入侵分类l攻击的方式 本地攻击 远程攻击 伪远程攻击l网络上的安全弱点 管理漏洞 软件漏洞 结构漏洞 信任漏洞跳板(Zombie)2023-1-17常见网络入侵类型l拒绝服务攻击拒绝服务攻击 网络流量攻击 阻断l协议攻击协议攻击 基于网络 窃取、伪造、篡改、阻断l用户账号攻击用户账号
23、攻击 基于主机 窃取、伪造、篡改2023-1-17网络入侵的方式l端口扫描端口扫描(port scanning)lIP哄骗哄骗(IP smurfing)l洪泛攻击洪泛攻击(flooding)l缓存溢出缓存溢出(buffer overrun)l脚本攻击脚本攻击(script attack)l口令探测口令探测(password sniffing)l会话劫持会话劫持(session hijacking)2023-1-17网络入侵的例子l Land攻击攻击(land attack)SYN分组中IP源地址和目标地址相同造成死机l 泪滴攻击泪滴攻击(tear dropping)一些操作系统在收到含有重叠偏
24、移的伪造分段时将崩溃l ICMP 洪泛攻击洪泛攻击(ICMP flooding)广播ICMP应答请求(ping)加上假冒的返回地址使得应答包返回到某一台被攻击的主机l 错误长度攻击错误长度攻击(length error)l 未知协议类型攻击未知协议类型攻击(unknown protocol)2023-1-17网络入侵的例子l UDP 炸弹攻击炸弹攻击(UDP bomb)伪造UDP长度字段使它的值大于实际的UDP报文长度l UDP端口扫描端口扫描(UDP scanning)l TCP 端口扫描端口扫描(TCP scanning)l SYN 洪泛攻击洪泛攻击(SYN flooding)l UDP洪
25、泛洪泛(UDP flooding)发送大量带有假返回地址的UDP包l PHF攻击攻击(PHF attack)apache web服务器早期版本中的PHF脚本 l 网虫网虫(Worm)消耗网络带宽和缓存资源 CodeRed,SQL Slammer2023-1-17SYN 洪泛攻击主机A主机BSyn,Seq=xSyn,Seq=y,ACK=x+1ACK=y+12023-1-17从网络对主机进行入侵的阶段1.搜集资料搜集资料探测目标机IP地址扫描端口口令猜测用户名猜测2.进入系统进入系统利用猜测的口令利用缓存溢出利用后门3.驻留驻留建立新文件修改系统文件启动黑客进程启动陷阱进程4.传播传播发email
26、发web连接请求通过FTP感染局域网内共享文件5.攻击破坏攻击破坏删除文件修改文件拒绝服务窃取信息状态分析2023-1-17IPV6的可信性l Reliability 自动配置自动配置l Security 巨大的稀疏地址空间可抵御恶意的自动端口扫描巨大的稀疏地址空间可抵御恶意的自动端口扫描和自动传播的蠕虫和自动传播的蠕虫 IPv4/v6双地址机制可以进一步增加扫描的难度双地址机制可以进一步增加扫描的难度 自动配置的地址可动态改变以抵御重复入侵自动配置的地址可动态改变以抵御重复入侵 通过通过IPsec支持网络数据安全支持网络数据安全2023-1-174.3.2入侵检测系统要求l 可用性 连续高效
27、运行而不需要人工干预 具有较低的系统运行开销l 可靠性 能够从系统崩溃中恢复过来 能够防止自身被篡改l 可管理性 能够精确地实现安全策略l 自适应性 能够适应用户行为的改变 例如在安装了新的软件之后用户的行为会发生变化l 可扩展性 适应系统规模的扩张2023-1-17系统构成系统构成l 活动活动(activity)数据源的事例 被探测器(sensor)或者分析器识别l 管理员管理员 制订安全策略的人员 部署和配置ID系统l 探测器探测器 从数据源收集信息 如网卡的“混杂”(promiscuous)模式l 数据源数据源 原始数据 如网络上的数据包、监控日志l 事件事件 数据源中发生的需要检测的情况l 分析器分析器 分析探测器收集的数据数据源探测器分析器活动事件管理器警告安全策略操作员响应提示监管员2023-1-17系统构成系统构成l 警告警告分析器给管理器的消息表示检测到一个入侵事件l 提示提示(notification)在屏幕上显示、发Email或短消息l 管理器管理器探测器的配置分析器的配置事件提示管理数据汇总和报告l 安全策略安全策略预定义的文档定义允许和禁止的服务数据源探测器分析器活动事件管理器警告安全策略操作员响应提示监管员2023-1-174.3.3入侵检测技术1.入侵检测方法分类入侵检测方法分类l分类一n集中式入侵检测方法n基于主机n基于网络n分布式入侵检测方法
