计算机系统安全防火墙.pptx

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,*,单击此处编辑母版标题样式,*,计算机系统安全,第九章,防火墙,1,第1页,一、防火墙概述,什么是防火墙,(,Firewall),？,防火墙：在两个信任程度不一样网络之间设置、用于加强访问控制软硬件保护设施。,2,第2页,一、防火墙用途,一、防火墙概述,1,）作为“扼制点”，限制信息进入或离开；,2,）预防侵入者靠近并破坏你内部设施；,3,）监视、统计、审查主要业务流；,4）实施网络地址转换，缓解地址短缺矛盾。,防火墙只允许已授权业务流经过，而且本身也应抵抗渗透攻击。,建立防火墙必须全方面考虑安全策略，不然形同虚设。,3,第3页,二、好防火墙系统,一、防火墙概述,1）内部网络和外部网络之间传输数据必须经过防火墙；,2）只有防火墙系统中安全策略允许数据能够经过防火墙；,3）防火墙本身不受各种攻击影响。,4,第4页,三、防火墙优点,一、防火墙概述,1.,预防易受攻击服务,经过过滤不安全服务来降低子网上主系统风险。,能够禁止一些易受攻击服务,(,如,NFS),进入或离开受保护子网。,能够防护基于路由选择攻击，如源路由选择和企图经过,ICMP,改向把发送路径转向遭致损害网点。,5,第5页,一、防火墙概述,2.,控制访问网点系统,能够提供对系统访问控制。如允许从外部访问一些主机(,Mail Server,和,Web Server),，同时禁止访问另外主机。,3.,集中安全性,防火墙定义安全规则可用于整个内部网络系统，而无须在内部网每台机器上分别设置安全策略。,能够定义不一样认证方法，而不需要在每台机器上分别安装特定认证软件。外部用户只需要经过一次认证即可访问内部网,。比如对于密码口令系统或其它身份认证软件等，放在防火墙系统中更是优于放在每个,Internet,能访问机器上,。,6,第6页,一、防火墙概述,4.,增强保密、强化私有权,使用防火墙系统，站点能够预防,finger,以及,DNS,域名服务。,Finger,能列出当前用户，上次登录时间，以及是否读过邮件等,。,5.,相关网络使用、滥用统计和统计,防火墙能够统计各次访问，并提供相关网络使用率等有价值统计数字。,网络使用率统计数字可作为网络需求研究和风险分析依据；搜集相关网络试探证据，可确定防火墙上控制办法是否得当，能否抵抗试探和攻击。,7,第7页,四、防火墙不足,一、防火墙概述,1,）防火墙防外不防内,防火墙能够禁止系统用户经过网络连接发送专有信息，但用户能够将数据复制到磁盘、磁带上，放在公文包中带出去。假如入侵者已经在防火墙内部，防火墙是无能为力。内部用户偷窃数据，破坏硬件和软件，而且巧妙地修改程序而不靠近防火墙。对于来自知情者威胁只能要求加强内部管理，如主机安全和用户教育、管理、制度等。,8,第8页,一、防火墙概述,2,）不能防范绕过防火墙攻击,防火墙能够有效地预防经过它进行传输信息，然而不能预防不经过它而传输信息。比如，假如站点允许对防火墙后面内部系统进行拨号访问，那么防火墙绝对没有方法阻止入侵者进行拨号入侵。,3,）防火墙配置复杂，轻易出现安全漏洞,4,）防火墙往往只认机器（,IP,地址）不认人（用户身份），而且控制粒度较粗。,9,第9页,一、防火墙概述,5,）防火墙不能防范病毒,防火墙不能预防感染了病毒软件或文件传输。这只能在每台主机上装反病毒软件。,6,）防火墙不能预防数据驱动式攻击。,当有些表面看来无害数据被邮寄或复制到内部网主机上并被执行而发起攻击时，就会发生数据驱动攻击。尤其是伴随,Java、JavaScript、ActiveX,应用，这一问题愈加突出。,10,第10页,五、防火墙特点,一、防火墙概述,1,、广泛服务支持：经过将动态、应用层过滤能力和认证相结合，可实现,WWW,浏览器、,HTTP,服务器、,FTP,等；,2,、对私有数据加密支持：确保经过,Internet,进行虚拟私人网络和商务活动安全；,3,、客户端认证：只允许指定用户访问内部网络或选择服务：企业当地网与分支机构、商业搭档和移动用户间安全通信附加部分；,11,第11页,五、防火墙特点,一、防火墙概述,4,、反坑骗：坑骗是从外部获取网络访问权惯用伎俩，它使数据包好似来自网络内部。防火墙能监视这么数据包并能扔掉它们；,5,、,C/S,模式和跨平台支持：能使运行在一平台管理模块控制运行在另一平台监视模块。,12,第12页,1、服务访问政策,二、网络政策,服务访问政策是整个机构信息安全政策延伸，既要可靠又要切合实际。,一个经典政策能够不允许从,Internet,访问网点，但要允许从网点访问,Internet,。,另一个经典政策是允许从,Internet,进行一些访问，不过或许只许可访问经过选择系统，如,Web,服务器和电子邮件服务器,。,13,第13页,允许,拒绝,2、防火墙设计政策,防火墙普通实施两个基本设计方针之一:,1.“没有明确允许都是被禁止”，即拒绝一切未予特许东西。,2.“没有明确禁止都是被允许”,；也即是允许一切未被尤其拒绝东西,允许,拒绝,14,第14页,六、防火墙体系结构,1）屏蔽路由器（,Screened,Router）,2）双宿主机网关；,Dual Homed Host Gateway,3）屏蔽主机防火墙；,Screened Gateway,4）屏蔽子网防火墙。,Screened Subnet,15,第15页,1.屏蔽路由器（,Screened,Router）,包过滤路由器：路由 +过滤,这是最简单防火墙。,缺点：,日志没有或极少，难以判断是否被入侵,规则表会伴随应用变得很复杂,单一部件保护，脆弱,16,第16页,2.双宿主机网关,防火墙体系结构,17,第17页,防火墙体系结构,用一台装有两块网卡计算机作为堡垒主机,（,Bastion host），,两块网卡分别与内部网和外部网（或屏蔽路由器）相连，每块网卡有各自,IP,地址,。堡垒主机上运行防火墙软件代理服务（应用层网关）。在建立双宿主机时，应关闭操作系统路由功效（,IP,转发），不然两块网卡间通信会绕过代理服务器软件。,优点：与屏蔽路由器相比，提供日志以备检验,缺点：,双宿主机易受攻击,18,第18页,3.屏蔽主机防火墙,防火墙体系结构,19,第19页,屏蔽主机体系结构,20,第20页,防火墙体系结构,由屏蔽路由器和应用网关组成。,两道屏障：网络层包过滤；应用层代理服务,注：与双宿主机网关不一样，这里应用网关只有一块网卡。,优点：双重保护，安全性更高。,实施策略：针对不一样服务，选择其中一个或两种保护办法。,21,第21页,4.屏蔽子网体系结构,防火墙体系结构,组成：一个包含堡垒主机周围子网、两台屏蔽路由器。,22,第22页,屏蔽子网体系结构,23,第23页,防火墙体系结构,屏蔽子网防火墙中，添加周围网络深入地把内部网络与,Internet,隔离开。,经过在周围网络上隔离堡垒主机，能降低在堡垒主机上侵入影响。,要想侵入用这种类型体系结构构筑内部网络，侵袭者必须经过外部路由器，堡垒主机，内部路由器三道关口。,1）周围网络,：非军事化区、停火区（,DMZ）,周围网络是另一个安全层,是在外部网络与内部网络之间附加网络。,24,第24页,防火墙体系结构,周围网络作用,对于周围网络，假如某人侵入周围网上堡垒主机，他仅能探听到周围网上通信。因为全部周围网上通信来自或者通往堡垒主机或,Internet。,因为没有严格内部通信(即在两台内部主机之间通信，这通常是敏感或者专有)能越过周围网。所以，假如堡垒主机被损害，内部通信仍将是安全。,25,第25页,防火墙体系结构,2）堡垒主机,接收来自外界连接主要入口：,1对于进来电子邮件（,SMTP）,会话，传送电子邮件到站点；,2对于进来,FTP,连接，转接到站点匿名,FTP,服务器；,3对于进来域名服务（,DNS）,站点查询等。,26,第26页,防火墙体系结构,出站服务按以下任一方法处理：,1.在外部和内部路由器上设置数据包过滤来允许内部客户端直接访问外部服务器。,2.设置代理服务器在堡垒主机上运行（假如用户防火墙使用代理软件）来允许内部客户端间接地访问外部服务器。用户也能够设置数据包过滤来允许内部客户端在堡垒主机上同代理服务器交谈。不过禁止内部客户端与外部世界之间直接通信(如拨号上网)。,27,第27页,防火墙体系结构,3）内部路由器,内部路由器（阻塞路由器）：保护内部网络使之免受,Internet,和周围子网侵犯。,内部路由器为用户防火墙执行大部分数据包过滤工作。它允许从内部网到,Internet,有选择出站服务。这些服务是用户使用数据包过滤而不是经过代理服务提供。,内部路由器所允许在周围网和内部网之间服务可不一样于内部路由器所允许在外部和内部网之间服务。,限制堡垒主机与内部网之间通信可降低堡垒机被攻破时对内部网危害。,28,第28页,防火墙体系结构,4）外部路由器,在理论上，外部路由器保护周围网和内部网使之免受来自,Internet,侵犯。实际上，外部路由器倾向于允许几乎任何东西从周围网出站，而且它们通常只执行非常少数据包过滤。,外部路由器安全任务之一是：阻止从,Internet,上伪造源地址进来任何数据包。,29,第29页,内部防火墙问题,防火墙体系结构,在大部分讨论中,都假定建立防火墙目标在于保护内部网免受外部网侵扰。但有时为了一些原因，我们还需要对内部网部分站点再加以保护以免受内部其它站点侵袭。所以，有时我们需要在同一结构两个部分之间，或者在同一内部网两个不一样组织结构之间再建立防火墙（也被称为内部防火墙）。,30,第30页,复合型防火墙,复合型防火墙,采取哪种形式防火墙取决于经费、技术、时间等。,应用层,表示层,会话层,传输层,网络层,链路层,物理层,包过滤,应用网关,电路网关,31,第31页,包过滤技术,包过滤技术,32,第32页,包过滤技术原理,包过滤技术,在路由器上加入,IP Filtering,功效，这么路由器就成为,Screening Router,。,Router,逐一审查每个数据包以判定它是否与其它包过滤规则相匹配,(,只检验包头，不理会包内正文信息,)。,假如找到一个匹配，且规则允许这包，这个包则依据路由表中信息前行；,假如找到一个匹配，且规则允许拒绝此包，这一包则被舍弃；,假如无匹配规则，一个用户配置缺省参数将决定此包是前行还是被舍弃。,33,第33页,IPv4,包过滤技术,版本号,Version,(4,bit),报头长,IHL,(4,bit),服务类型,ServiceType,(8,bit),分组总长度,Total Length,(16,bit),标识,Identification,(16,bit),标志,Flags,(3,bit),片偏移,Fragment Offset,(13,bit),生存时间,Time to Live,(8,bit),传输层协议,Protocol,(8,bit),头部校验和,Header Checksum,(16,bit),源,IP,地址,Source Address(32bit),宿,IP,地址,Destination Address(32bit),可选项,Option,有效负载,Payload（0,或多个字节）,20,bytes,0 4 8 16 19 31,填充域,padding,34,第34页,ICMP,报文,包过滤技术,ICMP,报文普通格式,Data,差错信息,犯错,IP,数据报头+64个字节数据,类型,Type,(8,bit),代码,Code,(8,bit),检验和,Checksum,(16,bit),不一样类型和代码有不一样内容,Data,0 8 16 31,ICMP header ICMP data,IP header I P data,封装,35,第35页,TCP,头部,包过滤技术,源端口,Source Port,(16,bit),宿端口,Destination Port,(16,bit),序列号,Sequence Number,(32,bit),确认号,Acknowledgment Number,(32,bit),Data,Offset,(4,bit),Reserved,(6,bit),U,R,G,A,C,K,P,S,H,R,S,T,S,Y,N,F,I,N,窗口大小,Window,size,(16,bit),校验和,Checksum,(16,bit),紧急指针,Urgent Pointer,(16,bit),选项,Options(0,或多个,32,bit,字,),数据,Data(,可选,),36,第36页,UDP,头部,包过滤技术,UDP,源端口,UDP,宿端口,UDP,长度,UDP,校验和,16,bit,16,bit,最小值为8,全“0”：不选；,全“1”：校验和为0。,37,第37页,包过滤依据,包过滤技术,IP,源地址,IP,目标地址,封装协议,(,TCP,、,UDP,、,或,IP Tunnel),TCP/UDP,源端口,TCP/UDP,目标端口,ICMP,包类型,TCP,报头,ACK,位,包输入接口和包输出接口,38,第38页,依赖于服务过滤,包过滤技术,多数服务对应特定端口，例：,Telnet、SMTP、POP3,分别为23、,25、,110。如要封锁输入,Telnet、SMTP,连接，则,Router,丢弃端口值为23和25全部数据包。,经典过滤规则有以下几个：,.只允许进来,Telnet,会话连接到指定一些内部主机,.只允许进来,FTP,会话连接到指定一些内部主机,.允许全部出去,Telnet,会话,.允许全部出去,FTP,会话,.拒绝从一些指定外部网络进来全部信息,39,第39页,独立于服务过滤,有些类型攻击极难用基本包头信息加以判别，因为独立于服务。要预防这类攻击，需要在过滤规则中考虑其它信息，如：路由表、特定,IP,选项、特定片段偏移等。不依赖于服务攻击有三类：,1）源,IP,地址坑骗攻击,入侵者从伪装成源自一台内部主机一个外部地点传送一些信息包；这些信息包似乎像包含了一个内部系统源,IP,地址。假如这些信息包抵达,Router,外部接口，则舍弃每个含有这个源,IP,地址信息包，就能够挫败这种源坑骗攻击。,40,第40页,包过滤技术,2）源路由攻击,攻击者为信息包指定一个穿越,Internet,路由，这类攻击企图绕过安全办法，并使信息包沿一条意外(疏漏)路径抵达目标地。能够经过舍弃全部包含这类源路由选项信息包方式，来挫败这类攻击。,3）残片攻击,入侵者利用,IP,分段特征生成一个极小片断并将,TCP,报头信息肢解成一个分离信息包片断，使数据包绕过用户定义过滤规则。黑客希望过滤路由器只检验第一分段，而允许其它分段经过。经过舍弃全部协议类型为,TCP、IP,报头中,Fragment Offset=,1数据包，即可挫败残片攻击。,41,第41页,推荐过滤规则,任何进入内网数据包不能将内部地址作为源地址,任何进入内网数据包必须将内部地址作为目标地址,任何离开内网数据包必须将内部地址作为源地址,任何离开内网数据包不能将内部地址作为目标地址,任何进入或离开内网数据包不能把一个私有地址或者127.0.0.0/8作为源或目标地址,保留、,DHCP,自动配置和多播地址也要被阻塞：,0.0.0.0/8 169.254.0.0/16 192.0.2.0/24,224.0.0.0/4 240.0.0.0/4,42,第42页,包过滤路由器优点,包过滤技术,1、实现包过滤几乎不再需要费用。这些特点都包含再标准路由器软件中。绝大多数,Internet,防火墙系统只用一个包过滤路由器.,2、执行,PACKET FILTER,所用时间极少或几乎不需要什么时间。因为,Internet,访问普通被提供给一个,WAN,接口。假如通信负载适中且定义过滤极少话,则对路由性能没有多大影响.,3、包过滤路由器对终端用户和应用程序是透明,所以不需要专门用户培训或在每主机上设置尤其软件.,43,第43页,包过滤路由器不足,包过滤技术,1、定义包过滤器工作复杂,要了解,Internet,各种服务、包头格式和每个域查找特定值。管理困难。,2、经过路由器数据包有可能被用于数据驱动攻击,3、过滤器数目增加，路由器吞吐量下降,4、无法对流动信息提供全方面控制。不能了解上下文。,5、一些应用协议不适合于包过滤，如：,RPC、FTP,等。,6、日志能力较弱。不能汇报谁企图入侵。,7、难以针对用户实施安全策略。,44,第44页,代理服务技术,代理服务,该技术它能够将全部跨越防火墙网络通信链路分为两段。防火墙内外计算机系统间应用层连接，由两个代理服务器之间连接来实现，外部计算机网络链路只能抵达代理服务器，从而起到隔离防火墙内外计算机系统作用。,另外，代理服务器也对过往数据包进行分析、记录、形成汇报，当发现攻击迹象时会向网络管理员发出警告，并保留攻击痕迹。,45,第45页,代理服务技术,代理服务,46,第46页,应用层网关,应用网关,应用层网关（,Application Level Gateways）,技术是在网络应用层上实现协议过滤和转发功效。它针对特定网络应用服务协议，如：超文本传输协议(,HTTP)、,远程文件传输协议(,FTP),等，使用指定数据过滤规则。并在过滤同时，对数据包进行必要分析、统计和统计，形成汇报。统计和控制全部进出流量是应用层网关一个主要优点。,47,第47页,应用层上过滤,应用网关,48,第48页,应用层网关,49,第49页,电路层网关(,Circuit Gateway),电路网关工作在,OSI,会话层。分组地址是一个应用层用户进程。电路网关在两个通信端点之间复制字节。电路网关包含有支持一些,TCP/IP,应用程序代码，但通常是有限。,电路网关适于限制内部网对外部访问，但不能实施协议过滤。从电路网关出来连接好象都是从防火墙产生，故能够隐藏内部网络信息。,电路网关与包过滤相同，但比包过滤高两层，安全性更加好。,50,第50页,电路层网关,51,第51页,一个例子,代理服务,用包过滤路由器封锁全部输入,Telnet,和,Ftp,连接网点。路由器允许,Telnet,和,Ftp,包只经过一个主系统，即,Telnet/Ftp,应用网关，然后再连接到目标主系统：,用户首先把,Telnet,连接到应用网关,，并输入内部主系统名字；,网关检验用户源,IP,地址，并依据访问准则接收或拒绝；,用户可能需要证实自己身份（可使用一次性口令装置）；,代理服务软件在,网关和内部主系统之间建立,Telnet,连接,；,代理服务软件在两个连接之间传送数据；,应用网关统计连接情况。,52,第52页,代理服务优点,代理服务,1）易于配置 软件实现，界面友好,2）日志统计，便于分析,3）灵活控制进出流量、内容(,who、what、where、when),比如，能够过滤协议。为预防用户向匿名,FTP,服务器写数据，可拒绝使用,FTP,协议中,put,命令；能过滤数据内容：文本过滤、图像过滤、病毒扫描等。,4）为用户提供透明加密机制,VPN,5）,便于与其它安全伎俩集成 认证 授权 加密,TLS,协议,53,第53页,代理服务缺点,速度慢：检验内容；转发/响应,代理对用户不透明,对客户端要定制软件或改动；怎样跨平台；代理服务难以让可户非常满意,不能改进底层协议安全,IP,坑骗,SYN,泛滥 拒绝服务攻击,有可能受到协议漏洞威胁,54,第54页,包过滤与代理结合,代理服务,为提升安全性，将包过滤方法与应用代理方法结合起来，形成复合型防火墙产品。有两种方案。,1)屏蔽主机防火墙体系结构：在该结构中，包过滤路由器或防火墙与,Internet,相连，同时一个堡垒机安装在内部网络，经过在包过滤路由器或防火墙上过滤规则设置，使堡垒机成为,Internet,上其它节点所能抵达唯一节点，这确保了内部网络不受未授权外部用户攻击。,55,第55页,代理服务,2)屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个包过滤路由器放在这一子网两端，使这一子网与,Internet,及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和包过滤路由器共同组成了整个防火墙安全基础。,代理服务器及防火墙软件包：,Wingate,Microsoft Proxy Server,56,第56页,用户眼中代理,代理服务,无偿代理,出现原因：系统漏洞；管理员设置代理；,ISP,提升影响，在一段时间内开发代理。,代理服务器设置,IE,中：工具,Internet,选项连接局域网设置,57,第57页,防火墙现实状况,第一代 包过滤(,Packet Filter)1983,年,第二代 电路层网关 1989年,应用层网关 代理服务 1990年,第三代 动态包过滤 状态监视 1992年,第四代 自适应代理 1998年,58,第58页,防火墙发展趋势,优良性能 速度瓶颈,易扩展 支持,NAT VPN,等,过滤深度加强，,URL(,页面)过滤、关键字过滤、,ActiveX,过滤、病毒扫描等,主动检测与报警,日志分析工具,59,第59页,防火墙产品介绍,以色列,Checkpoint,企业,Fire Wall-1,Cisco,企业,PIX,NAI,企业,Gauntlet,CyberGuard,企业,Fire Wall,个人防火墙：,澳大利亚,Secure PC,加拿大,ConSeal PC,美国,Cyber Patrol,中国“天网”、“网络卫士”、“蓝盾”,60,第60页,天网防火墙,61,第61页,天网防火墙,安全规则设置,这是系统最主要，也是最复杂地方。能够非常灵活设计适当自己使用规则。,规则是一系列比较条件和一个对数据包动作，就是依据数据包每一个部分来与设置条件比较，当符合条件时，就能够确定对该包放行或者阻挡。经过合理设置规则就能够把有害数据包挡在你机器之外。,62,第62页,工具条,：点击上面按钮来导入，增加，修改，删除规则。因为规则判断是由上而下，能够经过点击调“规则上下移动”按钮调整规则次序，当调整好次序后，可按保留按钮保留修改。当规则增加或修改后，为了让这些规则生效，还关键点击”应用新规则“按钮。,规则列表,：列出了全部规则名称，该规则所对应数据包方向，该规则所控制协议，本机端口，对方地址和对方端口，以及当数据包满足本规则时所采取策略。,在列表左边为该规则是否有效标志，标识为钩表示改规则有效，不然表示无效。当改变这些标志后，按保留键。,63,第63页,天网防火墙,64,第64页,天网防火墙,65,第65页,