防火墙与物理隔离概念简介.docx

防火墙技术： 包过滤防火墙：一个包过滤防火墙通常是一台有能力过滤某些内容数据包的路由器。包过滤防火墙能够检查的信息包括第三层信息(IP)，有时也包括第四层的信息(端口)。例如，带有扩展ACL的Cisco路由器能过滤第三层和第四层的信息。 1.过滤操作 当执行数据包时，包过滤规则被定义在防火墙上。这些规则用来匹配数据包内容以决定哪些包被允许和哪些包被拒绝。当拒绝流量时，可以采用两个操作：通知流量的发送者其数据将丢弃，或者没有任何通知直接丢弃这些数据。 2.过滤信息 u 第三层的源和目的地址 u 第三层的协议信息 u 第四层的协议信息 u 发送或接收流量的接口 3.包过滤防火墙的优点 u 实现包过滤几乎不再需要任何费用 u 能以更快的速度处理数据包 u 易于匹配绝大多数网络层和传输层报文头的域信息，在实施安全测率提供许多灵活性。 4.包过滤防火墙的局限性 u 可能比较复杂，不已于配置 u 不能阻止应用层攻击 u 只对某些类型的TCP/IP攻击比较敏感(不能阻止TCP SYN泛洪和IP欺骗) u 不支持用户的连接认证 u 只有有限的认证功能 u 任何直接经过路由的数据包都有被用作数据驱动式攻击的潜在危险 u 随着过滤器数目的增加，路由的吞吐量会下降 5.包过滤防火墙的应用环境 u 作为第一线防御(边界路由器) u 在要求最低安全性并考虑成本的SOHO网络中 u 当用包过滤就能完全实现安全策略且不存在认证问题时 状态检测防火墙：采用状态检测包过滤技术，是在传统的包过滤上的功能扩展。 1.过滤操作 当内网主机A连接Web主机B时，它使用源端口为5000，目的端口为80的TCP报文，并在控制域中使用SYN标记，当这个包经过防火墙时，防火墙将这个规则加入状态表。 B接到请求后，他使用SYN/ACK来响应主机A，当这个报文到达防火墙时，防火墙首先访问状态表以查看该连接是否已经存在。然后对该报文进行操作。 当连接终止时，状态防火墙通过检查TCP控制标记获此信息，从而动态的将此连接从状态表或者规则过滤表中删除。 2.状态检测防火墙的优点 u 状态防火墙了解连接的各个状态，因此可以在连接终止后及时阻止此后来自外部设备的该连接的流量，防止伪造流量通过。 u 状态防火墙无须为了允许正常通信而打开更大范围的端口 u 状态防火墙通过使用状态表能够阻止更多类型的Dos攻击 u 状态防火墙具有更强的日志功能 3.状态检测防火墙的局限性 u 无状态的协议：在处理无状态信息协议时会出现问题，如：UDP，ICMP等。 u 多个应用连接： u 状态表的大小：状态防火墙忙于建立和维护状态表，如果监控的连接多，成本开销大。 u 检测的层次仅限于网络层与传输层，无法对应用层内容进行检测。 4.应用环境 u 作为防御的主要形式 u 作为防御的第一线智能设备（带状态能力的便捷路由） u 在需要比包过滤更严格的安全控制，而不用增加太多成本的情况下 应用网关防火墙(Application Gateway Firewall)：通常称为代理防火墙或简称为应用网关，它是在应用层处理信息。应用网关防火墙可以支持一个应用，也可以支持有限数量的多个应用，这些应用通常包括E-mail，Web服务，DNS，FTP等 1.认证过程 现在很多AGF在对用户进行一次身份认证后，使用存储在数据库中的授权信息来确认该用户对各个资源的访问权限，而不需要用户为每个想访问的资源进行单独的认证。 2.认证方式 一个AGF可以使用多种方式来认证，包括用户名和口令，令牌卡信息，网络层源地址以及生物信息等。传输认证信息时必须加密，一般加密的方式为SSH。 3.应用级网关防火墙的类型 u 连接网关防火墙（CGF，Connection Gateway Firewall）：这种防火墙比CTP要安全，但是CGF可能会引入明显的延迟，尤其是当CGF要处理大量连接的时候。 u 直通代理防火墙（CTP，Cut-Through Prixy）：当外部A想要访问内部服务器B时，CTF截获该请求并认证A，认证后，这个连接和其他被认证的连接被添加到过滤规则表中。而从这以后，任何从Ａ往B的流量都有过滤规则在网络层和传输层上处理。所以，这种方式不能检测出应用层攻击。 ４.应用网关的优点 u 认证个人而非设备 u 使黑客进行欺骗和实施Dos攻击比较困难 u 能够监控和过滤应用层的信息 u 能够提供详细的日志 ５.应用网关的局限性 u 用软件处理数据包 u 支持的应用比较有限 u 有时要求特定的客户端软件 应用网关的主要局限性在于它属于处理密集性过程，这将占用大量的CPU和内存资源，另外，详尽的日志功能会占用大量的硬盘存储空间，可以通过两种方法来解决这个问题： Ø 使用CTP Ø 将AGF设置成只监控关键应用 ６.应用网关防火墙的应用环境 u CGF通常被用作主要的过滤设备（此时边界路由可能用作或不用做第一线防御设备） u CTP通常被用作边界防御设备 u 应用代理用来减轻CGF上的日志过载并监控和记录其他类型的流量 分布式防火墙：　 １.工作机制 　　　　　分布式防火墙由安全策略管理服务器[Server]以及客户端防火墙[Client]组成。客户端防火墙工作在各个从服务器、工作站、个人计算机上，根据安全策略文件的内容，依靠包过滤、特洛伊木马过滤和脚本过滤的三层过滤检查，保护计算机在正常使用网络时不会受到恶意的攻击，提高了网络安全性。而安全策略管理服务器则负责安全策略、用户、日志、审计等的管理。该服务器是集中管理控制中心，统一制定和分发安全策略，负责管理系统日志、多主机的统一管理，使终端用户“零”负担。 病毒防火墙：在防火墙上内置反病毒技术，综合的防火墙，虚拟专用网和内容过滤等安全功能。 １.防火墙功能特点： u 系统在网络边缘阻拦病毒 u 系统提供了一道安全防线，使得在它后面的所有主机都受到保护。 u 系统减轻了邮件服务器的负荷，因为受到感染的邮件在到达邮件服务器前就已经被删除。 u 系统利用专用的平台，而不是标准主机。她由ASIC加速处理。 防火墙体系： 双宿网关防火墙：它拥有两个连接到不同网络上的网络接口，例如：一个网口连接到外部不可信任网络上，另一个接口连接到内部可信任网络上。这种防火墙最大的特点是IP层通信是被阻断的，两个网络之间通信可以通过应用层数据共享或者应用层代理服务来完成。 1.双宿网关防火墙的特性： u 安全至关重要（唯一通道），其用户口令控制安全是关键 u 必须支持很多用户的访问（中转站），其性能非常重要 2.双宿网关防火墙的局限性 u 双重宿主主机是个开内外网络的唯一屏障，一旦它被入侵，内部网络便向入侵者敞开。 屏蔽主机防火墙：屏蔽主机体系结构是由防火墙和内部网络的堡垒主机承担安全责任，它强迫所有的外部主机与一个堡垒主机相连，而不是让他们与内网主机直接相连。一般由包过滤路由器和堡垒主机构成。 屏蔽主机防火墙的点： u 安全性更高，双重保护：实现了网络层安全(包过滤)和应用层安全（代理服务） 屏蔽主机防火墙的局限性： u 包过滤路由能否正确配置是安全与否的关键。如果路由器被损坏，堡垒主机将被穿过，整个网络对侵袭者是开放的。 屏蔽子网体系结构防火墙：它使用两个包过滤路由器和一个堡垒主机。本质上与屏蔽主机体系结构一样，但添加了额外的一层保护体系—周边网络。如下图所示： 堡垒主机是用户网络上最容易受到侵袭的机器。通过在周边网络上隔离堡垒主机，能减少在堡垒主机被褥前的影响。 1.非军事区（DMZ）的定义及作用： u 非军事区（隔离区：DMZ）：网编网络是一个防护层，在其上可以防止一些信息服务器，他们是牺牲主机，可能受到攻击。所以被称为DMZ。 DMZ的作用：即使堡垒主机被入侵者控制，他仍可消除对内部的侦听。 2.堡垒主机的作用： u 堡垒主机位于周边网络，是整个防御体系的核心。 u 堡垒主机可被认为是应用层网关，可以运行各种代理服务程序。 u 对于出战服务不一定要求所有的服务经过堡垒主机代理，但对于入站服务应要求所有的服务都通过堡垒主机。 3.外部路由器（访问路由器） 作用：保护周边网络和内部网络不受外部网络的侵犯 Ø 它把入站的数据包路由到堡垒主机 Ø 防止部分IP欺骗，它可分辨出数据包是否真正来自周边网络，而内部路由不可 4.外部路由器（阻塞路由器） Ø 作用：保护内部网络不受外部网络和周边网络的侵害，它执行大部分过滤工作 Ø 外部路由器一般与内部路由器应用相同的规则 5.屏蔽子网间体系结构的优点： u 入侵者需要突破3个不同的设备才能入侵内部网络 u 只对外通告了DMZ区的网络，保证内部网络的不可见 u 内部网络用户通过堡垒主机或代理服务器访问外部网络 其他防火墙体系结构： 防火墙的实现： 软件防火墙：软件防火墙工作于系统接口与NDIS(Network Driver Interface Specification)之间，用于检查和过滤NDIS发过来的数据包。 1.软件防火墙的致命弱点： u 软件防火墙的多样性是一个严重的缺点，操作系统本身的缺陷可能成为软件防火墙的致命弱点，而硬件防火墙的安全性则相对较高。 u 从速度上来看，硬件防火墙的速度优势是明显的，软件防火墙由于操作系统的限制，很容易成为网络的瓶颈，硬件防火墙则很好的消除了这个缺陷。 u 软件防火墙的安装配置比较复杂，也不便于使用。 硬件防火墙： 1.intel X86架构：以其高灵活性和扩展性在百兆防火墙上获得过巨大的成功，百兆级的处理能力正好在这种架构的范围内。基于这个架构的防火墙受CPU处理能力和PCI总线速度的制约，很难满足千兆防火墙爱你个高吞吐量，低时延的要求。 2.ASIC架构：把指令或计算机逻辑固化到硬件中，可以获得很高的处理能力。能够达到线速千兆，满足骨干网络应用的技术方案。但是，由于是固化硬件，所以缺乏灵活性，也不便于修改或升级。ASiC设计费用昂贵且风险较大。 3.NP架构：采用微码编程，具有以下特点： u 完全的可编程性 u 简单的编程模式 u 最大化系统灵活性 u 高处理能力 u 高度功能集 u 开放的编程接口 u 第三方支持功能 4.NP+ASIC架构：综合了ASIC架构和NP架构的优点，在提升安全灵活性的同时也保证防火墙的性能。 物理隔离技术： 指导思想： 物理隔离的指导思想与防火墙绝然不同：防火墙的思路是在保障互联互通的前提下，尽可能的安全，而无力隔离的思路是在保证必须安全的前提下，尽可能互联互通。 物理隔离在安全上的要求： u 在物理传导上使用内外网络隔断，确保外部网络不能通过网络连接而侵入内部网，同时防止内部网信息通过网络连接泄漏到外部网。 u 在物理辐射上隔断内部网和外部网，确保内部网信息不会通过电磁辐射等方式泄漏到外部网络。 u 在物理存储上隔断两个网络环境，对于断电后会遗失信息的部件，在网络转换时要做清楚处理，防止残留信息的泄漏，对于断电非遗失性的设备，内部网与外部网的信息要分开存储。 物理隔离技术分类： u 第一代：主要采用双机双网的技术，即采用两台计算机，分别连接内外两个网络的做法。 u 第二代：主要采用双硬盘隔离卡，两块硬盘分别对应内外网。 u 第三代：核心产品是单硬盘隔离卡。原理是：将原计算机的单个硬盘从物理层上分割为公共和安全两个分区，安装两套操作系统，从而实现内外网的安全隔离。 u 下一代的趋势是：基于服务器的物理隔离。