信息安全第11章防火墻

《信息安全第11章防火墻》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。

第11章防火墻 主要內(nèi)容11.1防火墻的原理11.2防火墻的分類11.3防火墻技術(shù)11.4防火墻的體系結(jié)構(gòu)11.5防火墻的局限性 Internet為什么需要防火墻Internet的開(kāi)放性導(dǎo)致網(wǎng)絡(luò)安全威脅無(wú)處不在拒絕服務(wù)攻擊ARP攻擊泛濫未授權(quán)資源訪問(wèn)非法資源訪問(wèn)各種協(xié)議漏洞攻擊……沒(méi)有防火墻的Internet千瘡百孔 11.1防火墻的原理WillamCheswick和stevenBeellovin：防火墻是位于兩個(gè)（或多個(gè)）網(wǎng)絡(luò)間，實(shí)施網(wǎng)間訪問(wèn)控制的一組組件的集合，它滿足以下條件：內(nèi)部和外部之間的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過(guò)防火墻；有符合安全政策的數(shù)據(jù)流才能通過(guò)防火墻；防火墻自身能抗攻擊。 防火墻可以是在可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的一個(gè)緩沖系統(tǒng)，它可以是一臺(tái)有訪問(wèn)控制策略的路由器，或者一臺(tái)多個(gè)網(wǎng)絡(luò)接口的計(jì)算機(jī)、也可以是安裝在某臺(tái)特定機(jī)器上的軟件。它被配置成保護(hù)指定網(wǎng)絡(luò)，使其免受來(lái)自于非信任網(wǎng)絡(luò)區(qū)域的某些協(xié)議與服務(wù)的影響。 防火墻的基本功能服務(wù)控制：確定哪些服務(wù)可以被訪問(wèn)；方向控制：對(duì)于特定的服務(wù)，可以確定允許哪個(gè)方向能夠通過(guò)防火墻；用戶控制：根據(jù)用戶來(lái)控制對(duì)服務(wù)的訪問(wèn)；行為控制：控制一個(gè)特定的服務(wù)的行為。 防火墻在網(wǎng)絡(luò)中的位置防火墻多應(yīng)用于一個(gè)局域網(wǎng)的出口處（如圖（a）所示）或置于兩個(gè)網(wǎng)絡(luò)中間（如圖（b）所示）。防火墻在網(wǎng)絡(luò)中的位置 安全域—為什么需要安全域？傳統(tǒng)防火墻通常都基于接口進(jìn)行策略配置，網(wǎng)絡(luò)管理員需要為每一個(gè)接口配置安全策略。防火墻的端口朝高密度方向發(fā)展，基于接口的策略配置方式給網(wǎng)絡(luò)管理員帶來(lái)了極大的負(fù)擔(dān)，安全策略的維護(hù)工作量成倍增加，從而也增加了因?yàn)榕渲靡氚踩L(fēng)險(xiǎn)的概率。教學(xué)樓#1教學(xué)樓#2教學(xué)樓#3服務(wù)器群辦公樓#1辦公樓#2實(shí)驗(yàn)樓#1實(shí)驗(yàn)樓#2宿舍樓Internet配置維護(hù)太復(fù)雜了！ 安全域—什么是安全域？將安全需求相同的接口劃分到不同的域，實(shí)現(xiàn)策略的分層管理。防火墻TrustUntrustInternet教學(xué)樓辦公樓實(shí)驗(yàn)樓宿舍樓DMZWeb服務(wù)器FTP服務(wù)器郵件服務(wù)器打印服務(wù)器配置維護(hù)簡(jiǎn)單多了！ 1．信賴域和非信賴域2．信賴主機(jī)和非信賴主機(jī)3、DMZDMZ（Demilitarizedzone）稱為“隔離區(qū)”或“非軍事化區(qū)”，它是介于信賴域和非信賴域之間的一個(gè)安全區(qū)域。 Trust安全域—域間策略市場(chǎng)部門129.111.0.0/16防火墻研發(fā)部門129.112.0.0/16域間策略SourceZoneDestinationZoneSourceIP/MaskDestinationIP/MaskServiceTimeRangeActionTrustUntrust129.111.0.0/16anyany每周一到周五的8:30到18:00permitTrustUntrustanyanyanyanydenyUntrustDMZanymail.h3c.comMAILanydenyTrustDMZ129.112.0.0/16www.h3c.comHTTP/HTTPSanypermitUntrustInternetDMZWebServerwww.h3c.comMailServermail.h3c.comTrust區(qū)域的市場(chǎng)部門員工在上班時(shí)間可以訪問(wèn)InternetUntrust區(qū)域在任何時(shí)候都不允許訪問(wèn)DMZ區(qū)域的郵件服務(wù)器Trust區(qū)域的研發(fā)部門員工在任何時(shí)候都可以訪問(wèn)DMZ區(qū)域的Web服務(wù)器 使用防火墻后的網(wǎng)絡(luò)組成 防火墻的實(shí)施策略一切未被禁止的就是允許的（Yes規(guī)則）確定那些被認(rèn)為是不安全的服務(wù)，禁止其訪問(wèn)；而其他服務(wù)則被認(rèn)為是安全的，允許訪問(wèn)。一切未被允許的就是禁止的（No規(guī)則）確定所有可以被提供的服務(wù)以及它們的安全性，然后開(kāi)放這些服務(wù)，并將所有其他未被列入的服務(wù)排除在外，禁止訪問(wèn)。 11.2防火墻的分類根據(jù)防火墻形式分類根據(jù)實(shí)現(xiàn)原理分類根據(jù)防火墻結(jié)構(gòu)分類按照防火墻應(yīng)用部署分類 根據(jù)防火墻形式分類軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上，它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持硬件防火墻基于PC架構(gòu)，運(yùn)行一些經(jīng)過(guò)裁剪和簡(jiǎn)化的操作系統(tǒng)，一般至少應(yīng)具備三個(gè)端口芯片級(jí)防火墻專有的ASIC芯片，速度更快，處理能力更強(qiáng)，性能更高，專用操作系統(tǒng)，價(jià)格相對(duì)比較高昂 根據(jù)實(shí)現(xiàn)原理分類包過(guò)濾(PacketFiltering)型工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，根據(jù)數(shù)據(jù)包頭源地址、目的地址、端口號(hào)和協(xié)議類型等標(biāo)志確定是否允許通過(guò)。應(yīng)用代理(ApplicationProxy)型工作在OSI的最高層，即應(yīng)用層。其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流，通過(guò)對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。 根據(jù)防火墻結(jié)構(gòu)分類單一主機(jī)防火墻最為傳統(tǒng)的防火墻，獨(dú)立于其它網(wǎng)絡(luò)設(shè)備，位于網(wǎng)絡(luò)邊界。一般都集成了兩個(gè)以上的以太網(wǎng)卡，連接一個(gè)以上的內(nèi)、外部網(wǎng)絡(luò)。路由器集成式防火墻在許多中、高檔路由器中集成了防火墻功能。如CiscoIOS防火墻系列。但這種防火墻通常是較低級(jí)的包過(guò)濾型。這樣企業(yè)就不用再同時(shí)購(gòu)買路由器和防火墻分布式防火墻由多個(gè)軟、硬件組成的系統(tǒng)。滲透于網(wǎng)絡(luò)的每一臺(tái)主機(jī)，對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)的主機(jī)實(shí)施保護(hù)。在網(wǎng)絡(luò)服務(wù)器中，通常會(huì)安裝一個(gè)用于防火墻系統(tǒng)管理軟件，在服務(wù)器及各主機(jī)上安裝有集成網(wǎng)卡功能的PCI防火墻卡，一塊防火墻卡同時(shí)兼有網(wǎng)卡和防火墻的雙重功能。這樣一個(gè)防火墻系統(tǒng)就可以徹底保護(hù)內(nèi)部網(wǎng)絡(luò)。 按照防火墻應(yīng)用部署分類邊界防火墻位于內(nèi)、外部網(wǎng)絡(luò)的邊界，所起的作用的對(duì)內(nèi)、外部網(wǎng)絡(luò)實(shí)施隔離，保護(hù)邊界內(nèi)部網(wǎng)絡(luò)。一般都是硬件類型個(gè)人防火墻安裝于單臺(tái)主機(jī)中。應(yīng)用于廣大的個(gè)人用戶，通常為軟件防火墻，價(jià)格最便宜，在功能上有很大的限制。混合式防火墻是一整套防火墻系統(tǒng)，由若干個(gè)軟、硬件組件組成，分布于內(nèi)、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機(jī)之間，既對(duì)內(nèi)、外部網(wǎng)絡(luò)之間通信進(jìn)行過(guò)濾，又對(duì)網(wǎng)絡(luò)內(nèi)部各主機(jī)間的通信進(jìn)行過(guò)濾。它屬于最新的防火墻技術(shù)之一，性能最好，價(jià)格也最貴。 11.3防火墻技術(shù)數(shù)據(jù)包過(guò)濾代理服務(wù) 數(shù)據(jù)包過(guò)濾技術(shù)什么是包過(guò)濾？包過(guò)濾是訪問(wèn)控制技術(shù)的一種，對(duì)于需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，首先獲取包頭信息（包括源地址、目的地址、源端口和目的端口等），然后與設(shè)定的策略進(jìn)行比較，根據(jù)比較的結(jié)果對(duì)數(shù)據(jù)包進(jìn)行相應(yīng)的處理（允許通過(guò)或直接丟棄）。數(shù)據(jù)包過(guò)濾原理在網(wǎng)絡(luò)的適當(dāng)位置，根據(jù)系統(tǒng)設(shè)置的過(guò)濾規(guī)則。對(duì)數(shù)據(jù)包實(shí)施過(guò)濾，只允許滿足過(guò)濾規(guī)則的數(shù)據(jù)包通過(guò)并被轉(zhuǎn)發(fā)到目的地，而其他不滿足規(guī)則的數(shù)據(jù)包被丟棄。包過(guò)濾技術(shù)出現(xiàn)了兩種不同版本，稱為“靜態(tài)包過(guò)濾”和“動(dòng)態(tài)包過(guò)濾”。 包過(guò)濾防火墻工作示意圖 靜態(tài)包過(guò)濾類型防火墻采用數(shù)據(jù)包過(guò)濾技術(shù)根據(jù)定義好的過(guò)濾規(guī)則審查每個(gè)數(shù)據(jù)包，過(guò)濾規(guī)則基于數(shù)據(jù)包的報(bào)頭信息進(jìn)行制訂。報(bào)頭信息中包括IP源地址、IP目標(biāo)地址、傳輸協(xié)議(TCP、UDP、ICMP等等)、TCP/UDP目標(biāo)端口、ICMP消息類型等。 包過(guò)濾防火墻規(guī)則示例組序號(hào)動(dòng)作源IP目的IP源端口目的端口協(xié)議類型1允許10.1.1.1***TCP2允許*10.1.1.120*TCP3禁止*10.1.1.120<1024TCP1：內(nèi)部主機(jī)10.1.1.1任何端口訪問(wèn)任何主機(jī)的任何端口，基于TCP協(xié)議的數(shù)據(jù)包都允許通過(guò)。2：任何主機(jī)的20端口訪問(wèn)主機(jī)10.1.1.1的任何端口，基于TCP協(xié)議的數(shù)據(jù)包允許通過(guò)。3：任何主機(jī)的20端口訪問(wèn)主機(jī)10.1.1.1小于1024的端口，如果基于TCP協(xié)議的數(shù)據(jù)包都禁止通過(guò)（與1、2作為系列規(guī)則時(shí)該規(guī)則無(wú)效）。 狀態(tài)監(jiān)測(cè)防火墻靜態(tài)包過(guò)濾最明顯的缺陷是，為了實(shí)現(xiàn)期望的通信，它必須保持一些端口永久開(kāi)放，這就為潛在的攻擊提供了機(jī)會(huì)。為了克服這個(gè)弱點(diǎn)，發(fā)展出了動(dòng)態(tài)包過(guò)濾技術(shù)，它根據(jù)數(shù)據(jù)包的頭信息打開(kāi)或關(guān)閉端口。 狀態(tài)檢測(cè)防火墻的工作示意圖 包過(guò)濾防火墻的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：性能優(yōu)于其他防火墻，因?yàn)樗鼒?zhí)行的計(jì)算較少，并且容易用硬件方式實(shí)現(xiàn)；規(guī)則設(shè)置簡(jiǎn)單，通過(guò)禁止內(nèi)部計(jì)算機(jī)和特定Internet資源連接，單一規(guī)則即可保護(hù)整個(gè)網(wǎng)絡(luò)；不需要對(duì)客戶端計(jì)算機(jī)進(jìn)行專門配置；通過(guò)NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換），可以對(duì)外部用戶屏蔽內(nèi)部IP缺點(diǎn)：無(wú)法識(shí)別協(xié)議層次，也無(wú)法對(duì)協(xié)議子集進(jìn)行約束，甚至最基本的服務(wù)，如ftp中的put和get命令也無(wú)法識(shí)別；處理包內(nèi)信息的能力有限，通常不能提供其他附加服務(wù)；一般無(wú)法約束由內(nèi)部主機(jī)到防火墻服務(wù)器上的信息，只能控制哪些信息可以通過(guò)，從而入侵者可能訪問(wèn)到防火墻主機(jī)的服務(wù)，帶來(lái)安全隱患；由于對(duì)眾多網(wǎng)絡(luò)服務(wù)的支持所造成的復(fù)雜性，很難對(duì)規(guī)則有效性進(jìn)行測(cè)試。 NAT—為什么需要NAT？NAT（NetworkAddressingTranslation：網(wǎng)絡(luò)地址轉(zhuǎn)換）問(wèn)題如何應(yīng)對(duì)IPv4地址日益短缺的問(wèn)題？如何有效隱藏私網(wǎng)內(nèi)部結(jié)構(gòu)？解決之道NAT NAT—基本原理和實(shí)現(xiàn)方式基本原理僅在私網(wǎng)主機(jī)需要訪問(wèn)Internet時(shí)才會(huì)分配到合法的公網(wǎng)地址，而在內(nèi)部互聯(lián)時(shí)則使用私網(wǎng)地址。當(dāng)訪問(wèn)Internet的報(bào)文經(jīng)過(guò)防火墻時(shí)，會(huì)用一個(gè)合法的公網(wǎng)地址替換原報(bào)文中的源IP地址，并對(duì)這種轉(zhuǎn)換進(jìn)行記錄；之后，當(dāng)報(bào)文從Internet側(cè)返回時(shí)，防火墻查詢?cè)械挠涗洠瑢?bào)文的目的地址再替換回原來(lái)的私網(wǎng)地址，并送回發(fā)出請(qǐng)求的主機(jī)。 NAT—基本NAT方式10.1.1.200211.100.7.38NAT地址池162.15.18.65162.15.18.66162.15.18.67……NAT轉(zhuǎn)換表項(xiàng)方向NAT轉(zhuǎn)換前NAT轉(zhuǎn)換后Outbound10.1.1.200162.15.18.65Inbound162.15.18.6510.1.1.200防火墻1、只轉(zhuǎn)換IP地址，對(duì)TCP/UDP協(xié)議端口號(hào)不做處理。2、一個(gè)公網(wǎng)IP地址不能同時(shí)被多個(gè)用戶使用。!源10.1.1.200目的10.1.1.200源162.15.18.65目的162.15.18.65內(nèi)網(wǎng)主機(jī)外網(wǎng)服務(wù)器 代理服務(wù)技術(shù)代理服務(wù)原理代理服務(wù)是在防火墻主機(jī)上運(yùn)行的專門的應(yīng)用程序或服務(wù)器程序，這些程序根據(jù)安全策略處理用戶對(duì)網(wǎng)絡(luò)服務(wù)的請(qǐng)求，代理服務(wù)位于內(nèi)部網(wǎng)和外部網(wǎng)之間，處理其間的通信以代替互相的直接通信。 代理防火墻代理防火墻的工作原理代理防火墻具有傳統(tǒng)的代理服務(wù)器和防火墻的雙重功能。如圖所示，代理服務(wù)器位于客戶機(jī)與服務(wù)器代理防火墻的工作示意圖之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來(lái)看，代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器；而從服務(wù)器來(lái)看，代理服務(wù)器僅是一臺(tái)客戶機(jī)。 應(yīng)用網(wǎng)關(guān)(ApplicationGateway)型防火墻一般被配置為雙宿主網(wǎng)關(guān)，具有兩個(gè)網(wǎng)絡(luò)接口卡，跨接內(nèi)部網(wǎng)和外部網(wǎng)。缺點(diǎn)：速度相對(duì)比較慢優(yōu)點(diǎn)：安全性高 電路級(jí)網(wǎng)關(guān)防火墻電路級(jí)網(wǎng)關(guān)是一個(gè)通用代理服務(wù)器，通?？梢哉J(rèn)為它工作于OSI互聯(lián)模型的會(huì)話層或是TCP/IP協(xié)議的TCP層電路級(jí)網(wǎng)關(guān)的實(shí)現(xiàn)典型是Socks5協(xié)議，支持多種認(rèn)證方式。 11.4防火墻的體系結(jié)構(gòu)堡壘主機(jī)（BastionHost）物理內(nèi)部網(wǎng)中唯一可供外界訪問(wèn)到的主機(jī)，它通常配置了嚴(yán)格的安全防范措施，堡壘主機(jī)為內(nèi)部網(wǎng)和外部網(wǎng)之間的通信提供一個(gè)阻塞點(diǎn)。DMZ指供外部網(wǎng)訪問(wèn)的專門區(qū)域，用于發(fā)布信息、提供服務(wù)。通常情況下，外部網(wǎng)和內(nèi)部網(wǎng)都可以訪問(wèn)這一區(qū)域。防火墻的體系結(jié)構(gòu)一般有雙重宿主主機(jī)體系結(jié)構(gòu)、屏蔽主機(jī)體系結(jié)構(gòu)和屏蔽子網(wǎng)體系結(jié)構(gòu)。 雙重宿主主機(jī)體系結(jié)構(gòu)IP數(shù)據(jù)包從一個(gè)網(wǎng)絡(luò)（例如Internet）并不是直接發(fā)送到其它網(wǎng)絡(luò)（例如內(nèi)部的、被保護(hù)的網(wǎng)絡(luò)），即內(nèi)部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)不能直接通信，而是由雙重宿主主機(jī)在中間實(shí)現(xiàn)交接過(guò)濾。 屏蔽主機(jī)體系結(jié)構(gòu)屏蔽主機(jī)體系結(jié)構(gòu)防火墻使用一個(gè)路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開(kāi)任何外部的系統(tǒng)要訪問(wèn)內(nèi)部的系統(tǒng)或服務(wù)都必須先連接到堡壘主機(jī)。內(nèi)部網(wǎng)也只有堡壘主機(jī)可以連接Internet，堡壘主機(jī)實(shí)際也就是代理服務(wù)器。 屏蔽子網(wǎng)體系結(jié)構(gòu)堡壘主機(jī)是接受來(lái)自外界連接的主要入口。內(nèi)部路由器對(duì)內(nèi)部網(wǎng)絡(luò)與堡壘主機(jī)之間的通信進(jìn)行過(guò)濾，外部路由器對(duì)外部網(wǎng)絡(luò)到周邊網(wǎng)的訪問(wèn)進(jìn)行過(guò)濾。 11.5防火墻的局限性防火墻無(wú)法防范來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊，而通過(guò)調(diào)查發(fā)現(xiàn)，有將近一半以上的攻擊都來(lái)自網(wǎng)絡(luò)內(nèi)部防火墻不能堵住來(lái)自外部網(wǎng)絡(luò)的病毒。防火墻不能防范未通過(guò)自身的網(wǎng)絡(luò)連接防火墻不能防范全部的威脅防火墻不能防止感染了病毒的軟件或文件的傳輸防火墻不能防范內(nèi)部用戶的惡意破壞防火墻本身也存在安全問(wèn)題