防火墻與物理隔離概念簡介.docx

防火墻技術(shù)：包過濾防火墻：一個包過濾防火墻通常是一臺有能力過濾某些內(nèi)容數(shù)據(jù)包的路由器。包過濾防火墻能夠檢查的信息包括第三層信息(IP)，有時也包括第四層的信息(端口)。例如，帶有擴(kuò)展ACL的Cisco路由器能過濾第三層和第四層的信息。1.過濾操作當(dāng)執(zhí)行數(shù)據(jù)包時，包過濾規(guī)則被定義在防火墻上。這些規(guī)則用來匹配數(shù)據(jù)包內(nèi)容以決定哪些包被允許和哪些包被拒絕。當(dāng)拒絕流量時，可以采用兩個操作：通知流量的發(fā)送者其數(shù)據(jù)將丟棄，或者沒有任何通知直接丟棄這些數(shù)據(jù)。2.過濾信息u 第三層的源和目的地址u 第三層的協(xié)議信息u 第四層的協(xié)議信息u 發(fā)送或接收流量的接口3.包過濾防火墻的優(yōu)點u 實現(xiàn)包過濾幾乎不再需要任何費用u 能以更快的速度處理數(shù)據(jù)包u 易于匹配絕大多數(shù)網(wǎng)絡(luò)層和傳輸層報文頭的域信息，在實施安全測率提供許多靈活性。4.包過濾防火墻的局限性u 可能比較復(fù)雜，不已于配置u 不能阻止應(yīng)用層攻擊u 只對某些類型的TCP/IP攻擊比較敏感(不能阻止TCP SYN泛洪和IP欺騙)u 不支持用戶的連接認(rèn)證u 只有有限的認(rèn)證功能u 任何直接經(jīng)過路由的數(shù)據(jù)包都有被用作數(shù)據(jù)驅(qū)動式攻擊的潛在危險u 隨著過濾器數(shù)目的增加，路由的吞吐量會下降5.包過濾防火墻的應(yīng)用環(huán)境u 作為第一線防御(邊界路由器)u 在要求最低安全性并考慮成本的SOHO網(wǎng)絡(luò)中u 當(dāng)用包過濾就能完全實現(xiàn)安全策略且不存在認(rèn)證問題時狀態(tài)檢測防火墻：采用狀態(tài)檢測包過濾技術(shù)，是在傳統(tǒng)的包過濾上的功能擴(kuò)展。1.過濾操作當(dāng)內(nèi)網(wǎng)主機(jī)A連接Web主機(jī)B時，它使用源端口為5000，目的端口為80的TCP報文，并在控制域中使用SYN標(biāo)記，當(dāng)這個包經(jīng)過防火墻時，防火墻將這個規(guī)則加入狀態(tài)表。 B接到請求后，他使用SYN/ACK來響應(yīng)主機(jī)A，當(dāng)這個報文到達(dá)防火墻時，防火墻首先訪問狀態(tài)表以查看該連接是否已經(jīng)存在。然后對該報文進(jìn)行操作。 當(dāng)連接終止時，狀態(tài)防火墻通過檢查TCP控制標(biāo)記獲此信息，從而動態(tài)的將此連接從狀態(tài)表或者規(guī)則過濾表中刪除。2.狀態(tài)檢測防火墻的優(yōu)點u 狀態(tài)防火墻了解連接的各個狀態(tài)，因此可以在連接終止后及時阻止此后來自外部設(shè)備的該連接的流量，防止偽造流量通過。u 狀態(tài)防火墻無須為了允許正常通信而打開更大范圍的端口u 狀態(tài)防火墻通過使用狀態(tài)表能夠阻止更多類型的Dos攻擊u 狀態(tài)防火墻具有更強(qiáng)的日志功能3.狀態(tài)檢測防火墻的局限性u 無狀態(tài)的協(xié)議：在處理無狀態(tài)信息協(xié)議時會出現(xiàn)問題，如：UDP，ICMP等。u 多個應(yīng)用連接： u 狀態(tài)表的大?。籂顟B(tài)防火墻忙于建立和維護(hù)狀態(tài)表，如果監(jiān)控的連接多，成本開銷大。u 檢測的層次僅限于網(wǎng)絡(luò)層與傳輸層，無法對應(yīng)用層內(nèi)容進(jìn)行檢測。4.應(yīng)用環(huán)境u 作為防御的主要形式u 作為防御的第一線智能設(shè)備（帶狀態(tài)能力的便捷路由）u 在需要比包過濾更嚴(yán)格的安全控制，而不用增加太多成本的情況下應(yīng)用網(wǎng)關(guān)防火墻(Application Gateway Firewall)：通常稱為代理防火墻或簡稱為應(yīng)用網(wǎng)關(guān)，它是在應(yīng)用層處理信息。應(yīng)用網(wǎng)關(guān)防火墻可以支持一個應(yīng)用，也可以支持有限數(shù)量的多個應(yīng)用，這些應(yīng)用通常包括E-mail，Web服務(wù)，DNS，F(xiàn)TP等1.認(rèn)證過程現(xiàn)在很多AGF在對用戶進(jìn)行一次身份認(rèn)證后，使用存儲在數(shù)據(jù)庫中的授權(quán)信息來確認(rèn)該用戶對各個資源的訪問權(quán)限，而不需要用戶為每個想訪問的資源進(jìn)行單獨的認(rèn)證。2.認(rèn)證方式 一個AGF可以使用多種方式來認(rèn)證，包括用戶名和口令，令牌卡信息，網(wǎng)絡(luò)層源地址以及生物信息等。傳輸認(rèn)證信息時必須加密，一般加密的方式為SSH。3.應(yīng)用級網(wǎng)關(guān)防火墻的類型u 連接網(wǎng)關(guān)防火墻（CGF，Connection Gateway Firewall）：這種防火墻比CTP要安全，但是CGF可能會引入明顯的延遲，尤其是當(dāng)CGF要處理大量連接的時候。u 直通代理防火墻（CTP，Cut-Through Prixy）：當(dāng)外部A想要訪問內(nèi)部服務(wù)器B時，CTF截獲該請求并認(rèn)證A，認(rèn)證后，這個連接和其他被認(rèn)證的連接被添加到過濾規(guī)則表中。而從這以后，任何從往B的流量都有過濾規(guī)則在網(wǎng)絡(luò)層和傳輸層上處理。所以，這種方式不能檢測出應(yīng)用層攻擊。.應(yīng)用網(wǎng)關(guān)的優(yōu)點u 認(rèn)證個人而非設(shè)備u 使黑客進(jìn)行欺騙和實施Dos攻擊比較困難u 能夠監(jiān)控和過濾應(yīng)用層的信息u 能夠提供詳細(xì)的日志.應(yīng)用網(wǎng)關(guān)的局限性u 用軟件處理數(shù)據(jù)包u 支持的應(yīng)用比較有限u 有時要求特定的客戶端軟件應(yīng)用網(wǎng)關(guān)的主要局限性在于它屬于處理密集性過程，這將占用大量的CPU和內(nèi)存資源，另外，詳盡的日志功能會占用大量的硬盤存儲空間，可以通過兩種方法來解決這個問題： 使用CTP 將AGF設(shè)置成只監(jiān)控關(guān)鍵應(yīng)用.應(yīng)用網(wǎng)關(guān)防火墻的應(yīng)用環(huán)境u CGF通常被用作主要的過濾設(shè)備（此時邊界路由可能用作或不用做第一線防御設(shè)備）u CTP通常被用作邊界防御設(shè)備u 應(yīng)用代理用來減輕CGF上的日志過載并監(jiān)控和記錄其他類型的流量分布式防火墻：.工作機(jī)制分布式防火墻由安全策略管理服務(wù)器Server以及客戶端防火墻Client組成?？蛻舳朔阑饓ぷ髟诟鱾€從服務(wù)器、工作站、個人計算機(jī)上，根據(jù)安全策略文件的內(nèi)容，依靠包過濾、特洛伊木馬過濾和腳本過濾的三層過濾檢查，保護(hù)計算機(jī)在正常使用網(wǎng)絡(luò)時不會受到惡意的攻擊，提高了網(wǎng)絡(luò)安全性。而安全策略管理服務(wù)器則負(fù)責(zé)安全策略、用戶、日志、審計等的管理。該服務(wù)器是集中管理控制中心，統(tǒng)一制定和分發(fā)安全策略，負(fù)責(zé)管理系統(tǒng)日志、多主機(jī)的統(tǒng)一管理，使終端用戶“零”負(fù)擔(dān)。病毒防火墻：在防火墻上內(nèi)置反病毒技術(shù)，綜合的防火墻，虛擬專用網(wǎng)和內(nèi)容過濾等安全功能。.防火墻功能特點：u 系統(tǒng)在網(wǎng)絡(luò)邊緣阻攔病毒u 系統(tǒng)提供了一道安全防線，使得在它后面的所有主機(jī)都受到保護(hù)。u 系統(tǒng)減輕了郵件服務(wù)器的負(fù)荷，因為受到感染的郵件在到達(dá)郵件服務(wù)器前就已經(jīng)被刪除。u 系統(tǒng)利用專用的平臺，而不是標(biāo)準(zhǔn)主機(jī)。她由ASIC加速處理。防火墻體系：雙宿網(wǎng)關(guān)防火墻：它擁有兩個連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口，例如：一個網(wǎng)口連接到外部不可信任網(wǎng)絡(luò)上，另一個接口連接到內(nèi)部可信任網(wǎng)絡(luò)上。這種防火墻最大的特點是IP層通信是被阻斷的，兩個網(wǎng)絡(luò)之間通信可以通過應(yīng)用層數(shù)據(jù)共享或者應(yīng)用層代理服務(wù)來完成。1.雙宿網(wǎng)關(guān)防火墻的特性：u 安全至關(guān)重要（唯一通道），其用戶口令控制安全是關(guān)鍵u 必須支持很多用戶的訪問（中轉(zhuǎn)站），其性能非常重要2.雙宿網(wǎng)關(guān)防火墻的局限性u 雙重宿主主機(jī)是個開內(nèi)外網(wǎng)絡(luò)的唯一屏障，一旦它被入侵，內(nèi)部網(wǎng)絡(luò)便向入侵者敞開。屏蔽主機(jī)防火墻：屏蔽主機(jī)體系結(jié)構(gòu)是由防火墻和內(nèi)部網(wǎng)絡(luò)的堡壘主機(jī)承擔(dān)安全責(zé)任，它強(qiáng)迫所有的外部主機(jī)與一個堡壘主機(jī)相連，而不是讓他們與內(nèi)網(wǎng)主機(jī)直接相連。一般由包過濾路由器和堡壘主機(jī)構(gòu)成。屏蔽主機(jī)防火墻的點：u 安全性更高，雙重保護(hù)：實現(xiàn)了網(wǎng)絡(luò)層安全(包過濾)和應(yīng)用層安全（代理服務(wù)）屏蔽主機(jī)防火墻的局限性：u 包過濾路由能否正確配置是安全與否的關(guān)鍵。如果路由器被損壞，堡壘主機(jī)將被穿過，整個網(wǎng)絡(luò)對侵襲者是開放的。屏蔽子網(wǎng)體系結(jié)構(gòu)防火墻：它使用兩個包過濾路由器和一個堡壘主機(jī)。本質(zhì)上與屏蔽主機(jī)體系結(jié)構(gòu)一樣，但添加了額外的一層保護(hù)體系周邊網(wǎng)絡(luò)。如下圖所示：堡壘主機(jī)是用戶網(wǎng)絡(luò)上最容易受到侵襲的機(jī)器。通過在周邊網(wǎng)絡(luò)上隔離堡壘主機(jī)，能減少在堡壘主機(jī)被褥前的影響。1.非軍事區(qū)（DMZ）的定義及作用：u 非軍事區(qū)（隔離區(qū)：DMZ）：網(wǎng)編網(wǎng)絡(luò)是一個防護(hù)層，在其上可以防止一些信息服務(wù)器，他們是犧牲主機(jī)，可能受到攻擊。所以被稱為DMZ。DMZ的作用：即使堡壘主機(jī)被入侵者控制，他仍可消除對內(nèi)部的偵聽。2.堡壘主機(jī)的作用：u 堡壘主機(jī)位于周邊網(wǎng)絡(luò)，是整個防御體系的核心。u 堡壘主機(jī)可被認(rèn)為是應(yīng)用層網(wǎng)關(guān)，可以運行各種代理服務(wù)程序。u 對于出戰(zhàn)服務(wù)不一定要求所有的服務(wù)經(jīng)過堡壘主機(jī)代理，但對于入站服務(wù)應(yīng)要求所有的服務(wù)都通過堡壘主機(jī)。3.外部路由器（訪問路由器）作用：保護(hù)周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的侵犯 它把入站的數(shù)據(jù)包路由到堡壘主機(jī) 防止部分IP欺騙，它可分辨出數(shù)據(jù)包是否真正來自周邊網(wǎng)絡(luò)，而內(nèi)部路由不可4.外部路由器（阻塞路由器） 作用：保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)和周邊網(wǎng)絡(luò)的侵害，它執(zhí)行大部分過濾工作 外部路由器一般與內(nèi)部路由器應(yīng)用相同的規(guī)則5.屏蔽子網(wǎng)間體系結(jié)構(gòu)的優(yōu)點：u 入侵者需要突破3個不同的設(shè)備才能入侵內(nèi)部網(wǎng)絡(luò)u 只對外通告了DMZ區(qū)的網(wǎng)絡(luò)，保證內(nèi)部網(wǎng)絡(luò)的不可見u 內(nèi)部網(wǎng)絡(luò)用戶通過堡壘主機(jī)或代理服務(wù)器訪問外部網(wǎng)絡(luò)其他防火墻體系結(jié)構(gòu)：防火墻的實現(xiàn)：軟件防火墻：軟件防火墻工作于系統(tǒng)接口與NDIS(Network Driver Interface Specification)之間，用于檢查和過濾NDIS發(fā)過來的數(shù)據(jù)包。1.軟件防火墻的致命弱點：u 軟件防火墻的多樣性是一個嚴(yán)重的缺點，操作系統(tǒng)本身的缺陷可能成為軟件防火墻的致命弱點，而硬件防火墻的安全性則相對較高。u 從速度上來看，硬件防火墻的速度優(yōu)勢是明顯的，軟件防火墻由于操作系統(tǒng)的限制，很容易成為網(wǎng)絡(luò)的瓶頸，硬件防火墻則很好的消除了這個缺陷。u 軟件防火墻的安裝配置比較復(fù)雜，也不便于使用。硬件防火墻：1.intel X86架構(gòu)：以其高靈活性和擴(kuò)展性在百兆防火墻上獲得過巨大的成功，百兆級的處理能力正好在這種架構(gòu)的范圍內(nèi)?；谶@個架構(gòu)的防火墻受CPU處理能力和PCI總線速度的制約，很難滿足千兆防火墻愛你個高吞吐量，低時延的要求。2.ASIC架構(gòu)：把指令或計算機(jī)邏輯固化到硬件中，可以獲得很高的處理能力。能夠達(dá)到線速千兆，滿足骨干網(wǎng)絡(luò)應(yīng)用的技術(shù)方案。但是，由于是固化硬件，所以缺乏靈活性，也不便于修改或升級。ASiC設(shè)計費用昂貴且風(fēng)險較大。3.NP架構(gòu)：采用微碼編程，具有以下特點：u 完全的可編程性u 簡單的編程模式u 最大化系統(tǒng)靈活性u 高處理能力u 高度功能集u 開放的編程接口u 第三方支持功能4.NP+ASIC架構(gòu)：綜合了ASIC架構(gòu)和NP架構(gòu)的優(yōu)點，在提升安全靈活性的同時也保證防火墻的性能。物理隔離技術(shù)：指導(dǎo)思想：物理隔離的指導(dǎo)思想與防火墻絕然不同：防火墻的思路是在保障互聯(lián)互通的前提下，盡可能的安全，而無力隔離的思路是在保證必須安全的前提下，盡可能互聯(lián)互通。 物理隔離在安全上的要求：u 在物理傳導(dǎo)上使用內(nèi)外網(wǎng)絡(luò)隔斷，確保外部網(wǎng)絡(luò)不能通過網(wǎng)絡(luò)連接而侵入內(nèi)部網(wǎng)，同時防止內(nèi)部網(wǎng)信息通過網(wǎng)絡(luò)連接泄漏到外部網(wǎng)。u 在物理輻射上隔斷內(nèi)部網(wǎng)和外部網(wǎng)，確保內(nèi)部網(wǎng)信息不會通過電磁輻射等方式泄漏到外部網(wǎng)絡(luò)。u 在物理存儲上隔斷兩個網(wǎng)絡(luò)環(huán)境，對于斷電后會遺失信息