計(jì)算機(jī)系統(tǒng)安全防火墻課件

1、計(jì)算機(jī)系統(tǒng)安全防火墻,1,計(jì)算機(jī)系統(tǒng)安全 第九章 防火墻,計(jì)算機(jī)系統(tǒng)安全防火墻,2,一、防火墻概述,什么是防火墻(Firewall) ,防火墻：在兩個(gè)信任程度不同的網(wǎng)絡(luò)之間設(shè)置的、用于加強(qiáng)訪問(wèn)控制的軟硬件保護(hù)設(shè)施,計(jì)算機(jī)系統(tǒng)安全防火墻,3,一、防火墻的用途,一、防火墻概述,1）作為“扼制點(diǎn)”，限制信息的進(jìn)入或離開； 2）防止侵入者接近并破壞你的內(nèi)部設(shè)施； 3）監(jiān)視、記錄、審查重要的業(yè)務(wù)流； 4）實(shí)施網(wǎng)絡(luò)地址轉(zhuǎn)換，緩解地址短缺矛盾。 防火墻只允許已授權(quán)的業(yè)務(wù)流通過(guò)，而且本身也應(yīng)抵抗?jié)B透攻擊。 建立防火墻必須全面考慮安全策略，否則形同虛設(shè),計(jì)算機(jī)系統(tǒng)安全防火墻,4,二、好的防火墻系統(tǒng),一、防火墻概

2、述,1）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過(guò)防火墻； 2）只有防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)可以通過(guò)防火墻； 3）防火墻本身不受各種攻擊的影響,計(jì)算機(jī)系統(tǒng)安全防火墻,5,三、防火墻的優(yōu)點(diǎn),一、防火墻概述,1.防止易受攻擊的服務(wù) 通過(guò)過(guò)濾不安全的服務(wù)來(lái)降低子網(wǎng)上主系統(tǒng)的風(fēng)險(xiǎn)。 可以禁止某些易受攻擊的服務(wù)(如NFS)進(jìn)入或離開受保護(hù)的子網(wǎng)。 可以防護(hù)基于路由選擇的攻擊，如源路由選擇和企圖通過(guò)ICMP改向把發(fā)送路徑轉(zhuǎn)向遭致?lián)p害的網(wǎng)點(diǎn),計(jì)算機(jī)系統(tǒng)安全防火墻,6,一、防火墻概述,2.控制訪問(wèn)網(wǎng)點(diǎn)系統(tǒng) 可以提供對(duì)系統(tǒng)的訪問(wèn)控制。如允許從外部訪問(wèn)某些主機(jī)(Mail Server和Web Server)

3、，同時(shí)禁止訪問(wèn)另外的主機(jī)。 3.集中安全性 防火墻定義的安全規(guī)則可用于整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無(wú)須在內(nèi)部網(wǎng)每臺(tái)機(jī)器上分別設(shè)立安全策略。 可以定義不同的認(rèn)證方法，而不需要在每臺(tái)機(jī)器上分別安裝特定的認(rèn)證軟件。外部用戶只需要經(jīng)過(guò)一次認(rèn)證即可訪問(wèn)內(nèi)部網(wǎng)。例如對(duì)于密碼口令系統(tǒng)或其他的身份認(rèn)證軟件等，放在防火墻系統(tǒng)中更是優(yōu)于放在每個(gè)Internet能訪問(wèn)的機(jī)器上,計(jì)算機(jī)系統(tǒng)安全防火墻,7,一、防火墻概述,4.增強(qiáng)的保密、強(qiáng)化私有權(quán) 使用防火墻系統(tǒng)，站點(diǎn)可以防止finger 以及DNS域名服務(wù)。Finger能列出當(dāng)前用戶，上次登錄時(shí)間，以及是否讀過(guò)郵件等。 5.有關(guān)網(wǎng)絡(luò)使用、濫用的記錄和統(tǒng)計(jì) 防火墻可以記錄各次

4、訪問(wèn)，并提供有關(guān)網(wǎng)絡(luò)使用率等有價(jià)值的統(tǒng)計(jì)數(shù)字。 網(wǎng)絡(luò)使用率統(tǒng)計(jì)數(shù)字可作為網(wǎng)絡(luò)需求研究和風(fēng)險(xiǎn)分析的依據(jù)；收集有關(guān)網(wǎng)絡(luò)試探的證據(jù)，可確定防火墻上的控制措施是否得當(dāng)，能否抵御試探和攻擊,計(jì)算機(jī)系統(tǒng)安全防火墻,8,四、防火墻的局限性,一、防火墻概述,1）防火墻防外不防內(nèi) 防火墻可以禁止系統(tǒng)用戶經(jīng)過(guò)網(wǎng)絡(luò)連接發(fā)送專有的信息，但用戶可以將數(shù)據(jù)復(fù)制到磁盤、磁帶上，放在公文包中帶出去。如果入侵者已經(jīng)在防火墻內(nèi)部，防火墻是無(wú)能為力的。內(nèi)部用戶偷竊數(shù)據(jù)，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻。對(duì)于來(lái)自知情者的威脅只能要求加強(qiáng)內(nèi)部管理，如主機(jī)安全和用戶教育、管理、制度等,計(jì)算機(jī)系統(tǒng)安全防火墻,9,一、防火墻

5、概述,2）不能防范繞過(guò)防火墻的攻擊 防火墻能夠有效地防止通過(guò)它進(jìn)行傳輸信息，然而不能防止不通過(guò)它而傳輸?shù)男畔?。例如，如果站點(diǎn)允許對(duì)防火墻后面的內(nèi)部系統(tǒng)進(jìn)行撥號(hào)訪問(wèn)，那么防火墻絕對(duì)沒(méi)有辦法阻止入侵者進(jìn)行撥號(hào)入侵。 3）防火墻配置復(fù)雜，容易出現(xiàn)安全漏洞 4）防火墻往往只認(rèn)機(jī)器（IP地址）不認(rèn)人（用戶身份），并且控制粒度較粗,計(jì)算機(jī)系統(tǒng)安全防火墻,10,一、防火墻概述,5）防火墻不能防范病毒 防火墻不能防止感染了病毒的軟件或文件的傳輸。這只能在每臺(tái)主機(jī)上裝反病毒軟件。 6）防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。 當(dāng)有些表面看來(lái)無(wú)害的數(shù)據(jù)被郵寄或復(fù)制到內(nèi)部網(wǎng)主機(jī)上并被執(zhí)行而發(fā)起攻擊時(shí)，就會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)攻擊。特

6、別是隨著Java、JavaScript、ActiveX的應(yīng)用，這一問(wèn)題更加突出,計(jì)算機(jī)系統(tǒng)安全防火墻,11,五、防火墻的特點(diǎn),一、防火墻概述,1、廣泛的服務(wù)支持：通過(guò)將動(dòng)態(tài)的、應(yīng)用層的過(guò)濾能力和認(rèn)證相結(jié)合，可實(shí)現(xiàn)WWW瀏覽器、HTTP服務(wù)器、 FTP等； 2、對(duì)私有數(shù)據(jù)的加密支持：保證通過(guò)Internet進(jìn)行虛擬私人網(wǎng)絡(luò)和商務(wù)活動(dòng)的安全； 3、客戶端認(rèn)證：只允許指定的用戶訪問(wèn)內(nèi)部網(wǎng)絡(luò)或選擇服務(wù)：企業(yè)本地網(wǎng)與分支機(jī)構(gòu)、商業(yè)伙伴和移動(dòng)用戶間安全通信的附加部分,計(jì)算機(jī)系統(tǒng)安全防火墻,12,五、防火墻的特點(diǎn),一、防火墻概述,4、反欺騙：欺騙是從外部獲取網(wǎng)絡(luò)訪問(wèn)權(quán)的常用手段，它使數(shù)據(jù)包好似來(lái)自網(wǎng)絡(luò)內(nèi)部。

7、防火墻能監(jiān)視這樣的數(shù)據(jù)包并能扔掉它們； 5、C/S模式和跨平臺(tái)支持：能使運(yùn)行在一平臺(tái)的管理模塊控制運(yùn)行在另一平臺(tái)的監(jiān)視模塊,計(jì)算機(jī)系統(tǒng)安全防火墻,13,1、服務(wù)訪問(wèn)政策,二、網(wǎng)絡(luò)政策,服務(wù)訪問(wèn)政策是整個(gè)機(jī)構(gòu)信息安全政策的延伸，既要可靠又要切合實(shí)際。 一個(gè)典型的政策可以不允許從Internet訪問(wèn)網(wǎng)點(diǎn)，但要允許從網(wǎng)點(diǎn)訪問(wèn)Internet。 另一個(gè)典型政策是允許從Internet進(jìn)行某些訪問(wèn)，但是或許只許可訪問(wèn)經(jīng)過(guò)選擇的系統(tǒng)，如Web服務(wù)器和電子郵件服務(wù)器,計(jì)算機(jī)系統(tǒng)安全防火墻,14,允許,拒絕,2、防火墻設(shè)計(jì)政策,防火墻一般實(shí)施兩個(gè)基本設(shè)計(jì)方針之一: 1. “沒(méi)有明確允許的都是被禁止的”，即拒絕

8、一切未予特許的東西。 2. “沒(méi)有明確禁止的都是被允許的”；也即是允許一切未被特別拒絕的東西,允許,拒絕,計(jì)算機(jī)系統(tǒng)安全防火墻,15,六、防火墻的體系結(jié)構(gòu),1）屏蔽路由器（Screened Router） 2）雙宿主機(jī)網(wǎng)關(guān)； Dual Homed Host Gateway 3）屏蔽主機(jī)防火墻； Screened Gateway 4）屏蔽子網(wǎng)防火墻。 Screened Subnet,計(jì)算機(jī)系統(tǒng)安全防火墻,16,1.屏蔽路由器（Screened Router,包過(guò)濾路由器： 路由 + 過(guò)濾 這是最簡(jiǎn)單的防火墻。 缺點(diǎn)： 日志沒(méi)有或很少，難以判斷是否被入侵 規(guī)則表會(huì)隨著應(yīng)用變得很復(fù)雜 單一的部件保護(hù)

9、，脆弱,計(jì)算機(jī)系統(tǒng)安全防火墻,17,2.雙宿主機(jī)網(wǎng)關(guān),防火墻體系結(jié)構(gòu),計(jì)算機(jī)系統(tǒng)安全防火墻,18,防火墻體系結(jié)構(gòu),用一臺(tái)裝有兩塊網(wǎng)卡的計(jì)算機(jī)作為堡壘主機(jī)（Bastion host），兩塊網(wǎng)卡分別與內(nèi)部網(wǎng)和外部網(wǎng)（或屏蔽路由器）相連，每塊網(wǎng)卡有各自的IP地址。堡壘主機(jī)上運(yùn)行防火墻軟件代理服務(wù)（應(yīng)用層網(wǎng)關(guān)）。在建立雙宿主機(jī)時(shí)，應(yīng)關(guān)閉操作系統(tǒng)的路由功能（IP轉(zhuǎn)發(fā)），否則兩塊網(wǎng)卡間的通信會(huì)繞過(guò)代理服務(wù)器軟件。 優(yōu)點(diǎn)：與屏蔽路由器相比，提供日志以備檢查 缺點(diǎn)：雙宿主機(jī)易受攻擊,計(jì)算機(jī)系統(tǒng)安全防火墻,19,3.屏蔽主機(jī)防火墻,防火墻體系結(jié)構(gòu),計(jì)算機(jī)系統(tǒng)安全防火墻,20,屏蔽主機(jī)體系結(jié)構(gòu),計(jì)算機(jī)系統(tǒng)安全防火

10、墻,21,防火墻體系結(jié)構(gòu),由屏蔽路由器和應(yīng)用網(wǎng)關(guān)組成。 兩道屏障：網(wǎng)絡(luò)層的包過(guò)濾；應(yīng)用層代理服務(wù) 注：與雙宿主機(jī)網(wǎng)關(guān)不同，這里的應(yīng)用網(wǎng)關(guān)只有一塊網(wǎng)卡。 優(yōu)點(diǎn)：雙重保護(hù)，安全性更高。 實(shí)施策略：針對(duì)不同的服務(wù)，選擇其中的一種或兩種保護(hù)措施,計(jì)算機(jī)系統(tǒng)安全防火墻,22,4.屏蔽子網(wǎng)體系結(jié)構(gòu),防火墻體系結(jié)構(gòu),組成：一個(gè)包含堡壘主機(jī)的周邊子網(wǎng)、兩臺(tái)屏蔽路由器,計(jì)算機(jī)系統(tǒng)安全防火墻,23,屏蔽子網(wǎng)體系結(jié)構(gòu),計(jì)算機(jī)系統(tǒng)安全防火墻,24,防火墻體系結(jié)構(gòu),屏蔽子網(wǎng)防火墻中，添加周邊網(wǎng)絡(luò)進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與Internet隔離開。 通過(guò)在周邊網(wǎng)絡(luò)上隔離堡壘主機(jī)，能減少在堡壘主機(jī)上侵入的影響。 要想侵入用這種類型

11、的體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，侵襲者必須通過(guò)外部路由器，堡壘主機(jī)，內(nèi)部路由器三道關(guān)口。 1）周邊網(wǎng)絡(luò)：非軍事化區(qū)、停火區(qū)（DMZ） 周邊網(wǎng)絡(luò)是另一個(gè)安全層,是在外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間的附加的網(wǎng)絡(luò),計(jì)算機(jī)系統(tǒng)安全防火墻,25,防火墻體系結(jié)構(gòu),周邊網(wǎng)絡(luò)的作用 對(duì)于周邊網(wǎng)絡(luò)，如果某人侵入周邊網(wǎng)上的堡壘主機(jī)，他僅能探聽到周邊網(wǎng)上的通信。因?yàn)樗兄苓吘W(wǎng)上的通信來(lái)自或者通往堡壘主機(jī)或Internet。 因?yàn)闆](méi)有嚴(yán)格的內(nèi)部通信(即在兩臺(tái)內(nèi)部主機(jī)之間的通信，這通常是敏感的或者專有的)能越過(guò)周邊網(wǎng)。所以，如果堡壘主機(jī)被損害，內(nèi)部的通信仍將是安全的,計(jì)算機(jī)系統(tǒng)安全防火墻,26,防火墻體系結(jié)構(gòu),2）堡壘主機(jī) 接受來(lái)自外

12、界連接的主要入口： 1對(duì)于進(jìn)來(lái)的電子郵件（SMTP）會(huì)話，傳送電子郵件到站點(diǎn)； 2對(duì)于進(jìn)來(lái)的FTP連接，轉(zhuǎn)接到站點(diǎn)的匿名FTP服務(wù)器； 3對(duì)于進(jìn)來(lái)的域名服務(wù)（DNS）站點(diǎn)查詢等,計(jì)算機(jī)系統(tǒng)安全防火墻,27,防火墻體系結(jié)構(gòu),出站服務(wù)按如下任一方法處理： 1.在外部和內(nèi)部的路由器上設(shè)置數(shù)據(jù)包過(guò)濾來(lái)允許內(nèi)部的客戶端直接訪問(wèn)外部的服務(wù)器。 2.設(shè)置代理服務(wù)器在堡壘主機(jī)上運(yùn)行（如果用戶的防火墻使用代理軟件）來(lái)允許內(nèi)部的客戶端間接地訪問(wèn)外部的服務(wù)器。用戶也可以設(shè)置數(shù)據(jù)包過(guò)濾來(lái)允許內(nèi)部的客戶端在堡壘主機(jī)上同代理服務(wù)器交談。但是禁止內(nèi)部的客戶端與外部世界之間直接通信(如撥號(hào)上網(wǎng),計(jì)算機(jī)系統(tǒng)安全防火墻,28,防

13、火墻體系結(jié)構(gòu),3）內(nèi)部路由器 內(nèi)部路由器（阻塞路由器）：保護(hù)內(nèi)部的網(wǎng)絡(luò)使之免受Internet和周邊子網(wǎng)的侵犯。 內(nèi)部路由器為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過(guò)濾工作。它允許從內(nèi)部網(wǎng)到Internet的有選擇的出站服務(wù)。這些服務(wù)是用戶使用數(shù)據(jù)包過(guò)濾而不是通過(guò)代理服務(wù)提供。 內(nèi)部路由器所允許的在周邊網(wǎng)和內(nèi)部網(wǎng)之間服務(wù)可不同于內(nèi)部路由器所允許的在外部和內(nèi)部網(wǎng)之間的服務(wù)。 限制堡壘主機(jī)與內(nèi)部網(wǎng)之間的通信可減少堡壘機(jī)被攻破時(shí)對(duì)內(nèi)部網(wǎng)的危害,計(jì)算機(jī)系統(tǒng)安全防火墻,29,防火墻體系結(jié)構(gòu),4）外部路由器 在理論上，外部路由器保護(hù)周邊網(wǎng)和內(nèi)部網(wǎng)使之免受來(lái)自Internet的侵犯。實(shí)際上，外部路由器傾向于允許幾乎

14、任何東西從周邊網(wǎng)出站，并且它們通常只執(zhí)行非常少的數(shù)據(jù)包過(guò)濾。 外部路由器安全任務(wù)之一是：阻止從Internet上偽造源地址進(jìn)來(lái)的任何數(shù)據(jù)包,計(jì)算機(jī)系統(tǒng)安全防火墻,30,內(nèi)部防火墻問(wèn)題,防火墻體系結(jié)構(gòu),在大部分討論中,都假定建立防火墻的目的在于保護(hù)內(nèi)部網(wǎng)免受外部網(wǎng)的侵?jǐn)_。但有時(shí)為了某些原因，我們還需要對(duì)內(nèi)部網(wǎng)的部分站點(diǎn)再加以保護(hù)以免受內(nèi)部的其它站點(diǎn)的侵襲。因此，有時(shí)我們需要在同一結(jié)構(gòu)的兩個(gè)部分之間，或者在同一內(nèi)部網(wǎng)的兩個(gè)不同組織結(jié)構(gòu)之間再建立防火墻（也被稱為內(nèi)部防火墻,計(jì)算機(jī)系統(tǒng)安全防火墻,31,復(fù)合型防火墻,復(fù)合型防火墻,采用哪種形式的防火墻取決于經(jīng)費(fèi)、技術(shù)、時(shí)間等,包過(guò)濾,應(yīng)用網(wǎng)關(guān),電路網(wǎng)關(guān)

15、,計(jì)算機(jī)系統(tǒng)安全防火墻,32,包過(guò)濾技術(shù),包過(guò)濾技術(shù),計(jì)算機(jī)系統(tǒng)安全防火墻,33,包過(guò)濾技術(shù)的原理,包過(guò)濾技術(shù),在路由器上加入IP Filtering 功能，這樣的路由器就成為Screening Router 。 Router逐一審查每個(gè)數(shù)據(jù)包以判定它是否與其它包過(guò)濾規(guī)則相匹配(只檢查包頭，不理會(huì)包內(nèi)的正文信息)。 如果找到一個(gè)匹配，且規(guī)則允許這包，這個(gè)包則根據(jù)路由表中的信息前行； 如果找到一個(gè)匹配，且規(guī)則允許拒絕此包，這一包則被舍棄； 如果無(wú)匹配規(guī)則，一個(gè)用戶配置的缺省參數(shù)將決定此包是前行還是被舍棄,計(jì)算機(jī)系統(tǒng)安全防火墻,34,IPv4,包過(guò)濾技術(shù),版本號(hào),Version,4bit,報(bào)頭長(zhǎng),

16、IHL,4bit,服務(wù)類型,ServiceType,8bit,分組總長(zhǎng)度,Total Length,16bit,標(biāo)識(shí),Identification,16bit,標(biāo)志,Flags,3bit,片偏移,Fragment Offset,13bit,生存時(shí)間,Time to Live,8bit,傳輸層協(xié)議,Protocol,8bit,頭部校驗(yàn)和,Header Checksum,16bit,源,IP,地址,Source Address(32bit,宿,IP,地址,Destination Address(32bit,可選項(xiàng),Option,有效負(fù)載 Payload（0或多個(gè)字節(jié),20 bytes,0 4 8

17、16 19 31,填充域,padding,計(jì)算機(jī)系統(tǒng)安全防火墻,35,ICMP報(bào)文,包過(guò)濾技術(shù),ICMP報(bào)文的一般格式,Data,差錯(cuò)信息 出錯(cuò)IP數(shù)據(jù)報(bào)的頭+64個(gè)字節(jié)數(shù)據(jù),類型,Type,8bit,代碼,Code,8bit,檢驗(yàn)和,Checksum,16bit,不同類型和代碼有不同的內(nèi)容Data,0 8 16 31,ICMP header ICMP data,IP header I P data,封裝,計(jì)算機(jī)系統(tǒng)安全防火墻,36,TCP頭部,包過(guò)濾技術(shù),源端口,Source Port,16bit,宿端口,Destination Port,16bit,序列號(hào),Sequence Number,

18、32bit,確認(rèn)號(hào),Acknowledgment Number,32bit,Data,Offset,4bit,Reserved,6bit,U,R,G,A,C,K,P,S,H,R,S,T,S,Y,N,F,I,N,窗口大小,Window,size,16bit,校驗(yàn)和,Checksum,16bit,緊急指針,Urgent Pointer,16bit,選項(xiàng),Options (0,或多個(gè),32,bit,字,數(shù)據(jù),Data,可選,計(jì)算機(jī)系統(tǒng)安全防火墻,37,UDP頭部,包過(guò)濾技術(shù),UDP源端口,UDP宿端口,UDP長(zhǎng)度,UDP校驗(yàn)和,16bit,16bit,最小值為8,全“0”：不選； 全“1”：校驗(yàn)和為

19、0,計(jì)算機(jī)系統(tǒng)安全防火墻,38,包過(guò)濾的依據(jù),包過(guò)濾技術(shù),IP 源地址 IP目的地址 封裝協(xié)議(TCP、UDP、或IP Tunnel) TCP/UDP源端口 TCP/UDP目的端口 ICMP包類型 TCP報(bào)頭的ACK位 包輸入接口和包輸出接口,計(jì)算機(jī)系統(tǒng)安全防火墻,39,依賴于服務(wù)的過(guò)濾,包過(guò)濾技術(shù),多數(shù)服務(wù)對(duì)應(yīng)特定的端口，例：Telnet、SMTP、POP3分別為23、25、110。如要封鎖輸入Telnet 、SMTP的連接，則Router丟棄端口值為23和25的所有數(shù)據(jù)包。 典型的過(guò)濾規(guī)則有以下幾種： .只允許進(jìn)來(lái)的Telnet會(huì)話連接到指定的一些內(nèi)部主機(jī) .只允許進(jìn)來(lái)的FTP會(huì)話連接到指

20、定的一些內(nèi)部主機(jī) .允許所有出去的Telnet 會(huì)話 . 允許所有出去的FTP 會(huì)話 .拒絕從某些指定的外部網(wǎng)絡(luò)進(jìn)來(lái)的所有信息,計(jì)算機(jī)系統(tǒng)安全防火墻,40,獨(dú)立于服務(wù)的過(guò)濾,有些類型的攻擊很難用基本包頭信息加以鑒別，因?yàn)楠?dú)立于服務(wù)。要防止這類攻擊，需要在過(guò)濾規(guī)則中考慮其它信息，如：路由表、特定的IP選項(xiàng)、特定的片段偏移等。不依賴于服務(wù)的攻擊有三類： 1）源IP地址欺騙攻擊 入侵者從偽裝成源自一臺(tái)內(nèi)部主機(jī)的一個(gè)外部地點(diǎn)傳送一些信息包；這些信息包似乎像包含了一個(gè)內(nèi)部系統(tǒng)的源IP地址。如果這些信息包到達(dá)Router的外部接口，則舍棄每個(gè)含有這個(gè)源IP地址的信息包，就可以挫敗這種源欺騙攻擊,計(jì)算機(jī)系統(tǒng)

21、安全防火墻,41,包過(guò)濾技術(shù),2）源路由攻擊 攻擊者為信息包指定一個(gè)穿越Internet的路由，這類攻擊企圖繞過(guò)安全措施，并使信息包沿一條意外(疏漏)的路徑到達(dá)目的地。可以通過(guò)舍棄所有包含這類源路由選項(xiàng)的信息包方式，來(lái)挫敗這類攻擊。 3）殘片攻擊 入侵者利用IP分段特性生成一個(gè)極小的片斷并將TCP報(bào)頭信息肢解成一個(gè)分離的信息包片斷，使數(shù)據(jù)包繞過(guò)用戶定義的過(guò)濾規(guī)則。黑客希望過(guò)濾路由器只檢查第一分段，而允許其它分段通過(guò)。通過(guò)舍棄所有協(xié)議類型為TCP、IP報(bào)頭中Fragment Offset=1的數(shù)據(jù)包，即可挫敗殘片的攻擊,計(jì)算機(jī)系統(tǒng)安全防火墻,42,推薦的過(guò)濾規(guī)則,任何進(jìn)入內(nèi)網(wǎng)的數(shù)據(jù)包不能將內(nèi)部地

22、址作為源地址 任何進(jìn)入內(nèi)網(wǎng)的數(shù)據(jù)包必須將內(nèi)部地址作為目標(biāo)地址 任何離開內(nèi)網(wǎng)的數(shù)據(jù)包必須將內(nèi)部地址作為源地址 任何離開內(nèi)網(wǎng)的數(shù)據(jù)包不能將內(nèi)部地址作為目標(biāo)地址 任何進(jìn)入或離開內(nèi)網(wǎng)的數(shù)據(jù)包不能把一個(gè)私有地址或者/8作為源或目標(biāo)地址 保留、DHCP自動(dòng)配置和多播地址也要被阻塞： /8 /16 /24 /4 /4,計(jì)算機(jī)系統(tǒng)安全防火墻,43,包過(guò)濾路由器的優(yōu)點(diǎn),包過(guò)濾技術(shù),1、實(shí)現(xiàn)包過(guò)濾幾乎不再需要費(fèi)用。這些特點(diǎn)都包含再標(biāo)準(zhǔn)的路由器軟件中。絕大多數(shù)Internet防火墻系統(tǒng)只用一個(gè)包過(guò)濾路由器.

23、2、執(zhí)行PACKET FILTER 所用的時(shí)間很少或幾乎不需要什么時(shí)間。因?yàn)镮nternet 訪問(wèn)一般被提供給一個(gè)WAN接口。如果通信負(fù)載適中且定義的過(guò)濾很少的話,則對(duì)路由性能沒(méi)有多大影響. 3、包過(guò)濾路由器對(duì)終端用戶和應(yīng)用程序是透明的,因此不需要專門的用戶培訓(xùn)或在每主機(jī)上設(shè)置特別的軟件,計(jì)算機(jī)系統(tǒng)安全防火墻,44,包過(guò)濾路由器的局限性,包過(guò)濾技術(shù),1、定義包過(guò)濾器的工作復(fù)雜, 要了解Internet各種服務(wù)、包頭格式和每個(gè)域查找的特定值。管理困難。 2、通過(guò)路由器的數(shù)據(jù)包有可能被用于數(shù)據(jù)驅(qū)動(dòng)攻擊 3、過(guò)濾器數(shù)目增加，路由器吞吐量下降 4、無(wú)法對(duì)流動(dòng)的信息提供全面控制。不能理解上下文。 5、一

24、些應(yīng)用協(xié)議不適合于包過(guò)濾，如：RPC、FTP等。 6、日志能力較弱。不能報(bào)告誰(shuí)企圖入侵。 7、難以針對(duì)用戶實(shí)施安全策略,計(jì)算機(jī)系統(tǒng)安全防火墻,45,代理服務(wù)技術(shù),代理服務(wù),該技術(shù)它能夠?qū)⑺锌缭椒阑饓Φ木W(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的連接，由兩個(gè)代理服務(wù)器之間的連接來(lái)實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。 此外，代理服務(wù)器也對(duì)過(guò)往的數(shù)據(jù)包進(jìn)行分析、記錄、形成報(bào)告，當(dāng)發(fā)現(xiàn)攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警告，并保留攻擊痕跡,計(jì)算機(jī)系統(tǒng)安全防火墻,46,代理服務(wù)技術(shù),代理服務(wù),計(jì)算機(jī)系統(tǒng)安全防火墻,47,應(yīng)用層網(wǎng)關(guān),應(yīng)用網(wǎng)關(guān),應(yīng)用層網(wǎng)

25、關(guān)（Application Level Gateways）技術(shù)是在網(wǎng)絡(luò)的應(yīng)用層上實(shí)現(xiàn)協(xié)議過(guò)濾和轉(zhuǎn)發(fā)功能。它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議，如：超文本傳輸協(xié)議(HTTP)、遠(yuǎn)程文件傳輸協(xié)議(FTP)等，使用指定的數(shù)據(jù)過(guò)濾規(guī)則。并在過(guò)濾的同時(shí)，對(duì)數(shù)據(jù)包進(jìn)行必要的分析、記錄和統(tǒng)計(jì)，形成報(bào)告。記錄和控制所有進(jìn)出流量是應(yīng)用層網(wǎng)關(guān)的一個(gè)主要優(yōu)點(diǎn),計(jì)算機(jī)系統(tǒng)安全防火墻,48,應(yīng)用層上的過(guò)濾,應(yīng)用網(wǎng)關(guān),計(jì)算機(jī)系統(tǒng)安全防火墻,49,應(yīng)用層網(wǎng)關(guān),計(jì)算機(jī)系統(tǒng)安全防火墻,50,電路層網(wǎng)關(guān)(Circuit Gateway,電路網(wǎng)關(guān)工作在OSI的會(huì)話層。分組地址是一個(gè)應(yīng)用層的用戶進(jìn)程。電路網(wǎng)關(guān)在兩個(gè)通信端點(diǎn)之間復(fù)制字節(jié)。電路

26、網(wǎng)關(guān)包含有支持某些TCP/IP應(yīng)用的程序代碼，但通常是有限的。 電路網(wǎng)關(guān)適于限制內(nèi)部網(wǎng)對(duì)外部的訪問(wèn)，但不能實(shí)施協(xié)議過(guò)濾。從電路網(wǎng)關(guān)出來(lái)的連接好象都是從防火墻產(chǎn)生的，故可以隱藏內(nèi)部網(wǎng)絡(luò)信息。 電路網(wǎng)關(guān)與包過(guò)濾相似，但比包過(guò)濾高兩層，安全性更好,計(jì)算機(jī)系統(tǒng)安全防火墻,51,電路層網(wǎng)關(guān),計(jì)算機(jī)系統(tǒng)安全防火墻,52,一個(gè)例子,代理服務(wù),用包過(guò)濾路由器封鎖所有輸入Telnet和Ftp 連接的網(wǎng)點(diǎn)。路由器允許Telnet和Ftp包只通過(guò)一個(gè)主系統(tǒng)，即Telnet/Ftp應(yīng)用網(wǎng)關(guān)，然后再連接到目的主系統(tǒng)： 用戶首先把Telnet連接到應(yīng)用網(wǎng)關(guān)，并輸入內(nèi)部主系統(tǒng)名字； 網(wǎng)關(guān)檢驗(yàn)用戶的源IP地址，并根據(jù)訪問(wèn)準(zhǔn)則

27、接受或拒絕； 用戶可能需要證明自己的身份（可使用一次性口令裝置）； 代理服務(wù)軟件在網(wǎng)關(guān)和內(nèi)部主系統(tǒng)之間建立Telnet連接； 代理服務(wù)軟件在兩個(gè)連接之間傳送數(shù)據(jù)； 應(yīng)用網(wǎng)關(guān)記錄連接情況,計(jì)算機(jī)系統(tǒng)安全防火墻,53,代理服務(wù)的優(yōu)點(diǎn),代理服務(wù),1）易于配置 軟件實(shí)現(xiàn)，界面友好 2）日志記錄，便于分析 3）靈活控制進(jìn)出流量、內(nèi)容(who、what、 where 、when) 例如，可以過(guò)濾協(xié)議。為防止用戶向匿名FTP服務(wù)器寫數(shù)據(jù)，可拒絕使用FTP 協(xié)議中的 put 命令； 能過(guò)濾數(shù)據(jù)內(nèi)容：文本過(guò)濾、圖像過(guò)濾、病毒掃描等。 4）為用戶提供透明的加密機(jī)制 VPN 5）便于與其它安全手段集成 認(rèn)證 授權(quán)

28、加密 TLS協(xié)議,計(jì)算機(jī)系統(tǒng)安全防火墻,54,代理服務(wù)的缺點(diǎn),速度慢：檢查內(nèi)容；轉(zhuǎn)發(fā)/響應(yīng) 代理對(duì)用戶不透明 對(duì)客戶端要定制軟件或改動(dòng)； 如何跨平臺(tái)；代理服務(wù)難以讓可戶非常滿意 不能改進(jìn)底層協(xié)議的安全 IP欺騙 SYN泛濫 拒絕服務(wù)攻擊 有可能受到協(xié)議漏洞的威脅,計(jì)算機(jī)系統(tǒng)安全防火墻,55,包過(guò)濾與代理的結(jié)合,代理服務(wù),為提高安全性，將包過(guò)濾方法與應(yīng)用代理的方法結(jié)合起來(lái)，形成復(fù)合型防火墻產(chǎn)品。有兩種方案。 1) 屏蔽主機(jī)防火墻體系結(jié)構(gòu)：在該結(jié)構(gòu)中，包過(guò)濾路由器或防火墻與Internet相連，同時(shí)一個(gè)堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過(guò)在包過(guò)濾路由器或防火墻上過(guò)濾規(guī)則的設(shè)置，使堡壘機(jī)成為Internet上其它節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn)，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊,計(jì)算機(jī)系統(tǒng)安全防火墻,56,代理服務(wù),2)屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機(jī)放在一個(gè)子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個(gè)包過(guò)濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘主機(jī)和包過(guò)濾路由器共同構(gòu)成了整個(gè)防火墻的安全基礎(chǔ)。 代理服務(wù)器及防火墻軟件包： Wingate Microsoft Proxy Server,計(jì)算機(jī)系統(tǒng)安全防火墻,57,用戶眼中的代