網(wǎng)絡(luò)安全+第4講+防火墻

1、第4講 防火墻.一、防火墻根本知識1、防火墻的提出2、防火墻表示圖3、防火墻是什么4、防火墻概念5、防火墻實現(xiàn)層次6、防火墻功能7、爭議及缺乏.企業(yè)上網(wǎng) 面 臨 的 安 全 問 題之一: 內(nèi)部網(wǎng)與互聯(lián)網(wǎng)的有效隔離解答: 防火墻網(wǎng)絡(luò)間的訪問 -需隔離 FIREWALL1、防火墻的提出.2、防火墻表示圖Internet1. 企業(yè)內(nèi)聯(lián)網(wǎng)2. 部門子網(wǎng)3. 分公司網(wǎng)絡(luò).3、防火墻是什么1在一個受維護(hù)的企業(yè)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)間,用來強(qiáng)迫執(zhí)行企業(yè)平安戰(zhàn)略的一個或一組系統(tǒng).防火墻主要用于維護(hù)內(nèi)部平安網(wǎng)絡(luò)免受外部網(wǎng)不平安網(wǎng)絡(luò)的損害。典型情況：平安網(wǎng)絡(luò)為企業(yè)內(nèi)部網(wǎng)絡(luò)，不平安網(wǎng)絡(luò)為因特網(wǎng)。但防火墻不只用于因特網(wǎng)，也

2、可用于Intranet各部門網(wǎng)絡(luò)之間內(nèi)部防火墻。例：財務(wù)部與市場部之間。3、防火墻是什么2.4、防火墻概念1最初含義：當(dāng)房屋還處于木制構(gòu)造的時侯，人們將石塊堆砌在房屋周圍用來防止火災(zāi)的發(fā)生。這種墻被稱之為防火墻。Rich Kosinski(Internet Security公司總裁：防火墻是一種訪問控制技術(shù)，在某個機(jī)構(gòu)的網(wǎng)絡(luò)和不平安的網(wǎng)絡(luò)之間設(shè)置妨礙，阻止對信息資源的非法訪問。換句話說，防火墻是一道門檻，控制進(jìn)/出兩個方向的通訊。.William Cheswick和Steve Beilovin1994：防火墻是放置在兩個網(wǎng)絡(luò)之間的一組組件，這組組件共同具有以下性質(zhì)：只允許本地平安戰(zhàn)略授權(quán)的通訊

3、信息經(jīng)過雙向通訊信息必需經(jīng)過防火墻防火墻本身不會影響信息的流通4、防火墻概念2.4、防火墻概念3簡單的說，網(wǎng)絡(luò)平安的第一道防線 防火墻是位于兩個信任程度不同的網(wǎng)絡(luò)之間如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間的軟件或硬件設(shè)備的組合，它對兩個網(wǎng)絡(luò)之間的通訊進(jìn)展控制，經(jīng)過強(qiáng)迫實施一致的平安戰(zhàn)略，防止對重要信息資源的非法存取和訪問以到達(dá)維護(hù)系統(tǒng)平安的目的。.5、防火墻實現(xiàn)層次.6、防火墻功能1 根本功能模塊運(yùn)用程序代理包過濾&形狀檢測用戶認(rèn)證NATVPN日志IDS與報警內(nèi)容過濾.防火墻的功能過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)管理進(jìn)出網(wǎng)絡(luò)的訪問行為封堵某些制止的業(yè)務(wù)記錄進(jìn)出網(wǎng)絡(luò)的信息和活動對網(wǎng)絡(luò)攻擊進(jìn)展檢測和告警6、防火墻

4、功能2.7、爭議及缺乏運(yùn)用不便，以為防火墻給人虛偽的平安感對用戶不完全透明，能夠帶來傳輸延遲、瓶頸及單點(diǎn)失效不能替代墻內(nèi)的平安措施不能防備惡意的知情者 不能防備不經(jīng)過它的銜接 不能防備全新的要挾 不能有效地防備數(shù)據(jù)驅(qū)動式的攻擊當(dāng)運(yùn)用端-端加密時，其作用會遭到很大的限制.防火墻的姿態(tài)回絕沒有特別允許的任何事情允許沒有特別回絕的任何事情.機(jī)構(gòu)的平安戰(zhàn)略防火墻不是獨(dú)立的，是機(jī)構(gòu)總體平安戰(zhàn)略的一部分。平安戰(zhàn)略必需建立在精心進(jìn)展的平安分析、風(fēng)險評價以及商業(yè)需求分析的根底上。本錢要素。.二、防火墻種類1、防火墻的種類2、包過濾防火墻3、NAT方式4、代理效力器5、全形狀檢查.1、防火墻的種類防火墻的存在方

5、式：軟件、硬件。根據(jù)防備方式和偏重點(diǎn)的不同可分為四類：包過濾運(yùn)用層代理電路層代理形狀檢測.2、包過濾防火墻1.2、包過濾防火墻2包的進(jìn)入接口和出接口假設(shè)有匹配并且規(guī)那么允許該數(shù)據(jù)包，那么該數(shù)據(jù)包就會按照路由表中的信息被轉(zhuǎn)發(fā)。假設(shè)匹配并且規(guī)那么回絕該數(shù)據(jù)包，那么該數(shù)據(jù)包就會被丟棄。假設(shè)沒有匹配規(guī)那么，用戶配置的缺省參數(shù)會決議是轉(zhuǎn)發(fā)還是丟棄數(shù)據(jù)包。.包過濾防火墻使得防火墻可以根據(jù)特定的效力允許或回絕流動的數(shù)據(jù)，由于多數(shù)的效力收聽者都在知的TCP/UDP端口號上。例如，Telnet效力器在TCP的23號端口上監(jiān)聽遠(yuǎn)地銜接，而SMTP效力器在TCP的25號端口上監(jiān)聽人銜接。為了阻塞一切進(jìn)入的Telne

6、t銜接，防火墻只需簡單的丟棄一切TCP端口號等于23的數(shù)據(jù)包。為了將進(jìn)來的Telnet銜接限制到內(nèi)部的數(shù)臺機(jī)器上，防火墻必需回絕一切TCP端口號等于23并且目的IP地址不等于允許主機(jī)的IP地址的數(shù)據(jù)包。2、包過濾防火墻3.2、包過濾防火墻4數(shù)據(jù)包過濾普通要檢查網(wǎng)絡(luò)層的IP頭和傳輸層的頭：IP源地址IP目的地址協(xié)議類型TCP包、UDP包和ICMP包TCP或UDP包的目的端口TCP或UDP包的源端口ICMP音訊類型TCP包頭的ACK位TCP包的序列號、IP校驗和等.2、包過濾防火墻5UDP的動態(tài)數(shù)據(jù)包過濾 流入流出的UDP數(shù)據(jù)報的源地址、源端口號、目的地址、目的端口號要匹配.優(yōu)點(diǎn)： 速度快，性能高

7、 對用戶透明缺陷： 維護(hù)比較困難(需求對TCP/IP了解 平安性低 不提供有用的日志，或根本就不提供 不防備數(shù)據(jù)驅(qū)動型攻擊 不能根據(jù)形狀信息進(jìn)展控制 無法對網(wǎng)絡(luò)上流動的信息提供全面的控制2、包過濾防火墻6優(yōu)缺陷互連的物理介質(zhì)運(yùn)用層表示層會話層傳輸層運(yùn)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層.3、NAT方式1.NAT的類型靜態(tài)NATNAT池PAT端口NAT.3、NAT方式2.3、NAT方式3.4、代理效力代理效力分類：代理效力可分為運(yùn)用級代理與電路級代理：運(yùn)用級代理針對每一個運(yùn)用都有一個程序，它在運(yùn)用協(xié)議中了解并解釋命令。運(yùn)用級代理的優(yōu)點(diǎn)為它能解釋

8、運(yùn)用協(xié)議從而獲得更多的信息，缺陷為只適用于單一協(xié)議。電路級代理是在客戶和效力器之間不解釋運(yùn)用協(xié)議即建立回路。電路級代理的優(yōu)點(diǎn)在于它能對各種不同的協(xié)議提供效力，缺陷在于它對因代理而發(fā)生的情況幾乎不加控制。 .4、運(yùn)用級代理proxy (1)代理效力是運(yùn)轉(zhuǎn)在防火墻主機(jī)上的專門的運(yùn)用程序或者效力器程序。不允許直接在外部網(wǎng)和內(nèi)部網(wǎng)之間建立通訊。將一切跨越防火墻的網(wǎng)絡(luò)通訊鏈路分為兩段。防火墻內(nèi)外計算機(jī)系統(tǒng)間運(yùn)用層的“ 鏈接，由兩個終止代理效力器上的“ 鏈接來實現(xiàn)外部計算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理效力器，從而起到了隔離防火墻內(nèi)外計算機(jī)系統(tǒng)的作用。代理企圖在運(yùn)用層實現(xiàn)防火墻的功能，代理的主要特點(diǎn)就是有形狀性。

9、 .4、運(yùn)用級代理proxy (2) Telnet代理效力器.4、運(yùn)用級代理proxy (4) 運(yùn)用層代理的優(yōu)點(diǎn)運(yùn)用層代理可以讓網(wǎng)絡(luò)管理員對效力進(jìn)展全面的控制，由于代理運(yùn)用限制了命令集并決議哪些內(nèi)部主機(jī)可以被該效力訪問。網(wǎng)絡(luò)管理員可以完全控制提供那些效力，由于沒有特定效力的代理就表示該效力不提供。.防火墻可以被配置成獨(dú)一的可被外部看見的主機(jī)，這樣可以維護(hù)內(nèi)部主機(jī)免受外部主機(jī)的進(jìn)攻。運(yùn)用層代理有才干支持可靠的用戶認(rèn)證并提供詳細(xì)的注冊信息。另外，用于運(yùn)用層的過濾規(guī)那么相對于包過濾防火墻來說更容易配置和測試。代理任務(wù)在客戶機(jī)和真實效力器之間，完全控制會話，所以可以提供很詳細(xì)的日志和平安審計功能。.

10、運(yùn)用層代理的最大缺陷是要求用戶改動本人的行為，或者在訪問代理效力的每個系統(tǒng)上安裝特殊的軟件。比如，透過運(yùn)用層代理Telnet訪問要求用戶經(jīng)過兩步而不是一步來建立銜接。不過，特殊的端系統(tǒng)軟件可以讓用戶在Telnet命令中指定目的主機(jī)而不是運(yùn)用層代理來使運(yùn)用層代理透明。 每個運(yùn)用程序都必需有一個代理效力程序來進(jìn)展平安控制，每一種運(yùn)用晉級時，普通代理效力程序也要晉級。4、運(yùn)用級代理proxy (5)運(yùn)用層代理的缺陷.4、電路級代理 1電路級網(wǎng)關(guān)不允許端到端的TCP銜接。網(wǎng)關(guān)建立兩個TCP銜接，一個是在網(wǎng)關(guān)本身和內(nèi)部主機(jī)上的一個TCP用戶之間，一個是在網(wǎng)關(guān)和外部主機(jī)上的一個TCP用戶之間。一旦兩個銜接

11、建立起來，網(wǎng)關(guān)從一個銜接向另一個銜接轉(zhuǎn)發(fā)TCP報文段，而不檢查其內(nèi)容。.4、電路級代理 2電路級網(wǎng)關(guān)的典型運(yùn)用場所是系統(tǒng)管理員信任內(nèi)部用戶的情況。網(wǎng)關(guān)可以配置成在進(jìn)入銜接上支持運(yùn)用級代理效力，為輸出銜接支持電路級功能。在這種配置中，網(wǎng)關(guān)能夠為了制止功能而導(dǎo)致檢查進(jìn)入的運(yùn)用數(shù)據(jù)的處置開支，但不會導(dǎo)致輸出數(shù)據(jù)上的處置開支。.5、形狀檢測技術(shù)1形狀檢測的特點(diǎn)是監(jiān)測一個有效銜接的形狀，在抓獲信息包后對其進(jìn)展分析并將數(shù)據(jù)包的形狀信息與前一時辰的形狀進(jìn)展比較，在此根底上決議能否允許該數(shù)據(jù)包經(jīng)過或丟棄。.5、全形狀檢查2形狀檢測的優(yōu)缺陷優(yōu)點(diǎn)：一旦某個訪問違反平安規(guī)定，就會回絕該訪問，并報告有關(guān)形狀作日志記錄

12、。具有一定的智能化缺陷： 降低網(wǎng)絡(luò)速度配置比較復(fù)雜 不能根據(jù)實踐傳輸?shù)臄?shù)據(jù)內(nèi)容進(jìn)展判別.三、防火墻體系構(gòu)造1、雙重宿主主機(jī)體系構(gòu)造2、屏蔽主機(jī)體系構(gòu)造3、屏蔽子網(wǎng)體系構(gòu)造4、其它的防火墻構(gòu)造.1、雙重宿主主機(jī)體系構(gòu)造1雙重宿主主機(jī)體系構(gòu)造是圍繞雙重宿主主機(jī)構(gòu)筑的。雙重宿主主機(jī)至少有兩個網(wǎng)絡(luò)接口，它位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，這樣的主機(jī)可以充任與這些接口相連的網(wǎng)絡(luò)之間的路由器，它能從一個網(wǎng)絡(luò)接納IP數(shù)據(jù)包并將之發(fā)往另一網(wǎng)絡(luò)。然而實現(xiàn)雙重宿主主機(jī)的防火墻體系構(gòu)造制止這種發(fā)送功能，完全阻止了內(nèi)外網(wǎng)絡(luò)之間的IP通訊。.雙重宿主主機(jī)可以有兩種方式提供效力，一種是用戶直接登錄到雙重宿主主機(jī)上，另外一種是在

13、雙重宿主主機(jī)上運(yùn)轉(zhuǎn)代理效力器。 前一種情況，由于需求在在雙重宿主主機(jī)上開設(shè)很多賬號，管理起來很費(fèi)事，而且也很危險。.Internet防火墻雙重宿主主機(jī)內(nèi)部網(wǎng)絡(luò)雙重宿主主機(jī)體系構(gòu)造.1、雙重宿主主機(jī)體系構(gòu)造2雙重宿主主機(jī)的特性：平安至關(guān)重要獨(dú)一通道，其用戶口令控制平安是關(guān)鍵。必需支持很多用戶的訪問中轉(zhuǎn)站，其性能非常重要。缺陷：雙重宿主主機(jī)是隔開內(nèi)外網(wǎng)絡(luò)的獨(dú)一屏障，一旦它被入侵，內(nèi)部網(wǎng)絡(luò)便向入侵者敞開大門。.2、屏蔽主機(jī)體系構(gòu)造1屏蔽主機(jī)體系構(gòu)造由防火墻和內(nèi)部網(wǎng)絡(luò)的堡壘主機(jī)承當(dāng)平安責(zé)任。普通這種防火墻較簡單，能夠就是簡單的路由器。典型構(gòu)成：包過濾路由器堡壘主機(jī)。包過濾路由器配置在內(nèi)部網(wǎng)和外部網(wǎng)之間

14、，保證外部系統(tǒng)對內(nèi)部網(wǎng)絡(luò)的操作只能經(jīng)過堡壘主機(jī)。堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上，是外部網(wǎng)絡(luò)主機(jī)銜接到內(nèi)部網(wǎng)絡(luò)主機(jī)的橋梁，它需求擁有高等級的平安。.因特網(wǎng).2、屏蔽主機(jī)體系構(gòu)造2屏蔽路由器可按如下規(guī)那么之一進(jìn)展配置：允許內(nèi)部主機(jī)為了某些效力懇求與外部網(wǎng)上的主機(jī)建立直接銜接即允許那些經(jīng)過過濾的效力。不允許一切來自外部主機(jī)的直接銜接。平安性更高，雙重維護(hù)：實現(xiàn)了網(wǎng)絡(luò)層平安包過濾和運(yùn)用層平安代理效力。缺陷：過濾路由器能否正確配置是平安與否的關(guān)鍵。假設(shè)路由器被損害，堡壘主機(jī)將被穿過，整個網(wǎng)絡(luò)對侵襲者是開放的。.3、屏蔽子網(wǎng)體系構(gòu)造1屏蔽子網(wǎng)體系構(gòu)造在本質(zhì)上與屏蔽主機(jī)體系構(gòu)造一樣，但添加了額外的一層維護(hù)體系周邊

15、網(wǎng)絡(luò)。堡壘主機(jī)位于周邊網(wǎng)絡(luò)上，周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)被內(nèi)部路由器分開。 緣由：堡壘主機(jī)是用戶網(wǎng)絡(luò)上最容易受侵襲的機(jī)器。經(jīng)過在周邊網(wǎng)絡(luò)上隔離堡壘主機(jī)，能減少在堡壘主機(jī)被侵入的影響。 .Internet周邊網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)外部路由器堡壘主機(jī)內(nèi)部路由器屏蔽子網(wǎng)體系構(gòu)造.3、屏蔽子網(wǎng)體系構(gòu)造2周邊網(wǎng)絡(luò)是一個防護(hù)層，在其上可放置一些信息效力器，它們是犧牲主機(jī)，能夠會遭到攻擊，因此又被稱為非軍事區(qū)DMZ。周邊網(wǎng)絡(luò)的作用：即使堡壘主機(jī)被入侵者控制，它仍可消除對內(nèi)部網(wǎng)的偵聽。.3、屏蔽子網(wǎng)體系構(gòu)造3堡壘主機(jī)堡壘主機(jī)位于周邊網(wǎng)絡(luò)，是整個防御體系的中心。堡壘主機(jī)可被以為是運(yùn)用層網(wǎng)關(guān)，可以運(yùn)轉(zhuǎn)各種代理效力程序。對于出站效力

16、不一定要求一切的效力經(jīng)過堡壘主機(jī)代理，但對于入站效力應(yīng)要求一切效力都經(jīng)過堡壘主機(jī)。.3、屏蔽子網(wǎng)體系構(gòu)造4外部路由器訪問路由器作用：維護(hù)周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的進(jìn)犯。它把入站的數(shù)據(jù)包路由到堡壘主機(jī)。防止部分IP欺騙，它可分辨出數(shù)據(jù)包能否真正來自周邊網(wǎng)絡(luò)。內(nèi)部路由器阻塞路由器作用：維護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)和周邊網(wǎng)絡(luò)的損害，它執(zhí)行大部分過濾任務(wù)。外部路由器普通與內(nèi)部路由器運(yùn)用一樣的規(guī)那么。.4、其它的防火墻構(gòu)造1一個堡壘主機(jī)和一個非軍事區(qū)表示圖DMZ堡壘主機(jī)內(nèi)部網(wǎng)外部路由器Internet.4、其它的防火墻構(gòu)造3兩個堡壘主機(jī)和兩個非軍事區(qū)外部DMZ外部堡壘主機(jī)內(nèi)部網(wǎng)外部路由器Interne

17、t內(nèi)部堡壘主機(jī)內(nèi)部DMZ.四、防火墻的選用1、整體平安戰(zhàn)略2、防火墻的姿態(tài)3、防火墻的費(fèi)用.1、整體平安戰(zhàn)略1假設(shè)企業(yè)想要對其網(wǎng)絡(luò)作充分維護(hù)，就必需實施一套完好的戰(zhàn)略。在一定的平安程度和用戶獲得信息的才干之間達(dá)成一種很好的平衡。.平安戰(zhàn)略是一個正式的規(guī)那么聲明，獲準(zhǔn)訪問組織的技術(shù)和信息資產(chǎn)的人必需遵守這些規(guī)那么。平安戰(zhàn)略本質(zhì)上就是一個文件，該文件對企業(yè)如何運(yùn)用維護(hù)和維護(hù)計算機(jī)和網(wǎng)絡(luò)資源進(jìn)展了概括。RFC2196 Site Security Handbook1、整體平安戰(zhàn)略2.建立了企業(yè)當(dāng)前平安形狀的一個基線為平安實施設(shè)定框架定義了允許和制止的行為協(xié)助確定必要的工具和程序達(dá)成一致意見并定義角色定義了如何去處置平安實際1、整體平安戰(zhàn)略3 重要性.平安戰(zhàn)略的主要目的是讓用戶、職員和管理層認(rèn)識到各自在維護(hù)組織技術(shù)和信息資產(chǎn)方面的責(zé)任。簡單說，就是通知一切用戶可以在網(wǎng)絡(luò)中做什么以及不可以做什么，以及應(yīng)該做什么。平安戰(zhàn)略應(yīng)該盡能夠明確，防止模棱兩可和容易誤解的內(nèi)容。每個公司的平安戰(zhàn)略都能夠不同，只需滿足公司目的即可。1、整體平安戰(zhàn)