計算機網(wǎng)絡(luò)之防火墻全解課件_第1頁
計算機網(wǎng)絡(luò)之防火墻全解課件_第2頁
計算機網(wǎng)絡(luò)之防火墻全解課件_第3頁
計算機網(wǎng)絡(luò)之防火墻全解課件_第4頁
計算機網(wǎng)絡(luò)之防火墻全解課件_第5頁
已閱讀5頁,還剩227頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

防火墻技術(shù)計算機網(wǎng)絡(luò)安全防火墻技術(shù)計算機網(wǎng)絡(luò)安全內(nèi)容提要防火墻的基本概念防火墻的發(fā)展歷程防火墻的核心技術(shù)防火墻的體系結(jié)構(gòu)防火墻的構(gòu)造體系防火墻的功能與原理內(nèi)容提要防火墻的基本概念安全層次安全的密碼算法安全協(xié)議網(wǎng)絡(luò)安全系統(tǒng)安全應(yīng)用安全安全層次安全的密碼算法安全協(xié)議網(wǎng)絡(luò)安全系統(tǒng)安全應(yīng)用安全防火墻(Firewall)防火墻的基本設(shè)計目標(biāo)對于一個網(wǎng)絡(luò)來說,所有通過“內(nèi)部”和“外部”的網(wǎng)絡(luò)流量都要經(jīng)過防火墻防火墻的基本目標(biāo)是通過隔離達到訪問控制的目的通過一些安全策略,來保證只有經(jīng)過授權(quán)的流量才可以通過防火墻防火墻本身必須建立在安全操作系統(tǒng)的基礎(chǔ)上防火墻(Firewall)防火墻的基本設(shè)計目標(biāo)計算機網(wǎng)絡(luò)之防火墻全解課件防火墻(Firewall)防火墻的定義是一種高級訪問控制設(shè)備,置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合,它是不同網(wǎng)絡(luò)安全域之間通信流的唯一通道,能根據(jù)有關(guān)的安全策略控制(允許、拒絕、監(jiān)視、記錄)進出網(wǎng)絡(luò)的訪問行為。防火墻(Firewall)防火墻的定義防火墻(Firewall)防火墻的控制能力服務(wù)控制,確定哪些服務(wù)可以被訪問方向控制,對于特定的服務(wù),可以確定允許哪個方向能夠通過防火墻用戶控制,根據(jù)用戶來控制對服務(wù)的訪問行為控制,控制一個特定的服務(wù)的行為防火墻(Firewall)防火墻的控制能力防火墻能做什么定義一個必經(jīng)之點擋住未經(jīng)授權(quán)的訪問流量禁止具有脆弱性的服務(wù)帶來危害實施保護,以避免各種IP欺騙和路由攻擊防火墻能做什么定義一個必經(jīng)之點防火墻能做什么防火墻提供了一個監(jiān)視各種安全事件的位置,所以,可以在防火墻上實現(xiàn)審計和報警對于有些Internet功能來說,防火墻也可以是一個理想的平臺,比如地址轉(zhuǎn)換,Internet日志、審計,甚至計費功能防火墻可以作為IPSec的實現(xiàn)平臺防火墻能做什么防火墻提供了一個監(jiān)視各種安全事件的位置,所以,防火墻本身的局限性對于繞過防火墻的攻擊,它無能為力,例如,在防火墻內(nèi)部通過撥號出去防火墻不能防止內(nèi)部的攻擊,以及內(nèi)部人員與外部人員的聯(lián)合攻擊(比如,通過tunnel進入)防火墻不能防止被病毒感染的程序或者文件、郵件等防火墻的性能要求防火墻本身的局限性對于繞過防火墻的攻擊,它無能為力,例如,在計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件串口:可對防火墻進行初始化的配置串口:可對內(nèi)容提要防火墻的基本概念防火墻的發(fā)展歷程防火墻的核心技術(shù)防火墻的體系結(jié)構(gòu)防火墻的構(gòu)造體系防火墻的功能與原理內(nèi)容提要防火墻的基本概念防火墻的發(fā)展歷程基于路由器的防火墻利用路由器本身對分組的解析,進行分組過濾過濾判斷依據(jù):地址、端口號以及其他網(wǎng)絡(luò)特征防火墻與路由器合為一體,只有過濾功能適用于對安全要求不高的網(wǎng)絡(luò)環(huán)境防火墻工具組件將過濾功能從路由器中獨立出來,并加上審計和告警功能針對用戶需求,提供模塊化的軟件包軟件可以通過網(wǎng)絡(luò)發(fā)送,用戶可根據(jù)需要構(gòu)造防火墻與第一代相比,安全性提高了,價格降低了防火墻的發(fā)展歷程基于路由器的防火墻防火墻的發(fā)展歷程基于通用操作系統(tǒng)的防火墻是批量上市的專用防火墻。包括分組過濾或者借用路由器的分組過濾功能。裝有專用的代理系統(tǒng),監(jiān)控所有協(xié)議的數(shù)據(jù)和指令。保護用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置。安全性和速度大為提高基于安全操作系統(tǒng)的防火墻防火墻廠商具有操作系統(tǒng)的源代碼,并可實現(xiàn)安全內(nèi)核。去掉不必要的系統(tǒng)特性,加固內(nèi)核,強化安全保護。在功能上包括了分組過濾、應(yīng)用網(wǎng)關(guān)、電路級網(wǎng)關(guān)。增加了許多附加功能:加密、鑒別、審計、NAT轉(zhuǎn)換。透明性好,易于使用。防火墻的發(fā)展歷程基于通用操作系統(tǒng)的防火墻計算機網(wǎng)絡(luò)之防火墻全解課件內(nèi)容提要防火墻的基本概念防火墻的發(fā)展歷程防火墻的核心技術(shù)防火墻的體系結(jié)構(gòu)防火墻的構(gòu)造體系防火墻的功能與原理內(nèi)容提要防火墻的基本概念防火墻的類型簡單包過濾防火墻狀態(tài)檢測包過濾防火墻應(yīng)用代理防火墻包過濾與應(yīng)用代理復(fù)合型防火墻核檢測防火墻防火墻的類型簡單包過濾防火墻計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件簡單包過濾防火墻包過濾防火墻是第一代和最基本形式的防火墻,防火墻檢查每一個通過的數(shù)據(jù)包,并查看數(shù)據(jù)包的包頭,然后依據(jù)一套規(guī)則決定或者丟棄,或者放行該數(shù)據(jù)包。這稱為包過濾防火墻。包過濾防火墻檢查每一個傳入包,查看包中可用的基本信息(源地址和目的地址、端口號、協(xié)議等)。然后,將這些信息與設(shè)立的規(guī)則相比較。簡單包過濾防火墻包過濾防火墻是第一代和最基本形式的防火墻,防簡單包過濾防火墻包過濾器操作的基本過程包過濾規(guī)則必須被包過濾設(shè)備端口存儲起來。當(dāng)包到達端口時,對包報頭進行語法分析。大多數(shù)包過濾設(shè)備只檢查IP、TCP、或UDP報頭中的字段。包過濾規(guī)則以特殊的方式存儲。應(yīng)用于包的規(guī)則的順序與包過濾器規(guī)則存儲順序必須相同。若一條規(guī)則阻止包傳輸或接收,則此包便不被允許。若一條規(guī)則允許包傳輸或接收,則此包便可以被繼續(xù)處理。若包不滿足任何一條規(guī)則,則此包便被阻塞。簡單包過濾防火墻包過濾器操作的基本過程簡單包過濾防火墻不檢查數(shù)據(jù)區(qū)。不建立連接狀態(tài)表。前后報文無關(guān)。應(yīng)用層控制很弱。效率高。簡單包過濾防火墻不檢查數(shù)據(jù)區(qū)。包過濾路由器基本的思想很簡單對于每個進來的包,適用一組規(guī)則,然后決定轉(zhuǎn)發(fā)或者丟棄該包往往配置成雙向的包過濾路由器基本的思想很簡單包過濾路由器如何過濾過濾的規(guī)則以IP和傳輸層的頭中的域(字段)為基礎(chǔ),包括源和目標(biāo)IP地址、IP協(xié)議域、源和目標(biāo)端口號過濾器往往建立一組規(guī)則,根據(jù)IP包是否匹配規(guī)則中指定的條件來作出決定。如果匹配到一條規(guī)則,則根據(jù)此規(guī)則決定轉(zhuǎn)發(fā)或者丟棄如果所有規(guī)則都不匹配,則根據(jù)缺省策略包過濾路由器如何過濾安全缺省策略兩種基本策略,或缺省策略沒有被拒絕的流量都可以通過管理員必須針對每一種新出現(xiàn)的攻擊,制定新的規(guī)則沒有被允許的流量都要拒絕比較保守根據(jù)需要,逐漸開放安全缺省策略兩種基本策略,或缺省策略包過濾防火墻在網(wǎng)絡(luò)層上進行監(jiān)測并沒有考慮連接狀態(tài)信息通常在路由器上實現(xiàn)實際上是一種網(wǎng)絡(luò)的訪問控制機制數(shù)據(jù)包過濾技術(shù)的發(fā)展:靜態(tài)包過濾、動態(tài)包過濾包過濾防火墻在網(wǎng)絡(luò)層上進行監(jiān)測包過濾防火墻優(yōu)點:不用改動應(yīng)用程序一個過濾路由器能協(xié)助保護整個網(wǎng)絡(luò)過濾路由器速度快數(shù)據(jù)包過濾對用戶透明效率高包過濾防火墻優(yōu)點:包過濾防火墻缺點:正確制定規(guī)則并不容易不可能引入認(rèn)證機制不能徹底防止地址欺騙一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略包過濾防火墻缺點:Ftp文件傳輸協(xié)議clientftpserver命令通道:21端口數(shù)據(jù)通道:20端口515151502120PORT5151OK建立數(shù)據(jù)通道OKFtp文件傳輸協(xié)議clientftpserver命令通道:Ftp文件傳輸協(xié)議(續(xù))clientftpserver命令通道:21端口數(shù)據(jù)通道:大于1023515151502120PASVPORT3267建立數(shù)據(jù)通道OK3267Ftp文件傳輸協(xié)議(續(xù))clientftpserver命令針對ftp的包過濾規(guī)則注意事項建立一組復(fù)雜的規(guī)則集是否允許正常模式的ftp數(shù)據(jù)通道?有些ftpclient不支持pasv模式動態(tài)監(jiān)視ftp通道發(fā)出的port命令有一些動態(tài)包過濾防火墻可以做到啟示包過濾防火墻比較適合于單連接的服務(wù)(比如smtp,pop3),不適合于多連接的服務(wù)(比如ftp)針對ftp的包過濾規(guī)則注意事項建立一組復(fù)雜的規(guī)則集針對包過濾防火墻的攻擊IP地址欺騙,例如,假冒內(nèi)部的IP地址。對策:在外部接口上禁止內(nèi)部地址源路由攻擊,即由源指定路由,繞開防火墻。對策:禁止這樣的選項IP碎片攻擊。對策:Windows系統(tǒng)請打上最新的Service

Pack,目前的Linux內(nèi)核已經(jīng)不受影響。

如果可能,在網(wǎng)絡(luò)邊界上禁止碎片包通過,或者用iptables限制每秒通過碎片包的數(shù)目。

如果防火墻有重組碎片的功能,請確保自身的算法沒有問題,否則被DoS就會影響整個網(wǎng)絡(luò)。

Win2K系統(tǒng)中,自定義IP安全策略,設(shè)置“碎片檢查”。

利用復(fù)雜協(xié)議和管理員的配置失誤進入防火墻。例如,利用ftp協(xié)議對內(nèi)部進行探查針對包過濾防火墻的攻擊IP地址欺騙,例如,假冒內(nèi)部的IP地址IP碎片攻擊1.

為什么存在IP碎片

鏈路層具有最大傳輸單元MTU這個特性,它限制了數(shù)據(jù)幀的最大長度,不同的網(wǎng)絡(luò)類型都有一個上限值。以太網(wǎng)的MTU是1500,你可以用

netstat

-i

命令查看這個值。如果IP層有數(shù)據(jù)包要傳,而且數(shù)據(jù)包的長度超過了MTU,那么IP層就要對數(shù)據(jù)包進行分片(fragmentation)操作,使每一片的長度都小于或等于MTU。我們假設(shè)要傳輸一個UDP數(shù)據(jù)包,以太網(wǎng)的MTU為1500字節(jié),一般IP首部為20字節(jié),UDP首部為8字節(jié),數(shù)據(jù)的凈荷(payload)部分預(yù)留是1500-20-8=1472字節(jié)。如果數(shù)據(jù)部分大于1472字節(jié),就會出現(xiàn)分片現(xiàn)象。

IP首部包含了分片和重組所需的信息:

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

|

Identification

|R|DF|MF|

Fragment

Offset

|

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|<-------------16----------->|<---3---->|<----------13----------->|

IP碎片攻擊1.

為什么存在IP碎片

鏈路層具有最大傳輸單IP碎片攻擊Identification:發(fā)送端發(fā)送的IP數(shù)據(jù)包標(biāo)識字段都是一個唯一值,該值在分片時被復(fù)制到每個片中。

R:保留未用。

DF:Don‘t

Fragment,“不分片”位,如果將這一比特置1

,IP層將不對數(shù)據(jù)報進行分片。

MF:More

Fragment,“更多的片”,除了最后一片外,其他每個組成數(shù)據(jù)報的片都要把比特置1。

Fragment

Offset:該片偏移原始數(shù)據(jù)包開始處的位置。偏移的字節(jié)數(shù)是該值乘以8。

另外,當(dāng)數(shù)據(jù)報被分片后,每個片的總長度值要改為該片的長度值。每一IP分片都各自路由,到達目的主機后在IP層重組,請放心,首部中的數(shù)據(jù)能夠正確完成分片的重組。既然分片可以被重組,那么所謂的碎片攻擊是如何產(chǎn)生的呢?

IP碎片攻擊Identification:發(fā)送端發(fā)送的IP數(shù)IP碎片攻擊2.

IP碎片攻擊

IP首部有兩個字節(jié)表示整個IP數(shù)據(jù)包的長度,所以IP數(shù)據(jù)包最長只能為0xFFFF,就是65535字節(jié)。如果有意發(fā)送總長度超過65535的IP碎片,一些老的系統(tǒng)內(nèi)核在處理的時候就會出現(xiàn)問題,導(dǎo)致崩潰或者拒絕服務(wù)。另外,如果分片之間偏移量經(jīng)過精心構(gòu)造,一些系統(tǒng)就無法處理,導(dǎo)致死機。所以說,漏洞的起因是出在重組算法上。IP碎片攻擊2.

IP碎片攻擊

IP首部有兩個字節(jié)表示整個計算機網(wǎng)絡(luò)之防火墻全解課件狀態(tài)檢測包過濾防火墻不檢查數(shù)據(jù)區(qū)。建立連接狀態(tài)表。前后報文相關(guān)。應(yīng)用層控制很弱。檢測性能提高了。狀態(tài)檢測包過濾防火墻不檢查數(shù)據(jù)區(qū)。計算機網(wǎng)絡(luò)之防火墻全解課件不檢查IP、TCP包頭。不建立連接狀態(tài)表。網(wǎng)絡(luò)層保護比較弱。安全性提高了,性能降低了。應(yīng)用代理防火墻不檢查IP、TCP包頭。應(yīng)用代理防火墻計算機網(wǎng)絡(luò)之防火墻全解課件復(fù)合型防火墻可以檢查整個數(shù)據(jù)包內(nèi)容。根據(jù)需要建立連接狀態(tài)表。網(wǎng)絡(luò)層保護強。應(yīng)用層控制細(xì)。會話控制弱。復(fù)合型防火墻可以檢查整個數(shù)據(jù)包內(nèi)容。計算機網(wǎng)絡(luò)之防火墻全解課件核檢測防火墻網(wǎng)絡(luò)層保護強。應(yīng)用層保護強。會話保護很強。上下文相關(guān)。前后報文有聯(lián)系。核檢測防火墻網(wǎng)絡(luò)層保護強。計算機網(wǎng)絡(luò)之防火墻全解課件內(nèi)容提要防火墻的基本概念防火墻的發(fā)展歷程防火墻的核心技術(shù)防火墻的體系結(jié)構(gòu)防火墻的構(gòu)造體系防火墻的功能與原理內(nèi)容提要防火墻的基本概念計算機網(wǎng)絡(luò)之防火墻全解課件核檢測技術(shù)就是基于操作系統(tǒng)內(nèi)核的會話檢測技術(shù)。核檢測技計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件基于內(nèi)核的會話檢測技術(shù)就是在操作系統(tǒng)內(nèi)核模擬出典型的應(yīng)用層協(xié)議,在內(nèi)核實現(xiàn)應(yīng)用層協(xié)議的過濾,從而得到極高的性能?;趦?nèi)核的會話檢測技術(shù)就是在操作系統(tǒng)內(nèi)核模擬出典型的應(yīng)用層協(xié)并發(fā)連接數(shù):20萬vs120萬并發(fā)連接數(shù):內(nèi)容提要防火墻的基本概念防火墻的發(fā)展歷程防火墻的核心技術(shù)防火墻的體系結(jié)構(gòu)防火墻的構(gòu)造體系防火墻的功能與原理內(nèi)容提要防火墻的基本概念防火墻構(gòu)造體系篩選路由器。多宿主主機。被屏蔽主機。被屏蔽子網(wǎng)。防火墻構(gòu)造體系篩選路由器。計算機網(wǎng)絡(luò)之防火墻全解課件優(yōu)點:結(jié)構(gòu)簡單部署容易、靈活缺點:安全防護能力弱篩選路由器優(yōu)點:篩選路由器多宿主主機:即帶有多個網(wǎng)卡的主機,也就是一個代理服務(wù)器。多宿主主機:缺點:安全防護能力只有一層,一旦多宿主主機受到攻擊,內(nèi)網(wǎng)就可能完全暴露于外網(wǎng)之下。多宿主主機缺點:多宿主主機堡壘主機:對外部網(wǎng)絡(luò)暴露,同時也是內(nèi)部網(wǎng)絡(luò)用戶的主要連接點堡壘主機:

堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上,通常在路由器上設(shè)立過濾規(guī)則,并使這個堡壘主機成為從外部網(wǎng)絡(luò)唯一可直接到達的主機,這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊屏蔽主機

堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上,通常在路由器上設(shè)立過濾規(guī)則,并使優(yōu)點:只要包過濾防火墻安全,即使堡壘主機被攻破,其他主機仍然是安全的。缺點:堡壘主機與其他主機處于同一個子網(wǎng)。一旦包過濾防火墻被攻破,堡壘主機和其他主機都暴露在外網(wǎng)之下,是不安全的。被屏蔽主機優(yōu)點:被屏蔽主機堡壘主機的實現(xiàn)(1)堡壘主機操作系統(tǒng)的選擇;(2)堡壘主機速度的選擇;(3)堡壘主機的硬件;(4)堡壘主機的物理位置。堡壘主機的實現(xiàn)(1)堡壘主機操作系統(tǒng)的選擇應(yīng)該選較為熟悉的、流行的系統(tǒng)作為堡壘主機的操作系統(tǒng)。選擇主機時,應(yīng)該選擇一個可支持有若干個接口同時處于活躍狀態(tài)并且能可靠地提供一系列內(nèi)部網(wǎng)用戶所需要的因特網(wǎng)服務(wù)的機器。(1)堡壘主機操作系統(tǒng)的選擇應(yīng)該選較為熟悉的、流行的系統(tǒng)作為(2)堡壘主機速度的選擇實際上,選用功能并不十分強大的機器作為堡壘主機反而更好。不使用功能過高的機器充當(dāng)堡壘主機的理由如下:①低檔的機器對入侵者的吸引力要小一些;②如若堡壘主機被破壞,低檔的堡壘主機對于入侵者進一步侵入內(nèi)部網(wǎng)提供的幫助要小些;

③也可降低內(nèi)部網(wǎng)用戶破壞的興趣。

(2)堡壘主機速度的選擇實際上,選用功能并不十分強大的機器作(3)堡壘主機的硬件因為我們總是希望堡壘主機上有高可靠性,所以,應(yīng)慎選產(chǎn)品。還希望堡壘主機具有高兼容性,所以不可選太舊的產(chǎn)品。在不追求純粹的高CPU性能的同時,我們要求它至少能支持同時處理兩個網(wǎng)際連接的能力。這個要求使得堡壘主機的內(nèi)存要大,并配置有足夠的交換空間。另外,如果在堡壘主機上要運行代理服務(wù)還需要有較大的磁盤空間作為存儲緩沖。(3)堡壘主機的硬件因為我們總是希望堡壘主機上有高可靠性,所(4)堡壘主機的物理位置①位置要安全:如若入侵者與堡壘主機有物理接觸,他就有很多我們無法控制的方法來攻破堡壘主機。對堡壘主機提供了許多內(nèi)部網(wǎng)與因特網(wǎng)的功能性連接,如果它被損或被盜,那整個站點與外部網(wǎng)就地脫離或完全中斷。對堡壘主機要細(xì)心保護,以免發(fā)生不測。應(yīng)把它放在通風(fēng)良好、溫濕度較為恒定的房間,并最好配備有空調(diào)和不間斷電源。(4)堡壘主機的物理位置①位置要安全:②堡壘主機在網(wǎng)絡(luò)上的位置:堡壘主機應(yīng)被放置在沒有機密信息流的網(wǎng)絡(luò)上,最好放置一個單獨的網(wǎng)絡(luò)上。將堡壘主機放置在參數(shù)網(wǎng)絡(luò)上而不放在內(nèi)部網(wǎng)上。即使我們無法將堡壘主機放置在參數(shù)網(wǎng)絡(luò)上,也應(yīng)該將它放置在信息流不太敏感的網(wǎng)絡(luò)上。(4)堡壘主機的物理位置②堡壘主機在網(wǎng)絡(luò)上的位置:(4)堡壘主機的物理位置DMZ區(qū):非軍事化區(qū),在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間增加的一個子網(wǎng)。DMZ區(qū):DMZ是英文“demilitarizedzone”的縮寫,中文名稱為“隔離區(qū)”,也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題,而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū),這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi),在這個小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施,如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面,通過這樣一個DMZ區(qū)域,更加有效地保護了內(nèi)部網(wǎng)絡(luò),因為這種網(wǎng)絡(luò)部署,比起一般的防火墻方案,對攻擊者來說又多了一道關(guān)卡。被屏蔽子網(wǎng)DMZ是英文“demilitarizedzone”的縮寫,被屏蔽子網(wǎng)包括兩個防火墻,外部防火墻抵擋外部網(wǎng)絡(luò)的攻擊,并管理所有外部網(wǎng)絡(luò)對DMZ的訪問。內(nèi)部防火墻管理DMZ對于內(nèi)部網(wǎng)絡(luò)的訪問。內(nèi)部防火墻是內(nèi)部網(wǎng)絡(luò)的第三道安全防線(前面有了外部防火墻和堡壘主機),當(dāng)外部防火墻失效的時候,它還可以起到保護內(nèi)部網(wǎng)絡(luò)的功能。而局域網(wǎng)內(nèi)部,對于Internet的訪問由內(nèi)部防火墻和位于DMZ的堡壘主機控制。在這樣的結(jié)構(gòu)里,一個黑客必須穿過三個獨立的區(qū)域(外部防火墻、內(nèi)部防火墻和堡壘主機)才能夠到達局域網(wǎng)。攻擊難度大大加強,相應(yīng)內(nèi)部網(wǎng)絡(luò)的安全性也就大大加強,但投資成本也是最高的。

被屏蔽子網(wǎng)被屏蔽子網(wǎng)包括兩個防火墻,外部防火墻抵擋外部網(wǎng)絡(luò)的攻擊,并管優(yōu)點:提供多重保護措施,提高安全保護的強度。被屏蔽子網(wǎng)優(yōu)點:被屏蔽子網(wǎng)計算機網(wǎng)絡(luò)之防火墻全解課件串口:可對防火墻進行初始化的配置串口:可對內(nèi)容提要防火墻的基本概念防火墻的發(fā)展歷程防火墻的核心技術(shù)防火墻的體系結(jié)構(gòu)防火墻的構(gòu)造體系防火墻的功能與原理內(nèi)容提要防火墻的基本概念計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件RADIUS服務(wù)器(遠(yuǎn)程用戶撥號認(rèn)證系統(tǒng)

)RemoteAuthenticationDial-InUserService服務(wù)器(RADIUS),以執(zhí)行對用戶的驗證(Authentication

)、授權(quán)(Authorization

)和記帳(Accounting

)(AAA)功能。它允許網(wǎng)絡(luò)訪問服務(wù)器(NAS)執(zhí)行對用戶的驗證、授權(quán)和記帳。RADIUS是基于UDP的一種客戶機/服務(wù)器協(xié)議。RADIUS服務(wù)器通常是在UNIX、LINUX或Windows服務(wù)器上運行的一個監(jiān)護程序。如果NAS收到用戶連接請求,它會將它們傳遞到指定的RADIUS服務(wù)器,后者對用戶進行驗證,并將用戶的配置信息返回給NAS。然后,NAS接受或拒絕連接請求。認(rèn)證服務(wù)RADIUS服務(wù)器(遠(yuǎn)程用戶撥號認(rèn)證系統(tǒng))認(rèn)證服務(wù)雖然大部分用戶還在使用可重用口令技術(shù)來保護他們的系統(tǒng),但隨著網(wǎng)絡(luò)應(yīng)用的大規(guī)模普及,可重用口令技術(shù)的缺陷日漸暴露無遺。

在我們能夠使用信息系統(tǒng)之前,通常需要經(jīng)過以下兩個步驟:鑒別和授權(quán)。鑒別是授權(quán)的基礎(chǔ),因為如果不能正確的識別用戶的身份,正確的授權(quán)就無從談起。利用口令認(rèn)證用戶是最常用的一種鑒別技術(shù),而口令鑒別技術(shù)通常又分為兩種:歷史悠久的可重用口令鑒別技術(shù)和后起之秀一次性口令鑒別技術(shù)。可重用口令雖然大部分用戶還在使用可重用口令技術(shù)來保護他們的系統(tǒng),但隨著可重用口令鑒別技術(shù)的歷史很悠久,其缺陷也非常明顯:

·網(wǎng)絡(luò)竊聽:有時候口令需要通過網(wǎng)絡(luò)傳輸,很多鑒別系統(tǒng)的口令是未經(jīng)加密的明文,攻擊者只要通過竊聽網(wǎng)絡(luò)數(shù)據(jù),就很容易獲取鑒別所需的用戶名和口令。

·重放攻擊:有的系統(tǒng)會將鑒別信息進行簡單加密后進行傳輸,這時攻擊者雖然無法竊聽密碼,但他們卻可以首先截取加密后的口令然后將其重放,從而利用這種方式進行有效的攻擊。

·字典攻擊:由于多數(shù)用戶習(xí)慣使用有意義的單詞或數(shù)字作為密碼,某些攻擊者會使用字典中的單詞來嘗試用戶的密碼。所以大多數(shù)系統(tǒng)都建議用戶在口令中加入特殊字符,以增加口令的安全性。可重用口令可重用口令鑒別技術(shù)的歷史很悠久,其缺陷也非常明顯:

·網(wǎng)可重用口令鑒別技術(shù)的歷史很悠久,其缺陷也非常明顯:

·強力攻擊:這是一種特殊的字典攻擊,它使用字符串的全集作為字典,即窮舉所有可能的口令空間。這需要很大的耐心和巨大的工作量以及一點運氣。然而,若用戶的密碼較短,那么它很快就會被窮舉出來,因而很多系統(tǒng)都建議用戶使用長口令。

·窺探:攻擊者利用與被攻擊系統(tǒng)接近的機會,安裝監(jiān)視器或親自窺探合法用戶輸入口令的過程,以得到口令。對于后者,根本不需要特別的技術(shù)或設(shè)備,只要眼睛不是近視,需要的僅是靜悄悄的站在您的身后,就可以輕松實施攻擊。

·社交工程:攻擊者冒充管理人員發(fā)送郵件或打電話給合法用戶,比如“我是某某單位的系統(tǒng)管理員,現(xiàn)在需要更新所有用戶的密碼,請將您原來使用的口令告訴我?!边@種情況下,許多經(jīng)驗不足的用戶會毫不猶豫地將其口令奉上。

可重用口令可重用口令鑒別技術(shù)的歷史很悠久,其缺陷也非常明顯:

·強力可重用口令鑒別技術(shù)的歷史很悠久,其缺陷也非常明顯:

·垃圾搜索:攻擊者通過搜索被攻擊者的廢棄物,得到與攻擊系統(tǒng)有關(guān)的信息,如果用戶將口令寫在紙上又隨便丟棄,則很容易成為垃圾搜索的攻擊對象。有文章報道說,當(dāng)今的商業(yè)間諜流行以清潔工人的身份來搜集情報,一方面清潔工人不太引起人們的注意,同時工作起來特順手。

雖然可以通過強迫用戶經(jīng)常更換密碼和增加密碼長度來保證安全,但由于人類天性懶惰的緣故,經(jīng)常更換難以記憶的密碼會讓他們感覺很不舒服,這時難保他們不會將口令寫到小紙條上并置于鍵盤之下(若系統(tǒng)管理員看到了會氣得在地上打滾)。所以說實施某項安全措施時,必須考慮到來自用戶的阻力??芍赜每诹羁芍赜每诹铊b別技術(shù)的歷史很悠久,其缺陷也非常明顯:

·一次性口令的工作原理為了解決固定口令的諸多問題,安全專家提出了一次性口令(OTP:OneTimePassword)的密碼體制,以保護關(guān)鍵的計算資源。OTP的主要思路是:在登錄過程中加入不確定因素,使每次登錄過程中傳送的信息都不相同,以提高登錄過程安全性。例如:登錄密碼=MD5(用戶名+密碼+時間),系統(tǒng)接收到登錄口令后做一個驗算即可驗證用戶的合法性。

OTP:OneTimePassword

一次性口令的工作原理OTP:OneTimePasswor不確定因子選擇與口令生成口令序列(S/KEY)口令為一個單向的前后相關(guān)的序列,系統(tǒng)只用記錄第N個口令。用戶用第N-1個口令登錄時,系統(tǒng)用單向算法算出第N個口令與自己保存的第N個口令匹配,以判斷用戶的合法性。由于N是有限的,用戶登錄N次后必須重新初始化口令序列。挑戰(zhàn)/回答(CRYPTOCard)用戶要求登錄時,系統(tǒng)產(chǎn)生一個隨機數(shù)發(fā)送給用戶。用戶用某種單向算法將自己的秘密口令和隨機數(shù)混合起來發(fā)送給系統(tǒng),系統(tǒng)用同樣的方法做驗算即可驗證用戶身份。時間同步(SecureID)以用戶登錄時間作為隨機因素。這種方式對雙方的時間準(zhǔn)確度要求較高,一般采取以分鐘為時間單位的折中辦法。在SecureID產(chǎn)品中,對時間誤差的容忍可達±1分鐘。事件同步(SafeWord)這種方法以挑戰(zhàn)/回答方式為基礎(chǔ),將單向的前后相關(guān)序列作為系統(tǒng)的挑戰(zhàn)信息,以節(jié)省用戶每次輸入挑戰(zhàn)信息的麻煩。但當(dāng)用戶的挑戰(zhàn)序列與服務(wù)器產(chǎn)生偏差后,需要重新同步。OTP:OneTimePassword

不確定因子選擇與口令生成OTP:OneTimePass一次性口令的使用過程當(dāng)一個用戶在服務(wù)器上首次注冊時,系統(tǒng)給用戶分配一個種子值(seed)和一個迭代值(iteration),這兩個值就構(gòu)成了一個原始口令,同時在服務(wù)器端還保留有僅用戶自己知道的通行短語。當(dāng)用戶每次向服務(wù)器發(fā)出連接請求時,服務(wù)器把用戶的原始口令傳給用戶。用戶接到原始口令以后,利用口令生成程序,采用MD4或MD5散列算法,結(jié)合通行短語計算出本次連接實際使用的口令,然后再把口令傳回服務(wù)器;服務(wù)器先保存用戶傳來的口令,然后調(diào)用口令生成器,采用MD4或MD5散列算法,利用用戶存在服務(wù)器端的通行短語和它剛剛傳給用戶的原始口令自行計算生成一個口令;服務(wù)器把這個口令與用戶傳來的口令進行比較,進而對用戶進行身份確認(rèn);每一次身份成功認(rèn)證后,原始口令中的迭代值數(shù)自動減1。這里要指出的是,用戶主機上采用的散列算法和服務(wù)器上采用的散列算法必須是一樣的。口令序列一次性口令的使用過程口令序列一次性口令的使用過程用戶通過網(wǎng)絡(luò)傳給服務(wù)器的口令是利用原始口令和通行短語經(jīng)MD4或MD5散列算法生成的密文,用戶本身的通行短語并沒有在網(wǎng)上傳播;在服務(wù)器端,因為每一次成功的身份認(rèn)證后,用戶原始口令中的迭代值就自動減1。這樣,下一次用戶連接時使用的原始口令同上一次使用的原始口令是不一樣的,因此,兩次生成的口令也是不同的,從而有效地保證了用戶口令的安全??诹钚蛄幸淮涡钥诹畹氖褂眠^程口令序列

用戶

服務(wù)器1、發(fā)出連接請求2、提示輸入用戶名3、輸入用戶名4、給用戶原始口令5、利用原始口令和通行短語,采用Hash算法生成一次性口令,并將一次性口令傳給服務(wù)器。6、利用原始口令和通行短語,采用相同的Hash算法生成一次性口令,并將生成的口令與用戶傳來的口令進行比較,然后傳給用戶相應(yīng)的認(rèn)證信息。口令序列用戶1991年,貝爾通信研究中心(Bellcore)首次研制出了基于一次性口令思想的身份認(rèn)證系統(tǒng)S/KEY。S/KEY最初使用DES算法,后因安全問題改用MD4作為其加密算法。FreeBSD操作系統(tǒng)下的一次性口令系統(tǒng)——OPIE(One-timePasswordsInEverything)。OPIE使用比S/KEY的MD4更為強壯的MD5算法,因此一般認(rèn)為OPIE更為安全。S/KEYOPIE1991年,貝爾通信研究中心(Bellcore)首次研制出了計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件防火墻技術(shù)計算機網(wǎng)絡(luò)安全防火墻技術(shù)計算機網(wǎng)絡(luò)安全內(nèi)容提要防火墻的基本概念防火墻的發(fā)展歷程防火墻的核心技術(shù)防火墻的體系結(jié)構(gòu)防火墻的構(gòu)造體系防火墻的功能與原理內(nèi)容提要防火墻的基本概念安全層次安全的密碼算法安全協(xié)議網(wǎng)絡(luò)安全系統(tǒng)安全應(yīng)用安全安全層次安全的密碼算法安全協(xié)議網(wǎng)絡(luò)安全系統(tǒng)安全應(yīng)用安全防火墻(Firewall)防火墻的基本設(shè)計目標(biāo)對于一個網(wǎng)絡(luò)來說,所有通過“內(nèi)部”和“外部”的網(wǎng)絡(luò)流量都要經(jīng)過防火墻防火墻的基本目標(biāo)是通過隔離達到訪問控制的目的通過一些安全策略,來保證只有經(jīng)過授權(quán)的流量才可以通過防火墻防火墻本身必須建立在安全操作系統(tǒng)的基礎(chǔ)上防火墻(Firewall)防火墻的基本設(shè)計目標(biāo)計算機網(wǎng)絡(luò)之防火墻全解課件防火墻(Firewall)防火墻的定義是一種高級訪問控制設(shè)備,置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合,它是不同網(wǎng)絡(luò)安全域之間通信流的唯一通道,能根據(jù)有關(guān)的安全策略控制(允許、拒絕、監(jiān)視、記錄)進出網(wǎng)絡(luò)的訪問行為。防火墻(Firewall)防火墻的定義防火墻(Firewall)防火墻的控制能力服務(wù)控制,確定哪些服務(wù)可以被訪問方向控制,對于特定的服務(wù),可以確定允許哪個方向能夠通過防火墻用戶控制,根據(jù)用戶來控制對服務(wù)的訪問行為控制,控制一個特定的服務(wù)的行為防火墻(Firewall)防火墻的控制能力防火墻能做什么定義一個必經(jīng)之點擋住未經(jīng)授權(quán)的訪問流量禁止具有脆弱性的服務(wù)帶來危害實施保護,以避免各種IP欺騙和路由攻擊防火墻能做什么定義一個必經(jīng)之點防火墻能做什么防火墻提供了一個監(jiān)視各種安全事件的位置,所以,可以在防火墻上實現(xiàn)審計和報警對于有些Internet功能來說,防火墻也可以是一個理想的平臺,比如地址轉(zhuǎn)換,Internet日志、審計,甚至計費功能防火墻可以作為IPSec的實現(xiàn)平臺防火墻能做什么防火墻提供了一個監(jiān)視各種安全事件的位置,所以,防火墻本身的局限性對于繞過防火墻的攻擊,它無能為力,例如,在防火墻內(nèi)部通過撥號出去防火墻不能防止內(nèi)部的攻擊,以及內(nèi)部人員與外部人員的聯(lián)合攻擊(比如,通過tunnel進入)防火墻不能防止被病毒感染的程序或者文件、郵件等防火墻的性能要求防火墻本身的局限性對于繞過防火墻的攻擊,它無能為力,例如,在計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件串口:可對防火墻進行初始化的配置串口:可對內(nèi)容提要防火墻的基本概念防火墻的發(fā)展歷程防火墻的核心技術(shù)防火墻的體系結(jié)構(gòu)防火墻的構(gòu)造體系防火墻的功能與原理內(nèi)容提要防火墻的基本概念防火墻的發(fā)展歷程基于路由器的防火墻利用路由器本身對分組的解析,進行分組過濾過濾判斷依據(jù):地址、端口號以及其他網(wǎng)絡(luò)特征防火墻與路由器合為一體,只有過濾功能適用于對安全要求不高的網(wǎng)絡(luò)環(huán)境防火墻工具組件將過濾功能從路由器中獨立出來,并加上審計和告警功能針對用戶需求,提供模塊化的軟件包軟件可以通過網(wǎng)絡(luò)發(fā)送,用戶可根據(jù)需要構(gòu)造防火墻與第一代相比,安全性提高了,價格降低了防火墻的發(fā)展歷程基于路由器的防火墻防火墻的發(fā)展歷程基于通用操作系統(tǒng)的防火墻是批量上市的專用防火墻。包括分組過濾或者借用路由器的分組過濾功能。裝有專用的代理系統(tǒng),監(jiān)控所有協(xié)議的數(shù)據(jù)和指令。保護用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置。安全性和速度大為提高基于安全操作系統(tǒng)的防火墻防火墻廠商具有操作系統(tǒng)的源代碼,并可實現(xiàn)安全內(nèi)核。去掉不必要的系統(tǒng)特性,加固內(nèi)核,強化安全保護。在功能上包括了分組過濾、應(yīng)用網(wǎng)關(guān)、電路級網(wǎng)關(guān)。增加了許多附加功能:加密、鑒別、審計、NAT轉(zhuǎn)換。透明性好,易于使用。防火墻的發(fā)展歷程基于通用操作系統(tǒng)的防火墻計算機網(wǎng)絡(luò)之防火墻全解課件內(nèi)容提要防火墻的基本概念防火墻的發(fā)展歷程防火墻的核心技術(shù)防火墻的體系結(jié)構(gòu)防火墻的構(gòu)造體系防火墻的功能與原理內(nèi)容提要防火墻的基本概念防火墻的類型簡單包過濾防火墻狀態(tài)檢測包過濾防火墻應(yīng)用代理防火墻包過濾與應(yīng)用代理復(fù)合型防火墻核檢測防火墻防火墻的類型簡單包過濾防火墻計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件簡單包過濾防火墻包過濾防火墻是第一代和最基本形式的防火墻,防火墻檢查每一個通過的數(shù)據(jù)包,并查看數(shù)據(jù)包的包頭,然后依據(jù)一套規(guī)則決定或者丟棄,或者放行該數(shù)據(jù)包。這稱為包過濾防火墻。包過濾防火墻檢查每一個傳入包,查看包中可用的基本信息(源地址和目的地址、端口號、協(xié)議等)。然后,將這些信息與設(shè)立的規(guī)則相比較。簡單包過濾防火墻包過濾防火墻是第一代和最基本形式的防火墻,防簡單包過濾防火墻包過濾器操作的基本過程包過濾規(guī)則必須被包過濾設(shè)備端口存儲起來。當(dāng)包到達端口時,對包報頭進行語法分析。大多數(shù)包過濾設(shè)備只檢查IP、TCP、或UDP報頭中的字段。包過濾規(guī)則以特殊的方式存儲。應(yīng)用于包的規(guī)則的順序與包過濾器規(guī)則存儲順序必須相同。若一條規(guī)則阻止包傳輸或接收,則此包便不被允許。若一條規(guī)則允許包傳輸或接收,則此包便可以被繼續(xù)處理。若包不滿足任何一條規(guī)則,則此包便被阻塞。簡單包過濾防火墻包過濾器操作的基本過程簡單包過濾防火墻不檢查數(shù)據(jù)區(qū)。不建立連接狀態(tài)表。前后報文無關(guān)。應(yīng)用層控制很弱。效率高。簡單包過濾防火墻不檢查數(shù)據(jù)區(qū)。包過濾路由器基本的思想很簡單對于每個進來的包,適用一組規(guī)則,然后決定轉(zhuǎn)發(fā)或者丟棄該包往往配置成雙向的包過濾路由器基本的思想很簡單包過濾路由器如何過濾過濾的規(guī)則以IP和傳輸層的頭中的域(字段)為基礎(chǔ),包括源和目標(biāo)IP地址、IP協(xié)議域、源和目標(biāo)端口號過濾器往往建立一組規(guī)則,根據(jù)IP包是否匹配規(guī)則中指定的條件來作出決定。如果匹配到一條規(guī)則,則根據(jù)此規(guī)則決定轉(zhuǎn)發(fā)或者丟棄如果所有規(guī)則都不匹配,則根據(jù)缺省策略包過濾路由器如何過濾安全缺省策略兩種基本策略,或缺省策略沒有被拒絕的流量都可以通過管理員必須針對每一種新出現(xiàn)的攻擊,制定新的規(guī)則沒有被允許的流量都要拒絕比較保守根據(jù)需要,逐漸開放安全缺省策略兩種基本策略,或缺省策略包過濾防火墻在網(wǎng)絡(luò)層上進行監(jiān)測并沒有考慮連接狀態(tài)信息通常在路由器上實現(xiàn)實際上是一種網(wǎng)絡(luò)的訪問控制機制數(shù)據(jù)包過濾技術(shù)的發(fā)展:靜態(tài)包過濾、動態(tài)包過濾包過濾防火墻在網(wǎng)絡(luò)層上進行監(jiān)測包過濾防火墻優(yōu)點:不用改動應(yīng)用程序一個過濾路由器能協(xié)助保護整個網(wǎng)絡(luò)過濾路由器速度快數(shù)據(jù)包過濾對用戶透明效率高包過濾防火墻優(yōu)點:包過濾防火墻缺點:正確制定規(guī)則并不容易不可能引入認(rèn)證機制不能徹底防止地址欺騙一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略包過濾防火墻缺點:Ftp文件傳輸協(xié)議clientftpserver命令通道:21端口數(shù)據(jù)通道:20端口515151502120PORT5151OK建立數(shù)據(jù)通道OKFtp文件傳輸協(xié)議clientftpserver命令通道:Ftp文件傳輸協(xié)議(續(xù))clientftpserver命令通道:21端口數(shù)據(jù)通道:大于1023515151502120PASVPORT3267建立數(shù)據(jù)通道OK3267Ftp文件傳輸協(xié)議(續(xù))clientftpserver命令針對ftp的包過濾規(guī)則注意事項建立一組復(fù)雜的規(guī)則集是否允許正常模式的ftp數(shù)據(jù)通道?有些ftpclient不支持pasv模式動態(tài)監(jiān)視ftp通道發(fā)出的port命令有一些動態(tài)包過濾防火墻可以做到啟示包過濾防火墻比較適合于單連接的服務(wù)(比如smtp,pop3),不適合于多連接的服務(wù)(比如ftp)針對ftp的包過濾規(guī)則注意事項建立一組復(fù)雜的規(guī)則集針對包過濾防火墻的攻擊IP地址欺騙,例如,假冒內(nèi)部的IP地址。對策:在外部接口上禁止內(nèi)部地址源路由攻擊,即由源指定路由,繞開防火墻。對策:禁止這樣的選項IP碎片攻擊。對策:Windows系統(tǒng)請打上最新的Service

Pack,目前的Linux內(nèi)核已經(jīng)不受影響。

如果可能,在網(wǎng)絡(luò)邊界上禁止碎片包通過,或者用iptables限制每秒通過碎片包的數(shù)目。

如果防火墻有重組碎片的功能,請確保自身的算法沒有問題,否則被DoS就會影響整個網(wǎng)絡(luò)。

Win2K系統(tǒng)中,自定義IP安全策略,設(shè)置“碎片檢查”。

利用復(fù)雜協(xié)議和管理員的配置失誤進入防火墻。例如,利用ftp協(xié)議對內(nèi)部進行探查針對包過濾防火墻的攻擊IP地址欺騙,例如,假冒內(nèi)部的IP地址IP碎片攻擊1.

為什么存在IP碎片

鏈路層具有最大傳輸單元MTU這個特性,它限制了數(shù)據(jù)幀的最大長度,不同的網(wǎng)絡(luò)類型都有一個上限值。以太網(wǎng)的MTU是1500,你可以用

netstat

-i

命令查看這個值。如果IP層有數(shù)據(jù)包要傳,而且數(shù)據(jù)包的長度超過了MTU,那么IP層就要對數(shù)據(jù)包進行分片(fragmentation)操作,使每一片的長度都小于或等于MTU。我們假設(shè)要傳輸一個UDP數(shù)據(jù)包,以太網(wǎng)的MTU為1500字節(jié),一般IP首部為20字節(jié),UDP首部為8字節(jié),數(shù)據(jù)的凈荷(payload)部分預(yù)留是1500-20-8=1472字節(jié)。如果數(shù)據(jù)部分大于1472字節(jié),就會出現(xiàn)分片現(xiàn)象。

IP首部包含了分片和重組所需的信息:

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

|

Identification

|R|DF|MF|

Fragment

Offset

|

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|<-------------16----------->|<---3---->|<----------13----------->|

IP碎片攻擊1.

為什么存在IP碎片

鏈路層具有最大傳輸單IP碎片攻擊Identification:發(fā)送端發(fā)送的IP數(shù)據(jù)包標(biāo)識字段都是一個唯一值,該值在分片時被復(fù)制到每個片中。

R:保留未用。

DF:Don‘t

Fragment,“不分片”位,如果將這一比特置1

,IP層將不對數(shù)據(jù)報進行分片。

MF:More

Fragment,“更多的片”,除了最后一片外,其他每個組成數(shù)據(jù)報的片都要把比特置1。

Fragment

Offset:該片偏移原始數(shù)據(jù)包開始處的位置。偏移的字節(jié)數(shù)是該值乘以8。

另外,當(dāng)數(shù)據(jù)報被分片后,每個片的總長度值要改為該片的長度值。每一IP分片都各自路由,到達目的主機后在IP層重組,請放心,首部中的數(shù)據(jù)能夠正確完成分片的重組。既然分片可以被重組,那么所謂的碎片攻擊是如何產(chǎn)生的呢?

IP碎片攻擊Identification:發(fā)送端發(fā)送的IP數(shù)IP碎片攻擊2.

IP碎片攻擊

IP首部有兩個字節(jié)表示整個IP數(shù)據(jù)包的長度,所以IP數(shù)據(jù)包最長只能為0xFFFF,就是65535字節(jié)。如果有意發(fā)送總長度超過65535的IP碎片,一些老的系統(tǒng)內(nèi)核在處理的時候就會出現(xiàn)問題,導(dǎo)致崩潰或者拒絕服務(wù)。另外,如果分片之間偏移量經(jīng)過精心構(gòu)造,一些系統(tǒng)就無法處理,導(dǎo)致死機。所以說,漏洞的起因是出在重組算法上。IP碎片攻擊2.

IP碎片攻擊

IP首部有兩個字節(jié)表示整個計算機網(wǎng)絡(luò)之防火墻全解課件狀態(tài)檢測包過濾防火墻不檢查數(shù)據(jù)區(qū)。建立連接狀態(tài)表。前后報文相關(guān)。應(yīng)用層控制很弱。檢測性能提高了。狀態(tài)檢測包過濾防火墻不檢查數(shù)據(jù)區(qū)。計算機網(wǎng)絡(luò)之防火墻全解課件不檢查IP、TCP包頭。不建立連接狀態(tài)表。網(wǎng)絡(luò)層保護比較弱。安全性提高了,性能降低了。應(yīng)用代理防火墻不檢查IP、TCP包頭。應(yīng)用代理防火墻計算機網(wǎng)絡(luò)之防火墻全解課件復(fù)合型防火墻可以檢查整個數(shù)據(jù)包內(nèi)容。根據(jù)需要建立連接狀態(tài)表。網(wǎng)絡(luò)層保護強。應(yīng)用層控制細(xì)。會話控制弱。復(fù)合型防火墻可以檢查整個數(shù)據(jù)包內(nèi)容。計算機網(wǎng)絡(luò)之防火墻全解課件核檢測防火墻網(wǎng)絡(luò)層保護強。應(yīng)用層保護強。會話保護很強。上下文相關(guān)。前后報文有聯(lián)系。核檢測防火墻網(wǎng)絡(luò)層保護強。計算機網(wǎng)絡(luò)之防火墻全解課件內(nèi)容提要防火墻的基本概念防火墻的發(fā)展歷程防火墻的核心技術(shù)防火墻的體系結(jié)構(gòu)防火墻的構(gòu)造體系防火墻的功能與原理內(nèi)容提要防火墻的基本概念計算機網(wǎng)絡(luò)之防火墻全解課件核檢測技術(shù)就是基于操作系統(tǒng)內(nèi)核的會話檢測技術(shù)。核檢測技計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件基于內(nèi)核的會話檢測技術(shù)就是在操作系統(tǒng)內(nèi)核模擬出典型的應(yīng)用層協(xié)議,在內(nèi)核實現(xiàn)應(yīng)用層協(xié)議的過濾,從而得到極高的性能?;趦?nèi)核的會話檢測技術(shù)就是在操作系統(tǒng)內(nèi)核模擬出典型的應(yīng)用層協(xié)并發(fā)連接數(shù):20萬vs120萬并發(fā)連接數(shù):內(nèi)容提要防火墻的基本概念防火墻的發(fā)展歷程防火墻的核心技術(shù)防火墻的體系結(jié)構(gòu)防火墻的構(gòu)造體系防火墻的功能與原理內(nèi)容提要防火墻的基本概念防火墻構(gòu)造體系篩選路由器。多宿主主機。被屏蔽主機。被屏蔽子網(wǎng)。防火墻構(gòu)造體系篩選路由器。計算機網(wǎng)絡(luò)之防火墻全解課件優(yōu)點:結(jié)構(gòu)簡單部署容易、靈活缺點:安全防護能力弱篩選路由器優(yōu)點:篩選路由器多宿主主機:即帶有多個網(wǎng)卡的主機,也就是一個代理服務(wù)器。多宿主主機:缺點:安全防護能力只有一層,一旦多宿主主機受到攻擊,內(nèi)網(wǎng)就可能完全暴露于外網(wǎng)之下。多宿主主機缺點:多宿主主機堡壘主機:對外部網(wǎng)絡(luò)暴露,同時也是內(nèi)部網(wǎng)絡(luò)用戶的主要連接點堡壘主機:

堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上,通常在路由器上設(shè)立過濾規(guī)則,并使這個堡壘主機成為從外部網(wǎng)絡(luò)唯一可直接到達的主機,這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊屏蔽主機

堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上,通常在路由器上設(shè)立過濾規(guī)則,并使優(yōu)點:只要包過濾防火墻安全,即使堡壘主機被攻破,其他主機仍然是安全的。缺點:堡壘主機與其他主機處于同一個子網(wǎng)。一旦包過濾防火墻被攻破,堡壘主機和其他主機都暴露在外網(wǎng)之下,是不安全的。被屏蔽主機優(yōu)點:被屏蔽主機堡壘主機的實現(xiàn)(1)堡壘主機操作系統(tǒng)的選擇;(2)堡壘主機速度的選擇;(3)堡壘主機的硬件;(4)堡壘主機的物理位置。堡壘主機的實現(xiàn)(1)堡壘主機操作系統(tǒng)的選擇應(yīng)該選較為熟悉的、流行的系統(tǒng)作為堡壘主機的操作系統(tǒng)。選擇主機時,應(yīng)該選擇一個可支持有若干個接口同時處于活躍狀態(tài)并且能可靠地提供一系列內(nèi)部網(wǎng)用戶所需要的因特網(wǎng)服務(wù)的機器。(1)堡壘主機操作系統(tǒng)的選擇應(yīng)該選較為熟悉的、流行的系統(tǒng)作為(2)堡壘主機速度的選擇實際上,選用功能并不十分強大的機器作為堡壘主機反而更好。不使用功能過高的機器充當(dāng)堡壘主機的理由如下:①低檔的機器對入侵者的吸引力要小一些;②如若堡壘主機被破壞,低檔的堡壘主機對于入侵者進一步侵入內(nèi)部網(wǎng)提供的幫助要小些;

③也可降低內(nèi)部網(wǎng)用戶破壞的興趣。

(2)堡壘主機速度的選擇實際上,選用功能并不十分強大的機器作(3)堡壘主機的硬件因為我們總是希望堡壘主機上有高可靠性,所以,應(yīng)慎選產(chǎn)品。還希望堡壘主機具有高兼容性,所以不可選太舊的產(chǎn)品。在不追求純粹的高CPU性能的同時,我們要求它至少能支持同時處理兩個網(wǎng)際連接的能力。這個要求使得堡壘主機的內(nèi)存要大,并配置有足夠的交換空間。另外,如果在堡壘主機上要運行代理服務(wù)還需要有較大的磁盤空間作為存儲緩沖。(3)堡壘主機的硬件因為我們總是希望堡壘主機上有高可靠性,所(4)堡壘主機的物理位置①位置要安全:如若入侵者與堡壘主機有物理接觸,他就有很多我們無法控制的方法來攻破堡壘主機。對堡壘主機提供了許多內(nèi)部網(wǎng)與因特網(wǎng)的功能性連接,如果它被損或被盜,那整個站點與外部網(wǎng)就地脫離或完全中斷。對堡壘主機要細(xì)心保護,以免發(fā)生不測。應(yīng)把它放在通風(fēng)良好、溫濕度較為恒定的房間,并最好配備有空調(diào)和不間斷電源。(4)堡壘主機的物理位置①位置要安全:②堡壘主機在網(wǎng)絡(luò)上的位置:堡壘主機應(yīng)被放置在沒有機密信息流的網(wǎng)絡(luò)上,最好放置一個單獨的網(wǎng)絡(luò)上。將堡壘主機放置在參數(shù)網(wǎng)絡(luò)上而不放在內(nèi)部網(wǎng)上。即使我們無法將堡壘主機放置在參數(shù)網(wǎng)絡(luò)上,也應(yīng)該將它放置在信息流不太敏感的網(wǎng)絡(luò)上。(4)堡壘主機的物理位置②堡壘主機在網(wǎng)絡(luò)上的位置:(4)堡壘主機的物理位置DMZ區(qū):非軍事化區(qū),在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間增加的一個子網(wǎng)。DMZ區(qū):DMZ是英文“demilitarizedzone”的縮寫,中文名稱為“隔離區(qū)”,也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題,而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū),這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi),在這個小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施,如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面,通過這樣一個DMZ區(qū)域,更加有效地保護了內(nèi)部網(wǎng)絡(luò),因為這種網(wǎng)絡(luò)部署,比起一般的防火墻方案,對攻擊者來說又多了一道關(guān)卡。被屏蔽子網(wǎng)DMZ是英文“demilitarizedzone”的縮寫,被屏蔽子網(wǎng)包括兩個防火墻,外部防火墻抵擋外部網(wǎng)絡(luò)的攻擊,并管理所有外部網(wǎng)絡(luò)對DMZ的訪問。內(nèi)部防火墻管理DMZ對于內(nèi)部網(wǎng)絡(luò)的訪問。內(nèi)部防火墻是內(nèi)部網(wǎng)絡(luò)的第三道安全防線(前面有了外部防火墻和堡壘主機),當(dāng)外部防火墻失效的時候,它還可以起到保護內(nèi)部網(wǎng)絡(luò)的功能。而局域網(wǎng)內(nèi)部,對于Internet的訪問由內(nèi)部防火墻和位于DMZ的堡壘主機控制。在這樣的結(jié)構(gòu)里,一個黑客必須穿過三個獨立的區(qū)域(外部防火墻、內(nèi)部防火墻和堡壘主機)才能夠到達局域網(wǎng)。攻擊難度大大加強,相應(yīng)內(nèi)部網(wǎng)絡(luò)的安全性也就大大加強,但投資成本也是最高的。

被屏蔽子網(wǎng)被屏蔽子網(wǎng)包括兩個防火墻,外部防火墻抵擋外部網(wǎng)絡(luò)的攻擊,并管優(yōu)點:提供多重保護措施,提高安全保護的強度。被屏蔽子網(wǎng)優(yōu)點:被屏蔽子網(wǎng)計算機網(wǎng)絡(luò)之防火墻全解課件串口:可對防火墻進行初始化的配置串口:可對內(nèi)容提要防火墻的基本概念防火墻的發(fā)展歷程防火墻的核心技術(shù)防火墻的體系結(jié)構(gòu)防火墻的構(gòu)造體系防火墻的功能與原理內(nèi)容提要防火墻的基本概念計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件計算機網(wǎng)絡(luò)之防火墻全解課件RADIUS服務(wù)器(遠(yuǎn)程用戶撥號認(rèn)證系統(tǒng)

)RemoteAuthenticationDial-InUserService服務(wù)器(RADIUS),以執(zhí)行對用戶的驗證(Authentication

)、授權(quán)(Authorization

)和記帳(Accounting

)(AAA)功能。它允許網(wǎng)絡(luò)訪問服務(wù)器(NAS)執(zhí)行對用戶的驗證、授權(quán)和記帳。RADIUS是基于UDP的一種客戶機/服務(wù)器協(xié)議。RADIUS服務(wù)器通常是在UNIX、LINUX或Windows服務(wù)器上運行的一個監(jiān)護程序。如果NAS收到用戶連接請求,它會將它們傳遞到指定的RADIUS服務(wù)器,后者對用戶進行驗證,并將用戶的配置信息返回給NAS。然后,NAS接受或拒絕連接請求。認(rèn)證服務(wù)RADIUS服務(wù)器(遠(yuǎn)程用戶撥號認(rèn)證系統(tǒng))認(rèn)證服務(wù)雖然大部分用戶還在使用可重用口令技術(shù)來保護他們的系統(tǒng),但隨著網(wǎng)絡(luò)應(yīng)用的大規(guī)模普及,可重用口令技術(shù)的缺陷日漸暴露無遺。

在我們能夠使用信息系統(tǒng)之前,通常需要經(jīng)過以下兩個步驟:鑒別和授權(quán)。鑒別是授權(quán)的基礎(chǔ),因為如果不能正確的識別用戶的身份,正確的授權(quán)就無從談起。利用口令認(rèn)證用戶是最常用的一種鑒別技術(shù),而口令鑒別技術(shù)通常又分為兩種:歷史悠久的可重用口令鑒別技術(shù)和后起之秀一次性口令鑒別技術(shù)。可重用口令雖然大部分用戶還在使用可重用口令技術(shù)來保護他們的系統(tǒng),但隨著可重用口令鑒別技術(shù)的歷史很悠久,其缺陷也非常明顯:

·網(wǎng)絡(luò)竊聽:有時候口令需要通過網(wǎng)絡(luò)傳輸,很多鑒別系統(tǒng)的口令是未經(jīng)加密的明文,攻擊者只要通過竊聽網(wǎng)絡(luò)數(shù)據(jù),就很容易獲取鑒別所需的用戶名和口令。

·重放攻擊:有的系統(tǒng)會將鑒別信息進行簡單加密后進行傳輸,這時攻擊者雖然無法竊聽密碼,但他們卻可以首先截取加密后的口令然后將其重放,從而利用這種方式進行有效的攻擊。

·字典攻擊:由于多數(shù)用戶習(xí)慣使用有意義的單詞或數(shù)字作為密碼,某些攻擊者會使用字典中的單詞來嘗試用戶的密碼。所以大多數(shù)系統(tǒng)都建議用戶在口令中加入特殊字符,以增加口令的安全性??芍赜每诹羁芍赜每诹铊b別技術(shù)的歷史很悠久,其缺陷也非常明顯:

·網(wǎng)可重用口令鑒別技術(shù)的歷史很悠久,其缺陷也非常明顯:

·強力攻擊:這是一種特殊的字典攻擊,它使用字符串的全集作為字典,即窮舉所有可能的口令空間。這需要很大的耐心和巨大的工作量以及一點運氣。然而,若用戶的密碼較短,那么它很快就會被窮舉出來,因而很多系統(tǒng)都建議用戶使用長口令。

·窺探:攻擊者利用與被攻擊系統(tǒng)接近的機會,安裝監(jiān)視器或親自窺探合法用戶輸入口令的過程,以得到口令。對于后者,根本不需要特別的技術(shù)或設(shè)備,只要眼睛不是近視,需要的僅是靜悄悄的站在您的身后,就可以輕松實施攻擊。

·社交工程:攻擊者冒充管理人員發(fā)送郵件或打電話給合法用戶,比如“我是某某單位的系統(tǒng)管理員,現(xiàn)在需要更新所有用戶的密碼,請將您原來使用的口令告訴我?!边@種情況下,許多經(jīng)驗不足的用戶會毫不猶豫地將其口令奉上。

可重用口令可重用口令鑒別技術(shù)的歷史很悠久,其缺陷也非常明顯:

·強力可重用口令鑒別技術(shù)的歷史很悠久,其缺陷也非常明顯:

·垃圾搜索:攻擊者通過搜索被攻擊者的廢棄物,得到與攻擊系統(tǒng)有關(guān)的信息,如果用戶將口令寫在紙上又隨便丟棄,則很容易成為垃圾搜索的攻擊對象。有文章報道說,當(dāng)今的商業(yè)間諜流行以清潔工人的身份來搜集情報,一方面清潔工人不太引起人們的注意

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論