網(wǎng)絡(luò)安全技術(shù)：防火墻

IP網(wǎng)絡(luò)技術(shù)

網(wǎng)絡(luò)安全技術(shù)：防火墻防火墻基本概念防火墻相關(guān)技術(shù)防火墻技術(shù)發(fā)展趨勢(shì)防火墻的部署方式目錄網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)和威脅所有的軟件都是有錯(cuò)的.通常情況下99.99%的無(wú)錯(cuò)程序很少出現(xiàn)問(wèn)題.安全相關(guān)的99.99%的無(wú)錯(cuò)程序可以確信會(huì)有人利用那0.01%的錯(cuò)誤.0.01%安全問(wèn)題等于100%的失敗.無(wú)處不在的攻擊經(jīng)濟(jì)利益的驅(qū)使.技術(shù)怪才們的成就感.攻擊的自動(dòng)化,遠(yuǎn)程化和協(xié)作化.網(wǎng)絡(luò)技術(shù)的普及也導(dǎo)致了攻擊技術(shù)的廣泛傳播,包括攻擊方法和攻擊工具網(wǎng)絡(luò)系統(tǒng)安全的復(fù)雜性網(wǎng)絡(luò)元素的復(fù)雜性PC主機(jī):硬件系統(tǒng)OS系統(tǒng):linux/windows/solaris/winCE/Vxworks/IOS/應(yīng)用軟件:交換設(shè)備/路由設(shè)備:多種的網(wǎng)絡(luò)協(xié)議:管理模式的復(fù)雜性安全意識(shí)內(nèi)部人員的管理,權(quán)限分配和密碼管理錯(cuò)誤的網(wǎng)絡(luò)配置安全措施實(shí)施的難度數(shù)據(jù)通信網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)數(shù)據(jù)通信設(shè)備Hub集線器 連接多個(gè)網(wǎng)絡(luò)設(shè)備,提供802.3協(xié)議的電氣互聯(lián)功能,不具有交換功能.所有的用戶共享帶寬.交換機(jī) 二層交換機(jī):利用端口和MAC地址的映射關(guān)系進(jìn)行數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā). 三層交換機(jī):具有二層交換機(jī)功能以及部分路由器的功能,實(shí)現(xiàn)利用IP地址和MAC地址進(jìn)行轉(zhuǎn)發(fā).路由器 邊緣路由器:路由表相對(duì)較小. 核心路由器:大容量的路由表,高的處理能力.網(wǎng)關(guān):實(shí)現(xiàn)一種協(xié)議到另外一種協(xié)議的轉(zhuǎn)換功能.防火墻:作為一個(gè)網(wǎng)絡(luò)接入到另外一個(gè)網(wǎng)絡(luò)的安全控制點(diǎn).防火墻的定義防火墻是位于兩個(gè)(或多個(gè))網(wǎng)絡(luò)之間,實(shí)施網(wǎng)絡(luò)間控制的一組組件的集合,它滿足以下條件:

(1)內(nèi)部和外部網(wǎng)絡(luò)之間的數(shù)據(jù)都必須流經(jīng)防火墻. (2)只有符合預(yù)先定義的安全策略的數(shù)據(jù)才能通過(guò)防火墻. (3)防火墻能夠具有自我免疫的能力,能夠抵制各種攻擊. (4)防火墻具有完善的日志/報(bào)警/監(jiān)控功能,良好的用戶接口防火墻的基本概念防火墻是一種高級(jí)訪問(wèn)控制設(shè)備，是置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全策略控制進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為。兩個(gè)安全域之間通信流的唯一通道安全域1HostAHostB

安全域2HostCHostD

UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根據(jù)訪問(wèn)控制規(guī)則決定進(jìn)出網(wǎng)絡(luò)的行為防火墻基本作用合理劃分網(wǎng)絡(luò),設(shè)置訪問(wèn)控制點(diǎn),保護(hù)私有網(wǎng)絡(luò).防止進(jìn)攻者接近內(nèi)部網(wǎng)絡(luò)限制內(nèi)部用戶的外部訪問(wèn)行為對(duì)外部隱藏內(nèi)部網(wǎng)絡(luò)細(xì)節(jié)提供內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連通防火墻越來(lái)越重要!防火墻五大核心功能

過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)，是網(wǎng)絡(luò)安全的屏障管理進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為，防止內(nèi)部信息的外泄封堵某些禁止的業(yè)務(wù)，對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行控制記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警，強(qiáng)化網(wǎng)絡(luò)安全策略

防火墻的分類包過(guò)濾防火墻工作在傳輸層和網(wǎng)絡(luò)層.狀態(tài)檢測(cè)包過(guò)濾防火墻(SPF:StatefulPacketFiltering)

工作在傳輸層和網(wǎng)絡(luò)層,除了進(jìn)行數(shù)據(jù)包安全規(guī)則匹配和過(guò)濾外,提供對(duì)于數(shù)據(jù)連接的狀態(tài)檢測(cè),這是目前主流的防火墻技術(shù)應(yīng)用層(代理)防火墻工作在應(yīng)用層,表示層或者會(huì)話層.包過(guò)濾防火墻也稱作訪問(wèn)控制列表，它是根據(jù)已經(jīng)定義好的過(guò)濾規(guī)則來(lái)審查每個(gè)數(shù)據(jù)包，并確定該數(shù)據(jù)包是否與過(guò)濾規(guī)則匹配，從而決定數(shù)據(jù)包是否能通過(guò)。包過(guò)濾防火墻對(duì)每一個(gè)數(shù)據(jù)包的包頭進(jìn)行分析，按照包過(guò)濾規(guī)則來(lái)進(jìn)行判定，與規(guī)則相匹配的包根據(jù)路由信息繼續(xù)轉(zhuǎn)發(fā)，否則就將之丟棄。此外，包過(guò)濾防火墻會(huì)對(duì)每一個(gè)通過(guò)防火墻的數(shù)據(jù)包的包頭長(zhǎng)度、選項(xiàng)、數(shù)據(jù)段和標(biāo)志等信息進(jìn)行結(jié)構(gòu)化檢查，以防止錯(cuò)誤的數(shù)據(jù)包通過(guò)防火墻。簡(jiǎn)單包過(guò)濾防火墻工作原理應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層開始攻擊開始攻擊TCP開始攻擊TCPIP開始攻擊TCPIPETH1001100110011001100110100110101開始攻擊TCPIP1001100110011001100110100110101開始攻擊開始攻擊TCP開始攻擊TCPIP開始攻擊TCPIPETH1.檢查IP、TCP報(bào)頭2.不建立狀態(tài)連接表3.不對(duì)內(nèi)容檢查包過(guò)濾是作用在網(wǎng)絡(luò)層和傳輸層，它根據(jù)分組包頭源地址、目的地址和端口號(hào)、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過(guò)。只有滿足過(guò)濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。包過(guò)濾防火墻的優(yōu)缺點(diǎn)優(yōu)點(diǎn)可以與現(xiàn)有的路由器集成，也可以用獨(dú)立的包過(guò)濾軟件來(lái)實(shí)現(xiàn)，而且數(shù)據(jù)包過(guò)濾對(duì)用戶來(lái)說(shuō)是透明的，成本低、速度快、效率高。缺點(diǎn)包過(guò)濾技術(shù)的主要依據(jù)是包含在IP報(bào)頭中的各種信息，可是IP包中信息的可靠性沒(méi)有保證，IP源地址可以偽造，通過(guò)內(nèi)部合謀，入侵者輕易就可以繞過(guò)防火墻；并非所有的服務(wù)都與靜態(tài)端口綁定，包過(guò)濾只能夠過(guò)濾IP地址，所以它不能識(shí)別相同IP地址下不同的用戶，從而不具備身份認(rèn)證的功能；工作在網(wǎng)際層和傳輸層，不能檢測(cè)那些對(duì)高層進(jìn)行的攻擊；如果為了提高安全性而使用很復(fù)雜的過(guò)濾規(guī)則，那么效率就會(huì)大大降低；對(duì)每一個(gè)數(shù)據(jù)包單獨(dú)處理，不具備防御DoS攻擊和DDoS攻擊的能力。狀態(tài)檢測(cè)防火墻是一種動(dòng)態(tài)包過(guò)濾防火墻，也稱為自適應(yīng)防火墻，它在基本包過(guò)濾防火墻的基礎(chǔ)增加了狀態(tài)檢測(cè)的功能。狀態(tài)檢測(cè)防火墻記錄和跟蹤所有進(jìn)出數(shù)據(jù)包的信息，對(duì)連接的狀態(tài)進(jìn)行動(dòng)態(tài)維護(hù)和分析。一旦發(fā)現(xiàn)異常的流量或異常的連接，就動(dòng)態(tài)生成過(guò)濾規(guī)則，制止可能的攻擊行為。因此，狀態(tài)檢測(cè)防火墻具有較強(qiáng)的對(duì)DoS攻擊和DDoS攻擊的防御能力。狀態(tài)檢測(cè)包過(guò)濾防火墻工作原理應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層開始攻擊開始攻擊TCP開始攻擊TCPIP開始攻擊TCPIPETH1001100110011001100110100110101開始攻擊TCPIP1001100110011001100110100110101開始攻擊開始攻擊TCP開始攻擊TCPIP開始攻擊TCPIPETH1.檢查IP、TCP報(bào)頭2.建立狀態(tài)連接表3.不對(duì)內(nèi)容檢查狀態(tài)檢測(cè)工作原理是檢測(cè)每一個(gè)有效連接的狀態(tài)，并根據(jù)這些狀態(tài)信息決定網(wǎng)絡(luò)數(shù)據(jù)包是否能夠通過(guò)防火墻。它在協(xié)議棧低層截取數(shù)據(jù)包，然后分析這些數(shù)據(jù)包，并且將當(dāng)前數(shù)據(jù)包及其狀態(tài)信息和其前一時(shí)刻的數(shù)據(jù)包及其狀態(tài)信息進(jìn)行比較，從而得到該數(shù)據(jù)包的控制信息，以達(dá)到提高效率、保護(hù)網(wǎng)絡(luò)安全的目的。

狀態(tài)檢測(cè)防火墻的優(yōu)缺點(diǎn)優(yōu)點(diǎn)具備包過(guò)濾防火墻的一切優(yōu)點(diǎn)；能夠靈活地動(dòng)態(tài)地生成過(guò)濾規(guī)則，自動(dòng)適應(yīng)網(wǎng)絡(luò)的工作狀態(tài)；具備較好的DoS攻擊和DDoS攻擊防御能力；與應(yīng)用代理防火墻相比，狀態(tài)檢測(cè)防火墻工作在協(xié)議棧的較低層，通過(guò)防火墻的所有數(shù)據(jù)包都在底層處理，減少了高層協(xié)議棧的開銷，執(zhí)行效率較高，具有較好的可伸縮性和易擴(kuò)展性，應(yīng)用范圍廣。缺點(diǎn)不能對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行控制；不能記錄高層次的日志。應(yīng)用代理防火墻工作在應(yīng)用層，它針對(duì)專門的應(yīng)用層協(xié)議制定數(shù)據(jù)過(guò)濾和轉(zhuǎn)發(fā)規(guī)則，其核心技術(shù)是代理服務(wù)器技術(shù)。應(yīng)用代理防火墻的實(shí)現(xiàn)是基于軟件的，主要包含三個(gè)模塊：客戶代理模塊、服務(wù)器代理和過(guò)濾模塊?？蛻舸砟K負(fù)責(zé)處理客戶的訪問(wèn)請(qǐng)求，由過(guò)濾模塊分析和決定是否接受該請(qǐng)求；如果允許，則由服務(wù)器代理模塊建立與服務(wù)器的連接，轉(zhuǎn)發(fā)請(qǐng)求；服務(wù)器代理模塊將服務(wù)器的應(yīng)答傳遞給客戶代理模塊，再轉(zhuǎn)發(fā)給客戶。代理防火墻工作原理1.不檢查IP、TCP報(bào)頭2.不建立狀態(tài)連接表3.網(wǎng)絡(luò)層保護(hù)比較弱應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層開始攻擊開始攻擊TCP開始攻擊TCPIP開始攻擊TCPIPETH1001100110011001100110100110101開始攻擊TCPIP1001100110011001100110100110101開始攻擊開始攻擊TCP開始攻擊TCPIP開始攻擊TCPIPETH代理技術(shù)也叫應(yīng)用網(wǎng)關(guān)（ApplicationGateway）,作用在應(yīng)用層，其特點(diǎn)是完全“阻隔”網(wǎng)絡(luò)通信流，通過(guò)對(duì)每種應(yīng)用服務(wù)(如http,ftp,smtp)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實(shí)現(xiàn)。應(yīng)用代理防火墻的優(yōu)缺點(diǎn)優(yōu)點(diǎn)可以實(shí)現(xiàn)身份認(rèn)證，例如最常見的用戶和密碼認(rèn)證；可以進(jìn)行內(nèi)容過(guò)濾，防止一些應(yīng)用層攻擊（例如溢出攻擊），還可過(guò)濾一些應(yīng)用層數(shù)據(jù)（例如JavaApplet、JavaScript、ActiveX、電子郵件的MIME類型等）?？梢杂涗浄浅Ｔ敱M的應(yīng)用層日志記錄，比如記錄進(jìn)入防火墻的數(shù)據(jù)包中有關(guān)應(yīng)用層的命令以及命令的完成情況等。缺點(diǎn)工作效率較低；對(duì)不同的應(yīng)用層服務(wù)都可能需要定制不同的應(yīng)用代理防火墻軟件，缺乏靈活性，不易擴(kuò)展。復(fù)合型防火墻工作原理應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層開始攻擊開始攻擊TCP開始攻擊TCPIP開始攻擊TCPIPETH1001100110011001100110100110101開始攻擊TCPIP1001100110011001100110100110101開始攻擊開始攻擊TCP開始攻擊TCPIP開始攻擊TCPIPETH1.檢查整個(gè)報(bào)文內(nèi)容2.建立狀態(tài)連接表復(fù)合型防火墻是結(jié)合了狀態(tài)檢測(cè)技術(shù)和應(yīng)用網(wǎng)關(guān)的技術(shù)，每次檢查整個(gè)報(bào)文的內(nèi)容，包括IP頭和TCP頭以及內(nèi)容數(shù)據(jù)，并且建立連接狀態(tài)表。內(nèi)核監(jiān)測(cè)防火墻工作原理應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層100110011001100110011010011010110011001100110011001101001101011.檢查多個(gè)報(bào)文組成的會(huì)話2.建立狀態(tài)連接表3.增強(qiáng)網(wǎng)絡(luò)層保護(hù)能力4.增強(qiáng)應(yīng)用層保護(hù)能力5.增強(qiáng)會(huì)話層保護(hù)能力6.前后報(bào)文有聯(lián)系內(nèi)核監(jiān)測(cè)防火墻將報(bào)文進(jìn)行會(huì)話重寫，對(duì)多個(gè)報(bào)文組成的會(huì)話進(jìn)行檢查，并且建立連接狀態(tài)表，這樣可以增強(qiáng)網(wǎng)絡(luò)層、應(yīng)用層和會(huì)話層的保護(hù)能力，同時(shí)使得前后報(bào)文有聯(lián)系。防火墻的比較包過(guò)濾防火墻特點(diǎn)：只針對(duì)IP地址（復(fù)雜的會(huì)根據(jù)協(xié)議及端口），不關(guān)心數(shù)據(jù)內(nèi)容；速度快，對(duì)用戶透明，無(wú)需配置；缺點(diǎn)：1、無(wú)法對(duì)數(shù)據(jù)包內(nèi)容做檢查；2、無(wú)法提供詳細(xì)記錄；3、所有端口必須靜態(tài)開放，無(wú)法控制高端口；4、復(fù)雜配置下容易出錯(cuò);狀態(tài)檢測(cè)包過(guò)濾防火墻特點(diǎn)：速度快；更加安全；不易出錯(cuò),結(jié)合了包過(guò)濾和應(yīng)用層防火墻的兩者的優(yōu)點(diǎn),配合相關(guān)的硬件轉(zhuǎn)發(fā)部件可以實(shí)現(xiàn)更高的速度;應(yīng)用層防火墻特點(diǎn)：可以提供復(fù)雜的訪問(wèn)控制；內(nèi)容過(guò)濾功能；成熟的日志；缺點(diǎn)：速度慢，只適合已知的應(yīng)用協(xié)議；防火墻的體系結(jié)構(gòu)IPNetworkApplicationTCP/UDPTransportLinkPhysicalPacketFiltersCircuitGatewaysApplicationGatewaysPolicyNATALGVPNFEGEE1T1RTOS:嵌入式實(shí)時(shí)操作系統(tǒng)TCP/IPStack:Policy:安全策略NAT:地址轉(zhuǎn)換ALG:應(yīng)用層網(wǎng)關(guān)VPN:虛擬個(gè)人專用網(wǎng)NP/ASIC/Switchchipset防火墻技術(shù)-Policy

LinkPhysicalPhysical

LinkPhysicalPhysical

Link

LinkFirewallHostHostClient

ApplicationServer

ApplicationIPIPIPTCPTCPTrustedUntrustedPolicyAddressesServiceScheduleActionAddress:定義規(guī)則的源區(qū)域和目的區(qū)域,源IP地址和目標(biāo)IP地址Service:如HTTP/FTP/SMTP/POP3/TELNET等應(yīng)用層協(xié)議.和Address一起完成IP五元組的定義.Schedule:定義何時(shí)生效的時(shí)間信息,例如每天早上8:30分Action:對(duì)于匹配數(shù)據(jù)報(bào)文的最終處理結(jié)果,一般包括丟棄/轉(zhuǎn)發(fā)/VPN隧道封裝.防火墻技術(shù)-Policy

LinkPhysicalPhysical

LinkPhysicalPhysical

Link

LinkFirewallHostHostClient

ApplicationServer

ApplicationIPIPIPTCPTCPTrustedUntrustedPolicyAddressesUsersAuthenticateAUTHUser:定義該規(guī)則限制的對(duì)象用戶對(duì)象.Authentication:定義該類用戶進(jìn)行認(rèn)證的方式,如RADIUS/LDAP防火墻技術(shù)-PolicySetgroupservicecomSetgroupservicecomaddFTP-PutSetgroupservicecomaddMAILSetgroupservicecomaddPOP3SetgroupserviceinternetSetgroupserviceinternetaddFTP-GetSetgroupserviceinternetaddHTTPSetgroupserviceinternetaddHTTPSSetgroupservicewebSetgroupservicewebaddHTTPSetgroupservicewebaddHTTPSTrust->Untrust: setpolicyfromtrusttountrustenganyanypermit setpolicyfromtrusttountrustofficeanyInternetpermitwebauth setpolicytopfromtrusttountrustanyanyComdenyUntrust->DMZ mailpermit Webpermit防火墻技術(shù)-NATNAT:NetworkAddressTranslation,網(wǎng)絡(luò)地址轉(zhuǎn)換.實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)私有IP地址到外部全局IP地址的映射.

一個(gè)公司從電信局僅僅分配一個(gè)公網(wǎng)的IP地址,如何實(shí)現(xiàn)內(nèi)部用戶都能夠訪問(wèn)Internet?一個(gè)公司只有一個(gè)IP地址,如何實(shí)現(xiàn)同時(shí)采用多臺(tái)服務(wù)器提供Web/Email服務(wù)?NAT的作用緩解IP地址耗盡 節(jié)約公用IP地址和金錢實(shí)現(xiàn)TCP負(fù)載均衡 隱藏內(nèi)部網(wǎng)絡(luò)的細(xì)節(jié)私有IP地址空間AddressRangeMask~55/~55/~55/防火墻技術(shù)-NATMany-To-Many:多對(duì)多的映射,又包括N-N,N-M,N-1N-N映射:實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的主機(jī)IP地址和外部網(wǎng)絡(luò)IP地址一一映射關(guān)系.N-M映射:實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的主機(jī)在上網(wǎng)時(shí),可以從一個(gè)較小的地址池中動(dòng)態(tài)選擇一個(gè)IP地址作為訪問(wèn)外部網(wǎng)絡(luò)的IP地址.N-1映射:實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的主機(jī)使用同一IP地址訪問(wèn)Internet.防火墻技術(shù)-NATNAT實(shí)例NAT地址映射表InsideOutsideOutsideInside防火墻技術(shù)-NAT節(jié)約IP地址實(shí)例通過(guò)NAT技術(shù),可以實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的私有地址IP地址的重疊,達(dá)到節(jié)約IP地址的目的防火墻技術(shù)-NAPT問(wèn)題提出:多個(gè)內(nèi)部網(wǎng)絡(luò)主機(jī),但是只有一個(gè)或者幾個(gè)外部IP地址.解決:實(shí)現(xiàn)多對(duì)一的映射(N-1映射).NAPT:NetworkAddressandPortTranslation.可以實(shí)現(xiàn)一個(gè)IP地址多個(gè)主機(jī)共享Internet接入利用NAPT可以將多臺(tái)內(nèi)部服務(wù)器提供的服務(wù)虛擬成一個(gè)服務(wù)器Port800:8080Port230:23Port210:21防火墻技術(shù)-ALGNAT/NAPT存在的問(wèn)題:對(duì)于在TCP/UDP報(bào)文中存在源IP地址的應(yīng)用情況下,僅僅更改IP地址頭部的源IP地址是不夠的,還必須了解應(yīng)用層協(xié)議的數(shù)據(jù)報(bào)報(bào)文,進(jìn)行應(yīng)用層協(xié)議數(shù)據(jù)報(bào)中相關(guān)地址的轉(zhuǎn)換.這就是ALG的一種作用.ALG:應(yīng)用層網(wǎng)關(guān)(applicationlayergateway),實(shí)現(xiàn)對(duì)于應(yīng)用層數(shù)據(jù)的分析.例如實(shí)現(xiàn)更加細(xì)致的控制,可以實(shí)現(xiàn)FTP只能對(duì)外提供GET服務(wù),不允許進(jìn)行PUT操作等.防火墻技術(shù)-ALG需要ALG處理的協(xié)議和應(yīng)用包括:FTP/DNS/SIP/SNMP/NetBIOSoverTCP/UDP等.Pinhole技術(shù):對(duì)于類似于FTP的協(xié)議,應(yīng)用程序的兩個(gè)對(duì)端實(shí)體的通信端口是進(jìn)行協(xié)商動(dòng)態(tài)分配,這就要求防火墻能夠識(shí)別,動(dòng)態(tài)的生成安全策略,打開這些端口.這就是ALG中的Pinhole(針眼)技術(shù)的作用.包括:SIP/H.323等協(xié)議,而且這類協(xié)議越來(lái)越多.防火墻技術(shù)-VPNVPN:虛擬私有網(wǎng)virtualprivatenetwork(VPN)提供了遠(yuǎn)端計(jì)算機(jī)之間,利用公共廣域網(wǎng)絡(luò)(例如Internet)進(jìn)行安全通信的通道.VPN的好處節(jié)約通信成本充分利用Internet技術(shù),更高帶寬和更豐富的應(yīng)用.保證網(wǎng)上交易的安全性,促進(jìn)E-commerce的發(fā)展.保證企業(yè)接入的安全性,實(shí)現(xiàn)SOHO的生活方式.防火墻技術(shù)-VPNVPN的應(yīng)用環(huán)境BranchOfficesTradingPartnersMobileUsersMainOfficeInternetIntranetVPN-betweenMainandBranchOfficesExtranetVPN-totradingpartnersandsuppliersMobileUserVPN-formobileemployees防火墻技術(shù)-VPNRemoteOfficeOptionalNetworkWebServerFTPServerCorporateNetworkMobileUsersRouterInternetRemoteVPNndoeVirtualPrivateNetworkingISPISPISPISPVPNParticipationIPSec+IKE典型的VPN組網(wǎng)結(jié)構(gòu)防火墻技術(shù)-VPNVPN的核心就是在兩點(diǎn)之間建立安全通道(tunnel)NetworkClientServerDataprotectedfromendtoendEnd-to-EndTunnelPhysicalDataNetworkApplicationNode-to-NodeTunnelSecurityPhysicalDataNetworkApplicationvsEnd-to-EndTunnelSecurityDataprotectedwithincommunicationlinkonlyNode-to-NodeTunnelEncryptorEncryptorFirewallFirewall防火墻技術(shù)-加密加密密鑰的加密對(duì)稱密鑰加密方法防火墻技術(shù)-加密公共密鑰加密非對(duì)稱密鑰加密防火墻技術(shù)-加密加密的方法 DES,IDEA,AES密鑰的產(chǎn)生 X.500目錄服務(wù) 數(shù)字證書 X.509數(shù)字證書密鑰的分發(fā) IKE:Internetkeyexchange 防火墻技術(shù)-攻擊檢測(cè)與預(yù)防網(wǎng)絡(luò)攻擊的一般步驟:執(zhí)行探測(cè)探測(cè)網(wǎng)絡(luò)拓?fù)?發(fā)現(xiàn)活動(dòng)主機(jī)(IPaddresssweep)檢測(cè)活動(dòng)主機(jī)的活動(dòng)端口(portscans)判斷主機(jī)的操作系統(tǒng),利用操作系統(tǒng)的已知漏洞實(shí)現(xiàn)攻擊. 發(fā)動(dòng)攻擊隱藏發(fā)動(dòng)攻擊的主機(jī).執(zhí)行一系列攻擊刪除或者銷毀攻擊證據(jù)防火墻技術(shù)-防止IP掃描

IP地址掃描(IPaddressSweep):攻擊者通過(guò)ICMP請(qǐng)求報(bào)文的方式探測(cè)主機(jī).通過(guò)檢測(cè)同一個(gè)sourceIP地址在一個(gè)時(shí)間間隔內(nèi)發(fā)送的ICMP報(bào)文數(shù)來(lái)確定是否存在IP地址的掃描,如果發(fā)現(xiàn),那么對(duì)于以后的ICMP進(jìn)行拋棄防火墻技術(shù)-防止端口掃描

端口掃描(portscanning):攻擊源通過(guò)試探建立TCP連接來(lái)探測(cè)被攻擊對(duì)象對(duì)外部提供的服務(wù).防火墻技術(shù)-防止OS類型探測(cè)對(duì)于TCP數(shù)據(jù)報(bào)文中Flag位的異常設(shè)置,不同OS的TCP/IP協(xié)議棧具有不同的實(shí)現(xiàn),將有不同的應(yīng)答報(bào)文,攻擊者將利用這個(gè)差別來(lái)決定操作系統(tǒng).SYNandFINaresetFINflagwithoutACKTCPheaderwithoutFlagset防火墻將檢測(cè)這些非正常的TCP報(bào)文,實(shí)現(xiàn)對(duì)其丟棄.防火墻技術(shù)-防止IP隱藏攻擊者主要利用IP數(shù)據(jù)包中的寬松源路由選項(xiàng)(Loosesourcerouteoption)和嚴(yán)格源路由選項(xiàng)(Strictsourcerouteoption),通過(guò)指定路由的方式,使得攻擊數(shù)據(jù)包能夠到達(dá)目標(biāo)主機(jī).防火墻可以配置是否對(duì)于IP數(shù)據(jù)包的路由選項(xiàng)進(jìn)行處理,檢測(cè)到這類數(shù)據(jù)報(bào)文可以進(jìn)行拋棄.防火墻技術(shù)-DenyofServiceDoS:拒絕服務(wù)攻擊的主要方法是通過(guò)向被攻擊者發(fā)送大量的偽造的數(shù)據(jù)報(bào)文,導(dǎo)致被攻擊者忙于處理偽造數(shù)據(jù)報(bào)文而不能處理合法的報(bào)文.其核心就是“資源耗盡”.DDoS:DistributedDOS,攻擊者通過(guò)偽裝IP地址,或者利用攻擊代理,從多個(gè)攻擊點(diǎn)向同一受攻擊者發(fā)送攻擊.網(wǎng)絡(luò)設(shè)備的資源

CPU處理能力系統(tǒng)內(nèi)存數(shù)據(jù)帶寬內(nèi)部核心數(shù)據(jù)結(jié)構(gòu):例如防火墻的狀態(tài)表;SOCKET連接表.DoS的分類:根據(jù)攻擊對(duì)象不同F(xiàn)irewallDoSAttack:由于防火墻是內(nèi)部網(wǎng)絡(luò)對(duì)外的通道,攻擊者希望通過(guò)攻擊防火墻實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的不可用性,這也是黑客的最大追求.NetworkDoSAttack:導(dǎo)致網(wǎng)絡(luò)設(shè)備的不可用性.OSDosAttack:導(dǎo)致主機(jī)操作系統(tǒng)直接崩潰.防火墻技術(shù)-FirewallDoSattackSessiontableflood(Session表淹沒(méi)):惡意數(shù)據(jù)大量占用Session表.解決方法:基于源或目的的session限制Session表的主動(dòng)老化防火墻技術(shù)-FirewallDoSattackSYN-ACK-ACKProxyflood原因:當(dāng)一個(gè)需要認(rèn)證的用戶進(jìn)行Telnet或者FTP服務(wù)時(shí),防火墻將首先進(jìn)行TCP鏈接的代理,提示用戶輸入用戶名和密碼,同時(shí)建立session表項(xiàng).解決:配置相應(yīng)的SYN-ACK-ACK最大數(shù)量,超過(guò)這個(gè)閾值則進(jìn)行丟棄. 防火墻技術(shù)-NetworkDoSattack攻擊種類包括:SYNflood/ICMPflood/UDPflood基本攻擊原理(SYNflood)解決方法:代理服務(wù)/閾值限制利用偽造的IP地址和被攻擊者建立TCP鏈接,在TCP鏈接的超時(shí)時(shí)間內(nèi)建立大量的連接未完的TCP鏈接,導(dǎo)致被攻擊者資源耗盡,不能對(duì)外提供服務(wù).防火墻技術(shù)-NetworkDoSattackSYN-Flood攻擊預(yù)防防火墻技術(shù)-NetworkDoSattackICMPFlood預(yù)防防火墻技術(shù)-NetworkDoSattackUDPFlood預(yù)防(主要用于DNS的攻擊)防火墻技術(shù)-OSDoSattackPingofDeath攻擊:IP數(shù)據(jù)報(bào)文的最長(zhǎng)為65535字節(jié),但是有些Ping的程序或者惡意代碼允許構(gòu)造的大于IP數(shù)據(jù)報(bào)文長(zhǎng)度的ICMP報(bào)文,導(dǎo)致被攻擊者在進(jìn)行報(bào)文重組過(guò)程中存在緩沖區(qū)溢出,導(dǎo)致系統(tǒng)崩潰.解決方法:防火墻將檢測(cè)這些oversize的數(shù)據(jù)包,進(jìn)行丟棄.防火墻技術(shù)-OSDoSattackTeardropattack(淚滴攻擊):利用IP頭部的錯(cuò)誤分片偏移,導(dǎo)致系統(tǒng)崩潰.防火墻的不足之處無(wú)法防護(hù)內(nèi)部用戶之間的攻擊無(wú)法防護(hù)基于操作系統(tǒng)漏洞的攻擊無(wú)法防護(hù)內(nèi)部用戶的其他行為無(wú)法防護(hù)端口反彈木馬的攻擊無(wú)法防護(hù)病毒的侵襲無(wú)法防護(hù)非法通道出現(xiàn)不足之處防火墻發(fā)展趨勢(shì)-外部環(huán)境變化自動(dòng)化程度和攻擊速度增加病毒的傳播以小時(shí)計(jì)算，對(duì)網(wǎng)絡(luò)影響越來(lái)越大……攻擊工具越來(lái)越復(fù)雜攻擊工具越來(lái)越隱蔽，功能方式越來(lái)越多樣……發(fā)現(xiàn)漏洞越來(lái)越快發(fā)現(xiàn)漏洞遠(yuǎn)比修補(bǔ)漏洞的速度要快……針對(duì)網(wǎng)絡(luò)設(shè)備的攻擊越來(lái)越多針對(duì)防火墻、路由器、DNS服務(wù)器的攻擊越來(lái)越多……網(wǎng)絡(luò)的智能越來(lái)越邊緣化 需要在最低層次(接入層/匯聚層)提供網(wǎng)絡(luò)安全控制.防火墻作為防御者,需要更快,更強(qiáng),更智能防火墻發(fā)展趨勢(shì)-體系結(jié)構(gòu)防火墻/交換機(jī)/路由器網(wǎng)絡(luò)設(shè)備的融合處理硬件化:網(wǎng)絡(luò)速度越來(lái)越快,做為網(wǎng)絡(luò)控制結(jié)點(diǎn)的防火墻是網(wǎng)絡(luò)帶寬的瓶頸.通過(guò)NP或者ASIC的數(shù)據(jù)轉(zhuǎn)發(fā),結(jié)合SFP,由CPU實(shí)現(xiàn)第一個(gè)數(shù)據(jù)包的處理,而由硬件進(jìn)行絕大多數(shù)的報(bào)文轉(zhuǎn)發(fā),大大提高速度.

LinkPhysicalPhysical

LinkPhysicalPhysical

Link

LinkRouterHostHostClient

ApplicationServer

ApplicationIPIPIPTCPTCPIntegratedsecurityRouterNP/ASIC防火墻發(fā)展趨勢(shì)-功能變化DeepInspection:深度檢查,對(duì)于應(yīng)用層的數(shù)據(jù)報(bào)文進(jìn)行檢查,發(fā)現(xiàn)是否存在攻擊.防火墻發(fā)展趨勢(shì)-功能變化Anti-virus防病毒功能:通過(guò)對(duì)SMTP/POP3/HTTP進(jìn)行重組,檢查其中的附件文件,通過(guò)內(nèi)置或者外部的病毒掃描引擎檢查是否存在病毒.協(xié)議分析:因?yàn)閷?duì)于象TCP這樣的有鏈接的協(xié)議和一些應(yīng)用層協(xié)議,都可以利用有窮狀態(tài)機(jī)來(lái)描敘,協(xié)議分析就是根據(jù)有窮狀態(tài)機(jī)來(lái)分析通信雙方是否為正常的通信.防火墻發(fā)展趨勢(shì)-功能變化增值業(yè)務(wù)的組合

外部的Anti-Virus服務(wù)器外部的URL檢查服務(wù)器外部的Email內(nèi)容過(guò)濾服務(wù)器IDS的聯(lián)動(dòng):IDS進(jìn)行攻擊檢測(cè)后,能夠通過(guò)對(duì)網(wǎng)絡(luò)入口點(diǎn)的防火墻進(jìn)行攻擊描述,由防火墻進(jìn)行控制,實(shí)現(xiàn)防火墻由被動(dòng)防御角色到主動(dòng)防御角色的轉(zhuǎn)變.硬件防火墻發(fā)展歷程OS內(nèi)核IP協(xié)議棧+通用處理器平臺(tái)ASIC芯片+控制管理CPU可編程網(wǎng)絡(luò)處理器+控制管理CPU第一代第二代第三代第一代硬件防火墻使用的是OS內(nèi)核IP協(xié)議棧加通用處理器平臺(tái);第二代就使用了ASIC芯片，用它來(lái)轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)報(bào)，同時(shí)使用一塊CPU負(fù)責(zé)控制管理;第三代硬件防火墻，就用到了可編程網(wǎng)絡(luò)處理器，也就是NP，用NP來(lái)完成數(shù)據(jù)的轉(zhuǎn)發(fā)，同時(shí)使用一塊CPU負(fù)責(zé)控制管理。CPU+NP架構(gòu)CPUCPU負(fù)責(zé)控制層面，NP負(fù)責(zé)轉(zhuǎn)