防火墻技術(shù)與應(yīng)用-第2版課件第1章-防火墻在網(wǎng)絡(luò)安全防護(hù)體系中的地位和作用

第1章防火墻在網(wǎng)絡(luò)安全防護(hù)體系中的地位和作用南京師范大學(xué)計算機(jī)與電子信息學(xué)院陳波本章知識結(jié)構(gòu)1.1網(wǎng)絡(luò)中計算機(jī)之間的通信及安全威脅1.1.1網(wǎng)絡(luò)體系結(jié)構(gòu)計算機(jī)網(wǎng)絡(luò)系統(tǒng)可以看成是一個擴(kuò)大了的計算機(jī)系統(tǒng)，在網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議（如TCP/IP）的支持下，位于不同主機(jī)內(nèi)的操作系統(tǒng)進(jìn)程可以像在一個單機(jī)系統(tǒng)中一樣互相通信，只不過通信時延稍大一些而已。相互通信的兩個計算機(jī)系統(tǒng)必須高度協(xié)調(diào)工作才行，而這種“協(xié)調(diào)”是相當(dāng)復(fù)雜的，于是人們提出了“分層”的處理方法。1.1網(wǎng)絡(luò)中計算機(jī)之間的通信及安全威脅1.1.1網(wǎng)絡(luò)體系結(jié)構(gòu)開放系統(tǒng)互聯(lián)參考模型OSI國際標(biāo)準(zhǔn)化組織（InternationalOrganizationforStandardization，ISO）于1977年成立了專門的機(jī)構(gòu)研究異構(gòu)網(wǎng)絡(luò)系統(tǒng)互連的問題。不久，誕生了一個試圖使各種計算機(jī)在世界范圍內(nèi)互連成網(wǎng)絡(luò)的標(biāo)準(zhǔn)框架，即著名的開放系統(tǒng)互聯(lián)參考模型（OpenSystemsInterconnectionReferenceModel，OSI/RM）。OSI參考模型采用結(jié)構(gòu)描述方法將整個網(wǎng)絡(luò)的通信功能劃分為7部分（層次），在每個協(xié)議層中完成一系列的特定功能。OSI參考模型的最大優(yōu)點是將服務(wù)、接口和協(xié)議這3個概念明確地區(qū)別開來。1.1網(wǎng)絡(luò)中計算機(jī)之間的通信及安全威脅1.1.1網(wǎng)絡(luò)體系結(jié)構(gòu)TCP/IP結(jié)構(gòu)TCP/IP協(xié)議族可以看作是一組不同層的集合，每一層負(fù)責(zé)一個具體任務(wù)，各層聯(lián)合工作以實現(xiàn)整個網(wǎng)絡(luò)通信。一般將TCP/IP協(xié)議族分為4個功能層：應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層。1.1網(wǎng)絡(luò)中計算機(jī)之間的通信及安全威脅1.1.1網(wǎng)絡(luò)體系結(jié)構(gòu)TCP/IP結(jié)構(gòu)（1）應(yīng)用層應(yīng)用層包含應(yīng)用程序?qū)崿F(xiàn)服務(wù)所使用的協(xié)議。用戶通常與應(yīng)用層進(jìn)行交互。（2）傳輸層傳輸層響應(yīng)來自應(yīng)用層的服務(wù)請求，并向網(wǎng)絡(luò)層發(fā)出服務(wù)請求。1.1網(wǎng)絡(luò)中計算機(jī)之間的通信及安全威脅1.1.1網(wǎng)絡(luò)體系結(jié)構(gòu)TCP/IP結(jié)構(gòu)（3）網(wǎng)絡(luò)層網(wǎng)絡(luò)層負(fù)責(zé)處理網(wǎng)絡(luò)上的主機(jī)間路由及存儲轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)包。（4）網(wǎng)絡(luò)接口層網(wǎng)絡(luò)接口層有時又稱數(shù)據(jù)鏈路層，一般負(fù)責(zé)處理通信介質(zhì)的細(xì)節(jié)問題。1.1網(wǎng)絡(luò)中計算機(jī)之間的通信及安全威脅1.1.1網(wǎng)絡(luò)體系結(jié)構(gòu)主要協(xié)議IP協(xié)議IPv4是一個面向數(shù)據(jù)的協(xié)議，設(shè)計用于分組交換網(wǎng)絡(luò)（例如以太網(wǎng)），是一個盡最大努力交付協(xié)議?；ヂ?lián)網(wǎng)中的每臺主機(jī)都有一個IP地址，一個IP地址用點分十進(jìn)制法表示。IP實現(xiàn)了分片概念。1.1網(wǎng)絡(luò)中計算機(jī)之間的通信及安全威脅1.1.1網(wǎng)絡(luò)體系結(jié)構(gòu)主要協(xié)議TCP協(xié)議TCP是面向連接的，通過所謂的數(shù)據(jù)流，在兩個網(wǎng)絡(luò)主機(jī)之間提供一個可復(fù)用的、可靠的通信信道。TCP保證數(shù)據(jù)從發(fā)送者到接收者可靠和有序地交付。TCP給每個報文一個序列號，通過檢查序列號以確保沒有報文丟失。TCP使用校驗和來控制是否正確接收一個給定的報文。TCP應(yīng)用擁塞控制，實現(xiàn)高性能和避免網(wǎng)絡(luò)鏈路擁塞。1.1網(wǎng)絡(luò)中計算機(jī)之間的通信及安全威脅1.1.1網(wǎng)絡(luò)體系結(jié)構(gòu)主要協(xié)議TCP協(xié)議16位字段指定源和目的端口，在傳輸層中端口用于多路復(fù)用，通過網(wǎng)絡(luò)端口，使不同的應(yīng)用程序在一個IP地址上監(jiān)聽成為可能。1.1網(wǎng)絡(luò)中計算機(jī)之間的通信及安全威脅1.1.1網(wǎng)絡(luò)體系結(jié)構(gòu)主要協(xié)議TCP協(xié)議序號有兩個重要的作用，首先用于配置連接時設(shè)置初始序號，如果連接建立，有效載荷中的第一個數(shù)據(jù)字節(jié)就是序號。如果ACK標(biāo)志被設(shè)置，則確認(rèn)號指定發(fā)送者期望的下一個序號。1.1網(wǎng)絡(luò)中計算機(jī)之間的通信及安全威脅1.1.1網(wǎng)絡(luò)體系結(jié)構(gòu)主要協(xié)議TCP協(xié)議6個比特的TCP標(biāo)志用于提供有關(guān)當(dāng)前TCP報文狀態(tài)的信息。窗口大小字段用于指定發(fā)送者希望接收的從確認(rèn)號開始的字節(jié)數(shù)。1.1網(wǎng)絡(luò)中計算機(jī)之間的通信及安全威脅1.1.1網(wǎng)絡(luò)體系結(jié)構(gòu)主要協(xié)議TCP協(xié)議校驗和用于在目的地檢驗到達(dá)的報文是否未被篡改。只有設(shè)置URG標(biāo)志時，才使用緊急指針字段，它指定了從序號開始的偏移量，指明TCP有效載荷中從哪個點開始的數(shù)據(jù)應(yīng)立即移交給應(yīng)用層。1.1網(wǎng)絡(luò)中計算機(jī)之間的通信及安全威脅1.1.1網(wǎng)絡(luò)體系結(jié)構(gòu)主要協(xié)議TCP協(xié)議1）S→R：發(fā)送方發(fā)送一個帶有SYN標(biāo)志位（置1）和一個序號為x的報文。2）S←R：接收者應(yīng)答一個帶有SYN和ACK標(biāo)志位（都置1）的TCP報文，確認(rèn)號被設(shè)置為主機(jī)希望接收的下一個序號，這個例子中是x+1。此外，接收者將它的序號設(shè)置為y，因為它也希望與另一方同步這個序號。3）S→R：發(fā)送方發(fā)送一個帶有ACK標(biāo)志位（置1）的TCP報文，它響應(yīng)的報文序號為x+1，同時增加確認(rèn)號為y+1。1.1網(wǎng)絡(luò)中計算機(jī)之間的通信及安全威脅1.1.1網(wǎng)絡(luò)體系結(jié)構(gòu)主要協(xié)議UDP協(xié)議用戶數(shù)據(jù)報協(xié)議UDP是IP上面一層，包含兩個部分：首部和數(shù)據(jù)。UDP只在IP的數(shù)據(jù)包服務(wù)之上增加了很少一點功能，也就是端口和差錯校驗的功能。UDP最主要的缺點是，它不提供任何的可靠性和數(shù)據(jù)報有序性。1.1網(wǎng)絡(luò)中計算機(jī)之間的通信及安全威脅【應(yīng)用示例1-1】網(wǎng)絡(luò)中數(shù)據(jù)包傳輸分析通過嗅探工具Wireshark捕獲實際的數(shù)據(jù)包來分析網(wǎng)絡(luò)中數(shù)據(jù)包傳輸?shù)募?xì)節(jié)。Wireshark是一個開源免費(fèi)的網(wǎng)絡(luò)和協(xié)議分析工具，支持各種平臺，可以從下載。Wireshark首先通過網(wǎng)卡捕獲數(shù)據(jù)，通常將網(wǎng)卡設(shè)置成promiscuous模式（混雜模式或稱為監(jiān)控模式）以捕獲網(wǎng)段中的所有數(shù)據(jù)包，然后把捕獲的內(nèi)容按層級解析為幀、段和數(shù)據(jù)包等。Wireshark根據(jù)地址、協(xié)議和數(shù)據(jù)等上下文信息解析和呈現(xiàn)數(shù)據(jù)。1.1網(wǎng)絡(luò)中計算機(jī)之間的通信及安全威脅1.1.2網(wǎng)絡(luò)信息流動過程中面臨的安全威脅通?？梢詫⒕W(wǎng)絡(luò)通信中面臨的安全威脅分為中斷、截獲、篡改和偽造4類。（1）中斷威脅中斷（Interruption）威脅使得在用的信息系統(tǒng)毀壞或不能使用，即破壞可用性。1.1網(wǎng)絡(luò)中計算機(jī)之間的通信及安全威脅1.1.2網(wǎng)絡(luò)信息流動過程中面臨的安全威脅（1）中斷威脅攻擊者可以從下列幾個方面破壞信息系統(tǒng)的可用性：拒絕服務(wù)攻擊或分布式拒絕服務(wù)攻擊。使合法用戶不能正常訪問網(wǎng)絡(luò)資源，或是使有嚴(yán)格時間要求的服務(wù)不能及時得到響應(yīng)。摧毀系統(tǒng)。物理破壞網(wǎng)絡(luò)系統(tǒng)和設(shè)備組件使網(wǎng)絡(luò)不可用，或者破壞網(wǎng)絡(luò)結(jié)構(gòu)使之癱瘓等。如硬盤等硬件的毀壞，通信線路的切斷，文件管理系統(tǒng)的癱瘓等。1.1網(wǎng)絡(luò)中計算機(jī)之間的通信及安全威脅1.1.2網(wǎng)絡(luò)信息流動過程中面臨的安全威脅（2）截獲威脅截獲（Interception）威脅是指一個非授權(quán)方介入系統(tǒng)，使得信息在傳輸中被丟失或泄露的攻擊，它破壞了保密性。非授權(quán)方可以是一個人、一個程序或一臺計算機(jī)。1.1網(wǎng)絡(luò)中計算機(jī)之間的通信及安全威脅1.1.2網(wǎng)絡(luò)信息流動過程中面臨的安全威脅（2）截獲威脅這種攻擊主要包括：在信息傳遞過程中，利用電磁泄露或搭線竊聽等方式截獲機(jī)密信息，或是通過對信息流向、流量、通信頻度和長度等參數(shù)的分析，推測出有用信息，如用戶口令、賬號等。在信息源端，利用惡意代碼等手段非法復(fù)制敏感文件。1.1網(wǎng)絡(luò)中計算機(jī)之間的通信及安全威脅1.1.2網(wǎng)絡(luò)信息流動過程中面臨的安全威脅（3）篡改威脅篡改（Modification）威脅以非法手段竊得對信息的管理權(quán)，通過未授權(quán)的創(chuàng)建、修改、刪除和重放等操作而使信息的完整性受到破壞。1.1網(wǎng)絡(luò)中計算機(jī)之間的通信及安全威脅1.1.2網(wǎng)絡(luò)信息流動過程中面臨的安全威脅（3）篡改威脅這些攻擊主要包括：改變數(shù)據(jù)文件，如修改數(shù)據(jù)庫中的某些值等。替換某一段程序使之執(zhí)行另外的功能。1.1網(wǎng)絡(luò)中計算機(jī)之間的通信及安全威脅1.1.2網(wǎng)絡(luò)信息流動過程中面臨的安全威脅（4）偽造威脅在偽造（Fabrication）威脅中，一個非授權(quán)方將偽造的客體插入系統(tǒng)中，破壞信息的可認(rèn)證性。例如在網(wǎng)絡(luò)通信系統(tǒng)中插入偽造的事務(wù)處理或者向數(shù)據(jù)庫中添加記錄。1.2網(wǎng)絡(luò)安全技術(shù)框架1.2.1針對OSI模型的網(wǎng)絡(luò)安全體系安全體系結(jié)構(gòu)是指對網(wǎng)絡(luò)系統(tǒng)安全功能的抽象描述，從整體上定義網(wǎng)絡(luò)系統(tǒng)應(yīng)提供的5類安全服務(wù)、用來支持安全服務(wù)的8種安全機(jī)制以及安全管理。1.2網(wǎng)絡(luò)安全技術(shù)框架1.2.1針對OSI模型的網(wǎng)絡(luò)安全體系網(wǎng)絡(luò)安全體系結(jié)構(gòu)安全服務(wù)：一個系統(tǒng)各功能部件所提供的安全功能的總和。從協(xié)議分層的角度，底層協(xié)議實體為上層實體提供安全服務(wù)，而對外屏蔽安全服務(wù)的具體實現(xiàn)。OSI安全體系結(jié)構(gòu)模型中定義了5類安全服務(wù)：認(rèn)證（Authentication）、訪問控制（AccessControl）、數(shù)據(jù)保密性（Confidentiality）、數(shù)據(jù)完整性（Integrity）、不可否認(rèn)性（Non-repudiation）。1.2網(wǎng)絡(luò)安全技術(shù)框架1.2.1針對OSI模型的網(wǎng)絡(luò)安全體系網(wǎng)絡(luò)安全體系結(jié)構(gòu)安全機(jī)制：指安全服務(wù)的實現(xiàn)機(jī)制，一種安全服務(wù)可以由多種安全機(jī)制來實現(xiàn)，一種安全機(jī)制也可以為多種安全服務(wù)所用。8種安全機(jī)制是：數(shù)據(jù)加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、鑒別交換、業(yè)務(wù)流填充、路由控制和公證。安全管理：包括兩方面的內(nèi)容，一是安全的管理（ManagementofSecurity），網(wǎng)絡(luò)和系統(tǒng)中各種安全服務(wù)和安全機(jī)制的管理，如認(rèn)證或加密服務(wù)的激活，密鑰等參數(shù)的分配、更新等；二是管理的安全（SecurityofManagement），是指各種管理活動自身的安全，如管理系統(tǒng)本身和管理信息的安全。1.2網(wǎng)絡(luò)安全技術(shù)框架1.2.2基于信息保障概念的網(wǎng)絡(luò)空間縱深防護(hù)框架1.信息保障概念的提出1996年，美國國防部（DoD）在國防部令《DoDDirectiveS-3600.1：InformationOperation》中提出了信息保障（InformationAssurance，IA）的概念。其中對信息保障的定義為：通過確保信息和信息系統(tǒng)的可用性、完整性、保密性、可認(rèn)證性和不可否認(rèn)性等特性來保護(hù)信息系統(tǒng)的信息作戰(zhàn)行動，包括綜合利用保護(hù)、探測和響應(yīng)能力以恢復(fù)系統(tǒng)的功能。1.2網(wǎng)絡(luò)安全技術(shù)框架1.2.2基于信息保障概念的網(wǎng)絡(luò)空間縱深防護(hù)框架2.網(wǎng)絡(luò)空間縱深防護(hù)思路與框架（1）《信息保障技術(shù)框架》由美國國家安全局NSA提出的《信息保障技術(shù)框架》（InformationAssuranceTechnicalFramework，IATF）從整體、過程的角度看待信息安全問題，其核心思想是“縱深防護(hù)戰(zhàn)略（Defense-in-Depth）”，它采用層次化的、多樣性的安全措施來保障用戶信息及信息系統(tǒng)的安全，人、技術(shù)和操作是3個核心因素。1.2網(wǎng)絡(luò)安全技術(shù)框架1.2.2基于信息保障概念的網(wǎng)絡(luò)空間縱深防護(hù)框架2.網(wǎng)絡(luò)空間縱深防護(hù)思路與框架（2）《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》旨在加強(qiáng)電力、運(yùn)輸和電信等“關(guān)鍵基礎(chǔ)設(shè)施”部門的網(wǎng)絡(luò)空間安全。框架分為識別（Identify）、保護(hù)（Protect）、檢測（Detect）、響應(yīng)（Respond）和恢復(fù)（Recover）5個層面，這可以看作是一種基于生命周期和流程的框架方法。2018年4月，NIST發(fā)布了該報告的1.1版本。NIST網(wǎng)絡(luò)安全框架被廣泛視為各類組織機(jī)構(gòu)與企業(yè)實現(xiàn)網(wǎng)絡(luò)安全保障的最佳實踐性指南。1.2網(wǎng)絡(luò)安全技術(shù)框架【應(yīng)用示例1-2】針對TCP/IP網(wǎng)絡(luò)的一種安全框架本案例給出了一種針對TCP/IP網(wǎng)絡(luò)由安全服務(wù)、協(xié)議層次和實體單元組成的三維框架結(jié)構(gòu)，從三個不同的角度闡述不同實體、不同層次的安全需求以及它們之間的邏輯關(guān)系。對TCP/IP網(wǎng)絡(luò)的一種安全框架1.2網(wǎng)絡(luò)安全技術(shù)框架1.2.2基于信息保障概念的網(wǎng)絡(luò)空間縱深防護(hù)框架2.網(wǎng)絡(luò)空間縱深防護(hù)思路與框架（2）《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》旨在加強(qiáng)電力、運(yùn)輸和電信等“關(guān)鍵基礎(chǔ)設(shè)施”部門的網(wǎng)絡(luò)空間安全。框架分為識別（Identify）、保護(hù)（Protect）、檢測（Detect）、響應(yīng)（Respond）和恢復(fù)（Recover）5個層面，這可以看作是一種基于生命周期和流程的框架方法。2018年4月，NIST發(fā)布了該報告的1.1版本。NIST網(wǎng)絡(luò)安全框架被廣泛視為各類組織機(jī)構(gòu)與企業(yè)實現(xiàn)網(wǎng)絡(luò)安全保障的最佳實踐性指南。1.3網(wǎng)絡(luò)安全防護(hù)體系中的防火墻1.3.1防火墻與縱深防護(hù)1.標(biāo)準(zhǔn)定義國家標(biāo)準(zhǔn)《信息安全技術(shù)防火墻技術(shù)要求和測試評價方法》（GB/T20281—2020）給出的防火墻定義是，防火墻是對經(jīng)過的數(shù)據(jù)流進(jìn)行解析，并實現(xiàn)訪問控制及安全防護(hù)功能的網(wǎng)絡(luò)安全產(chǎn)品。1.3網(wǎng)絡(luò)安全防護(hù)體系中的防火墻1.3.1防火墻與縱深防護(hù)根據(jù)這個定義，防火墻具有以下4個基本特征：部署位置上，防火墻是一個邊界網(wǎng)關(guān)，設(shè)置在不同網(wǎng)絡(luò)（如可信的企業(yè)內(nèi)部網(wǎng)絡(luò)和不可信的公共網(wǎng)絡(luò)）或不同安全域之間，而且應(yīng)當(dāng)是不同網(wǎng)絡(luò)或不同安全域之間信息的唯一出入口。工作原理上，防火墻根據(jù)網(wǎng)絡(luò)安全策略對流經(jīng)的數(shù)據(jù)進(jìn)行解析、過濾、限制等控制。功能上，防火墻主要在網(wǎng)絡(luò)層、傳輸層和應(yīng)用層控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，新型防火墻還能實現(xiàn)更多應(yīng)用層程序的訪問控制、Web攻擊防護(hù)、信息泄漏防護(hù)、惡意代碼防護(hù)及入侵防御等功能，保證受保護(hù)部分的安全。性能上，防火墻應(yīng)具有較高的處理效率和較強(qiáng)的自身抗攻擊能力。1.3網(wǎng)絡(luò)安全防護(hù)體系中的防火墻1.3.1防火墻與縱深防護(hù)2.防火墻與網(wǎng)絡(luò)層次的關(guān)系防火墻理論上可以工作在TCP/IP模型中的各層。防火墻的主要工作在于實現(xiàn)訪問控制策略，且所有防火墻均依賴于對TCP/IP各層協(xié)議所產(chǎn)生的信息流進(jìn)行檢查。一般說來，防火墻越是工作在協(xié)議的上層，其能夠檢查的信息就越多，也就能夠獲得更多的信息用于安全決策，因而檢查的網(wǎng)絡(luò)行為就可以越細(xì)致深入，提供的安全防護(hù)等級就越高。1.3網(wǎng)絡(luò)安全防護(hù)體系中的防火墻1.3.1防火墻與縱深防護(hù)3.防火墻是縱深防護(hù)的重要組成（1）攻擊發(fā)生前的防范使用防火墻，作為網(wǎng)絡(luò)安全的第一道防線，它可以識別并阻擋許多黑客攻擊行為。（2）攻擊發(fā)生過程中的防范隨著攻擊者知識的日趨成熟，攻擊工具與手法的日趨復(fù)雜多樣，單純的防火墻策略已經(jīng)無法滿足對安全高度敏感的部門的需要，網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣的手段。（3）攻擊發(fā)生后的應(yīng)對防火墻、IPS等都提供詳細(xì)的數(shù)據(jù)記錄功能，可以對所有誤操作的危險動作和蓄意攻擊行為保留詳盡的記錄。1.3網(wǎng)絡(luò)安全防護(hù)體系中的防火墻1.3.2防火墻與零信任安全1.基于邊界的安全防御體系和傳統(tǒng)防火墻的不足隨著業(yè)務(wù)上云、數(shù)據(jù)上云、移動辦公的普及，跨數(shù)據(jù)中心和多云環(huán)境移動的動態(tài)工作負(fù)載的復(fù)雜性日益增加，傳統(tǒng)的安全邊界不再存在。通過基于邊界的安全防御體系和傳統(tǒng)防火墻防范漏洞和攻擊越來越困難。大量新漏洞和黑客攻擊風(fēng)險以及勒索軟件和惡意軟件爆發(fā)等針對性威脅說明了以下事實，暴露了傳統(tǒng)安全模型的不足。網(wǎng)絡(luò)無時無刻不處于危險的環(huán)境中。網(wǎng)絡(luò)中自始至終存在外部或內(nèi)部威脅。網(wǎng)絡(luò)的位置不足以決定網(wǎng)絡(luò)的可信程度。1.3網(wǎng)絡(luò)安全防護(hù)體系中的防火墻1.3.2防火墻與零信任安全2.零