信息安全第13章_防火墻技術(shù)

1、第十三章第十三章主講人：任凱主講人：任凱聯(lián)系方式：聯(lián)系方式：renkai_百度云盤：百度云盤：http:/ 防火墻作為網(wǎng)絡(luò)防護的第一道防線，它由設(shè)備組合而成，它位于企業(yè)或網(wǎng)絡(luò)群體計算機與外界網(wǎng)絡(luò)的邊界，著外界用戶對內(nèi)部網(wǎng)絡(luò)的訪問以及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的信息安全技術(shù)信息安全技術(shù)v應用代理防火墻應用代理防火墻v電路級網(wǎng)關(guān)防火墻電路級網(wǎng)關(guān)防火墻v狀態(tài)包檢測型防火墻狀態(tài)包檢測型防火墻FF信息安全技術(shù)v包是網(wǎng)絡(luò)上信息流動的基本單位，它由和兩個部分組成v包過濾是基于進行過濾的 Internet內(nèi)部網(wǎng)包過濾路由器安全邊界信息安全技術(shù)v包過濾防火墻特點：包過濾防火墻特點：q最快的防火墻，因為它們的操作處

2、于，只粗略地檢查頭部信息q因為端點之間可以通過防火墻建立直接連接，一旦防火墻允許某一連接，就會允許外部計算機直接連接到防火墻后的目標，從而潛在地暴露了內(nèi)部網(wǎng)絡(luò)，使之容易遭到攻擊信息安全技術(shù)v電路級網(wǎng)關(guān)防火墻電路級網(wǎng)關(guān)防火墻v狀態(tài)包檢測型防火墻狀態(tài)包檢測型防火墻FF信息安全技術(shù)v真正可靠的安全防火墻應該在協(xié)議棧的最高層檢驗所有的輸入數(shù)據(jù)v在協(xié)議棧的，能夠，從而實現(xiàn)各種安全策略v這種防火墻容易識別重要的應用程序命令，例如：FTP的“put”上傳請求和“get”下載請求，還能夠看到傳輸文件的內(nèi)容信息安全技術(shù)v內(nèi)建代理機制：有內(nèi)部連接與外部連接兩條連接內(nèi)建代理機制：有內(nèi)部連接與外部連接兩條連接q將內(nèi)部

3、和外部系統(tǒng)隔離開來，從外面只看到應用代理防火墻，而看不到任何內(nèi)部資源TelnetFTPSMTPHTTP外部主機外部連接應用級網(wǎng)關(guān)內(nèi)部連接內(nèi)部主機信息安全技術(shù)q花費更多處理時間，可疑行為絕不會被允許通過q安全性高，可以過濾多種協(xié)議，通常認為它是最安全的防火墻類型q不能完全透明地支持各種服務與應用，同時一種代理只提供一種服務q另外需要消耗大量的CPU資源，導致相對低的性能信息安全技術(shù)v狀態(tài)包檢測型防火墻狀態(tài)包檢測型防火墻FF信息安全技術(shù)v起一定的代理服務作用，它監(jiān)視兩臺主機，從而判斷該會話請求是否合法，一旦會話連接有效，該網(wǎng)關(guān)僅復制、傳遞數(shù)據(jù)OutInOutOutInIn外部主機內(nèi)部連接內(nèi)部主機電

4、路級網(wǎng)關(guān)外部連接信息安全技術(shù)v在IP層代理各種高層會話，具有v對會話建立后所傳輸?shù)木唧w內(nèi)容不再作進一步地分析，因此v電路級網(wǎng)關(guān)建立兩個TCP連接，確定哪些連接是允許的v包過濾防火墻一樣，都是依靠特定的，但并不檢測包中的內(nèi)容v又同應用代理防火墻一樣，信息安全技術(shù)FF信息安全技術(shù)v狀態(tài)包檢測模式增加了更多的包和包之間的安全上下文檢查，以達到與應用級代理防火墻相類似的安全性能OutInOutOutInIn外部連接外部主機信息處理狀態(tài)信息庫內(nèi)部連接內(nèi)部主機信息安全技術(shù)v特點：特點：q查看完前面的包后，把它記在中，來確定對：如果接收到的TCP 第一次握手數(shù)據(jù)速率超過設(shè)定值，就阻止 TCP 第一次握手數(shù)據(jù)

5、通過：如果發(fā)現(xiàn)某個 IP 地址向另一 IP 地址的多個不同端口發(fā)送 TCP 報文段的速率超過設(shè)定值，就阻止來自該 IP 地址的 TCP 報文段信息安全技術(shù)v優(yōu)點：優(yōu)點：q工作在協(xié)議棧的較低層，通過防火墻的所有數(shù)據(jù)包都在網(wǎng)絡(luò)層與運輸層處理, 因此q一個連接在防火墻中建立起來，就，系統(tǒng)就可以去處理其他連接，執(zhí)行效率可以得到進一步的提高 信息安全技術(shù)FF信息安全技術(shù)v 13.3.1 單防火墻結(jié)構(gòu)單防火墻結(jié)構(gòu)1屏蔽防火墻屏蔽防火墻q只對進出的數(shù)據(jù)進行各種過濾與檢查，功能單一，主要q主要是，而外部計算機很少主動訪問內(nèi)部網(wǎng)絡(luò)信息安全技術(shù)2單單 DMZ 防火墻防火墻q如果一個內(nèi)部網(wǎng)絡(luò)規(guī)模較大，同時內(nèi)部有很多

6、服務器對外提供服務，這時就應該使用單 DMZ 防火墻q單 DMZ 防火墻信息安全技術(shù)3多多 DMZ 防火墻防火墻q防火墻上有較多的接口，可以對外提供多種服務信息安全技術(shù)v 使用兩臺防火墻：內(nèi)部防火墻與外部防火墻，兩者之間是 DMZv 同單防火墻結(jié)構(gòu)類似，所有的數(shù)據(jù)在兩臺防火墻處都被過濾與檢查，內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)中的計算機都可以訪問DMZ，但外部計算機不能主動訪問內(nèi)部網(wǎng)絡(luò)信息安全技術(shù)v 哪個子網(wǎng)最容易受到來自互聯(lián)網(wǎng)中黑客攻擊 v 對外服務網(wǎng)所在的區(qū)域通常稱為什么v 該公司與商業(yè)合作伙伴通過互聯(lián)網(wǎng)進行業(yè)務信息互換，為了保證商業(yè)信息秘密，請問該公司和合作伙伴需要購買什么類型的安全產(chǎn)品 v 該公司如何

7、改進增強WEB服務信息安全技術(shù)FF信息安全技術(shù)13.4.1 包過濾技術(shù)包過濾技術(shù)v 使用包過濾防火墻前要制定規(guī)則，多條規(guī)則組成一個v 用來生成規(guī)則進行過濾的包頭部信息通常都包括以下信息：（1）接口和方向（2）源和目的 IP 地址（3）IP 選項（4）高層協(xié)議（5）TCP 包的 ACK 位檢查（6）ICMP 的報文類型（7）TCP 和 UDP 包的源和目的端口信息安全技術(shù)viptables設(shè)置設(shè)置(man iptables看下相關(guān)資料看下相關(guān)資料):qiptables服務：service iptables start service iptables restart service iptabl

8、es stop q規(guī)則管理命令：追加，在當前鏈的最后新增一個規(guī)則n-I num : 插入，把當前規(guī)則插入為第幾條，例: -I 3 :插入為第三條Replays替換/修改第幾條規(guī)則 格式：iptables -R 3刪除，明確指定刪除第幾條規(guī)則信息安全技術(shù)viptables設(shè)置設(shè)置:qFilter： 處理來自外部的數(shù)據(jù) 處理向外發(fā)送的數(shù)據(jù) 將數(shù)據(jù)轉(zhuǎn)發(fā)到本機的其他網(wǎng)卡設(shè)備上q目標值：允許防火墻接收數(shù)據(jù)包防火墻丟棄包 防火墻將數(shù)據(jù)包移交到用戶空間 防火墻停止執(zhí)行當前鏈中的后續(xù)Rules，并返回到調(diào)用鏈中信息安全技術(shù)viptables命令常用參數(shù)設(shè)置命令常用參數(shù)設(shè)置:協(xié)議，如tcp, udp, icmp

9、等，all指定所有協(xié)議源地址目的地址執(zhí)行目標,可能的值是ACCEPT, DROP, QUEUE, RETURN源端口,針對 -p tcp 或者 -p udp,例如”sport 22與”sport ssh”q-dport ：目的端口TCP標志，針對-p tcp，有效值可以是：SYN, ACK, FIN, RST, URG, PSH信息安全技術(shù)1用于包過濾的用于包過濾的 IP 頭信息頭信息(1) IP地址地址q檢查IP包頭，根據(jù)其作出放行/禁止決定q來自的IP數(shù)據(jù)報不可能具有內(nèi)部網(wǎng)絡(luò)的IP地址，否則一定就是IP地址欺騙qiptables -I INPUT -s /24 -j

10、DROP規(guī)則 方向源IP地址目的IP地址動作1流入流入 /24*拒絕拒絕2*允許允許信息安全技術(shù)(2)協(xié)議字段協(xié)議字段q這一字段定義了q通常，承載ICMP數(shù)據(jù)的包(協(xié)議字段為1)都應丟棄，因為ICMP數(shù)據(jù)將會告知對方本網(wǎng)內(nèi)部的信息qiptables -A OUTPUT -p icmp -icmp-type echo-request -j ACCEPT規(guī)則規(guī)則方向方向協(xié)協(xié) 議議 字字 段段動作動作1*1拒絕拒絕2*允許允許信息安全技術(shù)（3）IP包分片與選項字段包分片與選項字段qIP包分片與選項字段可能導致某些攻擊，現(xiàn)在IP包分片與選項字段用得越來越少，拒絕這樣的IP包信息安

11、全技術(shù)2.用于包過濾的用于包過濾的TCP頭信息頭信息端口號端口號q控制SMTP連接流入和流出的例子,規(guī)則2和規(guī)則4允許大于端口1023的所有服務，不論是流入還是流出方向q黑客可以利用這一個漏洞去做各種事情1流入TCP外部內(nèi)部25允許2流出TCP內(nèi)部外部=1024允許3流出TCP內(nèi)部外部25允許4流入TCP外部內(nèi)部=1024允許5*禁止1流入TCP外部內(nèi)部=102425允許2流出TCP內(nèi)部外部25=1024允許3流出TCP內(nèi)部外部=102425允許4流入TCP外部內(nèi)部25=1024允許5*禁止信息安全技術(shù)viptables -A INPUT -p tcp -sport 1024:655356 -

12、dport 25 -j ACCEPTviptables -A OUTPUT -p tcp -sport 25 -dport 1024:655356 -j ACCEPTviptables -A OUTPUT -p tcp -sport 1024:655356 -dport 25 -j ACCEPTviptables -A INTPUT -p tcp -sport 25 -dport 1024:655356 -j ACCEPT信息安全技術(shù)v在TCP協(xié)議頭中，有一個。在三次握手建立連接期間，需要指明對序列號進行同步時，這一同步位要置1vSYN洪水就是這樣的一種攻擊:黑客是不斷發(fā)送SYN位已經(jīng)置1的包

13、，這樣目標主機就要浪費寶貴的CPU周期建立連接，并且分配內(nèi)存v檢查SYN位雖然不可能過濾所有SYN位已經(jīng)置1的包，但是可以監(jiān)視日志文件，2.用于包過濾的用于包過濾的TCP頭信息頭信息SYN位位信息安全技術(shù)2.2.用于包過濾的用于包過濾的TCPTCP頭信息頭信息ACKACK位位v 檢查ACK位，防火墻只允許內(nèi)部客戶訪問外部Web服務器，反之則禁止v iptables -A OUTPUT -p tcp -sport 1024:655356 -dport 25 -j ACCEPTv iptables -A INPUT -p tcp -sport 25 -dport 1024:655356 tcp-f

14、lags SYN -j ACCEPT規(guī)則規(guī)則 方向方向 協(xié)議協(xié)議 源地源地址址目的地目的地址址源端口源端口 目的端目的端口口ACK位位動作動作1流出流出 TCP內(nèi)部內(nèi)部外部外部102480均可均可允許允許2流入流入 TCP外部外部內(nèi)部內(nèi)部801024置置1允許允許3*禁止禁止信息安全技術(shù)13.4.1 包過濾技術(shù)包過濾技術(shù)vUDP包過濾包過濾vICMP包過濾包過濾q有可能被利用來收集網(wǎng)絡(luò)的有關(guān)信息n源抑制報文n重定向報文q阻止以下幾種報文類型：n流入的流入的echo請求和流出的請求和流出的echo響應響應：允許內(nèi)部用戶使用ping命令測試外部主機的連通性，但不允許相反方向的類似報文n流入的重定向

15、報文流入的重定向報文：可以用來重新配置網(wǎng)絡(luò)的路由表n流出的目的不可到達報文和流出的服務不可用報文流出的目的不可到達報文和流出的服務不可用報文：不允許任何人刺探網(wǎng)絡(luò)信息安全技術(shù)v 包過濾防火墻的優(yōu)點：包過濾防火墻的優(yōu)點：q包過濾是“免費的”。如果己經(jīng)有了路由器，它很可能支持包過濾。在小型局域網(wǎng)內(nèi)，單個路由器用作包過濾器足夠了q理論上只需要在局域網(wǎng)連接到因特網(wǎng)或外部網(wǎng)的地方布置一個過濾器q使用包過濾器，不需要專門培訓用戶或使用專門的客戶端和服務器程序信息安全技術(shù)包過濾防火墻的缺點包過濾防火墻的缺點:v使路由器難以配置，特別是使用大量規(guī)則進行復雜配置的時候。在這種情況下，很難進行完全地測試v當包過濾

16、器出現(xiàn)故障，或者配置不正確的時候，對網(wǎng)絡(luò)產(chǎn)生的危害比代理服務器產(chǎn)生的危害大得多v包過濾器只對少量數(shù)據(jù)，如IP包的頭部信息進行操作v很多具有包過濾功能的防火墻缺少健壯的日志功能，因此當系統(tǒng)被滲入或被攻擊時，很難得到大量的有用信息信息安全技術(shù)FF信息安全技術(shù)1應用代理技術(shù)原理信息安全技術(shù)v 因為應用代理防火墻位于客戶和提供網(wǎng)絡(luò)服務的服務器之間，所以有很多方法來進行內(nèi)容屏蔽或阻塞（1）URL地址阻塞（2）類別阻塞（3）嵌入的內(nèi)容2內(nèi)容屏蔽和阻塞內(nèi)容屏蔽和阻塞信息安全技術(shù)v 應用代理防火墻的一個重要功能就是能夠記錄用戶的各種行為信息v 在事先可預測的條件下，一些行為還可以設(shè)置為觸發(fā)一個警報v 審查日志

17、是審查任何一個系統(tǒng)的重要組成部分，所以一定要盡可能多地記錄各種事件，仔細觀察記錄的數(shù)據(jù)，力爭從中發(fā)現(xiàn)不正常的現(xiàn)象3日志和報警措施日志和報警措施信息安全技術(shù)v 使用代理服務器優(yōu)點使用代理服務器優(yōu)點: :q隱藏受保護網(wǎng)絡(luò)中客戶和服務器的網(wǎng)絡(luò)信息q代理服務器是能夠?qū)κ鼙Ｗo網(wǎng)絡(luò)和因特網(wǎng)之間的網(wǎng)絡(luò)服務進行控制的惟一點(Single Point)。即使代理應用癱瘓，也不能通過設(shè)置堡壘主機來允許通信經(jīng)過q代理服務器可以被設(shè)置來記錄所提供的服務的相關(guān)信息，并且對可疑活動和未授權(quán)的訪問進行報警q一些代理服務器可以篩選返回數(shù)據(jù)的內(nèi)容，并阻塞對某些站點的訪問。它們也能夠阻塞包含已知病毒和其它可疑對象的包信息安全技術(shù)

18、v 代理服務器的缺點代理服務器的缺點: :q盡管代理服務器提供了一個進行訪問控制的惟一點，但它也是導致整個系統(tǒng)癱瘓的惟一點q每一個網(wǎng)絡(luò)服務都需要它自己的代理服務程序。雖然存在一般的解決方案，但是它沒有提供與代理服務器相同級別的安全性q在客戶使用代理服務器之前可能需要被修改或者重新配置信息安全技術(shù)vWindows的代理設(shè)置的代理設(shè)置:q工具Internet選項連接局域網(wǎng)設(shè)置q輸入代理服務器地址和端口號q服務器地址：q端口號:8080q確定之后輸入用戶名和密碼信息安全技術(shù)v傳統(tǒng)防火墻具有以下不足：傳統(tǒng)防火墻具有以下不足：(1)高成本：內(nèi)部網(wǎng)中需要保護的主機或者資源越多，就需要設(shè)置越多的安全檢查點(2)高管理負擔：管理人