網(wǎng)絡安全技術：防火墻

IP網(wǎng)絡技術

網(wǎng)絡安全技術：防火墻防火墻基本概念防火墻相關技術防火墻技術發(fā)展趨勢防火墻的部署方式目錄網(wǎng)絡系統(tǒng)的風險和威脅所有的軟件都是有錯的.通常情況下99.99%的無錯程序很少出現(xiàn)問題.安全相關的99.99%的無錯程序可以確信會有人利用那0.01%的錯誤.0.01%安全問題等于100%的失敗.無處不在的攻擊經(jīng)濟利益的驅使.技術怪才們的成就感.攻擊的自動化,遠程化和協(xié)作化.網(wǎng)絡技術的普及也導致了攻擊技術的廣泛傳播,包括攻擊方法和攻擊工具網(wǎng)絡系統(tǒng)安全的復雜性網(wǎng)絡元素的復雜性PC主機:硬件系統(tǒng)OS系統(tǒng):linux/windows/solaris/winCE/Vxworks/IOS/應用軟件:交換設備/路由設備:多種的網(wǎng)絡協(xié)議:管理模式的復雜性安全意識內部人員的管理,權限分配和密碼管理錯誤的網(wǎng)絡配置安全措施實施的難度數(shù)據(jù)通信網(wǎng)絡拓撲結構數(shù)據(jù)通信設備Hub集線器 連接多個網(wǎng)絡設備,提供802.3協(xié)議的電氣互聯(lián)功能,不具有交換功能.所有的用戶共享帶寬.交換機 二層交換機:利用端口和MAC地址的映射關系進行數(shù)據(jù)報文的轉發(fā). 三層交換機:具有二層交換機功能以及部分路由器的功能,實現(xiàn)利用IP地址和MAC地址進行轉發(fā).路由器 邊緣路由器:路由表相對較小. 核心路由器:大容量的路由表,高的處理能力.網(wǎng)關:實現(xiàn)一種協(xié)議到另外一種協(xié)議的轉換功能.防火墻:作為一個網(wǎng)絡接入到另外一個網(wǎng)絡的安全控制點.防火墻的定義防火墻是位于兩個(或多個)網(wǎng)絡之間,實施網(wǎng)絡間控制的一組組件的集合,它滿足以下條件:

(1)內部和外部網(wǎng)絡之間的數(shù)據(jù)都必須流經(jīng)防火墻. (2)只有符合預先定義的安全策略的數(shù)據(jù)才能通過防火墻. (3)防火墻能夠具有自我免疫的能力,能夠抵制各種攻擊. (4)防火墻具有完善的日志/報警/監(jiān)控功能,良好的用戶接口防火墻的基本概念防火墻是一種高級訪問控制設備，是置于不同網(wǎng)絡安全域之間的一系列部件的組合，它是不同網(wǎng)絡安全域間通信流的唯一通道，能根據(jù)企業(yè)有關的安全策略控制進出網(wǎng)絡的訪問行為。兩個安全域之間通信流的唯一通道安全域1HostAHostB

安全域2HostCHostD

UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根據(jù)訪問控制規(guī)則決定進出網(wǎng)絡的行為防火墻基本作用合理劃分網(wǎng)絡,設置訪問控制點,保護私有網(wǎng)絡.防止進攻者接近內部網(wǎng)絡限制內部用戶的外部訪問行為對外部隱藏內部網(wǎng)絡細節(jié)提供內部網(wǎng)絡和外部網(wǎng)絡的連通防火墻越來越重要!防火墻五大核心功能

過濾進、出網(wǎng)絡的數(shù)據(jù)，是網(wǎng)絡安全的屏障管理進、出網(wǎng)絡的訪問行為，防止內部信息的外泄封堵某些禁止的業(yè)務，對網(wǎng)絡存取和訪問進行控制記錄通過防火墻的信息內容和活動對網(wǎng)絡攻擊進行檢測和告警，強化網(wǎng)絡安全策略

防火墻的分類包過濾防火墻工作在傳輸層和網(wǎng)絡層.狀態(tài)檢測包過濾防火墻(SPF:StatefulPacketFiltering)

工作在傳輸層和網(wǎng)絡層,除了進行數(shù)據(jù)包安全規(guī)則匹配和過濾外,提供對于數(shù)據(jù)連接的狀態(tài)檢測,這是目前主流的防火墻技術應用層(代理)防火墻工作在應用層,表示層或者會話層.包過濾防火墻也稱作訪問控制列表，它是根據(jù)已經(jīng)定義好的過濾規(guī)則來審查每個數(shù)據(jù)包，并確定該數(shù)據(jù)包是否與過濾規(guī)則匹配，從而決定數(shù)據(jù)包是否能通過。包過濾防火墻對每一個數(shù)據(jù)包的包頭進行分析，按照包過濾規(guī)則來進行判定，與規(guī)則相匹配的包根據(jù)路由信息繼續(xù)轉發(fā)，否則就將之丟棄。此外，包過濾防火墻會對每一個通過防火墻的數(shù)據(jù)包的包頭長度、選項、數(shù)據(jù)段和標志等信息進行結構化檢查，以防止錯誤的數(shù)據(jù)包通過防火墻。簡單包過濾防火墻工作原理應用層TCP層IP層網(wǎng)絡接口層應用層TCP層IP層網(wǎng)絡接口層開始攻擊開始攻擊TCP開始攻擊TCPIP開始攻擊TCPIPETH1001100110011001100110100110101開始攻擊TCPIP1001100110011001100110100110101開始攻擊開始攻擊TCP開始攻擊TCPIP開始攻擊TCPIPETH1.檢查IP、TCP報頭2.不建立狀態(tài)連接表3.不對內容檢查包過濾是作用在網(wǎng)絡層和傳輸層，它根據(jù)分組包頭源地址、目的地址和端口號、協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉發(fā)到相應的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。包過濾防火墻的優(yōu)缺點優(yōu)點可以與現(xiàn)有的路由器集成，也可以用獨立的包過濾軟件來實現(xiàn)，而且數(shù)據(jù)包過濾對用戶來說是透明的，成本低、速度快、效率高。缺點包過濾技術的主要依據(jù)是包含在IP報頭中的各種信息，可是IP包中信息的可靠性沒有保證，IP源地址可以偽造，通過內部合謀，入侵者輕易就可以繞過防火墻；并非所有的服務都與靜態(tài)端口綁定，包過濾只能夠過濾IP地址，所以它不能識別相同IP地址下不同的用戶，從而不具備身份認證的功能；工作在網(wǎng)際層和傳輸層，不能檢測那些對高層進行的攻擊；如果為了提高安全性而使用很復雜的過濾規(guī)則，那么效率就會大大降低；對每一個數(shù)據(jù)包單獨處理，不具備防御DoS攻擊和DDoS攻擊的能力。狀態(tài)檢測防火墻是一種動態(tài)包過濾防火墻，也稱為自適應防火墻，它在基本包過濾防火墻的基礎增加了狀態(tài)檢測的功能。狀態(tài)檢測防火墻記錄和跟蹤所有進出數(shù)據(jù)包的信息，對連接的狀態(tài)進行動態(tài)維護和分析。一旦發(fā)現(xiàn)異常的流量或異常的連接，就動態(tài)生成過濾規(guī)則，制止可能的攻擊行為。因此，狀態(tài)檢測防火墻具有較強的對DoS攻擊和DDoS攻擊的防御能力。狀態(tài)檢測包過濾防火墻工作原理應用層TCP層IP層網(wǎng)絡接口層應用層TCP層IP層網(wǎng)絡接口層開始攻擊開始攻擊TCP開始攻擊TCPIP開始攻擊TCPIPETH1001100110011001100110100110101開始攻擊TCPIP1001100110011001100110100110101開始攻擊開始攻擊TCP開始攻擊TCPIP開始攻擊TCPIPETH1.檢查IP、TCP報頭2.建立狀態(tài)連接表3.不對內容檢查狀態(tài)檢測工作原理是檢測每一個有效連接的狀態(tài)，并根據(jù)這些狀態(tài)信息決定網(wǎng)絡數(shù)據(jù)包是否能夠通過防火墻。它在協(xié)議棧低層截取數(shù)據(jù)包，然后分析這些數(shù)據(jù)包，并且將當前數(shù)據(jù)包及其狀態(tài)信息和其前一時刻的數(shù)據(jù)包及其狀態(tài)信息進行比較，從而得到該數(shù)據(jù)包的控制信息，以達到提高效率、保護網(wǎng)絡安全的目的。

狀態(tài)檢測防火墻的優(yōu)缺點優(yōu)點具備包過濾防火墻的一切優(yōu)點；能夠靈活地動態(tài)地生成過濾規(guī)則，自動適應網(wǎng)絡的工作狀態(tài)；具備較好的DoS攻擊和DDoS攻擊防御能力；與應用代理防火墻相比，狀態(tài)檢測防火墻工作在協(xié)議棧的較低層，通過防火墻的所有數(shù)據(jù)包都在底層處理，減少了高層協(xié)議棧的開銷，執(zhí)行效率較高，具有較好的可伸縮性和易擴展性，應用范圍廣。缺點不能對應用層數(shù)據(jù)進行控制；不能記錄高層次的日志。應用代理防火墻工作在應用層，它針對專門的應用層協(xié)議制定數(shù)據(jù)過濾和轉發(fā)規(guī)則，其核心技術是代理服務器技術。應用代理防火墻的實現(xiàn)是基于軟件的，主要包含三個模塊：客戶代理模塊、服務器代理和過濾模塊?？蛻舸砟K負責處理客戶的訪問請求，由過濾模塊分析和決定是否接受該請求；如果允許，則由服務器代理模塊建立與服務器的連接，轉發(fā)請求；服務器代理模塊將服務器的應答傳遞給客戶代理模塊，再轉發(fā)給客戶。代理防火墻工作原理1.不檢查IP、TCP報頭2.不建立狀態(tài)連接表3.網(wǎng)絡層保護比較弱應用層TCP層IP層網(wǎng)絡接口層應用層TCP層IP層網(wǎng)絡接口層開始攻擊開始攻擊TCP開始攻擊TCPIP開始攻擊TCPIPETH1001100110011001100110100110101開始攻擊TCPIP1001100110011001100110100110101開始攻擊開始攻擊TCP開始攻擊TCPIP開始攻擊TCPIPETH代理技術也叫應用網(wǎng)關（ApplicationGateway）,作用在應用層，其特點是完全“阻隔”網(wǎng)絡通信流，通過對每種應用服務(如http,ftp,smtp)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應用層通信流的作用。實際中的應用網(wǎng)關通常由專用工作站實現(xiàn)。應用代理防火墻的優(yōu)缺點優(yōu)點可以實現(xiàn)身份認證，例如最常見的用戶和密碼認證；可以進行內容過濾，防止一些應用層攻擊（例如溢出攻擊），還可過濾一些應用層數(shù)據(jù)（例如JavaApplet、JavaScript、ActiveX、電子郵件的MIME類型等）?？梢杂涗浄浅Ｔ敱M的應用層日志記錄，比如記錄進入防火墻的數(shù)據(jù)包中有關應用層的命令以及命令的完成情況等。缺點工作效率較低；對不同的應用層服務都可能需要定制不同的應用代理防火墻軟件，缺乏靈活性，不易擴展。復合型防火墻工作原理應用層TCP層IP層網(wǎng)絡接口層應用層TCP層IP層網(wǎng)絡接口層開始攻擊開始攻擊TCP開始攻擊TCPIP開始攻擊TCPIPETH1001100110011001100110100110101開始攻擊TCPIP1001100110011001100110100110101開始攻擊開始攻擊TCP開始攻擊TCPIP開始攻擊TCPIPETH1.檢查整個報文內容2.建立狀態(tài)連接表復合型防火墻是結合了狀態(tài)檢測技術和應用網(wǎng)關的技術，每次檢查整個報文的內容，包括IP頭和TCP頭以及內容數(shù)據(jù)，并且建立連接狀態(tài)表。內核監(jiān)測防火墻工作原理應用層TCP層IP層網(wǎng)絡接口層應用層TCP層IP層網(wǎng)絡接口層100110011001100110011010011010110011001100110011001101001101011.檢查多個報文組成的會話2.建立狀態(tài)連接表3.增強網(wǎng)絡層保護能力4.增強應用層保護能力5.增強會話層保護能力6.前后報文有聯(lián)系內核監(jiān)測防火墻將報文進行會話重寫，對多個報文組成的會話進行檢查，并且建立連接狀態(tài)表，這樣可以增強網(wǎng)絡層、應用層和會話層的保護能力，同時使得前后報文有聯(lián)系。防火墻的比較包過濾防火墻特點：只針對IP地址（復雜的會根據(jù)協(xié)議及端口），不關心數(shù)據(jù)內容；速度快，對用戶透明，無需配置；缺點：1、無法對數(shù)據(jù)包內容做檢查；2、無法提供詳細記錄；3、所有端口必須靜態(tài)開放，無法控制高端口；4、復雜配置下容易出錯;狀態(tài)檢測包過濾防火墻特點：速度快；更加安全；不易出錯,結合了包過濾和應用層防火墻的兩者的優(yōu)點,配合相關的硬件轉發(fā)部件可以實現(xiàn)更高的速度;應用層防火墻特點：可以提供復雜的訪問控制；內容過濾功能；成熟的日志；缺點：速度慢，只適合已知的應用協(xié)議；防火墻的體系結構IPNetworkApplicationTCP/UDPTransportLinkPhysicalPacketFiltersCircuitGatewaysApplicationGatewaysPolicyNATALGVPNFEGEE1T1RTOS:嵌入式實時操作系統(tǒng)TCP/IPStack:Policy:安全策略NAT:地址轉換ALG:應用層網(wǎng)關VPN:虛擬個人專用網(wǎng)NP/ASIC/Switchchipset防火墻技術-Policy

LinkPhysicalPhysical

LinkPhysicalPhysical

Link

LinkFirewallHostHostClient

ApplicationServer

ApplicationIPIPIPTCPTCPTrustedUntrustedPolicyAddressesServiceScheduleActionAddress:定義規(guī)則的源區(qū)域和目的區(qū)域,源IP地址和目標IP地址Service:如HTTP/FTP/SMTP/POP3/TELNET等應用層協(xié)議.和Address一起完成IP五元組的定義.Schedule:定義何時生效的時間信息,例如每天早上8:30分Action:對于匹配數(shù)據(jù)報文的最終處理結果,一般包括丟棄/轉發(fā)/VPN隧道封裝.防火墻技術-Policy

LinkPhysicalPhysical

LinkPhysicalPhysical

Link

LinkFirewallHostHostClient

ApplicationServer

ApplicationIPIPIPTCPTCPTrustedUntrustedPolicyAddressesUsersAuthenticateAUTHUser:定義該規(guī)則限制的對象用戶對象.Authentication:定義該類用戶進行認證的方式,如RADIUS/LDAP防火墻技術-PolicySetgroupservicecomSetgroupservicecomaddFTP-PutSetgroupservicecomaddMAILSetgroupservicecomaddPOP3SetgroupserviceinternetSetgroupserviceinternetaddFTP-GetSetgroupserviceinternetaddHTTPSetgroupserviceinternetaddHTTPSSetgroupservicewebSetgroupservicewebaddHTTPSetgroupservicewebaddHTTPSTrust->Untrust: setpolicyfromtrusttountrustenganyanypermit setpolicyfromtrusttountrustofficeanyInternetpermitwebauth setpolicytopfromtrusttountrustanyanyComdenyUntrust->DMZ mailpermit Webpermit防火墻技術-NATNAT:NetworkAddressTranslation,網(wǎng)絡地址轉換.實現(xiàn)內部網(wǎng)絡私有IP地址到外部全局IP地址的映射.

一個公司從電信局僅僅分配一個公網(wǎng)的IP地址,如何實現(xiàn)內部用戶都能夠訪問Internet?一個公司只有一個IP地址,如何實現(xiàn)同時采用多臺服務器提供Web/Email服務?NAT的作用緩解IP地址耗盡 節(jié)約公用IP地址和金錢實現(xiàn)TCP負載均衡 隱藏內部網(wǎng)絡的細節(jié)私有IP地址空間AddressRangeMask~55/~55/~55/防火墻技術-NATMany-To-Many:多對多的映射,又包括N-N,N-M,N-1N-N映射:實現(xiàn)內部網(wǎng)絡的主機IP地址和外部網(wǎng)絡IP地址一一映射關系.N-M映射:實現(xiàn)內部網(wǎng)絡的主機在上網(wǎng)時,可以從一個較小的地址池中動態(tài)選擇一個IP地址作為訪問外部網(wǎng)絡的IP地址.N-1映射:實現(xiàn)內部網(wǎng)絡的主機使用同一IP地址訪問Internet.防火墻技術-NATNAT實例NAT地址映射表InsideOutsideOutsideInside防火墻技術-NAT節(jié)約IP地址實例通過NAT技術,可以實現(xiàn)內部網(wǎng)絡的私有地址IP地址的重疊,達到節(jié)約IP地址的目的防火墻技術-NAPT問題提出:多個內部網(wǎng)絡主機,但是只有一個或者幾個外部IP地址.解決:實現(xiàn)多對一的映射(N-1映射).NAPT:NetworkAddressandPortTranslation.可以實現(xiàn)一個IP地址多個主機共享Internet接入利用NAPT可以將多臺內部服務器提供的服務虛擬成一個服務器Port800:8080Port230:23Port210:21防火墻技術-ALGNAT/NAPT存在的問題:對于在TCP/UDP報文中存在源IP地址的應用情況下,僅僅更改IP地址頭部的源IP地址是不夠的,還必須了解應用層協(xié)議的數(shù)據(jù)報報文,進行應用層協(xié)議數(shù)據(jù)報中相關地址的轉換.這就是ALG的一種作用.ALG:應用層網(wǎng)關(applicationlayergateway),實現(xiàn)對于應用層數(shù)據(jù)的分析.例如實現(xiàn)更加細致的控制,可以實現(xiàn)FTP只能對外提供GET服務,不允許進行PUT操作等.防火墻技術-ALG需要ALG處理的協(xié)議和應用包括:FTP/DNS/SIP/SNMP/NetBIOSoverTCP/UDP等.Pinhole技術:對于類似于FTP的協(xié)議,應用程序的兩個對端實體的通信端口是進行協(xié)商動態(tài)分配,這就要求防火墻能夠識別,動態(tài)的生成安全策略,打開這些端口.這就是ALG中的Pinhole(針眼)技術的作用.包括:SIP/H.323等協(xié)議,而且這類協(xié)議越來越多.防火墻技術-VPNVPN:虛擬私有網(wǎng)virtualprivatenetwork(VPN)提供了遠端計算機之間,利用公共廣域網(wǎng)絡(例如Internet)進行安全通信的通道.VPN的好處節(jié)約通信成本充分利用Internet技術,更高帶寬和更豐富的應用.保證網(wǎng)上交易的安全性,促進E-commerce的發(fā)展.保證企業(yè)接入的安全性,實現(xiàn)SOHO的生活方式.防火墻技術-VPNVPN的應用環(huán)境BranchOfficesTradingPartnersMobileUsersMainOfficeInternetIntranetVPN-betweenMainandBranchOfficesExtranetVPN-totradingpartnersandsuppliersMobileUserVPN-formobileemployees防火墻技術-VPNRemoteOfficeOptionalNetworkWebServerFTPServerCorporateNetworkMobileUsersRouterInternetRemoteVPNndoeVirtualPrivateNetworkingISPISPISPISPVPNParticipationIPSec+IKE典型的VPN組網(wǎng)結構防火墻技術-VPNVPN的核心就是在兩點之間建立安全通道(tunnel)NetworkClientServerDataprotectedfromendtoendEnd-to-EndTunnelPhysicalDataNetworkApplicationNode-to-NodeTunnelSecurityPhysicalDataNetworkApplicationvsEnd-to-EndTunnelSecurityDataprotectedwithincommunicationlinkonlyNode-to-NodeTunnelEncryptorEncryptorFirewallFirewall防火墻技術-加密加密密鑰的加密對稱密鑰加密方法防火墻技術-加密公共密鑰加密非對稱密鑰加密防火墻技術-加密加密的方法 DES,IDEA,AES密鑰的產(chǎn)生 X.500目錄服務 數(shù)字證書 X.509數(shù)字證書密鑰的分發(fā) IKE:Internetkeyexchange 防火墻技術-攻擊檢測與預防網(wǎng)絡攻擊的一般步驟:執(zhí)行探測探測網(wǎng)絡拓撲,發(fā)現(xiàn)活動主機(IPaddresssweep)檢測活動主機的活動端口(portscans)判斷主機的操作系統(tǒng),利用操作系統(tǒng)的已知漏洞實現(xiàn)攻擊. 發(fā)動攻擊隱藏發(fā)動攻擊的主機.執(zhí)行一系列攻擊刪除或者銷毀攻擊證據(jù)防火墻技術-防止IP掃描

IP地址掃描(IPaddressSweep):攻擊者通過ICMP請求報文的方式探測主機.通過檢測同一個sourceIP地址在一個時間間隔內發(fā)送的ICMP報文數(shù)來確定是否存在IP地址的掃描,如果發(fā)現(xiàn),那么對于以后的ICMP進行拋棄防火墻技術-防止端口掃描

端口掃描(portscanning):攻擊源通過試探建立TCP連接來探測被攻擊對象對外部提供的服務.防火墻技術-防止OS類型探測對于TCP數(shù)據(jù)報文中Flag位的異常設置,不同OS的TCP/IP協(xié)議棧具有不同的實現(xiàn),將有不同的應答報文,攻擊者將利用這個差別來決定操作系統(tǒng).SYNandFINaresetFINflagwithoutACKTCPheaderwithoutFlagset防火墻將檢測這些非正常的TCP報文,實現(xiàn)對其丟棄.防火墻技術-防止IP隱藏攻擊者主要利用IP數(shù)據(jù)包中的寬松源路由選項(Loosesourcerouteoption)和嚴格源路由選項(Strictsourcerouteoption),通過指定路由的方式,使得攻擊數(shù)據(jù)包能夠到達目標主機.防火墻可以配置是否對于IP數(shù)據(jù)包的路由選項進行處理,檢測到這類數(shù)據(jù)報文可以進行拋棄.防火墻技術-DenyofServiceDoS:拒絕服務攻擊的主要方法是通過向被攻擊者發(fā)送大量的偽造的數(shù)據(jù)報文,導致被攻擊者忙于處理偽造數(shù)據(jù)報文而不能處理合法的報文.其核心就是“資源耗盡”.DDoS:DistributedDOS,攻擊者通過偽裝IP地址,或者利用攻擊代理,從多個攻擊點向同一受攻擊者發(fā)送攻擊.網(wǎng)絡設備的資源

CPU處理能力系統(tǒng)內存數(shù)據(jù)帶寬內部核心數(shù)據(jù)結構:例如防火墻的狀態(tài)表;SOCKET連接表.DoS的分類:根據(jù)攻擊對象不同F(xiàn)irewallDoSAttack:由于防火墻是內部網(wǎng)絡對外的通道,攻擊者希望通過攻擊防火墻實現(xiàn)內部網(wǎng)絡的不可用性,這也是黑客的最大追求.NetworkDoSAttack:導致網(wǎng)絡設備的不可用性.OSDosAttack:導致主機操作系統(tǒng)直接崩潰.防火墻技術-FirewallDoSattackSessiontableflood(Session表淹沒):惡意數(shù)據(jù)大量占用Session表.解決方法:基于源或目的的session限制Session表的主動老化防火墻技術-FirewallDoSattackSYN-ACK-ACKProxyflood原因:當一個需要認證的用戶進行Telnet或者FTP服務時,防火墻將首先進行TCP鏈接的代理,提示用戶輸入用戶名和密碼,同時建立session表項.解決:配置相應的SYN-ACK-ACK最大數(shù)量,超過這個閾值則進行丟棄. 防火墻技術-NetworkDoSattack攻擊種類包括:SYNflood/ICMPflood/UDPflood基本攻擊原理(SYNflood)解決方法:代理服務/閾值限制利用偽造的IP地址和被攻擊者建立TCP鏈接,在TCP鏈接的超時時間內建立大量的連接未完的TCP鏈接,導致被攻擊者資源耗盡,不能對外提供服務.防火墻技術-NetworkDoSattackSYN-Flood攻擊預防防火墻技術-NetworkDoSattackICMPFlood預防防火墻技術-NetworkDoSattackUDPFlood預防(主要用于DNS的攻擊)防火墻技術-OSDoSattackPingofDeath攻擊:IP數(shù)據(jù)報文的最長為65535字節(jié),但是有些Ping的程序或者惡意代碼允許構造的大于IP數(shù)據(jù)報文長度的ICMP報文,導致被攻擊者在進行報文重組過程中存在緩沖區(qū)溢出,導致系統(tǒng)崩潰.解決方法:防火墻將檢測這些oversize的數(shù)據(jù)包,進行丟棄.防火墻技術-OSDoSattackTeardropattack(淚滴攻擊):利用IP頭部的錯誤分片偏移,導致系統(tǒng)崩潰.防火墻的不足之處無法防護內部用戶之間的攻擊無法防護基于操作系統(tǒng)漏洞的攻擊無法防護內部用戶的其他行為無法防護端口反彈木馬的攻擊無法防護病毒的侵襲無法防護非法通道出現(xiàn)不足之處防火墻發(fā)展趨勢-外部環(huán)境變化自動化程度和攻擊速度增加病毒的傳播以小時計算，對網(wǎng)絡影響越來越大……攻擊工具越來越復雜攻擊工具越來越隱蔽，功能方式越來越多樣……發(fā)現(xiàn)漏洞越來越快發(fā)現(xiàn)漏洞遠比修補漏洞的速度要快……針對網(wǎng)絡設備的攻擊越來越多針對防火墻、路由器、DNS服務器的攻擊越來越多……網(wǎng)絡的智能越來越邊緣化 需要在最低層次(接入層/匯聚層)提供網(wǎng)絡安全控制.防火墻作為防御者,需要更快,更強,更智能防火墻發(fā)展趨勢-體系結構防火墻/交換機/路由器網(wǎng)絡設備的融合處理硬件化:網(wǎng)絡速度越來越快,做為網(wǎng)絡控制結點的防火墻是網(wǎng)絡帶寬的瓶頸.通過NP或者ASIC的數(shù)據(jù)轉發(fā),結合SFP,由CPU實現(xiàn)第一個數(shù)據(jù)包的處理,而由硬件進行絕大多數(shù)的報文轉發(fā),大大提高速度.

LinkPhysicalPhysical

LinkPhysicalPhysical

Link

LinkRouterHostHostClient

ApplicationServer

ApplicationIPIPIPTCPTCPIntegratedsecurityRouterNP/ASIC防火墻發(fā)展趨勢-功能變化DeepInspection:深度檢查,對于應用層的數(shù)據(jù)報文進行檢查,發(fā)現(xiàn)是否存在攻擊.防火墻發(fā)展趨勢-功能變化Anti-virus防病毒功能:通過對SMTP/POP3/HTTP進行重組,檢查其中的附件文件,通過內置或者外部的病毒掃描引擎檢查是否存在病毒.協(xié)議分析:因為對于象TCP這樣的有鏈接的協(xié)議和一些應用層協(xié)議,都可以利用有窮狀態(tài)機來描敘,協(xié)議分析就是根據(jù)有窮狀態(tài)機來分析通信雙方是否為正常的通信.防火墻發(fā)展趨勢-功能變化增值業(yè)務的組合

外部的Anti-Virus服務器外部的URL檢查服務器外部的Email內容過濾服務器IDS的聯(lián)動:IDS進行攻擊檢測后,能夠通過對網(wǎng)絡入口點的防火墻進行攻擊描述,由防火墻進行控制,實現(xiàn)防火墻由被動防御角色到主動防御角色的轉變.硬件防火墻發(fā)展歷程OS內核IP協(xié)議棧+通用處理器平臺ASIC芯片+控制管理CPU可編程網(wǎng)絡處理器+控制管理CPU第一代第二代第三代第一代硬件防火墻使用的是OS內核IP協(xié)議棧加通用處理器平臺;第二代就使用了ASIC芯片，用它來轉發(fā)網(wǎng)絡數(shù)據(jù)報，同時使用一塊CPU負責控制管理;第三代硬件防火墻，就用到了可編程網(wǎng)絡處理器，也就是NP，用NP來完成數(shù)據(jù)的轉發(fā)，同時使用一塊CPU負責控制管理。CPU+NP架構CPUCPU負責控制層面，NP負責轉