《通信網(wǎng)絡(luò)安全與防護(hù)》 課件 5.1 防火墻

通信網(wǎng)絡(luò)安全與防護(hù)欺騙型攻擊利用型攻擊DoS與DDoSAPT知識(shí)回顧第五章網(wǎng)絡(luò)防護(hù)技術(shù)《通信網(wǎng)絡(luò)安全與防護(hù)》5.1防火墻5.2入侵檢測(cè)系統(tǒng)5.3安全隔離技術(shù)5.4蜜罐與蜜網(wǎng)本章內(nèi)容教學(xué)目標(biāo)(1)掌握防火墻的基本概念、優(yōu)缺點(diǎn);(2)重點(diǎn)掌握防火墻的三種實(shí)現(xiàn)技術(shù)，熟悉防火墻安全規(guī)則的配置;(3)了解網(wǎng)絡(luò)安全隔離的基本概念，熟悉網(wǎng)閘的工作原理。安全

的威脅√

黑客入侵

√

內(nèi)部攻擊√

病毒危害√

信息泄露√

數(shù)據(jù)篡改引入一、防火墻概述防火墻的引入InternetHTTP/FTP/SMTPServerFileServerDataBaseProxyServerUserClient邊界點(diǎn)安全威脅防火墻5.1防火墻防火墻的概念：

在信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)之間，通過(guò)預(yù)定義的安全策略，對(duì)內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問(wèn)控制的安全應(yīng)用設(shè)備。5.1.1

防火墻概述防火墻能做什么?保護(hù)網(wǎng)絡(luò)中脆弱的服務(wù)允許網(wǎng)絡(luò)管理員定義中心“扼制點(diǎn)”抵抗非法訪問(wèn)增強(qiáng)保密性，強(qiáng)化私有權(quán)采用NAT的防火墻可以節(jié)約地址資源方便地進(jìn)行審計(jì)和告警5.1.1

防火墻概述防火墻不能做什么?有時(shí)會(huì)限制有用的網(wǎng)絡(luò)服務(wù)無(wú)法防范內(nèi)部用戶的攻擊無(wú)法防范病毒與數(shù)據(jù)驅(qū)動(dòng)型攻擊不能控制不經(jīng)防火墻的通信與訪問(wèn)不能防范新的網(wǎng)絡(luò)安全威脅5.1.1

防火墻概述防火墻軟件的發(fā)展包過(guò)濾防火墻應(yīng)用網(wǎng)關(guān)(應(yīng)用代理)防火墻狀態(tài)檢測(cè)包過(guò)濾防火墻5.1防火墻二、防火墻的常用技術(shù)基本的概念應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層防火墻檢測(cè)技術(shù)對(duì)特定應(yīng)用進(jìn)行更細(xì)粒度檢測(cè)容易暴露底層OS對(duì)更多應(yīng)用進(jìn)行粗粒度檢測(cè)效率更高5.1.2

防火墻常用技術(shù)應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層客戶端防火墻服務(wù)器包過(guò)濾引擎1.包過(guò)濾技術(shù)5.1.2

防火墻常用技術(shù)網(wǎng)絡(luò)基礎(chǔ)知識(shí)網(wǎng)絡(luò)基礎(chǔ)知識(shí)網(wǎng)絡(luò)基礎(chǔ)知識(shí)檢查項(xiàng)IP包的源地址IP包的目的地址TCP/UDP端口IP包檢測(cè)包頭檢查路由安全策略：過(guò)濾規(guī)則路由表包過(guò)濾防火墻轉(zhuǎn)發(fā)符合不符合丟棄1.包過(guò)濾技術(shù)5.1.2

防火墻常用技術(shù)防火墻規(guī)則制訂實(shí)例訪問(wèn)需求：1）網(wǎng)絡(luò)/16不愿其他Internet主機(jī)訪問(wèn)其站點(diǎn)；2）但它的一個(gè)子網(wǎng)/24和某大學(xué)/16有合作項(xiàng)目，因此允許該大學(xué)訪問(wèn)該子網(wǎng)；3）然而/24是黑客天堂，需要禁止。1.包過(guò)濾技術(shù)5.1.2

防火墻常用技術(shù)123規(guī)則順序安排原則：先特殊，后普遍內(nèi)網(wǎng)大學(xué)進(jìn)來(lái)出去內(nèi)網(wǎng)黑客天堂進(jìn)來(lái)出去防火墻規(guī)則制訂實(shí)例1.包過(guò)濾技術(shù)5.1.2

防火墻常用技術(shù)基于協(xié)議、端口的規(guī)則制定

HTTP是一個(gè)基于TCP的服務(wù)，一般使用端口80，也可使用其他非標(biāo)準(zhǔn)端口，客戶機(jī)使用任何大于1023的端口。如果防火墻允許WWW穿越網(wǎng)絡(luò)邊界，則可定義如下規(guī)則。1.包過(guò)濾技術(shù)5.1.2

防火墻常用技術(shù)1.包過(guò)濾技術(shù)包過(guò)濾防火墻優(yōu)點(diǎn)能協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò)；對(duì)用戶透明；速度快，效率高；隨著安全規(guī)則的增加，配置、維護(hù)規(guī)則比較困難；無(wú)法執(zhí)行某些安全策略；如基于用戶或應(yīng)用程序的策略不能徹底防止地址欺騙；一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過(guò)濾；（如FTP）5.1.2

防火墻常用技術(shù)包過(guò)濾防火墻缺點(diǎn)應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層客戶端防火墻（代理網(wǎng)關(guān)）服務(wù)器5.1.2

防火墻常用技術(shù)2.應(yīng)用代理技術(shù)某學(xué)校內(nèi)網(wǎng)代理服務(wù)器Internet步驟（1）（1）主機(jī)A發(fā)出訪問(wèn)Web站點(diǎn)的請(qǐng)求；步驟（2）（2）請(qǐng)求到達(dá)代理服務(wù)器，代理服務(wù)器檢查防火墻規(guī)則集，檢查數(shù)據(jù)包報(bào)頭信息和數(shù)據(jù)；主機(jī)AIP地址：8代理服務(wù)器IP地址：

IP地址：5.1.2

防火墻常用技術(shù)2.應(yīng)用代理技術(shù)步驟（3）步驟（4）代理服務(wù)器Internet步驟（1）步驟（2）（3）如果不允許該請(qǐng)求發(fā)出，代理服務(wù)器拒絕請(qǐng)求，發(fā)送ICMP消息給源主機(jī)；（4）如果允許該請(qǐng)求發(fā)出，代理服務(wù)器修改源IP地址，創(chuàng)建數(shù)據(jù)包；主機(jī)AIP地址：8數(shù)據(jù)包源IP地址由8改成代理服務(wù)器IP地址：2.應(yīng)用代理技術(shù)5.1.2

防火墻常用技術(shù)步驟（3）步驟（4）步驟（5）代理服務(wù)器Internet步驟（1）（5）代理服務(wù)器將數(shù)據(jù)包發(fā)給目的計(jì)算機(jī)，數(shù)據(jù)包顯示源IP地址來(lái)自代理服務(wù)器；步驟（2）（6）返回的數(shù)據(jù)包又被發(fā)送到代理服務(wù)器。服務(wù)器再次根據(jù)防火墻規(guī)則集檢查數(shù)據(jù)包報(bào)頭信息和數(shù)據(jù)；步驟（6）代理服務(wù)器IP地址：2.應(yīng)用代理技術(shù)5.1.2

防火墻常用技術(shù)步驟（3）步驟（4）步驟（5）步驟（8）步驟（6）步驟（7）代理服務(wù)器Internet步驟（1）步驟（2）（7）如果不允許該數(shù)據(jù)包進(jìn)入內(nèi)部網(wǎng)，代理服務(wù)器丟棄該數(shù)據(jù)包，發(fā)送ICMP消息；（8）如果允許該數(shù)據(jù)包進(jìn)入內(nèi)部網(wǎng)，代理服務(wù)器將它發(fā)給最先發(fā)出請(qǐng)求的計(jì)算機(jī)；代理服務(wù)器IP地址：2.應(yīng)用代理技術(shù)5.1.2

防火墻常用技術(shù)步驟（3）步驟（9）步驟（4）步驟（5）步驟（8）步驟（6）步驟（7）代理服務(wù)器Internet步驟（1）步驟（2）（9）數(shù)據(jù)包到達(dá)最先發(fā)出請(qǐng)求的計(jì)算機(jī)，此時(shí)數(shù)據(jù)包顯示來(lái)自外部主機(jī)而不是代理服務(wù)器。代理服務(wù)器IP地址：5.1.2

防火墻常用技術(shù)2.應(yīng)用代理技術(shù)缺點(diǎn):必須對(duì)每個(gè)應(yīng)用程序創(chuàng)建過(guò)濾規(guī)則客戶端配置新的應(yīng)用和病毒速度慢5.1.2

防火墻常用技術(shù)2.應(yīng)用代理技術(shù)應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層客戶端防火墻服務(wù)器狀態(tài)檢測(cè)引擎會(huì)話連接狀態(tài)、上下文信息監(jiān)控5.1.2

防火墻常用技術(shù)3.狀態(tài)檢測(cè)包過(guò)濾技術(shù)檢查項(xiàng)IP包的源、目的地址、端口TCP會(huì)話的連接狀態(tài)上下文信息5.1.2

防火墻常用技術(shù)3.狀態(tài)檢測(cè)包過(guò)濾技術(shù)IP包檢測(cè)包頭下一步處理安全策略：過(guò)濾規(guī)則會(huì)話連接狀態(tài)緩存表狀態(tài)檢測(cè)包過(guò)濾防火墻符合不符合丟棄符合狀態(tài)檢測(cè)包過(guò)濾防火墻特點(diǎn)對(duì)各層的通信進(jìn)行主動(dòng)、實(shí)時(shí)的監(jiān)控重組會(huì)話，對(duì)應(yīng)用進(jìn)行細(xì)粒度檢測(cè)效率更高，安全性更高5.1.2

防火墻常用技術(shù)3.狀態(tài)檢測(cè)包過(guò)濾技術(shù)防火墻WebServerFTP/SMTPServer安全區(qū)1（內(nèi)網(wǎng)）安全區(qū)2（外網(wǎng)）安全區(qū)3（DMZ、SSN）5.1防火墻三、防火墻功能與性能分析1.安全區(qū)劃分5.1.3防火墻功能與性能分析網(wǎng)絡(luò)A網(wǎng)絡(luò)B192.168.0.X/24192.168.0.X/24透明模式下，這里不用配置IP地址透明模式下，這里不用配置IP地址透明模式下，網(wǎng)絡(luò)A和網(wǎng)絡(luò)B不用做任何調(diào)整2.接入方式透明接入網(wǎng)絡(luò)A192.168.0.X/24/24202.16.1.x/26202.16.1.y/26路由模式下，防火墻的內(nèi)外網(wǎng)接口必須配置不同的IP地址INTERNET5.1.3防火墻功能與性能分析2.接入方式路由、NAT接入隱藏內(nèi)部網(wǎng)絡(luò)的IP地址及內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)節(jié)約有效的IP地址空間2

發(fā)出請(qǐng)求應(yīng)答發(fā)給2

發(fā)出請(qǐng)求

發(fā)出請(qǐng)求應(yīng)答發(fā)給應(yīng)答發(fā)給NAT2<—>NAT5.1.3防火墻功能與性能分析2.接入方式混合接入防火墻DMZ區(qū)內(nèi)網(wǎng)1內(nèi)網(wǎng)2網(wǎng)橋NATINTERNET5.1.3防火墻功能與性能分析2.接入方式基本的訪問(wèn)控制基于源IP地址基于目的IP地址基于源端口基于目的端口基于時(shí)間基于用戶基于流量基于文件基于網(wǎng)址基于MAC地址WebServerFTP/SMTPServer

源目的根據(jù)預(yù)定義的規(guī)則列表，進(jìn)行訪問(wèn)控制5.1.3防火墻功能與性能分析3.支持的訪問(wèn)控制定義：穿越防火墻的主機(jī)之間或主機(jī)與防火墻之間能同時(shí)建立的最大連接數(shù)CLIENTSERVER用于衡量穿越防火墻的主機(jī)之間能同時(shí)建立的最大連接數(shù)5.1.3防火墻功能與性能分析4.防火墻性能指標(biāo)并發(fā)連接數(shù)定義：在不丟包的情況下能夠達(dá)到的最大速率Smart測(cè)試儀11010010100101010110！◎?！ィぃぃ＃ā痢宰畲笏俾拾l(fā)包直到出現(xiàn)丟包時(shí)的最大值100M60M防火墻吞吐率小就會(huì)造成網(wǎng)絡(luò)的瓶頸吞吐量5.1.3防火墻功能與性能分析4.防火墻性能指標(biāo)定義：入口處輸入幀最后一個(gè)比特到達(dá)至出口處輸出幀的第一個(gè)比特輸出所用的時(shí)間間隔。Smart測(cè)試儀11010010100101010110最后一個(gè)比特到達(dá)11010010100101010110第一個(gè)比特輸出時(shí)間間隔數(shù)據(jù)包排隊(duì)經(jīng)防火墻檢查后轉(zhuǎn)發(fā)，造成數(shù)據(jù)包延遲到達(dá)目的地1101001010010101011011010010100101010110時(shí)延5.1.3防火墻功能與性能分析4.防火墻性能指標(biāo)Smart測(cè)試儀11010010100101010110發(fā)送了100個(gè)包1101001010010101丟包率＝（100－80）/100＝20％定義：在連續(xù)負(fù)載的情況下，防火墻設(shè)備由于資源不足應(yīng)轉(zhuǎn)發(fā)但卻沒轉(zhuǎn)發(fā)的幀百分比。轉(zhuǎn)發(fā)了80個(gè)包5.1.3防火墻功能與性能分析4.防火墻性能指標(biāo)丟包率如何在不同安全等級(jí)的網(wǎng)絡(luò)間進(jìn)行信息交換?A網(wǎng)B網(wǎng)存儲(chǔ)介質(zhì)5.3網(wǎng)絡(luò)隔離技術(shù)一、安全隔離概念5.3.1安全隔離概念背景數(shù)據(jù)的交換通過(guò)人工來(lái)實(shí)現(xiàn)，工作效率低；安全性完全依賴于人的因素，可靠性無(wú)法保證；電子政務(wù)的開展，內(nèi)外網(wǎng)交換數(shù)據(jù)的數(shù)量和頻率呈幾何量級(jí)上升，人工拷盤無(wú)法滿足用戶需要。人工拷盤的缺點(diǎn)網(wǎng)絡(luò)隔離禁止交換安全隔離和可靠交換上世紀(jì)90年代中期俄羅斯人首先提出“AirGap”隔離概念；以色列首先研制成功物理隔離卡，實(shí)現(xiàn)網(wǎng)絡(luò)之間的安全隔離；美國(guó)WhaleCommunications公司和以色列SpearHead公司先后推出了e-Gap和NetGap產(chǎn)品利用專有硬件實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)在不連通的情況下數(shù)據(jù)的安全交換和資源共享；5.3.1安全隔離概念發(fā)展過(guò)程安全隔離，也稱網(wǎng)絡(luò)隔離（NetworkIsolation），主要是指把兩個(gè)或兩個(gè)以上可路由的網(wǎng)絡(luò)（如TCP/IP）通過(guò)不可路由的協(xié)議進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的。網(wǎng)閘是一種廣泛使用的安全隔離產(chǎn)品。不同生產(chǎn)廠商，又稱之為安全隔離網(wǎng)閘、物理隔離網(wǎng)閘、安全隔離與信息交換系統(tǒng)等。都是為了在確保安全的前提下實(shí)現(xiàn)有限的數(shù)據(jù)交換。5.3.1安全隔離概念5.3.2

網(wǎng)閘的工作原理網(wǎng)閘的工作原理是模擬人工在兩個(gè)隔離網(wǎng)絡(luò)之間的信息交換。其本質(zhì)在于：阻斷兩側(cè)網(wǎng)絡(luò)間直接協(xié)議連接，使之不能直接進(jìn)行網(wǎng)絡(luò)協(xié)議通訊，對(duì)傳遞的數(shù)據(jù)內(nèi)容進(jìn)行檢測(cè)，即實(shí)現(xiàn)“協(xié)議落地、內(nèi)容檢測(cè)”。結(jié)構(gòu)設(shè)計(jì)“2+1”模塊安全隔離的安全思路來(lái)自于“不同時(shí)連接”5.3.2

網(wǎng)閘的工作原理網(wǎng)閘的結(jié)構(gòu)采用專用的雙通道隔離交換卡實(shí)現(xiàn)，通過(guò)內(nèi)嵌的安全芯片完成內(nèi)外網(wǎng)主機(jī)模塊間安全的數(shù)據(jù)交換切斷網(wǎng)絡(luò)之前的通用協(xié)議連接，當(dāng)外網(wǎng)需要有數(shù)據(jù)到達(dá)內(nèi)網(wǎng)時(shí)候外部處理單元發(fā)起對(duì)隔離設(shè)備的非TCP/IP協(xié)議的數(shù)據(jù)連接隔離設(shè)備將所有的協(xié)議剝離，將數(shù)據(jù)包進(jìn)行分解或重組為靜態(tài)數(shù)據(jù)寫入存儲(chǔ)介質(zhì)一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲(chǔ)介質(zhì)，隔離設(shè)備立即中斷與外部處理單元的連接對(duì)靜態(tài)數(shù)據(jù)進(jìn)行安全審查，包括網(wǎng)絡(luò)協(xié)議檢查和代碼掃描等數(shù)據(jù)確認(rèn)安全后，隔離設(shè)備發(fā)起對(duì)內(nèi)部處理單元的非TCP/IP協(xié)議的數(shù)據(jù)連接將存儲(chǔ)介質(zhì)內(nèi)的數(shù)據(jù)推向內(nèi)部單元單元內(nèi)部處理單元收到數(shù)據(jù)后，立即進(jìn)行TCP/IP的封裝和應(yīng)用協(xié)議的封裝，并交給應(yīng)用系統(tǒng)，內(nèi)部用戶通過(guò)嚴(yán)格的身份認(rèn)證機(jī)制獲取所需數(shù)據(jù)網(wǎng)閘數(shù)據(jù)交換過(guò)程5.3.2

網(wǎng)閘的工作原理安全隔離網(wǎng)閘最初只支持文件交換功能（工作原理是模擬人工拷盤），目前已經(jīng)發(fā)展到具有數(shù)據(jù)庫(kù)同步、數(shù)據(jù)庫(kù)訪問(wèn)、郵件訪問(wèn)、安全Web訪問(wèn)、FTP訪問(wèn)等多種功能，能對(duì)HTTP、FTP