安全连入Internet防火墙课件.ppt

2023/3/9,安全连入Internet防火墙,安全连入Internet防火墙,安全连入Internet防火墙,背景,Internet的设计就是为资源共享为目标的用户数量的增加，恶劣的用户也在增加许多TCP/IP的服务有漏洞，特别网管服务窃听和假冒比较容易服务策略的缺乏导致许多不需要的服务开放存取控制设置复杂导致安全漏洞防火墙：一个经济的解决方案,安全连入Internet防火墙,本节内容,Internet及其安全防火墙的基本知识防火墙的功能分类防火墙的布置与环境,安全连入Internet防火墙,Internet及其安全,Internet的基本协议Internet的基本服务与安全相关的问题,安全连入Internet防火墙,Internet,以TCP/IP协议为基础初始目标是在研究人员之间进行通信（原型系统为ARPANET，DARPA资助）1980后迅速推广到教育、政府、商业与国际机构目前一般用户为商业用户成为了国家信息基础设施（NII）,安全连入Internet防火墙,Internet提供的基本服务,SMTP：简单邮件传送协议Simple Mail Transfer ProtocolTELNET：对远地主机的基本的终端仿真FTP：文件传送协议File Transfer ProtocolDNS：域名系统Domain Name Service信息提供服务Gopher、WAIS、WWW/http进程调用服务,安全连入Internet防火墙,Internet主机,操作系统的特点就是并行和共享Unix系统Sun,IBM,LinuxWindows系统NT,XP,2000VMS、AS400、其他系统OS/2，Macintosh,安全连入Internet防火墙,网络分层的思路,书信邮件的例子应用：信的内容与将来如何投递没有关系网络：加信封，信封及地址与如何投递没有关系物理：加邮包，运邮件的车跟具体信封地址没有关系两个人的合同谈判翻译秘书传真,安全连入Internet防火墙,邮件示意,信件,信件,安全连入Internet防火墙,合同谈判,英语：I like,德语：I like,Fax to:德语：I like,Fax from:德语：I like,德语：I like,中文：I like,安全连入Internet防火墙,英语：I like,德语：I like,Fax to:德语：I like,Fax from:德语：I like,德语：I like,中文：I like,合同谈判,安全连入Internet防火墙,网络的视角-系统互连(OSI),第一层：物理层 Physical,第二层：数据链路 Data Link,第三层：网络层 Network,第四层：传输层 Transport,第五层：会话 Session,第六层：表示层 Presentation,第七层：应用层 Application,安全连入Internet防火墙,网络中的数据传送,物理层,链路层,网络层,传输层,会话层,表示层,应用层,物理层,链路层,网络层,安全连入Internet防火墙,TCP/IP协议层次结构,物理/数据链路层(Ethernet),网络层 Network(IP,ICMP),传输层 Transport(TCP,UDP),应用层 Application(FTP,Telnet,DNS,NFS,PING),安全连入Internet防火墙,ARP：Address Resolution Protocol地址解析协议,IP数据包发送前查找对应IP地址主机的物理地址在网络上广播ARP请求缓存已经找到的硬件地址参见RFC826,安全连入Internet防火墙,ICMP互连网控制报文协议Internet Control Message Protocol,用于传送错误和控制报文，控制IP协议主机关闭/网关阻塞或不通/其他故障PING是一个著名的应用RFC792,安全连入Internet防火墙,IP(Internet Protocol)协议,接收物理层（Ethernet）发来的数据将数据传送到高层协议，如TCP、UDP不可靠的数据报协议不保障报文顺序，不检查错误，不保证对方收到包含源IP地址和目的IP地址Source Address&Destination Address上层协议（TCP、UDP）认为这些地址都是正确的，不对原IP地址进行认证。RFC760,安全连入Internet防火墙,TCP协议Transmission Control Protocol,IP数据报包含了封装的TCP报文通过连接建立和报文序号以及检错编码保证数据完整性TCP协议将数据送往应用层处理TELNET，FTP，X Window，SMTP等都是基于有连接的TCP协议,安全连入Internet防火墙,UDP协议User Datagram Protocol,与TCP在同一个层次，直接为应用服务不检错，不重发，不排序无连接的协议NTP,DNS使用UDP,安全连入Internet防火墙,TCP/UDP的地址结构,源IP地址（32bits）源端口(16bits)目的IP地址目的端口,安全连入Internet防火墙,一个连接的例子,Telnet服务器运行在192.168.0.1上，在端口23上听是否有连接请求Telnet客户端在192.168.20.1中申请了一个未用的端口，如3987，然后向服务器发连接请求当连接成功后，双方都记下自己以及对方的地址和端口。192.168.20.1:3987 192.168.0.1:23,安全连入Internet防火墙,Internet上安全事件不断,服务安全问题/协议安全问题Sendmail、Free FTP发现漏洞Telnet/FTP/X window易于窃听蠕虫病毒泛滥主机配置错误导致的安全问题弱口令、口令破解程序、NFS协议不能认证用户管理人员的变动和水平,安全连入Internet防火墙,一些安全问题：窃听、假冒,IP假冒，同一网段内，改就行原路径问题（source route）改变IP设计原路径发送请求获得回应Email假冒，不仅是地址，而且还从正确的服务器来。,安全连入Internet防火墙,Internet及其安全总结,Internet是以TCP/IP协议为基础的ARP,IP,TCP,UDP,ICMPISO的七层开放系统模型与Internet的5层模型数据传送方法Internet很不安全协议本身，服务，配置以及系统本身,安全连入Internet防火墙,防火墙的基本知识,防火墙的主要目标是控制对一个受保护网络的访问，强迫所有连接都接受防火墙的检查和评估。可以是路由器、计算机或一群计算机。防火墙通过边界控制保护整个网络，而不需要对每个网内的主机进行单独的保护，为内网仍旧可以采用相互信任的模式提供了一定的安全基础。,安全连入Internet防火墙,防火墙能够做什么,保护内网有漏洞的服务控制对内网系统的访问将安全问题集中解决增加隐私保护内网系统不可见审计和统计网络使用和错误强制执行统一的安全策略,安全连入Internet防火墙,防火墙的缺陷?,外网获得内网的服务不如原来方便后门并没有完全堵住通过MODEM的外拨通过MODEM的内拨内部攻击者无法防止逃避防火墙的监管其他问题新的攻击，数据驱动的攻击，新的病毒，通信瓶颈，依赖（all eggs in single basket）,安全连入Internet防火墙,防火墙运行的网络层次,数据链路层(Ethernet),网络层 Network(IP,ICMP),传输层 Transport(TCP,UDP),应用层 Application(FTP,Telnet,DNS,NFS,PING),简单防火墙运行的层次少，而复杂防火墙运行的层次就多,安全连入Internet防火墙,防火墙的功能分类,包过滤防火墙状态检查机制防火墙应用代理网关防火墙专用代理防火墙混合型防火墙网络地址转换基于主机的防火墙个人防火墙个人防火墙设备,安全连入Internet防火墙,包过滤防火墙,最基本的防火墙功能包含有许多过滤规则最基本的工作模式是工作在第二，第三层存取控制一般基于以下参数原地址：数据包从哪里来目标地址：数据包要进入哪个系统通信类型：通信协议，IP、IPX或其他协议其他信息，IP数据包头的其他信息第二层工作可以增加冗余和完成负载均衡,安全连入Internet防火墙,边界路由器包过滤Boundary Router Packet Filter,ISP,边界路由器包过滤,外部DMZ,受保护的内网,主防火墙,demilitarized zone,安全连入Internet防火墙,包过滤防火墙特点,非常快，可以安装在最外的边界上根据策略，如阻止SNMP,允许HTTP可能的弱点应用相关的漏洞没有办法保护审计不够详细无法支持高级的用户认证无法防止高级攻击，如IP地址假冒目前，很难找到只有包过滤功能的防火墙路由器，SOHO防火墙，操作系统自带的防火墙,安全连入Internet防火墙,包过滤防火墙的过滤规则,安全连入Internet防火墙,过滤规则,动作：允许(Accept/Allow)拒绝(Deny)丢弃(Discard)规则间的关系凡是没有定义的就禁止允许？一条禁止和一条允许禁止还是允许？一般：不要忘记最后禁止所有的通信外出通信和进入通信同等重要,安全连入Internet防火墙,状态检查防火墙Stateful Inspection Firewalls,工作在2，3，4层不是简单开放大于1023的端口而是记住每个TCP连接或UDP通信的状态,安全连入Internet防火墙,应用代理网关防火墙Application-Proxy Gateway Firewalls,代理网关防火墙主要工作在应用层(2,3,4,7)部分语义的检查可以进行用户认证身份认证,基于生物特征的认证可以进行原地址检查不足慢,不适合快速网络针对新的应用,升级麻烦,安全连入Internet防火墙,一个代理网关防火墙的例子,DNSFingerFTPHTTPHTTPSLDAPNNTPSMTPTelnet,内网,外网,Proxy Agent,安全连入Internet防火墙,代理网关的运行步骤,用户Telnet网关并输入内部主机名网关检查用户的IP地址决定是否允许连接网关要求用户进行认证，可以是基于硬件的或生物基础的代理服务建立一个从代理到内部主机的Telnet连接代理在这两个连接中传输数据网关记录这次连接,安全连入Internet防火墙,专用代理防火墙Dedicated Proxy Servers,安全连入Internet防火墙,混合的防火墙Hybrid Firewall,现有的防火墙基本都是混合功能的配置，安装更加复杂考察功能参数就很重要后面介绍防火墙的一些其他基本功能,安全连入Internet防火墙,NAT:网络地址转换Network Address Traslation,目的：隐藏内部网络地址减少真实IP地址的使用方法：静态地址转换（Static NAT）隐藏网络地址转换(Hiding NAT)端口地址转换(Port Address Translation),安全连入Internet防火墙,防火墙功能总结,包过滤防火墙状态检查机制防火墙应用代理网关防火墙专用代理防火墙混合型防火墙网络地址转换基于主机的防火墙个人防火墙个人防火墙设备,安全连入Internet防火墙,防火墙的布置与环境,布置防火墙及环境的四条建议非军事区(DMZ)VPN及其的布置IDSDNS一个服务器布放的例子,安全连入Internet防火墙,布置防火墙的建议（NIST Guidelines）,越简单越好(Keep It Simple)不要追求复杂方案,要能够易懂才能易于管理和维护,和进行事件处理；复杂必然不安全。按照设计使用设备不要用路由器中的包过滤当防火墙，不要指望交换机中的安全机制。这样容易错误地配置设计有深度的防御(Defense in Depth)安全分层：路由安全，多防火墙墙，操作系统注意内部威胁并非怀疑同事的攻击，攻击可能越过Firewall,安全连入Internet防火墙,重要建议,所有的规则都会被打破在防火墙布置时牢记在防火墙设计时牢记各自的系统有各自的需求，应该具针对具体应用设计有针对性的防火墙的布置,安全连入Internet防火墙,DMZ网络(DeMilitarized Zone),ISP,边界包过滤防火墙,受保护内网,外部DMZ网络,外部WEB服务器,主防火墙,内部DMZ网络,内网防火墙,内部邮件服务器,安全连入Internet防火墙,另一种DMZ网络,ISP,边界包过滤防火墙,外部DMZ网络,应用代理服务器,主防火墙,服务DMZ网络,受保护内网,安全连入Internet防火墙,VPN(Virtual Private Network),VPN Gateway,内部网络,Internet,安全连入Internet防火墙,VPN的类型,PPTP(Point-to-point Tunneling Protocol)用户到NAS之间的连接保密口令机制CHAPL2TP(Layer2 Tunneling Protocol)第二层安全，IPSEC(Internet Protocol Security)最完善的安全机智,安全连入Internet防火墙,VPN与专用网相比的优势,租线路昂贵无须专用接入设备移动时节约长途电话开销大规模造成的复杂问题不存在管理更容易扩展方便,安全连入Internet防火墙,VPN与专用网相比的优势的缺点,设备成本，如果需要高性能的话技术门槛，维护和管理开销法律问题性能问题，服务质量,安全连入Internet防火墙,IPSEC的主要内容,IP Authentication Header(AH)IP Encapsulating Security Payload(ESP)IP Payload compression(IPComp)Internet Key Exchange(IKE),安全连入Internet防火墙,IPSec的两种工作模式,传输模式用于主机之间的通信IP地址不变，只加密内容隧道模式主要用于有Gateway参与的通信加密所有的内容，包括原IP头,安全连入Internet防火墙,VPN的布置,内网,Internet,内网,Internet,内网,Internet,安全连入Internet防火墙,IDS（Intrusion Detection System）,能够与防火墙连动基于主机的IDS装在主机上，可检测高层攻击，影响性能，不能检测网络型攻击，使系统不稳定。基于网络的IDS协议分析，更有效，分段攻击检测困难，在交换型网络上运行困难，可能被发现（网卡运行模式问题），DOS攻击,安全连入Internet防火墙,防火墙与IDS联合布置,ISP,边界包过滤防火墙,受保护内网,外部DMZ网络,外部WEB服务器,主防火墙,内部DMZ网络,内网防火墙,内部邮件服务器,Network IDS,Network IDS,安全连入Internet防火墙,DNS,在网络上做名字解析210.17.12.15相互通信用TCP查询用UDP有防火墙的网络一般将DNS分开内部的域名不让外部知道，保护隐私,安全连入Internet防火墙,防火墙和DNS的布置,ISP,边界包过滤防火墙,受保护内网,外部DMZ网络,外部WEB服务器,主防火墙,内部DMZ网络,内网防火墙,内部邮件服务器,Internal DNS,External DNS,安全连入Internet防火墙,服务器与防火墙放置的考虑,没有适合所有情况的解决方案一些建议：用边界包过滤防火墙保护外部服务器不要将可以外部存取的服务器放在内网将内部服务器放在内部服务器后面隔离容易受攻击的服务器,安全连入Internet防火墙,服务器布放的例子,外部存取服务器(如www服务器)放在外部DMZ中，在边界包过滤防火墙和主防火墙之间VPN和拨号服务器外部DMZ中，以保证这些通信受检查内部服务器(邮件服务器，目录服务器)内部DMZ，如果WWW服务器有外部Proxy,安全连入Internet防火墙,服务器布放的例子（续）,外部DMZ网络,外部WEB服务器,主防火墙/VPN,内部DMZ网络,内网防火墙,邮件服务器,Network IDS,DNS,拨号服务器,DNS,内网,外网,安全连入Internet防火墙,防火墙的布置与环境总结,如何布置防火墙及环境非军事区DMZVPN及其的布置IDSDNS一个服务器布放的例子,安全连入Internet防火墙,本讲义小节,Internet及其安全防火墙的基本知识防火墙的功能分类防火墙的布置与环境,2023/3/9,安全连入Internet防火墙,演讲完毕，谢谢听讲!,再见，see you again,3rew,