九章防火墙的任务和类型.ppt

第九章 防火牆的任務和類型,9-1 防火牆概述9-2 防火牆的任務9-3 防火牆術語9-4 防火牆的設定9-5 建立包過濾規則9-6 設定代理伺服器,9-1 防火牆概述,裝設防火牆就如在住家外築起一道圍牆，只開放必要的Port，讓資料出入，其餘通道一律封閉，以減少被攻擊的機會。防火牆可以由一台電腦或硬體防火牆組成。它位於私有網路和Internet之間。,非軍事化區概念,9-2 防火牆的任務,1.執行安全策略的主要工具 2.建立一個節流點3.記錄 Internet 行為4.減少網路主機的暴露,9-3 防火牆術語,了解防火牆的概念和術語不僅會幫助你成為安全專家，而且還確保你能夠支援今後所建立的任意一台防火牆。,1.封包過濾器,封包過濾(packet filtering)是一種簡單的防火牆機制。封包過濾常與路由器結合，且大部分的主要廠商都把封包過濾作為內定的組態。這種防火牆會檢查封包的目的地和來源的IP位址、TCP/UDP埠，並根據管理者設定的簡單規則來決定是否接受或拒絕封包。,2.代理伺服器,由於代理伺服器等同於一個中間人角色，例如去某個網頁下載某一個檔案，無代理伺服器就直接與該網頁連接，如有代理伺服器則先連線至代理伺服器，再由代理伺服器進行存取。一般情況下，代理伺服器都會可以將有人存取過的檔案暫時儲在代理伺服器內，其他人又存取同一檔案的話就可以直接由代理伺服器存取，而不用再連線至網站存取，理論上可以加快速度。,(1)應用層代理,位於應用層的代理程式是在防火牆上執行的一種軟體，能夠模擬網路連線的來源和目的地兩端。每台電腦跟其他電腦的網路傳輸都必須通過此代理伺服器，進行資料檢查並檢查連線的是否合法性，如此一來在檢查資料的過程中，能夠有效地將受信任的區域網路和網際網路隔離開來。代理伺服器的程式會檢查用戶端電腦送過來的資料，並判斷是否為合法的資料要作轉送出去或是為非法的資料直接丟棄。,(2)鏈路層代理,鏈路層代理（circuit-level proxy）工作在OSI參考模型的傳輸層。鏈路層代理的另一個名字是鏈路層閘道或線路閘道器。鏈路層代理(Circuit Level Gateway)有效阻隔端對端的TCP連接，使用者對外部主機的連線均需經過線路閘道器(Circuit Level Gateway)的轉置，線路閘道器(Circuit Level Gateway)不檢視封包之應用層資料。,3.防禦主機,防禦（bastion）是一個被直接安置於受信任的網路和不可信任的網路（如Internet）之間的安全電腦系統。你可以有一個單一的防禦主機，然而，最經常見到的，一台防禦主機使用兩塊網路介面卡（NIC）。每一塊卡作為連接一個單獨的網路的介面。在其中一塊卡上，是用來管理、控制和保護企業網路，而在連接另一個網路的網路卡上，通常是公共網路，如 Internet。,4.網路位址轉換,網路位址轉換（NAT，Network Address Translation）定義於 RFC 1631，基本上它是在 router 中進行一個偷換 IP header 的動作，以便讓多台電腦能共用一個 IP 連上 Internet 的技術。NAT會自動將內部用戶端電腦的 IP 位址隱藏起來，不讓Interne網際網路的人知曉內部網路的架構。,5.偽裝,偽裝是對IP封包標頭進行修改的過程。特別是，一個使用偽裝的封包過濾器可以修改IP封包標頭，這樣這個IP封包看起來像是從防火牆產生的，而不是由源主機產生的。偽裝與NAT一起使用是很有用的，因為偽裝允許主機使用私有網路的IP位址來與Internet上的主機進行通信。,6.NAT和網路卡,防火牆最簡單的概念，就是在Internet與組織的LAN之間設一節流點，以管制進出組織資料及組織內機器的安全。一般防火牆的做法都是在主機上插兩片或兩片以上的網路卡，其中一片連接可公開網路，另一片則是連接到被保護網路，而防火牆則是管理流經這兩片卡的資料封包。,7.NAT和產品術語,每個防火牆產品都使用它自己的術語。舉例來說，微軟的Proxy Server 2使用術語信任和可信任，來描述一個代理伺服器在多點（multicast）情況下的防禦方式：信任：代理伺服器允許流量從內部網路卡進入代理伺服器系統。可信任：這個術語被用來描述那些被允許存取這個網路的網路和/或主機。,8.作業系統硬體化,過去防火牆或入侵偵測多為軟體形式，主要原因是升級容易。然而，硬體產品，即裝置型產品，但挾著效能高、整合容易以及更安全的優勢，已逐漸取代軟體成為業界主流。一台防火牆只需要有限的一些服務。在作業系統硬化中，防火牆的安裝程式廢止或刪除了所有不必要的服務。,9.屏蔽和節流路由器,屏蔽式路由器至少有一個介面與公共網路(如Internet)相連。屏蔽式路由器經由設定過濾規則來檢測向內和向外的資料封包。由於屏蔽式路由器將它的介面呈現於網際網路，而不是內部網路，因此它也被稱為外部路由器。在一個防火牆配置中使用兩台路由器時，內部路由器（如這台路由器將一個界面連接到內部網路）常常被稱做是節流路由器。,10.非軍事化區（DMZ）,DMZ是一個位於外部網路和公司內部網路之間的迷你型網路。一個DMZ被用做一個附加的緩衝區來更進一步將外部網路與內部網路分開。許多系統管理員將Web和DNS伺服器放置在DMZ中，這是因為這樣做更方便。這樣做的好處在於屏蔽式路由器提供了一些保護。,伺服器存在DMZ區，與LAN、WAN皆分開,9-4 防火牆的設定,1.拒絕所有的資訊傳輸 在這種情況下，將指定准許進出網路的某些類型資訊傳輸，其它則拒絕進出。2.准許所有的資訊傳輸 在這種情況下，將指定你要拒絕的某些類型的資訊傳輸，其它則准許進出。,9-5 建立封包過濾規則,由於封包過濾器是一台按照預先設定的內容對每一個封包進行檢查的設備，因此，必須告訴封包過濾器阻塞什麼，准許什麼。當資料封包在路由器上被過濾時，這個路由器通常被稱做是屏蔽式路由器（screening router），這也是封包過濾防火牆的另外一種名稱。,9-5-1 封包過濾過程,1.規則和欄位 封包過濾器使用規則來決定什麼樣的封包可以通過防火牆。2.標準的FTP用戶端和封包過濾規則 伺服器上的埠20代表的是資料通道。伺服器上的埠21代表的是控制通道，伺服器利用這個通道監聽連接和發送命令。3.被動FTP用戶端和封包過濾規則,9-5-2 封包過濾的優點和缺點,封包過濾器或屏蔽式路由器的最大問題是，它們不能區別好與壞的封包。如果一個封包通過了所有的規則，它將被轉送到目的地。封包過濾器不能夠告訴你所轉送的封包是否包含有益的或惡意的資料。封包過濾所建立的規則可能要花費很多時間。,9-5-3 狀態多層檢測,狀態檢測技術最早是 Check Point 提出的，就是從 TCP 連接的建立到終止都追蹤檢測的技術。由於防火牆可以維護一個連接的資料庫，因此，執行狀態多層檢測的封包過濾器能夠檢查封包的內容。,9-5-4 使用ipchains和iptables,iptables 是 Linux Kernel 2.4.xx 版本以上的主要 IP 過濾機制！他最大的功能就是可以過濾掉不要的 TCP 封包。他還可以用來進行 IP 偽裝，以達成 NAT 的主機功能。iptables 跟 ipchains 是無法同時使用,如果您已經使用 ipchains，要改用 iptables 時，要先將 ipchains 的 modules 移除，在載入 iptables 的 module，才可以使用 iptables。,9-5-5 使用ipchains命令，建立一個個人防火牆,在本節的練習中，你將使用命令ipchains來為系統建立封包過濾規則。,9-5-6 使用iptables命令，建立一個個人防火牆,在這個練習中，將使用命令iptables來為系統建立封包過濾規則。儘管沒有兩塊網路卡，但是仍可以為系統建立一個個人防火牆。,9-6 設定代理伺服器,1.代理伺服器的優點和特性,（1）驗證（2）日誌記錄和報警（3）快取（4）較少的規則,2.反向代理和代理陣列,通常的代理伺服器，只用代理內部網路對Internet的連接請求，用戶機必須指定代理伺服器，並將本來要直接發送到Web伺服器上的http請求發送到代理伺服器中。當一個代理伺服器能夠代理外部網路上的主機，存取內部網路時，這種代理服務的方式稱為反向代理服務。,3.代理伺服器的缺點,使用代理伺服器與遠端TCP/IP連接的用戶端，必須設定一個代理伺服器並且正確設定所有的指定參數。如果設定錯誤，Internet應用常常不會（或根本不會）與一個代理伺服器正確地連接。結果是，公司可能會在存取一個重要的Internet服務上發生困難。,4.加速和硬體考慮,為了讓代理伺服器提供更多的功能，它們通常需要額外的系統資源。這樣，在網路上執行一個代理伺服器可能需要更昂貴的硬體。在那些流量很大的節點上，一個代理的防火牆可能會成為一個不利因素，因為它可以引起無法接受的延遲。,