《防火墙技术》PPT课件.ppt

防火墙相关知识,议程,防火墙概述定义架构主流技术防火墙功能以及其实现可以依赖防火墙的不可以依赖防火墙的总结,防火墙概述,安全产品的形象比喻,安全运输,读卡器,闭路电视监控室,进入系统的安全门,监视和报警,巡逻保安,防火墙和路由器访问控制列表,网络入侵检测,安全代理程序,中央控制的安全和策略管理,身份识别、AAA认证、访问控制服务器及证书验证,加密及虚拟专网(VPN),防火墙知识,定义：防火墙应当是两个或多个网络之间信息必须流经的节流单点，流经数据应可被控制、记录（认证）来源建筑词汇，用于限制（潜在的）火灾在建筑内部的蔓延，后被引申至信息安全领域中访问控制、边界整合类的middlebox产品1988年Digital Equipment Corporation(DEC)开发出了第一款防火墙：SEAL（Secure External Access Link）摘自http:/en.wikipedia.org/wiki/Firewall_(networking),防火墙文化,一段台词“-John,lets feed it a tapeworm.-Nah,its too risky.It might smash the system.-Howd the kid get inthrough the back door?-We took it out.-Can we invade the deep logic?-We keep hitting a damn firewall.”取自电影wargame（1983）,防火墙需求的产生,操作系统和应用安全问题溢出蠕虫安全策略执行全局安全策略的一部分信息泄漏防止企业敏感信息外泄审计辅助系统、入侵检测日志阻止信息访问CHIPA：Childrens Internet Protection Act,通用基础架构,防火墙区域信任区非信任区DMZ防火墙实现应用层传输层网络层数据链路层,防火墙硬件平台,X86平台灵活开发，投资少，周期短，无法满足高速环境NP架构灵活性适中，转发性能好ASIC架构开发投资大，周期长，性能好，升级难,防火墙工作模式,包过滤防火墙路由器实现包过滤功能应用层网关内、外网的“中间人”基于状态监测的包过滤防火墙主流技术,物理层,数据链路层,网络层,传输层,会话层,表示层,应用层,应用层防火墙,状态监测,包过滤,包过滤防火墙,包过滤防火墙对含有IP地址（源、目的）、端口号（源、目的）、协议类型等内容的包头进行检测典型产品：路由器优点高效对用户透明缺点检测不考虑数据内容、会话连接,物理层,数据链路层,网络层,传输层,会话层,表示层,应用层,包过滤,包过滤,包过滤信息数据包的头信息(源地址、目的地址、协议、源端口、目的端口、包长度)到达防火墙的哪一个接口上，从防火墙的哪一个接口上出去传输层头部选项和标志位数据包到达的日期和时间,主要威胁,IP欺骗在数据包包头中插入虚假源地址，以使该数据包看似发自受信源解决方法：确定数据包并非来自包头指示位置IP源路由选项允许数据包源的用户指定通向某一目的地的路径多用于排错同样被利用与伪造受信源地址,路由器检测异常流量,路由器对数据包进行标识，阻塞URL和字节数匹配 访问列表，策略路由.,Router(config)#classmap matchany httphacksRouter(configcmap)#match protocol http url*cmd.exe*Router(configcmap)#match protocol http url*root.exe*“Router(config)#policymap markinboundhttphacksRouter(configpmap)#class httphacksRouter(configpmap)#set ip dscp 1Router(config)#interface ethernet 0/0Router(configif)#servicepolicy input markinboundhttphacks,match-any,进行或(满足任一),定义流类型,如何处理,URL关键字,match packet length min 404 max 404,字节数,阻塞,基于应用访问列表Router(config)#accesslist 105 deny ip any any dscp 1 logRouter(config)#accesslist 105 permit ip any anyRouter(config)#interface ethernet 0/1Router(configif)#ip accessgroup 105 out基于策略Router(config)#policymap dropinboundhttphacksRouter(configpmap)#class httphacksRouter(configpmap)#police 1000000 31250 31250 conformaction drop exceedaction drop violate-action drop Router(config)#interface ethernet 0/0Router(configif)#servicepolicy input dropinboundhttphacks,Code Red 阻塞,基于策略路由Router(config)#accesslist 106 permit ip any any dscp 1Router(config)#routemap null_policy_route 10Router(config-rmap)#match ip address 106Router(config-rmap)#set interface Null0Router(config)#interface ethernet 0/0Router(configif)#ip policy routemap null_policy_route,应用层防火墙,应用层防火墙运行在网络和服务器之间的应用层网关典型产品：ISA优点提供7层及以下层面防护缺点可能造成服务瓶颈,物理层,数据链路层,网络层,传输层,会话层,表示层,应用层,应用层防火墙,状态监测防火墙,基于状态监测的包过滤防火墙由Check Point提出根据其协议以及连接状态对穿过防火墙的数据进行检测，可以追踪和控制会话流优点高效完善的审计、日志功能缺点缺乏应用层检测,物理层,数据链路层,网络层,传输层,会话层,表示层,应用层,状态监测,会话流,Router#show ip cache flow|include 0050.scram scrappers dative DstIPaddress Pr SrcP DstP PktsVl1 193.23.45.35 Vl3 2.34.56.12 06 0F9F 0050 2Vl1 211.101.189.208 Null 158.36.179.59 06 0457 0050 1Vl1 193.23.45.35 Vl3 34.56.233.233 06 3000 0050 1Vl1 61.146.138.212 Null 158.36.175.45 06 B301 0050 1Vl1 193.23.45.35 Vl3 98.64.167.174 06 0EED 0050 1Vl1 202.96.242.110 Null 158.36.171.82 06 0E71 0050 1Vl1 193.23.45.35 Vl3 123.231.23.45 06 121F 0050 1Vl1 193.23.45.35 Vl3 9.54.33.121 06 1000 0050 1Vl1 193.23.45.35 Vl3 78.124.65.32 06 09B6 0050 1Vl1 24.180.26.253 Null 158.36.179.166 06 1132 0050 1,会话流（flow）通过分析流入/流出网络的流，对通信会话/应用信息作出实时的安全判断,状态监测,状态和上下文信息数据包的头信息(源地址、目的地址、协议、源端口、目的端口、包长度)连接状态信息(哪一个连接打开了哪一个端口)TCP 和 IP 分段数据(例如：分段号、顺序号)数据包重组、应用类型、上下文校验(即：包属于哪个通讯会话session)到达防火墙的哪一个接口上，从防火墙的哪一个接口上出去第二层信息（如VLAN ID号)数据包到达的日期和时间,SYN标记检查,禁用了 SYN 标记检查,启用了 SYN 标记检查,防火墙功能以及其实现,防火墙所具备的,访问控制攻击检测和防御传输安全（VPN）路由地址转换用户认证可用性提高,访问控制,访问控制机制自主访问控制主体访问控制：特权、口令客体访问控制：ACL、ACE强制访问控制(MAC）防火墙以其阻塞点的身份实现监视和控制服务控制：确定哪些服务可以被访问方向控制：对于特定的服务，可以确定允许哪个方向能够通过防火墙用户控制：根据用户来控制对服务的访问行为控制：控制一个特定的服务的行为,访问控制与审核,防火墙对进/出流量的记录可作为审核入侵检测系统、系统日志有效的补充身份认证-访问控制-审核入侵检测系统以事件为主导系统日志以行为为主导注意事项时区时滞,攻击检测和防御,攻击检测和防御踩点防御拒绝服务攻击防御内容监控与过滤深度检测（DPI）,踩点防御,踩点：为更有效、更隐蔽的进行攻击所实施的工作常见踩点收集信息公开域信息（google hacking,whois）扫描信息存活性扫描端口扫描（TCP，UDP，RPC)Banner grabbing漏洞扫描OS fingerprint社交工程,主机存活扫描技术,主机扫描的目的是确定在目标网络上的主机是否可达。这是信息收集的初级阶段，其效果直接影响到后续的扫描。常用的传统扫描手段有：ICMP Echo扫描ICMP Sweep扫描Broadcast ICMP扫描Non-Echo ICMP扫描,规避技术,为到达规避防火墙和入侵检测设备的目的，ICMP协议提供网络间传送错误信息的功能也成为了主要的扫非常规描手段错误的数据分片：发送错误的分片（如某些分片丢失）通过超长包探测内部路由器：超过目标系统所在路由器的PMTU且设置禁止分片标志,端口扫描技术,端口的一些概念用以从网络层映射至进程0-1024为知名端口常见端口扫描技术TCP利用TCP报头的6个标志位扫描方式：SYN，ACK，FIN，NULL，XmasUDP利用UDP端口关闭时返回的ICMP信息扫描方式：Traceroute扫描中常见的几种状态：open、close、filter,服务及系统指纹,如何判断服务？端口:只用于粗略判断启动的服务Banner:一般可用于确定服务版本信息指纹:基本可以精确至小版本号,Banner grab技术,为判断服务类型、应用版本、OS平台，模拟各种协议初始化握手，获取信息在安全意识普遍提升的今天，对Banner的伪装导致精度大幅降低,WWW服务威胁程度：高判定精度：低,FTP服务威胁程度：高判定精度：低,Telnet服务威胁程度：中判定精度：低,指纹堆栈技术,类似Banner Grabing,但是精度更高常见的可判断的fingerprintOS fingerprintHTTP fingerprint系统、应用应尽可能结合起来，进行综合判断,HTTP Fingerprinting技术,技术源动力：弥补Banner Grabing 技术的不足传统查看Banner的方式精确度很差，伪装手段多样IIS&Apache：修改存放Banner信息的文件字段进行修改Servermask伪造多种主流Web服务器Banner伪造Http应答头信息里的项的序列,使用前后,$nc 192.168.7.247 80HEAD/HTTP/1.0HTTP/1.1 200 OKServer:Microsoft-IIS/5.0Date:Fri,01 Jan 1999 20:09:05 GMTContent-Type:text/htmlAccept-Ranges:bytesLast-Modified:Fri,01 Jan 1999 20:09:05 GMTETag:W/e0d362a4c335be1:ae0Content-Length:133,$nc 192.168.7.247 80HEAD/HTTP/1.0HTTP/1.1 200 OKDate:Fri,01 Jan 1999 20:06:24 GMTServer:Apache/1.3.19(Unix)(Red-Hat/Linux)mod_ssl/2.8.1 OpenSSL/0.9.6 DAV/1.0.2 PHP/4.0.4pl1 mod_perl/1.24_01Last-Modified:Fri,01 Jan 1999 20:06:24 GMTETag:W/e0d362a4c335be1:ae0Accept-Ranges:bytesContent-Length:133Content-Type:text/html,使用前使用后,理论基础,协议行为利用不同服务器对HTTP协议的实现差异测试正常请求：HEAD/HTTP/1.0异常操作：DELETE/HTTP/1.0异常版本：GET/HTTP/3.0异常协议：GET/JUNK/1.0,相关资料,工具HttpreconHttprinthttp:/net-,OS fingerprint技术,TCP指纹识别技术被动识别技术利用对报头内DF位，TOS位，窗口大小，TTL的嗅探判断OS扫描工具：Siphon，天眼主动识别技术扫描工具：nmap-OICMP指纹识别技术Ofir Arkin最早提出，其优势是迅速，准确，只需很少的通信量扫描工具：Xprobe,最简单的指纹,你能区分节点和节点分别是什么操作系统吗？,主动指纹识别,TSeq(Class=RI%gcd=DF1)T1(DF=Y%W=2297|2788|4431|8371|8F4D|ABCD|FFF7|FFFF|2297|212%ACK=S+%Flags=AS%Ops=NNTNWME)T2(DF=N%W=0%ACK=O%Flags=R%Ops=WNMETL)T3(Resp=N)T4(DF=Y|N%W=0%ACK=O%Flags=R%Ops=|WNMETL)T5(DF=Y%W=0%ACK=S+%Flags=AR%Ops=)T6(DF=Y|N%W=0%ACK=O|S%Flags=AR|R%Ops=|WNMETL)T7(DF=Y|N%W=0%ACK=S|O%Flags=AR|R%Ops=|WNMETL)PU(DF=Y%TOS=0%IPLEN=70%RIPTL=148%RID=E%RIPCK=E|F%UCK=E|F|F|E%ULEN=134%DAT=E)Fingerprint Solaris 2.6-2.7,ICMP指纹识别技术,拒绝服务攻击防御,中国成为全球DoS攻击第二大目标,在2007年前三季度，中国拥有全球最多的僵尸主机，而北京成为感染僵尸主机最多的城市，约占全世界僵尸主机数量的7%,DDOS攻击产生背景宽带业务的发展提供了大量高带宽、高性能、安全防护差的主机出现了网络讹诈、DDoS“雇佣军”、BotNet租赁等直接获利手段DDoS成本逐年下降,TCP协议栈的安全缺陷,TCP/IP协议栈易受到安全威胁的特性IP缺陷IP欺骗数据包分片数据包篡改广播和多播ARP（RARP）缺陷ARP更新TCP缺陷TCP序列号预测,摘自：第20次中国互联网络发展状况统计报告,什么是DDoS,DDoS概念（Distributed Denial of Service）服务（Service）系统提供从而为用户服务的功能拒绝服务（Denial of Service）任何对服务的干扰从而使其可用性降低乃至失去可用性的行为TCP/IP协议栈的无偏差传送数据的特性为拒绝服务提供了可能性如何找到并且利用系统瓶颈成为了关键（木桶原理）分布式拒绝服务攻击（Distributed Denial of Service）一个或多个攻击者控制处于不同位置的多台机器同时对攻击者实施攻击行为,拒绝服务攻击现象,拒绝服务攻击可能出现在从物理层至应用层中的任意一层,攻击者,正常用户,受害者,僵尸网络,傀儡机,无法正常访问,攻击类型划分,受害者,WinNuke攻击,攻击者,URG=1,WinNuke攻击,碎片攻击（TearDrop）,碎片攻击（TearDrop）,150Byte,分片,120Byte,30Byte,120Byte,30Byte,偏移1=0,偏移2=120,150Byte,分片,120Byte,30Byte,120Byte,30Byte,偏移1=0,偏移2=80,X=(偏移2+包长2)-包长1=?,重组,重组,X,X,碎片攻击（Ping of Death）,http:/insecure.org/sploits/ping-o-death.html,65510Byte,8Byte,20Byte,IP包头,ICMP包头,ICMP数据,Land攻击,受害者,攻击者,SYN-Flood攻击,我没发过请求,SYN_RECV状态半开连接队列遍历，消耗CPU和内存SYN|ACK 重试SYN Timeout：30秒2分钟无暇理睬正常的连接请求拒绝服务,SYN（我可以连接吗？）,ACK（可以）/SYN（请确认！）,攻击者,受害者,伪造地址进行SYN 请求,不能建立正常的连接！,攻击表象,ACK-Flood,大量ACK冲击服务器受害者资源消耗查表回应ACK/RSTACK Flood流量要较大才会对服务器造成影响,ACK（你得查查我连过你没）,攻击者,受害者,查查看表内有没有,ACK Flood 攻击原理,攻击表象,ACK/RST（我没有连过你呀）,Connection-Flood攻击,攻击者,受害者,大量tcp connect,不能建立正常的连接,正常用户,正常tcp connect,攻击表象,利用真实 IP 地址（代理服务器、广告页面）在服务器上建立大量连接 服务器上残余连接(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应 蠕虫传播过程中会出现大量源IP地址相同的包，对于 TCP 蠕虫则表现为大范围扫描行为 消耗骨干设备的资源，如防火墙的连接数,HTTP Get Flood,攻击者,受害者(Web Server),正常HTTP Get请求,不能建立正常的连接,正常用户,正常HTTP Get Flood,攻击表象,利用代理服务器向受害者发起大量HTTP Get请求主要请求动态页面，涉及到数据库访问操作数据库负载以及数据库连接池负载极高，无法响应正常请求,受害者(DB Server),DB连接池用完啦！,DB连接池,占用,占用,占用,僵尸网络基本模型,受害者,BotNet,攻击步骤,攻击者向进入IRC加密频道，发出攻击指令处于监听状态的Bot接收到指令所有bot将开始执行指令，对受害者发起攻击。,基本概念,Bot:可远程控制执行预定义的命令、实现预定义功能,Zombie（僵尸主机）含有僵尸工具或其他远程控制程序，使其可被攻击者远程控制的计算机。,基本概念BotNet,Botnet:由Bot工具组成的可通信、可被攻击者远程控制的网络Bot家族大部分bots从一个共同的代码基础演变而来6个大家族组成了大部分变种Bot 种类IRC BotsP2P BotsHTTP BotsDNS Bots,控制方式,Bot主机,IRC服务器,DDoS攻击者,Bot主机,Bot主机,攻击者用.logon!logon!auth 诸如此类的命令登录,channel op权限,bot将该密码与硬编码在文件体内的密码比较,NICK,NICK,NICK,-PRIVMSG#rbot.login password sn,-:ControllerNICK!ControllerUSERhost PRIVMSG#rbot:.login password-srn,-PRIVMSG#rbot：password acceptedn,基于IRC的Botnet工作原理,防火墙策略,基于剧毒包攻击对异常IP包头、TCP包头进行基于误用的过滤基于资源消耗型攻击对会话源、目的进行会话限制设立触发防护机制阈值主动调整会话时间（TCP、UDP、HTTP）设立调整时间启动时会话表容量百分比（80%）设立调整时间停止时会话表容量百分比（70%）设立减少的超时时间（40秒）,内容监控与过滤,应用层防护支持常见协议基于误用的自定义规则大都支持碎片重组URL过滤利用黑名单、白名单、自定义区分URL对网页挂马、钓鱼网站有很好的效果,深度检测,Deep packet inspection检测对象：数据 and/or 头部可解决协议异常、病毒、垃圾邮件、ActiveX控件等恶意行为,传输安全（VPN）,VPN技术防火墙提供Site to Site式VPN保证数据完整性和机密性传统数据包校验技术只保障传输隧道技术（封装）2层：PPTP、L2F、L2TP3层：AH和ESP隧道（Ipsec）Ipsec一系列技术的集合AH：验证数据源、保障数据完整性、防重播ESP：除AH功能外，保障数据机密,其他功能,路由地址转换（NAT）用户认证防火墙自身也是操作系统，操作系统层面的安全性问题将被完全复制认证最小权限审核可用性提高,防火墙所不具备的,应用层检测主要是对Web应用程序语言检测不透彻SQL注入跨站脚本（XSS）解决方式：对Web应用提交数据充分分析大规模拒绝服务攻击下力度适中的检测和防护基于特征和异常的检测强度过高解决方案：基于Flow技术的异常流量检测信任区域内部的恶意行为解决方案：深度防御,应用层检测,应用入侵用户的需求越来越复杂，越来越多动态生成的内容根据客户端用户的设置和需要被生成，从而衍生出了多样的攻击手法传统安全设备对于应用层面的检测始终存在盲区应用开发人员面对越来越庞大的代码很难兼顾可用性和安全性面向互联网应用成为主要渗透途径Top Ten,OWASP提供的Top Ten,OWASP Top Ten 2004 A1：未被验证的输入 A2：错误的访问控制A3：错误的认证和会话管理A4：跨站脚本A5：缓冲溢出A6：注入式漏洞A7：不适当的的异常处理A8：不安全的存储A9：拒绝服务A10:不安全的配置管理,OWASP Top Ten 2007A1：跨站脚本A2：注入式漏洞A3：恶意文件执行A4：不安全的对象参考A5：跨站请求伪造A6：信息泄露和操作不当A7：错误的认证和会话管理A8：不安全的密码存储A9：不安全的通信A10：URL访问限制失败,数据提交产生的威胁,WEB,WEB Server/Code,权限/配置,数据提交,身份验证,补丁/认证,cookie,upload,SQL injection,XSS,INCLUDE,注入式漏洞,WEB,WEB Server/Code,数据提交,SQL Injection,http:/and select*from admin,阻断,注入式漏洞,典型注入问题：SQL,LDAP,XPath,XSLT,HTML,XML,OS command名词解释SQL注入：Web应用在访问外部系统的时候会传递参数，如果攻击者可以将恶意代码嵌入参数中，外部系统可能以web应用的身份执行这些命令，从而改变预期结果如果用户输入为abc，则SQL语句：select*from sqltest where name=abc;如果用户输入变为abc;drop table sqltest-则语句变为select*from sqltest where name=abc;drop table sqltest-威胁获取敏感信息执行系统命令,跨站脚本攻击,WEB,WEB Server/Code,数据提交,XSS,alert(“XSS”),阻断,跨站脚本攻击,名词解释利用客户端对服务端的信任关系以及CGI程序缺乏对用户提交的变量中的HTML代码进行过滤或转换，从而达到脚本注入的目的三个类型：反射注入、存贮注入和DOM注入危害显示Cookie屏蔽（伪造）页面信息拒绝服务攻击突破内外网不同的安全设置与其它漏洞结合，修改系统设置，查看系统文件，执行系统命令,流量数据能够提供的,地域、IP、AS号,时间段（分钟、时、月、年）,Flag、ToS、包长、应用类型,呈现 全网、采集器、路由器、端口、用户、流量分析设备的状态信息流量数据透视的视角NetworkPeers RoutersInterfacesProfiles（剖面，侧影）Customers流量和路由数据从这些不同的角度都是可用的,流量分析的技术手段,Netflow技术,基本的流量分析和网络计费技术 与其兼容NetstreamJ-flow与其类似Sflow（Foundry、HP）解决关于IP 流量的5W 问题:谁,什么,何地,何时,如何7个关键字段的定义只记录入方向穿过和终止在路由器上的流量,Netflow采样,抽样的场合流速大于OC-3（155M）的环境下（思科推荐）10Gbps 1:50002.5Gbps 1:1000抽样的好处降低CPU利用率不改变流量的统计特性抽样的方法固定包间隔时间周期随机的（根据统计原则推荐使用，支持此方法的平台最多）,Netflow对异常流量的检测,Flow 在技术上可以提供足够的信息在大流量、集中采集分布流量的环境下，既别无选择，也不负众望详细程度刚好介于包信息和SNMP数据之间，既能提供足够的信息，又适合进行统计分析 什么是异常流量网络层DDoS攻击应用层DDoS蠕虫传播二层攻击P2P流量下载控制层攻击用户自定义访问行为,典型异常流量,其他异常流量监测,ICMP Request/Reply因扫描等行为导致请求报文和应答报文的比值上升平均包大小的分析因扫描等行为导致平均报文长度产生较大变化相似度分析发现那些并不引起总流量显著变化，但对某一目标主机和目标主机网络产生巨大影响的攻击行为,