(网络安全)教材配套ppt课件第11章.pptx

《(网络安全)教材配套ppt课件第11章.pptx》由会员分享，可在线阅读，更多相关《(网络安全)教材配套ppt课件第11章.pptx（72页珍藏版）》请在三一办公上搜索。

1、网络安全,第十一章,第11章 防火墙,本章主要内容防火墙概述；分组过滤器；电路层代理；应用层网关；三种防火墙的特点。,11.1 防火墙概述,本讲主要内容引出防火墙的原因；防火墙定义和工作机制；防火墙分类；防火墙功能；防火墙的局限性。,一、引出防火墙的原因,安全的网络系统既要能够保障正常的数据交换过程，又要能够阻止用于实施攻击的数据交换过程。 防火墙一是能够检测出用于实施攻击的信息流，并阻断这样的信息流。二是能够允许正常信息流通过。,二、防火墙定义和工作机制,网络中的防火墙是一种位于网络之间，或者用户终端与网络之间，对网络之间，或者网络与用户终端之间传输的信息流实施控制的设备。,二、防火墙定义和

2、工作机制,防火墙的作用是控制网络1与网络2之间传输的信息流，所谓控制是指允许网络1与网络2之间传输某种类型的信息流，阻断另一种类型的信息流网络1与网络2之间的传输过程。允许和阻断操作的依据是为防火墙配置的安全策略。,三、防火墙分类,防火墙分类,1个人防火墙个人防火墙只保护单台计算机，用于对进出计算机的信息流实施控制，因此，个人防火墙通常是分组过滤器；分组过滤器分为有状态分组过滤器和无状态分组过滤器两种类型，无状态分组过滤器只根据单个IP分组携带的信息确定是否过滤掉该IP分组。而有状态分组过滤器不仅根据IP分组携带的信息，而且还根据IP分组所属的会话的状态确定是否过滤掉该IP分组。,三、防火墙分

3、类,2网络防火墙（1）分组过滤器 网络防火墙中的分组过滤器同样分为有状态分组过滤器和无状态分组过滤器两种类型。网络防火墙中的分组过滤器能够根据用户制定的安全策略对内网和外网间传输的信息流实施控制，它对信息流的发送端和接收端是透明的，因此，分组过滤器的存在不需要改变终端访问网络的方式。,三、防火墙分类,2网络防火墙（2）电路层代理 终端先和电路层代理建立TCP连接，电路层代理在完成对终端用户的身份鉴别后，和服务器建立TCP连接，并将这两个TCP连接绑定在一起。,三、防火墙分类,先认证用户身份，确定是授权用户发起的TCP连接时，再与服务器建立TCP连接。,2网络防火墙（3）应用层网关 对相互交换的

4、FTP消息，必须根据FTP规范检测其合理性，包括请求和响应消息中的各个字段值是否正确？请求消息和响应消息是否匹配？文件内容是否包含禁止传播的非法内容或病毒等。应用层网关必须支持FTP，才能中继FTP消息，因此，应用层网关是应用层相关的。,三、防火墙分类,四、防火墙功能,服务控制不同网络间只允许传输与特定服务相关的信息流。方向控制不同网络间只允许传输与由特定网络中终端发起的会话相关的信息流。用户控制不同网络间只允许传输与授权用户合法访问网络资源相关的信息流。行为控制不同网络间只允许传输与行为合理的网络资源访问过程相关的信息流。,五、防火墙的局限性,无法防御网络内部终端发起的攻击；无法阻止病毒传播

5、；无法防御利用防火墙安全策略允许的信息传输过程实施的攻击行为。,11.2 分组过滤器,本讲主要内容无状态分组过滤器；有状态分组过滤器。,一、无状态分组过滤器,分组过滤器，顾名思义就是从一个网络进入另一个网络的全部IP分组中筛选出符合用户指定特征的一部分IP分组，并对这一部分IP分组的网络间传输过程实施控制。无状态是指实施筛选和控制操作时，每一个IP分组都是独立的，不考虑IP分组之间的关联性。,一、无状态分组过滤器,过滤规则 规则由一组属性值和操作组成，如果某个IP分组携带的信息和构成规则的一组属性值匹配，意味着该IP分组和该规则匹配，对该IP分组实施规则指定的操作。 构成规则的属性值通常由下述

6、字段组成：源IP地址，用于匹配IP分组IP首部中的源IP地址字段值。目的IP地址，用于匹配IP分组IP首部中的目的IP地址字段值。源和目的端口号，用于匹配作为IP分组净荷的传输层报文首部中源和目的端口号字段值。协议类型，用于匹配IP分组首部中的协议字段值。,一、无状态分组过滤器,一个过滤器可以由多个规则构成，IP分组只有和当前规则不匹配时，才继续和后续规则进行匹配操作，如果和过滤器中的所有规则都不匹配，对IP分组进行默认操作。一旦和某个规则匹配，则对其进行规则指定的操作，不再和其他规则进行匹配操作。,一、无状态分组过滤器,禁止网络193.1.1.0/24中的终端用Telnet访问网络193.1

7、.2.0/24中IP地址为193.1.2.5的服务器。,一、无状态分组过滤器,路由器R1接口1输入方向上的分组过滤器的规则是：协议类型=TCP ；源IP地址=193.1.1.0/24；目的IP地址=193.1.2.5/32 ；目的端口号=23；对和规则匹配的IP分组采取的动作是：丢弃。,一、无状态分组过滤器,如果只是需要过滤掉所有与LAN 1中的终端用Telnet访问LAN 2中的服务器的操作相关的IP分组，允许其他IP分组继续传输，则完整的过滤器如下：协议类型=TCP，源IP地址=193.1.1.0/24，目的IP地址=193.1.2.5/32，目的端口号=23；丢弃。协议类型=* ，源IP

8、地址=any，目的IP地址=any；正常转发。,一、无状态分组过滤器,3两种过滤规则集设置方法（1）黑名单 黑名单方法是列出所有禁止传输的IP分组类型，没有明确禁止的IP分组类型都是允许传输的。（2）白名单 白名单方法与黑名单方法相反，列出所有允许传输的IP分组类型，没有明确允许传输的IP分组类型都是禁止传输的。,一、无状态分组过滤器,写出作用于路由器R1接口1输入方向，路由器R2接口2输入方向，实现只允许终端A访问Web服务器，终端B访问FTP服务器，禁止其他一切网络间通信过程的安全策略的过滤规则集。,一、无状态分组过滤器,路由器R1接口1输入方向的过滤规则集如下。协议类型TCP，源IP地址

9、192.1.1.1/32，源端口号*，目的IP地址192.1.2.7/32，目的端口号80；正常转发。协议类型TCP，源IP地址192.1.1.7/32，源端口号21，目的IP地址192.1.2.1/32，目的端口号*；正常转发。协议类型TCP，源IP地址192.1.1.7/32，源端口号20，目的IP地址192.1.2.1/32，目的端口号*；正常转发。协议类型*，源IP地址any，目的IP地址any；丢弃。,一、无状态分组过滤器,路由器R2接口2输入方向的过滤规则集如下。协议类型TCP，源IP地址192.1.2.1/32，源端口号*，目的IP地址192.1.1.7/32，目的端口号21；正

10、常转发。协议类型TCP，源IP地址192.1.2.1/32，源端口号*，目的IP地址192.1.1.7/32，目的端口号20；正常转发。协议类型TCP，源IP地址192.1.2.7/32，源端口号80，目的IP地址192.1.1.1/32，目的端口号*；正常转发。协议类型*，源IP地址any，目的IP地址any；丢弃。,二、有状态分组过滤器,路由器R1接口1只允许输入输出与终端A访问Web服务器的操作有关的IP分组，禁止输入输出其他一切类型的IP分组。,二、有状态分组过滤器,路由器R1接口1输入方向的过滤规则集如下。协议类型TCP，源IP地址192.1.1.1/32，源端口号*，目的IP地址1

11、92.1.2.7/32，目的端口号80；正常转发。协议类型*，源IP地址any，目的IP地址any；丢弃。路由器R1接口1输出方向的过滤规则集如下。协议类型TCP，源IP地址192.1.2.7/32，源端口号80，目的IP地址192.1.1.1/32，目的端口号*；正常转发。协议类型*，源IP地址any，目的IP地址any；丢弃。,二、有状态分组过滤器,匹配路由器R1接口1输出方向过滤规则的IP分组未必就是封装Web服务器用于响应终端A访问请求的响应报文的IP分组。原因是，响应报文不是固定的，而是根据请求报文动态变化的。,二、有状态分组过滤器,为了实现路由器R1接口1只允许输入输出与终端A发起

12、访问web服务器的操作有关的IP分组，禁止输入输出其他一切类型的IP分组的安全策略，必须做到：只允许由终端A发起建立与Web服务器之间的TCP连接。只允许属于由终端A发起建立的与Web服务器之间的TCP连接的TCP报文沿着Web服务器至终端A方向传输。必须在路由器R1接口1输入终端A发送给Web服务器的请求报文后，才允许路由器R1接口1输出Web服务器返回给终端A的响应报文。,二、有状态分组过滤器,为实现上述控制过程，路由器R1接口1输入输出方向的过滤器必须具备以下功能。终端A至Web服务器传输方向上的过滤规则允许传输与终端A发起访问Web服务器的操作有关的TCP报文。初始状态下，Web服务器

13、至终端A传输方向上的过滤规则拒绝一切IP分组传输。只有当终端A至Web服务器传输方向上传输了与终端A发起访问Web服务器的操作有关的TCP报文后，Web服务器至终端A传输方向才允许传输作为对应的响应报文的TCP报文。,二、有状态分组过滤器,为实现上述控制过程，路由器R1接口1输入输出方向的过滤器必须具备以下功能。终端A至Web服务器传输方向上的过滤规则允许传输与终端A发起访问Web服务器的操作有关的TCP报文。初始状态下，Web服务器至终端A传输方向上的过滤规则拒绝一切IP分组传输。只有当终端A至Web服务器传输方向上传输了与终端A发起访问Web服务器的操作有关的TCP报文后，Web服务器至终

14、端A传输方向才允许传输作为对应的响应报文的TCP报文。,二、有状态分组过滤器,动态分组检测的第一步是将网络划分成三个区，然后对区间进行的访问过程全程监控。,所谓全程监控是根据访问策略确定信息流顺序，然后对每一次信息流传输操作进行监控，看其是否符合策略规定的顺序和动作。,二、有状态分组过滤器,访问策略从信任区到非军事区 源IP地址=193.1.1.0/24 目的IP地址=193.1.2.5/32 HTTP服务；从信任区到非军事区 源IP地址=193.1.1.0/24 目的IP地址=193.1.2.6 SMTP+POP3服务；从信任区到非信任区 源IP地址=193.1.1.0/24 目的IP地址=

15、0.0.0.0 HTTP+FTP GET服务；从非军事区到非信任区 源IP地址=193.1.2.6/32 目的IP地址=0.0.0.0 SMTP服务；从非信任区到非军事区 源IP地址=0.0.0.0 目的IP地址=193.1.2.5/32 HTTP GET服务；从非信任区到非军事区 源IP地址=0.0.0.0 目的IP地址=193.1.2.6/32 SMTP服务。,访问策略和分组过滤不同，不是定义了允许或不允许传输的IP分组，而是定义了整个服务过程。如第一项策略表示允许进行由信任区中终端发起的，对非军事区中的WEB服务器的访问。它允许符合这个访问过程的IP分组在信任区和非军事区之间传输。,二、

16、有状态分组过滤器,策略对应的信息交换过程，由于是允许信任区中终端发起对非信任区中WEB服务器的访问，因此，首先允许通过的是符合信任区中终端发起建立TCP连接的过程的IP分组。然后允许通过的是和读取WEB内容有关的IP分组。最后，允许通过的是释放TCP连接有关的IP分组。,二、有状态分组过滤器,防火墙通过只中继正常的建立TCP连接请求，来避免服务器遭受SYN泛滥攻击。,二、有状态分组过滤器,通过COOKIE技术避免防火墙被SYN泛滥阻塞。,二、有状态分组过滤器,在防火墙连接非信任区的端口启动防御IP地址扫描机制，并设置时间间隔和阈值。端口在每一个时间段检测具有相同源IP地址、不同目的IP地址的I

17、CMP ECHO请求报文，允许前10个具有上述特征的ICMP ECHO请求报文通过端口继续转发，丢弃后续具有上述特征的ICMP ECHO请求报文，直到下一个时间段开始。,11.3 电路层代理,本讲主要内容Socks和电路层代理实现原理；电路层代理应用环境；电路层代理安全功能。,一、Socks和电路层代理实现原理,假定源主机是终端B，目的主机是Web服务器，源主机与目的主机之间无法直接建立TCP连接。,一、Socks和电路层代理实现原理,一、Socks和电路层代理实现原理,源主机首先建立与电路层代理之间的TCP连接，建立TCP连接时，电路层代理一端的端口号是Socksv5的著名端口号1080。完

18、成TCP连接建立过程后，电路层代理根据配置的用户身份鉴别机制要求源主机提供用户名和密码，源主机要求用户输入用户名用户A和密码PASSA，并将用户输入的用户名和密码发送给电路层代理，电路层代理根据用户名用户A和密码PASSA确定是注册用户后，向源主机发送身份鉴别成功消息。 源主机向电路层代理发送请求建立电路层代理与目的主机之间的TCP连接的请求消息，请求消息中给出目的主机的IP地址192.1.2.7，和该TCP连接的目的端口号80。电路层代理建立与IP地址为192.1.2.7的目的主机之间的TCP连接，并建立源主机与电路层代理之间的TCP连接和电路层代理与目的主机之间的TCP连接之间的映射。,二

19、、电路层代理应用环境,内部网络分配私有IP地址，对连接在Internet上的终端是不可见的。 通过三种技术实现远程终端访问内部网络的过程，这三种技术分别是静态端口映射、虚拟专用网（VPN）和电路层代理。,二、电路层代理应用环境,建立用全球端口号80唯一标识内部网络私有IP地址192.168.1.7的地址转换项。远程终端可以用目的IP地址7.7.7.7和目的端口号80访问内部网络中的Web服务器。,二、电路层代理应用环境,边界路由器R作为L2TP网络服务器（LNS），远程终端通过接入控制过程接入内部网络，分配私有IP地址，通过分配的私有IP地址完成对内部网络的访问过程。,二、电路层代理应用环境,

20、二、电路层代理应用环境,假定Web服务器的访问权限对源终端的IP地址作了限制，如只允许IP地址属于192.1.2.0/24的终端访问Web服务器。 可以通过两种规避访问限制的技术实现终端A访问Web服务器的过程，这两种技术分别是VPN和电路层代理。,二、电路层代理应用环境,如果采用VPN技术，路由器R1作为L2TP网络服务器（LNS），终端A通过接入控制过程接入网络2，分配网络2的IP地址，即属于192.1.2.0/24的IP地址，通过分配的属于192.1.2.0/24的IP地址完成对Web服务器的访问过程。,二、电路层代理应用环境,二、电路层代理应用环境,路由器R接口2的输出方向设置以下无状

21、态分组过滤器。协议类型*，源IP地址192.1.1.0/24，目的IP地址192.1.2.7/32；丢弃。协议类型*，源IP地址any，目的IP地址any；正常转发。上述无状态分组过滤器导致网络1中的终端无法与Web服务器通信。,二、电路层代理应用环境,三、电路层代理安全功能,数据中继；用户身份鉴别；传输层检测。,11.4 应用层网关,本讲主要内容应用层网关概述；Web应用防火墙工作原理；Web应用防火墙应用环境。,一、应用层网关概述,1检测层次 分组过滤器一般只检测IP首部和传输层首部中的源和目的端口号，不会检测传输层报文中净荷的内容。电路层代理通常只检测传输层首部，同样不会检测传输层报文中

22、净荷的内容。应用层网关要求检测应用层消息首部，应用层消息中的消息体，如HTTP首部和HTTP消息体等。,一、应用层网关概述,2透明模式和代理模式 分组过滤器对于源和目的主机是透明的，电路层代理对于源主机不是透明的，应用层网关可以工作在透明模式和代理模式。,一、应用层网关概述,3安全功能 应用层网关的安全功能是对对应的应用服务器提供保护，有效防御对该应用服务器实施的攻击。,二、 Web应用防火墙工作原理,1WAF的功能 WAF是对Web服务器提供保护的应用层网关，用于防御黑客对Web服务器实施的攻击。由于与访问Web服务器相关的应用层协议是HTTP和HTTPS，因此，WAF主要检测HTTP消息和

23、HTTPS消息。,二、 Web应用防火墙工作原理,sql注入攻击通过精心设计资源访问请求，使得服务器前端生成错误的sql语句，后台数据库执行错误的sql语句后，导致以下后果。错误地更新数据库内容；错误地删除数据内容；非授权用户非法访问数据库。,二、 Web应用防火墙工作原理,黑客实施XSS攻击过程的前提有两个，一是Web服务器存在XSS漏洞，二是需要让受害人打开包含XSS攻击脚本的URL。,二、 Web应用防火墙工作原理,WAF通过检测经过的HTTP请求和响应消息中各个字段的值可以发现不规范的HTTP请求和响应消息，这些不规范的HTTP请求和响应消息中往往包含攻击信息。 WAF对每一个HTTP

24、请求消息，根据攻击特征库中的每一个攻击行为，逐个检测相关字段，如果该HTTP请求消息的相关字段值中包含了某个攻击行为的特征信息，表明该HTTP请求消息是实施该攻击行为的HTTP请求消息。 可以根据长期统计分析得出的规律来制定应用规范，当Web服务器访问方式与应用规范之间出现较大偏差时，表明Web服务器正在遭受攻击。,三、 Web应用防火墙应用环境,1透明模式 WAF位于终端与Web服务器之间的传输路径上，终端与Web服务器之间交换的HTTP请求和响应消息全部经过WAF，由WAF对经过的HTTP请求和响应消息进行检测。,三、 Web应用防火墙应用环境,2反向代理模式 WAF并没有位于终端与Web

25、服务器之间的传输路径上。为了强迫终端发送给Web服务器的HTTP请求消息经过WAF，在路由器R中添加两项静态路由项，这两项静态路由项使得路由器R将以Web服务器的IP地址为目的IP地址的IP分组转发给WAF，并因此使得所有终端发送的、以Web服务器的IP地址为目的IP地址的IP分组经过WAF。由WAF对经过的HTTP请求消息进行检测。Web服务器回送的HTTP响应消息可以不经过WAF。,三、 Web应用防火墙应用环境,11.5 三种防火墙的特点,本讲主要内容三种防火墙的安全功能；三种防火墙的应用环境；三种防火墙综合应用实例。,一、三种防火墙的安全功能,1分组过滤器的安全功能分组过滤器，顾名思义

26、就是在IP分组流中过滤掉具有特定属性的一组IP分组；分组过滤器可以分为无状态和有状态分组过滤器，前者将每一个IP分组作为独立的个体进行处理，后者，将属于同一会话的一组IP分组作为整体进行处理。,一、三种防火墙的安全功能,2电路层代理的安全功能实现基于用户的访问权限；分别建立源主机与电路层代理之间的TCP连接或UDP会话，电路层代理与目的主机之间的TCP连接或UDP会话，只有在源主机用户具有访问目的主机资源的权限的情况下，电路层代理才允许建立这两个TCP连接或UDP会话之间的映射。,一、三种防火墙的安全功能,3应用层网关的安全功能主要用于防御针对特定服务器实施的攻击；WAF的主要安全功能是检测经

27、过的HTTP请求和响应消息，发现与攻击行为相关的HTTP请求和响应消息，并予以处理。,二、三种防火墙的应用环境,1分组过滤器的应用环境 控制网络间通信过程的分组过滤器必须位于两个网络之间传输路径必须经过的位置，控制与某个终端之间通信过程的分组过滤器必须位于该终端输入输出的信息流必须经过的位置。,二、三种防火墙的应用环境,2电路层代理的应用环境 电路层代理的应用环境需要满足以下两个条件，一是无法直接建立源主机与目的主机之间的TCP连接或UDP会话。二是允许建立源主机与电路层代理之间的TCP连接或UDP会话和电路层代理与目的主机之间的TCP连接或UDP会话。,二、三种防火墙的应用环境,3应用层网关

28、的应用环境 必须保证所有终端传输给特定服务器的请求消息经过应用层网关，可能情况下，使得所有终端与该服务器之间传输的请求和响应消息都经过应用层网关。,三、三种防火墙综合应用实例,由防火墙根据安全策略控制三个区之间的数据传输过程。非军事区设置电路层代理，电路层代理配置的用户权限允许注册用户发起建立与内部网络中的Web服务器1之间的TCP连接。非军事区中的Web服务器2前串接WAF，由WAF提供对Web服务器2的保护功能。,三、三种防火墙综合应用实例,为了有效控制三个区之间的数据传输过程和web服务器的安全，制订以下安全策略。允许内部网络终端访问非军事区中的服务器；允许内部网络终端访问Interne

29、t中的web和FTP服务器；允许非军事区中的邮件服务器与Internet中的邮件服务器交换邮件；允许Internet中的终端访问非军事区中的web服务器2；允许Internet中的终端发起建立与非军事区中的电路层代理之间的TCP连接；允许非军事区中的电路层代理发起建立与内部网络中的web服务器1之间的TCP连接；确保非军事区中的web服务器2的安全。,三、三种防火墙综合应用实例,为了有效控制三个区之间的数据传输过程和web服务器的安全，制订以下安全策略。允许内部网络终端访问非军事区中的服务器；允许内部网络终端访问Internet中的web和FTP服务器；允许非军事区中的邮件服务器与Intern

30、et中的邮件服务器交换邮件；允许Internet中的终端访问非军事区中的web服务器2；允许Internet中的终端发起建立与非军事区中的电路层代理之间的TCP连接；允许非军事区中的电路层代理发起建立与内部网络中的web服务器1之间的TCP连接；确保非军事区中的web服务器2的安全。,三、三种防火墙综合应用实例,防火墙访问控制策略从内部网络到非军事区：源IP地址=193.1.1.0/24，目的IP地址=193.1.2.5/32，HTTP服务；从内部网络到非军事区：源IP地址=193.1.1.0/24，目的IP地址=193.1.2.6/32， SMTP+POP3服务；从内部网络到Internet

31、：源IP地址=193.1.1.0/24，目的IP地址=any，HTTP+FTP GET服务；从非军事区到Internet：源IP地址=193.1.2.6/32，目的IP地址=any，SMTP服务；从Internet到非军事区：源IP地址=any，目的IP地址=193.1.2.6/32，SMTP服务；从Internet到非军事区：源IP地址=any，目的IP地址=193.1.2.5/32，HTTP GET服务；从Internet到非军事区：源IP地址=any，目的IP地址=193.1.2.7/32，TCP；从非军事区到内部网络：源IP地址=193.1.2.7/32，目的IP地址=193.1.1.7/32，TCP。,