防火墙原理-体系结构-系统设计.ppt

《防火墙原理-体系结构-系统设计.ppt》由会员分享，可在线阅读，更多相关《防火墙原理-体系结构-系统设计.ppt（72页珍藏版）》请在装配图网上搜索。

1、防火墙原理与系统设计,1、防火墙原理,Internet上没有人能免于攻击,政府,企业,个人,1.1 防火墙概述,1.1 防火墙概述,通常意义上的防火墙： 不同安全级别的网络或安全域之间的唯一通道 只有被防火墙策略明确授权的通信才可以通过 系统自身具有高安全性和高可靠性,注意区分个人防火墙,防火墙是位于两个(或多个)网络间，实施网络间访问控制的一组组件的集合。防火墙的英文名为“FireWall”，它是最重要的网络防护设备之一。,1、基本概念,网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和因特网之间连接、和其他业务往来单位的网络连接、用户内部网络不同部门之间的连接等。,1.1 防火墙

2、概述,(1)不同安全级别的网络或安全域之间的唯一通道,防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。,1.1 防火墙概述,(2)只有被防火墙策略明确授权的通信才可以通过,1.1 防火墙概述,(3)系统自身具有高安全性和高可靠性,防火墙自身应具有非常强的抗攻击免疫力。,防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其他应用程序在防火墙上运行。,一般采用Linux、UNIX或FreeBSD系统作为支撑其工作的操作系统。,1.2 防火墙的功能,防火墙的功能,1）限定内部用户访问特殊站点。

3、 2）防止未授权用户访问内部网络。 3）允许内部网络中的用户访问外部网络的服务和资源而不泄漏内部网络的数据和资源。 4）记录通过防火墙的信息内容和活动。 5）对网络攻击进行监测和报警。,防火墙的基本功能：访问控制,基于源MAC地址 基于目的MAC地址 基于源IP地址 基于目的IP地址 基于源端口 基于目的端口,基于方向 基于时间 基于用户 基于流量 基于内容,1.2 防火墙的功能,路由功能 NAT功能 VPN功能 用户认证,防火墙的扩展功能：,带宽控制 日志审计 流量分析,1.2 防火墙的功能,1. 防火墙能做什么？ 2. 防火墙不能防范什么？,防火墙能做什么,防火墙并不能为网络防范一切，也不

4、应该把它作为对所有安全问题的一个最终解决方案，所以懂得哪些工作是防火墙能做的非常重要： （1）实现安全策略 （2）创建一个阻塞点 （3）记录网络活动 （4）限制网络暴露,1.实现安全策略,安全策略对哪些人和哪些行为被允许做出规定。如一个常见的安全策略是允许任何人访问公司服务器上的Web站点，但是不允许telnet登陆到服务器上。,1.实现安全策略,防火墙可以使用的两种基本的安全策略： 规则规定拒绝哪些访问，允许其余没规定的访问 规则规定允许哪些访问，拒绝其余没规定的访问 为了得到较高的安全性，一般采用第2个策略。,2.创建一个阻塞点,防火墙在一个公司私有网络和分网间建立一个检查点。这种实现要求

5、所有的流量都要通过这个检查点。在该检查点防火墙设备就可以监视，过滤和检查所有进来和出去的流量。网络安全产业称这些检查点为阻塞点。,没有防火墙，分散管理，效率低下 使用防火墙，集中管理，高效率,3.记录网络活动,防火墙还能够监视并记录网络活动，并且提供警报功能。通过防火墙记录的数据，管理员可以发现网络中的各种问题。,例如，通过查看安全日志，管理员可以找到非法入侵的相关纪录，从而可以做出相应的措施。,4.限制网络暴露,防火墙在你的网络周围创建了一个保护的边界。并且对于公网隐藏了你内部系统的一些信息以增加保密性。当远程节点侦测你的网络时，他们仅仅能看到防火墙。远程设备将不会知道你内部网络的布局以及都

6、有些什么。,例如，防火墙的NAT功能可以隐藏内部的IP地址； 代理服务器防火墙可以隐藏内部主机信息。,防火墙不能做什么,除了懂得防火墙能保护什么非常重要外，懂得防火墙不能保护什么也是同等重要： 1.病毒与特洛伊木马 2.社会工程 3.物理故障 4.不当配置和内部攻击,防火墙不能做什么,总体来说，除了不能防止物理故障等错误外，防火墙本身并不能防范经过授权的东西，如内部员工的破坏等。,例如，员工接收了一封包含木马的邮件，木马是以普通程序的形式放在了附件里，防火墙不能避免该情况的发生。,2 、防火墙体系结构,22,2. 防火墙体系结构,包过滤型防火墙(Package Filtering Firewa

7、ll) 双宿/多宿主机防火墙(Dual-Homed/Multi-Homed Host Firewall) 屏蔽主机防火墙(Screened Host Firewall) 屏蔽子网防火墙(Screened Subnet Firewall) 其它防火墙结构,23,2.1 包过滤型防火墙,包过滤型防火墙，往往可以用一台过滤路由器(Screened Router)来实现，对所接收的每个数据包做允许/拒绝的决定 包过滤型防火墙一般作用在网络层，故也称网络层防火墙或IP过滤器,24,查找对应的控制策略,根据策略决定如何处理该数据包,数据包,2.1 包过滤型防火墙,数据包,拆开数据包,分组过滤判断信息,企业

8、内部网,Host C,Host A,25,2.1 包过滤型防火墙,路由器审查每个数据包，确定其是否与某一条包过滤规则匹配 过滤规则基于可以提供给IP转发过程的包头信息，包头信息中包括： 源IP地址、目标IP地址 协议类型(TCP、UDP、ICMP等等) TCP/UDP源端口、目标端口 ICMP消息类型 TCP包头中的ACK位等,26,2.1 包过滤型防火墙,对到达包过滤防火墙的数据包： 规则允许该数据包通过，那么该数据包就会按照路由表中的信息被转发 规则拒绝该数据包，那么该数据包就会被丢弃 如果没有匹配规则，根据系统的设计策略(缺省禁止/缺省允许)决定是转发还是丢弃数据包,27,2.1 包过滤

9、型防火墙,举例： 阻塞所有进入的Telnet连接 路由器只需简单地丢弃所有TCP端口号等于23的数据包 将进来的Telnet连接限制到内部的数台机器上 路由器必须拒绝所有TCP端口号等于23并且目标IP地址不等于允许主机的IP地址的数据包,28,2.1 包过滤型防火墙,优点： 处理数据包的速度比较快(与代理服务器相比) 在流量适中并定义较少过滤规则时，路由器的性能几乎不受影响 实现包过滤几乎不再需要费用 标准的路由器软件包含数据包过滤功能 包过滤路由器对用户和应用来讲是透明的 不必对用户进行特殊的培训 不必在每台主机上安装特定的软件 用户不用改变客户端程序或改变自己的行为,29,2.1 包过滤

10、型防火墙,缺点： 一些包过滤路由器不支持有效的用户认证 因为IP地址是可以伪造的，因此如果没有基于用户的认证，仅通过IP地址来判断是不安全的 不能提供有用的日志，或根本不提供日志 随着过滤器数目的增加，路由器的吞吐量会下降 IP包过滤器可能无法对网络上流动的信息提供全面的控制 包过滤路由器能够允许或拒绝特定的服务，但是不能理解特定服务的上下文环境和数据,30,2.2 双宿/多宿主机防火墙,双宿/多宿主机：有两个或多个网络接口的计算机系统，可以连接多个网络，实现多个网络之间的访问控制 双宿/多宿主机防火墙：用双宿/多宿主机实现防火墙的功能,31,2.2 双宿/多宿主机防火墙,特点： IP层通信被

11、阻止 双宿主机内外的网络均可与双宿主机实时通信 内外网络之间不可直接通信，内外部网络之间的IP数据流被双宿主机完全切断 上图：网络层路由功能未被禁止，数据包绕过防火墙,32,2.2 双宿/多宿主机防火墙,两个网络之间的通信方式： 应用层数据共享，用户直接登录 应用层代理服务，在双宿主机上运行代理服务器,33,2.2 双宿/多宿主机防火墙,用户直接登录的不足 支持用户账号会降低机器本身的稳定性和可靠性 用户账号的存在会给入侵者提供相对容易的入侵通道 因为用户的行为是不可预知的，如双宿主机上有很多用户账户，这会给入侵检测带来很大的麻烦 如果双宿主机上有很多账号，管理员维护困难,34,2.3 屏蔽主

12、机防火墙,专门设置一个过滤路由器，把所有外部到内部的连接都路由到堡垒主机上，强迫所有的外部主机与一个堡垒主机相连，而不让它们直接与内部主机相连,35,2.3 屏蔽主机防火墙,过滤路由器 连接Internet和内部网络，它是内部网络的第一道防线 过滤路由器需要进行适当的配置，使所有的外部连接被路由到堡垒主机上 过滤路由器的重要性： 是否正确配置是这种防火墙安全与否的关键 过滤路由器的路由表应当受到严格的保护，否则如果路由表遭到破坏，数据包就不会被路由到堡垒主机上，使堡垒主机被绕过,36,2.3 屏蔽主机防火墙,堡垒主机(Bastion Host) 位于内部网络，是一台安全性很高的主机，其上没有任

13、何入侵者可以利用的工具，不能作为黑客进一步入侵的基地 堡垒主机上一般安装的是代理服务器程序，即外部网络访问内部网络的时候，首先经过外部路由器的过滤，然后通过代理服务器代理后才能进入内部网络 堡垒主机在应用层对客户的请求做判断，允许或禁止某种服务。如果该请求被允许，堡垒主机就把数据包发送到某一内部主机或屏蔽路由器上，否则抛弃该数据包,37,2.3 屏蔽主机防火墙,对于入站连接，根据安全策略，屏蔽路由器可以： 允许某种服务的数据包先到达堡垒主机，然后与内部主机连接 直接禁止某种服务的数据包入站连接 对于出站连接，根据安全策略： 对于一些服务(Telnet)，可以允许它直接通过屏蔽路由器连接到外部网

14、络，而不通过堡垒主机 其它服务(WWW和SMTP等)，必须经过堡垒主机才能连接到Internet，并在堡垒主机上运行该服务的代理服务器,38,2.3 屏蔽主机防火墙,屏蔽主机防火墙转发数据包的过程,39,2.3 屏蔽主机防火墙,与包过滤型防火墙的比较： 其提供的安全等级比包过滤防火墙系统要高，实现了网络层安全(包过滤)和应用层安全(代理服务) 入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统 即使入侵者进入了内部网络，也必须和堡垒主机竞争，堡垒主机是一台安全性很高的主机,40,2.3 屏蔽主机防火墙,路由器不被正常路由的例子： 正常路由情况： 内部网络地址：202.112.10

15、8.0 堡垒主机地址：202.112.108.8 路由表内容 所有流量发到堡垒主机上,41,2.3 屏蔽主机防火墙,路由表被破坏的情况： 堡垒主机的路由项目被从路由表中删除 进入屏蔽路由器的流量不会被转发到堡垒主机上，可能被转发到另一主机上，外部主机直接访问了内部主机，绕过了防火墙 过滤路由器成为唯一一道防线，入侵者很容易突破屏蔽路由器，内部网络不再安全,42,2.4 屏蔽子网防火墙,本质上同屏蔽主机防火墙一样，但增加了一层保护体系周边网络(DMZ)。堡垒主机位于周边网络上，周边网络和内部网络被内部屏蔽路由器分开,43,3.4 屏蔽子网防火墙,为什么使用周边网络 在屏蔽主机结构中，堡垒主机最容

16、易受到攻击。而且内部网对堡垒主机是完全公开的，入侵者只要破坏了这一层的保护，那么入侵也就大功告成了 屏蔽子网结构就是在屏蔽主机结构中再增加一台路由器的安全机制，这台路由器的意义就在于它能够在内部网和外部网之间构筑出一个安全子网，从而使得内部网与外部网之间有两层隔断。要想侵入用这种体系结构构筑的内部网络，侵袭者必须通过两个路由器，即使侵袭者已设法侵入堡垒主机，他将仍然必须通过内部路由器,44,3.4 屏蔽子网防火墙,周边网络 也称为停火区或非军事区(DeMilitarised Zone，DMZ) 处于Internet和内部网络之间 包含两个包过滤路由器和一个/多个堡垒主机 可以放置一些信息和服务

17、器，如WWW和FTP服务器，以便于公众访问，这些服务器可能会受到攻击，因为它们是牺牲服务器，但内部网络还被保护着 通过DMZ网络直接进行信息传输是严格禁止的 是最安全的防火墙系统，因为在定义了“非军事区网络后，它支持网络层和应用层安全功能,45,3.4 屏蔽子网防火墙,周边网络的作用 堡垒主机位于周边网络，即使被控制，入侵者仍然不能直接侵袭内部网络，内部网络仍受到内部过滤路由器的保护 原因： 大部分局域网采用以太网，以太网的特点是广播，一台位于网络上的机器可以监听网络上的所有信息 如果没有周边网络，一旦堡垒主机被攻破，入侵者可以监听整个网络的对话，获得 用户的口令和帐号 私人的敏感文件(ema

18、il等),46,3.4 屏蔽子网防火墙,如果堡垒主机位于周边网络上，即使入侵者控制了堡垒主机，也只能侦听到 Internet和堡垒主机之间的会话 内部主机和堡垒主机之间的会话 内部网络之间的通信仍然是安全的，因为内部网络上的数据包虽然在内部网络上是广播式的，但内部过滤路由器会阻止这些数据包流入周边网络(发往周边网络和Internet的数据包除外),47,3.4 屏蔽子网防火墙,堡垒主机 位于周边网络 运行各种各样的代理服务器 可以被认为是应用层网关，是这种防御体系的核心 入站服务，要求所有服务都通过堡垒主机 出站服务，不一定要求所有服务都经过堡垒主机，可以由内部路由器和Internet直接通话

19、,48,3.4 屏蔽子网防火墙,内部路由器 又称阻塞路由器，位于内部网和周边网之间 用于保护内部网不受周边网和因特网的侵害 完成防火墙的大部分的过滤工作,49,3.4 屏蔽子网防火墙,外部路由器 保护周边网上的主机 外部路由器还可以防止部分IP欺骗 内部路由器分辨不出一个声称从非军事区来的数据包是否真的从非军事区来，而外部路由器很容易分辨出真伪,3 、常见的防火墙系统设计,内部工作子网与外网的访问控制,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,合法请求则允许对外访问,发起访问请求,防火墙在此处的功能： 1、工作子网与外部子网的物理 隔离 2、访问控制 3、

20、对工作子网做NAT地址转换 4、日志记录,DMZ区域与外网的访问控制,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,禁止对外发起连结请求,发起访问请求,防火墙在此处的功能： 1、DMZ网段与外部子网的物理隔离 2、访问控制 3、对DMZ子网做MAP映射 4、日志记录,内部工作子网与DMZ区的访问控制,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,禁止对工作子网发起连结请求,防火墙在此处的功能： 1、DMZ网段与工作子网的物理隔离 2、访问控制 4、日志记录,发起访问请求,拨号用户对内部子网的访问控制,拨号服务器 Cisco 2

21、620,移动用户,PSTN,Modem,Modem,进行一次性口令认证,认证通过后允许访问 内网,防火墙在此处的功能： 1、对拨号用户进行一次性口令认证 2、控制拨号用户对内网的访问权限 3、对拨号用户的访问做日志和审计,将访问记录写进日志文件,用户拨号,下属机构对总部的访问控制,下属机构,DDN/FR X.25专线,FW+VPN,FW+VPN,进行规则检查,将访问记录写进日志文件,防火墙在此处的功能： 1、将内部子网与连接下属机构的公网隔离开 2、控制下属机构子网用户对总部内网的访问 3、对下属机构网络与总部子网之间的通讯做日志和审计,Host C,Host D,数据包,数据包,数据包,数据

22、包,数据包,查找对应的控制策略,拆开数据包 进行分析,根据策略决定如何处理该数据包,数据包,控制策略,基于源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于时间 基于用户 基于流量,可以灵活的制定 的控制策略,包过滤,基于时间的访问控制,Host C,Host D,在防火墙上制定基于时间的访问控制策略,上班时间不允许访问Internet,上班时间可以访问公司的网络,Internet,用户级权限控制,Host C,Host D,Host B,Host A,受保护网络,Internet,预先可在防火墙上设定用户,root,123,Yes,admin,883,No,不管那台电脑都可以用相同

23、的用户名来登陆防火墙,只需在防火墙设置该用户的规则即可,高层协议控制,应用控制可以对常用的高层应用做更细的控制 如HTTP的GET、POST、HEAD 如FTP的GET、PUT等,应用层,应用层,内部网络,外部网络,防火墙,内部接口,外部接口,根据策略检查应用层的数据,符合策略,IP与MAC绑定,Internet,Host B,199.168.1.3,Host C,199.168.1.4,Host D,199.168.1.5,00-50-04-BB-71-A6,00-50-04-BB-71-BC,Bind 199.168.1.2 To 00-50-04-BB-71-A6,Bind 199.16

24、8.1.4 To 00-50-04-BB-71-BC,IP与MAC地址绑定后，不允许Host B假冒Host A的IP地址上网,防火墙允许Host A上网,NAT转换&IP复用,防火墙,Eth2：192.168.1.23,Eth0：101.211.23.1,源地址：192.168.1.21 目地址：202.102.93.54,源地址：101.211.23.1 目地址：202.102.93.54,101.211.23.2,隐藏了内部网络的结构 内部网络可以使用私有IP地址 公开地址不足的网络可以使用这种方式提供IP复用功能,流量控制,Host C,Host D,Host B,Host A,受保护

25、网络,Host A的流量已达到 10M,Host A的流量已达到 极限值30M,阻断Host A的连接,Internet,端口映射,Internet,公开服务器可以使用私有地址 隐藏内部网络的结构,199.168.1.6,12.4.1.5,202.102.1.3,199.168.1.2：80202.102.1.3：80,199.168.1.3：21202.102.1.3：21,199.168.1.4：25202.102.1.3：25,199.168.1.5：53202.102.1.3：53,http:/199.168.1.2,http:/202.102.1.3,透明接入,受保护网络,Inter

26、net,如果防火墙支持透明模式，则内部网络主机的配置不用调整,199.168.1.8,同一网段,透明模式下，这里不用配置IP地址,透明模式下，这里不用配置IP地址,Default Gateway=199.168.1.8,防火墙相当于网桥，原网络结构没有改变,信息审计&日志,Internet,202.102.1.2,202.102.1.3,写入日志,写入日志,一旦出现安全事故 可以查询此日志,身份鉴别,Host C,Host D,Host B,Host A,受保护网络,Internet,预先可在防火墙上设定用户,root,asdasdf,验证通过则允许访问,root,123,Yes,admin,

27、883,No,用户身份认证 根据用户控制访问,双机热备,内部网,外网或者不信任域,Eth 0,Eth 0,Eth1,Eth1,Eth2,Eth2,心跳线,Active Firewall,Standby Firewall,检测Active Firewall的状态,发现出故障，立即接管其工作,正常情况下由主防火墙工作,主防火墙出故障以后，接管它的工作,安全远程管理,Internet,管理员,黑客,如何实现 安全管理呢,采用一次性口令认证来实现安全管理,用户名，口令,用户名，口令,Key Note,尽可能检验每一条安全策略的效果，验证它们实施的顺序 尽可能使内部网络相互之间的访问对防火墙系统不可见。 现有的防火墙系统已经大都具有支持三个隔离网段的功能。可以考虑将公共服务放置在DMZ,防火墙产品的介绍,课程内容,防火墙产品的分类 商用防火墙产品 Checkpoint Cisco Netscreen Secure Computing Security Dynamic,产品的分类,网关类型 硬件：Cisco PIX，Netscreen 软件：TISFWK 综合类型 CKP FW1；Secure Computing,