计算机硬件及网络网络安全20防火墙课件

《计算机硬件及网络网络安全20防火墙课件》由会员分享，可在线阅读，更多相关《计算机硬件及网络网络安全20防火墙课件（71页珍藏版）》请在装配图网上搜索。

1、Chapter 20 防防 火火 墙墙密码编码学与网络安全密码编码学与网络安全密码编码学与网络安全密码编码学与网络安全2023/7/311计算机硬件及网络网络安全20防火墙简介n信息系统不断发展完善n每个人都希望与互联网相连或连接到网上n存在安全忧虑q不能很容易地使组织中的各系统得到安全保护n典型地使用防火墙n用以提供边界防御n作为复杂的安全策略的一部分2023/7/312计算机硬件及网络网络安全20防火墙什么是防火墙?n是网络控制和监视的关键点n用不同的信任与网络相连接n对网络服务进行强制性限制q只准允许授权的通信通过n对访问进行审查和控制q对于异常行为能够实现报警n提供NAT和使用监视n用

2、 IPSec 实现VPN n对于渗透必须是免疫的。2023/7/313计算机硬件及网络网络安全20防火墙防火墙的设计目标n所有通信都必须经过防火墙n只有被授权的通信才能通过防火墙n对于渗透必须是免疫的2023/7/314计算机硬件及网络网络安全20防火墙防火墙的局限性一、防火墙概述1）防火墙防外不防内防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已已经经在防火墙内部，防火墙是无能为力的。内部用户偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理，如主机安全和用户教育、管理、制

3、度等。2023/7/315计算机硬件及网络网络安全20防火墙一、防火墙概述2）不能防范绕过防火墙的攻击防火墙能够有效地防止通过它进行传输信息，然而不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。3）防火墙配置复杂，容易出现安全漏洞4）防火墙往往只认机器（IP地址）不认人（用户身份），并且控制粒度较粗。防火墙的局限性2023/7/316计算机硬件及网络网络安全20防火墙一、防火墙概述5）防火墙不能防范病毒防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。6）防火墙不能防止数据驱动式攻击。当

4、有些表面看来无害的数据被邮寄或复制到内部网主机上并被执行而发起攻击时，就会发生数据驱动攻击。特别是随着Java、JavaScript、ActiveX的应用，这一问题更加突出。2023/7/317计算机硬件及网络网络安全20防火墙防火墙的分类n包过滤路由器n应用级网关n电路级网关2023/7/318计算机硬件及网络网络安全20防火墙2023/7/319计算机硬件及网络网络安全20防火墙2023/7/3110计算机硬件及网络网络安全20防火墙2023/7/3111计算机硬件及网络网络安全20防火墙服务访问政策是整个机构信息安全政策的延伸，既要可靠又要切合实际。一个典型的政策可以不允许从Intern

5、et访问网点，但要允许从网点访问Internet。另一个典型政策是允许从Internet进行某些访问，但是或许只许可访问经过选择的系统，如Web服务器和电子邮件服务器。服务访问政策2023/7/3112计算机硬件及网络网络安全20防火墙允许拒绝防火墙设计政策 防火墙一般实施两个基本设计方针之一:1.“没有明确允许的都是被禁止的”，即拒绝一切未予特许的东西。2.“没有明确禁止的都是被允许的”；也即是允许一切未被特别拒绝的东西 允许拒绝2023/7/3113计算机硬件及网络网络安全20防火墙防火墙的体系结构1）屏蔽路由器（Screened Router）2）双宿主机网关；Dual Homed Ho

6、st Gateway3）屏蔽主机防火墙；Screened Gateway4）屏蔽子网防火墙。Screened Subnet2023/7/3114计算机硬件及网络网络安全20防火墙1.屏蔽路由器（Screened Router）包过滤路由器：路由 +过滤这是最简单的防火墙。缺点：日志没有或很少，难以判断是否被入侵规则表会随着应用变得很复杂单一的部件保护，脆弱2023/7/3115计算机硬件及网络网络安全20防火墙2.双宿主机网关2023/7/3116计算机硬件及网络网络安全20防火墙用一台装有两块网卡的计算机作为堡垒主机（Bastion host），两块网卡分别与内部网和外部网（或屏蔽路由器）相

7、连，每块网卡有各自的IP地址。堡垒主机上运行防火墙软件代理服务（应用层网关）。在建立双宿主机时，应关闭操作系统的路由功能（IP转发），否则两块网卡间的通信会绕过代理服务器软件。优点：与屏蔽路由器相比，提供日志以备检查缺点：双宿主机易受攻击2023/7/3117计算机硬件及网络网络安全20防火墙3.屏蔽主机防火墙2023/7/3118计算机硬件及网络网络安全20防火墙屏蔽主机体系结构 2023/7/3119计算机硬件及网络网络安全20防火墙由屏蔽路由器和应用网关组成。两道屏障：网络层的包过滤；应用层代理服务注：与双宿主机网关不同，这里的应用网关只有一块网卡。优点：双重保护，安全性更高。实施策略：

8、针对不同的服务，选择其中的一种或两种保护措施。2023/7/3120计算机硬件及网络网络安全20防火墙4.屏蔽子网体系结构组成：一个包含堡垒主机的周边子网、两台屏蔽路由器。2023/7/3121计算机硬件及网络网络安全20防火墙屏蔽子网体系结构 2023/7/3122计算机硬件及网络网络安全20防火墙屏蔽子网防火墙中，添加周边网络进一步地把内部网络与Internet隔离开。通过在周边网络上隔离堡垒主机，能减少在堡垒主机上侵入的影响。要想侵入用这种类型的体系结构构筑的内部网络，侵袭者必须通过外部路由器，堡垒主机，内部路由器三道关口。1）周边网络）周边网络：非军事化区、停火区（DMZ）周边网络是另

9、一个安全层,是在外部网络与内部网络之间的附加的网络。2023/7/3123计算机硬件及网络网络安全20防火墙周边网络的作用周边网络的作用对于周边网络，如果某人侵入周边网上的堡垒主机，他仅能探听到周边网上的通信。因为所有周边网上的通信来自或者通往堡垒主机或Internet。因为没有严格的内部通信(即在两台内部主机之间的通信，这通常是敏感的或者专有的)能越过周边网。所以，如果堡垒主机被损害，内部的通信仍将是安全的。2023/7/3124计算机硬件及网络网络安全20防火墙2）堡垒主机）堡垒主机接受来自外界连接的主要入口：1对于进来的电子邮件（SMTP）会话，传送电子邮件到站点；2对于进来的FTP连接

10、，转接到站点的匿名FTP服务器；3对于进来的域名服务（DNS）站点查询等。2023/7/3125计算机硬件及网络网络安全20防火墙出站服务按如下任一方法处理：1.在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器。2.设置代理服务器在堡垒主机上运行（如果用户的防火墙使用代理软件）来允许内部的客户端间接地访问外部的服务器。用户也可以设置数据包过滤来允许内部的客户端在堡垒主机上同代理服务器交谈。但是禁止内部的客户端与外部世界之间直接通信(如拨号上网)。2023/7/3126计算机硬件及网络网络安全20防火墙3）内部路由器内部路由器（阻塞路由器）：保护内部的网络使之免受Int

11、ernet和周边子网的侵犯。内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网到Internet的有选择的出站服务。这些服务是用户使用数据包过滤而不是通过代理服务提供。内部路由器所允许的在周边网和内部网之间服务可不同于内部路由器所允许的在外部和内部网之间的服务。限制堡垒主机与内部网之间的通信可减少堡垒机被攻破时对内部网的危害。2023/7/3127计算机硬件及网络网络安全20防火墙4）外部路由器 在理论上，外部路由器保护周边网和内部网使之免受来自Internet的侵犯。实际上，外部路由器倾向于允许几乎任何东西从周边网出站，并且它们通常只执行非常少的数据包过滤。外部路由器安全任务

12、之一是：阻止从Internet上伪造源地址进来的任何数据包。2023/7/3128计算机硬件及网络网络安全20防火墙内部防火墙问题 在大部分讨论中,都假定建立防火墙的目的在于保护内部网免受外部网的侵扰。但有时为了某些原因，我们还需要对内部网的部分站点再加以保护以免受内部的其它站点的侵袭。因此，有时我们需要在同一结构的两个部分之间，或者在同一内部网的两个不同组织结构之间再建立防火墙（也被称为内部防火墙）。2023/7/3129计算机硬件及网络网络安全20防火墙复合型防火墙 采用哪种形式的防火墙取决于经费、技术、时间等。应用层表示层会话层传输层网络层链路层物理层包过滤应用网关电路网关2023/7/

13、3130计算机硬件及网络网络安全20防火墙包过滤技术 2023/7/3131计算机硬件及网络网络安全20防火墙包过滤技术的原理在路由器上加入IP Filtering 功能，这样的路由器就成为Screening Router。Router逐一审查每个数据包以判定它是否与其它包过滤规则相匹配(只检查包头，不理会包内的正文信息)。如果找到一个匹配，且规则允许这包，这个包则根据路由表中的信息前行；如果找到一个匹配，且规则允许拒绝此包，这一包则被舍弃；如果无匹配规则，一个用户配置的缺省参数将决定此包是前行还是被舍弃。2023/7/3132计算机硬件及网络网络安全20防火墙IPv4版本号版本号Versio

14、n(4bit)报头长报头长IHL(4bit)服务类型服务类型 ServiceType(8bit)分组总长度分组总长度Total Length(16bit)标识标识Identification(16bit)标志标志Flags(3bit)片偏移片偏移Fragment Offset(13bit)生存时间生存时间Time to Live(8bit)传输层协议传输层协议Protocol(8bit)头部校验和头部校验和 Header Checksum(16bit)源源IP地址地址Source Address(32bit)宿宿IP地址地址Destination Address(32bit)可选项可选项Opt

15、ion有效负载有效负载Payload（0或多个字节）或多个字节）20 bytes0 4 8 16 19 31填充域填充域padding2023/7/3133计算机硬件及网络网络安全20防火墙ICMP报文ICMPICMP报文的一般格式报文的一般格式Data差错信息差错信息出错出错IPIP数据报的头数据报的头+64+64个字节数据个字节数据类型类型Type(8bit)代码代码Code (8bit)检验和检验和Checksum(16bit)不同类型和代码有不同的内容不同类型和代码有不同的内容Data0 8 16 31ICMP header ICMP data IP header I P data 封

16、装2023/7/3134计算机硬件及网络网络安全20防火墙TCP头部源端口源端口Source Port(16bit)宿端口宿端口Destination Port(16bit)序列号序列号Sequence Number(32bit)确认号确认号Acknowledgment Number(32bit)DataOffset(4bit)Reserved(6bit)URGACKPSHRSTSYNFIN窗口大小窗口大小Window size(16bit)校验和校验和Checksum(16bit)紧急指针紧急指针Urgent Pointer(16bit)选项选项 Options(0或多个或多个32bit字字

17、)数据数据Data(可选可选)2023/7/3135计算机硬件及网络网络安全20防火墙UDP头部UDP源端口源端口UDP宿端口宿端口UDP长度长度UDP校验和校验和16bit16bit最小值为最小值为8全全“0”：不选；：不选；全全“1”：校验和为：校验和为0。2023/7/3136计算机硬件及网络网络安全20防火墙包过滤的依据l IP 源地址l IP目的地址l 封装协议(TCP、UDP、或IP Tunnel)l TCP/UDP源端口l TCP/UDP目的端口l ICMP包类型l TCP报头的ACK位l 包输入接口和包输出接口2023/7/3137计算机硬件及网络网络安全20防火墙依赖于服务的

18、过滤多数服务对应特定的端口，例：Telnet、SMTP、POP3分别为23、25、110。如要封锁输入Telnet、SMTP的连接，则Router丢弃端口值为23和25的所有数据包。典型的过滤规则有以下几种：.只允许进来的Telnet会话连接到指定的一些内部主机 .只允许进来的FTP会话连接到指定的一些内部主机 .允许所有出去的Telnet 会话 .允许所有出去的FTP 会话 .拒绝从某些指定的外部网络进来的所有信息2023/7/3138计算机硬件及网络网络安全20防火墙独立于服务的过滤有些类型的攻击很难用基本包头信息加以鉴别，因为独立于服务。要防止这类攻击，需要在过滤规则中考虑其它信息，如：

19、路由表、特定的IP选项、特定的片段偏移等。不依赖于服务的攻击有三类：1 1）源）源IP地址欺骗攻击地址欺骗攻击入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包；这些信息包似乎像包含了一个内部系统的源IP地址。如果这些信息包到达Router的外部接口，则舍弃每个含有这个源IP地址的信息包，就可以挫败这种源欺骗攻击。2023/7/3139计算机硬件及网络网络安全20防火墙2 2）源路由攻击）源路由攻击攻击者为信息包指定一个穿越Internet的路由，这类攻击企图绕过安全措施，并使信息包沿一条意外(疏漏)的路径到达目的地。可以通过舍弃所有包含这类源路由选项的信息包方式，来挫败这类攻击。3

20、3）残片攻击）残片攻击入侵者利用IP分段特性生成一个极小的片断并将TCP报头信息肢解成一个分离的信息包片断，使数据包绕过用户定义的过滤规则。黑客希望过滤路由器只检查第一分段，而允许其它分段通过。通过舍弃所有协议类型为TCP、IP报头中Fragment Offset=1的数据包，即可挫败残片的攻击。2023/7/3140计算机硬件及网络网络安全20防火墙推荐的过滤规则n任何进入内网的数据包不能将内部地址作为源地址n任何进入内网的数据包必须将内部地址作为目标地址n任何离开内网的数据包必须将内部地址作为源地址n任何离开内网的数据包不能将内部地址作为目标地址n任何进入或离开内网的数据包不能把一个私有地

21、址或者127.0.0.0/8作为源或目标地址n保留、DHCP自动配置和多播地址也要被阻塞：0.0.0.0/8 169.254.0.0/16 192.0.2.0/24 224.0.0.0/4 240.0.0.0/42023/7/3141计算机硬件及网络网络安全20防火墙包过滤路由器的优点1、实现包过滤几乎不再需要费用。这些特点都包含再标准的路由器软件中。绝大多数Internet防火墙系统只用一个包过滤路由器.2、执行PACKET FILTER 所用的时间很少或几乎不需要什么时间。因为Internet 访问一般被提供给一个WAN接口。如果通信负载适中且定义的过滤很少的话,则对路由性能没有多大影响.

22、3、包过滤路由器对终端用户和应用程序是透明的,因此不需要专门的用户培训或在每主机上设置特别的软件.2023/7/3142计算机硬件及网络网络安全20防火墙包过滤路由器的局限性1、定义包过滤器的工作复杂,要了解Internet各种服务、包头格式和每个域查找的特定值。管理困难。2、通过路由器的数据包有可能被用于数据驱动攻击3、过滤器数目增加，路由器吞吐量下降4、无法对流动的信息提供全面控制。不能理解上下文。5、一些应用协议不适合于包过滤，如：RPC、FTP等。6、日志能力较弱。不能报告谁企图入侵。7、难以针对用户实施安全策略。2023/7/3143计算机硬件及网络网络安全20防火墙代理服务技术 该

23、技术它能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的连接，由两个代理服务器之间的连接来实现，外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用。此外，代理服务器也对过往的数据包进行分析、记录、形成报告，当发现攻击迹象时会向网络管理员发出警告，并保留攻击痕迹。2023/7/3144计算机硬件及网络网络安全20防火墙代理服务技术2023/7/3145计算机硬件及网络网络安全20防火墙应用层网关 应 用 层 网 关（Application Level Gateways）技术是在网络的应用层上实现协议过滤和转发功能。它针对特定的网络应用服务协议，

24、如：超文本传输协议(HTTP)、远程文件传输协议(FTP)等，使用指定的数据过滤规则。并在过滤的同时，对数据包进行必要的分析、记录和统计，形成报告。记录和控制所有进出流量是应用层网关的一个主要优点。2023/7/3146计算机硬件及网络网络安全20防火墙应用层上的过滤应用层上的过滤2023/7/3147计算机硬件及网络网络安全20防火墙应用层网关2023/7/3148计算机硬件及网络网络安全20防火墙电路层网关(Circuit Gateway)电路网关工作在OSI的会话层。分组地址是一个应用层的用户进程。电路网关在两个通信端点之间复制字节。电路网关包含有支持某些TCP/IP应用的程序代码，但通

25、常是有限的。电路网关适于限制内部网对外部的访问，但不能实施协议过滤。从电路网关出来的连接好象都是从防火墙产生的，故可以隐藏内部网络信息。电路网关与包过滤相似，但比包过滤高两层，安全性更好。2023/7/3149计算机硬件及网络网络安全20防火墙电路层网关2023/7/3150计算机硬件及网络网络安全20防火墙一个例子用包过滤路由器封锁所有输入Telnet和Ftp 连接的网点。路由器允许Telnet和Ftp包只通过一个主系统，即Telnet/Ftp应用网关，然后再连接到目的主系统：1.用户首先把TelnetTelnet连接到应用网关连接到应用网关，并输入内部主系统名字；2.网关检验用户的源IP地

26、址，并根据访问准则接受或拒绝；3.用户可能需要证明自己的身份（可使用一次性口令装置）；4.代理服务软件在网关和内部主系统之间建立网关和内部主系统之间建立TelnetTelnet连接连接；5.代理服务软件在两个连接之间传送数据；6.应用网关记录连接情况。2023/7/3151计算机硬件及网络网络安全20防火墙代理服务的优点1）易于配置 软件实现，界面友好2）日志记录，便于分析3）灵活控制进出流量、内容(who、what、where、when)例如，可以过滤协议。为防止用户向匿名FTP服务器写数据，可拒绝使用FTP 协议中的 put 命令；能过滤数据内容：文本过滤、图像过滤、病毒扫描等。4）为用户

27、提供透明的加密机制 VPN5）便于与其它安全手段集成认证 授权 加密 TLS协议2023/7/3152计算机硬件及网络网络安全20防火墙代理服务的缺点n速度慢：检查内容；转发/响应n代理对用户不透明 对客户端要定制软件或改动；如何跨平台；代理服务难以让可户非常满意n不能改进底层协议的安全 IP欺骗 SYN泛滥 拒绝服务攻击n有可能受到协议漏洞的威胁2023/7/3153计算机硬件及网络网络安全20防火墙包过滤与代理的结合为提高安全性，将包过滤方法与应用代理的方法结合起来，形成复合型防火墙产品。有两种方案。1)屏蔽主机防火墙体系结构：在该结构中，包过滤路由器或防火墙与Internet相连，同时一

28、个堡垒机安装在内部网络，通过在包过滤路由器或防火墙上过滤规则的设置，使堡垒机成为Internet上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。2023/7/3154计算机硬件及网络网络安全20防火墙2)屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个包过滤路由器放在这一子网的两端，使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和包过滤路由器共同构成了整个防火墙的安全基础。代理服务器及防火墙软件包：WingateMicrosoft Proxy Server2023/7/3155计算机硬件及网络网络安全20防火墙用户眼中

29、的代理免费代理出现原因：系统漏洞；管理员设置的代理；ISP提高影响，在一段时间内开发的代理。代理服务器的设置IE中：工具Internet选项连接局域网设置2023/7/3156计算机硬件及网络网络安全20防火墙防火墙的现状n第一代 包过滤(Packet Filter)1983年n第二代 电路层网关 1989年 应用层网关 代理服务 1990年n第三代 动态包过滤 状态监视 1992年n第四代 自适应代理 1998年2023/7/3157计算机硬件及网络网络安全20防火墙防火墙的发展趋势n优良的性能 速度瓶颈n易扩展 支持NAT VPN等n过滤深度加强，URL(页面)过滤、关键字过滤、Activ

30、eX过滤、病毒扫描等n主动检测与报警n日志分析工具2023/7/3158计算机硬件及网络网络安全20防火墙防火墙产品介绍n以色列Checkpoint公司的Fire Wall-1nCisco公司的PIXnNAI公司的GauntletnCyberGuard 公司的Fire Walln个人防火墙：澳大利亚的Secure PC 加拿大的ConSeal PC 美国的Cyber Patrol 中国的“天网”、“网络卫士”、“蓝盾”2023/7/3159计算机硬件及网络网络安全20防火墙天网防火墙2023/7/3160计算机硬件及网络网络安全20防火墙天网防火墙安全规则设置 这是系统最重要，也是最复杂的地方

31、。可以非常灵活的设计合适自己使用的规则。规则是一系列的比较条件和一个对数据包的动作，就是根据数据包的每一个部分来与设置的条件比较，当符合条件时，就可以确定对该包放行或者阻挡。通过合理的设置规则就可以把有害的数据包挡在你的机器之外。2023/7/3161计算机硬件及网络网络安全20防火墙工工具具条条：点击上面的按钮来导入，增加，修改，删除规则。由于规则判断是由上而下的，可以通过点击调“规则上下移动”按钮调整规则的顺序，当调整好顺序后，可按保存按钮保存修改。当规则增加或修改后，为了让这些规则生效，还要点击”应用新规则“按钮。规规则则列列表表：列出了所有的规则的名称，该规则所对应的数据包的方向，该规

32、则所控制的协议，本机端口，对方地址和对方端口，以及当数据包满足本规则时所采取的策略。在列表的左边为该规则是否有效的标志，标记为钩表示改规则有效，否则表示无效。当改变这些标志后，按保存键。2023/7/3162计算机硬件及网络网络安全20防火墙天网防火墙2023/7/3163计算机硬件及网络网络安全20防火墙天网防火墙2023/7/3164计算机硬件及网络网络安全20防火墙数据访问控制主体，客体，访问权主体，客体，访问权访问控制序列能力票据2023/7/3165计算机硬件及网络网络安全20防火墙可信系统ninformation security is increasingly important

33、 nhave varying degrees of sensitivity of informationqcf military info classifications:confidential,secret etc nsubjects(people or programs)have varying rights of access to objects(information)nknown as multilevel securityqsubjects have maximum¤t security level qobjects have a fixed security le

34、vel classification nwant to consider ways of increasing confidence in systems to enforce these rights2023/7/3166计算机硬件及网络网络安全20防火墙Bell LaPadula(BLP)模型n最著名的安全模型之一n作为系统中的强制策略n两个关键策略:q禁止向上读禁止向上读q禁止向下写禁止向下写2023/7/3167计算机硬件及网络网络安全20防火墙参考监视器2023/7/3168计算机硬件及网络网络安全20防火墙2023/7/3169计算机硬件及网络网络安全20防火墙小结q防火墙q防火墙的种类q防火墙的体系结构q访问控制q可信系统2023/7/3170计算机硬件及网络网络安全20防火墙第20章作业n思考题112n习题，第1题2023/7/3171计算机硬件及网络网络安全20防火墙