1、安全連入Internet：防火墻防火墻的工作原理與布置第1頁(yè)，共64頁(yè)。背景Internet的設(shè)計(jì)就是為資源共享為目標(biāo)的用戶數(shù)量的增加，惡劣的用戶也在增加許多TCP/IP的服務(wù)有漏洞，特別網(wǎng)管服務(wù)竊聽(tīng)和假冒比較容易服務(wù)策略的缺乏導(dǎo)致許多不需要的服務(wù)開(kāi)放存取控制設(shè)置復(fù)雜導(dǎo)致安全漏洞防火墻：一個(gè)經(jīng)濟(jì)的解決方案第2頁(yè)，共64頁(yè)。本節(jié)內(nèi)容Internet及其安全防火墻的基本知識(shí)防火墻的功能分類(lèi)防火墻的布置與環(huán)境第3頁(yè)，共64頁(yè)。Internet及其安全I(xiàn)nternet的基本協(xié)議Internet的基本服務(wù)與安全相關(guān)的問(wèn)題第4頁(yè)，共64頁(yè)。Internet以TCP/IP協(xié)議為基礎(chǔ)初始目標(biāo)是在研究人員之間進(jìn)

2、行通信（原型系統(tǒng)為ARPANET，DARPA資助）1980后迅速推廣到教育、政府、商業(yè)與國(guó)際機(jī)構(gòu)目前一般用戶為商業(yè)用戶成為了國(guó)家信息基礎(chǔ)設(shè)施（NII）第5頁(yè)，共64頁(yè)。Internet提供的基本服務(wù)SMTP：簡(jiǎn)單郵件傳送協(xié)議Simple Mail Transfer ProtocolTELNET：對(duì)遠(yuǎn)地主機(jī)的基本的終端仿真FTP：文件傳送協(xié)議File Transfer ProtocolDNS：域名系統(tǒng)Domain Name Service信息提供服務(wù)Gopher、WAIS、WWW/http進(jìn)程調(diào)用服務(wù)第6頁(yè)，共64頁(yè)。Internet主機(jī)操作系統(tǒng)的特點(diǎn)就是并行和共享Unix系統(tǒng)Sun, IBM,

3、 LinuxWindows系統(tǒng)NT, XP, 2000VMS、AS400、其他系統(tǒng)OS/2，Macintosh第7頁(yè)，共64頁(yè)。網(wǎng)絡(luò)分層的思路書(shū)信郵件的例子應(yīng)用：信的內(nèi)容與將來(lái)如何投遞沒(méi)有關(guān)系網(wǎng)絡(luò)：加信封，信封及地址與如何投遞沒(méi)有關(guān)系物理：加郵包，運(yùn)郵件的車(chē)跟具體信封地址沒(méi)有關(guān)系兩個(gè)人的合同談判翻譯秘書(shū)傳真第8頁(yè)，共64頁(yè)。郵件示意信件信件第9頁(yè)，共64頁(yè)。合同談判英語(yǔ)：I like德語(yǔ)：I likeFax to: 德語(yǔ)：I likeFax from: 德語(yǔ)：I like德語(yǔ)：I like中文：I like第10頁(yè)，共64頁(yè)。英語(yǔ)：I like德語(yǔ)：I likeFax to: 德語(yǔ)：I lik

4、eFax from: 德語(yǔ)：I like德語(yǔ)：I like中文：I like合同談判第11頁(yè)，共64頁(yè)。網(wǎng)絡(luò)的視角-系統(tǒng)互連(OSI)第一層：物理層 Physical第二層：數(shù)據(jù)鏈路 Data Link第三層：網(wǎng)絡(luò)層 Network第四層：傳輸層 Transport第五層：會(huì)話 Session第六層：表示層 Presentation第七層：應(yīng)用層 Application第12頁(yè)，共64頁(yè)。網(wǎng)絡(luò)中的數(shù)據(jù)傳送物理層鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層物理層鏈路層網(wǎng)絡(luò)層第13頁(yè)，共64頁(yè)。TCP/IP協(xié)議層次結(jié)構(gòu)物理/數(shù)據(jù)鏈路層 (Ethernet)網(wǎng)絡(luò)層 Network (IP, ICMP)傳輸層

5、 Transport (TCP, UDP)應(yīng)用層 Application (FTP, Telnet, DNS, NFS, PING)第14頁(yè)，共64頁(yè)。ARP：Address Resolution Protocol地址解析協(xié)議IP數(shù)據(jù)包發(fā)送前查找對(duì)應(yīng)IP地址主機(jī)的物理地址在網(wǎng)絡(luò)上廣播ARP請(qǐng)求緩存已經(jīng)找到的硬件地址參見(jiàn)RFC826第15頁(yè)，共64頁(yè)。ICMP互連網(wǎng)控制報(bào)文協(xié)議Internet Control Message Protocol用于傳送錯(cuò)誤和控制報(bào)文，控制IP協(xié)議主機(jī)關(guān)閉/網(wǎng)關(guān)阻塞或不通/其他故障PING是一個(gè)著名的應(yīng)用RFC792第16頁(yè)，共64頁(yè)。IP (Internet Pr

6、otocol)協(xié)議接收物理層（Ethernet）發(fā)來(lái)的數(shù)據(jù)將數(shù)據(jù)傳送到高層協(xié)議，如TCP、UDP不可靠的數(shù)據(jù)報(bào)協(xié)議不保障報(bào)文順序，不檢查錯(cuò)誤，不保證對(duì)方收到包含源IP地址和目的IP地址Source Address & Destination Address上層協(xié)議（TCP、UDP）認(rèn)為這些地址都是正確的，不對(duì)原IP地址進(jìn)行認(rèn)證。RFC760第17頁(yè)，共64頁(yè)。TCP協(xié)議Transmission Control ProtocolIP數(shù)據(jù)報(bào)包含了封裝的TCP報(bào)文通過(guò)連接建立和報(bào)文序號(hào)以及檢錯(cuò)編碼保證數(shù)據(jù)完整性TCP協(xié)議將數(shù)據(jù)送往應(yīng)用層處理TELNET，F(xiàn)TP，X Window，SMTP等都是基于有

7、連接的TCP協(xié)議第18頁(yè)，共64頁(yè)。UDP協(xié)議User Datagram Protocol與TCP在同一個(gè)層次，直接為應(yīng)用服務(wù)不檢錯(cuò)，不重發(fā)，不排序無(wú)連接的協(xié)議NTP, DNS使用UDP第19頁(yè)，共64頁(yè)。TCP/UDP的地址結(jié)構(gòu)源IP地址（32bits）源端口(16bits)目的IP地址目的端口第20頁(yè)，共64頁(yè)。一個(gè)連接的例子Telnet服務(wù)器運(yùn)行在上，在端口23上聽(tīng)是否有連接請(qǐng)求Telnet客戶端在中申請(qǐng)了一個(gè)未用的端口，如3987，然后向服務(wù)器發(fā)連接請(qǐng)求當(dāng)連接成功后，雙方都記下自己以及對(duì)方的地址和端口。:3987 :23第21頁(yè)，共64頁(yè)。Internet上安全事件不斷服務(wù)安全問(wèn)題/協(xié)

8、議安全問(wèn)題Sendmail、Free FTP發(fā)現(xiàn)漏洞Telnet/FTP/X window易于竊聽(tīng)蠕蟲(chóng)病毒泛濫主機(jī)配置錯(cuò)誤導(dǎo)致的安全問(wèn)題弱口令、口令破解程序、NFS協(xié)議不能認(rèn)證用戶管理人員的變動(dòng)和水平第22頁(yè)，共64頁(yè)。一些安全問(wèn)題：竊聽(tīng)、假冒IP假冒，同一網(wǎng)段內(nèi)，改就行原路徑問(wèn)題（source route）改變IP設(shè)計(jì)原路徑發(fā)送請(qǐng)求獲得回應(yīng)Email假冒，不僅是地址，而且還從正確的服務(wù)器來(lái)。第23頁(yè)，共64頁(yè)。Internet及其安全總結(jié)Internet是以TCP/IP協(xié)議為基礎(chǔ)的ARP, IP, TCP, UDP, ICMPISO的七層開(kāi)放系統(tǒng)模型與Internet的5層模型數(shù)據(jù)傳送方法I

9、nternet很不安全協(xié)議本身，服務(wù)，配置以及系統(tǒng)本身第24頁(yè)，共64頁(yè)。防火墻的基本知識(shí)防火墻的主要目標(biāo)是控制對(duì)一個(gè)受保護(hù)網(wǎng)絡(luò)的訪問(wèn)，強(qiáng)迫所有連接都接受防火墻的檢查和評(píng)估?？梢允锹酚善?、計(jì)算機(jī)或一群計(jì)算機(jī)。防火墻通過(guò)邊界控制保護(hù)整個(gè)網(wǎng)絡(luò)，而不需要對(duì)每個(gè)網(wǎng)內(nèi)的主機(jī)進(jìn)行單獨(dú)的保護(hù)，為內(nèi)網(wǎng)仍舊可以采用相互信任的模式提供了一定的安全基礎(chǔ)。第25頁(yè)，共64頁(yè)。防火墻能夠做什么保護(hù)內(nèi)網(wǎng)有漏洞的服務(wù)控制對(duì)內(nèi)網(wǎng)系統(tǒng)的訪問(wèn)將安全問(wèn)題集中解決增加隱私保護(hù)內(nèi)網(wǎng)系統(tǒng)不可見(jiàn)審計(jì)和統(tǒng)計(jì)網(wǎng)絡(luò)使用和錯(cuò)誤強(qiáng)制執(zhí)行統(tǒng)一的安全策略第26頁(yè)，共64頁(yè)。防火墻的缺陷?外網(wǎng)獲得內(nèi)網(wǎng)的服務(wù)不如原來(lái)方便后門(mén)并沒(méi)有完全堵住通過(guò)MODEM的外

10、撥通過(guò)MODEM的內(nèi)撥內(nèi)部攻擊者無(wú)法防止逃避防火墻的監(jiān)管其他問(wèn)題新的攻擊，數(shù)據(jù)驅(qū)動(dòng)的攻擊，新的病毒，通信瓶頸，依賴（all eggs in single basket）第27頁(yè)，共64頁(yè)。防火墻運(yùn)行的網(wǎng)絡(luò)層次數(shù)據(jù)鏈路層 (Ethernet)網(wǎng)絡(luò)層 Network (IP, ICMP)傳輸層 Transport (TCP, UDP)應(yīng)用層 Application (FTP, Telnet, DNS, NFS, PING)簡(jiǎn)單防火墻運(yùn)行的層次少，而復(fù)雜防火墻運(yùn)行的層次就多第28頁(yè)，共64頁(yè)。防火墻的功能分類(lèi)包過(guò)濾防火墻狀態(tài)檢查機(jī)制防火墻應(yīng)用代理網(wǎng)關(guān)防火墻專(zhuān)用代理防火墻混合型防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換基于主

11、機(jī)的防火墻個(gè)人防火墻個(gè)人防火墻設(shè)備第29頁(yè)，共64頁(yè)。包過(guò)濾防火墻最基本的防火墻功能包含有許多過(guò)濾規(guī)則最基本的工作模式是工作在第二，第三層存取控制一般基于以下參數(shù)原地址：數(shù)據(jù)包從哪里來(lái)目標(biāo)地址：數(shù)據(jù)包要進(jìn)入哪個(gè)系統(tǒng)通信類(lèi)型：通信協(xié)議，IP、IPX或其他協(xié)議其他信息，IP數(shù)據(jù)包頭的其他信息第二層工作可以增加冗余和完成負(fù)載均衡第30頁(yè)，共64頁(yè)。邊界路由器包過(guò)濾Boundary Router Packet FilterISP邊界路由器包過(guò)濾外部DMZ受保護(hù)的內(nèi)網(wǎng)主防火墻demilitarized zone第31頁(yè)，共64頁(yè)。包過(guò)濾防火墻特點(diǎn)非?？?，可以安裝在最外的邊界上根據(jù)策略，如阻止SNMP,允

12、許HTTP可能的弱點(diǎn)應(yīng)用相關(guān)的漏洞沒(méi)有辦法保護(hù)審計(jì)不夠詳細(xì)無(wú)法支持高級(jí)的用戶認(rèn)證無(wú)法防止高級(jí)攻擊，如IP地址假冒目前，很難找到只有包過(guò)濾功能的防火墻路由器，SOHO防火墻，操作系統(tǒng)自帶的防火墻第32頁(yè)，共64頁(yè)。包過(guò)濾防火墻的過(guò)濾規(guī)則原地址原端口目標(biāo)地址目標(biāo)端口操作說(shuō)明AnyAny1024Allow回答AnyAnyAnyAllow內(nèi)訪外AnyAnySMTPAllow郵件AnyAnyHTTPAllowWebAnyAnyAnyAnyDeny拒絕第33頁(yè)，共64頁(yè)。過(guò)濾規(guī)則動(dòng)作：允許(Accept/Allow)拒絕(Deny)丟棄(Discard)規(guī)則間的關(guān)系凡是沒(méi)有定義的就禁止允許？一條禁止和一條

13、允許禁止還是允許？一般：不要忘記最后禁止所有的通信外出通信和進(jìn)入通信同等重要第34頁(yè)，共64頁(yè)。狀態(tài)檢查防火墻Stateful Inspection Firewalls工作在2，3，4層不是簡(jiǎn)單開(kāi)放大于1023的端口而是記住每個(gè)TCP連接或UDP通信的狀態(tài)109880Established6104625Established81356580Established第35頁(yè)，共64頁(yè)。應(yīng)用代理網(wǎng)關(guān)防火墻Application-Proxy Gateway Firewalls代理網(wǎng)關(guān)防火墻主要工作在應(yīng)用層(2,3,4,7)部分語(yǔ)義的檢查可以進(jìn)行用戶認(rèn)證身份認(rèn)證,基于生物特征的認(rèn)證可以進(jìn)行原地址檢查不足

14、慢,不適合快速網(wǎng)絡(luò)針對(duì)新的應(yīng)用,升級(jí)麻煩第36頁(yè)，共64頁(yè)。一個(gè)代理網(wǎng)關(guān)防火墻的例子DNSFingerFTPHTTPHTTPSLDAPNNTPSMTPTelnet內(nèi)網(wǎng)外網(wǎng)Proxy Agent第37頁(yè)，共64頁(yè)。代理網(wǎng)關(guān)的運(yùn)行步驟用戶Telnet網(wǎng)關(guān)并輸入內(nèi)部主機(jī)名網(wǎng)關(guān)檢查用戶的IP地址決定是否允許連接網(wǎng)關(guān)要求用戶進(jìn)行認(rèn)證，可以是基于硬件的或生物基礎(chǔ)的代理服務(wù)建立一個(gè)從代理到內(nèi)部主機(jī)的Telnet連接代理在這兩個(gè)連接中傳輸數(shù)據(jù)網(wǎng)關(guān)記錄這次連接第38頁(yè)，共64頁(yè)。專(zhuān)用代理防火墻Dedicated Proxy Servers第39頁(yè)，共64頁(yè)?；旌系姆阑饓ybrid Firewall現(xiàn)有的防火墻

15、基本都是混合功能的配置，安裝更加復(fù)雜考察功能參數(shù)就很重要后面介紹防火墻的一些其他基本功能第40頁(yè)，共64頁(yè)。NAT:網(wǎng)絡(luò)地址轉(zhuǎn)換Network Address Traslation目的：隱藏內(nèi)部網(wǎng)絡(luò)地址減少真實(shí)IP地址的使用方法：靜態(tài)地址轉(zhuǎn)換（Static NAT）隱藏網(wǎng)絡(luò)地址轉(zhuǎn)換(Hiding NAT)端口地址轉(zhuǎn)換(Port Address Translation)第41頁(yè)，共64頁(yè)。防火墻功能總結(jié)包過(guò)濾防火墻狀態(tài)檢查機(jī)制防火墻應(yīng)用代理網(wǎng)關(guān)防火墻專(zhuān)用代理防火墻混合型防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換基于主機(jī)的防火墻個(gè)人防火墻個(gè)人防火墻設(shè)備第42頁(yè)，共64頁(yè)。防火墻的布置與環(huán)境布置防火墻及環(huán)境的四條建議非軍事

16、區(qū)(DMZ)VPN及其的布置IDSDNS一個(gè)服務(wù)器布放的例子第43頁(yè)，共64頁(yè)。布置防火墻的建議（NIST Guidelines）越簡(jiǎn)單越好(Keep It Simple)不要追求復(fù)雜方案,要能夠易懂才能易于管理和維護(hù),和進(jìn)行事件處理；復(fù)雜必然不安全。按照設(shè)計(jì)使用設(shè)備不要用路由器中的包過(guò)濾當(dāng)防火墻，不要指望交換機(jī)中的安全機(jī)制。這樣容易錯(cuò)誤地配置設(shè)計(jì)有深度的防御(Defense in Depth)安全分層：路由安全，多防火墻墻，操作系統(tǒng)注意內(nèi)部威脅并非懷疑同事的攻擊，攻擊可能越過(guò)Firewall第44頁(yè)，共64頁(yè)。重要建議所有的規(guī)則都會(huì)被打破在防火墻布置時(shí)牢記在防火墻設(shè)計(jì)時(shí)牢記各自的系統(tǒng)有各自的

17、需求，應(yīng)該具針對(duì)具體應(yīng)用設(shè)計(jì)有針對(duì)性的防火墻的布置第45頁(yè)，共64頁(yè)。DMZ網(wǎng)絡(luò)(DeMilitarized Zone)ISP邊界包過(guò)濾防火墻受保護(hù)內(nèi)網(wǎng)外部DMZ網(wǎng)絡(luò)外部WEB服務(wù)器主防火墻內(nèi)部DMZ網(wǎng)絡(luò)內(nèi)網(wǎng)防火墻內(nèi)部郵件服務(wù)器第46頁(yè)，共64頁(yè)。另一種DMZ網(wǎng)絡(luò)ISP邊界包過(guò)濾防火墻外部DMZ網(wǎng)絡(luò)應(yīng)用代理服務(wù)器主防火墻服務(wù)DMZ網(wǎng)絡(luò)受保護(hù)內(nèi)網(wǎng)第47頁(yè)，共64頁(yè)。VPN (Virtual Private Network)VPN Gateway內(nèi)部網(wǎng)絡(luò)Internet第48頁(yè)，共64頁(yè)。VPN的類(lèi)型PPTP (Point-to-point Tunneling Protocol)用戶到NAS之間的

18、連接保密口令機(jī)制CHAPL2TP (Layer2 Tunneling Protocol)第二層安全，IPSEC (Internet Protocol Security)最完善的安全機(jī)智第49頁(yè)，共64頁(yè)。VPN與專(zhuān)用網(wǎng)相比的優(yōu)勢(shì)租線路昂貴無(wú)須專(zhuān)用接入設(shè)備移動(dòng)時(shí)節(jié)約長(zhǎng)途電話開(kāi)銷(xiāo)大規(guī)模造成的復(fù)雜問(wèn)題不存在管理更容易擴(kuò)展方便第50頁(yè)，共64頁(yè)。VPN與專(zhuān)用網(wǎng)相比的優(yōu)勢(shì)的缺點(diǎn)設(shè)備成本，如果需要高性能的話技術(shù)門(mén)檻，維護(hù)和管理開(kāi)銷(xiāo)法律問(wèn)題性能問(wèn)題，服務(wù)質(zhì)量第51頁(yè)，共64頁(yè)。IPSEC的主要內(nèi)容IP Authentication Header (AH)IP Encapsulating Security P

19、ayload (ESP)IP Payload compression (IPComp)Internet Key Exchange (IKE)第52頁(yè)，共64頁(yè)。IPSec的兩種工作模式傳輸模式用于主機(jī)之間的通信IP地址不變，只加密內(nèi)容隧道模式主要用于有Gateway參與的通信加密所有的內(nèi)容，包括原IP頭第53頁(yè)，共64頁(yè)。VPN的布置內(nèi)網(wǎng)Internet內(nèi)網(wǎng)Internet內(nèi)網(wǎng)Internet第54頁(yè)，共64頁(yè)。IDS（Intrusion Detection System）能夠與防火墻連動(dòng)基于主機(jī)的IDS裝在主機(jī)上，可檢測(cè)高層攻擊，影響性能，不能檢測(cè)網(wǎng)絡(luò)型攻擊，使系統(tǒng)不穩(wěn)定。基于網(wǎng)絡(luò)的IDS協(xié)議分析，更有效，分段攻擊檢測(cè)困難，在交換型網(wǎng)絡(luò)上運(yùn)行困難，可能被發(fā)現(xiàn)（網(wǎng)卡運(yùn)行模式問(wèn)題），DOS攻擊第55頁(yè)，共64頁(yè)。防火墻與IDS聯(lián)合布置ISP邊界包過(guò)濾防火墻受保護(hù)內(nèi)網(wǎng)外部DMZ網(wǎng)絡(luò)外部WEB服務(wù)器主防火墻內(nèi)部DMZ網(wǎng)絡(luò)內(nèi)網(wǎng)防火墻內(nèi)部