2024/8/144.2.1防火墻體系結構基于網(wǎng)絡防火墻的部件類型屏蔽路由器（Screeningrouter）實施分組過濾能夠阻斷網(wǎng)絡與某一臺主機的IP層的通信堡壘主機（Bastionhost）一個網(wǎng)絡系統(tǒng)中安全性最強的計算機系統(tǒng)安全性受到最嚴密的監(jiān)視沒有保護的信息不能作為跳板實施分組代理2024/8/14網(wǎng)絡防火墻體系結構雙重宿主機體系結構基于堡壘主機屏蔽主機體系結構基于堡壘主機和屏蔽路由器被屏蔽子網(wǎng)體系結構雙重屏蔽路由器2024/8/14雙重宿主主機(dual-homedhost)連接因特網(wǎng)和局域網(wǎng)過濾和代理2024/8/14屏蔽主機(ScreenedHost)用包過濾和應用代理的雙重安全保護包過濾器連接因特網(wǎng)代理服務器為局域網(wǎng)上的客戶機提供服務2024/8/14屏蔽子網(wǎng)(ScreenedSubnet)添加額外的安全層進一步地把內(nèi)部網(wǎng)絡與Internet隔離開DMZ2024/8/144.2.2防火墻的安全策略安全策略的兩個層次網(wǎng)絡服務訪問策略防火墻設計策略設計策略用戶賬號策略用戶權限策略信任關系策略分組過濾策略認證、簽名和數(shù)據(jù)加密策略密鑰管理策略審計策略2024/8/14用戶賬號策略口令最小長度口令最長有效期口令歷史口令存儲方式用戶賬號鎖定方式在若干次口令錯誤之后2024/8/14用戶權限策略備份文件權限遠程/本地登錄訪問權限遠程/本地關機權限更改系統(tǒng)時間權限管理日志權限刪除/還原文件權限設置信任關系權限卷管理權限安裝/卸載設備驅動程序權限2024/8/14審計策略成功或者不成功的登錄事件成功或者不成功的對象訪問成功或者不成功的目錄服務訪問成功或者不成功的特權使用成功或者不成功的系統(tǒng)事件成功或者不成功的賬戶管理事件2024/8/144.2.3防火墻技術分組過濾技術依據(jù)IP分組的源地址和目的地址源端口號和目的端口號傳送協(xié)議優(yōu)點可以實現(xiàn)粗顆粒的網(wǎng)絡安全策略容易實現(xiàn)配置成本低速度快局限性配置分組過濾規(guī)則比較困難不能識別分組中的用戶信息不能抵御IP地址欺騙2024/8/14例4-1某一個具有B類網(wǎng)絡123.45的公司的網(wǎng)絡管理員希望阻止來自因特網(wǎng)上的訪問(123.45/16)。該網(wǎng)絡中有一個特殊子網(wǎng)(/24)是一個與某大學合作的，該大學的網(wǎng)址是135.79。他希望這個特殊的子網(wǎng)能夠被該大學的所有子網(wǎng)訪問。此外還希望阻止公司的網(wǎng)絡被大學中某一個特殊子網(wǎng)(/24)訪問。試設計制訂過濾規(guī)則。2024/8/14解某一個具有B類網(wǎng)絡123.45的公司的網(wǎng)絡管理員希望阻止來自因特網(wǎng)上的訪問(123.45/16)。該網(wǎng)絡中有一個特殊子網(wǎng)(/24)是一個與某大學合作的，該大學的網(wǎng)址是135.79。他希望這個特殊的子網(wǎng)能夠被該大學的所有子網(wǎng)訪問。此外還希望阻止公司的網(wǎng)絡被大學中某一個特殊子網(wǎng)(/24)訪問。試設計制訂過濾規(guī)則。制訂過濾規(guī)則如下2024/8/14例4-22024/8/14解23：telnet25：SMTP80:web>1023:非系統(tǒng)進程2024/8/14地址過濾配置實例2024/8/14配置結果2024/8/14

問題1DMZ某屏蔽子網(wǎng)的應用代理服務器中，對外接口的IP地址是，對內(nèi)接口的IP地址為。問如何配置包過濾器規(guī)則，使得所有的內(nèi)網(wǎng)與外網(wǎng)的通信都經(jīng)過代理服務器的檢查和傳遞。2024/8/14解答某屏蔽子網(wǎng)的應用代理服務器中，對外接口的IP地址是，對內(nèi)接口的IP地址為。問如何配置包過濾器規(guī)則，使得所有的內(nèi)網(wǎng)與外網(wǎng)的通信都經(jīng)過代理服務器的檢查和傳遞。規(guī)則方向協(xié)議源地址目地址源端口目端口動作AIn----允許Bout----允許C------禁止規(guī)則方向協(xié)議源地址目地址源端口目端口動作Ain----允許Bout----允許C------禁止包過濾器B包過濾器A2024/8/14問題2主機防火墻如何對UDP進行過濾UDP請求可能來自打印機或掃描儀2024/8/14防火墻安全策略的例子AllowallinboundandoutboundICMPAllowinboundTCP445fromhosts–55BlockallinboundTCPBlockallinboundUDPAllowalloutboundTCPAllowalloutboundUDP2024/8/14代理服務技術代理客戶機與服務器之間的一個應用層中介在兩者之間傳遞應用程序的信息可以根據(jù)數(shù)據(jù)包的內(nèi)容進行檢測應用代理的原理隔斷通信雙方的直接聯(lián)系將內(nèi)部網(wǎng)絡與外部網(wǎng)絡從網(wǎng)絡層起分開所有通信都必須經(jīng)應用層的代理進行轉發(fā)用另外的連接和封裝轉發(fā)應用層信息2024/8/14代理服務技術特點安全性較高能夠識別應用層信息數(shù)據(jù)重新封裝應用滯后不支持沒有開發(fā)代理的網(wǎng)絡應用客戶端配置較復雜需要在客戶端進行代理設置要求應用層數(shù)據(jù)中不包含加密、壓縮數(shù)據(jù)Email中做不到代理的實例網(wǎng)絡地址轉換器（NAT）URL過濾器（Web應用層）2024/8/14NAT網(wǎng)絡層/傳輸層代理提供外網(wǎng)IP地址與內(nèi)網(wǎng)地址之間的轉換方便路由匯聚與IPv6網(wǎng)絡連通使得外網(wǎng)地址重用分類靜態(tài)NAT將內(nèi)部地址與外部地址固定地一一對應動態(tài)NAT將多個內(nèi)部地址與同一個外部地址對應（分時使用）通過TCP/UDP端口號區(qū)分（NAPT）IPv4/IPv4NAT

(RFC1631,RFC2663,RFC3022,RFC3235)IPv4/IPv6NAT

(RFC2766,RFC2765,RFC3027)2024/8/14例4-3NATSA=DA=SA=DA=SA=DA=SA=DA=2024/8/14例4-4NAPT2024/8/14NAPT將地址轉換擴展到端口號全轉換FullCone外網(wǎng)隨時可以利用映射后的地址給內(nèi)網(wǎng)發(fā)送UDP報文受限轉換RestrictedCone當內(nèi)網(wǎng)主機向外網(wǎng)發(fā)送數(shù)據(jù)分組后，外網(wǎng)才可以利用映射后的地址給內(nèi)網(wǎng)發(fā)送UDP報文端口受限轉換PortRestrictedCone當內(nèi)網(wǎng)主機向外網(wǎng)發(fā)送數(shù)據(jù)分組后，外網(wǎng)才可以利用映射后相同的地址和端口號給內(nèi)網(wǎng)發(fā)送UDP報文對稱NATSymmetricNAT多個內(nèi)網(wǎng)地址和端口號映射到同一個外網(wǎng)地址當內(nèi)網(wǎng)主機向外網(wǎng)發(fā)送數(shù)據(jù)分組后，外網(wǎng)才可以利用映射后相同的地址和端口號給內(nèi)網(wǎng)發(fā)送UDP報文2024/8/14NAT-PT地址轉換靜態(tài)地將每個IPv6地址轉換成IPv4地址(NAT-PT)動態(tài)地將一個IPv6地址轉換成一定期限的IPv4地址動態(tài)地將一個IPv6地址轉換成IPv4地址和TCP/UDP端口號(NAPT-PT)協(xié)議轉換在IPv4與對應的IPv6分組之間相互轉換IPv4頭與對應的IPv6頭之間的相互轉換TCP/UDP/ICMP校驗和更新ICMPv4頭與ICMPv6頭之間的相互轉換ICMPv4錯誤消息與ICMPv6錯誤消息的相互轉換IPv4senderdoesnotperformpathMTUdiscovery

RFC27652024/8/14ProblemsofNAT

AndrewS.TanenbaumViolatesarchitecturemodelofIPChangestheInternetfromaconnectionlesstoconnection-orientedViolatestheroleofprotocollayeringDoesnotsupportothertransportprotocolDoesnotsupportIPaddressesinthebodyFTPandH.323worksthiswaybreaksmanyIPapplicationsRFC30272024/8/14NAT穿透與語音通信H.323與SIP的共同點傳輸中需要建立兩種通道控制通道媒體通道RTP/RTCP連接使用的UDP端口需要通過協(xié)商確定因為一臺主機可能建立多條媒體通道（多個媒體流）要求防火墻打開所有的端口號發(fā)起呼叫方的IP地址在分組的載荷中根據(jù)這個IP地址發(fā)回的分組將被防火墻阻擋防火墻的穿透問題NAT-FriendlyApplicationDesignGuidelines在分組中不包含IP地址和端口號許多協(xié)議無法根據(jù)這個指導原則構建RFC32352024/8/14NAT穿透與語音通信解決方案應用級網(wǎng)關ALG

(ApplicationLayerGateways)存放應用層信息并用于NAT修改應用層信息中的IP地址需要更新已有的NAT擴展性問題、可靠性問題和新應用布署問題FullProxy由專門的應用層代理對業(yè)務流進行轉發(fā)代理在防火墻的外部對載荷中的IP地址進行處理對應答分組中的IP地址進行轉換NAT2024/8/14TraverseaFirewallMIDCOM

MiddleboxCommunicationsprotocol采用應用代理與NAT通信允許一個應用實體控制NAT需要更新當前的NAT和防火墻

RFC3303STUNSimpletraversalofUDPthroughNAT使得應用程序能發(fā)現(xiàn)NAT和防火墻的存在通過發(fā)送綁定請求給STUN服務器并比較應答中的IP地址和端口號使得應用程序發(fā)現(xiàn)映射的地址和端口號確定NAT的地址映像把映射后的地址放在分組載荷中RFC34892024/8/14TraverseaFirewall

建立高層隧道FirewallEnhancementProtocol(FEP)allowsANYapplicationtotraverseaFirewall可以使用固定的端口號TCP/IPpacketencodedintoHTTPcommandRFC3093AppTCPIPFEPTCPIPIPTCPFEPIPTCPAppfirewall局限性？2024/8/14TraverseaFirewallIPsecFirewalltraversal為IPsec穿越NAT而建立的UDP隧道theinitiatorisbehindNA(P)TandtheresponderhasafixedstaticIPaddressPortno=4500TheremotehostdetectthepresenceofNATanddeterminetheNATtraversalcapabilitydetectwhethertheIPaddressortheportchangesalongthepathbysendingthehashesoftheIPaddressesandportsUDPEncapsulationofIPsecESPPacketsRFC3948NegotiationofNAT-TraversalintheIKERFC39472024/8/14狀態(tài)檢測技術會話層代理基于入侵檢測能夠根據(jù)上層協(xié)議的狀態(tài)進行過濾對網(wǎng)絡通信的各個協(xié)議層次實施監(jiān)測不僅檢查數(shù)據(jù)分組的TCP/IP頭利用狀態(tài)表跟蹤每一個會話的狀態(tài)記錄會話的序列透明性較好不修改應用程序的執(zhí)行過程和處理步驟2024/8/14基于網(wǎng)絡防火墻的不足之處基于分組網(wǎng)絡頭信息容易被篡改無雙向的身份驗證粗顆粒的訪問控制防外不防內(nèi)不能防止旁路不能預防新的攻擊手段不能防范病毒和后門2024/8/14新型防火墻技術可信信息系統(tǒng)技術加強認證計算機病毒檢測防護技術和密碼技術加強應用層數(shù)據(jù)檢查自適應代理適應新的應用新功能spam過濾Web站點過濾2024/8/144.3入侵檢測識別越權使用計算機系統(tǒng)的人員及其活動網(wǎng)絡活動監(jiān)視器基本假設入侵者的行為方式與合法用戶是不同的目標發(fā)現(xiàn)新的入侵行為對入侵事件的可說明性能夠對入侵事件做出反應2024/8/14入侵檢測方法記錄有關證據(jù)實時地檢測網(wǎng)絡中的所有分組或檢測主機的狀態(tài)及日志或審計信息識別攻擊的類型評估攻擊的威脅程度發(fā)出告警信息或主動采取措施阻止攻擊入侵防御2024/8/144.3.1入侵分類攻擊的方式本地攻擊遠程攻擊偽遠程攻擊網(wǎng)絡上的安全弱點管理漏洞軟件漏洞結構漏洞信任漏洞跳板（Zombie）

2024/8/14常見網(wǎng)絡入侵類型拒絕服務攻擊網(wǎng)絡流量攻擊阻斷協(xié)議攻擊基于網(wǎng)絡竊取、偽造、篡改、阻斷用戶賬號攻擊基于主機竊取、偽造、篡改2024/8/14網(wǎng)絡入侵的方式端口掃描（portscanning）IP哄騙（IPsmurfing）洪泛攻擊（flooding）緩存溢出（bufferoverrun）腳本攻擊（scriptattack）口令探測（passwordsniffing）會話劫持（sessionhijacking）2024/8/14網(wǎng)絡入侵的例子Land攻擊（landattack）SYN分組中IP源地址和目標地址相同造成死機淚滴攻擊（teardropping）一些操作系統(tǒng)在收到含有重疊偏移的偽造分段時將崩潰ICMP洪泛攻擊（ICMPflooding）廣播ICMP應答請求（ping）加上假冒的返回地址使得應答包返回到某一臺被攻擊的主機錯誤長度攻擊（lengtherror）未知協(xié)議類型攻擊（unknownprotocol）2024/8/14網(wǎng)絡入侵的例子UDP炸彈攻擊（UDPbomb）偽造UDP長度字段使它的值大于實際的UDP報文長度UDP端口掃描（UDPscanning）TCP端口掃描（TCPscanning）SYN洪泛攻擊（SYNflooding）UDP洪泛（UDPflooding）發(fā)送大量帶有假返回地址的UDP包PHF攻擊（PHFattack）apacheweb服務器早期版本中的PHF腳本網(wǎng)蟲（Worm)

消耗網(wǎng)絡帶寬和緩存資源CodeRed,SQLSlammer2024/8/14SYN洪泛攻擊主機A主機BSyn,Seq=xSyn,Seq=y,ACK=x+1ACK=y+12024/8/14從網(wǎng)絡對主機進行入侵的階段搜集資料探測目標機IP地址掃描端口口令猜測用戶名猜測進入系統(tǒng)利用猜測的口令利用緩存溢出利用后門駐留建立新文件修改系統(tǒng)文件啟動黑客進程啟動陷阱進程傳播發(fā)email發(fā)