LiJTLiJTLiJT信息安全防火墻授課計劃密碼學密碼學（第8章）網(wǎng)絡安全協(xié)議基礎（2章）？公鑰技術的應用PKI,CA,數(shù)字證書等網(wǎng)絡安全的攻擊技術網(wǎng)絡安全的防御技術信息安全/網(wǎng)絡安全的概述（第1章）網(wǎng)絡安全綜合解決方案內(nèi)容?TCP/IP基礎?防火墻防火墻的基本介紹幾種防火墻的類型防火墻的配置防火墻技術的發(fā)展TCP/IPoverview?協(xié)議棧?一些數(shù)據(jù)包的格式IP數(shù)據(jù)包TCP/UDP數(shù)據(jù)包?常用的上層協(xié)議?幾個常用工具TCP/IP協(xié)議棧協(xié)議棧各層數(shù)據(jù)包的結(jié)構(gòu)IP數(shù)據(jù)包格式UDP數(shù)據(jù)包格式TCP數(shù)據(jù)包格式TCP連接的建立和終止時序圖常用的上層協(xié)議?DNS:53/tcp,udp?FTP:20,21/tcp,udp?telnet:23/tcp,udp?HTTP:80/tcp,udp?NNTP:119/tcp,udp?SMTP:25/tcp,udp?POP3:110/tcp,udp?參考：IANA提供的port-numbers.txt常用的網(wǎng)絡工具?Netstat?Ipconfig/ifconfig?Ping?Tracert?……內(nèi)容?TCP/IP基礎?防火墻–防火墻的基本介紹幾種防火墻的類型防火墻的配置防火墻技術的發(fā)展防火墻防火墻：截斷燃燒體或難燃燒體的屋頂結(jié)構(gòu)，應高出燃燒體或難燃燒體的屋面不小于500mm防火墻?互聯(lián)網(wǎng)、內(nèi)部網(wǎng)和外部網(wǎng)Internet,intranet,Extranet互聯(lián)網(wǎng)、內(nèi)部網(wǎng)和外部網(wǎng)內(nèi)部網(wǎng)是應用于組織內(nèi)部，使用Internet技術的專用網(wǎng)絡。o實現(xiàn)信息在組織內(nèi)部及分支機構(gòu)間的傳播。外部網(wǎng)是內(nèi)部網(wǎng)的擴展，它將組織的內(nèi)部網(wǎng)連入其業(yè)務伙伴、顧客或供應商的網(wǎng)絡外部網(wǎng)是組織間主要的溝通方式o類型公共網(wǎng)絡o安全（專用）網(wǎng)絡o虛擬專用網(wǎng)絡（VPN）防火墻(Firewall)防火墻的基本設計目標對于一個網(wǎng)絡來說，所有通過“內(nèi)部”和“外部”的網(wǎng)絡流量都要經(jīng)過防火墻通過一些安全策略，來保證只有經(jīng)過授權的流量才可以通過防火墻防火墻本身必須建立在安全操作系統(tǒng)的基礎上防火墻的控制能力服務控制，確定哪些服務可以被訪問方向控制，對于特定的服務，可以確定允許哪個方向能夠通過防火墻用戶控制，根據(jù)用戶來控制對服務的訪問行為控制，控制一個特定的服務的行為防火墻能為我們做什么?定義一個必經(jīng)之點擋住未經(jīng)授權的訪問流量禁止具有脆弱性的服務帶來危害實施保護，以避免各種IP欺騙和路由攻擊防火墻提供了一個監(jiān)視各種安全事件的位置。因此對于有些Internet功能來說，防火墻也可以是一個理想的平臺，比如：–地址轉(zhuǎn)換，日志、審計，甚至計費等功能防火墻可以作為IPSec的實現(xiàn)平臺防火墻本身的一些局限性?對于繞過防火墻的攻擊，它無能為力，例如，在防火墻內(nèi)部通過撥號出去?防火墻不能防止內(nèi)部的攻擊，以及內(nèi)部人員與外部人員的聯(lián)合攻擊(比如，通過tunnel進入)?防火墻不能防止被病毒感染的程序或者文件、郵件等?防火墻的性能要求內(nèi)容?TCP/IP基礎?防火墻–防火墻的基本介紹–幾種防火墻的類型防火墻的配置防火墻技術的發(fā)展防火墻的類型包過濾路由器應用層網(wǎng)關

包過濾路由器基本的思想很簡單對于每個通過的包，匹配一組規(guī)則，然后決定轉(zhuǎn)發(fā)或者丟棄該包往往配置成雙向的如何過濾過濾的規(guī)則以IP和傳輸層的頭中的域(字段)為基礎，包括源和目標IP地址、IP協(xié)議域、源和目標端口、標志位過濾器往往建立一組規(guī)則，根據(jù)IP包是否匹配規(guī)則中指定的條件來作出決定。如果匹配到一條規(guī)則，則根據(jù)此規(guī)則決定轉(zhuǎn)發(fā)或者丟棄如果所有規(guī)則都不匹配，則根據(jù)缺省策略安全缺省策略?兩種基本策略，或缺省策略沒有被拒絕的流量都可以通過?管理員必須針對每一種新出現(xiàn)的攻擊，制定新的規(guī)則沒有被允許的流量都要拒絕比較保守根據(jù)需要，逐漸開放包過濾路由器示意圖網(wǎng)絡層網(wǎng)絡層鏈路層物理層外部網(wǎng)絡內(nèi)部網(wǎng)絡例子：包過濾防火墻的設置(1)clientserver外部內(nèi)部往外包的特性(用戶操作信息)clientserver外部內(nèi)部往外包的特性(用戶操作信息)往內(nèi)包的特性(顯示信息)IP源是內(nèi)部地址目標地址為serverTCP協(xié)議，目標端口23源端口>1023連接的第一個包ACK=0，其他包ACK=1IP源是server目標地址為內(nèi)部地址TCP協(xié)議，源端口23目標端口>1023所有往內(nèi)的包都是包過濾防火墻的設置(2)clientserver內(nèi)部外部往內(nèi)包的特性(用戶操作信息)clientserver內(nèi)部外部往內(nèi)包的特性(用戶操作信息)往外包的特性(顯示信息)ACK=1IP源是外部地址目標地址為本地serverTCP協(xié)議，目標端口23源端口>1023連接的第一個包ACK=0，其他包ACK=1IP源是本地server目標地址為外部地址TCP協(xié)議，源端口23目標端口>1023所有往內(nèi)的包都是ACK=1針對telnet服務的防火墻規(guī)則11>102323TCP外部內(nèi)部內(nèi)往內(nèi)*23>1023TCP內(nèi)部外部外往內(nèi)1>102323TCP內(nèi)部外部內(nèi)往外*23>1023TCP外部內(nèi)部外往外ACK目標端口源端口包類型目標地址源地址包方向服務方向*:第一個ACK=0,其他=1Ftp文件傳輸協(xié)議命令通道：21端口 數(shù)據(jù)通道：20端口51515150數(shù)據(jù)通道：20端口515151502120PORT5151OK建立數(shù)據(jù)通道OKFtp文件傳輸協(xié)議(續(xù))命令通道：21端口 數(shù)據(jù)通道：>10235151515021數(shù)據(jù)通道：>1023515151502120PASVOK3267建立數(shù)據(jù)通道OK3267針對ftp的包過濾規(guī)則注意事項建立一組復雜的規(guī)則集是否允許正常模式的ftp數(shù)據(jù)通道？有些ftpclient不支持pasv模式動態(tài)監(jiān)視ftp通道發(fā)出的port命令有一些動態(tài)包過濾防火墻可以做到動態(tài)包過濾（動態(tài)地在過濾規(guī)則中增加或更新條目）啟示包過濾防火墻比較適合于單連接的服務(比如smtp,pop3)，不適合于多連接的服務(比如ftp)針對包過濾防火墻的攻擊IP地址欺騙，例如，假冒內(nèi)部的IP地址對策：在外部接口上禁止內(nèi)部地址源路由攻擊，即由源指定路由對策：禁止這樣的選項小碎片攻擊，利用IP分片功能把TCP頭部切分到不同的分片中對策：丟棄分片太小的分片利用復雜協(xié)議和管理員的配置失誤進入防火墻例如，利用ftp協(xié)議對內(nèi)部進行探查TCPFTPPROXY掃描包過濾防火墻在網(wǎng)絡層上進行監(jiān)測并沒有考慮連接狀態(tài)信息通常在路由器上實現(xiàn)實際上是一種網(wǎng)絡的訪問控制機制優(yōu)點：實現(xiàn)簡單對用戶透明效率高缺點：正確制定規(guī)則并不容易不可能引入認證機制應用層網(wǎng)關?也稱為代理服務器?特點所有的連接都通過防火墻，防火墻作為網(wǎng)關在應用層上實現(xiàn)可以監(jiān)視包的內(nèi)容可以實現(xiàn)基于用戶的認證所有的應用需要單獨實現(xiàn)可以提供理想的日志功能非常安全，但是開銷比較大應用層網(wǎng)關的結(jié)構(gòu)示意圖應用層網(wǎng)關結(jié)構(gòu)示意圖HTTPHTTPFTPTelnetSmtp傳輸層網(wǎng)絡層鏈路層應用層網(wǎng)關的優(yōu)缺點優(yōu)點允許用戶“直接”訪問Internet易于記錄日志缺點新的服務不能及時地被代理每個被代理的服務都要求專門的代理軟件客戶軟件需要修改，重新編譯或者配置有些服務要求建立直接連接，無法使用代理比如聊天服務、或者即時消息服務代理服務不能避免協(xié)議本身的缺陷或者限制應用層網(wǎng)關實現(xiàn)編寫代理軟件–代理軟件一方面是服務器軟件但是它所提供的服務可以是簡單的轉(zhuǎn)發(fā)功能另一方面也是客戶軟件?對于外面真正的服務器來說，是客戶軟件針對每一個服務都需要編寫模塊或者單獨的程序?qū)崿F(xiàn)一個標準的框架，以容納各種不同類型的服務軟件實現(xiàn)的可擴展性和可重用性客戶軟件軟件需要定制或者改寫對于最終用戶的透明性？?協(xié)議對于應用層網(wǎng)關的處理–協(xié)議設計時考慮到中間代理的存在，特別是在考慮安全性，比如數(shù)據(jù)完整性的時候內(nèi)容?TCP/IP基礎?防火墻防火墻的基本介紹幾種防火墻的類型防火墻的配置防火墻技術的發(fā)展問題：現(xiàn)實環(huán)境下防火墻配置？防火墻的配置?幾個概念堡壘主機(BastionHost)：對外部網(wǎng)絡暴露，同時也是內(nèi)部網(wǎng)絡用戶的主要連接點雙宿主主機(dual-homedhost)：至少有兩個網(wǎng)絡接口的通用計算機系統(tǒng)DMZ(DemilitarizedZone，非軍事區(qū)或者?；饏^(qū))：在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間增加的一個子網(wǎng)防火墻幾種典型配置方案?包過濾?屏蔽主機方案單宿主堡壘主機雙宿主堡壘主機?屏蔽子網(wǎng)方案配置方案一包過濾方案所有的流量都通過堡壘（包過濾路由器）優(yōu)點：簡單配置方案二LiJT屏蔽主機方案：單宿主堡壘主機只允許堡壘主機可以與外界直接通訊優(yōu)點：兩層保護：包過濾+應用層網(wǎng)關；靈活配置缺點：一旦包過濾路由器被攻破，則內(nèi)部網(wǎng)絡被暴露屏蔽主機方案：雙宿主堡壘主機從物理上把內(nèi)部網(wǎng)絡和Internet隔開，必須通過兩層屏障優(yōu)點：兩層