计算机网络之防火墙全解

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

串口:可对 防火墙进行 初始化的配置
内容提要
• • • • • • 防火墙的基本概念 防火墙的发展历程 防火墙的核心技术 防火墙的体系结构 防火墙的构造体系 防火墙的功能与原理
防火墙的发展历程
• 基于路由器的防火墙
– – – – 利用路由器本身对分组的解析,进行分组过滤 过滤判断依据:地址、端口号以及其他网络特征 防火墙与路由器合为一体,只有过滤功能 适用于对安全要求不高的网络环境
简单包过滤防火墙
•包过滤器操作的基本过程
•包过滤规则必须被包过滤设备端口存储起来。 •当包到达端口时,对包报头进行语法分析。大多数 包过滤设备只检查IP、TCP、或UDP报头中的字段。 •包过滤规则以特殊的方式存储。应用于包的规则的 顺序与包过滤器规则存储顺序必须相同。 •若一条规则阻止包传输或接收,则此包便不被允许。 •若一条规则允许包传输或接收,则此包便可以被继 续处理。 •若包不满足任何一条规则,则此包便被阻塞。

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Identification |R|DF|MF| Fragment Offset | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |<-------------16----------->|<---3---->|<----------13----------->|
计算机网络安全
防火墙技术
内容提要
• • • • • • 防火墙的基本概念 防火墙的发展历程 防火墙的核心技术 防火墙的体系结构 防火墙的构造体系 防火墙的功能与原理
安全层次
应用安全 系统安全 网络安全 安全协议 安全的密码算法
防火墙(Firewall)
• 防火墙的基本设计目标
– 对于一个网络来说,所有通过“内部”和“外部”的网络 流量都要经过防火墙 – 防火墙的基本目标是通过隔离达到访问控制的目的 – 通过一些安全策略,来保证只有经过授权的流量才可以通 过防火墙 – 防火墙本身必须建立在安全操作系统的基础上
– 服务控制,确定哪些服务可以被访问 – 方向控制,对于特定的服务,可以确定允许哪个 方向能够通过防火墙 – 用户控制,根据用户来控制对服务的访问 – 行为控制,控制一个特定的服务的行为
防火墙能做什么
• 定义一个必经之点
– 挡住未经授权的访问流量 – 禁止具有脆弱性的服务带来危害 – 实施保护,以避免各种IP欺骗和路由攻 击
简单包过滤防火墙
• • • • • 不检查数据区。 不建立连接状态表。 前后报文无关。 应用层控制很弱。 效率高。
包过滤路由器
• 基本的思想很简单
– 对于每个进来的包,适用一组规则,然后 决定转发或者丢弃该包 – 往往配置成双向的
包过滤路由器
• 如何过滤
– 过滤的规则以IP和传输层的头中的域(字段) 为基础,包括源和目标IP地址、IP协议域、 源和目标端口号 – 过滤器往往建立一组规则,根据IP包是否匹 配规则中指定的条件来作出决定。
• 防火墙工具组件
– 将过滤功能从路由器中独立出来,并加上审计和告警 功能 – 针对用户需求,提供模块化的软件包 – 软件可以通过网络发送,用户可根据需要构造防火墙 – 与第一代相比,安全性提高了,价格降低了
防火墙的发展历程
• 基于通用操作系统的防火墙
– – – – – 是批量上市的专用防火墙。 包括分组过滤或者借用路由器的分组过滤功能。 装有专用的代理系统,监控所有协议的数据和指令。 保护用户编程空间和用户可配置内核参数的设置。 安全性和速度大为提高
状态检测包过滤防火墙
• • • • • 不检查数据区。 建立连接状态表。 前后报文相关。 应用层控制很弱。 检测性能提高了。
应用代理防火墙
• • • • 不检查IP、TCP包头。 不建立连接状态表。 网络层保护比较弱。 安全性提高了,性能降低了。
复合型防火墙
• 可以检查整个数据包内容。
• • • •
IP碎片攻击
• Identification:发送端发送的IP数据包标识字段都是一个唯一值,该值在 分片时被复制到每个片中。 R:保留未用。 DF:Don‘t Fragment,“不分片”位,如果将这一比特置1 ,IP层将不对 数据报进行分片。 MF:More Fragment,“更多的片”,除了最后一片外,其他每个组成 数据报的片都要把比特置1。 Fragment Offset:该片偏移原始数据包开始处的位置。偏移的字节数是该 值乘以8。 另外,当数据报被分片后,每个片的总长度值要改为该片的长度值。每一 IP分片都各自路由,到达目的主机后在IP层重组,请放心,首部中的数据 能够正确完成分片的重组。 • 既然分片可以被重组,那么所谓的碎片攻击是如何产生的呢?
• 利用复杂协议和管理员的配置失误进入防火墙。
– 例如,利用ftp协议对内部进行探查
IP碎片攻击
• 1. 为什么存在IP碎片 链路层具有最大传输单元MTU这个特性,它限制了数据帧的最大长度, 不同的网络类型都有一个上限值。以太网的MTU是1500,你可以 用 netstat -i 命令查看这个值。如果IP层有数据包要传,而且数据包的长 度超过了MTU,那么IP层就要对数据包进行分片(fragmentation)操 作, 使每一片的长度都小于或等于MTU。我们假设要传输一个UDP数据包, 以太网的MTU为1500字节,一般IP首部为20字节,UDP首部为8字节,数 据的净荷(payload)部分预留是1500-20-8=1472字节。如果数据部分大 于1472字节,就会出现分片现象。 IP首部包含了分片和重组所需的信息:
防火墙的类型
• • • • • 简单包过滤防火墙 状态检测包过滤防火墙 应用代理防火墙 包过滤与应用代理复合型防火墙 核检测防火墙
简单包过滤防火墙
• 包过滤防火墙是第一代和最基本形式的防火墙, 防火墙检查每一个通过的数据包,并查看数据 包的包头,然后依据一套规则决定或者丢弃, 或者放行该数据包。这称为包过滤防火墙。 • 包过滤防火墙检查每一个传入包,查看包中可 用的基本信息(源地址和目的地址、端口号、 协议等)。然后,将这些信息与设立的规则相 比较。
防火墙构造体系
• • • • 筛选路由器。 多宿主主机。 被屏蔽主机。 被屏蔽子网。
筛选路由器
• 优点:
– 结构简单 – 部署容易、灵活
• 缺点:
– 安全防护能力弱
多宿主主机: 即带有多个 网卡的主机, 也就是一个 代理服务器。
多宿主主机
• 缺点:
– 安全防护能力只有一层,一旦多宿 主主机受到攻击,内网就可能完全 暴露于外网之下。
– 并没有考虑连接状态信息
• 通常在路由器上实现
– 实际上是一种网络的访问控制机制
• 数据包过滤技术的发展:静态包过滤、 动态包过滤
包过滤防火墙
• 优点:
– – – – – 不用改动应用程序 一个过滤路由器能协助保护整个网络 过滤路由器速度快 数据包过滤对用户透明 效率高
包过滤防火墙
• 缺点:
– – – – – 正确制定规则并不容易 不可能引入认证机制 不能彻底防止地址欺骗 一些应用协议不适合于数据包过滤 正常的数据包过滤路由器无法执行某些安 全策略
• 如果匹配到一条规则,则根据此规则决定转发或 者丢弃 • 如果所有规则都不匹配,则根据缺省策略
安全缺省策略
• 两种基本策略,或缺省策略
– 没有被拒绝的流量都可以通过
• 管理员必须针对每一种新出现的 攻击,制定新的规则
– 没有被允许的流量都要拒绝
• 比较保守 • 根据需要,逐渐开放
包过滤防火墙
• 在网络层上进行监测
内部网络
外部网络
防火墙
防火墙(Firewall)
• 防火墙的定义
– 是一种高级访问控制设备,置于不同网络 安全域之间的一系列部件的组合,它是不 同网络安全域之间通信流的唯一通道,能 根据有关的安全策略控制(允许、拒绝、 监视、记录)进出网络的访问行为。
防火墙(Firewall)
• 防火墙的控制能力
IP碎片攻击
• 2. IP碎片攻击 IP首部有两个字节表示整个IP数据包的长度, 所以IP数据包最长只能为0xFFFF,就是65535 字节。如果有意发送总长度超过65535的IP碎 片,一些老的系统内核在处理的时候就会出现 问题,导致崩溃或者拒绝服务。 • 另外,如果分片之间偏移量经过精心构造,一 些系统就无法处理,导致死机。所以说,漏洞 的起因是出在重组算法上。
核检测技 术就是基 于操作系 统内核的 会话检测 技术。
• 基于内核的会话检测技术就是在 操作系统内核模拟出典型的应用 层协议,在内核实现应用层协议 的过滤,从而得到极高的性能。
并发连接数:
20万 vs 120万
内容提要
• • • • • • 防火墙的基本概念 防火墙的发展历程 防火墙的核心技术 防火墙的体系结构 防火墙的构造体系 防火墙的功能与原理
20 3267
建立数据通道 OK
针对ftp的包过滤规则注意事项
• 建立一组复杂的规则集
– 是否允许正常模式的ftp数据通道? – 有些ftp client不支持pasv模式
• 动态监视ftp通道发出的port命令
– 有一些动态包过滤防火墙可以做到
• 启示
– 包过滤防火墙比较适合于单连接的服务(比如smtp, pop3),不适合于多连接的服务(比如ftp)
根据需要建立连接状态表。 网络层保护强。 应用层控制细。 会话控制弱。
核检测防火墙
• • • • • 网络层保护强。 应用层保护强。 会话保护很强。 上下文相关。 前后报文有联系。
内容提要
• • • • • • 防火墙的基本概念 防火墙的发展历程 防火墙的核心技术 防火墙的体系结构 防火墙的构造体系 防火墙的功能与原理
针对包过滤防火墙的攻击
• IP地址欺骗,例如,假冒内部的IP地址。
– 对策:在外部接口上禁止内部地址
• 源路由攻击,即由源指定路由,绕开防火墙。
– 对策:禁止这样的选项
• IP碎片攻击。
– 对策:Windows系统请打上最新的Service Pack,目前的 Linux内核已经不受影响。 如果可能,在网络边界上禁止碎片包通过,或者用iptables限 制每秒通过碎片包的数目。 如果防火墙有重组碎片的功能,请确保自身的算法没有问题, 否则被Βιβλιοθήκη BaiduoS就会影响整个网络。 Win2K系统中,自定义IP安全策略,设置“碎片检查”。
Ftp文件传输协议
命令通道:21端口
client
数据通道:20端口
ftp server 21
PORT 5151 OK
5151
5150
20
建立数据通道 OK
Ftp文件传输协议(续)
命令通道:21端口
client
数据通道:大于1023
ftp server 21
PASV PORT 3267
5151
5150
• 基于安全操作系统的防火墙
– 防火墙厂商具有操作系统的源代码,并可实现安全内 核。 – 去掉不必要的系统特性,加固内核,强化安全保护。 – 在功能上包括了分组过滤、应用网关、电路级网关。 – 增加了许多附加功能:加密、鉴别、审计、NAT转换。 – 透明性好,易于使用。
内容提要
• • • • • • 防火墙的基本概念 防火墙的发展历程 防火墙的核心技术 防火墙的体系结构 防火墙的构造体系 防火墙的功能与原理
防火墙能做什么
• 防火墙提供了一个监视各种安全事件的位置, 所以,可以在防火墙上实现审计和报警 • 对于有些Internet功能来说,防火墙也可以是一 个理想的平台,比如地址转换,Internet日志、 审计,甚至计费功能 • 防火墙可以作为IPSec的实现平台
防火墙本身的局限性
• 对于绕过防火墙的攻击,它无能为力, 例如,在防火墙内部通过拨号出去 • 防火墙不能防止内部的攻击,以及内部 人员与外部人员的联合攻击(比如,通过 tunnel进入) • 防火墙不能防止被病毒感染的程序或者 文件、邮件等 • 防火墙的性能要求
堡垒主机: 对外部网络暴露, 同时也是内部网络 用户的主要连接点
屏蔽主机
• 堡垒主机安装在内部网络上,通常在路 由器上设立过滤规则,并使这个堡垒主 机成为从外部网络唯一可直接到达的主 机,这确保了内部网络不受未被授权的 外部用户的攻击
相关文档
最新文档