网络安全理论与应用第十二章

30 2013-7-14
包过滤示例(续)
10.11.15.4
内部网
堡垒主机
192.168.0.1
10.11.12.13
外 部 网 络
Set internal=192.168.0.0/24 Deny ip from $internal to any in via eth0 Deny ip from not $internal to any in via eth1 Allow udp from $internal to any dns Allow udp from any dns to $internal Allow tcp from any to any established Allow tcp from $internal to any www in via eth1 Allow tcp from $internal to any ftp in via eth1 Allow tcp from any ftp-data to $internal in via eth0 Deny ip from any to any
41 2013-7-14
各级网络安全技术
HTTP FTP TCP IP/IPSec SMTP
(a) Network Level
42 2013-7-14
各级网络安全技术
HTTP FTP SSL or TLS TCP SMTP
IP
(b) Transport Level
43 2013-7-14
各级网络安全技术

26 2013-7-14

基本概念 防火墙配置模式

防火墙相关技术 几个新的方向
27 2013-7-14
防火墙相关技术
静态包过滤
动态包过滤 应用程序网关(代理服务器) 电路级网关 网络地址翻译
虚拟专用网
28 2013-7-14
静态包过滤

根据流经该设备的数据包地址信息，决定 是否允许该数据包通过 判断依据有(只考虑IP包)：
–个人防火墙已得到了广泛的应用 –操作系统大多已提供了许多在传统意义上还属于 防火墙的手段 –IPv6以及IPSec技术的发展 –防火墙这一概念还不能抛弃
48 2013-7-14
分布式防火墙(续一)

思路
–主要防护工作在主机端 –打破传统防火墙的物理拓扑结构，不单纯依靠物 理位置来划分内外 –由安全策略来划分内外网
11 2013-7-14


防火墙技术带来的好处
强化安全策略
有效地记录Internet上的活动 隔离不同网络，限制安全问题扩散 是一个安全策略的检查站
12 2013-7-14
争议及不足
使用不便，认为防火墙给人虚假的安全 感 对用户不完全透明，可能带来传输延迟、 瓶颈及单点失效 不能替代墙内的安全措施
–根据客户的地址及所请求端口，将该 连接重定向到指定的服务器地址及端口 上 –对客户端应用完全透明
在转发前同客户端交换连接信息
–需对客户端应用作适当修改
Sockify
38 2013-7-14
电路级网关的一些实现
Socks
Winsock Dante
39 2013-7-14
网络地址翻译(NAT)
网络安全理论与应用
第十二章 防火墙技术
卫文学 信息科学与工程学院
2003.3 山东科技大学

基本概念 防火墙配置模式
防火墙相关技术 几个新的方向
2 2013-7-14

基本概念




防火墙定义 为什么需要防火墙 对防火墙的两大需求 防火墙系统四要素 防火墙技术的发展过程 引入防火墙技术的好处 争议及不足
保障内部网安全
保证内部网同外部网的连通
9 2013-7-14
防火墙系统四要素
安全策略
内部网 外部网 技术手段
10 2013-7-14
防火墙技术发展过程

20世纪70年代和80年代，多级系统和安 全模型吸引了大量的研究 屏蔽路由器、网关
防火墙工具包 商业产品防火墙 新的发展
传输层
网络层
静态包过滤
信道加密
链路层 物理层
45 2013-7-14

基本概念


防火墙配置模式 防火墙相关技术 几个新的方向
46 2013-7-14
关于防火墙技术的一些观点

防火墙技术是一项已成熟的技术
目前更需要的是提高性能，尤其是将它集 成到更大的安全环境中去时：
– 用户界面和管理 – 互操作性 – 标准化

具体方法：依赖于下面三点
–策略描述语言：说明什么连接允许，什么连接不 允许 –一系列系统管理工具：用于将策略发布到每一主 机处，以保证机构的安全 –IPSec技术及其他高层安全协议
49 2013-7-14
分 布 式 防 火 墙
50 2013-7-14
51 2013-7-14
网络防火墙 用于内部网与外部网之间（即传统的边界防火墙） 和内部网子网之间的防护产品，后者区别于前者的一 个特征是需支持内部网可能有的IP和非IP协议。 主机防火墙 对于网络中的服务器和桌面机进行防护，这些主 机的物理位置可能在内部网中，也可能在内部网外， 如托管服务器或移动办公的便携机。 中心管理
24 2013-7-14
堡垒主机
Internet
外部防火牆
信息服务器
內部防火牆
25 2013-7-14
实施中的其他问题
最少服务、最小特权原则 使用多堡垒主机 合并内部路由器与外部路由器 合并堡垒主机与外部路由器 合并堡垒主机与内部路由器 使用多台内部路由器 使用多台外部路由器 使用多个周边网络 使用双重宿主主机与屏蔽子网
Inside
Gateway(s)
Outside
15 2013-7-14
防火墙的位置
16 2013-7-14
默认安全策略
没有明确禁止的行为都是允许的
没有明确允许的行为都是禁止的
17 2013-7-14
防火墙体系结构
双宿/多宿主机模式
(dualhomed/multi-homed)
屏蔽主机模式 屏蔽子网模式
33 2013-7-14
包过滤技术的一些实现
商业版防火墙产品
个人防火墙 路由器 Open
Source Software
– Ipfilter (FreeBSD、OpenBSD、 Solaris，…) – Ipfw (FreeBSD) – Ipchains (Linux 2.0.x/2.2.x) – Iptables (Linux 2.4.x)
18 2013-7-14
双宿主机模式
内部网
堡垒主机
外 部 网 络
最少服务 最小特权
19 2013-7-14
多宿主机模式
堡垒主机 外 部 网 络 内部网2
内部网1
20 2013-7-14
屏蔽主机模式
外 部 网 络
内部网
包过滤路由器
堡垒主机
21 2013-7-14
屏蔽主机防火墙系统（单连结点堡垒主机）
目的
–解决IP地址空间不足问题 –向外界隐藏内部网结构
方式
–M-1：多个内部网地址翻译到1个IP地 址 –1-1：简单的地址翻译 –M-N：多个内部网地址翻译到N个IP地 址池
40 2013-7-14
虚拟专用网(VPN)
路由-路由 加密隧道(VPN)
端-路由 加密隧道
广域网络
端-端 加密数据流
内部网特点
组成结构复杂
各节点通常自主管理 信任边界复杂，缺乏有效管理 有显著的内外区别 机构有整体的安全需求
最薄弱环节原则
7 2013-7-14
为什么需要防火墙
保护内部不受来自Internet的攻击
为了创建安全域 为了增强机构安全策略
8 2013-7-14
对防火墙的两大需求
3 2013-7-14
防火墙定义

防火墙是位于两个(或多个)网络间，实施 网间访问控制的一组组件的集 合，它满足 以下条件：
–内部和外部之间的所有网络数据流必须经过 防火墙 –只有符合安全政策的数据流才能通过防火墙
–防火墙自身应对渗透(peneration)免疫
4 2013-7-14
为什么需要防火墙
34 2013-7-14
应用程序网关(代理服务器)
发送请求
客 户 网 关
转发请求
服务器
转发响应
请求响应
1. 网关理解应用协议，可以实施更细粒度的访问控制 2. 对每一类应用，都需要一个专门的代理 3. 灵活性不够
35 2013-7-14
应用程序网关的一些实现
商业版防火墙产品
商业版代理(cache)服务器 Open

当然其他方面的改进也是存在的
47 2013-7-14
分布式防火墙
传统防火墙技术的几个问题
–依赖于防火墙一端可信，另一端是潜在的敌人 –Internet的发展使从外部穿过防火墙访问内部网的 需求增加了 –一些内部主机需要更多的权限 –只依赖于端-端加密并不能完全解决问题 –过于依赖物理拓扑结构

考虑到下面几个事实
Set internal=192.168.0.0/24 Deny ip from $internal to any in via eth0 Deny ip from not $internal to any in via eth1 Allow $internal access any dns by udp keep state Allow $internal acess any www by tcp keep state Allow $internal access any ftp by tcp keep state Deny ip from any to any
– – – – – – 数据包协议类型：TCP、UDP、ICMP、IGMP等 源、目的IP地址 源、目的端口：FTP、HTTP、DNS等 IP选项：源路由、记录路由等 TCP选项：SYN、ACK、FIN、RST等 其它协议选项：ICMP ECHO、ICMP ECHO REPLY等
29 2013-7-14
Source
– TIS FWTK(Firewall toolkit) – Apache – Squid
36 2013-7-14
电路级网关

拓扑结构同应用程序网关相同

接收客户端连接请求，代理客户端完成网 络连接
在客户和服务器间中转数据


通用性强
37 2013-7-14
电路级网关实现方式
简单重定向

–不能防范恶意的知情者 –不能防范不通过它的连接 –不能防范全新的威胁 –不能有效地防范数据驱动式的攻击 –当使用端-端加密时，其作用会受到很大的 限制
13 2013-7-14

基本概念 防火墙配置模式

防火墙相关技术 几个新的方向
14 2013-7-14
防火墙简图
Filter Filter
S/MIME Kerberos UDP SMTP TCP PGP SET HTTP
IP
(c) Application Level
44 2013-7-14
各级网络安全技术
加密/安全技术
应用程序网关/保密网关
OSI协议层 应用层 表示层
安全协议
应用相关
信源加密 会话层
动态包过滤
SOCKS
SSL/TLS IPSec PPTP/L2TP

– 数据包流向：in或out – 数据包流经网络接口：eth0、eth1
包过滤示例
10.11.15.4
内部网
堡垒主机
192.168.0.1
10.11.12.13
外 部 网 络
在上图所示配置中，内部网地址为：192.168.0.0/24， 堡垒主机内网卡eth1地址为：192.168.0.1， 外网卡eth0地址为：10.11.12.13 DNS地址为：10.11.15.4 要求允许内部网所有主机能访问外网WWW、FTP服务， 外部网不能访问内部主机
31 2013-7-14
动态包过滤
Check
point一项称为“Stateful Inspection”的技术
可动态生成/删除规则 分析高层协议
32 2013-7-14
上一个示例的另一种解法(续)
10.11.15.4
内部网
堡垒主机
192.168.0.1
10.11.12.13
外 部 网 络
源自文库
5 2013-7-14
Why Security is Harder than it Looks
所有软件都是有错的 通常情况下99.99%无错的程序很少会出问题


同安全相关的99.99%无错的程序可以确信会 被人利用那0.01%的错误

0.01%安全问题等于100%的失败
6 2013-7-14
Firewall
堡垒主机
Internet
信息服务器
內部網路
22 2013-7-14
屏蔽主机防火墙系统（双连结点堡垒主机）
Firewall
堡垒主机
Internet
信息服务器
內部網路
23 2013-7-14
屏蔽子网模式
堡垒主机
内部网
内部路由器
外部路由器
外 部 网 络
周 边 网 解决了单点失效问题
DMZ区