网络与信息安全网络安全 （一）课件.ppt

网络与信息安全网络安全 (一) 潘爱民，北京大学计算机研究所 /InfoSecCourse 内容 TCP/IP基础 防火墙 防火墙的基本介绍 几种防火墙的类型 防火墙的配置 防火墙技术的发展 安全层次 TCP/IP overview 协议栈 一些数据包的格式 IP数据包 TCP/UDP数据包 常用的上层协议 几个常用工具 TCP/IP协议栈 IP地址划分 保留私用的网络地址： - 55 - 55.255 - 55 还有一些具有特殊意义的网络地址，如广播地址和地址等。 协议栈各层数据包的结构 IP网络互连的原理 广播子网内部 ARP地址解析 从MAC地址到IP地址之间的解析 以太网络间路由 IP数据包格式 UDP数据包格式 TCP数据包格式 TCP连接的建立和终止时序图 常用的上层协议 DNS: 53/tcp,udp FTP: 20,21/tcp,udp telnet: 23/tcp,udp HTTP: 80/tcp,udp NNTP: 119/tcp,udp SMTP: 25/tcp,udp POP3: 110/tcp,udp 参考：IANA提供的port-numbers.txt 常用的网络工具 Netstat Ipconfig/ifconfig Ping Tracert …… 防火墙(Firewall) 防火墙的基本设计目标 对于一个网络来说，所有通过“内部”和“外部”的网络流量都要经过防火墙 通过一些安全策略，来保证只有经过授权的流量才可以通过防火墙 防火墙本身必须建立在安全操作系统的基础上 防火墙的控制能力 服务控制，确定哪些服务可以被访问 方向控制，对于特定的服务，可以确定允许哪个方向能够通过防火墙 用户控制，根据用户来控制对服务的访问 行为控制，控制一个特定的服务的行为 防火墙能为我们做什么 定义一个必经之点 挡住未经授权的访问流量 禁止具有脆弱性的服务带来危害 实施保护，以避免各种IP欺骗和路由攻击 防火墙提供了一个监视各种安全事件的位置，所以，可以在防火墙上实现审计和报警 对于有些Internet功能来说，防火墙也可以是一个理想的平台，比如地址转换，Internet日志、审计，甚至计费功能 防火墙可以作为IPSec的实现平台 防火墙本身的一些局限性 对于绕过防火墙的攻击，它无能为力，例如，在防火墙内部通过拨号出去 防火墙不能防止内部的攻击，以及内部人员与外部人员的联合攻击(比如，通过tunnel进入) 防火墙不能防止被病毒感染的程序或者文件、邮件等 防火墙的性能要求 防火墙的类型 包过滤路由器 应用层网关 电路层网关 包过滤路由器 基本的思想很简单 对于每个进来的包，适用一组规则，然后决定转发或者丢弃该包 往往配置成双向的 如何过滤 过滤的规则以IP和传输层的头中的域(字段)为基础，包括源和目标IP地址、IP协议域、源和目标端口号 过滤器往往建立一组规则，根据IP包是否匹配规则中指定的条件来作出决定。 如果匹配到一条规则，则根据此规则决定转发或者丢弃 如果所有规则都不匹配，则根据缺省策略 安全缺省策略 两种基本策略，或缺省策略 没有被拒绝的流量都可以通过 管理员必须针对每一种新出现的攻击，制定新的规则 没有被允许的流量都要拒绝 比较保守 根据需要，逐渐开放 包过滤路由器示意图 包过滤防火墙 在网络层上进行监测 并没有考虑连接状态信息 通常在路由器上实现 实际上是一种网络的访问控制机制 优点： 实现简单 对用户透明 效率高 缺点： 正确制定规则并不容易 不可能引入认证机制 举例： ipchains and iptables Linux内核2.2中的包的流向 网络层的处理流程 Linux内核中的包过滤 Ipchains的用法示例 ipchains -A input -i eth0 -s /24 -j DENY ipchains -A input -p tcp -d 92/26 any -y –i eth0 -j DENY ipchains –A input –p tcp –d 54 80 -i eth0 –j ACCEPT 包过滤防火墙的设置(1) 从内往外的telnet服务 包过滤防火墙的设置(2) 从外往内的telnet服务 针对telnet服务的防火墙规则 *: 第一个ACK=0, 其他=1 Ftp文件传输协议 Ftp文件传输协议(续) 针对ftp的包过滤规则注意事项 建立一组复杂的规则集 是否允许正常模式的ftp数据通道？ 有些ftp client不支持pasv模式 动态监视ftp通道发出的port命令 有一些动态包过滤防火墙可以做到 启示 包过滤防火墙比较适合于单连接的服务(比如smtp, pop3)，不适合于多连接的服务(比如ftp) 针对包过滤防火墙的攻击 I