第五讲 防火墙与可信任系统解读.pptVIP

第五讲 防火墙与可信任系统 防火墙（Firewall） 防火墙是由软件、硬件构成的系统，是一种特殊编程的路由器，用来在两个网络之间实施接入控制策略。 接入控制策略是由使用防火墙的单位自行定制的 防火墙内的网络称“可信任的网络”（Trusted network），而将外部因特网称“不可信赖的网络”（Untrusted network）。 防火墙用来解决内联网和外联网的安全问题。 G 内联网 可信赖的网络 不可信赖的网络 分组过滤 路由器 R 分组过滤 路由器 R 应用网关 外局域网 内局域网 防火墙 因特网 防火墙的设计目标和控制功能 设计目标 所有进出内部网络的数据流都必须经过防火墙 只有经过本地安全策略认证的IP包能够通过防火墙 防火墙的操作系统本省应当具有防渗透能力，是一个受信任、安全可靠的OS 防火墙可用来构建虚拟专用网VPN 防火墙应具有日志功能，以便网络审计之用 控制功能 服务控制：确定内网用户可以访问互联网的服务类型 网络数据流向的控制：确定进出的数据流方向 用户控制：对不同的用户允许对互联网不同服务的访问 应用服务的控制 防火墙的局限性 对于绕开防火墙的攻击行为，防火墙不能提供保护 防火墙对来自内部的威胁不能提供保护 防火墙不能对那些已经受到病毒感染的程序和文件的传输提供保护 不能防范全新的网络威胁 当使用端到端加密时，会削弱防火墙的作用 可能带来传输延迟、瓶颈等问题 防火墙的发展过程 第一代：基于路由器的防火墙 第二代：软件实现的防火墙 第三代：基于通用服务器操作系统开发的防火墙 第四代：具有安全操作系统的防火墙 防火墙的类型 包过滤路由器 应用级网关 电路级网关 包过滤路由器 通过检查数据包的信源地址、信宿地址、传输层地址、协议字段、网络接口等信息来决定是否允许该包通过。 包过滤规则一般是将IP包中的各字段或TCP首部的字段与防火墙设定的一组数据进行匹配。如果这些规则中有一项得到匹配吻合，就启用决策是否将此包转发或丢弃。如果包中没有任何条目与这些规则匹配，就采取一种默认设置的行动。有两个选择： 默认设置为“丢弃”：保守 默认设置为“放行”：开明 包过滤路由器参数配置举例（1） 措施 内网主机 端口 外网主机 端口 说明 阻断 * * * 此外部主机不可信任，阻止入内 放行 内部网关 25 * * 允许外部主机访问内部的SMTP邮件服务器（端口25） 措施 内网主机 端口 外网主机 端口 说明 阻断 * * * * 默认的初始设置 措施 内网主机 端口 外网主机 端口 说明 放行 * * * 25 允许内网主机访问外网的SMTP邮件服务器（端口25） 包过滤路由器参数配置举例（2） 措施 源主机 端口 目的主机 端口 TCP控制字段 说明 放行 内网主机IP地址 * * 25 内网主机发送包到外网SMTP邮件服务器 放行 * 25 * * ACK 放行外部邮件服务器对内部主机的应答 措施 源主机 端口 目的主机 端口 TCP控制字段 说明 放行 内网主机 * * * 内网主机向任何外网主机的通信 放行 * * * * ACK 外部对内网主机的应答 放行 * * * 1023 内网与外网的非服务器主机的通信，用高端口号 包过滤防火墙的弱点及对其进行攻击 弱点 因为包过滤防火墙并不检查包中高层数据，它们不能检测出那些利用了应用层漏洞进行的攻击。 包过滤防火墙的日志功能是有限的。 大部分包过滤防火墙不支持先进的用户认证技术。 对于那些利用TCP/IP的规范和协议栈的缺陷来进行的攻击通常是无力的。 对包过滤防火墙的设置不当将很容易导致安全性受到减弱。 对包过滤防火墙的攻击（有呵对抗措施？） IP地址欺骗 源路由攻击 微小分段攻击 包过滤防火墙的延伸：全状态检测防火墙 静态包过滤主要根据流经防火墙的IP首部信息决定是否允许该数据包通过。首部信息例如数据包的类型（TCP、UDP、ICMP……）、源和目的IP地址 动态包过滤称全状态监测（Stateful Inspect）：防火墙对通过其建立的每一个连接进行跟踪，即将同一连接的所有包作为一个整体数据流看待。例如监测TCP的序列号和标志位 源IP地址 源端口 目的IP地址 目的端口 连接状态 00 1030 9 80 已连接 02 1031 23 80 已连接 01 1033 22 25 已连接 06 1035 2 79 已连接 31 1990 80 已连接 2 2112 80 已连接 8 3321 80 已连接 3 1025 80 已连接 223.212.212 1046 80 已连接 应用层网关和电路级网关 应用层网关 工作在应用层。通常称代理服务器。 检查进出的数据包，通过网关自身复制传递数据，防止在受信主机与非受信主机间直接建立联系。 有较好的访问控