网路安全技术四.ppt

網路防火牆 什麼是網路防火牆 網路防火牆功能與原理 網路防火牆建置與維護 網路防火牆的在網路安全角色 狹義的網路防火牆 在一個受保護的企業內部網路與網際網路間, 用來強制執行企業保全政策的一個或一組系統. 目的: 謹慎的在一個控制 點上限制人們進出 網路 防止攻擊者接近 防禦物 廣義的網路防火牆 在一個受保護的網路（或單機）與其它網路間, 用來強制執行企業保全政策的一個或一組系統. 目的: 謹慎的在一個控制 點上監控進出的網 路交通，整合存取 控管、內容過濾、 加密、流量管理等 功能。 Firewall 功能與原理 封包過濾 代理系統 使用者認證 網路位址轉換 虛擬私人網路 防範網路攻擊 存錄與預警 管理工具 頻寬管理 高可用性與負載平衡 Packet Filtering 監控TCP/IP網路封包的行為 建置於通訊協定的二、三層間，對於應用程式完全透通 建置於系統核心(Kernel) Hooking mechanisms: Windows: NDIS Driver Linux: Function table Solaris: Stream Criteria of Packet Filtering 靜態封包檢視的資訊 來源IP、來源埠、目的IP、目的埠 動態封包檢視的資訊 Sequence number Acknowledgement number SYN/RST/FIN… Virtual connection FTP Command FTP Active Mode Connection FTP Passive Mode Connection UDP/ICMP之虛擬連線 UDP/ICMP是非連線(connection-less)的協定 虛擬的連線(virtual-connection) 對於同一組“來源IP、來源埠、目的IP、目的埠”的封包，視為同一個虛擬連線。 Proxy 示意圖 Proxy之功用 內外網路阻隔 Application Filtering User Authentication Detail Logging Application Filtering (1) 檔案傳輸( FTP)的限制 設定Read / Write權限 設定可傳輸的檔名 FTP Virus Check HTTP的限制 設定可否使用FTP、HTTP 、GOPHER等權限 設定HTML內容可否含有GET、POST、HEAD、PUT等 使用Wildcard(＊)設定URL Location的內容 Java Applet, Java Script與ActiveX Blocking Anti-X 不當網站瀏覽過濾 HTTP Virus Check Application Filtering (2) 信件(SMTP)的限制 捨棄假來源地址的信件 可設定傳送信件的大小 可消除內部信件傳遞路徑資訊,避免內部主機暴露給外界 提供E-mail位址轉換功能 SMTP Virus Check Proxy缺點 反應較慢 不同的服務可能需要不同的Proxy Transparent v.s. Non_Transparent Proxy Transparent: 靠Firewall Redirect過往的網路封包來達成 封包必須經過Firewall Non_transparent: 必須修改客戶端程式或改變使用者程序 User Authentication 以使用者的角度來做安全控管（Mobile users, DHCP clients) 允許從外部網路使用內部網路服務 選擇適當之認證機制 設定使用者權限 使用者認證機制 使用者帳號系統 Firewall獨立帳號 結合作業系統帳號 結合RADIUS Authentication Server 結合LDAP Server 密碼機制 傳統密碼 One Time Password S/Key: sequence number Smart Card: time synchronization S/Key One Time Password One Way Hash Function MD5 y=F(x), 已知y, 反求x很難 s=F(password, seed) p0=Fn(s) p1=Fn-1(s) … pi=Fn-i(s) Server儲存每個user之seed，上一次之OTP, 上一次之sequence Challenge - Response Verify: F(pi)=F(Fn-i(s))=Fn-(i-1)(s) == Pi-1 MD5 Challenge 使用者權限 可使用之來源主機 可使用之目的主機 可使用之網路服務 可使用時段 可否同時多次登入 單次