防火牆之原理與應用.ppt

2001/04/20 防火牆之原理與應用 防火牆之原理與應用 內容大綱 資訊安全與防火牆 防火牆的基本型態 防火牆的應用型態 防火牆的常見功能 防火牆的區域聯防觀念 全方位的網路安全防火牆架構 資訊安全 網路保全的基本招式 無為而治?不做安全防護 使用廠商原本就提供的最基本安全防護 雲深不知處?隱藏式保全 藏起來, 讓別人不知到以避免被攻擊 鐵布衫?主機保全 加強每一台主機的保全 金鐘罩?網路保全 對整個網路環境做保全 防火牆、存取管理、認證方式、編碼加密…… 全方位資訊安全流程 整體安全政策 需先訂定自己的安全政策，瞭解自己要保護的東西是什麼範圍有多大 網路架構 網路設備 伺服器 個人電腦 安全性分析 危機處理評估 防火牆只是企業整體安全政策的一部份 防火牆系統 防火牆系統是一個網路安全系統（軟體+硬體），負責： 安全政策執行 網路路由轉換 網路狀況管理 防火牆的原理 (1/2) 位於網路與網路之間的裝置 謹慎地在一個控制點上限制網路之存取(Network Access Control) 防止攻擊者接近防禦物 防火牆的原理 (2/2) 在兩個或多個網路間，用來強制執行網路安全政策的一個或一組系統 限制封包的來往交換，包括來源及目的主機位址、通訊協定、服務、流通方向等 防火牆做得到的事 避免內部網路直接暴露在外 形成內部網路與網際網路的咽喉點(Choke Point) ，是網路管理者落實安全政策的重點 網路安全可以集中管理，有效控制了所有封包的來源、目的地、流向、及應用服務 可以有效地記錄及監控企業與網際網路活動 進階的防火牆尚可主動偵測防止入侵，並可稽核與阻擋非法存取 防火牆做不到的事 無法控管不經過它的連線 無法辨出假造的封包 無法確保連線的可信度 無法避免data-driven的攻擊 無法防止內賊對內的侵害(traitors or idiots) 安全政策基本原則 內定值是“拒絕”: 沒有許可就是拒絕 不安全狀態 Fail-Safe Stance “正面表列” 較安全的策略 較不易使用 內定值是“允許”: 沒有禁止就是允許 “負面表列” 較不安全的策略 較易使用 Here We Are 資訊安全與防火牆 防火牆的基本型態 防火牆的應用型態 防火牆的常見功能 防火牆的區域聯防觀念 全方位的網路安全防火牆架構 防火牆的基本型態 依實體區別 軟體防火牆 硬體防火牆 依功能區別 封包過濾 (Packet Filtering) 應用層閘道 (Application Gateway或Proxy) 以上兩者的混合型 軟體防火牆 優點 架設較具彈性 擴充性較佳 功能較齊全 方便搭配其他軟體 缺點 需搭配硬體架設 整體效能較硬體防火牆差 需補強原作業系統或使用專屬作業系統 CheckPoint, BoderWare, Microsoft ISAS, Gauntlet, eTrust, SunScreen, CyberGuard, … 硬體防火牆 優點 軟硬體整合性佳 效能軟體防火牆佳 專屬作業系統較安全 缺點 硬體擴充性較差 管理功能需搭配其他軟體 Cisco PIX, NetScreen, GNAT, Nokia, WebGuard, SonicWall 封包過濾 (1/4) 檢查每一個通過的封包，依據事先定義好的規則而執行放行或阻擋的工作 依據封包標頭內容作檢查 來源地及目的地的 IP 位址 協定(TCP, UDP, ICMP,…) TCP或UDP的來源埠 TCP或UDP的目的埠 ICMP的訊息種類 依據封包到達時的介面 在網路層作封包的過濾工作 Service-dependent filtering 過濾一般已知的服務 http, smtp, ftp, telnet 封包過濾 (2/4) 封包過濾 (3/4) Stateful Packet Filtering(Dynamic Packet Filtering) Stateful Inspection? 記住之前的連線狀態，目的是在記憶體中建立每一個資料流中封包的前後關聯 在資料連接層及網路層中間處理 Service-independent filtering 過濾不符合 TCP/IP 規範的連線 Source IP address spoofing attacks Source routing attacks Tiny fragment attacks 封包過濾 (4/4)Stateful Packet Filtering 應用層閘道 (1/4) 又稱代理者 (Proxy) 服務，是一個在防火牆主機上執行的特定應用程式 防火牆主機提供服務連結的第一站 Proxy 接受使用者對Internet 服務(HTTP, FTP, Telnet) 請求，並依據此站台的安全策略，將此