防火墙技术及应用.ppt

防火墙技术-加密 加密密钥的加密 对称密钥加密方法 防火墙技术-加密 公共密钥加密 非对称密钥加密 防火墙技术-加密 加密的方法 DES, IDEA, AES 密钥的产生 X.500目录服务 数字证书 X.509数字证书 密钥的分发 IKE: Internet key exchange 防火墙技术-IPSEC IPSec源自于提供IP级别安全特性的愿望 增加互联网协议在公司网络中的使用并将其用于敏感应用 VPN：确保安全的网络连接，否则，它将是不安全、不可信的 隧道：封装帧及数据的逻辑结构 IPSec = IP安全协议 IETF（互联网工程任务组）1992年制定的标准 1995年推出第1版 1998年11月推出改进版，具备动态管理安全参数的功能（IKE协议） IETF目前仍致力于它的研究 目标：防止截听数据流及非法的资源接入 方法：IPSec提供下面的全部或部分安全服务（取决于选择的选项）： 数据机密性 数据真实性（验证+ 完整性） à 持续接入控制 防止重放 当与严格的算法在安全的环境中一起使用时，可提高安全性 防火墙技术-IPSEC IPSec的基本概念: Transport and tunnel modes Authentication Header (AH) protocol for authentication Encapsulating Security Payload (ESP)protocol for encryption (and authentication) Transport mode tunnel mode 防火墙技术-IPSEC tunnel mode的应用: 相关加密算法: DES/3DES/MD5/SHA-1 密钥分配算法: IKE (Internet key exchange) 由于IPSEC涉及太多的概念和内容,希望大家阅读PKI的资料 防火墙技术-攻击检测与预防 网络攻击的一般步骤: 执行探测 探测网络拓扑,发现活动主机(IP address sweep) 检测活动主机的活动端口(port scans) 判断主机的操作系统,利用操作系统的已知漏洞实现攻击. 发动攻击 隐藏发动攻击的主机. 执行一系列攻击 删除或者销毁攻击证据 防火墙技术-防止IP扫描 IP地址扫描(IP address Sweep):攻击者通过ICMP请求报文的方式探测主机. 通过检测同一个source IP地址在一个时间间隔内发送的ICMP报文数来确定是否存在IP地址的扫描,如果发现,那么对于以后的ICMP进行抛弃 防火墙技术-防止端口扫描 端口扫描(port scanning):攻击源通过试探建立TCP连接来探测被攻击对象对外部提供的服务. 防火墙技术-防止OS类型探测 对于TCP数据报文中Flag位的异常设置,不同OS的TCP/IP协议栈具有不同的实现,将有不同的应答报文,攻击者将利用这个差别来决定操作系统. SYN and FIN are set FIN flag without ACK TCP header without Flag set 防火墙将检测这些非正常的TCP报文,实现对其丢弃. 防火墙技术-防止IP隐藏 攻击者主要利用IP数据包中的宽松源路由选项(Loose source route option)和严格源路由选项(Strict source route option),通过指定路由的方式,使得攻击数据包能够到达目标主机. 防火墙可以配置是否对于IP数据包的路由选项进行处理, 检测到这类数据报文可以进行抛弃. 防火墙技术- Deny of Service DoS:拒绝服务攻击的主要方法是通过向被攻击者发送大量的伪造的数据报文,导致被攻击者忙于处理伪造数据报文而不能处理合法的报文.其核心就是“资源耗尽”. DDoS:Distributed DOS,攻击者通过伪装IP地址,或者利用攻击代理,从多个攻击点向同一受攻击者发送攻击. 网络设备的资源 CPU处理能力 系统内存 数据带宽 内部核心数据结构: 例如防火墙的状态表; SOCKET连接 表. DoS的分类:根据攻击对象不同 Firewall DoS Attack: 由于防火墙是内部网络对外的通道,攻击者希望通过攻击防火墙实现内部网络的不可用性,这也是黑客的最大追求. Network DoS Attack: 导致网络设备的不可用性. OS Dos Attack: 导致主机操作系统直接崩溃. 防火墙技术-Firewall DoS attack Session table flood(Session表淹没):恶意数据大量占用Session表. 解决方法: 基于源或目的的session限制 Session表的主动老化