第3章 网络防御技术 指导教师:杨建国 2013年8月10日.

Slides:



Advertisements
Similar presentations
高级服务器设计和实现 1 —— 基础与进阶 余锋
Advertisements

NAT与ICMP交互.
第7章 防火墙及其应用 本章学习重点掌握内容: 防火墙功能 防火墙核心技术 防火墙体系结构 2017/3/1.
计算机网络教程 任课教师:孙颖楷.
计算机网络课程总结 一、计算机网络基础 计算机网络定义和功能、基本组成 OSI/RM参考模型(各层的功能,相关概念, 模型中数据传输 等)
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
初级会计电算化 (用友T3) 制作人:张爱红.
淄博信息工程学校 ZIBOIT&ENGINEERING VOCATONAL SHCOOL 03 交换机干道技术 计算机网络技术专业.
淄博信息工程学校 ZIBOIT&ENGINEERING VOCATONAL SHCOOL 02 认识虚拟局域网 计算机网络技术专业.
第十一章 Internet的安全性.
实验八 配置动态路由-OSPF协议.
引言 路由器的主要工作就是为经过路由器的每个 IP数据报/分组 寻找一条最佳传输路径(寻径),并将该数据有效地传送到目的站点(转发)。
第17章 实现路由器.
第九章 防火墙技术 9.1 防火墙技术概述 9.2 防火墙技术 9.3 防火墙设计实例.
第五章 防火墙技术 深职院 计算机网络技术专业 池瑞楠.
项目四 组建跨地区网络 授课教师:肖颖.
第五章 防火墙技术.
在PHP和MYSQL中实现完美的中文显示
Cell organized Distributed File Storage
格物资讯开放ICON库 V1R1.
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
潘爱民,北京大学计算机研究所 网络与信息安全 网络安全 (一) 潘爱民,北京大学计算机研究所
华南师范大学 防火墙 华南师范大学
基于云计算的数据安全 保护策略研究 报告人:王 立 伟.
利用Wireshark观察网络报文 2015.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
存储系统.
大学计算机基础 典型案例之一 构建FPT服务器.
PPPoE PPTP L2TP全解 方伟、产品策划 讲师的CSDN博客地址
矢量距离路由.
网络常用常用命令 课件制作人:谢希仁.
考试题型 填空题(30) 选择题(20) 名词解释(10) 问答题(24) 计算题(16) 附加题(30) 成绩核算:
实用组网技术 第一章 网络基础知识.
数 控 技 术 华中科技大学机械科学与工程学院.
Windows网络操作系统管理 ——Windows Server 2008 R2.
Windows网络操作系统管理 ——Windows Server 2008 R2.
第十章 IDL访问数据库 10.1 数据库与数据库访问 1、数据库 数据库中数据的组织由低到高分为四级:字段、记录、表、数据库四种。
第17章 网站发布.
《手把手教你学STM32》 主讲人 :正点原子团队 硬件平台:正点原子STM32开发板 版权所有:广州市星翼电子科技有限公司 淘宝店铺:
华南师范大学 防火墙 华南师范大学
CPU结构和功能.
项目十四 防火墙分类与基本配置.
用event class 从input的root文件中,由DmpDataBuffer::ReadObject读取数据的问题
你知道这些标志吗?. 你知道这些标志吗? 网络——信息安全 小组讨论 你觉得网络信息安全吗? 为什么?
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
C语言程序设计 主讲教师:陆幼利.
電子郵件簡介.
第四章 团队音乐会序幕: 团队协作平台的快速创建
主要内容: 无线局域网的定义 无线传输介质 无线传输的技术 WLAN的架构 无线网络搭建与配置 无线网络加密配置
Cassandra应用及高性能客户端 董亚军 来自Newegg-NESC.
实验七 安全FTP服务器实验 2019/4/28.
计算机网络与网页制作 Chapter 07:Dreamweaver CS5入门
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
Web安全基础教程
IT 安全 第 9节 通信和网络控制.
第9讲:通过VPN访问企业网内部服务器设计讨论
数据报分片.
谢聪.
实验九、基于ASPF的安全 检测实验 实验开发教师:谌黔燕.
Google的云计算 分布式锁服务Chubby.
阻塞式模型 本节内容 视频提供:昆山爱达人信息技术有限公司 视频录制:yang 官网地址:
基于列存储的RDF数据管理 朱敏
C++语言程序设计 C++语言程序设计 第一章 C++语言概述 第十一组 C++语言程序设计.
网络技术实训 第8讲:NAT防火墙设计讨论 许成刚 信息技术学院
3.8 局域网应用实例 某省劳动和社会保障网络中心组网实例 会议中心的无线组网实例.
FVX1100介绍 法视特(上海)图像科技有限公司 施 俊.
实验六静态路由.
入侵检测技术 大连理工大学软件学院 毕玲.
1 Web基础知识 1.1 HTTP协议 1.2 Web服务器和浏览器 1.3 C/S模式与B/S模式 1.4 Web的访问原理
Presentation transcript:

第3章 网络防御技术 指导教师:杨建国 2013年8月10日

第3章 网络防御技术 3.1 安全架构 3.2 密码技术 3.3 防火墙技术 3.4 杀毒技术 3.5 入侵检测技术 3.6 身份认证技术 3.7 VPN技术 3.8 反侦查技术 3.9 蜜罐技术 3.10 可信计算 3.11 访问控制机制 3.12 计算机取证 3.13 数据备份与恢复 3.14 服务器安全防御 3.15 内网安全管理 3.16 PKI网络安全协议 3.17 信息安全评估 3.18 网络安全方案设计

3.3 防火墙技术

11.3 防火墙 11.3.1 防火墙的基本原理 11.3.2 防火墙的技术 11.3.3 防火墙的配置方案 2017/4/6 11.3 防火墙 11.3.1 防火墙的基本原理 11.3.2 防火墙的技术 11.3.3 防火墙的配置方案 11.3.4 典型防火墙产品介绍 11.3.4 防火墙的功能 2017/4/6 网络入侵与防范讲义 4 4

11.3.1 防火墙的基本原理 防火墙是位于两个(或多个)网络间实施网间访问控制的一组组件的集合, 它满足以下条件 内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全政策的数据流才能通过防火墙 防火墙自身对渗透(penetration)是免疫的 2017/4/6 网络入侵与防范讲义 5

11.3.1 防火墙的基本原理 例如,在企业网络与Internet之间加一道防护。 2017/4/6 网络入侵与防范讲义 6

11.3.1 防火墙的基本原理 再例如,如果用户不希望来自206.246.131.227的人访问自己的站点,那么就可以在防火墙上配置过滤规则阻止206.246.131.227的连接请求,禁止他们的访问。 在这些人的终端上,他们可以见到“Connection Refused”(连接被拒绝)的消息或其他相似的内容(或者他们什么也接收不到,连接就中断了) 。 2017/4/6 网络入侵与防范讲义 7

11.3.1 防火墙的基本原理 防火墙通常是单独的计算机、路由器或防火墙盒(专有硬件设备),他们充当访问网络的唯一入口点,并且判断是否接受某个连接请求。 只有来自授权主机的连接请求才会被处理,而剩下的连接请求被丢弃。 2017/4/6 网络入侵与防范讲义 8

11.3.1 防火墙的基本原理 防火墙主要用于保护内部安全网络免受外部网不安全网络的侵害。 典型情况:安全网络为企业内部网络,不安全网络为因特网。 但防火墙不只用于因特网,也可用于Intranet各部门网络之间(内部防火墙)。例:财务部与市场部之间。 2017/4/6 网络入侵与防范讲义 9

防火墙示意图 2. 部门子网 3. 分公司网络 Internet 1. 企业内联网 2017/4/6 网络入侵与防范讲义 10

一个典型的防火墙使用形态 Internet 内部工作子网 管理子网 一般子网 内部WWW 重点子网 Internet 区域 发起访问请求 边界路由器 合法请求则允许对外访问 进行访问规则检查 发起访问请求 防火墙在此处的功能: 1、工作子网与外部子网的物理 隔离 2、访问控制 3、对工作子网做NAT地址转换 4、日志记录 将访问记录写进日志文件 2017/4/6 网络入侵与防范讲义 11

11.3.1 防火墙的基本原理 防火墙能分析任何协议的报文。基于它的分析,防火墙可以采取各种行动。 防火墙实现数据流控制的功能是通过预先设定安全规则来实现的。安全规则由匹配条件和处理方式两个部分组成:如果满足这个条件,将执行这种动作。 通常,这些规则由系统管理员根据自己组织中的访问策略镜像来制订和装备。 2017/4/6 网络入侵与防范讲义 12

11.3.1 防火墙的基本原理 大多数商业防火墙允许监视报文的内容。 用户可以使用这一功能来禁止JavaScript、VBScript、ActiveX scripts和Cookies在防火墙后的执行。 用户甚至能用防火墙创建的规则来禁止包含特定攻击性签名的报文通过。 2017/4/6 网络入侵与防范讲义 13

防火墙的基本策略 大多数防火墙规则中的处理方式包括: 所有的防火墙在规则匹配的基础上都会采用以下两种基本策略中的一种: Accept:允许数据包或信息通过 Reject:拒绝数据包或信息通过,并且通知信息源该信息被禁止 Drop:直接将数据包或信息丢弃,并且不通知信息源 所有的防火墙在规则匹配的基础上都会采用以下两种基本策略中的一种: 没有明确禁止的行为都是允许的 没有明确允许的行为都是禁止的 2017/4/6 网络入侵与防范讲义 14

防火墙的基本策略 没有明确禁止的行为都是允许的 没有明确允许的行为都是禁止的 前者比较严格,后者则相对宽容。可以灵活结合这两者进行规则制订。 “默认拒绝”原则 当防火墙采用这条基本策略时,规则库主要由处理方式为Accept的规则构成 通过防火墙的信息逐条与规则进行匹配,只要与其中任何一条匹配,则允许通过,如果不能与任何一条规则匹配则认为该信息不能通过防火墙。 没有明确允许的行为都是禁止的 “默认允许”原则 基于该策略时,防火墙中的规则主要由处理手段为Reject或Drop的规则组成 通过防火墙的信息逐条与规则进行匹配,一旦与规则匹配就会被防火墙丢弃或禁止,如果信息不能与任何规则匹配,则可以通过防火墙。 前者比较严格,后者则相对宽容。可以灵活结合这两者进行规则制订。 2017/4/6 网络入侵与防范讲义 15

防火墙的分类 防火墙按照使用对象可分为:个人防火墙和企业防火墙。 个人防火墙一般以软件服务的形式实现,它为个人计算机提供简单的防火墙功能。个人防火墙可能会随操作系统附带,价格较低。 企业防火墙指的是隔离在本地网络与外界网络之间的一道防御系统。企业防火墙可以使企业内部局域网(LAN)网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。实现形式:软件、硬件。 2017/4/6 网络入侵与防范讲义 16

防火墙的分类(2) 从使用的技术上划分,防火墙可以分为: 包过滤防火墙 代理服务器型防火墙 电路级网关 混和型防火墙 静态包过滤防火墙 动态包过滤防火墙 代理服务器型防火墙 电路级网关 混和型防火墙 2017/4/6 网络入侵与防范讲义 17

11.3.2 防火墙的技术 包过滤防火墙 代理型防火墙 电路级网关 混和型防火墙 2017/4/6 网络入侵与防范讲义 18

包过滤防火墙 在基于TCP/IP协议的网络上,所有往来的信息都是以一定格式的信息包的形式传送,包中包含发送者的IP地址和接受者的IP地址信息。 当这些信息包被送上因特网时,路由器会读取接受者的IP并选择一条合适的物理线路发送出去,信息包可能经由不同的线路抵达目的地,当所有的包抵达目的地后会重新组装还原。 2017/4/6 网络入侵与防范讲义 19

包过滤防火墙(2) 包过滤式防火墙会在系统进行IP数据包转发时设定访问控制列表,检查所有通过的数据包信息,并按照给定的规则进行访问控制和过滤。 如果对防火墙设定某一IP地址的站点为不适宜访问的话,那么,从这个地址来的所有信息都会被防火墙屏蔽掉。 2017/4/6 网络入侵与防范讲义 20

包过滤防火墙(3) 包过滤防火墙可以在一台路由器中实现,路由器采用包过滤功能以增强网络的安全性。 许多商业路由器产品都可以通过编程实现包过滤功能,如Cisco、Bay Networks、3COM、DEC、IBM等路由器产品。 2017/4/6 网络入侵与防范讲义 21

包过滤防火墙(4) 当前,几乎所有的包过滤装置(过滤路由器或包过滤网关)都是按如下6种方式操作: (1).对于包过滤装置的有关端口必须设置包过滤准则,也称为过滤规则。 (2).当一个数据包到达过滤端口时,将对该数据包的头部进行分析。大多数包过滤装置只检查IP、TCP或UDP头部内的字段。 (3).包过滤规则按一定的顺序存储。当一个包到达时,将按过滤规则的存储顺序依次运用每条规则对包进行检查。 2017/4/6 网络入侵与防范讲义 22

包过滤防火墙(5) (4).如果一条规则禁止传递或接收一个包,则不允许该数据包通过。 (5).如果一条规则允许传递或接收一个包,则允许该数据包通过。 (6).如果一个数据包不满足任何规则,则该包被阻塞。 2017/4/6 网络入侵与防范讲义 23

应注意的问题 注意一:将规则按适当顺序排列非常重要——否则有可能将本要拒绝的数据包通过。 注意二:过滤规则还要按“未被明确允许的就将被禁止”原则进行——设计安全可靠网络时应遵循的“失效安全原则”。 2017/4/6 网络入侵与防范讲义 24

包过滤技术发展阶段(1) 第一代:静态包过滤 这种类型的防火墙根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。 过滤规则基于数据包的报头信息进行制定。 包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”,即明确允许那些管理员希望通过的数据包,禁止其他的数据包 2017/4/6 网络入侵与防范讲义 25

静态包过滤原理 控制策略 查找对应的控制策略 根据策略决定如何处理该数据包 拆开数据包 数据包 数据包 数据包 数据包 UDP Block Host C Host B TCP Pass Host A Destination Protocol Permit Source 控制策略 查找对应的控制策略 安全网域 Host C Host D 根据策略决定如何处理该数据包 数据包 拆开数据包 数据包 数据包 数据 TCP报头 IP报头 数据包 分组过滤判断信息 过滤依据主要是TCP/IP报头里面的信息,不能对应用层数据进行处理 2017/4/6 网络入侵与防范讲义 26

包过滤技术发展阶段(2) 第二代:动态包过滤 该类防火墙避免了静态包过滤所具有的问题,采用动态设置包过滤规则的方法,后来发展成为所谓包状态检测技术。 它采用了一个在网关上执行网络安全策略的软件引擎,称之为检测模块。 检测模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施检测,建立状态连接表,并将进出网络的数据当成一个个会话,通过状态表跟踪会话状态,动态更新状态连接表。 它不仅根据规则表,更考虑了数据包是否符合会话所处的状态,提供了完整的对传输层的控制能力。 2017/4/6 网络入侵与防范讲义 27

包过滤技术发展阶段(3) 第二代:动态包过滤(续) 此技术对网络通信的各层实施监测分析,提取相关的通信和状态信息,并在动态连接表中进行状态及上下文信息的存储和更新,这些表被持续更新,为下一个通信检查提供累积的数据。 能够提供对基于无连接的协议(UDP)的应用(DNS、WAIS、etc)及基于端口动态分配的协议(RPC)的应用(如NFS、NIS)的安全支持,静态的包过滤和代理网关都不支持此类应用。 2017/4/6 网络入侵与防范讲义 28

状态检测可以结合前后数据包里的数据信息进行综合分析决定是否允许该包通过 状态检测原理 控制策略 查找对应的控制策略 安全网域 Host C Host D 根据策略决定如何处理该数据包 拆开数据包 数据包 数据包 数据包 数据1 TCP报头 IP报头 数据1 TCP报头 IP报头 数据 数据2 TCP报头 IP报头 数据3 TCP报头 IP报头 数据包 分组过滤判断信息 状态检测可以结合前后数据包里的数据信息进行综合分析决定是否允许该包通过 状态检测 2017/4/6 网络入侵与防范讲义 29

攻破包过滤式防火墙的方法(1) IP攻击欺骗 路由攻击程序 通过向包过滤式防火墙发出一系列信息包,这些包中的IP地址已经被替换为一串顺序的IP地址,一旦有一个包通过了防火墙,黑客便可以用这个IP地址来伪装它们发出的信息。 路由攻击程序 黑客使用自己编制的路由攻击程序,这种程序使用动态路由协议来发送伪造的路由信息,这样,所有的信息包都会被重新路由到一个入侵者所指定的特别地址。 2017/4/6 网络入侵与防范讲义 30

攻破包过滤式防火墙的方法(2) SYN风暴攻击 攻击者向被攻击的计算机发出许许多多个虚假的请求信息包,目标计算机响应了这种信息包后会等待请求发出者的应答,而攻击者却不做任何的响应。 如果服务器在一定时间里没有收到响应信号的话就会结束这次请求连接,但是当服务器在遇到成千上万的虚假请求时,它便没有能力来处理正常的用户服务请求,处于这种攻击下的服务器表现为性能下降,服务响应时间变长,严重时服务完全停止甚至死机。 2017/4/6 网络入侵与防范讲义 31

包过滤防火墙的优缺点 优点 逻辑简单,价格便宜,对网络性能的影响较小,有较强的透明性。 与应用层无关,无需改动任何客户机和主机上的应用程序,易于安装和使用。 2017/4/6 网络入侵与防范讲义 32

包过滤防火墙的优缺点 缺点 配置基于包过滤方式的防火墙,需要对IP、TCP、UDP和ICMP等各种协议有深入的了解,否则容易出现因配置不当带来的问题; 由于过滤判别的只有网络层和传输层的有限信息,所以各种安全要求难以得到充分的满足; 由于数据包的地址及端口号都在数据包的头部,因而不能彻底防止地址欺骗,及外部客户与内部主机直接连接,不提供用户的鉴别机制。 2017/4/6 网络入侵与防范讲义 33

代理型防火墙 代理服务器型防火墙通过在主机上运行代理的服务程序,直接对特定的应用层进行服务,因此,也称为应用型防火墙。 其核心是运行于防火墙主机上的代理服务器程序。 针对不同的应用程序,代理服务型防火墙需要不同的代理模块。 2017/4/6 网络入侵与防范讲义 34

代理服务器型防火墙(2) 代理服务可以实现用户认证、详细日志、审计跟踪和数据加密等功能,并实现对具体协议及应用的过滤。 这种防火墙能完全控制网络信息的交换,控制会话过程,具有灵活性和安全性,但可能影响网络的性能,对用户不透明,且对每一种服务都要设计一个代理模块,建立对应的网关层,实现起来比较复杂。 2017/4/6 网络入侵与防范讲义 35

代理服务器型防火墙(3) 代理防火墙也叫应用级网关。它适用于特定的互联网服务,如超文本传输(HTTP),远程文件传输(FTP)等等。 代理服务器通常运行在两个网络之间,它对于客户来说像是一台真的服务器,而对于外界的服务器来说,它又是一台客户机。 当代理服务器接收到用户对某站点的访问请求后会检查该请求是否符合规定,如果规则允许用户访问该站点的话,代理服务器会像一个客户一样去那个站点取回所需信息再转发给客户。 2017/4/6 网络入侵与防范讲义 36

代理服务器型防火墙(4) 代理服务器通常都有一个高速缓存,这个缓存存储着用户经常访问的站点内容,在下一个用户要访问同一站点时,服务器就不用重复的获取相同的内容,直接将缓存内容发出即可,既节约了时间也节约了网络资源。 代理服务器会像一堵墙一样挡在内部用户与外界之间,从外部只能看到该代理服务器而无法获知任何的内部资源,诸如用户的IP地址等。应用级网关比单一的包过滤更为可靠,而且会详细的记录所有的访问状态信息。 2017/4/6 网络入侵与防范讲义 37

应用代理可以对数据包的数据区进行分析,并以此判断数据是否允许通过 应用代理原理 控制策略 查找对应的控制策略 安全网域 Host C Host D 根据策略决定如何处理该数据包 拆开数据包 数据包 数据包 数据包 数据 TCP报头 IP报头 分组过滤判断信息 数据包 应用代理判断信息 应用代理可以对数据包的数据区进行分析,并以此判断数据是否允许通过 2017/4/6 网络入侵与防范讲义 38

代理防火墙的优点 易于配置,界面友好; 不允许内外网主机的直接连接; 可以提供比包过滤更详细的日志记录,例如在一个HTTP连接中,包过滤只能记录单个的数据包,而应用网关还可以记录文件名,URL等信息; 可以隐藏用户内部IP地址; 可以给单个用户授权; 可以为用户提供透明的加密机制; 可以与认证、授权等安全手段方便的集成。 2017/4/6 网络入侵与防范讲义 39

自适应代理防火墙 自适应代理防火墙是近几年才在商业应用防火墙中广泛应用的一种新型防火墙。它结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。 组成这种类型防火墙的基本要素有两个:自适应代理服务器(Adaptive Proxy Server)与动态包过滤器(Dynamic Packet Filter)。 2017/4/6 网络入侵与防范讲义 40

自适应代理防火墙 在自适应代理服务器与动态包过滤之间存在一个控制通道。在对防火墙进行配置时,用户仅仅将所需要的服务类型、安全级别等信息通过相应代理服务器的管理界面进行设置就可以了。然后,自适应代理就可以根据用户的配置信息,决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者,它将动态地通知包过滤器增减过滤规则,满足用户对速度和安全性的双重要求。 2017/4/6 网络入侵与防范讲义 41

代理防火墙优缺点 代理型防火墙的最突出的优点就是安全,很好地隐藏了内部用户的信息,可以方便地实现用户的认证和授权。 代理防火墙最大缺点的是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,代理防火墙就会成为内外部网络之间的瓶颈。而且,代理防火墙需要为不同的网络服务建立专门的代理服务,用户不能使用代理防火墙不支持的服务。 2017/4/6 网络入侵与防范讲义 42

电路级网关 电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法。 我们知道,要使用TCP协议,首先必须通过三次握手建立TCP连接,然后,才开始发送数据。 电路级网关通过在TCP握手过程中,检查双方的SYN、ACK和序列数据是否为合理逻辑,来判断该请求的会话是否合法。一旦网关认为会话合法,就会为双方建立连接——网关仅复制、传递数据,而不进行过滤。 2017/4/6 网络入侵与防范讲义 43

电路级网关 电路级网关是一个通用代理服务器,它工作于OSI互联模型的会话层或是TCP/IP协议的TCP层。 它适用于多个协议,但它不能识别在同一个协议栈上运行的不同的应用,当然也就不需要对不同的应用设置不同的代理模块。 它接受客户端的连接请求,代理客户端完成网络连接,建立起一个回路,对数据包起转发作用,数据包被提交给用户的应用层来处理。 2017/4/6 网络入侵与防范讲义 44

电路级网关 电路级网关还提供一个重要的安全功能:网络地址转换(NAT)将所有内部IP地址映射到防火墙使用的一个“安全”的IP地址,使得传递的数据似乎起源于防火墙,从而隐藏了被保护网络的信息。 实际上,电路级网关并非作为一个独立的产品存在,它通常与其他的应用级网关结合在一起,所以有人也把电路级网关归为应用级网关,但它在会话层上过滤数据包,无法检查应用层级的数据包。 2017/4/6 网络入侵与防范讲义 45

网络地址转换 网络地址转换(NAT)是一种用于把内部IP地址转换成临时的、外部的、注册的IP地址的标准。 目的 向外界隐藏内部网结构 它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不需要为其网络中每台机器取得注册的IP地址。  2017/4/6 网络入侵与防范讲义 46

网络地址转换(2) 在内部网络访问外部网络时,将产生一个映射记录。 系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口与外部网络连接,这样对外就隐藏了真实的内部网络地址。 外部网络访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。  2017/4/6 网络入侵与防范讲义 47

网络地址转换(3) 防火墙根据预先定义好的映射规则来判断访问是否安全。 当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。 当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。 2017/4/6 网络入侵与防范讲义 48

网络地址转换(4) 网络地址转换的过程对于用户来说是透明的。 2017/4/6 网络入侵与防范讲义 49

网络地址转换(5) 问题:所有返回数据包目的IP都是200.200.200.200,防火墙如何识别并送回真正主机? 方法: 防火墙记住所有发送包的目的端口; 防火墙记住所有发送包的TCP序列号。 2017/4/6 网络入侵与防范讲义 50

混合型防火墙 当前的防火墙产品已不是单一的包过滤型或代理服务器型防火墙,而是将各种安全技术结合起来,综合各类型防火墙的优点,形成一个混合的多级防火墙。 不同的防火墙侧重点不同。从某种意义上来说,防火墙实际上代表了一个网络的访问原则。如果某个网络决定设立防火墙,那么首先需要决定本网络的安全策略,即确定哪些类型的信息允许通过防火墙,哪些类型的信息不允许通过防火墙。防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络交流的数据进行检查,对符合安全策略的数据予以放行,将不符合的拒之门外。 在设计防火墙时,还要确定防火墙的类型和拓扑结构。一般来说,防火墙被设置在可信赖的内部网络和不可信赖的外部网络之间。 2017/4/6 网络入侵与防范讲义 51

11.3.3 防火墙的配置方案 最简单的防火墙配置,就是直接在内部网和外部网之间加装一个包过滤路由器或者应用网关。为更好地实现网络安全,有时还要将几种防火墙技术组合起来构建防火墙系统。 目前比较流行的有以下三种防火墙配置方案。 双宿主机模式 屏蔽主机模式 屏蔽子网模式 2017/4/6 网络入侵与防范讲义 52

双宿主机模式 双宿主机结构采用主机替代路由器执行安全控制功能,故类似于包过滤防火墙,它是外部网络用户进入内部网络的唯一通道。 这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络,又称堡垒主机。 2017/4/6 网络入侵与防范讲义 53

双宿主机模式(cont.) 堡垒主机上运行着防火墙软件,可以转发数据,提供服务等。 2017/4/6 网络入侵与防范讲义 54

双宿主机模式(cont.) 双宿主机即一台配有多个网络接口的主机,它可以用来在内部网络和外部网络之间进行寻径,与它相连的内部和外部网络都可以执行由它所提供的网络应用,如果这个应用允许的话,它们就可以共享数据。 如果在一台双宿主机中寻径功能被禁止了,则这个主机可以隔离与它相连的内部网络和外部网络之间的通信。 2017/4/6 网络入侵与防范讲义 55

双宿主机模式(cont.) 这样就保证内部网络和外部网络的某些节点之间可以通过双宿主机上的共享数据传递信息,但内部网络与外部网络之间却不能传递信息,从而达到保护内部网络的作用。 这种防火墙的特点是主机的路由功能是被禁止的,两个网络之间的通信通过双宿主机来完成。 双宿主机有一个致命弱点,一旦入侵者侵入堡垒主机并使该主机只具有路由器功能,则任何网上用户均可以随便访问有保护的内部网络。 2017/4/6 网络入侵与防范讲义 56

双宿主机模式 双宿主机 缺点:如何保护双宿主机本身的安全 外部网络 内部网络 所有的通信必须经过双宿主主机 通过登陆到双宿主主机上获得服务 通过应用代理 通过登陆到双宿主主机上获得服务 缺点:如何保护双宿主机本身的安全 内部网络 外部网络 禁止内外网络之间直接通信 2017/4/6 网络入侵与防范讲义 57

屏蔽主机模式 在这种模式下,一个包过滤路由器连接外部网络,堡垒主机安装在内部网络上。 2017/4/6 网络入侵与防范讲义 58

屏蔽主机模式(2) 通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络唯一可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。屏蔽主机防火墙实现了网络层和应用层的安全,因而比单独的包过滤或应用网关代理更安全。 在这一方式下,过滤路由器是否配置正确是这种防火墙安全与否的关键,如果路由表遭到破坏,堡垒主机就可能被越过,使内部网完全暴露。 2017/4/6 网络入侵与防范讲义 59

进行规则配置,只允许外部主机与堡垒主机通讯 屏蔽主机模式 缺点: 堡垒主机与其他主机在同一个子网 一旦堡垒主机被攻破或被越过,整个内网和 堡垒主机之间就再也没有任何阻挡。 互联网 过滤器 不允许外部主机直接访问除堡垒主机之外的其他主机 进行规则配置,只允许外部主机与堡垒主机通讯 对内部其他主机的访问必须经过堡垒主机 2017/4/6 网络入侵与防范讲义 60 堡垒主机

屏蔽子网模式 屏蔽子网防火墙是目前较流行的一种结构,采用了两个包过滤路由器和一个堡垒主机,在内外网络之间建立了一个被隔离的子网,定义为DMZ(非军事区、隔离区)。 2017/4/6 网络入侵与防范讲义 61

屏蔽子网模式(cont.) DMZ:demilitarized zone的缩写,中文名称为“隔离区”,也称“非军事区”。 它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。 另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。 2017/4/6 网络入侵与防范讲义 62

屏蔽子网模式(cont.) 这种屏蔽子网模式是在Intranet和Internet之间建立一个被隔离的子网,用两个包过滤路由器将这一子网分别与Intranet和Internet分开。 两个包过滤路由器放在子网的两端,在子网内构成一个“缓冲地带”,两个路由器一个控制Intranet 数据流,另一个控制Internet数据流,Intranet和Internet均可访问屏蔽子网,但禁止它们穿过屏蔽子网通信。 2017/4/6 网络入侵与防范讲义 63

屏蔽子网模式(cont.) 可根据需要在屏蔽子网中安装堡垒主机,为内部网络和外部网络的互相访问提供代理服务,但是来自两网络的访问都必须通过两个包过滤路由器的检查。 对于向Internet公开的服务器,像WWW、FTP、Mail等Internet服务器也可安装在屏蔽子网内,这样无论是外部用户,还是内部用户都可访问。 2017/4/6 网络入侵与防范讲义 64

屏蔽子网模式(cont.) 在这一配置中,即使堡垒主机被入侵者控制,内部网仍受到内部包过滤路由器的保护。 这种结构的防火墙安全性能高,具有很强的抗攻击能力,但需要的设备多,造价高。 2017/4/6 网络入侵与防范讲义 65

屏蔽子网模式 禁止内外网络直接进行通讯 内部筛选路由器 外部筛选路由器 堡垒主机 内外部网络之间的通信都经过堡垒主机 内部网络 外部网络 2017/4/6 网络入侵与防范讲义 66

防火墙的主要功能 防火墙的主要功能有 网络安全的屏障 强化网络安全策略 对网络存取和访问进行监控审计 防止内部信息的外泄 2017/4/6 网络入侵与防范讲义 67

防火墙 基于源地址、目的地址 基于源端口、目的端口 基于用户 基于时间 基于流量 基于时间的控制 用户级权限控制 安全内核 访问控制 内容安全 IP与MAC绑定 安全远程管理 多种管理方式 灵活接入 授权认证 双机热备 安全审计 加密 端口映射 流量控制 规则模拟测试 入侵检测 本地 & 远程管理 NAT转换 & IP复用 多端口结构 安全联动 双系统 网络管理 防火墙 2017/4/6 网络入侵与防范讲义 68

灵活的访问控制 控制策略 基于MAC 基于源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于时间 基于用户 基于流量 可以灵活的制定 的控制策略 查找对应的控制策略 根据策略决定如何处理该数据包 Host C Host D 拆开数据包 进行分析 数据包 数据包 数据包 数据包 数据包 数据包 2017/4/6 网络入侵与防范讲义 69

基于时间的控制 Internet Host C Host D 在防火墙上制定基于时间的访问控制策略 上班时间可以访问公司的网络 2017/4/6 网络入侵与防范讲义 70

内容安全 防火墙 应用层 应用层 应用层 物理层 链路层 网络层 传输层 会话层 表示层 物理层 链路层 网络层 传输层 会话层 表示层 符合策略 根据策略检查应用层的数据 防火墙 应用层 应用层 应用层 物理层 链路层 网络层 传输层 会话层 表示层 物理层 链路层 网络层 传输层 会话层 表示层 内部接口 外部接口 内部网络 外部网络 应用控制可以对常用的高层应用做更细的控制 如HTTP的GET、POST、HEAD 如FTP的GET、PUT等 2017/4/6 网络入侵与防范讲义 71

IP与MAC地址绑定后,不允许Host B假冒Host A的IP地址上网 00-50-04-BB-71-A6 00-50-04-BB-71-BC Host A 199.168.1.2 199.168.1.4 199.168.1.5 199.168.1.3 Host D Host B Host C BIND 199.168.1.2 To 00-50-04-BB-71-A6 BIND 199.168.1.2 To 00-50-04-BB-71-BC IP与MAC地址绑定后,不允许Host B假冒Host A的IP地址上网 防火墙允许Host A上网 Internet 2017/4/6 网络入侵与防范讲义 72

安全远程管理 如何实现 安全管理呢 Internet 安全网域 Host C Host D 黑客 用户名,口令 202.102.14.5 Superman ****** 如何实现 安全管理呢 可以采用一次性口令认证来实现安全管理 Internet 2017/4/6 网络入侵与防范讲义 用户名,口令 73 管理员

身份认证 Internet Host D Host A Host B Host C 用户身份认证 根据用户控制访问 受保护网络 ··· Permit Password Username 验证通过则允许访问 Chenaf 123 Yes 预先可在防火墙上设定用户 Liwy 883 No Chenaf 123 Internet 2017/4/6 网络入侵与防范讲义 74

信息审计 & 日志 Internet Host B 199.168.1.3 Host A 199.168.1.2 Host D 199.168.1.5 Host C 199.168.1.4 写入日志 ··· TCP 202.102.1.2 199.168.1.2 8:30 2001-02-07 ··· TCP 202.102.1.3 199.168.1.5 9:10 2001-02-07 写入日志 安全网域 Host G Host H 202.102.1.2 202.102.1.3 一旦出现安全事故 可以查询此日志 Internet 2017/4/6 网络入侵与防范讲义 75

端口映射 Internet FTP 199.168.1.3 WWW 199.168.1.2 DNS 199.168.1.5 MAIL 199.168.1.4 公开服务器可以使用私有地址 隐藏内部网络的结构 199.168.1.6 MAP 199.168.1.2:80 TO 202.102.1.3:80 MAP 199.168.1.3:21 TO 202.102.1.3:21 MAP 199.168.1.5:53 TO 202.102.1.3:53 MAP 199.168.1.4:25 TO 202.102.1.3:25 202.102.1.3 http://202.102.1.3 Internet 12.4.1.5 2017/4/6 网络入侵与防范讲义 76

流量控制 Internet Host D Host A Host B Host C 受保护网络 Host A的流量已达到 10M 2017/4/6 网络入侵与防范讲义 77

入侵检测 Internet Host D Host A Host B Host C 同一台主机对受保护网络内的主机频繁扫描 同一主机对受保护网内的主机建立多个连接 其他对网内主机的攻击行为 受保护网络 将根据用户策略采取措施 执行用户自定义的策略 Internet 2017/4/6 网络入侵与防范讲义 78

NAT转换 & IP复用 防火墙 Internet 202.102.93.54 隐藏了内部网络的结构 内部网络可以使用私有IP地址 Host A 源地址:101.211.23.1 目地址:202.102.93.54 源地址:192.168.1.21 目地址:202.102.93.54 101.211.23.2 受保护网络 Host C Host D 192.168.1.21 192.168.1.25 防火墙 Eth2:192.168.1.23 Eth0:101.211.23.1 数据 IP报头 数据 IP报头 隐藏了内部网络的结构 内部网络可以使用私有IP地址 公开地址不足的网络可以使用这种方式提供IP复用功能 2017/4/6 网络入侵与防范讲义 79

多端口结构使多个域相互隔离 安全网域2 安全网域1 Eth0 Eth1 Eth2 安全网域3 多个接口可将受控网络从物理上分开,提高安全保护同时方便网络连接 2017/4/6 网络入侵与防范讲义 80

11.3.4 典型防火墙产品介绍 Net Screen Checkpoint Fire Wall 东大阿尔派网眼 天融信网络卫士 2017/4/6 网络入侵与防范讲义 81

Net Screen Net Screen公司的Net Screen防火墙产品是一种新型的网络安全硬件产品。 Net Screen的产品完全基于硬件ASIC芯片,它就像个盒子一样安装使用起来很简单。同时它还是一种集防火墙、VPN、流量控制三种功能于一体的网络产品。 2017/4/6 网络入侵与防范讲义 82

Checkpoint Fire Wall Checkpoint FireWall-1是一个老牌的软件防火墙产品,它是软件防火墙领域中名声很好的一款产品,在世界范围内的软件防火墙中销售量排名第一。 目前国内主要依靠代理商,如清华得实、东方趋势等公司来进行中国市场的拓展。 2017/4/6 网络入侵与防范讲义 83

东大阿尔派网眼 网眼防火墙NetEye是一种软件防火墙产品。 集网络数据的监控和管理于一体,可以随时对网络数据的流动情况进行分析、监控和管理,以便及时制定保护内部网络数据的相应措施。 该系统具有可靠性高、不易遭到攻击破坏等特点。 网眼防火墙NetEye2.0系统的管理主机和监控主机建立在一种独立安全的局域网络之内,而且通信数据经过了加密处理,提高了系统的安全性。 2017/4/6 网络入侵与防范讲义 84

天融信网络卫士 天融信公司的网络卫士是我国第一套自主版权的防火墙系列,是一种基于硬件的防火墙; 网络卫士防火墙由多个模块组成,包括包过滤、应用代理、NAT、VPN、防攻击等功能模块,各模块可分离、裁剪和升级,以满足不同用户的要求。 2017/4/6 网络入侵与防范讲义 85