David liang 2005 -11 -08 Liangli_cn@hotmail.com 数据通信安全教程 防火墙技术及应用 David liang 2005 -11 -08 Liangli_cn@hotmail.com.

Presentation on theme: "David liang 2005 -11 -08 Liangli_cn@hotmail.com 数据通信安全教程 防火墙技术及应用 David liang 2005 -11 -08 Liangli_cn@hotmail.com."— Presentation transcript:

1 David liang 2005 -11 -08 Liangli_cn@hotmail.com
数据通信安全教程 防火墙技术及应用 David liang

2 内容提要 网络系统安全 数据通信设备 防火墙基本概念 防火墙相关技术 防火墙技术发展趋势 Policy NAT ALG VPN
Attack detection and defense 防火墙技术发展趋势 体系结构上的发展 系统功能上的发展

3 网络系统的风险和威胁 所有的软件都是有错的. 无处不在的攻击 通常情况下99.99%的无错程序很少出现问题.
安全相关的99.99%的无错程序可以确信会有人利用那0.01%的错误. 0.01%安全问题等于100%的失败. 无处不在的攻击 经济利益的驱使. 技术怪才们的成就感. 攻击的自动化, 远程化和协作化. 网络技术的普及也导致了攻击技术的广泛传播,包括攻击方法和攻击工具

4 网络系统安全的复杂性 网络元素的复杂性 管理模式的复杂性 信息安全和网络安全研究重点 PC主机: 硬件系统
OS系统: linux/windows/solaris/winCE/Vxworks/IOS/ 应用软件: 交换设备/路由设备: 多种的网络协议: 管理模式的复杂性 安全意识 内部人员的管理,权限分配和密码管理 错误的网络配置 安全措施实施的难度 信息安全和网络安全研究重点 信息安全: 机密性、鉴别、完整性和防抵赖性; 加密是其重点 网络安全:访问控制、可用性、审计管理等; 系统研究是其重点

5 数据通信网络拓扑结构 接入层: 包括DSL接入,以太网接入,光纤接入,拨号接入
边缘汇聚层: 主要采用千兆/百兆以太网三层交换机,或者BRAS设备,实现认证和计费. 核心汇聚层: 主要是千兆以太网交换机. 骨干层: 采用MSTP, DWDM等光纤技术进行传输.

6 数据通信设备 Hub集线器 连接多个网络设备,提供802.3协议的电气互联功能,不具有交换功能.所有的用户共享带宽. 交换机
二层交换机:利用端口和MAC地址的映射关系进行数据报文的转发. 三层交换机:具有二层交换机功能以及部分路由器的功能,实现利用IP地址和MAC地址进行转发. 路由器 边缘路由器:路由表相对较小. 核心路由器:大容量的路由表,高的处理能力. 网关:实现一种协议到另外一种协议的转换功能. 防火墙:作为一个网络接入到另外一个网络的安全控制点.

7 防火墙的定义 防火墙是位于两个(或多个)网络之间,实施网络间控制的一组组件的集合,它满足以下条件:
(1)内部和外部网络之间的数据都必须流经防火墙. (2)只有符合预先定义的安全策略的数据才能通过防火墙. (3)防火墙能够具有自我免疫的能力,能够抵制各种攻击. (4)防火墙具有完善的日志/报警/监控功能,良好的用户接口

8 防火墙的基本概念 Firewall Internet Trusted Network
DMZ Untrusted Firewall Internet 非受信网络(外网):防火墙外的网络,例如Internet,一个公司的外部出口网络. 受信网络(内网):防火墙内的网络,完全受保护的网络,例如一个公司的内部网络. 中立区(DMZ):堡垒区、非军事化区,为了配置方便，内网中需要向外提供服务的服务器通常放置在一个单独的网段，这个网段被称为中立区（DMZ）.

9 防火墙基本作用 防火墙越来越重要! 合理划分网络,设置访问控制点,保护私有网络. 防止进攻者接近内部网络 限制内部用户的外部访问行为
Outside World Private Network Unsolicited Request Response Disallowed 合理划分网络,设置访问控制点,保护私有网络. 防止进攻者接近内部网络 限制内部用户的外部访问行为 对外部隐藏内部网络细节 提供内部网络和外部网络的连通 几个数字： 30%：CERNET出口正常向国外访问流量占其带宽的30% 90%：受冲击波影响，CERNET出口流量占其带宽的90% 10:1：受冲击波影响，CERNET出口ICMP包与其他包的比为10：1 几近瘫痪…… 防火墙越来越重要!

10 防火墙的分类 应用层(代理)防火墙 包过滤防火墙 状态检测包过滤防火墙 工作在应用层,表示层或者连接层. 工作在传输层和网络层.
工作在传输层和网络层,除了进行数据包 安全规则匹配和过滤外,提供对于数据连 接的状态检测,这是目前主流的防火墙技 术(SPF: Stateful Packet Filtering) Physical Data Link Network Transport Session Presentation Application 应用层防火墙: 特点：可以提供复杂的访问控制；内容过滤功能；成熟的日志； 缺点：速度慢，只适合已知的应用协议； 包过滤防火墙:

11 防火墙分类-Packet Layer Filter
Filtering based on: SIP/DIP Sport/Dport Protocol Application Application Presentation Presentation Session Session Transport Transport Network Network Network DataLink DataLink DataLink Physical Physical Physical Firewall PROS: CONS: Application Independence High Performance Scalability Low Security No Screening Above the Network Layer (No “State” or Application-Context Information)

12 防火墙分类- Application-Layer Gateway
Telnet FTP HTTP Application Application Application Presentation Presentation Presentation Session Session Session Transport Transport Transport Network Network Network DataLink DataLink DataLink Physical Physical Physical Application Gateway Good Security Full Application-Layer Awareness Poorer Performance Limited Application Support Poor Scalability (Breaks the Client/Server Model) PROS CONS

13 防火墙分类- Stateful Packet Filters
Application Application Presentation Application Presentation Session Presentation Session Transport Session Transport Network Transport Network Network DataLink DataLink DataLink Physical Physical Physical INSPECT Engine Good Security Full Application-Layer Awareness Transparency Dynamic State Tables PROS Dynamic State Tables Session table Performance Mis-configuration CONS SPF主要处理第一个数据包,如果数据包符合相应的规则,将利用IP五元组建立session信息,配合ASIC芯片,对于后续的数据报文将匹配session进行转发.

14 防火墙的比较 应用层防火墙 包过滤防火墙 状态检测包过滤防火墙
特点：可以提供复杂的访问控制；内容过滤功能；成熟的日志； 缺点：速度慢，只适合已知的应用协议； 包过滤防火墙 特点：只针对IP地址（复杂的会根据协议及端口），不关心数据内容；速度快，对用户透明，无需配置； 缺点：1、无法对数据包内容做检查；2、无法提供详细记录；3、所有端口必须静态开放，无法控制高端口；4、复杂配置下容易出错; 状态检测包过滤防火墙 特点：速度快；更加安全；不易出错, 结合了包过滤 和应用层防火墙的两者的优点, 配合相关的硬件转发 部件可以实现更高的速度.

15 NP/ASIC/Switch chipset
防火墙的体系结构 RTOS:嵌入式实时操作系统 TCP/IP Stack: Policy:安全策略 PAT:地址转换 ALG:应用层网关 VPN:虚拟个人专用网. Policy Application AT ALG VPN TCP/UDP Transport Packet Filters Circuit Gateways Application Gateways IP Network Link Physical NP/ASIC/Switch chipset FE GE T1 E1

16 防火墙技术-Policy Trusted Untrusted Host Firewall Link Client Application
Physical Firewall Host Client Application Server Application IP TCP Trusted Untrusted Policy Addresses Service Schedule Action Address:定义规则的源区域和目的区域,源IP地址和目标IP地址 Service:如HTTP/FTP/SMTP/POP3/TELNET等应用层协议.和Address一起完成IP五元组的定义. Schedule:定义何时生效的时间信息,例如每天早上8:30分 Action:对于匹配数据报文的最终处理结果,一般包括丢弃/转发/VPN隧道封装.

17 防火墙技术-Policy AUTH Trusted Untrusted Host Firewall User:定义该规则限制的对象用户对象.
Link Physical Firewall Host Client Application Server Application IP TCP Trusted Untrusted Policy Addresses Users Authenticate AUTH User:定义该规则限制的对象用户对象. Authentication:定义该类用户进行认证的方式,如RADIUS/LDAP

18 防火墙技术-Policy Set group service com Set group service com add FTP-Put
Set group service com add MAIL Set group service com add POP3 Set group service internet Set group service internet add FTP-Get Set group service internet add HTTP Set group service internet add HTTPS Set group service web Set group service web add HTTP Set group service web add HTTPS Trust -> Untrust: set policy from trust to untrust eng any any permit set policy from trust to untrust office any Internet permit webauth set policy top from trust to untrust any any Com deny Untrust -> DMZ set policy from untrust to dmz any mail. abc. com mail permit set policy from untrust to dmz any www. abc. com Web permit

19 防火墙技术-NAT NAT: Network Address Translation,网络地址转换.实现内部网络私有IP地址到外部全局IP地址的映射. 一个公司从电信局仅仅分配一个公网的IP地址,如何实现内部用户都能够访问Internet? 一个公司只有一个IP地址,如何实现同时采用多台服务器提供Web/ 服务? NAT的作用 缓解IP地址耗尽 节约公用IP地址和金钱 实现TCP负载均衡 隐藏内部网络的细节 私有IP地址空间 Address Range Mask ~ / ~ / ~ /

20 防火墙技术-NAT Many-To-Many: 多对多的映射, 又包括 N-N, N-M, N-1
N-N映射: 实现内部网络的主机IP地址和外部网络IP地址一一映射关系. N-M映射: 实现内部网络的主机在上网时, 可以从一个较小的地址池中动态选择一个IP地址作为访问外部网络的IP地址. N-1映射: 实现内部网络的主机使用同一IP地址访问Internet.

21 防火墙技术-NAT NAT实例 NAT地址映射表 Inside  Outside Outside  Inside

22 通过NAT技术,可以实现内部网络的私有地址IP地址的重叠,达到节约IP地址的目的

23 防火墙技术-NAPT 可以实现一个IP地址多个主机共享Internet接入 利用NAPT可以将多台内部服务器提供的服务虚拟成一个服务器
解决: 实现多对一的映射(N-1映射). NAPT: Network Address and Port Translation. 可以实现一个IP地址多个主机共享Internet接入 利用NAPT可以将多台内部服务器提供的服务虚拟成一个服务器 Port 80  : 8080 Port 23  : 23 Port 21  : 21

24 防火墙技术-ALG NAT/NAPT存在的问题:对于在TCP/UDP报文中存在源IP地址的应用情况下,仅仅更改IP地址头部的源IP地址是不够的,还必须了解应用层协议的数据报报文,进行应用层协议数据报中相关地址的转换.这就是ALG的一种作用. ALG:应用层网关(application layer gateway),实现对于应用层数据的分析.例如实现更加细致的控制,可以实现FTP只能对外提供GET服务,不允许进行PUT操作等.

25 防火墙技术-ALG 需要ALG处理的协议和应用包括: FTP/DNS/SIP/SNMP/NetBIOS over TCP/UDP等.
Pinhole技术:对于类似于FTP的协议,应用程序的两个对端实体的通信端口是进行协商动态分配,这就要求防火墙能够识别,动态的生成安全策略,打开这些端口.这就是ALG中的Pinhole(针眼)技术的作用.包括: SIP/H.323等协议,而且这类协议越来越多.

26 防火墙技术-VPN VPN: 虚拟私有网virtual private network (VPN)提供了远端计算机之间,利用公共广域网络(例如Internet)进行安全通信的通道. VPN的好处 节约通信成本 充分利用Internet技术,更高带宽和更丰富的应用. 保证网上交易的安全性,促进E-commerce的发展. 保证企业接入的安全性,实现SOHO的生活方式.

27 防火墙技术-VPN VPN的应用环境 Intranet VPN - between Main and Branch Offices
Trading Partners Mobile Users Main Office Internet Intranet VPN - between Main and Branch Offices Extranet VPN - to trading partners and suppliers Mobile User VPN - for mobile employees

28 防火墙技术-VPN VPN Participation IPSec + IKE Internet 典型的VPN组网结构
Remote Office Optional Network Web Server FTP Server Corporate Network Mobile Users Router Internet Remote VPN ndoe Virtual Private Networking ISP VPN Participation IPSec + IKE

29 防火墙技术-VPN VPN的核心就是在两点之间建立安全通道(tunnel) Application Application vs
Data protected within communication link only Node-to-Node Tunnel Encryptor Firewall Server Client Network Data protected from end to end End-to-End Tunnel Application Application Node-to-Node Tunnel Security vs End-to-End Tunnel Security Network Network Data Data Physical Physical

30 防火墙技术-VPN PPTP (Point-to-Point Tunneling Protocol)*
L2TP (Layer 2 Tunneling Protocol)* GRE (Generic Routing Encapsulation) IP/IP (Internet Protocol/Internet Protocol) IPSec (IP Secure)* MPLS (Multi Protocol Label Switching) *supports encryption

31 L2TP提供用户认证机制,不提供数据加密,但是可以结合IPSEC实现L2TP-Over-IPSec的方式, 对于数据进行加密
ISP发起L2TP连接: firewall 主机直接L2TP连接: L2TP提供用户认证机制,不提供数据加密,但是可以结合IPSEC实现L2TP-Over-IPSec的方式, 对于数据进行加密

32 防火墙技术-加密 加密密钥的加密 对称密钥加密方法

33 防火墙技术-加密 公共密钥加密 非对称密钥加密

34 防火墙技术-加密 加密的方法 DES, IDEA, AES 密钥的产生 X.500目录服务 数字证书 X.509数字证书 密钥的分发
IKE: Internet key exchange

35 防火墙技术-IPSEC IPSec源自于提供IP级别安全特性的愿望 增加互联网协议在公司网络中的使用并将其用于敏感应用
VPN：确保安全的网络连接，否则，它将是不安全、不可信的 隧道：封装帧及数据的逻辑结构 IPSec = IP安全协议 IETF（互联网工程任务组）1992年制定的标准 1995年推出第1版 1998年11月推出改进版，具备动态管理安全参数的功能（IKE协议） IETF目前仍致力于它的研究 目标：防止截听数据流及非法的资源接入 方法：IPSec提供下面的全部或部分安全服务（取决于选择的选项）： 数据机密性 数据真实性（验证+ 完整性） à 持续接入控制 防止重放 当与严格的算法在安全的环境中一起使用时，可提高安全性

36 防火墙技术-IPSEC IPSec的基本概念: Transport and tunnel modes
Authentication Header (AH) protocol for authentication Encapsulating Security Payload (ESP)protocol for encryption (and authentication) Transport mode tunnel mode

37 由于IPSEC涉及太多的概念和内容,希望大家阅读PKI的资料
tunnel mode的应用: 相关加密算法: DES/3DES/MD5/SHA-1 密钥分配算法: IKE (Internet key exchange) 由于IPSEC涉及太多的概念和内容,希望大家阅读PKI的资料

38 防火墙技术-攻击检测与预防 网络攻击的一般步骤: 执行探测 探测网络拓扑,发现活动主机(IP address sweep)
检测活动主机的活动端口(port scans) 判断主机的操作系统,利用操作系统的已知漏洞实现攻击. 发动攻击 隐藏发动攻击的主机. 执行一系列攻击 删除或者销毁攻击证据

39 防火墙技术-防止IP扫描 IP地址扫描(IP address Sweep):攻击者通过ICMP请求报文的方式探测主机.
通过检测同一个source IP地址在一个时间间隔内发送的ICMP报文数来确定是否存在IP地址的扫描,如果发现,那么对于以后的ICMP进行抛弃

40 防火墙技术-防止端口扫描 端口扫描(port scanning):攻击源通过试探建立TCP连接来探测被攻击对象对外部提供的服务.

41 防火墙技术-防止OS类型探测 对于TCP数据报文中Flag位的异常设置,不同OS的TCP/IP协议栈具有不同的实现,将有不同的应答报文,攻击者将利用这个差别来决定操作系统. SYN and FIN are set FIN flag without ACK TCP header without Flag set 防火墙将检测这些非正常的TCP报文,实现对其丢弃.

42 防火墙技术-防止IP隐藏 攻击者主要利用IP数据包中的宽松源路由选项(Loose source route option)和严格源路由选项(Strict source route option),通过指定路由的方式,使得攻击数据包能够到达目标主机. 防火墙可以配置是否对于IP数据包的路由选项进行处理, 检测到这类数据报文可以进行抛弃.

43 防火墙技术- Deny of Service DoS:拒绝服务攻击的主要方法是通过向被攻击者发送大量的伪造的数据报文,导致被攻击者忙于处理伪造数据报文而不能处理合法的报文.其核心就是“资源耗尽”. DDoS:Distributed DOS,攻击者通过伪装IP地址,或者利用攻击代理,从多个攻击点向同一受攻击者发送攻击. 网络设备的资源 CPU处理能力 系统内存 数据带宽 内部核心数据结构: 例如防火墙的状态表; SOCKET连接 表. DoS的分类:根据攻击对象不同 Firewall DoS Attack: 由于防火墙是内部网络对外的通道,攻击者希望通过攻击防火墙实现内部网络的不可用性,这也是黑客的最大追求. Network DoS Attack: 导致网络设备的不可用性. OS Dos Attack: 导致主机操作系统直接崩溃.

44 防火墙技术-Firewall DoS attack
Session table flood(Session表淹没):恶意数据大量占用Session表. 解决方法: 基于源或目的的session限制 Session表的主动老化

45 防火墙技术-Firewall DoS attack
SYN-ACK-ACK Proxy flood 原因: 当一个需要认证的用户进行Telnet或者FTP服务时,防火墙将首先进行TCP 链接的代理, 提示用户输入用户名和密码,同时建立session表项. 解决: 配置相应的SYN-ACK-ACK最大数量,超过这个阀值则进行丢弃.

46 防火墙技术-Network DoS attack
攻击总类包括: SYN flood/ICMP flood/UDP flood 基本攻击原理(SYN flood) 解决方法: 代理服务/阈值限制 利用伪造的IP地址和被攻击者建立TCP链接, 在TCP链接的超时时间内建立大量的连接为完的TCP链接,导致被攻击者资源耗尽,不能对外提供服务.

47 防火墙技术-Network DoS attack
SYN-Flood攻击预防

48 防火墙技术-Network DoS attack
ICMP Flood预防

49 防火墙技术-Network DoS attack
UDP Flood预防(主要用于DNS的攻击)

50 防火墙技术-OS DoS attack Ping of Death攻击: IP数据报文的最长为65535字节,但是有些Ping的程序或者恶意代码允许构造的大于IP数据报文长度的ICMP报文,导致被攻击者在进行报文重组过程中存在缓冲区溢出,导致系统崩溃. 解决方法:防火墙将检测这些oversize的数据包,进行丢弃.

51 防火墙技术-OS DoS attack Teardrop attack(泪滴攻击):利用IP头部的错误分片偏移,导致系统崩溃.

52 防火墙发展趋势-外部环境变化 防火墙作为防御者, 需要更快, 更强, 更智能. 自动化程度和攻击速度增加
病毒的传播以小时计算，对网络影响越来越大…… 攻击工具越来越复杂 攻击工具越来越隐蔽，功能方式越来越多样…… 发现漏洞越来越快 发现漏洞远比修补漏洞的速度要快…… 针对网络设备的攻击越来越多 针对防火墙、路由器、DNS服务器的攻击越来越多…… 网络的智能越来越边缘化 需要在最低层次(接入层/汇聚层)提供网络安全控制. 防火墙作为防御者, 需要更快, 更强, 更智能.

53  Integrated security Router
防火墙发展趋势-体系结构 防火墙/交换机/路由器网络设备的融合 处理硬件化: 网络速度越来越快,做为网络控制结点的防火墙是网络带宽的瓶颈.通过NP或者ASIC的数据转发,结合SFP,由CPU实现第一个数据包的处理,而由硬件进行绝大多数的报文转发,大大提高速度. Router Host  Integrated security Router Host Client Application Server Application TCP TCP IP IP IP Link Link Link Link Physical Physical Physical NP/ASIC Physical

54 防火墙发展趋势-功能变化 Deep Inspection:深度检查,对于应用层的数据报文进行检查,发现是否存在攻击.

55 防火墙发展趋势-功能变化 Anti-virus防病毒功能:通过对SMTP/POP3/HTTP进行重组,检查其中的附件文件,通过内置或者外部的病毒扫描引擎检查是否存在病毒. 协议分析:因为对于象TCP这样的有链接的协议和一些应用层协议,都可以利用有穷状态机来描叙,协议分析就是根据有穷状态机来分析通信双方是否为正常的通信.

56 防火墙发展趋势-功能变化 增值业务的组合 外部的Anti-Virus服务器 外部的URL检查服务器 外部的Email内容过滤服务器
IDS的联动: IDS进行攻击检测后,能够通过对网络入口点的防火墙进行攻击描述,由防火墙进行控制,实现防火墙由被动防御角色到主动防御角色的转变.