1 / 72

如何活用防火牆 做好網路安全防護

如何活用防火牆 做好網路安全防護. 主講:陳建民. Outline. 為何需使用防火牆 防火牆種類 封包過濾型 應用程式過濾型 防火牆網路架構 標準架構 3-Home 架構 多層次架構 如何建置防火牆系統 如何定義存取的原則以限制未經授權的使用者存取您的網路 如何管理防火牆的日誌以了解防火牆保護企業網路的作為 如何掌握防火牆的運作異常現象,用最安全的機制保護您的網路. Outline. Firewall 的設定 個人防火牆 商用防火牆 防火牆測試. Internet. 企業網路的現況. Mobile 用戶. 商業夥伴. 危機四伏.

joy-reed
Télécharger la présentation

如何活用防火牆 做好網路安全防護

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 如何活用防火牆做好網路安全防護 主講:陳建民

  2. Outline • 為何需使用防火牆 • 防火牆種類 • 封包過濾型 • 應用程式過濾型 • 防火牆網路架構 • 標準架構 • 3-Home架構 • 多層次架構 • 如何建置防火牆系統 • 如何定義存取的原則以限制未經授權的使用者存取您的網路 • 如何管理防火牆的日誌以了解防火牆保護企業網路的作為 • 如何掌握防火牆的運作異常現象,用最安全的機制保護您的網路

  3. Outline • Firewall的設定 • 個人防火牆 • 商用防火牆 • 防火牆測試

  4. Internet 企業網路的現況 Mobile用戶 商業夥伴 危機四伏 Internet用戶 企業網路 企業分公司

  5. 常見的威脅 • 粗心大意或不滿的員工 • 社交工程攻擊(Social Engineering) • 揚名攻擊 • 電腦病毒(Computer Virus) • 惡性程式(Computer Malware) • 電腦蠕蟲、特洛伊木馬、惡作劇程式 • 惡性的商業競爭 • 電腦駭客(Hacker)

  6. 常見的威脅(2)埠掃描 • 埠掃描(Port Scanning) Port Service 20?… closed 21?… FTP 22?… closed 23?… closed 24?… closed 25?… SMTP Attacker Port Scan Web Server

  7. 常見的威脅(3)阻斷服務攻擊 • 阻斷服務攻擊(Denial of Service Attacks) • 磁碟空間(Disk Space) • 網路頻寬(Bandwidth) • 緩衝區(Buffers) • 中央處理器使用量(CPU Cycles Usage)

  8. 安全的建議 建置 • 妥善的建置 • 完善的管理 • 持續的稽核 安全的環境 稽核 管理

  9. 企業網站 公開 市場行銷 內部 人事、薪資 機密 核心技術 極機密 安全等級的劃分

  10. 防火牆的功能 • 網路流量過濾(Packet Filter) • 過濾未經授權的網路流量 • 資料內容過濾(Application Filter) • 網路位置轉譯(NAT、PAT) • 解決IP位址不足的問題 • 保護內部網路位址配置 • 隱藏網際網路服務的真實位址

  11. 防火牆技術的種類 • 封包過濾(Packet Filter) • 靜態(Static) • 檢查來源端與目的端的網路位址及埠號 • 動態(Dynamic or Stateful Inspection) • 設置了一個連結狀態表 ,將過往交通的狀態記錄下來 • 可以分辨出那些是從企業外發出的通信服務要求,而那些是回應企業內發出通信服務的返回資料 • 應用層級過濾(Application Filter) • 檢查資料內容 • 自由擴充功能

  12. 封包過濾(Packet Filter) 目的端位址 來源端位址 目的端埠號 來源端埠號 資料 TCP/UDP封包 IP封包

  13. ACK=1 ACK=1 FIN=1,ACK=1 SYN=1 ACK=1 SYN=1,ACK=1 FIN=1,ACK=1 動態過濾與靜態過濾的差異性TCP連線的建立與停止 TCP連線的建立 TCP連線的結束

  14. 動態過濾與靜態過濾的差異性埠掃描的方式 – SYN與FIN的掃描 攻擊者 Internet 內部網路 防火牆

  15. Application Filter TCP/UDP TCP/UDP IP IP 應用程式過濾(Application Filter)

  16. 如何選擇防火牆的網路架構 • 堡壘主機式架構(BastionHost) • 3-Homed架構 • 多層次架構(Multi-Layered)

  17. Internet 堡壘主機式架構(Bastion Host) • 基本防護 • 管理容易 • 成本低 防火牆 內部網路

  18. Internet 3-Homed架構 • 管理容易 • 相對安全 非軍事管制區 DMZ Perimeter Network 防火牆 內部網路

  19. 多層次架構(Multi-Layered) • 管理具彈性 • 安全性較佳 • 成本較高 Internet 非軍事管制區 DMZ Perimeter Network 外部防火牆 內部防火牆 內部網路

  20. 各式防火牆架構的比較

  21. 防火牆的建置 開始 了解企業的需求 選擇適當的防火牆產品 決定網路架構 安裝防火牆 設定防火牆 完成 測試防火牆

  22. 設定防火牆的技巧 • 路由(Routing) • 封包過濾(Packet Filtering) • 網路位址轉譯(NAT、PAT)

  23. 路由(Routing) 192.168.0.0 255.255.255.0 Internet 202.132.10.160 | 202.132.10.175 255.255.255.240 202.132.10.176 | 202.132.10.191 255.255.255.240 202.132.10.160 | 202.132.10.191 255.255.255.224

  24. 封包過濾(Packet Filtering) ICMP HTTP FTP SMTP 存取規則

  25. 網路位址轉譯(NAT、PAT) NATInternal IP = 192.168.0.1External IP = 202.132.10.10 Internet IP = 192.168.0.3 Web ServerIP = 131.107.50.1 IP = 192.168.0.4 2323 IP = 192.168.0.5

  26. 設定防火牆的存取控制原則 開始 決定需求 定義規則 測試設定 修正設定 完成 套用生效

  27. 設定防火牆的存取控制原則 • 注意事項 • 注意”預設的狀態” • 全部啟用 or 全部拒絕 • 以最嚴格的方式進行設定 • 紀錄所有的設定項目 • 定期稽核使用情形

  28. 防火牆的紀錄(Logging)

  29. 防火牆的監測與警示 • 入侵偵測 • 效能工具 • 警示通知 • E-Mail • 呼叫器 • 執行程式

  30. Firewall的架設 • 不同的系統可以針對不同的安全需求架設防火牆 • 堡壘主機式防火牆(Bastion Host Firewall) • 雙閘式防火牆(Dual-Homed Firewall) • 屏障單機式防火牆(Screened Host Firewall) • 屏障子網域式防火牆(Screened Subnet Firewall)

  31. Firewall的架設 • 堡壘主機式防火牆(Bastion Host Firewall) • 屬於封包過濾器 • 有兩塊網路卡 • 進出的封包均需經過該防火牆的檢查 • 內部網路與外部網路的交通無法直接相連 • 封包均需透過該堡壘主機的轉送

  32. Firewall的架設 • 堡壘主機式防火牆 (Bastion Host Firewall) Internet 網卡 網卡 外部網路 堡壘主機式防火牆 內部網路

  33. Firewall的架設 • 雙閘式防火牆(Dual-Homed Firewall) • 屬於代理伺服器型防火牆的一種 • 有兩塊網路卡 • 需安裝一特殊軟體-應用服務轉送器(Application Forwarder) • 所有的網路應用服務封包都需經過該應用服務轉送器的檢查 • 應用服務轉送器將過濾掉不被系統所允許的服務要求封包

  34. Firewall的架設 • 雙閘式防火牆(Dual-Homed Firewall) 應用服務 轉換器 Internet 網卡 網卡 雙閘式防火牆 伺服端 客戶端 內部網路

  35. Firewall的架設 • 屏障單機式防火牆(Screened Host Firewall) • 屬於結合封包過濾器及代理伺服器功能的一種架構 • 硬體設備除了一主機並需一路由器 • 路由器 • 必須有封包過濾的功能 • 主機 • 負責過濾及處理網路服務要求封包

  36. Firewall的架設 • 屏障單機式防火牆(Screened Host Firewall) 防火牆主機 Internet 路由器 屏障子網域 內部網路

  37. Firewall的架設 • 屏障子網域式防火牆(Screened Subnet Firewall) • 屏障子網域(Screen Subnet),以加強系統的安全性 • 結合了許多個主機及兩個路由器 • 屏障子網域架設在外部網路與內部網路之間 • 對外公開的應用伺服主機均需架設在屏障子網域內 • 用外部路由器隔開外部網路與屏障子網域 • 內部路由器則隔開內部網路與屏障子網域 • 將內部網路的架構、各主機IP位址及名稱(Domain Name)完全隱藏起來 • 多次的過濾、檢查 • IP位址轉換的安全措施

  38. Firewall的架設 • 屏障子網域式防火牆(Screened Subnet Firewall) WWW Server Mail Server Internet 路由器 路由器 FTP Server 內部路由器 保壘式主機 外部路由器 屏障子網域 公司內部網路

  39. Firewall的缺點 • 易形成網路上的交通瓶頸 • 防火牆一旦被攻破,入侵者將可肆無忌憚地為所欲為 • 無法防止內部網路的使用者利用其合法的身份作破壞系統的行為 • 無法有效阻止開後門的行為 • 無法有效阻止有心人士利用原作業系統的漏洞進行入侵破壞行為 • 防火牆不提供資料完整性驗證的功能

  40. 個人防火牆 • 如何設定winxp的個人防火牆 • 其他personal firewall • 如何檢查電腦的port是否被封鎖 • 檢視firewall log

  41. winxp的個人防火牆 • 啟動 / 關閉 • 基本設定 • Windows firwwall 只阻檔單向封包(由外至內)。 • 設定那些程式或服務可以通過firewall • 暫時調高安全性:勾選不允許例外 • 進階設定 • 使某個連線不受firewall保護 • 開放特定的由外至內的port (用於本機擔任server 時) • 允許回應他人的 ping • 設定firewall log

  42. Sygate personal firewall • Sygate Personal Firewall • 操作手冊 • 重要設定 • 規則設定 (Tools \ Advanced Rules…) (Ref 4)

  43. Firewall 規則設定練習 ICMP HTTP FTP SMTP 存取規則

  44. 如何關閉特定的服務 • 電腦管理 \ 服務及應用程式 • 範例:手動啟動 telnet • 以 netstat –an ,檢視 port 23是否開啟。 • 範例:如何關閉網路芳鄰 • 停用 NetBIOS over TCP / IP • TCPIP \ 進階 \ wins • File and printer sharing for microsoft networks

  45. 如何關閉網路芳鄰

  46. 檢視firewall log • Winxp firewall • Sygate Personal Firewall

  47. 如何檢查電腦的port是否被封鎖 • 使用tools • Ip-tools • 使用網站提供的工具 • Shields Up • 那些port該封鎖? • 其他

  48. 那些port該封鎖?駭客攻擊十大port(2003年7~2003年12月)資料來源:賽門鐵克公司那些port該封鎖?駭客攻擊十大port(2003年7~2003年12月)資料來源:賽門鐵克公司

  49. 專業防火牆功能說明 • 封包過濾(規則控管) • 頻寬管理 • IM/P2P 管理 • 阻絕外來攻擊 • 異常網路行為的偵測

  50. 封包過濾 • 以目的地或來源地IP及存取的服務作為過濾的條件 • 訂定政策, Outgoing 或 Incoming • 觀察記錄以瞭解Firewall是否有正常工作 • 開放需要的服務,關閉其餘不需要的服務有助於安全性的提升

More Related