Download
1 / 75
780 likes | 1.02k Vues
防火牆之理論與實務. 臺華科技股份有限公司 工程處經理 崔存得 http://www.gennet.com.tw TEL: (06) 202-8767. 內容大綱. 資訊安全與防火牆 防火牆的基本型態 防火牆的應用型態 防火牆的常見功能 防火牆的區域聯防觀念 全方位的網路安全防火牆架構. 資訊安全. 系統安全. 網路安全. System Scanning Intrusion Detection Security Management ……. Firewall Authentication Access Control
E N D
防火牆之理論與實務 臺華科技股份有限公司 工程處經理 崔存得 http://www.gennet.com.tw TEL: (06) 202-8767 防火牆理論及實務
內容大綱 • 資訊安全與防火牆 • 防火牆的基本型態 • 防火牆的應用型態 • 防火牆的常見功能 • 防火牆的區域聯防觀念 • 全方位的網路安全防火牆架構 防火牆理論及實務
資訊安全 系統安全 網路安全 System Scanning Intrusion Detection Security Management …… Firewall Authentication Access Control Intrusion Detection …… 資訊安全 資料安全 Anti-Virus Cryptography Peer-to-Peer Security …… 防火牆理論及實務
網路保全的基本招式 • 無為而治不做安全防護 • 使用廠商原本就提供的最基本安全防護 • 雲深不知處隱藏式保全 • 藏起來, 讓別人不知到以避免被攻擊 • 鐵布衫主機保全 • 加強每一台主機的保全 • 金鐘罩網路保全 • 對整個網路環境做保全 • 防火牆、存取管理、認證方式、編碼加密…… 防火牆理論及實務
全方位資訊安全流程 1.風險評估 Risk Assessment 2.制訂安全政策 Security Policy 7.回報CERT 3.安全環境建置 Implementation 6.安全成效評估 Evaluation 5.安全稽核 Auditing 4.人員教育訓練 Training 防火牆理論及實務
整體安全政策 • 防火牆只是企業整體安全政策的一部份 • 企業需先訂定自己的安全政策,瞭解自己要保護的東西是什麼範圍有多大 • 安全分析 • 危機評估 • 企業需求分析 防火牆理論及實務
防火牆系統 • 防火牆系統是一個網路安全系統(軟體+硬體),負責: • 安全政策執行 • 網路路由轉換 • 網路狀況管理 防火牆理論及實務
Firewall Network A Network B 防火牆的原理 (1/2) • 位於網路與網路之間的裝置 • 謹慎地在一個控制點上限制網路之存取(Network Access Control) • 防止攻擊者接近防禦物 防火牆理論及實務
防火牆 Internet 企業內部網路 Who When What How Who When What How 防火牆的原理 (2/2) • 在兩個或多個網路間,用來強制執行網路安全政策的一個或一組系統 • 限制封包的來往交換,包括來源及目的主機位址、通訊協定、服務、流通方向等 防火牆理論及實務
防火牆做得到的事 • 避免內部網路直接暴露在外 • 形成內部網路與網際網路的咽喉點(Choke Point) ,是網路管理者落實安全政策的重點 • 網路安全可以集中管理,有效控制了所有封包的來源、目的地、流向、及應用服務 • 可以有效地記錄及監控企業與網際網路活動 • 進階的防火牆尚可主動偵測防止入侵,並可稽核與阻擋非法存取 防火牆理論及實務
防火牆做不到的事 • 無法控管不經過它的連線 • 無法辨出假造的封包 • 無法確保連線的可信度 • 無法避免data-driven的攻擊 • 無法防止內賊對內的侵害(traitors or idiots) 防火牆理論及實務
安全政策基本原則 • 內定值是“拒絕”: 沒有許可就是拒絕 • 不安全狀態 Fail-Safe Stance • “正面表列” • 較安全的策略 • 較不易使用 • 內定值是“允許”: 沒有禁止就是允許 • “負面表列” • 較不安全的策略 • 較易使用 防火牆理論及實務
Here We Are • 資訊安全與防火牆 • 防火牆的基本型態 • 防火牆的應用型態 • 防火牆的常見功能 • 防火牆的區域聯防觀念 • 全方位的網路安全防火牆架構 防火牆理論及實務
防火牆的基本型態 • 依實體區別 • 軟體防火牆 • 硬體防火牆 • 依功能區別 • 封包過濾 (Packet Filtering) • 應用層閘道(Application Gateway或Proxy) • 以上兩者的混合型 防火牆理論及實務
軟體防火牆 • 優點 • 架設較具彈性 • 擴充性較佳 • 功能較其全 • 方便搭配其他軟體 • 缺點 • 需搭配硬體架設 • 整體效能較硬體防火牆差 • 需補強原作業系統或使用專屬作業系統 • CheckPoint, BoderWare, Microsoft ISAS, Gauntlet, eTrust, SunScreen, CyberGuard, … 防火牆理論及實務
硬體防火牆 • 優點 • 軟硬體整合性佳 • 效能軟體防火牆佳 • 專屬作業系統較安全 • 缺點 • 硬體擴充性較差 • 管理功能需搭配其他軟體 • Cisco PIX, NetScreen, GNAT, Nokia, WebGuard, SonicWall 防火牆理論及實務
封包過濾 (1/4) • 檢查每一個通過的封包,依據事先定義好的規則而執行放行或阻擋的工作 • 依據封包標頭內容作檢查 • 來源地的 IP 位址 • 目的地的 IP 位址 • 協定(TCP, UDP, ICMP,…) • TCP或UDP的來源埠 • TCP或UDP的目的埠 • ICMP的訊息種類 • 依據封包到達時的介面 防火牆理論及實務
應用層 (Application) 應用層 (Application) 表現層 (Presentation) 表現層 (Presentation) 會談層 (Session) 會談層 (Session) 傳送層 (Transport) 傳送層 (Transport) 網路層 (Network) 網路層 (Network) 資料連接層 (Data Link) 資料連接層 (Data Link) 資料連接層 (Data Link) 實體層 (Physical) 實體層 (Physical) 實體層 (Physical) 封包過濾 (2/4) 靜態封包過濾 Static Packet Filtering 防火牆理論及實務
封包過濾 (3/4) • Service-dependent filtering • 過濾一般已知的服務 http, smtp, ftp, telnet • Service-independent filtering • 過濾不符合 TCP/IP 規範的連線 • Source IP address spoofing attacks • Source routing attacks • Tiny fragment attacks 防火牆理論及實務
應用層 (Application) 應用層 (Application) 應用層 (Application) 表現層 (Presentation) 表現層 (Presentation) 表現層 (Presentation) 會談層 (Session) 會談層 (Session) 會談層 (Session) 傳送層 (Transport) 傳送層 (Transport) 傳送層 (Transport) 網路層 (Network) 網路層 (Network) 網路層 (Network) 資料連接層 (Data Link) 資料連接層 (Data Link) 資料連接層 (Data Link) 實體層 (Physical) 實體層 (Physical) 實體層 (Physical) 封包過濾 (4/4)Stateful Packet Inspection Dynamic State Table 動態封包過濾 Dynamic Packet Filtering 防火牆理論及實務
應用層閘道(1/4) • 又稱代理者 (Proxy) 服務,是一個在防火牆主機上執行的特定應用程式 • 防火牆主機提供服務連結的第一站 • Proxy 接受使用者對Internet 服務(HTTP, FTP, Telnet) 請求,並依據此站台的安全策略,將此請求(允許/不允許)傳送給真正的服務 防火牆理論及實務
應用層閘道(2/4) proxy 客戶端 Internet 真正的伺服器 外部 PC 外部主機 proxy 伺服器 防火牆 企業內部網路 內部 PC 內部主機 proxy 客戶端 真正的伺服器 防火牆理論及實務
應用層 (Application) 應用層 (Application) 應用層 (Application) 表現層 (Presentation) 表現層 (Presentation) 表現層 (Presentation) 會談層 (Session) 會談層 (Session) 會談層 (Session) 傳送層 (Transport) 傳送層 (Transport) 傳送層 (Transport) 網路層 (Network) 網路層 (Network) 網路層 (Network) 資料連接層 (Data Link) 資料連接層 (Data Link) 資料連接層 (Data Link) 實體層 (Physical) 實體層 (Physical) 實體層 (Physical) 應用層閘道(3/4) HTTP FTP TELNET 防火牆理論及實務
應用層閘道(4/4) • 可過濾傳送的資料內容 (Content) • Content filtering • 可對使用者做認證 • User authentication • 可對不同的服務採取不同的安全政策 • FTP, WWW, E-mail, Telnet, ….. 防火牆理論及實務
封包過濾 vs. 應用代理 • 封包過濾防火牆 • 價格較低 • 性能負荷小﹐處理速度較快 • 定義複雜﹐容易出現因配置不當帶來問題 • 允許封包直接通過﹐容易造成資料內容式攻擊的潛在危險(如病毒) • 應用代理防火牆 • 安全﹐不允許封包通過防火牆﹐避免了service-independent式攻擊的發生 • 對所有服務都要有相對應的Proxy應用程序 • 無法運用在加密過的資訊(如 SSL) • 速度較慢﹐不太適用于高速網路(ATM或Giga乙太網等)之間的應用 防火牆理論及實務
Here We Are • 資訊安全與防火牆 • 防火牆的基本型態 • 防火牆的應用型態 • 防火牆的常見功能 • 防火牆的區域聯防觀念 • 全方位的網路安全防火牆架構 防火牆理論及實務
防火牆應用結構 • 傳統切割網段應用結構 • NAT應用結構 • 透明模式應用結構 • 校園網路應用結構 • DMZ 應用結構 防火牆理論及實務
傳統切割網段應用結構 Internet Firewall Firewall 內外皆用legal IP 專線/ADSL 路由器 Legal IP : 140.116.1.0 255.255.255.128 140.116.1.0 | 140.116.1.127 LAN DNS 140.116.1.1 Legal IP : 140.116.1.128 255.255.255.128 140.116.1.128 | 140.116.1.255 Desktop Mail Web 140.116.1.230 安裝防火牆所有內部機器預設閘道器設定為防火牆內部IP 防火牆理論及實務
Internet Firewall NAT應用結構 Firewall 內部(LAN)使用 Illegal IP 適用於真實IP不多的單位(如 ADSL) 專線/ADSL 路由器 Legal IP : 203.60.1.0 255.255.255.248 LAN DNS 192.168.1.1 Illegal IP : 192.168.1.0 255.255.255.0 Desktop Mail Web 192.168.1.X 192.168.1.2 192.168.1.3 Desktop: 使用多對 1 NAT Server: 使用 1 對 1 NAT 防火牆理論及實務
透明模式應用結構 Internet Firewall 專線/ADSL 路由器 Legal IP : 140.116.1.0 255.255.255.0 所有防火牆內部機器無視防火牆存在 LAN DNS Legal IP : 140.116.1.0 255.255.255.0 Desktop Mail Web 安裝防火牆所有內部機器都不需更改網路設定 防火牆理論及實務
校園網路應用結構 Internet 專線/ADSL 路由器 安全防護 Core RouteSwitch 安全防護 管制 安全防護 行政單位 宿舍 單學術單位 資訊中心 防火牆理論及實務
Internet DMZ 應用結構(1/2) • DMZ 「非軍事區」(De-Military Zone) • 作為企業內部網路與外部網路的緩衝區 • 制訂不同的保全政策 • 對外避免主機被入侵後危及內部網路 • 對內可管制稽核內部人員存取主機 Open Subnet DMZ for servers Firewall 內部網路 防火牆理論及實務
DMZ 應用結構(2/2) Internet DNS 專線/ADSL 路由器 Legal IP : 203.69.233.24 255.255.255.248 Firewall 內部(DMZ & LAN)使用 Illegal IP DMZ Web Mail Firewall Illegal IP : 192.168.2.0 255.255.255.0 Server: 使用 1 對 1 NAT LAN Illegal IP : 192.168.1.0 255.255.255.0 Desktop Desktop: 使用多對 1 NAT 防火牆理論及實務
Here We Are • 資訊安全與防火牆 • 防火牆的基本型態 • 防火牆的應用型態 • 防火牆的常見功能 • 防火牆的區域聯防觀念 • 全方位的網路安全防火牆架構 防火牆理論及實務
防火牆產品的常見功能(1/2) • 動態封包檢視 (Dynamic Packet Filter) • 應用程式代理服務 (Application Proxy) • 應用程式內容過濾功能 (Application Filtering) • 使用者認證 (User Authentication) • 網路安全防範機制 (Network System Security) 防火牆理論及實務
防火牆產品的常見功能(2/2) • 網路位址轉換 (Network Address Translation) • 虛擬私有網路 (Virtual Private Network) • 預警 (Alert) • 即時監控記錄 (Status Monitoring and Logging) • 監控記錄統計與分析 (Accounting and Log Analysis) 防火牆理論及實務
動態封包檢視 • 監控TCP/IP網路封包的行為 • 建置於TCP/IP通訊協定的二、三層間,對於應用程式具備完全透通性 • 建置於系統核心(Kernel) ,提供防火牆高效率的運作 防火牆理論及實務
應用程式代理服務 • 提供HTTP、TELNET、FTP、SMTP、POP3…等服務 • 允許內外存取Proxy服務 • 提供Application Filtering的過濾機制 防火牆理論及實務
應用程式內容過濾功能 • Email信件的限制 (SMTP) • 捨棄假來源地址的信件 • 可設定傳送信件的大小 • 可消除內部信件傳遞路徑資訊 • 提供E-mail位址轉換功能 • 檔案傳輸的限制 ( FTP) • 設定Read / Write權限 • 設定可傳輸的檔名 • Web的限制 (HTTP) • 設定可否使用FTP、HTTP 、GOPHER等權限 • 設定HTML內容可否含有GET、POST…… • 使用Wildcard(*)設定URL Location的內容 防火牆理論及實務
使用者認證 • 密碼機制 • One-Time Password • RADIUS, TACACS • 可限制 • 工作時間 • 是否多次登入 • 使用來源主機及目的地主機 • 使用的服務 • 連線時間 防火牆理論及實務
網路安全防範機制 (1/4) • Denial of Service • Anti-Spoofing • Ping of Death • Port Scanning • SYN Flooding • IP Options • Non-First Packet • Echo Bounce 防火牆理論及實務
網路安全防範機制 (2/4) 防火牆理論及實務
網路安全防範機制 (3/4) 防火牆理論及實務
網路安全防範機制 (4/4) 防火牆理論及實務
Internet Distributed Denial of Service Hacker 防火牆理論及實務
知名阻斷服務攻擊 • DOS • Bonk, Tear Drop • LAND • Jolt • DDOS • Trinoo • TFN, TFN2K • Stacheldraht • 新一代DOS • CodeRed • Nimda XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u68 58%ucbd3% u7801%u9090%u6858%ucbd3%u7801 %u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 - 防火牆理論及實務
NAT 網路位址轉換 (1/2) • 可增加內部網路的安全性 • 並解決學校內合法IP位址不足之問題 • 一對一轉換 • 對 Internet 服務的主機對應一個真實 IP • 多對一轉換 • 一般個人電腦共同對應一個IP 防火牆理論及實務
140.133.1.1 140.133.1.45 192.168.200.100 192.168.200.1 192.168.200.2 NAT 網路位址轉換 (2/2) Internet PC PC WWW 防火牆理論及實務
VPN 虛擬私有網路 (1/2) • IPSec Tunneling技術 • 使用DES or 3-DES加解密技術 • 不同的VPN網路,採用不同的Key 防火牆理論及實務
VPN 虛擬私有網路 (2/2) 密 VPN 分公司或協力廠商 Mobile User Firewall Secured Net Internet User Internet Router WWW DMZ Secured Net Firewall Hacker 防火牆理論及實務
