1 / 56

防火墙技术及应用

数据通信安全教程. 防火墙技术及应用. David liang 2005 -11 -08 Liangli_cn@hotmail.com. 内容提要. 网络系统安全 数据通信设备 防火墙基本概念 防火墙相关技术 Policy NAT ALG VPN Attack detection and defense 防火墙技术发展趋势 体系结构上的发展 系统功能上的发展. 网络系统的风险和威胁. 所有的软件都是有错的. 通常情况下99.99%的无错程序很少出现问题. 安全相关的99.99%的无错程序可以确信会有人利用那0.01%的错误.

ranee
Télécharger la présentation

防火墙技术及应用

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 数据通信安全教程 防火墙技术及应用 David liang 2005 -11 -08 Liangli_cn@hotmail.com

  2. 内容提要 • 网络系统安全 • 数据通信设备 • 防火墙基本概念 • 防火墙相关技术 Policy NAT ALG VPN Attack detection and defense • 防火墙技术发展趋势 体系结构上的发展 系统功能上的发展

  3. 网络系统的风险和威胁 • 所有的软件都是有错的. • 通常情况下99.99%的无错程序很少出现问题. • 安全相关的99.99%的无错程序可以确信会有人利用那0.01%的错误. • 0.01%安全问题等于100%的失败. • 无处不在的攻击 • 经济利益的驱使. • 技术怪才们的成就感. • 攻击的自动化, 远程化和协作化. • 网络技术的普及也导致了攻击技术的广泛传播,包括攻击方法和攻击工具

  4. 网络系统安全的复杂性 • 网络元素的复杂性 PC主机: 硬件系统 OS系统: linux/windows/solaris/winCE/Vxworks/IOS/ 应用软件: 交换设备/路由设备: 多种的网络协议: • 管理模式的复杂性 安全意识 内部人员的管理,权限分配和密码管理 错误的网络配置 安全措施实施的难度 • 信息安全和网络安全研究重点 信息安全: 机密性、鉴别、完整性和防抵赖性; 加密是其重点 网络安全:访问控制、可用性、审计管理等; 系统研究是其重点

  5. 数据通信网络拓扑结构 接入层: 包括DSL接入,以太网接入,光纤接入,拨号接入 边缘汇聚层: 主要采用千兆/百兆以太网三层交换机,或者BRAS设备,实现认证和计费. 核心汇聚层: 主要是千兆以太网交换机. 骨干层: 采用MSTP, DWDM等光纤技术进行传输.

  6. 数据通信设备 • Hub集线器 连接多个网络设备,提供802.3协议的电气互联功能,不具有交换功能.所有的用户共享带宽. • 交换机 二层交换机:利用端口和MAC地址的映射关系进行数据报文的转发. 三层交换机:具有二层交换机功能以及部分路由器的功能,实现利用IP地址和MAC地址进行转发. • 路由器 边缘路由器:路由表相对较小. 核心路由器:大容量的路由表,高的处理能力. • 网关:实现一种协议到另外一种协议的转换功能. • 防火墙:作为一个网络接入到另外一个网络的安全控制点.

  7. 防火墙的定义 • 防火墙是位于两个(或多个)网络之间,实施网络间控制的一组组件的集合,它满足以下条件: (1)内部和外部网络之间的数据都必须流经防火墙. (2)只有符合预先定义的安全策略的数据才能通过防火墙. (3)防火墙能够具有自我免疫的能力,能够抵制各种攻击. (4)防火墙具有完善的日志/报警/监控功能,良好的用户接口

  8. 防火墙的基本概念 Untrusted Network Firewall Trusted Network DMZ 非受信网络(外网):防火墙外的网络,例如Internet,一个公司的外部出口网络. 受信网络(内网):防火墙内的网络,完全受保护的网络,例如一个公司的内部网络. 中立区(DMZ):堡垒区、非军事化区,为了配置方便,内网中需要向外提供服务的服务器通常放置在一个单独的网段,这个网段被称为中立区(DMZ). Internet

  9. 防火墙基本作用 Unsolicited Disallowed Private Network Outside World Request Response • 合理划分网络,设置访问控制点,保护私有网络. • 防止进攻者接近内部网络 • 限制内部用户的外部访问行为 • 对外部隐藏内部网络细节 • 提供内部网络和外部网络的连通 几个数字: 30%:CERNET出口正常向国外访问流量占其带宽的30% 90%:受冲击波影响,CERNET出口流量占其带宽的90% 10:1:受冲击波影响,CERNET出口ICMP包与其他包的比为10:1 几近瘫痪…… 防火墙越来越重要!

  10. 防火墙的分类 Application Presentation Session Transport Network Data Link Physical • 应用层(代理)防火墙 工作在应用层,表示层或者连接层. • 包过滤防火墙 工作在传输层和网络层. • 状态检测包过滤防火墙 工作在传输层和网络层,除了进行数据包 安全规则匹配和过滤外,提供对于数据连 接的状态检测,这是目前主流的防火墙技 术(SPF: Stateful Packet Filtering)

  11. 防火墙分类-Packet Layer Filter Filtering based on: SIP/DIP Sport/Dport Protocol Application Application Presentation Presentation Session Session Transport Transport Network Network Network DataLink DataLink DataLink Physical Physical Physical Firewall PROS: CONS: • Low Security • No Screening Above the Network Layer (No “State” or Application-Context Information) • Application Independence • High Performance • Scalability

  12. 防火墙分类- Application-Layer Gateway Telnet FTP HTTP Application Application Application Presentation Presentation Presentation Session Session Session Transport Transport Transport Network Network Network DataLink DataLink DataLink Physical Physical Physical Application Gateway • Good Security • Full Application-Layer Awareness • Poorer Performance • Limited Application Support • Poor Scalability(Breaks the Client/Server Model) PROS CONS

  13. 防火墙分类- Stateful Packet Filters Dynamic State Tables Dynamic State Tables Session table Application Presentation Application Application Session Presentation Presentation Transport Session Session Network Transport Transport Network Network DataLink DataLink DataLink Physical Physical Physical INSPECT Engine • Good Security • Full Application-Layer Awareness • Transparency PROS • Performance • Mis-configuration CONS SPF主要处理第一个数据包,如果数据包符合相应的规则,将利用IP五元组建立session信息,配合ASIC芯片,对于后续的数据报文将匹配session进行转发.

  14. 防火墙的比较 • 应用层防火墙 • 特点:可以提供复杂的访问控制;内容过滤功能;成熟的日志; • 缺点:速度慢,只适合已知的应用协议; • 包过滤防火墙 • 特点:只针对IP地址(复杂的会根据协议及端口),不关心数据内容;速度快,对用户透明,无需配置; • 缺点:1、无法对数据包内容做检查;2、无法提供详细记录;3、所有端口必须静态开放,无法控制高端口;4、复杂配置下容易出错; • 状态检测包过滤防火墙 • 特点:速度快;更加安全;不易出错, 结合了包过滤 和应用层防火墙的两者的优点, 配合相关的硬件转发 部件可以实现更高的速度.

  15. 防火墙的体系结构 RTOS:嵌入式实时操作系统 TCP/IP Stack: Policy:安全策略 PAT:地址转换 ALG:应用层网关 VPN:虚拟个人专用网. Policy Application ALG VPN AT TCP/UDP Transport Packet Filters Circuit Gateways Application Gateways IP Network Link Physical NP/ASIC/Switch chipset FE GE T1 E1

  16. 防火墙技术-Policy Untrusted Trusted Firewall Host Host Schedule Policy Action ClientApplication ServerApplication TCP TCP IP IP IP Service Link Link Link Link Addresses Physical Physical Physical Physical Address:定义规则的源区域和目的区域,源IP地址和目标IP地址 Service:如HTTP/FTP/SMTP/POP3/TELNET等应用层协议.和Address一起完成IP五元组的定义. Schedule:定义何时生效的时间信息,例如每天早上8:30分 Action:对于匹配数据报文的最终处理结果,一般包括丢弃/转发/VPN隧道封装.

  17. 防火墙技术-Policy Untrusted Trusted Firewall Host Host Authenticate Users Policy ClientApplication ServerApplication TCP TCP IP IP IP Link Link Link Link Addresses Physical Physical Physical Physical AUTH User:定义该规则限制的对象用户对象. Authentication:定义该类用户进行认证的方式,如RADIUS/LDAP

  18. 防火墙技术-Policy Set group service com Set group service com add FTP-Put Set group service com add MAIL Set group service com add POP3 Set group service internet Set group service internet add FTP-Get Set group service internet add HTTP Set group service internet add HTTPS Set group service web Set group service web add HTTP Set group service web add HTTPS Trust -> Untrust: set policy from trust to untrust eng any any permit set policy from trust to untrust office any Internet permit webauth set policy top from trust to untrust any any Com deny Untrust -> DMZ set policy from untrust to dmz any mail. abc. com mail permit set policy from untrust to dmz any www. abc. com Web permit

  19. 防火墙技术-NAT • NAT: Network Address Translation,网络地址转换.实现内部网络私有IP地址到外部全局IP地址的映射. • 一个公司从电信局仅仅分配一个公网的IP地址,如何实现内部用户都能够访问Internet? • 一个公司只有一个IP地址,如何实现同时采用多台服务器提供Web/Email服务? • NAT的作用 缓解IP地址耗尽 节约公用IP地址和金钱 实现TCP负载均衡 隐藏内部网络的细节 • 私有IP地址空间

  20. 防火墙技术-NAT Many-To-Many: 多对多的映射, 又包括 N-N, N-M, N-1 N-N映射: 实现内部网络的主机IP地址和外部网络IP地址一一映射关系. N-M映射: 实现内部网络的主机在上网时, 可以从一个较小的地址池中动态选择一个IP地址作为访问外部网络的IP地址. N-1映射: 实现内部网络的主机使用同一IP地址访问Internet.

  21. 防火墙技术-NAT NAT实例 NAT地址映射表 Inside  Outside Outside  Inside

  22. 防火墙技术-NAT 节约IP地址实例 通过NAT技术,可以实现内部网络的私有地址IP地址的重叠,达到节约IP地址的目的

  23. 防火墙技术-NAPT • 问题提出: 多个内部网络主机,但是只有一个或者几个外部IP地址. • 解决: 实现多对一的映射(N-1映射). NAPT: Network Address and Port Translation. 可以实现一个IP地址多个主机共享Internet接入 利用NAPT可以将多台内部服务器提供的服务虚拟成一个服务器 Port 80  10.1.1.10: 8080 Port 23  10.1.1.20: 23 Port 21  10.1.1.30: 21

  24. 防火墙技术-ALG • NAT/NAPT存在的问题:对于在TCP/UDP报文中存在源IP地址的应用情况下,仅仅更改IP地址头部的源IP地址是不够的,还必须了解应用层协议的数据报报文,进行应用层协议数据报中相关地址的转换.这就是ALG的一种作用. • ALG:应用层网关(application layer gateway),实现对于应用层数据的分析.例如实现更加细致的控制,可以实现FTP只能对外提供GET服务,不允许进行PUT操作等.

  25. 防火墙技术-ALG • 需要ALG处理的协议和应用包括: FTP/DNS/SIP/SNMP/NetBIOS over TCP/UDP等. • Pinhole技术:对于类似于FTP的协议,应用程序的两个对端实体的通信端口是进行协商动态分配,这就要求防火墙能够识别,动态的生成安全策略,打开这些端口.这就是ALG中的Pinhole(针眼)技术的作用.包括: SIP/H.323等协议,而且这类协议越来越多.

  26. 防火墙技术-VPN • VPN:虚拟私有网virtual private network (VPN)提供了远端计算机之间,利用公共广域网络(例如Internet)进行安全通信的通道. • VPN的好处 • 节约通信成本 • 充分利用Internet技术,更高带宽和更丰富的应用. • 保证网上交易的安全性,促进E-commerce的发展. • 保证企业接入的安全性,实现SOHO的生活方式.

  27. 防火墙技术-VPN Main Office Branch Offices Internet Mobile Users Trading Partners • VPN的应用环境 • Intranet VPN - between Main and Branch Offices • Extranet VPN - to trading partners and suppliers • Mobile User VPN - for mobile employees

  28. 防火墙技术-VPN VPN Participation IPSec + IKE Corporate Network Mobile Users ISP ISP Internet ISP ISP Router Optional Network Remote VPN ndoe Virtual Private Networking FTP Server Remote Office Web Server 典型的VPN组网结构

  29. 防火墙技术-VPN Node-to-Node Tunnel Data protected within communication link only Encryptor Encryptor Firewall Firewall Network End-to-End Tunnel Data protected from end to end • VPN的核心就是在两点之间建立安全通道(tunnel) Server Client Application Application Node-to-Node Tunnel Security vs End-to-End Tunnel Security Network Network Data Data Physical Physical

  30. 防火墙技术-VPN • PPTP (Point-to-Point Tunneling Protocol)* • L2TP (Layer 2 Tunneling Protocol)* • GRE (Generic Routing Encapsulation) • IP/IP (Internet Protocol/Internet Protocol) • IPSec (IP Secure)* • MPLS (Multi Protocol Label Switching) • *supports encryption

  31. 防火墙技术-L2TP ISP发起L2TP连接: firewall 主机直接L2TP连接: L2TP提供用户认证机制,不提供数据加密,但是可以结合IPSEC实现L2TP-Over-IPSec的方式, 对于数据进行加密

  32. 防火墙技术-加密 加密密钥的加密 对称密钥加密方法

  33. 防火墙技术-加密 公共密钥加密 非对称密钥加密

  34. 防火墙技术-加密 • 加密的方法 DES, IDEA, AES • 密钥的产生 X.500目录服务 数字证书 X.509数字证书 • 密钥的分发 IKE: Internet key exchange

  35. 防火墙技术-IPSEC • IPSec源自于提供IP级别安全特性的愿望 • 增加互联网协议在公司网络中的使用并将其用于敏感应用 • VPN:确保安全的网络连接,否则,它将是不安全、不可信的 • 隧道:封装帧及数据的逻辑结构 • IPSec = IP安全协议 • IETF(互联网工程任务组)1992年制定的标准 • 1995年推出第1版 • 1998年11月推出改进版,具备动态管理安全参数的功能(IKE协议) • IETF目前仍致力于它的研究 • 目标:防止截听数据流及非法的资源接入 • 方法:IPSec提供下面的全部或部分安全服务(取决于选择的选项): • 数据机密性 • 数据真实性(验证+ 完整性) à 持续接入控制 • 防止重放 • 当与严格的算法在安全的环境中一起使用时,可提高安全性

  36. 防火墙技术-IPSEC IPSec的基本概念: • Transport and tunnel modes • Authentication Header (AH) protocol for authentication • Encapsulating Security Payload (ESP)protocol for encryption (and authentication) Transport mode tunnel mode

  37. 防火墙技术-IPSEC tunnel mode的应用: 相关加密算法: DES/3DES/MD5/SHA-1 密钥分配算法: IKE (Internet key exchange) 由于IPSEC涉及太多的概念和内容,希望大家阅读PKI的资料

  38. 防火墙技术-攻击检测与预防 网络攻击的一般步骤: • 执行探测 • 探测网络拓扑,发现活动主机(IP address sweep) • 检测活动主机的活动端口(port scans) • 判断主机的操作系统,利用操作系统的已知漏洞实现攻击. • 发动攻击 • 隐藏发动攻击的主机. • 执行一系列攻击 • 删除或者销毁攻击证据

  39. 防火墙技术-防止IP扫描 IP地址扫描(IP address Sweep):攻击者通过ICMP请求报文的方式探测主机. 通过检测同一个source IP地址在一个时间间隔内发送的ICMP报文数来确定是否存在IP地址的扫描,如果发现,那么对于以后的ICMP进行抛弃

  40. 防火墙技术-防止端口扫描 端口扫描(port scanning):攻击源通过试探建立TCP连接来探测被攻击对象对外部提供的服务.

  41. 防火墙技术-防止OS类型探测 对于TCP数据报文中Flag位的异常设置,不同OS的TCP/IP协议栈具有不同的实现,将有不同的应答报文,攻击者将利用这个差别来决定操作系统. • SYN and FIN are set • FIN flag without ACK • TCP header without Flag set 防火墙将检测这些非正常的TCP报文,实现对其丢弃.

  42. 防火墙技术-防止IP隐藏 攻击者主要利用IP数据包中的宽松源路由选项(Loose source route option)和严格源路由选项(Strict source route option),通过指定路由的方式,使得攻击数据包能够到达目标主机. 防火墙可以配置是否对于IP数据包的路由选项进行处理, 检测到这类数据报文可以进行抛弃.

  43. 防火墙技术- Deny of Service • DoS:拒绝服务攻击的主要方法是通过向被攻击者发送大量的伪造的数据报文,导致被攻击者忙于处理伪造数据报文而不能处理合法的报文.其核心就是“资源耗尽”. • DDoS:Distributed DOS,攻击者通过伪装IP地址,或者利用攻击代理,从多个攻击点向同一受攻击者发送攻击. • 网络设备的资源 • CPU处理能力 • 系统内存 • 数据带宽 • 内部核心数据结构: 例如防火墙的状态表; SOCKET连接 表. • DoS的分类:根据攻击对象不同 Firewall DoS Attack: 由于防火墙是内部网络对外的通道,攻击者希望通过攻击防火墙实现内部网络的不可用性,这也是黑客的最大追求. Network DoS Attack: 导致网络设备的不可用性. OS Dos Attack: 导致主机操作系统直接崩溃.

  44. 防火墙技术-Firewall DoS attack • Session table flood(Session表淹没):恶意数据大量占用Session表. • 解决方法: 基于源或目的的session限制 Session表的主动老化

  45. 防火墙技术-Firewall DoS attack • SYN-ACK-ACK Proxy flood 原因: 当一个需要认证的用户进行Telnet或者FTP服务时,防火墙将首先进行TCP 链接的代理, 提示用户输入用户名和密码,同时建立session表项. 解决: 配置相应的SYN-ACK-ACK最大数量,超过这个阀值则进行丢弃.

  46. 防火墙技术-Network DoS attack • 攻击总类包括: SYN flood/ICMP flood/UDP flood • 基本攻击原理(SYN flood) • 解决方法: 代理服务/阈值限制 利用伪造的IP地址和被攻击者建立TCP链接, 在TCP链接的超时时间内建立大量的连接为完的TCP链接,导致被攻击者资源耗尽,不能对外提供服务.

  47. 防火墙技术-Network DoS attack • SYN-Flood攻击预防

  48. 防火墙技术-Network DoS attack • ICMP Flood预防

  49. 防火墙技术-Network DoS attack • UDP Flood预防(主要用于DNS的攻击)

  50. 防火墙技术-OS DoS attack • Ping of Death攻击: IP数据报文的最长为65535字节,但是有些Ping的程序或者恶意代码允许构造的大于IP数据报文长度的ICMP报文,导致被攻击者在进行报文重组过程中存在缓冲区溢出,导致系统崩溃. • 解决方法:防火墙将检测这些oversize的数据包,进行丢弃.

More Related