资源描述
1网络安全架构设计和网络安全设备的部署2主要内容主要内容n内网安全架构的设计与安全产品的部署内网安全架构的设计与安全产品的部署n安全扫描技术安全扫描技术n防火墙技术防火墙技术n入侵检测技术入侵检测技术nIPSec VPN和和SSL VPN技术技术3网络信息安全的基本问题网络信息安全的基本问题n网络信息安全的基本问题网络信息安全的基本问题q保密性保密性q完整性完整性q可用性可用性q可控性可控性q可审查性可审查性n最终要解决是使用者对基础设施的信心和最终要解决是使用者对基础设施的信心和责任感的问题。责任感的问题。4网络与信息安全体系网络与信息安全体系n要实施一个完整的网络与信息安全体系,要实施一个完整的网络与信息安全体系,至少应包括三类措施,并且三者缺一不可。至少应包括三类措施,并且三者缺一不可。q社会的法律政策、规章制度措施社会的法律政策、规章制度措施q技术措施技术措施q审计和管理措施审计和管理措施5网络安全设计的基本原则网络安全设计的基本原则n要使信息系统免受攻击,关键要建立起安全防御要使信息系统免受攻击,关键要建立起安全防御体系,从信息的保密性,拓展到信息的完整性、体系,从信息的保密性,拓展到信息的完整性、信息的可用性、信息的可控性、信息的不可否认信息的可用性、信息的可控性、信息的不可否认性等。性等。n在进行计算机网络安全设计、规划时,应遵循以在进行计算机网络安全设计、规划时,应遵循以下原则:下原则:q需求、风险、代价平衡分析的原则需求、风险、代价平衡分析的原则 q综合性、整体性原则综合性、整体性原则q一致性原则一致性原则q易操作性原则易操作性原则q适应性、灵活性原则适应性、灵活性原则q多重保护原则多重保护原则6网络安全解决方案网络安全解决方案n网络安全解决方案的基本概念网络安全解决方案的基本概念q网络安全解决方案可以看作是一张有关网络系网络安全解决方案可以看作是一张有关网络系统安全工程的图纸,图纸设计的好坏直接关系统安全工程的图纸,图纸设计的好坏直接关系到工程质量的优劣。到工程质量的优劣。q总体来说,网络安全解决方案涉及安全操作系总体来说,网络安全解决方案涉及安全操作系统技术、防火墙技术、病毒防护技术、入侵检统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术、认证和数字签名技术、测技术、安全扫描技术、认证和数字签名技术、VPN技术等多方面的安全技术。技术等多方面的安全技术。7n一份好的网络安全解决方案,不仅仅要考一份好的网络安全解决方案,不仅仅要考虑到技术,还要考虑到策略和管理。虑到技术,还要考虑到策略和管理。q技术是关键技术是关键q策略是核心策略是核心q管理是保证管理是保证n在整个网络安全解决方案中,始终要体现在整个网络安全解决方案中,始终要体现出这三个方面的关系。出这三个方面的关系。8网络安全解决方案设计网络安全解决方案设计9安全需求分析安全需求分析n网络系统的总体安全需求是建立在对网络网络系统的总体安全需求是建立在对网络安全层次分析基础上的。对于基于安全层次分析基础上的。对于基于TCP/IP协议的网络系统来说,安全层次是与协议的网络系统来说,安全层次是与TCP/IP协议层次相对应的。协议层次相对应的。n针对该企业网络的实际情况,可以将安全针对该企业网络的实际情况,可以将安全需求层次归纳为需求层次归纳为网络层安全网络层安全和和应用层安全应用层安全两个技术层次,同时将在各层都涉及的两个技术层次,同时将在各层都涉及的安安全管理全管理部分单独作为一部分进行分析。部分单独作为一部分进行分析。10网络层需求分析网络层需求分析n网络层安全需求是保护网络不受攻击,确保网络层安全需求是保护网络不受攻击,确保网络服务的可用性。网络服务的可用性。q保证同保证同Internet互联的边界安全互联的边界安全q能够防范来自能够防范来自Internet的对提供服务的非法利用的对提供服务的非法利用q防范来自防范来自Internet的网络入侵和攻击行为的发生的网络入侵和攻击行为的发生q对于内部网络提供高于网络边界更高的安全保护对于内部网络提供高于网络边界更高的安全保护11应用层需求分析应用层需求分析n应用层的安全需求是针对用户和网络应用应用层的安全需求是针对用户和网络应用资源的,主要包括:资源的,主要包括:q合法用户可以以指定的方式访问指定的信息;合法用户可以以指定的方式访问指定的信息;q合法用户不能以任何方式访问不允许其访问的合法用户不能以任何方式访问不允许其访问的信息;信息;q非法用户不能访问任何信息;非法用户不能访问任何信息;q用户对任何信息的访问都有记录。用户对任何信息的访问都有记录。12应用层要解决的安全问题包括应用层要解决的安全问题包括n非法用户利用应用系统的后门或漏洞,强非法用户利用应用系统的后门或漏洞,强行进入系统行进入系统n用户身份假冒用户身份假冒n非授权访问非授权访问n数据窃取数据窃取n数据篡改数据篡改n数据重放攻击数据重放攻击n抵赖抵赖13网络安全解决方案网络安全解决方案14电子政务网络拓扑概述电子政务网络拓扑概述内部核心子网INTERNET分支机构1分支机构215电子政务网络拓扑详细分析电子政务网络拓扑详细分析领导层子网分支机构2业务处室子网公共处室子网服务处室子网直属人事机构处室子网共享数据库子网INTERNET分支机构116电子政务网络风险及需求分析电子政务网络风险及需求分析领导层子网分支机构2业务处室子网公共处室子网服务处室子网直属人事机构处室子网共享数据库子网INTERNET分支机构1此人正试图进入网络监听并窃取敏感信息分支机构工作分支机构工作人员正试图在人员正试图在领导层子网安领导层子网安装木马装木马分支机构工作分支机构工作人员正试图越人员正试图越权访问业务子权访问业务子网安装木马网安装木马非内部人员正试图篡改公共网络服务器的数据17电子政务网络内网基础网络平台安全电子政务网络内网基础网络平台安全领导层子网业务处室子网公共处室子网服务处室子网直属人事机构处室子网共享数据库子网分支机构2分支机构1NEsec300 FW2035968?告 警内网接口外网接口电源NEsec300 FW2035968?告 警内网接口外网接口电源INTERNETNEsec300 FW2035968?告警内网接口外网接口电源防火墙防火墙FW1防火墙防火墙FW2防火墙防火墙FW3安全认证服务器安全认证服务器安全管理器安全管理器安全网关安全网关SG1安全网关安全网关SG2安全网关安全网关SG3路由器路由器路由器路由器路由器路由器交换机交换机NEsec300 FW2035968?告警内网接口外网接口电源18内网核心网络与各级子网间的安全设计内网核心网络与各级子网间的安全设计分支机构2INTERNET分支机构1NEsec300 FW2035968?告警内网接口外网接口电源 内部核心子网内部核心子网NEsec300 FW2035968?告 警内网接口外网接口电 源NEsec300 FW2035968?告警内网接口外网接口电源NEsec300 FW2035968?告警内网接口外网接口电源交换机交换机安全网关安全网关SG1安全网关安全网关SG2安全网关安全网关SG3路由器路由器路由器路由器路由器路由器安全管理器安全管理器安全认证服务器安全认证服务器19内网网络漏洞扫描系统设计内网网络漏洞扫描系统设计分支机构2INTERNET分支机构1NEsec300 FW2035968?告 警内网接口外网接口电源 内部核心子网内部核心子网NEsec300 FW2035968?告警内网接口外网接口电源NEsec300 FW2035968?告警内网接口外网接口电源NEsec300 FW2035968?告警内网接口外网接口电源交换机交换机安全网关安全网关SG1安全网关安全网关SG2安全网关安全网关SG3路由器路由器路由器路由器路由器路由器安全管理器安全管理器安全认证服务器安全认证服务器网络漏洞扫描器网络漏洞扫描器20内网网络入侵检测系统设计内网网络入侵检测系统设计分支机构2INTERNET分支机构1NEsec300 FW2035968?告警内网接口外网接口电源 内部核心子网内部核心子网NEsec300 FW2035968?告 警内网接口外网接口电 源NEsec300 FW2035968?告警内网接口外网接口电源NEsec300 FW2035968?告警内网接口外网接口电源交换机交换机安全网关安全网关SG1安全网关安全网关SG2安全网关安全网关SG3路由器路由器路由器路由器路由器路由器安全管理器安全管理器安全认证服务器安全认证服务器网络入侵检测探头网络入侵检测探头网络入侵策略管理器网络入侵策略管理器21电子政务外网基础平台安全设计电子政务外网基础平台安全设计INTERNET办公厅办公业务网办公厅办公业务网 (简称(简称“内网内网”)路由器路由器交换机交换机安全管理器安全管理器防火墙防火墙FW物理隔离器(物理隔离器(K1)E-MAIL服务器WWW服务器应用服务器数据库服务器22外网网络漏洞扫描系统设计外网网络漏洞扫描系统设计INTERNET办公厅办公业务网办公厅办公业务网 (简称(简称“内网内网”)路由器路由器交换机交换机安全管理器安全管理器防火墙防火墙FW物理隔离器(物理隔离器(K1)E-MAIL服务器WWW服务器应用服务器数据库服务器网络漏洞扫描器网络漏洞扫描器23外网网络入侵检测系统设计外网网络入侵检测系统设计INTERNET办公厅办公业务网办公厅办公业务网 (简称(简称“内网内网”)路由器路由器交换机交换机安全管理器安全管理器物理隔离器(K1)E-MAIL服务器WWW服务器应用服务器数据库服务器网络漏洞扫描器网络漏洞扫描器网络入侵检测探头网络入侵检测探头网络入侵策略管理器网络入侵策略管理器防火墙防火墙FW24外网外网WEB服务器安全设计服务器安全设计INTERNET办公厅办公业务网办公厅办公业务网 (简称(简称“内网内网”)路由器路由器交换机交换机安全管理器安全管理器物理隔离器(K2)E-MAIL服务器WWW服务器应用服务器数据库服务器防火墙防火墙FW物理隔离器(K1)办公厅办公业务网办公厅办公业务网 (简称(简称“内网内网”)政府系统办公政府系统办公业务资源网业务资源网(简称(简称“专专网网”)Web网站监测网站监测&自动修复系统自动修复系统 25内网、外网和专网的隔离系统设计内网、外网和专网的隔离系统设计INTERNET办公厅办公业务网办公厅办公业务网 (简称(简称“内网内网”)路由器路由器交换机交换机安全管理器安全管理器物理隔离器(物理隔离器(K2)E-MAIL服务器WWW服务器应用服务器数据库服务器防火墙防火墙FW物理隔离器(物理隔离器(K1)办公厅办公业务网办公厅办公业务网 (简称(简称“内网内网”)政府系统办公业政府系统办公业务资源网(简称务资源网(简称“专网专网”)26其它网络安全设备其它网络安全设备n拨号检测系统拨号检测系统n上网行为管理系统上网行为管理系统nDDOS防御网关防御网关nVPN网关网关n防病毒网关防病毒网关27安全扫描技术安全扫描技术n扫描目的扫描目的q查看目标网络中哪些主机是存活的(查看目标网络中哪些主机是存活的(Alive)q查看存活的主机运行了哪些服务查看存活的主机运行了哪些服务pWWWpFTPpEMAILpTELNETq查看主机提供的服务有无漏洞查看主机提供的服务有无漏洞28IP扫描扫描nIP扫描扫描Ping SweepingqPing使用使用ICMP协议进行工作协议进行工作29IP扫描扫描nICMP协议负责差错的报告与控制。比如目标不协议负责差错的报告与控制。比如目标不可达,路由重定向等等可达,路由重定向等等 qICMP报文格式报文格式p类型域类型域(type)用来指明该用来指明该ICMP报文的类型报文的类型p代码域代码域(code)确定该包具体作用确定该包具体作用 0 8 16 31 类型类型 代码代码 校验和校验和 其他字段(不同的类型可能不一样)其他字段(不同的类型可能不一样)数据区数据区 数据数据ICMP包头IP包头MAC帧头30IP扫描扫描n常用的常用的ICMP报文报文qPing程序使用程序使用ICMP Echo Request/Reply报文报文名称名称类型类型ICMP Destination Unreachable(目标不可达)(目标不可达)3ICMP Source Quench(源抑制)(源抑制)4ICMP Redirection(重定向)(重定向)5ICMP Timestamp Request/Reply(时间戳)(时间戳)13/14ICMP Address Mask Request/Reply(子网掩码)(子网掩码)17/18ICMP Echo Request/Reply(响应请求(响应请求/应答)应答)8/031端口扫描端口扫描n端口端口qInternet上主机间通讯总是通过端口发生的上主机间通讯总是通过端口发生的 n端口是入侵的通道端口是入侵的通道n端口分为端口分为TCP端口与端口与UDP端口端口n因此,端口扫描可分类为因此,端口扫描可分类为qTCP扫描扫描qUDP扫描扫描32端口扫描端口扫描n基本扫描基本扫描q用用Socket开发开发TCP应用应用服务器端服务器端客户端客户端33端口扫描端口扫描nconnect()connect()函数函数qint connect(SOCKET int connect(SOCKET s s,const struct sockaddr FAR,const struct sockaddr FAR*namename,int,int namelen namelen););q当当connectconnect返回返回0 0时,连接成功时,连接成功n基本的扫描方法即基本的扫描方法即TCP ConnectTCP Connect扫描扫描q优点优点p实现简单实现简单p可以用普通用户权限执行可以用普通用户权限执行q缺点缺点p容易被防火墙检测,也会目标应用所记录容易被防火墙检测,也会目标应用所记录34端口扫描端口扫描n隐秘扫描隐秘扫描服务器端服务器端客户端客户端connect35端口扫描端口扫描nTCP的连接建立过程的连接建立过程客户机客户机服务器服务器发送发送SYN seq=x 接收接收SYN报文报文 发送发送SYN seq=y,ACK ack=x+1 接收接收SYN+ACK 发送发送 ACK ack=y+1 接受接受ACK报文段报文段 36端口扫描端口扫描nSYN扫描扫描客户机客户机服务器服务器发送发送SYN seq=x 如果接收到如果接收到SYN+ACKSYN+ACK,表明服务器端口可连接表明服务器端口可连接如果服务器端口打开,如果服务器端口打开,则返回则返回SYN+ACKSYN+ACK如果服务器端口未打开,如果服务器端口未打开,则返回则返回RSTRSTSYN+ACK如果接收到如果接收到RSTRST,表明,表明服务器端口不可连接服务器端口不可连接RST37端口扫描端口扫描nSYN扫描的实现扫描的实现qWinSock2接口接口Raw Sock方式,允许自定义方式,允许自定义IP包包pSockRaw=socket(AF_INET,SOCK_RAW,IPPROTO_IP);qTCP包头标志位包头标志位0 16 31源端口源端口 目的端口目的端口 序列号序列号 确认号确认号 HLEN 保留保留 标志位标志位 窗口窗口 校验和校验和 紧急指针紧急指针 选项选项 填充填充 数据数据 保留保留保留保留Urgent Urgent pointpointACKACKPUSHPUSHRESETRESETSYNSYNFINFIN38端口扫描端口扫描nSYN扫描的优缺点扫描的优缺点q优点:优点:p一般不会被目标主机所记录一般不会被目标主机所记录q缺点:缺点:p运行运行Raw Socket时必须拥有管理员权限时必须拥有管理员权限39端口扫描端口扫描nFIN扫描扫描q关闭关闭TCP连接的过程连接的过程客户机客户机服务器服务器发送发送FIN seq=x 接收接收FIN 报文报文 发送发送FIN seq=y,ACK ack=x+1 接收接收FIN+ACK 发送发送 ACK ack=y+1 接受接受ACK报文段报文段 40端口扫描端口扫描n关闭一个并没有建立的连接,会产生以下情况关闭一个并没有建立的连接,会产生以下情况n对非连接对非连接FIN报文的回复报文的回复qTCP标准标准p关闭的端口关闭的端口返回返回RST报文报文p打开的端口打开的端口忽略忽略qBSD操作系统操作系统p与与TCP标准一致标准一致q其他操作系统其他操作系统p均返回均返回RST报文报文41TCP ACK扫描扫描n扫描主机向目标主机发送扫描主机向目标主机发送ACK数据包。根据返回的数据包。根据返回的RST数据包有两种方法可以数据包有两种方法可以得到端口的信息。得到端口的信息。n方法一是:方法一是:若返回的若返回的RST数数据包的据包的TTL值小于或等于值小于或等于64,则端口开放,反之端口关闭则端口开放,反之端口关闭n方法二是:方法二是:若返回的若返回的RST数数据包的据包的WINDOW值非零,值非零,则端口开放,反之端口关闭则端口开放,反之端口关闭TCP ACK扫描建立连接成功扫描建立连接成功TCP ACK扫描建立连接成功扫描建立连接成功42NULL扫描扫描n扫描主机将扫描主机将TCP数据包中的数据包中的ACK、FIN、RST、SYN、URG、PSH(接收端将数据接收端将数据转由应用处理转由应用处理)标志位置空后标志位置空后(保留的(保留的RES1和和RES2对扫对扫描的结果没有任何影响)发描的结果没有任何影响)发送给目标主机。若目标端口送给目标主机。若目标端口开放,目标主机将不返回任开放,目标主机将不返回任何信息。何信息。n若目标主机返回若目标主机返回RST信息,信息,则表示端口关闭。则表示端口关闭。NULL扫描建立连接成功扫描建立连接成功NULL扫描建立连接未成功扫描建立连接未成功43Xmas tree扫描扫描(圣诞树扫描圣诞树扫描)nXMAS扫描原理和扫描原理和NULL扫描扫描的类似,将的类似,将TCP数据包中的数据包中的ACK、FIN、RST、SYN、URG、PSH标志位置标志位置1后发送后发送给目标主机。在目标端口开放给目标主机。在目标端口开放的情况下,目标主机将不返回的情况下,目标主机将不返回任何信息任何信息n若目标端口关闭,则目标主机若目标端口关闭,则目标主机将返回将返回RST信息信息XMAS扫描建立连接成功扫描建立连接成功XMAS扫描建立连接未成功扫描建立连接未成功44端口扫描端口扫描n优点优点q不会被记录到日志不会被记录到日志q可以绕过某些防火墙可以绕过某些防火墙qnetstat命令不会显示命令不会显示netstate命令只能显示命令只能显示TCP连连接或连接的尝试接或连接的尝试n缺点缺点q使用使用RAW IP编程,实现起来相对比较复杂编程,实现起来相对比较复杂q利用利用BSD代码缺陷,可能被修复代码缺陷,可能被修复Open BSDq不同操作系统结果不同,因此不完全可信不同操作系统结果不同,因此不完全可信45端口扫描端口扫描nUDP端口扫描端口扫描q目前扫描目前扫描UDP端口只有一种方法:端口只有一种方法:q向目标向目标UDP端口发送一些随机数据,如果端口端口发送一些随机数据,如果端口关闭,则目标主机会回复关闭,则目标主机会回复ICMP端口不可达消端口不可达消息息46慢速扫描慢速扫描n随着防火墙的广泛应用,普通的扫描很难穿过防随着防火墙的广泛应用,普通的扫描很难穿过防火墙去扫描受防火墙保护的网络。即使扫描能穿火墙去扫描受防火墙保护的网络。即使扫描能穿过防火墙,扫描的行为仍然有可能会被防火墙记过防火墙,扫描的行为仍然有可能会被防火墙记录下来。录下来。n如果扫描是对非连续性端口、源地址不一致、时如果扫描是对非连续性端口、源地址不一致、时间间隔很长且没有规律的扫描的话,这些扫描的间间隔很长且没有规律的扫描的话,这些扫描的记录就会淹没在其他众多杂乱的日志内容中。使记录就会淹没在其他众多杂乱的日志内容中。使用慢速扫描的目的也就是这样,骗过防火墙和入用慢速扫描的目的也就是这样,骗过防火墙和入侵检测系统而收集信息。虽然扫描所用的时间较侵检测系统而收集信息。虽然扫描所用的时间较长,但这是一种比较难以被发现的扫描。长,但这是一种比较难以被发现的扫描。47乱序扫描乱序扫描n乱序扫描也是一种常见的扫描技术,扫描乱序扫描也是一种常见的扫描技术,扫描器扫描的时候不是进行有序的扫描,扫描器扫描的时候不是进行有序的扫描,扫描端口号的顺序是随机产生的,每次进行扫端口号的顺序是随机产生的,每次进行扫描的顺序都完全不一样,这种方式能有效描的顺序都完全不一样,这种方式能有效地欺骗某些入侵检测系统而不会被发觉。地欺骗某些入侵检测系统而不会被发觉。48漏洞扫描漏洞扫描q漏洞是指系统硬件、操作系统、软件、网络协议、漏洞是指系统硬件、操作系统、软件、网络协议、数据库等在设计上和实现上出现的可以被攻击者数据库等在设计上和实现上出现的可以被攻击者利用的错误、缺陷和疏漏。利用的错误、缺陷和疏漏。q漏洞扫描程序是用来检测远程或本地主机安全漏漏洞扫描程序是用来检测远程或本地主机安全漏洞的工具。洞的工具。q针对扫描对象的不同,漏洞扫描又可分为针对扫描对象的不同,漏洞扫描又可分为网络扫网络扫描描、操作系统扫描操作系统扫描、WWW服务扫描服务扫描、数据库扫数据库扫描描以及以及无线网络扫描无线网络扫描等。等。49端口扫描端口扫描n常用的端口扫描工具常用的端口扫描工具qUNIX下的端口扫描工具下的端口扫描工具pNmapqWindows下的端口扫描工具下的端口扫描工具pXScanpSuperScanpNmap for NT 50防火墙防火墙n建筑业中的防火墙用在建筑单位间,防止火势的建筑业中的防火墙用在建筑单位间,防止火势的蔓延。蔓延。n在网络安全领域中,防火墙用来指应用于在网络安全领域中,防火墙用来指应用于内部网内部网络络(局域网)和(局域网)和外部网络外部网络(Internet)之间的,用)之间的,用来来保护内部网络保护内部网络免受非法访问和破坏的网络免受非法访问和破坏的网络安全安全系统系统。51防火墙功能示意防火墙功能示意 两个不同网络安全域间通信流的两个不同网络安全域间通信流的唯一唯一通通道,对流过的网络数据进行检查,阻止道,对流过的网络数据进行检查,阻止攻击数据包通过。攻击数据包通过。安全网域一安全网域二52防火墙主要功能防火墙主要功能n过滤进、出网络的数据过滤进、出网络的数据;n防止不安全的协议和服务;防止不安全的协议和服务;n管理进、出网络的访问行为管理进、出网络的访问行为;n记录通过防火墙的信息内容与活动;记录通过防火墙的信息内容与活动;n对网络攻击进行检测与告警对网络攻击进行检测与告警;n防止外部对内部网络信息的获取防止外部对内部网络信息的获取n提供与外部连接的集中管理;提供与外部连接的集中管理;53防火墙不能防范的攻击防火墙不能防范的攻击n来自内部的安全威胁;来自内部的安全威胁;n病毒病毒n开放应用服务程序的漏洞;开放应用服务程序的漏洞;n特洛伊木马;特洛伊木马;n社会工程;社会工程;n不当配置不当配置54衡量防火墙三大要求衡量防火墙三大要求n安全安全q内部和外部间所有数据必须通过防火墙内部和外部间所有数据必须通过防火墙q只有符合安全策略的数据流才能通过防火墙只有符合安全策略的数据流才能通过防火墙q防火墙自身要安全防火墙自身要安全n管理管理q良好的人机交互界面良好的人机交互界面q提供强劲的管理及扩展功能提供强劲的管理及扩展功能n速度速度55防火墙发展历程防火墙发展历程主要经历了三个阶段:主要经历了三个阶段:n基于路由器的防火墙基于路由器的防火墙n基于通用操作系统的防火墙基于通用操作系统的防火墙n基于安全操作系统的防火墙基于安全操作系统的防火墙56防火墙分类防火墙分类按实现技术分类:按实现技术分类:q包过滤型包过滤型q代理型防火墙代理型防火墙按体系结构分类:按体系结构分类:q双宿双宿/多宿主机防火墙多宿主机防火墙q屏蔽主机防火墙屏蔽主机防火墙q屏蔽子网防火墙屏蔽子网防火墙q混合结构混合结构57包过滤防火墙包过滤防火墙n包过滤防火墙包过滤防火墙q在决定能否及如何传送数据包之外,还根据其在决定能否及如何传送数据包之外,还根据其规则集,看是否应该传送该数据包规则集,看是否应该传送该数据包n普通路由器普通路由器q当数据包到达时,查看当数据包到达时,查看IP包头信息,根据路由包头信息,根据路由表决定能否以及如何传送数据包表决定能否以及如何传送数据包 58静态包过滤防火墙静态包过滤防火墙 传输层传输层 传输层传输层 传输层传输层 59路由与包过滤路由与包过滤n路由进行转发,过滤进行筛选路由进行转发,过滤进行筛选源地址源地址目标地址目标地址协议协议是否允许是否允许Host ASever XTCPYESHost ASever XUDPNOHost A外部网络目标目标路由路由Sever X接口接口1Sever X60包过滤所检查的内容包过滤所检查的内容n源和目的的源和目的的IP地址地址 nIP选项选项 nIP的上层协议类型(的上层协议类型(TCP/UDP/ICMP)nTCP和和UDP的源及目的端口的源及目的端口 nICMP的报文类型和代码的报文类型和代码 我们称这种对包头内容进行简单过滤的方我们称这种对包头内容进行简单过滤的方式为式为静态包过滤静态包过滤61包过滤配置包过滤配置包过滤防火墙配置步骤:包过滤防火墙配置步骤:q知道什么是应该和不应被允许,制定安全策知道什么是应该和不应被允许,制定安全策略略q规定允许的包类型、包字段的逻辑表达规定允许的包类型、包字段的逻辑表达q用防火墙支持的语法重写表达式用防火墙支持的语法重写表达式62规则制定的策略规则制定的策略n拒绝任何访问,除非被规则特别允许拒绝任何访问,除非被规则特别允许 n允许任何访问,除非规则特别地禁止允许任何访问,除非规则特别地禁止 允许拒绝允许拒绝63规则制定的策略规则制定的策略过滤的两种基本方式过滤的两种基本方式n按服务过滤:根据安全策略决定是否允许按服务过滤:根据安全策略决定是否允许或拒绝某一种服务或拒绝某一种服务n按规则过滤:检查包头信息,与过滤规则按规则过滤:检查包头信息,与过滤规则匹配,决定是否转发该数据包匹配,决定是否转发该数据包64依赖于服务的过滤依赖于服务的过滤 多数服务对应特定的端口,如要封锁输多数服务对应特定的端口,如要封锁输Telnet、SMTP的连接,则的连接,则Router丢弃端口值为丢弃端口值为23和和25的的所有数据包。所有数据包。典型的过滤规则有以下几种:典型的过滤规则有以下几种:n只允许只允许进来进来的的Telnet会话连接到会话连接到指定的内部主机指定的内部主机n只允许只允许进来进来的的FTP会话连接到会话连接到指定的内部主机指定的内部主机n允许允许所有出去所有出去的的Telnet会话会话 n允许允许所有出去所有出去的的FTP会话会话n拒绝从某些指定的外部网络进来的所有信息拒绝从某些指定的外部网络进来的所有信息65按规则过滤按规则过滤n有些类型的攻击很难用基本包头信息加以鉴别,有些类型的攻击很难用基本包头信息加以鉴别,因为独立于服务。如果防范则需要定义规则因为独立于服务。如果防范则需要定义规则1)源)源IP地址欺骗攻击地址欺骗攻击 入侵者从伪装成源自一台内部主机的一个外部地点入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包;这些信息包似乎像包含了一个传送一些信息包;这些信息包似乎像包含了一个内部系统的源内部系统的源IP地址。如果这些信息包到达地址。如果这些信息包到达Router的外部接口,则舍弃每个含有这个源的外部接口,则舍弃每个含有这个源IP地地址的信息包,就可以挫败这种源欺骗攻击。址的信息包,就可以挫败这种源欺骗攻击。66按规则过滤按规则过滤2)源路由攻击)源路由攻击攻击者为信息包指定一个穿越攻击者为信息包指定一个穿越Internet的路由,的路由,这类攻击企图绕过安全措施,并使信息包沿一条意这类攻击企图绕过安全措施,并使信息包沿一条意外外(疏漏疏漏)的路径到达目的地。可以通过舍弃所有包的路径到达目的地。可以通过舍弃所有包含这类源路由选项的信息包方式,来挫败这类攻击。含这类源路由选项的信息包方式,来挫败这类攻击。3)残片攻击)残片攻击入侵者利用入侵者利用IP分段特性生成一个极小的片断并将分段特性生成一个极小的片断并将TCP报头信息肢解成一个分离的信息包片断,使数报头信息肢解成一个分离的信息包片断,使数据包绕过用户定义的过滤规则。黑客希望过滤路由据包绕过用户定义的过滤规则。黑客希望过滤路由器只检查第一分段,而允许其它分段通过。通过舍器只检查第一分段,而允许其它分段通过。通过舍弃所有协议类型为弃所有协议类型为TCP、IP报头中报头中Fragment Offset=1的数据包,即可挫败残片的攻击。的数据包,即可挫败残片的攻击。67推荐的规则推荐的规则n任何进入内网的数据包不能将内部地址作为源地址任何进入内网的数据包不能将内部地址作为源地址n任何进入内网的数据包必须将内部地址作为目标地任何进入内网的数据包必须将内部地址作为目标地址址n任何离开内网的数据包必须将内部地址作为源地址任何离开内网的数据包必须将内部地址作为源地址n任何离开内网的数据包不能将内部地址作为目标地任何离开内网的数据包不能将内部地址作为目标地址址n任何进入或离开内网的数据包不能把一个私有地址任何进入或离开内网的数据包不能把一个私有地址或者作为源或目标地址或者作为源或目标地址68静态包过滤的优缺点静态包过滤的优缺点优点:优点:n速度快速度快n价格低价格低n对用户透明对用户透明缺点:缺点:n配置难把握配置难把握n防范能力低防范能力低n没有用户身份验证机制没有用户身份验证机制69动态包过滤动态包过滤n动态包过滤是动态包过滤是Check Point的一项称为的一项称为“Stateful Inspection”的专利技术,也称状态的专利技术,也称状态检测防火墙检测防火墙。n动态包过滤防火墙不仅以一个数据包的内动态包过滤防火墙不仅以一个数据包的内容作为过滤的依据,还根据这个数据包在容作为过滤的依据,还根据这个数据包在信息流位置加以判断。信息流位置加以判断。n动态包过滤防火墙可阻止未经内网请求的动态包过滤防火墙可阻止未经内网请求的外部通信,而允许内网请求的外部网站传外部通信,而允许内网请求的外部网站传入的通信入的通信。70动态包过滤防火墙动态包过滤防火墙71使用动态包过滤制定的规则使用动态包过滤制定的规则Deny ip from$internal to any in via eth0Deny ip from not$internal to any in via eth1Allow$internal access any dns by udp keep stateAllow$Internal acess any www by tcp keep stateAllow$internal access any ftp by tcp keep stateDeny ip from any to any72动态包过滤的优缺点动态包过滤的优缺点n优点:优点:q基于应用程序信息验证一个包状态的能力基于应用程序信息验证一个包状态的能力q记录通过的每个包的详细信息记录通过的每个包的详细信息n缺点:缺点:q造成网络连接的迟滞造成网络连接的迟滞q系统资源要求较高系统资源要求较高73防火墙分类:防火墙分类:q包过滤包过滤q代理型防火墙:应用代理型代理型防火墙:应用代理型q代理型防火墙:电路代理型代理型防火墙:电路代理型q代理型防火墙:代理型防火墙:NAT74代理服务技术代理服务技术 代理服务技术能够将所有跨越防火墙的网代理服务技术能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机络通信链路分为两段。防火墙内外计算机系统间应用层的连接,由两个代理服务器系统间应用层的连接,由两个代理服务器之间的连接来实现,外部计算机的网络链之间的连接来实现,外部计算机的网络链路只能到达代理服务器,从而起到隔离防路只能到达代理服务器,从而起到隔离防火墙内外计算机系统的作用。火墙内外计算机系统的作用。75应用代理防火墙应用代理防火墙n工作在应用层工作在应用层n对所有规则内允许的应用程序作中转转发对所有规则内允许的应用程序作中转转发n牺牲了对应用程序的透明性牺牲了对应用程序的透明性76应用代理防火墙应用代理防火墙77应用代理应用代理n应用代理工作原理示意应用代理工作原理示意78应用代理防火墙应用代理防火墙应用代理服务器的安全性应用代理服务器的安全性n屏蔽内网用户与外网的直接通信,提供更屏蔽内网用户与外网的直接通信,提供更严格的检查严格的检查n提供对协议的控制,拒绝所有没有配置的提供对协议的控制,拒绝所有没有配置的连接连接n提供用户级控制,可近一步提供身份认证提供用户级控制,可近一步提供身份认证等信息等信息79应用代理的优缺点应用代理的优缺点n优点:优点:q可以隐藏内部网络的信息;可以隐藏内部网络的信息;q可以具有强大的日志审核;可以具有强大的日志审核;q可以实现内容的过滤;可以实现内容的过滤;n缺点:缺点:q价格高价格高q速度慢速度慢 q失效时造成网络的瘫痪失效时造成网络的瘫痪80电路级代理电路级代理n电路级代理因此可以同时为不同的服务,电路级代理因此可以同时为不同的服务,如如WEB、FTP、TELNET提供代理服即提供代理服即SOCKS代理,它工作在传输层。代理,它工作在传输层。81应用代理应用代理n应用代理工作在应用层,对于不同的服务,应用代理工作在应用层,对于不同的服务,必须使用不同的代理软件。必须使用不同的代理软件。FTP服务服务82电路级代理优缺点电路级代理优缺点优点:优点:n隐藏内部网络信息隐藏内部网络信息n配置简单,无需为每个应用程序配置一个配置简单,无需为每个应用程序配置一个代理代理缺点:缺点:n多数电路级网关都是基于多数电路级网关都是基于TCP端口配置,端口配置,不对数据包检测,可能会有漏洞不对数据包检测,可能会有漏洞83NAT防火墙防火墙NAT定义定义 NAT(Network Address Transla-tion)网络)网络地址翻译最初设计目的是用来增加私有组地址翻译最初设计目的是用来增加私有组织的可用地址空间和解决将现有的私有织的可用地址空间和解决将现有的私有TCP/IP网络连接到网上的网络连接到网上的IP地址编号问题地址编号问题 84NAT防火墙防火墙NAT提供的功能提供的功能n内部主机地址隐藏内部主机地址隐藏n网络负载均衡网络负载均衡n网络地址交叠网络地址交叠85NAT(网络地址翻译)(网络地址翻译)n根据内部根据内部IP地址和外部地址和外部IP地址的数量对应关系,地址的数量对应关系,NAT分为:分为:q基本基本NAT:简单的地址翻译:简单的地址翻译qM-1,多个内部网地址翻译到,多个内部网地址翻译到1个个IP地址地址qM-N,多个内部网地址翻译到,多个内部网地址翻译到N个个IP地址池地址池86NAT的优缺点的优缺点n优点优点q管理方便并且节约管理方便并且节约IP地址资源。地址资源。q隐藏内部隐藏内部 IP 地址信息。仅当向某个外部地址发地址信息。仅当向某个外部地址发送过出站包时,送过出站包时,NAT 才允许来自该地址的流量才允许来自该地址的流量入站。入站。n缺点缺点q外部应用程序却不能方便地与外部应用程序却不能方便地与 NAT 网关后面的网关后面的应用程序联系。应用程序联系。87防火墙布置防火墙布置n简单包过滤路由简单包过滤路由n双宿双宿/多宿主机模式多宿主机模式n屏蔽主机模式屏蔽主机模式n屏蔽子网模式屏蔽子网模式88包过滤路由包过滤路由内部网络内部网络外部网络外部网络包过滤路由器89双宿双宿/多宿主机模式多宿主机模式n堡垒主机:关键位置上用于安全防御的某堡垒主机:关键位置上用于安全防御的某个系统,攻击者攻击网络必须先行攻击的个系统,攻击者攻击网络必须先行攻击的主机。主机。n双宿双宿/多宿主机防火墙又称为双宿多宿主机防火墙又称为双宿/多宿网关多宿网关防火墙,它是一种拥有两个或多个连接到防火墙,它是一种拥有两个或多个连接到不同网络上的网络接口的防火墙,通常用不同网络上的网络接口的防火墙,通常用一台装有两块或多块网卡的堡垒主机做防一台装有两块或多块网卡的堡垒主机做防火墙,两块或多块网卡各自与受保护网和火墙,两块或多块网卡各自与受保护网和外部网相连外部网相连 90双宿双宿/多宿主机模式多宿主机模式内部网络内部网络外部网络外部网络应用代理服务器完成:应用代理服务器完成:对外屏蔽内网信息对外屏蔽内网信息设置访问控制设置访问控制对应用层数据严格检查对应用层数据严格检查91优点:优点:n配置简单配置简单n检查内容更细致检查内容更细致n屏蔽了内网结构屏蔽了内网结构缺点:缺点:n应用代理本身的安全性应用代理本身的安全性92屏蔽主机屏蔽主机内部网络内部网络外部网络外部网络93屏蔽主机屏蔽主机优点:优点:n双重保护,安全性更高。双重保护,安全性更高。实施策略:实施策略:n针对不同的服务,选择其中的一种或两种针对不同的服务,选择其中的一种或两种保护措施。保护措施。94屏蔽子网屏蔽子网内部网络内部网络外部网络外部网络95屏蔽子网屏蔽子网1)周边网络:非军事化区、停火区()周边网络:非军事化区、停火区(DMZ)n周边网络是另一个安全层周边网络是另一个安全层,是在外部网络与内是在外部网络与内部网络之间的附加的网络。部网络之间的附加的网络。n对于周边网络,如果某人侵入周边网上的堡对于周边网络,如果某人侵入周边网上的堡垒主机,他仅能探听到周边网上的通信。垒主机,他仅能探听到周边网上的通信。2)内部路由器(阻塞路由器):保护内部的)内部路由器(阻塞路由器):保护内部的网络使之免受网络使之免受Internet和周边子网的侵犯。和周边子网的侵犯。它为用户的防火墙执行大部分的数据包过滤它为用户的防火墙执行大部分的数据包过滤工作工作96屏蔽子网屏蔽子网n3)外部路由器:在理论上,外部路由器保)外部路由器:在理论上,外部路由器保护周边网和内部网使之免受来自护周边网和内部网使之免受来自Internet的的侵犯。实际上,外部路由器倾向于允许几侵犯。实际上,外部路由器倾向于允许几乎任何东西从周边网出站,并且它们通常乎任何东西从周边网出站,并且它们通常只执行非常少的数据包过滤。只执行非常少的数据包过滤。n外部路由器安全任务之一是:阻止从外部路由器安全任务之一是:阻止从Internet上伪造源地址进来的任何数据包。上伪造源地址进来的任何数据包。97优点优点n安全性较高安全性较高n可用性较好可用性较好缺点缺点n配置复杂配置复杂n成本高成本高98PIX994种管理访问模式种管理访问模式 n非特权模式非特权模式q PIX防火墙开机自检后,就是处于这种模式。系统显示为防火墙开机自检后,就是处于这种模式。系统显示为pixfirewall n特权模式特权模式q 输入输入enable进入特权模式,可以改变当前配置。显示为进入特权模式,可以改变当前配置。显示为pixfirewall#n配置模式配置模式q 输入输入configure terminal进入此模式,绝大部分的系统配置都在这进入此模式,绝大部分的系统配置都在这里进行。显示为里进行。显示为pixfirewall(config)#n监视模式监视模式q PIX防火墙在开机或重启过程中,按住防火墙在开机或重启过程中,按住Escape键或发送一个键或发送一个Break字符,进入监视模式。这里可以更新字符,进入监视模式。这里可以更新*作系统映象和口令作系统映象和口令恢复。显示为恢复。显示为monitor1006个基本命令个基本命令 nnameifninterfacenip addressnnatnglobalnroute 101nameif n配置防火墙接口的名字,并指定安全级别配置防火墙接口的名字,并指定安全级别 qPix525(config)#nameif ethernet0 outside security 0 qPix525(config)#nameif ethernet1 inside security 100qPix525(config)#nameif ethernet2 dmz security 50q在缺省配置中,以太网在缺省配置中,以太网0被命名为外部接口(被命名为外部接口(outside),),安全级别是安全级别是0;以太网;以太网1被命名为内部接口(被命名为内部接口(inside),安),安全级别是全级别是100。安全级别取值范围为。安全级别取值范围为199,数字越大安,数字越大安全级别越高。全级别越高。102interface n配置以太口参数配置以太口参数 nPix525(config)#interface ethernet0 auto qauto选项表明系统自适应网卡类型选项表明系统自适应网卡类型nPix525(config)#interface ethernet1 100fullq100full选项表示选项表示100Mbit/s以太网全双工通信以太网全双工通信 nPix525(config)#interface ethernet1 100full shutdown qshutdown选项表示关闭这个接口,若启用接口去掉选项表示关闭这个接口,若启用接口去掉shutdown103ip address nPix525(config)#ip address outside 61.144.51.42 255.255.255.248 nPix525(config)#ip address inside 192.168.0.1 255.255.255.0 n很明显,很明显,Pix525防火墙在外网的防火墙在外网的ip地址是,内地址是,内网网ip地址是地址是192.168.0.1 104nat n指定要进行转换的内部地址指定要进行转换的内部地址 n网络地址翻译(网络地址翻译(nat)作用是将内网的私有)作用是将内网的私有ip转换为外网的公有转换为外网的公有ip.nNat命令总是与命令总是与global命令一起使用,这是命令一起使用,这是因为因为nat命令可以指定一台主机或一段范围命令可以指定一台主机或一段范围的主机访问外网,访问外网时需要利用的主机访问外网,访问外网时需要利用global所指定的地址池进行对外访问。所指定的地址池进行对外访问。105nat命令配置语法命令配置语法nnat(if_name)nat_id local_ip netmark n其中(其中(if_name)表示内网接口名字,例如)表示内网接口名字,例如inside。nat_id用来标识全局地址池,使它用来标识全局地址池,使它与其相应的与其相应的global命令相匹配,命令相匹配,local_ip 表表示内网被分配的示内网被分配的ip地址。例如表示内网所有地址。例如表示内网所有主机可以对外访问。主机可以对外访问。netmark表示内网表示内网ip地址的子网掩码。地址的子网掩码。106nat例子例子n例例1Pix525(config)#nat(inside)1 0 0 q表示启用表示启用nat,内网的所有主机都可以访问外网,内网的所有主机都可以访问外网,用用0可以代表可以代表n例例2Pix525(config)#nat(inside)1 172.16.5.0 255.255.0.0 q表示只有这个网段内的主机可以访问外网。表示只有这个网段内的主机可以访问外网。107global n指定外部地址范围指定外部地址范围 nglobal命令把内网的命令把内网的ip地址翻译成外网的地址翻译成外网的ip地址或一地址或一段地址范围。段地址范围。nglobal命令的配置语法:命令的配置语法:global(if_name)nat_id ip_address-ip_address netmark global_mask n其中(其中(if_name)表示外网接口名字,例如)表示外网接口名字,例如outside.。Nat_id用来标识全局地址池,使它与其相应的用来标识全局地址池,使它与其相应的nat命命令相匹令相匹 配,配,ip_address-ip_address表示翻译后的单表示翻译后的单个个ip地址或一段地址或一段ip地址范围。地址范围。netmark global_mask表示全局表示全局ip地址的网络掩码。地址的网络掩码。108global 例子例子n例例1Pix525(config)#global(outside)1 61.144.51.42-61.144.51.48 q表示内网的主机通过表示内网的主机通过pix防火墙要访问外网时,防火墙要访问外网时,pix防火防火墙将使用这段墙将使用这段ip地址池为要访问外网的主机分配一个全地址池为要访问外网的主机分配一个全局局ip地址。地址。n例例2Pix525(config)#global(outside)1 61.144.51.42 q表示内网要访问外网时,表示内网要访问外网时,pix防火墙将为访问外网的所防火墙将为访问外网的所有主机统一使用这个单一有主机统一使用这个单一ip地址。地址。n例例3.Pix525(config)#no global(outside)1 61.144.51.42 q表示删除这个全局表项。表示删除这个全局表项。109route n设置指向内网和外网的静态路由(设置指向内网和外网的静态路由(route)定义一条静态路由。定义一条静态路由。nroute命令配置语法:命令配置语法:route(if_name)0 0 gateway_ip metric n其中(其中(if_name)表示接口名字,例如)表示接口名字,例如inside,outside。gateway_ip表示网关路由表示网关路由器的器的ip地址。地址。metric表示到表示到gateway_ip的的跳数。通常缺省是跳数。通常缺省是1。110n例例1 Pix525(config)#route outside 0 0 61.144.51.168 1 q表示一条指向边界路由器(表示一条指向边界路由器(ip地址)的缺省路由。地址)的缺省路由。n例例2 Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1 q创建了一条到网络的静态路由,静态路由的下一条路由创建了一条到网络的静态路由,静态路由的下一条路由器器ip地址是地址是172.16.0.1 n Pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1 111static n配置静态配置静态IP地址翻译地址翻译n如果从外网发起一个会话,会话的目的地址是一如果从外网发起一个会话,会话的目的地址是一个内网的个内网的ip地址,地址,static就把内部地址翻译成一个就把内部地址翻译成一个指定的全局地址,允许这个会话建立。指定的全局地址,允许这个会话建立。nstatic(internal_if_name,external_if_name)outside_ip_address inside_ ip_address q其中其中internal_if_name表示内部网络接口,安全级别较表示内部网络接口,安全级别较高,如高,如inside。external_if_name为外部网络接口,安全为外部网络接口,安全级别较级别较 低,如低,如outside等。等。outside_ip_address为正在访为正在访问的较低安全级别的接口上的问的较低安全级别的接口上的ip地址。地址。inside_ ip_address为内部网络的本地为内部网络的本地ip地址。地址。112conduit n管道命令管道命令n前面讲过使用前面讲过使用static命令可以在一个本地命令可以在一个本地ip地址地址和一个全局和一个全局ip地址之间创建了
展开阅读全文