信息系统安全技术--防火墙技术

,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,单击此处编辑母版标题样式,信息系统安全技术,-防火墙技术,Server,Client,防火墙（Firewall）,注解：防火墙类似一堵城墙，将服务器与客户主机进行物理隔离，并在此基础上实现服务器与客户主机之间的授权互访、互通等功能。,防火墙概念,防火墙特征,防火墙功能,协议与服务,防火墙技术内容,防火墙体系结构,防火墙实现策略,对防火墙技术与产品发展的介绍,对防火墙技术的展望,内容提要,防火墙概念,防火墙是指设置在不同网络或网络安全域（公共网和企业内部网）之间的一系列部件的组合。它是不同网络（安全域）之间的唯一出入口，能根据企业的安全政策控制（允许 、拒绝 、 监测）出入网络的信息流，且本身具有很高的抗攻击能力，它是提供信息安全服务，实现网络和信息安全的基础设施。,防火墙特征,保护脆弱和有缺陷的网络服务,集中化的安全管理,加强对网络系统的访问控制,加强隐私,对网络存取和访问进行监控审计,保护脆弱和有缺陷的网络服务,一个防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS,协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。,防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员,。,防火墙特征(cont.),防火墙特征(cont.),集中化的安全管理,通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。,加强对网络系统的访问控制,一个防火墙的主要功能是对整个网络的访问控制。比如防火墙可以屏蔽部分主机，使外部网络无法访问，同样可以屏蔽部分主机的特定服务，使得外部网络可以访问该主机的其它服务，但无法访问该主机的特定服务。,防火墙不应向外界提供网络中任何不需要服务的访问权，这实际上是安全政策的要求了。,控制对特殊站点的访问：如有些主机或服务能被外部网络访问，而有些则需被保护起来，防止不必要的访问。,防火墙特征(cont.),加强隐私,隐私是内部网络非常关心的问题。一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。,使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS,等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。,防火墙特征(cont.),对网络存取和访问进行监控审计,如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。,另外，收集一个网络的使用和误用情况是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。,防火墙特征(cont.),从总体上看，防火墙应具有以下五大基本功能：,过滤进、出网络的数据；,管理进、出网络的访问行为；,封堵某些禁止的业务；,记录通过防火墙的信息内容和活动；,对网络攻击的检测和告警。,防火墙功能,协议 ISO/OSI,协议分层,应用层,表示层,会话层,传输层,数据链路层,物理层,网络层,数据链路层,协议 ISO/OSI,协议分层(cont.),物理层：,涉及在物理信道上传输原始比特，处理与物理传输介质有关的机械的、电气的和过程的接口。,数据链路层：,分为介质访问控制（,MAC,）,和逻辑链路控制（,LLC,）,两个子层。,MAC,子层解决广播型网络中多用户竞争信道使用权问题。,LLC,的主要任务是将有噪声的物理信道变成无传输差错的通信信道，提供数据成帧、差错控制、流量控制和链路控制等功能。,网络层：,负责将数据从物理连接的一端传到另一端，即所谓点到点，通信主要功能是寻径，以及与之相关的流量控制和拥塞控制等,。,协议 ISO/OSI,协议分层(cont.),传输层：,主要目的在于弥补网络层服务与用户需求之间的差距。传输层通过向上提供一个标准、通用的界面，使上层与通信子网（下三层）的细节相隔离。传输层的主要任务是提供进程间通信机制和保证数据传输的可靠性。,会话层：,主要针对远程终端访问。主要任务包括会话管理、传输同步以及活动管理等。,表示层：,主要功能是信息转换，包括信息压缩、加密、与标准格式的转换（以及上述各操作的逆操作）等等。,应用层：,提供最常用且通用的应用程序，包括电子邮件（,E-mail,）,和文电传输等,。,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,FTP、TELNET NFS,SMTP、SNMP XDR,RPC,TCP、UDP,IP,Ethernet、 PDN、 IEEE802.3、 IEEE802.4、 IEEE802.5,及其它,ICMP,ARP RARP,OSI,参考模型,Internet协议簇,OSI,参考模型与Internet协议簇,注解：通过对每一个协议簇中各种协议结构的详细了解，就可以非常轻松的针对包过滤型、应用代理型等防火墙的ACL（访问控制列表）进行制定和理解，并有助于了解防火墙的架构体系。,协议,TCP/IP协议分层,应用层,传输层,网间网层,网络接口层,协议,TCP/IP协议分层,应用层：,向用户提供一组常用的应用程序，比如文件传输访问、电子邮件、远程登录等。用户完全可以在“网间网”之上（即传输层之上），建立自己的专用应用程序，这些专用应用程序要用到,TCP/IP,，,但不属于,TCP/IP,。,传输层（,TCP/UDP,）：,提供应用程序间（即端到端）的可靠（,TCP,）,或高效（,UDP,）,的通信。其功能包括：格式化信息流及提供可靠传输。传输层还要解决不同应用程序的识别问题。,网间网层（,IP,）：,负责相邻计算机之间的通信。其功能包括：处理来自传输层的分组发送请求； 处理输入数据包；处理,ICMP,报文。,网络接口层：,TCP/IP,协议的最低层，负责接收,IP,数据报并通过网络发送，或者从网络上接收物理帧，抽出,IP,数据包，交给,IP,层。,TCP/IP服务,注解：通过该服务体系的理解，大家一定要了解清楚IP包过滤型防火墙中的TCP协议簇包括那些具体协议、UDP协议簇包括那些具体协议，并要特别注意怎样通过防火墙的ICMP协议去安全有效的控制PING命令的执行。,SMTP - Simple Mail Transfer Protocol,用于发送、接收电子邮件。,TELNET - 可以远程登陆到网络的每个主机上，直接使用他的资源。,FTP - File Transfer Protocol,用于文件传输。,DNS - Domain Name Service, 被 TELNET、FTP、WWW及其它服务所用，可以把主机名字转换为 IP 地址。,WWW - World Wide Web, 是 FTP、 gopher、WAIS及其它信息服务的结合体,使用超文本传输协议 (http)。,TCP/IP服务(cont.),RPC -,远程过程调用服务。如 NFS - Network File System, 可允许系统共享目录与磁盘。,NIS - Network Information Services, 网络信息服务容许多个系统共享数据库,如 password file容许集中管理。,X Window System ：一个图形化的窗口系统。,Rlogin、 rsh、及 其它 “r”服务 。运用相互信任的主机的概念，在其它系统上可以执行命令且不要求 password。,TCP/IP服务(cont.),IP,IP,协议的主要内容包括无连接数据报传送、数据报寻径及差错处理三部分。,IP层作为通信子网的最高层，屏蔽底层各种物理网络的技术环节，向上（TCP层）提供一致的、通用性的接口，使得各种物理网络的差异性对上层协议不复存在。,IP数据报分为报头和数据区两部分，IP报头由IP协议处理，是IP协议的体现；数据体则用于封装传输层数据或差错和控制报文（ICMP）数据，由TCP协议或ICMP协议处理。,TCP,TCP,是传输层的重要协议之一，提供面向连接的可靠字节流传输。面向连接的TCP要求在进行实际数据传输前，必须在信源端与信宿端建立一条连接。且面向连接的每一个报文都需接收端确认，未确认报文被认为是出错报文，出错的报文协议要求出错重传。,TCP采用可变窗口进行流量控制和拥塞控制以保证可靠性。,分组是TCP传输数据的基本单元，分TCP头和TCP数据体两大部分。,UDP,UDP,是传输层的重要协议之一；,基于UDP的服务包括NIS、NFS、NTP及DNS等。,UDP不是面向连接的服务，几乎不提供可靠性措施；因此，基于UDP的服务具有较高的风险。,TCP,与UDP端口,一个TCP,或UDP连接由下述要素唯一确定：源IP地址、目的地IP地址、源端口、目的地端口。,TCP或UDP用协议端口标识通信进程，端口是一种抽象的软件结构（包括一些数据结构和I/O缓冲区）。应用程序（即进程）通过系统调用与某些端口建立连接后，传输层传给该端口的数据被相应进程所接收。,接口又是进程访问传输服务的人口点。每个端口拥有一个叫端口号的16位整数标识符，用于区分不同端口。,TCP和UDP软件分别可以提供65536个不同的端口。,端口有两部分，一部分是保留端口（端口号小于1024，对应于服务器进程），一部分是自由端口（以本地方式分配）。,某些服务进程通常对应于特定的端口。如SMTP,为25，X WINDOWS为6000。,客户使用端口号及目的地IP地址初始化与一个特定主机或服务的连接,。,TCP,与UDP端口(cont.),协议IPV6,IETF,决定在不久的将来利用IPV6来代替IPV4。,IPV6既能适应高速网络（如ATM），也能适应低带宽环境。,扩展地址和路由规模。,主机地址自动配置。,公共子网服务。,安全性加强。,防火墙技术可根据防范的方式和侧重点的不同而分为很,多种类型，但总体来讲可分为三大类：,分组过滤、应用代理、电路中继,分组过滤,（Packet filtering）：,作用在网络层和传输层，它根据分组包头,源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。,防火墙技术内容,应用代理,（,Application Proxy,）：,也叫应用网关（,Application Gateway,）,它作用在应用层，其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。,电路中继,(Circuit Relay),：,也叫电路网关,(Circuit Gateway),或,TCP,代理（,TCP,Proxy,）,其工作原理与应用代理类似，不同之处是该代理程序是专门为传输层的,TCP,协议编制的。,防火墙技术内容(cont.),防火墙技术内容,分组过滤,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,物理层,数据链路层,网络层,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,外部网络主机,内部网络主机,分组过滤型防火墙,一个分组过滤型防火墙通常能根据IP,分组的以下各项过滤：,源,IP,地址,目标,IP,地址,TCP/UDP,源端口,TCP/UDP,目标端口,协议类型,防火墙技术内容,分组过滤(cont.),防火墙技术内容,分组过滤(cont.),分组过滤防火墙应用示例,优点：,透明的防火墙系统,高速的网络性能,易于配置,支持网络内部隐藏,防火墙技术内容,分组过滤(cont.),缺点：,易于,IP,地址假冒,记录日志信息不充分,源路由攻击,设计和配置一个真正安全的分组过滤规则比较困难,分组过滤防火墙并不能过滤所有的协议,极小分片设数据包攻击,无法防止数据驱动式攻击,防火墙技术内容,分组过滤(cont.),防火墙技术内容,应用代理,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,物理层,数据链路层,网络层,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,外部网络主机,内部网络主机,应用代理型防火墙,应用层,表示层,会话层,传输层,防火墙技术内容,应用代理(cont.),外部,Telnet,服务器,内部,Telnet,服务器,日志系统,Telnet,代理,FTP,代理,认证系统,应用网关,一个Telnet代理的例子,一个Telnet应用代理的过程,用户首先Telnet到应用网关主机，并输入内部目标主机的名字（域名、IP,地址）,应用网关检查用户的源IP地址等，并根据事先设定的访问规则来决定是否转发或拒绝,然后用户必须进行是否验证（如一次一密等高级认证设备）,应用网关中的代理服务器为用户建立在网关与内部主机之间的Telnet连接,代理服务器在两个连接（用户/应用网关，代理服务器/内部主机）之间传送数据,应用网关对本次连接进行日志记录,防火墙技术内容,应用代理(cont.),优点：,在网络连接建立之前可以对用户身份进行认证,所有通过防火墙的信息流可以被记录下来,易于配置,支持内部网络的信息隐藏,与分组过滤规则相比简单,易于控制和管理,防火墙技术内容,应用代理(cont.),缺点：,对每种类型的服务都需要一个代理,网络性能不高,防火墙对用户不透明,客户应用可能需要修改,需要多个防火墙主机,防火墙技术内容,应用代理(cont.),防火墙体系结构,分组过滤防火墙结构,分组过滤应用网关（I）,分组过滤应用网关（II）,屏蔽子网防火墙结构,分组过滤防火墙,适合于较小的、简单的系统,如规则复杂，则难于管理,分组过滤应用网关（I）,简化路由配置,加强隐私,双重保护,花费高一些,只有网关上的代理服务支持的应用才能通过,分组过滤应用网关（II）,路由器过滤应用网关不支持的危险协议,应用网关仅需一个网络接口，不要求在应用网关与路由器之间有一个分离的子网,路由器允许转发可信服务到网关周围和直接到内部网络,分组过滤应用网关（II）,也叫屏蔽主机防火墙结构，屏蔽路由器使用分组过滤技术，堡垒主机运行应用网关程序，为内部主机提供代理服务。,路由过滤器根据以下规则来路由内外部通信,路由从Internet外部访问应用网关的通信,拒绝来自任何Internet外部的其它访问,拒绝路由任何内部网络访问Internet外部的请求，除非来自内部的应用代理。,适于需要灵活性的网络，但安全性降低。,屏蔽子网防火墙结构,适于通信量很大或高速网络通信的内部网络,强化安全，但配置较为复杂,外部路由器根据以下规则过滤信息流,路由应用网关访问Internet的信息流,路由外部Internet访问应用网关的通信,路由电子邮件等应用服务器访问Internet的通信,路由外部Internet访问电子邮件等应用服务器的通信,路由外部Internet访问如WWW、FTP等信息服务器的通信,拒绝其它所有的信息流,屏蔽子网防火墙结构(cont.),内部屏蔽路由器根据以下规则确定是否转发内部网络同屏蔽子网的通信,路由应用网关访问内部网络的通信,路由内部网络访问应用网关的通信,路由如电子邮件等应用服务器访问内部的通信,路由内部网络访问如电子邮件等应用服务器的通信,路由内部网络访问如WWW、FTP,等信息服务器的通信,拒绝所有其它的通信,屏蔽子网防火墙结构(cont.),防火墙实现策略(cont.),对防火墙系统而言，共有两层网络安全策略：,网络服务访问策略：是高层策略，定义了受保护网络明确允许和明确拒绝的网络服务，分析网络服务的可用性（包括可用条件）、风险性等。,防火墙设计策略：是低层策略，描述了防火墙如何根据高层的网络服务访问策略中定义的策略来具体地限制访问和过滤服务。,网络服务访问策略,不允许外部网络或Internet访问内部网络，但允许内部网络访问外部网络或Internet。,允许外部网络或Internet访问部分内部网络，这些特定的网络服务是经过严格选择和控制的，如一些信息服务器、电子邮件服务器或域名服务器等等。,防火墙实现策略(cont.),防火墙设计策略,防火墙设计策略必须针对具体的防火墙，它定义过滤规则等，以实现高层的网络服务策略。这个策略在设计时必须考虑到防火墙本身的性能、限制及具体协议如TCP/IP。常用的两种基本防火墙设计策略是：,允许所有除明确拒绝之外的通信或服务（很少考虑，因为这样的防火墙可能带来许多风险和安全问题。攻击者完全可以使用一种拒绝策略中没有定义的服务而被允许并攻击网络）,拒绝所有除明确允许之外的通信或服务（常用，但操作困难，并有可能拒绝网络用户的正常需求与合法服务）,防火墙实现策略(cont.),作为一个安全策略的设计者，应懂得以下问题的要点：,哪些Internet服务是本网络系统打算使用或提供的？（如TELNET、FTP、HTTP）,这些Internet服务在哪或哪个范围内使用？（如在本地网内、整个Internet或拨号服务等）,可能有哪些额外或临时的服务或需求？（如加密、拨入服务等）,提供这些服务和访问有哪些风险和总的花费？,防火墙实现策略(cont.),对防火墙技术与产品发展的介绍,防火墙技术是建立在现代通信网络技术和信息安全技,术基础上的应用性安全技术，越来越多地应用于专用,网络与公用网络的互联环境之中，尤其以接入Internet网络为最甚。,Internet的迅猛发展，使得防火墙产品在短短的几年内异军突起，很快形成了一个产业：据不完全统计，在国际上防火墙产品销售从1995年的不到1万套， 猛增到1997年底的10万套。,据国际权威商业调查机构的预测,防火墙市场将以173的复合增长率增长，到2000年将达150万套，市场营业额将从1995年的1.6亿美元上升到2000年的9.8亿美元。,防火墙发展历程,第一阶段：基于路由器的防火墙,第二阶段：用户化的防火墙工具套,第三阶段：建立在通用操作系统上的防火墙,第四阶段：具有安全操作系统的防火墙,对防火墙技术与产品发展的介绍(cont.),第一代防火墙产品的特点是：,利用路由器本身对分组的解析,以访问控制表（access list）方式实现对分组的过滤；,过滤判决的依据可以是：地址、端口号、IP旗标及其它,网络特征；,只有分组过滤的功能，且防火墙与路由器是一体的，对,安全要求低的网络可采用路由器附带防火墙功能的方法，,对安全性要求高的网络则可单独利用一台路由器作防火墙。,第一阶段：基于路由器的防火墙,第一阶段：基于路由器的防火墙(cont.),第一代防火墙产品的不足之处为：,路由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十分容易。,路由器上的分组过滤规则的设置和配置存在安全隐患。,攻击者可以“假冒”地址，由于信息在网络上是以明文传送的，黑客可以在网络上伪造假的路由信息欺骗防火墙。,防火墙的规则设置会大大降低路由器的性能。,第二阶段：用户化的防火墙工具套,作为第二代防火墙产品，用户化的防火墙工,具套具有以下特征：,将过滤功能从路由器中独立出来，并加上审计和告警功能；,针对用户需求，提供模块化的软件包；,软件可通过网络发送，用户可根据需要构造防火墙；,与第一代防火墙相比，安全性提高了，价格降低了。,第二阶段：用户化的防火墙工具套(cont.),不足之处：,配置和维护过程复杂、费时；,对用户的技术要求高；,全软件实现，安全性和处理速度均有局限；,实践表明，使用中出现差错的情况很多。,第三阶段：建立在通用操作系统上的防火墙,具有以下特点：,是批量上市的专用防火墙产品；,包括分组过滤或者借用路由器的分组过滤功能；,装有专用的代理系统，监控所有协议的数据和指令；,保护用户编程空间和用户可配置内核参数的设置；,安全性和速度大为提高。,第三阶段：建立在通用操作系统上的防火墙,(cont.),存在的问题：,作为基础的操作系统及其内核往往不为防火墙管理者所知，由于原码的保密，其安全性无从保证；,由于大多数防火墙厂商并非通用操作系统的厂商，通用操作系统厂商不会对操作系统的安全性负责；,从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统厂商的攻击。,用户必须依赖两方面的安全支持：一是防火墙厂商、一是操作系统厂商。,第四阶段：具有安全操作系统的防火墙,具有以下特点：,防火墙厂商具有操作系统的源代码，并可实现安全内核；,对安全内核实现加固处理:即去掉不必要的系统特性，加固内核，强化安全保护；,对每个服务器、子系统都作了安全处理，一旦黑客攻破了一个服务器，它将会被隔离在此服务器内，不会对网络的其它部份构成威胁；,在功能上包括了分组过滤、应用网关、电路级网关，且具有加密与鉴别功能；,透明性好，易于使用。,第四代防火墙的主要技术与功能,第四代防火墙产品将网关与安全系统合二为一，具有以下技术与功能特点：,双端口或三端口的结构,透明的访问方式,灵活的代理系统,多级的过滤技术,网络地址转换技术,Internet,网关技术,安全服务器网络（,SSN,）,用户鉴别与加密,用户定制服务,审计和告警,双端口或三端口的结构,新一代防火墙产品具有两个或三个独立 的网卡，内外两个网卡可不作,IP,转化而串接于内部网与外部网之间，另一个网卡可专用于对服务器的安全保护。,透明的访问方式,以前的防火墙在访问方式上要么要求用户作,系统登录，要么需要通过,SOCKS,等库路径修改客,户机的应用。第四代防火墙利用了透明的代理系,统技术，从而降低了系统登录固有的安全风险和,出错概率。,灵活的代理系统,代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。第四代防火墙采用了两种代理机制，一种用于代理从内部网络到外部网络的连接，采用网络地址转换(,NAT),技术来解决，另一种用于代理从外部网络到内部网络的连接。采用非保密的用户定制代理或保密的代理系统技术来解决。,多级的过滤技术,为保证系统的安全性和防护水平，第四代防火墙采用了三级过滤措施，并辅以鉴别手段。在分组过滤一级，能过滤掉所有的源路由分组和假冒的,IP,源地址；在应用级网关一级,能利用,FTP,、,SMTP,等各种网关，控制和监测,Internet,提供的所有通用服务；在电路网关一级，实现内部主机与外部站点的透明连接，并对服务的通行实行严格控制。,网络地址转换技术,第四代防火墙利用,NAT,技术能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，同时允许内部网络使用自己编的,IP,地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。,Internet,网关技术,由于是直接串连在网络之中，第四代防火墙必须支持,用户在,Internet,互连的所有服务，同时还要防止与,Internet,服务有关的安全漏洞。故它要能以多种安全的应用服务器(包括,FTP,、,Finger,、,mail,、,Ident,、,News,、,WWW,等)来实现网关功能。,在域名服务方面，第四代防火墙采用两种独立的域名,服务器。在匿名,FTP,方面，服务器只提供对有限的受保护,的部份目录的只读访问。,安全服务器网络（,SSN,）,为适应越来越多的用户向,Internet,上提供服务时对服务器保护的需要,第四代防火墙采用特别保护的策略对用户上网的对外服务器实施保护，它利用一张网卡将对外服务器作为一个独立网络处理，对外服务器既是内部网的一部份，又与内部网关完全隔离。这就是安全服务器网络(,SSN,)技术，对,SSN,上的主机既可单独管理，也可设置成通过,FTP,、,Telnet,等方式从内部网上管理。,用户鉴别与加密,为了降低防火墙产品在,Telnet,、,FTP,等服务,和远程管理上的安全风险，鉴别功能必不可少，,第四代防火墙采用一次性使用的口令字系统来作,为用户的鉴别手段，并实现了对邮件的加密。,用户定制服务,为满足特定用户的特定需求，第四代防火墙,在提供众多服务的同时,还为用户定制提供支持，这类选项有：通用,TCP,，出站,UDP,、,FTP,、,SMTP,等类,如果某一用户需要建立一个数据库的代理，便可利用这些支持，方便设置。,审计和告警,第四代防火墙产品的审计和告警功能十分健,全，日志文件包括：一般信息、内核信息、核心,信息、接收邮件、邮件路径、发送邮件、已收消,息、已发消息、连接请求、已鉴别的访问、告警,条件、管理日志、进站代理、,FTP,代理、出站代,理、邮件服务器、域名服务器等。告警功能会守,住每一个,TCP,或,UDP,探寻，并能以发出邮件、声,响等多种方式报警。,第四代防火墙技术实现,在第四代防火墙产品的设计与开发中，关键在于：,安全内核,代理系统,多级过滤,安全服务器,鉴别与加密,安全内核的实现,对安全操作系统内核的固化与改造主要从以,下几方面进行：,取消危险的系统调用；,限制命令的执行权限；,取消,IP,的转发功能；,检查每个分组的接口；,采用随机连接序号；,驻留分组过滤模块；,取消动态路由功能；,采用多个安全内核。,代理系统的建立,在所有的连接通过防火墙前，所有的代理要,检查已定义的访问规则，这些规则控制代理的服,务并根据以下内容处理分组：,源地址；,目的地址；,时间 ；,同类服务的最大数量。,代理系统的建立（cont.),所有外部网络到防火墙内部或,SSN,的连接由进站代理,处理，进站代理要保证内部主机能了解外部主机的所,有信息，而外部主机只能看到防火墙之外或,SSN,的地,址。,所有从内部网络或,SSN,通过防火墙与外部网络建立的,连接由出站代理处理，出站代理必须确保完全由它代,表内部网络与外部地址相连，防止内部网址与外部网,址的直接连接,同时还要处理内部网络到,SSN,的连接。,分组过滤器的设计,分组过滤器包括以下参数:,进站接口；,出站接口；,IP,协议特征；,允许的连接；,源端口范围；,源地址；,目的地址；,目的端口的范围等。,安全服务器的设计,安全服务器的设计有两个要点：,第一，所有,SSN,的流量都要隔离处理，即从内部网和,外部网而来的路由信息流在机制上是分离的；,第二，,SSN,的作用类似于两个网络，它看上去象是内,部网，因为它对外透明，同时又象是外部网络，因为,它从内部网络对外访问的方式十分有限。,安全服务器的设计（cont.),SSN,上的每一个服务器都是隐蔽于,Inter-,net,，,SSN,提供的服务对外部网络而言好象防火,墙的功能，由于地址转换已是透明的,对各种网,络应用没有限制。,实现,SSN,的关键在于：,解决分组过滤器与,SSN,的连接；,支持通过防火墙对,SSN,的访问；,支持代理服务。,鉴别与加密的考虑,鉴别与加密是防火墙识别用户，验证访问和保护信,息的有效手段，鉴别机制除了提供安全保护而外，还有,安全管理的功能，目前国外防火墙产品中广泛使用令牌,鉴别方式，具体方法有两种，一种是加密卡（,Crypto,Card,）；另一种是,Secure ID,，这两种都是一次性口令,的生成工具。,对信息内容的加密与鉴别则涉及加密算法和数字签,名技术，除,PEM,、,PGP,和,Kerberos,外，目前国外防火墙,产品中尚没有更好的机制出现，由于加密算法涉及国,家信息安全和主权，各国有不同的要求。,第四代防火墙的抗攻击能力,作为一种安全防护设备，防火墙在网络中自然是众多攻击者的目标，故抗攻击能力也是防火墙的必备功能，在,Internet,环境中针对防火墙的攻击方法主要有：,抗,IP,假冒攻击,抗特洛伊木马攻击,抗口令字探寻攻击,抗网络安全性分析,抗邮件诈骗攻击,抗IP假冒攻击,IP假冒是指一个非法的主机假冒内部的主机地址，骗取服务器的“信任”，从而达到对网络的攻击目的。由于第四代防火墙知道网络内外的IP地址，它会丢弃所有来自网络外部但却有内部地址的分组，再之防火墙已将网内的实际地址隐蔽起来，外部用户很难知道内部的IP地址，因而难以攻击。,第四代防火墙的抗攻击能力,(cont.),抗特洛伊木马攻击,特洛伊木马能将病毒或破坏性程序传入计算机网络，且通常是将这些恶意程序隐蔽在正常的程序，尤其是热门程序或游戏之中，一些用户下载并执行这一程序，其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的，其安全内核中不能执行下载的程序，故而可防止特洛伊木马的发生。必须指出的是，防火墙能抗特洛伊木马的攻击并不表明受其保护的某个主机也能防止这类攻击。事实上，内部用户可通过防火墙下载程序，并执行下载的程序。,第四代防火墙的抗攻击能力,(cont.),抗口令字探寻攻击,在网络中探寻口令字的方法很多，最常见的是口令字嗅探和口令字解密。嗅探是通过监测网络通信，截获用户传给服务器的口令字，记录下来，以便使用；解密是指采用强力攻击、猜测或截获含有加密口令字的文件，并设法解密。此外，攻击者还常常利用一些常用口令字直接登录。,第四代防火墙采用了一次性口令字和禁止直接登录防火墙的措施，能有效防止对口令字的攻击。,第四代防火墙的抗攻击能力,(cont.),抗网络安全性分析,网络安全性分析工具本是供管理人员分析网络安全性之用的，一旦这类工具用作攻击网络的手段，则能较方便地探测到内部网络的安全缺陷和弱点所在，目前，SATAN软件可以从网上免费获得，Internet Scanner 可从市面上购买，这些分析工具给网络安全构成了直接威胁。第四代防火墙采用了地址转换技术，将内部网络隐蔽起来，使网络安全分析工具无法从外部对内部网作分析。,第四代防火墙的抗攻击能力,(cont.),抗邮件诈骗攻击,邮件诈骗也是越来越突出的攻击方式，第四代防火墙不接收任何邮件，故难以采用这种方式对它攻击，同样值得一提的是，防火墙不接受邮件，并不表示它不让邮件通过，实际上用户仍可收发邮件，内部用户要防邮件诈骗，最终的解决办法是对邮件加密。,第四代防火墙的抗攻击能力,(cont.),对防火墙技术的展望：,几点趋势,防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展；,过滤深度不断加强,从目前的地址、服务过滤，发展到,URL,（页面）过滤，关键字过滤和对,Active X,、,Java,等的过滤，并逐渐有病毒扫除功能。,单向防火墙（又叫网络二极管）将作为一种产品门类而出现,；,利用防火墙建立专用网(,VPN,)是较长一段时间的用户使用的主流，,IP,的加密需求越来越强，安全协议的开发是一大热点；,对网络攻击的检测和告警将成为防火墙的重要功能；,安全管理工具不断完善，特别是可疑活动的日志分析工具等将成为防火墙产品中的一部分,。,对防火墙技术的展望：,几点趋势(cont.),对防火墙技术的展望：,需求的变化,根据上述趋势，人们选择防火墙的标准将集,中在以下几个方面：,易于管理性；,应用透明性；,鉴别与加密功能；,操作环境和硬件要求；,VPN,的功能与,CA,的功能；,接口的数量；,成本。,Linux IP防火墙及其原理简介,常见防火墙的配置模式,常见防火墙的基本工作总结,Internet/,公网,内部网,路由器,NEsec300 FW,2,0,3,5,9,6,8,?,告,警,内网接口,外网接口,电,源,控制台,服务器,服务器,服务器,主机,主机,内外网络隔离,截取IP包，根据安全策略控制其进/出,双向网络地址转换（NAT）,基于一次性口令对移动访问进行身份识别和控制, IPMAC捆绑，防止IP地址的滥用,安全记录,通信事件记录,操作事件记录,违规事件记录,异常情况告警,移动用户,拨号用户,局域网用户,防火墙,（内部地址）,（内部地址）,路由器,HTTP服务器,DNS服务器,Email服务器,防火墙,DMZ区,（Demilitarized Zone）,内部专用网络,Internet,DDN,PSTN,ATM,ISDN,X.25,帧中继,防火墙管理器,外部网络,安装方式之一,防火墙,防火墙管理工作站,分支机构,受保护局域网,防火墙,防火墙,资源子网,路由器,路由器,路由器,分支机构,受保护局域网,公共网络,总部,路由器,路由器,安装方式之二,安装方式之三,隔离内外网络通信,控制外部用户进入内部专网,限制内部用户出访,鉴别移动或异地办公用户的网络访问,支持内部网络主机和服务器采用私有地址，对外界隐藏内部网络拓扑,防止内部主机,IP,地址的滥用和误用,对来自外部、内部的网络违规和入侵行为进行检测和集中监控,系统安全审计对违规通信、安全事件进行实时报警和处置,统计网络通信流量，并根据策略进行流量控制,采用基于策略的方式对防火墙设备进行配置,产品应用功能,安全公理/定理/推理,公理：,所有的程序都有缺陷（摩菲定理）,大程序定律：大程序的缺陷甚至比它包含的内容还多,推理：,一个安全相关程序有安全性缺陷,定理：,只要不运行这个程序，那么这个程序有缺陷，也无关紧要,推理：,只要不运行这个程序，那么这个程序有安全性漏洞，也无关紧要,定理：,对外暴露的计算机，应尽可能少地运行程序，且运行的程序也尽可,能地小,推论：,防火墙基本法则：防火墙必须配置得尽可能地小，才能降低风险。,防火墙配置策略的基本准则,一切未被允许的就是禁止的,。,防火墙缺省封锁所有的信息流，然后对希望提供的服务逐项开放。,优点 : 实用,安全，可靠性高。,按规则链来进行匹配,使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配,从头到尾的匹配方式,匹配成功马上停止,立刻使用该规则的”接受、禁止、拒绝”,防火墙,网络地址转换,202.11.196.16,内部网络地址,192.168.0.x,外部网络/Internet地址,网络地址转换,Internet,192.168.1.10,192.168.1.11,内部网,192.168.2.0/255.255.255.0,WWW Server,E_Mail Server,FTP Server,192.168.1.12,202.115.1.33/24,SFH02 FW,Alarm,2,0,3,5,9,6,8,?,E1,E0,Power,防火墙,202.115.1.36/24,重定向（反向NAT）,192.168.2.1/24,192.168.1.1/24,192.168.0.188,00:88:CC:A0:2C:4D,192.168.0.188,88:88:88:88:88:88,PASS,NO,IP,包,IP包,IP / MAC 地址对应,安全日志,记录用户访问的开始和终止时间,记录用户的通信事件，例如主机地址、访问时间、协议等信息,记录安全管理员的操作事件,记录违规事件,成都市党政网,国家人事部,检察日报社,国家林业局,北京市公安局,四川省移动通信公司,中国工程院,防火墙应用案例,谢谢！,