2015安全解决方案防火墙.ppt

網路安全解決方案防火牆 漢康科技 資訊安全產品經理 蕭智仁 steven@.tw 防火牆 防火牆是一座阻止外界入侵的前哨站，入侵者的傷害只能到防火牆為止，在防火牆未被破壞之前，外界都不能侵犯到內部網路 防火牆的類型 Packet Filters Circuit-Level Gateways Application Proxy (Application Gateway) Stateful Multilayer Inspection Dual-Homed Tri-Homed Multi-Homed OSI Stack 防火牆採用的技術，依據OSI Stack的位置而有不同的： 安全性 封包流量效能 Packet Filtering Packet Filtering說明 封包過濾器比較每個封包的部份資料 遇到符合條件的封包 = 允許封包通過 或 阻擋封包通過 決定封包通過/阻擋的條件可以是： IP 位址 封包類型(TCP/UDP) 服務類型(Telnet,FTP,HTTP,SMTP…) 最大的好處是可提供最快的封包流量 對於使用者而言是完全透過的 安全性不足是最大的缺點，因為在內部使用者與外部主機是直接連線的，內部網路設定被暴露在外部網路中 無法查覺到連線過程或應用程式的活動 無法監督連線的狀態 Circuit-Level Gateway Circuit-Level Gateway說明 在OSI通讯堆栈中的数据传输层(layer 4)来决定要允许或者拒绝网络流量 适当地识别所指定的通讯端口，这个通讯端口将保持开放直到联机中止 应用程序使用公认的通讯端口（通常与应用或服务有关联）例如：Telnet-port 23 Circuit-Level Gateway的限制 信认所指定的通讯端口就是其公认的服务或应用 无法监督交谈层(session-level)的活动及无法侦测应用程序的动态 Circuit-Level 比 packet filtering 更安全 Circuit-Level 比 ??宸 Application Proxy Application Proxy說明 內部使用者無法直接連接到外部主機，Application Gateway扮演外部主機的代傳角色 內部網路的設定被保護隱藏起來，可以更澈底的檢查資料，因此也就是最高階層的防火牆安全 應用或網路服務通過的Application Proxy是經過安全強化的程式 在應用層(application layer)作業直接解譯及回應應用程式不必理會通訊埠或者協定 完整察驗應用層(application-level) 兩個分開的網路界面卡 最差的封包流量效能 最安全的方式 Stateful Multi-Layer Inspection 結合circuit-layer gateway以及有限的application-level查驗 例如：connectionless服務(UDP)通常是 circuit-level gateways無法監督到的 Inspection模組在作業系統核心程式中介於資料連結層(data link)及網路層(network layers)之間 Stateful 比 packet filtering 速度慢 Stateful 比 packet filtering 更安全一點 Stateful Multi-Layer Inspection 內連及外連的封包被攔截並被檢查 在訊息(“raw message”)中的所有被檢查的資訊包含有： 較高層次, 訊息資料(封包的應用內容) IP位址、通訊埠號碼及任何其他用來決定是否可以符合條件定義的封包資訊 有些建構在其上的IP及應用服務的內部結構是stateless的協定 例如: UDP, RPC OSI Stack Firewall 郵差的故事 Ｄual-Home Firewall 兩片分離的網路卡介面，分別連接內部及外部網路 在兩片網路卡間無法直傳遞IP封包 Tri-Homed Firewall 三片分離的網路卡分別連接內部網路、外部網路及公開伺服器網段 Ｍulti-Homed Firewall 支援多片網路卡界面，分別連向不同網路 可因應組織在不同網段間需要不同安全政策的要求 Security vs Throughput 防火牆的其他技術 NAT(Network Address Translation) MAT(Multiple Address Translation) VPN(Virtual Private Network) Authentication Server NAT(Network Address Translation) 用來隱藏內部網路IP位址，提高內部網路安全性 MAT(Multiple A