访问控制与防火墙技术-read.ppt

第九章 防火墙 防火墙基础 什么是防火墙？ 建立在内外网络边界上的过滤封锁机制，作用是用于确定哪些内部服务允许外部访问，以及允许哪些外部服务访问内部服务，通过边界控制强化内部网络的安全政策。 安全、管理、速度是防火墙的三大要素。 功能 过滤进出网络的数据包 管理进出网络的访问行为 封堵某些禁止的访问行为 记录通过防火墙的信息内容和活动 对网络攻击进行检测和告警 发展历史 第一代 基于路由器的防火墙 第二代 基于代理的防火墙(电路级、应用层) 第三代 状态监控功能防火墙 第四代 具有安全操作系统的防火墙 防火墙主要实现技术 数据包过滤 应用层网关 代理服务 网络地址转换 状态检查技术 数据包过滤 策略设置 按地址过滤 容易遭受IP地址欺骗。 按服务过滤 防火墙设置规则 优缺点 优点 对用户透明，处理速度快，易维护。 缺点 配置复杂；没法防止数据驱动型攻击；不能抵抗源IP地址欺骗攻击。 应用层网关 模型 工作在应用层，针对特定的协议代理。 优缺点 优点 安全性比包过滤强； 防火墙被破坏也不会直接影响内部网络的安全。 缺点 对用户不透明； 开销大； 管理者使用不方便。 地址转换 地址转换（NAT） 将一个IP地址用另一个IP地址代替，主要用于两个方面： 网络管理员希望隐藏内部网络的IP地址； 内部网络的IP地址是无效的IP地址。 NAT提供一种透明的完善的解决方案，实现一种“单向路由”，这样不存在从Internet到内部网的或主机的路由。 防火墙体系结构 双重宿主主机体系 功能： 双网卡，检查所有通过的数据包的内容，并根据内部网络的安全策略进行处理。 弱点： 一旦黑客攻破了堡垒主机，就相当于侵入了内部网络。 被屏蔽主机体系 功能： 具有路由功能，使用一个单独的路由器提供来自与内部网络相连的主机服务。这种体系结构的防火墙是由屏蔽路由器和堡垒主机组成的。 堡垒主机是外网唯一能连接的内部主机。是屏蔽路由器之后的第二层保护。 被屏蔽子网体系 功能： 添加虚拟子网更进一步把内部网络与外部网络隔开。三层保护机制（外部路由器、堡垒主机、内部路由器）。 防火墙攻击——IP地址欺骗 攻击原理 入侵者伪装成内部网络中另一台机器的IP地址，获得对主机未授权的访问。由于局域网内部的通信不是根据IP地址，而是依靠物理地址，而一般防火墙并没有配置本地域中资源IP包地址的过滤规则。 攻击过程 前提：已知局域网内的主机信任关系(主机B信任C) 目的：假冒主机C欺骗B (1) 使主机C的网络部分不能正常工作 攻击者向主机C发送大量的TCP SYN包；或者不停地用一个假冒的地址向C发出请求连接，使主机C挂起。（相当于拒绝服务攻击DoS） (2) 找到主机B发出的包的序列号 (3) 实施攻击 攻击者找到正确的初始序列号后，发送第三个响应包给主机B，成功建立与主机B的连接。 (4) 建立一个更好的漏洞 连接成功建立后，攻击者可以建立一个更好的漏洞，为日后攻击留下后门。 常见防火墙产品 企业级防火墙 Check Point Firewall AXENTRaptor Cisco PIX Firewall 个人防火墙 天网防火墙 BlackIce 蓝盾防火墙个人版 模型 NAT原理 一个局域网内存在某些信任关系： 存在两种欺骗方式： 可以通过假冒B欺骗A和C； 可以通过假冒A或C欺骗B。 正常的三次握手连接 攻击者要做的工作： 1、根据主机B返回的序列号值推算主机B下一个可能的初始序列号值。 2、计算出攻击者到主机B的路由时间，因为初始序列号值随时间而变化。 防止源地址伪装 可以注意到，防火墙的位置一般是安放在被保护网络的边界，必须做到以下几点才能使防火墙起到安全防护的作用： 1）所有进出被保护网络的通信必须通过防火墙； 2）所有通过防火墙的通信必须经过安全策略的过滤或者防火墙的授权； 3）防火墙本身是不可被侵入的。 防火墙是一种逻辑隔离部件，而不是物理隔离部件，它所遵循的原则是：在保护网络畅通的情况下，尽可能保证内部网络的安全。 自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统后，提出了防火墙的概念，防火墙技术得到了飞速的发展。第二代防火墙，也称代理服务器，它用来提供网络服务级的控制，起到外部网络向被保护的内部网络申请服务时中间转接作用，这种方法可以有效地防止对内部网络的直接攻击，安全性较高。第三代防火墙有效地提高了防火墙的安全性，称为状态监控功能防火墙，它可以对每一层的数据包进行检测和监控。随着网络攻击手段和信息安全技术的发展，新一代的功能更强大、安全性更强的防火墙已经问世，这个阶段的防火墙已超出了原来传统意义上防火墙的范畴，已经