第四章 防火墙技术第 4章 防火墙技术内容提要:
防火墙 概述
防火墙的体系结构
数据包过滤防火墙
代理防火墙
防火墙应用举例
防火墙脆弱性及其防护对策
防火墙技术发展动态和趋势第四章 防火墙技术
4.1 概述防火墙的定义防火墙是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统,包括硬件和软件,
构成一道屏障,以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。
第四章 防火墙技术防火墙的要点:
防火墙配置在不同网络或网络安全域之间,它遵循的是一种允许或阻止业务来往的网络通信安全机制,只允许授权的通信,尽可能地对外部屏蔽网络内部的信息,结构和运行状况第四章 防火墙技术防火墙的发展简史第一代防火墙 —— 采用了包过滤 ( Packet filter) 技术 。
第二代防火墙 —— 电路层防火墙第三代防火墙 —— 应用层防火墙 ( 代理防火墙 ) 的初步结构第 四 代 防 火 墙 —— 1 9 9 2 年,基 于 动 态 包 过 滤
( Dynamic packet filter) 技术第五代防火墙 —— 自适应代理( Adaptive proxy) 技术第四章 防火墙技术防火墙的 五大基本功能
过滤进,出网络的数据;
管理进,出网络的访问行为;
封堵某些禁止的业务;
记录通过防火墙的信息内容和活动;
对网络攻击的检测和告警。
第四章 防火墙技术
4.2 防火墙体系结构防火墙可以在 OSI七层中的五层设置 。
防火墙组成结构图第四章 防火墙技术防火墙的体系结构目前,防火墙的体系结构一般有以下几种:
( 1) 双重宿主主机体系结构;
( 2) 屏蔽主机体系结构;
( 3) 屏蔽子网体系结构 。
第四章 防火墙技术
4.2.1 双重宿主主机体系结构
围绕具有双重宿主的主机计算机而构筑;
计算机至少有两个网络接口;
计算机充当与这些接口相连的网络之间的路由器;
防火墙内部的系统能与双重宿主主机通信;
防火墙外部的系统(在因特网上)能与双重宿主主机通信。
第四章 防火墙技术双重宿主主机体系结构第四章 防火墙技术
4.2.2 屏蔽主机体系结构
提供安全保护的堡垒主机仅仅与被保护的内部网络相连;
是外部网络上的主机连接内部网络的桥梁;
堡垒主机需要拥有高等级的安全;
还使用一个单独的过滤路由器来提供主要安全;
路由器中有数据包过滤策略 。
第四章 防火墙技术屏蔽主机体系结构第四章 防火墙技术
4.2.3 屏蔽子网体系结构第四章 防火墙技术
1,周边网络周边网络是另一个安全层,是在外部网络与被保护的内部网络之间的附加网络,提供一个附加的保护层防止内部信息流的暴露,
2,堡垒主机堡垒主机为内部网络服务的功能有:
( 1) 接收外来的电子邮件 ( SMTP),再分发给相应的站点;
( 2) 接收外来的 FTP连接,再转接到内部网的匿名 FTP
服务器;
( 3) 接收外来的对有关内部网站点的域名服务 ( DNS)
查询 。
第四章 防火墙技术堡垒主机向外的服务功能按以下方法实施:
( 1) 在路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器 。
( 2) 设置代理服务器在堡垒主机上运行,允许内部网的用户间接地访问外部网的服务器 。 也可以设置数据包过滤,允许内部网的用户与堡垒主机上的代理服务器进行交互,但是禁止内部网的用户直接与外部网进行通信 。
第四章 防火墙技术
3,内部路由器保护内部的网络使之免受外部网和周边网的侵犯,内部路由器完成防火墙的大部分数据包过滤工作 。
4,外部路由器保护周边网和内部网使之免受来自外部网络的侵犯,通常只执行非常少的数据包过滤 。
外部路由器一般由外界提供 。
第四章 防火墙技术
4.2.4 防火墙体系结构的组合形式
( 1) 使用多堡垒主机;
( 2) 合并内部路由器与外部路由器;
( 3) 合并堡垒主机与外部路由器;
( 4) 合并堡垒主机与内部路由器;
( 5) 使用多台内部路由器;
( 6) 使用多台外部路由器;
( 7) 使用多个周边网络;
( 8)使用双重宿主主机与屏蔽子网。
第四章 防火墙技术
4.3 包过滤防火墙
包过滤防火墙工作在网络层
利用访问控制列表 ( ACL) 对数据包进行过滤
过滤依据是 TCP/IP数据包:
源地址和目的地址
源端口和目的端口
优点是效率比较高,对用户透明
缺点是难于配置,监控和管理,无法有效地区分同一 IP地址的不同用户第四章 防火墙技术数据包过滤的主要依据有:
( 1) 数据包的源地址;
( 2) 数据包的目的地址;
( 3) 数据包的协议类型 ( TCP,UDP,ICMP
等 ) ;
( 4) TCP或 UDP的源端口;
( 5) TCP或 UDP的目的端口;
( 6) ICMP消息类型;
第四章 防火墙技术包过滤系统能进行以下情况的操作:
( 1) 不让任何用户从外部网用 Telnet登录;
( 2) 允许任何用户使用 SMTP往内部网发电子邮件;
( 3) 只允许某台机器通过 NNTP往内部网发新闻 。
不能进行以下情况的操作:
( 1) 允许某个用户从外部网用 Telnet登录而不允许其他用户进行这种操作 。
( 2) 允许用户传送一些文件而不允许用户传送其他文件 。
第四章 防火墙技术
( 1) 包过滤标准必须由包过滤设备端口存储起来,这些包过滤标准叫包过滤规则 。
( 2) 当包到达端口时,对包的报头进行语法分析,大部分的包过滤设备只检查 IP,TCP或 UDP报头中的字段,不检查数据的内容 。
( 3) 包过滤器规则以特殊的方式存储 。
( 4) 如果一条规则阻止包传输或接收,此包便不允许通过 。
( 5) 如果一条规则允许包传输或接收,该包可以继续处理 。
( 6)如果一个包不满足任何一条规则,该包被丢弃。
包过滤器操作第四章 防火墙技术包过滤路由器的配置时要注意的问题
( l) 协议的双向性 。
( 2),往内,与,往外,的含义 。
( 3),默认允许,与,默认拒绝,。
注意,
( 1) 过滤规则的排列顺序是非常重要的 。
( 2)应该遵循自动防止故障的原理:未明确表示允许的便被禁止。
第四章 防火墙技术包过滤防火墙的缺陷
( 1) 不能彻底防止地址欺骗 。
( 2) 无法执行某些安全策略
( 3) 安全性较差
( 4) 一些应用协议不适合于数据包过滤
( 5)管理功能弱第四章 防火墙技术
4.4 应用代理防火墙代理防火墙 ( Proxy) 是一种较新型的防火墙技术,它分为:应用层网关 电路层网关 。
所谓代理服务器,是指代表客户处理连接请求的程序 。 当代理服务器得到一个客户的连接意图时,它将核实客户请求,并用特定的安全化的
Proxy应用程序来处理连接请求,将处理后的请求传递到真实的服务器上,然后接受服务器应答,
并做进一步处理后,将答复交给发出请求的最终客户 。
第四章 防火墙技术代理的工作方式第四章 防火墙技术
代理防火墙工作于应用层;
针对特定的应用层协议;
代理服务器 ( Proxy Server) 作为内部网络客户端的服务器,拦截住所有请求,也向客户端转发响应;
代理客户机( Proxy Client) 负责代表内部客户端向外部服务器发出请求,当然也向代理服务器转发响应;
第四章 防火墙技术应用层网关型防火墙应用层网关防火墙因特网层网络接口层传输 层应用 层因特网层网络接口层传输 层应用 层因特网层网络接口层传输 层应用 层第四章 防火墙技术
传统代理型防火墙;
核心技术就是代理服务器技术;
基于软件实现,通常安装在专用工作站系统上;
参与到一个 TCP连接的全过程;
在网络应用层上建立协议过滤和转发功能;
优点就是安全,是内部网与外部网的隔离点;
最大缺点就是速度相对比较慢 。
应用层网关型防火墙第四章 防火墙技术电路层网关防火墙
通过电路层网关中继 TCP连接
一般采用自适应代理技术
有两个基本要素:
自 适 应 代 理 服 务 器 ( Adaptive Proxy
Server)
动态包过滤器 ( Dynamic Packet Filter)
第四章 防火墙技术电路层网关防火墙因特网层网络接口层传输 层应用 层网络接口层传输 层应用 层因特网层网络接口层传输 层应用 层因特网层第四章 防火墙技术代理技术的优点
( 1) 代理易于配置
( 2) 代理能生成各项记录
( 3) 代理能灵活,完全地控制进出流量,内容
( 4) 代理能过滤数据内容
( 5) 代理能为用户提供透明的加密机制
( 6)代理可以方便地与其他安全手段集成第四章 防火墙技术代理技术的缺点,
( 1) 代理速度较路由器慢;
( 2) 代理对用户不透明;
( 3) 对于每项服务代理可能要求不同的服务器;
( 4) 代理服务不能保证免受所有协议弱点的限制;
( 5)代理不能改进底层协议的安全性。
第四章 防火墙技术
4.5 防火墙应用示例网络卫士防火墙 3000系统组成
一套专用防火墙设备 ( 硬件 ),具有 3至 10个网络接口,标准配置为 3个网络接口 。 管理员通过一次性口令认证,对防火墙进行配置,管理和审计 。
一次性口令用户客户端 ( 软件 ),凡是需要对其身份进行认证的用户都需使用该软件,例如,
管理者需要通过 WWW页面管理防火墙时,必须先进行一次性口令认证 。
第四章 防火墙技术网络卫士防火墙 3000典型应用拓扑图第四章 防火墙技术典型应用的特点
防火墙工作于路由和透明混合的综合模式;
网络 192.168.1.0/24,202.99.88.0/24和
202.99.99.0/24均用边界路由器作路由;
新增的支干路由器 1( 网络 202.99.99.0/24)
用防火墙作路由;
网络 192.168.1.0/24和 202.99.88.0/24透明通过防火墙;
采用严格安全策略 。
第四章 防火墙技术
1.配置防火墙接口地址
( 1) ifconfig eth0 202.99.88.2 255.255.255.0
将 eth0设置为合法 IP地址进行 NAT,与路由器内部接口的 IP处于同一网段
( 2) ifconfig eth1 202.99.88.9 255.255.255.248
将接口 E1配上 IP地址 202.99.88.9
( 3) ifconfig eth2 192.168.1.1 255.255.255.0将接口 E2配上 IP地址 192.168.1.1
( 4) ifconfig eth2:0 202.99.99.1 255.255.255.0
eth2接内部网,此处设置为 202.99.99.0/24这个网段的目 的是为了实现对 202,99,97,0 / 24和
202.99.98.0/24做路由用 。
第四章 防火墙技术
2.设置路由表
( 1) eth0上:
route add 202.99.88.1 255.255.255.255 eth0
添加到边界路由器 202.99.88.1的单机路由
route add 202.99.88.2 255.255.255.255 eth0
添加到防火墙外接口的单机路由
( 2) eth1上:
route add 202.99.88.8 255.255.255.248
添加到网络 202.99.88.8的路由第四章 防火墙技术
( 3) eth2上:
route add 192.168.1.0 255.255.255.0
添加到网络 192.168.1.0的路由
( 4) eth2:0上
route add 202.99.99.1 255.255.255.255 eth2:0
添加到 202.99.99.1的单机路由
route add 202.99.99.2 255.255.255.255 eth2:0
添加到路由器 202.99.99.2的单机路由
route add 202.99.97.0 255.255.255.0 202.99.99.2
定义到网络 202.99.97.0/24的路由为内部网路由器
202.99.99.2
第四章 防火墙技术
route add 202.99.98.0 255.255.255.0 202.99.99.2
定义到网络 202,99,98,0/24的路由为内部网路由器
202.99.99.2
( 5) eth2:1上
route add 202.99.88.0 255.255.255.0 eth2:1
添加到 202.99.88.0的路由
( 6) route add default 202.99.88.1
默认路由指向边界路由器 。
第四章 防火墙技术
3.指定防火墙接口属性
( 1) 命令,fwip add eth0 202.99.88.2 o
指定 E0为外接口
( 2) 命令,fwip add eth1 202.99.88.9 s
指定 E1为 SSN接口,公共服务器所在的网络都是通过此接口出去 。
( 3) 命令,fwip add eth2 192.168.1.1 i
指定 E2为内部接口,192.168.1.0/24的用户都是通过此接口到达防火墙 。
( 4) 命令,fwip add eth2:0 202.99.99.1 i
指定 eth2:0为内部接口
( 5) 命令,fwip add eth2:1 202.99.88.3 I
指定 eth2:0为内部接口第四章 防火墙技术命令,dns
按照提示输入所在的域以及域名服务器 。
4.配置域名服务器命令,settrans eth0 eth1 on
settrans eth0 eth2:1 on
5.透明设置命令为 adduser,然后按照提示输入用户名,口令,绑定的 IP( 或子网),用户属性(有效用户或无效用户),
修改用户口令需先删掉该用户,再增加该用户。
6,增加用户第四章 防火墙技术用 adm用户通过 otp认证,访问防火墙的
10000端口。
7,WWW配置第四章 防火墙技术
4.6 防火墙攻防概述
防火墙不能确保网络的绝对安全;
每种防火墙产品几乎每年都有安全脆弱点被发现;
大多数防火墙往往配置不当且无人维护和监视;
从设计到配置再到维护都做得很好的防火墙几乎是不可渗透的;
要了解攻击者是如何绕过防火墙的。
第四章 防火墙技术
获取防火墙标识
穿透防火墙扫描
利用分组过滤脆弱点
利用应用代理脆弱点防火墙遭受的威胁第四章 防火墙技术
1,直接扫描
2,路径跟踪
3,标志获取
4.使用 nmap简单推断获取防火墙标识的方法第四章 防火墙技术
( 1) 方法查找防火墙最容易的方法是对特定的缺省端口执行扫描 。
( 2) 对策可以在防火墙前面的路由器上阻塞这些端口 。
通过部署入侵检测系统也能够检查出这些攻击者 。
1.直接扫描第四章 防火墙技术
( 1) 方法使用路径跟踪 traceroute。 到达目标之前的最后一跳 ( 61.190.251.26) 是防火墙的机会很大 。
( 2) 对策解决 traceroute信息泄漏的措施是限制尽可能多的防火墙和路由器对 TTL已过期分组做出响应 。
2.路径跟踪第四章 防火墙技术
( 1) 方法扫描防火墙端口有助于定位防火墙 。 标志信息在标识防火墙上能给攻击者提供有价值的信息 。
使用这些信息,他们就能发掘众所周知的脆弱点或常见的配置错误 。
( 2) 对策补救这种信息泄漏脆弱点的办法就是限制给出标志信息。
3.标志获取第四章 防火墙技术
( 1) 方法
nmap在发现防火墙信息上是个比较好的工具 。 通过分析端口扫描报告可以分析出防火墙及其访问控制规则 。
( 2) 对策为了防止攻击者使用 nmap技巧查找路由器和防火墙的 ACL规则,应该禁止路由器响应以类型为 3代码为 13的 ICMP分组的能力。
4.使用 nmap简单推断第四章 防火墙技术透过防火墙从而发现隐藏在防火墙后面的目标,这是网络黑客和网络入侵者梦寐以求的事情 。 穿透防火墙扫描方法有:
1,原始分组传送
2,firewalk工具
3.源端口扫描穿透防火墙扫描第四章 防火墙技术
1.原始分组传送
( 1) 方法工具 hping通过向一个目的喘口发送 TCP分组并报告由它引回的分组进行工作 。 依据多种条件,hping返回各种各样的响应 。 每个分组部分或全面地提供了防火墙具体访问控制的相当清晰的细节 。
( 2) 对策防止 hping攻击比较困难。最好是简单地阻塞类型为
3代码为 13的 ICMP消息(与前面讨论的 nmap扫描的对策一样)。
第四章 防火墙技术
2,firewalk工具
( 1) 方法
firewalk能够像端口扫描程序那样能够发现在防火墙之后打开着的端口 。
firewalk通过构造其 TTL值专门计算过的 IP分组来工作,该 TTL值在相应分组过防火墙时只剩下一跳 。
( 2) 对策在外部接口级别上可以阻塞 LMP TTL EXHRED分组.不过这可能负面影响其性能,因为合法的客户连接请求永远不知道发生了什么。
第四章 防火墙技术
3.源端口扫描
( 1) 方法传统的包过滤防火墙有一个主要的缺点:它们不能保持状态 。 因此,就可以将源端口设置为通常允许通过的 TCP 53( 区域传送 ) 和 TCP 20喘口 ( FTP),从而可以扫描 ( 或攻击 ) 核心的内容 。
( 2) 对策要么是禁止那些需要多个端口组合 ( 比如系统的
FTP) 的通信,要么是切换到一个基于状态或应用的代理防火墙,从而对进,出的连接作更好的控制 。
第四章 防火墙技术分组过滤脆弱点
1,不严格的 ACL规则
ACL规则设置容易犯不严格的错误 。
确保自己的防火墙规则严格限制谁能连接到哪儿 。
2,ICMP和 UDP隧道
ICMP隧道 ( ICMP tunneling) 有能力在 ICMP分组头部封装真正的数据 。 ICMP和 UDP隧道攻击也依赖于防火墙之后已有一个受害的系统 。
防止这种类型攻击的办法既可以是完全禁止通过防火墙的 ICMP访问,也可以是对 ICMP分组提供小粒度的访问控制。
第四章 防火墙技术应用代理脆弱点应用代理脆弱点比较少,一般是误配置 。
1,主机名,localhost
使用某些较早期的 UNIX代理时,很容易忘了限制本地访问 。
理想的对策是不允许本地主机 ( localhost) 登录 。
2,未加认证的外部代理访问这种情形在应用透明代理的防火墙上较为常见预防攻击这种脆弱点的措施是禁止从防火墙的外部接口进行代理访问。
第四章 防火墙技术
4.7 防火墙发展动态和趋势防火墙的缺陷主要表现在:
不能防范不经由防火墙的攻击 。
还不能防止感染了病毒的软件或文件的传输 。
不能防止数据驱动式攻击 。
在高流量的网络中,防火墙还容易成为网络的瓶颈 。
存在着安装、管理、配置复杂的缺点第四章 防火墙技术防火墙的发展趋势
1 优良的性能
2 可扩展的结构和功能
3 主动过滤
4 防病毒与防黑客
5 发展联动技术第四章 防火墙技术
4.8 小结防火墙是保证内部网络安全的一种重要手段;
防火墙技术经历几个阶段的发展;防火墙的功能是:过滤进,出网络的数据,管理进,出网络的访问行为,封堵某些禁止的业务,记录通过防火墙的信息内容和活动,对网络攻击检测和告警 。
现代防火墙正向优良的性能,可扩展的结构和功能,积极主动过滤,防病毒与防黑客方向发展,同时简化安装,方便管理,并寻求和其它安全产品进行联动,以架构起立体的防护体系 。
第四章 防火墙技术本章到此结束,谢谢!
防火墙 概述
防火墙的体系结构
数据包过滤防火墙
代理防火墙
防火墙应用举例
防火墙脆弱性及其防护对策
防火墙技术发展动态和趋势第四章 防火墙技术
4.1 概述防火墙的定义防火墙是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统,包括硬件和软件,
构成一道屏障,以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。
第四章 防火墙技术防火墙的要点:
防火墙配置在不同网络或网络安全域之间,它遵循的是一种允许或阻止业务来往的网络通信安全机制,只允许授权的通信,尽可能地对外部屏蔽网络内部的信息,结构和运行状况第四章 防火墙技术防火墙的发展简史第一代防火墙 —— 采用了包过滤 ( Packet filter) 技术 。
第二代防火墙 —— 电路层防火墙第三代防火墙 —— 应用层防火墙 ( 代理防火墙 ) 的初步结构第 四 代 防 火 墙 —— 1 9 9 2 年,基 于 动 态 包 过 滤
( Dynamic packet filter) 技术第五代防火墙 —— 自适应代理( Adaptive proxy) 技术第四章 防火墙技术防火墙的 五大基本功能
过滤进,出网络的数据;
管理进,出网络的访问行为;
封堵某些禁止的业务;
记录通过防火墙的信息内容和活动;
对网络攻击的检测和告警。
第四章 防火墙技术
4.2 防火墙体系结构防火墙可以在 OSI七层中的五层设置 。
防火墙组成结构图第四章 防火墙技术防火墙的体系结构目前,防火墙的体系结构一般有以下几种:
( 1) 双重宿主主机体系结构;
( 2) 屏蔽主机体系结构;
( 3) 屏蔽子网体系结构 。
第四章 防火墙技术
4.2.1 双重宿主主机体系结构
围绕具有双重宿主的主机计算机而构筑;
计算机至少有两个网络接口;
计算机充当与这些接口相连的网络之间的路由器;
防火墙内部的系统能与双重宿主主机通信;
防火墙外部的系统(在因特网上)能与双重宿主主机通信。
第四章 防火墙技术双重宿主主机体系结构第四章 防火墙技术
4.2.2 屏蔽主机体系结构
提供安全保护的堡垒主机仅仅与被保护的内部网络相连;
是外部网络上的主机连接内部网络的桥梁;
堡垒主机需要拥有高等级的安全;
还使用一个单独的过滤路由器来提供主要安全;
路由器中有数据包过滤策略 。
第四章 防火墙技术屏蔽主机体系结构第四章 防火墙技术
4.2.3 屏蔽子网体系结构第四章 防火墙技术
1,周边网络周边网络是另一个安全层,是在外部网络与被保护的内部网络之间的附加网络,提供一个附加的保护层防止内部信息流的暴露,
2,堡垒主机堡垒主机为内部网络服务的功能有:
( 1) 接收外来的电子邮件 ( SMTP),再分发给相应的站点;
( 2) 接收外来的 FTP连接,再转接到内部网的匿名 FTP
服务器;
( 3) 接收外来的对有关内部网站点的域名服务 ( DNS)
查询 。
第四章 防火墙技术堡垒主机向外的服务功能按以下方法实施:
( 1) 在路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器 。
( 2) 设置代理服务器在堡垒主机上运行,允许内部网的用户间接地访问外部网的服务器 。 也可以设置数据包过滤,允许内部网的用户与堡垒主机上的代理服务器进行交互,但是禁止内部网的用户直接与外部网进行通信 。
第四章 防火墙技术
3,内部路由器保护内部的网络使之免受外部网和周边网的侵犯,内部路由器完成防火墙的大部分数据包过滤工作 。
4,外部路由器保护周边网和内部网使之免受来自外部网络的侵犯,通常只执行非常少的数据包过滤 。
外部路由器一般由外界提供 。
第四章 防火墙技术
4.2.4 防火墙体系结构的组合形式
( 1) 使用多堡垒主机;
( 2) 合并内部路由器与外部路由器;
( 3) 合并堡垒主机与外部路由器;
( 4) 合并堡垒主机与内部路由器;
( 5) 使用多台内部路由器;
( 6) 使用多台外部路由器;
( 7) 使用多个周边网络;
( 8)使用双重宿主主机与屏蔽子网。
第四章 防火墙技术
4.3 包过滤防火墙
包过滤防火墙工作在网络层
利用访问控制列表 ( ACL) 对数据包进行过滤
过滤依据是 TCP/IP数据包:
源地址和目的地址
源端口和目的端口
优点是效率比较高,对用户透明
缺点是难于配置,监控和管理,无法有效地区分同一 IP地址的不同用户第四章 防火墙技术数据包过滤的主要依据有:
( 1) 数据包的源地址;
( 2) 数据包的目的地址;
( 3) 数据包的协议类型 ( TCP,UDP,ICMP
等 ) ;
( 4) TCP或 UDP的源端口;
( 5) TCP或 UDP的目的端口;
( 6) ICMP消息类型;
第四章 防火墙技术包过滤系统能进行以下情况的操作:
( 1) 不让任何用户从外部网用 Telnet登录;
( 2) 允许任何用户使用 SMTP往内部网发电子邮件;
( 3) 只允许某台机器通过 NNTP往内部网发新闻 。
不能进行以下情况的操作:
( 1) 允许某个用户从外部网用 Telnet登录而不允许其他用户进行这种操作 。
( 2) 允许用户传送一些文件而不允许用户传送其他文件 。
第四章 防火墙技术
( 1) 包过滤标准必须由包过滤设备端口存储起来,这些包过滤标准叫包过滤规则 。
( 2) 当包到达端口时,对包的报头进行语法分析,大部分的包过滤设备只检查 IP,TCP或 UDP报头中的字段,不检查数据的内容 。
( 3) 包过滤器规则以特殊的方式存储 。
( 4) 如果一条规则阻止包传输或接收,此包便不允许通过 。
( 5) 如果一条规则允许包传输或接收,该包可以继续处理 。
( 6)如果一个包不满足任何一条规则,该包被丢弃。
包过滤器操作第四章 防火墙技术包过滤路由器的配置时要注意的问题
( l) 协议的双向性 。
( 2),往内,与,往外,的含义 。
( 3),默认允许,与,默认拒绝,。
注意,
( 1) 过滤规则的排列顺序是非常重要的 。
( 2)应该遵循自动防止故障的原理:未明确表示允许的便被禁止。
第四章 防火墙技术包过滤防火墙的缺陷
( 1) 不能彻底防止地址欺骗 。
( 2) 无法执行某些安全策略
( 3) 安全性较差
( 4) 一些应用协议不适合于数据包过滤
( 5)管理功能弱第四章 防火墙技术
4.4 应用代理防火墙代理防火墙 ( Proxy) 是一种较新型的防火墙技术,它分为:应用层网关 电路层网关 。
所谓代理服务器,是指代表客户处理连接请求的程序 。 当代理服务器得到一个客户的连接意图时,它将核实客户请求,并用特定的安全化的
Proxy应用程序来处理连接请求,将处理后的请求传递到真实的服务器上,然后接受服务器应答,
并做进一步处理后,将答复交给发出请求的最终客户 。
第四章 防火墙技术代理的工作方式第四章 防火墙技术
代理防火墙工作于应用层;
针对特定的应用层协议;
代理服务器 ( Proxy Server) 作为内部网络客户端的服务器,拦截住所有请求,也向客户端转发响应;
代理客户机( Proxy Client) 负责代表内部客户端向外部服务器发出请求,当然也向代理服务器转发响应;
第四章 防火墙技术应用层网关型防火墙应用层网关防火墙因特网层网络接口层传输 层应用 层因特网层网络接口层传输 层应用 层因特网层网络接口层传输 层应用 层第四章 防火墙技术
传统代理型防火墙;
核心技术就是代理服务器技术;
基于软件实现,通常安装在专用工作站系统上;
参与到一个 TCP连接的全过程;
在网络应用层上建立协议过滤和转发功能;
优点就是安全,是内部网与外部网的隔离点;
最大缺点就是速度相对比较慢 。
应用层网关型防火墙第四章 防火墙技术电路层网关防火墙
通过电路层网关中继 TCP连接
一般采用自适应代理技术
有两个基本要素:
自 适 应 代 理 服 务 器 ( Adaptive Proxy
Server)
动态包过滤器 ( Dynamic Packet Filter)
第四章 防火墙技术电路层网关防火墙因特网层网络接口层传输 层应用 层网络接口层传输 层应用 层因特网层网络接口层传输 层应用 层因特网层第四章 防火墙技术代理技术的优点
( 1) 代理易于配置
( 2) 代理能生成各项记录
( 3) 代理能灵活,完全地控制进出流量,内容
( 4) 代理能过滤数据内容
( 5) 代理能为用户提供透明的加密机制
( 6)代理可以方便地与其他安全手段集成第四章 防火墙技术代理技术的缺点,
( 1) 代理速度较路由器慢;
( 2) 代理对用户不透明;
( 3) 对于每项服务代理可能要求不同的服务器;
( 4) 代理服务不能保证免受所有协议弱点的限制;
( 5)代理不能改进底层协议的安全性。
第四章 防火墙技术
4.5 防火墙应用示例网络卫士防火墙 3000系统组成
一套专用防火墙设备 ( 硬件 ),具有 3至 10个网络接口,标准配置为 3个网络接口 。 管理员通过一次性口令认证,对防火墙进行配置,管理和审计 。
一次性口令用户客户端 ( 软件 ),凡是需要对其身份进行认证的用户都需使用该软件,例如,
管理者需要通过 WWW页面管理防火墙时,必须先进行一次性口令认证 。
第四章 防火墙技术网络卫士防火墙 3000典型应用拓扑图第四章 防火墙技术典型应用的特点
防火墙工作于路由和透明混合的综合模式;
网络 192.168.1.0/24,202.99.88.0/24和
202.99.99.0/24均用边界路由器作路由;
新增的支干路由器 1( 网络 202.99.99.0/24)
用防火墙作路由;
网络 192.168.1.0/24和 202.99.88.0/24透明通过防火墙;
采用严格安全策略 。
第四章 防火墙技术
1.配置防火墙接口地址
( 1) ifconfig eth0 202.99.88.2 255.255.255.0
将 eth0设置为合法 IP地址进行 NAT,与路由器内部接口的 IP处于同一网段
( 2) ifconfig eth1 202.99.88.9 255.255.255.248
将接口 E1配上 IP地址 202.99.88.9
( 3) ifconfig eth2 192.168.1.1 255.255.255.0将接口 E2配上 IP地址 192.168.1.1
( 4) ifconfig eth2:0 202.99.99.1 255.255.255.0
eth2接内部网,此处设置为 202.99.99.0/24这个网段的目 的是为了实现对 202,99,97,0 / 24和
202.99.98.0/24做路由用 。
第四章 防火墙技术
2.设置路由表
( 1) eth0上:
route add 202.99.88.1 255.255.255.255 eth0
添加到边界路由器 202.99.88.1的单机路由
route add 202.99.88.2 255.255.255.255 eth0
添加到防火墙外接口的单机路由
( 2) eth1上:
route add 202.99.88.8 255.255.255.248
添加到网络 202.99.88.8的路由第四章 防火墙技术
( 3) eth2上:
route add 192.168.1.0 255.255.255.0
添加到网络 192.168.1.0的路由
( 4) eth2:0上
route add 202.99.99.1 255.255.255.255 eth2:0
添加到 202.99.99.1的单机路由
route add 202.99.99.2 255.255.255.255 eth2:0
添加到路由器 202.99.99.2的单机路由
route add 202.99.97.0 255.255.255.0 202.99.99.2
定义到网络 202.99.97.0/24的路由为内部网路由器
202.99.99.2
第四章 防火墙技术
route add 202.99.98.0 255.255.255.0 202.99.99.2
定义到网络 202,99,98,0/24的路由为内部网路由器
202.99.99.2
( 5) eth2:1上
route add 202.99.88.0 255.255.255.0 eth2:1
添加到 202.99.88.0的路由
( 6) route add default 202.99.88.1
默认路由指向边界路由器 。
第四章 防火墙技术
3.指定防火墙接口属性
( 1) 命令,fwip add eth0 202.99.88.2 o
指定 E0为外接口
( 2) 命令,fwip add eth1 202.99.88.9 s
指定 E1为 SSN接口,公共服务器所在的网络都是通过此接口出去 。
( 3) 命令,fwip add eth2 192.168.1.1 i
指定 E2为内部接口,192.168.1.0/24的用户都是通过此接口到达防火墙 。
( 4) 命令,fwip add eth2:0 202.99.99.1 i
指定 eth2:0为内部接口
( 5) 命令,fwip add eth2:1 202.99.88.3 I
指定 eth2:0为内部接口第四章 防火墙技术命令,dns
按照提示输入所在的域以及域名服务器 。
4.配置域名服务器命令,settrans eth0 eth1 on
settrans eth0 eth2:1 on
5.透明设置命令为 adduser,然后按照提示输入用户名,口令,绑定的 IP( 或子网),用户属性(有效用户或无效用户),
修改用户口令需先删掉该用户,再增加该用户。
6,增加用户第四章 防火墙技术用 adm用户通过 otp认证,访问防火墙的
10000端口。
7,WWW配置第四章 防火墙技术
4.6 防火墙攻防概述
防火墙不能确保网络的绝对安全;
每种防火墙产品几乎每年都有安全脆弱点被发现;
大多数防火墙往往配置不当且无人维护和监视;
从设计到配置再到维护都做得很好的防火墙几乎是不可渗透的;
要了解攻击者是如何绕过防火墙的。
第四章 防火墙技术
获取防火墙标识
穿透防火墙扫描
利用分组过滤脆弱点
利用应用代理脆弱点防火墙遭受的威胁第四章 防火墙技术
1,直接扫描
2,路径跟踪
3,标志获取
4.使用 nmap简单推断获取防火墙标识的方法第四章 防火墙技术
( 1) 方法查找防火墙最容易的方法是对特定的缺省端口执行扫描 。
( 2) 对策可以在防火墙前面的路由器上阻塞这些端口 。
通过部署入侵检测系统也能够检查出这些攻击者 。
1.直接扫描第四章 防火墙技术
( 1) 方法使用路径跟踪 traceroute。 到达目标之前的最后一跳 ( 61.190.251.26) 是防火墙的机会很大 。
( 2) 对策解决 traceroute信息泄漏的措施是限制尽可能多的防火墙和路由器对 TTL已过期分组做出响应 。
2.路径跟踪第四章 防火墙技术
( 1) 方法扫描防火墙端口有助于定位防火墙 。 标志信息在标识防火墙上能给攻击者提供有价值的信息 。
使用这些信息,他们就能发掘众所周知的脆弱点或常见的配置错误 。
( 2) 对策补救这种信息泄漏脆弱点的办法就是限制给出标志信息。
3.标志获取第四章 防火墙技术
( 1) 方法
nmap在发现防火墙信息上是个比较好的工具 。 通过分析端口扫描报告可以分析出防火墙及其访问控制规则 。
( 2) 对策为了防止攻击者使用 nmap技巧查找路由器和防火墙的 ACL规则,应该禁止路由器响应以类型为 3代码为 13的 ICMP分组的能力。
4.使用 nmap简单推断第四章 防火墙技术透过防火墙从而发现隐藏在防火墙后面的目标,这是网络黑客和网络入侵者梦寐以求的事情 。 穿透防火墙扫描方法有:
1,原始分组传送
2,firewalk工具
3.源端口扫描穿透防火墙扫描第四章 防火墙技术
1.原始分组传送
( 1) 方法工具 hping通过向一个目的喘口发送 TCP分组并报告由它引回的分组进行工作 。 依据多种条件,hping返回各种各样的响应 。 每个分组部分或全面地提供了防火墙具体访问控制的相当清晰的细节 。
( 2) 对策防止 hping攻击比较困难。最好是简单地阻塞类型为
3代码为 13的 ICMP消息(与前面讨论的 nmap扫描的对策一样)。
第四章 防火墙技术
2,firewalk工具
( 1) 方法
firewalk能够像端口扫描程序那样能够发现在防火墙之后打开着的端口 。
firewalk通过构造其 TTL值专门计算过的 IP分组来工作,该 TTL值在相应分组过防火墙时只剩下一跳 。
( 2) 对策在外部接口级别上可以阻塞 LMP TTL EXHRED分组.不过这可能负面影响其性能,因为合法的客户连接请求永远不知道发生了什么。
第四章 防火墙技术
3.源端口扫描
( 1) 方法传统的包过滤防火墙有一个主要的缺点:它们不能保持状态 。 因此,就可以将源端口设置为通常允许通过的 TCP 53( 区域传送 ) 和 TCP 20喘口 ( FTP),从而可以扫描 ( 或攻击 ) 核心的内容 。
( 2) 对策要么是禁止那些需要多个端口组合 ( 比如系统的
FTP) 的通信,要么是切换到一个基于状态或应用的代理防火墙,从而对进,出的连接作更好的控制 。
第四章 防火墙技术分组过滤脆弱点
1,不严格的 ACL规则
ACL规则设置容易犯不严格的错误 。
确保自己的防火墙规则严格限制谁能连接到哪儿 。
2,ICMP和 UDP隧道
ICMP隧道 ( ICMP tunneling) 有能力在 ICMP分组头部封装真正的数据 。 ICMP和 UDP隧道攻击也依赖于防火墙之后已有一个受害的系统 。
防止这种类型攻击的办法既可以是完全禁止通过防火墙的 ICMP访问,也可以是对 ICMP分组提供小粒度的访问控制。
第四章 防火墙技术应用代理脆弱点应用代理脆弱点比较少,一般是误配置 。
1,主机名,localhost
使用某些较早期的 UNIX代理时,很容易忘了限制本地访问 。
理想的对策是不允许本地主机 ( localhost) 登录 。
2,未加认证的外部代理访问这种情形在应用透明代理的防火墙上较为常见预防攻击这种脆弱点的措施是禁止从防火墙的外部接口进行代理访问。
第四章 防火墙技术
4.7 防火墙发展动态和趋势防火墙的缺陷主要表现在:
不能防范不经由防火墙的攻击 。
还不能防止感染了病毒的软件或文件的传输 。
不能防止数据驱动式攻击 。
在高流量的网络中,防火墙还容易成为网络的瓶颈 。
存在着安装、管理、配置复杂的缺点第四章 防火墙技术防火墙的发展趋势
1 优良的性能
2 可扩展的结构和功能
3 主动过滤
4 防病毒与防黑客
5 发展联动技术第四章 防火墙技术
4.8 小结防火墙是保证内部网络安全的一种重要手段;
防火墙技术经历几个阶段的发展;防火墙的功能是:过滤进,出网络的数据,管理进,出网络的访问行为,封堵某些禁止的业务,记录通过防火墙的信息内容和活动,对网络攻击检测和告警 。
现代防火墙正向优良的性能,可扩展的结构和功能,积极主动过滤,防病毒与防黑客方向发展,同时简化安装,方便管理,并寻求和其它安全产品进行联动,以架构起立体的防护体系 。
第四章 防火墙技术本章到此结束,谢谢!
