网络与信息安全学习(六) 2021-09-05 网络 暂无评论 2428 次阅读 # 7.1防火墙概述 ##7.1.1 防火墙定义与分类 防火墙(Firewall)是目前保护计算机网络的主要安全设备,作为一种隔离控制技术,防火墙在内部网络和不安全的外部网络(如:Internet)之间建立一道屏障,阻止外部对内网的非法访问,同时,阻止重要信息从内网非法流出。 防火墙作为一种主要的网络安全系统,将网络隔离成内网和外网,它是内外网之间的检查站,通过对数据的过滤和筛选,保护内部网络资源和信息的安全。 1.防火墙的定义与位置 防火墙是指设置在不同网络(如:可信任的内网和外网或专用网与不可信的公用网)之间的有关部件(软硬件)的组合。 防火墙依照特定的规则,允许或是限制传输的数据通过。 防火墙可配置成不同的保护级别,级别越高,安全措施更严密,也更安全。 一些关键性的服务器(如:OA服务器、WWW服务器等),都应放在防火墙之后。防火墙一般部署在相对独立的网络中,如:Intranet(企业内部网)、校园网中。 2.防火墙的发展与分类 1)第一代防火墙 2)第二、三代防火墙 3)第四代防火墙 4)第五代防火墙 按所采用的技术分类 : (1)包过滤防火墙 这种防火墙建立一套过滤规则,检查每一个通过的网络数据包或丢弃或允许通过,相当是一种 IP 包过滤器,运行在底层的TCP/IP协议栈上,只允许符合特定规则的包通过,其余的一概禁止通过防火墙(但病毒防火墙不能阻止其通过)。 这些规则通常由管理员定义或设置,过滤规则利用IP包的多种属性,如:源 IP地址、源端口号、目的 IP 地址或端口号、服务类型 (如:WWW 或FTP)等,也能经通信协议、TTL值、域名或网段等属性进行过滤。 (2)代理防火墙 这种防火墙先接受来自内部网络特定用户应用程序的通信,然后建立与公共网络服务器单独的连接,网络内部的用户不直接与外部的服务器通信。 (3)状态检测防火墙 这种防火墙跟踪通过防火墙的网络连接和数据包,然后用一组附加的标准,确定是否允许或拒绝通信。 2)根据所采用的软、硬件形式不同 (1)软件防火墙 这种防火墙需要操作系统的支持,俗称“个人防火墙”。 (2)硬件防火墙 目前大多数防火墙都是基于PC架构的硬件防火墙,相当于一台PC机。这类防火墙由于采用其它厂商开发的内核(操作系统),可能会受操作系统本身安全的影响。 (3)芯片级防火墙 芯片级防火墙是一种基于硬件平台的防火墙,内嵌ASIC(专用系统集成电路)芯片,运行专用的操作系统,因此,防火墙本身漏洞少。 芯片级防火墙速度更快、处理能力更强、性能也更好。著名的生厂商有:NetScreen、Cisco等。 ##7.1.2 防火墙的功能与原理 1、防火墙的工作原理 防火墙就是一种过滤器,它过滤的是承载通信数据的数据包,具有IP地址过滤功能,即检查IP包头。 在实际中,仅靠IP地址进行数据过滤还不够,还要对服务器的TCP/ UDP端口进行过滤,因为目标主机上运行着多种应用服务,而每个应用服务都有自己的端口号。 2、防火墙的功能 1)数据包过滤 只允许符合安全策略的数据包通过。防火墙跨接于分离的物理网段之间,在包转发过程中进行审查。 2)控制内外网之间的所有数据流都经过防火墙,只有当防火墙是内、外网之间通信的唯一通道,才可全面、有效地保护内部网络不受侵害。防火墙属于用户网络边界上的安全设备。所谓网络边界是指:采用不同安全策略的两个网络连接处,如:用户网和外网(互联网)的连接、用户网与其它业务单位网的连接、用户网内不同部门间的连接等。 3)自身抗攻击,防火墙处于网络边界(缘),易受到黑客的攻击,要求防火墙自身具有很强的抗攻击能力。 要求: a)防火墙自身安装安全性高的操作系统。 b)防火墙本身只提供很少的服务,除了专门的防火墙嵌入系统外,不再运行其它应用程序。 4)审计和报警 某个访问违反安全策略,防火墙将启用审计和报警功能,并作记录和报告。 审计监控通信行为和完善安全策略,检查安全漏洞和错误配置。 报警则是有通信违反安全策略时,以声音、邮件、电话、手机短信等及时通知网络管理员。 查看日志进行相关数据的统计、分析,发现系统在安全方面存在的隐患,有针对性地采取改进措施。 5)网络地址转换 防火墙通过网络地址转换(NAT)功能,屏蔽内部网络的IP地址,保护内部网络用户。NAT又分SNAT (Source NAT,源地址转换)和DNAT (Destination NAT,目的地址转换)两种。 a) SNAT SNAT改变转发数据包的源地址,对内部网络地址进行转换,使外部非法用户难以对内部主机发起攻击,同时节省公网IP资源,只通过一个或几个公网IP地址共享上网。 b)DNAT DNAT是改变转发数据包的目的地址,外部网络主机向内部网络主机发出通信连接时,先把目的地址转换为防火墙的地址,然后再通过防火墙转发外部网络的通信,去与内部网络主机连接;这样外部网络主机与内部网络主机的通信,实际上变成了防火墙与内部网络主机的通信。NAT功能现已成为防火墙的标配。 6)代理服务 (1)透明代理 原理:防火墙截取内部网络主机与外部网络的通信,由防火墙实施与外部网络主机通信,然后把结果传给内部网络主机,此过程中,内网主机感觉不到是在与防火墙通信。外部网络只”看到”防火墙,这就隐藏了内部网络,提高了内网安全。 7)流量控制、统计和计费 流量控制分为基于IP地址的控制和基于用户的控制。 基于IP地址的控制:对通过防火墙各个网络接口的流量进行控制。 基于用户的控制:通过用户登录,控制每个用户的流量,防止某些用户占用过多的资源。 流量统计建立在流量控制之上。防火墙通过对IP、服务、时间、协议等流量进行统计,并与管理界面挂接,以统计报表形式输出,这样,可实现流量计费。 8)虚拟专用网VPN 现防火墙都有支持VPN的功能。 9)URL级信息过滤 对某些URL站点或目录进行特权访问,不进行频繁地审核,称为“URL级信息过滤”功能。 国内主流厂商为:天融信、深信服、网御神州、北京星辰、华为等,都提供不同级别的防火墙产品。 ##7.1.3 防火墙的局限性 1.防火墙防外不防内 网络安全攻击事件70%以上来自内部网络攻击。 2.不能防范不经过防火墙的攻击 3.不能防范恶意的知情者 若入侵者已经在防火墙内部,将数据复制到如磁盘或U盘中带出去,防火墙是无能为力的。 4.对用户不完全透明 1)防火墙身兼认证、访问控制等多项任务, 可能产生传输延迟。 2)防火墙可能产生单点失效的瓶颈问题。 5.防火墙管理和配置较复杂 防火墙的管理与配置较复杂,由此可能产生一些安全漏洞。防火墙实现的是粗粒度的访问控制,且不能与企业内部的其它安全机制集成。 6.不能防范病毒的进入 7.防火墙难于提供内外一致的安全策略 防火墙的安全控制主要是基于用户IP地址,而不是基于用户身份。 ##7.1.4 对防火墙的攻击 对防火墙而言,网络分为可信任网络和不可信任网络,一般,内部网络是可信网络,而Internet等外部网络是不可信网络。 防火墙通常部署在可信网络的边界,直接面对外部不可信网络,极易受到黑客攻击。 1.欺骗攻击 采取IP地址欺骗技术,伪装成可信网络用户地址,欺骗防火墙侵入内部网络。 2.直接攻击 恶意破坏者采取:协议漏洞攻击、碎片攻击等手段,直接攻击防火墙使其死机或者失去可用性。 3.拒绝服务攻击 是防火墙较难阻挡的攻击之一。 4.防火墙抗攻击的关键 1)采用专用、安全的防火墙操作系统。只有采用具有完整信任关系的操作系统才是安全的。 2)防火墙自身只提供 少量、必须的服务,除专门的防火墙嵌入系统外,不再运行其它应用程序。 # 7.2 防火墙体系结构 防火墙可采用不同的结构(架构),不同的结构所提供的安全级别不同,维护费用也不同,用户可根据自己的网络环境和安全需求进行选择。 ## 7.2.1双重宿主主机结构 在堡垒主机上运行防火墙软件和代理服务,双重宿主主机有两个网络接口,一个接内网,一个接外网。 这种结构的防火墙只以代理方式提供服务。 ##7.2.2屏蔽主机结构 这种防火墙由包过滤路由器和堡垒主机组成,用一台路由器把内网和外网隔开,提供服务的堡垒主机连接在内网中。 ##7.2.3屏蔽子网结构 屏蔽子网防火墙利用两台路由器连接的子网与内外部网络隔离开,堡垒主机及其他公用服务器放在该子网中。 1.非军事化区(DMZ) DMZ区处在带包过滤功能的边界路由器(外部路由器)与内部路由器之间。 # 7.3 防火墙关键技术 ##7.3.1包过滤技术 防火墙对数据的过滤,是根据数据包包头部分的源IP地址、目的IP地址、源端口、目的端口、协议类型(TCP包、UDP包等)及数据包传输方向等信息,判断是否符合安全规则,以确定是否允许该数据包通过。 1、技术特点 速度快,但安全性不强,易受攻击。 2、过滤规则实例 3、包过滤技术的不足 1)不能防范黑客攻击 2)不支持应用层协议 3)不能处理新的安全问题 ##7.3.2 代理技术 代理技术隔断内网与外网的直接通信,所有通信都是经应用代理软件转发,访问者不与服务器建立直接的TCP 连接。 1.应用层代理 应用层代理也称应用层网关,它是基于软件的。 2.自适应代理技术 自适应代理技术(Adaptive Proxy,AP)也称动态代理技术,是增强型的应用网关。这种技术主要用于实时应用(如:视频会议)中。 3.代理的优点 4.代理的不足 ##7.3.3 状态检测技术 1.技术原理 状态检测是新一代防火墙的核心技术,由以色列Checkpoint公司开发,又称为动态包过滤技术。 它对于新建的应用连接,先检查预先设置的安全规则,允许符合规则的连接通过,然后在内存中记录该连接的相关信息,生成状态检测表(连接表);对于该连接的后续数据包,只要符合状态表,就允许通过。 状态检测在网络层有一个检测引擎(其中内嵌算法),该引擎捕获数据包并抽取出与应用层状态有关的信息,并以此决定对该连接是接受还是拒绝。故状态检测技术安全性较高,同时具有较好的适应性和扩展性。 状态检测算法能识别进出的应用层数据,算法通过己知数据包的信息对检测引擎进行训练,然后检测(比较)进出的数据包。 2.主要优点 1)安全性好 2)执行效率高 3)扩展性好 4)配置方便,应用范围广 不仅支持基于TCP的应用,还支持基于UDP的应用。 3.主要不足 只是检测数据包的第三层(网络层)信息,无法识别数据包中的垃圾邮件、广告以及木马等。 ##7.3.4 防火墙配置实例 以TD-W89741N增强型防火墙为例。该型防火墙可对内部主机上网行为进行控制。 通过“内网主机”、“外网主机”和“日程计划”三个参数,构建上网控制规则,在某个时间段内允许/禁止内部主机访问外网。 需求: 1、在周一至周五的上班时间段(8:30--18:00),仅允许张三(MAC地址为00:11:22:33:44:55)浏览网页,其他人都不能上网。 2、非上班时间段所有人都可以上网。 实现: 步骤一、设置防火墙缺省过滤规则。 步骤二、设置张三在上班时间内可浏览网页。 1、添加张三主机条目 2、添加外网主机条目 3、添加日程计划 4、添加防火墙规则 步骤三、设置上班时间段其他人不许上网。 步骤四、开启防火墙,使所有条目生效。 ##7.4.2 防火墙新增技术 1.加密技术 2.安全审计 对网络上发生的事件进行记载和分析,可报警;在防火墙的控制台上实时显示与安全有关的信息、对用户口令进行动态跟踪。 3.采用安全内核 取消操作系统内核中可能引起安全问题的功能,构成高安全等级的内核,使防火墙更安全,如:Cisco的IPX防火墙(采用专用的OS)等。 对操作系统安全加固: ①取消危险的系统调用; ②限制命令的执行权限; ③取消IP转发功能; ⑥对驻留分组过滤; ⑦取消动态路由功能。 4.身份认证 1)用户认证(UA) 防火墙设定用户的访问权限。 2)客户认证(CA) 防火墙提供特定的服务权限。 3)会话认证(SA) 防火墙提供通信双方透明的会话授权机制。 实现方法: (1)基于口令的认证 (2)基于地址的认证 (3)密码体制认证 一般采用口令认证,而口令通常以密文的方式存放在一个文件中。若攻击者得到这个文件,采用字典攻击或猜测(暴力破解)攻击来可能破解出口令。 5.内容检查 对高层服务协议的数据进行监控,对数据流内容进行分析。内容检查功能检查邮件的发送者是否伪造或者冒充。对邮件的主题域和基于关键字的增强扫描,防止恶意事件的传播和机密信息扩散。 6.多级(多层)过滤 即在网络层一级过滤,在传输层一级遵循过滤规则过滤,在应用网关(应用层)一级控制和监测Internet提供的服务,每种过滤技术对应于不同的网络层。 7 .病毒防火墙 这种防火墙主要用在个人防火墙中,纯软件形式。 8 .分布式防火墙 (1)网络防火墙:用于内部网与外部网之间,以及内部网各子网之间的防护。 (2)主机防火墙:用于对网络中的服务器和桌面机进行防护。 (3)管理中心:一种服务器软件,负责总体安全策略的策划、管理等。 分布式防火墙渗透于网络的每一台主机,对整个内部网络的主机实施保护。分布式的结构,集中式的管理。思科、3Com等厂商已开发,该种防火墙适合于大型网络。 9.集成式防火墙 集成IDS、IPS和病毒检测等安全设备或直接把IDS、病毒检测内嵌到防火墙中,使防火墙具有IDS和病毒检测的功能,协同配合,构建立体化防御体系,若发现网络安全事件,由防火墙进行过滤和报告。 ##7.4.3 VPN技术 1.VPN的定义和功能 1)VPN的定义 VPN(Virtual Private Network)即虚拟私有网络。指通过公共网络建立的一个临时和安全的连接,是一条在公用网络上的安全隧道,它是对内部网的扩展。 2)VPN功能 (1)加密数据 保证通过公网传输信息的机密性。 (2) 身份认证 保证信息的完整性和合法性,并鉴别用户的身份。 (3)提供访问控制 不同的用户有不同的访问权限。 2. VPN的原理与分类 远程访问VPN: 远程访问VPN也称移动VPN,是指通过公网远程访问内网而建立的的一种VPN。分为用户发起的VPN连接和接入服务器发起的VPN连接二种。其中用户发起的VPN连接,其过程是: 首先,远程用户通过服务提供点拨入Internet,然后,通过网络隧道协议与单位网络建立一条隧道(可加密)连接,从而访问单位网络中的内部资源。由用户端维护与管理发起隧道连接的有关协议和软件。 接入服务器发起的VPN连接,其过程是:用户通过本地号码拨入ISP,然后,ISP的接入服务器建立一条隧道连接到用户的单位网络。构建VPN所需的协议及软件由ISP维护和管理。 3.VPN的关键技术 实际应用中,VPN用户对数据传送的安全性极为关注,因为VPN通道传输的一般都是私密(或机密)信息。 VPN采用密码技术、身份认证技术、隧道技术等技术来保证数据传输的安全。 1)密码技术 2)身份认证技术 3)隧道技术 (1)第二层隧道协议 第二层隧道协议是一个协议簇,包括:点到点隧道协议(PPTP)、第二层转发协议(L2F),第二层隧道协议(L2TP)等。数据包依靠第二层(数据链路层)协议进行传输。 (2)第三层隧道协议 第三层隧道协议也是一个协议簇,包括:通用路由封装GRE协议和IPSec安全协议,数据包依靠第三层(网络层)协议进行传输。 第二层和第三层隧道协议的主要区别:用户数据在网络协议栈的不同层被封装。 转自https://blog.csdn.net/zhouzhuo_CSUFT/article/details/82912769 标签: 信息安全 本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。