如何活用防火牆 做好網路安全防護

1

如何活用防火牆如何活用防火牆做好網路安全防護做好網路安全防護

主講：陳建民

2

為何需使用防火牆 防火牆種類

封包過濾型 應用程式過濾型

防火牆網路架構 標準架構 3-Home 架構 多層次架構

如何建置防火牆系統 如何定義存取的原則以限制未經授權的使用者存取您的網路 如何管理防火牆的日誌以了解防火牆保護企業網路的作為 如何掌握防火牆的運作異常現象，用最安全的機制保護您的網路

OutlineOutline

3

Firewall 的設定 個人防火牆 商用防火牆

防火牆測試

OutlineOutline

MobileMobile用戶用戶

InternetInternet用戶用戶

企業網路的現況

InternetInternet

企業網路企業網路

企業分公司企業分公司

商業夥伴商業夥伴

危機四伏

5

常見的威脅

粗心大意或不滿的員工 社交工程攻擊 (Social Engineering)

揚名攻擊 電腦病毒 (Computer Virus) 惡性程式 (Computer Malware)

電腦蠕蟲、特洛伊木馬、惡作劇程式 惡性的商業競爭 電腦駭客 (Hacker)

6

常見的威脅 (2)埠掃描

埠掃描 (Port Scanning)

Web Server

Attacker

Port Scan

Port Service 20?… closed 21?… FTP 22?… closed 23?… closed 24?… closed 25?… SMTP

7

常見的威脅 (3)阻斷服務攻擊

阻斷服務攻擊 (Denial of Service Attacks) 磁碟空間 (Disk Space)

網路頻寬 (Bandwidth)

緩衝區 (Buffers)

中央處理器使用量 (CPU Cycles Usage)

8

安全的建議

妥善的建置 完善的管理 持續的稽核

安全的環境安全的環境

建置

管理

稽核

9

安全等級的劃分

極機密極機密核心技術核心技術

公開公開企業網站企業網站

內部內部市場行銷市場行銷

機機密密

人事、薪資人事、薪資

10

防火牆的功能

網路流量過濾 (Packet Filter)

過濾未經授權的網路流量

資料內容過濾 (Application Filter)

網路位置轉譯 (NAT 、 PAT)

解決 IP 位址不足的問題 保護內部網路位址配置 隱藏網際網路服務的真實位址

11

防火牆技術的種類 封包過濾 (Packet Filter)

靜態 (Static) 檢查來源端與目的端的網路位址及埠號

動態 (Dynamic or Stateful Inspection) 設置了一個連結狀態表 ，將過往交通的狀態記錄下來 可以分辨出那些是從企業外發出的通信服務要求，而那些是回應企

業內發出通信服務的返回資料 應用層級過濾 (Application Filter)

檢查資料內容 自由擴充功能

12

封包過濾 (Packet Filter)

IP封包

目的端位址來源端位址

目的端埠號來源端埠號 資料

TCP/UDP封包

13

動態過濾與靜態過濾的差異性TCP 連線的建立與停止

SYN=1

SYN=1,ACK=1

ACK=1

ACK=1

FIN=1,ACK=1

ACK=1

FIN=1,ACK=1

TCP連線的結束TCP連線的建立

14

動態過濾與靜態過濾的差異性埠掃描的方式 – SYN 與 FIN 的掃描

防火牆內部網路

攻擊者Internet Internet

15

應用程式過濾 (Application Filter)

Application FilterApplication Filter

TCP/UDPTCP/UDP

IPIP

TCP/UDPTCP/UDP

IPIP

16

如何選擇防火牆的網路架構

堡壘主機式架構 (BastionHost)

3-Homed 架構 多層次架構 (Multi-Layered)

17

堡壘主機式架構 (Bastion Host)

基本防護 管理容易 成本低

防火牆

內部網路

Internet Internet

18

3-Homed架構

管理容易 相對安全 內部網路

Internet Internet 非軍事管制區DMZPerimeter Network

防火牆

19

多層次架構 (Multi-Layered)

管理具彈性 安全性較佳 成本較高

外部防火牆

內部防火牆

Internet Internet

內部網路

非軍事管制區DMZPerimeter Network

20

各式防火牆架構的比較

堡壘主機 3-Homed 多層次

安全性 低 中 高

管理的便利性 最容易 容易 較具彈性

成本 低 中 高

21

防火牆的建置

了解企業的需求了解企業的需求

選擇適當的防火牆產品選擇適當的防火牆產品

決定網路架構決定網路架構

安裝防火牆安裝防火牆

設定防火牆設定防火牆

開始開始開始開始

完成完成完成完成測試防火牆測試防火牆

22

設定防火牆的技巧

路由 (Routing)

封包過濾 (Packet Filtering)

網路位址轉譯 (NAT 、 PAT)

23

路由 (Routing)InternetInternet

192.168.0.0255.255.255.0

202.132.10.160|

202.132.10.191255.255.255.224

202.132.10.160|

202.132.10.191255.255.255.224

202.132.10.160|

202.132.10.175255.255.255.240

202.132.10.176|

202.132.10.191255.255.255.240

202.132.10.160|

202.132.10.175255.255.255.240

202.132.10.176|

202.132.10.191255.255.255.240

24

封包過濾 (Packet Filtering)

ICMP

HTTP

FTP

SMTP

來源端位址 來源端埠號 目的端位址 目的端埠號 通訊協定 允許或拒絕Any Any Any 25 TCP 允許Any Any Any 21 TCP 拒絕Any Any Any 80 TCP 拒絕Any Any Any --- ICMP 拒絕Any Any Any Any Any 拒絕

存取規則存取規則

25

網路位址轉譯 (NAT、 PAT)NATInternal IP = 192.168.0.1External IP = 202.132.10.10 InternetInternet

IP = 192.168.0.3

IP = 192.168.0.4

IP = 192.168.0.5

Web ServerIP = 131.107.50.1

遠端 IP 位址 遠端埠號 外部 IP 位址 外部

埠號 內部 IP 位址 內部埠號

131.107.50.1 80 202.132.10.10 2355 192.168.0.5 2355

168.95.1.1 80 202.132.10.10 2355 192.168.0.4 23552323

26

設定防火牆的存取控制原則

決定需求決定需求

定義規則定義規則

測試設定測試設定

修正設定修正設定

套用生效套用生效

開始開始開始開始

完成完成完成完成

27

設定防火牆的存取控制原則

注意事項 注意”預設的狀態”

全部啟用 or 全部拒絕 以最嚴格的方式進行設定 紀錄所有的設定項目 定期稽核使用情形

28

防火牆的紀錄 (Logging)

29

防火牆的監測與警示

入侵偵測 效能工具 警示通知

E-Mail

呼叫器 執行程式

30

FirewallFirewall 的架設的架設

不同的系統可以針對不同的安全需求架設防火牆 堡壘主機式防火牆 (Bastion Host Firewall) 雙閘式防火牆 (Dual-Homed Firewall) 屏障單機式防火牆 (Screened Host Firewall) 屏障子網域式防火牆 (Screened Subnet Firewall)

31

堡壘主機式防火牆 (Bastion Host Firewall) 屬於封包過濾器 有兩塊網路卡 進出的封包均需經過該防火牆的檢查 內部網路與外部網路的交通無法直接相連 封包均需透過該堡壘主機的轉送

FirewallFirewall 的架設的架設

32

堡壘主機式防火牆 (Bastion Host Firewall)

Internet 網卡 網卡

堡壘主機式防火牆外部網路

內部網路

FirewallFirewall 的架設的架設

33

雙閘式防火牆 (Dual-Homed Firewall) 屬於代理伺服器型防火牆的一種 有兩塊網路卡 需安裝一特殊軟體 - 應用服務轉送器 (Application

Forwarder) 所有的網路應用服務封包都需經過該應用服務轉送器的檢查 應用服務轉送器將過濾掉不被系統所允許的服務要求封包

FirewallFirewall 的架設的架設

34

雙閘式防火牆 (Dual-Homed Firewall)

Internet 網卡 網卡

應用服務轉換器

雙閘式防火牆

內部網路

伺服端

客戶端

FirewallFirewall 的架設的架設

35

屏障單機式防火牆 (Screened Host Firewall) 屬於結合封包過濾器及代理伺服器功能的一種架構 硬體設備除了一主機並需一路由器

路由器 必須有封包過濾的功能

主機 負責過濾及處理網路服務要求封包

FirewallFirewall 的架設的架設

36

屏障單機式防火牆 (Screened Host Firewall)

Internet

屏障子網域

路由器

防火牆主機

內部網路

FirewallFirewall 的架設的架設

37

屏障子網域式防火牆 (Screened Subnet Firewall) 屏障子網域 (Screen Subnet) ，以加強系統的安全性

結合了許多個主機及兩個路由器 屏障子網域架設在外部網路與內部網路之間 對外公開的應用伺服主機均需架設在屏障子網域內 用外部路由器隔開外部網路與屏障子網域 內部路由器則隔開內部網路與屏障子網域 將內部網路的架構、各主機 IP 位址及名稱 (Domain Name) 完全隱

藏起來 多次的過濾、檢查 IP 位址轉換的安全措施

FirewallFirewall 的架設的架設

38

屏障子網域式防火牆 (Screened Subnet Firewall)

Internet 路由器路由器

公司內部網路

屏障子網域

外部路由器內部路由器

保壘式主機

Mail ServerWWW Server

FTP Server

FirewallFirewall 的架設的架設

39

FirewallFirewall 的缺點的缺點 易形成網路上的交通瓶頸 防火牆一旦被攻破，入侵者將可肆無忌憚地為所

欲為 無法防止內部網路的使用者利用其合法的身份作

破壞系統的行為 無法有效阻止開後門的行為 無法有效阻止有心人士利用原作業系統的漏洞進

行入侵破壞行為 防火牆不提供資料完整性驗證的功能

40

個人防火牆如何設定winxp的個人防火牆其他personal firewall

如何檢查電腦的port是否被封鎖檢視 firewall log

41

winxp 的個人防火牆 啟動 / 關閉 基本設定

Windows firwwall 只阻檔單向封包 ( 由外至內 ) 。 設定那些程式或服務可以通過 firewall 暫時調高安全性：勾選不允許例外

進階設定 使某個連線不受 firewall 保護 開放特定的由外至內的 port ( 用於本機擔任 server 時 ) 允許回應他人的 ping 設定 firewall log

42

Sygate personal firewall

Sygate Personal Firewall 操作手冊 重要設定 規則設定 (Tools \ Advanced Rules…) (Ref 4)

43

Firewall 規則設定練習

ICMP

HTTP

FTP

SMTP

來源端位址 來源端埠號 目的端位址 目的端埠號 通訊協定 允許或拒絕Any Any Any 25 TCP 允許Any Any Any 21 TCP 拒絕Any Any Any 80 TCP 拒絕Any Any Any --- ICMP 拒絕Any Any Any Any Any 拒絕

存取規則存取規則

44

如何關閉特定的服務 電腦管理 \ 服務及應用程式 範例：手動啟動 telnet

以 netstat –an ，檢視 port 23 是否開啟。 範例：如何關閉網路芳鄰

停用 NetBIOS over TCP / IP TCPIP \ 進階 \ wins

File and printer sharing for microsoft networks

45

如何關閉網路芳鄰

46

檢視 firewall log

Winxp firewall Sygate Personal Firewall

47

如何檢查電腦的 port 是否被封鎖 使用 tools

Ip-tools 使用網站提供的工具

Shields Up 那些 port 該封鎖？ 其他

48

那些那些 portport該封鎖？該封鎖？駭客攻擊十大駭客攻擊十大 portport （ 2003 年 7~2003 年 12月）資料來源：賽門鐵克公司

49

專業防火牆功能說明

封包過濾 (規則控管 )頻寬管理 IM/P2P 管理阻絕外來攻擊異常網路行為的偵測

50

封包過濾

以目的地或來源地 IP 及存取的服務作為過濾的條件

訂定政策 , Outgoing 或 Incoming 觀察記錄以瞭解 Firewall 是否有正常工作 開放需要的服務 , 關閉其餘不需要的服務有助於安全性的提升

51

頻寬管理限制頻寬的使用 ,避免濫用 保證其餘使用者有固定的頻寬可使用

52

IM/P2P 管理

IM 及時通訊息 , 程式阻擋 P2P 程式控管 ,避免大量使用頻寬下載 ,造成網路阻塞

觀察記錄可得知來源及使用者

53

阻絕外來攻擊

Packet flooding (TCP/UDP/ICMP) Detection or probing (DROP) Anomaly Traffic or packet DOS prevent 保護伺服器 ,避免被偵測其使用的作業系

統及服務平台

54

異常網路行為的偵測

可針對個別 IP 的流量及封包數做控管 觀察統計記錄瞭解貴單位網路使用情形中毒 (Network worm) 可阻擋大量傳遞封包的使用者及電腦

55

防火牆操作介面說明 網路設定 DHCP( 動態 IP分配 ) NAT 規則設定 ( 外部到內部 )

規則設定 ( 內部到外部 ) 訂製規則 入侵偵測防禦 統計流量

56

網路設定

57

DHCP(動態 IP分配 )

58

NAT

59

規則設定 (Incoming)外部到內部 規則設定 ( 外部到內部 )

60

規則設定 (內部到外部 )Outgoing

規則設定 ( 內部到外部 )

61

訂製規則自訂規則 ( 外到內或內到外 )

62

入侵偵測防禦

63

統計流量

64

防火牆進階過濾說明 (入侵偵測防禦 )

異常流量異常攻擊 IM/P2P

65

異常流量

異常流量是針對頻寬以及封包數控管異常流量的使用可有效管理網路不當使用 統計紀錄白名單 Daily Quota(每日流量限制 )

66

異常攻擊

異常攻擊針對異常的封包及網路行為阻擋異常攻擊有提供約 32 種偵測或攻擊的阻擋 統計紀錄誤判

67

IM/P2P

IM/P2P 的阻擋 針對應用程式 Messenger 及 BT 阻擋紀錄

68

商用防火牆 (Commercial Firewall )

Netscreen - http://www.netscreen.com/ Watchguard - http://www.watchguard.com/ SonicWall - http://www.sonicwall.com/. Barricade - http://www.privador.com/?op=body&id=13 Nokia - http://www.nokia.com/securitysolutions/ Checkpoint - http://www.checkpoint.com/ Cisco PIX - http://www.cisco.com/warp/public/cc/pd/fw/sqfw500/ Spearhead - http://www.sphd.com/ Protectix Prowall - http://www.protectix.com/ Microsoft ISA - http://www.microsoft.com/isaserver/ Symantec Enterprise Firewall -

http://enterprisesecurity.symantec.com/products/products.cfm?productid=47&EID=0

69

如何測試防火牆

建立測試計畫建立測試計畫 發動模擬攻擊發動模擬攻擊

檢視結果檢視結果修正問題修正問題

70

如何測試防火牆

使用工具軟體網路流量產生器網路監視器埠掃描工具弱點掃描工具

71

結論

企業的需求 軟體 /硬體 作業系統平台 (Windows/Unix/Linux)

效率 成本 管理的便利性

72

References

1. Insights and Answers for IT Professionals http://www.microsoft.com/taiwan/technet/

2. 防毒防駭系統防護 , gotop,亦向工作室3. Windows 網路通訊秘笈 , 旗標 , 施威銘研究室

4. 防毒防駭全攻略 ,旗標 , 程秉輝 ,P 2-29