Upload
joy-reed
View
71
Download
0
Embed Size (px)
DESCRIPTION
如何活用防火牆 做好網路安全防護. 主講:陳建民. Outline. 為何需使用防火牆 防火牆種類 封包過濾型 應用程式過濾型 防火牆網路架構 標準架構 3-Home 架構 多層次架構 如何建置防火牆系統 如何定義存取的原則以限制未經授權的使用者存取您的網路 如何管理防火牆的日誌以了解防火牆保護企業網路的作為 如何掌握防火牆的運作異常現象,用最安全的機制保護您的網路. Outline. Firewall 的設定 個人防火牆 商用防火牆 防火牆測試. Internet. 企業網路的現況. Mobile 用戶. 商業夥伴. 危機四伏. - PowerPoint PPT Presentation
Citation preview
1
如何活用防火牆如何活用防火牆做好網路安全防護做好網路安全防護
主講:陳建民
2
為何需使用防火牆 防火牆種類
封包過濾型 應用程式過濾型
防火牆網路架構 標準架構 3-Home 架構 多層次架構
如何建置防火牆系統 如何定義存取的原則以限制未經授權的使用者存取您的網路 如何管理防火牆的日誌以了解防火牆保護企業網路的作為 如何掌握防火牆的運作異常現象,用最安全的機制保護您的網路
OutlineOutline
3
Firewall 的設定 個人防火牆 商用防火牆
防火牆測試
OutlineOutline
MobileMobile用戶用戶
InternetInternet用戶用戶
企業網路的現況
InternetInternet
企業網路企業網路
企業分公司企業分公司
商業夥伴商業夥伴
危機四伏
5
常見的威脅
粗心大意或不滿的員工 社交工程攻擊 (Social Engineering)
揚名攻擊 電腦病毒 (Computer Virus) 惡性程式 (Computer Malware)
電腦蠕蟲、特洛伊木馬、惡作劇程式 惡性的商業競爭 電腦駭客 (Hacker)
6
常見的威脅 (2)埠掃描
埠掃描 (Port Scanning)
Web Server
Attacker
Port Scan
Port Service 20?… closed 21?… FTP 22?… closed 23?… closed 24?… closed 25?… SMTP
7
常見的威脅 (3)阻斷服務攻擊
阻斷服務攻擊 (Denial of Service Attacks) 磁碟空間 (Disk Space)
網路頻寬 (Bandwidth)
緩衝區 (Buffers)
中央處理器使用量 (CPU Cycles Usage)
8
安全的建議
妥善的建置 完善的管理 持續的稽核
安全的環境安全的環境
建置
管理
稽核
9
安全等級的劃分
極機密極機密核心技術核心技術
公開公開企業網站企業網站
內部內部市場行銷市場行銷
機機密密
人事、薪資人事、薪資
10
防火牆的功能
網路流量過濾 (Packet Filter)
過濾未經授權的網路流量
資料內容過濾 (Application Filter)
網路位置轉譯 (NAT 、 PAT)
解決 IP 位址不足的問題 保護內部網路位址配置 隱藏網際網路服務的真實位址
11
防火牆技術的種類 封包過濾 (Packet Filter)
靜態 (Static) 檢查來源端與目的端的網路位址及埠號
動態 (Dynamic or Stateful Inspection) 設置了一個連結狀態表 ,將過往交通的狀態記錄下來 可以分辨出那些是從企業外發出的通信服務要求,而那些是回應企
業內發出通信服務的返回資料 應用層級過濾 (Application Filter)
檢查資料內容 自由擴充功能
12
封包過濾 (Packet Filter)
IP封包
目的端位址來源端位址
目的端埠號來源端埠號 資料
TCP/UDP封包
13
動態過濾與靜態過濾的差異性TCP 連線的建立與停止
SYN=1
SYN=1,ACK=1
ACK=1
ACK=1
FIN=1,ACK=1
ACK=1
FIN=1,ACK=1
TCP連線的結束TCP連線的建立
14
動態過濾與靜態過濾的差異性埠掃描的方式 – SYN 與 FIN 的掃描
防火牆內部網路
攻擊者Internet Internet
15
應用程式過濾 (Application Filter)
Application FilterApplication Filter
TCP/UDPTCP/UDP
IPIP
TCP/UDPTCP/UDP
IPIP
16
如何選擇防火牆的網路架構
堡壘主機式架構 (BastionHost)
3-Homed 架構 多層次架構 (Multi-Layered)
17
堡壘主機式架構 (Bastion Host)
基本防護 管理容易 成本低
防火牆
內部網路
Internet Internet
18
3-Homed架構
管理容易 相對安全 內部網路
Internet Internet 非軍事管制區DMZPerimeter Network
防火牆
19
多層次架構 (Multi-Layered)
管理具彈性 安全性較佳 成本較高
外部防火牆
內部防火牆
Internet Internet
內部網路
非軍事管制區DMZPerimeter Network
20
各式防火牆架構的比較
堡壘主機 3-Homed 多層次
安全性 低 中 高
管理的便利性 最容易 容易 較具彈性
成本 低 中 高
21
防火牆的建置
了解企業的需求了解企業的需求
選擇適當的防火牆產品選擇適當的防火牆產品
決定網路架構決定網路架構
安裝防火牆安裝防火牆
設定防火牆設定防火牆
開始開始開始開始
完成完成完成完成測試防火牆測試防火牆
22
設定防火牆的技巧
路由 (Routing)
封包過濾 (Packet Filtering)
網路位址轉譯 (NAT 、 PAT)
23
路由 (Routing)InternetInternet
192.168.0.0255.255.255.0
202.132.10.160|
202.132.10.191255.255.255.224
202.132.10.160|
202.132.10.191255.255.255.224
202.132.10.160|
202.132.10.175255.255.255.240
202.132.10.176|
202.132.10.191255.255.255.240
202.132.10.160|
202.132.10.175255.255.255.240
202.132.10.176|
202.132.10.191255.255.255.240
24
封包過濾 (Packet Filtering)
ICMP
HTTP
FTP
SMTP
來源端位址 來源端埠號 目的端位址 目的端埠號 通訊協定 允許或拒絕Any Any Any 25 TCP 允許Any Any Any 21 TCP 拒絕Any Any Any 80 TCP 拒絕Any Any Any --- ICMP 拒絕Any Any Any Any Any 拒絕
存取規則存取規則
25
網路位址轉譯 (NAT、 PAT)NATInternal IP = 192.168.0.1External IP = 202.132.10.10 InternetInternet
IP = 192.168.0.3
IP = 192.168.0.4
IP = 192.168.0.5
Web ServerIP = 131.107.50.1
遠端 IP 位址 遠端埠號 外部 IP 位址 外部
埠號 內部 IP 位址 內部埠號
131.107.50.1 80 202.132.10.10 2355 192.168.0.5 2355
168.95.1.1 80 202.132.10.10 2355 192.168.0.4 23552323
26
設定防火牆的存取控制原則
決定需求決定需求
定義規則定義規則
測試設定測試設定
修正設定修正設定
套用生效套用生效
開始開始開始開始
完成完成完成完成
27
設定防火牆的存取控制原則
注意事項 注意”預設的狀態”
全部啟用 or 全部拒絕 以最嚴格的方式進行設定 紀錄所有的設定項目 定期稽核使用情形
28
防火牆的紀錄 (Logging)
29
防火牆的監測與警示
入侵偵測 效能工具 警示通知
呼叫器 執行程式
30
FirewallFirewall 的架設的架設
不同的系統可以針對不同的安全需求架設防火牆 堡壘主機式防火牆 (Bastion Host Firewall) 雙閘式防火牆 (Dual-Homed Firewall) 屏障單機式防火牆 (Screened Host Firewall) 屏障子網域式防火牆 (Screened Subnet Firewall)
31
堡壘主機式防火牆 (Bastion Host Firewall) 屬於封包過濾器 有兩塊網路卡 進出的封包均需經過該防火牆的檢查 內部網路與外部網路的交通無法直接相連 封包均需透過該堡壘主機的轉送
FirewallFirewall 的架設的架設
32
堡壘主機式防火牆 (Bastion Host Firewall)
Internet 網卡 網卡
堡壘主機式防火牆外部網路
內部網路
FirewallFirewall 的架設的架設
33
雙閘式防火牆 (Dual-Homed Firewall) 屬於代理伺服器型防火牆的一種 有兩塊網路卡 需安裝一特殊軟體 - 應用服務轉送器 (Application
Forwarder) 所有的網路應用服務封包都需經過該應用服務轉送器的檢查 應用服務轉送器將過濾掉不被系統所允許的服務要求封包
FirewallFirewall 的架設的架設
34
雙閘式防火牆 (Dual-Homed Firewall)
Internet 網卡 網卡
應用服務轉換器
雙閘式防火牆
內部網路
伺服端
客戶端
FirewallFirewall 的架設的架設
35
屏障單機式防火牆 (Screened Host Firewall) 屬於結合封包過濾器及代理伺服器功能的一種架構 硬體設備除了一主機並需一路由器
路由器 必須有封包過濾的功能
主機 負責過濾及處理網路服務要求封包
FirewallFirewall 的架設的架設
36
屏障單機式防火牆 (Screened Host Firewall)
Internet
屏障子網域
路由器
防火牆主機
內部網路
FirewallFirewall 的架設的架設
37
屏障子網域式防火牆 (Screened Subnet Firewall) 屏障子網域 (Screen Subnet) ,以加強系統的安全性
結合了許多個主機及兩個路由器 屏障子網域架設在外部網路與內部網路之間 對外公開的應用伺服主機均需架設在屏障子網域內 用外部路由器隔開外部網路與屏障子網域 內部路由器則隔開內部網路與屏障子網域 將內部網路的架構、各主機 IP 位址及名稱 (Domain Name) 完全隱
藏起來 多次的過濾、檢查 IP 位址轉換的安全措施
FirewallFirewall 的架設的架設
38
屏障子網域式防火牆 (Screened Subnet Firewall)
Internet 路由器路由器
公司內部網路
屏障子網域
外部路由器內部路由器
保壘式主機
Mail ServerWWW Server
FTP Server
FirewallFirewall 的架設的架設
39
FirewallFirewall 的缺點的缺點 易形成網路上的交通瓶頸 防火牆一旦被攻破,入侵者將可肆無忌憚地為所
欲為 無法防止內部網路的使用者利用其合法的身份作
破壞系統的行為 無法有效阻止開後門的行為 無法有效阻止有心人士利用原作業系統的漏洞進
行入侵破壞行為 防火牆不提供資料完整性驗證的功能
40
個人防火牆如何設定winxp的個人防火牆其他personal firewall
如何檢查電腦的port是否被封鎖檢視 firewall log
41
winxp 的個人防火牆 啟動 / 關閉 基本設定
Windows firwwall 只阻檔單向封包 ( 由外至內 ) 。 設定那些程式或服務可以通過 firewall 暫時調高安全性:勾選不允許例外
進階設定 使某個連線不受 firewall 保護 開放特定的由外至內的 port ( 用於本機擔任 server 時 ) 允許回應他人的 ping 設定 firewall log
42
Sygate personal firewall
Sygate Personal Firewall 操作手冊 重要設定 規則設定 (Tools \ Advanced Rules…) (Ref 4)
43
Firewall 規則設定練習
ICMP
HTTP
FTP
SMTP
來源端位址 來源端埠號 目的端位址 目的端埠號 通訊協定 允許或拒絕Any Any Any 25 TCP 允許Any Any Any 21 TCP 拒絕Any Any Any 80 TCP 拒絕Any Any Any --- ICMP 拒絕Any Any Any Any Any 拒絕
存取規則存取規則
44
如何關閉特定的服務 電腦管理 \ 服務及應用程式 範例:手動啟動 telnet
以 netstat –an ,檢視 port 23 是否開啟。 範例:如何關閉網路芳鄰
停用 NetBIOS over TCP / IP TCPIP \ 進階 \ wins
File and printer sharing for microsoft networks
45
如何關閉網路芳鄰
46
檢視 firewall log
Winxp firewall Sygate Personal Firewall
47
如何檢查電腦的 port 是否被封鎖 使用 tools
Ip-tools 使用網站提供的工具
Shields Up 那些 port 該封鎖? 其他
48
那些那些 portport該封鎖?該封鎖?駭客攻擊十大駭客攻擊十大 portport ( 2003 年 7~2003 年 12月)資料來源:賽門鐵克公司
49
專業防火牆功能說明
封包過濾 (規則控管 )頻寬管理 IM/P2P 管理阻絕外來攻擊異常網路行為的偵測
50
封包過濾
以目的地或來源地 IP 及存取的服務作為過濾的條件
訂定政策 , Outgoing 或 Incoming 觀察記錄以瞭解 Firewall 是否有正常工作 開放需要的服務 , 關閉其餘不需要的服務有助於安全性的提升
51
頻寬管理限制頻寬的使用 ,避免濫用 保證其餘使用者有固定的頻寬可使用
52
IM/P2P 管理
IM 及時通訊息 , 程式阻擋 P2P 程式控管 ,避免大量使用頻寬下載 ,造成網路阻塞
觀察記錄可得知來源及使用者
53
阻絕外來攻擊
Packet flooding (TCP/UDP/ICMP) Detection or probing (DROP) Anomaly Traffic or packet DOS prevent 保護伺服器 ,避免被偵測其使用的作業系
統及服務平台
54
異常網路行為的偵測
可針對個別 IP 的流量及封包數做控管 觀察統計記錄瞭解貴單位網路使用情形中毒 (Network worm) 可阻擋大量傳遞封包的使用者及電腦
55
防火牆操作介面說明 網路設定 DHCP( 動態 IP分配 ) NAT 規則設定 ( 外部到內部 )
規則設定 ( 內部到外部 ) 訂製規則 入侵偵測防禦 統計流量
56
網路設定
57
DHCP(動態 IP分配 )
58
NAT
59
規則設定 (Incoming)外部到內部 規則設定 ( 外部到內部 )
60
規則設定 (內部到外部 )Outgoing
規則設定 ( 內部到外部 )
61
訂製規則自訂規則 ( 外到內或內到外 )
62
入侵偵測防禦
63
統計流量
64
防火牆進階過濾說明 (入侵偵測防禦 )
異常流量異常攻擊 IM/P2P
65
異常流量
異常流量是針對頻寬以及封包數控管異常流量的使用可有效管理網路不當使用 統計紀錄白名單 Daily Quota(每日流量限制 )
66
異常攻擊
異常攻擊針對異常的封包及網路行為阻擋異常攻擊有提供約 32 種偵測或攻擊的阻擋 統計紀錄誤判
67
IM/P2P
IM/P2P 的阻擋 針對應用程式 Messenger 及 BT 阻擋紀錄
68
商用防火牆 (Commercial Firewall )
Netscreen - http://www.netscreen.com/ Watchguard - http://www.watchguard.com/ SonicWall - http://www.sonicwall.com/. Barricade - http://www.privador.com/?op=body&id=13 Nokia - http://www.nokia.com/securitysolutions/ Checkpoint - http://www.checkpoint.com/ Cisco PIX - http://www.cisco.com/warp/public/cc/pd/fw/sqfw500/ Spearhead - http://www.sphd.com/ Protectix Prowall - http://www.protectix.com/ Microsoft ISA - http://www.microsoft.com/isaserver/ Symantec Enterprise Firewall -
http://enterprisesecurity.symantec.com/products/products.cfm?productid=47&EID=0
69
如何測試防火牆
建立測試計畫建立測試計畫 發動模擬攻擊發動模擬攻擊
檢視結果檢視結果修正問題修正問題
70
如何測試防火牆
使用工具軟體網路流量產生器網路監視器埠掃描工具弱點掃描工具
71
結論
企業的需求 軟體 /硬體 作業系統平台 (Windows/Unix/Linux)
效率 成本 管理的便利性
72
References
1. Insights and Answers for IT Professionals http://www.microsoft.com/taiwan/technet/
2. 防毒防駭系統防護 , gotop,亦向工作室3. Windows 網路通訊秘笈 , 旗標 , 施威銘研究室
4. 防毒防駭全攻略 ,旗標 , 程秉輝 ,P 2-29