Embed Size (px)
DESCRIPTION
4.2.1 防火墙体系结构. 基于网络防火墙的部件类型 屏蔽路由器 ( Screening router) 实施分组过滤 能够阻断网络与某一台主机的 IP 层的通信 堡垒主机 ( Bastion host) 一个网络系统中安全性最强的计算机系统 安全性受到最严密的监视 没有保护的信息 不能作为跳板 实施分组代理. 网络防火墙体系结构. 双重宿主机体系结构 基于堡垒主机 屏蔽主机体系结构 基于堡垒主机和屏蔽路由器 被屏蔽子网体系结构 双重屏蔽路由器. 双重宿主主机 ( dual-homed host). 连接因特网和局域网. 过滤和代理. - PowerPoint PPT Presentation
Citation preview
23/4/20
4.2.1 防火墙体系结构基于网络防火墙的部件类型
屏蔽路由器( Screening router)实施分组过滤能够阻断网络与某一台主机的 IP层的通信
堡垒主机( Bastion host)一个网络系统中安全性最强的计算机系统安全性受到最严密的监视没有保护的信息不能作为跳板实施分组代理
23/4/20
网络防火墙体系结构双重宿主机体系结构
– 基于堡垒主机屏蔽主机体系结构
– 基于堡垒主机和屏蔽路由器被屏蔽子网体系结构
– 双重屏蔽路由器
23/4/20
双重宿主主机 (dual-homed host)
连接因特网和局域网
双重宿主计算机
服务器 服务器
工作站 工作站 工作站
因特网
过滤和代理
23/4/20
屏蔽主机 (Screened Host)
用包过滤和应用代理的双重安全保护包过滤器连接因特网代理服务器为局域网上的客户机提供服务
包过滤器 服务器 服务器
工作站 工作站 应用代理网关
因特网
23/4/20
屏蔽子网 (Screened Subnet)
添加额外的安全层进一步地把内部网络与 Internet 隔离开
包过滤器 服务器 服务器
工作站 工作站 工作站
应用代理服务器
包过滤器
因特网
DMZ
23/4/20
4.2.2 防火墙的安全策略 安全策略的两个层次
– 网络服务访问策略– 防火墙设计策略
设计策略1. 用户账号策略2. 用户权限策略3. 信任关系策略4. 分组过滤策略5. 认证、签名和数据加密策略6. 密钥管理策略7. 审计策略
23/4/20
用户账号策略口令最小长度口令最长有效期口令历史口令存储方式用户账号锁定方式
–在若干次口令错误之后
23/4/20
用户权限策略备份文件权限远程 / 本地登录访问权限远程 / 本地关机权限更改系统时间权限管理日志权限删除 / 还原文件权限设置信任关系权限卷管理权限安装 / 卸载设备驱动程序权限
23/4/20
审计策略成功或者不成功的登录事件成功或者不成功的对象访问成功或者不成功的目录服务访问成功或者不成功的特权使用成功或者不成功的系统事件成功或者不成功的账户管理事件
23/4/20
4.2.3 防火墙技术分组过滤技术依据
– IP分组的源地址和目的地址– 源端口号和目的端口号– 传送协议
优点– 可以实现粗颗粒的网络安全策略– 容易实现– 配置成本低– 速度快
局限性– 配置分组过滤规则比较困难– 不能识别分组中的用户信息– 不能抵御 IP地址欺骗
23/4/20
例 4-1某一个具有 B 类网络 123.45 的公司的网络管
理员希望阻止来自因特网上的访问 (123.45/16) 。该网络中有一个特殊子网 (123.45.6.0/24)是一个与某大学合作的,该大学的网址是 135.79 。他希望这个特殊的子网能够被该大学的所有子网访问。此外还希望阻止公司的网络被大学中某一个特殊子网 (135.79.99.0/24) 访问。试设计制订过滤规则。
23/4/20
解某一个具有 B 类网络 123.45 的公司的网络管理员希望阻止来自因
特网上的访问 (123.45/16) 。该网络中有一个特殊子网 (123.45.6.0/24) 是一个与某大学合作的,该大学的网址是 135.79 。他希望这个特殊的子网能够被该大学的所有子网访问。此外还希望阻止公司的网络被大学中某一个特殊子网 (135.79.99.0/24) 访问。试设计制订过滤规则。
制订过滤规则如下
规则 源地址 目标地址 动作A 135.79.99.0/24 123.45.6.0/24 拒绝B 135.79.0.0/16 123.45.6.0/24 允许C 0.0.0.0/0 0.0.0.0/0 拒绝
23/4/20
例 4-2
处于一个 C 类网络 116.111.4.0 的防火墙,第一,希望阻止网络中的用户访问主机 202.108.5.6 ;假设需要阻止这个主机的 Telnet 服务,对于 Internet 的其他站点,允许网络内部用户通过 Telnet 方式访问,但不允许网络外部其他站点以 Telnet 方式访问网络。第二,为了收发电子邮件,允许 SMTP 出站入站服务,邮件服务器的 IP 地址为 116.111.4.1 。第三,对于 WWW服务,允许内部网用户访问 Internet 上任何网络和站点,但只允许一个公司的网络 98.120.7.0 访问内部WWW 服务器,内部 WWW 服务器的 IP 地址是 116.111.4.5 。试根据以上要求设计过滤规则。
23/4/20
解规则 方向 协议 源地址 目的地址 源端口 目的端口 动作 A 出 TCP 116.111.4.0 202.108.5.6 >1023 23 拒绝 B 入 TCP 202.108.5.6 116.111.4.0 23 >1023 拒绝 C 出 TCP 116.111.4.0 任意 >1023 23 允许 D 入 TCP 任意 116.111.4.0 23 >1023 允许 E 出 TCP 116.111.4.1 任意 >1023 25 允许 F 入 TCP 任意 116.111.4.1 25 >1023 允许 G 入 TCP 任意 116.111.4.1 >1023 25 允许 H 出 TCP 116.111.4.1 任意 25 >1023 允许 I 出 TCP 116.111.4.0 任意 >1023 80 允许 J 入 TCP 任意 116.111.4.0 80 >1023 允许 K 入 TCP 98.120.7.0 116.111.4.5 >1023 80 允许 L 出 TCP 116.111.4.5 98.120.7.0 80 >1023 允许 M 双向 任意 任意 任意 任意 任意 拒绝
23: telnet
25: SMTP
80: web
>1023: 非系统进程
23/4/20
地址过滤配置实例
23/4/20
配置结果
23/4/20
问题 1
DMZ
包过滤器A
服务器 服务器
工作站 工作站 工作站
应用代理服务器
包过滤器B
因特网
某屏蔽子网的应用代理服务器中,对外接口的 IP地址是 202.120.1.1 ,对内接口的 IP 地址为192.168.1.1 。问如何配置包过滤器规则,使得所有的内网与外网的通信都经过代理服务器的检查和传递。
23/4/20
解答某屏蔽子网的应用代理服务器中,对外接口的 IP
地址是 202.120.1.1 ,对内接口的 IP 地址为192.168.1.1 。问如何配置包过滤器规则,使得所有的内网与外网的通信都经过代理服务器的检查和传递。
规则 方向 协议 源地址 目地址 源端口 目端口 动作A In - - 202.120.1.1 - - 允许B out - 202.120.1.1 - - - 允许C - - - - - - 禁止
规则 方向 协议 源地址 目地址 源端口 目端口 动作A in - 192.168.1.1 - - - 允许B out - - 192.168.1.1 - - 允许C - - - - - - 禁止
包过滤器 B
包过滤器 A
23/4/20
防火墙安全策略的例子Allow all inbound and outbound ICMP Allow inbound TCP 445 from hosts
192.168.4.0 – 192.168.20.255 Block all inbound TCP Block all inbound UDP Allow all outbound TCP Allow all outbound UDP
23/4/20
代理服务技术代理
– 客户机与服务器之间的一个应用层中介– 在两者之间传递应用程序的信息– 可以根据数据包的内容进行检测
应用代理的原理– 隔断通信双方的直接联系
• 将内部网络与外部网络从网络层起分开– 所有通信都必须经应用层的代理进行转发
• 用另外的连接和封装转发应用层信息
23/4/20
代理服务技术特点
– 安全性较高• 能够识别应用层信息• 数据重新封装
– 应用滞后• 不支持没有开发代理的网络应用
– 客户端配置较复杂• 需要在客户端进行代理设置
– 要求应用层数据中不包含加密、压缩数据• Email 中做不到
代理的实例– 网络地址转换器( NAT)– URL 过滤器( Web 应用层)
23/4/20
NAT
网络层 / 传输层代理– 提供外网 IP地址与内网地址之间的转换
•方便路由汇聚与 IPv6网络连通– 使得外网地址重用
分类– 静态 NAT
• 将内部地址与外部地址固定地一一对应– 动态 NAT
• 将多个内部地址与同一个外部地址对应(分时使用)• 通过 TCP/UDP端口号区分( NAPT)
IPv4/IPv4 NAT (RFC1631, RFC2663, RFC3022, RFC3235) IPv4/IPv6 NAT (RFC2766, RFC2765, RFC3027)
23/4/20
例 4-3 NAT
SA=176.16.1.1
DA=191.1.1.3
SA=191.1.1.1
DA=191.1.1.3
SA=191.1.1.3 DA=191.1.1.1
SA=191.1.1.3 DA=176.16.1.1
23/4/20
例 4-4 NAPT
23/4/20
NAPT
将地址转换扩展到端口号全转换 Full Cone
– 外网随时可以利用映射后的地址给内网发送 UDP 报文受限转换 Restricted Cone
– 当内网主机向外网发送数据分组后,外网才可以利用映射后的地址给内网发送 UDP 报文
端口受限转换 Port Restricted Cone– 当内网主机向外网发送数据分组后,外网才可以利用映射后
相同的地址和端口号给内网发送 UDP 报文对称 NAT Symmetric NAT
– 多个内网地址和端口号映射到同一个外网地址– 当内网主机向外网发送数据分组后,外网才可以利用映射后
相同的地址和端口号给内网发送 UDP 报文
23/4/20
NAT-PT
地址转换– 静态地将每个 IPv6 地址转换成 IPv4 地址 (NAT-PT)– 动态地将一个 IPv6 地址转换成一定期限的 IPv4 地址– 动态地将一个 IPv6 地址转换成 IPv4 地址和 TCP/UDP 端口号 (NAPT-PT)
协议转换– 在 IPv4 与对应的 IPv6 分组之间相互转换
• IPv4 头与对应的 IPv6 头之间的相互转换• TCP/UDP/ICMP 校验和更新• ICMPv4 头与 ICMPv6 头之间的相互转换• ICMPv4 错误消息与 ICMPv6 错误消息的相互转换• IPv4 sender does not perform path MTU discovery
RFC2765
23/4/20
Problems of NATAndrew S. Tanenbaum
Violates architecture model of IPChanges the Internet from a connectionless
to connection-orientedViolates the role of protocol layeringDoes not support other transport protocolDoes not support IP addresses in the body
– FTP and H.323 works this way– breaks many IP applications– RFC3027
23/4/20
NAT穿透与语音通信H.323与 SIP 的共同点传输中需要建立两种通道
– 控制通道– 媒体通道
• RTP/RTCP 连接使用的 UDP 端口需要通过协商确定• 因为一台主机可能建立多条媒体通道(多个媒体流)• 要求防火墙打开所有的端口号
发起呼叫方的 IP 地址在分组的载荷中– 根据这个 IP 地址发回的分组将被防火墙阻挡– 防火墙的穿透问题
NAT-Friendly Application Design Guidelines– 在分组中不包含 IP 地址和端口号– 许多协议无法根据这个指导原则构建– RFC3235
23/4/20
NAT穿透与语音通信解决方案 应用级网关 ALG (Application Layer Gateways )
– 存放应用层信息并用于 NAT– 修改应用层信息中的 IP 地址– 需要更新已有的 NAT
• 扩展性问题、可靠性问题和新应用布署问题 Full Proxy
– 由专门的应用层代理对业务流进行转发– 代理在防火墙的外部
• 对载荷中的 IP 地址进行处理• 对应答分组中的 IP 地址进行转换
NAT
23/4/20
Traverse a FirewallMIDCOM
– Middlebox Communications protocol – 采用应用代理与 NAT 通信– 允许一个应用实体控制 NAT
• 需要更新当前的 NAT 和防火墙 – RFC3303
STUN– Simple traversal of UDP through NAT– 使得应用程序能发现 NAT 和防火墙的存在
• 通过发送绑定请求给 STUN 服务器并比较应答中的 IP 地址和端口号
– 使得应用程序发现映射的地址和端口号• 确定 NAT 的地址映像
– 把映射后的地址放在分组载荷中– RFC3489
23/4/20
Traverse a Firewall 建立高层隧道
– Firewall Enhancement Protocol (FEP)– allows ANY application to traverse a Firewall– 可以使用固定的端口号– TCP/IP packet encoded into HTTP command– RFC3093
App
TCP
IP
FEP
TCP
IP IP
TCPFEP
IP
TCP
App
firewall
局限性?
23/4/20
状态检测技术会话层代理
– 基于入侵检测能够根据上层协议的状态进行过滤
– 对网络通信的各个协议层次实施监测– 不仅检查数据分组的 TCP/IP 头
利用状态表跟踪每一个会话的状态– 记录会话的序列
透明性较好– 不修改应用程序的执行过程和处理步骤
23/4/20
基于网络防火墙的不足之处基于分组网络头信息
– 容易被篡改
无双向的身份验证粗颗粒的访问控制防外不防内不能防止旁路不能预防新的攻击手段不能防范病毒和后门
23/4/20
新型防火墙技术可信信息系统技术
– 加强认证计算机病毒检测防护技术和密码技术
– 加强应用层数据检查自适应代理
–适应新的应用新功能
– spam 过滤– Web 站点过滤
23/4/20
4.3 入侵检测– 识别越权使用计算机系统的人员及其活动– 网络活动监视器
基本假设– 入侵者的行为方式与合法用户是不同的
目标– 发现新的入侵行为– 对入侵事件的可说明性– 能够对入侵事件做出反应
23/4/20
入侵检测方法记录有关证据
– 实时地检测网络中的所有分组– 或检测主机的状态及日志或审计信息
识别攻击的类型评估攻击的威胁程度发出告警信息或主动采取措施阻止攻击
– 入侵防御
23/4/20
4.3.1 入侵分类攻击的方式
– 本地攻击– 远程攻击– 伪远程攻击
网络上的安全弱点– 管理漏洞– 软件漏洞– 结构漏洞– 信任漏洞
跳板( Zombie )
23/4/20
常见网络入侵类型拒绝服务攻击
– 网络流量攻击– 阻断
协议攻击– 基于网络– 窃取、伪造、篡改、阻断
用户账号攻击– 基于主机– 窃取、伪造、篡改
23/4/20
网络入侵的方式端口扫描( port scanning)IP 哄骗( IP smurfing)洪泛攻击( flooding)缓存溢出( buffer overrun)脚本攻击( script attack)口令探测( password sniffing)会话劫持( session hijacking)
23/4/20
网络入侵的例子Land 攻击( land attack)
– SYN分组中 IP源地址和目标地址相同– 造成死机
泪滴攻击( tear dropping)– 一些操作系统在收到含有重叠偏移的伪造分段时将崩溃
ICMP 洪泛攻击( ICMP flooding)– 广播 ICMP应答请求( ping )– 加上假冒的返回地址– 使得应答包返回到某一台被攻击的主机
错误长度攻击( length error)未知协议类型攻击( unknown protocol)
23/4/20
网络入侵的例子UDP 炸弹攻击( UDP bomb)
– 伪造 UDP 长度字段– 使它的值大于实际的 UDP 报文长度
UDP 端口扫描( UDP scanning)TCP 端口扫描( TCP scanning)SYN 洪泛攻击( SYN flooding)UDP 洪泛( UDP flooding)
– 发送大量带有假返回地址的 UDP包PHF 攻击( PHF attack)
– apache web服务器早期版本中的 PHF 脚本 网虫(Worm)
– 消耗网络带宽和缓存资源– CodeRed, SQL Slammer
23/4/20
SYN 洪泛攻击
主机A
主机 B
Syn, Seq=x
Syn, Seq=y, ACK=x+1
ACK=y+1
23/4/20
从网络对主机进行入侵的阶段1. 搜集资料
– 探测目标机 IP 地址– 扫描端口– 口令猜测– 用户名猜测
2. 进入系统– 利用猜测的口令– 利用缓存溢出– 利用后门
3. 驻留– 建立新文件– 修改系统文件– 启动黑客进程– 启动陷阱进程
4. 传播– 发 email– 发 web 连接请求– 通过 FTP– 感染局域网内共享
文件5. 攻击破坏
– 删除文件– 修改文件– 拒绝服务– 窃取信息
状态分析
23/4/20
IPv6的可信性Reliability
– 自动配置Security
– 巨大的稀疏地址空间可抵御恶意的自动端口扫描和自动传播的蠕虫
• IPv4/v6 双地址机制可以进一步增加扫描的难度– 自动配置的地址可动态改变以抵御重复入侵– 通过 IPsec 支持网络数据安全
23/4/20
4.3.2 入侵检测系统要求可用性
– 连续高效运行而不需要人工干预– 具有较低的系统运行开销
可靠性– 能够从系统崩溃中恢复过来– 能够防止自身被篡改
可管理性– 能够精确地实现安全策略
自适应性– 能够适应用户行为的改变– 例如在安装了新的软件之后用户的行为会发生变化
可扩展性– 适应系统规模的扩张
23/4/20
系统构成 活动 (activity)
– 数据源的事例– 被探测器( sensor )或者分析器识别
管理员– 制订安全策略的人员– 部署和配置 ID系统
探测器– 从数据源收集信息– 如网卡的“混杂”( promiscuous )模式
数据源– 原始数据– 如网络上的数据包、监控日志
事件– 数据源中发生的需要检测的情况
分析器– 分析探测器收集的数据
数据源
探测器 分析器
活动
事件
管理器
警告安全策略
操作员
响应
提示
监管员
23/4/20
系统构成 警告
– 分析器给管理器的消息– 表示检测到一个入侵事件
提示( notification)– 在屏幕上显示、发 Email或短消息
管理器– 探测器的配置– 分析器的配置– 事件提示管理– 数据汇总和报告
安全策略– 预定义的文档– 定义允许和禁止的服务
数据源
探测器 分析器
活动
事件
管理器
警告安全策略
操作员
响应
提示
监管员
23/4/20
4.3.3 入侵检测技术
1. 入侵检测方法分类分类一
集中式入侵检测方法基于主机基于网络
分布式入侵检测方法
