防火墙入侵检测与VPN.docx
《防火墙入侵检测与VPN.docx》由会员分享,可在线阅读,更多相关《防火墙入侵检测与VPN.docx(29页珍藏版)》请在冰豆网上搜索。
防火墙入侵检测与VPN
防火墙入侵检测与VPN
防火墙篇
为什么要使用防火墙?
首先,联网之后计算机可能会受到大量的攻击。
其次,联网主机受到攻击的方式更加复杂。
再次,联网主机受到攻击的事件处理起来非常困难。
最后,很多网络协议都不完善。
防火墙技术就是人们为解决这些问题而付出的努力之一。
防火墙是部署在用户内联网络和外联网络之间的一道屏障,一切内联网络和外联网络间交换的数据都应该通过防火墙设备。
以预先定义好的安全规则为标准,防火墙将通过它的数据流进行安全检测,符合安全规则的数据流将准予放行,而不符合安全规则的数据流将被阻隔。
第1章防火墙基础知识
防火墙的定义(从以下文字简化概括)
从广泛、宏观的意义上说,防火墙是隔离在内部网络与外部网络之间的一个防御系统。
防火墙拥有内联网络与外联网络之间的唯一进出口,因此能够使内联网络与外联网络,尤其是与Internet相互隔离。
它通过限制内联网络与外联网络之间的访问来防止外部用户非法使用内部资源,保护内联网络的设备不被破坏,防止内联网络的敏感数据被窃取,从而达到保护内联网络的目的。
AT&T的工程师WilliamCheswick和StevenBellovin给出了防火墙的明确定义,他们认为防火墙是位于两个网络之间的一组构件或一个系统,具有以下属性:
防火墙是不同网络或者安全域之间信息流的唯一通道,所有双向数据流必须经过防火墙。
只有经过授权的合法数据,即防火墙安全策略允许的数据才可以通过防火墙。
防火墙系统应该具有很高的抗攻击能力,其自身可以不受各种攻击的影响。
简而言之,防火墙是位于两个(或多个)网络间,实施访问控制策略的一个或一组组件集合。
防火墙的物理位置常识
从设备部署位置上看,防火墙要部署在本地受保护区域与外部网络的交界点上。
从具体的实现上看,防火墙运行在任何要实现访问控制功能的设备上。
再次强调一下,防火墙不是万能的,为了保护内联网络的安全,使得内联网络免受威胁和攻击,内部资源不被非法使用或恶意泄露,任何网络之间交换的数据流都必须通过防火墙,否则将无法对数据进行监控。
下图为防火墙在网络中的常见位置:
防火墙的逻辑位置
防火墙与网络层次关系如下表所示:
ISOOSI/RM七层模型
防火墙级别
应用层
网关级
表示层
会话层
传输层
电路级
网络层
路由器级
数据连路层
网桥级
物理层
中继器级
五类安全服务
1鉴别服务用于保证通信的真实性,证实数据源和目的地是通信双方所同意的包括对等实体鉴别和数据源鉴别;
2访问控制服务用于保证系统的可控性,防止未授权用户对系统资源的非法使用;
3数据保密性服务保证数据的秘密性,防止数据因被截获而泄密;
4数据完整性服务用于保证数据接收与发送的一致性,防止主动攻击,包括可恢复的连接完整性,无恢复的连接完整性,选择字段的连接完整性,选择字段的无连接完整性;
5禁止否认服务用于保证通信的不可抵赖性,防止发送方否认发送数据或者接受方否认接受过数据的事件发生,它包括不得否认发送和不得否认接收。
防火墙面对的安全威胁
通过更改防火墙配置参数和其它相关安全数据而展开的攻击。
攻击者利用高层协议和服务对内部受保护网络或主机进行的攻击。
绕开身份认证和鉴别机制,伪装身份,破坏已有连接。
任何通过伪装内部网络地址进行非法内部资源访问的地址欺骗攻击。
XX访问内部网络中的目标数据。
用户对防火墙等重要设备XX的访问。
破坏审计记录。
防火墙的实际功能(标题内容加上扩展)
1包过滤网络通信通过计算机之间的连接实现,而连接则是由两台主机之间相互传送的若干数据包组成。
防火墙的基本功能之一就是对由数据包组成的逻辑连接进行过滤,即包过滤。
数据包的过滤参数有很多,最基本的是通信双方的IP地址和端口号。
随着过滤技术的不断发展,各层网络协议的头部字段以及通过对字段分析得到的连接状态等等内容都可以作为过滤技术考察的参数。
包过滤技术也从早期的静态包过滤机制发展到动态包过滤、状态检测等机制。
总的说来,现在的包过滤技术主要包括针对网络服务的过滤以及针对数据包本身的过滤。
2代理代理技术是与包过滤技术截然不同的另外一种防火墙技术。
这种技术在防火墙处将用户的访问请求变成由防火墙代为转发,外部网络看不见内部网络的结构,也无法直接访问内部网络的主机。
在防火墙代理服务中,主要有两种实现方式:
一是透明代理(Transparentproxy),指内部网络用户在访问外部网络的时候,本机配置无需任何改变,防火墙就像透明的一样;二是传统代理,其工作原理与透明代理相似,所不同的是它需要在客户端设置代理服务器。
相对于包过滤技术,代理技术可以提供更加深入细致的过滤,甚至可以理解应用层的内容,但是实现复杂且速度较慢。
3网络地址转换类型:
源地址与目标地址动态与静态NAT分类使用网络地址转换功能现在已经成为防火墙的标准功能之一。
通过这项功能可以很好地屏蔽内部网络的IP地址,对内部网络用户起到保护作用;同时可以用来缓解由于网络规模需速增长而带来的地址空间短缺问题;此外还可以消除组织或机构在变换ISP时带来的重新编址的麻烦。
下面描述一下从内部网络向外部网络建立连接时NAT工作的过程:
1)防火墙对收到的内部访问请求进行过滤,决定允许该访问请求通过还是拒绝。
2)NAT机制将请求中的源IP地址转换为防火墙处可以利用的一个公共IP地址。
3)将变动后的请求信息转发往目的地。
当从目的地返回的响应信息到达防火墙的接口时,防火墙执行如下步骤:
4)NAT将响应数据包中的目的地址转换为发出请求的内部网络主机的IP地址。
5)将该响应数据包发往发出请求的内部网络主机。
4虚拟专用网VPN在不安全的公共网络,例如Internet,上建立一个逻辑的专用数据网络来进行信息的安全传递,目前已经成为在线交换信息的最安全的方式之一。
但是传统的防火墙不能对VPN的加密连接进行解密检查,所以是不允许VPN通信通过的,VPN设备也是作为单独产品出现的。
现在越来越多的厂家将防火墙和VPN集成在一起,将VPN作为防火墙的一种新的技术配置。
多数防火墙支持VPN加密标准,并提供基于硬件的加密,这使得防火墙速度不减但功能更加合理。
5用户身份认证防火墙要对发出网络访问连接请求的用户和用户请求的资源进行认证,确认请求的真实性和授权范围。
系统整体安全策略确定了防火墙执行的身份认证级别。
与此相应的是防火墙一般支持多种身份认证方案,譬如RADIUS、Kerberos、TACACS/TACACS+、用户名+口令、数字证书等等。
6记录、报警、分析与审计防火墙对于所有通过它的通信量以及由此产生的其它信息要进行记录,并提供日志管理和存储方法。
具体内容如下:
自动报表、日志报告书写器:
防火墙实现报表自动化输出和日志报告功能。
简要列表:
防火墙按要求进行报表分类打印的功能。
自动日志扫描:
防火墙的日志自动分析和扫描功能。
图表统计:
防火墙进行日志分析后以图形方式输出统计结果。
报警机制是在发生违反安全策略的事件后,防火墙向管理员发出提示通知的机制,各种现代通信手段都可以使用,包括E-mail、呼机、手机等。
分析与审计机制用于监控通信行为,分析日志情况,进而查出安全漏洞和错误配置,完善安全策略。
防火墙的日志记录量往往比较大,通常将日志存储在一台专门的日志服务器上。
7管理功能防火墙的管理功能是将防火墙设备与系统整体安全策略下的其它安全设备联系到一起并相互配合、协调工作的功能,是实现一体化安全必不可少的要素。
一般说来,防火墙的管理包括下列方面:
根据网络安全策略编制防火墙过滤规则。
配置防火墙运行参数。
可以通过本地Console口配置、基于不同协议的远程网络化配置等方式进行。
实现防火墙日志的自动化管理。
就是实现日志文件的记录、转存、分析、再配置等过程的自动化和智能化。
防火墙的性能管理。
包括动态带宽管理、负载均衡、失败恢复等技术。
也可以通过本地或者远程多种方式实现。
8其它特殊功能
防火墙的规则(与访问列表相似从小排序设计规则)
规则的作用:
系统的网络访问政策。
规则内容的分类:
高级政策;
低级政策。
规则的特点:
规则是系统安保策略的实现和延伸;
与网络访问行为紧密相关;
在严格安全管理和充分利用网络之间取得较好的平衡;
防火墙可以实施各种不同的服务访问政策。
规则的设计原则:
拒绝访问一切未予特许的服务;
允许访问一切未被特别拒绝的服务。
规则的顺序问题:
必须仔细考虑规则的顺序,防止出现系统漏洞。
防火墙的分类(根据现象推断类型)
按防火墙采用的主要技术划分
包过滤型防火墙
包过滤型防火墙工作在ISO7层模型的传输层以下,根据数据包头部各个字段进行过滤,包括源地址、端口号以及协议类型等。
包过滤型防火墙包括以下几种类型:
静态包过滤防火墙动态包过滤防火墙
状态检测(StatefulInspection)防火墙
代理型防火墙
代理型防火墙工作在ISO7层模型的最高层——应用层。
它完全阻断了网络访问的数据流:
它为每一种服务都建立了一个代理,内部网络与外部网络之间没有直接的服务连接,都必须通过相应的代理审核后再转发。
代理型防火墙的优点是:
工作在应用层上,可以对网络连接的深层的内容进行监控;它事实上阻断了内部网络和外部网络的连接,实现了内外网络的相互屏蔽,避免了数据驱动类型的攻击。
代理型防火墙的缺点是:
速度相对较慢,当网关处数据吞吐量较高时,防火墙就会成为瓶颈。
代理型防火墙有如下几种类型:
应用网关(ApplicationGateway)电路级网关(CircuitProxy)自适应代理(Adaptiveproxy)
按防火墙的具体实现划分
多重宿主主机是放在内网与外网接口上的一台堡垒主机。
它最少有两个网络接口:
一个与内网相连,另外一个与外网相连。
内、外网之间禁止直接通信,需通过多重宿主主机上应用层数据共享或者应用层代理服务来完成。
主要有以下两种类型:
双重宿主主机用于在内、外网之间进行寻径并通过其上的共享数据服务提供网络应用。
要求用户必须通过账号和口令登录到主机上才能使用这些服务。
双重宿主主机要求主机自身有较强的安全性;要支持多种服务、多个用户的访问需求;要能管理其上的大量用户账号。
因此双重宿主主机既是系统安全的瓶颈又是系统性能的瓶颈,维护起来也很困难。
双重宿主网关
双重宿主网关通过运行其上的各种代理服务器来提供网络服务。
双重宿主网关与双重宿主主机相比,从结构上说并没有变化,同时代理服务器的服务响应比双重宿主主机的数据共享慢一些,灵活性较差。
筛选路由器
筛选路由器又称为包过滤路由器、网络层防火墙、IP过滤器或筛选过滤器,通常是用一台放置在内部网络和外部网络之间的路由器来实现。
它对进出内部网络的所有信息进行分析,并按照一定的信息过滤规则对进出内部网络的信息进行限制,允许授权信息通过,拒绝非授权信息通过。
筛选滤路由器具有速度快、提供透明服务、实现简单等优点。
同时也有安全性不高、维护和管理比较困难等缺点。
筛选路由器只适用于非集中化管理、无强大的集中安全策略、网络主机数目较少的组织或机构。
屏蔽主机
这种防火墙由内部网络和外部网络之间的一台过滤路由器和一台堡垒主机构成。
它强迫所有外部主机与堡垒主机相连接,而不让它们与内部主机直接相连。
为了达到这个目的,过滤路由器将所有的外部到内部的连接都路由到了堡垒主机上,让外部网络对内部网络的访问通过堡垒主机上提供的相应代理服务器进行。
对于内部网络到外部不可信网络的出站连接则可以采用不同的策略:
有些服务可以允许绕过堡垒主机,直接通过过滤路由器进行连接;而其它的一些服务则必须经过堡垒主机上的运行该服务的代理服务器实现。
这种防火墙的安全性相对较高:
它不但提供了网络层的包过滤服务,而且提供了应用层的代理服务。
其主要缺陷是:
筛选路由器是系统的单失效点;系统服务响应速度较慢;具有较大的管理复杂性。
屏蔽子网
屏蔽子网与屏蔽主机在本质上是一样的,它对网络的安全保护通过两台包过滤路由器和在这两台路由器之间构筑的子网,即非军事区来实现。
在非军事区里放置堡垒主机,还可能有公用信息服务器。
与外部网络相连的过滤路由器只允许外部系统访问非军事区内的堡垒主机或者公用信息服务器。
与内部网络相连接的过滤路由器只接受从堡垒主机来的数据包。
内部网络与外部网络的直接访问是被严格禁止的。
相对于其它几种防火墙而言,屏蔽子网的安全性是最高的,它为此付出的代价是:
经过多级路由器和主机,网络服务性能下降;管理复杂度较大。
其它实现结构的防火墙
都是上述几种结构的变形,主要有:
一个堡垒主机和一个非军事区、两个堡垒主机和两个非军事区、两个堡垒主机和一个非军事区等等,目的都是通过设定过滤和代理的层次使得检测层次增多从而增加安全性。
按防火墙部署的位置划分
单接入点的传统防火墙
防火墙最普通的表现形式。
位于内部网络与外部网络相交的边界,独立于其它网络设备,实施网络隔离。
混合式防火墙
混合式防火墙依赖于地址策略将安全策略分发给各个站点,由各个站点实施这些规则。
其代表产品为CHECKPOINT公司的FIREWALL-1防火墙。
它通过装载到网络操作中心上的多域服务器来控制多个防火墙用户模块。
多域服务器有多个用户管理加载模块,每个模块都有一个虚拟IP地址,对应着若干防火墙用户模块。
安全策略通过多域服务器上的用户管理加载模块下发到各个防火墙用户模块。
防火墙用户模块执行安全规则,并将数据存放到对应的用户管理加载模块的目录下。
多域服务器可以共享这些数据,使得防火墙多点接入成为可能。
混合式防火墙将网络流量分担给多个接入点,降低了单一接入点的工作强度,安全性、管理性更强。
但网络操作中心是系统的单失效点。
分布式防火墙
分布式防火墙是一种较新的防火墙实现:
防火墙是在每一台连接到网络的主机上实现的,负责所在主机的安全策略的执行、异常情况的报告,并收集所在主机的通信情况记录和安全信息;同时,设置一个网络安全管理中心,按照用户权限的不同向安装在各台主机上的防火墙分发不同的网络安全策略,此外还要收集、分析、统计各个防火墙的安全信息。
这种防火墙的优点突出:
可以使每一台主机得到最合适的保护,安全策略完全符合主机的要求;不依赖于网络的拓扑结构,加入网络完全依赖于密码标志而不是IP地址。
分布式防火墙的不足在于:
难于实现;安全数据收集困难;网络安全中心负荷过重。
按防火墙的形式划分软件防火墙独立硬件防火墙模块化防火墙
按受保护的对象划分单机防火墙网络防火墙
按防火墙的使用者划分企业级防火墙个人防火墙
使用防火墙的好处
1防火墙允许网络管理员定义一个“检查点”来防止非法用户进入内部网络并抵抗各种攻击,增加了网络的安全性。
2防火墙通过过滤存在着安全缺陷的网络服务来降低受保护网络遭受攻击的威胁。
3防火墙可以增强受保护节点的保密性,强化私有权。
4防火墙有能力较精确地控制对内部子系统的访问。
5防火墙系统具有集中安全性。
6在防火墙上可以很方便地监视网络的通信流,并产生告警信息。
7防火墙是审计和记录网络行为最佳的地方。
8防火墙可以作为向客户发布信息的地点。
9防火墙为系统整体安全策略的执行提供了重要的实施平台。
防火墙的不足
1限制网络服务2对内部用户防范不足3不能防范旁路连接
4不适合进行病毒检测原因5无法防范数据驱动型攻击
6无法防范所有的威胁7防火墙配置比较困难8无法防范内部人员泄露机密信息
9防火墙对网络访问速度有影响10单失效点
IP协议网际协议(InternetProtocl)报文格式
TCP协议传输控制协议(TransmissionControlProtocol)报文格式
UDP协议用户数据报协议(UserDatagramProtocol)报文首部格式
字节数2222
源端口目的端口长度校验和
ICMP报文类型(知道什么是路由重定向不可达)
终点不可达源站抑制路由重定向超时参数错误回送答应回送请求路由器通告路由器请求时间戳请求时间戳回复地址掩码请求地址掩码回复
ICMP协议互联网控制报文协议(InternetControlMessageProtocol)报文格式
包过滤技术是最早、最基本的访问控制技术,又称报文过滤技术。
其作用是执行边界访问控制功能,即对网络通信数据进行过滤(filtering,亦称筛选)。
包过滤技术存在的问题
1包过滤技术过滤思想简单,对信息的处理能力有限。
只能访问包头中的部分信息,不能理解通信的上下文,因此不能提供更安全的网络防护能力。
2当过滤规则增多的时候,对于过滤规则的维护是一个非常困难的问题。
不但要考虑过滤规则是否能够完成安全过滤任务,还要考虑规则之间的关系防止冲突的发生。
尤其是后一个问题是非常难于解决的。
3包过滤技术控制层次较低,不能实现用户级控制。
特别是不能实现对用户合法身份的认证以及对冒用的IP地址的确定。
状态根据使用的协议的不同而有不同的形式,可以根据相应的协议的有限状态机来定义,一般包括NEWESTABLISHEDRELATEDCLOSED.
TCP协议及状态转换
TCP协议是一个面向连接的协议,对于通信过程各个阶段的状态都有很明确的定义,并可以通过TCP协议的标志位进行跟踪。
TCP协议共有11个状态,这些状态标识由RFC793定义,分别为:
CLOSED、LISTEN、SYN-SENT、SYN-RECEIVED、ESTABLISHED、FIN-WAIT-1、CLOSE-WAIT、FIN-WAIT-2、LAST-ACK、TIME-WAIT、CLOSING。
代理技术的具体应用1隐藏内部主机2过滤内容3提高系统性能4保障安全
5阻断URL6保护电子邮件7身份认证
8信息重定向在这种环境下,代理服务器起到负载分配器和负载平衡器的作用
规则冲突:
两个或两个以上的规则匹配同一个数据包、或者一个规则永远都无法匹配任何通过该过滤路由器的包。
包括无用冲突、屏蔽冲突、泛化冲突、关联冲突和冗余冲突几种。
堡垒主机知道有印象
定义:
堡垒主机由一台计算机担当,并拥有两块或者多块网卡分别连接各内部网络和外部网络。
作用:
隔离内部网络和外部网络,为内部网络设立一个检查点,对所有进出内部网络的数据包进行过滤,集中解决内部网络的安全问题。
设计原则:
最小服务原则、预防原则。
类型:
内部堡垒主机、外部堡垒主机、牺牲主机。
系统需求:
强健性、可用性、可扩展性、易用性。
服务:
堡垒主机一般要设置用户网络所需的网络服务,并且还要设置对外提供的网络服务。
分为无风险服务、低风险服务、高风险服务和禁用的服务4个级别。
部署位置:
堡垒主机的位置问题是事关堡垒主机和内部网络的安全性的重要问题。
多重宿主主机知道有印象
双宿主主机
双宿主主机防火墙实际上就是一台具有安全控制功能的双网卡堡垒主机。
两块网卡中的一块负责连接内部网络,另一块负责连接外部网络。
内网主机可登录双宿主主机,使用其提供的网络服务,而双宿主主机负责维护用户账户数据库。
外网主机也可使用双宿主主机提供的某些网络服务。
若网络服务被安全策略允许,则内部用户和外部用户就可通过共享缓存共享数据以实现信息交换,但绝对不允许内部用户与外部用户直接进行连接。
双宿主主机防火墙的优点是:
易于实现网络安全策略、成本较低。
双宿主主机防火墙的缺点是:
用户帐户不安全;用户账户数据库管理维护困难;用户账户数据的频繁存取资源耗费大,降低了系统的稳定性和可靠性;允许用户登录到防火墙主机上威胁到防火墙系统的安全。
双宿主网关
双宿主网关无需用户登录至防火墙主机,而是在防火墙上安装各种代理服务器。
内网主机要访问外网时,只需将请求发送至相应的代理服务器,通过过滤规则的检测并获得允许后,再由代理服务器代为转发至外网指定主机。
而外网主机所有对内网的请求都由代理服务接收并处理,规则允许的外部连接由相应的代理服务器转发至内网目标主机,规则不允许的外部连接则被拒绝。
双宿主网关防火墙的优点是:
无用户账户数据库,管理难度小、系统风险低;代理服务器技术使得防火墙提供的服务具有良好的可扩展性;屏蔽了内网主机,阻止了信息的泄露。
双宿主网关防火墙的缺点是:
存在单失效点,防火墙配置复杂;防火墙主机本身的性能是影响系统整体性能的瓶颈;灵活性较差。
非军事区(DMZ,DemilitarizedZone)又称屏蔽子网、周边网络或参数网络。
它是在内网和外网间构建的一个缓冲网络,目的是最大限度地减少外部入侵者对内网的侵害。
DMZ内部只部署安全代理网关和各种公用信息服务器。
安全策略的实施由执行包过滤规则的内部过滤路由器和外部过滤路由器,以及DMZ内执行安全代理功能的堡垒主机共同实现。
具有网络层包过滤和应用层代理两个不同级别的访问控制功能。
知名防火墙厂商及其主要产品
Juniper/NetScreen出品的NetScreen系列防火墙
Juniper/NetScreen公司创造了多个世界第一:
第一个基于特定应用集成电路(ASIC)的平台;第一个基于ASIC的防火墙;第一个入侵检测与防护(IDP)产品,以及最全的SSLVPN产品;第一台Gigabit防火墙。
Cisco(思科)可能是历史上最有名的网络公司,生产了CiscoPIX系列防火墙。
CheckPoint公司最有名的防火墙产品是FireWall-1,与其他防火墙的主要区别是获得了专利的状态检测技术和保护企业互联体系平台的开放平台OPSEC。
Fortinet公司的生产了FortiGate系列防火墙产品。
WatchGuard公司是全球排名前五位的专业生产防火墙的公司之一。
WatchGuard的产品包括从高端到低端的FireboxXPeak、FireboxXCore和FireboxXEdge三大系列,均具有防火墙、VPN、网关防毒、入侵防御、网站分类过滤(WebBlocker)、垃圾邮件拦截(spamBlocker)、反间谍软件等多项网络安全与内容安全防御功能。
三个系列的主要区别是应用环境不同:
FireboxXPeak系列适用于高级网络环境,FireboxXCore系列适用于公司和分支机构,FireboxXEdge系列适用于中小型企业、远程办公室和远程工作人员。
安氏是一家以技术著称的专业信息安全公司,其主要产品是“领信”系列安全产品,在防火墙方面的主要产品是安氏LinkTrust防火墙。
天融信公司产品有网络卫士防火墙银河系列,猎豹系列,NGFWARES系列,NGFW400系列以及NGFW400-UF系列。
东软是中国领先的软件与解决方案提供商,生产有NetEye系列防火墙。
防火墙的发展趋势
分布式执行和集中式管理分布式或分层的安全策略执行集中式管理
深度过滤基本特征:
正常化双向负载检测应用层加密/解密协议一致性
建立以防火墙为核心的综合安全体系
防火墙本身的多功能化,变被动防御为主动防御
强大的审计与自动日志分析动能硬件化专用化
入侵检测篇
计算机系统面临的威胁拒绝服务欺骗监听密码破解木马缓冲区溢出ICMP秘密通道TCP会话劫持
拒绝服务
服务请求超载指在短时间内向目标服务器发送大量的特定服务的请求,使得目标服务器来不及进行处理,最终造成目标服务器崩溃。
SYN洪水这是一种经典的攻击方式。
它利用了T
升级会员 