防火墙技术白皮书2v.docx
《防火墙技术白皮书2v.docx》由会员分享,可在线阅读,更多相关《防火墙技术白皮书2v.docx(19页珍藏版)》请在冰点文库上搜索。
防火墙技术白皮书2v
网犬4.0防火墙
技术白皮书
北京昊普创业安全防范技术有限公司
《网犬4.0防火墙用户使用手册》的所有部分,其著作产权属于北京昊普创业安全防范技术有限公司所有(以下简称昊普公司),未经昊普公司授权许可,任何个人及组织不得复制、转载、仿制本手册的全部或部分组件。
本用户使用手册没有任何形式的担保、立场表达或其他暗示,若有任何因本用户使用手册或其中提及的产品所有资讯,所引起的直接或间接损失,昊普公司及所属员工恕不为其担保任何责任。
本手册所提到的产品规格及资讯仅供参考,软件内容亦会随时更新,恕不另行通知。
《网犬4.0防火墙用户使用手册》中所包含的所有产品名称仅作为标识之用,这些产品名称可能属于其他公司的注册商标或版权,在此声明如下:
Intel、Pentium是Intel公司的注册商标
Windows是Microsoft公司注册商标
其他未提到的商标,均属于各该注册公司所有
©2002北京昊普创业安全防范技术有限公司。
版权所有。
北京昊普创业安全防范技术有限公司制作
目录
网络安全的体系结构3
网络安全的模型3
网络安全结构3
防火墙系统在安全体系中的重要作用4
防火墙产品技术概述5
技术组成5
1、分组过滤(Packetfiltering)5
2、应用代理(ApplicationProxy)5
3、多级的过滤技术5
4、网络地址转换技术(NAT)5
5、端口映射技术6
6、Internet网关技术6
7、非军事区网络(DMZ)6
8、用户鉴别与加密7
9、审记和告警7
防火墙产品应具备的基本功能7
网犬防火墙产品简介8
产品定位8
产品介绍8
网犬防火墙的体系结构9
应用的网络结构9
逻辑结构9
网犬防火墙的主要功能10
访问策略的规则功能的设计10
缺省规则设计10
过滤规则设计11
伪装规则设计12
网络配置功能设计12
远程安全管理功能设计12
日志管理功能设计12
网犬防火墙的功能列表13
网犬防火墙技术参数列表14
网犬防火墙的访问策略15
模型建立15
访问策略的优先级16
对规则设置建议16
网犬防火墙安全性设计17
系统通讯保障17
加密算法17
一次性口令验证17
安全的操作系统内核17
网络安全的体系结构
随着计算机技术、网络技术和通讯技术的不断发展,互联网已经成为扩展企业发展的重要工具。
而对任何一个企业,在规划如何利用互联网这一先进的生产工具、扩展企业应用的同时,如何有效地保护企业自身的网络和网络应用系统的安全,亦是关系到企业生存和发展的重要课题。
网络安全的模型
ISOTC97制定的ISO7498-2网络安全体系结构,确定了五种基本安全服务和八种安全机制,并在OSI七层中有相对应的关系,如下图所示。
五种基本的安全服务包括:
1.认证(Authentication)
2.访问控制(AccessControl)
3.数据保密(DataConfidentiality)
4.数据完整性(Dataintegrity)
5.防止否认(Non-reputation)
网络安全结构
网络安全结构从系统安全、运行安全和子网安全与安全需求的角度对网络安全的保障体系进行了解释,如下图所示。
防火墙系统在安全体系中的重要作用
防火墙产品和技术是网络安全体系和结构的重要组成部分。
在内部网与外部网之间,或在内部网不同网络安全域之间,设置防火墙(包括分组过滤与应用代理)实现内、外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。
防火墙产品技术概述
防火墙产品的发展,经历了基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙四个阶段。
防火墙技术根据防范的方式和侧重点的不同而分为多种类型,但总体来讲有二大类较为常用:
分组过滤、应用代理。
技术组成
1、分组过滤(Packetfiltering)
作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过。
只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。
2、应用代理(ApplicationProxy)
也叫应用网关(ApplicationGateway),它作用在应用层,其特点是完全”阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
实际中的应用网关通常由专用工作站实现。
3、多级的过滤技术
防火墙采用了分组、应用网关和电路网关的三级过滤措施。
在分组过滤级,能够过滤掉所有的源路由分组和假冒的IP源地址,在应用网关级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所有通用服务,在电路网关级,实现内部主机与外部站点的透明连接,并对服务的执行进行严格的控制。
4、网络地址转换技术(NAT)
防火墙利用NAT技术,使得在当不同的内部网络向外连接时,均能使用事先设置的相同的外部IP地址,而在内部网络互相通讯时,则使用各自的内部IP地址。
这就如同我们日常使用的电话总机系统,对外使用相同的总机号码,在内部使用不同的分机号码一样。
这样内外两套IP地址就不会发生冲突,内部网络对外部网络来说是透明的,防火墙系统能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
5、端口映射技术
端口映射是指将防火墙外网网卡地址的某一个端口映射到内部的某台服务器的一个服务端口,外网用户只需访问防火墙外网网卡地址的特定端口即可得到内部服务器的相应服务。
端口映射可以很好的解决网络公共地址短缺的问题,同时由于端口映射只影射内部服务器的单一需要提供对外服务的端口,可保证该服务器的服务单一性。
由于用户并不直接访问放在内网中的服务器,而是通过防火墙系统转发,且防火墙只将数据包转发到指定内部地址的指定端口,所以可以有效保护内部网络的安全。
6、Internet网关技术
由于防火墙是直接串接在网络之中,它必须支持用户在Internet互联过程中的所有服务,同时还要防止与Internet服务有关的安全漏洞,因此,防火墙产品要能够以多种安全的应用服务器FTP、News、WWW等来实现网关功能。
7、非军事区网络(DMZ)
为适应越来越多的用户向Internet上提供服务时对服务器保护的需要,防火墙采用分级保护的策略保护对外服务器。
利用单独网卡将对外服务器作为一个独立的网关进行完全的隔离,这就是DMZ技术。
DMZ上的主机即可以单独管理,也可以设置成通过FTP、Telnet等方式从内部网络上管理。
DMZ与外部网络之间有防火墙保护,DMZ与内部网络之间也有防火墙保护,一旦DMZ受破坏,内部网络仍会处于防火墙的保护之下。
8、用户鉴别与加密
为了降低在FTP、Telnet等服务和远程管理上的风险,防火墙系统采用一次性使用的口令系统或其他鉴别系统作为用户的鉴别手段,并实现对管理通讯过程的加密。
9、审记和告警
防火墙产品的审记和报警主要反映在日志文件、网络通讯信息的详细记录等方面。
防火墙产品应具备的基本功能
在目前,任何一种防火墙产品在设计上均是根据所提供的不同功能采用多种技术进行设计实现。
无论何种类型防火墙,从总体上看,都应具有以下五大基本功能:
1.过滤进、出网络的数据;
2.管理进、出网络的访问行为;
3.封堵某些禁止的业务;
4.记录通过防火墙的信息内容和活动;
5.对网络攻击的检测和告警。
应该强调的是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。
因此必须将防火墙的安全保护融合到系统的整体安全策略中,才能实现真正的安全。
防火墙同样可以实现内部网不同网络安全域的隔离及访问控制。
在这里,防火墙被用来隔离内部网络的一个网段与另一个网段。
这样,就能防止影响一个网段的问题穿过整个网络传播。
针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个更敏感。
而在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。
网犬防火墙产品简介
产品定位
网犬4.0防火墙是面向专线接入网络应用的、具有封包过滤、地址转换等功能的包过滤防火墙产品。
采用标准
网犬4.0防火墙采用标准:
《GB/T18019-1999信息技术包过滤防火墙安全技术要求》
产品介绍
包过滤型防火墙通常基于IPPacket的源或目标IP地址以及每个IP包的协议和端口来作出通过与否的判断。
用户可能不会察觉到PacketFilter的存在,除非他作为非法用户被拒绝访问了。
PacketFilter比起其他模式的防火墙有着更高的网络性能和更好的应用程序透明性。
电路级网关通过检查SYN和ACK标记和序列数字是否逻辑有序,来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包的,可以有效地控制访问的方向。
网犬4.0防火墙是北京昊普创业安全防范技术有限公司在充分分析内部网络与公共网络互连需求的基础上,自主开发的一套结合了包过滤型防火墙、电路级网关特性的防火墙产品,具有高效的信息分析和数据包过滤能力,为用户提供全面的访问控制、网络地址转换、端口映射功能,以及完善的审计记录、分析功能,并具备良好的抗攻击能力。
网犬4.0防火墙具有良好的客户化特性,是一种易于安装、便于管理的防火墙产品。
网犬防火墙的体系结构
网犬4.0防火墙系统是利用Linux操作系统内核,经过安全性设计和改造开发的包过滤型的防火墙系统。
应用的网络结构
防火墙系统在实际应用中,通过防火墙设备物理地将不同网段进行隔离,并对通信过程中相互访问的数据包按照防火墙系统设定的安全策略进行转发。
基本的应用网络结构如下图所示:
逻辑结构
网犬4.0防火墙应用系统的逻辑结构如下图所示:
图中,应用接口主要完成:
●执行各安全策略
●网络系统配置
●状态监控
系统核心的主要完成:
●阻断/建立IP层的连接
●多级动态包过滤
●地址伪装/地址转换
网犬防火墙的主要功能
访问策略的规则功能的设计
网犬4.0防火墙提供了缺省策略设置、过滤规则设置和伪装规则设置功能,能够满足符合标准要求的访问控制设计。
缺省规则设计
缺省策略设置是指两个区域之间的默认操作,一个接口对应了一个区域,如果不设置,所有区域之间操作为丢弃。
过滤规则设计
过滤规则按照过滤条件、过滤条件的类型和过滤操作三个部分进行描述。
网犬4.0防火墙系统提供多个过滤规则之间的优先级调整功能,允许通过上移/下移调整优先级,并按照调整结果顺序显示并执行设置的规则。
1、网犬4.0防火墙系统提供基于源地址、目标地址、协议以及相应的扩展项的过滤条件。
其中:
网犬4.0防火墙系统的源地址提供了五种类型:
所有、IP、网段、DNS名、MAC地址。
目标地址有四种类型:
所有、IP、网段、DNS名
协议类型包括:
TCP、UDP、TCP/UDP、ICMP、AH、ESP、任意、其他
端口有五种类型:
任意/等于/大于/小于/在..之间
当协议为(TCP,UDP,TCP/UDP)时,过滤条件扩展项为源端口、目标端口。
当协议为ICMP时,过滤条件扩展项为ICMP类型。
这些类型包括:
所有、回应答复、回应请求、重定向、超时、参数问题、无法到达、数据源断开
2、网犬4.0防火墙系统提供基于允许/拒绝/丢弃/映射以及相应的扩展项的过滤操作。
其中:
允许/拒绝/丢弃过滤操作扩展项为记录日志。
当操作为映射时,操作扩展项为监听地址(可选)
当操作为映射,协议为(TCP,UDP,TCP/UDP)时,操作扩展项为监听地址(可选)、监听端口(可选)
当操作为映射时,过滤条件中目标地址/监听地址类型只能为IP,目标端口/监听端口类型只能为等于
当操作为映射时,没有源端口和ICMP类型扩展项
伪装规则设计
伪装规则设置是当过滤操作为允许时,通过的数据是否在两个接口之间进行地址伪装。
网络配置功能设计
网络配置功能,主要完成对防火墙网络运行所需的条件配置。
其中包括:
DNS服务器设置:
提供当地址类型为DNS名时需查询的服务器
接口设置:
防火墙运行时的接口信息以及接口区域的描述
路由设置:
提供多网段之间的路由
日志管理:
配置日志服务器
规则备份和恢复功能:
备份和恢复区域描述/缺省策略/过滤规则/伪装规则
启动和停止功能:
停止后,防火墙的转发操作为缺省策略中的定义
远程安全管理功能设计
能够提供远程管理/配置所有功能
能够提供图形化的远程管理系统
能够提供用户自定义的远程管理接口
能够提供远程管理操作的审计记录
能够提供用户管理和及用户的权限管理
能够提供远程管理系统的通讯加密/一次性口令认证/用户权限验证
日志管理功能设计
网犬4.0防火墙系统的日志服务器提供审计和日志记录的接收、保存
日志查询提供审计和日志的浏览/组合条件查询/加密备份和恢复/输出功能
提供基于权限控制的日志和审记信息管理。
网犬防火墙的功能列表
网犬防火墙的基本功能如下表所示。
设计模块
功能/指标定义
参数/描述
备注
安装
远程管理端安装
支持
安全管理模块
安全登录
支持
用户管理
支持
权限管理
定义信任主机/管理接口/用户权限
系统配置
接口配置
支持多接口
接口类型
支持多接口类型
ETH、FDDI
路由设置
支持
网络设置
支持
系统设置
支持
缺省网关、DNS
启动/停止
支持
备份/恢复
支持
日志服务器设置
支持
用于自动备份
访问策略模块
访问规则设置
基于接口/IP地址/协议/端口或服务/状态/动态规则
访问策略设置
确定规则优先级
地址转换
支持
地址映射
支持
数据库管理模块
数据存档
支持
加密存放
数据库清空
支持
必须先存档
数据记录组合查询
查询字段可选/表达式可选/查询描述
数据记录排序
排序条件可选
日志导入/导出
支持
专用日志服务器
安全性模块
数据传输安全
支持
加密、一次性口令验证
数据存储安全
支持
加密、用户授权
定制操作系统
支持
登录鉴别尝试次数
支持
一次性口令验证、审计
网络运行故障处理
支持
执行规则防重放
支持
一次性口令验证
防止审计数据丢失措施
支持
网犬防火墙性能指标列表
产品名称
网犬(V4.0)防火墙
产品类型
包过滤型软件防火墙
网络接口
以太网、FDDI
网络接口数
动态支持多网卡网络结构
管理模式
远程管理,管理接口用户可定义
服务器运行平台
Linux7.2(kernel:
2.4.18)
管理终端运行平台
Windows98、Windows2000及WindowsNT
支持的网络协议
基于IP的所有网络协议
多网段支持
提供设置静态路由表功能、支持多网段网络结构
端口映射
支持
网络地址转换(NAT)
支持,并具体提供SNAT、DNAT的地址转换设置
IP/MAC地址捆绑
支持
传输层代理类型
HTTP、HTTPS、FTP、SMTP、POP3、TELNET、X.400
自定义服务类型
支持
用户管理
支持
客户机控制
协议、端口、源/目标地址、MAC地址
客户机管理模式
主机、主机组、网段
服务器控制
协议、端口、源地址、服务方向、映射的端口、协议
灾难恢复
配置信息存盘、恢复
系统防御功能
PingofDeath、TCPSYNfloods等
审记
系统管理员安全登录、注册审记
操作审记
修改审记、状态标记等
日志/分析
系统流量、流量分布、目标地址分布统计
基于源IP地址的流量、流量分布、目标地址分布统计
并发连接数
10万条
传输速率
60M/BPS
抗攻击
抗IP假冒攻击
抗源路由攻击
抗极小碎片攻击
抗DOS攻击
抗淹没攻击
抗干扰
强
稳定性、可靠性
好
实用性
好
网犬防火墙的访问策略
模型建立
防火墙处于通讯点A和通讯点B之间,两点间的相互通讯,在经过防火墙安全策略的过滤后进行,从而实现通讯过程的控制。
因此根据包过滤防火墙要求的控制属性条件的要求,控制模型可以描述为:
防火墙系统允许/拒绝在任意通讯点之间按照某种通讯协议进行通讯。
根据上述模型,对它进行扩展,我们可以看到:
通讯点实际是通讯双方必备的网络地址,该IP地址可以表示单个主机、主机组、网段或组。
在这个集合中,组包含网段、网段包含主机组、主机组包含主机,只所以在网犬防火墙设计中采用这样分类描述办法,是提高用户在安全策略设置时的灵活性。
防火墙系统应支持任意点之间按照任意协议进行通讯并建立连接。
通过协议分析,这些协议可以分为两类,即具有端口属性的协议,如TCP、UDP,另一类不具备端口属性,如ICMP等。
防火墙的访问控制主要使用TCP/UDP,为了保证防火墙可靠性、连接状态判断和处理,也同时需要比如DNS、ICMP等协议的支持。
因此,防火墙系统的访问控制或安全策略模型可以扩展描述为:
防火墙系统允许/拒绝在任意通讯的地址之间按照某种通讯协议进行通讯,或允许/拒绝在任意通讯的地址之间按照TCP/UDP协议的某个端口进行提供服务或请求服务的通讯。
根据上述描述,防火墙的安全策略设计存在两种模型:
1、不指定允许,就是全部拒绝;
2、不指定拒绝,就是全部允许;
网犬防火墙的安全策略设计采用第一种模型。
访问策略的优先级
网犬防火墙系统的访问策略还应根据目的地址决定多条规则同时执行时的优先级,并遵从以下原则:
1、规则所指的目的地址之间只能存在并列或包含关系,不能有交叉情况出现,否则将引起策略设置的矛盾。
2、规则中地址范围越小,优先级越高。
3、系统缺省规则是不指定允许就是全部拒绝,此时,数据包将被丢弃并被记录。
对规则设置建议
1、如果缺省策略定义两个区域之间的默认操作为允许通过,过滤规则应定义哪些不允许通过
2、如果缺省策略定义两个区域之间的默认操作为不允许通过,过滤规则应定义哪些允许通过
3、当默认操作为允许通过,且过滤规则的提法可以定义为“某范围中只允许某某通过”时,应设置两条规则(某某通过,某范围不允许通过);
4、当默认操作为不允许通过,且过滤规则的提法可以定义为“某范围中只允许某某通过”时,应设置一条规则(某某通过)
5、当默认操作为允许通过,且过滤规则的提法可以定义为“某范围中除了某某都允许通过”时,应设置一条规则(某某不允许通过)
6、当默认操作为不允许通过,且过滤规则的提法可以定义为“某范围中除了某某都允许通过”,应设置两条规则(某某不允许通过,某范围允许通过)
多条过滤规则的排序原则上应按照源地址的覆盖范围从小到大进行排列。
(我们的地址类型中只有包含和并列关系,已经排除了交叉关系)
网犬防火墙安全性设计
系统通讯保障
1、开放远程管理端口:
外网只能访问外网管理端口;
SSN只能访问外网和自己的管理端口;
内网可以访问任何地址的管理端口;
2、允许本机能够被ping操作。
3、本机能访问DNS。
4、其他不必要端口关闭。
加密算法
加密算法用于对传输数据和防火墙服务器端存放数据的加密。
一次性口令验证
一次性口令验证可以实现身份验证,在实现技术上主要采用两种方式,一是基于时间同步,相关产品比如动态令牌等。
二是基于密钥种子。
根据本系统需要,利用密钥种子方式实现一次性口令验证功能。
基于密钥种子的一次性口令验证基本原理是利用密码算法产生的一次一变的随机数(实际上是一种口令)对通讯数据进行验证。
安全的操作系统内核
网犬防火墙系统采用内核安全改造的LINUX7.2(kernal:
2.4.18)操作系统。
升级会员 