防火墙经典只讲.docx
《防火墙经典只讲.docx》由会员分享,可在线阅读,更多相关《防火墙经典只讲.docx(36页珍藏版)》请在冰点文库上搜索。
防火墙经典只讲
第一章 防火墙基础90
防火墙技术现状91
防火墙的定义和描述91
防火墙的任务92
实现一个公司的安全策略92
创建一个阻塞点92
记录Internet活动92
限制网络暴露93
防火墙术语93
网关93
电路级网关93
应用级网关93
包过滤94
代理服务器94
网络地址翻译(NAT)94
堡垒主机94
强化操作系统95
非军事化区域(DMZ)95
筛选路由器95
阻塞路由器95
防火墙默认的配置96
包过滤96
规则和字段96
包过滤的优点和缺点98
状态多层检测(statefulmulti-layerinspection)98
代理服务器99
WEB代理99
电路级网关99
优点和缺点100
应用级网关100
代理服务器的优点101
代理服务器(应用级网关)102
防火墙的一些高级特性103
认证103
日志和警报103
远程访问和虚拟专用网(VPN)103
第二章 防火墙体系结构105
防火墙策略和目的106
建立一个防火墙106
设计规则107
保持设计的简单性107
安排事故计划107
堡垒主机的类型107
单宿主堡垒主机108
双宿主堡垒主机108
单目的堡垒主机108
内部堡垒主机108
硬件采购问题109
操作系统、服务和守护进程109
防火墙设计110
筛选路由器111
屏蔽主机防火墙(单宿主堡垒)112
屏蔽主机防火墙(双宿主堡垒)113
屏蔽子网防火墙114
使用Ipchains构建Linux下的防火墙115
Ipchains的基本设定115
Ipchains的详细使用说明116
使用Ipchains架设防火墙的范例及注意事项120
第三章 检测和迷惑黑客122
前期的检测123
自动安全扫描123
使用登陆脚本123
自动审计分析124
Checksum分析124
迷惑黑客125
假帐号125
假文件125
Ttipwire和automatedchecksums125
Tripwire的概念126
Jails126
惩罚黑客127
方法127
工具127
第四章 事件响应128
提前决定129
不要惊慌129
记录下所有的事情130
分析当前形势130
确定攻击的范围130
停止和牵制黑客活动130
实施响应计划131
通知受影响的个体131
通知服务提供商131
通知Internet代理商131
分析和学习132
操作系统安全篇133
第一章
防火墙基础
引言
防火墙现在已成为各企业网络中实施安全保护的核心,安全管理员的目的是选择性地拒绝进出网络的数据流量,这些工作都是由防火墙来做的。
本章我们会讨论网络中一些简单和复杂的防火墙相关知识
本章要点:
●了解目前防火墙技术的发展现状
●定义和描述防火墙在公司安全策略中承担的任务
●定义普通防火墙术语
●描述包过滤的特性以及电路级网关和应用级网关
●描述常见几种的防火墙拓扑结构及安全保护级别
●实施基于包过滤的防火墙部署
防火墙技术现状
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统后,提出了防火墙的概念,防火墙技术得到了飞速的发展。
目前有几十家公司推出了功能不同的防火墙系统产品。
第一代防火墙,又称包过滤防火墙,主要通过对数据包源地址、目的地址、端口号等参数来决定是否允许该数据包通过,对其进行转发,但这种防火墙很难抵御IP地址欺骗等攻击,而且审计功能很差。
第二代防火墙,也称代理服务器,它用来提供网络服务级的控制,起到外部网络向被保护的内部网络申请服务时中间转接作用,这种方法可以有效地防止对内部网络的直接攻击,安全性较高。
第三代防火墙有效地提高了防火墙的安全性,称为状态监控功能防火墙,它可以对每一层的数据包进行检测和监控。
随着网络攻击手段和信息安全技术的发展,新一代的功能更强大、安全性更强的防火墙已经问世,这个阶段的防火墙已超出了原来传统意义上防火墙的范畴,已经演变成一个全方位的安全技术集成系统,我们称之为第四代防火墙,它可以抵御目前常见的网络攻击手段,如IP地址欺骗、特洛伊木马攻击、Internet蠕虫、口令探寻攻击、邮件攻击等等。
防火墙的定义和描述
“防火墙”这个术语参考来自应用在建筑结构里的安全技术。
在楼宇里用来起分隔作用的墙,用来隔离不同的公司或房间,尽可能的起防火作用。
一旦某个单元起火这种方法保护了其它的居住者。
然而,多数防火墙里都有一个重要的门,允许人们进入或离开大楼。
因此,虽然防火墙保护了人们的安全,但这个门在提供增强安全性的同时允许必要的访问。
在计算机网络中,一个网络防火墙扮演着防备潜在的恶意的活动的屏障,并可通过一个”门”来允许人们在你的安全网络和开放的不安全的网络之间通信。
原来,一个防火墙是由一个单独的机器组成的,放置在你的私有网络和公网之间。
近些年来,防火墙机制已发展到不仅仅是”firlwallbox”,更多提及到的是堡垒主机。
它现在涉及到整个从内部网络到外部网络的区域,由一系列复杂的机器和程序组成。
简单来说,今天防火墙的主要概念就是多个组件的应用。
到现在你要准备实施你的防火墙,需要知道你的公司需要什么样的服务并且什么样的服务对于内部用户和外部用户都是有效的。
防火墙的任务
防火墙在实施安全的过程中是至关重要的。
一个防火墙策略要符合四个目标,而每个目标通常都不是通过一个单独的设备或软件来实现的。
大多数情况下防火墙的组件放在一起使用以满足公司安全目的的需求。
防火墙要能确保满足以下四个目标
实现一个公司的安全策略
防火墙的主要意图是强制执行你的安全策略。
在前面的课程提到过在适当的网络安全中安全策略的重要性。
举个例子,也许你的安全策略只需对MAIL服务器的SMTP流量作些限制,那么你要直接在防火墙强制这些策略。
创建一个阻塞点
防火墙在一个公司私有网络和分网问建立一个检查点。
这种实现要求所有的流量都要通过这个检查点。
一旦这些检查点清楚地建立,防火墙设备就可以监视,过滤和检查所有进来和出去的流量。
网络安全产业称这些检查点为阻塞点。
通过强制所有进出流量都通过这些检查点,网络管理员可以集中在较少的方来实现安全目的。
如果没有这样一个供监视和控制信息的点,系统或安全管理员则要在大量的地方来进行监测。
检查点的另一个名字叫做网络边界。
记录Internet活动
防火墙还能够强制日志记录,并且提供警报功能。
通过在防火墙上实现日志服务,安全管理员可以监视所有从外部网或互联网的访问。
好的日志策略是实现适当网络安全的有效工具之一。
防火墙对于管理员进行日志存档提供了更多的信息。
限制网络暴露
防火墙在你的网络周围创建了一个保护的边界。
并且对于公网隐藏了你内部系统的一些信息以增加保密性。
当远程节点侦测你的网络时,他们仅仅能看到防火墙。
远程设备将不会知道你内部网络的布局以及都有些什么。
防火墙提高认证功能和对网络加密来限制网络信息的暴露。
通过对所能进来的流量时行源检查,以限制从外部发动的攻击。
防火墙术语
在我们继续讨论防火墙技术前,我们需要对一些重要的术语有一些认识
网关
网关是在两上设备之间提供转发服务的系统。
网关的范围可以从互联网应用程序如公共网关接口(CGI)到在两台主机间处理流量的防火墙网关。
这个术语是非常常见的而且在本课会用于一个防火墙组件里来在两上不同的网络路由和处理数据。
电路级网关
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高两层。
另外,电路级网关还提供一个重要的安全功能:
网络地址转移(NAT)将所有公司内部的IP地址映射到一个“安全”的IP地址,这个地址是由防火墙使用的。
有两种方法来实现这种类型的网关,一种是由一台主机充当筛选路由器而另一台充当应用级防火墙。
另一种是在第一个防火墙主机和第二个之间建立安全的连接。
这种结构的好处是当一次攻击发生时能提供容错功能。
应用级网关
应用级网关可以工作在OSI七层模型的任一层上,能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。
应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册。
通常是在特殊的服务器上安装软件来实现的。
包过滤
包过滤是处理网络上基于packet-by-packet流量的设备。
包过滤设备允许或阻止包,典型的实施方法是通过标准的路由器。
包过滤是几种不同防火墙的类型之一,在本课后面我们将做详细地讨论。
代理服务器
代理服务器代表内部客户端与外部的服务器通信。
代理服务器这个术语通常是指一个应用级的网关,虽然电路级网关也可作为代理服务器的一种。
网络地址翻译(NAT)
网络地址解释是对Internet隐藏内部地址,防止内部地址公开。
这一功能可以克服IP寻址方式的诸多限制,完善内部寻址模式。
把未注册IP地址映射成合法地址,就可以对Internet进行访问。
对于NAT的另一个名字是IP地址隐藏。
RFC1918概述了地址并且IANA建议使用内部地址机制,以下地址作为保留地址:
10.0.0.0–10.255.255.255
172.16.0.0–172.31.255.255
192.168.0.0–192.168.255.255
如果你选择上述例表中的网络地址,不需要向任何互联网授权机构注册即可使用。
使用这些网络地址的一个好处就是在互联网上永远不会被路由。
互联网上所有的路由器发现源或目标地址含有这些私有网络ID时都会自动地丢弃。
堡垒主机
堡垒主机是一种被强化的可以防御进攻的计算机,被暴露于因特网之上,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其它主机的安全的目的。
从堡垒主机的定义我们可以看到,堡垒主机是网络中最容易受到侵害的主机。
所以堡垒主机也必须是自身保护最完善的主机。
你可以使用单宿主堡垒主机。
多数情况下,一个堡垒主机使用两块网卡,每个网卡连接不同的网络。
一块网卡连接你公司的内部网络用来管理、控制和保护,而另一块连接另一个网络,通常是公网也就是Internet。
堡垒主机经常配置网关服务。
网关服务是一个进程来提供对从公网到私有网络的特殊协议路由,反之亦然。
在一个应用级的网关里,你想使用的每一个应用程协议都需要一个进程。
因此,你想通过一台堡垒主机来路由Email,Web和FTP服务时,你必须为每一个服务都提供一个守护进程。
强化操作系统
防火墙要求尽可能只配置必需的少量的服务。
为了加强操作系统的稳固性,防火墙安装程序要禁止或删除所有不需要的服务。
多数的防火墙产品,包括AxentRaptor(),CheckPoint()和NetworkAssociatesGauntlet()都可以在目前较流行的操作系统上运行。
如AxentRaptor防火墙就可以安装在WindowsNTServer4.0,Solaris及HP-UX操作系统上。
理论上来讲,让操作系统只提供最基本的功能,可以使利用系统BUG来攻击的方法非常困难。
最后,当你加强你的系统时,还要考虑到除了TCP/IP协议外不要把任何协议绑定到你的外部网卡上。
非军事化区域(DMZ)
DMZ是一个小型网络存在于公司的内部网络和外部网络之间。
这个网络由筛选路由器建立,有时是一个阻塞路由器。
DMZ用来作为一个额外的缓冲区以进一步隔离公网和你的内部私有网络。
DMZ另一个名字叫做ServiceNetwork,因为它非常方便。
这种实施的缺点在于存在于DMZ区域的任何服务器都不会得到防火墙的完全保护。
筛选路由器
筛选路由器的另一个术语就是包过滤路由器并且至少有一个接口是连向公网的,如Internet。
它是对进出内部网络的所有信息进行分析,并按照一定的安全策略——信息过滤规则对进出内部网络的信息进行限制,允许授权信息通过,拒绝非授权信息通过。
信息过滤规则是以其所收到的数据包头信息为基础的。
采用这种技术的防火墙优点在于速度快、实现方便,但安全性能差,且由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同,故兼容性差。
阻塞路由器
阻塞路由器(也叫内部路由器)保护内部的网络使之免受Internet和周边网的侵犯。
内部路由器为用户的防火墙执行大部分的数据包过滤工作。
它允许从内部网络到Internet的有选择的出站服务。
这些服务是用户的站点能使用数据包过滤而不是代理服务安全支持和安全提供的服务。
内部路由器所允许的在堡垒主机(在周边网上)和用户的内部网之间服务可以不同于内部路由器所允许的在Internet和用户的内部网之间的服务。
限制堡垒主机和内部网之间服务的理由是减少由此而导致的受到来自堡垒主机侵袭的机器的数量。
防火墙默认的配置
默认情况下,防火墙可以配置成以下两种情况:
●拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。
●允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。
可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。
一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。
换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。
包过滤
包过滤技术(PacketFilter)是防火墙为系统提供安全保障的主要技术,它通过设备对进出网络的数据流进行有选择的控制与操作。
包过滤操作通常在选择路由的同时对数据包进行过滤(通常是对从互联网络到内部网络的包进行过滤)。
用户可以设定一系列的规则,指定允许哪些类型的数据包可以流入或流出内部网络;哪些类型的数据包的传输应该被拦截。
包过滤规则以IP包信息为基础,对IP包的源地址、IP包的目的地址、封装协议(TCP/UDP/ICMP/IPTunnel)、端口号等进行筛选。
包过滤这个操作可以在路由器上进行,也可以在网桥,甚至在一个单独的主机上进行。
包过滤工作在OIS七层模型的网络层上。
包过滤有两个功能,即允许和阻止;如果检查数据包所有的条件都符合规则,允许功能就进行路由;如果检查到数据包的条件不符合规则,阻止功能将会丢弃所有的包。
规则和字段
包过滤使用规则来确定什么样的数据包允许穿过防火墙。
一条规则包含若干个字段。
特定的执行包括告诉路由器过滤基于下列字段的IP包的内容:
●源IP地址
●目的IP地址
●TCP/UDP源端口
●TCP/UDP目的端口
包过滤对于拒绝一些TCP或UDP应用程序的IP地址进入或离开你的网络是很有效的。
举个例子,如果想禁止从InternetTELNET到你的内部网设备中,你需要建立一条包过滤规则。
在前面的课程里我们讨论过TCP/IP是如何工作的,并且知道TELNET是使用TCP的23端口。
在包过滤中默认是允许所有都可访问,一条禁止TELNET的包过滤规则应该像下表一样
规则号
功能
源IP地址
目标IP地址
源端口
目标端口
协议
1
Discard
*
*
23
*
TCP
2
Discard
*
*
*
23
TCP
上表例出的信息告诉路由器丢弃所有从TCP23端口出去和进来的数据包。
星号说明是特定字段里的任何值。
在上面的例子中,如果一个数据包通过这条规则时并且源端口为23,那么它将立刻被丢弃。
如果一个数据包通过这条规则时并且目的端口为23时,只有规则中的第二条应用时它才会被丢弃。
所有其它的数据包都允许通过。
其它一些Internet服务在一条规则里需要更多的项目。
例如,FTP使用TCP的20和21端口。
如果包过滤要禁止所有的数据包直到遇到特殊的允许时,就如下表所示
规则号
功能
源IP地址
目标IP地址
源端口
目标端口
协议
1
Allow
192.168.1.0
*
*
*
TCP
2
Allow
*
192.168.1.0
20
*
TCP
上表中规则的第一条允许内部网络地址为192.168.1.0的网段内源端口和目的端口为任意的主机初始化一个TCP的会话。
第二条允许任意端口为20的远程IP地址可以连接内部网络地址为192.168.1.0的任意端口上。
规则的第二条不能限制目标端口是因为主动的FTP客户端是不使用20端口的。
当一个主动的FTP客户端发起一个FTP会话时,客户端是使用动态分配的端口号叫做瞬间端口(ephemeralport)。
而远程的FTP服务器只探查192.168.1.0这个网络内端口为20的设备。
有经验的黑客可以利用这些规则访问你网络内的任何资源。
所以更好的FTP包过滤规则应该像下表一样
规则号
功能
源IP地址
目标IP地址
源端口
目标端口
协议
1
Allow
192.168.1.0
*
*
21
TCP
2
Block
*
192.168.1.0
20
<1024
TCP
3
Allow
*
192.168.1.0
20
*
TCPACK=1
规则第一条允许网络地址为192.168.1.0内的任何主机与目标地址为任意且端口为21建立TCP的会话连接。
第二条阻止任何源端口为20的远程IP地址访问内部网络地址为192.168.1.0且端口小于1024的任意主机。
第三条允许源端口为20的任意远程主机可以访问192.168.1.0网络内主机任意端口。
要记住的是这些规则的应用是按照顺序执行的。
第三条看上去好像是矛盾的。
如果任何包违反第二条规则,它会被立刻丢弃掉,第三条规则不会执行。
但第三条规则仍然需要是因为包过滤对所有进来和出去的流量进行过滤直到遇到特定的允许规则。
包过滤的优点和缺点
包过滤的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。
但其弱点也是明显的:
据以过滤判别的只有网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC一类的协议;另外,大多数过滤器中缺少审计和报警机制,且管理方式和用户界面较差;对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。
因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
包过滤最大的缺点就是不能分辨哪些是”好”包哪些是”坏”包,因为只涉及到TCP层,所以与代理型防火墙(应用层网关)相比,它提供安全级别很低;不支持用户认证,包中只有来自哪台主机的信息而不包含来自哪个用户的信息;不提供日志功能。
另一个问题就是在限制和允许网络访问时有时需要创建超过100条以上的规则,创建这些规则非常消耗时间。
状态多层检测(statefulmulti-layerinspection)
由CheckPoint提出,状态检测模块分析所有的包通讯层,汲取相关的通信和应用程序的状态信息。
状态检测模块能够理解并学习各种协议和应用,以支持各种最新的应用。
状态检测模块截获、分析并处理所有试图通过防火墙的数据包,保证网络的高度安全和数据完整。
网络和各种应用的通信状态动态存储、更新到动态状态表中,结合预定义好的规则,实现安全策略。
状态多层检测最后一个优点就是允许检查OSI七层模型的所有层以决定是否过滤,而不仅仅是网络层。
目前很多公司在它们的包过滤防火墙中都使用状态多层检测。
现在一些流行的包过滤产品有
CheckPoint防火墙()
CiscoPIX防火墙()
Winrout防火墙()
代理服务器
代理技术与包过滤技术完全不同,包过滤技术是在网络层拦截所有的信息流,代理技术是针对每一个特定应用都有一个程序。
代理是企图在应用层实现防火墙的功能,代理的主要特点是有状态性。
代理能提供部分与传输方面的信息,代理也能处理和管理信息。
通过代理使得网络管理员实现比包过滤路由器更严格的安全策略。
代理的概念对于防火墙应用是非常重要的,因为代理把网络IP地址替换成其它的暂时的地址。
这种执行对于互联网来说有效地隐藏了真正的网络IP地址,因些保护了整个网络。
代理有几个用处,由其是当黑客开始活动的时候。
见左图黑客所做的第一件事就是侦查你的网络上的弱点。
通常都是利用端口扫描。
为了防止这第一步,你需要尽可能地隐蔽内部系统的配置信息暴露给潜在的攻击者。
代理可以使你隐藏这些信息,并能提供有效的通信。
代理主要有三种基本类型:
WEB代理、电路级网关、应用级网关。
WEB代理
WEB代理服务的最大好处就是能提高访问Internet的速度;一旦一个WEB代理服务器配置了足够的缓存,它就可以从这些缓存里对请求提供服务。
而WEB代理客户端则可以得到很快速的响应。
WEB代理第二个好处是WEB代理使客户端无需直接连接Internet,所以远离成为被攻击的目标。
电路级网关
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法。
我们知道,要使用TCP协议,首先必须通过三次握手建立TCP连接,然后才开始发送数据。
电路级网关通过在TCP握手过程中,检查双方的SYN、ACK和序列数据是否合理逻辑,来判断该请求的会话是否合法。
一旦该网关认为会话是合法的,就会为双方建立连接,自此,网关仅复制、传递数据,而不进行过滤。
电路级网关通常需要依靠特殊的应用程序来进行复制传递数据的服务。
实际上,电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结合在一起,所以有人也把电路级网关归为应用级网关。
电路级网关是在OSI模型中会话层上来过滤数据包。
也因为如此,它就无法检查应用层级的数据包。
最流行的电路级网关是IBM发明的SOCKS网关。
很多产品,包括微软的MicrosfotProxyServer就支持SOCKS。
下图为一个简单的电路级网关拓扑:
优点和缺点
电路级网关的主要优点就是提供NAT,在使用内部网络地址机制时为网络管理员实现安全提供了很大的灵活性。
电路级网关是基于和包过滤防火墙一样的规则。
电路级网关提供包过滤提供的所有优点但却没有包过滤的缺点。
缺点为不能很好地区别好包与坏包、易受IP欺骗这类的攻击及复杂性这些都是电路级网关的弱点。
电路级网关又一个主要的缺点是需要修改应用程序和执行程序。
还有电路级网关要求终端用户通过网关的认证。
应用级网关
应用级网关可以工作在OIS七层模型的任一层上来检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。
应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册。
但每一种协议需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。
常用的应用级防火墙已有了相应的代理服务器,例如:
HTTP、NNTP、FTP、Telnet、rlogin、X-Window等,但是,对于新开发的应用,尚没有相应的代理服务,它们将通过网络级防火墙和一般的代理服务。
应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实
升级会员 