信息安全技术—第8讲.ppt

信息安全技术访问控制与防火墙技术提纲l访问控制技术l防火墙技术基础l防火墙安全设计策略l防火墙攻击策略l第四代防火墙的主要技术l防火墙发展的新方向l防火墙选择原则与常见产品l本章小结防火墙的发展里程l防火墙的发展里程l基于路由器的防火墙；l用户化的防火墙工具套；l建立在通用操作系统上的防火墙；l具有安全操作系统的防火墙；l获得安全操作系统的途径通过许可证方式获得操作系统源码；通过固化操作系统内核来提高可靠性；第4代防火墙的技术与功能第4代防火墙技术的实现方法第4代防火墙的抗攻击能力分析第4代防火墙的技术与功能(1/10)l双端口或三端口的结构l具有两个或三个独立网卡l内外两个网卡可以不做IP转换而串接于内部网与外部网之间l另一个网卡可专用于对服务器的安全保护第4代防火墙的技术与功能(2/10)l透明的访问方式l以前的防火墙在访问方式上要么要求用户做系统登录，要么需要修改客户机的应用l第4代防火墙利用了透明的代理系统技术，从而降低了系统登录固有的安全风险和出错概率第4代防火墙的技术与功能(3/10)l灵活的代理系统l代理系统l一种将信息从防火墙的一侧传送到另一侧的软件模块l第4代防火墙采用了两种代理机制：l用于代理从内部网络到外部网络的连接采用网络地址变换NAT技术来解决l用于代理从外部网络到内部网络的连接利用非保密的用户定制代理或保密的代理系统技术来解决第4代防火墙的技术与功能(4/10)l多级的过滤技术l为保证系统的安全性和防护水平 ，第4代防火墙采用了3级过滤措施，并辅以鉴别手段。

l3级过滤措施l在分组过滤一级能过滤掉所有的源路由分组和假冒的IP源地址；l在应用网关一级能利用FTP、SMTP等各种网关，控制和监测Internet提供的所有通用服务；l在电路网关一级实现内部主机与外部站点的透明连接，并对服务的通行实行严格控制第4代防火墙的技术与功能(5/10)l网络地址转换技术NATl第4代防火墙利用NAT技术能透明地对所有内部地址进行转换，使外部网络无法了解网络的内部结构，同时允许内部网络使用自编的IP地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址第4代防火墙的技术与功能(6/10)lInternet网关技术l由于是直接串联在网络之中，第4代防火墙必须支持用户在Internet互联的所有服务，同时还有防止与Internet服务有关的安全漏洞所以它需要能以多种安全的应用服务器的安全性，对所有的文件和命令都要利用“改变根系统调用”做物理上的隔离l第4代防火墙采用两种独立的域名服务器：l内部DNS服务器主要处理内部网络的DNS信息；l外部DNS服务器专门用于处理机构内部向Internet提供的部分DNS信息第4代防火墙的技术与功能(7/10)l安全服务网络SSNl第4代防火墙采用分别保护的策略保护对外服务器以适应用户向Internet上提供服务时对服务器保护的需要l它利用一张网卡将对外服务器作为一个独立网络处理，对外服务器既是内部网的一部分，又与内部网完全隔离。

这就是安全服务网络技术SSN对SSN上的主机，既可以单独管理，也可以设置成通过FTP、Telnet等方式从内部网上管理lSSN的方法提供的安全性优于传统的隔离区DMZ方法l因为SSN与外部网之间有防火墙保护，SSN与内部网之间也有防火墙保护，一旦SSN遭到破坏，内部网络仍可以处于防火墙的保护之下l有关SSN和DMZ的联系请参看文献“防火墙中DMZ与SSN的异同”可以从“/网络信息安全/参考资料/”处下载第4代防火墙的技术与功能(8/10)l用户鉴别与加密l为了降低在Telnet、FTP等服务和远程管理上的风险，第4代防火墙采用一次性使用的口令系统作为用户的鉴别手段，并实现了对邮件的加密第4代防火墙的技术与功能(9/10)l用户定制服务l第4代防火墙在提供众多服务的同时，还为用户定制提供支持，这类选项有：l通用TCP，出站UDP、FTP、SMTP等类第4代防火墙的技术与功能(10/10)l审计和告警功能l审计功能l第4代防火墙产品的日志文件包括：一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接请求、已鉴别的访问、告警条件、管理日志、进站代理、出站代理、邮件服务器、域名服务器等。

l告警功能l监控每一个TCP或UDP探询，并能以发出邮件、声响等多种方式报警第4代防火墙的技术与功能第4代防火墙技术的实现方法第4代防火墙的抗攻击能力分析第4代防火墙技术的实现方法l第4代防火墙关键技术的实现l安全内核l代理系统l多级过滤l安全服务器l鉴别与加密安全内核的实现l安全内核的实现l第4代防火墙是建立在安全操作系统之上的，安全的操作系统来自对专用操作系统的安全加固和改进，从现有的产品来看，对安全操作系统内核的固化与改造主要从以下几个方面进行：l取消危险的系统调用；l限制命令的执行权限；l取消IP的转发功能；l检查每个分组的接口；l采用随机连接序号；l驻留分组过滤模块；l取消动态路由功能；l采用多个安全内核；代理系统的建立l代理系统的建立l防火墙不允许任何信息直接穿过它，对所有的内外连接都需要通过代理系统来实现，为保证整个防火墙的安全，所有代理都应采用改变根目录的方式存储在一个相对独立的区域以做安全隔离l在所有的连接通过防火墙前，所有的代理要检查已经定义的访问规则，这些规则控制代理的服务，并根据以下内容处理分组l源地址、目的地址、时间、同类服务器的最大数量l所有外部网络到防火墙内部或SSN的连接由进站代理处理，进站代理要保证内部主机能了解外部主机的所有信息，而外部主机只能看到防火墙之外或SSN的地址。

l所有内部网络或SSN通过防火墙与外部网络建立的连接由出站代理处理，出站代理必须确保由它所代表的内部网络与外部地址相连，防止内部网址与外部网址的直接连接，同时还要处理内部网络到SSN的连接分组过滤器的设计l分组过滤器的设计l作为防火墙的核心部件之一，过滤器的设计要尽量做到减少对防火墙的访问l过滤器在调用时被下载到内核中执行，服务终止时，过滤规则会从内核中被消除，所有的分组过滤功能都在内核中IP堆栈的深层运行，非常安全安全服务器的设计l安全服务器的设计l安全服务器的设计有两个要点：l第一，所有SSN的流量都要隔离处理，即从内部网和外部网而来的路由信息流在机制上是分离的；l第二，SSN的作用类似于两个网络，它看上去象是内部网，因为它对外透明，同时又象外部网，因为它从内部网络对外访问的方式十分有限lSSN上的每一个服务器都是隐蔽在Internet中的，SSN提供的服务对外部网络而言象防火墙的功能，由于地址转换是透明的，对各种网络应用没有限制实现SSN的关键在于：l解决分组过滤器与SSN的连接；l支持通用防火墙对SSN的访问；l支持代理服务；鉴别与加密的考虑l鉴别与加密的考虑l鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段，鉴别机制除了提供安全保护外，还具有安全管理的功能。

l目前国外防火墙产品广泛使用令牌鉴别方式，具体方法有：l加密卡；lSecurityID；这两种都是一次性口令的生成工具第4代防火墙的技术与功能第4代防火墙技术的实现方法第4代防火墙的抗攻击能力分析抗IP假冒攻击l抗IP假冒攻击lIP假冒l是指一个非法的主机假冒内部的主机地址，骗区服务器的“信任”，从而达到对网络的攻击目的l由于第4代防火墙知道网络内外的IP地址，它会丢弃所有来自网络外部但却有内部地址的分组，另外，防火墙已将网的实际地址隐藏起来，外部用户很难知道内部的IP地址，因而难以攻击抗特洛伊木马攻击l抗特洛伊木马攻击l第4代防火墙是建立在安全的操作系统之上的，其安全内核中不能执行下载的程序，所以可以防止特洛伊木马的发生l必须指出的是，防火墙能抗特洛伊木马的攻击并不表明受其保护的某个主机也能防止这类攻击l内部用户可通过防火墙下载程序，并执行下载的程序抗口令字探询攻击l抗口令字探询攻击l在网络中探询口令字的方法很多，最常见的是口令字嗅探和口令字解密l口令字嗅探：是指嗅探监测网络，截获用户传给服务器的口令字，记录下来后使用；l口令字解密：是指采用强力攻击，猜测或截获含有加密口令字的文件，并设法解密。

l此外，攻击者还常常利用一些常用口令字直接登录l第4代防火墙采用了一次性口令字和禁止直接登录防火墙的措施，能有效防止对口令字的攻击抗网络安全性分析l抗网络安全性分析l抗网络安全性分析工具本来是提供给管理人员用来分析网络安全性的，但该工具也可以被攻击者用来探测内部网络的安全缺陷和弱点所在目前比较具有代表性的分析工具有：SATAN（可直接免费下载）、XSCAN等，这些工具给网络安全构成了直接威胁l第4代防火墙采用了地址转换技术，将内部网络隐蔽起来，使网络安全分析工具无法从外部对内部网进行分析l剑走偏锋！新技术新思维抗邮件诈骗攻击l抗邮件诈骗攻击l第4代防火墙不接收任何邮件，所以可有效防御此类攻击l需要注意的是，防火墙不接收邮件，并不表示它不让邮件通过，实际上用户仍可收发邮件，内部用户需要防止邮件诈骗l解决方法：对邮件加密提纲l访问控制技术l防火墙技术基础l防火墙安全设计策略l防火墙攻击策略l第四代防火墙的主要技术l防火墙发展的新方向l防火墙选择原则与常见产品l本章小结防火墙发展的新方向l防火墙发展的新方向l透明接入技术l分布式防火墙技术l以防火墙为核心的网络信息安全体系以防火墙为核心的网络信息安全体系分布式防火墙技术透明接入技术透明接入技术l透明接入技术l透明模式：对用户是透明的，用户意识不到防火墙的存在；l要实现透明模式，防火墙必须在没有IP地址的情况下工作，不需要对其设置IP地址，用户也不知道防火墙的IP地址。

l防火墙作为实际的物理设备，其本身也起到路由器的作用，所以在为用户安装防火墙时，需要考虑如何改动其原有的网络拓扑结构或修改连接防火墙的路由表，以适应用户的实际需要，这样就增加了工作的复杂性但如果防火墙采用了透明模式，即采用无IP方式运行，用户将不必重新设定和修改路由，防火墙就可以直接安装和放置到网络中使用防 火 墙非透明模式的防火墙透明模式的防火墙路由器网桥透明模式的主要实现方式l透明模式的主要实现方式lARP透明代理l网桥模式l网卡置于混杂模式关于防火墙的透明模式，请参看“/信息安全/参考资料”下的文献，如“Linux下防火墙透明模式的原理及实现”和“IPv6下透明模式防火墙的设计与实现”以防火墙为核心的网络信息安全体系透明接入技术分布式防火墙技术传统边界防火墙技术的不足(1/3)l网络应用受到结构性限制l随着象VPN等技术普及，网络边界的概念由物理向逻辑层面转换，传统边界防火墙的应用受到结构性限制l传统的边界式防火墙依赖于物理上的拓扑结构，从物理上将网络划分成内部网和外部网，根据VPN的概念，内部网和外部网的划分是基于逻辑的，而逻辑上同时处于内部网络的主机在物理上可能被划分在内部和外部网络中。

这种传统边界防火墙的划分方式会影响基于VPN的分布式应用的实施传统边界防火墙技术的不足(2/3)l内部安全隐患依然存在l传统边界防火墙在应对来自网络内部威胁时无能为力，“外战内行，内战外行”l70%-80%的攻击来自于网络内部传统边界防火墙技术的不足(3/3)l效率较低，故障率高l由于边界式防火墙把检查机制集中在网络边界处的单点之上，造成网络的瓶颈和单点失效的隐患l从性能的角度来说，防火墙极易成为网络流量的瓶颈，从网络可达性的角度来说，由于其带宽的限制，防火墙并不能保证所有请求都能得到及时答复，所以在可达性方面防火墙也是整个网络的一个脆弱点l边界式防火墙难以平衡网络效率与安全性设定之间的矛盾，无法为网络中的每台服务器定制规则，它只能使用一个折衷的规则来近似满足所有的被保护的服务器的需要要么牺牲效率，要么牺牲安全性分布式防火墙体系的构成(1/3)l网络防火墙(Network Firewall)l纯软件实现或辅以硬件支持用于内部网与外部网之间以及内部网各子网之间的防护l与传统的边。