信息安全系统工程防火墙

一、防火墙概述防火墙是建立在内外网络边界上的过滤封锁机制，它的作用是在保证网络畅通的情况下，防止不希望的、未经授权的通信进出被保护的内部网络，通过边界控制强化内部网络的安全政策。内部网络防火墙外部网络（Internet）防火墙概述（续）如果没有防火墙，则整个内部网络的安全性完全依赖于每个主机也就是说，网络的安全水平是由最低的那个安全水平的主机决定的，这就是所谓的“木桶原理”，木桶能装多少水由最低的地方决定。网络越大，对主机进行管理使它们达到统一的安全级别水平就越不容易。如果采用了防火墙，内部网络中的主机将不再直接暴露给来自Internet的攻击因此，对整个内部网络的主机的安全管理就变成了防火墙的安全管理，这样就使安全管理变得更为方便，易于控制，也会使内部网络更加安全。防火墙的设计目标1、所有进出被保护网络的通信必须通过防火墙；2、所有通过防火墙的通信必须经过安全策略的过滤或者防火墙的授权；3、防火墙本身应该具有很强的抵抗攻击能力。防火墙的功能主要功能：1、访问控制功能；2、内容控制功能；3、全面的日志功能；4、集中管理功能；5、自身的安全和可用性。附加功能：1、流量控制；2、网络地址转换（NetworkAddressTranslation—NAT）；3、虚拟专用网（VirtualPrivateNetwork—VPN）。防火墙的边界保护机制防火墙的安放位置是可信网络和不可信网络的边界，它所保护的对象是网络中有明确闭合边界的网段注意：“可信网络”和“不可信网络”是相对的；一般说来内部网络是可信的，Internet是不可信的；但在内部网络中，还可能划分可信和不可信网络，比如财务部网络需要特殊保护，则财务部网络是可信网络，而其他内部网络就变成不可信网络。防火墙是一种边界保护，它对可信网络内部之间的访问无法控制，仅对穿过边界的访问进行控制防火墙面临的潜在的攻击防火墙放在可信网络的边界，直接面对的是不可信网络可能的攻击，面临Internet中的恶意访问者的攻击。恶意破坏者主要有以下几种可能的攻击：1）入侵内部网络：包括没有授权地访问内部网络，盗取信息。比如进行地址欺骗，不可信网络的用户伪装成可信网络的地址，从而绕过系统的认证实现进入被攻击系统；或者通过在内部网络中安装木马程序，实现对内部机器的控制。2）针对防火墙的攻击，使其失去功能：包括各种协议漏洞攻击和碎片攻击，使防火墙死机或者失去本身应有功能。3）拒绝服务攻击：此种攻击现在非常普遍，对网络的危害非常大，是防火墙较难阻挡的攻击之一。拒绝服务攻击的方式1）SynFlood：该攻击以多个随机的源主机地址向目的主机发送SYN包，而在收到目的主机的SYNACK后并不回应；这样，目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到ACK一直维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务。2）Smurf：该攻击向一个子网的广播地址发一个带有特定请求（如ICMP回应请求）的包，并且将源地址伪装成想要攻击的主机地址；子网上所有主机都回应广播包请求而向被攻击主机发包，使该主机受到攻击。3）Landbased、PingofDeath、Teardrop、PingSweep、PingFlood…….防火墙的局限性1、防火墙不能防范不经防火墙的攻击；2、防火墙不能防止感染了病毒的软件或文件的传输；3、防火墙不能防止数据驱动式攻击；有些表面看起来无害的数据通过电子邮件发送或者其他方式复制到内部主机上，一旦被执行就形成攻击。一个数据型攻击可能导致主机修改与安全相关的文件，使得入侵者很容易获得对系统的访问权。4、防火墙不能防范恶意的内部人员侵入；5、防火墙不能防范不断更新的攻击方式防火墙制定的安全策略是在已知的攻击模式下制定的，所以对全新的攻击方式缺少阻止功能。防火墙的分类从防火墙实现的技术方式分：包过滤防火墙；应用层网关防火墙；电路层网关防火墙；状态检测防火墙。从形态上分：软件防火墙；硬件防火墙硬件防火墙是将防火墙软件安装在专用的硬件平台和专有操作系统（有些硬件防火墙甚至没有操作系统）之上，以硬件形式出现，如Cisco的PIX防火墙。有的还使用一些专有的ASIC硬件芯片负责数据包的过滤，性能更好。防火墙的访问效率和安全需求防火墙是网络的开放性和安全的控制性矛盾对立的产物。一方面网络的优势是它的互联互通性，用户希望快捷顺畅地访问网站、收发电子邮件等；另一方面，网络也是不安全的，所以需要使用防火墙对网络进行控制，添加安全规则，让用户通过登录来完成访问授权，可这样会使用户感到繁琐，而且需要检查的安全规则越多，网络性能就会越差。所以防火墙的访问效率和安全需求是一对矛盾，应该努力寻找平衡。防火墙的主要性能指标1）吞吐量：指防火墙在不丢失数据包的情况下能达到的最大的转发数据包的速率。吞吐量是防火墙性能中的一项非常重要的指标。如果防火墙的吞吐量指标太低就会造成网络瓶颈，影响网络的性能。2）时延：对存储转发设备，如路由器，是指从入口处进入的输入帧的最后一个比特到达，到从出口发出的输出帧的第一个比特输出所用的时间间隔。这个指标能够衡量出防火墙处理数据的快慢。3）丢包率：在特定负载下，指应由网络设备传输，但由资源耗尽而丢弃帧的百分比。丢包率是衡量防火墙设备稳定性和可靠性的重要指标。防火墙的主要性能指标（续）4）背对背：指从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时所发送的帧数。背对背的测试结果能够反映出防火墙设备的缓存能力、对网络突发数据流量的处理能力。5）并发连接数：指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数。并发连接数的测试主要用来测试被防火墙建立和维持TCP连接的性能。二、防火墙技术1、包过滤（PacketFilter）2、代理服务器（ProxyServer）3、电路级网关（CircuitLevelGateway）4、状态检测（StateInspection）1、包过滤技术包过滤(PacketFilter)技术是在网络层（或传输层）中根据数据包中的包头信息对数据包实施有选择的通过。包过滤依据系统内事先设定的过滤规则，检查数据流中每个数据包的包头后，根据包头中的各个数据项来确定是否允许数据包通过，其核心是安全策略即过滤规则的设计。例如，利用特定的因特网服务的服务器驻留在特定的端口号的事实（如TCP端口23用于Telnet连接），使包过滤器可以通过规定适当的端口号来达到阻止或允许一定类型的连接的目的，并可进一步组成一套数据包过滤规则。包过滤技术（续）包过滤技术在防火墙上的应用非常广泛，其主要优点是：1）系统（如CPU）用来处理包过滤的时间相对很小，效率高；2）这种防护措施对用户透明，合法用户在使用网络通信时，感觉不到它的存在，使用起来很方便。包过滤的主要缺点是：包过滤技术是在IP/TCP层实现的，所以包过滤的一个很大的弱点是不能在应用层级别上进行过滤，所以防卫方式比较单一。包过滤技术示意图应用层表示层会话层传输层网络层数据链路层物理层物理层数据链路层网络层应用层表示层会话层传输层网络层数据链路层物理层外部网络主机内部网络主机包过滤型防火墙传输层包过滤的依据一个包过滤型防火墙通常根据IP/TCP分组的以下各项过滤：源IP地址；目标IP地址；IP中的协议类型字段；TCP/UDP源端口；TCP/UDP目标端口；TCP报头中的各种标志。IP数据包格式基于IP的数据包过滤可以根据IP协议中的IP源地址和IP目的地址来制定安全规则如允许访问内部的IP地址为*.*.*.*的服务器。也可以根据IP协议中的协议类型字段来制定安全规则：如允许TCP协议通过防火墙。基于IP的数据包过滤容易遭到“源地址路由”和“极小数据分段”攻击。基于IP的数据包过滤（续）源地址路由攻击：源地址路由是IP的选项，指由数据包的源地址来指定到达目的地的路由，而不是让路由器根据其路由表来决定向何处发送数据包。这种功能有的时候是有用的，比如在路由器的路由表发生了损坏时；但是有的时候也会被黑客所利用，用于绕过安全检测，而不走预先设计好的路由路径。防火墙解决这个问题的办法很简单，只要检查IP选项，简单地丢弃所有包含源路由选项的数据包即可。基于IP的数据包过滤（续）IP协议的数据分片IP协议的特点之一就是将一个大的数据包划分成若干个适合大小的、能通过网络传送的IP片，称为IP分片，IP分片到达目标机器后，再重新组装成完整的IP数据包。对于IP数据包过滤，只有在第一个分片中才包含来自于高层协议的报头信息，数据包过滤可以检查这个段，根据报头来决定是否允许整个数据包通过。如果禁止该数据包，数据包过滤只是丢弃了IP分片的第一个分片，其他的分片还是能够通过；但是不管有多少个分片通过，目标机器都不能将这些段装配成原来的数据包（因为第一个分片已经没有了）。基于IP的数据包过滤（续）“极小数据分段”攻击极小数据分段式攻击（TinyFragmentAttacks）的特点是入侵者使用了IP分片的特性，创建极小的分片并强行将TCP头信息分成多个数据包段。这种攻击是为了绕过用户定义的过滤规则黑客通常寄希望于过滤器只检查第一个分片而允许其余的分片通过。防火墙解决这个问题的方法是在防火墙处进行IP报文重组TCP数据包格式20基于TCP的数据包过滤可以根据TCP协议中的源端口和目的端口来制定安全规则注意：由于TCP的源端口通常是随机的，所以通常不使用源端口进行控制。通过检查TCP标志字段，可以辨认这个TCP数据包是SYN包，还是非SYN包检查单独的SYN标志，就可以知道它是TCP连接中3次握手中的第一个请求，如果要禁止该连接，只要禁止这个包就可以了。TCP连接的3次握手过程基于UDP的数据包过滤可以根据UDP中的源端口和目的端口来制定安全规则由于UDP的源端口通常是随机的，所以通常不使用源端口进行控制。基于ICMP的数据包过滤ICMP（Internet控制与报文协议）是无连接的，非常灵活，但源地址容易被伪造目前有很多基于ICMP的攻击软件，如制造ICMP风暴、利用ICMP消耗服务器CPU资源；此外ICMP本身也可以用于探测网络拓扑结构。因此，包过滤器一般禁止从外部网络来的到内部网络和包过滤器本身的ICMP包，以避免危险。包过滤规则的制定策略总的来说，包过滤规则的制定策略包括两类：1、按IP地址过滤；2、按服务（即端口号）过滤。按IP地址过滤按地址过滤是最简单的过滤方式，它只限制数据包的源地址和目的地址，而不必考虑协议。需要注意的是，由于IP源地址是可以伪造的，因此如果在过滤规则中限制源地址，就会面临风险例如，在过滤规则中，如果允许一个特定的外部主机（IP地址固定）访问内部网络，此时如果另一个主机伪装成该外部主机，过滤规则就会被欺骗。按服务过滤按服务过滤，就是根据相应的TCP/UDP端口进行过滤比如要禁止外部网络对内部网络的Telnet的访问，就需要检查数据包的目的端口和TCP标志位，如果端口是23，并且是SYN包，则拒绝这个包。在实际应用中，一般是按照内部服务端口进行过滤，对于外部服务端口过滤也是有风险的因为外部服务端口是可以伪装的。此外，按服务过滤需要保证内部的服务确实工作在相应的端口上。按服务过滤（续）按外部端口过滤的风险由于无法保证外部服务确实是在规定的端口上，如果防火墙的限制完全基于外部服务端口号就会有危险。例如，如果允许内部主机到外部服务器的邮件发送服务（正常运行于端口25），当TCP端口25确是一个常规邮件端口时，这个配置就没有危险。但是防火墙没有办法控制一个外部主机上的端口号，黑客可能会用其他程序控制外部主机上25号端口，模拟邮件服务和内部主机建立连接，进行非授权的访问。网络协议的双向性对包过滤规则制定的影响需要注意的