1、第十三章第十三章主講人：任凱主講人：任凱聯系方式：聯系方式：renkai_百度云盤：百度云盤：http:/ 防火墻作為網絡防護的第一道防線，它由設備組合而成，它位于企業或網絡群體計算機與外界網絡的邊界，著外界用戶對內部網絡的訪問以及管理內部用戶訪問外界網絡的信息安全技術信息安全技術v應用代理防火墻應用代理防火墻v電路級網關防火墻電路級網關防火墻v狀態包檢測型防火墻狀態包檢測型防火墻FF信息安全技術v包是網絡上信息流動的基本單位，它由和兩個部分組成v包過濾是基于進行過濾的 Internet內部網包過濾路由器安全邊界信息安全技術v包過濾防火墻特點：包過濾防火墻特點：q最快的防火墻，因為它們的操作處

2、于，只粗略地檢查頭部信息q因為端點之間可以通過防火墻建立直接連接，一旦防火墻允許某一連接，就會允許外部計算機直接連接到防火墻后的目標，從而潛在地暴露了內部網絡，使之容易遭到攻擊信息安全技術v電路級網關防火墻電路級網關防火墻v狀態包檢測型防火墻狀態包檢測型防火墻FF信息安全技術v真正可靠的安全防火墻應該在協議棧的最高層檢驗所有的輸入數據v在協議棧的，能夠，從而實現各種安全策略v這種防火墻容易識別重要的應用程序命令，例如：FTP的“put”上傳請求和“get”下載請求，還能夠看到傳輸文件的內容信息安全技術v內建代理機制：有內部連接與外部連接兩條連接內建代理機制：有內部連接與外部連接兩條連接q將內部

3、和外部系統隔離開來，從外面只看到應用代理防火墻，而看不到任何內部資源TelnetFTPSMTPHTTP外部主機外部連接應用級網關內部連接內部主機信息安全技術q花費更多處理時間，可疑行為絕不會被允許通過q安全性高，可以過濾多種協議，通常認為它是最安全的防火墻類型q不能完全透明地支持各種服務與應用，同時一種代理只提供一種服務q另外需要消耗大量的CPU資源，導致相對低的性能信息安全技術v狀態包檢測型防火墻狀態包檢測型防火墻FF信息安全技術v起一定的代理服務作用，它監視兩臺主機，從而判斷該會話請求是否合法，一旦會話連接有效，該網關僅復制、傳遞數據OutInOutOutInIn外部主機內部連接內部主機電

4、路級網關外部連接信息安全技術v在IP層代理各種高層會話，具有v對會話建立后所傳輸的具體內容不再作進一步地分析，因此v電路級網關建立兩個TCP連接，確定哪些連接是允許的v包過濾防火墻一樣，都是依靠特定的，但并不檢測包中的內容v又同應用代理防火墻一樣，信息安全技術FF信息安全技術v狀態包檢測模式增加了更多的包和包之間的安全上下文檢查，以達到與應用級代理防火墻相類似的安全性能OutInOutOutInIn外部連接外部主機信息處理狀態信息庫內部連接內部主機信息安全技術v特點：特點：q查看完前面的包后，把它記在中，來確定對：如果接收到的TCP 第一次握手數據速率超過設定值，就阻止 TCP 第一次握手數據

5、通過：如果發現某個 IP 地址向另一 IP 地址的多個不同端口發送 TCP 報文段的速率超過設定值，就阻止來自該 IP 地址的 TCP 報文段信息安全技術v優點：優點：q工作在協議棧的較低層，通過防火墻的所有數據包都在網絡層與運輸層處理, 因此q一個連接在防火墻中建立起來，就，系統就可以去處理其他連接，執行效率可以得到進一步的提高 信息安全技術FF信息安全技術v 13.3.1 單防火墻結構單防火墻結構1屏蔽防火墻屏蔽防火墻q只對進出的數據進行各種過濾與檢查，功能單一，主要q主要是，而外部計算機很少主動訪問內部網絡信息安全技術2單單 DMZ 防火墻防火墻q如果一個內部網絡規模較大，同時內部有很多

6、服務器對外提供服務，這時就應該使用單 DMZ 防火墻q單 DMZ 防火墻信息安全技術3多多 DMZ 防火墻防火墻q防火墻上有較多的接口，可以對外提供多種服務信息安全技術v 使用兩臺防火墻：內部防火墻與外部防火墻，兩者之間是 DMZv 同單防火墻結構類似，所有的數據在兩臺防火墻處都被過濾與檢查，內部網絡與外部網絡中的計算機都可以訪問DMZ，但外部計算機不能主動訪問內部網絡信息安全技術v 哪個子網最容易受到來自互聯網中黑客攻擊 v 對外服務網所在的區域通常稱為什么v 該公司與商業合作伙伴通過互聯網進行業務信息互換，為了保證商業信息秘密，請問該公司和合作伙伴需要購買什么類型的安全產品 v 該公司如何

7、改進增強WEB服務信息安全技術FF信息安全技術13.4.1 包過濾技術包過濾技術v 使用包過濾防火墻前要制定規則，多條規則組成一個v 用來生成規則進行過濾的包頭部信息通常都包括以下信息：（1）接口和方向（2）源和目的 IP 地址（3）IP 選項（4）高層協議（5）TCP 包的 ACK 位檢查（6）ICMP 的報文類型（7）TCP 和 UDP 包的源和目的端口信息安全技術viptables設置設置(man iptables看下相關資料看下相關資料):qiptables服務：service iptables start service iptables restart service iptabl

8、es stop q規則管理命令：追加，在當前鏈的最后新增一個規則n-I num : 插入，把當前規則插入為第幾條，例: -I 3 :插入為第三條Replays替換/修改第幾條規則 格式：iptables -R 3刪除，明確指定刪除第幾條規則信息安全技術viptables設置設置:qFilter： 處理來自外部的數據 處理向外發送的數據 將數據轉發到本機的其他網卡設備上q目標值：允許防火墻接收數據包防火墻丟棄包 防火墻將數據包移交到用戶空間 防火墻停止執行當前鏈中的后續Rules，并返回到調用鏈中信息安全技術viptables命令常用參數設置命令常用參數設置:協議，如tcp, udp, icmp

9、等，all指定所有協議源地址目的地址執行目標,可能的值是ACCEPT, DROP, QUEUE, RETURN源端口,針對 -p tcp 或者 -p udp,例如”sport 22與”sport ssh”q-dport ：目的端口TCP標志，針對-p tcp，有效值可以是：SYN, ACK, FIN, RST, URG, PSH信息安全技術1用于包過濾的用于包過濾的 IP 頭信息頭信息(1) IP地址地址q檢查IP包頭，根據其作出放行/禁止決定q來自的IP數據報不可能具有內部網絡的IP地址，否則一定就是IP地址欺騙qiptables -I INPUT -s /24 -j

10、DROP規則 方向源IP地址目的IP地址動作1流入流入 /24*拒絕拒絕2*允許允許信息安全技術(2)協議字段協議字段q這一字段定義了q通常，承載ICMP數據的包(協議字段為1)都應丟棄，因為ICMP數據將會告知對方本網內部的信息qiptables -A OUTPUT -p icmp -icmp-type echo-request -j ACCEPT規則規則方向方向協協 議議 字字 段段動作動作1*1拒絕拒絕2*允許允許信息安全技術（3）IP包分片與選項字段包分片與選項字段qIP包分片與選項字段可能導致某些攻擊，現在IP包分片與選項字段用得越來越少，拒絕這樣的IP包信息安

11、全技術2.用于包過濾的用于包過濾的TCP頭信息頭信息端口號端口號q控制SMTP連接流入和流出的例子,規則2和規則4允許大于端口1023的所有服務，不論是流入還是流出方向q黑客可以利用這一個漏洞去做各種事情1流入TCP外部內部25允許2流出TCP內部外部=1024允許3流出TCP內部外部25允許4流入TCP外部內部=1024允許5*禁止1流入TCP外部內部=102425允許2流出TCP內部外部25=1024允許3流出TCP內部外部=102425允許4流入TCP外部內部25=1024允許5*禁止信息安全技術viptables -A INPUT -p tcp -sport 1024:655356 -

12、dport 25 -j ACCEPTviptables -A OUTPUT -p tcp -sport 25 -dport 1024:655356 -j ACCEPTviptables -A OUTPUT -p tcp -sport 1024:655356 -dport 25 -j ACCEPTviptables -A INTPUT -p tcp -sport 25 -dport 1024:655356 -j ACCEPT信息安全技術v在TCP協議頭中，有一個。在三次握手建立連接期間，需要指明對序列號進行同步時，這一同步位要置1vSYN洪水就是這樣的一種攻擊:黑客是不斷發送SYN位已經置1的包

13、，這樣目標主機就要浪費寶貴的CPU周期建立連接，并且分配內存v檢查SYN位雖然不可能過濾所有SYN位已經置1的包，但是可以監視日志文件，2.用于包過濾的用于包過濾的TCP頭信息頭信息SYN位位信息安全技術2.2.用于包過濾的用于包過濾的TCPTCP頭信息頭信息ACKACK位位v 檢查ACK位，防火墻只允許內部客戶訪問外部Web服務器，反之則禁止v iptables -A OUTPUT -p tcp -sport 1024:655356 -dport 25 -j ACCEPTv iptables -A INPUT -p tcp -sport 25 -dport 1024:655356 tcp-f

14、lags SYN -j ACCEPT規則規則 方向方向 協議協議 源地源地址址目的地目的地址址源端口源端口 目的端目的端口口ACK位位動作動作1流出流出 TCP內部內部外部外部102480均可均可允許允許2流入流入 TCP外部外部內部內部801024置置1允許允許3*禁止禁止信息安全技術13.4.1 包過濾技術包過濾技術vUDP包過濾包過濾vICMP包過濾包過濾q有可能被利用來收集網絡的有關信息n源抑制報文n重定向報文q阻止以下幾種報文類型：n流入的流入的echo請求和流出的請求和流出的echo響應響應：允許內部用戶使用ping命令測試外部主機的連通性，但不允許相反方向的類似報文n流入的重定向

15、報文流入的重定向報文：可以用來重新配置網絡的路由表n流出的目的不可到達報文和流出的服務不可用報文流出的目的不可到達報文和流出的服務不可用報文：不允許任何人刺探網絡信息安全技術v 包過濾防火墻的優點：包過濾防火墻的優點：q包過濾是“免費的”。如果己經有了路由器，它很可能支持包過濾。在小型局域網內，單個路由器用作包過濾器足夠了q理論上只需要在局域網連接到因特網或外部網的地方布置一個過濾器q使用包過濾器，不需要專門培訓用戶或使用專門的客戶端和服務器程序信息安全技術包過濾防火墻的缺點包過濾防火墻的缺點:v使路由器難以配置，特別是使用大量規則進行復雜配置的時候。在這種情況下，很難進行完全地測試v當包過濾

16、器出現故障，或者配置不正確的時候，對網絡產生的危害比代理服務器產生的危害大得多v包過濾器只對少量數據，如IP包的頭部信息進行操作v很多具有包過濾功能的防火墻缺少健壯的日志功能，因此當系統被滲入或被攻擊時，很難得到大量的有用信息信息安全技術FF信息安全技術1應用代理技術原理信息安全技術v 因為應用代理防火墻位于客戶和提供網絡服務的服務器之間，所以有很多方法來進行內容屏蔽或阻塞（1）URL地址阻塞（2）類別阻塞（3）嵌入的內容2內容屏蔽和阻塞內容屏蔽和阻塞信息安全技術v 應用代理防火墻的一個重要功能就是能夠記錄用戶的各種行為信息v 在事先可預測的條件下，一些行為還可以設置為觸發一個警報v 審查日志

17、是審查任何一個系統的重要組成部分，所以一定要盡可能多地記錄各種事件，仔細觀察記錄的數據，力爭從中發現不正常的現象3日志和報警措施日志和報警措施信息安全技術v 使用代理服務器優點使用代理服務器優點: :q隱藏受保護網絡中客戶和服務器的網絡信息q代理服務器是能夠對受保護網絡和因特網之間的網絡服務進行控制的惟一點(Single Point)。即使代理應用癱瘓，也不能通過設置堡壘主機來允許通信經過q代理服務器可以被設置來記錄所提供的服務的相關信息，并且對可疑活動和未授權的訪問進行報警q一些代理服務器可以篩選返回數據的內容，并阻塞對某些站點的訪問。它們也能夠阻塞包含已知病毒和其它可疑對象的包信息安全技術

18、v 代理服務器的缺點代理服務器的缺點: :q盡管代理服務器提供了一個進行訪問控制的惟一點，但它也是導致整個系統癱瘓的惟一點q每一個網絡服務都需要它自己的代理服務程序。雖然存在一般的解決方案，但是它沒有提供與代理服務器相同級別的安全性q在客戶使用代理服務器之前可能需要被修改或者重新配置信息安全技術vWindows的代理設置的代理設置:q工具Internet選項連接局域網設置q輸入代理服務器地址和端口號q服務器地址：q端口號:8080q確定之后輸入用戶名和密碼信息安全技術v傳統防火墻具有以下不足：傳統防火墻具有以下不足：(1)高成本：內部網中需要保護的主機或者資源越多，就需要設置越多的安全檢查點(2)高管理負擔：管理人