信息安全:防火墻技術原理與應用.
防火墻是網絡安全區域邊界保護的重要技術。為了應對網絡威脅,聯網的機構或公司將自己的網絡與公共的不可信任的網絡進行隔離,其方法是根據網絡的安全信任程度和需要保護的對象,人為地劃分若干安全區域,這些安全區域有:公共外部網絡;內聯網;外聯網(內聯網的擴展延伸,常用作組織與合作伙伴之間進行通信);軍事緩沖區域,簡稱 DMZ;它一般安裝在不同的安全區域邊界處,用千網絡通信安全控制,由專用硬件或軟件系統組成.
目錄:
防火墻概述:
防火墻安全風險:
(1)網絡安全旁路:
(2)防火墻功能缺陷,導致一些網絡威脅無法阻斷:
(3)防火墻安全機制形成單點故障和特權威脅:
(4)防火墻無法有效防范內部威脅:
(5)防火墻效用受限于安全規則:
防火墻發展:
(1)防火墻控制粒度不斷細化:
(2)檢查安全功能持續增強:
(3)?產品分類更細化:
(4)智能化增強:
防火墻類型與實現技術:
(1)包過濾:
(2)狀態檢查技術:
(3)應用服務代理:
(4)網絡地址轉換技術(NAT):
(5)Web 防火墻技術:
(6)數據庫防火墻技術:
(7)控防火墻技術:
(8)下一代防火墻技術:
(9)防火墻共性關鍵技術:
防火墻主要產品與技術指標:
(1)防火墻主要產品:
(2)防火墻主要技術指標:
防火墻防御體系結構類型:
(1)基于雙宿主主機防火墻結構:
(2)基于代理型防火墻結構:
(3)基于屏蔽子網的防火墻結構:
防火墻技術應用:
(1)防火墻應用場景類型:
(2)防火墻部署基木方法:
防火墻概述:
◆? 防火墻是由一些 軟、硬件組合而成的網絡訪問控制器,它根據一定的安全規則來控制流過防火墻的網絡包,如禁止或轉發,能夠屏蔽被保護網絡內部的信息、拓撲結構和運行狀況,從而起到網絡安全屏障的作用。防火墻 般用來將內部網絡與因特網或者其他外部網絡互相隔離,限制網絡互訪,保護內部網絡的安全.
◆? 防火墻的安全策略有兩種類型:
? ?
??白名單策略:只允許符合安全規則的包通過防火墻,其他通信包禁止;
? ?
??黑名單策略:禁止與安全規則相沖突的包通過防火墻,其他通信包都允許;
◆? 防火墻的 功能 主要有以下幾個方面:
??過濾非安全網絡訪問:將防火墻設置為只有預先被允許的服務和用戶才能通過防火墻;
? ?
??限制網絡訪問:用來限制受保護網絡中的主機訪問外部網絡的某些服務,例如某些不良網址。
? ?
??網絡訪問審計:防火墻是外部網絡與受保護網絡之間的唯一網絡通道,可以記錄所有 通過它的訪問,并提供網絡使用情況的統計數據。
??網絡帶寬控制:防火墻可以控制網絡帶寬的分配使用,實現部分網絡質量服務 (QoS) 保障。
??
??協同防御:防火墻和入侵檢測系統通過交換信息實現聯動,增強網絡安全;
防火墻安全風險:
(1)網絡安全旁路:
◆??防火墻只能對通過它的網絡通信包進行訪問控制,而未經過它的網絡通信就無能為力;
(2)防火墻功能缺陷,導致一些網絡威脅無法阻斷:
◆? 防火墻不能完全防止感染病毒的軟件或文件傳輸,因為己有的病毒、操作系統以及加密和壓縮二進制文件的種類太多;
◆? 防火墻不能防止基千數據驅動式的攻擊。當有些表面看來無害的數據被郵寄或復制到主機上并被執行而發起攻擊時,就會發生數據驅動攻擊效果。防火墻對此無能為力;
◆? 防火墻不能完全防止后門攻擊。防火墻是粗粒度的網絡訪問控制,某些基于網絡隱蔽通道的后門能繞過防火墻的控制,例如 http tunnel 等;
(3)防火墻安全機制形成單點故障和特權威脅:
◆? 防火墻處千不同網絡安全區域之間,所有區域之間的通信都經過防火墻,受其控制,從而形成安全特權。一旦防火墻自身的安全管理失效,就會對網絡造成單點故障和網絡安全特權失控;
(4)防火墻無法有效防范內部威脅:
◆? 處于防火墻保護的內網用戶一旦操作失誤,網絡攻擊者就能利用內部用戶發起主動網絡連接,從而可以躲避防火墻的安全控制;
(5)防火墻效用受限于安全規則:
◆??防火墻依賴于安全規則更新;
防火墻發展:
(1)防火墻控制粒度不斷細化:
◆? 控制規則從以前的 IP 包地址信息延伸到 IP 包的內容;
? ?
(2)檢查安全功能持續增強:
◆? 檢測 IP 包內容越來越細, DPI (Deep Packet Inspection) 用于防火墻;
(3)?產品分類更細化:
◆? 針對保護對象的定制安全需求,出現專用防火墻設備。如工控防火墻、 Web 防火墻、數據庫/數據防火墻等;
(4)智能化增強:
◆? 通過網絡安全大數據和人工智能技術的應用,防火墻規則實現智能化更新;
防火墻類型與實現技術:
◆? 按照防火墻的實現技術及保護對象,常見的防火墻類型可分為包過濾防火墻、代理防火墻、 下一代防火墻、 Web 應用防火墻、數據庫防火墻、工控防火墻。防火墻的實現技術主要有包過濾、狀態檢測、應用服務代理、網絡地址轉換、協議分析、深度包檢查等;
(1)包過濾:
◆??包過濾是在 IP 層實現的防火墻技術,包過濾根據包的源 IP 地址、目的 IP 地址、源端口、目的端口及包傳遞方向等包頭信息判斷是否允許包通過;
??
◆??典型的過濾規則表示格式由“規則號、匹配條件、匹配操作“三部分組成;
??
◆??匹配操作有:拒絕、轉發、審計三種;
??
◆??匹配條件:源 IP 地址、目的 IP 地址、源端口號、目的端口號、協議類型 (UDP TCP ICMP) 、通信方向、規則運算符;
◆??包過濾防火墻技術的優點:低負載、高通過率、對用戶透明;
? ?
◆??包過濾技術的弱點:不能在用戶級別進行過濾,如不能識別不同的用戶和防止 IP 地址的盜用。如果攻擊者把自己主機IP 地址設成 個合法主機的 IP 地址,就可以輕易通過包過濾器;
(2)狀態檢查技術:
◆??基于狀態的防火墻通過利用 TCP 會話和 UDP“ 偽“會話的狀態信息進行網絡訪問機制。 采用狀態檢查技術的防火墻首先建立并維護一張會話表,當有符合已定義安全策略的 TCP 連接 或UDP 流時,防火墻會創建會話項,然后依據狀態表項檢查,與這些會話相關聯的包才允許通過防火墻;
◆??狀態防火墻處理包流程的主要步驟如下:
? ??
??接收到數據包;
? ??
??檢查數據包的有效性,若無效,則丟掉數據包并審計;
? ?
??查找會話表;若找到,則進一步檢查數據包的序列號和會話狀態,如有效,則進行地址轉換和路由,轉發該數據包; 否則,丟掉數據包并審計;
? ??
??當會話表中沒有新到的數據包信息時,則查找策略表,如符合策略表,則增加會話條目到會話表中,并進行地址轉換和路由,轉發該數據包;否則,丟掉該數據包并審計;
(3)應用服務代理:
◆??應用服務代理防火墻扮演著受保護網絡的內部網主機和外部網主機的網絡通信連接”中間人”的角色,代理防火墻代替受保護網絡的主機向外部網發送服務請求,并將外部服務請求響應的結果返回給受保護網絡的主機;
◆??采用代理服務技術的防火墻簡稱為代理服務器;
◆??受保護的內部用戶對外部網絡訪問時,首先需要通過代理服務器的認可,才能向外提出請求,而外網的用戶只能看到代理服務器,從而隱藏了受保護網絡的內部結構及用戶的計算機信息。因而,代理服務器可以提高網絡系統的安全性。
◆??應用服務代理技術的優點主要有:
??不允許外部主機直接訪問內部主機;
??支持多種用戶認證方案;
??可以分析數據包內部的應用命令;
??可以提供詳細的審計記錄;
??
◆??應用服務代理技術的缺點是:
??速度比包過濾慢;
??對用戶不透明;
??與特定應用協議相關聯,代理服務器并不能支待所有的網絡協議;
(4)網絡地址轉換技術(NAT):
◆??NAT 中文含義是“網絡地址轉換”。 NAT術主要是為了解決公開地址不足而出現的,它可以緩解少量因特網 IP 地址和大量主機之間的矛盾;
??
◆??基于 NAT 技術的防火墻上配置有合法的公共 IP 地址集,當內部某一用戶訪問外網時,防火墻動態地從地址集中選一個未分配的地址分配給該用戶,該用戶即可使用這個合法地址進行通信 ;
??
◆??實現網絡地址轉換的方式主要有:
??
??靜態 NAT :內部網絡中的每個主機都被永久映射成外部網絡中的某個合法的地址;
??
??NAT 池:在外部網絡中配置合法地址集,采用動態分配的方法映射到內部網絡;
??
??端口 NAT (PAT) :內部地址映射到外部網絡的一個 IP 地址的不同端口上;
(5)Web 防火墻技術:
◆??Web 應用防火墻是一種用于保護 Web 服務器和 Web 應用的網絡安全機制。
??
◆??技術原理:根據預先定義的過濾規則和安全防護規則,對所有訪問 Web 服務器的 HTTP 請求和服務器響應,進行 HTTP 協議和內容過濾,進而對 Web 服務器和 Web 應用提供安全防護功能;
??
◆??Web 應用防火墻可抵御的典型攻擊:主要是 SQL 注入攻擊、 XSS 跨站腳本攻擊、 Web 應用掃描、 Webshell Cookie注入攻擊、 CSRF 攻擊等;
(6)數據庫防火墻技術:
◆??數據庫防火墻是一種用于保護數據庫服務器的網絡安全機制;
◆??技術原理主要:基于數據 通信協議 深度分析和 虛擬補丁?,根據安全規則對數據庫訪問操作及通信進行安全訪問控制,防止數據庫系統受到攻擊威脅;
??
◆??數據庫通信協議深度分析:可以獲取訪問數據庫服務器的應用程序數據包的 ”源地址、目標地址、源端口、目標端口、 SQL 語句”等信息,然后依據這些信息及安全規則監控數據庫風險行為,阻斷違規 SQL 操作、阻斷或允許合法的 SQL 操作執行;
??
◆??虛擬補丁技術:通過在數據庫外部創建一個安全屏障層,監控所有數據庫活動,進而阻止可疑會話、操作程序或隔離用戶,防止數據庫漏洞被利用,從而不用打數據庫廠商的補丁,也不需要停止服務,可以保護數據庫安全。
(7)控防火墻技術:
◆??工業控制系統專用防火墻 簡稱為 工控防火墻,是一種用于保護工業設備及系統的網絡安全機制;
??
◆??技術原理主要:通過工控協議深度分析,對訪問工控設備的請求和響應進行監控,防止惡意攻擊工控設備,實現工控網絡的安全隔離和工控現場操作的安全保護;
? ?
? ?
◆??工控防火墻與傳統的網絡防火墻有所差異,工控防火墻側重于分析工控協議,主要包括 Modbus TCP 協議、 IEC 61850 協議、 OPC 協議、 Ethernet/IP 協議和 DNP3 協議等。同時,工控防火墻要適應工業現場的惡劣環境及實時性高的工控操作要求;
(8)下一代防火墻技術:
◆??相對于傳統網絡防火墻而言,下一代防火墻除了集成傳統防火墻的包過濾、狀態檢測、地址轉換等功能外,還具有應用識別和控制、可應對安全威脅演變、檢測隱藏的網絡活動、動態快速響應攻擊、支持統一安全策略部署、智能化安全管理等新功能;
? ?
??應用識別和管控:不依賴端口,通過對網絡數據包深度內容的分析,實現對應用層協議和應用程序的精準識別,提供應用程序級功能控制,支持應用程序安全防護;
??入侵防護 (IPS) :能夠根據漏洞特征進行攻擊檢測和防護,如 SQL 注入攻擊;
? ?
??數據防泄露:對傳輸的文件和內容進行識別過濾,可準確識別常見文件的真實類型, 如 Word Excel PPT PDF 等,并對敏感內容進行過濾;
??
??惡意代碼防護:采用基千信譽的惡意檢測技術,能夠識別惡意的文件和網站。構建Web 信譽庫,通過對互聯網站資源 (IP URL 、域名等)進行威脅分析和信譽評級,將含有惡意代碼的網站資源列入 Web 信譽庫,然后基千內容過濾技術阻擋用戶訪問不良信譽網站,從而實現智能化保護終端用戶的安全;
??URL 分類與過濾:構建 URL 分類庫,內含不同類型的 URL 信息(如不良言論、網絡 “釣魚”、論壇聊天等),對與工作無關的網站、不良信息、高風險網站實現準確、高效過濾;
??帶寬管理與 QoS 優化:通過智能化識別業務應用,有效管理網絡用戶/IP 使用的帶寬, 確保關鍵業務和關鍵用戶的帶寬,優化網絡資源的利用;
??加密通信分析:通過中間人代理和重定向等技術,對 SSL SSH 等加密的網絡流量進行監測分析;
(9)防火墻共性關鍵技術:
◆??深度包檢測:
??深度包檢測 (?DPI) ,是一種用于對包的數據 內容 及 包頭 信息進行檢查分析的技術方法。傳統檢查只針對包的頭部信息,而 DPI 對包的數據內容進行檢查,深入應用層分析;
??
??DPI 需要不斷更新維護深度檢測策略,以確保防火墻持續有效;
??對于 DPI 的自身安全問題,隱私保護技術使得 DPI 的檢測能力受到限制,加密數據的搜索匹配成為 DPI 的技術難點。 DPI 需要處理包的數據內容,使得防火墻處理工作顯著增加,這將直接影響網絡傳輸速度;
◆??操作系統:
??防火墻的運行依賴于操作系統,操作系統的安全性直接影響防火墻的自身安全;
? ?
◆??網絡協議分析:
? ?
??防火墻通過獲取網絡中的包,然后利用協議分析技術對包的信息進行提取,進而實施安全策略檢查及后續包的處理;
防火墻主要產品與技術指標:
◆??防火墻是主流的網絡安全產品,按照應用場景,防火墻的產品類型有網絡防火墻、 Web 用防火墻、數據庫防火墻、主機防火墻、工控防火墻、下一代防火墻、家庭防火墻;
(1)防火墻主要產品:
◆??防火墻是廣泛應用的網絡安全產品,其產品形態有硬件實體模式和軟件模式。商業產品的主要形態為物理硬件實體,安全功能軟件集成到硬件實體中;
? ??
◆??網絡防火墻:部署在不同安全域之間,解析和過濾經過防火墻的數據流,具備網絡層訪問控制及過濾功能的網絡安全產品;
? ?
◆??Web 應用防火墻:對所有訪問 Web 服務器的 HTTP 請求和服務器響應進行 HTTP 協議和內容過濾;
? ?
◆??數據庫防火墻:基于數據庫協議分析與控制技術,可實現對數據庫的訪問行為控制和危險操作阻斷的網絡安全產品;
??
◆??主機防火墻:部署在終端計算機上,監測和控制網絡級數據流和應用程序訪問的網絡安全產品;
??
◆??工控防火墻:部署在工業控制環境,基千工控協議深度分析與控制技術;
? ?
◆??下一代防火墻:部署在不同安全域之間,解析和過濾經過防火墻的數據流,集成應用識別和管控、惡意代碼防護、入侵防護、事件關聯等多種安全功能;
? ?
◆??家庭防火墻:家庭防火墻的產品特點是防火墻功能模塊集成在智能路由器中,具有 IP 地址控制、 MAC地址限制、不良信息過濾控制、防止躇網、智能家居保護等功能的網絡安全產品;
(2)防火墻主要技術指標:
◆??防火墻評價指標可以分成四類,即安全功能要求、性能要求、安全保障要求、 環境適應性要求;
防火墻防御體系結構類型:
◆??防火墻防御體系結構主要有:基于雙宿主主機防火墻、基于代理型防火墻、基于屏蔽子網的防火墻;
(1)基于雙宿主主機防火墻結構:
◆??雙宿主主機結構是最基本的防火墻結構。這種系統實質上是至少具有兩個網絡接口卡的主機系統。在這種結構中,一般都是將一個內部網絡和外部網絡分別連接在不同的網卡上,使內外網絡不能直接通信。
(2)基于代理型防火墻結構:
◆??代理型結構中由一臺主機同外部網連接,該主機代理內部網和外部網的通信;
◆??代理型結構中還通過路由器過濾,代理服務器和路由器共同構建一個網絡安全邊界防御架構;
◆??一般情況下,過濾路由器可按如下規則進行配置:
??允許其他內部主機為某些類型的服務請求與外部網絡建立直接連接;
? ?
??任何外部網的主機只能與內部網絡的代理主機建立連接;
? ?
??任何外部系統對內部網絡的操作都必須經過代理主機;
??
◆??代理型結構的主要缺點:只要攻擊者設法攻破了代理主機,那么對千攻擊者來說,整個內部網絡與代理主機之間就沒有任何障礙了,攻擊者變成了內部合法用戶,完全可以偵聽到內部網絡上的所有信息;
(3)基于屏蔽子網的防火墻結構:
◆??屏蔽子網結構是在代理型結構中增加一層周邊網絡的安全機制,使內部網絡和外部網絡有兩層隔離帶。周邊網絡隔離堡壘主機與內部網,減輕攻擊者攻破堡壘主機時對內部網絡的沖擊力。攻擊者即使攻破了堡壘主機,也不能偵聽到內部網絡的信息,不能對內部網絡直接操作;
? ?
◆??基于屏蔽子網的防火墻結構的?特點?如下:
? ?
??應用代理位千被屏蔽子網中,內部網絡向外公開的服務器也放在被屏蔽子網中,外部網絡只能訪問被屏蔽子網,不能直接進入內部網絡;
? ?
??兩個包過濾路由器的功能和配置是不同的。包過濾路由器A的作用是過濾外部網絡對被屏蔽子網的訪問。包過濾路由器B的作用是過濾被屏蔽子網對內部網絡的訪問。所有外部網絡經由被屏蔽子網對內部網絡的訪問,都必須經過應用代理服務器的檢查和認證;
??
◆??優點:安全級別最高;
◆??缺點:成本高,配置復雜;
防火墻技術應用:
(1)防火墻應用場景類型:
◆??上網保護:利用防火墻的訪問控制及內容過濾功能,保護內網和上網計算機安全,防止互聯網黑客直接攻擊內部網絡,過濾惡意網絡流量,切斷不良信息訪問;
? ??
◆??網站保護:通過 Web 應用防火墻代理互聯網客戶端對 Web 服務器的所有請求,清洗異常流量,有效控制政務網站應用的各類安全威脅;
? ?
◆??數據保護:在受保護的數據區域邊界處部署防火墻,對數據庫服務器或數據存儲設備的所有請求和響應進行安全檢查,過濾惡意操作,防止數據受到威脅;
??
◆??網絡邊界保護:在安全域之間部署防火墻,利用防火墻進行訪問控制,限制不同安全域之間的網絡通信,減少安全域風險來源;
??
◆??終端保護:在終端設備上安裝防火墻,利用防火墻阻斷不良網址,防止終端設備受到侵害;
??
◆??網絡安全應急響應:利用防火墻,對惡意攻擊源及網絡通信進行阻斷,過濾惡意流量,防止網絡安全事件影響擴大;
(2)防火墻部署基木方法:
第一步:根據組織或公司的安全策略要求,將網絡劃分成若干安全區域;
? ?
第二步:在安全區域之間設置針對網絡通信的訪問控制點;
? ?
第三步:針對不同訪問控制點的通信業務需求,制定相應的邊界安全策略;
? ?
第四步:依據控制點的邊界安全策略,采用合適的防火墻技術和防范結構;
? ?
第五步:在防火墻上,配置實現對應的網絡安全策略;
? ?
第六步:測試驗證邊界安全策略是否正常執行;
? ?
第七步:運行和維護防火墻;
? ?
? ?
? ?
? ??
??
學習書籍:信息安全工程師教程...?
)
基本操作基礎)
算法求解帶需求不確定性的集成規劃和調度問題)