防火墙和入侵防御系统
1、防火墙的的必要性
- 与Internet连接已经不再是可有可无,外部世界接触到本地网络资源并对其产生影响,将对机构产生威胁。
- 防火墙
- 作为基于主机的安全服务的一种补充,设置在驻地网和Internet之间,以建立二者间的可控链路。
- 可以是单机系统,也可以是协作完成防火墙功能的两个或更多系统。
- 创建了一个附加的防御层,提供一个能加强安全和审计的遏制点,将内部系统和外部网络隔离开来。
2、防火墙的特征和访问策略
-
特征(即设计目标)
- (1)所有从内部到外部的网络流量都必须通过防火墙,反之亦然;
- (2)只有经过授权的网络流量,例如符合本地安全策略定义的流量,防火墙才允许其通过;
- (3)防火墙本身不能被渗透。
-
访问策略
- 是规划和实施过程的过程的关键部分,有企业相关部门指定
- 过滤流量的防火墙访问策略的特征
- IP地址和协议值
- 应用层协议
- 用户身份
- 网络活动
-
功能与局限
- 功能:定义一个遏制点;提供了监视安全相关事件的场所;可以为多种与安全不相关的Internet功能实现提供便利平台;可以作为IPSec的平台。
- 局限:不能阻止那些绕开防火墙的攻击;不能完全防止内部威胁;安全设置不当的无线局域网可能允许来自公司外部访问;笔记本电脑、PDA或便携式存储设备可能在企业网以外的地方使用时被感染了之后被连接到内部网络使用。
3、防火墙的类型
-
包过滤防火墙
- 定义:根据一组规则来检查每个接收和发送的IP包,然后决定转发或丢弃此包。防火墙一般配置成双向过滤
- 过滤规则包含信息:源IP地址、目的IP地址、源和目的端传输层地址、IP协议域、接口。
- 默认策略:丢弃或转发
- 优缺点
- 简单,其对用户是透明的且具有很快的处理速度。(唯一的优点)
- 不检查更高层的数据,不能阻止利用了特定应用的漏洞或功能所进行的攻击;
- 可利用的信息有限,日志记录功能也有限;
- 不支持高级的用户认证机制;
- 对利用TCP/IP规范和协议栈存在的问题进行的攻击没有很好的应对措施,如网络层地址欺骗攻击;
- 根据几个变量进行访问控制决策,不恰当的设置会引起安全性受到
威胁。
- 可能的攻击方式和应对措施
- IP地址欺骗攻击:(特点)使用外部端口和内部IP地址,(措施)丢弃此类数据包,也适于路由器的配置。
- 源路由攻击:(特点)为数据包指定路由以绕过不分析源路由信息的安全措施,(措施)丢弃所有选择了此选项的数据包。
- 细小分段攻击:(特点)利用分段选项产生特别小的数据分段,强制将TCP头信息装入分散分段,以绕过基于TCP头信息的过滤规则,(措施)包的第一个分段必须包含最少预定传输头,若被否决则记住之并丢弃所有后续包。
-
状态检测防火墙
- 定义:
- 通过建立一个出站(outbound)TCP连接目录来强制执行TCP流量的规则。
- 每个当前建立的TCP连接都有一个条目;只有当数据包符合这个目录中的某项时,包过滤器才允许那些到达高端口号的入站流量通过。
- 区别:
- 还会记录TCP连接信息
- 如:一些状态检测防火墙还跟踪TCP包的序号
- 如:一些状态检测防火墙甚至限制了一些众所周知的协议
- 定义:
-
应用级网关
- 定义:
- 起到应用级流量中继器的作用;用户使用TCP/IP应用程序(如Telnet或FTP)连接到网关
- 区别:
- 相比包过滤器往往更安全。只需审查几个合法的应用程序,不用处理TCP/IP级允许/禁止多种可能组合;
- 缺点:是带来了对每条连接的额外处理开销,网关是双向流量的接合点。
- 定义:
-
电路级网关
- 定义:
- 也称为电路级代理,可能是单机系统或应用级网关为特定应用程序执行的专门功能。(与应用级网关类似,不允许端到端TCP连接)
- 典型应用:系统管理员信任系统内部用户的情况,可设置为支持两种连接。
- 支持应用级服务或代理服务的入站连接(检查入站应用程序是否有禁止功能带来额外开销);
- 电路级功能的出站连接(无开销)。
- 定义:
4、防火墙的布局
-
堡垒主机
- 定义:被防火墙管理员称为网络安全中极强的端系统,可以作为应用级或电路级网关平台,也可以支持其他服务(如IPSec等)
- 共同特征:运行操作系统的安全版本,仅提供基本服务;用户可能需要附加认证才能访问代理或主机;限制功能,只支持标准应用命令集的子集
-
基于主机的防火墙
- 用于保障个人主机安全的软件模块,在许多操作系统中自带或附件形式提供;能够过滤和限制数据包流;通常位于服务器或工作站。
- 优点:
- 过滤规则可以根据主机环境定制;
- 保护功能独立于网络的拓扑结构;
- 应用于单机防火墙之间的联合处,提供了一个额外的保护层。
-
网络设备防火墙
- 通常在网络设备(路由器、交换机)中监视和过滤数据包流,提供防火墙功能,尤其是数据包过滤和状态检测功能。
-
虚拟防火墙
- 使用的是物理设备的虚拟版本;
- 或管理虚拟机环境的管理程序。
-
个人防火墙
- 个人电脑的软件模块或集成到路由器上,控制个人电脑/工作站与Internet/企业网络之间的网络流量
- 功能:拒绝对本机的非法远程访问;监控出站活动以试图检测和阻断蠕虫或其他恶意软件的行为。
5、防火墙的部署和配置
-
DMZ网络
- 外部防火墙,提供符合DMZ系统需要并保证外部连通性的访问控制和保护措施,还为其他部分提供基本安全保护;
- 内部防火墙,一个或多个,增加了更严格的过滤能力,提供双重保护功能,多重内部防火墙同理。
- DMZ网络,两种防火墙之间,一个或更多设备,系统需要或本身具有外部连通性(企业网站、邮件服务器、DNS服务器等)。
-
虚拟专用网络
- VPN , 依 靠 相 对不安全的网络相互连接,利用加密技术和特殊协议来提供安全性。
-
分布式防火墙
- 独立防火墙,内部防火墙和外部防火墙
- 基于主机的防火墙,驻留主机的防火墙(服务器、工作站),个人防火墙(本地、远程用户系统)。
- 安全监控:日志统计和分析、防火墙统计、细粒度单个主机的远程监控。
-
防火墙部署和拓扑结构小结
6、入侵防御系统
-
基于主机的IPS
- 基于主机的IPS(HIPS)能够使用特征/启发式检测或异常检测来识别攻击,也可以使用沙箱分析方法。HIPS能够为特定的平台进行适当的定制。
- HIPS涉及的恶意行为:对系统资源的修改;提权攻击;缓冲区溢出攻击;访问电子邮件通信录;目录遍历
- HIPS的角色:企业中断成为主要攻击目标之一;试图由单一产品提供集成的功能组
-
基于网络的IPS
- 是一个具有修改或丢弃数据包和断开TCP连接权限的内嵌 NIDS也使用特征/启发式检测或异常检测技术。
- 提供流数据的保护,要求对一个数据包序列中的应用净荷进行重组,一旦发现可疑数据流其后续所有数据包被丢弃。
- 识别恶意数据包:模式匹配;状态匹配;协议异常;传输异常;统计异常
-
分布式或混合式的IPS
- 收集大量基于主机和基于网络的传感器数据,将其传送到中央处理系统对其关联分析,并更新特征和行为模式,使所有协作系统可以防范和对抗恶意行为。
- 最著名的系统:数字免疫系统
-
Snort Inline