第五章靜態偵測與防火墻技術網絡信息安全技術6/13/20231本章主要內容第一章概述基本原理 主要類型

主要弱點6/13/20232第五章靜態偵測與防火墻技術第一章概述防御從這一節，我們進入網絡防御的內容網絡防御的目標要有針對性要達到一定的堅固程度對于性能和效率的影響在容忍范圍之內網絡防御的范疇偵測、封鎖、隔離、取證、恢復6/13/20233第五章靜態偵測與防火墻技術第一章概述防御范疇的展開描述偵測：判定攻擊的存在及其有關性質封鎖：阻斷攻擊隔離：事先從靜態結構上切斷可用于攻擊的所有隱通道取證：記錄與攻擊有關的證據恢復：清除攻擊帶來的影響，進入常態6/13/20234第一章概述第五章靜態偵測與防火墻技術靜態偵測和動態偵測以通信參數所滿足的特定條件為依據的偵測，稱為靜態偵測以通信內容所滿足的特定條件為依據的偵測，稱為動態偵測本節主要介紹靜態偵測技術和以靜態偵測結果為依據的網絡封鎖系統——防火墻6/13/20235第五章靜態偵測與防火墻技術墻·城墻·長城原始人的洞穴是人類最初的居所，墻把人類家居的內部和外部區分開來古代的城墻，把地域分割成城的內部和外部。無論是人還是物，要想從外部進入內部或者從內部進入外部，只有穿過城門，接受必要的盤查。不符合通行條件的，就不予放行中國的萬里長城，把地域分割成長城的內部和外部，而長城上的關口則成了通行檢查的場所6/13/20236第五章靜態偵測與防火墻技術防火墻防火墻部署在一個網絡與其他網絡相連接的必經要道上，把網絡世界分割成內部和外部防火墻以靜態的方式偵測進出網絡內部的通信參數，符合條件的通信予以放行，不符合條件的通信予以截斷6/13/20237第五章靜態偵測與防火墻技術數據包過濾“惡意”主機或網段6/13/20238第五章靜態偵測與防火墻技術通信參數與通信內容通信參數是關于本次通信的信息通信內容是本次通信要傳達的信息通信參數一般通過各層協議的包頭來定義和指定，具有相對固定的格式和位置通信內容一般在各層協議的靜荷之中，不具有相對固定的格式和位置6/13/20239第五章靜態偵測與防火墻技術按通信參數的層次分類包過濾型防火墻依據源/目的IP地址，源/目的端口號，協議類型（五元組）對IP包進行偵測和封鎖的防火墻應用網關型防火墻按照用戶ID、目的URL等應用層通信參數對通信協議進行偵測和封鎖的防火墻復合型防火墻同時具有上述二者的功能6/13/202310第五章靜態偵測與防火墻技術防火墻的體系結構屏蔽路由器（ScreeningRouter）雙宿主網關（DualHostGateway）屏蔽主機網關（ScreenedGateway）被屏蔽子網（ScreenedSubnet）6/13/202311第五章靜態偵測與防火墻技術屏蔽路由器屏蔽路由器可以專用硬件實現，也可以用通用主機來實現屏蔽路由器作為內外連接的惟一通道，要求所有的數據包都必須在此通過檢查，按照規則實現包過濾功能許多路由器本身就帶有包過濾配置選項，但一般比較簡單缺點：一旦被攻陷后很難發現，而且不能識別不同的用戶6/13/202312屏蔽路由器外網內網主機第五章靜態偵測與防火墻技術6/13/202313第五章靜態偵測與防火墻技術雙宿主網關雙宿主網關是用一臺裝有兩塊網卡的堡壘主機的做防火墻，兩塊網卡各自與被保護網和外部網相連堡壘主機上運行防火墻系統，可以轉發應用程序，提供服務等與屏蔽路由器相比優點：堡壘主機的系統軟件可用于維護護系統日志、硬件拷貝日志或遠程日志缺點：堡壘主機被控制并使其只具有路由功能，任何網上用戶均可以隨便訪問內部網6/13/202314第五章靜態偵測與防火墻技術雙宿主網關外網內網主機6/13/202315第五章靜態偵測與防火墻技術屏蔽主機網關

一個堡壘主機安裝在內部網絡上，通常在路由器上設立過濾規則，并使這個堡壘主機成為從外部網絡惟一可直接到達的主機，這確保了內部網絡不受未被授權的外部用戶的攻擊優點：易于實現也最為安全危險：主要集中于堡壘主機和屏蔽路由器，如果攻擊者控制堡壘主機系統，其上的訪問控制策略被人為改變或者被廢除，內網中的其余主機就會受到很大威脅6/13/202316第五章靜態偵測與防火墻技術主機屏蔽網關（必經的代理）外網內網被屏蔽主機（禁止直接路由）路由器6/13/202317第五章靜態偵測與防火墻技術被屏蔽子網增加一個把內部網與互聯網隔離的周邊網絡（也稱為非軍事區DMZ），從而進一步實現屏蔽主機的安全性，通過使用周邊網絡隔離堡壘主機能夠削弱外部網絡對堡壘主機的攻擊使用兩個屏蔽路由器，分別位于周邊網與內部網、周邊網與外部網之間攻擊者要攻入這種結構的內部網絡，必須通過兩個路由器，因而不存在危害內部網的單一入口點6/13/202318第五章靜態偵測與防火墻技術子網屏蔽網關（必經的代理）外網被屏蔽子網路由器路由器DMZ（非軍事區）6/13/202319第五章靜態偵測與防火墻技術規則案例1：Web服務器開放80，關閉其他即使被安裝了木馬程序，木馬也不能與外界聯系采用非軍事區6/13/202320第五章靜態偵測與防火墻技術不設防的信息發布網站互聯網6/13/202321第五章靜態偵測與防火墻技術采用非軍事區結構的信息發布網站非軍事區(DMZ)Internet外部路由器內部路由器WWW/代理FTPDNS/SMTP內部DNS/SMTP6/13/202322第五章靜態偵測與防火墻技術規則案例2：開天窗允許個別遠程IP通過防火墻，不允許其他遠程IP通過防火墻支持異地辦公6/13/202323第五章靜態偵測與防火墻技術防火墻開天窗AB6/13/202324第五章靜態偵測與防火墻技術規則案例3：內外有別可以由內向外，不能由外向內內部發起的連接帶回來的外部回應，由于攜帶了“應答位”信息，不受此規則約束6/13/202325第五章靜態偵測與防火墻技術防火墻規則配置的基本準則.一切未被允許的就是禁止的。防火墻應該封鎖所有的信息流，然后對希望提供的服務逐項開放。優點:實用,安全.缺點:可靠性高于易用性..一切未被禁止的就是允許的。防火墻應該轉發所有的信息流，然后逐項屏蔽有害的服務。優點:靈活,缺點安全可靠性不高 6/13/202326第五章靜態偵測與防火墻技術弱點可以繞過防火墻防外不防內對合法性的區分能力弱（僅僅局限于地址、端口等結構特征）本身可能有漏洞操作系統底座的安全性可能不夠6/13/202327第五章靜態偵測與防火墻技術偽裝合法地址繞過防火墻VerIHLService長度包序號標志分段偏移TTL協議CRC源地址（冒充內部主機、信任主機）目的地址選項Pad數據6/13/202328第五章靜態偵測與防火墻技術偽裝信任主機繞過防火墻我是AAB6/13/202329第五章靜態偵測與防火墻技術通過電話撥號繞過防火墻ModemModem6/13/202330第五章靜態偵測與防火墻技術利用防火墻漏洞繞過包過濾檢查過濾規則IP源路由選項6/13/202331第五章靜態偵測與防火墻技術防外不防內內部人員對內部網的主機進行入侵、破壞，根本就不必經過防火墻，因此防火墻派不上什么用場要防內，還需要復雜的身份認證和權限管理措施，這些在本課程的后面章節里會有所涉及6/13/202332第五章靜態偵測與防火墻技術對合法性的區分能力弱包過濾防火墻只能區分地址的不同、端口的不同。偽造合法的源地址進行攻擊，防火墻基本上是束手無策的80端口是最基本的對外服務，一般是應該開放的；但是，有一些攻擊就是利用80端口進行的，這使這類防火墻的角色多少有些尷尬：要么關閉對外服務，要么無法防范這種攻擊！應用網關防火墻雖然在一定程度上對此有所補救，但仍然有大量區分能力上的盲點。偽裝成合法通信來騙過防火墻是不難做到的。6/13/202333第五章靜態偵測與防火墻技術本身可能有漏洞設計得不好的防火墻，自身就存在安全漏洞，特別是上一節講到的緩沖區溢出漏洞特定的數據包流經有漏洞的防火墻，會使它失去作用或取得對它的控制許多防火墻是在一些安全性值得商榷的免費防火墻軟件基礎上改裝的，改裝過程中未能對安全性有所改進甚至有所破壞，這樣的防火墻的安全性實在堪憂一個本來用于安全防范的系統，如果由于自身的漏洞導致安全問題，該是多么大的諷刺啊6/13/202334第五章靜態偵測與防火墻技術操作系統底座未必堅固你的防火墻做得再好，如果放在一個不那么堅固的操作系統底座上，也難免在整體的安全效果上欠佳有些防火墻采用的操作系統是在某個免費操作系統的基礎上改寫的，其安全性很有問題因此，一些對安全性有超出一般要求的應用部門，總是希望防火墻建立在有某種特殊安全保障措施的操作系統底座上，比如說，建立在TCSEC的B1以上級別的操作系統底座上

6/13/202335第五章靜態偵測與防火墻技術攻擊下防火墻的安全性遇到攻擊時，防火墻可能有如下四種表現：未受傷害，能夠繼續正常工作關閉并重新啟動，同時恢復到正常工作狀態關閉并禁止所有的數據通行關閉并允許所有的數據通行顯然，前兩種比較理想，第三種說得過去，最后一種是最糟糕的6/13/202336第五章靜態偵測與防火墻技術防火墻面臨的考驗網絡帶寬越來越大防火墻所處的位置不能繞過，面臨大流量的壓力性能成為制約