透析防火墙技术


image.png



防火墙技术介绍

网络安全概述

随着网络技术的普及,网络***行为出现的越来越频繁。通过各种***软件,只要具有一般计算机知识的初学者也能完成对网络的***。各种网络病毒的泛滥,也加剧了网络被***的危险。目前,Internet网络上常见的安全威胁分为一下几类。

非法使用:

资源被未授权的用户(也可以称为非法用户)或以未授权方式(非法权限)使用。例如:***者通过猜测帐户和密码的组合,从而进入计算机系统以非法使用资源。

拒绝服务:

服务器拒绝合法永福正常访问信息或资源的请求。例如,***者短时间内使用大量数据包或畸形报文向服务器发起连接或请求回应,致使服务器负荷过重而不能处理合法任务。

信息盗窃:

***者不直接***目标系统,而是通过窃听网络来获取重要数据或信息。

数据篡改:

***者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作,而使数据的一致性被破坏。

因此:
  • 网络安全是Internet必须面对的一个实际问题

  • 网络安全是一个综合性的技术

  • 网络安全具有两层含义:

  • 保证内部局域网的安全(不被非法侵入)

  • 保护和外部进行数据交换的安全

  • 网络安全技术需要不断地完善和更新

网络安全关注的范围
网络安全关注点

作为负责网络安全的管理人员主要关注(并不局限于)以下8个方面:
1)保护网络物理线路不会轻易遭受***
2)有效识别合法的和非法的用户(AAA)
3)实现有效的访问控制(ACL)
4)保证内部网络的隐蔽性(NAT)
5)有效的防伪手段,重要的数据重点保护(***)
6)对网络设备、网络拓扑的安全管理(防火墙集中管理)
7)病毒防范(蠕虫病毒智能防范)
8)提高安全防范意识

网络安全设备的分类

为了有效地实现网络安全的目的,致力于网络安全的厂家已经生产了如下安全设备:
1)防火墙
2)***私有安全通道设备
3)IPS/IDS***防御/检测设备
4)防毒墙
5)防水墙
6)UTM统一威胁管理设备(Unified Threat Management
7)应用网管
8)内容过滤
9)垃圾邮件过滤
10)网页过滤
11)网闸
等设备。伴随着网络安全技术的飞跃发展,将会相继有新的网络安全设备问世。

防火墙的必备技术

针对网络存在的各种安全隐患,防火墙必须具有如下安全特性:

1)网络隔离及访问控制:
能够有效防止对外公开的服务器被***用于控制内网的一个跳板。

2)***防范:能够保护网络免受***对服务器、内部网络的***。

3)地址转换:
在解决网络地址不足的前提下实现对外的网络访问,同时能够实现对外隐藏内部网络地址和专用服务器。

4)应用层状态监测:
可以实现单向访问。

5)身份认证:
可以确保资源不会被未授权的用户(也可以称为非法用户)或以授权方式(非法权限)使用。例如,***者通过猜测帐号和密码的组合,进入计算机系统非法使用资源的行为。

6)内容过滤:
能够过滤掉内部网络对非法网站/色情网站的访问,以及阻止通过邮件发送机密文件所造成的泄密行为。

7)安全管理:
主要指日志审计和防火墙的集中管理。

网络隔离与访问控制

防火墙的主要作用是实现网络隔离和访问控制。

防火墙从安全管理的角度出发,一般将设备本身划分为不同的安全区域,通过将端口和网络设备接到不同的区域里,从而达到网络隔离的目的:

1)不受信区域:一般指的是Internet,主要***都来自于这个区域。

2)受信区域:一般指的是内网区域,这个区域是可控的。

3)DMZ区域:放置公共服务器的区域,一般情况下,这个区域接受外部的访问,但不会主动去访问外部资源。

防火墙通常使用ACL访问控制列表、ASPF应用层状态检测包过滤的方法来实现访问控制的目的。

图1-1通过一个实际网络典型案例表示了局域网通过防火墙与互联网的连接,电子邮件服务器接在DMZ区域接受内外部的访问。图中用语言描述了防火墙所实现的网络隔离和访问控制的功能。


image.png

***防范

防火墙主要关注边界安全,因此一般防火墙提供比较丰富的安全***防范的特性:



image.png


1)DOS拒绝服务***防范功能

包括对诸如ICMP Flood、UDP Flood、SYS Flood、分片***等Dos拒绝服务***方式进行检测,丢弃***报文,保护网络内部的主机不受侵害。

2)防止常见网络层***行为

防火墙一般应该支持对IP地址欺骗、WinNuke、Land***、Tear Drop等常见的网络***行为,主动发现丢弃报文。

WinNuke也称为“蓝色炸弹”,它是导致你所与之交流用户的 Windows 操作系统突然的崩溃或终止。“蓝色炸弹”实际上是一个带外传输网络数据包,其中包括操作系统无法处理的信息;这样便会导致操作系统提前崩溃或终止。

land ***是一种使用相同的源和目的主机和端口发送数据包到某台机器的***。结果通常使存在漏洞的机器崩溃。

Tear drop类的***利用UDP包重组时重叠偏移(假设数据包中第二片IP包的偏移量小于第一片结束的位移,而且算上第二片IP包的Data,也未超过第一片的尾部,这就是重叠现象。)的漏洞对系统主机发动拒绝服务***,最终导致主机菪掉。

3)针对畸形报文的防范

通过一些畸形报文,如果超大的ICMP报文,非法的分片报文,TCP标志混乱的报文等,可能会造成比较验证的危害,防火墙应该可以识别出这些报文。

4)针对ICMP重定向、不可达等具有安全隐患的报文应该具有过滤、关闭的能力。

地址转换(NAT)
  • 地址转换是在IP地址日益短缺的情况下提出的。

  • 一个局域网内部有很多台主机,可是不能保证每台主机都拥有合法的IP地址,为了到达所有的内部主机都可以连接Internet网络的目的,可以使用地址转换。

  • 地址转换技术可以有效的隐藏内部局域网中的主机,因此同时是一种有效的网络安全保护技术。

  • 地址转换可以按照用户的需要,在内部局域网内部提供给外部FTP、WWW、Telnet服务。

  • image.png

防火墙同路由器一样,必须具备NAT地址转换功能,因此在NAT的细节上必须具备:

  1. 支持NAT/PAT,支持地址池;

  2. 支持策略NAT,根据不同的策略进行不同的NAT;

  3. 支持NAT server 模式,可以向外映射内部服务器;

  4. 提供端口级别的NAT server 模式,可以将服务器的端口映射为外部的一个端口,不开放服务器的所有端口,增加服务器的安全性。

  5. 支持多种ALG: 包括H323/MGCP/SIP/H248/RTSP/HWCC,还支持ICMP、FTP、DNS、PPTP、NBT、ILS等协议。

应用层状态检测包过滤(ASPF)

aspf(application specific packet filter)是针对应用层的包过滤,即基于状态的报文过滤。它和普通的静态防火墙协同工作,以便于实施内部网络的安全策略。aspf能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿过。

为保护网络安全,基于acl规则的包过滤可以在网络层和传输层检测数据包,防止非法***。aspf能够检测应用层协议的信息,并对应用的流量进行监控。image.png

H3C的SecPath防火墙的ASPF作为改进的状态检测安全技术,支持对多种应用协议进行检测:包括H323/MGCP/SIP/H248/RTSP/HWCC,以及ICMP、FTP、DNS、PPTP、NBT、ILS、HTTP、SMTP等。还支持对HTTP中Activex/JavaAppelt进行过滤

身份验证

随着互联网的不断发展,越来越多的人们开始尝试在线交易。然而病毒、***、网络钓鱼以及网页仿冒诈骗等恶意威胁,给在线交易的安全性带来了极大的挑战。

层出不穷的网络犯罪,引起了人们对网络身份的信任危机,如何证明“我是谁?”及如何防止身份冒用等问题成为人们关注的焦点。

计算机和互联网络世界里,身份认证是一个最基本的要素,也是整个信息安全体系的基础。如何确认访问者的真实身份?如何解决访问者的物理身份和数字身份的一致性问题?如何实现通信过程中信息的安全传输?这是大部分拥有网络的企业一直期望解决的问题。

H3C SecPathf序列防火墙支持Radius服务器认证和本地认证。

认证形式可以为::

  • PPPOE认证:一般用于内网访问外部的控制,需要客户端,认证通过后则可以访问外网

  • L2TP认证:主要用于***应用,外部移动办公用户在接入到内部网络需要经过认证。

内容过滤

互联网的发展促进了信息的共享和交流,为了提高员工的工作效率和信息查询,企业等机构会向员工提供外部http访问的权限。但是互联网上各种信息泛滥,如何有效的保证员工上网,又可以防止不良信息进入内部网络是管理员必须解决的问题。

image.png

H3C SecPath防火墙提供了针对应用协议的访问控制能力,通过独有的ASPF特性,对应用层协议进行分析,实现对应用协议的内容过滤。SecPath防火墙提供的HTTP协议过滤功能提供了对HTTP网址过滤和网页内容过滤,可以有效的管理员工上网的行为,提高工作的效率,节约出口带宽,保障正常的数据流量,屏蔽各种”垃圾“信息,从而保证内部网络的”绿色环境“。

用户可以设置网址过滤需要过滤的网址列表,网址过滤列表可以保存在flash中的网址过滤文件中。网址过滤文件中的过滤列表的格式为:
www.sina.com.cn 、www.sohu.com.cn 、www.google.com

可以制定每条网址是禁止访问还是允许访问,并可以指定在网址过滤列表中没有找到的网址采取何种缺省动作(允许还是禁止),从而为用户提供最大的控制灵活性。

为了防止网页中可执行代码对内部网络造成的潜在威胁,可以指定HTTP检测策略能够过滤掉来自外部网络服务器HTTP报文中的Jave Applets。另外,利用Web内容过滤功能,通过指定过滤网页的文本关键字,可以保证用户指定内容的信息不会进入内部网络。

Web内容过滤文件存放在flash中,用户可以对过滤词汇文件进行管理,包括添加、删除、清楚过滤关键字。关键字过滤支持模糊查找,即允许向过滤关键字文件中添加带 “ * “的关键字。

Web内容过滤文件的格式为:暴力、赌博 。

利用http 协议过滤功能,可以营造企业、政府机构内部网络的安全、绿色的上网环境。

安全管理

这里讲述的安全管理指的是安全过程中的日志管理与审计,借助日志发现和跟踪不安全的行为,根据日志的痕迹对不安全的行为进行更正。

image.png主要对以下日志内容进行审计:

NAT/ASPF 日志、***防范日志、流浪监控日志、黑名单日志、地址绑定日志、邮件过滤日志和网址/内容过滤日志

日志格式可以分为:
Syslog(系统日志)文本形式日志(可读性较强)和二进制日志。