1 / 94

網路防火牆

網路防火牆. 什麼是網路防火牆 網路防火牆功能與原理 網路防火牆建置與維護. 授權系統. 虛擬私人網路. 防毒. 風險評估. PKI. 加密系統. 網路防火牆. 內容保護. 入侵偵測. 網路防火牆的在網路安全角色. 網路安全. 存取安全. 通訊安全. 內容安全. 安全管理. 狹義的網路防火牆. 在一個受保護的 企業內部網路 與 網際網路 間, 用來強制執行企業保全政策的一個或一組系統 . 目的: 謹慎的在一個控制 點上限制人 們進出 網路 防止攻擊者接近 防禦物. 網際網路. 企業內部網路. Who Where When

leda
Download Presentation

網路防火牆

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 網路防火牆 • 什麼是網路防火牆 • 網路防火牆功能與原理 • 網路防火牆建置與維護

  2. 授權系統 虛擬私人網路 防毒 風險評估 PKI 加密系統 網路防火牆 內容保護 入侵偵測 網路防火牆的在網路安全角色 網路安全 存取安全 通訊安全 內容安全 安全管理

  3. 狹義的網路防火牆 • 在一個受保護的企業內部網路與網際網路間, 用來強制執行企業保全政策的一個或一組系統. • 目的: • 謹慎的在一個控制 點上限制人們進出 網路 • 防止攻擊者接近 防禦物 網際網路 企業內部網路 Who Where When What 網路防火牆 Who Where When What

  4. 廣義的網路防火牆 • 在一個受保護的網路(或單機)與其它網路間, 用來強制執行企業保全政策的一個或一組系統. • 目的: • 謹慎的在一個控制 點上監控進出的網 路交通,整合存取 控管、內容過濾、 加密、流量管理等 功能。 其它網路 受保護網路 網路防火牆

  5. 封包過濾 代理系統 使用者認證 網路位址轉換 虛擬私人網路 防範網路攻擊 存錄與預警 管理工具 頻寬管理 高可用性與負載平衡 Firewall 功能與原理

  6. Application應用程式代理及過濾技術 Transport Network Firewall PF 動態封包過濾技術 Data Link Hardware Packet Filtering • 監控TCP/IP網路封包的行為 • 建置於通訊協定的二、三層間,對於應用程式完全透通 • 建置於系統核心(Kernel) • Hooking mechanisms: • Windows: NDIS Driver • Linux: Function table • Solaris: Stream

  7. Criteria of Packet Filtering • 靜態封包檢視的資訊 • 來源IP、來源埠、目的IP、目的埠 • 動態封包檢視的資訊 • Sequence number • Acknowledgement number • SYN/RST/FIN… • Virtual connection • FTP Command

  8. FTP Active Mode Connection

  9. FTP Passive Mode Connection

  10. UDP/ICMP之虛擬連線 • UDP/ICMP是非連線(connection-less)的協定 • 虛擬的連線(virtual-connection) • 對於同一組“來源IP、來源埠、目的IP、目的埠”的封包,視為同一個虛擬連線。

  11. 真正的伺服器 外部主機 proxy 客戶端 Proxy 示意圖 proxy 客戶端 Internet 外部 PC Dual- homed Host proxy 伺服器 防火牆 企業內部網路 真正的伺服器 內部主機

  12. Proxy之功用 • 內外網路阻隔 • Application Filtering • User Authentication • Detail Logging

  13. Application Filtering (1) • 檔案傳輸( FTP)的限制 • 設定Read / Write權限 • 設定可傳輸的檔名 • FTP Virus Check • HTTP的限制 • 設定可否使用FTP、HTTP 、GOPHER等權限 • 設定HTML內容可否含有GET、POST、HEAD、PUT等 • 使用Wildcard(*)設定URL Location的內容 • Java Applet, Java Script與ActiveX Blocking • Anti-X不當網站瀏覽過濾 • HTTP Virus Check

  14. Application Filtering (2) • 信件(SMTP)的限制 • 捨棄假來源地址的信件 • 可設定傳送信件的大小 • 可消除內部信件傳遞路徑資訊,避免內部主機暴露給外界 • 提供E-mail位址轉換功能 • SMTP Virus Check

  15. Proxy缺點 • 反應較慢 • 不同的服務可能需要不同的Proxy

  16. Transparent v.s. Non_Transparent Proxy • Transparent: 靠Firewall Redirect過往的網路封包來達成 • 封包必須經過Firewall • Non_transparent: 必須修改客戶端程式或改變使用者程序

  17. Anti-Virus and Fierwall 真正的伺服器 外部主機 proxy 客戶端 proxy 客戶端 Internet Dual- homed Host proxy 伺服器 防火牆 2 企業內部網路 1 2 1 Virus scanning proxy server case 1:transparenet case 2:non-transparent

  18. User Authentication • 以使用者的角度來做安全控管(Mobile users, DHCP clients) • 允許從外部網路使用內部網路服務 • 選擇適當之認證機制 • 設定使用者權限

  19. 使用者認證機制 • 使用者帳號系統 • Firewall獨立帳號 • 結合作業系統帳號 • 結合RADIUS Authentication Server • 結合LDAP Server • 密碼機制 • 傳統密碼 • One Time Password • S/Key: sequence number • Smart Card: time synchronization

  20. S/Key One Time Password • One Way Hash Function MD5 y=F(x), 已知y, 反求x很難 • s=F(password, seed) p0=Fn(s) p1=Fn-1(s) … pi=Fn-i(s) • Server儲存每個user之seed,上一次之OTP, 上一次之sequence • Challenge - Response • Verify: F(pi)=F(Fn-i(s))=Fn-(i-1)(s) == Pi-1

  21. MD5 Challenge Supplicant Authentication Server Challenge Text MD5 (Password + Challenge Text) Accept / Reject

  22. 使用者權限 • 可使用之來源主機 • 可使用之目的主機 • 可使用之網路服務 • 可使用時段 • 可否同時多次登入 • 單次連線時間

  23. Network Address Translation • 隱藏所保護之子網路 • 減少所必須申請之IP位址數目 • 使內部使用的位址不必隨著所申請之ISP異動而改變

  24. NAT的模式 • 一對一模式 • 單純的IP位址轉換,可雙向要求連線 • 多對一模式 • 只允許單向要求連線

  25. Src IP A Dst IP X Src Port aaa Dst Port xxx Data…. Firewall Src IP A’ Dst IP Y Src Port aaa Dst Port xxx Data…. Src IP Y Dst IP A’ Src Port xxx Dst Port aaa Data…. Firewall Src IP X Dst IP A Src Port xxx Dst Port aaa Data…. NAT技術 - 1 • 1-1 NAT: A->A’, [X-Y]

  26. Src IP A Dst IP X Src Port aaa Dst Port xxx Data…. Firewall Src IP fw Dst IP Y Src Port uuu Dst Port xxx Data…. Src IP Y Dst IP fw Src Port xxx Dst Port uuu Data…. Firewall Src IP X Dst IP A Src Port xxx Dst Port aaa Data…. NAT技術 - 2 • m-1 NAT: A, B, C…->fw, [X->Y] uuu is incrementally unique house keep the connection

  27. NAT的限制 • 不適合於內容含IP位址的應用程式 • Firewall必須對FTP、H.323等服務額外處理 • 對於一對一的NAT必須設定Static Routing或設計ARP Proxy • 設定內部與外部DNS

  28. NAT configuration – case 1ARP proxy Set ARP Proxy: MACs of 192.72.155.2 and 19.7.155.3 are AMC of external interface of Firewall 10.10.1.1 192.72.155.62 192.72.155.0/255.255.255.192 DMZ 192.72.155.1 192.168.200.1 Intranet Firewall Mail Server Web Server =>192.72.155.2 192.168.200.254 192.168.100.254 192.168.100.0/255.255.255.0 192.168.200.0/255.255.255.0 =>192.72.155.1 Data Base 192.168.200.2 =>192.72.155.3

  29. NAT configuration– case 2static routing Add Static route: dst net: 192.72.155.32/255.255.255.224 gateway: 192.72.155.1 10.10.1.1 192.72.155.30 192.72.155.0/255.255.255.224 DMZ 192.72.155.1 192.168.200.1 Intranet Firewall Mail Server Web Server =>192.72.155.33 192.168.200.254 192.168.100.254 192.168.100.0/255.255.255.0 192.168.200.0/255.255.255.0 =>192.72.155.1 192.72.155.32/255.255.255.224 Data Base 192.168.200.2 =>192.72.155.34

  30. Client-to-Lan VPN Lan-To-Lan VPN 密 密 VPN 網路 Internet Users Mobile Users 分公司或協力廠商 VPN Gateway 分公司或協力廠商 INTERNET WWW Server Router Unsecured net DMZ Hacker VPN Gateway Secured Net

  31. 防範部份的網路攻擊 • 阻絕網路層的攻擊 • Ping Of Death, Source Routing, Tiny Fragment, Port Scanning, Land Attack, Teardrop, Out Of Band • 利用Packet Filtering Rules, Anti-Spoofing Rules防止網站成為DDOS的第三者(Agent)利用Smurf、SYN Flooding等DOS攻擊手段攻擊其他網站 • 攻擊追蹤 • 與即時入侵偵測系統(IDS)的整合或引發相關安全規則的修正

  32. 網路層的攻擊 (1) • Ping o’ Death Attack • Send ping (ICMP) packets larger than 64K. • Source Routing Attack • The source station specifies the route that a packet should take as it crosses the Internet. • Tiny Fragment Attack • Use the IP fragmentation to create extremely small fragments and force the TCP header information into a separate packet fragment. • Port Scanning Attack • Try different ports of the same destination address.

  33. 網路層的攻擊 (2) • Land Attack • Send a packet to a machine with the source host/port the same as the destination host/port. • Teardrop Attack • Packet fragments are deliberately fabricated with overlapping offset fields causing the host to hang or crash when it tries to reassemble them. • Out Of Band Attack • Makes TCP connection with port, 139, and then transmits data over the connection using a tag called MSG_OOB which tells Winsock to send Out of Band data.

  34. 網路層的攻擊 (3) • Smurf Attack • Send ICMP echo request packets to an Internet broadcast address. • SYN Flooding Attack • Send a high volume of TCP SYN packets without responding to the server’s acknowledgements (SYN ACK ).

  35. 記錄與預警 • 各種層次的記錄 • 預警方式 • Console • E-Mail • Pager • SNMP Trap • User Defined Program

  36. 網路防火牆管理工具 • 組態設定工具 • 網路即時監控 • 網路封包分析

  37. 頻寬管理 T1 其他 10% 50 ACK Control 10% 30% Outbound 各部 總經 EC % 10% Traffic 門 理室 交易 其 他 20 20% I % 上網 T1 Phone 其他 Inbund 10% Gateway traffic 10% 30% 50% 各部 總經 EC 10% E 2 門 理室 交易 E 1 Ethernet 其他 E 3 20% 20% I Phone 上網 Load Balancing EC Server EC Server S2 S1

  38. 頻寬管理的功能 • 分配頻寬(輸出頻寬的控制) • 比重 • 上限 • 保證頻寬(控制應用程式的延遲時間)

  39. 頻寬管理實例(一)

  40. 頻寬管理實例(二)

  41. 頻寬管理產品的使用 • 頻寬政策 • 產品的差異 • 與其它產品的整合 • 頻寬決策的設定 • 使用的技術 • 測試

  42. 高可用性與負載平衡 • 高可用性 and/or 負載平衡 • 轉換時間 • 擴充性 • 熱維護 • 軟體式的負載分配

  43. 高可用性與負載平衡實例 來源: /www.sysware.com.tw/ 來源: www.firewall.com.tw/

  44. 選擇網路防火牆解決方案的考量因素 • 使用性 • 功能性 • 互通性與整合性 • 對使用者的透通性 • 廠商支援能力 • 產品在安全上的相對強度 • 成本

  45. 防火牆產品與廠商 • Firewall-1 • 軟體Firewall廠商 Check Point www.checkpoint.com • PIX • 硬體Firewall廠商Cisco www.cisco.com • SecureZone, SideWinder • 軟體Firewall廠商Secure Computing www.securecomputing.com • CyberGuard • 系統Firewall廠商 CyberGuard www.cyberguard.com • WatchGuard • 硬體Firewall廠商WatchGuard www.watchgueard.com • NetScreen • 硬體Firewall廠商NetScreen Technologies www.netscreen.com/ • WebGuard • 軟體Firewall廠商Gennet www.gennet.com.tw/

  46. Firewall的建置與維護 • Firewall的結構 • 設定Internet服務 • 保全政策 • 防火牆的維護 • 保全危機事件處理

  47. Firewall結構 • 雙介面主機(Dual-Homed Host)結構 • 屏蔽式主機(Screened Host)結構 • 屏蔽式子網路(Screened Subnet)結構 • 混合式屏蔽子網路(Hybrid Screened Subnet)結構

  48. 雙介面主機結構(Dual-Homed Host) Internet 兩片網路卡 Dual- homed Host 防火牆 企業內部網路

  49. Internet 屏蔽式主機結構(Screened Host) 防火牆 Screening Router 企業內部網路 防禦主機 內部主機

  50. 防禦主機 • Internet 中對外的第一道門戶 • 要有被攻擊的心理準備 • 最需要加強防護的主機 • 所提供的服務越簡單越好

More Related