1 / 42

題目 : 防火牆架構與設定

題目 : 防火牆架構與設定. 組員 : 林祐竹、廖辛偉. 單元 1 : 防火牆功能與政策. 防火牆的功能趨勢. • 封包過濾為防火牆系統最主要的功能,透過封包 篩選可以有效的控管組織單位對內及對外流量, 並確保組織單位網路的安全性。 • 近年來駭客大量採用混合型攻擊,讓傳統的防禦 技術逐漸捉襟見肘。 • 市場上資安防禦系統,為因應混合攻擊而出現越 來越多強調“ All-in-One” 的設備產品,或者整合 式威脅控管 (Unified Threat Management, UTM) 的 產品。 • 傳統防火牆整合其它防護機制 ( 入侵偵測、內容過

yachi
Download Presentation

題目 : 防火牆架構與設定

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 題目:防火牆架構與設定 組員:林祐竹、廖辛偉

  2. 單元1: • 防火牆功能與政策

  3. 防火牆的功能趨勢 • • 封包過濾為防火牆系統最主要的功能,透過封包 • 篩選可以有效的控管組織單位對內及對外流量, • 並確保組織單位網路的安全性。 • • 近年來駭客大量採用混合型攻擊,讓傳統的防禦 • 技術逐漸捉襟見肘。 • • 市場上資安防禦系統,為因應混合攻擊而出現越 • 來越多強調“All-in-One” 的設備產品,或者整合 • 式威脅控管(Unified Threat Management, UTM)的 • 產品。 • • 傳統防火牆整合其它防護機制(入侵偵測、內容過 • 濾、防毒、VPN、… )將形成一種主流趨勢。

  4. 防火牆的功能

  5. 現代防火牆的建構要項 • 安全政策(Security Policy) • 封包過濾(Packet Filter) • 使用者身分驗證機制(Authentication) • 流量記錄、監控與報表功能(Logging , Monitor ,Report) • 網路位址轉換(NAT) • 發佈內部伺服器(Server Publish) • 整合其它防禦服務(IDS、VPN)

  6. 安全政策 • 安全政策是一份用來陳述如何保護資訊資產的文件,並說明公司內部資訊安全環境中每個人應扮演什麼樣的角色與職責。 • 安全政策定義資訊環境下什麼行為是允許,什麼行為是不被允許的。

  7. 安全政策一般內涵 安全政策 政策目的 適用範圍 法令及標準依據 違反處置 修訂原則 其它⋯⋯⋯

  8. 防火牆安全政策 • ◆ 防火牆政策亦定義了組織單位如何使用防火牆來保護組織單位的資訊資產。 • ◆ 防火牆政策制定了組織單位存取網路服務以及流量進出的原則。 • ◆ 防火牆政策說明誰(who)可以如何(how) 存取那些(what)網路服務與資源。 防火牆政策並非一成不變,必須定期檢視其適用性

  9. 預設的安全性政策 • 二種預設的安全性政策: – 內定值是“拒絕”(Deny by Default): • 沒有許可就是拒絕 • 一種“正面表列”的政策 • 所有封包通通擋掉,要放行的必須訂過濾規則 • 較安全的策略 – 內定值是“允許”(Allow by Default): • 沒有禁止就是允許 • 一種“負面表列”的政策 • 所有封包通通放行,要擋掉的才訂過濾規則。 • 較不安全的策略

  10. 單元2: • 防火牆基本設定

  11. 防火牆基本設定(1/2) • 存取規則(Access Rules) – 依據防火牆安全性政策建立適當的存取控 制規則來控管網路流量的進出。 • 身分識別(Authentication) – 防火牆必需提供有效的身分驗證,作為服務授權的參考、以及控管使用權限和確認責任歸屬的基礎。

  12. 防火牆基本設定(2/2) • 記錄、警示與監控(Logging、Alert and Monitor) – 防火牆應該能詳細記錄網路流通的狀況,並記錄安全性相關事件,以供系統管理者安全性分析及查核之用。 • 位址轉譯、虛擬伺服器(NAT、Virtual Server) – 大部份防火牆均可以提供位址轉譯協定,以支援私自指定的IP位址連接存取網際網路,亦可以建立虛擬伺服器來提供網際網路服務。

  13. 單元2:防火牆基本設定 • 設定封包過濾

  14. 封包過濾功能與方式 • 建立存取規則最常見的技術為封包過濾 • 基本過濾方式 – 利用通訊協定來篩選封包 – 利用IP位址來篩選封包 – 利用TCP/UDP連接埠來篩選封包 – 利用ICMP TYPE與CODE來篩選封包 • 進階過濾方式 – 利用TCP旗標來篩選封包 (URG/ACK/PSH/RST/SYN/FIN) – 利用IP封包分割重組相關欄位來篩選封包 – 利用IP Options來篩選封包

  15. 基本封包過濾(Packet Filter)方式

  16. 設定封包過濾規則的內容 • 傳送來源(IP位址、連接埠) • 傳送目的(IP位址、連接埠) • 協定(TCP、UDP、ICMP) • 方向(Inbound、Outbound、Both) • 動作(Allow,Deny)

  17. 封包過濾(Packet Filtering)

  18. 建立防火牆存取規則指引 • 建議採用預設拒絕所有流量的政策原則。 • 規則越簡單和越少越好。 • 留意規則順序 – 大部份防火牆由第一條規則往下搜尋到最先符合而適用的規則。 – 將較頻繁使用到的規則放在前頭。 • 建立的每條規則均需完整測試。

  19. Windows 防火牆範例

  20. 1. 請點選 「區域連線」,按下滑鼠右鍵,點選「內容」,如圖一。 Windows XP內建防火牆 1/3

  21. 2. 請選擇 「進階」頁籤,按下設定鍵即可進入Windows防火牆設定視窗,如圖二。 Windows XP內建防火牆 2/3

  22. 3. 進入Windows防火牆設定視窗後,請選擇「進階」頁籤,在按下設定鍵,如圖三,即進入Windows防火牆的「進階設定」選項,如圖四。 Windows XP內建防火牆 3/3

  23. 單元2:防火牆基本設定 • 紀錄與警示功能

  24. 防火牆的記錄功能 • 大部份防火牆系統需要記錄: – 防火牆本身運作狀況 – 流量的進出行為 • 記錄的目的: – 了解防火牆本身是否正常而持續的運作 – 提供重要的稽核機制以確認防火牆上已設定正確而適當的安全性規則 – 協助發現入侵和違規偵測

  25. 設定防火牆記錄的考量 • 設定需要記錄的項目 • 本機記錄或遠端記錄 • 選擇記錄格式 • 是否加密 • 結合報表功能

  26. 設定需要記錄的項目 • 進出的流量 – 以每一個過濾規則為基礎設定記錄或不予記錄 – 允許或拒絕通過的封包 • 防火牆本身組態的變更 – 變更、停用和刪除安全性規則 – 變更管理員密碼 – 重新啟動防火牆

  27. 設定防火牆記錄的位置 • 本機或遠端記錄 – 儲存本機 – 儲存至SYSLog Server – 支援SNMP Trap • 建議: – 防火牆系統應該將系統的稽核紀錄傳送至一個 遠端系統以集中稽核彙整(例如透過syslog方式) 以便獲得較佳的容錯及持續維護效果。

  28. 進階防火牆的記錄考量 • 有些防火牆支援了進階的記錄方式: – 選擇記錄格式 • 文字格式: 或其它 • 資料庫:適合長期的趨勢追蹤、分析與 預測 – 是否加密儲存以保護記錄檔 – 結合報表功能

  29. 設定防火牆警示功能 • 一旦發生重大事件應使用警示機制來通知管理員。 • 設定需要警示的事件 – 失敗的登入企圖 – 停用或移除過濾規則 – 系統運作異常事件(系統重新啟動、記錄檔滿了、磁碟記憶體不足) • 設定警示方式 – 記錄 – 送電子郵件給管理員 – 送出訊息通知 – 執行特定的動作

  30. 單元3: • 防火牆進階級整合設定

  31. 設定防火牆的整合性功能 • 內容過濾(Content Filter) • 虛擬私人網路(VPN) • 阻絕服務的偵測與防禦

  32. 內容過濾(Content Filter) • 許多網路攻擊是利用特定應用程式指令、惡意程式等應用層協定的弱點來進行入侵破壞或竊取,單純的封包過濾並無法有效的攔阻此種攻擊。 • 內容過濾提供網路流量的應用層檢視,可以避免有傷害或惡意企圖的內容進入或送至網路。 • 整合防毒引擎可以有效阻擋惡意程式 • 內容過濾可以解決員工生產力下降及浪費網路頻寬等管理問題。 • 加強防火牆防護能力

  33. 內容過濾(Application Content Filter)

  34. 重要的內容過濾器 • HTTP內容過濾(Web Content Filter) • 電子郵件過濾(Email Filter)

  35. HTTP內容過濾 • 限制存取的網站目標 – 利用關鍵字(Keyword)或URL名單封鎖連上某個URL。 • HTTP內容的過濾方法: – 限制特定的網頁檔案延伸名稱或MIME type – HTTP的命令:GET、POST、HEAD、PUT等 – 限制下載使用Java Applet 、Active 控制項、ActiveScripting、Cookies、Popup等網頁元件或內容。 • 整合防毒引擎

  36. 電子郵件的內容過濾 • 捨棄假造來源地址的信件 • 限制特定的來源郵件位址或網域(阻擋垃圾信件) • 根據附件(Attachment)的特性設限,避免惡意程式 • 禁止某些SMTP命令及設定命令可接受的長度(例如VRFY EXPN) • 限制傳送信件的大小 • 消除內部信件傳遞路徑資訊,避免內部主機暴露給外界(Masquerading) • 限制E-mail轉送(Relay)功能 • 整合防毒引擎

  37. 單元4: • 防火牆的測試與維護管理

  38. 防火牆測試技術 • 清單檢視(Checklist) – 利用預先設計好的檢查清單一一比對防火牆組態以檢查是否有不符合清單的設定項目。 • 連接埠掃瞄(Port scan) – 佈署連接埠掃瞄工具進行網路的掃瞄及探索以確認 防火牆的篩選過濾組態符合預期的規劃。 • 滲透測試(Penetrate Test) – 實際使用駭客工具並模擬駭客行為來進行入侵穿透行為,以確認防火牆是否可以阻止駭客的各項攻擊。

  39. 防火牆的維護與管理 • 嚴格管制唯有經過授權的人員可以執行防火牆的管理工作。 • 禁止或採用安全的防火牆遠端管理方式。 • 定期檢視與調整防火牆政策與規則。 • 定期完整的備份防火牆的規則、設定組態。 • 定期或必要時檢視防火牆日誌記錄與報表,並作回應處理。 • 防火牆維持最新的狀況。

  40. 防火牆建構實務建議 • 建構防火牆系統最重要的步驟,就是建立適合的安全性政策與規則,而安全性規則強制落實了安全性政策,建議原則為: – 規則簡單明確(Keep It Simple and concise) • 太複雜的規則設定易造成錯誤、管理不易並產生安全性漏洞,因此成功又安全性的防火牆關鍵在於簡單的規則,所以應讓防火牆的設定及配置盡可能的簡單化。 – 最低權限授予原則(Least privilege) • 通常只允許使用者為了完成其被指派的工作所需要使用的流量即 可。 – 防禦縱深(Defense in depth) • 採用多層式的防火牆架構與規則。 – 最少資訊(Minimal information) • 儘量免將組織單位組織網路組態及防火牆有關的資訊暴露出來。

  41. 防火牆的安全度 • 組織單位連接網際網路, 即使架設防火牆不見得就可以確保安全, 但是若不採用防火牆或過濾機制就絕對不安全。 • 防火牆的安全性取決於: – 組織的安全政策 – 防火牆的正確設定 – 防火牆的架構設計 – 防火牆的功能性

  42. 參考資料 • http://dsa.dsc.com.tw/class/fire_wall/firewall_class1.asp • http://www.netfos.com.tw/reprint/fortinet.htm • http://eservice.seed.net.tw/class/class39.html

More Related