Lição 5 Firewall
uFirewall pode realizar o isolamento na camada de link, camada de rede e camada de aplicativo. Pode ser baseado em física e lógica (firewalls podem ser usados entre domínios de segurança onde a rede interna está bloqueada).
O firewall é um dispositivo de defesa passivo. Estratégia predefinida.
Função uFirewall : barreira de segurança de rede; filtragem de serviços inseguros (conformidade insegura fornecida internamente e acesso interno a serviços externos inseguros); bloqueio de ataques de rede específicos (tecnologia de ligação, firewall e outros equipamentos de segurança de rede (como IDS)) Faça efeito em conjunto para fazer alguns iniciativa); implantar mecanismo de NAT ; monitorar a segurança da rede e aviso prévio.
Função NAT : ocultar a estrutura topológica interna; salvar endereços IP ; reduzir entradas da tabela de roteamento. Um firewall é um bom lugar para implantar o NAT .
Classificação uFirewall
1. Firewall pessoal : é instalado no sistema operacional e é usado principalmente entre a máquina e outros hosts. Não entre rede e rede. É também um firewall de software.
2. Firewall de software: tem funções mais fortes do que o firewall pessoal. Firewall da Internet. A Check Point 's FireWall-1.
3 , firewall de hardware geral: A arquitetura do PC (modificar o kernel, host embutido), função do que o todo, desempenho em geral.
Teste o firewall e avalie os parâmetros básicos da rede
4. Firewall de hardware puro: Existem chips dedicados, como chips ASCI , tecnologia NP (doméstica), que lidam com a estratégia central dos firewalls. Alto desempenho, com alto número de conexões simultâneas e throughput.
5. Firewall distribuído: nova arquitetura.
u Limitações do firewall: reduzir a abertura e flexibilidade dos serviços de rede; enfraquecer as funções da rede (anexar vários agentes de serviços de informação (software) ao firewall aumenta a sobrecarga de gerenciamento da rede e diminui a taxa de transmissão de informações); Os ataques que contornam o firewall não podem ser blindado; o firewall impede o externo, mas o interno , e não pode resolver o ataque da rede interna;
A arquitetura uFirewall (determinando a função, desempenho e escopo de uso do firewall) oferece diferentes níveis de segurança a custos diferentes.
1. Filtragem e roteamento de pacotes: pode ser implementado por roteadores ou hosts, permitindo que hosts internos se comuniquem diretamente com a Internet . Instale o software de filtragem de pacotes com base na camada IP do roteador de filtragem de pacotes.
Distribuição de risco: roteadores, todos os hosts na rede protegida e vários tipos de serviços que podem ser acessados
Excelente: simples e fácil de instalar; falta: realizado em uma única máquina, é o gargalo da rede, sem autenticação de usuário, sem log (não é possível distinguir entre usuários diferentes usando o mesmo endereço IP )
2. Host duplo
Não use regras de filtragem de pacotes, interna - externa, precisa de autenticação proxy (host duplo), com placas de rede duplas, colocadas entre a rede protegida e a Internet , bloqueie completamente a comunicação interna - externa de IP , interna - externa através da camada de aplicativo o compartilhamento de dados ou serviço de proxy da camada de aplicativo está concluído . O serviço de proxy é mais conveniente para os usuários usarem e gerenciarem.
O software de firewall no host bastião é propício para a melhoria do desempenho geral e da segurança.
Excelente: autenticação de identidade, manutenção de log do sistema e auditoria de segurança estão disponíveis; falta: ainda é o gargalo da rede e não é adequado para ocasiões com requisitos de alta flexibilidade.
3. Proteja o host
Flexível, fácil de implementar e mais seguro. Roteador de filtragem de pacotes + host bastião . O roteador de filtragem de pacotes é instalado na rede externa e o Bastion Host que executa o software de gateway é instalado na rede interna. Ao projetar regras de filtragem, todas as comunicações da Internet externa podem alcançar apenas o host bastião interno e não podem se comunicar diretamente com outros hosts na rede interna. A comunicação de outros hosts internos para a Internet externa deve chegar primeiro ao Bastion Host e, em seguida, ser enviada após ser procurada pelo Bastion Host .
Realiza a segurança da camada de rede (filtragem de pacotes) e segurança da camada de aplicativo (o software do agente no host bastião implementa serviços de proxy).
Chave: A configuração do roteador de filtragem deve ser estritamente protegida (caso contrário, a fortaleza pode ser ignorada). O redirecionamento ICMP pode alterar o caminho de roteamento para otimizar o caminho, que pode ser usado por hackers para redirecionar para o host sob seu controle.
4. Proteja a sub-rede
Roteador externo + host bastião + roteador interno , uma sub-rede isolada é estabelecida entre interno e externo, DMZ , host bastião e vários servidores se tornam um local para fornecer serviços. Implementação geral : Dois roteadores de filtragem de pacotes são colocados em ambas as extremidades da sub-rede. Ambas as redes interna e externa podem acessar a DMZ da sub-rede protegida , mas a comunicação interna e externa através da sub-rede protegida é proibida .
Lição 6 Tecnologia de Implementação de Firewall
u Filtragem de pacotes
A filtragem de pacotes de dados na camada de rede não tem nada a ver com a camada de aplicativo ( não pode controlar o conteúdo dos dados transmitidos ) .
De acordo com a lista ACL definida no sistema , verifique os dados no cabeçalho de cada pacote de dados no fluxo de dados ( verifique a origem IP , destino IP , tipo de protocolo, porta de origem / destino TCP / UDP , tipo de mensagem ICMP , bit ACK no cabeçalho TCP ) Ou combinado para verificar.
Desvantagens: apenas o controle de segurança preliminar, não pode ser armazenado na transmissão ou informações de estado relacionadas ao aplicativo , não consegue distinguir entre partes ativas e passivas na transmissão do aplicativo; pode ser interceptado ou falsificado; é difícil criar uma lista de regras ACL . É difícil testar a exatidão das regras e, às vezes, é necessário usar um equipamento especial para testar. É importante organizar as regras de filtragem na ACL corretamente . Normalmente, o último item na tabela ACL é "proibir todos" e está implementado que apenas aqueles que têm permissão para entrar têm permissão para entrar.
serviço uagent
Trabalhe na camada de aplicativo. Primeiro, integre-se aos dados da camada de aplicativo. Como filtragem de palavras-chave, filtragem de URL . Aplicado ao aplicativo no Bastion Host, também existem regras de filtragem no Bastion Host. Como proxy WWW , proxy de email .
Excelente: bloqueia completamente a conexão direta interna - externa, oculta a topologia interna; trabalha entre o cliente e o servidor , pode controlar completamente a conversa entre eles, pode executar autenticação de usuário, auditoria e log detalhado.
Ausente: serviços diferentes devem ter um proxy de aplicativo separado, você precisa de um design alternativo, aumenta a complexidade de gerenciamento. Alguns agentes exigem software cliente e servidor que ofereça suporte ao agente, o que aumenta a carga dos usuários. Trabalhando no sétimo andar de alto nível, a eficiência de processamento é relativamente baixa.
Esta tecnologia é usada principalmente para conectar toda a rede local à Internet (uma organização. Escola), para realizar a filtragem de correio e a filtragem de URL relacionada à camada de aplicação.
detecção de estado u
Ele funciona entre a camada de enlace de dados e a camada de rede e pode verificar as informações de todas as 7 camadas do OSI .
(Status) Mecanismo de detecção: De acordo com a tabela de regras, se está de acordo com o status da sessão. As informações úteis de 7 camadas do modelo OSI podem ser extraídas e essas informações podem ser salvas dinamicamente para referência na formulação de políticas de segurança futuras.
Tabela de estado dinâmico: em comparação com a tabela de estado estático, a identidade do pacote de dados de saída é marcada e a mesma conexão pode entrar.
Fluxograma de detecção de estado (omitido)
Excelente detecção de estado: alta segurança, alta eficiência (verificação de estado direta nos dados subsequentes da conexão, em vez de uma longa verificação de regra ACL primeiro), ampla gama de aplicativos (suporte a UDP sem conexão , RPC, etc.)
Ausência: Não há nada a ver com ataques DDoS e propagação de vírus.
uNetwork address translation
O próprio NAT não é uma solução com garantia de segurança, alterando o endereço IP na camada mais externa do pacote. Portanto, o NAT geralmente é integrado ao firewall.
NAT é um aplicativo baseado na camada de rede. Classificação NAT.
O SNAT : estado estático ou uma tradução de endereço de rede tradução de endereço de rede de origem
DNAT : estado dinâmico ou uma tradução de endereço de rede tradução de endereço de rede de destino
Tradução estática de endereços de rede : cada host na rede interna é mapeado permanentemente para um IP legal;
1: 1, não há necessidade de manter a tabela de status de conversão de endereço.
Tradução dinâmica de endereços de rede : o intervalo de endereços de rede interno é maior do que o intervalo legal de IP.
Conversão de endereço de porta PAT: para resolver a situação em que o IP legal externo não é alocado o suficiente durante a conversão de rede dinâmica .
A conversão de NAT é executada primeiro e, quando não for suficiente, a conversão de informações de porta IP + original é usada.
O PAT pode suportar aproximadamente 64500 conexões. 65536-1024 = 64512
Source NAT : Modifica o endereço IP de origem no cabeçalho IP do datagrama (geralmente acontece quando os usuários que usam o endereço privado internamente acessam a Internet, o IP privado é convertido em um IP legal)
Destino NAT : modifica o IP de destino no cabeçalho IP do datagrama (ocorre principalmente no servidor atrás do firewall)