防火墙安全等级及策略PPT课件.pptx

防火墙安全等级及策略Yourcompanyslogan Yourcompanyslogan防火墙安全等级及策略1 1 防火墙安全等级设置2 2 防火墙技术3 3 防火墙安全策略4 4 防火墙安全等级概述Yourcompanyslogan Yourcompanyslogan 防火墙安全等级概述 从 从2010 2010 年 年5 5 月 月1 1 日起，对防火墙、安全路由器等 日起，对防火墙、安全路由器等13 13 种产品，实行强制性认证，未获得中国信息安 种产品，实行强制性认证，未获得中国信息安全认证证书的产品，不得进入政府采购。其中，备受关注的防火墙类产品从 全认证证书的产品，不得进入政府采购。其中，备受关注的防火墙类产品从09 09 年 年5 5 月份开始接受中 月份开始接受中国信息安全认证中心的强制检测。国信息安全认证中心的强制检测。中国信息安全认证中心依照的检测标准之一就是 中国信息安全认证中心依照的检测标准之一就是 信息安全技术 信息安全技术 防火墙技术要求和测试评价方法 防火墙技术要求和测试评价方法 GB/T20281-2006 GB/T20281-2006。在该。在该 方法 方法 中，防火墙在安全等级方面被分为了三级，第三级为最高级。中，防火墙在安全等级方面被分为了三级，第三级为最高级。由于整个标准文字非常多，看起来比较费力，我们从功能分类方面大致上归纳了三个等级之间的区 由于整个标准文字非常多，看起来比较费力，我们从功能分类方面大致上归纳了三个等级之间的区别。别。第一级：包过滤、应用代理、第一级：包过滤、应用代理、NAT NAT、流量统计、安全审计、管理。、流量统计、安全审计、管理。第二级：除包含第一级所有功能分类外，增加了状态检测、深度包检测、第二级：除包含第一级所有功能分类外，增加了状态检测、深度包检测、IP/MAC IP/MAC 地 地址绑定、动态开放端口、策略路由、带宽管理、双机热备、负载均衡功能。址绑定、动态开放端口、策略路由、带宽管理、双机热备、负载均衡功能。第三级：除包含第二级所有功能分类外，增加了 第三级：除包含第二级所有功能分类外，增加了VPN VPN、协同联动功能。、协同联动功能。除了在功能分类上有区别外，每个功能分类下的功能要求细目也是逐级加强、增多。由 除了在功能分类上有区别外，每个功能分类下的功能要求细目也是逐级加强、增多。由于功能要求细目数量比较多，在此不做分析。于功能要求细目数量比较多，在此不做分析。Yourcompanyslogan Yourcompanyslogan 防火墙安全等级概述 我们单从功能分类方面也会发现，防火墙第二级增加了很多实用功 我们单从功能分类方面也会发现，防火墙第二级增加了很多实用功能，尤其是 能，尤其是IP/MAC IP/MAC 地址绑定、带宽管理、双机热备，在企业网络管 地址绑定、带宽管理、双机热备，在企业网络管理中更为实用。而第三级中增加的 理中更为实用。而第三级中增加的VPN VPN 功能和协同联动功能，更为企 功能和协同联动功能，更为企业远程接入和全网安全提供了保障。业远程接入和全网安全提供了保障。我们知道，国家密码管理局在 我们知道，国家密码管理局在2009 2009 年初颁布了最新的 年初颁布了最新的 SSLVPN SSLVPN技术规范 技术规范，并对涉密产品中的算法做出了严格的限定，并对涉密产品中的算法做出了严格的限定，SM1 SM1 算法成 算法成为商用密码产品中使用范围最广的算法。而 为商用密码产品中使用范围最广的算法。而 方法 方法 中规定，防火墙 中规定，防火墙第三级中的 第三级中的VPN VPN 功能，必须符合国家密码管理局相关的标准。这样一 功能，必须符合国家密码管理局相关的标准。这样一来，符合第三级标准的防火墙不仅具备了传统防护墙的实用功能，更 来，符合第三级标准的防火墙不仅具备了传统防护墙的实用功能，更拥有了符合国家标准的加密传输功能，成为政府、金融、企业中传输 拥有了符合国家标准的加密传输功能，成为政府、金融、企业中传输加密的首选产品。加密的首选产品。Yourcompanyslogan Yourcompanyslogan设定防火墙安全等级虽 虽 然防火 然防火 墙预设 墙预设 会根据你 会根据你 连 连 接的网 接的网 络类 络类 型而套用不同的安全等 型而套用不同的安全等 级 级，但也可以，但也可以随 随 时视 时视 需要 需要 变 变 更 更 这项设 这项设 定 定执 执 行此 行此 动 动 作的步 作的步 骤 骤 如下：如下：1.1.点 点 选 选 主功能表上的 主功能表上的【状 状 态 态】；2.2.在 在【防 防 护 护】区段，点 区段，点 选 选【设 设 定 定】；3.3.选择 选择【防火 防火 墙 墙】选项 选项；4.4.在 在【网 网 络 络】区段，点 区段，点 选 选【设 设 定 定】；5 5 选择 选择 网路 网路(如果网路不只一个的话 如果网路不只一个的话)，並且指定你想要用来识別的网路名称。，並且指定你想要用来识別的网路名称。点选 点选【设定 设定】；6.6.指定此网路是受信任的网路或公共网路。指定此网路是受信任的网路或公共网路。受信任位置：受信任的 受信任位置：受信任的 网 网 路是区域网路 路是区域网路(例如家里的网路 例如家里的网路)，你可以与网，你可以与网路上的其他电脑共用档案或印表机。如果你选择此项，在你的电脑连接到 路上的其他电脑共用档案或印表机。如果你选择此项，在你的电脑连接到区域网路时，防火墙套用的安全等级可让你与网路上的其他电脑共享各种 区域网路时，防火墙套用的安全等级可让你与网路上的其他电脑共享各种资源。资源。公用位置：公共网路是指你的电脑可以在公共场所连线的网路，例如在机 公用位置：公共网路是指你的电脑可以在公共场所连线的网路，例如在机场、大学、网吧 场、大学、网吧.等。如果你选择此项，防火墙会套用限制性较高的安 等。如果你选择此项，防火墙会套用限制性较高的安全等级，防止网路上的其他电脑存取你的共用资源。全等级，防止网路上的其他电脑存取你的共用资源。Yourcompanyslogan Yourcompanyslogan硬件防火墙如果 硬件防火墙如果从技术上来分又 从技术上来分又可分为两类 可分为两类,即 即标准防火墙和双 标准防火墙和双家网关防火墙。家网关防火墙。防火墙安全技术“防火 防火 墙 墙”是一种形象的 是一种形象的 说 说 法 法,其 其 实 实 它是一种由 它是一种由 计 计 算机硬件 算机硬件和 和 软 软 件的 件的 组 组 合 合,使互 使互 联 联 网与 网与内部网之 内部网之 间 间 建立起一个安全 建立起一个安全 网关 网关(scuritygateway),(scuritygateway),从而保 从而保 护 护 内部网免受非法用 内部网免受非法用户 户 的侵入，它其 的侵入，它其 实 实 就是一个 就是一个把互 把互 联 联 网与内部网（通常 网与内部网（通常 这 这局域网或城域网）隔开的 局域网或城域网）隔开的屏障。屏障。防火墙如果从实现 防火墙如果从实现方式上来分，又分 方式上来分，又分为硬件防火墙和软 为硬件防火墙和软件防火墙两类 件防火墙两类Yourcompanyslogan Yourcompanyslogan防火墙安全技术防火墙实现应用安全八项实用技术 防火墙实现应用安全八项实用技术：1.1.深度数据包处理 深度数据包处理深度数据包处理有时被称为深度数据包检测或者语义检测，它就是把多个数据包关 深度数据包处理有时被称为深度数据包检测或者语义检测，它就是把多个数据包关联到一个数据流当中，在寻找攻击异常行为的同时，保持整个数据流的状态。深度数据 联到一个数据流当中，在寻找攻击异常行为的同时，保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量，以避免给应用带来时延。下 包处理要求以极高的速度分析、检测及重新组装应用流量，以避免给应用带来时延。下面每一种技术代表深度数据包处理的不同级别。面每一种技术代表深度数据包处理的不同级别。2.2.TCP/IP TCP/IP 终 终 止 止 应 应 用 用 层 层 攻 攻 击 击 涉及多种数据包，并且常常涉及多种 涉及多种数据包，并且常常涉及多种 请 请 求，即不同的数据流。流量分析 求，即不同的数据流。流量分析系 系 统 统 要 要 发挥 发挥 功效，就必 功效，就必 须 须 在用 在用 户 户 与 与 应 应 用保持互 用保持互 动 动 的整个会 的整个会 话 话 期 期 间 间，能，能 够检测 够检测 数据包和 数据包和 请 请求，以 求，以 寻 寻 找攻 找攻 击 击 行 行 为 为。至少，。至少，这 这 需要能 需要能 够终 够终 止 止 传输层协议 传输层协议，并且在整个数据流而不是，并且在整个数据流而不是 仅 仅仅 仅 在 在 单 单 个数据包中 个数据包中 寻 寻 找 找 恶 恶 意模式。意模式。3.3.SSL SSL 终 终 止 止如今，几乎所有的安全 如今，几乎所有的安全 应 应 用都使用 用都使用HTTPS HTTPS 确保通信的保密性。然而，确保通信的保密性。然而，SSL SSL 数据流采 数据流采用了端到端加密，因而 用了端到端加密，因而 对 对 被 被 动 动 探 探 测 测 器如入侵 器如入侵 检测 检测 系 系 统 统（IDS IDS）产 产 品来 品来 说 说 是不透明的。是不透明的。为 为了阻止 了阻止 恶 恶 意流量，意流量，应 应 用防火 用防火 墙 墙 必 必 须终 须终 止 止SSL SSL，对 对 数据流 数据流 进 进 行解 行解 码 码，以便，以便 检查 检查 明文格式的 明文格式的流量。流量。这 这 是保 是保 护应 护应 用流量的最起 用流量的最起 码 码 要求。如果你的安全策略不允 要求。如果你的安全策略不允 许 许 敏感信息在未加密的 敏感信息在未加密的前提下通 前提下通 过 过 网 网 络传输 络传输，你就需要在流量，你就需要在流量 发 发 送到 送到Web Web 服 服 务 务 器之前重新 器之前重新 进 进 行加密的解决方案。行加密的解决方案。Yourcompanyslogan Yourcompanyslogan防火墙安全技术4.URL 4.URL 过滤 过滤一旦 一旦 应 应 用流量呈明文格式，就必 用流量呈明文格式，就必 须检测 须检测HTTP HTTP 请 请 求的 求的URL URL 部分，部分，寻 寻 找 找 恶 恶 意攻 意攻 击 击 的迹 的迹象，譬如可疑的 象，譬如可疑的 统 统 一代 一代 码编码 码编码（unicode unicodeencoding encoding）。）。对 对URL URL 过滤 过滤 采用基于特征的方案 采用基于特征的方案，仅仅寻 仅仅寻 找匹配定期更新的特征、找匹配定期更新的特征、过滤 过滤 掉与已知攻 掉与已知攻 击 击 如 如 红 红 色代 色代 码 码 和尼姆达有关的 和尼姆达有关的URL URL，这 这 是 是 远远 远远 不 不 够 够 的。的。这 这 就需要一种方案不 就需要一种方案不 仅 仅 能 能 检查 检查RUL RUL，还 还 能 能 检查请 检查请 求的其余部分。其 求的其余部分。其 实 实，如果把 如果把 应 应 用响 用响 应 应 考 考 虑进 虑进 来，可以大大提高 来，可以大大提高 检测 检测 攻 攻 击 击 的准确性。的准确性。虽 虽 然 然URL URL 过滤 过滤 是一 是一 项 项 重要 重要的操作，可以阻止通常的脚本少年 的操作，可以阻止通常的脚本少年 类 类 型的攻 型的攻 击 击，但无力抵御大部分的，但无力抵御大部分的 应 应 用 用 层 层 漏洞。漏洞。5.5.请求分析 请求分析全面的请求分析技术比单单采用 全面的请求分析技术比单单采用URL URL 过滤来得有效，可以防止 过滤来得有效，可以防止Web Web 服务器层的跨站 服务器层的跨站脚本执行（脚本执行（cross-sitescripting cross-sitescripting）漏洞和其它漏洞。全面的请求分析使）漏洞和其它漏洞。全面的请求分析使URL URL 过滤更进 过滤更进了一步：可以确保请求符合要求、遵守标准的 了一步：可以确保请求符合要求、遵守标准的HTTP HTTP 规范，同时确保单个的请求部分在 规范，同时确保单个的请求部分在合理的大小限制范围之内。这项技术对防止缓冲器溢出攻击非常有效。合理的大小限制范围之内。这项技术对防止缓冲器溢出攻击非常有效。6.6.用户会话跟踪 用户会话跟踪 更先进的下一个技术就是用户会话跟踪。这是应用流量状态检测技术的最基本部分：更先进的下一个技术就是用户会话跟踪。这是应用流量状态检测技术的最基本部分：跟踪用户会话，把单个用户的行为关联起来。这项功能通常借助于通过 跟踪用户会话，把单个用户的行为关联起来。这项功能通常借助于通过URL URL 重写（重写（URL URLrewriting rewriting）来使用会话信息块加以实现。只要跟踪单个用户的请求，就能够对信息块）来使用会话信息块加以实现。只要跟踪单个用户的请求，就能够对信息块实行极其严格的检查。这样就能有效防御会话劫持（实行极其严格的检查。这样就能有效防御会话劫持（session-hijacking session-hijacking）及信息块中）及信息块中毒（毒（cookie-poisoning cookie-poisoning）类型的漏洞。）类型的漏洞。Yourcompanyslogan Yourcompanyslogan防火墙安全技术7.7.响应模式匹配 响应模式匹配响应模式匹配为应用提供了更全面的保护：它不仅检查提交至 响应模式匹配为应用提供了更全面的保护：它不仅检查提交至Web Web 服务器的请求，服务器的请求，还检查 还检查Web Web 服务器生成的响应。它能极其有效地防止网站受毁损，或者更确切地说，防 服务器生成的响应。它能极其有效地防止网站受毁损，或者更确切地说，防止已毁损网站被浏览。对响应里面的模式进行匹配相当于在请求端对 止已毁损网站被浏览。对响应里面的模式进行匹配相当于在请求端对URL URL 进行过滤。响 进行过滤。响应模式匹配分三个级别。防毁损工作由应用防火墙来进行，它对站点上的静态内容进行 应模式匹配分三个级别。防毁损工作由应用防火墙来进行，它对站点上的静态内容进行数字签名。如果发现内容离开 数字签名。如果发现内容离开Web Web 服务器后出现了改动，防火墙就会用原始内容取代已 服务器后出现了改动，防火墙就会用原始内容取代已毁损页面。至于对付敏感信息泄露方面，应用防火墙会监控响应，寻找可能表明服务器 毁损页面。至于对付敏感信息泄露方面，应用防火墙会监控响应，寻找可能表明服务器有问题的模式，譬如一长串 有问题的模式，譬如一长串Java Java 异常符。如果发现这类模式，防火墙就会把它们从响应 异常符。如果发现这类模式，防火墙就会把它们从响应当中剔除，或者干脆封阻响应。当中剔除，或者干脆封阻响应。8.8.行为建模 行为建模行为建模有时称为积极的安全模型或 行为建模有时称为积极的安全模型或“白名单 白名单”（whitelist whitelist）安全，它是唯一能）安全，它是唯一能够防御最棘手的应用漏洞 够防御最棘手的应用漏洞 零时间漏洞的保护机制。零时间漏洞是指未写入文档或 零时间漏洞的保护机制。零时间漏洞是指未写入文档或“还不知道 还不知道”的攻击。对付这类攻击的唯一机制就是只允许已知是良好行为的行为，其它 的攻击。对付这类攻击的唯一机制就是只允许已知是良好行为的行为，其它行为一律禁止。这项技术要求对应用行为进行建模，这反过来就要求全面分析提交至应 行为一律禁止。这项技术要求对应用行为进行建模，这反过来就要求全面分析提交至应用的每个请求的每次响应，目的在于识别页面上的行为元素，譬如表单域、按钮和超文 用的每个请求的每次响应，目的在于识别页面上的行为元素，譬如表单域、按钮和超文本链接。这种级别的分析可以发现恶意表单域及隐藏表单域操纵类型的漏洞，同时对允 本链接。这种级别的分析可以发现恶意表单域及隐藏表单域操纵类型的漏洞，同时对允许用户访问的 许用户访问的URL URL 实行极其严格的监控。行为建模是唯一能够有效对付全部 实行极其严格的监控。行为建模是唯一能够有效对付全部16 16 种应用漏 种应用漏洞的技术。行为建模是一种很好的概念，但其功效往往受到自身严格性的限制。某些情 洞的技术。行为建模是一种很好的概念，但其功效往往受到自身严格性的限制。某些情况譬如大量使用 况譬如大量使用JavaScript JavaScript 或者应用故意偏离行为模型都会导致行为建模犯错，从而引 或者应用故意偏离行为模型都会导致行为建模犯错，从而引发误报，拒绝合理用户访问应用。行为建模要发挥作用，就需要一定程度的人为干预，发误报，拒绝合理用户访问应用。行为建模要发挥作用，就需要一定程度的人为干预，以提高安全模型的准确性 以提高安全模型的准确性 Yourcompanyslogan Yourcompanyslogan防火墙安全策略安全策略也可以称为访问上的控制策略。它包含了访问上的控制以及组织内其他资源使 安全策略也可以称为访问上的控制策略。它包含了访问上的控制以及组织内其他资源使用的种种规定。访问控制包含了哪些资源可以被访问，如读取、删除、下载等行为的规 用的种种规定。访问控制包含了哪些资源可以被访问，如读取、删除、下载等行为的规范，以及哪些人拥有这些权力等信息。范，以及哪些人拥有这些权力等信息。1)1)网 网 络 络 服 服 务访问 务访问 策略 策略 网 网 络 络 服 服 务访问 务访问 策略是一种高 策略是一种高 层 层 次的、具体到事件的策略，主要用于定 次的、具体到事件的策略，主要用于定 义 义 在 在网 网 络 络 中允 中允 许 许 的或禁止的网 的或禁止的网 络 络 服 服 务 务，还 还 包括 包括 对拨 对拨 号 号 访问 访问 以及 以及PPP(PPP(点 点 对 对 点 点 协议 协议)连 连接的限制。接的限制。这 这 是因 是因 为对 为对 一种网 一种网 络 络 服 服 务 务 的限制可能会促使用 的限制可能会促使用 户 户 使用其他的方法，使用其他的方法，所以其他的途径也 所以其他的途径也 应 应 受到保 受到保 护 护。比如，如果一个防火。比如，如果一个防火 墙 墙 阻止用 阻止用 户 户 使用 使用Telnet Telnet 服 服务访问 务访问 因特网，一些人可能会使用 因特网，一些人可能会使用 拨 拨 号 号 连 连 接来 接来 获 获 得 得 这 这 些服 些服 务 务，这样 这样 就可能会使 就可能会使网 网 络 络 受到攻 受到攻 击 击。网。网 络 络 服 服 务访问 务访问 策略不但 策略不但 应该 应该 是一个站点安全策略的延伸，而且 是一个站点安全策略的延伸，而且对 对 于机构内部 于机构内部 资 资 源的保 源的保 护 护 也起全局的作用。也起全局的作用。这 这 种策略可能包括 种策略可能包括 许 许 多事情，从文 多事情，从文件切碎条例到病毒 件切碎条例到病毒 扫 扫 描程序，从 描程序，从 远 远 程 程 访问 访问 到移 到移 动 动 介 介 质 质 的管理。的管理。Yourcompanyslogan Yourcompanyslogan防火墙安全策略2)2)防火 防火 墙 墙 的 的 设计 设计 策略 策略 防火 防火 墙 墙 的 的 设计 设计 策略是具体地 策略是具体地 针对 针对 防火 防火 墙 墙，负责 负责 制定相 制定相 应 应 的 的 规 规 章制度来 章制度来 实 实 施 施网 网 络 络 服 服 务访问 务访问 策略。在制定 策略。在制定 这 这 种策略之前，必 种策略之前，必 须 须 了解 了解 这 这 种防火 种防火 墙 墙 的性能以及缺 的性能以及缺陷、陷、TCP/IP TCP/IP 自身所具有的易攻 自身所具有的易攻 击 击 性和危 性和危 险 险。防火。防火 墙 墙 一般 一般 执 执 行一下两种基本策 行一下两种基本策略中的一种：略中的一种：除非明确不允 除非明确不允 许 许，否，否 则 则 允 允 许 许 某种服 某种服 务 务;除非明确允 除非明确允 许 许，否，否 则 则 将禁止某 将禁止某 项 项 服 服 务 务。执 执 行第一种策略的防火 行第一种策略的防火 墙 墙 在默 在默 认 认 情况下允 情况下允 许 许 所有的服 所有的服 务 务，除非管理，除非管理 员对 员对 某 某种服 种服 务 务 明确表示禁止。明确表示禁止。执 执 行第二种策略的防火 行第二种策略的防火 墙 墙 在默 在默 认 认 情况下禁止所有的服 情况下禁止所有的服 务 务，除非管理 除非管理 员对 员对 某种服 某种服 务 务 明确表示允 明确表示允 许 许。防火。防火 墙 墙 可以 可以 实 实 施一种 施一种 宽 宽 松的策略 松的策略(第一 第一种 种)，也可以，也可以 实 实 施一种限制性策略 施一种限制性策略(第二种 第二种)，这 这 就是制定防火 就是制定防火 墙 墙 策略的入手点。策略的入手点。Yourcompanyslogan Yourcompanyslogan防火墙安全策略3)3)安全策略 安全策略 设计时 设计时 需要考 需要考 虑 虑 的 的 问题 问题 为 为 了确定防火 了确定防火 墙 墙 安全 安全 设计 设计 策略，策略，进 进 而构建 而构建 实现预 实现预 期安全策略的防火 期安全策略的防火 墙 墙，应 应从最安全的防火 从最安全的防火 墙设计 墙设计 策略开始，即除非明确允 策略开始，即除非明确允 许 许，否，否 则 则 禁止某种服 禁止某种服 务 务。策略。策略应该 应该 解决以下 解决以下 问题 问题：*需要什么服 需要什么服 务 务，如，如Telnet Telnet、WWW WWW 或 或NFS NFS 等 等;*在那里使用 在那里使用 这 这 些服 些服 务 务，如本地、穿越因特网、从家里或，如本地、穿越因特网、从家里或 远 远 方的 方的 办 办 公机构 公机构等 等;*是否 是否 应 应 当支持 当支持 拨 拨 号入网和加密等服 号入网和加密等服 务 务;*提供 提供 这 这 些服 些服 务 务 的 的 风险 风险 是什么 是什么;*若提供 若提供 这 这 种保 种保 护 护，可能会，可能会 导 导 致网 致网 络 络 使用上的不方便等 使用上的不方便等 负 负 面影响，面影响，这 这 些影 些影响会有多大 响会有多大;*与可用性相比，站点的安全性放在什么位置。与可用性相比，站点的安全性放在什么位置。Yourcompanyslogan Yourcompanyslogan谢谢！