Recommended
More Related Content
What's hot
What's hot (20)
Similar to 防火牆原理架構和種類介紹
Similar to 防火牆原理架構和種類介紹 (20)
防火牆原理架構和種類介紹
- 2. 單元1: 防火牆定義
- 3. 防火牆定義 • 一種安全機制, 用來隔離兩個安 全信任度不同的 網路。 • 可由軟體或硬體 來實作,利用系 統所建立的安全 性規則,有效的 控制對內與對外 流量。 非信任網路 信任網路 網際 網路 未授權存取 拒絕 未授權連線 拒絕
- 4. 為何需要防火牆 • 網路攻擊、入侵與破壞事件日益嚴重,組織單 位極需要一套有效的安全性防禦技術。 • 組織單位需要一個集中落實安全性政策的機制。 • 組織單位需要集中的稽核記錄所有進出的流量, 以利事後的安全性查核與分析。 • 防火牆無疑是達成上述安全性要求, 保護組織 單位網路最有效的方式之一。
- 6. 單元2: 防火牆類型
- 7. 防火牆類型 • 封包過濾防火牆 (Packet-filtering Firewall) • 狀態檢視防火牆 (stateful Inspection Firewall) • 代理防火牆 (Proxy) – 電路閘道器(Circuit Level gateway) – 應用程式閘道器 (application-level gateway) • 混合型防火牆(Hybrid Firewall)
- 11. 封包過濾的原理 • 封包過濾防火牆會 依據封包標頭的下 面欄位檢查: – 來源地的 IP 位址 拒絕 允許 來源端 目的端 通訊 協定 – 目的地的 IP 位址 位址 埠號 位址 埠號 動作 方式 TCP 10.0.0.x High Any 80 允許 – 協定(TCP, UDP,… ) TCP Any 80 10.0.0.x High 允許 – TCP或UDP的來源埠 – TCP或UDP的目的埠 – ICMP 的訊息種類 目的端位址 來源端位址 目的端埠號 來源端埠號 資料 TCP/UDP封包 IP封包
- 12. 封包過濾防火牆優缺點 • 優點: – 建置簡單便宜 – 效率佳。 – 具透通性,用戶端機器無需作任何設定。 • 缺點: – 難以設計出一組長期有效又正確的無誤過濾規則。 – 無法處理應用層協定,所以對於封包資料段或特定 應用服務弱點的攻擊方式無能為力。 – 缺乏驗證能力。 – 安全性較差。
- 13. 其它封包過濾機制 • 封包過濾雖是防火牆最基本的機制,但並非只 有防火牆可以提供封包過濾的功能。 • 許多網路系統均可以提供封包過濾功能: – – – – 作業系統 (Operating Systems) 路由器 (Routers ;e.g. IOS ACL) 特定網路服務 (Specific Network Service) 其他網路設備(e.g. L3/L4 Switch) • 整合這些具備封包過濾能力的設備裝置或服務, 將有助建構一個多層次保護的防禦系統。
- 15. 狀態檢視防火牆定義 狀態檢視防火牆 (Stateful Inspection Firewall) “是一種動態封包過濾的防火牆技術,能夠 更細部(more granularly) 的檢視封包及連線 工作階段的防火牆類型。”
- 16. 狀態檢視防火牆運作特性 • 狀態檢視防火牆不僅採用封包過濾類似的方法 來監控網路傳輸,還會更進一步檢查封包資料 流的內容與行為,並非只是單純地過濾個別封 包。 • 持續追蹤連接狀態直到結束連線為止,藉以判 斷是否為有效的連線而允許封包通過。 • 建立每個連線階段的狀態表,然後根據此前後 關聯狀況來判斷是否允許或拒絕此封包通過。 (monitor the state of the connection at all times)
- 17. 狀態檢視防火牆 (3) (1) (2) TCP SYN 封包 來源:102.1.1.2:6431 目的:210.2.2.1:80 建立連線 TCP SYN 封包 來源:102.1.1.2:6431 目的:210.2.2.1:80 (6) TCP SYN/ACK 封包 來源:210.2.2.1:80 目的:102.1.1.2:6431 內部機器 10.1.1.2 (4) TCP SYN/ACK 封包 來源:210..2.2.1:80 目的:102.1.1.2:6431 (5) 檢查連線 OK 網際網路 伺服器 (7) ACK (8) 資料傳輸 (允許) 狀 態 表 通訊協定 來源端 目的端 狀態 位址 埠號 位址 埠號 TCP 102.1.1.2 6431 210.2.2.1 80 OK … . … .. … . … . … . … .
- 18. 狀態檢視防火牆優劣 • 優點 – 狀態檢視防火牆可以透過連線狀態來判斷是否為合 法授權的封包,所以安全性較靜態封包過濾防火牆 為高 • 缺點 – 效能較封包過濾稍差 – 無法處理應用層協定 • 狀態檢視防火牆通常是一種安全性與效能上取 捨與妥協下常被採用的防火牆類型。
- 19. 單元2:防火牆的類型 代理防火牆
- 20. 代理伺服器原理與種類 • 原理 – 強調用戶端程式必需與代理伺服器接洽,再透過它 來與目的機器連通,而非直接讓用戶端連接真正的 目的地。 – 可以評估來自用戶端程式的請求並決定是否代其服 務,如用戶請求被允許,代理伺服器會將其請求傳 至真正的伺服器,並將回應回傳至用戶端程式。 • 代理伺服器(Proxy Server)針對封包處理層次上 的差異又可分成下列二種類型: – 電路層閘道器 (Circuit-Level Gateway) – 應用層閘道器(Application-Level Gateway)
- 21. 電路層閘道器 • 電路層閘道器運作原理 – 針對內部使用者要和外部進行TCP連線時,會建立 二個TCP連線處理,一個是內部使用者和閘道器間 的TCP連線,另一個是閘道器與與外部的連線。 – 不允許用戶端點與網際網路伺服端點間的直接連線, 可以隱藏內部IP位址。 – 處理封包標頭和連線狀況。 – 一種屬於共通的代理程式,並非特定應用程的代理 器。 • 目前最普遍的電路防火牆是用IETF的網路代理 協定-SOCKS來建置。
- 23. 電路層閘道器優缺點 • 優點: – 通常比另一種應用層代理閘道器快速。 – 為一般目的的共用型代理服務,可支援許多應用層 協定的代理存取功能。 – 提供比封包過濾防火牆較佳的記錄功能。 • 缺點: – 需要修改用戶端應用程式或TCP/IP協定堆疊。 – 無法處理應用層協定。 – 除了TCP、UDP外,並無法限制其它協定 (如ICMP) 。
- 24. 應用層閘道器 • 一種更深度檢視封包內容的代理(Proxy)服務。 • 需要在防火牆主機執行特定應用程式,負責應 用層級的訊息過濾與轉送處理。 • 應用層代理程式負責處理特定應用層協定(例 HTTP) 的請求,並依據此應用協定的安全性規 則,將請求傳送給真正的服務主機或拒絕之。 • 主要依據應用層的資訊來決定是否放行封包流 量(例如傳送給FTP的命令或HTTP 的URL) 。
- 26. 應用層閘道的功能 • 處理較複雜的應用層服務。 • 可過濾傳送的資料內容(Contents) 與命令,確 保某應用層協定的內容安全 (例 HTTP, FTP, EMAIL) 。 • 可支援嚴謹的使用者驗證(User Authentication) 功能。
- 27. 應用層閘道器優點 • 安全較高: – 支援代理存取,可避免內外直接連線並隱藏內部位 址。 – 可過濾封包內容(Contents) 與命令來阻斷針對應用 協定弱點的攻擊。 – 若閘道器中沒有包含某種特定程式的代理程式碼的 話,則此種類型的封包將無法進出防火牆。 • 對於應用層協定的流量進出,可以作較詳盡的 記錄或稽核。
- 28. 應用層閘道器缺點 • 效能較差 – 需針對特定應用層的連線或作內容或命令篩選。 • 擴充性差 – 需針對每個應用類型撰寫對應的代理程式,不僅擴 充性差且代理程式價錢高。 • 管理及系統資源負荷較高 – 應用層閘道器設定複雜度較高,較可能因設定不當 而造成存取問題,此外,也比較耗費系統資源。
- 30. 不同防火牆類型的差異 • 封包篩選與檢查方式 • 效率 – 不同防火牆類型的篩選及代理處理作業將會影響 到網路效能。 • 透通度 – 使用防火牆是否需要用戶端作額外的設定與安裝 軟體。 • 安全性 – 不同防火牆類型攔阻不安全的流量能力不同。
- 32. 混合型防火牆 • 混合型防火牆 (hybrid firewall) • 許多防火牆均可同時提供封包過濾、狀態檢視 和代理閘道器的功能稱之。 • 利用混合型防火牆以循序性的方式套用多種過 濾篩選方式,將可加強安全性。 1. 封包過濾 1. 封包過濾 2. 狀態檢視 2. 狀態檢視 3. 代理 3. 代理
- 34. 防火牆架構設計考量 • 不同的防火牆架構,提供不同的防禦效果與安 全度。 • 防火牆架構設計考量的重要因素: – 採用幾層保護。 – 是否整合路由器的封包過濾功能。 – 是否要建構非軍事區 (Demilitarized zone;又稱為 Screened Subnet 或 Perimeter Network) 。 – 如何建構非軍事區。
- 36. 基本防火牆架構 • 雙介面主機防火牆 (Dual-Homed Hosts) • 屏蔽式主機防火牆(Screened Hosts Firewall) • 屏蔽式子網路防火牆 (Screened subnet Firewall)
- 37. 雙介面主機防火牆(Dual-homed) • 一種簡單的防火牆架構,主機安裝二張獨立的網路介面 以區隔內外網路並作為防禦主機 (bastion host) 。 • 雙介面防火牆通常採用網路服務代理型的防火牆,即內 部網路與外部網路間的封包遞送,都需要依賴雙介面主 機的代理服務。 網際網路 企業網路 (Intranet) 防火牆 ※ 防火牆主機安裝二片網路卡,以區隔內外網路
- 41. 非軍事區(DMZ) • DMZ原為南北韓停戰協定中,南北雙方沿著北 緯38度線各自向後撤退2公里,而形成的一種 避免衝突的非軍事區。 • 介於內部網路與Internet間的區域(子網路) ,作 為內外網路間的安全性緩衝地帶。 • 在防火牆架構中,DMZ區域是提供Internet使用 者存取網際網路伺服器的網路區域,如Web server或DNS server 。 • 此區採取(部份)開放措施,較容易成為入侵對 象,不過由DMZ和內部網路是分隔開來的,因 此即使遭到攻擊也不會危及內部網路。
- 44. 單元4: 課程結論
- 46. 結論 • 防火牆為組織單位連接網際網路必要的防禦系 統,也是組織集中落實安全性政策的機制。 • 不同的防火牆類型不僅提供了不同的封包篩選 及檢視方式,也具備不同的安全度、效率、用 戶端透通性與成本。 • 不同的防火牆架構也擁有不同的成本與安全度。 • 近年防火牆發展趨勢己是逐漸整合其它入侵偵 測、VPN、內容過濾等其它防禦功能形成具備 防禦縱深與多層次保護的系統。