防火牆之理論與實務

防火牆理論及實務臺華科技股份有限公司GenNet Technology Co., Ltd.

防火牆之理論與實務

臺華科技股份有限公司工程處經理崔存得

http://www.gennet.com.tw

TEL: (06) 202-8767


內容大綱• 資訊安全與防火牆• 防火牆的基本型態• 防火牆的應用型態• 防火牆的常見功能• 防火牆的區域聯防觀念• 全方位的網路安全防火牆架構


資訊安全

系統安全

資料安全

資訊安全

Anti-VirusCryptographyPeer-to-Peer Security……

FirewallAuthenticationAccess ControlIntrusion Detection……

System ScanningIntrusion DetectionSecurity Management……

網路安全


網路保全的基本招式• 無為而治不做安全防護

– 使用廠商原本就提供的最基本安全防護• 雲深不知處隱藏式保全

– 藏起來 , 讓別人不知到以避免被攻擊• 鐵布衫主機保全

– 加強每一台主機的保全• 金鐘罩網路保全

– 對整個網路環境做保全– 防火牆、存取管理、認證方式、編碼加密……


全方位資訊安全流程1. 風險評估

Risk Assessment

2. 制訂安全政策Security Policy

3. 安全環境建置Implementation

4. 人員教育訓練Training

5. 安全稽核Auditing

7. 回報 CERT

6. 安全成效評估Evaluation


整體安全政策• 防火牆只是企業整體安全政策的一部份• 企業需先訂定自己的安全政策，瞭解自己要保護的東西是什麼範圍有多大

• 安全分析• 危機評估• 企業需求分析


防火牆系統• 防火牆系統是一個網路安全系統（軟體

+ 硬體），負責： – 安全政策執行– 網路路由轉換– 網路狀況管理


防火牆的原理 (1/2)

• 位於網路與網路之間的裝置• 謹慎地在一個控制點上限制網路之存取 (Netw

ork Access Control)• 防止攻擊者接近防禦物

Network B

Firewall

Network A


防火牆的原理 (2/2)

• 在兩個或多個網路間，用來強制執行網路安全政策的一個或一組系統

• 限制封包的來往交換，包括來源及目的主機位址、通訊協定、服務、流通方向等

企業內部網

路

防火

牆

Internet

WhoWhenWhatHow

WhoWhenWhatHow


防火牆做得到的事• 避免內部網路直接暴露在外• 形成內部網路與網際網路的咽喉點 (Choke Po

int) ，是網路管理者落實安全政策的重點• 網路安全可以集中管理，有效控制了所有封包的來源、目的地、流向、及應用服務

• 可以有效地記錄及監控企業與網際網路活動• 進階的防火牆尚可主動偵測防止入侵，並可稽核與阻擋非法存取


防火牆做不到的事• 無法控管不經過它的連線• 無法辨出假造的封包• 無法確保連線的可信度• 無法避免 data-driven 的攻擊• 無法防止內賊對內的侵害 (traitors or idi

ots)


安全政策基本原則• 內定值是“拒絕” : 沒有許可就是拒絕

– 不安全狀態 Fail-Safe Stance– “正面表列”– 較安全的策略– 較不易使用

• 內定值是“允許” : 沒有禁止就是允許– “負面表列”– 較不安全的策略– 較易使用


Here We Are

• 資訊安全與防火牆• 防火牆的基本型態• 防火牆的應用型態• 防火牆的常見功能• 防火牆的區域聯防觀念• 全方位的網路安全防火牆架構


防火牆的基本型態• 依實體區別

– 軟體防火牆– 硬體防火牆

• 依功能區別– 封包過濾 (Packet Filtering) – 應用層閘道 (Application Gateway 或 Pro

xy)– 以上兩者的混合型


軟體防火牆• 優點

– 架設較具彈性– 擴充性較佳– 功能較其全– 方便搭配其他軟體

• 缺點– 需搭配硬體架設– 整體效能較硬體防火牆差– 需補強原作業系統或使用專屬作業系統

• CheckPoint, BoderWare, Microsoft ISAS, Gauntlet, eTrust, SunScreen, CyberGuard, …


硬體防火牆• 優點

– 軟硬體整合性佳– 效能軟體防火牆佳– 專屬作業系統較安全

• 缺點– 硬體擴充性較差– 管理功能需搭配其他軟體

• Cisco PIX, NetScreen, GNAT, Nokia, WebGuard, SonicWall


封包過濾 (1/4)• 檢查每一個通過的封包，依據事先定義好的規則而執行放行或阻擋的工作

• 依據封包標頭內容作檢查– 來源地的 IP 位址– 目的地的 IP 位址– 協定 (TCP, UDP, ICMP,…)– TCP 或 UDP 的來源埠– TCP 或 UDP 的目的埠– ICMP 的訊息種類

• 依據封包到達時的介面


封包過濾 (2/4)應用層 (Application)

表現層 (Presentation)

會談層 (Session)

傳送層 (Transport)

網路層 (Network)

資料連接層 (Data Link)

實體層 (Physical)



應用層 (Application)


會談層 (Session)


網路層 (Network)



靜態封包過濾Static Packet Filtering


封包過濾 (3/4)• Service-dependent filtering

– 過濾一般已知的服務 http, smtp, ftp, telnet

• Service-independent filtering– 過濾不符合 TCP/IP 規範的連線– Source IP address spoofing attacks– Source routing attacks– Tiny fragment attacks

(a) 正常之片段重組 (b) 異常之片段重組




會談層 (Session)


網路層 (Network)



封包過濾 (4/4)Stateful Packet Inspection



會談層 (Session)


網路層 (Network)





會談層 (Session)


網路層 (Network)



DynamicStateTable動態封包過濾

Dynamic Packet Filtering


應用層閘道 (1/4)

• 又稱代理者 (Proxy) 服務，是一個在防火牆主機上執行的特定應用程式

• 防火牆主機提供服務連結的第一站• Proxy 接受使用者對 Internet 服務 (HTT

P, FTP, Telnet) 請求，並依據此站台的安全策略，將此請求 (允許 / 不允許 )傳送給真正的服務



企業內部網路

proxy伺服器防火牆

Internet真正的伺服器

外部主機

內部主機

proxy 客戶端

外部 PC

內部 PC

真正的伺服器proxy 客戶端





會談層 (Session)


網路層 (Network)





會談層 (Session)


網路層 (Network)





會談層 (Session)


網路層 (Network)



HTTP TELNETFTP



• 可過濾傳送的資料內容 (Content) – Content filtering

• 可對使用者做認證– User authentication

• 可對不同的服務採取不同的安全政策– FTP, WWW, E-mail, Telnet, …..


封包過濾 vs. 應用代理• 封包過濾防火牆

– 價格較低– 性能負荷小﹐處理速度較快– 定義複雜﹐容易出現因配置不當帶來問題– 允許封包直接通過﹐容易造成資料內容式攻擊的潛在危險

(如病毒 )

• 應用代理防火牆 – 安全﹐不允許封包通過防火牆﹐避免了 service-independen

t 式攻擊的發生 – 對所有服務都要有相對應的 Proxy 應用程序– 無法運用在加密過的資訊 (如 SSL) – 速度較慢﹐不太適用于高速網路 (ATM 或 Giga乙太網等 )

之間的應用　


Here We Are



防火牆應用結構• 傳統切割網段應用結構• NAT 應用結構• 透明模式應用結構• 校園網路應用結構• DMZ 應用結構


Legal IP : 140.116.1.0 255.255.255.128

Legal IP : 140.116.1.128 255.255.255.128

Firewall

Mail WebDesktop

DNSLAN

專線 /ADSL 路由器

GeoSwitch

Internet

傳統切割網段應用結構

安裝防火牆所有內部機器預設閘道器設定為防火牆內部 IP

Firewall 內外皆用 legal IP

140.116.1.1

140.116.1.230

140.116.1.128|

140.116.1.255

140.116.1.0|

140.116.1.127


Legal IP : 203.60.1.0 255.255.255.248

Illegal IP : 192.168.1.0 255.255.255.0

Firewall

Mail WebDesktop

DNS

Server: 使用 1 對 1 NAT

Desktop: 使用多對 1 NAT

Firewall 內部 (LAN) 使用 Illegal IP

適用於真實 IP 不多的單位 ( 如 ADSL)

LAN


NAT 應用結構GeoSwitch

Internet

192.168.1.2

192.168.1.1

192.168.1.X 192.168.1.3


Legal IP : 140.116.1.0 255.255.255.0

Legal IP : 140.116.1.0 255.255.255.0

Firewall

Mail WebDesktop

DNS

所有防火牆內部機器無視防火牆存在

LAN


GeoSwitch

Internet

透明模式應用結構

安裝防火牆所有內部機器都不需更改網路設定


安全防護

Hub

行政單位

GeoSwitch

Internet 專線 /ADSL 路由器

Core RouteSwitch

單學術單位資訊中心宿舍

安全防護管制

校園網路應用結構

安全防護


DMZ 應用結構 (1/2)

• DMZ 「非軍事區」(De-Military Zone)

• 作為企業內部網路與外部網路的緩衝區

• 制訂不同的保全政策 • 對外避免主機被入侵後危及內部網路

• 對內可管制稽核內部人員存取主機

Firewall

Open Subnet

Internet

內部網路

DMZfor servers


Legal IP : 203.69.233.24 255.255.255.248

Illegal IP : 192.168.1.0 255.255.255.0

Firewall

Desktop

DNS

Desktop: 使用多對 1 NAT

MailWeb

Illegal IP : 192.168.2.0 255.255.255.0Server: 使用 1 對 1 NAT

Firewall 內部 (DMZ & LAN) 使用 Illegal IP

LAN

DMZ


GeoSwitch

Internet

DMZ 應用結構 (2/2)


Here We Are



防火牆產品的常見功能 (1/2)

• 動態封包檢視 (Dynamic Packet Filter)

• 應用程式代理服務 (Application Proxy)

• 應用程式內容過濾功能 (Application Filtering)

• 使用者認證 (User Authentication)

• 網路安全防範機制 (Network System Security)


防火牆產品的常見功能 (2/2)

• 網路位址轉換 (Network Address Translation)

• 虛擬私有網路 (Virtual Private Network)

• 預警 (Alert)

• 即時監控記錄 (Status Monitoring and Logging)

• 監控記錄統計與分析 (Accounting and Log Analysis)


動態封包檢視• 監控 TCP/IP 網路封包的行為

• 建置於 TCP/IP 通訊協定的二、三層間，對於應用程式具備完全透通性

• 建置於系統核心 (Kernel) ，提供防火牆高效率的運作


應用程式代理服務• 提供 HTTP 、 TEL

NET 、 FTP 、 SMTP 、 POP3… 等服務

• 允許內外存取 Proxy服務

• 提供 Application Filtering 的過濾機制


應用程式內容過濾功能• Email 信件的限制 (SMTP)

– 捨棄假來源地址的信件– 可設定傳送信件的大小– 可消除內部信件傳遞路徑資訊– 提供 E-mail 位址轉換功能

• 檔案傳輸的限制 ( FTP)– 設定 Read / Write權限– 設定可傳輸的檔名

• Web 的限制 (HTTP)– 設定可否使用 FTP 、 HTTP 、 GOPHER 等權限– 設定 HTML 內容可否含有 GET 、 POST……– 使用 Wildcard(＊ )設定 URL Location 的內容


使用者認證• 密碼機制

– One-Time Password

• RADIUS, TACACS• 可限制

– 工作時間– 是否多次登入– 使用來源主機及目的地主機

– 使用的服務– 連線時間


網路安全防範機制 (1/4)• Denial of Service• Anti-Spoofing• Ping of Death• Port Scanning• SYN Flooding• IP Options• Non-First Packet• Echo Bounce


網路安全防範機制 (2/4)


Distributed Denial of Service

Internet

Hacker


知名阻斷服務攻擊• DOS

– Bonk, Tear Drop– LAND– Jolt

• DDOS– Trinoo– TFN, TFN2K– Stacheldraht

• 新一代 DOS– CodeRed– Nimda

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3% u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 -


NAT 網路位址轉換 (1/2)

• 可增加內部網路的安全性

• 並解決學校內合法IP 位址不足之問題

• 一對一轉換– 對 Internet 服務

的主機對應一個真實 IP

• 多對一轉換– 一般個人電腦共同

對應一個 IP


NAT 網路位址轉換 (2/2)

Internet

192.168.200.100

140.133.1.1

192.168.200.1 192.168.200.2

140.133.1.45

WWW PC PC


VPN 虛擬私有網路 (1/2)

• IPSec Tunneling 技術• 使用 DES or 3-DES 加解密技術

• 不同的 VPN 網路，採用不同的 Key


VPN 虛擬私有網路 (2/2)分公司或協力廠商

FirewallSecured Net

Mobile User

Internet User

Firewall

RouterWWW GeoSwitch

Secured Net

DMZ

Hacker

Internet密


預警• 主控台訊息警告• 發送警告信件• 傳呼指定的呼叫器 (B.B.Call)

• 傳送 SNMP Trap給網管軟體

• 使用者自訂之程式


即時監控記錄• 即時監控記錄表

– 規則號碼、時間、使用者、來源及目的地主機、服務使用通訊協定、存取權限、資料傳輸量、連線時間

• 系統事件發生記錄表– 時間、事件種類、記錄說明

• 系統狀態指示表• 結合多種資料庫


監控記錄統計與分析• 記錄查詢暨網路使用排名

– 網路單位排行– 使用者排行– 網路服務排行– 以長條圖或 Pie Chart表示

• 統計報表– 網路單位傳輸量統計報表– 使用者傳輸量統計報表– 網路服務傳輸量統計報表– 報表可列印或儲存成檔案以做 Billing 之用

• 網路流量時段分析


安全的網路防火牆架構

Firewall

Open Subnet

InternalPublicArea

InternalSecured

Area

RouterInternet

Firewall

Firewall部門 A

部門 C

部門 B

DMZfor publicservers

Firewall


防火牆選擇

• 是一個整體是一個整體 IntranetIntranet 的保衛者的保衛者• 必須要能補足網路作業系統之不足必須要能補足網路作業系統之不足• 要提供使用者不同平台的選擇要提供使用者不同平台的選擇• 要能提供使用者完善的後續支援能力要能提供使用者完善的後續支援能力• 提供使用者完整的安全檢查功能提供使用者完整的安全檢查功能• 提供使用者問題解決方案提供使用者問題解決方案• 提供順暢的網路運作提供順暢的網路運作• 具備優異的價格效能比具備優異的價格效能比

一個好的防火牆應該…


Here We Are



防火牆建置的迷思 (1/2)

Firewall

RouterUnsecured Net

Internet

Secured Net

WWW

Public servers 置於內部網路

GeoSwitch

Email DNS


防火牆建置的迷思 (2/2)

Internet

Public servers 置於外部網路

Firewall

RouterUnsecured Net

Secured Net

WWW

GeoSwitch

Email DNS


主機級防火牆的建置 (1/3)

Internet

Firewall

RouterUnsecured Net

Secured Net

WWW

GeoSwitch

Email DNS



Firewall

RouterUnsecured Net

Internet

Secured Net

WWW

GeoSwitch

Email DNS



Firewall

RouterUnsecured Net

Internet

DMZ

WWW

GeoSwitch

Email DNS

Secured Net


主機級防火牆的功能• 動態封包過濾• 使用者授權控管• 防止假冒位址封包入侵• 防止非法入侵攻擊• 自動修改安全政策• 線上即時監控• 即時影音告警• 監控記錄


主機級防火牆的特色

重點主機加強管理

網路通透效能提高

大中小型機構保全

架設簡單安裝容易


主機級防火牆的運用• Co-location 主機用戶• 因各種原因無法把 public servers 置於防火牆 DMZ 之使用者

• 中小企業者• 重要伺服器需要雙重保全之使用者


個人上網形態的改變• 寬頻上網服務

– ADSL– Cable Modem

• 優異的特性–高速，成本低 (flat rate)–固定 IP ， SOHO 族的最愛


使用者陷入未知的危機 (1/2)• 據研究顯示有 1/4寬頻上網的電腦是不安全的。美國網路安全偵測網站 Shields Up！以遠端偵測方式檢驗 230萬人次的上網者，發現其中有 65萬人次的電腦是容許別人進入，約佔 28% ，更有近 8% 人次的上網者檔案夾完全開放，容許任何人複製、甚至刪除裡頭的檔案– 2000/04/10 ， MSNBC

• PC 是網路安全的處女地


使用者陷入未知的危機 (2/2)• 後門程式猖獗 , 使用者不知不覺間成為『木馬屠城』的受害者

• 何謂後門程式 (Back door)?– 是一隻惡意的常駐程式，可接受攻擊者事先或事後下達的指令，從事一切可能的破壞工作

– e.g. Back Orifice 、 Trojan Horse

• 後門程式的感染途徑– Email 、網路下載、誤用除錯模式……


個人級防火牆功能• 保護使用者的隱私• 監控所有網路連線活動• 阻塞後門程式肆虐的管道• 抵禦駭客攻擊模式

– 防止 TCP/IP作業系統式的攻擊– SYN flooding, Out Of Band, IP Conflict, Ping Of

Death, Smurf……– 防止特洛依木馬 (Trojans Horse), Back Orifice, S

MB Downgrade Attack……


即時監控• 顯示並監控所有網路連線 (TCP/IP) 活動及目前正在使用的應用程式所運用的網路資源

• 可隨時中斷任何可疑的連線


智慧型網路連線控管• 可針對遠端電腦、存取

服務、存取時段、動作等制定控管規則

• 使用者可選擇依規則管制（ By Rules ）∕互動式學習

• 若選擇依規則管制，當網路連線比對不到任何規則時，會跳出畫面詢問使用者


網路存取控管• 檔案共享（ File Sharin

g ）與印表機共享（ Printer Sharing ）的控管

• 根據遠端電腦、共享資源（檔案資源或印表資源的名稱 ) 存取時段（可事先定義好工作時段、下班時段、……）控管

• 管制動作為：允許、禁止


郵件預覽過濾• 可搭配原先使用的任何電子郵件工具，並出現預覽畫面供您在真正接收電子郵件時先預覽，以節省郵件下載時間及頻寬

• 可依需求設定過濾條件(如郵件大小、寄件者、收件者、內容…… ) ，並提供您選擇兩種過濾方式( 自動刪除及標明記號後自行刪除 ) 有效過濾垃圾郵件、廣告郵件、檔案過大郵件……


系統記錄• 針對網路連線、資源共享、預警事件、系統設定……等活動，任選摘要式記錄或詳細記錄兩種模式記錄下來，供必要時可參考追蹤


Here We Are



全方位的網路安全防火牆架構

Firewall

InternalPublicArea

InternalSecured

Area

Router

Internet

Firewall

Firewall部門 A

部門 C

部門 B

DMZfor publicservers

Firewall

Mobile User

Internet User

防火牆之理論與實務

Documents