文档介绍:网络与信息安全�网络安全 (一)
潘爱民,北京大学计算机研究所
内容
TCP/IP基础
防火墙
防火墙的基本介绍
几种防火墙的类型
防火墙的配()�ei_interrupt()
output
input
网络层的处理流程
Ip_rcv()
Route table
Ip_forward()
Demasq
Ip_output()
Route table
Ip_local_deliver()
input
forward
output
传输层
链路层
masq
Linux内核中的包过滤
In_Rule1
In_Rule2
In_Rule3
Rule1
Rule2
input
forward
output
Firewall_ops
user
Accept
Deny�Reject
Ipchains的用法示例
ipchains
-j DENY
ipchains -A input -p tcp -d any -y –i eth0 -j DENY
ipchains –A input –p tcp –d 80
-i eth0 –j ACCEPT
包过滤防火墙的设置(1)
从内往外的telnet服务
client
server
外部
内部
往外包的特性(用户操作信息)
IP源是内部地址
目标地址为server
TCP协议,目标端口23
源端口>1023
连接的第一个包ACK=0,其他包ACK=1
往内包的特性(显示信息)
IP源是server
目标地址为内部地址
TCP协议,源端口23
目标端口>1023
所有往内的包都是ACK=1
包过滤防火墙的设置(2)
从外往内的telnet服务
client
server
内部
外部
往内包的特性(用户操作信息)
IP源是外部地址
目标地址为本地server
TCP协议,目标端口23
源端口>1023
连接的第一个包ACK=0,其他包ACK=1
往外包的特性(显示信息)
IP源是本地server
目标地址为外部地址
TCP协议,源端口23
目标端口>1023
所有往内的包都是ACK=1
针对telnet服务的防火墙规则
*: 第一个ACK=0, 其他=1
服务方向
包方向
源地址
目标地址
包类型
源端口
目标端口
ACK
往外
外
内部
外部
TCP
>1023
23
*
往外
内
外部
内部
TCP
23
>1023
1
往内
外
外部
内部
TCP
>1023
23
*
往内
内
内部
外部
TCP
23
>1023
1
Ftp文件传输协议
client
ftp server
命令通道:21端口
数据通道:20端口
5151 5150
21 20
PORT 5151
OK
建立数据通道
OK
Ftp文件传输协议(续)
client
ftp server
命令通道:21端口
数据通道:>1023
5151 5150
21 20
PASV
OK3267
建立数据通道
OK
3267
针对ftp的包过滤规则注意事项
建立一组复杂的规则集
是否允许正常模式的ftp数据通道?
有些ftp client不支持pasv模式
动态监视ftp通道发出的port命令
有一些动态包过滤防火墙可以做到
启示
包过滤防火墙比较适合于单连接的服务(比如smtp, pop3),不适合于多连接的服务(比如ftp)
针对包过滤防火墙的攻击
IP地址欺骗,例如,假冒内部的IP地址
对策:在外部接口上禁止内部地址
源路由攻击,即由源指定路由
对策:禁止这样的选项
小碎片攻击,利用IP分片功能把TCP头部切分到不同的分片中
对策:丢弃分片太小的分片
利用复杂协议和管理员的配置失误进入防火墙
例如,利用ftp协议对内部进行探查
应用层网关
也称为***
特点
所有的连接都通过防火墙,防火墙作为网关
在应用层上实现
可以监视包的内容
可以实现基于用户的认证
所有的应用需要单独实现
可以提供理想的日志功能
非常安全,但是开销比较大
应用层网关的结构示意图
应用层网关的协议栈结构
HTTP
FTP
Telnet
Smtp
传输层
网络层
链路层
应用层