1、1,如何活用防火牆做好網路安全防護,主講:陳建民,2,為何需使用防火牆防火牆種類封包過濾型應用程式過濾型 防火牆網路架構標準架構3-Home架構多層次架構 如何建置防火牆系統如何定義存取的原則以限制未經授權的使用者存取您的網路如何管理防火牆的日誌以了解防火牆保護企業網路的作為 如何掌握防火牆的運作異常現象,用最安全的機制保護您的網路,Outline,3,Firewall的設定個人防火牆商用防火牆防火牆測試,Outline,Mobile用戶,Internet用戶,企業網路的現況,Internet,企業網路,企業分公司,商業夥伴,危機四伏,5,常見的威脅,粗心大意或不滿的員工社交工程攻擊(Soci
2、al Engineering)揚名攻擊電腦病毒(Computer Virus)惡性程式(Computer Malware)電腦蠕蟲、特洛伊木馬、惡作劇程式惡性的商業競爭電腦駭客(Hacker),6,常見的威脅(2)埠掃描,埠掃描 (Port Scanning),Web Server,Attacker,Port Scan,Port Service 20?closed 21?FTP 22?closed 23?closed 24?closed 25?SMTP,7,常見的威脅(3)阻斷服務攻擊,阻斷服務攻擊(Denial of Service Attacks)磁碟空間(Disk Space)網路頻寬(
3、Bandwidth)緩衝區(Buffers)中央處理器使用量(CPU Cycles Usage),8,安全的建議,妥善的建置完善的管理持續的稽核,安全的環境,建置,管理,稽核,9,安全等級的劃分,10,防火牆的功能,網路流量過濾(Packet Filter)過濾未經授權的網路流量資料內容過濾(Application Filter)網路位置轉譯(NAT、PAT)解決IP位址不足的問題保護內部網路位址配置隱藏網際網路服務的真實位址,11,防火牆技術的種類,封包過濾(Packet Filter)靜態(Static)檢查來源端與目的端的網路位址及埠號動態(Dynamic or Stateful Ins
4、pection)設置了一個連結狀態表 ,將過往交通的狀態記錄下來 可以分辨出那些是從企業外發出的通信服務要求,而那些是回應企業內發出通信服務的返回資料 應用層級過濾(Application Filter)檢查資料內容自由擴充功能,12,封包過濾(Packet Filter),IP封包,目的端位址來源端位址,目的端埠號來源端埠號,資料,TCP/UDP封包,13,動態過濾與靜態過濾的差異性TCP連線的建立與停止,TCP連線的結束,TCP連線的建立,14,動態過濾與靜態過濾的差異性埠掃描的方式 SYN與FIN的掃描,防火牆,內部網路,攻擊者,Internet,15,應用程式過濾(Applicatio
5、n Filter),16,如何選擇防火牆的網路架構,堡壘主機式架構(BastionHost)3-Homed架構多層次架構(Multi-Layered),17,堡壘主機式架構(Bastion Host),基本防護管理容易成本低,防火牆,內部網路,18,3-Homed架構,管理容易相對安全,內部網路,非軍事管制區DMZPerimeter Network,防火牆,19,多層次架構(Multi-Layered),管理具彈性安全性較佳成本較高,外部防火牆,內部防火牆,Internet,內部網路,非軍事管制區DMZPerimeter Network,20,各式防火牆架構的比較,21,防火牆的建置,了解企業
6、的需求,選擇適當的防火牆產品,決定網路架構,安裝防火牆,設定防火牆,開始,完成,測試防火牆,22,設定防火牆的技巧,路由(Routing)封包過濾(Packet Filtering)網路位址轉譯(NAT、PAT),23,路由(Routing),Internet,192.168.0.0255.255.255.0,202.132.10.160|202.132.10.191255.255.255.224,202.132.10.160|202.132.10.175255.255.255.240202.132.10.176|202.132.10.191255.255.255.240,24,封包過濾(Pa
7、cket Filtering),ICMP,HTTP,FTP,SMTP,存取規則,25,網路位址轉譯(NAT、PAT),NATInternal IP = 192.168.0.1External IP = 202.132.10.10,Internet,IP = 192.168.0.3,IP = 192.168.0.4,IP = 192.168.0.5,Web ServerIP = 131.107.50.1,2323,26,設定防火牆的存取控制原則,決定需求,定義規則,測試設定,修正設定,套用生效,開始,完成,27,設定防火牆的存取控制原則,注意事項注意”預設的狀態”全部啟用 or 全部拒絕以最嚴格
8、的方式進行設定紀錄所有的設定項目定期稽核使用情形,28,防火牆的紀錄(Logging),29,防火牆的監測與警示,入侵偵測效能工具警示通知E-Mail呼叫器執行程式,30,Firewall的架設,不同的系統可以針對不同的安全需求架設防火牆 堡壘主機式防火牆(Bastion Host Firewall)雙閘式防火牆(Dual-Homed Firewall) 屏障單機式防火牆(Screened Host Firewall) 屏障子網域式防火牆(Screened Subnet Firewall),31,堡壘主機式防火牆(Bastion Host Firewall)屬於封包過濾器有兩塊網路卡 進出的封
9、包均需經過該防火牆的檢查內部網路與外部網路的交通無法直接相連封包均需透過該堡壘主機的轉送,Firewall的架設,32,堡壘主機式防火牆 (Bastion Host Firewall),Internet,網卡,網卡,堡壘主機式防火牆,外部網路,內部網路,Firewall的架設,33,雙閘式防火牆(Dual-Homed Firewall)屬於代理伺服器型防火牆的一種有兩塊網路卡需安裝一特殊軟體-應用服務轉送器(Application Forwarder)所有的網路應用服務封包都需經過該應用服務轉送器的檢查應用服務轉送器將過濾掉不被系統所允許的服務要求封包,Firewall的架設,34,雙閘式防火
10、牆(Dual-Homed Firewall),Internet,網卡,網卡,應用服務轉換器,雙閘式防火牆,內部網路,伺服端,客戶端,Firewall的架設,35,屏障單機式防火牆(Screened Host Firewall) 屬於結合封包過濾器及代理伺服器功能的一種架構硬體設備除了一主機並需一路由器路由器必須有封包過濾的功能主機負責過濾及處理網路服務要求封包,Firewall的架設,36,屏障單機式防火牆(Screened Host Firewall),Internet,屏障子網域,路由器,防火牆主機,內部網路,Firewall的架設,37,屏障子網域式防火牆(Screened Subnet
11、 Firewall)屏障子網域(Screen Subnet),以加強系統的安全性結合了許多個主機及兩個路由器屏障子網域架設在外部網路與內部網路之間對外公開的應用伺服主機均需架設在屏障子網域內用外部路由器隔開外部網路與屏障子網域內部路由器則隔開內部網路與屏障子網域 將內部網路的架構、各主機IP位址及名稱(Domain Name)完全隱藏起來多次的過濾、檢查IP位址轉換的安全措施,Firewall的架設,38,屏障子網域式防火牆(Screened Subnet Firewall),Internet,路由器,路由器,公司內部網路,屏障子網域,外部路由器,內部路由器,保壘式主機,Mail Server
12、,WWW Server,FTP Server,Firewall的架設,39,Firewall的缺點,易形成網路上的交通瓶頸 防火牆一旦被攻破,入侵者將可肆無忌憚地為所欲為無法防止內部網路的使用者利用其合法的身份作破壞系統的行為 無法有效阻止開後門的行為無法有效阻止有心人士利用原作業系統的漏洞進行入侵破壞行為防火牆不提供資料完整性驗證的功能,40,個人防火牆,如何設定winxp的個人防火牆其他personal firewall如何檢查電腦的port是否被封鎖檢視firewall log,41,winxp的個人防火牆,啟動 / 關閉基本設定Windows firwwall 只阻檔單向封包(由外至內
13、)。設定那些程式或服務可以通過firewall暫時調高安全性:勾選不允許例外進階設定使某個連線不受firewall保護開放特定的由外至內的port (用於本機擔任server 時)允許回應他人的 ping設定firewall log,42,Sygate personal firewall,Sygate Personal Firewall 操作手冊重要設定規則設定 (Tools Advanced Rules) (Ref 4),43,Firewall 規則設定練習,ICMP,HTTP,FTP,SMTP,存取規則,44,如何關閉特定的服務,電腦管理 服務及應用程式範例:手動啟動 telnet以 ne
14、tstat an ,檢視 port 23是否開啟。範例:如何關閉網路芳鄰停用 NetBIOS over TCP / IP TCPIP 進階 winsFile and printer sharing for microsoft networks,45,如何關閉網路芳鄰,46,檢視firewall log,Winxp firewallSygate Personal Firewall,47,如何檢查電腦的port是否被封鎖,使用toolsIp-tools使用網站提供的工具Shields Up那些port該封鎖?其他,48,那些port該封鎖?駭客攻擊十大port (2003年72003年12月)資料
15、來源:賽門鐵克公司,49,專業防火牆功能說明,封包過濾(規則控管)頻寬管理IM/P2P 管理阻絕外來攻擊異常網路行為的偵測,50,封包過濾,以目的地或來源地IP及存取的服務作為過濾的條件訂定政策, Outgoing 或 Incoming觀察記錄以瞭解Firewall是否有正常工作開放需要的服務,關閉其餘不需要的服務有助於安全性的提升,51,頻寬管理,限制頻寬的使用,避免濫用保證其餘使用者有固定的頻寬可使用,52,IM/P2P 管理,IM 及時通訊息,程式阻擋P2P 程式控管,避免大量使用頻寬下載,造成網路阻塞觀察記錄可得知來源及使用者,53,阻絕外來攻擊,Packet flooding (TC
16、P/UDP/ICMP)Detection or probing (DROP)Anomaly Traffic or packet DOS prevent保護伺服器,避免被偵測其使用的作業系統及服務平台,54,異常網路行為的偵測,可針對個別IP 的流量及封包數做控管觀察統計記錄瞭解貴單位網路使用情形中毒(Network worm)可阻擋大量傳遞封包的使用者及電腦,55,防火牆操作介面說明,網路設定DHCP(動態IP分配)NAT規則設定(外部到內部),規則設定(內部到外部)訂製規則入侵偵測防禦統計流量,56,網路設定,57,DHCP(動態IP分配),58,NAT,59,規則設定(Incoming)外
17、部到內部,規則設定(外部到內部),60,規則設定(內部到外部)Outgoing,規則設定(內部到外部),61,訂製規則,自訂規則(外到內或內到外),62,入侵偵測防禦,63,統計流量,64,防火牆進階過濾說明(入侵偵測防禦),異常流量異常攻擊IM/P2P,65,異常流量,異常流量是針對頻寬以及封包數控管異常流量的使用可有效管理網路不當使用統計紀錄白名單Daily Quota(每日流量限制),66,異常攻擊,異常攻擊針對異常的封包及網路行為阻擋異常攻擊有提供約32種偵測或攻擊的阻擋統計紀錄誤判,67,IM/P2P,IM/P2P 的阻擋針對應用程式Messenger 及BT阻擋紀錄,68,商用防火
18、牆(Commercial Firewall ),Netscreen - http:/ Watchguard - http:/ SonicWall - http:/ Barricade - http:/ Nokia - http:/ Checkpoint - http:/ Cisco PIX - http:/ Spearhead - http:/ Protectix Prowall - http:/ Microsoft ISA - http:/ Symantec Enterprise Firewall - http:/ and Answers for IT Professionals http:/ gotop,亦向工作室Windows 網路通訊秘笈, 旗標, 施威銘研究室防毒防駭全攻略,旗標, 程秉輝,P 2-29,
