网络与系统安全笔记------边界防御技术

网络边界
连接不同安全级别的网络之间的边界就称为网络边界。
边界防御技术
常见的有四种：防火墙技术，多重安全网关技术，网闸技术，虚拟专用网技术。

• 防火墙技术： 建立网络传输的控制规则，控制进入网络的必经通道。但是其无法对应用层进行识别。
• 多重安全网关技术： 也称统一威胁管理（UTM）网关，集成多种安全特性到一个硬件中，提供一项或者多项的安全功能，能够防御的攻击比防火墙更多，但是其单一功能的性能，稳定性与安全性弱于单一功能的安全设备。
• 网闸： 在不同安全域之间通过协议转换的方式，实现数据的交换，只有被系统明确传输的数据才能进行数据交换。安全隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接。安全隔离网闸难以确保数据传输的实时性和传输效率，无法防御应用层的某些攻击。
• 虚拟专用网： （VPN）在公共网络上建立专用数据通道的技术。

防火墙

是一种高级的网络控制设备，在不同的网络或者网络安全域之间的一系列部件的组合，也是网络之间的唯一出入口，能按照一定的安全策略（允许，拒绝，监测）控制出入网络的信息流。

特性

• 内部网络与外部网络之间数据的传输必须经过防火墙。
• 只有被授权合法的数据，即在防火墙系统安全策略中允许的数据才能通过防火墙。
• 防火墙自身具有良好的安全性。
• 人机界面良好，用户配置方便，便于管理。

分类

使用对象不同：企业，个人防火墙。
实现方式不同：软件，硬件，虚拟防火墙。
部署位置不同：分布式，个人，边界防火墙。
应用场景不同：web应用，云应用，工业防火墙。

执行准则

一切未被允许的就是禁止的
默认是禁止的，设置某些规则来对数据放行，一般用于数据的接收。
一切未被禁止的就是允许的
默认是允许的，设置某些规则来限制数据通过，一般用于数据的发送。

功能

• 保护内部存在脆弱性的服务。
• 控制外部网络对内部网络的访问。
• 便于内部网络安全的集中管理。
• 隐藏内部网络的敏感信息，强化内部网络安全。
• 提供日志记录。

控制能力

• 服务控制： 确定哪些服务可以访问。
• 方向控制： 指定特定服务数据进出的流向（单向进或出，还是双向都行）。
• 用户控制： 根据用户来控制对服务的访问。
• 行为控制： 控制一个特定服务的行为。

性能指标（访问效率）

吞吐量： 不丢失数据的情况下能达到的最大转发数据包的速率。（网络性能重要指标）
时延： 从入口进入的输入帧的最后一比特到从出口发出的输出帧的第一比特所用的时间间隔。（数据处理能力）
丢包率： 在特定负载下，由于网络设备资源耗尽而丢弃帧的百分比。（稳定性和可靠性的指标）
背对背： 从空闲状态开始，以达到传输介质最小合法间隔极限的速率发送固定长度的帧，当出现第一个帧丢失时所发送帧数。（缓存能力、对网络突发数据流量的处理能力）
并发连接数： 穿越防火墙的主机或主机与防火墙间同时建立的最大连接数。（被防火墙建立和维持的TCP连接的性能和防火墙对TCP连接的响应能力）

局限性

• 其不防范不通过防火墙的攻击（绕过防火墙的攻击）
• 很难防范来自内部恶意用户和缺乏安全意识的用户带来的安全风险。
• 无法防止传送已感染病毒的文件。
• 无法防范数据驱动型的攻击。
• 对用户不完全透明，可能带来传输延迟、瓶颈及单点失效等不良影响。

体系结构

包过滤型

常作用于网络层，对每个接收的数据包做允许或者拒绝的决定。通过IP报头的信息进行判断，对比相应的过滤规则进行处理。

双宿/多宿主机

主机作为网关，其具有至少两个网络接口，分别连接内外部的网络，内外部网络都通过双宿主主机进行通信，但是内外部网络之间不能直接通信，双宿主主机实现过滤与控制（对IP层的通信进行截取）。
两个网络之间可以通过应用层的代理实现通信。

屏蔽主机

相比于双宿主结构，屏蔽主机结构在内外部网络之间多设置了一个路由器来隔开内外部网络，并将所有的外部到内部的连接都路由到堡垒主机上，不让其直接与内部主机相连。

过滤路由器

• 连接内外部网络，是内部网络的第一道防线。
• 过滤路由器将所有的外部连接路由到堡垒主机上。
• 过滤路由器的路由表应当被严格保护，否则如果路由表受到破坏，数据包就能绕过堡垒主机。

安全策略
入站连接： 允许数据包先到堡垒主机，然后与内部主机连接，或者直接禁止某种服务数据包的入站连接。
出站连接： 允许一些服务直接绕过堡垒主机，通过过滤路由器连接到外部网络。其他服务必须经过堡垒主机，并且在堡垒主机上运行该服务的代理服务器。

堡垒主机

• 位于内部网络，主机安全性高。
• 主机上一般安装代理服务，外部网络通过路由器过滤，然后通过代理服务才能进入内部网络。
• 堡垒主机在应用层对客户请求进行判断，允许或者禁止某种服务，如果请求被允许，则将数据包转发，否则就丢弃数据包。

特点

• 提供的安全等级比包过滤防火墙高，实现了网络层（包过滤）和应用层（代理服务）两种。
• 入侵者在破坏内部网络安全之前，必须渗透两种不同的系统。
• 即使入侵到内部网络，还是需要和堡垒主机竞争，堡垒主机的安全性很高。

屏蔽子网

在内部网络与外部网络之间建立一个被隔离的子网，两个分组路由器分别将子网与内外部网络隔开，内外部网络都可以访问子网内的主机，但是无法跨过子网直接1相互访问，子网充当内外部网络之间的缓冲区（DMZ，Demilitarized Zone）（非军事区）。

DMZ

• 处于内外部网络之间
• 包含两个包过滤路由器与一个或多个堡垒主机
• 内部可以放置一些信息和服务器，供内外部网络访问
• 堡垒主机位于DMZ中，即使受到攻击，入侵者仍无法直接袭击内部网络，内部网络仍受到内部过滤路由器的保护。

关键技术

包过滤

• 工作在网络层，对网络层的数据包进行分析过滤，关注网络层与传输层的保护。
• 其可以控制站点之间或者站点与网络之间的访问，无法详细的过滤传输的内容。
• 过滤的规则根据防火墙内部设置的过滤规则表，只有满足过滤规则的数据包才能转发至相应的目的地址，其余的数据包则会被丢弃。
• 其检测的内容一般为网络层的IP头，TCP，UDP，ICMP头中的数据。
  
  过滤规则
  过滤规则需要人工事先设置，其过滤的条目个数根据用户需求来来定，在进行检查时，从过滤规则中的第一个条目逐条进行，有先后的顺序。
  

特点： 简单，方便（不用额外安装软件，许多路由器都可进行设置）。但是其处理能力有限，只能处理数据包头部的部分信息，不能理解通信的上下文，各个规则之间的冲突关系无法检验，维护困难，对于端口动态分配的服务无法进行有效过滤。

应用： 双宿主主机或者路由器。

状态检测

主要工作在网络层与传输层，其将同属于一个连接的所有包作为一个整体的数据流看待，建立连接状态表，通过规则表于状态表协同，动态的决定数据包是否能通过。也称“动态包过滤技术”。
初始的报文到达时，检查其是否符合安全过滤规则，如果符合就将该连接记下，并添加相应的过滤规则，凡是属于该连接的数据，防火墙一律放行（双向）。通信结束后防火墙删除关于这条连接的过滤规则。

应用： 屏蔽主机防火墙，屏蔽子网防火墙。
特点：操作简单，效率高，安全性比静态包过滤强。但是无法对应用层数据进行过滤。

代理服务器

工作在应用层，根据安全策略处理网络服务的请求，在内外部网络之间，处理其通信来代替互相直接的通信。

客户机先将数据请求发给代理服务器，代理服务器检验数据的合法性，如果合法则发送给相关的服务器，之后再由代理服务器将数据转发给客户机。代理服务器在客户机与服务器之间是透明的。

代理服务器本身由一组以特定应用分类的代理服务器和身份验证服务器组成，每个代理服务器本身具有一定的入侵免疫和审计功能，可与身份验证服务器一起完成访问控制和操作级的控制。

特点： 隔离内外网，安全性好，可以进行用户的身份验证，可以分析数据包内部的应用命令。但是对于不同的应用服务，都要为其设置一个代理软件来进行安全控制，但是不同网络应用的安全问题各不相同，所以难以实现。