C语言课件第五章网络访问控制

资源描述

《C语言课件第五章网络访问控制》由会员分享，可在线阅读，更多相关《C语言课件第五章网络访问控制（48页珍藏版）》请在金锄头文库上搜索。

1、第5章网络访问控制,网络安全第13讲信息安全风险评估,5.1 概述,什么是防火墙是一种访问控制技术是放置在两个网络之间的一组组件是位于两个信任度不同的网络之间的软件或硬件设备的组合。防火墙通过一组设备介入被保护对象和外部网络系统之间，对发生在被保护者和外部网络系统之间的网络通信进行有选择的限制，实现对被保护者的保护。物理隔离的指导思想：在保证必须安全的前提下尽可能互联互通,网络安全第13讲信息安全风险评估,层次式防御的战略思想,Internet,交换机,路由器,主机,网络传输设备,网络安全第13讲信息安全风险评估,网络安全第13讲信息安全风险评估,IT 领域使用的防

2、火墙概念,网络安全第13讲信息安全风险评估,防火墙的访问控制手段服务控制方向控制用户控制行为控制,网络安全第13讲信息安全风险评估,防火墙的功能,过滤进出网络的数据,管理进出网络的访问行为,封堵某些禁止的业务,记录进出网络的信息和活动,对网络攻击进行检测和告警,网络安全第13讲信息安全风险评估,防火墙的缺陷限制有用的网络服务无法保护内部网络用户的攻击无法防范通过防火墙以为的其他途径的攻击无法完全防止传送已感染病毒的软件无法防范数据驱动型攻击,网络安全第13讲信息安全风险评估,防火墙设计目标内外网络之间传输的数据必须经过防火墙只有安全策略允许的数据才

3、能通过防火墙防火墙本身不受攻击影响,网络安全第13讲信息安全风险评估,防火墙的姿态拒绝没有特别允许的允许没有特别拒绝的防火墙的整体安全策略作为总体安全策略的一部分，应避免攻击者绕过防火墙防火墙的费用,网络安全第13讲信息安全风险评估,防火墙的分类依据防火墙体系结构分包过滤防火墙双宿网关根据使用的技术包过滤防火墙应用层代理电路级网关 NAT防火墙状态检查防火墙,网络安全第13讲信息安全风险评估,防火墙的分类按组成防火墙的组件不同分软件防火墙硬件防火墙根据实现平台分基于Windows平台基于Linux平台根据保护对象分主机防火墙网络防火墙,

4、网络安全第13讲信息安全风险评估,5.2 防火墙技术,包过滤防火墙,网络安全第13讲信息安全风险评估,所有的流量都通过包过滤路由器优点：简单,网络安全第13讲信息安全风险评估,数据包,数据包,数据包,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,控制策略,数据包,过滤依据主要是TCP/IP报头里面的信息，不能对应用层数据进行处理,分组过滤判断信息,包过滤原理,网络安全第13讲信息安全风险评估,数据包过滤一般要检查网络层的IP头和传输层的头： IP源地址 IP目标地址协议类型（TCP包、UDP包和ICMP包） TCP或UDP包的目的端口 TC

5、P或UDP包的源端口 ICMP消息类型 TCP包头的ACK位,网络安全第13讲信息安全风险评估,包过滤防火墙优点处理包的速度快基本不需要额外的费用就可以实现包过滤防火墙对用户透明,网络安全第13讲信息安全风险评估,包过滤防火墙缺点定义过滤器、维护较困难只能阻止外部主机伪装成内部主机的IP地址直接经过路由器的数据包有可能被利用作数据驱动式攻击不支持有效的用户认证不能提供日志过滤器数量增加会导致性能下降无法对网络中的信息进行全面的控制,网络安全第13讲信息安全风险评估,状态检测技术在包过滤的同时，检查数据包之间的关联性、数据包中动态变化的状态码。综合了多种防

6、火墙功能，检查OSI七层信息。,网络安全第13讲信息安全风险评估,应用层代理代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。将所有跨越防火墙的网络通信链路分为两段，不允许通信直接经过外部网和内部网。外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。,网络安全第13讲信息安全风险评估,应用层代理,代理工作方式,网络安全第13讲信息安全风险评估,应用层代理,客,户,网,关,服务器,网关理解应用协议，可以实施更细粒度的访问控制对每一类应用，都需要一个专门的代理灵活性不够,网络安全第13讲信息安全风险评估,应用层代理使得网络管理员

7、能够实现比包过滤路由器更严格的安全策略。不用依赖包过滤工具来管理Internet服务在防火墙系统中的进出，而是采用为每种所需服务而安装在网关上特殊代码（代理服务）的方式来管理Internet服务。如果网络管理员没有为某种应用安装代理编码，那么该项服务就不被支持并不能通过防火墙系统来转发。代理可以配置成只支持网络管理员认为必须的部分功能。,网络安全第13讲信息安全风险评估,应用层代理应用层代理的一些实现商业版防火墙产品商业版代理(cache)服务器 Open Source TIS FWTK(Firewall Toolkit) Apache Squid,网络安全第13讲信息安全

8、风险评估,地址翻译技术NAT 目的解决IP地址空间不足问题向外界隐藏内部网结构方式 M-1：多个内部网地址翻译到1个IP地址 1-1：简单的地址翻译 M-N：多个内部网地址翻译到N个IP地址池,网络安全第13讲信息安全风险评估,地址翻译技术NAT,网络安全第13讲信息安全风险评估,地址翻译技术NAT,网络安全第13讲信息安全风险评估,地址翻译技术NAT 配置共享IP地址当需要允许内部用户访问Internet，但又没有足够的合法IP地址时，可以使用NAT配置共享IP地址。配置在Internet上发布的服务器当需要将内部设备发布到Internet上时，可以使用配置在Inte

9、rnet上发布的服务器的NAT转换方式。,网络安全第13讲信息安全风险评估,地址翻译技术NAT 配置端口映射假设在Internet上发布一台在内部网络的Web服务器，服务器配置成监听8080端口，则需要把外部网络对Web服务器80端口的访问请求重定向。配置TCP传输 TCP传输负载共享是与地址匮乏无关的问题，它将数个设备的地址映射成一个虚拟设备的地址，从而实现设备间的负载均衡。,网络安全第13讲信息安全风险评估,5.3 防火墙体系,双宿网关防火墙拥有两个连接到不同网络的接口阻止IP层通信两个网络通过应用层数据共享或应用代理服务来完成,网络安全第13讲信息安全风险评估,双宿

10、网关防火墙两种服务方式用户直接登录到双重宿主机上在双重宿主机上运行代理服务器,网络安全第13讲信息安全风险评估,防火墙,双重宿主主机,内部网络,双重宿主主机体系结构,网络安全第13讲信息安全风险评估,屏蔽主机防火墙典型构成包过滤路由器堡垒主机包过滤路由器配置在内部网和外部网之间堡垒主机配置在内部网络上堡垒主机是一种被强化的可以防御进攻的计算机是网络中最容易受到侵害的主机经常配置网关服务,网络安全第13讲信息安全风险评估,堡垒主机示意图,网络安全第13讲信息安全风险评估,因特网,屏蔽主机防火墙结构,网络安全第13讲信息安全风险评估,只允许堡垒主机可以与外

11、界直接通讯优点：两层保护：包过滤+应用层网关；灵活配置缺点：一旦包过滤路由器被攻破，则内部网络被暴露,单宿主堡垒主机方案,网络安全第13讲信息安全风险评估,从物理上把内部网络和Internet隔开，必须通过两层屏障优点：两层保护：包过滤+应用层网关；配置灵活,双宿主堡垒主机方案,网络安全第13讲信息安全风险评估,屏蔽子网防火墙两个包过滤路由器+一个堡垒主机。,三层防护，用来阻止入侵者外面的router只向Internet暴露屏蔽子网中的主机内部的router只向内部私有网暴露屏蔽子网中的主机,网络安全第13讲信息安全风险评估,DMZ区域是存在于公司内部网络和外部网络之

12、间的小型网络 DMZ由筛选路由器建立，有时是一个阻塞路由器； DMZ用来作为一个额外的缓冲区以进一步隔离公网和内部私有网络 DMZ区域包含防火墙、堡垒主机（也可以看成防火墙）、病毒网关（在某些特殊的防火墙上集成有此类功能）、入侵检测系统等,网络安全第13讲信息安全风险评估,DMZ区域构成,网络安全第13讲信息安全风险评估,其他防火墙结构,网络安全第13讲信息安全风险评估,其他防火墙结构,网络安全第13讲信息安全风险评估,其他防火墙结构,外部DMZ,外部堡垒主机,内部网,外部路由器,内部堡垒主机,内部DMZ,两个堡垒主机和两个非军事区,网络安全第13讲信息安全风险评估,其他防

13、火墙结构合并DMZ内部和外部路由器牺牲主机结构通过建立一个蜜罐网络，将黑客的注意力从合法的系统上分散开，从而跟踪并了解大量的有关这些怀有恶意的黑客的情况。使用多台外部路由器一台防火墙受到损害不会带来特别的威胁增加备份，提供紧急情况下的可用性,网络安全第13讲信息安全风险评估,5.4 防火墙实现,软件防火墙实现硬件防火墙实现Intel X86架构ASIC架构NP架构NP+ASIC架构,网络安全第13讲信息安全风险评估,5.5 物理隔离,物理隔离的指导思想与防火墙绝然不同：防火墙的思路是在保障互联互通的前提下，尽可能安全，而物理隔离的思路是在保证必须安全的前提下，尽可能互联互通。一个典型的物理隔离方案（处于完全隔离状态）,网络安全第13讲信息安全风险评估,一个典型的物理隔离方案（隔离设备处于与外网相连状态）,网络安全第13讲信息安全风险评估,一个典型的物理隔离方案（隔离设备处于与内网相连状态）,

展开阅读全文

C语言课件 第五章 网络访问控制

最新文档

C语言课件第五章网络访问控制