《13第四章防火墙》由会员分享,可在线阅读,更多相关《13第四章防火墙(70页珍藏版)》请在金锄头文库上搜索。
1、4.3 防火墙技术14.3 防火墙技术2n数据包过滤n应用层代理n电路级网关n地址翻译技术n状态检测技术n包过滤型产品是防火墙的初级产品初级产品,其技术依据是网络中的分包传输技术。n网络上的每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、 TCP/UDP源端口和目标端口等。n包过滤技术的优点是简单实用,实现成本较低优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。n包过滤技术的缺陷也是明显缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入以及
2、电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。一、数据包过滤一、数据包过滤 3数据包n图图所所示示表明在TCP/IP网络中数据包的封装与解包过程。图中的虚箭头为发送端的数据封装过程,实箭头表示接收端的数据解包过程。4一、数据包过滤一、数据包过滤数据包体传输层包头包体网络层包头包体链路层包头应用层SMTP,Telnet,FTPTCP,UDP,ICMP传输层IP网络层网络接口层ATM,Ethernet等包的封装数据解包包过滤是如何工作的包过滤技术可以允许或不允许某些包在网络上传递,它依据以下的判据:(1)将包的目的地址作为判据;(2)将包的源地址作为判据;(3)将包的传
3、送协议作为判据。 n大多数包过滤系统判断是否传送包时都不关心包的具体内容。作为防火墙包过滤系统只能让我们进行类似以下情况的操作:(1)不允许任何用户从外部网用Telnet登录;(2)允许任何用户使用SMTP往内部网发电子邮件;(3)只允许某台机器通过NNTP往内部网发新闻。n但包过滤不能允许我们进行如下操作:(1)允许某个用户从外部网用Telnet登录而不允许其它用户进行这种操作;(2)允许用户传送一些文件而不允许用户传送其它文件。 n包过滤的优缺点n包过滤方式有许多优点,而其主要优点之一是仅用一个放置在战略要津上的包过滤路由器就可保护整个网络。如果站点与因特网间只有一台路由器,那么不管站点规
4、模有多大,只要在这台路由器上设定合适的包过滤,站点就可以获得很好的网络安全保护。n包过滤不需要用户软件的支撑,也不要求对客户机做特别的设置。当包过滤路由器允许包通过时,它看起来与普通的路由器没有任何区别。此时,用户甚至感觉不到包过滤功能的存在,只有在有些包在禁入和禁出时,用户才认识到它与普通路由器的不同。包过滤工作对用户来讲是透明的。这种透明就是可在不要求用户作任何操作的前提下完成包过滤。 n尽管包过滤系统有许多优点,但是它仍有缺点和局限性:1) 在机器中配置包过滤规则比较困难;2) 对包过滤规则设置的测试也很麻烦;3) 许多产品的包过滤功能有这样或那样的局限性,要找一个比较完整的包过滤产品很
5、难。n包过滤系统本身就存有某些缺陷,这些缺陷对系统的安全性的影响要大大超过代理服务对系统的安全性的影响。因为代理服务的缺陷仅仅会使数据无法传送,而包过滤的缺陷会使得一些平常应该拒绝的包也能进出网络,这对系统的安全性是一个巨大的威胁。一、数据包过滤一、数据包过滤n包过滤规则n最早的包过滤是在路由器上进行的。通过对路由表的配置,来决定数据包是否符合过滤规则。数据包的过滤规则由一些规则逻辑描述:一条过滤规则规定了允许数据包流进或流出内部网络的一个条件。在制定了数据包过滤规则后,对于每一个数据包,路由器会从第一条规则开始诸条进行检查,最后决定该数据包是否符合过滤逻辑。数据包规则的应用有两种策略:数据包
6、规则的应用有两种策略:n默认接受默认接受:一切未被禁止的,就是允许的。即除明确指定禁止的数据包,其他都是允许通过的。这也称为“黑名单”策略。n默认拒绝默认拒绝:一切未被允许的,就是禁止的。即除明确指定通过的数据包,其他都是被禁止的。这也称为“白名单”策略。数据包的地址过滤策略n地址过滤策略概述地址过滤策略概述 按照地址进行过滤是最简单的过滤方式,它的过滤规则只对数据包的源地址、目标地址和地址偏移量进行判断,这在路由器上是非常容易配置的。对于信誉不好或内容不宜并且地址确定的主机,用这种策略通过简单配置,就可以将之拒之门外。但是,对于攻击,尤其是地址欺骗攻击的防御,过滤规则的配置就要复杂多了。基于
7、地址的过滤规则的设计基于地址的过滤规则的设计例例:某公司有一网络(123.45)。该网的子网(123.45.6.0/24)有一合作网络(135.79)。 管理员希望:(1)禁止一切来自Internet的对公司内网的访问;(2)允许来自合作网络的所有子网(135.79.0.0/16)访问公司的子网(123.45.6.0/24);(3)禁止对合作网络的子网(135.79.99.0/24)的访问权(除对全网开放的特定子网外)。 为简单起见,只考虑从合作网络流向公司的数据包,对称的处理逆向数据包只需互换规则行中源地址和目标地址即可。基于地址的过滤规则的设计基于地址的过滤规则的设计表中规则C是默认规则。
8、下表2是使用一些样本数据包对上表1所示过滤规则的测试结果。规规 则则源源 地地 址址目目 的的 地地 址址过滤操作过滤操作A135.79.0.0/16123.45.6.0/24允许允许B135.79.99.0/24123.45.0.0/16拒绝拒绝C0.0.0.0/00.0.0.0/0拒绝拒绝数据包数据包源地址源地址目的地址目的地址目标行为操作目标行为操作ABC行为操作行为操作BAC行为操作行为操作1135.79.99.1123.45.1.1拒绝拒绝拒绝拒绝(B)拒绝拒绝(B)2135.79.99.1123.45.6.1允许允许允许允许(A)拒绝拒绝(B)3135.79.1.1123.45.6
9、.1允许允许允许允许(A)允许允许(A)4135.79.1.1123.45.1.1拒绝拒绝拒绝拒绝(C)拒绝拒绝(C)表表1 该公司网络的包过滤规则该公司网络的包过滤规则表表2 使用样本数据包测试结果使用样本数据包测试结果基于地址的过滤规则的设计基于地址的过滤规则的设计n由表2可见,按ABC的规则顺序,能够得到想要的操作结果;而按BAC的规则顺序则得不到预期的操作结果,原本允许的数据包2被拒绝了。数据包数据包源地址源地址目的地址目的地址目标行为操作目标行为操作ABC行为操作行为操作BAC行为操作行为操作1135.79.99.1123.45.1.1拒绝拒绝拒绝拒绝(B)拒绝拒绝(B)2135.7
10、9.99.1123.45.6.1允许允许允许允许(A)拒绝拒绝(B)3135.79.1.1123.45.6.1允许允许允许允许(A)允许允许(A)4135.79.1.1123.45.1.1拒绝拒绝拒绝拒绝(C)拒绝拒绝(C)表表2 使用样本数据包测试结果使用样本数据包测试结果n 仔细分析可以发现,表1中用来禁止合作网的特定子网的访问规则B是不必要的。它正是在BAC规则集中造成数据包2被拒绝的原因。如果删除规则B,得到表表3所示的行为操作。基于地址的过滤规则的设计基于地址的过滤规则的设计这才是想要的结果。由此得出两点结论:数据包数据包源地址源地址目的地址目的地址目标行为操作目标行为操作AC行为操
11、作行为操作1135.79.99.1123.45.1.1拒绝拒绝拒绝拒绝(C)2135.79.99.1123.45.6.1允许允许允许允许(A)3135.79.1.1123.45.6.1允许允许允许允许(A)4135.79.1.1123.45.1.1拒绝拒绝拒绝拒绝(C)表表3 删除规则删除规则B后的行为操作后的行为操作正确地制定过滤规则是困难的;过滤规则的重新排序使得正确地制定规则变得越发困难。n 根据流经该设备的数据包地址信息决定是否允许该数据包通过n 判断依据有(只考虑IP包) 数据包协议类型TCP、 UDP、 ICMP 、IGMP等 源、目的IP地址 源、目的端口FTP、 HTTP 、D
12、NS等 IP选项源路由、记录路由等 TCP选项SYN 、ACK、 FIN 、RST等 其它协议选项ICMP、 ECHO、 ICMP、 ECHO 、REPLY等 数据包流向in或out 数据包流经网络接口1.静态包过滤静态包过滤静态包过滤工作原理静态包过滤工作原理可动态生成/删除规则分析高层协议2.动态包过滤动态包过滤也称为状态检测防火墙,自适应防火墙,它在基本包过滤防火墙的基础增加了状态检测的功能。记录和跟踪所有进出数据包的信息,对连接的状态进行动态维护和分析。一旦发现异常的流量或异常的连接,就动态生成过滤规则,制止可能的攻击行为。动态包过滤工作原理原理安全网域Host C Host D 数据
13、包数据包数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包数据包状态检测可以结合前后数据包里的数据信息进行综合分析决定是否允许该包通过控制策略数据3TCP报头IP报头分组过滤判断信息数据2TCP报头IP报头数据1TCP报头IP报头状态检测二、应用层代理n代理型防火墙也可以被称为代理服务器代理服务器,它的安全性要高安全性要高于包过滤型产品,于包过滤型产品,n代理服务器位于客户机与服务器之间代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数
14、据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。二、应用层代理应用代理防火墙工作在应用层,它针对专门的应用层协议制定数据过滤和转发规则,其核心技术是代理服务器技术。应用代理防火墙的实现是基于软件的,主要包含三个模块:客户代理模块、服务器代理和访问控制。客户代理模块负责处理客户的访问请求,由访问控制模块分析和决定是否接受该请求;如果允许,则由服务器代理模块建立与服务器的连接,转发请求;服务器代理模块将服务器的应答传递给客户代理模块,再转
15、发给客户。二、应用层代理n代理服务器的工作过程为:首先,它对该用户的身份进行验证。若为合法用户,则把请求转发给真正的某个内部网络的主机,同时监控用户的操作,拒绝不合法的访问。当内部网络向外部网络申请服务时,代理服务器的工作过程刚好相反。代理服代理服务的工作的工作过程程安全网域Host C Host D 数据包数据包数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包数据包应用代理可以对数据包的数据区进行分析,并以此判断数据是否允许通过控制策略数据TCP报头IP报头分组过滤判断信息应用代理判断信息应用代理原理应用代理原理n应用层代理的优点是:n易于配置,界面友好;n不允许内
16、外网主机的直接连接;n可以隐藏内部IP地址;n可以提供比包过滤更详细的日志记录;n可以给单个用户授权;n可以为用户提供透明的加密机制;可以与认证、授权等安全手段方便的集成。n代理技术的缺点是:n代理速度比包过滤慢;n代理对用户不透明,给用户的使用带来不便,灵活性不够;n而且这种代理技术需要针对每种协议设置一个不同的代理服务器。三、网络地址转换(NAT)n1.NAT1.NAT简介简介n网络地址翻译(NAT,Network Address Translation)就是将一个IP地址用另一个IP地址代替。n地址翻译主要用在两个方面:n第一,网络管理员希望隐藏内部网络的IP地址,这样互联网上的主机无法
17、判断内部网络的情况;n第二,内部网络的IP地址是无效的IP地址,这种情况主要是因为现在的IP地址不够用,要申请到是够多的合法IP地址很难办到,因此需要翻译IP地址。n在上面两种情况下,内部网对外是不可见的,互联网不能访问内部网,但是内部网内主机之间可以相互访问。网络管理员可以决定哪些内部的IP地址需要隐藏,哪些地址需要映射成为一个对互联网可见的IP地址。三、网络地址转换(NAT)n解决方法: 网络地址转换(Network Address Translation)被广泛应用于各种类型Internet接入方式和各种类型的网络中。n优点:n缓解IP地址匮乏问题;n对外隐藏了内部主机的IP地址,提高了
18、安全性。n2.NAT2.NAT实现方式实现方式 nNAT的实现方式有三种,即n静态转换静态转换Static NatStatic Natn动态转换动态转换Dynamic Nat Dynamic Nat n端口多路复用端口多路复用OverLoadOverLoadn3.网络地址转换网络地址转换(NAT)的实现的实现n(1)静态地址转换的实现 n假设内部局域网使用的IP地址段为:192.168.0.1192.168.0.254,路由器局域网端口(即默认网关)的IP地址为:192.168.0.1, 子网掩码为255.255.255.0,网络分配的合法IP地址范围为61.159.62.12861.159.
19、62.135,路由器在广域网中的IP地址为61.159.62.129,子网掩码为255.255.255.248 可用于转换的IP地址范围为61.159.62.13061.159.62.134。n要求将内部网址192.168.0.2192.168.0.6分别转换为合法IP地址61.159.62.13061.159.62.134。 n(1)静态地址转换的实现n 第一步,设置外部端口。 interface serial 0 ip address 61.159.62.129 255.255.255.248 ip nat outside n 第二步,设置内部端口 interface ethernet 0
20、 ip address 192.168.0.1 255.255.255.0 ip nat inside n第三步,在内部本地与外部合法地址之间建立静态地址转换。 ip nat inside source static 内部本地地址外部合法地址 n示例: nip nat inside source static 192.168.0.2 61.159.62.130n/将内部网络地址192.168.0.2转换为合法IP地址61.159.62.130 nip nat inside source static 192.168.0.3 61.159.62.131n/将内部网络地址192.168.0.3转换
21、为合法IP地址61.159.62.131 nip nat inside source static 192.168.0.4 61.159.62.132n/将内部网络地址192.168.0.4转换为合法IP地址61.159.62.132 nip nat inside source static 192.168.0.5 61.159.62.133n/将内部网络地址192.168.0.5转换为合法IP地址61.159.62.133 nip nat inside source static 192.168.0.6 61.159.62.134n/将内部网络地址192.168.0.6转换为合法IP地址61
22、.159.62.134 n至此,静态地址转换配置完毕。 n(2)动态地址转换的实现 n假设内部网络使用的IP地址段为172.16.100.1172.16.100.254,路由器局域网端口(即默认网关)的IP地址为172.16.100.1,子网掩码为255.255.255.0。网络分配的合法IP地址范围为61.159.62.12861.159.62.191,路由器在广域网中的IP地址为61.159.62.129,子网掩码为255.255.255.192,可用于转换的IP地址范围为61.159.62.13061.159.62.190。要求将内部网址172.16.100.1172.16.100.25
23、4动态转换为合法IP地址61.159.62.13061.159.62.190。 n第一步第一步,设置外部端口。 n interface serial 0/进入串行端口serial 0 nip address 61.159.62.129 255.255.255.248n /将其IP地址指定为61.159.62.129,子网掩码为255.255.255.248 nip nat outside n /将串口serial 0设置为外网端口 nn第二步第二步,设置内部端口。 ninterface ethernet 0 /进入以太网端口Ethernet 0 nip address 172.16.100.1
24、 255.255.255.0 n /将其IP地址指定为172.16.100.1,子网掩码为255.255.255.0 nip nat inside n /将Ethernet 0 设置为内网端口。 n第三步第三步,定义合法IP地址池。 n定义合法IP地址池命令的语法如下: nip nat pool 地址池名称 起始IP地址 终止IP地址 子网掩码 n其中,地址池名字可以任意设定。 n示例:ip nat pool chinanet 61.159.62.130 61.159.62.190 netmask 255.255.255.192n/指明地址缓冲池的名称为net,IP地址范围为61.159.62
25、.13061.159.62.190,子网掩码为255.255.255.192。 n第四步第四步,定义内部网络中允许访问Internet的访问列表。 n定义内部访问列表命令的语法如下: naccess-listl permit 源地址 主机掩码naccess-listl permit 172.16.100.0 0.0.0.255 n/允许访问Internet的网段为172.16.100.0172.16.100.255,主机掩码为0.0.0.255。n需要注意的是,在这里采用的是主机掩码,而非子网掩码。子网掩码与主机掩码的关系为:主机掩码+子网掩码=255.255.255.255。例如,子网掩码为
26、255.255.0.0,则主机掩码为0.0.255.255;子网掩码为255.0.0.0,则主机掩码为0.255.255.255;子网掩码为255.252.0.0,则主机掩码为0.3.255.255;子网掩码为255.255.255.192,则主机掩码为 0.0.0.63。 n第五步第五步,实现网络地址转换。 n在全局设置模式下,将由access-list指定的内部本地地址与指定的合法地址池进行地址转换。命令语法如下: nip nat inside source list 访问列表标号 pool 合法地址池名字 n示例: nip nat inside source list 1 pool ch
27、inanet n如果有多个内部访问列表,可以一一添加,以实现网络地址转换,如 nip nat insde source list 2 pool chinanet nip nat insde source list 2 pool chinanet n如果有多个地址池,也可以一一添加,以增加合法地址池范围,如 nip nat insde source list 2 pool cernet nip nat insde source list 2 pool cernet nip nat insde source list 2 pool cernet n至此,动态地址转换设置完毕。 n(3 3)端口复用
28、动态地址转换)端口复用动态地址转换(PAT)(PAT) n内部网络使用的IP地址段为10.100.100.110.100.100.254,路由器局域网端口(即默认网关)的IP地址为10.100.100.1,子网掩码为255.255.255.0。n网络分配的合法IP地址范围为202.99.160.0202.99.160.3,路由器广域网中的IP地址为202.99.160.1,子网掩码为255.255.255.252,可用于转换的IP地址为202.99.160.2。n要求将内部网址10.100.100.110.100.100.254 转换为合法IP地址202.99.160.2。 n第一步第一步,设
29、置外部端口。 interface serial 0 ip address 202.99.160.1 255.255.255.252 in nat outside n第二步第二步,设置内部端口。 interface ethernet 0 ip address 10.100.100.1 255.255.255.0 ip nat inside n第三步,定义合法IP地址池。 nin nat pool onlyone 202.99.160.2 202.99.160.2 netmask 255.255.255.252 / 指明地址缓冲池的名称为onlyonenIP地址范围为202.99.160.2,子网
30、掩码为255.255.255.252。n由于本例只有一个IP地址可用,所以,起始IP地址与终止IP地址均为202.99.160.2。如果有多个IP地址,则应当分别键入起止的IP地址。 n第四步第四步,定义内部访问列表。 naccess-list 1 permit 10.100.100.0 0.0.0.255 n允许访问Internet的网段为10.100.100.010.100.100.255,子网掩码为255.255.255.0。n第五步第五步,设置复用动态地址转换。 n在全局设置模式下,设置在内部的本地地址与合法IP地址池之间来建立复用动态地址转换。命令语法如下: nip nat insi
31、de source list访问列表号pool合法地址池名字overload n示例: nip nat inside source list1 pool onlyone overload n/以端口复用方式,将访问列表1中的私有IP地址转换为onlyone IP地址池中定义的合法IP地址。 n注意:overload是复用动态地址转换的关键词n至此,端口复用动态地址转换完成。 目的 解决IP地址空间不足问题 向外界隐藏内部网结构 方式 1-1 简单的地址翻译 多个内部网地址翻译到N个IP地址池 多个内部网地址翻译到1个IP地址 动态NAT 静态NAT 端口复用 内部网络地址NAT技术能透明地对所
32、有内部地址作转换,使外部网络技术能透明地对所有内部地址作转换,使外部网络无法了解内部网络的内部结构,同时允许内部网络使用无法了解内部网络的内部结构,同时允许内部网络使用自己编的自己编的IP地址和专用网络,防火墙能详尽记录每一个地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。主机的通信,确保每个分组送往正确的地址。总结总结NAT技术举例静态方式下,内部地址与外部IP地址总是一一对应的。如: 192.168.32.10 总是翻译成 213.18.123.110.在动态方式下,有一组全局IP地址与内部IP地址对应。例如: 192.168.32.10 总是翻译成213.1
33、8.123.100 to 213.18.123.150. 范围内第一个可用的IP地址端口复用也是一种动态方式,用一个全局IP地址加上端口号实现与内部IP地址的翻译。防火墙术语n吞吐量吞吐量:网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。n最大连接数最大连接数:和吞吐量一样,数字越大越好。但是最大连接数更贴近实际网络情况,网络中大多数连接是指所建立的一个虚拟通道。防火墙对每个连接的处理也好耗费资源,因此最大连接数成为考验防火墙这方面能力的指标。n数据包转发率:数据包转发率:是指在所有
34、安全规则配置正确的情况下,防火墙对数据流量的处理速度。n并发连接数目并发连接数目: :由于防火墙是针对连接进行处理报文的,并发连接数目是指的防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问。4.4 防火墙新技术n防火墙技术回顾n关于防火墙技术的一些观点nPC防火墙n病毒防火墙n安全网关n分布式防火墙43一、防火墙技术的回顾44n防火墙技术与产品发展回顾n防火墙产品发展的四个阶段n第一代:基于路由器的防火墙n第二代:用户化的防火墙工具套件n第三代:建立在通用操作系统上的防火墙n第四代:具有安全操作系统的防火墙1、防火墙技术与产品发展回顾n防火墙产品目前已形成一个产业,年增
35、长率达173。n五大基本功能:n过滤进、出网络的数据;n管理进、出网络的访问行为;n封堵某些禁止的业务;n记录通过防火墙的信息内容和活动;n对网络攻击检测和告警。452、防火墙产品发展的四个阶段n基于路由器的防火墙n用户化的防火墙工具套件n建立在通用操作系统上的防火墙n具有安全操作系统的防火墙463、第一代:基于路由器的防火墙n称为包过滤防火墙n特征:n以访问控制表方式实现分组过滤n过滤的依据是IP地址、端口号和其它网络特征n只有分组过滤功能,且防火墙与路由器一体473、第一代:基于路由器的防火墙n缺点:n路由协议本身具有安全漏洞n路由器上的分组过滤规则的设置和配置复杂n攻击者可假冒地址n本质
36、缺陷:一对矛盾,防火墙的设置会大大降低路由器的性能。n路由器:为网络访问提供动态灵活的路由n防火墙:对访问行为实施静态固定的控制48包过滤型防火墙包过滤型防火墙 3、第一代:基于路由器的防火墙494、第二代:用户化的防火墙工具套件n特征:n将过滤功能从路由器中独立出来,并加上审计和告警功能;n针对用户需求提供模块化的软件包;n安全性提高,价格降低;n纯软件产品,实现维护复杂。n缺点:n配置和维护过程复杂费时;n对用户技术要求高;n全软件实现,安全性和处理速度均有局限;50InternetInternet客户通过代理服务访问内部网主机客户通过代理服务访问内部网主机4、第二代:用户化的防火墙工具套
37、件515、第三代:建立在通用操作系统上的防火墙n是近年来在市场上广泛可用的一代产品。n特征n包括分组过滤或借用路由器的分组过滤功能;n装有专用的代理系统,监控所有协议的数据和指令;n保护用户编程空间和用户可配置内核参数的设置;n安全性和速度大为提高。525、第三代:建立在通用操作系统上的防火墙n实现方式:软件、硬件、软硬结合。n问题:n作为基础的操作系统及其内核的安全性无从保证。n通用操作系统厂商不会对防火墙的安全性负责;n从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统漏洞的攻击。n用户必须依赖两方面的安全支持:防火墙厂商和操作系统厂商。n上述问题在基于Windows
38、 NT开发的防火墙产品中表现得十分明显。536、第四代:具有安全操作系统的防火墙n1997年初,此类产品面市。n安全性有质的提高。n获得安全操作系统的方法:n通过许可证方式获得操作系统的源码;n通过固化操作系统内核来提高可靠性。546、第四代:具有安全操作系统的防火墙n特点:n防火墙厂商具有操作系统的源代码,并可实现安全内核;n对安全内核实现加固处理:即去掉不必要的系统特性,强化安全保护;n对每个服务器、子系统都作了安全处理;n在功能上包括了分组过滤、代理服务,且具有加密与鉴别功能;n透明性好,易于使用。556、第四代:具有安全操作系统的防火墙n第四代防火墙的主要技术与功能:n灵活的代理系统:
39、两种代理机制,一种用于从内部网到外部网的连接,另一种用于此外部网到内部网的连接;n双端口或三端口结构;n网络地址转换技术(NAT)n虚拟专网技术(VPN)566、第四代:具有安全操作系统的防火墙n安全服务器网络(SSN):对外服务器既是内部网的一部分,又与内部网完全隔离。第四代防火墙采用分别保护的策略对向外提供服务的网络提供保护,它利用一张网卡将对外服务器作为一个独立网络处理。n用户鉴别与加密n用户定制服务n审计和告警57二、关于防火墙技术的一些观点n防火墙技术是一项已成熟的技术n目前更需要的是提高性能,尤其是将它集成到更大的安全环境中去时:n用户界面和管理n互操作性n标准化n当然其他方面的改
40、进也是存在的58三、PC防火墙(1)n基于内部网的主机或其它形式上网的主机的防火墙(我们称之为PC防火墙)正是在这种意义上提出的。由于PC防火墙的对象是网络上的最终主机,所以PC防火墙的操作系统平台不如传统意义上的防火墙那样灵活,几乎没有选择的余地,完全由用户选择,这就决定了PC防火墙的核心技术事实上比传统防火墙难度更大。 59三、PC防火墙(2)n网络信息的访问控制 n数据文件的安全访问和保密存储 n实时的病毒监测 n用户通信的保密 60四、病毒防火墙(1)n防火墙技术本身应该说不适合于反病毒,由于商业上的需求,相关专家和研发单位对此还是进行了很多研究,并给出了较为有效的相关技术产品。 n病
41、毒防火墙是安装在用户计算机系统之中的反病毒监控软件,它在用户计算机本地系统与外部环境之间完成实时过滤有害病毒数据的工作,能够有效的阻止来自本地资源和外部网络资源的病毒侵害。 61四、病毒防火墙(2)n(1)保护计算机系统不受来自任何方面病毒的危害。n(2)对计算机系统提供双向的保护,即病毒防火墙能对本地系统内的病毒进行“过滤”,防止它向网络或传统的存储介质扩散。62四、病毒防火墙(2)n(3)计算机病毒侵入系统后,其突发性虽然不像一般非法入侵那样强,但计算机病毒对本地资源的快速传染则是其他非法入侵无法相比的。病毒防火墙对病毒的“过滤”具有相当好的实时性,这种实时性表现在一旦病毒入侵系统或者从系
42、统向其他资源感染,病毒防火墙会立刻监测到并加以清除。而单机版的防病毒软件主要是“静态”防病毒,不具备实时防病毒的特点。n(4)病毒防火墙本身是一个安全的系统。 这里的“安全”包含两方面的内容:n其一,病毒防火墙本身是安全的,它能够抵抗任何病毒对其进行的攻击;n其二,病毒防火墙对计算机系统来说也是安全的,在实时过滤病毒的过程中它不应该对无害的数据造成任何形式的损伤。63四、病毒防火墙(3)n(5)病毒防火墙具有简便和透明的特性。它对计算机(网络)系统提供的防病毒保护是实时的,相当于每时每刻都在为用户查、杀病毒,整个过程基本上不需要用户对其进行过多的干预,极好的保证了用户完成正常工作的效率。n(6
43、)病毒防火墙会对系统资源产生一定程度的占用,但是对于设计良好的病毒防火墙而言,这种占用应该是很小的。因为“实时性”与简便、透明等特点决定了病毒防火墙不可能占用太多的系统内存。64五、安全网关(1)n信息流五要素:ntime:时间nsrc-addr:源地址ndst-addr:目的地址nuser:用户ndata:信息内容65五、安全网关(2)n传统防火墙技术与信息流诸要素:传统防火墙技术与信息流诸要素:timesrc-addrdst-addruserdata静静态包包过滤能能能不能不能动态包包过滤能能能不能不能应用用层网关网关能能能能部分电路路级网关网关能能能能不能66五、安全网关(3)n信息出入
44、网关控制技术:n思路:信息自带标识n网关证:n信息密级、信息源、信息允许流向、是否完整n预处理+出入网关检查n对经由网关的信息流给出了一个一致的结构及访问控制机制67五、安全网关(4)外部网络外部网络带出关证带出关证的信息的信息内部网内部网安全系统安全系统去掉出关去掉出关证的信息证的信息带入关证带入关证的信息的信息去掉入关去掉入关证的信息证的信息68六、分布式防火墙(1)n传统防火墙技术的几个问题n依赖于防火墙一端可信,另一端是潜在的敌人nInternet的发展使从外部穿过防火墙访问内部网的需求增加了一些内部主机需要更多的权限n只依赖于端-端加密并不能完全解决问题n过于依赖物理拓扑结构n考虑到下面几个事实n个人防火墙已得到了广泛的应用n操作系统大多已提供了许多在传统意义上还属于防火墙的手段nIPv6以及IPSec技术的发展n防火墙这一概念还不能抛弃69六、分布式防火墙(2)n思路n主要工作防护工作在主机端n打破传统防火墙的物理拓扑结构,不单纯依靠物理位置来划分内外n由安全策略来划分内外网n具体方法:依赖于下面三点n策略描述语言:说明什么连接允许,什么连接不允许n一系列系统管理工具:用于将策略发布到每一主机处,以保证机构的安全nIPSec技术及其他高层安全协议70
