《第五章访问控制与网络隔离技术》由会员分享,可在线阅读,更多相关《第五章访问控制与网络隔离技术(117页珍藏版)》请在金锄头文库上搜索。
1、第五章第五章 访问控制访问控制与网络隔离技术与网络隔离技术信息安全信息安全勤桑邑践澄羹皖品烬徒遍庐披爪牙栖愧糙腥矮弹恩夷集耶瘦撑翼滴敏裙存第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 本章重点介绍访问控制技术、防火墙技术及网络隔离技术的基本概念、作用、分类、基本原理、防火墙的组成以及基本实现技术等。 通过本章的学习,学生应该掌握以下内容: (1)理解访问控制技术的定义、分类、手段、模型; (2)理解防火墙基本概念、作用、分类、基本原理、组成; (3)掌握防火墙基本实现技术; (4)掌握网络隔离基本原理及实现技术; (5)掌握简单防火墙软件的使用。 本章学习目标本章学习目标兆清嘻流舟
2、遏仍话曙丰琐泞倒驴袁聂比缀现栗体释过焚防归踩雹敝窍莫嘴第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术5.1访问控制技术 访访问问是使信息在主主体体和和对对象象间流动的一种交互方式。访问控制的目的是为了限制访问主体对访问客体的访问权限,能访问系统的何种资源以及如何使用这些资源。 主主体体(Subject)是指主动的实体,该实体造成了信息的流动和系统状态的改变,主体通常包括用户、进程和设备。 客客体体(Object)是指包含或接受信息的被动实体。对客体的访问意味着对其中所包含信息的访问。客体通常包括记录、块、页、段、文件、目录、目录树和程序以及位、字节、字、字段处理器、显示器、键盘、时钟
3、、打印机和网络节点、系统。5.1.1访问控制定义访问控制定义春殉掐卡良助龚席柴底渔雄军捍遵扣晚钧怠贝织介漏晰仙赁智帜链胸桶骋第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 1. 1.访问控制和其它安全内部控制的关系访问控制和其它安全内部控制的关系 控制(Control)是为了达成既定的目的和目标而采取的管理行动。管理通过计划、组织和指导一系列有效的活动为目的和目标的达成提供保障。这样,控制就成为适当的管理计划、组织和指导的必然结果。 内部控制(Internal Control)是为了在组织内保障以下目标的实现而采取的方法: (1)信息的可靠性和完整性; (2)政策、计划、规程、法律、
4、法规和合同的执行; (3)资产的保护; (4)资源使用的经济性和有效性; (5)业务及计划既定目的和目标的达成。5.1.1访问控制定义访问控制定义5.1访问控制技术粤甘添唉绪孺喀痘方勒骆煽妖镍匪码岔要依裹聊靴隙酌庇可卧舶条擎户勇第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 1.1.访问控制和其它安全内部控制的关系访问控制和其它安全内部控制的关系 访问控制(Access Control)与计算机信息系统相关的内容包括: (1)限制主体对客体的访问; (2)限制主体和其它主体通信或使用计算机系统或网络中的功能或服务的权力或能力。例如,人是主体,文件是客体。 “ “保保护护资资产产” ”
5、是内部控制和访问控制的共同目标。例如,内部控制涉及所有的资产,包括有形的和无形的资产,包括计算机相关的资产也包括和计算机无关的资产。访问控制涉及无形(知识)资产如程序、数据、程序库以及有形资产如硬件和放置计算机的房产。访问控制是整体安全控制的一部分。5.1.1访问控制定义访问控制定义5.1访问控制技术骂俗阀莉呈旦淤炮赚愚菠毙吴奎拖寺梦躯徘伏匆揪利韩君桶抖蝗媳邢适底第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 2.2.访问控制的类型访问控制的类型 安全控制包括六种类型的主要控制手段:其功能为: (1)防御型控制防御型控制用于阻止不良事件的发生。 (2)探测型控制探测型控制用于探测已经
6、发生的不良事件。 (3)矫正型控制矫正型控制用于矫正已经发生的不良事件。 (4)管管理理型型控控制制用于管理系统的开发、维护和使用,针对系统的策略、规程、行为规范、个人的角色和义务、个人职能和人事安全决策。 (5)技技术术型型控控制制是用于为信息技术系统和应用提供自动保护的硬件和软件控制手段。 (6)操操作作型型控控制制是用于保护操作系统和应用的日常规程和机制。5.1.1访问控制定义访问控制定义5.1访问控制技术伍惹爸沧狰庞隋畴兰辱脱饭繁访氢秽块戚掘踌园垢惕挺常才涯逊抢革裤椎第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 2.2.2.2.访问控制的类型访问控制的类型访问控制的类型访问
7、控制的类型 另外,也有三种和控制有关的概念: (7)补补偿偿型型控控制制在一个领域的控制能力较弱而在另一个领域控制能力较强。 (8)综合型控制综合型控制使用两个或更多的控制来加强对功能、程序或操作的控制效果。这样两个控制协同工作能够强化整个控制环境。 (9)规避型控制规避型控制的原理就是对资源进行分割管理。资源是系统或系统网络中需要管理的实体。资源可以包括物理实体如打印机、盘库、路由器和逻辑实体如用户和用户组。规避型控制的目的是将两个实体彼此分开以保证实体的安全和可靠。5.1.1访问控制定义访问控制定义5.1访问控制技术神调妒琳缝炎圾剖连赫肾癣湛玻晒来二瑞软愚刃筏殴辙侮抗辽儒艾嘴科曾第五章访问
8、控制与网络隔离技术第五章访问控制与网络隔离技术 2.2.2.2.访问控制的类型访问控制的类型访问控制的类型访问控制的类型 规避型控制的例子有:将资产和威胁分隔开来以规避潜在的风险;计算机设备和无线电接收设备分隔开来以避免扩散的电磁信号被外界截获;生产系统和测试系统分隔开来以避免对程序代码的污染和数据的破坏;将系统开发过程和数据输入过程分隔开来;将系统组件相互分隔开来。5.1.1访问控制定义访问控制定义5.1访问控制技术寇兰间熊观脂天绵科候爷湘眶严肖捍呛甚演溅骤办挛按删慢单卜疫陨永写第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 3. 3.访问控制的手段访问控制的手段访问控制的手段访问
9、控制的手段 访问控制的手段可分为物理类控制物理类控制手段、管理类控管理类控制制手段、技术类控制技术类控制手段三个层次,每个层次又可分为防御型和探测型,以下分类列出部分访问控制手段,如表 51所示。5.1.1访问控制定义访问控制定义5.1访问控制技术捐乃顿绣渤袁迭乎盂倚萍苍盖北王粉侦龄终堡面扎跌臭馈乒戮骚它硅戚装第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术访问访问控制的手段分控制的手段分控制的手段分控制的手段分类说类说明明明明物理类控制手段物理类控制手段物理类控制手段物理类控制手段管理类控制手段管理类控制手段管理类控制手段管理类控制手段技术类控制手段技术类控制手段技术类控制手段技术类
10、控制手段防防防防御御御御型型型型控控控控制制制制文书备份文书备份安全知识培训安全知识培训 访问控制软件访问控制软件围墙和栅栏围墙和栅栏职务分离职务分离 防病毒软件防病毒软件 保安保安 职员雇用手续职员雇用手续 库代码控制系统库代码控制系统 证件识别系统证件识别系统 职员离职手续职员离职手续 口令口令 加锁的门加锁的门 监督管理监督管理 智能卡智能卡 双供电系统双供电系统灾难恢复和应急计划灾难恢复和应急计划 加密加密生物识别型门禁系统生物识别型门禁系统计算机使用的登记计算机使用的登记拨拨号号访访问问控控制制和和回回叫叫系统系统 工作场所的选择工作场所的选择 灭火系统灭火系统5.15.1访问控制技
11、术访问控制技术盎独脑站穷邦揩阑集襄谨盾赌褒交吗捂振舞攫卜溯活俗弃虑夜歇涤樊批缀第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术5.15.1访问控制技术访问控制技术 访问访问控制的手段分控制的手段分控制的手段分控制的手段分类说类说明明明明 防防防防御御御御型型型型控控控控制制制制移动监测探头移动监测探头安全评估和审计安全评估和审计日志审计日志审计 烟感和温感探头烟感和温感探头性能评估性能评估入侵探测系统入侵探测系统闭路监控闭路监控强制假期强制假期传感和报警系统传感和报警系统背景调查背景调查职务轮换职务轮换物理类控制手段物理类控制手段物理类控制手段物理类控制手段管理类控制手段管理类控制手段
12、管理类控制手段管理类控制手段技术类控制手段技术类控制手段技术类控制手段技术类控制手段景草氛脑哮诗寡娇耸烂薛淄灶潭堑极古画违俊瘤声卿亿否漏袍陆分兔鸭终第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 访问控制模型是用于规定如何作出访问决定的模型。传统的访问控制模型包括一组由操作规则定义的基本操作状态。典型的状态包含一组主体(S)、一组对象(O)、一组访问权(AS,O)包括读、写、执行和拥有。 访访问问控控制制模模型型涵涵盖盖对对象象、主主体体和和操操作作,通通过过对对访访问问者者的的控控制制达达到到保保护护重重要要资资源源的的目目的的。对象包括终端、文本和文件,系统用户和程序被定义为主体
13、。操作是主体和对象的交互。访问控制模型除了提供机密性和完整性外还提供记帐性。记帐性是通过审计访问记录实现的,访问记录包括主体访问了什么对象和进行了什么操作。 5.1.35.1.3主机访问控制模型主机访问控制模型主机访问控制模型主机访问控制模型5.15.1访问控制技术访问控制技术日茵勾戚鼻狰沥猿肢板味欺正詹迹懂咋剑癣傀豁箔艘爷室厘悍夏锥愿耗肌第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术5.1.25.1.2主机访问控制模型主机访问控制模型主机访问控制模型主机访问控制模型5.15.1访问控制技术访问控制技术自主访问控制强制访问控制基于角色访问控制访问控制闺琢梭绝停聋妒涨措碾人毅胡辟船亡氓
14、吁畔码锻锥项赣夹低乙筷曰虫宴掩第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术表 52访问矩阵 客客 体体 主体主体 O1 O1 O2 O2 O3 O3S1S1 读读/ /写写 S2 S2写写读读 S3 S3 管理管理5.15.1访问控制技术访问控制技术那毛崖地进发督梯命坯掇尘吹痴棵灯咆湍原仲订被干赊培讶铁闰急佰恢伏第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 1.1.1.1.自主访问控制自主访问控制自主访问控制自主访问控制(DAC-discretionary Access Control) 自主访问控制是由客体自主地确定各个主体对它的直接访问权限(又称访问模式)。 这种方
15、法能够控制主体对客体的直接访问,但不能控制主体对客体的间接访问(利用访问的传递性,即A可访问B,B可访问C,于是A可访问C)。 目前常用的操作系统中的文件系统,使用的是自主访问控制方式,因为这比较适合操作系统的资源的管理特性 。 自主访问控制经常通过访问控制列表实现,访问控制列表难于集中进行访问控制和访问权力的管理。5.1.2主机访问控制模型主机访问控制模型5.15.1访问控制技术访问控制技术灰矛扭于藉犬萝运托悔追阐诗追冷秩赡展京坠梢惮苑交枯捉碌嗓卵律臂岗第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 2.2.2.2.强制强制访问控制访问控制访问控制访问控制(MAC-Mandator
16、y Access Control) 强制访问控制是一种不允许主体干涉的访问控制类型。它是基于安全标识和信息分级等信息敏感性的访问控制。 由一个授权机构为主体和客体分别定义固定的访问属性,且这些访问权限不能通过用户来修改。B类计算机采用这种方法,常用于军队和政府机构。 例如将数据分成绝密、机密、秘密和一般等几类。用户的访问权限也类似定义,即拥有相应权限的用户可以访问对应安全级别的数据,从而避免了自主访问控制方法中出现的访问传递问题。这种方法具有层次性的特点,高级别的权限可访问低级别的数据。5.1.2主机访问控制模型主机访问控制模型5.15.1访问控制技术访问控制技术纬猫溯尺摹咨带比香溢蛙稚王巷戎
17、哈加俱透清评刑贡沼楼闪翁迎恭诫夜冰第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术3.3.基于角色的访问控制基于角色的访问控制 是对自主控制和强制控制机制的改进,它基于用户在系统中所起的作用来规定其访问权限。这个作用(即角色rule)可被定义为与一个特定活动相关联的一组动作和责任。角色包括职务特征、任务、责任、义务和资格。 例如担任系统管理员的用户便有维护系统文件的责任和权限,而并不管这个用户是谁。 5.1.25.1.2主机访问控制模型主机访问控制模型主机访问控制模型主机访问控制模型5.15.1访问控制技术访问控制技术淆蹲抢视串钙邢分指咀贼桂实锣噪壹惑斯奥脂精岗何艰娱匈犹磅徒悦誉衫第五
18、章访问控制与网络隔离技术第五章访问控制与网络隔离技术3.3.基于角色的访问控制基于角色的访问控制 特点:特点: (1)提供了三种授权管理的控制途径:改变客体的访问权限;改变角色的访问权限;改变主体所担任的角色。 (2)提供了层次化的管理结构,由于访问权限是客体的属性,所以角色的定义可以用面向对象的方法来表达,并可用类和继承等概念来表示角色之间的关系。 (3)具有提供最小权限的能力,由于可以按照角色的具体要求来定义对客体的访问权限,因此具有针对性,不出现多余的访问权限,从而降低了不安全性。 5.1.25.1.2主机访问控制模型主机访问控制模型主机访问控制模型主机访问控制模型5.15.1访问控制技
19、术访问控制技术忽躇续袍环疙受前糟挟趾匡谊匿霖鼓卖搅磕争赋嫁捍躬嚏卤废尽墓长李枫第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术3.3.3.3.基于角色的访问控制基于角色的访问控制基于角色的访问控制基于角色的访问控制 特点:特点:特点:特点:(4)具有责任分离的能力,不同角色的访问权限可相互制约,即定义角色的人不一定能担任这个角色。因此具有更高的安全性。 非任意访问控制(non-discretionary access control)是为满足安全策略和目标而采用的一系列集中管理的控制手段。访问控制是由访问者在机构中的角色决定的。角色包括职务特征、任务、责任、义务和资格。访问者在系统中的
20、角色有管理者赋予或吊销。5.1.25.1.2主机访问控制模型主机访问控制模型主机访问控制模型主机访问控制模型5.15.1访问控制技术访问控制技术钻介桓弦务蚤宙禽湃搬川伏爬鞋祸排摆嗜姨刑柱览谱标耸摸行趋擅果赁柜第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 信息系统中所有可控制的资源均可抽象为客体,对客体实施动作的实体称为主体,主体对客体所实施的动作需要通过访问矩阵(Access Matrix)得到授权,如表 52所示,其中,矩阵列展现控制,矩阵行展现能力。 这些授权对于主体可表示为访问权限,对于客体可表示为访问模式。显然,访问权限应是访问模式的子集。5.15.1访问控制技术访问控制技
21、术5.1.35.1.3主机访问控制的基本方案主机访问控制的基本方案主机访问控制的基本方案主机访问控制的基本方案接瘟嘲烯仍滩署历互琉烙菩辩涡革本嗽挨锈萄势亢吓轨旨四概岭止伎亢谊第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术表 52访问矩阵 客客 体体 主体主体 O1 O1 O2 O2 O3 O3S1S1 读读/ /写写 S2 S2写写读读 S3 S3 管理管理5.15.1访问控制技术访问控制技术痕签贵冈苞叔碴渍随拼殖阮狗卡迢逸靡恐搽粥从皖柳娶玫滑钻花拌摇卯雪第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术1.访问控制表方案访问控制表方案这是一种传统的授控机制,用访问矩阵表示,以
22、客体为索引。即每一个访问控制列表(ACL-Access Control List)是客体(目标对象)的属性表,它给定每个主体(用户)对给定的目标的访问权限,即一系列实体及其对资源的访问权限的列表。5.15.1访问控制技术访问控制技术5.1.35.1.3主机访问控制的基本方案主机访问控制的基本方案主机访问控制的基本方案主机访问控制的基本方案User AUser AOwnOwnR RW WO OUser BUser BR R O OUser CUser CR RW WO OObject1Object1详弥评兔柞围软瘁侨般配俗煮插德钾应萌乍闯仗篱氛剐晨瘪畔璃傣青骸馆第五章访问控制与网络隔离技术第五章
23、访问控制与网络隔离技术 维护访问控表和实施访问控制本质上是系统和围绕目标的环境的责任。访问控制列表反映了一个目标对应于访问矩阵列中的内容。因此,基于身份的访问控制策略包括基于个人的、基于组的和基于角色的多重策略,可以用很简单地应用访问控制列表来实现。基本的访问控制列表概念能以多种形式推广。 5.15.1访问控制技术访问控制技术5.1.3主机访问控制的基本方案主机访问控制的基本方案砂氛坚脱碱唯荐咳芍伸妓逼扇迹律狰归耽酷放茄佩吐纬牟便旧奖撮挣句濒第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术身份身份类型型允允许权限限拒拒绝权限限时间限制限制位置位置限制限制用户A个人读、写、管理用户B组读
24、用户C角色写、管理用户D组读、写管理8:00-20:00本地终端表 53 访问控制列表示例5.15.1访问控制技术访问控制技术5.1.3主机访问控制的基本方案主机访问控制的基本方案语岩夏柄抗轨钥屎诗幕康旗龙淤图榜螺氧姆拉胆吉芬红尺构歌倪亥愁蒙俯第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 访问控制列表最适合于有相对少的需要补区分的用户,并且这些用户中的绝大多数是稳定的情况。如果访问控制列表太大或经常改动,维护访问控制列表会成为最主要的问题。5.15.1访问控制技术访问控制技术5.1.3主机访问控制的基本方案主机访问控制的基本方案鼓焦藐吻四到酝撒霜末辩抒蛋伤蒂抒佣翌贰伎语秋却坞敛的宅
25、蔽疼淳稻酣第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术2.2.访问能力表方案访问能力表方案(CL-Capabilities List) 访问能力表这也是一种矩阵表示法,但以主体为索引。每个主体对应有一个访问能力表,指出对各个客体的访问权限。这种方法的优缺点与直ACL相反。在分布式系统中,可允许主体只进行一次认证便获得它的CL,不必在会话期间不断地对各个分布的系统进行授权申请和处理。5.15.1访问控制技术访问控制技术5.1.35.1.3主机访问控制的基本方案主机访问控制的基本方案主机访问控制的基本方案主机访问控制的基本方案Obj2Obj2OwnOwnR RW WO OObj2Obj
26、2R R O OObj2Obj2R RW WO OUser AUser A躺拎汝提喜反奉躇鲤胞禄乡纺粗誉吨葡床溪愤率晴燥减挪约技壬枢梅十须第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术2.2.访问能力表方案访问能力表方案 网络中通常包括多种安全区域。直接地围绕一个目标的安全区域,通常立即需要一个关于该目标的访问决策的表达。然而,访问能力适合于联系相对少的目标,并且对发起者访问控制决策容易实现的情况。访问能力方案的实施主要依赖于在系统间所采用的安全传递能力。其缺点是,目标的拥有者不容易废除以前授予的权限。 5.15.1访问控制技术访问控制技术5.1.35.1.3主机访问控制的基本方案主
27、机访问控制的基本方案主机访问控制的基本方案主机访问控制的基本方案败舍条督世茫摔蚜泊扁丑夯俞弄腮拙伸图港份摆牲县挖询吠传汰韭校睛隋第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术5.15.1访问控制技术访问控制技术5.1.35.1.3主机访问控制的基本方案主机访问控制的基本方案主机访问控制的基本方案主机访问控制的基本方案3.3.授权关系方案授权关系方案 授权关系(Authorization relations)这种方案是ACL与CL的结合,使用关系来表示访问矩阵。每个关系表示一个主体对一个客体的访问权限,并使用关系式数据库来存放这个访问矩阵访问矩阵访问矩阵访问矩阵。用户用户A权限权限目标
28、目标UserARObj1UserAW Obj1UserAWObj2UserARObj2奖旷挥凳芭释杭眉征核我敢迟震斜稽怎邵佛季版洛练莹友呈细猪烛锈冉蕊第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 网络中通常包括多种安全区域。直接地围绕一个目标的安全区域,通常立即需要一个关于该目标的访问决策的表达。然而,访问能力适合于联系相对少的目标,并且对发起者访问控制决策容易实现的情况。访问能力方案的实施主要依赖于在系统间所采用的安全传递能力。其缺点是,目标的拥有者不容易废除以前授予的权限。5.15.1访问控制技术访问控制技术5.1.35.1.3主机访问控制的基本方案主机访问控制的基本方案主机访
29、问控制的基本方案主机访问控制的基本方案淬坡蜀唱鳃粒蚕绸宛纸仇哆枕世臂蹄窜孺恃愧傈佯轩翁嚣骤骄凸捧琉烽昌第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 访问控制管理涉及访问控制在系统中的部署、测试、监控以及对用户访问的终止。虽然不一定需要对每一个用户设定具体的访问权限,但是访问控制管理依然需要大量复杂和艰巨的工作。访问控制决定需要考虑机构的策略、员工的职务描述、信息的敏感性、用户的职务需求等因素。5.1.45.1.4主机访问控制管理主机访问控制管理 5.15.1访问控制技术访问控制技术瑰陨衣反六蝇翱引泊篇竖眷用戈持演责颧笨巧舞脚累捍彼淆耕郊惊判登雕第五章访问控制与网络隔离技术第五章访问
30、控制与网络隔离技术 有三种基本的访问管理模式: (1)集中式 (2)分布式 (3)混合式 每种管理模式各有优缺点。应该根据机构的实际情况选择合适的管理模式。 5.15.1访问控制技术访问控制技术5.1.45.1.4主机访问控制管理主机访问控制管理主机访问控制管理主机访问控制管理 锤腐屉宙痊锦三抗逮蛙橡龙木跳熄涣赏槐扩梅忙京仁誓袒刊饰澈懈善常忠第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术1.1.1.1.集中式管理集中式管理集中式管理集中式管理 集中管理就是由一个管理者设置访问控制。当用户对信息的需求发生变化时,只能由这个管理者改变用户的访问权限。由于只有极少数人有更改访问权限的权力,
31、所以这种控制是比较严格的。每个用户的账号都可以被集中监控,当用户离开机构时,其所有的访问权限可以很容易地被终止。因为管理者较少,所以整个过程和执行标准的一致性就比较容易达到。但是,当需要快速而大量修改访问权限时,管理者的工作负担和压力就会很大。 5.15.1访问控制技术访问控制技术5.1.45.1.4主机访问控制管理主机访问控制管理主机访问控制管理主机访问控制管理 瑶寒檀癣南典吕建衫赶爽水俊颈俩锻答冠芬市聊砂铰形哉玩刑唁极豌亦魄第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术2.2.2.2.分布式管理分布式管理分布式管理分布式管理 分布式管理就是把访问的控制权交给了文件的拥有者或创建者
32、,通常是职能部门的管理者(functional managers)。这就等于把控制权交给了对信息负有直接责任、对信息的使用最熟悉、最有资格判断谁需要信息的管理者的手中。但是这也同时造成在执行访问控制的过程和标准上的不一致性。在任一时刻,很难确定整个系统所有的用户的访问控制情况。不同管理者在实施访问控制时的差异会造成控制的相互冲突以致无法满足整个机构的需求。同时也有可能造成在员工调动和离职时访问权不能有效地清除。5.15.1访问控制技术访问控制技术5.1.45.1.4主机访问控制管理主机访问控制管理主机访问控制管理主机访问控制管理 洁熔冲袁抒簿醚悉夫呼缴瘦耙沪消设蟹燕筒勘受勃恳轨笺宁泪蝉褒日琉解
33、第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术3.3.混合式管理混合式管理 混合式管理是集中式管理和分布式管理的结合。它的特点是由集中式管理负责整个机构中基本的访问控制,而由职能管理者就其所负责的资源对用户进行具体的访问控制。混合式管理的主要缺点是难以划分哪些访问控制应集中控制,哪些应在本地控制。 5.15.1访问控制技术访问控制技术5.1.45.1.4主机访问控制管理主机访问控制管理主机访问控制管理主机访问控制管理 步姆爽肌漏逛菊雇恍艇罗粳而疏起晚荒暴炳闯佬木铝潘彤壶郴骨张茬略淋第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术5.2防火墙技术 防火墙是一种安全有效的防范技术
34、,是访问控制机制、安全策略和防入侵措施。 从狭义上讲,防火墙是指安装了防火墙软件的主机或路由器系统; 从广义上讲,防火墙还包括了整个网络的安全策略和安全行为。它是通过在网络边界上建立起来的相应网络安全监测系统来隔离内部和外部网络,以确定哪些内部服务允许外部访问,以及允许哪些外部服务访问内部服务,阻挡外部网络的入侵。 角笼寞两吭竖丹暑看吧穷獭帝递悦婉臭芝哉兆他旁燃忽谈竟宁币松阴办竣第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术防火墙在Internet与内部网中的位置 5.2防火墙技术徐腋糙灶凰挖话匡痉脏巴建阉疚踏企且皖溃勋接拽股寡雹抨鱼傲码磊荷捶第五章访问控制与网络隔离技术第五章访问控
35、制与网络隔离技术 1. 1.防火墙的作用防火墙的作用 防火墙从本质上说是一些设备,是外部网络访问内部网络的访问控制设备,是用来保护内部网络的数据、资源和用户声誉的。防止Internet上的危险(病毒、资源盗用等)传播到的网络内部。这样的设备通常是单独的计算机,路由器或防火墙盒(专有硬件设备)。 它们充当访问网络的唯一入口点,并且判断是否接收某个连接请求。只有来自授权主机根据用户的服务需要,保证一定的安全系数。5.2.15.2.1防火墙概述防火墙概述防火墙概述防火墙概述5.2防火墙技术域辩琳揽宽教霉亚革菱藐罪呐拒榷吟铃放佬澄堑咖驹页筑廊着为耶功鸽贪第五章访问控制与网络隔离技术第五章访问控制与网络
36、隔离技术 1. 1.防火墙的作用防火墙的作用 5.2.15.2.1防火墙概述防火墙概述防火墙概述防火墙概述5.2防火墙技术q把安全网络连接到不安全全网上。q保护安全网络最大程度地访问网络。q 将不安全网络转变成安全网络。间谍:试图偷走敏感信息的黑客的和闯入者; 盗窃:盗窃对象包括数据、磁盘空间、资源等; 破坏系统:通过路由器或主机/服务器蓄意破坏文件系统或阻止授权用户访问内部网络(外部网络)和服务器。秩辫乘般晰春亏狞虐受惺浴专墓海混牡贷末葱走胜纪贴筛膜揣窖盲晓真铃第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术2.2.2.2.防火墙设置的必要性防火墙设置的必要性防火墙设置的必要性防火墙
37、设置的必要性 (1 1)集中化的安全管理,强化安全策略)集中化的安全管理,强化安全策略 由于Internet上每天都有上百万人在 那里收集信息、交换信息,不可避免地会出现个别品德不良的人,或违反规则的人,防火墙是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅容许“认可的”和符合规则的请求通过。 (2 2)网络日志及使用统计)网络日志及使用统计 因为防火墙是所有进出信息必须通路,所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录,对网络存取访问进行和统计。5.2.15.2.1防火墙概述防火墙概述防火墙概述防火墙概述
38、5.2防火墙技术始伪性率卑涩萧诵恐龋姆耸淤峦棘聘壶劲桃胆熄柞恋挖胶让辞溉强淮场调第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术2.2.2.2.防火墙设置的必要性防火墙设置的必要性防火墙设置的必要性防火墙设置的必要性 (3 3)保护那些易受攻击的服务)保护那些易受攻击的服务 防火墙能够用来隔开网络中一个网段与另一个网段。这样,能够防止影响一个网段的问题通过整个网络传播。 (4 4)增强的保密)增强的保密 用来封锁有关网点系统的DNS信息。因此,网点系统名字和IP地址都不要提供给Internet。 (5 5)实施安全策略)实施安全策略 防火墙是一个安全策略的检查站,控制对特殊站点的访问。
39、所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。5.2.15.2.1防火墙概述防火墙概述防火墙概述防火墙概述5.2防火墙技术桥茵泥像劣股虹斑荫担拇雕铁琅锅族乍饯爵尺苗兆峨娥架径要颗湖抵浩上第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术3. 3.防火墙组成防火墙组成防火墙组成防火墙组成 5.2.15.2.1防火墙概述防火墙概述防火墙概述防火墙概述5.2防火墙技术安全操作系统网关认证socksE-mail处理代理认证域名服务过滤器专专用网用网Internet磐貌傈稽瓮砰涸琐现迟情语墅文鸵扩词贬箭亮侥缕欺翠欢相迹蚤禽氖拂付第五章访问控制与网络隔离技术
40、第五章访问控制与网络隔离技术5.2.15.2.1防火墙概述防火墙概述防火墙概述防火墙概述5.2防火墙技术 防火墙由安全操作系统 过滤器:过滤器(filter)阻止某一类别的流量 网关 域名服务 E-mail处理等部分组件构成,如图 56所示。 SOCKS协议:IETF的AFT(Authenticated Firewall Traversal) 工作组开发了一种同时支持TCP和UDP应用穿越防火墙的通用认证框架。 菜曙蘑请垫撼枷互靴逞湾为暮催谩登抖姜只富伞谱武漏舅钱雁美苏挤曾棘第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术开放式Internet接入过滤器过滤器、网关过滤器、网关和域名服
41、务及邮件处理过滤器、网关、域名服务、邮件处理、安全操作系统过滤器、网关、域名服务邮件处理、数据完整性、安全操作系统无接入功能安全性完全安全性安全级4.4.4.4.防火墙的安全级防火墙的安全级防火墙的安全级防火墙的安全级 根据防火墙的安全策略的不同,防火墙的安全级别也不同。5.2.15.2.1防火墙概述防火墙概述防火墙概述防火墙概述5.2防火墙技术邱抱侗痴鸯渔冻届孝唬馈撬威廊贮裤松尊伺粘郡激戌段秆留苫特回桨芜求第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术5.防火墙不能对付的安全胁协防火墙不能对付的安全胁协 (1)不能防范来自内部恶意的知情者的攻击 防火墙不能防止专用网中内部用户对资源
42、的攻击。它只是设在专用网和Internet之间,对其间的信息进行干预的安全设施。防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上,放在 公文包中带出去。 (2)不能防范不通过它的连接 只对所有通过防火墙的进行Internet数据流进行处理,才能发挥防火墙的作用。防火墙能够有效地防止通过它进行传输信息,然而不能防止不通过它而传输的信息。如果用网中有些资源绕过防火墙直接与Internet连通,则得不到防火墙的保护。5.2.15.2.1防火墙概述防火墙概述防火墙概述防火墙概述5.2防火墙技术敛辨杆登唱赡淘绳养杆盼睬唐醛查零辽容巳虹郡幸衫渔掷筋庐靳窜绊绚娇第五章访问
43、控制与网络隔离技术第五章访问控制与网络隔离技术5.防火墙不能对付的安全胁协防火墙不能对付的安全胁协 (3)(3)防火墙不能防范病毒防火墙不能防范病毒 一般防火墙不对专用网提供防护外部病毒的侵犯。病毒可以通过FTP或其它工具传至专用网。如果要实现这种防护,防火墙中应设置检测病毒的逻辑。 (4) (4)不能防备全部的威胁不能防备全部的威胁 防火墙被用来防备已知的威胁,如果是一个很好的防火墙设计方案,可以防备新的威胁,但没有一个防火墙能自动防御所有的新的威胁。 5.2.15.2.1防火墙概述防火墙概述防火墙概述防火墙概述5.2防火墙技术束蘸政磺侍蚕嗽吓捏靛鳞杭尺纽浪月宋意口宣摈二拆赫役见咱鹰宿饭路按
44、第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 防火墙系统的体系结构可以说成为够成防火墙系统的拓扑结构。 网络对外呈现的安全水平依赖于所用防火墙系统的体系结构。一般将防火墙体系结构区分三种。1.1.1.1.双宿主机体系结构双宿主机体系结构双宿主机体系结构双宿主机体系结构2.2.屏蔽主机体系结构屏蔽主机体系结构3.3.屏蔽子网体系结构屏蔽子网体系结构5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术配写栓磅潮搜潞付利戈碟力琼版烙撵扎谅饱娱惹渝彰乔聋蚁倍操虹润补糜第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术1.
45、1.双宿主机体系结构双宿主机体系结构 (1)多宿主机(multi-homed host) 多宿主机一词用来描述具有多个网络 接口板控制的的主机。它们被广泛用于两个或多个局域网的系统中。5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术网络板网络板网络板网络1网络2网络3可选路由功能多宿主机属妊旭访成舵蹭刀冠妓恕厢羽臣痢搪岳播围侵挝蕾部脑饶墒证疫戴牲熙诈第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术1.1.双宿主机体系结构双宿主机体系结构 (2)(2)双宿主机双宿主机 双宿主机体系结构是多宿主机的一个特例,是连接两个网络
46、的计算机系统,是围绕具有双宿主的主机计算机而构筑的,这样的主机可以充当与这些接口相连的网络之间的路由器,并能够从一个网络到另一个网络发送IP数据包。然而,实现双宿主机的作为防火墙的双宿主机体系结构禁止这种发送IP数据包功能。5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术天绣施掳辨顺潜日加甩净矿闷震临象凭雍碾右晕赖巨缠姬识蛤蜕砾构钝躺第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术1.1.双宿主机体系结构双宿主机体系结构 5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结
47、构5.2防火墙技术主机A主机B侦苫涣灿十刁冶念健拍种梳撬抑跑考锡徽半生艾千婉贫廊债沉妹碟损梦祝第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 网络1上的主机A可以访双宿主机上的应用程序A。类似的,主机B可以访问双宿主机上的应用程序B。双宿主机上的这个两个应用程序甚至可以共享数据来交换信息是完全可能的,并且,在双宿主机上相连的两个网络段之间没有网络流量的交换。 双宿主机网关是在堡垒主机中插装两块网络口卡,并在其上运行服务器软件,受保护网与Internet之间不能直接进行通信,必须经过壁垒主机,因此,不必现实的列出保护网与外部网之间的路由,从而达到受保护网除了看到壁垒主机之外,不能看到其
48、他任何系统效果。5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术务呆欲杏矩撅渍皱虞冬硕盖镊捆畴靡嫡或袜剿绕衔宗菊做诛襟接摄奎盆林第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 因而,IP数据分组从一个网络(例如,Internet)并不是直接发送到其它网络(例如,内部的、被保护的网络)。防火墙内部的系统能与双宿主机通信,同时防火墙外部的系统(在Internet上)能与双宿主机通信,但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。 双宿主机的防火墙体系结构很简单,双宿主机位于两者之间,并且被连接到Intern
49、et和内部的网络。如图 510所示.5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术达淌哗壮尖募落榴膨箔演犯歌工幻燥执警狰忽昼跑兢橱灰拎叹屯伤敢饮赠第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 作为防火墙的双宿主机 外部内部5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术相椒胶在犬订粗硬式伍崭缔悯奈替并沿亦甜恰阮仓盾晶疲艺府耙培问紊域第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 双宿主机是防火墙使用的最基本配置,双宿主防火墙主机的重要性
50、是路由被禁;网段之间唯一的路径是通过应用层的功能。如果路由意外地设有配置,且IP转发允许,那么双宿主防火墙的应用层功能就可能被越过。5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术钞貉痰妙顽东氛灭潘蔗酉锈强担抄罕沾谩抉玖疲烟拄君扶越某渍街耘呈唾第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 屏蔽主机体系结构 2.2.屏蔽主机体系结构屏蔽主机体系结构 屏蔽主机体系结构防火墙配置需要一个带数据分组过滤功能的路由器和一台堡垒主机,如图所示。.5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防
51、火墙系统的体系结构5.2防火墙技术摸伏诚冕匙雕事题之驯跟舒刽遂拯韩欢贮棠俞恋给铂渣讯励钦坑缴统朽维第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术2.2.屏蔽主机体系结构屏蔽主机体系结构 在这种体系结构中,防火墙系统提供的安全等级较高,因为它实现了网络层安全和应用层安全。所以入侵者在破坏内部网络安全之前,必须首先渗透两种不同的安全系统。 使用一个单独的路由器控制所有出入内部网的访问,并将所有的请求传送给堡垒主机。主要的安全由数据包过滤。代理服务将通过防火墙的通信链路分为两段:防火墙内外的计算机系统的应用层链路优先两个终止于Proxy Server的“链路”来实现:外部计算机的网络链路只
52、能达到Proxy Server,从而内网与外网计算机系统实现隔离。5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术迹剖跨渍汞威玩霜帚肘瓶匿疑驶摄予漏趣盼仟诡耸心县屋躬苔讫鸟曲斥衷第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术3.3.屏蔽子网体系结构屏蔽子网体系结构 屏蔽子网体系结构添加额外的安全层到屏蔽主机体系结构。用两个分组过滤路由器和一个堡垒主机,在内部网络与Internet之间有一个小型的独立网络,即通过添加周边网络更进一步地把内部网络与Internet隔离开,如图所示。5.2.25.2.2防火墙系统的体系结构
53、防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术积呸递莆打骆扫晕骚凝麻财袍拟虞霸耶额循芦虫纂软绞摘唬伏残窄葱雕峭第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术3.3.屏蔽子网体系结构屏蔽子网体系结构 5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术姻酉渊裳热渝洗箱酣坞近倔厕鱼苞椎堆走振尿玛黎忱体狡攻措掉拧拦辐妮第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 3.3.屏蔽子网体系结构屏蔽子网体系结构 两个分组过滤路由器,一个位于周边网与内部的网络之间,另一个位于周边网与外部网络之间
54、。 通过屏蔽子网防火墙访问内部网络要受到路由器过滤规则的保护。堡垒主机、信息服务器、调制解调器组以及其他公用服务器放在子网中。屏蔽子网中的主机是内部网和Internet都能访问唯一系统,他支持网络层和应用层安全功能。 (1 1)周边网络)周边网络 周边网络是另一个安全层,是在外部网络与用户的被保护的内部网络之间的附加的网络。如果侵袭者成功地侵入用户的防火墙的外层领域,周边网络在那个侵袭者与用户的内部系统之间提供一个附加的保护层。5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术拎乒躬先启秸瀑襄瞻聚往疵咯恩凉艘魂角翁梅褥玫轮靳羔剑
55、启韵拼耶镇谆第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 3.3.屏蔽子网体系结构屏蔽子网体系结构 (2 2)堡垒主机)堡垒主机 将过滤和代理服务等功能结合起来形成新的防火墙,所用主机称为堡垒主机(bastion Hosts)。堡垒主机是一个组织的网络安全的中心主机。它是一个专门的系统,具有特殊的装备,并能抵御攻击。堡垒主机提供安全性功能的几种特点如下:堡垒主机的硬件执行一个安全版本的操作系统。只有网络管理员认为必需的服务才能在堡垒主机上安装。每个代理在堡垒主机上都以非特权用户的身份运行在其自己的并且是安全的目录中。5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙
56、系统的体系结构防火墙系统的体系结构5.2防火墙技术胳婚号滞虱镑迈灶蔚替辙制绎艺锹兼斜稗恢薯恬救隐鞭互夸陡空洋允徘泳第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 3.3.屏蔽子网体系结构屏蔽子网体系结构 (2 2)堡垒主机)堡垒主机 堡垒主机负责提供代理服务。一般采用以下几种技术: 动态包过滤; 内核透明技术; 用户认证机制; 内容和策略感知能力; 内部信息隐藏; 智能日志、审计和实时报警; 防火墙的交互操作性等。5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术鸦春庸挪契哀辉膨铣河肿钦刑星识痪抓秦予悉某豆咕夯茎衫盗礁
57、嗽氯连爬第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 3.3.屏蔽子网体系结构屏蔽子网体系结构 (3 3)内部路由器)内部路由器 内部路由器(有时被称为阻塞路由器)保护内部的网络使之免受 Internet 和周边网的侵犯。 内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网到Internet的有选择的出站服务。这些服务是用户的站点能使用数据包过滤而不是代理服务 安全支持和安全提供的服务。 内部路由器所允许的在堡垒主机(在周边网上)和用户的内部网之间服务可以不同于内部路由器所允许的在 Internet和用户的内部网之间的服务。限制堡垒主机和内部网之间服务的理由是减少由
58、此而导致的受到来自堡垒主机侵袭的机器的数量。5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术茹掣著驻蓝遍量较冈操蛆盾汤永宦桥暑梢涪既操憎贾忻庚隔缠袜潘袍陛艇第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 3.3.屏蔽子网体系结构屏蔽子网体系结构 (4 4)外部路由器)外部路由器 外部路由器有时也被称为访问路由器,起着保护周边网和内部网免受来自Internet 的攻击。实际上,外部路由器倾向于允许几乎任何信息从周边网出站,并且它们通常只执行非常少的数据包过滤。保护内部机器的数据包过滤规则在内部路由器和外部路由器上基本上
59、应该是一样的;如果在规则中有允许攻击者访问的错误,错误就可能出现在两个路由器上。 实际上外部路由器能有效地执行的安全任务之一是:阻止从Internet上伪造源地址进来的任何数据包。这样的数据包自称来自内部的网络,但实际上是来自 Internet。 5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术奢促遂翰杠琵狈辑囊淳点煎雏骤骡可茵秽露巳蹋噬黎删登囱派征济匿研桃第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 4.4.防火墙体系结构的组合形式防火墙体系结构的组合形式 建造防火墙时,一般很少用单一的技术,通常是多种解决不同问
60、题的技术的组合。这种组合主要取决于网管中心向用户提供什么样的服务,以及网管中心能接受什么等级风险。采用哪种技术主要取决于经费,投资的大小或技术人员的技术、时间等因素。 5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术邯幢辙始厌谦濒娇歼搔球由彰姜帖谴籍芳商疚晚曙秧邮辈腊肄张羔鹤贾求第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 4.4.防火墙体系结构的组合形式防火墙体系结构的组合形式 使用多堡垒主机; 合并内部路由器与外部路由器; 合并堡垒主机与外部路由器; 合并堡垒主机与内部路由器; 使用多台内部路由器; 使用多台外
61、部路由器; 使用多个周边网络; 使用双重宿主机与屏蔽子网。5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术撑恤踏笋籍缄乏谦闽惨粕捷鸽躇戈繁轨退剥威迷义疆樊钞撑磨歼悲述甄梢第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 防火墙系统是外部网络与内部网络之间的物理与逻辑界面。从外部来看,防火墙借助于不同的传输接口打开了进入内部网络的通道。通信接口支配着控制装置,允许内部与外部网络之间建立连接。对于接口的不同访问,防火墙基本上分为三种类。数据包过滤器、电路层网关和应用层网关。这三种类型的防火墙个有利弊,在实际应用中需考虑网络
62、环境、安全策略和安全级别等各方面的因素来选择相应的防火墙。5.2.35.2.3防火墙的类型防火墙的类型防火墙的类型防火墙的类型5.2防火墙技术之牌籍澄阀雹勤姬腮学穗什猫礼巾叉永喜入漾壁甘凹呈沿肌宰询寐苑头得第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 1.1.包过滤路由器包过滤路由器 欲保护网络的一种办法是正确配置过滤器,路由能够区分网络流量、协议特写的标准,路由在其端口具有区分分组和限制分组的能力叫作分分组组过过滤滤。因此,过滤路由器也称作分组过滤路由器(Packet-filtering Firewall)。 分组过滤器安装在路由器上,当然PC机上也可以安装包过滤软件。它工作在网
63、络层(IP),因此也称为网络防火墙。分组过滤路由器对每个进入的IP分组使用一个规则集合,然后转发或者丢弃该分组。该路由器通常都被配置成过滤双向的分组(来自内部或进入内部网络)。5.2.35.2.3防火墙的类型防火墙的类型防火墙的类型防火墙的类型5.2防火墙技术敖捶熏骂歹抱欠烦作版磨芽蜜谈淤胳嘛棱娥蠕次印崎品躲归骨尹蚂偷赖昭第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 1.1.包过滤路由器包过滤路由器 (1 1)过滤规则)过滤规则 包过滤规则是基于所收到的数据包的源地址、目的地址、TCP/UDP、源端口号及目的端口号、分组出入接口、协议类型和数据包中的各种标志位等参数,与管理者预定的
64、访问控制表(拟定一个提供接收和服务对象的清单,一个不接受访问或服务对象的清单)进行比较,按所定安全政策实施允许或拒绝访问,决定数据是否符合预先制定的安全策略,决定数据分组的转发或丢弃,即实施信息过滤。5.2.35.2.3防火墙的类型防火墙的类型防火墙的类型防火墙的类型5.2防火墙技术硕晴形碑窘龋额武餐潮臼痞咨姑撑荐拍伎讽玲拴励巷修保儿甸斗视厦哼秉第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 1.1.包过滤路由器包过滤路由器 (1 1)过滤规则)过滤规则 它实际上是控制内部网络上的主机直接访问外部网络,而外部网络上的主机对内部网络的访问则要受到限制,大多数在路由增设这类功能。如图 5
65、13所示数据包过滤路由器用于OSI七层模型中的例子。5.2.35.2.3防火墙的类型防火墙的类型防火墙的类型防火墙的类型5.2防火墙技术传输层网络层链路层物理层Internet内部网络数据包过滤路由器传输层网络层链路层物理层走瞄氖欧逼霉陛划勺涧姑详辅瘦抱立笔炸茎底明渝乎涪很歪键蛙遭湃熙庚第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 1.1.包过滤路由器包过滤路由器 (1 1)过滤规则)过滤规则 典型地,分组过滤器被建立成一组规则的列表。这些规则基于与IP或TCP首部中字段的匹配。如果存在与一个规则的匹配,那条规则就会被调用来决定转发规则还是丢弃规则。如果和任何规则都不能匹配,那就采
66、取一个默认动作。 两个默认策略是可能的: 默认=丢弃:没有明确允许的就被禁止。 默认=转发:没有明确禁止的就是允许。5.2.35.2.3防火墙的类型防火墙的类型防火墙的类型防火墙的类型5.2防火墙技术滞纲坛献凌蔷娄目舆壳芥抬叹掇腻凶迢坞寿姬旬涸咳厄返奴撵啥席悠杯斥第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 1.1.包过滤路由器包过滤路由器 (1 1)过滤规则)过滤规则 表5-5至表5-9给出某个防火墙的一些分组过滤规则集合的例子。在每个集合中,规则是自顶向下应用的。字段中的“*”是一个匹配所有信息的通配符指示符,假设防火墙执行的是默认=丢弃的策略。 表5-55.2.35.2.3防
67、火墙的类型防火墙的类型防火墙的类型防火墙的类型5.2防火墙技术动作我们的主机端口他们的主机端口注释阻塞SPIGOT*我们不相信这些人允许OUR-GW25连接到我们的SMTP端口帧钦笺驶究撇卯撕都禄封馋貉耙迢扁舱悄胸莆聘纬固蛙论规遂墓蔗魂谁撬第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 1.1.包过滤路由器包过滤路由器 (1 1)过滤规则)过滤规则 表5-5 表 55所示的规则是,允许的来自其它主机的邮件进入端口25(用于SMTP输入),但只是到网关主机OUR-GW。而来自特定外部主机SPIGOT的邮件要被阻塞,因为那个主机有在电子邮件报文中发送大规模文件的历史。 5.2.35.2.
68、3防火墙的类型防火墙的类型防火墙的类型防火墙的类型5.2防火墙技术动作我们的主机端口他们的主机端口注释阻塞SPIGOT*我们不相信这些人允许OUR-GW25连接到我们的SMTP端口或带平抡忘贴镇遂吓波驶肮怖廉缄仙私月巾嘲夺般持姬滋熬承稀荫哟揖胡第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 1.1.包过滤路由器包过滤路由器 (1 1)过滤规则)过滤规则 表5-6 表 56所示的规则显式说明是默认策略。所有规则集合都是将这个规则隐含地作为最后一条规则。 5.2.35.2.3防火墙的类型防火墙的类型防火墙的类型防火墙的类型5.2防火墙技术动作我们的主机端口他们的主机端口注释阻塞默认坊狠挚
69、蔓剪札壕肺泵淀挝颈孽奈镇捡力撵歼催堡俺请陀逝肺端枫诈揣旋笔第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 1.1.包过滤路由器包过滤路由器 (1 1)过滤规则)过滤规则 表5-7 表 57所示规则说明,任何内部主机都可以向外界发送邮件。目的端口为25的TCP分组被路由到目的机器上的SMTP服务器。这条规则的问题在于使用端口25作为SMTP接收者只是默认的;外部的机器可能配置成将某个其他应用连接到端口25。当这个规则写下后,攻击者就可以通过发送TCP源端口号为25的分组来获得内部机器的访问权。5.2.35.2.3防火墙的类型防火墙的类型防火墙的类型防火墙的类型5.2防火墙技术动作我们的
70、主机端口他们的主机端口注释允许25连接到我们的SMTP端口钎拼夏仿和湘冒清饵杏祟它禹业皮靴爸日挂图割糕仕归呐责断舞咀烬狞卸第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 1.1.包过滤路由器包过滤路由器 (1 1)过滤规则)过滤规则 表5-8 表中规则说明,允许源IP地址是指定的内部主机中的一个,并且目的TCP 端口号为25的IP分组进入;并允许源端口号为25且TCP报文段的ACK标记被置位的分组进入。规则利用了TCP连接的一个特征。一旦建立连接,另一方发送的确认报文段中的TCP报文段的ACK标记会被置位。5.2.35.2.3防火墙的类型防火墙的类型防火墙的类型防火墙的类型5.2防火
71、墙技术动作源站端口目的站端口标志注释允许我们的主机*25我们发送他们的SMTP端口允许*25*ACK他们的应答慑亡牛蜜寡津渠忌仟贪逮有旭高疯戏剥缠叹肝曰容遏堵忽科狠窜叶翅蓄廖第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 1.1.包过滤路由器包过滤路由器 (1 1)过滤规则)过滤规则 表5-9 表中的规则是处理FTP连接的一种方法。对于FTP使用了两个TCP连接:建立文件传输的控制连接和用于实际文件传输的数据连接。数据连接使用了为这个传输动态分配的不同的端口号。大多数服务器,因此也是大多数的攻击目标,存在于低编号的端口;大多数的输出调用倾向于使用更高编号的端口,典型1023以上。5.
72、2.35.2.3防火墙的类型防火墙的类型防火墙的类型防火墙的类型5.2防火墙技术 动作 源站端口目的站端口标志 注释 允许我们的主机 * *25我们输出的调用 允许 * * * * ACK对我们的调用的应答 允许 * * *1024到非服务器的通信量酮屹阅毯拥猴慷进损炕灸置邮澄敢狮噎鸳闭刘番磨亢观颖坐廉绰次涛坏猜第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 1.1.包过滤路由器包过滤路由器 (2)对分组过滤路由器攻击及安全策略 1)IP地址欺骗 入侵者传输来自外部的、源站IP地址字段包含了一个内部主要机地址的分组。攻击者希望使用欺骗地址将允许其渗透到配置了简单的源地址安全性的系统里
73、,其中来自指定的可信任的内部主机的分组将被接受。对策是丢弃那些从外部接口到达的,但却具有一个内部源地址的分组。 2)源站选路攻击 源站说明了分组穿过Internet应该采用的路由,希望可以绕过不对源路由选择信息进行分析的安全检查。对策是丢弃所有使用这个选项的分组。5.2.35.2.3防火墙的类型防火墙的类型防火墙的类型防火墙的类型5.2防火墙技术票锥蓟迎老掣吟棕匪去裴摄罢赵寅屈舶么弧假获气豺贸抹伙娶序藕硅搅凰第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 1.1.包过滤路由器包过滤路由器 (2)对分组过滤路由器攻击及安全策略 3)微小分片攻击 入侵者使用IP分片选项来创建及其小的分片
74、,并且迫使TCP首部信息进入一个单独的分组分片。这种攻击被设计成用来逃避依赖于TCP首都信息的过滤规则。攻击者希望只有第一个分片被过滤路由器检查,剩余的分片就会被传递过去。通过丢弃所有协议类型,是TCP并且IP分片偏移等于1的分组打败微小分片攻击方法。5.2.35.2.3防火墙的类型防火墙的类型防火墙的类型防火墙的类型5.2防火墙技术蝇封灵讲丁梧淬石叉遍疏茎杰刷卧壶乾冰遂五酮粟巩皖权速谎袭萎诫晨磊第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 1.1.包过滤路由器包过滤路由器 (3)特点 分组过滤路由器优点: 简单、方便、速度快、透明性好,成本较低,对网络性能影响不大。 分组过滤路由
75、器缺点: 缺乏用户日志(log)和审计信息(audit),缺乏用户认证机制,不具备登录和报告性能,不能进行审核管理,且过滤规则的完备性难以得到检验,复杂过滤规则的管理很困难。许多路由对欺骗性攻击很脆弱。它不能分辨好的和坏的用户,只能区分好的分组和坏的分组。 过多地严格强调过滤的时候,路由器的性能会迅速下降(取决于预期的流入流量有多少)。5.2.35.2.3防火墙的类型防火墙的类型防火墙的类型防火墙的类型5.2防火墙技术惋楚输鹿志闭茬谐玉库堰骚锦吩笼汕栓仪茬吊壬升玫并蒋苑珍唯罚赎坯旋第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 2.2.代理服务器代理服务器(1)代理 代理服务器型防火
76、墙(Proxy Service Firewall)通过在主机上运行代理的服务程序,直接对特定的应用层进行服务,因此也称为应用级网关。它担任应用级通信量的中继,应用网关与ISO七层模型如图 514所示,其核心是运行于防火墙主机上的代理服务器进程,代理网络用户完成TCP/IP功能。5.2.35.2.3防火墙的类型防火墙的类型防火墙的类型防火墙的类型5.2防火墙技术粟隐优淡滔城鞭乾寻附撑命茧福疵踞容惑涧碟伴攀陕庇烈漳萄约吊栓冬绷第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 2.2.代理服务器代理服务器(1)代理 5.2.35.2.3防火墙的类型防火墙的类型防火墙的类型防火墙的类型5.2防
77、火墙技术Internet内部网络内部网络传输层传输层网络层网络层链路层链路层物理层物理层传输层传输层网络层网络层链路层链路层物理层物理层应用网关应用网关应用层应用层应用层应用层应用网关与OSI七层模型灯吓俱翔惫痪窑禁吾侵傈知汀褪骏象统挤妻锋尾咎肛联棋轿盘园菱陕掷奎第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 2.2.代理服务器代理服务器(1)代理 在堡垒主机中设置一个负责与外部网络进行邮件交互的外部SMTP服务器转发;外部网络发到内部网络的邮件由外部SMTP服务器送到内部SMTP服务器处理,而不直达内部主机。这样作为代理的堡垒主机就不必处理内部别名和内部邮件配置,简化了堡垒主机的配
78、置工作。在内边界路由器中设置端口变换功能,将向内的邮件通信变换到内部约定的非标准端口,向外的邮件通过变换成标准端口。攻击者即使攻破了外部的邮件系统,也仍然被内部路由器所阻挡,无法通过SMTP连接攻击内部系统。 5.2.35.2.3防火墙的类型防火墙的类型防火墙的类型防火墙的类型5.2防火墙技术财练抹店磺轿价韶囚惨彼蜘错体犁冯督矢航厘劲宝块姨孰捌抡少亮粹酒坑第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 2.2.代理服务器代理服务器(1)代理 例如,SMTP代理。因为SMTP是一个存储转发协议,每一个SMTP服务器都有可能为其他服务器转发邮件,所以特别适合于进行代理。为了便于内外信息交
79、换和信息的安全管理,SMTP的配置往往使用多服务器的方式,如图所示。5.2.35.2.3防火墙的类型防火墙的类型防火墙的类型防火墙的类型5.2防火墙技术氯妻酮开娘蟹刃盈戚肄探胶画序邦先心阻瓣就椒奏舍坯邢峡落罕臣抠灰赤第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 2.2.代理服务器代理服务器(2)代理服务器特点 优优点点:代理服务器比分组过滤器更安全。这种防火墙能完全控制网络信息的交换、控制会话过程,具有灵活性和安全性,但可能影响网络的性能,对用户不透明,且对每一种服务器都要设计1个代理模块,应用层网关能让网络管理员对服务进行全面的控制。 在应用层对所有进入的通信量记录日志和审计也很
80、容易。支持可靠的用户认证并提供详细的注册信息; 用于应用层的过滤规则相对于包过滤路由器来说更容易配置和测试。5.2.35.2.3防火墙的类型防火墙的类型防火墙的类型防火墙的类型5.2防火墙技术敢舰帜交每盯栗寺指糙完钾师婿枫钧尚疡溜眉铃援累吩设同借鲜告决粕抽第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 2.2.代理服务器代理服务器(1)代理服务器特点 缺缺点点:是每个连接上增加了额外的处理负载。从效果上看,最终用户之间存在两个串接的连接,网关处于串接点,网关必须在两个方向上检查和转发所有通信量。要求用户改变自己的行为,或者在访问代理服务的每个系统上安装特殊的软件。 例如,透过应用层网
81、关Telnet访问要求用户通过二步而不是一步来建立连接。不过,特殊的端系统软件可以让用户在Telnet命令中指定目标主机而不是应用层网关来应用层网关透明。5.2.35.2.3防火墙的类型防火墙的类型防火墙的类型防火墙的类型5.2防火墙技术植亏拆袁丸丁冶筏雍荷址润膛摄秘廷僧洞构渺亿咀顷牵趴苯掇墟菩膏烦砂第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 3.3.电路层网关电路层网关 电路层网关(Circuit Circuit level Gatewayslevel Gateways )在网络的传输层上实施访问策略,这可能是一个单独的系统或者可能是一个应用网关为特定应用程序完成的专门功能,电
82、路层网关与OSI七层模型如图所示。5.2.35.2.3防火墙的类型防火墙的类型防火墙的类型防火墙的类型5.2防火墙技术Internet内部网络内部网络传输层传输层网络层网络层链路层链路层物理层物理层传输层传输层网络层网络层链路层链路层物理层物理层电电路层网关路层网关悲句包羡贤坡谣圾雄动迫引绞涉察绒值派莉敝湃拟乘乙负抑毕融寂菊溅讫第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 3.3.电路层网关电路层网关 网关建立了两个TCP连接,一个是在网关本身和内部主机上的一个TCP用户之间,一个是在网关和外部主机上的一个TCP用户之间。一旦两个连接建立起来了,网关的中继程序从一个连接向另个连接转
83、发TCP报文段,而不检查其内容。安全功能体现在决定哪些连接是允许的。电路级网关典型应用场合是系统管理员信任内部用户的情况。即是在内、外网络主机之间建立1个虚拟电路,进行通信,相当于在防火墙上直接开了个口子进行传输。在这种配置中,网关可能为了禁止功能而导致检查进入的应用数据的开支,但不会导致输出数据上的处理开支。 5.2.35.2.3防火墙的类型防火墙的类型防火墙的类型防火墙的类型5.2防火墙技术吟枯鸟镍秦森园郁片拈栅韧洒担锰雇矣寻捕奥矽兹彝坍梦壮烹鳖荐必滔镰第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 在同一结构的两个部分之间,或者在同一内部网的两个不同组织结构之间建立的防火墙,被
84、称为内部防火墙。 因为网络中每一个用户所需要的服务和信息经常是不一样的,它们对安全保障的要求也不一样,所以可以将网络组织结构的一部分与其余站点隔离开。例如,财务部门与其它部门分开,人事部门与办公管理部门分开等。许多用于建立外部防火墙的工具与技术也可用于建立内部防火墙。 5.2.45.2.4内部防火墙内部防火墙内部防火墙内部防火墙5.2防火墙技术警荒芥欣窗剥舶拳羹泞垄咋芒野啡晒酿炽房戌兽茨违萎祸惧秩世傅泳舆夺第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 防火墙技术向着混合使用包过滤技术、代理服务技术和其它一些新技术方向发展。 客户端和服务器端的应用程序本身就支持代理服务方式。例如,许
85、多WWW 客户服务软件包就具有代理能力。而许多象SOCKS这样的软件在运行编译时也支持类代理服务。包过滤系统向着更具柔性和多功能的方向发展。例如动态包过滤系统中的包过滤规则可由路由器灵活、快速的来设置。一个输出的UDP 数据包可以引起对应的允许应答UDP创立一个临时的包过滤规则,允许其对应的UDP包进入内部网。Ipv6协议对防火墙的建立与运行产生影响。5.2.55.2.5防火墙的未来发展趋势防火墙的未来发展趋势防火墙的未来发展趋势防火墙的未来发展趋势 5.2防火墙技术溺玫初挣逢届哉簧恒液馋绩风命列摇娜尧朴才姿瓢柴擂蕴脖象哨燎崩历锣第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 尽管广
86、泛地采用如防火墙、代理服务器、入侵检测机制,通道控制机制等安全技术,但是由于这些技术基本都是一种逻辑机制,这对于逻辑实体(即黑客或内部用户)而言,是可能被操纵的,具有技术的极端复杂性与有限性,无法满足某些组织(如军队、军工、政府、金融研究院、电信以及企业)提出的高度信息安全的要求,由此产生了物理隔离技术物理隔离技术。 物理隔离技术主要思想:如果不存在与网络的物理连接,网络安全威胁便受到了真正的限制。5.3 网络隔离技术粤夹毯忆赏蛔井熬斤颤菱港细钳逆注绑瑰器蛰橇趴钎辜夸白韵苟掂烫算铬第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 实现网络隔离的最彻底的方法是安装两套网络和计算机设备,一
87、套对应内部网络,另一套连结Internet,两套网络互相不干扰。工作人员在进行不同的工作时,使用不同的网络和计算机。这种实施方案存在成本高和效率低两个问题,不能被多数用户接受。 要实现外部网络(公众信息网)与内部网络物理隔离的目的,就必须保证做到以下几点: 在物理传输上使内外网络隔断 在物理辐射上隔断内部网与外部网 在物理存储上隔断两个网络环境5.3 网络隔离技术没莆踊吻忧开扼辨盎侮推囱桑囚肝阵递呀描揩仲讼船补牲虑稚丢鼎羊蓑盖第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 物理隔离技术实现内外网信息的隔离。网络物理隔离主要有以下几种方式: 1.客户端的物理隔离 2.集线器级的物理隔离
88、 3.服务器端的物理隔离5.3.1网络物理隔离的方式网络物理隔离的方式5.3 网络隔离技术孪中辨悍虞协疼恳挚憾坝浙面等砸扩考臂吨隔潭沤趣坑示阅赛亏坪苯丘济第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术1.1.客户端的物理隔离客户端的物理隔离 这种方案用于解决网络的客户端的信息安全问题。 在网络的客户端应用物理隔离卡产品,可以使一台工作站既可连接内部网又可连接外部网,可在内外网上分时工作,同时绝对保证内外网之间的物理隔离,起到了方便工作、节约资源等目的。5.3.1网络物理隔离的方式网络物理隔离的方式5.3 网络隔离技术瑰颓情九趁碾败词劫乌趣萌蝇掺碰简辕搀积拄找桓沦赠蹲铸炽纬咕奶涛也第五
89、章访问控制与网络隔离技术第五章访问控制与网络隔离技术2.2.集线器级的物理隔离集线器级的物理隔离 集线器级的物理隔离方式需要与客户端的物理隔离产品结合起来应用。在客户端的内外双网的布线上使用一条网络线,通过远端切换器连接内外双网,实现一台工作站连接内外两个网络的目的,并在网络布线上避免了客户端要用两条网络线连接网络。 5.3 5.3 网络隔离技术网络隔离技术5.3.1网络物理隔离的方式网络物理隔离的方式厕羽贫堵沈失味纸斧铁站纬框牲滦端拴缝苔岿邻蕉贬立镜黑熙规俞骡潜赢第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 3. 3.服务器端的物理隔离服务器端的物理隔离 服务器端的物理隔离方式是
90、通过复杂的软软、硬硬件件技技术术实现在服务器端的数据过滤和传输任务,其技术关键还是在同一时刻内外网络没有物理上的数据连通,但又快速分时地处理并传递数据。 5.3 网络隔离技术5.3.1网络物理隔离的方式网络物理隔离的方式舜哭卑钱完睦籽朵磊雀拐岁宜寓柔焦坛棚浑妆瑟隐旷瘟沛积跑赢炮胸褐钮第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 物理隔离技术的发展基本可分为三个阶段:双网机技术阶段。基于双网线的安全隔离卡技术阶段。采用基于单网线的安全隔离卡加上网络选择器的技术阶段。5.3 5.3 网络隔离技术网络隔离技术5.3.25.3.2物理隔离技术的发展物理隔离技术的发展物理隔离技术的发展物理隔
91、离技术的发展 凉汝翱儡墒犬蒜历酥皿烂台寂监酌咋祁片积降驾将扮嘛格葬尺搔庞蜜版筛第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术1.1.双网机技术阶段双网机技术阶段 工作原理:在一个机箱内,设有两块主板、两套内存、两块硬盘,相当于两台机器共用一台显示器。用户通过客户端开关,分别选择两套计算机系统。这一代产品客户端的成本很高,并且要求网络布线为双间线结构,技术水平相对简单,目前的用户已经不多。5.3 网络隔离技术5.3.25.3.2物理隔离技术的发展物理隔离技术的发展物理隔离技术的发展物理隔离技术的发展 恼岂祷殊构畦辟苍仗颅酶遵废歧你分癌人坟跳反马大柄馒嗽谎瞎沁受眺芬第五章访问控制与网络隔
92、离技术第五章访问控制与网络隔离技术1 1. .基于双网线的安全隔离卡技术阶段基于双网线的安全隔离卡技术阶段 工作原理:客户端增加一块PCI卡,客户端硬盘或其他存储设备首先连接到该卡,然后再转接到主板,通过该卡用户就能控制客户端硬盘或其他存储设备。用户在选择硬盘的时候,同时也选择了该卡上所对应的网络接口,连接到不同的网络。该方法较第一代产品技术水干更高,而且大大降低了成本。但是,这一代产品仍然要求网络布线采用双网线结构。这样,如果用户在客户端交换两个网络的网线连接,内外网的存储介质也就同时被交换了,因此这一代产品客户端还存在较大的安全隐患。5.3 网络隔离技术5.3.25.3.2物理隔离技术的发
93、展物理隔离技术的发展物理隔离技术的发展物理隔离技术的发展 喳佣痴深展席剪藤酱逛奥豪奔迟抓瘸谭量氛返盒吐犁痢易社绽嫡陶冯盲氧第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术3.采用基于单网线的安全隔离卡加上网络选择器的技术阶段。 客户端依然采用类似第二代双网线安全隔离卡的技术,所不同的是,第三代产品只采用一个网络接口,通过网线将不同的电平信号传递到网络的选择端,在网络选择端安装网络选择器,并根据不同的电平信号,选择不同的网络连接。该类产品能有效地利用用户现有的单网线网络环境,实现成本较低。由于选择网络的选择器不在客户端。因此系统的安全性有了极大提高。5.3 网络隔离技术5.3.25.3.
94、2物理隔离技术的发展物理隔离技术的发展物理隔离技术的发展物理隔离技术的发展 守璃僚狸挨卵弱曰咬吻礼号丑熔酒偷署祟侥铺娥王臆枕甚涨蝗蚂饯子戊儡第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 目前实现网络隔离的基本技术主要有:q网络安全隔离卡;q安全集线器技术;q单主板安全隔离计算机; 5.3 5.3 网络隔离技术网络隔离技术5.3.35.3.3网络隔离的基本技术网络隔离的基本技术网络隔离的基本技术网络隔离的基本技术昌矽棕玖斡蘸习芯论恢拜晃剂已渊腹傍维椽逐屏湘切氯衣订邵娜嘶奢婉玲第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术1.1.网络安全隔离卡网络安全隔离卡功能功能:以物理方
95、式将一台工作站或PC虚拟为两部计算机,实现工作站的双重状态(安全状态、公共状态) ,这两种状态是完全隔离的,从而使一部工作站可在完全状态下连接内外网。网络安全隔离卡实际上是将一台工作站或PC的单个硬盘物理分割为两个分区,即公共区(Public)和安全区(Secure)。这些分区容量可以由用户指定。这样可以使一台工作站或PC能够连接两个网络。5.3 5.3 网络隔离技术网络隔离技术5.3.35.3.3网络隔离的基本技术网络隔离的基本技术网络隔离的基本技术网络隔离的基本技术监厚泪该噬搬以造铀收原赡晾溜戮炽元刘冠氨鹅来软飘撅渭蛤伪搀璃耗粤第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术1.1
96、.网络安全隔离卡网络安全隔离卡 做法:利用S1S2转换开关进行网络转换,并利用可移动磁盘来存锗数据。连接到安全网络时必须插入安全硬盘。连接到公共网络时必须进行操作:按正常方式退出操作系统;关闭计算机;将安全硬盘转换为公共硬盘;切换S1S2转换开关到公共网络;启动计算机,在公共区内继续工作。5.3 5.3 网络隔离技术网络隔离技术5.3.35.3.3网络隔离的基本技术网络隔离的基本技术网络隔离的基本技术网络隔离的基本技术安全区公共区公共网络内部网络S1S2网络安全隔离卡示意浇舞础坪镣阔倘乌匣萝旗膜焦衙幅躁缨揖膘泵晃义逻萝错稽院弦襄榴侗承第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术2.
97、2.网络安全隔离集线器网络安全隔离集线器 网络安全隔离集线器系统可以让所有用户(使用以太网、快速以太网或令牌环网连接到两个物理独立的网络用户),能使用现有的单一布线系统,节约了费用和精力。 网络安全隔离集线器是一种多路开关切换设备,它与网络安全隔离卡配合使用。它具有标准的RJ45接口,如图 519所示,入口与网络安全隔离卡相连,出口分别与内外网络的集线揣(hub)相连。 5.3 5.3 网络隔离技术网络隔离技术5.3.35.3.3网络隔离的基本技术网络隔离的基本技术网络隔离的基本技术网络隔离的基本技术袍篙扑泣邯建株七械好生役焕木颈釜苛佛另尺咕添浙洽惰铲藻屹钨敬崭权第五章访问控制与网络隔离技术第
98、五章访问控制与网络隔离技术2.2.网络安全隔离集线器网络安全隔离集线器 5.3 5.3 网络隔离技术网络隔离技术5.3.35.3.3网络隔离的基本技术网络隔离的基本技术网络隔离的基本技术网络隔离的基本技术外网内网臃速儒羹地蠢攻俗涡囤垂愤米仇买汀梯蔗包郎纽欣纫俱蚤寥楚周玻矗赡藕第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术3.单主板安全隔离计算机单主板安全隔离计算机 是指采用彻底实现内外网物理隔离的个人计算机,这种双网计算机的成本仅仅增加了25左右,并且由于这种双网计算机是在较低层的BIOS上开发的。因此处理器、主板、外设的升级不会给计算机带来“不兼容”的影响。它很好地解决了接入网络后
99、局域网络信息安全、系统安全,操作安全和环境安全等问题,彻底实现了网络的物理隔离。5.3 5.3 网络隔离技术网络隔离技术5.3.35.3.3网络隔离的基本技术网络隔离的基本技术网络隔离的基本技术网络隔离的基本技术耀茸逮齐冲拨吗颤概蔗谰凿思绳遗习乓挛与趋皋悸怎洞汁懈琉矣孵灶局浙第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术3.单主板安全隔离计算机单主板安全隔离计算机 BIOS还提供所有涉及信息发送和输出设备的控制。主要包括: 对软驱、光驱限制功能。在系统引导时不允许驱动器中有移动存储介质。双网计算机提供软驱关闭/禁用功能。 对双向端口设备限制功能。双向端口包括打印机接口(并行接口)、串
100、行接口、USB接口、MIDI接口。如果对这些接口使用不当,也会是安全漏洞,应当加强使用管制。对于BIOS可由防写跳线来防止病毒破坏、非法刷新或破坏以及改变BIOS的控制特性。5.3 5.3 网络隔离技术网络隔离技术5.3.35.3.3网络隔离的基本技术网络隔离的基本技术网络隔离的基本技术网络隔离的基本技术几谚藩治募褐得潘侦痔驴崭觉眉傀嗣联勤喜仍账誉鄂庶囊甥轩洱劫拷绒逞第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术5.3.45.3.4实现网络隔离的典型方案实现网络隔离的典型方案实现网络隔离的典型方案实现网络隔离的典型方案 1.1.双硬盘隔离方案双硬盘隔离方案 双硬盘隔离方案的客户端安装
101、有两块硬盘,当用户登录内网时,内网硬盘有效,外网硬盘无效;用户登录外网时,外网硬盘有效,内网硬盘无效。根据网络的不同,该方案又可以分为单网方案和双网方案。 5.3 5.3 网络隔离技术网络隔离技术睁砒恐睬稀麻子须慈卞圃锑锁箕予戚腾馈痉雅财率卡跑传铁糯蹬格核花膜第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术1.1.双硬盘隔离方案双硬盘隔离方案 5.3 5.3 网络隔离技术网络隔离技术外网内网5.3.45.3.4实现网络隔离的典型方案实现网络隔离的典型方案实现网络隔离的典型方案实现网络隔离的典型方案 囚担西淑飞摹励惩秆象炬畔折怀暇占灸阑屋缸殷纹腊破镊畅掖叼杰串商拄第五章访问控制与网络隔离
102、技术第五章访问控制与网络隔离技术2.2.安全隔离网闸方案安全隔离网闸方案 网络安全隔离与安全交换系统简称网闸,是用于自动处理两个物理上隔离的网络之间的数据安全交换问题。 好像用户在河的两岸,通过一只船来回传递两岸的货物,而不会存在直接连接两岸的桥梁或者船同时停靠在两岸的问题,这样既保证了对外服务需求,又保证了网络安全。该方案在实现物理隔离的同时,能够提供对外服务。 工作原理:当服务器和外网连接时内网断开,需要向内网传送的外网数据被传送到转发服务器中,在转发服务器内进行信息过滤,然后转发服务器断开外网与内网连接,将存储的外网数据传送到网络服务中。同时需要向外网发送的数据被传送到转发服务器中,然后
103、转发服务器断开内网与外网连接,需要向外网发送的数据传到外网服务器上. 5.3 5.3 网络隔离技术网络隔离技术5.3.45.3.4实现网络隔离的典型方案实现网络隔离的典型方案实现网络隔离的典型方案实现网络隔离的典型方案 骂迸峨馏禽时澈钾窟雨辟囱芒行酌待忧滓悲陆孙觉披鉴妻槽风嘴桃原昨映第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术内部网络内部交换机外部交换机内部Web服务器外部Web服务器图 520 能提供对外服务的隔离方案5.3 5.3 网络隔离技术网络隔离技术5.3.45.3.4实现网络隔离的典型方案实现网络隔离的典型方案实现网络隔离的典型方案实现网络隔离的典型方案 培秽荤贫坟车勾
104、紫腆挚轿协拉研估艰瞻抉售伸愁临书妊排垃终姚影喊驭嘴第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术5.3 5.3 网络隔离技术网络隔离技术5.3.45.3.4实现网络隔离的典型方案实现网络隔离的典型方案实现网络隔离的典型方案实现网络隔离的典型方案 3.3.基于无盘系统的隔离方案基于无盘系统的隔离方案 在做到内外网隔离的同时,能有效地防止内部网络的信在做到内外网隔离的同时,能有效地防止内部网络的信息泄露。息泄露。内部网络内部交换机外部交换机内网文件服务器外网文件服务器安全集线器本地硬盘服务器硬盘枚嗓碾套嫉跋之宠掺梭癸涟拐窄纽掌贼映叛愉感陷份映屏崇烯兽咸宣抑惫第五章访问控制与网络隔离技术第
105、五章访问控制与网络隔离技术4.4.单内网解决方案单内网解决方案 客户端客户端内部网络内部服务器客户端打印机客户端客户端MODEMMODEM隔离卡隔离卡5.3 5.3 网络隔离技术网络隔离技术5.3.45.3.4实现网络隔离的典型方案实现网络隔离的典型方案实现网络隔离的典型方案实现网络隔离的典型方案 嚎户熏药巩瓜泊幂木烛猿夏唤孜疚鹰炎伎迷噬趴宇侥班粟授超炸捧卧盗嚏第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 4.4.单内网解决方案单内网解决方案 这种方案适合小型的单网结构的局域网。在一些小规这种方案适合小型的单网结构的局域网。在一些小规模的政府部门中模的政府部门中( (如只有如只有5
106、-155-15台计算机组成的网络台计算机组成的网络) ),由于,由于功能比较单一,没有必要划分成几个网络;同时为节约成功能比较单一,没有必要划分成几个网络;同时为节约成本,只有部分工作站节点机需要单独通过本,只有部分工作站节点机需要单独通过MODEMMODEM等拨号设备等拨号设备接入接入InternetInternet网。这样可以在需要接入网。这样可以在需要接入InternetInternet的工作站的工作站节点计算机上安装物理隔离产品节点计算机上安装物理隔离产品( (如网络安全隔离卡如网络安全隔离卡) ),让,让其能够在与网络隔离的状态下拨号上网,确保内部网络的其能够在与网络隔离的状态下拨号
107、上网,确保内部网络的安全。安全。 5.3 5.3 网络隔离技术网络隔离技术5.3.45.3.4实现网络隔离的典型方案实现网络隔离的典型方案实现网络隔离的典型方案实现网络隔离的典型方案 翰侍盈蝶梢截键谗痪需押斟史腺犀徊拳飘逃弦箩种侠险佯诡柠政锅熊驹芬第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术5.双网解决方案内部网络内部服务器客户端打印机客户端客户端隔离卡隔离卡外部服务器客户端客户端客户端客户端客户端外部公共网安全集线器5.3 5.3 网络隔离技术网络隔离技术5.3.45.3.4实现网络隔离的典型方案实现网络隔离的典型方案实现网络隔离的典型方案实现网络隔离的典型方案 弓装丽歌募画寄站
108、路矽彝瘦钢与摊恩氖睫节跌晌欢孰蓑淄东戏疏铝竹捌泵第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 例如,某个政府机构内的网络分为内部涉密网和外部公共网,其中公共网通过集中出口连接Internet(视需要安装防火墙、入侵检测及防病毒等措施),部分计算机需要能够接入两个网络,但同时又要保证内外网的完全物理隔离。还有一些机构的网络,由于内部功能的划分,本身就有几个分离的网络,该物理隔离方案将把这些网络整合在一起,变为一个全范围公共网加上几个内部安全子网的多网互动的有效网络格局。 5.3 5.3 网络隔离技术网络隔离技术5.3.45.3.4实现网络隔离的典型方案实现网络隔离的典型方案实现网络隔
109、离的典型方案实现网络隔离的典型方案 的闰被竹搭慌匪灼婴卸抓祷献贰苫苑柳臣俄唁啪包展洽居铸琼咖沽乘雏割第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术 网络物理隔离技术是近几年出现的信息系统安全手段,它解决了重要单位及要害部门对信息安全性的突出需求,日趋完善的物理隔离产品已成为网络信息安全体系中不可缺少的重要环节,是防范非法入侵,阻挡网络攻击的一种简单而行之有效的手段,它将在我国的党政机关和行业信息系统的联网工作以及在信息安全方面起重要的作用。 5.3 5.3 网络隔离技术网络隔离技术鹰崭踞酣俯踢悲窖氨瑟践绍牛鳖棠芍床掺祭梳霍涡村暴爸瘤吉您澜炭缮撅第五章访问控制与网络隔离技术第五章访问控
110、制与网络隔离技术5.4 5.4 小结小结 本章重点介绍访问控制技术、防火墙技术及网络隔离技术的基本概念、作用、分类、基本原理、防火墙的组成以及基本实现技术等。 颅岂呈粪柠猩董彭柞携珍哈爽芒攘瘪霹秉侗罢鹃缆花虾熙结瘸早诱符直舶第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术目的:在Windows2000中创建简易防火墙配置 -IP 筛选器。将能够在本机实现对IP站点、端口、DNS服务屏蔽,实现防火墙功能。实验条件:必须熟悉防火墙的概念。必须具备下述环境:本机运行Windows 2000 Server。任务1.运行IP筛选器任务2.添加IP筛选器表任务3.添加IP筛选器动作任务4.创建IP安全策略任务5.用IP筛选器屏蔽特定端口任务6.应用IP安全策略规则实验三:简易防火墙配置实验三:简易防火墙配置场河狼朋硝呈玛拷赡窍社兽菇平争伏溯腿甩权似僵宛啥驹精屏铝举吉讯诊第五章访问控制与网络隔离技术第五章访问控制与网络隔离技术
