《网络安全访问控制与防火墙技术PPT课件》由会员分享,可在线阅读,更多相关《网络安全访问控制与防火墙技术PPT课件(76页珍藏版)》请在金锄头文库上搜索。
1、退出退出退出退出第第3 3章章网络安全技术网络安全技术网络安全访问控制与防火墙技术v学习目的:学习目的:了解访问控制技术的基本概念熟悉防火墙技术基础初步掌握防火墙安全设计策略 了解防火墙攻击策略了解第四代防火墙的主要技术了解防火墙发展的新方向 了解防火墙选择原则与常见产品 v学习重点:学习重点:Windows NT/2K安全访问控制手段 防火墙安全设计策略 防火墙攻击策略 防火墙选择原则网络安全访问控制与防火墙技术 31 访问控制技术 网络安全访问控制与防火墙技术311 访问控制技术概述访问控制技术概述1. 1. 访问控制的定义访问控制的定义 访问控制是针对越权使用资源的防御措施,访问控制是针
2、对越权使用资源的防御措施,是网络安全防范和保护的主要策略,主要任务是是网络安全防范和保护的主要策略,主要任务是保证网络资源不被非法使用和非常访问。保证网络资源不被非法使用和非常访问。 也是保证网络安全的核心策略之一。也是保证网络安全的核心策略之一。网络安全访问控制与防火墙技术2. 2. 基本目标基本目标 防止对任何资源进行未授权的访问,从而使防止对任何资源进行未授权的访问,从而使计算机系统在合法范围内使用;决定用户能做什计算机系统在合法范围内使用;决定用户能做什么。么。3. 3. 访问控制的作用访问控制的作用(1 1)访问控制对机密性、完整性起直接)访问控制对机密性、完整性起直接 的作用。的作
3、用。(2 2)对于可用性的有效控制)对于可用性的有效控制网络安全访问控制与防火墙技术3 31 12 2 访问控制策略访问控制策略 访问控制策略访问控制策略(Access Control Policy)(Access Control Policy)是是在系统安全策略级上表示授权,是对访问如何控在系统安全策略级上表示授权,是对访问如何控制、如何作出访问决定的高层指南。制、如何作出访问决定的高层指南。1. 1. 自主访问控制自主访问控制 自主访问控制自主访问控制(DAC)(DAC)也称基于身份的访问控也称基于身份的访问控制制 (IBAC) (IBAC),是针对访问资源的用户或者应用设,是针对访问资源
4、的用户或者应用设置访问控制权限;根据主体的身份及允许访问的置访问控制权限;根据主体的身份及允许访问的权限进行决策;自主是指具有某种访问能力的主权限进行决策;自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体,体能够自主地将访问权的某个子集授予其它主体,访问信息的决定权在于信息的创建者。访问信息的决定权在于信息的创建者。 网络安全访问控制与防火墙技术n自主访问控制可以分为以下两类:自主访问控制可以分为以下两类: (1) 基于个人的策略基于个人的策略(2) 基于组的策略基于组的策略自自主主访访问问控控制制存存在在的的问问题题:配配置置的的粒粒度度小小,配配置的工作量大,效率低。
5、置的工作量大,效率低。 特点:灵活性高,被大量采用。特点:灵活性高,被大量采用。缺点:安全性最低。缺点:安全性最低。 2. 2. 强强制制访问控制控制 强制访问控制(强制访问控制(MACMAC)也称基于规则的访问控)也称基于规则的访问控制(制(RBACRBAC),在自主访问控制的基础上,增加了),在自主访问控制的基础上,增加了对资源的属性对资源的属性( (安全属性安全属性) )划分,规定不同属性下划分,规定不同属性下的访问权限。的访问权限。 网络安全访问控制与防火墙技术3. 3. 基于角色的访问控制基于角色的访问控制 基于角色的访问控制(基于角色的访问控制(RBACRBAC)是与现代的商)是与
6、现代的商业环境相结合后的产物,同时具有基于身份策略业环境相结合后的产物,同时具有基于身份策略的特征,也具有基于规则的策略的特征,可以看的特征,也具有基于规则的策略的特征,可以看作是基于组的策略的变种,根据用户所属的角色作是基于组的策略的变种,根据用户所属的角色作出授权决定。作出授权决定。 4.4.多级策略法多级策略法 多多级策略策略给每个目每个目标分配一个密分配一个密级,一般安,一般安全属性可分全属性可分为四个四个级别:最高秘密:最高秘密级(Top Top SecretSecret)、秘密)、秘密级(SecretSecret)、机密)、机密级(ConfideneConfidene)以及无)以及
7、无级别级(Unclassified Unclassified )。)。网络安全访问控制与防火墙技术3 31 13 3 访问控制的常用实现方法访问控制的常用实现方法 访问控制的常用实现方法是指访问控制策略访问控制的常用实现方法是指访问控制策略的软硬件低层实现。访问控制机制与策略独立,的软硬件低层实现。访问控制机制与策略独立,可允许安全机制的重用。安全策略之间没有更好可允许安全机制的重用。安全策略之间没有更好的说法,应根据应用环境灵活使用。的说法,应根据应用环境灵活使用。1. 1. 访问控制表访问控制表(ACL)(ACL)优点:点: 控制粒度比控制粒度比较小,适用于被区分的用小,适用于被区分的用户
8、数比数比较小的情况,并且小的情况,并且这些用些用户的授的授权情况相情况相对比比较稳定的情形。定的情形。 网络安全访问控制与防火墙技术2. 2. 访问能力表访问能力表 授授权机构机构针对每个限制区域,都每个限制区域,都为用用户维护它的它的访问控制能力。控制能力。 3. 3. 安全标签安全标签 发起起请求的求的时候,附属一个安全候,附属一个安全标签,在目,在目标的属性中,也有一个相的属性中,也有一个相应的安全的安全标签。在做出。在做出授授权决定决定时,目,目标环境根据境根据这两个两个标签决定是允决定是允许还是拒是拒绝访问,常常用于多,常常用于多级访问策略。策略。 4 基于口令的机制基于口令的机制
9、(1)与目标的内容相关的访问控制)与目标的内容相关的访问控制(2)多用户访问控制)多用户访问控制(3 3)基于上下文的控制)基于上下文的控制网络安全访问控制与防火墙技术 对于用于用户而言,而言,Windows NT/2KWindows NT/2K有以下几种管有以下几种管理手段:理手段: 1 1 用户帐号和用户密码用户帐号和用户密码 314 Windows NT/2K 安全访问控制手段安全访问控制手段 2 2 域名管理域名管理 3 3 用户组权限用户组权限 4 4 共享资源权限共享资源权限 网络安全访问控制与防火墙技术32 防火墙技术防火墙技术 基础基础 网络安全访问控制与防火墙技术1 1 防火
10、墙(防火墙(FireWallFireWall) 一个防火墙的基本目标为:一个防火墙的基本目标为:1)对于一个网络来说,所有通过)对于一个网络来说,所有通过“内部内部”和和“外外部部”的网络流量都要经过防火墙;的网络流量都要经过防火墙;2)通过一些安全策)通过一些安全策略,来保证只有经过授权的流量才可以通过防火墙;略,来保证只有经过授权的流量才可以通过防火墙;3 3)防火)防火墙本身必本身必须建立在安全操作系建立在安全操作系统的基的基础上。上。 321 防火墙概述防火墙概述 所谓所谓“防火墙防火墙”,是指一种将内部网和公众网络(如,是指一种将内部网和公众网络(如InternetInternet)
11、分开的方法,它实际上是一种隔离技术,是)分开的方法,它实际上是一种隔离技术,是在两个网络通信时执行的一种访问控制手段,它能允许在两个网络通信时执行的一种访问控制手段,它能允许用户用户“同意同意”的人和数据进入网络,同时将用户的人和数据进入网络,同时将用户“不同不同意意”的人和数据拒之门外,最大限度地阻止网络中的黑的人和数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们更改、复制和毁坏自己客来访问自己的网络,防止他们更改、复制和毁坏自己的重要信息。的重要信息。网络安全访问控制与防火墙技术2 2 防火墙的优点防火墙的优点 (1)防火墙对企业内部网实现了集中的安全管理,可)防火墙对企
12、业内部网实现了集中的安全管理,可以强化网络安全策略,比分散的主机管理更经济易行。以强化网络安全策略,比分散的主机管理更经济易行。(2)防火墙能防止非授权用户进入内部网络。)防火墙能防止非授权用户进入内部网络。(3)防火墙可以方便地监视网络的安全性并报警。)防火墙可以方便地监视网络的安全性并报警。(4)可以作为部署网络地址转换()可以作为部署网络地址转换(NetworkAddressTranslation)的地点,利用)的地点,利用NAT技术,可以缓解地技术,可以缓解地址空间的短缺,隐藏内部网的结构。址空间的短缺,隐藏内部网的结构。(5)利用防火墙对内部网络的划分,可以实现重点网)利用防火墙对内
13、部网络的划分,可以实现重点网段的分离,从而限制问题的扩散。段的分离,从而限制问题的扩散。(6 6)由于所有的)由于所有的访问都都经过防火防火墙,防火,防火墙是是审计和和记录网网络的的访问和使用的最佳地方。和使用的最佳地方。 网络安全访问控制与防火墙技术3 防火墙的局限性防火墙的局限性 (1)限制有用的网络服务。)限制有用的网络服务。(2)无法防护内部网络用户的攻击。)无法防护内部网络用户的攻击。(3)Internet防火墙无法防范通过防火墙以外防火墙无法防范通过防火墙以外的其他途径的攻击。的其他途径的攻击。(4)Internet防火墙也不能完全防止传送已感防火墙也不能完全防止传送已感染病毒的软
14、件或文件。染病毒的软件或文件。(5)防火墙无法防范数据驱动型的攻击。)防火墙无法防范数据驱动型的攻击。(6 6)不能防)不能防备新的网新的网络安全安全问题。网络安全访问控制与防火墙技术4 防火墙的作用防火墙的作用 防火墙用于加强网络间的访问控制,防止防火墙用于加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网外部用户非法使用内部网的资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据络的设备不被破坏,防止内部网络的敏感数据被窃取。被窃取。防火墙系统决定了哪些内部服务可以被外防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的哪些可界访问;外界的哪些人可以访
15、问内部的哪些可以访问的服务,以及哪些外部服务可以被内部以访问的服务,以及哪些外部服务可以被内部人访问。人访问。网络安全访问控制与防火墙技术1 1 数据包过滤路由器数据包过滤路由器 防火墙常见的有三种类型:数据包过滤路由器、防火墙常见的有三种类型:数据包过滤路由器、应用层网关、电路层网关。应用层网关、电路层网关。322 防火墙的类型防火墙的类型 (1)数据包过滤原理)数据包过滤原理数据包过滤技术是防火墙最常用的技术。数据包过滤技术是防火墙最常用的技术。数据包过滤技术,顾名思义是在网络中适当的数据包过滤技术,顾名思义是在网络中适当的位置对数据包实施有选择的通过规则,选择依据,位置对数据包实施有选择
16、的通过规则,选择依据,即为系统内设置的过滤规则(即访问控制表),即为系统内设置的过滤规则(即访问控制表),只有满足过滤规则的数据包才被转发至相应的网只有满足过滤规则的数据包才被转发至相应的网络接口,其余数据包则被从数据流中删除。络接口,其余数据包则被从数据流中删除。网络安全访问控制与防火墙技术 数数据据包包过过滤滤可可以以控控制制站站点点与与站站点点、站站点点与与网网络络和和网网络络与与网网络络之之间间的的相相互互访访问问,但但不不能能控控制制传传输输的数据内容。的数据内容。 因因为为传传输输的的数数据据内内容容是是应应用用层层数数据据,不不是是包包过过滤滤系系统统所所能能辨辨认认的的,数数据
17、据包包过过滤滤允允许许用用户户在在单单个地方为整个网络提供特别的保护。个地方为整个网络提供特别的保护。包过滤检查模块深入到系统的网络层和数据链包过滤检查模块深入到系统的网络层和数据链路层之间。路层之间。 因为数据链路层是事实上的网卡(因为数据链路层是事实上的网卡(NICNIC),),网络层是第一层协议堆栈,所以防火墙位于软件网络层是第一层协议堆栈,所以防火墙位于软件层次的最底层。层次的最底层。网络安全访问控制与防火墙技术下图是一个包过滤模型原理图:下图是一个包过滤模型原理图:通过检查模块,防火墙能拦截和检查所有出站的通过检查模块,防火墙能拦截和检查所有出站的数据。数据。 网络安全访问控制与防火
18、墙技术设置步骤设置步骤必须制定一个安全策略;必须制定一个安全策略;必须正式规定允许的包类型、包字段的逻辑表达;必须正式规定允许的包类型、包字段的逻辑表达;必须用防火墙支持的语法重写表达式。必须用防火墙支持的语法重写表达式。按地址过滤按地址过滤比如说,认为网络比如说,认为网络202.110.8.0是一个危险的网络,是一个危险的网络,那么就可以用源地址过滤禁止内部主机和该网络进那么就可以用源地址过滤禁止内部主机和该网络进行通信。下表是根据上面的政策所制定的规则。行通信。下表是根据上面的政策所制定的规则。网络安全访问控制与防火墙技术按服务过滤按服务过滤假设安全策略是禁止外部主机访问内部的假设安全策略
19、是禁止外部主机访问内部的E-mail服务器(服务器(SMTP,端口,端口25),允许内部),允许内部主机访问外部主机,实现这种的过滤的访问控主机访问外部主机,实现这种的过滤的访问控制规则类似下表。制规则类似下表。 “*”代表任意值,没有被过滤器规则明确允许的代表任意值,没有被过滤器规则明确允许的包将被拒绝。包将被拒绝。 网络安全访问控制与防火墙技术(2)数据包过滤特性分析)数据包过滤特性分析主要优点:是仅一个关健位置设置一个数据包主要优点:是仅一个关健位置设置一个数据包过滤路由器就可以保护整个网络,而且数据包过过滤路由器就可以保护整个网络,而且数据包过滤对用户是透明的,不必在用户机上再安装特定
20、滤对用户是透明的,不必在用户机上再安装特定的软件的软件缺点和局限性:包过滤规则配置比较复杂,而且缺点和局限性:包过滤规则配置比较复杂,而且几乎没有什么工具能对过滤规则的正确性进行测试;几乎没有什么工具能对过滤规则的正确性进行测试;包过滤也没法查出具有数据驱动攻击这一类潜在危包过滤也没法查出具有数据驱动攻击这一类潜在危险的数据包;由于险的数据包;由于数据包过滤是通过源地址来做判数据包过滤是通过源地址来做判断的,但断的,但IPIP地址是很容易改变的,所以源地址欺骗地址是很容易改变的,所以源地址欺骗用数据包过滤的方法不能查出来。用数据包过滤的方法不能查出来。除此之外,随着除此之外,随着过滤数目的增加
21、,路由器的吞吐量会下降,从而影过滤数目的增加,路由器的吞吐量会下降,从而影响网络性能。响网络性能。网络安全访问控制与防火墙技术2 2 应用层网关(应用层网关(Application GatewayApplication Gateway) (1)应用层网关原理)应用层网关原理也称为代理服务器,代理(也称为代理服务器,代理(Proxy)技术与包过)技术与包过滤技术完全不同,包过滤技术是在网络层拦截所滤技术完全不同,包过滤技术是在网络层拦截所有的信息流,代理技术是针对每一个特定应用都有的信息流,代理技术是针对每一个特定应用都有一个程序。代理是企图在应用层实现防火墙的有一个程序。代理是企图在应用层实现
22、防火墙的功能,代理的主要特点是有状态性。代理能提供功能,代理的主要特点是有状态性。代理能提供部分与传输有关的状态,能完全提供与应用相关部分与传输有关的状态,能完全提供与应用相关的状态和部分传输方面的信息,代理也能处理和的状态和部分传输方面的信息,代理也能处理和管理信息。管理信息。网络安全访问控制与防火墙技术下图是应用层网关的结构示意图,其中内部网下图是应用层网关的结构示意图,其中内部网的一个的一个Telnet客户通过代理访问外部网的一个客户通过代理访问外部网的一个Telnet服务器的情况。服务器的情况。 Telnet Telnet代理服务器执行内部网络向外部网络申代理服务器执行内部网络向外部网
23、络申请服务时中间转接作用。请服务时中间转接作用。 网络安全访问控制与防火墙技术 应用层网关上应用层网关上的代理服务事实上分为一个客的代理服务事实上分为一个客户代理和一个服务器代理,户代理和一个服务器代理,TelnetTelnet是一个是一个TelnetTelnet的服务器守护进程,当它侦听到一个连接到来之的服务器守护进程,当它侦听到一个连接到来之后,它首先要进行相应的身份认证,并根据安全后,它首先要进行相应的身份认证,并根据安全策略来决定是否中转连接。当决定转发时,代理策略来决定是否中转连接。当决定转发时,代理服务器上的服务器上的TelnetTelnet客户进程向真正的客户进程向真正的Teln
24、etTelnet服务服务器发出请求,器发出请求,TelnetTelnet服务器返回的数据是由代理服务器返回的数据是由代理服务器转发给服务器转发给TelnetTelnet客户机。客户机。 提供代理服务的可以是一台双宿网关,也可提供代理服务的可以是一台双宿网关,也可以是一台堡垒主机,允许用户访问代理服务是很以是一台堡垒主机,允许用户访问代理服务是很重要的,但是用户是绝对不允许注册到应用层网重要的,但是用户是绝对不允许注册到应用层网关中的。关中的。 网络安全访问控制与防火墙技术用于应用层的过滤规则相对于包过滤路由器来说用于应用层的过滤规则相对于包过滤路由器来说更容易配置和测试。更容易配置和测试。代理
25、工作在客户机和真实服务器之间,完全控制代理工作在客户机和真实服务器之间,完全控制会话,所以可以提供很详细的日志和安全审计功能。会话,所以可以提供很详细的日志和安全审计功能。提供代理服务的防火墙可以被配置成惟一的可被提供代理服务的防火墙可以被配置成惟一的可被外部看见的主机,这样可以隐藏内部网的外部看见的主机,这样可以隐藏内部网的IP地址,地址,可以保护内部主机免受外部主机的进攻。可以保护内部主机免受外部主机的进攻。通过代理访问通过代理访问Internet可以解决合法的可以解决合法的IP地址地址不够用的问题,因为不够用的问题,因为Internet所见到只是代理服务所见到只是代理服务器的地址,内部不
26、合法的器的地址,内部不合法的IP通过代理可以访问通过代理可以访问Internet。提供代理的应用层网关主要有以下优点:提供代理的应用层网关主要有以下优点:应用层网关有能力支持可靠的用户认证并提供详应用层网关有能力支持可靠的用户认证并提供详细的注册信息。细的注册信息。网络安全访问控制与防火墙技术应用层代理的缺点:应用层代理的缺点:有限的联接性。有限的联接性。有限的技术。有限的技术。应用层实现的防火墙会造成明显的性能下降。应用层实现的防火墙会造成明显的性能下降。每个应用程序都必须有一个代理服务程序来进行每个应用程序都必须有一个代理服务程序来进行安全控制,每一种应用升级时,一般代理服务程序安全控制,
27、每一种应用升级时,一般代理服务程序也要升级。也要升级。应用层网关要求用户改变自己的行为,或者在访应用层网关要求用户改变自己的行为,或者在访问代理服务的每个系统上安装特殊的软件。问代理服务的每个系统上安装特殊的软件。网络安全访问控制与防火墙技术(2)数据包过滤与代理服务的比较)数据包过滤与代理服务的比较代理服务在安全方面比包过滤强,但它们在性能代理服务在安全方面比包过滤强,但它们在性能和透明度上比较差。主要的安全优点在基于代理服务和透明度上比较差。主要的安全优点在基于代理服务的防火墙设计上,即使一个基于代理的防火墙遭到破的防火墙设计上,即使一个基于代理的防火墙遭到破坏,还是没有直接传到防火墙后面
28、的网络上;而包过坏,还是没有直接传到防火墙后面的网络上;而包过滤防火墙上,如一个过滤规则被修改或破坏了,防火滤防火墙上,如一个过滤规则被修改或破坏了,防火墙还继续为包路由。墙还继续为包路由。 包过滤防火墙的安全性较弱,透明度上较好。包过滤防火墙的安全性较弱,透明度上较好。如果防火墙遭到损害,所有它后面的网络都面临如果防火墙遭到损害,所有它后面的网络都面临危险。危险。 网络安全访问控制与防火墙技术(3)应用层网关实现)应用层网关实现编写代理软件编写代理软件客户软件客户软件协议对于应用层网关的处理协议对于应用层网关的处理(4)应用层网关的特点和发展方向)应用层网关的特点和发展方向智能代理智能代理网
29、络安全访问控制与防火墙技术3 3 电路级网关技术电路级网关技术 电路级网关(电路级网关(CircuitLevelGateway)也是一)也是一种代理,但是只能是建立起一个回路,对数据包种代理,但是只能是建立起一个回路,对数据包只起转发的作用。电路级网关只依赖于只起转发的作用。电路级网关只依赖于TCP联接,联接,并不进行任何附加的包处理或过滤。并不进行任何附加的包处理或过滤。电路级网关防火墙特点:电路级网关是一个通用电路级网关防火墙特点:电路级网关是一个通用代理服务器,它工作于代理服务器,它工作于OSI互联模型的会话层或是互联模型的会话层或是TCP/IP协议的协议的TCP层。它适用于多个协议,但
30、它层。它适用于多个协议,但它不能识别在同一个协议栈上运行的不同的应用。不能识别在同一个协议栈上运行的不同的应用。优点:它可以对各种不同的协议提供服务,但这优点:它可以对各种不同的协议提供服务,但这种代理需要改进客户程序。这种网关对外像一个代种代理需要改进客户程序。这种网关对外像一个代理,而对内则是一个过滤路由器。理,而对内则是一个过滤路由器。网络安全访问控制与防火墙技术33 防火墙安全防火墙安全 设计策略设计策略 网络安全访问控制与防火墙技术331 防火墙体系结构防火墙体系结构 1 1 屏蔽路由器屏蔽路由器(ScreeningRouter) (ScreeningRouter) 屏蔽路由器可以由
31、厂家专门生产的路由器实屏蔽路由器可以由厂家专门生产的路由器实现,也可以用主机来实现。屏蔽路由器作为内外现,也可以用主机来实现。屏蔽路由器作为内外连接的惟一通道,要求所有的报文都必须在此通连接的惟一通道,要求所有的报文都必须在此通过检查。路由器上可以安装基于过检查。路由器上可以安装基于IP层的报文过滤层的报文过滤软件,实现报文过滤功能。软件,实现报文过滤功能。2 2 双穴主机网关双穴主机网关(DualHomedGateway) (DualHomedGateway) 穴主机网关是用一台装有两块网卡的堡垒主穴主机网关是用一台装有两块网卡的堡垒主机的做防火墙。两块网卡各自与受保护网和外部机的做防火墙。
32、两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件,可以转网相连。堡垒主机上运行着防火墙软件,可以转发应用程序,提供服务等。发应用程序,提供服务等。网络安全访问控制与防火墙技术3 3 被屏蔽主机网关被屏蔽主机网关(ScreenedGatewy) (ScreenedGatewy) 屏蔽主机网关易于实现也最为安全。屏蔽主机网关易于实现也最为安全。网关的基本控制策略由安装在上面的软件决定。网关的基本控制策略由安装在上面的软件决定。4 4 屏蔽子网屏蔽子网(ScreenedSubnet) (ScreenedSubnet) 屏蔽子网就是在内部网络和外部网络之间建立一屏蔽子网就是在内部网络和外
33、部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。子网分别与内部网络和外部网络分开。这种配置的危险仅包括堡垒主机、子网主机及所这种配置的危险仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。有连接内网、外网和屏蔽子网的路由器。网络安全访问控制与防火墙技术332 网络服务访问权限策略网络服务访问权限策略 安全策略分安全策略分为两个两个层次:网次:网络服服务访问策略和防策略和防火火墙设计策略。策略。 网络服务访问策略是一种高层次的、具体到事件网络服务访问策略是一种高层次的、具体到事件的策略,主要用于定
34、义在网络中允许的或禁止的网的策略,主要用于定义在网络中允许的或禁止的网络服务,而且还包括对拨号访问以及络服务,而且还包括对拨号访问以及SLIPPPP联联接的限制。接的限制。网络服务访问策略不但应该是一个站点安全策网络服务访问策略不但应该是一个站点安全策略的延伸,而且对于机构内部资源的保护也应起到略的延伸,而且对于机构内部资源的保护也应起到全局的作用。全局的作用。网络安全访问控制与防火墙技术 通常,通常,一个防火一个防火墙执行两个通用网行两个通用网络服服务访问策略中的一个:允策略中的一个:允许从内部站点从内部站点访问InternetInternet而不而不允允许从从InternetInterne
35、t访问内部站点;只允内部站点;只允许从从InternetInternet访问特定的系特定的系统,如信息服,如信息服务器和器和电子子邮件服件服务器。器。 比如,在最高层,某个组织机构的总体策略:比如,在最高层,某个组织机构的总体策略:(1)内部信息对于一个组织的经济繁荣是至关重要的;内部信息对于一个组织的经济繁荣是至关重要的;(2)应使用各种经济实惠的办法来保证我们的信息的机密应使用各种经济实惠的办法来保证我们的信息的机密性、完整性、真实性、和可用性;性、完整性、真实性、和可用性;(3)保护数据信息的机密性、完整性和可用性是高于一切保护数据信息的机密性、完整性和可用性是高于一切的,是不同层次的员
36、工的责任;的,是不同层次的员工的责任;(4)所有信息处理的设备将被用于经过授权的任务。所有信息处理的设备将被用于经过授权的任务。因此,在这个普遍原则之下是与具体事情相关的政策,因此,在这个普遍原则之下是与具体事情相关的政策,如公司财物的使用规定、信息系统的使用规定,防火墙的如公司财物的使用规定、信息系统的使用规定,防火墙的网络服务访问政策就是在这一个层次上。网络服务访问政策就是在这一个层次上。网络安全访问控制与防火墙技术 防火防火墙的的设计策略是具体地策略是具体地针对防火防火墙,制定,制定相相应的的规章制度来章制度来实施网施网络服服务访问策略。在制定策略。在制定这种策略之前,必种策略之前,必须
37、了解了解这种防火种防火墙的性能以及缺的性能以及缺点、点、TCPTCPIPIP本身所具有的易受攻本身所具有的易受攻击性和危性和危险性。性。 两种基本设计策略:两种基本设计策略:第一种,除非明确不允许,否则允许某种服务。执第一种,除非明确不允许,否则允许某种服务。执行第一种策略的防火墙在默认情况下允许所有的服行第一种策略的防火墙在默认情况下允许所有的服务,除非管理员对某种服务明确表示禁止。务,除非管理员对某种服务明确表示禁止。333 防火墙设计策略及要求防火墙设计策略及要求 第二种,除非明确允许,否则将禁止某种服务。执第二种,除非明确允许,否则将禁止某种服务。执行第二种策略的防火墙在默认情况下禁止
38、所有的服行第二种策略的防火墙在默认情况下禁止所有的服务,除非管理员对某种服务明确表示允许。务,除非管理员对某种服务明确表示允许。网络安全访问控制与防火墙技术总之,防火墙好坏取决于安全性和灵活性的要总之,防火墙好坏取决于安全性和灵活性的要求,所以在实施防火墙之前,考虑一下策略是至求,所以在实施防火墙之前,考虑一下策略是至关重要的。如果不这样做,会导致防火墙不能达关重要的。如果不这样做,会导致防火墙不能达到要求。到要求。网络安全访问控制与防火墙技术334 防火墙与加密机制防火墙与加密机制 现在的防火墙则逐渐集成了信息安全技术中的最现在的防火墙则逐渐集成了信息安全技术中的最新研究成果,一般都具有加密
39、、解密和压缩、解压等新研究成果,一般都具有加密、解密和压缩、解压等功能,这些技术加强了信息在互联网上的安全性。功能,这些技术加强了信息在互联网上的安全性。加密技术实际上是一种对要经由公共网络传送的加密技术实际上是一种对要经由公共网络传送的信息进行编码的方法,它是确保数据安全的最有效方信息进行编码的方法,它是确保数据安全的最有效方法。防火墙能够将授权用户的数据进行加密并使这个法。防火墙能够将授权用户的数据进行加密并使这个信息穿过防火墙而进入公共网络。保护接收网络的防信息穿过防火墙而进入公共网络。保护接收网络的防火墙然后能够检查信息,对其进行解码,并将其发送火墙然后能够检查信息,对其进行解码,并将
40、其发送到正确的授权用户手中。通过使用加密技术,大多数到正确的授权用户手中。通过使用加密技术,大多数防火墙现在能够用作防火墙现在能够用作VPN的网关,在有些时候通过对的网关,在有些时候通过对在互联网上的端对端通讯信息进行保护还可作为在互联网上的端对端通讯信息进行保护还可作为VPN服务器。服务器。网络安全访问控制与防火墙技术34 防火墙攻防火墙攻 击策略击策略 网络安全访问控制与防火墙技术从黑客攻击防火墙的过程上看,从黑客攻击防火墙的过程上看,防火墙攻击策略防火墙攻击策略大概可以分为三类:大概可以分为三类:341 扫描防火墙策略扫描防火墙策略 扫描防火墙策略的方法是探测在目标网络上安装扫描防火墙策
41、略的方法是探测在目标网络上安装的是何种防火墙系统并且找出此防火墙系统允许哪些的是何种防火墙系统并且找出此防火墙系统允许哪些服务,通常称之为对防火墙的探测攻击。服务,通常称之为对防火墙的探测攻击。网络安全访问控制与防火墙技术342 通过防火墙认证机制策略通过防火墙认证机制策略 通过防火墙认证机制策略,是指采取地址欺骗、通过防火墙认证机制策略,是指采取地址欺骗、TCP序号攻击等方法绕过防火墙的认证机制,从而对序号攻击等方法绕过防火墙的认证机制,从而对防火墙和内部网络破坏。防火墙和内部网络破坏。1IP地址欺骗地址欺骗:突破防火墙系统最常用的方法是突破防火墙系统最常用的方法是因特网地址欺骗,它同时也是
42、其他一系列攻击方法的因特网地址欺骗,它同时也是其他一系列攻击方法的基础。基础。2TCP序号攻击序号攻击:TCP序号攻击是绕过基于分组序号攻击是绕过基于分组过滤方法的防火墙系统的最有效和最危险的方法之一。过滤方法的防火墙系统的最有效和最危险的方法之一。网络安全访问控制与防火墙技术寻找、利用防火墙系统实现和设计上的安全漏洞,寻找、利用防火墙系统实现和设计上的安全漏洞,从而有针对性地发动攻击。这种攻击难度比较大,可从而有针对性地发动攻击。这种攻击难度比较大,可是破坏性很大。是破坏性很大。防火墙不能防止对自己的攻击,只能强制对抗。防火墙不能防止对自己的攻击,只能强制对抗。防火墙本身是一种被动防卫机制,
43、不是主动安全机制。防火墙本身是一种被动防卫机制,不是主动安全机制。防火墙不能干涉还没有到达防火墙的包,如果这个包防火墙不能干涉还没有到达防火墙的包,如果这个包是攻击防火墙的,只有已经发生了攻击,防火墙才可是攻击防火墙的,只有已经发生了攻击,防火墙才可以对抗,根本不能防止。以对抗,根本不能防止。343 利用防火墙漏洞策略利用防火墙漏洞策略 网络安全访问控制与防火墙技术35 第四代防火第四代防火 墙的主要技墙的主要技 术术 网络安全访问控制与防火墙技术351 第四代防火墙的主要技术与功能第四代防火墙的主要技术与功能 第四代防火墙本身就是一个操作系统,因而在安第四代防火墙本身就是一个操作系统,因而在
44、安全性上较之第三代防火墙有质的提高。获得安全操作全性上较之第三代防火墙有质的提高。获得安全操作系统的办法有两种:一种是通过许可证方式获得操作系统的办法有两种:一种是通过许可证方式获得操作系统的源码;另一种是通过固化操作系统内核来提高系统的源码;另一种是通过固化操作系统内核来提高可靠性。第四代防火墙产品将网关与安全系统合二为可靠性。第四代防火墙产品将网关与安全系统合二为一,具有以下技术与功能。一,具有以下技术与功能。防火墙技术的发展经历了基于路由器的防火墙、防火墙技术的发展经历了基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防用户化的防火墙工具套、建立在通用操作系统上的防火墙、
45、具有安全操作系统的防火墙四个阶段。火墙、具有安全操作系统的防火墙四个阶段。网络安全访问控制与防火墙技术1双端口或三端口的结构双端口或三端口的结构:新一代防火墙产新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不作品具有两个或三个独立的网卡,内外两个网卡可不作IP转化而串接于内部网与外部网之间,另一个网卡可转化而串接于内部网与外部网之间,另一个网卡可专用于对服务器的安全保护。专用于对服务器的安全保护。2透明的访问方式透明的访问方式:第四代防火墙利用了透明的第四代防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险代理系统技术,从而降低了系统登录固有的安全风险和出错概率。和出错
46、概率。3灵活的代理系统灵活的代理系统:第四代防火墙采用了两种代第四代防火墙采用了两种代理机制:一种用于代理从内部网络到外部网络的连接,理机制:一种用于代理从内部网络到外部网络的连接,采用网络地址转换(采用网络地址转换(NAT)技术来解决;另一种用于)技术来解决;另一种用于代理从外部网络到内部网络的连接,采用非保密的用代理从外部网络到内部网络的连接,采用非保密的用户定制代理或保密的代理系统技术来解决。户定制代理或保密的代理系统技术来解决。网络安全访问控制与防火墙技术4多级的过滤技术多级的过滤技术:第四代防火墙采用了三级过第四代防火墙采用了三级过滤措施,并辅以鉴别手段。滤措施,并辅以鉴别手段。在分
47、组过滤一级,能过滤掉所有的源路由分组和在分组过滤一级,能过滤掉所有的源路由分组和假冒的假冒的IP源地址;源地址;在应用网关一级,能利用在应用网关一级,能利用FTP、SMTP等各种网等各种网关,控制和监测关,控制和监测Internet提供的所有通用服务;提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。明连接,并对服务的通行实行严格控制。5网络地址转换技术网络地址转换技术:第四代防火墙利用第四代防火墙利用NAT技技术能透明地对所有内部地址作转换,使外部网络无法术能透明地对所有内部地址作转换,使外部网络无法了
48、解网络的内部结构,同时允许内部网络使用自编的了解网络的内部结构,同时允许内部网络使用自编的IP地址和专用网络,防火墙能详尽记录每一个主机的地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。通信,确保每个分组送往正确的地址。网络安全访问控制与防火墙技术6Internet网关技术网关技术:由于是直接串联在网络之由于是直接串联在网络之中,第四代防火墙必须支持用户在中,第四代防火墙必须支持用户在Internet互连的所互连的所有服务,同时还要防止与有服务,同时还要防止与Internet服务有关的安全漏服务有关的安全漏洞。洞。在域名服务方面,第四代防火墙采用两种独立的在域名服
49、务方面,第四代防火墙采用两种独立的域名服务器:一种是内部域名服务器:一种是内部DNS服务器,主要处理内部服务器,主要处理内部网络的网络的DNS信息;另一种是外部信息;另一种是外部DNS服务器,专门服务器,专门用于处理机构内部向用于处理机构内部向Internet提供的部分提供的部分DNS信息。信息。7安全服务器网络(安全服务器网络(SSN):第四代防火墙采用第四代防火墙采用分别保护的策略保护对外服务器。它利用一张网卡将分别保护的策略保护对外服务器。它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是对外服务器作为一个独立网络处理,对外服务器既是内部网的一部分,又与内部网关完全隔离。这就
50、是安内部网的一部分,又与内部网关完全隔离。这就是安全服务网络(全服务网络(SSN)技术,对)技术,对SSN上的主机既可单独上的主机既可单独管理,也可设置成通过管理,也可设置成通过FTP、Telnet等方式从内部网等方式从内部网上管理。上管理。网络安全访问控制与防火墙技术8用户鉴别与加密用户鉴别与加密:为了降低在为了降低在Telnet、FTP等等服务和远程管理上的风险,第四代防火墙采用一次性服务和远程管理上的风险,第四代防火墙采用一次性使用的口令字系统作为用户的鉴别手段,并实现了对使用的口令字系统作为用户的鉴别手段,并实现了对邮件的加密。邮件的加密。9用户定制服务用户定制服务:第四代防火墙在提供
51、众多服务第四代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用的同时,还为用户定制提供支持,这类选项有:通用TCP,出站,出站UDP、FTP、SMTP等类。如果某一用户等类。如果某一用户需要建立一个数据库的代理,便可利用这些支持,方需要建立一个数据库的代理,便可利用这些支持,方便设置。便设置。10第四代防火墙产品的审计和告警功能第四代防火墙产品的审计和告警功能:第四第四代防火墙产品的审计和告警功能十分健全。代防火墙产品的审计和告警功能十分健全。此外,第四代防火墙还在网络诊断、数据备份与此外,第四代防火墙还在网络诊断、数据备份与保全等方面具有特色。保全等方面具有特色。网络安全访
52、问控制与防火墙技术352 第四代防火墙技术的实现方法第四代防火墙技术的实现方法 在第四代防火墙产品的设计与开发中,其安全内在第四代防火墙产品的设计与开发中,其安全内核、代理系统、多级过滤、安全服务器和鉴别与加密核、代理系统、多级过滤、安全服务器和鉴别与加密是关键所在。是关键所在。1安全内核的实现安全内核的实现:第四代防火墙是建立在安全第四代防火墙是建立在安全操作系统之上的,安全的操作系统来自对专用操作系操作系统之上的,安全的操作系统来自对专用操作系统的安全加固和改造,从现有的诸多产品看,对安全统的安全加固和改造,从现有的诸多产品看,对安全操作系统内核的固化与改造主要从以下几方面进行:操作系统内
53、核的固化与改造主要从以下几方面进行:取消危险的系统调用;限制命令的执行权限;取消危险的系统调用;限制命令的执行权限;取消取消IP的转发功能;检查每个分组的接口;采用随机连接序的转发功能;检查每个分组的接口;采用随机连接序号;驻留分组过滤模块;取消动态路由功能;采用多号;驻留分组过滤模块;取消动态路由功能;采用多个安全内核。个安全内核。网络安全访问控制与防火墙技术2代理系统的建立代理系统的建立:防火墙不允许任何信息直接防火墙不允许任何信息直接穿过它,对所有的内外连接均要通过代理系统来实现,穿过它,对所有的内外连接均要通过代理系统来实现,为保证整个防火墙的安全,所有的代理都应采用改变为保证整个防火
54、墙的安全,所有的代理都应采用改变根目录的方式存在一个相对独立的区域以作安全隔离。根目录的方式存在一个相对独立的区域以作安全隔离。3.分组过滤器的设计分组过滤器的设计:作为防火墙的核心部件之一,作为防火墙的核心部件之一,过滤器的设计要尽量做到减少对防火墙的访问。过滤器的设计要尽量做到减少对防火墙的访问。4.安全服务器的设计:安全服务器的设计:安全服务器的设计有两个要安全服务器的设计有两个要点:第一,所有点:第一,所有SSN的流量都要隔离处理,即从内部的流量都要隔离处理,即从内部网和外部网而来的路由信息流在机制上是分离的;第网和外部网而来的路由信息流在机制上是分离的;第二,二,SSN的作用类似于两
55、个网络,它看上去像是内部的作用类似于两个网络,它看上去像是内部网,因为它对外透明,同时又像是外部网络,因为它网,因为它对外透明,同时又像是外部网络,因为它从内部网络对外访问的方式十分有限。从内部网络对外访问的方式十分有限。网络安全访问控制与防火墙技术5鉴别与加密的考虑鉴别与加密的考虑:鉴别与加密是防火墙识别鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段,鉴别机制除用户、验证访问和保护信息的有效手段,鉴别机制除了提供安全保护而外,还有安全管理功能。了提供安全保护而外,还有安全管理功能。353 第四代防火墙抗攻击能力分析第四代防火墙抗攻击能力分析 在在Internet环境中针对防火墙的攻
56、击方法很多,环境中针对防火墙的攻击方法很多,下面从几种主要的攻击方法来评估第四代防火墙的抗下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。攻击能力。1抗抗IP假冒攻击假冒攻击:IP假冒是指一个非法的主机假假冒是指一个非法的主机假冒内部的主机地址,骗取服务器的冒内部的主机地址,骗取服务器的“信任信任”,从而达,从而达到对网络的攻击目的。到对网络的攻击目的。网络安全访问控制与防火墙技术2抗特洛伊木马攻击抗特洛伊木马攻击:第四代防火墙是建立在安第四代防火墙是建立在安全的操作系统之上的,其安全内核中不能执行下载的全的操作系统之上的,其安全内核中不能执行下载的程序,故而可防止特洛伊木马的发生。程
57、序,故而可防止特洛伊木马的发生。3抗口令字探寻攻击抗口令字探寻攻击:第四代防火墙采用了一次第四代防火墙采用了一次性口令字和禁止直接登录防火墙的措施,能有效防止性口令字和禁止直接登录防火墙的措施,能有效防止对口令字的攻击。对口令字的攻击。在网络中探寻口令字的方法很多,最常见的是口在网络中探寻口令字的方法很多,最常见的是口令字嗅探和口令字解密。令字嗅探和口令字解密。嗅探监测网络通信、截获用户传给服务器的口令嗅探监测网络通信、截获用户传给服务器的口令字,记录下来后使用;解密指采用强力攻击,猜测或字,记录下来后使用;解密指采用强力攻击,猜测或截获含有加密口令字的文件,并设法解密。此外,攻截获含有加密口
58、令字的文件,并设法解密。此外,攻击者还常常利用一些常用口令字直接登录。击者还常常利用一些常用口令字直接登录。网络安全访问控制与防火墙技术4抗网络安全性分析抗网络安全性分析:抗网络安全性分析工具本抗网络安全性分析工具本是供管理人员分析网络安全性之用的,一旦这类工具是供管理人员分析网络安全性之用的,一旦这类工具用作攻击网络的手段,则能较方便地探测到内部网络用作攻击网络的手段,则能较方便地探测到内部网络的安全缺陷和弱点所在。的安全缺陷和弱点所在。第四代防火墙采用了地址转换技术,将内部网络第四代防火墙采用了地址转换技术,将内部网络隐蔽起来,使网络安全分析工具无法从外部对内部网隐蔽起来,使网络安全分析工
59、具无法从外部对内部网分析。分析。5抗邮件诈骗攻击抗邮件诈骗攻击:邮件诈骗也是越来越突出:邮件诈骗也是越来越突出的攻击方式,第四代防火墙不接收任何邮件,故的攻击方式,第四代防火墙不接收任何邮件,故难以采用这种方式对它攻击。难以采用这种方式对它攻击。网络安全访问控制与防火墙技术36 防火墙发展防火墙发展 的新方向的新方向 网络安全访问控制与防火墙技术361 透明接入技术透明接入技术 透明模式,顾名思义,首要的特点就是对用户是透明模式,顾名思义,首要的特点就是对用户是透明的(透明的(Transparent),即用户意识不到防火墙的存),即用户意识不到防火墙的存在。要想实现透明模式,防火墙必须在没有在
60、。要想实现透明模式,防火墙必须在没有IP地址的地址的情况下工作,不需要对其设置情况下工作,不需要对其设置IP地址,用户也不知道地址,用户也不知道防火墙的防火墙的IP地址。地址。 透明模式的防火墙就好象是一台网桥透明模式的防火墙就好象是一台网桥(非透明的非透明的防火墙好象一台路由器防火墙好象一台路由器),网络设备,网络设备(包括主机、路由包括主机、路由器、工作站等器、工作站等)和所有计算机的设置(包括和所有计算机的设置(包括IP地址和地址和网关)无须改变,同时解析所有通过它的数据包,既网关)无须改变,同时解析所有通过它的数据包,既增加了网络的安全性,又降低了用户管理的复杂程度。增加了网络的安全性
61、,又降低了用户管理的复杂程度。网络安全访问控制与防火墙技术 防火墙使用透明代理技术,这些代理服务对用户防火墙使用透明代理技术,这些代理服务对用户也是透明的,用户意识不到防火墙的存在,便可完成也是透明的,用户意识不到防火墙的存在,便可完成内外网络的通讯。当内部用户需要使用透明代理访问内外网络的通讯。当内部用户需要使用透明代理访问外部资源时,用户不需要进行设置,代理服务器会建外部资源时,用户不需要进行设置,代理服务器会建立透明的通道,让用户直接与外界通信,这样极大地立透明的通道,让用户直接与外界通信,这样极大地方便了用户的使用。方便了用户的使用。 透明代理的原理:假设透明代理的原理:假设A为内部网
62、络客户机,为内部网络客户机,B为外为外部网络服务器,部网络服务器,C为防火墙。当为防火墙。当A对对B有连接请求时,有连接请求时,TCP连接请求被防火墙截取并加以监控。截取后当发现连接请求被防火墙截取并加以监控。截取后当发现连接需要使用代理服务器时,连接需要使用代理服务器时,A和和C之间首先建立连接,之间首先建立连接,然后防火墙建立相应的代理服务通道与目标然后防火墙建立相应的代理服务通道与目标B建立连接,建立连接,由此通过代理服务器建立由此通过代理服务器建立A和目标地址和目标地址B的数据传输途的数据传输途径。从用户的角度看,径。从用户的角度看,A和和B的连接是直接的,而实际的连接是直接的,而实际
63、上上A是通过代理服务器是通过代理服务器C和和B建立连接的。建立连接的。网络安全访问控制与防火墙技术反之,当反之,当B对对A有连接请求时原理相同。由于这些连接有连接请求时原理相同。由于这些连接过程是自动的,不需要客户端手工配置代理服务器,过程是自动的,不需要客户端手工配置代理服务器,甚至用户根本不知道代理服务器的存在,因而对用户甚至用户根本不知道代理服务器的存在,因而对用户来说是透明的。来说是透明的。 防防火火墙墙使使用用透透明明代代理理技技术术,还还可可以以使使防防火火墙墙的的服服务务端端口口无无法法探探测测到到,也也就就无无法法对对防防火火墙墙进进行行攻攻击击,大大大大提提高高了了防防火火墙
64、墙的的安安全全性性与与抗抗攻攻击击性性。透透明明代代理理避避免免了了设设置置或或使使用用中中可可能能出出现现的的错错误误,降降低低了了防防火火墙墙使使用用时时固有的安全风险和出错概率,方便用户使用。固有的安全风险和出错概率,方便用户使用。 因此,透明代理与透明模式都可以简化防火墙的因此,透明代理与透明模式都可以简化防火墙的设置,提高系统安全性。但两者之间也有本质的区别:设置,提高系统安全性。但两者之间也有本质的区别:工作于透明模式的防火墙使用了透明代理的技术,但工作于透明模式的防火墙使用了透明代理的技术,但透明代理并不是透明模式的全部,防火墙在非透明模透明代理并不是透明模式的全部,防火墙在非透
65、明模式中也可以使用透明代理。式中也可以使用透明代理。网络安全访问控制与防火墙技术362 分布式防火墙技术分布式防火墙技术 1 1分布式防火墙的产生背景分布式防火墙的产生背景 因为传统的防火墙设置在网络边界,在内部企业因为传统的防火墙设置在网络边界,在内部企业网和外部互联网之间构成一个屏障,进行网络存取控网和外部互联网之间构成一个屏障,进行网络存取控制,所以也称为边界防火墙(制,所以也称为边界防火墙(PerimeterFirewall),),它存在以下不足之处:它存在以下不足之处:(1 1)网)网络应用受到用受到结构性限制构性限制 (2 2)内部安全)内部安全隐患依然存在患依然存在 (3 3)效
66、率)效率较低和故障率高低和故障率高 网络安全访问控制与防火墙技术分布式防火墙能克服这些缺点,它不仅能够分布式防火墙能克服这些缺点,它不仅能够保留传统边界式防火墙的所以优点,而且又能克保留传统边界式防火墙的所以优点,而且又能克服前面所说的那些缺点,在目前来说它是最为完服前面所说的那些缺点,在目前来说它是最为完善的一种防火墙技术。善的一种防火墙技术。2 2分布式防火墙的主要特点分布式防火墙的主要特点 分布式防火墙负责对网络边界、各子网和网络内分布式防火墙负责对网络边界、各子网和网络内部各节点之间的安全防护,所以部各节点之间的安全防护,所以“分布式防火墙分布式防火墙”是是一个完整的系统,而不是单一的
67、产品。包含如下部分:一个完整的系统,而不是单一的产品。包含如下部分: 网网络防火防火墙(NetworkFirewallNetworkFirewall) 主机防火主机防火墙(HostFirewallHostFirewall) 中心管理中心管理 网络安全访问控制与防火墙技术分布式防火墙的主要特点:分布式防火墙的主要特点: (1 1)主机)主机驻留:留:这种分布式防火种分布式防火墙的最主要特点就的最主要特点就是采用主机是采用主机驻留方式,所以称之留方式,所以称之为“主机防火主机防火墙”。主主机防火机防火墙对分布式防火分布式防火墙体系体系结构的突出构的突出贡献是,使献是,使安全策略不安全策略不仅仅停留
68、在网停留在网络与网与网络之之间,而是把安全,而是把安全策略推广延伸到每个网策略推广延伸到每个网络末端。末端。 (2 2)嵌入操作系)嵌入操作系统内核:内核:为自身的安全和自身的安全和彻底堵底堵住操作系住操作系统的漏洞,主机防火的漏洞,主机防火墙的安全的安全监测核心引核心引擎要以嵌入操作系擎要以嵌入操作系统内核的形内核的形态运行,直接接管网运行,直接接管网卡,在把所有数据包卡,在把所有数据包进行行检查后再提交操作系后再提交操作系统。 (3 3)类似于个人防火似于个人防火墙(4 4)适用于服)适用于服务器托管器托管网络安全访问控制与防火墙技术3 3分布式防火墙的主要优势分布式防火墙的主要优势在新的
69、安全体系结构下,分布式防火墙代表新一在新的安全体系结构下,分布式防火墙代表新一代防火墙技术的潮流,它可以在网络的任何交界和节代防火墙技术的潮流,它可以在网络的任何交界和节点处设置屏障,从而形成了一个多层次、多协议,内点处设置屏障,从而形成了一个多层次、多协议,内外皆防的全方位安全体系。主要优势如下:外皆防的全方位安全体系。主要优势如下:(1 1)增)增强的系的系统安全性:安全性:增加了增加了针对主机的入侵主机的入侵检测和防和防护功能,加功能,加强了了对来自内部攻来自内部攻击防范,可以防范,可以实施全方位的安全策略。施全方位的安全策略。 (2 2)提高了系)提高了系统性能:性能:消除了消除了结构
70、性瓶构性瓶颈问题,提高了系提高了系统性能。性能。 (3 3)系)系统的的扩展性:展性:分布式防火分布式防火墙随系随系统扩充提充提供了安全防供了安全防护无限无限扩充的能力。充的能力。 网络安全访问控制与防火墙技术(4 4)实施主机策略:施主机策略:对网网络中的各中的各节点可以起到点可以起到更安全的防更安全的防护。 (5 5)应用更用更为广泛,支持广泛,支持VPNVPN通信:通信:其其实分布式分布式防火防火墙最重要的最重要的优势在于,它能在于,它能够保保护物理拓朴上不物理拓朴上不属于内部网属于内部网络,但位于,但位于逻辑上的上的“内部内部”网网络的那些主的那些主机,机,这种需求随着种需求随着VPN
71、VPN的的发展越来越多。展越来越多。 4分布式防火墙的基本原理分布式防火墙的基本原理 分布式防火墙仍然由中心定义策略,但由各个分分布式防火墙仍然由中心定义策略,但由各个分布在网络中的端点实施这些制定的策略。它依赖于三布在网络中的端点实施这些制定的策略。它依赖于三个主要的概念:说明哪一类连接可以被允许禁止的策个主要的概念:说明哪一类连接可以被允许禁止的策略语言、一种系统管理工具和略语言、一种系统管理工具和IP安全协议。安全协议。网络安全访问控制与防火墙技术(1 1)策略)策略语言:言:以以IPIP地址来地址来标志内部主机是一种志内部主机是一种可供可供选择的方法,但它的安全性不高,所以更的方法,但
72、它的安全性不高,所以更倾向向于使用于使用IPIP安全安全协议中的密中的密码凭凭证来来标志各台主机,志各台主机,它它为主机提供了可靠的、唯一的主机提供了可靠的、唯一的标志,并且与网志,并且与网络的物理拓扑无关。的物理拓扑无关。 (2 2)系)系统管理工具:管理工具:分布式防火分布式防火墙服服务器的系器的系统管理工具用于将形成的策略文件分管理工具用于将形成的策略文件分发给被防火被防火墙保保护的所有主机,的所有主机,应该注意的是注意的是这里所指的防火里所指的防火墙并不是并不是传统意意义上的物理防火上的物理防火墙,而是,而是逻辑上的分布式防火上的分布式防火墙。 (3 3)IPIP安全安全协议:是一种是
73、一种对TCP/IPTCP/IP协议族的网族的网络层进行加密保行加密保护的机制,包括的机制,包括AHAH和和ESPESP,分,分别对IPIP包包头和整个和整个IPIP包包进行行认证,可以防止各,可以防止各类主机攻主机攻击。 网络安全访问控制与防火墙技术n首先由制定防火首先由制定防火墙接入控制策略的中心通接入控制策略的中心通过编译器将策略器将策略语言言诉描述描述转换成内部格式,形成策略文成内部格式,形成策略文件;件;n然后中心采用系然后中心采用系统管理工具把策略文件分管理工具把策略文件分发给各各台台“内部内部”主机;主机;“内部内部”主机将从两方面来判定是否主机将从两方面来判定是否接受收到的包,一
74、方面是根据接受收到的包,一方面是根据IPIP安全安全协议,另一方,另一方面是根据服面是根据服务器端的策略文件。器端的策略文件。 分布式防火分布式防火墙工作工作过程:过程:网络安全访问控制与防火墙技术 因因为采用了采用了软件形式(有的采用了件形式(有的采用了软件硬件形件硬件形式),所以功能配置更加灵活,具式),所以功能配置更加灵活,具备充分的智能管理充分的智能管理能力,能力,总的来的来说可以体可以体现在以下几个方面:在以下几个方面: 5分布式防火墙的主要功能分布式防火墙的主要功能 (1 1)InternetInternet访问控制控制 (2 2)应用用访问控制控制 (3 3)网)网络状状态监控控
75、 (4 4)黑客攻)黑客攻击的防御的防御 (5 5)日志管理)日志管理 (6 6)系)系统工具工具 网络安全访问控制与防火墙技术363 以防火墙为核心的网络信以防火墙为核心的网络信 息安全体系息安全体系 网络安全是一个综合的概念,它不仅包括网络安网络安全是一个综合的概念,它不仅包括网络安全产品,而且还涉及整个企业的管理机制、流程方面全产品,而且还涉及整个企业的管理机制、流程方面的问题,因此是一复杂的系统工程。的问题,因此是一复杂的系统工程。就网络安全产品而言,就是一个很大的家族,除就网络安全产品而言,就是一个很大的家族,除防火墙之外,还包括防火墙之外,还包括VPN密码机、密码机、IDS、防病毒
76、产品、防病毒产品等等。等等。误区:什么样的防火墙是安全的防火墙、单靠防火误区:什么样的防火墙是安全的防火墙、单靠防火墙是否能否保证网络的安全、如何构建以防火墙为核墙是否能否保证网络的安全、如何构建以防火墙为核心的网络安全体系等,下面就针对这些问题做简要的心的网络安全体系等,下面就针对这些问题做简要的分析和介绍。分析和介绍。网络安全访问控制与防火墙技术1 1高速安全的防火墙基础平台是网络安全的高速安全的防火墙基础平台是网络安全的 保障保障 2 2构建以防火墙为核心的集成安全方案构建以防火墙为核心的集成安全方案 3 3网络安全产品不但是产品而是服务网络安全产品不但是产品而是服务 网络安全访问控制与
77、防火墙技术37 防火墙选择防火墙选择 原则与常见原则与常见 产品产品 网络安全访问控制与防火墙技术371 防火墙选择原则防火墙选择原则 防火墙的选择应根据网站的特点来选择合适的防防火墙的选择应根据网站的特点来选择合适的防火墙。如果站点是一个机密性机构,但对某些人提供火墙。如果站点是一个机密性机构,但对某些人提供入站的入站的FTP服务,则需要有强大认证功能的防火墙;服务,则需要有强大认证功能的防火墙;如果站点联接到如果站点联接到Internet上只是为了接收电子邮件,上只是为了接收电子邮件,那么可以不需要防火墙。那么可以不需要防火墙。在考虑购买防火墙的时候,主要考虑以下几条:在考虑购买防火墙的时
78、候,主要考虑以下几条:1总拥有成本总拥有成本2 2防火墙自身的安全性防火墙自身的安全性 3 3防火墙的稳定性防火墙的稳定性 4 4防火墙的性能防火墙的性能 网络安全访问控制与防火墙技术5功能的灵活性功能的灵活性 6 6简化的安装与管理简化的安装与管理 7 7配置方便性配置方便性 8 8是否可针对用户身份进行过滤是否可针对用户身份进行过滤 10可扩展和可升级性可扩展和可升级性 1111有用的日志有用的日志 372 常见产品常见产品 常见的企业级防火墙:常见的企业级防火墙:(1)CheckPointFirewall:它它提提供供了了最最佳佳权权限限控控制制、最最佳佳综综合合性性能能及及简简单单明明
79、了了的的管管理理。除除了了NAT外,它具有用户认证功能。外,它具有用户认证功能。 网络安全访问控制与防火墙技术(2)AXENTRaptor:总总体体来来说说是是代代理理型型防火墙中是最好的。防火墙中是最好的。 (4)CiscoPIXFirewall:PIX的的处处理理性性能能是最好的,而且使用是最好的,而且使用NAT时不影响其性能。时不影响其性能。 (3)SecureComputingSecureZone:其其代代理理功功能能很很强强,FTP代代理理可可定定制制文文件件的的创创建建、删改及删改及put/get操作。操作。 (5)Netscreen:它它使使用用专专用用的的ASIC提提供供高性能
80、的防火墙,既便宜又易于安装。高性能的防火墙,既便宜又易于安装。 (6)NetGuardGuardian:尽尽管管它它的的界界面面简单,其权限控制功能优于简单,其权限控制功能优于Netscreen。 网络安全访问控制与防火墙技术 常见的企业级防火墙:常见的企业级防火墙:(1)天网防火墙)天网防火墙 (2)蓝盾防火墙个人版)蓝盾防火墙个人版 (3)瑞星个人防火墙)瑞星个人防火墙 (4)“反黑王反黑王” (5)美美国国赛赛门门铁铁克克(Symantec)公公司司的的诺诺顿顿(Norton)防火墙)防火墙 (6)金山网镖)金山网镖 网络安全访问控制与防火墙技术38 本章小结本章小结 网络安全访问控制与
81、防火墙技术 本本章章首首先先介介绍绍了了访访问问控控制制的的基基本本常常识识,然然后后着重介绍了防火墙的相关知识。着重介绍了防火墙的相关知识。 在计算机网络安全技术性保护措施中,访问控制是在计算机网络安全技术性保护措施中,访问控制是针对越权使用资源的防御措施,是网络安全防范和保针对越权使用资源的防御措施,是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。法使用和非常访问。作为近年来新兴的保护计算机网络安全技术性措施,作为近年来新兴的保护计算机网络安全技术性措施,防火墙是一种隔离控制技术,在某个机构的网络和不防火墙是一
82、种隔离控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访安全的网络之间设置障碍,阻止对信息资源的非法访问,也可以使用防火墙阻止专利信息从公司的网络上问,也可以使用防火墙阻止专利信息从公司的网络上被非法输出。换言之:防火墙是一道门槛,控制进出被非法输出。换言之:防火墙是一道门槛,控制进出两个方向的通信。通过限制与网络或某一特定区域的两个方向的通信。通过限制与网络或某一特定区域的通信,以达到防止非法用户侵犯通信,以达到防止非法用户侵犯Internet和公用网络和公用网络的目的。的目的。网络安全访问控制与防火墙技术防火墙是一种被动防卫技术,由于它假设了网络防火墙是一种被动防
83、卫技术,由于它假设了网络的边界和服务,因此对内部的非法访问难以有效地的边界和服务,因此对内部的非法访问难以有效地控制,所以,防火墙最适合于相对独立且与外部网控制,所以,防火墙最适合于相对独立且与外部网络互联途径有限、网络服务种类相对集中的单一网络互联途径有限、网络服务种类相对集中的单一网络。络。实现防火墙的主要技术有:数据包过滤路由器、实现防火墙的主要技术有:数据包过滤路由器、应用双宿主网关的代理服务、主机屏蔽防火墙和子应用双宿主网关的代理服务、主机屏蔽防火墙和子网屏蔽防火墙等。网屏蔽防火墙等。 防防火火墙墙的的具具体体实实现现产产品品有有很很多多,本本章章介介绍绍多多种种企业级和个人版防火墙。企业级和个人版防火墙。 网络安全访问控制与防火墙技术网络安全访问控制与防火墙技术
