《第3章访问控制与防火墙技术ppt课件.ppt》由会员分享,可在线阅读,更多相关《第3章访问控制与防火墙技术ppt课件.ppt(76页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第3章 访问控制与防火墙技术 本章主要介绍:1. 访问控制技术2. 防火墙技术基础3. 防火墙安全设计策略4. 防火墙攻击策略5. 第四代防火墙的主要技术6. 防火墙发展的新方向3.1 访问控制技术 q一般概念:一般概念: 是针对越权使用资源的防御措施。是针对越权使用资源的防御措施。q基本目标:基本目标: 防止对任何资源(如计算资源、通信资源或信息防止对任何资源(如计算资源、通信资源或信息资源)进行未授权的访问。从而使计算机系统在合法资源)进行未授权的访问。从而使计算机系统在合法范围内使用;决定用户能做什么,也决定代表一定用范围内使用;决定用户能做什么,也决定代表一定用户利益的程序能做什么。户
2、利益的程序能做什么。q未授权的访问包括:未授权的访问包括: 未经授权的使用、泄露、修改、销毁信息以及颁未经授权的使用、泄露、修改、销毁信息以及颁发指令等。发指令等。非法用户进入系统。非法用户进入系统。合法用户对系统资源的非法使用。合法用户对系统资源的非法使用。3.1 访问控制技术 q访问控制的作用:访问控制的作用:访问控制对机密性、完整性起直接的作用。访问控制对机密性、完整性起直接的作用。对于可用性,访问控制通过对以下信息的有效控制对于可用性,访问控制通过对以下信息的有效控制来实现:来实现:1 1)谁可以颁发影响网络可用性的网络管理指令)谁可以颁发影响网络可用性的网络管理指令2 2)谁能够滥用
3、资源以达到占用资源的目的)谁能够滥用资源以达到占用资源的目的3 3)谁能够获得可以用于拒绝服务攻击的信息)谁能够获得可以用于拒绝服务攻击的信息3.1 访问控制技术q访问控制策略与机制访问控制策略与机制访问控制策略访问控制策略( (Access Control Policy)Access Control Policy): :访问控制访问控制策略在系统安全策略级上表示授权。是对访问如何控策略在系统安全策略级上表示授权。是对访问如何控制制, ,如何作出访问决定的高层指南。如何作出访问决定的高层指南。访问控制机制(访问控制机制(Access Control Mechanisms)Access Cont
4、rol Mechanisms): :是访是访问控制策略的软硬件低层实现。问控制策略的软硬件低层实现。v访问控制机制与策略独立,可允许安全机制的重用。访问控制机制与策略独立,可允许安全机制的重用。v安全策略之间没有更好的说法,只是一种可以比一种安全策略之间没有更好的说法,只是一种可以比一种提供更多的保护。应根据应用环境灵活使用。提供更多的保护。应根据应用环境灵活使用。3.1 访问控制技术q访问控制策略与机制访问控制策略与机制自主访问控制(自主访问控制(discretionary policies)discretionary policies), , 也称基也称基于身份的访问控制于身份的访问控制I
5、BAC(IdentityIBAC(Identity Based Access Based Access Control) Control) 强制访问控制强制访问控制( (mandatory policies)mandatory policies), ,也称基于规则也称基于规则的访问控制的访问控制RBACRBAC(RuleRule Based Access Control Based Access Control)基于角色的访问控制基于角色的访问控制( (role-based policies)role-based policies)3.1 访问控制技术自主访问控制自主访问控制DACDAC是基于
6、对主体或主体所属的主体组的识别来限制对客是基于对主体或主体所属的主体组的识别来限制对客体的访问,这种控制是自主的。体的访问,这种控制是自主的。特点:特点: 根据主体的身份及允许访问的权限进行决策。根据主体的身份及允许访问的权限进行决策。 自主是指具有某种访问能力的主体能够自主地将访问权自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。的某个子集授予其它主体。 灵活性高,被大量采用。灵活性高,被大量采用。缺点:缺点: 安全性最低。信息在移动过程中其访问权限关系会被改安全性最低。信息在移动过程中其访问权限关系会被改变。如用户变。如用户A A可将其对目标可将其对目标C C的访问
7、权限传递给用户的访问权限传递给用户B,B,从而从而使不具备对使不具备对C C访问权限的访问权限的B B可访问可访问C C。3.1 访问控制技术强制访问控制强制访问控制( (mandatory policies)mandatory policies)特点:取决于能用算法表达的并能在计算机上执行的策特点:取决于能用算法表达的并能在计算机上执行的策略。策略给出资源受到的限制和实体的授权,对资源的略。策略给出资源受到的限制和实体的授权,对资源的访问取决于实体的授权而非实体的身份。访问取决于实体的授权而非实体的身份。RBACRBAC决策在批决策在批准一个访问之前需要进行授权信息和限制信息的比较。准一个访
8、问之前需要进行授权信息和限制信息的比较。(1)(1)将主体和客体分级,根据主体和客体的级别标记来将主体和客体分级,根据主体和客体的级别标记来决定访问模式。如,绝密级,机密级,秘密级,无密级。决定访问模式。如,绝密级,机密级,秘密级,无密级。 (2) (2)其访问控制关系分为:上读其访问控制关系分为:上读/ /下写,下读下写,下读/ /上写上写 (完整性)(完整性) (机密性)(机密性) (3) (3)通过安全标签实现单向信息流通模式。通过安全标签实现单向信息流通模式。3.1 访问控制技术基于角色的访问控制基于角色的访问控制( (role-based policies)role-based po
9、licies)与现代的商业环境相结合的产物与现代的商业环境相结合的产物基于角色的访问控制是一个复合的规则,可以被认为是基于角色的访问控制是一个复合的规则,可以被认为是IBACIBAC和和RBACRBAC的变体。一个身份被分配给一个被授权的组。的变体。一个身份被分配给一个被授权的组。起源于起源于UNIXUNIX系统或别的操作系统中组的概念系统或别的操作系统中组的概念3.1 访问控制技术角色的定义角色的定义n每个角色与一组用户和有关的动作相互关联,角色中每个角色与一组用户和有关的动作相互关联,角色中所属的用户可以有权执行这些操作所属的用户可以有权执行这些操作nA role can be defin
10、ed as a set of actions and A role can be defined as a set of actions and responsibilities associated with a particular responsibilities associated with a particular working activity.working activity.n角色与组的区别角色与组的区别n组:一组用户的集合组:一组用户的集合n角色:一组用户的集合角色:一组用户的集合 + + 一组操作权限的集合一组操作权限的集合3.2 防火墙技术基础1防火墙的概念防火墙的概
11、念在网络中,所谓在网络中,所谓“防火墙防火墙”,是指一种将内部网和公众访,是指一种将内部网和公众访问网问网(如如Internet)分开的方法,它实际上是一种隔离技术。分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你能允许你“同意同意”的人和数据进入你的网络,同时将你的人和数据进入你的网络,同时将你“不同意不同意”的人和数据拒之门外,最大限度地阻止网络中的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。的黑客来访问你的网络。3.2 防火墙技术基础防火墙的基本设计目标:n对于一个网络来说,所
12、有通过“内部”和“外部”的网络流量都要经过防火墙n通过一些安全策略,来保证只有经过授权的流量才可以通过防火墙n防火墙本身必须建立在安全操作系统的基础上n注意:安全操作系统可以保护防火墙的代码和文件免遭入侵者攻击。这些防火墙的代码只允许在给定主机系统上执行,这种限制可以减少非法穿越防火墙的可能性 3.2 防火墙技术基础防火墙的控制能力:n服务控制,确定哪些服务可以被访问n方向控制,对于特定的服务,可以确定允许哪个方向能够通过防火墙n用户控制,根据用户来控制对服务的访问n行为控制,控制一个特定的服务的行为3.2 防火墙技术基础防火墙的优点:防火墙对企业内部网实现了集中的安全管理,可以强化网络安全策
13、略,比分散的主机管理更经济易行。防火墙能防止非授权用户进入内部网络。防火墙可以方便地监视网络的安全性并报警。可以作为部署网络地址转换(Network Address Translation)的地点,利用NAT技术,可以缓解地址空间的短缺,隐藏内部网的结构。利用防火墙对内部网络的划分,可以实现重点网段的分离,从而限制安全问题的扩散。由于所有的访问都经过防火墙,防火墙是审计和记录网络的访问和使用的最佳地方。3.2 防火墙技术基础防火墙局限性:限制有用的网络服务。无法防护内部网络用户的攻击。防火墙不能防范不经过防火墙的攻击。防火墙也不能完全防止受病毒感染的文件或软件的传输。(由于病毒的种类繁多,如果
14、要在防火墙完成对所有病毒代码的检查,防火墙的效率就会降到不能忍受的程度。)防火墙不能有效地防范数据驱动式攻击。 不能防范新的网络安全问题。基于路由器的防火墙基于路由器的防火墙将过滤功能从路由器中独立出来,并加上审计和告警功能将过滤功能从路由器中独立出来,并加上审计和告警功能针对用户需求,提供模块化的软件包针对用户需求,提供模块化的软件包软件可通过网络发送,用户可根据需要构造防火墙软件可通过网络发送,用户可根据需要构造防火墙与第一代防火墙相比,安全性提高了,价格降低了与第一代防火墙相比,安全性提高了,价格降低了利用路由器本身对分组的解析利用路由器本身对分组的解析, ,进行分组过滤进行分组过滤过滤
15、判断依据:地址、端口号、过滤判断依据:地址、端口号、IPIP旗标及其它网络特征旗标及其它网络特征防火墙与路由器合为一体,只有过滤功能防火墙与路由器合为一体,只有过滤功能适用于对安全性要求不高的网络环境适用于对安全性要求不高的网络环境是批量上市的专用防火墙产品是批量上市的专用防火墙产品包括分组过滤或者借用路由器的分组过滤功能包括分组过滤或者借用路由器的分组过滤功能装有专用的代理系统,监控所有协议的数据和指令装有专用的代理系统,监控所有协议的数据和指令保护用户编程空间和用户可配置内核参数的设置保护用户编程空间和用户可配置内核参数的设置安全性和速度大为提高。安全性和速度大为提高。防火墙厂商具有操作系
16、统的源代码,并可实现安全内核防火墙厂商具有操作系统的源代码,并可实现安全内核去掉了不必要的系统特性,加固内核,强化安全保护去掉了不必要的系统特性,加固内核,强化安全保护在功能上包括了分组过滤、应用网关、电路级网关在功能上包括了分组过滤、应用网关、电路级网关增加了许多附加功能:加密、鉴别、审计、增加了许多附加功能:加密、鉴别、审计、NATNAT转换转换透明性好,易于使用透明性好,易于使用基于安全操作基于安全操作系统的防火墙系统的防火墙基于通用操作基于通用操作系统的防火墙系统的防火墙防火墙工具套防火墙工具套3.2 防火墙技术基础第一代:基于路由器的防火墙n称为包过滤防火墙n特征:n以访问控制表方式
17、实现分组过滤n过滤的依据是IP地址、端口号和其它网络特征n只有分组过滤功能,且防火墙与路由器一体3.2 防火墙技术基础n缺点:n路由协议本身具有安全漏洞n路由器上的分组过滤规则的设置和配置复杂n攻击者可假冒地址n本质缺陷:一对矛盾,防火墙的设置会大大降低路由器的性能。n路由器:为网络访问提供动态灵活的路由n防火墙:对访问行为实施静态固定的控制包过滤型防火墙包过滤型防火墙 3.2 防火墙技术基础第二代:用户化的防火墙工具套件n特征:n将过滤功能从路由器中独立出来,并加上审计和告警功能;n针对用户需求提供模块化的软件包;n安全性提高,价格降低;n纯软件产品,实现维护复杂。n缺点:n配置和维护过程复
18、杂费时;n对用户技术要求高;n全软件实现,安全性和处理速度均有局限;3.2 防火墙技术基础第三代:建立在通用操作系统上的防火墙n是近年来在市场上广泛可用的一代产品。n特征n包括分组过滤或借用路由器的分组过滤功能;n装有专用的代理系统,监控所有协议的数据和指令;n保护用户编程空间和用户可配置内核参数的设置;n安全性和速度大为提高。n实现方式:软件、硬件、软硬结合。n问题:n作为基础的操作系统及其内核的安全性无从保证。n通用操作系统厂商不会对防火墙的安全性负责;n从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统漏洞的攻击。n用户必须依赖两方面的安全支持:防火墙厂商和操作系统
19、厂商。3.2 防火墙技术基础3.2 防火墙技术基础第四代:具有安全操作系统的防火墙n1997年初,此类产品面市。n安全性有质的提高。n获得安全操作系统的方法:n通过许可证方式获得操作系统的源码;n通过固化操作系统内核来提高可靠性。n特点:n防火墙厂商具有操作系统的源代码,并可实现安全内核;n对安全内核实现加固处理:即去掉不必要的系统特性,强化安全保护;n对每个服务器、子系统都作了安全处理;n在功能上包括了分组过滤、代理服务,且具有加密与鉴别功能;n透明性好,易于使用。3.2 防火墙技术基础n第四代防火墙的主要技术与功能:n灵活的代理系统:两种代理机制,一种用于从内部网到外部网的连接,另一种用于
20、此外部网到内部网的连接;n双端口或三端口结构;n网络地址转换技术(NAT)n虚拟专网技术(VPN)3.2 防火墙技术基础3.2 防火墙技术基础防火墙的类型:数据包过滤路由器应用层网关电路层网关3.2 防火墙技术基础1. 数据包过滤路由器数据包过滤路由器基本思想:基本思想:n对于每个进来的包,适用一组规则,然后决定转发或者对于每个进来的包,适用一组规则,然后决定转发或者丢弃该包丢弃该包n如何过滤:如何过滤:n过滤的规则以过滤的规则以IP和传输层的头中的域和传输层的头中的域(字段字段)为基础,包为基础,包括源和目标括源和目标IP地址、地址、IP协议域、源和目标端口号协议域、源和目标端口号n过滤器往
21、往建立一组规则,根据过滤器往往建立一组规则,根据IP包是否匹配规则中指包是否匹配规则中指定的条件来作出决定。定的条件来作出决定。n如果匹配到一条规则,则根据此规则决定转发或者如果匹配到一条规则,则根据此规则决定转发或者丢弃丢弃n如果所有规则都不匹配,则根据缺省策略进行过滤如果所有规则都不匹配,则根据缺省策略进行过滤3.2 防火墙技术基础n两种缺省策略:n没有被拒绝的流量都可以通过n管理员必须针对每一种新出现的攻击,制定新的规则n没有被允许的流量都要拒绝n比较保守n根据需要,逐渐开放3.2 防火墙技术基础每个数据包都包含有特定信息的一组报头,其主要信息是:(1)IP协议类型(TCP、UDP,IC
22、MP等);(2)IP源地址;(3)IP目标地址;(4)TCP或UDP源端口号;(5)TCP或UDP目标端口号; 3.2 防火墙技术基础网络层链路层物理层外部网络内部网络3.2 防火墙技术基础包包过过滤滤模模型型物理层应用层会话层表示层传输层网络层防火墙检查模块防火墙检查模块数据链路层链路层数据应用层数据传输层数据与过滤规则匹配吗与过滤规则匹配吗审计/报警转发包吗发送NACK丢弃包结束结束3.2 防火墙技术基础设置步骤:设置步骤: 确定什么是应该或不应该被允许的。 规定允许的包类型、包字段的逻辑表达。 用防火墙支持的语法重写表达式。3.2 防火墙技术基础按地址过滤:按地址过滤: 例:如果认为例:
23、如果认为202.110.8.0是危险网络,则可以:是危险网络,则可以:规则规则方向方向源地址源地址目的地址目的地址动作动作A出内部网络202.110.8.0拒绝B入202.110.8.0内部网络拒绝缺点:信息利用不完全。缺点:信息利用不完全。3.2 防火墙技术基础按服务过滤:按服务过滤: 例:禁止外部主机访问内部的例:禁止外部主机访问内部的E_Mail服务器服务器(协议协议SMTP 端口端口25),允许内部主机访问外部主机,则:,允许内部主机访问外部主机,则:规则规则方向方向动作动作源源地址地址源端口源端口目的地址目的地址目的目的端口端口注释注释A入拒绝M*E_Mail25不信任不信任B出允许
24、*允许连接允许连接C双向 拒绝*默认状态默认状态规则按从前到后的顺序匹配。规则按从前到后的顺序匹配。3.2 防火墙技术基础例:从内往外的telnet服务clientserver外部内部往外包的特性(用户操作信息)IP源是内部地址目标地址为serverTCP协议,目标端口23源端口1023往内包的特性(显示信息)IP源是server目标地址为内部地址TCP协议,源端口23目标端口10233.2 防火墙技术基础例:从外往内的telnet服务clientserver内部外部往内包的特性(用户操作信息)IP源是外部地址目标地址为本地serverTCP协议,目标端口23源端口1023往外包的特性(显示信
25、息)IP源是本地server目标地址为外部地址TCP协议,源端口23目标端口10233.2 防火墙技术基础服务方向包方向源地址目标地址包类型源端口目标端口动作往外外内部外部TCP102323往外内外部内部TCP231023往内外外部内部TCP102323往内内内部外部TCP231023规则列表:3.2 防火墙技术基础2. 应用层网关(代理服务proxy)代理服务是运行在防火墙主机上的一些特定的应用程序或者服务程序。防火墙主机可以是有一个内部网络接口和一个外部网络接口的双重宿主主机,也可以是一些可以访问因特网并可被内部主机访问的堡垒主机。这些程序接受用户对因特网服务的请求(诸如文件传输FTP和远
26、程登录Telnet等),并按照安全策略转发它们到实际的服务。所谓代理就是一个提供替代连接并且充当服务的网关。代理也称之为应用级网关。代理服务位于内部用户(在内部的网络上)和外部服务(在因特网上)之间。代理在幕后处理所有用户和因特网服务之间的通信以代替相互间的直接交谈。3.2 防火墙技术基础代理的实现过程 3.2 防火墙技术基础应用层网关的结构示意图应用层网关的结构示意图3.2 防火墙技术基础3.2 防火墙技术基础应用层网关的优点:n应用层代理能够让网络管理员对服务进行全面的控制,因为代理应用限制了命令集并决定哪些内部主机可以被该服务访问。n网络管理员可以完全控制提供那些服务,因为没有特定服务的
27、代理就表示该服务不提供。n防火墙可以被配置成唯一的可被外部看见的主机,这样可以保护内部主机免受外部主机的进攻。n应用层代理有能力支持可靠的用户认证并提供详细的注册信息。另外,用于应用层的过滤规则相对于包过滤防火墙来说更容易配置和测试。n代理工作在客户机和真实服务器之间,完全控制会话,所以可以提供很详细的日志和安全审计功能。3.2 防火墙技术基础应用层网关的缺点:应用层网关的缺点: 有限的连接性有限的连接性 有限的技术有限的技术 性能性能 安全控制安全控制 特殊软件的安装特殊软件的安装3.2 防火墙技术基础电路层网关电路层网关3.2 防火墙技术基础n电路层网关是一个通用代理服务器n工作在OSI的
28、会话层或者TCP/IP协议的TCP层n不需要识别同一个协议栈上(如TCP、UDP)的不同应用(与应用层网关不同)n工作原理n接受客户端的连接请求,代理客户端与服务器建立连接n负责数据包的转发n将数据包提供给客户的应用层进行处理n电路层网关是一个有状态的、动态的包过滤器n上下文环境n流状态3.2 防火墙技术基础1双重宿主主机体系结构(双穴主机网关)双重宿主主机体系结构是围绕具有双重宿主的主体计算机而构筑的。该计算机至少有两个网络接口,这样的主机可以充当与这些接口相连的网络之间的路由器,并能够从一个网络到另一个网络发送IP数据包。防火墙内部的网络系统能与双重宿主主机通信,同时防火墙外部的网络系统(
29、在因特网上)也能与双重宿主主机通信。通过双重宿主主机,防火墙内外的计算机便可进行通信了,但是这些系统不能直接互相通信,它们之间的IP通信被完全阻止。3.2 防火墙技术基础双重宿主主机的防火墙体系结构是相当简单的,双重宿主主机位于两者之间,并且被连接到因特网和内部的网络。右图显示这种体系结构。 3.2 防火墙技术基础双宿主主机防火墙网络网络接口接口网络网络接口接口外部外部内部内部主机主机B防火墙防火墙Internet3.2 防火墙技术基础2堡垒主机过滤体系结构堡垒主机:内部网在外部网上的代表。建立堡垒主机的原则: 1)最简化原则 2)预防原则堡垒主机的种类: 1)无路由双宿主主机 2)牺牲主机
30、3)内部堡垒主机3.2 防火墙技术基础2堡垒主机过滤体系结构(续)堡垒主机的选择: 1)操作系统的选择 2)速度的选择 3)物理位置的选择 4)在网络上的位置3.2 防火墙技术基础2堡垒主机过滤体系结构(续)建立堡垒主机的步骤: 1)提供一个安全运行环境 2)关闭机器上所有不必要的服务 3)安装或修改必须的服务软件 4)根据最终需要重新配置机器 5)核查机器上的安全保障机制 6)将堡垒主机连入网络3.2 防火墙技术基础2堡垒主机过滤体系结构在主机过滤体系结构中提供安全保护的主机仅仅与内部网相连。另外,主机过滤结构还有一台单独的路由器(过滤路由器)。在这种体系结构中,主要的安全由数据包过滤提供,
31、其结构如右图所示。3.2 防火墙技术基础基于堡垒主机的防火墙应用模式:网络中的防火墙配置符号表示法的定义符号描述S过滤路由器过滤路由器R普通路由器普通路由器B1单个网络连接的堡垒主机单个网络连接的堡垒主机B2两个网络连接的堡垒主机两个网络连接的堡垒主机3.2 防火墙技术基础应用模式: B2配置:内部网络内部网络Internet堡垒堡垒主机主机外部不可信网络外部不可信网络3.2 防火墙技术基础应用模式: SB1配置:内部网络内部网络Internet堡垒堡垒主机主机外部不可信网络外部不可信网络过滤路由器过滤路由器3.2 防火墙技术基础应用模式: SB1配置:内部网络内部网络:199.245.180
32、.0Internet堡垒堡垒主机主机过滤路由器过滤路由器目的目的转发至转发至199.245.180.0199.245.180.10堡垒主机堡垒主机:199.245.180.103.2 防火墙技术基础应用模式: SB1配置:内部网络内部网络:199.245.180.0Internet堡垒堡垒主机主机过滤路由器过滤路由器目的目的转发至转发至堡垒主机堡垒主机:199.245.180.10路由表被破坏路由表被破坏堡垒主机堡垒主机被越过被越过3.2 防火墙技术基础带有过滤路由器和堡垒主机的带有过滤路由器和堡垒主机的网络流量路径网络流量路径:网络层网络层数据链路层数据链路层物理层物理层应用层应用层表示层表
33、示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层应用程序特应用程序特定访问控制定访问控制包过滤包过滤规则规则外部网络外部网络过滤路由器过滤路由器内部网络内部网络堡垒主机堡垒主机内部网络内部网络3.2 防火墙技术基础把包过滤卸载到IAP的堡垒主机的防火墙配置:内部网络内部网络Internet堡垒堡垒主机主机Internet访问供给器访问供给器过滤路由器过滤路由器3.2 防火墙技术基础应用模式: SB2配置:内部网络内部网络Internet外部网络外部网络过滤路由器过滤路由器堡垒堡垒主机主机outside网网inside网网DMZ3.2 防火墙技术基础应用模式: SB2B2
34、配置:内部网络内部网络Internet外部网络外部网络过滤路由器过滤路由器堡垒堡垒主机主机outside网网inside网网外部堡垒主机外部堡垒主机堡垒堡垒主机主机outdise DMZindise DMZ内部堡垒主机内部堡垒主机私有网络私有网络3.2 防火墙技术基础带有奉献主机的SB2B2配置:内部网络内部网络Internet外部网络外部网络过滤路由器过滤路由器堡垒堡垒主机主机outside网网inside网网外部堡垒主机外部堡垒主机堡垒堡垒主机主机outdise DMZindise DMZ内部堡垒主机内部堡垒主机私有网络私有网络包含公共信息包含公共信息的奉献主机的奉献主机3.2 防火墙技术
35、基础SB2B2的网络流量路径的网络流量路径:网络层网络层数据链路数据链路层层物理层物理层应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层外部网络外部网络过滤路由器过滤路由器内部网络内部网络外部堡垒主机外部堡垒主机应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层outside DMZinside DMZ内部堡垒主机内部堡垒主机应用程序特定应用程序特定访问控制访问控制应用程序特定应用程序特定访问控制访问控制包过滤包过滤规则规则3.2 防火墙技术基础SB1B1配置:内部网络内部网络Internet过滤路由器过滤路
36、由器堡垒堡垒主机主机外部堡垒主机外部堡垒主机堡垒堡垒主机主机DMZ内部堡垒主机内部堡垒主机过滤路由器过滤路由器(阻塞器阻塞器)3.2 防火墙技术基础SB1B1的网络流量路径的网络流量路径:网络层网络层数据链路数据链路层层物理层物理层应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层外部网络外部网络过滤路由器过滤路由器内部网络内部网络外部堡垒主机外部堡垒主机应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层DMZ内部堡垒主机内部堡垒主机网络层网络层数据链路数据链路层层物理层物理层过滤路由器过滤路由器(阻塞器阻塞器
37、)内部网络内部网络包过滤包过滤规则规则应用程序应用程序特定访问特定访问控制控制应用程序应用程序特定访问特定访问控制控制包过滤包过滤规则规则3.2 防火墙技术基础应用模式: SB2B1配置:内部网络内部网络Internet外部网络外部网络过滤路由器过滤路由器堡垒堡垒主机主机outside网网inside网网外部堡垒主机外部堡垒主机堡垒堡垒主机主机内部堡垒主机内部堡垒主机3.2 防火墙技术基础应用模式: SB1B2配置:内部网络内部网络Internet外部网络外部网络过滤路由器过滤路由器堡垒堡垒主机主机outside网网inside网网内部堡垒主机内部堡垒主机堡垒堡垒主机主机DMZ3.2 防火墙技
38、术基础常见的防火墙 基本配置: 具有路由能力的PC 网卡X2 禁止IP转发 打开一个网卡通向Internet 打开另一个网卡通向内部网(1)内部路由器内部路由器的主要功能是保护内部网免受来自外部网与参数网络的侵扰。内部路由器完成防火墙的大部分包过滤工作,它允许某些站点的包过滤系统认为符合安全规则的服务在内外部网之间互传。根据各站点的需要和安全规则,可允许的服务是以下这些外向服务中的若干种,如:Telnet、FTP、WAIS、Archie、Gopher或者其它服务。内部路由器可以设定,使参数网络上的堡垒主机与内部网之间传递的各种服务和内部网与外部网之间传递的各种服务不完全相同。3.2 防火墙技术
39、基础(2)外部路由器外部路由器既可保护参数网络又保护内部网。实际上,在外部路由器上仅做一小部分包过滤,它几乎让所有参数网络的外向请求通过,而外部路由器与内部路由器的包过滤规则是基本上相同的。 外部路由器的包过滤主要是对参数网络上的主机提供保护。然而,一般情况下,因为参数网络上主机的安全主要通过主机安全机制加以保障,所以由外部路由器提供的很多保护并非必要。外部路由器真正有效的任务就是阻断来自外部网上伪造源地址进来的任何数据包。这些数据包自称是来自内部网,而其实它是来自外部网。 3.2 防火墙技术基础防火墙配置实例(l)Web服务器置于防火墙内IntranetWeb服务器服务器IP包过滤包过滤路由
40、器路由器Internet3.2 防火墙技术基础(2)Web服务器置于防火墙外InternetWeb服务器服务器IP包过滤包过滤路由器路由器Intranet3.2 防火墙技术基础(3)Web服务器置于防火墙之上InternetWeb服务器服务器IP包过滤包过滤Intranet3.4防火墙攻击策略防火墙攻击策略防火墙攻击策略防火墙攻击策略 扫描防火墙策略扫描防火墙策略 通过防火墙认证机制策略通过防火墙认证机制策略 1. IP地址欺骗地址欺骗 2. TCP序号攻击序号攻击 利用防火墙漏洞策略利用防火墙漏洞策略 d.o.s拒绝服务攻击:拒绝服务攻击: 简单的包过滤防火墙不能跟踪简单的包过滤防火墙不能跟
41、踪tcp的状态,很容易的状态,很容易受到拒绝服务攻击,一旦防火墙受到受到拒绝服务攻击,一旦防火墙受到d.o.s攻击,可能会攻击,可能会忙于处理,而无法完成自己的过滤功能。忙于处理,而无法完成自己的过滤功能。3.5防火墙技术的发展方向防火墙技术的发展方向第第4代防火墙的主要技术代防火墙的主要技术 双端口或三端口双端口或三端口 透明的访问方式透明的访问方式 灵活的代理系统灵活的代理系统 多级的过滤技术多级的过滤技术 网络地址转换技术网络地址转换技术 Internet网关技术网关技术 安全服务器网络安全服务器网络(SSN) 用户鉴别与加密用户鉴别与加密 用户定制服务用户定制服务 审计和告警功能审计和告警功能3.5防火墙技术的发展方向防火墙技术的发展方向第第4代防火墙的抗攻击能力代防火墙的抗攻击能力 抗抗IP假冒攻击假冒攻击 抗木马攻击抗木马攻击 抗口令字探询攻击抗口令字探询攻击 抗网络安全性分析抗网络安全性分析 抗邮件诈骗攻击抗邮件诈骗攻击3.5防火墙技术的发展方向防火墙技术的发展方向防火墙发展的新方向:防火墙发展的新方向: 透明接入技术透明接入技术 分布式防火墙分布式防火墙