《计算机网络安全课件(沈鑫剡)第7章复习过程.ppt》由会员分享,可在线阅读,更多相关《计算机网络安全课件(沈鑫剡)第7章复习过程.ppt(28页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全计算机网络安全课件(沈鑫剡)第7章防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全防火墙概述防火墙概述防火墙功能防火墙功能n服务控制服务控制不同网络间只允许传输与特定服务相关的信息流。不同网络间只允许传输与特定服务相关的信息流。n方向控制方向控制不同网络间只允许传输与由特定网络中终端发起的会话不同网络间只允许传输与由特定网络中终端发起的会话相关的信息流。相关的信息流。n用户控制用户控制不同网络间只允许传输与授权用户合法访问网络资源相不同网络间只允许传输与授权用户合法访问网络资源相关的
2、信息流。关的信息流。n行为控制行为控制不同网络间只允许传输与行为合理的网络资源访问过程不同网络间只允许传输与行为合理的网络资源访问过程相关的信息流。相关的信息流。防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全n如果不与操作系统的安全访问机制相结合,个人防火墙的功能相对如果不与操作系统的安全访问机制相结合,个人防火墙的功能相对简单;简单;n有状态检查防火墙的功能已经涵盖电路层网关和应用层网关的功能,有状态检查防火墙的功能已经涵盖电路层网关和应用层网关的功能,但对终端用户是透明的。但对终端用户是透明的。防火墙概述防火墙概述防火防火墙分分类防火墙防火墙防火墙防火墙计
3、算机网络安全计算机网络安全计算机网络安全计算机网络安全n电路层网关对运输层连接进行监测和控制,包括连接发起者的身份认电路层网关对运输层连接进行监测和控制,包括连接发起者的身份认证、经过连接传输的证、经过连接传输的TCP报文的合理性等;报文的合理性等;n应用层网关对特定应用相关的消息交换过程实施监测控制和,包括请应用层网关对特定应用相关的消息交换过程实施监测控制和,包括请求、响应过程,请求、响应报文中各字段的正确性,传输内容的合理求、响应过程,请求、响应报文中各字段的正确性,传输内容的合理性和合法性等。性和合法性等。防火墙概述防火墙概述电路路层网关工作机制网关工作机制先先认证用用户身份,确定是授
4、身份,确定是授权用用户发起的起的TCP连接接时,再与服,再与服务器建器建立立TCP连接。接。防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全7.2 分组过滤器分组过滤器n无状态分组过滤器;无状态分组过滤器;n有状态分组过滤器。有状态分组过滤器。分组过滤器根据规则鉴别出一组多个字段值等于设定值分组过滤器根据规则鉴别出一组多个字段值等于设定值的的IP分组,并对其进行规定操作。这些字段值可以是分组,并对其进行规定操作。这些字段值可以是IP分组首部字段值,可以是运输层首部字段值(电路层网分组首部字段值,可以是运输层首部字段值(电路层网关功能),也可以是应用层消息的各个字
5、段值(应用层关功能),也可以是应用层消息的各个字段值(应用层网关的功能)。有状态和无状态的区别在于无状态逐个网关的功能)。有状态和无状态的区别在于无状态逐个IP分组单独处理,有状态是基于会话,对属于相同会话分组单独处理,有状态是基于会话,对属于相同会话的一组的一组IP分组进行联合处理,会话可以是分组进行联合处理,会话可以是TCP连接,也连接,也可以是应用层请求、响应过程。因此,有状态分组过滤可以是应用层请求、响应过程。因此,有状态分组过滤器的功能涵盖了电路层和应用层网关的大部分功能,但器的功能涵盖了电路层和应用层网关的大部分功能,但分组过滤器对终端用户是透明的。分组过滤器对终端用户是透明的。防
6、火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全源源IPIP地址地址192.1.1.0/24192.1.1.0/24一、分组过滤一、分组过滤目的目的IPIP地址地址192.1.1.0/24192.1.1.0/24目的目的IPIP地址地址192.1.2.0/24192.1.2.0/24源源IPIP地址地址192.1.2.0/24192.1.2.0/24目的目的IPIP地址地址192.1.3.0/24192.1.3.0/24源源IPIP地址地址192.1.3.0/24192.1.3.0/24防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安
7、全源源IPIP地址地址=193.1.1.0/24.and.=193.1.1.0/24.and.目目的的IPIP地址地址=193.1.2.5/32.and.=193.1.2.5/32.and.目目的端口号的端口号=23=23,对和规则匹配的,对和规则匹配的IPIP分组采取的动作是:拒绝传输分组采取的动作是:拒绝传输 。一、分组过滤一、分组过滤n要求要求LAN 1LAN 1中终端不能通过中终端不能通过TELNETTELNET访问访问LAN 2LAN 2中服务器。中服务器。IPIP分组的源地址属于分组的源地址属于LAN1LAN1子子网地址,目的地址是网地址,目的地址是LAN2LAN2服服务器,端口号
8、必须确定是务器,端口号必须确定是TELNETTELNET应用。应用。n只允许只允许LAN2LAN2中终端访问中终端访问LAN1LAN1中的中的WEBWEB服务器。服务器。源源IPIP地址地址=193.1.1.3.and.=193.1.1.3.and.目的目的IPIP地址地址=193.1.2.0/24.and.=193.1.2.0/24.and.源端口号源端口号=80=80,对,对和规则匹配的和规则匹配的IPIP分组采取的动作是:允分组采取的动作是:允许传输许传输 。不允许和不允许和LAN1LAN1中终端通过中终端通过TELNETTELNET访问访问LAN2LAN2中服务器中服务器操作有关的信息
9、经过路由操作有关的信息经过路由器器R1R1。防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全防火墙动态分组过滤防火墙动态分组过滤 只允许终端只允许终端A A用用TelnetTelnet访问终端访问终端B B,不,不允许终端允许终端B B访问终端访问终端A A。终端终端A A192.1.1.1192.1.1.1终端终端B B192.1.3.1192.1.3.1源源IPIP地址地址192.1.3.1.and.192.1.3.1.and.目的目的IPIP地地址址192.1.1.1.and.192.1.1.1.and.源端口号源端口号2323 只允许终端只允许终端B B
10、向终端向终端A A回信,不允回信,不允许终端许终端B B主动向终端主动向终端A A写信。写信。通过寄信人和收信人地址、姓名通过寄信人和收信人地址、姓名能区分这两种类型的信吗?能区分这两种类型的信吗?对终端对终端A A写给终端写给终端B B的信和终端的信和终端B B写给终写给终端端A A的信的内容进行的信的内容进行检查,确定是回信,检查,确定是回信,则通过,不是,则则通过,不是,则过滤。过滤。防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全防火墙动态分组检测防火墙动态分组检测动态分组检测的第一步动态分组检测的第一步是将网络划分成三个区,是将网络划分成三个区,然后对
11、区间进行的访问然后对区间进行的访问过程全程监控过程全程监控。所谓全程监控是所谓全程监控是根据访问策略确根据访问策略确定信息流顺序,定信息流顺序,然后对每一次信然后对每一次信息流传输操作进息流传输操作进行监控,看其是行监控,看其是否符合策略规定否符合策略规定的顺序和动作。的顺序和动作。防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全防火墙动态分组检测防火墙动态分组检测访问策略访问策略从从信信任任区区到到非非军军事事区区 源源IPIP地地址址=193.1.1.0/24=193.1.1.0/24 目目的的IPIP地地址址=193.1.2.5/32 HTTP=193.1
12、.2.5/32 HTTP服务;服务;从从信信任任区区到到非非军军事事区区 源源IPIP地地址址=193.1.1.0/24=193.1.1.0/24 目目的的IPIP地地址址=193.1.2.6 SMTP+POP3=193.1.2.6 SMTP+POP3服务;服务;从从信信任任区区到到非非信信任任区区 源源IPIP地地址址=193.1.1.0/24=193.1.1.0/24 目目的的IPIP地地址址=0.0.0.0=0.0.0.0 HTTP+FTP GETHTTP+FTP GET服务;服务;从从非非军军事事区区到到非非信信任任区区 源源IPIP地地址址=193.1.2.6/32=193.1.2.
13、6/32 目目的的IPIP地地址址=0.0.0.0 SMTP=0.0.0.0 SMTP服务;服务;从从 非非 信信 任任 区区 到到 非非 军军 事事 区区 源源 IPIP地地 址址=0.0.0.0=0.0.0.0 目目 的的 IPIP地地 址址=193.1.2.5/32 HTTP GET=193.1.2.5/32 HTTP GET服务;服务;从非信任区到非军事区从非信任区到非军事区 源源IPIP地址地址=0.0.0.0 =0.0.0.0 目的目的IPIP地址地址=193.1.2.6/32 SMTP=193.1.2.6/32 SMTP服务。服务。访问策略和分组过滤不同,不是定访问策略和分组过滤
14、不同,不是定义了允许或不允许传输的义了允许或不允许传输的IPIP分组,分组,而是定义了整个服务过程。如第一而是定义了整个服务过程。如第一项策略表示允许进行由信任区中终项策略表示允许进行由信任区中终端发起的,对非军事区中的端发起的,对非军事区中的WEBWEB服服务器的访问。它允许符合这个访问务器的访问。它允许符合这个访问过程的过程的IPIP分组在信任区和非军事区分组在信任区和非军事区之间传输。之间传输。防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全防火墙动态分组检测防火墙动态分组检测策略对应的信息交换过策略对应的信息交换过程,由于是允许信任区中程,由于是允许信任
15、区中终端发起对非信任区中终端发起对非信任区中WEBWEB服务器的访问,因此,服务器的访问,因此,首先允许通过的是符合信首先允许通过的是符合信任区中终端发起建立任区中终端发起建立TCPTCP连接的过程的连接的过程的IPIP分组。然分组。然后允许通过的是和读取后允许通过的是和读取WEBWEB内容有关的内容有关的IPIP分组。分组。最后,允许通过的是释放最后,允许通过的是释放TCPTCP连接有关的连接有关的IPIP分组。分组。防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全防火墙防拒绝服务攻击防火墙防拒绝服务攻击防火墙通过只中继正防火墙通过只中继正常的建立常的建立TC
16、PTCP连接请求,连接请求,来避免服务器遭受来避免服务器遭受SYNSYN泛滥攻击。泛滥攻击。防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全防火墙防拒绝服务攻击防火墙防拒绝服务攻击通过通过COOKIECOOKIE技术避技术避免防火墙被免防火墙被SYNSYN泛滥泛滥阻塞。阻塞。防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全7.3 堡垒主机堡垒主机n网络结构;网络结构;n堡垒主机工作机制;堡垒主机工作机制;n堡垒主机功能特性。堡垒主机功能特性。堡垒主机是代理形式的应用层网关,由它屏蔽内堡垒主机是代理形式的应用层网关,由它屏蔽内部网络
17、资源,外部网络终端只能与堡垒主机建立部网络资源,外部网络终端只能与堡垒主机建立TCP连接,相互交换信息,堡垒主机的安全功能连接,相互交换信息,堡垒主机的安全功能非常强大,不容易被黑客攻陷,外部网络终端须非常强大,不容易被黑客攻陷,外部网络终端须经堡垒主机访问内部网络资源,因此,只要保证经堡垒主机访问内部网络资源,因此,只要保证了堡垒主机的安全性,即可保证内部网络资源的了堡垒主机的安全性,即可保证内部网络资源的安全性。安全性。防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全网络结构网络结构n单穴指堡垒主机只有一个接口连接内部网络;单穴指堡垒主机只有一个接口连接内部
18、网络;n堡垒主机的安全性基于外部网络终端必须通过堡垒主机实现对内部网络堡垒主机的安全性基于外部网络终端必须通过堡垒主机实现对内部网络资源的访问;资源的访问;n单穴堡垒主机把外部网络终端通过堡垒主机实现对内部网络资源的访问单穴堡垒主机把外部网络终端通过堡垒主机实现对内部网络资源的访问的保证完全基于无状态分组过滤器的传输控制功能。的保证完全基于无状态分组过滤器的传输控制功能。单穴堡穴堡垒主机主机结构构无状无状态分分组过滤器必器必须保保证只允只允许目的目的IP地址地址193.1.1.1的的IP分分组进入内部网入内部网络,源,源IP地址地址193.1.1.1的的IP分分组离开离开内部网内部网络。即外部
19、网。即外部网络终端只能和堡端只能和堡垒主机通信。主机通信。防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全n双穴指堡垒主机用一个接口连接内部网络,用另一个接口双穴指堡垒主机用一个接口连接内部网络,用另一个接口连接无状态分组过滤器,并通过无状态分组过滤器连接外连接无状态分组过滤器,并通过无状态分组过滤器连接外部网络;部网络;n这种网络结构保证外部网络必须通过堡垒主机才能访问内这种网络结构保证外部网络必须通过堡垒主机才能访问内部网络资源。部网络资源。网络结构网络结构双穴堡双穴堡垒主机主机结构构防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网
20、络安全n这种结构一是保证外部网络终端必须通过堡垒主机这种结构一是保证外部网络终端必须通过堡垒主机才能实现对内部网络资源的访问;才能实现对内部网络资源的访问;n将内部网络根据安全等级划分为不同的网段,控制将内部网络根据安全等级划分为不同的网段,控制堡垒主机对重要内部网络资源的访问。堡垒主机对重要内部网络资源的访问。网络结构网络结构双无状双无状态分分组过滤器器结构构防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全堡垒主机的工作机制堡垒主机的工作机制n无状态分组过滤器保证外网终端只能与堡垒主机通信;无状态分组过滤器保证外网终端只能与堡垒主机通信;n外网终端和堡垒主机建
21、立外网终端和堡垒主机建立TCP连接后,由堡垒主机完成对外网终端的身份认证和连接后,由堡垒主机完成对外网终端的身份认证和访问权限鉴别;访问权限鉴别;n如果访问权限满足外网终端提出的资源访问要求,和如果访问权限满足外网终端提出的资源访问要求,和Web服务器建立服务器建立TCP连接;连接;n堡垒主机一直监测外网终端和堡垒主机一直监测外网终端和Web服务器之间的请求、响应过程和传输内容。服务器之间的请求、响应过程和传输内容。网网络结构构防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全n堡垒主机自身安全性必须得到保证;堡垒主机自身安全性必须得到保证;n由于堡垒主机是代理形
22、式的应用层网关,所支持由于堡垒主机是代理形式的应用层网关,所支持的应用层服务应该能够动态增删;的应用层服务应该能够动态增删;n堡垒主机具备认证用户身份的能力,因此,或者堡垒主机具备认证用户身份的能力,因此,或者自身由注册信息库,或者能够访问到注册信息库;自身由注册信息库,或者能够访问到注册信息库;n堡垒主机必须能够为不同的用户设置不同的访问堡垒主机必须能够为不同的用户设置不同的访问权限;权限;n堡垒主机必须能够详细记录外网终端访问内部网堡垒主机必须能够详细记录外网终端访问内部网络资源的过程。络资源的过程。堡垒主机的功能特性堡垒主机的功能特性防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计
23、算机网络安全计算机网络安全7.4 统一访问控制统一访问控制n系统结构;系统结构;n实现原理;实现原理;n应用实例。应用实例。防火墙访问控制策略能够控制属于不同网络的终端间的防火墙访问控制策略能够控制属于不同网络的终端间的信息交换过程,但这种控制一是基于终端(由信息交换过程,但这种控制一是基于终端(由IP地址标地址标识),二是静态,终端用户改变,或是终端安全状态改识),二是静态,终端用户改变,或是终端安全状态改变不会改变防火墙的安全访问控制策略,但实际应用过变不会改变防火墙的安全访问控制策略,但实际应用过程中,同一终端,当不同用户使用时,访问权限应该是程中,同一终端,当不同用户使用时,访问权限应
24、该是不同的(访问控制策略基于用户),二是终端状态,尤不同的(访问控制策略基于用户),二是终端状态,尤其安全状态发生改变时,如检测到感染病毒,或是遭受其安全状态发生改变时,如检测到感染病毒,或是遭受黑客攻击,其访问权限应该随之改变(防火墙访问控制黑客攻击,其访问权限应该随之改变(防火墙访问控制策略是动态的),统一访问控制(策略是动态的),统一访问控制(UAC)就是用于实现)就是用于实现基于用户、动态设置访问控制策略的机制。基于用户、动态设置访问控制策略的机制。防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全系统结构系统结构系统结构系统结构UAC代理,运行于代理,运
25、行于终端的端的软件,一是通件,一是通过交交互方式互方式获得用得用户信息,并向安全控制器提供用信息,并向安全控制器提供用户信息,二是向安全控制器提供信息,二是向安全控制器提供终端状端状态及用及用户为终端端设置的置的访问控制策略。控制策略。防火防火墙,策略,策略执行行部件,一是随部件,一是随时接接收安全控制器收安全控制器为其其制定的制定的访问控制策控制策略,二是根据略,二是根据访问控制策略控制策略调制制执行行机制。机制。安全控制器,一是建立完整的安全控制器,一是建立完整的访问控控制策略制策略库,二是接收,二是接收UAC代理提供的代理提供的用用户信息和信息和终端状端状态,三是根据,三是根据访问策略策
26、略库和用和用户信息及信息及终端状端状态制定制定对应的的访问控制策略,并将其控制策略,并将其传输给策策略略执行部件,如防火行部件,如防火墙。防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全实现原理实现原理UAC系统配置系统配置防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全n安全控制器建立安全策略库,基于用户设置访问安全控制器建立安全策略库,基于用户设置访问权限;权限;n防火墙访问控制策略基于网络地址确定终端的访防火墙访问控制策略基于网络地址确定终端的访问权限;问权限;n根据对用户身份的认证结果和终端的安全状态确根据对用户身份的认证
27、结果和终端的安全状态确定用户终端的访问权限;定用户终端的访问权限;n将接入用户终端的交换机端口配置到对应的将接入用户终端的交换机端口配置到对应的VLAN,防火墙访问控制策略对应该,防火墙访问控制策略对应该VLAN的网的网络地址的访问权限恰好是安全控制器确定的用户络地址的访问权限恰好是安全控制器确定的用户终端具有的访问权限,以此完成基于用户和动态终端具有的访问权限,以此完成基于用户和动态访问控制策略设置。访问控制策略设置。实现原理实现原理防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全n实现基于用户和动态设实现基于用户和动态设置访问权限的关键一是置访问权限的关键一
28、是认证用户身份、获知终认证用户身份、获知终端安全状态。二是将连端安全状态。二是将连接用户终端的交换机端接用户终端的交换机端口动态配置为和用户访口动态配置为和用户访问权限一致的问权限一致的VLAN;n安全控制器需要与交换安全控制器需要与交换机和用户终端交换信息,机和用户终端交换信息,802.1X及及RADIUS恰好恰好实现用户终端、交换机实现用户终端、交换机和安全控制器三者之间和安全控制器三者之间的通信问题,和交换机的通信问题,和交换机的动态配置问题;的动态配置问题;n这里,防火墙的访问控这里,防火墙的访问控制策略是静态的,因此,制策略是静态的,因此,安全控制器不需要动态安全控制器不需要动态配置
29、防火墙的访问控制配置防火墙的访问控制策略。策略。实现原理实现原理防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全应用实例应用实例n安全控制器必须完成对用户的身份认证,并将用户终端的安全控制器必须完成对用户的身份认证,并将用户终端的IP地址作为用户的身份标识地址作为用户的身份标识符,为了防止源符,为了防止源IP地址欺骗攻击,要求建立用户和防火墙之间隧道模式的安全关联;地址欺骗攻击,要求建立用户和防火墙之间隧道模式的安全关联;n防火墙必须动态配置允许防火墙必须动态配置允许IP地址为地址为12.1.1.1的外网终端访问内部网络服务器的访问控制的外网终端访问内部网络服务
30、器的访问控制策略;策略;n安全控制器和用户之间通过安全控制器和用户之间通过HTTPS交换信息,安全控制器和防火墙之间通过专用安全交换信息,安全控制器和防火墙之间通过专用安全传输协议信息。传输协议信息。防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全应用实例应用实例用用户和安全控制器之和安全控制器之间通通过HTTPS交交换信息信息过程程。用用户和安全控制器之和安全控制器之间通通过TLS完成身份完成身份认证和安全参和安全参数数约定定过程程。防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全应用实例应用实例实现远程用户动态接入的关键如下:
31、实现远程用户动态接入的关键如下:n用户和安全控制器之间安全传输认证信息、安全状态和隧道用户和安全控制器之间安全传输认证信息、安全状态和隧道配置信息。配置信息。n安全控制器能够根据安全策略库和用户身份及终端状态信息安全控制器能够根据安全策略库和用户身份及终端状态信息生成隧道配置信息和防火墙动态安全访问控制策略。生成隧道配置信息和防火墙动态安全访问控制策略。n安全控制器能够将动态安全访问控制策略传输给防火墙;安全控制器能够将动态安全访问控制策略传输给防火墙;n用户和安全控制器之间通过用户和安全控制器之间通过HTTPS安全传输信息;安全传输信息;n安全控制器和防火墙之间通过专用安全传输协议安全传输信安全控制器和防火墙之间通过专用安全传输协议安全传输信息。息。防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全此课件下载可自行编辑修改,仅供参考!此课件下载可自行编辑修改,仅供参考!感谢您的支持,我们努力做得更好!谢谢感谢您的支持,我们努力做得更好!谢谢