《网络安全原理--第5章-网络访问控制(2)课件.ppt》由会员分享,可在线阅读,更多相关《网络安全原理--第5章-网络访问控制(2)课件.ppt(68页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络安全原理第五章网络访问控制Email:2/69网络安全原理网络访问控制n防火墙n物理隔离3/69网络安全原理防火墙体系n双宿网关防火墙n屏蔽主机防火墙n屏蔽子网防火墙n组合结构防火墙4/69网络安全原理双宿网关防火墙内网内网Internet双宿主机(双宿主机(Dual Homed Host)v双宿主机是指有两个网络接口的计算机系统,其中一个接口接内部网,另一个接口接外部网,双宿主机是在应用层上建立连接。6/69网络安全原理7/69网络安全原理v使用双宿主主机作为防火墙,防火墙本身的安全性至关重要。8/69网络安全原理优缺点n优点:网络结构比较简单内外网络没有直接的数据交换,因此比较安全应用
2、层代理安全性更高n缺点应用层代理不方便如果登录到双宿主主机,则主机资源消耗大只有一个屏蔽,如果双重宿主主机被攻入,则内部网络处于不安全状态10/69网络安全原理堡垒主机(Bastion host)n堡垒主机是一种被强化的可以防御进攻的计堡垒主机是一种被强化的可以防御进攻的计算机,是高度暴露于算机,是高度暴露于Internet中的,也是网中的,也是网络中最容易受到侵害的主机。络中最容易受到侵害的主机。n构筑堡垒主机的基本原则有以下两条。构筑堡垒主机的基本原则有以下两条。n(1)使堡垒主机尽可能简单)使堡垒主机尽可能简单n(2)做好备份工作以防堡垒主机受损)做好备份工作以防堡垒主机受损11/69网
3、络安全原理堡垒主机的典型应用 屏蔽主机防火墙防火墙是由一个屏蔽路由器和堡垒主机组成,构成防火墙的两道屏障屏蔽路由器位于网络最边缘,负责与外网链接,仅仅提供路由功能,因此本身比较安全堡垒主机位于内部网络中。内部用户要访问外部网络,必须经过堡垒主机堡垒主机也可以提供应用层代理,进一步提高防火墙的安全性13/69网络安全原理堡垒主机的主要结构堡垒主机的主要结构当前堡垒主机主要采用以下当前堡垒主机主要采用以下3种种(1)无路由双宿主主机)无路由双宿主主机(2)牺牲主机)牺牲主机(3)内部堡垒主机)内部堡垒主机15/69网络安全原理堡垒主机安全特性n只有网络管理员认为必需的服务才能安装在堡垒主机上。原因
4、是如果一个服务没有安装,它就不能受到攻击。一般来说,在堡垒主机上安装有限的代理服务,如Telnet,DNS,FTP,SMTP以及用户认证等。理想情况下,堡垒主机只专用于其中一种功能,因为服务器提供的功能越多,忽视安全漏洞的可能性就越大。16/69网络安全原理堡垒主机安全特性 n对代理进行配置,使得其只支持标准应用的命令集合的子集。如果代理应用不支持标准的命令,那么很简单,被认证的用户没有使用该命令的权限。n对代理进行配置,使得其只允许对特定主机的访问。这表明,有限的命令/功能只能施用于内部网络上有限数量的主机。n每个代理都通过登记所有的信息、每一次连接、以及每次连接的持续时间来维持一个详细的审
5、计信息。审计记录是发现和终止入侵者攻击的一个基本工具。18/69网络安全原理堡垒主机安全特性 n在堡垒主机上每个代理都与所有其它代理无关。如果任何代理的工作产生问题,或在将来发现脆弱性,只需简单的卸出,不会影响其它代理的工作。并且,如果一些用户要求支持新的应用,网络管理员可以轻而易举的在堡垒主机上安装所需应用。19/69网络安全原理堡垒主机安全特性n代理除了读取初始化配置文件之外,一般不进行磁盘操作。这使得入侵者很难在堡垒主机上安装特洛伊马程序或其它的危险文件。n每个代理在堡垒主机上都以非特权用户的身份运行在其自己的并且是安全的目录中。20/69网络安全原理屏蔽主机防火墙21/69网络安全原理
6、22/69网络安全原理屏蔽主机体系结构优缺点n优点比双宿主主机具有更高的安全性:屏蔽路由器首先提供数据包过滤功能,因此堡垒主机受到攻击可能性降低;堡垒主机本身也可以提供数据包过滤功能,进一步提高内网的安全性灵活方便:内网可以直接访问外部网,也可以通过堡垒主机代理访问外部资源高效:堡垒主机可以更专注于提供服务,而不必过多考虑安全性问题24/69网络安全原理屏蔽子网防火墙25/69网络安全原理屏蔽子网防火墙n由非军事区DMZ、外部路由器、内部路由器和堡垒主机构成防火墙n这个构成的防火墙,也称之为非军事区n采用两个屏蔽路由器,因此安全性更高n外部用户只能访问DMZ的资源,不能访问访问内部用户的资源2
7、6/69网络安全原理非非军事区军事区(DMZ)nDMZ是一个位于外部网络和内部网络之间的迷你型网络。n一个DMZ被用做一个附加的缓冲区来更进一步将外部网络与内部网络分开。n许多系统管理员将Web和DNS服务器放置在DMZ中,这是因为这样做更方便。这样做的好处在于屏蔽式路由器提供了一些保护。28/69网络安全原理DMZn网络管理员将堡垒主机,信息服务器,Modem组,以及其它公用服务器放在DMZ网络中。nDMZ网络很小,处于Internet和内部网络之间。在一般情况下对DMZ配置成使用Internet和内部网络系统能够访问DMZ网络上数目有限的系统,而通过DMZ网络直接进行信息传输是严格禁止的。
8、29/69网络安全原理DMZn对于进来的信息,外面的这个路由器用于防范通常的外部攻击(如源地址欺骗和源路由攻击),并管理Internet到DMZ网络的访问。它只允许外部系统访问堡垒主机(还可能有信息服务器)。n里面的这个路由器提供第二层防御,只接受源于堡垒主机的数据包,负责的是管理DMZ到内部网络的访问。31/69网络安全原理DMZ优点n由于内部路由器只向内部网络通告DMZ网络的存在,内部网络上的系统不能直接通往Internet,这样就保证了内部网络上的用户必须通过驻留在堡垒主机上的代理服务才能访问Internet。n内部路由器在作为内部网络和Internet之间最后的防火墙系统时,能够支持比
9、双宿堡垒主机更大的数据包吞吐量。32/69网络安全原理DMZ优点n由于DMZ网络是一个与内部网络不同的网络,NAT(网络地址变换)可以安装在堡垒主机上,从而避免在内部网络上重新编址或重新划分子网。33/69网络安全原理屏蔽子网体系结构的优缺点n优点 采用两个屏蔽路由器,双层防护,安全性更高外部用户只需访问非军事区的资源,而不能访问内部网络的资源,因此内网更加安全两个路由器过滤规则,进一步保证内部网络安全n缺点成本高配置复杂,规则安全性难于得到保证34/69网络安全原理组合结构防火墙n根据堡垒主机和包过滤器的各种组合,基于屏蔽子网的防火墙系统衍生出了一些派生结构体系n合并内部和外部路由器n合并堡
10、垒主机和外部路由器n合并堡垒主机和内部路由器n多台内部路由器n多台外部路由器n多个周边网络35/69网络安全原理n不再区分内部路由器和外部路由器,因此具有单个路由器失效的缺点合并内部和外部路由器36/69网络安全原理合并堡垒主机和外部路由器n堡垒主机直接面对外部网络,加重了堡垒主机的负担,同时安全性也难于得到保证37/69网络安全原理合并堡垒主机和内部路由器38/69网络安全原理多台内部路由器n存在多个内部网络,但多个内部网不能连接到同一个路由器n安全隐患在于多个内部子网需要通信时,必须经过周边网络。39/69网络安全原理多台外部路由器n用户需要连接到多个不同的外部网络40/69网络安全原理多
11、个DMZ41/69网络安全原理多台堡垒主机42/69网络安全原理43/69网络安全原理 牺牲主机44/69网络安全原理防火墙的一些工作机理45/69网络安全原理防BT46/69网络安全原理防Flood攻击HackerICMP FloodICMP FloodUDP FloodUDP FloodTCP FloodTCP Flood目标网络基于数据流的防范基于数据流的防范基于数据包的防范基于数据包的防范当源主机在当源主机在1 1秒内发起的秒内发起的连接数连接数达达到门限值时,在该秒内的剩余时段到门限值时,在该秒内的剩余时段和下一秒中,丢弃该源主机发起的和下一秒中,丢弃该源主机发起的同类连接同类连接当
12、源主机在当源主机在1 1秒内发出的秒内发出的数据包数据包达到门限值时,在该秒内的剩余时达到门限值时,在该秒内的剩余时段和下一秒中,丢弃该源主机发出段和下一秒中,丢弃该源主机发出的同类数据的同类数据47/69网络安全原理防止IP扫描IP地址扫描(IP address Sweep):攻击者通过ICMP请求报文的方式探测主机.通过检测同一个通过检测同一个通过检测同一个通过检测同一个source IPsource IP地址在一个时间间隔内发送的地址在一个时间间隔内发送的地址在一个时间间隔内发送的地址在一个时间间隔内发送的ICMPICMP报文数来确定报文数来确定报文数来确定报文数来确定是否存在是否存在是
13、否存在是否存在IPIP地址的扫描地址的扫描地址的扫描地址的扫描,如果发现如果发现如果发现如果发现,那么对于以后的那么对于以后的那么对于以后的那么对于以后的ICMPICMP进行抛弃进行抛弃进行抛弃进行抛弃48/69网络安全原理防止端口扫描端口扫描(port scanning):攻击源通过试探建立TCP连接来探测被攻击对象对外部提供的服务.49/69网络安全原理防止OS类型探测对于对于对于对于TCPTCP数据报文中数据报文中数据报文中数据报文中FlagFlag位的异常设置位的异常设置位的异常设置位的异常设置,不同不同不同不同OSOS的的的的TCP/IPTCP/IP协议栈具有不同协议栈具有不同协议栈
14、具有不同协议栈具有不同的实现的实现的实现的实现,将有不同的应答报文将有不同的应答报文将有不同的应答报文将有不同的应答报文,攻击者将利用这个差别来决定操作系统攻击者将利用这个差别来决定操作系统攻击者将利用这个差别来决定操作系统攻击者将利用这个差别来决定操作系统.qqSYN and FIN are setSYN and FIN are setqqFIN flag without ACKFIN flag without ACKqqTCP header without Flag setTCP header without Flag set防火墙将检测这些非正常的防火墙将检测这些非正常的防火墙将检测这些
15、非正常的防火墙将检测这些非正常的TCPTCP报文报文报文报文,实现对其丢弃实现对其丢弃实现对其丢弃实现对其丢弃.50/69网络安全原理防止IP隐藏攻击者主要利用攻击者主要利用攻击者主要利用攻击者主要利用IPIP数据包中的宽松源路由选项数据包中的宽松源路由选项数据包中的宽松源路由选项数据包中的宽松源路由选项(Loose source route option)(Loose source route option)和严格和严格和严格和严格源路由选项源路由选项源路由选项源路由选项(Strict source route option),(Strict source route option),通过指
16、定路由的方式通过指定路由的方式通过指定路由的方式通过指定路由的方式,使得攻击数据包能够使得攻击数据包能够使得攻击数据包能够使得攻击数据包能够到达目标主机到达目标主机到达目标主机到达目标主机.防火墙可以配置是否对于防火墙可以配置是否对于防火墙可以配置是否对于防火墙可以配置是否对于IPIP数据包的路由选项进行处理数据包的路由选项进行处理数据包的路由选项进行处理数据包的路由选项进行处理,检测到这类数检测到这类数检测到这类数检测到这类数据报文可以进行抛弃据报文可以进行抛弃据报文可以进行抛弃据报文可以进行抛弃.51/69网络安全原理Deny of ServicenDoS:拒绝服务攻击的主要方法是通过向被
17、攻击者发送大量的伪造的数据报文,导致被攻击者忙于处理伪造数据报文而不能处理合法的报文.其核心就是“资源耗尽”.nDDoS:Distributed DOS,攻击者通过伪装IP地址,或者利用攻击代理,从多个攻击点向同一受攻击者发送攻击.nDoS的分类:根据攻击对象不同Firewall DoS Attack:由于防火墙是内部网络对外的通道,攻击者希望通过攻击防火墙实现内部网络的不可用性,这也是黑客的最大追求.Network DoS Attack:导致网络设备的不可用性.OS Dos Attack:导致主机操作系统直接崩溃.52/69网络安全原理Firewall DoS attacknSession
18、table flood(Session表淹没):恶意数据大量占用Session表.n解决方法:基于源或目的的基于源或目的的session限制限制 Session表的主动老化表的主动老化53/69网络安全原理Firewall DoS attacknSYN-ACK-ACK Proxy flood原因原因原因原因:当一个需要认证的用户进行当一个需要认证的用户进行当一个需要认证的用户进行当一个需要认证的用户进行TelnetTelnet或者或者或者或者FTPFTP服务时服务时服务时服务时,防火墙将首先进行防火墙将首先进行防火墙将首先进行防火墙将首先进行TCP TCP 链接的代理链接的代理链接的代理链接的
19、代理,提示用户输入用户名和密码提示用户输入用户名和密码提示用户输入用户名和密码提示用户输入用户名和密码,同时建立同时建立同时建立同时建立sessionsession表项表项表项表项.解决解决解决解决:配置相应的配置相应的配置相应的配置相应的SYN-ACK-ACKSYN-ACK-ACK最大数量最大数量最大数量最大数量,超过这个阀值则进行丢弃超过这个阀值则进行丢弃超过这个阀值则进行丢弃超过这个阀值则进行丢弃.54/69网络安全原理Network DoS attackn攻击总类包括:SYN flood/ICMP flood/UDP floodn基本攻击原理(SYN flood)n解决方法:代理服务/
20、阈值限制利用伪造的利用伪造的利用伪造的利用伪造的IPIP地址和被攻击者建立地址和被攻击者建立地址和被攻击者建立地址和被攻击者建立TCPTCP链接链接链接链接,在在在在TCPTCP链接的超时时间内链接的超时时间内链接的超时时间内链接的超时时间内建立大量的连接为完的建立大量的连接为完的建立大量的连接为完的建立大量的连接为完的TCPTCP链接链接链接链接,导致被攻击者资源耗尽导致被攻击者资源耗尽导致被攻击者资源耗尽导致被攻击者资源耗尽,不能对外提供服务不能对外提供服务不能对外提供服务不能对外提供服务.55/69网络安全原理Network DoS attacknSYN-Flood攻击预防56/69网络
21、安全原理Network DoS attacknICMP Flood预防57/69网络安全原理Network DoS attacknUDP Flood预防(主要用于DNS的攻击)58/69网络安全原理OS DoS attacknPing of Death攻击:IP数据报文的最长为65535字节,但是有些Ping的程序或者恶意代码允许构造的大于IP数据报文长度的ICMP报文,导致被攻击者在进行报文重组过程中存在缓冲区溢出,导致系统崩溃.n n解决方法解决方法解决方法解决方法:防火墙将检测这些防火墙将检测这些防火墙将检测这些防火墙将检测这些oversizeoversizeoversizeoversi
22、ze的数据包的数据包的数据包的数据包,进行丢弃进行丢弃进行丢弃进行丢弃.59/69网络安全原理OS DoS attacknTeardrop attack(泪滴攻击):利用IP头部的错误分片偏移,导致系统崩溃.60/69网络安全原理防火墙的选择标准n总拥有成本总拥有成本。防火墙产品的总拥有成本不应该超过受保护网络系统可能遭受最大损失的成本。n防火墙本身的安全。防火墙本身的安全。防火墙本身应该是安全的,不给外部入侵者可乘之机。n能向使用者提供完善的售后服务,能向使用者提供完善的售后服务,如管理与培训。管理和培训是评价一个防火墙好坏的重要方面。人员培训和日常维护费用通常会在总拥有成本中占据较大的比例
23、。n可扩充性。可扩充性。好产品应该留给用户足够的弹性空间。n防火墙的安全性能。防火墙的安全性能。即防火墙是否能够有效地阻挡外部入侵。61/69网络安全原理n考虑特殊的需求:考虑特殊的需求:企业安全政策中往往有些特殊需求不是每一个防火墙都会提供的,这是选择防火墙需考虑的因素之一,常见的需求如下:(l)IP地址转换(2)双重DNS(3)虚拟企业网络(VPN)(4)病毒扫描功能(5)特殊控制需求n能弥补其他操作系统的不足能弥补其他操作系统的不足62/69网络安全原理防火墙发展趋势-外部环境变化自动化程度和攻击速度增加 病毒的传播以小时计算,对网络影响越来越大攻击工具越来越复杂 攻击工具越来越隐蔽,功
24、能方式越来越多样发现漏洞越来越快 发现漏洞远比修补漏洞的速度要快针对网络设备的攻击越来越多 针对防火墙、路由器、DNS服务器的攻击越来越多网络的智能越来越边缘化 需要在最低层次(接入层/汇聚层)提供网络安全控制.63/69网络安全原理防火墙发展趋势-体系结构n防火墙/交换机/路由器网络设备的融合n处理硬件化:网络速度越来越快,做为网络控制结点的防火墙是网络带宽的瓶颈.通过NP或者ASIC的数据转发,结合SFP,由CPU实现第一个数据包的处理,而由硬件进行绝大多数的报文转发,大大提高速度.LinkPhysicalPhysicalLinkPhysicalPhysicalLinkLinkRouter
25、 HostHostClientApplicationServerApplicationIPIPIPTCPTCP Integrated security Integrated security RouterRouterNP/ASICNP/ASIC64/69网络安全原理防火墙发展趋势-功能变化nDeep Inspection:深度检查,对于应用层的数据报文进行检查,发现是否存在攻击.65/69网络安全原理防火墙发展趋势-功能变化nAnti-virus防病毒功能:通过对SMTP/POP3/HTTP进行重组,检查其中的附件文件,通过内置或者外部的病毒扫描引擎检查是否存在病毒.n n协议分析协议分析协议
26、分析协议分析:因为对于象因为对于象因为对于象因为对于象TCPTCPTCPTCP这样的有链接的协议和一些应用层这样的有链接的协议和一些应用层这样的有链接的协议和一些应用层这样的有链接的协议和一些应用层协议协议协议协议,都可以利用有穷状态机来描叙都可以利用有穷状态机来描叙都可以利用有穷状态机来描叙都可以利用有穷状态机来描叙,协议分析就是根据有穷协议分析就是根据有穷协议分析就是根据有穷协议分析就是根据有穷状态机来分析通信双方是否为正常的通信状态机来分析通信双方是否为正常的通信状态机来分析通信双方是否为正常的通信状态机来分析通信双方是否为正常的通信.66/69网络安全原理防火墙发展趋势-功能变化n增值
27、业务的组合n 外部的Anti-Virus服务器n 外部的URL检查服务器n 外部的Email内容过滤服务器nIDS的联动:IDS进行攻击检测后,能够通过对网络入口点的防火墙进行攻击描述,由防火墙进行控制,实现防火墙由被动防御角色到主动防御角色的转变.67/69网络安全原理防火墙的发展方向n智能化的发展。智能化的发展。防火墙将从目前的静态防御策略向具备人工智能的智能化方向发展。n速度的发展。速度的发展。随着网络速率的不断提高,防火墙必须提高运算速度及包转发速度,否则成为网络的瓶颈。n体系结构的发展体系结构的发展。要求防火墙能够协同工作,共同组成一个强大的、具备并行处理能力和负载均衡能力的逻辑防火墙。n功能的发展。功能的发展。未来网络防火墙将在现有的基础上继续完善其功能并不断增加新的功能。68/69网络安全原理n专业化的发展。专业化的发展。单向防火墙、电子邮件防火墙、FTP防火墙等针对特定服务的专业化防火墙将作为一种产品门类出现。nAll-In-One技术。技术。大集成。n下一代网络的新需求下一代网络的新需求。IPv6网络等需求。