《【教学课件】第五章访问控制与网络隔离技术.ppt》由会员分享,可在线阅读,更多相关《【教学课件】第五章访问控制与网络隔离技术.ppt(117页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第五章第五章 访问控制访问控制与网络隔离技术与网络隔离技术信息安全信息安全 本章重点介绍访问控制技术、防火墙技术及网络隔离技术的基本概念、作用、分类、基本原理、防火墙的组成以及基本实现技术等。通过本章的学习,学生应该掌握以下内容:(1)理解访问控制技术的定义、分类、手段、模型;(2)理解防火墙基本概念、作用、分类、基本原理、组成;(3)掌握防火墙基本实现技术;(4)掌握网络隔离基本原理及实现技术;(5)掌握简单防火墙软件的使用。本章学习目标本章学习目标5.1访问控制技术 访访问问是使信息在主主体体和和对对象象间流动的一种交互方式。访问控制的目的是为了限制访问主体对访问客体的访问权限,能访问系统
2、的何种资源以及如何使用这些资源。主主体体(Subject)是指主动的实体,该实体造成了信息的流动和系统状态的改变,主体通常包括用户、进程和设备。客客体体(Object)是指包含或接受信息的被动实体。对客体的访问意味着对其中所包含信息的访问。客体通常包括记录、块、页、段、文件、目录、目录树和程序以及位、字节、字、字段处理器、显示器、键盘、时钟、打印机和网络节点、系统。5.1.1访问控制定义访问控制定义 1.1.访问控制和其它安全内部控制的关系访问控制和其它安全内部控制的关系 控制(Control)是为了达成既定的目的和目标而采取的管理行动。管理通过计划、组织和指导一系列有效的活动为目的和目标的达
3、成提供保障。这样,控制就成为适当的管理计划、组织和指导的必然结果。内部控制(Internal Control)是为了在组织内保障以下目标的实现而采取的方法:(1)信息的可靠性和完整性;(2)政策、计划、规程、法律、法规和合同的执行;(3)资产的保护;(4)资源使用的经济性和有效性;(5)业务及计划既定目的和目标的达成。5.1.1访问控制定义访问控制定义5.1访问控制技术 1.1.访问控制和其它安全内部控制的关系访问控制和其它安全内部控制的关系 访问控制(Access Control)与计算机信息系统相关的内容包括:(1)限制主体对客体的访问;(2)限制主体和其它主体通信或使用计算机系统或网络中
4、的功能或服务的权力或能力。例如,人是主体,文件是客体。“保保护护资资产产”是内部控制和访问控制的共同目标。例如,内部控制涉及所有的资产,包括有形的和无形的资产,包括计算机相关的资产也包括和计算机无关的资产。访问控制涉及无形(知识)资产如程序、数据、程序库以及有形资产如硬件和放置计算机的房产。访问控制是整体安全控制的一部分。5.1.1访问控制定义访问控制定义5.1访问控制技术 2.2.访问控制的类型访问控制的类型 安全控制包括六种类型的主要控制手段:其功能为:(1)防御型控制防御型控制用于阻止不良事件的发生。(2)探测型控制探测型控制用于探测已经发生的不良事件。(3)矫正型控制矫正型控制用于矫正
5、已经发生的不良事件。(4)管管理理型型控控制制用于管理系统的开发、维护和使用,针对系统的策略、规程、行为规范、个人的角色和义务、个人职能和人事安全决策。(5)技技术术型型控控制制是用于为信息技术系统和应用提供自动保护的硬件和软件控制手段。(6)操操作作型型控控制制是用于保护操作系统和应用的日常规程和机制。5.1.1访问控制定义访问控制定义5.1访问控制技术 2.2.2.2.访问控制的类型访问控制的类型访问控制的类型访问控制的类型 另外,也有三种和控制有关的概念:(7)补补偿偿型型控控制制在一个领域的控制能力较弱而在另一个领域控制能力较强。(8)综合型控制综合型控制使用两个或更多的控制来加强对功
6、能、程序或操作的控制效果。这样两个控制协同工作能够强化整个控制环境。(9)规避型控制规避型控制的原理就是对资源进行分割管理。资源是系统或系统网络中需要管理的实体。资源可以包括物理实体如打印机、盘库、路由器和逻辑实体如用户和用户组。规避型控制的目的是将两个实体彼此分开以保证实体的安全和可靠。5.1.1访问控制定义访问控制定义5.1访问控制技术 2.2.2.2.访问控制的类型访问控制的类型访问控制的类型访问控制的类型 规避型控制的例子有:将资产和威胁分隔开来以规避潜在的风险;计算机设备和无线电接收设备分隔开来以避免扩散的电磁信号被外界截获;生产系统和测试系统分隔开来以避免对程序代码的污染和数据的破
7、坏;将系统开发过程和数据输入过程分隔开来;将系统组件相互分隔开来。5.1.1访问控制定义访问控制定义5.1访问控制技术 3.3.访问控制的手段访问控制的手段访问控制的手段访问控制的手段 访问控制的手段可分为物理类控制物理类控制手段、管理类控管理类控制制手段、技术类控制技术类控制手段三个层次,每个层次又可分为防御型和探测型,以下分类列出部分访问控制手段,如表 51所示。5.1.1访问控制定义访问控制定义5.1访问控制技术访问访问访问访问控制的手段分控制的手段分控制的手段分控制的手段分类说类说类说类说明明明明物理类控制手段物理类控制手段物理类控制手段物理类控制手段管理类控制手段管理类控制手段管理类
8、控制手段管理类控制手段技术类控制手段技术类控制手段技术类控制手段技术类控制手段防防防防御御御御型型型型控控控控制制制制文书备份文书备份安全知识培训安全知识培训 访问控制软件访问控制软件围墙和栅栏围墙和栅栏职务分离职务分离 防病毒软件防病毒软件 保安保安 职员雇用手续职员雇用手续 库代码控制系统库代码控制系统 证件识别系统证件识别系统 职员离职手续职员离职手续 口令口令 加锁的门加锁的门 监督管理监督管理 智能卡智能卡 双供电系统双供电系统灾难恢复和应急计划灾难恢复和应急计划 加密加密生物识别型门禁系统生物识别型门禁系统计算机使用的登记计算机使用的登记拨拨号号访访问问控控制制和和回回叫叫系统系统
9、 工作场所的选择工作场所的选择 灭火系统灭火系统5.15.1访问控制技术访问控制技术5.15.1访问控制技术访问控制技术 访问访问访问访问控制的手段分控制的手段分控制的手段分控制的手段分类说类说类说类说明明明明 防防防防御御御御型型型型控控控控制制制制移动监测探头移动监测探头安全评估和审计安全评估和审计日志审计日志审计 烟感和温感探头烟感和温感探头性能评估性能评估入侵探测系统入侵探测系统闭路监控闭路监控强制假期强制假期传感和报警系统传感和报警系统背景调查背景调查职务轮换职务轮换物理类控制手段物理类控制手段物理类控制手段物理类控制手段管理类控制手段管理类控制手段管理类控制手段管理类控制手段技术类
10、控制手段技术类控制手段技术类控制手段技术类控制手段 访问控制模型是用于规定如何作出访问决定的模型。传统的访问控制模型包括一组由操作规则定义的基本操作状态。典型的状态包含一组主体(S)、一组对象(O)、一组访问权(AS,O)包括读、写、执行和拥有。访访问问控控制制模模型型涵涵盖盖对对象象、主主体体和和操操作作,通通过过对对访访问问者者的的控控制制达达到到保保护护重重要要资资源源的的目目的的。对象包括终端、文本和文件,系统用户和程序被定义为主体。操作是主体和对象的交互。访问控制模型除了提供机密性和完整性外还提供记帐性。记帐性是通过审计访问记录实现的,访问记录包括主体访问了什么对象和进行了什么操作。
11、5.1.35.1.3主机访问控制模型主机访问控制模型主机访问控制模型主机访问控制模型5.15.1访问控制技术访问控制技术5.1.25.1.2主机访问控制模型主机访问控制模型主机访问控制模型主机访问控制模型5.15.1访问控制技术访问控制技术自主访问控制强制访问控制基于角色访问控制访问控制表 52访问矩阵 客客 体体 主体主体 O1 O1 O2 O2 O3 O3S1S1 读读/写写 S2 S2写写读读 S3 S3 管理管理5.15.1访问控制技术访问控制技术 1.1.1.1.自主访问控制自主访问控制自主访问控制自主访问控制(DAC-discretionary Access Control)自主访
12、问控制是由客体自主地确定各个主体对它的直接访问权限(又称访问模式)。这种方法能够控制主体对客体的直接访问,但不能控制主体对客体的间接访问(利用访问的传递性,即A可访问B,B可访问C,于是A可访问C)。目前常用的操作系统中的文件系统,使用的是自主访问控制方式,因为这比较适合操作系统的资源的管理特性。自主访问控制经常通过访问控制列表实现,访问控制列表难于集中进行访问控制和访问权力的管理。5.1.2主机访问控制模型主机访问控制模型5.15.1访问控制技术访问控制技术 2.2.2.2.强制强制访问控制访问控制访问控制访问控制(MAC-Mandatory Access Control)强制访问控制是一种
13、不允许主体干涉的访问控制类型。它是基于安全标识和信息分级等信息敏感性的访问控制。由一个授权机构为主体和客体分别定义固定的访问属性,且这些访问权限不能通过用户来修改。B类计算机采用这种方法,常用于军队和政府机构。例如将数据分成绝密、机密、秘密和一般等几类。用户的访问权限也类似定义,即拥有相应权限的用户可以访问对应安全级别的数据,从而避免了自主访问控制方法中出现的访问传递问题。这种方法具有层次性的特点,高级别的权限可访问低级别的数据。5.1.2主机访问控制模型主机访问控制模型5.15.1访问控制技术访问控制技术3.3.基于角色的访问控制基于角色的访问控制 是对自主控制和强制控制机制的改进,它基于用
14、户在系统中所起的作用来规定其访问权限。这个作用(即角色rule)可被定义为与一个特定活动相关联的一组动作和责任。角色包括职务特征、任务、责任、义务和资格。例如担任系统管理员的用户便有维护系统文件的责任和权限,而并不管这个用户是谁。5.1.25.1.2主机访问控制模型主机访问控制模型主机访问控制模型主机访问控制模型5.15.1访问控制技术访问控制技术3.3.基于角色的访问控制基于角色的访问控制 特点:特点:(1)提供了三种授权管理的控制途径:改变客体的访问权限;改变角色的访问权限;改变主体所担任的角色。(2)提供了层次化的管理结构,由于访问权限是客体的属性,所以角色的定义可以用面向对象的方法来表
15、达,并可用类和继承等概念来表示角色之间的关系。(3)具有提供最小权限的能力,由于可以按照角色的具体要求来定义对客体的访问权限,因此具有针对性,不出现多余的访问权限,从而降低了不安全性。5.1.25.1.2主机访问控制模型主机访问控制模型主机访问控制模型主机访问控制模型5.15.1访问控制技术访问控制技术3.3.3.3.基于角色的访问控制基于角色的访问控制基于角色的访问控制基于角色的访问控制 特点:特点:特点:特点:(4)具有责任分离的能力,不同角色的访问权限可相互制约,即定义角色的人不一定能担任这个角色。因此具有更高的安全性。非任意访问控制(non-discretionary access c
16、ontrol)是为满足安全策略和目标而采用的一系列集中管理的控制手段。访问控制是由访问者在机构中的角色决定的。角色包括职务特征、任务、责任、义务和资格。访问者在系统中的角色有管理者赋予或吊销。5.1.25.1.2主机访问控制模型主机访问控制模型主机访问控制模型主机访问控制模型5.15.1访问控制技术访问控制技术 信息系统中所有可控制的资源均可抽象为客体,对客体实施动作的实体称为主体,主体对客体所实施的动作需要通过访问矩阵(Access Matrix)得到授权,如表 52所示,其中,矩阵列展现控制,矩阵行展现能力。这些授权对于主体可表示为访问权限,对于客体可表示为访问模式。显然,访问权限应是访问
17、模式的子集。5.15.1访问控制技术访问控制技术5.1.35.1.3主机访问控制的基本方案主机访问控制的基本方案主机访问控制的基本方案主机访问控制的基本方案表 52访问矩阵 客客 体体 主体主体 O1 O1 O2 O2 O3 O3S1S1 读读/写写 S2 S2写写读读 S3 S3 管理管理5.15.1访问控制技术访问控制技术1.访问控制表方案访问控制表方案 这是一种传统的授控机制,用访问矩阵表示,以客体为索引。即每一个访问控制列表(ACL-Access Control List)是客体(目标对象)的属性表,它给定每个主体(用户)对给定的目标的访问权限,即一系列实体及其对资源的访问权限的列表。
18、5.15.1访问控制技术访问控制技术5.1.35.1.3主机访问控制的基本方案主机访问控制的基本方案主机访问控制的基本方案主机访问控制的基本方案User AUser AOwnOwnR RW WO OUser BUser BR R O OUser CUser CR RW WO OObject1Object1 维护访问控表和实施访问控制本质上是系统和围绕目标的环境的责任。访问控制列表反映了一个目标对应于访问矩阵列中的内容。因此,基于身份的访问控制策略包括基于个人的、基于组的和基于角色的多重策略,可以用很简单地应用访问控制列表来实现。基本的访问控制列表概念能以多种形式推广。5.15.1访问控制技术访
19、问控制技术5.1.3主机访问控制的基本方案主机访问控制的基本方案身份身份类类型型允允许权许权限限拒拒绝绝权权限限时间时间限制限制位置位置限制限制用户A个人读、写、管理用户B组读用户C角色写、管理用户D组读、写管理8:00-20:00本地终端表 53 访问控制列表示例5.15.1访问控制技术访问控制技术5.1.3主机访问控制的基本方案主机访问控制的基本方案 访问控制列表最适合于有相对少的需要补区分的用户,并且这些用户中的绝大多数是稳定的情况。如果访问控制列表太大或经常改动,维护访问控制列表会成为最主要的问题。5.15.1访问控制技术访问控制技术5.1.3主机访问控制的基本方案主机访问控制的基本方
20、案2.2.访问能力表方案访问能力表方案(CL-Capabilities List)访问能力表这也是一种矩阵表示法,但以主体为索引。每个主体对应有一个访问能力表,指出对各个客体的访问权限。这种方法的优缺点与直ACL相反。在分布式系统中,可允许主体只进行一次认证便获得它的CL,不必在会话期间不断地对各个分布的系统进行授权申请和处理。5.15.1访问控制技术访问控制技术5.1.35.1.3主机访问控制的基本方案主机访问控制的基本方案主机访问控制的基本方案主机访问控制的基本方案Obj2Obj2OwnOwnR RW WO OObj2Obj2R R O OObj2Obj2R RW WO OUser AUs
21、er A2.2.访问能力表方案访问能力表方案 网络中通常包括多种安全区域。直接地围绕一个目标的安全区域,通常立即需要一个关于该目标的访问决策的表达。然而,访问能力适合于联系相对少的目标,并且对发起者访问控制决策容易实现的情况。访问能力方案的实施主要依赖于在系统间所采用的安全传递能力。其缺点是,目标的拥有者不容易废除以前授予的权限。5.15.1访问控制技术访问控制技术5.1.35.1.3主机访问控制的基本方案主机访问控制的基本方案主机访问控制的基本方案主机访问控制的基本方案5.15.1访问控制技术访问控制技术5.1.35.1.3主机访问控制的基本方案主机访问控制的基本方案主机访问控制的基本方案主
22、机访问控制的基本方案3.3.授权关系方案授权关系方案 授权关系(Authorization relations)这种方案是ACL与CL的结合,使用关系来表示访问矩阵。每个关系表示一个主体对一个客体的访问权限,并使用关系式数据库来存放这个访问矩阵访问矩阵访问矩阵访问矩阵。用户用户A 权限权限目标目标UserA RObj1UserAW Obj1UserAWObj2UserA RObj2 网络中通常包括多种安全区域。直接地围绕一个目标的安全区域,通常立即需要一个关于该目标的访问决策的表达。然而,访问能力适合于联系相对少的目标,并且对发起者访问控制决策容易实现的情况。访问能力方案的实施主要依赖于在系统
23、间所采用的安全传递能力。其缺点是,目标的拥有者不容易废除以前授予的权限。5.15.1访问控制技术访问控制技术5.1.35.1.3主机访问控制的基本方案主机访问控制的基本方案主机访问控制的基本方案主机访问控制的基本方案 访问控制管理涉及访问控制在系统中的部署、测试、监控以及对用户访问的终止。虽然不一定需要对每一个用户设定具体的访问权限,但是访问控制管理依然需要大量复杂和艰巨的工作。访问控制决定需要考虑机构的策略、员工的职务描述、信息的敏感性、用户的职务需求等因素。主机访问控制管理主机访问控制管理 5.15.1访问控制技术访问控制技术 有三种基本的访问管理模式:(1)集中式 (2)分布式 (3)混
24、合式 每种管理模式各有优缺点。应该根据机构的实际情况选择合适的管理模式。5.15.1访问控制技术访问控制技术主机访问控制管理主机访问控制管理主机访问控制管理主机访问控制管理 1.1.1.1.集中式管理集中式管理集中式管理集中式管理 集中管理就是由一个管理者设置访问控制。当用户对信息的需求发生变化时,只能由这个管理者改变用户的访问权限。由于只有极少数人有更改访问权限的权力,所以这种控制是比较严格的。每个用户的账号都可以被集中监控,当用户离开机构时,其所有的访问权限可以很容易地被终止。因为管理者较少,所以整个过程和执行标准的一致性就比较容易达到。但是,当需要快速而大量修改访问权限时,管理者的工作负
25、担和压力就会很大。5.15.1访问控制技术访问控制技术主机访问控制管理主机访问控制管理主机访问控制管理主机访问控制管理 2.2.2.2.分布式管理分布式管理分布式管理分布式管理 分布式管理就是把访问的控制权交给了文件的拥有者或创建者,通常是职能部门的管理者(functional managers)。这就等于把控制权交给了对信息负有直接责任、对信息的使用最熟悉、最有资格判断谁需要信息的管理者的手中。但是这也同时造成在执行访问控制的过程和标准上的不一致性。在任一时刻,很难确定整个系统所有的用户的访问控制情况。不同管理者在实施访问控制时的差异会造成控制的相互冲突以致无法满足整个机构的需求。同时也有可
26、能造成在员工调动和离职时访问权不能有效地清除。5.15.1访问控制技术访问控制技术主机访问控制管理主机访问控制管理主机访问控制管理主机访问控制管理 3.3.混合式管理混合式管理 混合式管理是集中式管理和分布式管理的结合。它的特点是由集中式管理负责整个机构中基本的访问控制,而由职能管理者就其所负责的资源对用户进行具体的访问控制。混合式管理的主要缺点是难以划分哪些访问控制应集中控制,哪些应在本地控制。5.15.1访问控制技术访问控制技术主机访问控制管理主机访问控制管理主机访问控制管理主机访问控制管理 5.2防火墙技术 防火墙是一种安全有效的防范技术,是访问控制机制、安全策略和防入侵措施。从狭义上讲
27、,防火墙是指安装了防火墙软件的主机或路由器系统;从广义上讲,防火墙还包括了整个网络的安全策略和安全行为。它是通过在网络边界上建立起来的相应网络安全监测系统来隔离内部和外部网络,以确定哪些内部服务允许外部访问,以及允许哪些外部服务访问内部服务,阻挡外部网络的入侵。防火墙在Internet与内部网中的位置 5.2防火墙技术 1.1.防火墙的作用防火墙的作用 防火墙从本质上说是一些设备,是外部网络访问内部网络的访问控制设备,是用来保护内部网络的数据、资源和用户声誉的。防止Internet上的危险(病毒、资源盗用等)传播到的网络内部。这样的设备通常是单独的计算机,路由器或防火墙盒(专有硬件设备)。它们
28、充当访问网络的唯一入口点,并且判断是否接收某个连接请求。只有来自授权主机根据用户的服务需要,保证一定的安全系数。5.2.15.2.1防火墙概述防火墙概述防火墙概述防火墙概述5.2防火墙技术 1.1.防火墙的作用防火墙的作用 5.2.15.2.1防火墙概述防火墙概述防火墙概述防火墙概述5.2防火墙技术q把安全网络连接到不安全全网上。q保护安全网络最大程度地访问网络。q 将不安全网络转变成安全网络。间谍:试图偷走敏感信息的黑客的和闯入者;盗窃:盗窃对象包括数据、磁盘空间、资源等;破坏系统:通过路由器或主机/服务器蓄意破坏文件系统或阻止授权用户访问内部网络(外部网络)和服务器。2.2.2.2.防火墙
29、设置的必要性防火墙设置的必要性防火墙设置的必要性防火墙设置的必要性 (1 1)集中化的安全管理,强化安全策略)集中化的安全管理,强化安全策略 由于Internet上每天都有上百万人在 那里收集信息、交换信息,不可避免地会出现个别品德不良的人,或违反规则的人,防火墙是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅容许“认可的”和符合规则的请求通过。(2 2)网络日志及使用统计)网络日志及使用统计 因为防火墙是所有进出信息必须通路,所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录,对网络存取访问进行和统计。5.2.
30、15.2.1防火墙概述防火墙概述防火墙概述防火墙概述5.2防火墙技术2.2.2.2.防火墙设置的必要性防火墙设置的必要性防火墙设置的必要性防火墙设置的必要性 (3 3)保护那些易受攻击的服务)保护那些易受攻击的服务 防火墙能够用来隔开网络中一个网段与另一个网段。这样,能够防止影响一个网段的问题通过整个网络传播。(4 4)增强的保密)增强的保密 用来封锁有关网点系统的DNS信息。因此,网点系统名字和IP地址都不要提供给Internet。(5 5)实施安全策略)实施安全策略 防火墙是一个安全策略的检查站,控制对特殊站点的访问。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访
31、问被拒绝于门外。5.2.15.2.1防火墙概述防火墙概述防火墙概述防火墙概述5.2防火墙技术3.3.防火墙组成防火墙组成防火墙组成防火墙组成 5.2.15.2.1防火墙概述防火墙概述防火墙概述防火墙概述5.2防火墙技术安全操作系统 网关认证socksE-mail处理代理认证域名服务过滤器专专用用网网Internet5.2.15.2.1防火墙概述防火墙概述防火墙概述防火墙概述5.2防火墙技术 防火墙由安全操作系统 过滤器:过滤器(filter)阻止某一类别的流量 网关 域名服务 E-mail处理等部分组件构成,如图 56所示。SOCKS协议:IETF的AFT(Authenticated Fire
32、wall Traversal)工作组开发了一种同时支持TCP和UDP应用穿越防火墙的通用认证框架。开放式Internet 接入过滤器过滤器、网关过滤器、网关和域名服务及邮件处理过滤器、网关、域名服务、邮件处理、安全操作系统过滤器、网关、域名服务邮件处理、数据完整性、安全操作系统无接入功能安全性 完全安全性 安全级4.4.4.4.防火墙的安全级防火墙的安全级防火墙的安全级防火墙的安全级 根据防火墙的安全策略的不同,防火墙的安全级别也不同。5.2.15.2.1防火墙概述防火墙概述防火墙概述防火墙概述5.2防火墙技术5.防火墙不能对付的安全胁协防火墙不能对付的安全胁协 (1)不能防范来自内部恶意的知
33、情者的攻击 防火墙不能防止专用网中内部用户对资源的攻击。它只是设在专用网和Internet之间,对其间的信息进行干预的安全设施。防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上,放在 公文包中带出去。(2)不能防范不通过它的连接 只对所有通过防火墙的进行Internet数据流进行处理,才能发挥防火墙的作用。防火墙能够有效地防止通过它进行传输信息,然而不能防止不通过它而传输的信息。如果用网中有些资源绕过防火墙直接与Internet连通,则得不到防火墙的保护。5.2.15.2.1防火墙概述防火墙概述防火墙概述防火墙概述5.2防火墙技术5.防火墙不能对付的安全胁协
34、防火墙不能对付的安全胁协 (3)(3)防火墙不能防范病毒防火墙不能防范病毒 一般防火墙不对专用网提供防护外部病毒的侵犯。病毒可以通过FTP或其它工具传至专用网。如果要实现这种防护,防火墙中应设置检测病毒的逻辑。(4)(4)不能防备全部的威胁不能防备全部的威胁 防火墙被用来防备已知的威胁,如果是一个很好的防火墙设计方案,可以防备新的威胁,但没有一个防火墙能自动防御所有的新的威胁。5.2.15.2.1防火墙概述防火墙概述防火墙概述防火墙概述5.2防火墙技术 防火墙系统的体系结构可以说成为够成防火墙系统的拓扑结构。网络对外呈现的安全水平依赖于所用防火墙系统的体系结构。一般将防火墙体系结构区分三种。1
35、.1.1.1.双宿主机体系结构双宿主机体系结构双宿主机体系结构双宿主机体系结构2.2.屏蔽主机体系结构屏蔽主机体系结构3.3.屏蔽子网体系结构屏蔽子网体系结构5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术1.1.双宿主机体系结构双宿主机体系结构 (1)多宿主机(multi-homed host)多宿主机一词用来描述具有多个网络 接口板控制的的主机。它们被广泛用于两个或多个局域网的系统中。5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术网络板网络板网络板 网络
36、1 网络2 网络3 可选路由功能多宿主机1.1.双宿主机体系结构双宿主机体系结构 (2)(2)双宿主机双宿主机 双宿主机体系结构是多宿主机的一个特例,是连接两个网络的计算机系统,是围绕具有双宿主的主机计算机而构筑的,这样的主机可以充当与这些接口相连的网络之间的路由器,并能够从一个网络到另一个网络发送IP数据包。然而,实现双宿主机的作为防火墙的双宿主机体系结构禁止这种发送IP数据包功能。5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术1.1.双宿主机体系结构双宿主机体系结构 5.2.25.2.2防火墙系统的体系结构防火墙系统的体
37、系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术主机A主机B 网络1上的主机A可以访双宿主机上的应用程序A。类似的,主机B可以访问双宿主机上的应用程序B。双宿主机上的这个两个应用程序甚至可以共享数据来交换信息是完全可能的,并且,在双宿主机上相连的两个网络段之间没有网络流量的交换。双宿主机网关是在堡垒主机中插装两块网络口卡,并在其上运行服务器软件,受保护网与Internet之间不能直接进行通信,必须经过壁垒主机,因此,不必现实的列出保护网与外部网之间的路由,从而达到受保护网除了看到壁垒主机之外,不能看到其他任何系统效果。5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防
38、火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术 因而,IP数据分组从一个网络(例如,Internet)并不是直接发送到其它网络(例如,内部的、被保护的网络)。防火墙内部的系统能与双宿主机通信,同时防火墙外部的系统(在Internet上)能与双宿主机通信,但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。双宿主机的防火墙体系结构很简单,双宿主机位于两者之间,并且被连接到Internet和内部的网络。如图 510所示.5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术 作为防火墙的双宿主机 外部 内部 5.2.25
39、.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术 双宿主机是防火墙使用的最基本配置,双宿主防火墙主机的重要性是路由被禁;网段之间唯一的路径是通过应用层的功能。如果路由意外地设有配置,且IP转发允许,那么双宿主防火墙的应用层功能就可能被越过。5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术 屏蔽主机体系结构 2.2.屏蔽主机体系结构屏蔽主机体系结构 屏蔽主机体系结构防火墙配置需要一个带数据分组过滤功能的路由器和一台堡垒主机,如图所示。.5.2.25.2.2防火墙系统的体系结
40、构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术2.2.屏蔽主机体系结构屏蔽主机体系结构 在这种体系结构中,防火墙系统提供的安全等级较高,因为它实现了网络层安全和应用层安全。所以入侵者在破坏内部网络安全之前,必须首先渗透两种不同的安全系统。使用一个单独的路由器控制所有出入内部网的访问,并将所有的请求传送给堡垒主机。主要的安全由数据包过滤。代理服务将通过防火墙的通信链路分为两段:防火墙内外的计算机系统的应用层链路优先两个终止于Proxy Server的“链路”来实现:外部计算机的网络链路只能达到Proxy Server,从而内网与外网计算机系统实现隔离。5.2.25
41、.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术3.3.屏蔽子网体系结构屏蔽子网体系结构 屏蔽子网体系结构添加额外的安全层到屏蔽主机体系结构。用两个分组过滤路由器和一个堡垒主机,在内部网络与Internet之间有一个小型的独立网络,即通过添加周边网络更进一步地把内部网络与Internet隔离开,如图所示。5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术3.3.屏蔽子网体系结构屏蔽子网体系结构 5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构
42、防火墙系统的体系结构5.2防火墙技术 3.3.屏蔽子网体系结构屏蔽子网体系结构 两个分组过滤路由器,一个位于周边网与内部的网络之间,另一个位于周边网与外部网络之间。通过屏蔽子网防火墙访问内部网络要受到路由器过滤规则的保护。堡垒主机、信息服务器、调制解调器组以及其他公用服务器放在子网中。屏蔽子网中的主机是内部网和Internet都能访问唯一系统,他支持网络层和应用层安全功能。(1 1)周边网络)周边网络 周边网络是另一个安全层,是在外部网络与用户的被保护的内部网络之间的附加的网络。如果侵袭者成功地侵入用户的防火墙的外层领域,周边网络在那个侵袭者与用户的内部系统之间提供一个附加的保护层。5.2.2
43、5.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术 3.3.屏蔽子网体系结构屏蔽子网体系结构 (2 2)堡垒主机)堡垒主机 将过滤和代理服务等功能结合起来形成新的防火墙,所用主机称为堡垒主机(bastion Hosts)。堡垒主机是一个组织的网络安全的中心主机。它是一个专门的系统,具有特殊的装备,并能抵御攻击。堡垒主机提供安全性功能的几种特点如下:堡垒主机的硬件执行一个安全版本的操作系统。只有网络管理员认为必需的服务才能在堡垒主机上安装。每个代理在堡垒主机上都以非特权用户的身份运行在其自己的并且是安全的目录中。5.2.25.2.2防火墙系
44、统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术 3.3.屏蔽子网体系结构屏蔽子网体系结构 (2 2)堡垒主机)堡垒主机 堡垒主机负责提供代理服务。一般采用以下几种技术:动态包过滤;内核透明技术;用户认证机制;内容和策略感知能力;内部信息隐藏;智能日志、审计和实时报警;防火墙的交互操作性等。5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术 3.3.屏蔽子网体系结构屏蔽子网体系结构 (3 3)内部路由器)内部路由器 内部路由器(有时被称为阻塞路由器)保护内部的网络使之免受 Internet
45、 和周边网的侵犯。内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网到Internet的有选择的出站服务。这些服务是用户的站点能使用数据包过滤而不是代理服务 安全支持和安全提供的服务。内部路由器所允许的在堡垒主机(在周边网上)和用户的内部网之间服务可以不同于内部路由器所允许的在 Internet和用户的内部网之间的服务。限制堡垒主机和内部网之间服务的理由是减少由此而导致的受到来自堡垒主机侵袭的机器的数量。5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术 3.3.屏蔽子网体系结构屏蔽子网体系结构 (4 4)外部路
46、由器)外部路由器 外部路由器有时也被称为访问路由器,起着保护周边网和内部网免受来自Internet 的攻击。实际上,外部路由器倾向于允许几乎任何信息从周边网出站,并且它们通常只执行非常少的数据包过滤。保护内部机器的数据包过滤规则在内部路由器和外部路由器上基本上应该是一样的;如果在规则中有允许攻击者访问的错误,错误就可能出现在两个路由器上。实际上外部路由器能有效地执行的安全任务之一是:阻止从Internet上伪造源地址进来的任何数据包。这样的数据包自称来自内部的网络,但实际上是来自 Internet。5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系
47、结构5.2防火墙技术 4.4.防火墙体系结构的组合形式防火墙体系结构的组合形式 建造防火墙时,一般很少用单一的技术,通常是多种解决不同问题的技术的组合。这种组合主要取决于网管中心向用户提供什么样的服务,以及网管中心能接受什么等级风险。采用哪种技术主要取决于经费,投资的大小或技术人员的技术、时间等因素。5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术 4.4.防火墙体系结构的组合形式防火墙体系结构的组合形式 使用多堡垒主机;合并内部路由器与外部路由器;合并堡垒主机与外部路由器;合并堡垒主机与内部路由器;使用多台内部路由器;使用多
48、台外部路由器;使用多个周边网络;使用双重宿主机与屏蔽子网。5.2.25.2.2防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构防火墙系统的体系结构5.2防火墙技术 防火墙系统是外部网络与内部网络之间的物理与逻辑界面。从外部来看,防火墙借助于不同的传输接口打开了进入内部网络的通道。通信接口支配着控制装置,允许内部与外部网络之间建立连接。对于接口的不同访问,防火墙基本上分为三种类。数据包过滤器、电路层网关和应用层网关。这三种类型的防火墙个有利弊,在实际应用中需考虑网络环境、安全策略和安全级别等各方面的因素来选择相应的防火墙。防火墙的类型防火墙的类型防火墙的类型防火墙的类型5.2防火墙技
49、术 1.1.包过滤路由器包过滤路由器 欲保护网络的一种办法是正确配置过滤器,路由能够区分网络流量、协议特写的标准,路由在其端口具有区分分组和限制分组的能力叫作分分组组过过滤滤。因此,过滤路由器也称作分组过滤路由器(Packet-filtering Firewall)。分组过滤器安装在路由器上,当然PC机上也可以安装包过滤软件。它工作在网络层(IP),因此也称为网络防火墙。分组过滤路由器对每个进入的IP分组使用一个规则集合,然后转发或者丢弃该分组。该路由器通常都被配置成过滤双向的分组(来自内部或进入内部网络)。防火墙的类型防火墙的类型防火墙的类型防火墙的类型5.2防火墙技术 1.1.包过滤路由器
50、包过滤路由器 (1 1)过滤规则)过滤规则 包过滤规则是基于所收到的数据包的源地址、目的地址、TCP/UDP、源端口号及目的端口号、分组出入接口、协议类型和数据包中的各种标志位等参数,与管理者预定的访问控制表(拟定一个提供接收和服务对象的清单,一个不接受访问或服务对象的清单)进行比较,按所定安全政策实施允许或拒绝访问,决定数据是否符合预先制定的安全策略,决定数据分组的转发或丢弃,即实施信息过滤。防火墙的类型防火墙的类型防火墙的类型防火墙的类型5.2防火墙技术 1.1.包过滤路由器包过滤路由器 (1 1)过滤规则)过滤规则 它实际上是控制内部网络上的主机直接访问外部网络,而外部网络上的主机对内部