[精选]网络安全访问控制与防火墙技术32580.pptx

《[精选]网络安全访问控制与防火墙技术32580.pptx》由会员分享，可在线阅读，更多相关《[精选]网络安全访问控制与防火墙技术32580.pptx（76页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、退出退出退出退出网络安全技术网络安全技术v学习目的：学习目的：了解访问控制技术的基本概念熟悉防火墙技术基础初步掌握防火墙安全设计策略 了解防火墙攻击策略了解第四代防火墙的主要技术了解防火墙发展的新方向 了解防火墙选择原则与常见产品 v学习重点：学习重点：Windows NT/2K安全访问控制手段 防火墙安全设计策略 防火墙攻击策略 防火墙选择原则 31 访问控制技术 311 访问控制技术概述访问控制技术概述1.1.访问控制的定义访问控制的定义 访问控制是针对越权使用资源的防御措施，访问控制是针对越权使用资源的防御措施，是网络安全防范和保护的主要策略，主要任务是是网络安全防范和保护的主要策略，主

2、要任务是保证网络资源不被非法使用和非常访问。保证网络资源不被非法使用和非常访问。也是保证网络安全的核心策略之一。也是保证网络安全的核心策略之一。2.2.基本目标基本目标 防止对任何资源进行未授权的访问，从而使防止对任何资源进行未授权的访问，从而使计算机系统在合法范围内使用；决定用户能做什计算机系统在合法范围内使用；决定用户能做什么。么。3.3.访问控制的作用访问控制的作用（1 1）访问控制对机密性、完整性起直接）访问控制对机密性、完整性起直接 的作用。的作用。（2 2）对于可用性的有效控制）对于可用性的有效控制3 31 12 2 访问控制策略访问控制策略 访问控制策略访问控制策略(Access

3、 Control Policy)(Access Control Policy)是是在系统安全策略级上表示授权，是对访问如何控在系统安全策略级上表示授权，是对访问如何控制、如何作出访问决定的高层指南。制、如何作出访问决定的高层指南。1.1.自主访问控制自主访问控制 自主访问控制自主访问控制(DAC)(DAC)也称基于身份的访问控也称基于身份的访问控制制(IBAC)(IBAC)，是针对访问资源的用户或者应用设，是针对访问资源的用户或者应用设置访问控制权限；根据主体的身份及允许访问的置访问控制权限；根据主体的身份及允许访问的权限进行决策；自主是指具有某种访问能力的主权限进行决策；自主是指具有某种访问

4、能力的主体能够自主地将访问权的某个子集授予其它主体，体能够自主地将访问权的某个子集授予其它主体，访问信息的决定权在于信息的创建者。访问信息的决定权在于信息的创建者。n自主访问控制可以分为以下两类：自主访问控制可以分为以下两类：(1)基于个人的策略基于个人的策略(2)基于组的策略基于组的策略自自主主访访问问控控制制存存在在的的问问题题：配配置置的的粒粒度度小小，配配置的工作量大，效率低。置的工作量大，效率低。特点：灵活性高，被大量采用。特点：灵活性高，被大量采用。缺点：安全性最低。缺点：安全性最低。2.2.强强制制访问访问控制控制 强制访问控制（强制访问控制（MACMAC）也称基于规则的访问控）

5、也称基于规则的访问控制（制（RBACRBAC），在自主访问控制的基础上，增加了），在自主访问控制的基础上，增加了对资源的属性对资源的属性(安全属性安全属性)划分，规定不同属性下划分，规定不同属性下的访问权限。的访问权限。3.3.基于角色的访问控制基于角色的访问控制 基于角色的访问控制（基于角色的访问控制（RBACRBAC）是与现代的商）是与现代的商业环境相结合后的产物，同时具有基于身份策略业环境相结合后的产物，同时具有基于身份策略的特征，也具有基于规则的策略的特征，可以看的特征，也具有基于规则的策略的特征，可以看作是基于组的策略的变种，根据用户所属的角色作是基于组的策略的变种，根据用户所属的角

6、色作出授权决定。作出授权决定。4.4.多级策略法多级策略法 多多级级策略策略给给每个目每个目标标分配一个密分配一个密级级，一般安，一般安全属性可分全属性可分为为四个四个级别级别：最高秘密：最高秘密级级（Top Top SecretSecret）、秘密）、秘密级级（SecretSecret）、机密）、机密级级（ConfideneConfidene）以及无）以及无级别级级别级（Unclassified Unclassified）。）。3 31 13 3 访问控制的常用实现方法访问控制的常用实现方法 访问控制的常用实现方法是指访问控制策略访问控制的常用实现方法是指访问控制策略的软硬件低层实现。访问控

7、制机制与策略独立，的软硬件低层实现。访问控制机制与策略独立，可允许安全机制的重用。安全策略之间没有更好可允许安全机制的重用。安全策略之间没有更好的说法，应根据应用环境灵活使用。的说法，应根据应用环境灵活使用。1.1.访问控制表访问控制表(ACL)(ACL)优优点：点：控制粒度比控制粒度比较较小，适用于被区分的用小，适用于被区分的用户户数比数比较较小的情况，并且小的情况，并且这这些用些用户户的授的授权权情况相情况相对对比比较较稳稳定的情形。定的情形。2.2.访问能力表访问能力表 授授权权机构机构针对针对每个限制区域，都每个限制区域，都为为用用户维护户维护它的它的访问访问控制能力。控制能力。3.3

8、.安全标签安全标签 发发起起请请求的求的时时候，附属一个安全候，附属一个安全标签标签，在目，在目标标的属性中，也有一个相的属性中，也有一个相应应的安全的安全标签标签。在做出。在做出授授权权决定决定时时，目，目标环标环境根据境根据这这两个两个标签标签决定是允决定是允许还许还是拒是拒绝访问绝访问，常常用于多，常常用于多级访问级访问策略。策略。4 基于口令的机制基于口令的机制（1 1）与目标的内容相关的访问控制）与目标的内容相关的访问控制（2 2）多用户访问控制）多用户访问控制 （3 3）基于上下文的控制）基于上下文的控制 对于用于用户而言，而言，Windows NT/2KWindows NT/2K

9、有以下几种管有以下几种管理手段：理手段：1 1 用户帐号和用户密码用户帐号和用户密码 314 Windows NT/2K 安全访问控制手段安全访问控制手段 2 2 域名管理域名管理 3 3 用户组权限用户组权限 4 4 共享资源权限共享资源权限 32 防火墙技术防火墙技术 基础基础 1 1 防火墙（防火墙（FireWallFireWall）一个防火墙的基本目标为：一个防火墙的基本目标为：1 1）对于一个网络来说，所有通过）对于一个网络来说，所有通过“内部内部”和和“外部外部”的网络流量都要经过防火墙；的网络流量都要经过防火墙；2 2）通过一些安全策略，）通过一些安全策略，来保证只有经过授权的流

10、量才可以通过防火墙；来保证只有经过授权的流量才可以通过防火墙；3 3）防）防火火墙墙本身必本身必须须建立在安全操作系建立在安全操作系统统的基的基础础上。上。321 防火墙概述防火墙概述 所谓所谓“防火墙防火墙”，是指一种将内部网和公众网络（如，是指一种将内部网和公众网络（如InternetInternet）分开的方法，它实际上是一种隔离技术，是）分开的方法，它实际上是一种隔离技术，是在两个网络通信时执行的一种访问控制手段，它能允许在两个网络通信时执行的一种访问控制手段，它能允许用户用户“同意同意”的人和数据进入网络，同时将用户的人和数据进入网络，同时将用户“不同不同意意”的人和数据拒之门外，最

11、大限度地阻止网络中的黑的人和数据拒之门外，最大限度地阻止网络中的黑客来访问自己的网络，防止他们更改、复制和毁坏自己客来访问自己的网络，防止他们更改、复制和毁坏自己的重要信息。的重要信息。2 2 防火墙的优点防火墙的优点 （1 1）防火墙对企业内部网实现了集中的安全管理，可）防火墙对企业内部网实现了集中的安全管理，可以强化网络安全策略，比分散的主机管理更经济易行。以强化网络安全策略，比分散的主机管理更经济易行。（2 2）防火墙能防止非授权用户进入内部网络。）防火墙能防止非授权用户进入内部网络。（3 3）防火墙可以方便地监视网络的安全性并报警。）防火墙可以方便地监视网络的安全性并报警。（4 4）可

12、以作为部署网络地址转换（）可以作为部署网络地址转换（Network Address Network Address Translation Translation）的地点，利用）的地点，利用NAT NAT 技术，可以缓解地址技术，可以缓解地址空间的短缺，隐藏内部网的结构。空间的短缺，隐藏内部网的结构。（5 5）利用防火墙对内部网络的划分，可以实现重点网）利用防火墙对内部网络的划分，可以实现重点网段的分离，从而限制问题的扩散。段的分离，从而限制问题的扩散。（6 6）由于所有的）由于所有的访问访问都都经过经过防火防火墙墙，防火，防火墙墙是是审计审计和和记录记录网网络络的的访问访问和使用的最佳地方。

13、和使用的最佳地方。3 防火墙的局限性防火墙的局限性（1 1）限制有用的网络服务。）限制有用的网络服务。（2 2）无法防护内部网络用户的攻击。）无法防护内部网络用户的攻击。（3 3）InternetInternet防火墙无法防范通过防火墙以外防火墙无法防范通过防火墙以外 的其他途径的攻击。的其他途径的攻击。（4 4）InternetInternet防火墙也不能完全防止传送已感防火墙也不能完全防止传送已感 染病毒的软件或文件。染病毒的软件或文件。（5 5）防火墙无法防范数据驱动型的攻击。）防火墙无法防范数据驱动型的攻击。（6 6）不能防）不能防备备新的网新的网络络安全安全问题问题。4 防火墙的作用

14、防火墙的作用 防火墙用于加强网络间的访问控制，防止防火墙用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据络的设备不被破坏，防止内部网络的敏感数据被窃取。被窃取。防火墙系统决定了哪些内部服务可以被外防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的哪些可界访问；外界的哪些人可以访问内部的哪些可以访问的服务，以及哪些外部服务可以被内部以访问的服务，以及哪些外部服务可以被内部人访问。人访问。1 1 数据包过滤路由器数据包过滤路由器 防火墙常见的有三种类型：数据包过滤路由器、防火墙

15、常见的有三种类型：数据包过滤路由器、应用层网关、电路层网关。应用层网关、电路层网关。322 防火墙的类型防火墙的类型（1 1）数据包过滤原理）数据包过滤原理 数据包过滤技术是防火墙最常用的技术。数据包过滤技术是防火墙最常用的技术。数据包过滤技术，顾名思义是在网络中适当的数据包过滤技术，顾名思义是在网络中适当的位置对数据包实施有选择的通过规则，选择依据，位置对数据包实施有选择的通过规则，选择依据，即为系统内设置的过滤规则（即访问控制表），即为系统内设置的过滤规则（即访问控制表），只有满足过滤规则的数据包才被转发至相应的网只有满足过滤规则的数据包才被转发至相应的网络接口，其余数据包则被从数据流中删

16、除。络接口，其余数据包则被从数据流中删除。数数据据包包过过滤滤可可以以控控制制站站点点与与站站点点、站站点点与与网网络络和和网网络络与与网网络络之之间间的的相相互互访访问问，但但不不能能控控制制传传输输的数据内容。的数据内容。因因为为传传输输的的数数据据内内容容是是应应用用层层数数据据，不不是是包包过过滤滤系系统统所所能能辨辨认认的的，数数据据包包过过滤滤允允许许用用户户在在单单个地方为整个网络提供特别的保护。个地方为整个网络提供特别的保护。包过滤检查模块深入到系统的网络层和数据链包过滤检查模块深入到系统的网络层和数据链路层之间。路层之间。因为数据链路层是事实上的网卡（因为数据链路层是事实上的

17、网卡（NICNIC），），网络层是第一层协议堆栈，所以防火墙位于软件网络层是第一层协议堆栈，所以防火墙位于软件层次的最底层。层次的最底层。下图是一个包过滤模型原理图：下图是一个包过滤模型原理图：通过检查模块，防火墙能拦截和检查所有出站的通过检查模块，防火墙能拦截和检查所有出站的数据。数据。设置步骤设置步骤 必须制定一个安全策略；必须制定一个安全策略；必须正式规定允许的包类型、包字段的逻辑表达；必须正式规定允许的包类型、包字段的逻辑表达；必须用防火墙支持的语法重写表达式。必须用防火墙支持的语法重写表达式。按地址过滤按地址过滤 比如说，认为网络比如说，认为网络202.110.8.0202.110.

18、8.0是一个危险的网络，是一个危险的网络，那么就可以用源地址过滤禁止内部主机和该网络进那么就可以用源地址过滤禁止内部主机和该网络进行通信。下表是根据上面的政策所制定的规则。行通信。下表是根据上面的政策所制定的规则。按服务过滤按服务过滤 假设安全策略是禁止外部主机访问内部的假设安全策略是禁止外部主机访问内部的E-mailE-mail服务器（服务器（SMTPSMTP，端口，端口2525），允许内部主），允许内部主机访问外部主机，实现这种的过滤的访问控制机访问外部主机，实现这种的过滤的访问控制规则类似下表。规则类似下表。“*”代表任意值，没有被过滤器规则明确允许的代表任意值，没有被过滤器规则明确允许

19、的包将被拒绝。包将被拒绝。（2 2）数据包过滤特性分析）数据包过滤特性分析 主要优点：是仅一个关健位置设置一个数据包主要优点：是仅一个关健位置设置一个数据包过滤路由器就可以保护整个网络，而且数据包过过滤路由器就可以保护整个网络，而且数据包过滤对用户是透明的，不必在用户机上再安装特定滤对用户是透明的，不必在用户机上再安装特定的软件的软件 缺点和局限性：包过滤规则配置比较复杂，而且缺点和局限性：包过滤规则配置比较复杂，而且几乎没有什么工具能对过滤规则的正确性进行测试；几乎没有什么工具能对过滤规则的正确性进行测试；包过滤也没法查出具有数据驱动攻击这一类潜在危包过滤也没法查出具有数据驱动攻击这一类潜在

20、危险的数据包；由于险的数据包；由于数据包过滤是通过源地址来做判数据包过滤是通过源地址来做判断的，但断的，但IPIP地址是很容易改变的，所以源地址欺骗地址是很容易改变的，所以源地址欺骗用数据包过滤的方法不能查出来。用数据包过滤的方法不能查出来。除此之外，随着除此之外，随着过滤数目的增加，路由器的吞吐量会下降，从而影过滤数目的增加，路由器的吞吐量会下降，从而影响网络性能。响网络性能。2 2 应用层网关（应用层网关（Application GatewayApplication Gateway）（1 1）应用层网关原理）应用层网关原理 也称为代理服务器，代理（也称为代理服务器，代理（ProxyProx

21、y）技术与包过）技术与包过滤技术完全不同，包过滤技术是在网络层拦截所滤技术完全不同，包过滤技术是在网络层拦截所有的信息流，代理技术是针对每一个特定应用都有的信息流，代理技术是针对每一个特定应用都有一个程序。代理是企图在应用层实现防火墙的有一个程序。代理是企图在应用层实现防火墙的功能，代理的主要特点是有状态性。代理能提供功能，代理的主要特点是有状态性。代理能提供部分与传输有关的状态，能完全提供与应用相关部分与传输有关的状态，能完全提供与应用相关的状态和部分传输方面的信息，代理也能处理和的状态和部分传输方面的信息，代理也能处理和管理信息。管理信息。下图是应用层网关的结构示意图，其中内部网下图是应用

22、层网关的结构示意图，其中内部网的一个的一个Telnet客户通过代理访问外部网的一个客户通过代理访问外部网的一个Telnet服务器的情况。服务器的情况。Telnet Telnet代理服务器执行内部网络向外部网络申代理服务器执行内部网络向外部网络申请服务时中间转接作用。请服务时中间转接作用。应用层网关上应用层网关上的代理服务事实上分为一个客的代理服务事实上分为一个客户代理和一个服务器代理，户代理和一个服务器代理，TelnetTelnet是一个是一个TelnetTelnet的服务器守护进程，当它侦听到一个连接到来之的服务器守护进程，当它侦听到一个连接到来之后，它首先要进行相应的身份认证，并根据安全后

23、，它首先要进行相应的身份认证，并根据安全策略来决定是否中转连接。当决定转发时，代理策略来决定是否中转连接。当决定转发时，代理服务器上的服务器上的TelnetTelnet客户进程向真正的客户进程向真正的TelnetTelnet服务服务器发出请求，器发出请求，TelnetTelnet服务器返回的数据是由代理服务器返回的数据是由代理服务器转发给服务器转发给TelnetTelnet客户机。客户机。提供代理服务的可以是一台双宿网关，也可提供代理服务的可以是一台双宿网关，也可以是一台堡垒主机，允许用户访问代理服务是很以是一台堡垒主机，允许用户访问代理服务是很重要的，但是用户是绝对不允许注册到应用层网重要的

24、，但是用户是绝对不允许注册到应用层网关中的。关中的。用于应用层的过滤规则相对于包过滤路由器来说用于应用层的过滤规则相对于包过滤路由器来说更容易配置和测试。更容易配置和测试。代理工作在客户机和真实服务器之间，完全控制代理工作在客户机和真实服务器之间，完全控制会话，所以可以提供很详细的日志和安全审计功能。会话，所以可以提供很详细的日志和安全审计功能。提供代理服务的防火墙可以被配置成惟一的可被提供代理服务的防火墙可以被配置成惟一的可被外部看见的主机，这样可以隐藏内部网的外部看见的主机，这样可以隐藏内部网的IPIP地址，地址，可以保护内部主机免受外部主机的进攻。可以保护内部主机免受外部主机的进攻。通过

25、代理访问通过代理访问InternetInternet可以解决合法的可以解决合法的IPIP地址不地址不够用的问题，因为够用的问题，因为InternetInternet所见到只是代理服务器的所见到只是代理服务器的地址，内部不合法的地址，内部不合法的IPIP通过代理可以访问通过代理可以访问InternetInternet。提供代理的应用层网关主要有以下优点：提供代理的应用层网关主要有以下优点：应用层网关有能力支持可靠的用户认证并提供详应用层网关有能力支持可靠的用户认证并提供详细的注册信息。细的注册信息。应用层代理的缺点：应用层代理的缺点：有限的联接性。有限的联接性。有限的技术。有限的技术。应用层实现

26、的防火墙会造成明显的性能下降。应用层实现的防火墙会造成明显的性能下降。每个应用程序都必须有一个代理服务程序来进行每个应用程序都必须有一个代理服务程序来进行安全控制，每一种应用升级时，一般代理服务程序安全控制，每一种应用升级时，一般代理服务程序也要升级。也要升级。应用层网关要求用户改变自己的行为，或者在访应用层网关要求用户改变自己的行为，或者在访问代理服务的每个系统上安装特殊的软件。问代理服务的每个系统上安装特殊的软件。（2 2）数据包过滤与代理服务的比较）数据包过滤与代理服务的比较 代理服务在安全方面比包过滤强，但它们在性能代理服务在安全方面比包过滤强，但它们在性能和透明度上比较差。主要的安全

27、优点在基于代理服务和透明度上比较差。主要的安全优点在基于代理服务的防火墙设计上，即使一个基于代理的防火墙遭到破的防火墙设计上，即使一个基于代理的防火墙遭到破坏，还是没有直接传到防火墙后面的网络上；而包过坏，还是没有直接传到防火墙后面的网络上；而包过滤防火墙上，如一个过滤规则被修改或破坏了，防火滤防火墙上，如一个过滤规则被修改或破坏了，防火墙还继续为包路由。墙还继续为包路由。包过滤防火墙的安全性较弱，透明度上较好。包过滤防火墙的安全性较弱，透明度上较好。如果防火墙遭到损害，所有它后面的网络都面临如果防火墙遭到损害，所有它后面的网络都面临危险。危险。（3 3）应用层网关实现）应用层网关实现 编写代

28、理软件编写代理软件客户软件客户软件协议对于应用层网关的处理协议对于应用层网关的处理 （4 4）应用层网关的特点和发展方向）应用层网关的特点和发展方向 智能代理智能代理 3 3 电路级网关技术电路级网关技术 电路级网关（电路级网关（Circuit Level GatewayCircuit Level Gateway）也是一种）也是一种代理，但是只能是建立起一个回路，对数据包只代理，但是只能是建立起一个回路，对数据包只起转发的作用。电路级网关只依赖于起转发的作用。电路级网关只依赖于TCPTCP联接，联接，并不进行任何附加的包处理或过滤。并不进行任何附加的包处理或过滤。电路级网关防火墙特点：电路级网

29、关是一个通用电路级网关防火墙特点：电路级网关是一个通用代理服务器，它工作于代理服务器，它工作于OSIOSI互联模型的会话层或是互联模型的会话层或是TCP/IPTCP/IP协议的协议的TCPTCP层。它适用于多个协议，但它层。它适用于多个协议，但它不能识别在同一个协议栈上运行的不同的应用。不能识别在同一个协议栈上运行的不同的应用。优点：它可以对各种不同的协议提供服务，但这优点：它可以对各种不同的协议提供服务，但这种代理需要改进客户程序。这种网关对外像一个代种代理需要改进客户程序。这种网关对外像一个代理，而对内则是一个过滤路由器。理，而对内则是一个过滤路由器。33 防火墙安全防火墙安全 设计策略设

30、计策略 331 防火墙体系结构防火墙体系结构 1 1 屏蔽路由器屏蔽路由器(ScreeningRouter)(ScreeningRouter)屏蔽路由器可以由厂家专门生产的路由器实屏蔽路由器可以由厂家专门生产的路由器实现，也可以用主机来实现。屏蔽路由器作为内外现，也可以用主机来实现。屏蔽路由器作为内外连接的惟一通道，要求所有的报文都必须在此通连接的惟一通道，要求所有的报文都必须在此通过检查。路由器上可以安装基于过检查。路由器上可以安装基于IPIP层的报文过滤层的报文过滤软件，实现报文过滤功能。软件，实现报文过滤功能。2 2 双穴主机网关双穴主机网关(DualHomedGateway)(Dual

31、HomedGateway)穴主机网关是用一台装有两块网卡的堡垒主穴主机网关是用一台装有两块网卡的堡垒主机的做防火墙。两块网卡各自与受保护网和外部机的做防火墙。两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件，可以转网相连。堡垒主机上运行着防火墙软件，可以转发应用程序，提供服务等。发应用程序，提供服务等。3 3 被屏蔽主机网关被屏蔽主机网关(ScreenedGatewy)(ScreenedGatewy)屏蔽主机网关易于实现也最为安全。屏蔽主机网关易于实现也最为安全。网关的基本控制策略由安装在上面的软件决定。网关的基本控制策略由安装在上面的软件决定。4 4 屏蔽子网屏蔽子网(Scre

32、enedSubnet)(ScreenedSubnet)屏蔽子网就是在内部网络和外部网络之间建立一屏蔽子网就是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。子网分别与内部网络和外部网络分开。这种配置的危险仅包括堡垒主机、子网主机及所这种配置的危险仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。有连接内网、外网和屏蔽子网的路由器。332 网络服务访问权限策略网络服务访问权限策略 安全策略分安全策略分为为两个两个层层次：网次：网络络服服务访问务访问策略和防策略和防火火墙设计墙设计策略

33、。策略。网络服务访问策略是一种高层次的、具体到事件网络服务访问策略是一种高层次的、具体到事件的策略，主要用于定义在网络中允许的或禁止的网的策略，主要用于定义在网络中允许的或禁止的网络服务，而且还包括对拨号访问以及络服务，而且还包括对拨号访问以及SLIPSLIPPPPPPP联联接的限制。接的限制。网络服务访问策略不但应该是一个站点安全策网络服务访问策略不但应该是一个站点安全策略的延伸，而且对于机构内部资源的保护也应起到略的延伸，而且对于机构内部资源的保护也应起到全局的作用。全局的作用。通常，通常，一个防火一个防火墙执墙执行两个通用网行两个通用网络络服服务访问务访问策略中的一个：允策略中的一个：允

34、许许从内部站点从内部站点访问访问InternetInternet而不而不允允许许从从InternetInternet访问访问内部站点；只允内部站点；只允许许从从InternetInternet访问访问特定的系特定的系统统，如信息服，如信息服务务器和器和电电子子邮邮件服件服务务器。器。比如，在最高层，某个组织机构的总体策略：比如，在最高层，某个组织机构的总体策略：(1)(1)内部信息对于一个组织的经济繁荣是至关重要的；内部信息对于一个组织的经济繁荣是至关重要的；(2)(2)应使用各种经济实惠的办法来保证我们的信息的机密应使用各种经济实惠的办法来保证我们的信息的机密性、完整性、真实性、和可用性；性

35、、完整性、真实性、和可用性；(3)(3)保护数据信息的机密性、完整性和可用性是高于一切保护数据信息的机密性、完整性和可用性是高于一切的，是不同层次的员工的责任；的，是不同层次的员工的责任；(4)(4)所有信息处理的设备将被用于经过授权的任务。所有信息处理的设备将被用于经过授权的任务。因此，在这个普遍原则之下是与具体事情相关的政策，因此，在这个普遍原则之下是与具体事情相关的政策，如公司财物的使用规定、信息系统的使用规定，防火墙的如公司财物的使用规定、信息系统的使用规定，防火墙的网络服务访问政策就是在这一个层次上。网络服务访问政策就是在这一个层次上。防火防火墙墙的的设计设计策略是具体地策略是具体地

36、针对针对防火防火墙墙，制定，制定相相应应的的规规章制度来章制度来实实施网施网络络服服务访问务访问策略。在制定策略。在制定这这种策略之前，必种策略之前，必须须了解了解这这种防火种防火墙墙的性能以及缺的性能以及缺点、点、TCPTCPIPIP本身所具有的易受攻本身所具有的易受攻击击性和危性和危险险性。性。两种基本设计策略：两种基本设计策略：第一种，除非明确不允许，否则允许某种服务。执第一种，除非明确不允许，否则允许某种服务。执行第一种策略的防火墙在默认情况下允许所有的服行第一种策略的防火墙在默认情况下允许所有的服务，除非管理员对某种服务明确表示禁止。务，除非管理员对某种服务明确表示禁止。333 防火

37、墙设计策略及要求防火墙设计策略及要求 第二种，除非明确允许，否则将禁止某种服务。执第二种，除非明确允许，否则将禁止某种服务。执行第二种策略的防火墙在默认情况下禁止所有的服行第二种策略的防火墙在默认情况下禁止所有的服务，除非管理员对某种服务明确表示允许。务，除非管理员对某种服务明确表示允许。总之，防火墙好坏取决于安全性和灵活性的要总之，防火墙好坏取决于安全性和灵活性的要求，所以在实施防火墙之前，考虑一下策略是至求，所以在实施防火墙之前，考虑一下策略是至关重要的。如果不这样做，会导致防火墙不能达关重要的。如果不这样做，会导致防火墙不能达到要求。到要求。334 防火墙与加密机制防火墙与加密机制 现在

38、的防火墙则逐渐集成了信息安全技术中的最现在的防火墙则逐渐集成了信息安全技术中的最新研究成果，一般都具有加密、解密和压缩、解压等新研究成果，一般都具有加密、解密和压缩、解压等功能，这些技术加强了信息在互联网上的安全性。功能，这些技术加强了信息在互联网上的安全性。加密技术实际上是一种对要经由公共网络传送的加密技术实际上是一种对要经由公共网络传送的信息进行编码的方法，它是确保数据安全的最有效方信息进行编码的方法，它是确保数据安全的最有效方法。防火墙能够将授权用户的数据进行加密并使这个法。防火墙能够将授权用户的数据进行加密并使这个信息穿过防火墙而进入公共网络。保护接收网络的防信息穿过防火墙而进入公共网

39、络。保护接收网络的防火墙然后能够检查信息，对其进行解码，并将其发送火墙然后能够检查信息，对其进行解码，并将其发送到正确的授权用户手中。通过使用加密技术，大多数到正确的授权用户手中。通过使用加密技术，大多数防火墙现在能够用作防火墙现在能够用作VPNVPN的网关，在有些时候通过对的网关，在有些时候通过对在互联网上的端对端通讯信息进行保护还可作为在互联网上的端对端通讯信息进行保护还可作为VPNVPN服务器。服务器。34 防火墙攻防火墙攻 击策略击策略 从黑客攻击防火墙的过程上看，从黑客攻击防火墙的过程上看，防火墙攻击策略防火墙攻击策略大概可以分为三类：大概可以分为三类：341 扫描防火墙策略扫描防火

40、墙策略 扫描防火墙策略的方法是探测在目标网络上安装扫描防火墙策略的方法是探测在目标网络上安装的是何种防火墙系统并且找出此防火墙系统允许哪些的是何种防火墙系统并且找出此防火墙系统允许哪些服务，通常称之为对防火墙的探测攻击。服务，通常称之为对防火墙的探测攻击。342 通过防火墙认证机制策略通过防火墙认证机制策略 通过防火墙认证机制策略，是指采取地址欺骗、通过防火墙认证机制策略，是指采取地址欺骗、TCPTCP序号攻击等方法绕过防火墙的认证机制，从而对序号攻击等方法绕过防火墙的认证机制，从而对防火墙和内部网络破坏。防火墙和内部网络破坏。1 1 IP IP地址欺骗地址欺骗：突破防火墙系统最常用的方法是因

41、突破防火墙系统最常用的方法是因特网地址欺骗，它同时也是其他一系列攻击方法的基特网地址欺骗，它同时也是其他一系列攻击方法的基础。础。2 2 TCP TCP序号攻击序号攻击 ：TCPTCP序号攻击是绕过基于分组序号攻击是绕过基于分组过滤方法的防火墙系统的最有效和最危险的方法之一。过滤方法的防火墙系统的最有效和最危险的方法之一。寻找、利用防火墙系统实现和设计上的安全漏洞，寻找、利用防火墙系统实现和设计上的安全漏洞，从而有针对性地发动攻击。这种攻击难度比较大，可从而有针对性地发动攻击。这种攻击难度比较大，可是破坏性很大。是破坏性很大。防火墙不能防止对自己的攻击，只能强制对抗。防火墙不能防止对自己的攻击

42、，只能强制对抗。防火墙本身是一种被动防卫机制，不是主动安全机制。防火墙本身是一种被动防卫机制，不是主动安全机制。防火墙不能干涉还没有到达防火墙的包，如果这个包防火墙不能干涉还没有到达防火墙的包，如果这个包是攻击防火墙的，只有已经发生了攻击，防火墙才可是攻击防火墙的，只有已经发生了攻击，防火墙才可以对抗，根本不能防止。以对抗，根本不能防止。343 利用防火墙漏洞策略利用防火墙漏洞策略 35 第四代防火第四代防火 墙的主要技墙的主要技 术术 351 第四代防火墙的主要技术与功能第四代防火墙的主要技术与功能 第四代防火墙本身就是一个操作系统，因而在安第四代防火墙本身就是一个操作系统，因而在安全性上较

43、之第三代防火墙有质的提高。获得安全操作全性上较之第三代防火墙有质的提高。获得安全操作系统的办法有两种：一种是通过许可证方式获得操作系统的办法有两种：一种是通过许可证方式获得操作系统的源码；另一种是通过固化操作系统内核来提高系统的源码；另一种是通过固化操作系统内核来提高可靠性。第四代防火墙产品将网关与安全系统合二为可靠性。第四代防火墙产品将网关与安全系统合二为一，具有以下技术与功能。一，具有以下技术与功能。防火墙技术的发展经历了基于路由器的防火墙、防火墙技术的发展经历了基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操

44、作系统的防火墙四个阶段。火墙、具有安全操作系统的防火墙四个阶段。1 1 双端口或三端口的结构双端口或三端口的结构 ：新一代防火墙产新一代防火墙产品具有两个或三个独立的网卡，内外两个网卡可不作品具有两个或三个独立的网卡，内外两个网卡可不作IPIP转化而串接于内部网与外部网之间，另一个网卡可转化而串接于内部网与外部网之间，另一个网卡可专用于对服务器的安全保护。专用于对服务器的安全保护。2 2 透明的访问方式透明的访问方式 ：第四代防火墙利用了透明的第四代防火墙利用了透明的代理系统技术，从而降低了系统登录固有的安全风险代理系统技术，从而降低了系统登录固有的安全风险和出错概率。和出错概率。3 3 灵活

45、的代理系统灵活的代理系统 ：第四代防火墙采用了两种代第四代防火墙采用了两种代理机制：一种用于代理从内部网络到外部网络的连接，理机制：一种用于代理从内部网络到外部网络的连接，采用网络地址转换（采用网络地址转换（NATNAT）技术来解决；另一种用于）技术来解决；另一种用于代理从外部网络到内部网络的连接，采用非保密的用代理从外部网络到内部网络的连接，采用非保密的用户定制代理或保密的代理系统技术来解决。户定制代理或保密的代理系统技术来解决。4 4 多级的过滤技术多级的过滤技术 ：第四代防火墙采用了三级过第四代防火墙采用了三级过滤措施，并辅以鉴别手段。滤措施，并辅以鉴别手段。在分组过滤一级，能过滤掉所有

46、的源路由分组和在分组过滤一级，能过滤掉所有的源路由分组和假冒的假冒的IPIP源地址；源地址；在应用网关一级，能利用在应用网关一级，能利用FTPFTP、SMTPSMTP等各种网等各种网关，控制和监测关，控制和监测InternetInternet提供的所有通用服务；提供的所有通用服务；在电路网关一级，实现内部主机与外部站点的透在电路网关一级，实现内部主机与外部站点的透明连接，并对服务的通行实行严格控制。明连接，并对服务的通行实行严格控制。5 5 网络地址转换技术网络地址转换技术 ：第四代防火墙利用第四代防火墙利用NATNAT技技术能透明地对所有内部地址作转换，使外部网络无法术能透明地对所有内部地址

47、作转换，使外部网络无法了解网络的内部结构，同时允许内部网络使用自编的了解网络的内部结构，同时允许内部网络使用自编的IPIP地址和专用网络，防火墙能详尽记录每一个主机的地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。通信，确保每个分组送往正确的地址。6 6 Internet Internet网关技术网关技术 ：由于是直接串联在网络之由于是直接串联在网络之中，第四代防火墙必须支持用户在中，第四代防火墙必须支持用户在InternetInternet互连的所有互连的所有服务，同时还要防止与服务，同时还要防止与InternetInternet服务有关的安全漏洞。服务有关的安

48、全漏洞。在域名服务方面，第四代防火墙采用两种独立的在域名服务方面，第四代防火墙采用两种独立的域名服务器：一种是内部域名服务器：一种是内部DNSDNS服务器，主要处理内部服务器，主要处理内部网络的网络的DNSDNS信息；另一种是外部信息；另一种是外部DNSDNS服务器，专门用服务器，专门用于处理机构内部向于处理机构内部向InternetInternet提供的部分提供的部分DNSDNS信息。信息。7 7 安全服务器网络（安全服务器网络（SSNSSN）：第四代防火墙采用第四代防火墙采用分别保护的策略保护对外服务器。它利用一张网卡将分别保护的策略保护对外服务器。它利用一张网卡将对外服务器作为一个独立网

49、络处理，对外服务器既是对外服务器作为一个独立网络处理，对外服务器既是内部网的一部分，又与内部网关完全隔离。这就是安内部网的一部分，又与内部网关完全隔离。这就是安全服务网络（全服务网络（SSNSSN）技术，对）技术，对SSNSSN上的主机既可单独上的主机既可单独管理，也可设置成通过管理，也可设置成通过FTPFTP、TelnetTelnet等方式从内部网等方式从内部网上管理。上管理。8 8 用户鉴别与加密用户鉴别与加密 ：为了降低在为了降低在TelnetTelnet、FTPFTP等等服务和远程管理上的风险，第四代防火墙采用一次性服务和远程管理上的风险，第四代防火墙采用一次性使用的口令字系统作为用户

50、的鉴别手段，并实现了对使用的口令字系统作为用户的鉴别手段，并实现了对邮件的加密。邮件的加密。9 9 用户定制服务用户定制服务 ：第四代防火墙在提供众多服务第四代防火墙在提供众多服务的同时，还为用户定制提供支持，这类选项有：通用的同时，还为用户定制提供支持，这类选项有：通用TCPTCP，出站，出站UDPUDP、FTPFTP、SMTPSMTP等类。如果某一用户等类。如果某一用户需要建立一个数据库的代理，便可利用这些支持，方需要建立一个数据库的代理，便可利用这些支持，方便设置。便设置。1010 第四代防火墙产品的审计和告警功能第四代防火墙产品的审计和告警功能 ：第第四代防火墙产品的审计和告警功能十分