第五章 网络访问控制.ppt

第5章 网络访问控制 5.1 概述 什么是防火墙 是一种访问控制技术 是放置在两个网络之间的一组组件 是位于两个信任度不同的网络之间的软件或硬件设备的组合。 防火墙通过一组设备介入被保护对象和外部网络系统之间，对发生在被保护者和外部网络系统之间的网络通信进行有选择的限制，实现对被保护者的保护。 物理隔离的指导思想：在保证必须安全的前提下尽可能互联互通 防火墙的访问控制手段 服务控制 方向控制 用户控制 行为控制 防火墙的缺陷 限制有用的网络服务 无法保护内部网络用户的攻击 无法防范通过防火墙以为的其他途径的攻击 无法完全防止传送已感染病毒的软件 无法防范数据驱动型攻击 防火墙设计目标 内外网络之间传输的数据必须经过防火墙 只有安全策略允许的数据才能通过防火墙 防火墙本身不受攻击影响 防火墙的姿态 拒绝没有特别允许的 允许没有特别拒绝的 防火墙的整体安全策略 作为总体安全策略的一部分，应避免攻击者绕过防火墙 防火墙的费用 防火墙的分类 依据防火墙体系结构分 包过滤防火墙 双宿网关 根据使用的技术 包过滤防火墙 应用层代理 电路级网关 NAT防火墙 状态检查防火墙 防火墙的分类 按组成防火墙的组件不同分 软件防火墙 硬件防火墙 根据实现平台分 基于Windows平台 基于Linux平台 根据保护对象分 主机防火墙 网络防火墙 5.2 防火墙技术 包过滤防火墙 数据包过滤 一般要检查网络层的IP头和传输层的头： IP源地址 IP目标地址 协议类型（TCP包、UDP包和ICMP包） TCP或UDP包的目的端口 TCP或UDP包的源端口 ICMP消息类型 TCP包头的ACK位 包过滤防火墙 优点 处理包的速度快 基本不需要额外的费用就可以实现包过滤 防火墙对用户透明 包过滤防火墙 缺点 定义过滤器、维护较困难 只能阻止外部主机伪装成内部主机的IP地址 直接经过路由器的数据包有可能被利用作数据驱动式攻击 不支持有效的用户认证 不能提供日志 过滤器数量增加会导致性能下降 无法对网络中的信息进行全面的控制 状态检测技术 在包过滤的同时，检查数据包之间的关联性、数据包中动态变化的状态码。 综合了多种防火墙功能，检查OSI七层信息。 应用层代理 代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。 将所有跨越防火墙的网络通信链路分为两段，不允许通信直接经过外部网和内部网。 外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。 应用层代理 应用层代理 应用层代理 使得网络管理员能够实现比包过滤路由器更严格的安全策略。 不用依赖包过滤工具来管理Internet服务在防火墙系统中的进出，而是采用为每种所需服务而安装在网关上特殊代码（代理服务）的方式来管理Internet服务。 如果网络管理员没有为某种应用安装代理编码，那么该项服务就不被支持并不能通过防火墙系统来转发。 代理可以配置成只支持网络管理员认为必须的部分功能。 应用层代理 应用层代理的一些实现 商业版防火墙产品 商业版代理(cache)服务器 Open Source TIS FWTK(Firewall Toolkit) Apache Squid 地址翻译技术NAT 目的 解决IP地址空间不足问题 向外界隐藏内部网结构 方式 M-1：多个内部网地址翻译到1个IP地址 1-1：简单的地址翻译 M-N：多个内部网地址翻译到N个IP地址池 地址翻译技术NAT 地址翻译技术NAT 地址翻译技术NAT 配置共享IP地址 当需要允许内部用户访问Internet，但又没有足够的合法IP地址时，可以使用NAT配置共享IP地址。 配置在Internet上发布的服务器 当需要将内部设备发布到Internet上时，可以使用配置在Internet上发布的服务器的NAT转换方式。 地址翻译技术NAT 配置端口映射 假设在Internet上发布一台在内部网络的Web服务器，服务器配置成监听8080端口，则需要把外部网络对Web服务器80端口的访问请求重定向。 配置TCP传输 TCP传输负载共享是与地址匮乏无关的问题，它将数个设备的地址映射成一个虚拟设备的地址，从而实现设备间的负载均衡。 5.3 防火墙体系 双宿网关防火墙 拥有两个连接到不同网络的接口 阻止IP层通信 两个网络通过应用层数据共享或应用代理服务来完成 双宿网关防火墙 两种服务方式 用户直接登录到双重宿主机上 在双重宿主机上运行代理服务器 屏蔽主机防火墙 典型构成 包过滤路由器＋堡垒主机 包过滤路由器配置在内部网和外部网之间 堡垒主机配置在内部网络上 堡垒主机 是一种被强化的可以防御进攻的计算机 是网络中最容易受到侵害的主机 经常配置网关服务 屏蔽子网防火墙 两个包过滤路由器+一个堡垒主机。 DMZ区域 是存在