信息安全技术—第8讲.ppt

信息安全技术 ——访问控制与防火墙技术 提纲 访问控制技术 防火墙技术基础 防火墙安全设计策略 防火墙攻击策略 第四代防火墙的主要技术 防火墙发展的新方向 防火墙选择原则与常见产品 本章小结 防火墙的发展里程 防火墙的发展里程 基于路由器的防火墙； 用户化的防火墙工具套； 建立在通用操作系统上的防火墙； 具有安全操作系统的防火墙； 获得安全操作系统的途径 通过许可证方式获得操作系统源码； 通过固化操作系统内核来提高可靠性； 第4代防火墙的技术与功能(1/10) 双端口或三端口的结构 具有两个或三个独立网卡 内外两个网卡可以不做IP转换而串接于内部网与外部网之间 另一个网卡可专用于对服务器的安全保护。 第4代防火墙的技术与功能(2/10) 透明的访问方式 以前的防火墙在访问方式上要么要求用户做系统登录，要么需要修改客户机的应用。 第4代防火墙利用了透明的代理系统技术，从而降低了系统登录固有的安全风险和出错概率。 第4代防火墙的技术与功能(3/10) 灵活的代理系统 代理系统 一种将信息从防火墙的一侧传送到另一侧的软件模块。 第4代防火墙采用了两种代理机制： 用于代理从内部网络到外部网络的连接 采用网络地址变换NAT技术来解决 用于代理从外部网络到内部网络的连接 利用非必威体育官网网址的用户定制代理或必威体育官网网址的代理系统技术来解决 第4代防火墙的技术与功能(4/10) 多级的过滤技术 为保证系统的安全性和防护水平 ，第4代防火墙采用了3级过滤措施，并辅以鉴别手段。 3级过滤措施 在分组过滤一级 能过滤掉所有的源路由分组和假冒的IP源地址； 在应用网关一级 能利用FTP、SMTP等各种网关，控制和监测Internet提供的所有通用服务； 在电路网关一级 实现内部主机与外部站点的透明连接，并对服务的通行实行严格控制。 第4代防火墙的技术与功能(5/10) 网络地址转换技术NAT 第4代防火墙利用NAT技术能透明地对所有内部地址进行转换，使外部网络无法了解网络的内部结构，同时允许内部网络使用自编的IP地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。 第4代防火墙的技术与功能(6/10) Internet网关技术 由于是直接串联在网络之中，第4代防火墙必须支持用户在Internet互联的所有服务，同时还有防止与Internet服务有关的安全漏洞。所以它需要能以多种安全的应用服务器的安全性，对所有的文件和命令都要利用“改变根系统调用”做物理上的隔离。 第4代防火墙采用两种独立的域名服务器： 内部DNS服务器 主要处理内部网络的DNS信息； 外部DNS服务器 专门用于处理机构内部向Internet提供的部分DNS信息。 第4代防火墙的技术与功能(7/10) 安全服务网络SSN 第4代防火墙采用分别保护的策略保护对外服务器以适应用户向Internet上提供服务时对服务器保护的需要 它利用一张网卡将对外服务器作为一个独立网络处理，对外服务器既是内部网的一部分，又与内部网完全隔离。这就是安全服务网络技术SSN 对SSN上的主机，既可以单独管理，也可以设置成通过FTP、Telnet等方式从内部网上管理。 SSN的方法提供的安全性优于传统的隔离区DMZ方法 因为SSN与外部网之间有防火墙保护，SSN与内部网之间也有防火墙保护，一旦SSN遭到破坏，内部网络仍可以处于防火墙的保护之下。 有关SSN和DMZ的联系请参看文献“防火墙中DMZ与SSN的异同” 可以从“…/网络信息安全/参考资料/”处下载 第4代防火墙的技术与功能(8/10) 用户鉴别与加密 为了降低在Telnet、FTP等服务和远程管理上的风险，第4代防火墙采用一次性使用的口令系统作为用户的鉴别手段，并实现了对邮件的加密。 第4代防火墙的技术与功能(9/10) 用户定制服务 第4代防火墙在提供众多服务的同时，还为用户定制提供支持，这类选项有： 通用TCP，出站UDP、FTP、SMTP等类。 第4代防火墙的技术与功能(10/10) 审计和告警功能 审计功能 第4代防火墙产品的日志文件包括： 一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接请求、已鉴别的访问、告警条件、管理日志、进站代理、出站代理、邮件服务器、域名服务器等。 告警功能 监控每一个TCP或UDP探询，并能以发出邮件、声响等多种方式报警。 第4代防火墙技术的实现方法 第4代防火墙关键技术的实现 安全内核 代理系统 多级过滤 安全服务器 鉴别与加密 安全内核的实现 安全内核的实现 第4代防火墙是建立在安全操作系统之上的，安全的操作系统来自对专用操作系统的安全加固和改进，从现有的产品来看，对安全操作系统内核的固化与改造主要从以下几个方面进行： 取消危险的系统调用； 限制命令的执行权限； 取消