8第八讲 访问控制与防火墙.ppt

* 设计或选择防火墙的原则 设计和选用防火墙首先要明确哪些数据是必须保护的，这些数据的被侵入会导致什么样的后果及网络不同区域需要什么等级的安全级别。不管采用原始设计还是使用现成的防火墙产品，对于防火墙的安全标准，首先需根据安全级别确定。其次，设计或选用防火墙必须与网络接口匹配，要防止你所能想到的威胁。防火墙可以是软件或硬件模块，并能集成于网桥、网关和路由器等设备之中。 五、防火墙的配置 * 防火墙自身的安全性 大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务上，但往往忽略一点，防火墙也是网络上的主机设备，也可能存在安全问题。防火墙如果不能确保自身安全，则防火墙的控制功能再强，也终究不能完全保护内部网络 五、防火墙的配置 吞吐量 延迟 并发连接数 平均无故障时间 防火墙的性能指标 五、防火墙的配置 * 主流防火墙产品 五、防火墙的配置 * 考虑特殊的需求 （1）虚拟企业网络（VPN） VPN可以在防火墙与防火墙或移动的Client间对所有网络传输的内容加密，建立一个虚拟通道，让两者间感觉是在同一个网络上，可以安全且不受拘束地互相存取。 （2）病毒扫描功能 大部分防火墙都可以与防病毒防火墙搭配实现病毒扫描功能。有的防火墙则可以直接集成病毒扫描功能，差别只是病毒扫描工作是由防火墙完成，或是由另一台专用的计算机完成。 （3）还有 双机热备 安全的远程管理 入侵监测的集成 五、防火墙相关技术 （4）分布式防火墙 分布式防火墙把Internet和内部网络都视为不可靠的，它们对每个用户、每台服务器都进行保护，如同边界防火墙对整个网络进行保护一样。 分布式防火墙是一种主机驻留式的安全系统，用以保护内部网络中的关键结点服务器、数据及工作站免受非法入侵的破坏。由于防火墙驻留在被保护的主机上，因此可以针对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略。 因为分布式防火墙可以分布在整个内部网络或服务器中，所以它具有无限制的扩展能力。 五、防火墙相关技术 * 分布式防火墙组成　 1．网络防火墙（Network Firewall）:它是用于内部网与外部网之间，以及内部网各子网之间的防护。 2.主机防火墙（Host Firewall）:是用于对网络中的服务器和桌面系统进行防护的。 3．中心管理（Central Management）:这是一个服务器软件，负责总体安全策略的策划、管理、分发及日志的汇总。 五、防火墙相关技术 * 分布式防火墙由中心管理定义策略，由分布在网络中的各个端点执行这些策略。它涉及到三个主要概念：可以被允许或被禁止连接的策略语言；系统管理工具；IP安全协议。 策略语言主要用于表达所需要的策略，标志内部主机。使用IP安全协议中的密码凭证对各主机进行标志。 系统管理工具用于将形成的策略文件分发给被防火墙保护的所有主机。 首先由制定防火墙接入控制策略的中心通过编译器将策略语言描述转换成内部格式，形成策略文件；然后中心管理采用系统管理工具把策略文件分发给各台“内部”主机；“内部”主机将从两方面来判定是否接受收到的包，一方面是根据IP安全协议，另一方面是根据服务器端的策略文件。 五、防火墙相关技术 * * VPN是指在公共网络中建立专用网，数据通过安全的“加密隧道”在公共网络中传播。目前热门的VPN是建立在共享的IP骨干网上的网络，被称为IP VPNs VPN的基本原理是通过对IP数据报的封装、加密及认证等手段，达到安全保证的目的。 它往往通过在防火墙上附加一个加密模块来实现 六、VPN VPN至少应该能提供如下功能。 （1）加密，加密IP地址和，以保证通过公网传输的信息即使被他人截获也不会泄漏。 （2）信息认证和身分认证，保证信息的完整性、合法性，并能鉴别用户的身份。 （3）提供访问控制，不同的用户有不同的访问权限。 六、VPN * VPN的工作过程 VPN工作过程可以简化为： （1）客户机向VPN服务器发出请求； （2）VPN服务器响应请求并向客户机发出身份质询，客户机将加密的用户身份验证响应信息发送到VPN服务器； （3）VPN服务器根据用户数据库检查该响应，如果账户有效，VPN服务器将检查该用户是否具有远程访问权限；如果该用户拥有远程访问的权限，VPN服务器接受此连接； （4）最后VPN服务器将在身份验证过程中产生的客户机和服务器共享密钥用于数据加密，然后通过VPN隧道技术进行封装、加密、传输到目的内部网络。 * VPN的应用环境 Branch Offices Trading Partners Mob