信息安全技术——分析报告.ppt

信息安全技术 ——访问控制与防火墙技术 提纲 访问控制技术 防火墙技术基础 防火墙安全设计策略 第四代防火墙的主要技术 防火墙发展的新方向 防火墙选择原则与常见产品 本章小结 什么是防火墙？ 防火墙 建筑学上的防火墙概念 由不燃烧材料构成，为减少或避免建筑、结构、设备遭受热辐射危害和防止火灾蔓延所设置的具有耐火性的墙 信息科学中的防火墙概念 一种将内部网和公众网络分开的方法，属于一种隔离技术，是在两个网络通信时执行的一种访问控制手段，允许用户“同意”的人和数据进入网络，同时将用户“不同意”的人和数据拒于门外，最大限度地阻止网络中的黑客来访问自己的网络，防止非法更改、复制和毁坏自己的重要信息。 防火墙的发展里程 防火墙的发展里程 基于路由器的防火墙； 用户化的防火墙工具套； 建立在通用操作系统上的防火墙； 具有安全操作系统的防火墙； 获得安全操作系统的途径 通过许可证方式获得操作系统源码； 通过固化操作系统内核来提高可靠性； 防火墙的优点 防火墙的优点 防火墙对企业内网实现了集中安全管理，可以强化网络安全策略，比分散的主机管理更经济易行； 防火墙能防止非授权用户进入内部网络； 可以作为部署网络地址转换NAT ( Network Address Translation)的地点，利用NAT技术可以缓解地址空间的短缺，隐藏内部网的结构； 利用防火墙对内部网络的划分，可以实现重点网段的分离，从而限制问题的扩散； 由于所有的访问都经过防火墙，防火墙是审记和记录网络的访问和使用的最佳地方； 防火墙的局限性 防火墙的局限性 限制有用的网络服务 防火墙为提高被保护网络的安全行，限制或关闭了许多有用但存在安全缺陷的网络服务； 无法防护来自网络内部的攻击 “外战内行，内战外行” Internet防火墙无法防范通过防火墙以外的其他途径的攻击 比如私自通过电话线上网 防火墙无法防范数据驱动型的攻击 不能防备新的网络安全问题 防火墙属于被动式防护手段，只能对已知的网络威胁起作用 防火墙的类型 防火墙的类型 数据包过滤路由器 代理服务器 应用层网关 电路层网关 数据包过滤路由器 数据包过滤路由器 在网络中适当的位置对数据包实施有选择的通过规则、选择依据等（即为系统内设置的过滤规则），只有满足过滤规则的数据包才被转发至相应的网络接口，其余数据包则被从数据流中删除。 控制站点与站点、站点与网络、网络与网络之间的相互访问，但不能控制传输的数据内容（因为内容是应用层数据，不是包过滤系统所能辨识）。 包过滤检查模块 包过滤检查模块 深入到系统的网络层和数据链路层之间 因为数据链路层是事实上的网卡（NIC），网络层是第一层协议堆栈，所以防火墙位于软件层次的最底层。 通过检查模块，防火墙能拦截和检查所有出站的数据。 防火墙检查模块的执行过程 防火墙检查模块的执行过程 防火墙检查模块首先验证这个包是否符合过滤规则，无论是否符合过滤规则，防火墙一般要记录数据包情况，不符合规则的包要进行报警或通知管理员。 对丢弃的数据包，防火墙可以给发送方一个消息，也可以不给(取决于包过滤策略)。 包检查模块能检查包中的所有信息，一般是网络层的IP头和传输层的头。 包过滤在本地接收数据包时，一般不保留上下文，只根据目前数据包的内容做决定。根据不同的防火墙的类型，包过滤可能在进入、输出时或这两个时刻都进行。可以拟定一个要接受的设备和服务的清单，一个不接受的设备和服务的清单，组成访问控制表。 设置步骤 设置步骤 制订一个安全策略，规定哪些是允许的，哪些是不允许的； 设定允许的包类型、包字段的逻辑表达； 用防火墙支持的语法重写表达式； 按地址过滤 按服务过滤 包过滤防火墙的优点 包过滤防火墙的优点 仅一个关键位置设置一个数据包过滤路由器，就可以保护整个网络，而且数据包过滤对用户是透明的。 对网络管理员和应用程序的透明度较高。网络管理员只需根据一张常用服务与协议(端口)的对应表，就可以方便地设置过滤规则，而无需了解具体的过滤技术细节。内部网络或者外部网络的服务也无需进行修改，就可以达到控制进出数据包的目的。 由于工作在较低的层面（网络层），多数的路由器都具有包过滤功能，网络管理员可以方便地在路由器中实现包过滤。实现容易，而且效率较高。 包过滤防火墙的不足 包过滤防火墙的不足 包过滤规则比较复杂，缺乏规则的正确性自动检测工具； 无法查出具有数据驱动攻击这类潜在危险数据包； 过滤规则的增加会导致分析计算量的增加，从而降低路由器的吞吐量，影响网络性能； 抗欺骗性能力不强 不能有效应对伪造IP地址的攻击 *包状态检查 包状态检查 与包过滤的对比 在包过滤中，检测只对单一的数据包进行； 包状态检查中，检测针对一定数量的数据包进行，这些数据包是在网络层拦截的，数量的多少取决于包状态检查模块有足够信息判定连接的