信息安全管理 第5讲 网络安全技术(一)(防火墙、VPN等)(2007年10月29日).pptVIP

第5讲 网络安全技术（一） FW、VPN 1 引言 意义： 信息安全主要内容 信息安全管理重要技术保证 内容 网络安全技术 网络的攻与防 网络漏洞和补丁 范围： 认证机制：PKI 访问控制：FW、 保密通信： IPSec、SSL、SHTTP、SMIME 各种网络攻防技术 2 防火墙 基本概念 关键技术 体系结构 网络隔离 基本概念 防火墙概念 William Cheswick和Steve Beilovin（1994）：防火墙是放置在两个网络之间的一组组件，这组组件共同具有下列性质： 只允许本地安全策略授权的通信信息通过 双向通信信息必须通过防火墙 防火墙本身不会影响信息的流通 防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。 防火墙缺陷 使用不便，认为防火墙给人虚假的安全感 对用户不完全透明，可能带来传输延迟、瓶颈及单点失效 不能替代墙内的安全措施 不能防范恶意的知情者 不能防范不通过它的连接 不能防范全新的威胁 不能有效地防范数据驱动式的攻击 当使用端-端加密时，其作用会受到很大的限制 防火墙分类 软件防火墙、硬件防火墙 Windows、Linux防火墙 主机防火墙、网络防火墙 基于不同技术的防火墙 关键技术 数据包过滤 依据事先设定的过滤规则，对所接收的每个数据包做允许拒绝的决定。 数据包过滤优点： 速度快，性能高 对用户透明 数据包过滤缺点： 维护比较困难 需要对TCP/IP了解） 安全性低（IP欺骗等） 不提供有用的日志，或根本就不提供 不防范数据驱动型攻击 不能根据状态信息进行控制 不能处理网络层以上的信息 无法对网络上流动的信息提供全面的控制 NAT （Network Address Translation） 网络地址转就是在防火墙上装一个合法IP地址集，然后 当内部某一用户要访问Internet时，防火墙动态地从地址集中选一个未分配的地址分配给该用户； 同时，对于内部的某些服务器如Web服务器，网络地址转换器允许为其分配一个固定的合法地址。 地址翻译主要用在两个方面： 网络管理员希望隐藏内部网络的IP地址。这样互联网上的主机无法判断内部网络的情况。 内部网络的IP地址是无效的IP地址。 这种情况主要是因为现在的IP地址不够用，要申请到足够多的合法IP地址很难办到，因此需要翻译IP地址。 应用层代理 网关理解应用协议，可以实施更细粒度的访问控制 对每一类应用，都需要一个专门的代理 灵活性不够 电路级网关 拓扑结构同应用程序网关相同 接收客户端连接请求，代理客户端完成网络连接 在客户和服务器间中转数据 通用性强 体系结构 双宿主主机体系 双重宿主主机的特性： 安全至关重要（唯一通道），其用户口令控制安全是关键。 必须支持很多用户的访问（中转站），其性能非常重要。 缺点：双重宿主主机是隔开内外网络的唯一屏障，一旦它被入侵，内部网络便向入侵者敞开大门。 屏蔽主机体系 屏蔽主机体系结构由防火墙和内部网络的堡垒主机承担安全责任。一般这种防火墙较简单，可能就是简单的路由器。 典型构成：包过滤路由器＋堡垒主机。 包过滤路由器配置在内部网和外部网之间，保证外部系统对内部网络的操作只能经过堡垒主机。 堡垒主机配置在内部网络上，是外部网络主机连接到内部网络主机的桥梁，它需要拥有高等级的安全。 屏蔽子网体系 屏蔽子网体系结构在本质上与屏蔽主机体系结构一样，但添加了额外的一层保护体系——周边网络。堡垒主机位于周边网络上，周边网络和内部网络被内部路由器分开。 原因：堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机，能减少在堡垒主机被侵入的影响。 周边网络是一个防护层，在其上可放置一些信息服务器，它们是牺牲主机，可能会受到攻击，因此又被称为非军事区（DMZ）。 周边网络的作用：即使堡垒主机被入侵者控制，它仍可消除对内部网的侦听。例: netxray等的工作原理。 堡垒主机 堡垒主机位于周边网络，是整个防御体系的核心。 堡垒主机可被认为是应用层网关，可以运行各种代理服务程序。 对于出站服务不一定要求所有的服务经过堡垒主机代理，但对于入站服务应要求所有服务都通过堡垒主机。 网络隔离 物理隔离的指导思想与防火墙绝然不同：防火墙的思路是在保障互联互通的前提下，尽可能安全，而物理隔离的思路是在保证必须安全的前提下，尽可能互联互通。 一个典型的物理隔离方案（处于完全隔离状态） 一个典型的物理隔离方案（隔离设备处于与外网相连状态） 一个典型的物理隔离方案（隔离设备处于与内网相连状态） 物理隔离不足 物理隔离也存在许多弊端。例如，内网用户就无法使用丰富