第5章访问控制与防火墙(免费阅读).pptVIP

第5章 访问控制与防火墙 本章概要 课程目标 5.1 网络防火墙的基本概念 5.1 网络防火墙的基本概念 防火墙设计目标: 内部和外部之间的所有网络数据流必须经过防火墙； 只有符合安全政策的数据流才能通过防火墙； 防火墙自身能抗攻击； 防火墙 = 硬件 + 软件 + 控制策略 防火墙的发展过程 第一代防火墙：1983年第一代防火墙技术出现，它几乎是与路由器同时问世的。它采用了包过滤（Packet filter）技术，可称为简单包过滤（静态包过滤）防火墙。 第二代防火墙：1991年，贝尔实验室提出了第二代防火墙——应用型防火墙（代理防火墙）的初步结构。 防火墙的发展过程 第三代防火墙：1992年，USC信息科学院开发出了基于动态包过滤（Dynamic packet filter）技术的第三代防火墙，后来演变为目前所说的状态检测（Stateful inspection）防火墙。1994年，以色列的CheckPoint公司开发出了第一个采用状态检测技术的商业化产品。 防火墙的发展过程 第四代防火墙：1998年，NAI公司推出了一种自适应代理（Adaptive proxy）防火墙技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理服务器防火墙赋予了全新的意义。 防火墙的主要技术 应用层代理技术 (Application Proxy) 包过滤技术 (Packet Filtering) 状态包过滤技术 (Stateful Packet Filtering) 5.2.1 包过滤技术 5.2.1 包过滤技术 安全缺省策略 一切未被禁止的就是允许的 管理员必须针对每一种新出现的攻击，制定新的规则 需要确定那些被认为是不安全的服务，禁止其访问；而其他服务则被认为是安全的，允许访问。这种方法构成了一种更为灵活的应用环境，可以为用户提供更多的服务，其缺点在于很难提供可靠的安全防护。 一切未被允许的就是禁止的 比较保守 根据需要，逐渐开放 需要确定所有可以被提供的服务以及它们的安全性，然后，开放这些服务，并将所有其他未被列入的服务排除在外，禁止访问。优点是可以造成一种十分安全的环境，其缺点在于用户所能使用的服务范围受到很大限制。 包过滤技术 包过滤技术是一种简单、有效的安全控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。 包过滤技术 包过滤技术是防火墙最常用的技术。对一个充满危险的网络，这种方法可以阻塞某些主机或网络连入内部网络，也可以限制内部人员对一些危险和色情站点的访问。 包过滤技术 在网络层上进行监测 并没有考虑连接状态信息 通常在路由器上实现 实际上是一种网络层的访问控制机制 包过滤的优点和不足 包过滤的优点和不足 只能阻止一种类型的地址欺骗，即外部主机伪装内部主机的IP，而对外部主机伪装其他外部主机的IP却不能阻止，另外不能防止DNS欺骗； 如果外部用户被允许访问内部主机，则他就可以直接访问内部网络上的任何主机。 5.2.2状态包检测技术 5.2.2状态包检测技术 b.高效性：一方面，通过防火墙的数据包都在协议栈的较低层处理，减少了高层协议栈的开销；另一方面，由于不需要对每个数据包进行规则检查，从而使得性能得到了较大提高。 C.可伸缩和易扩展：由于状态表是动态的，当有一个新的应用时，它能动态的产生新的规则，而无需另外写代码，因而具有很好的可伸缩和易扩展。 d.应用范围广：不仅支持基于TCP的应用，而且支持基于无连接协议的应用。 5.2.3 代理服务技术 5.2.3 代理服务技术 1.代理服务技术的优点 a.代理放火墙的最大好处是透明性。对用户来说，代理服务器提供了一个“用户正在与目标服务器直接打交道”的假象；对目标服务器来说，代理服务器提供了一个“目标服务器正在与用户的主机系统直接打交道”的假象。 b.由于代理机制完全阻断了内部网络与外部网络的直接联系，保证了内部网络拓扑结构等重要信息被限制在代理网关内侧，不会外泄，从而减少了黑客攻击时所需的必要信息。 5.2.3 代理服务技术 c.通过代理访问Internet可以隐藏真实IP地址，同时解决合法IP地址不够用的问题。因为Internet见到的只是代理服务器的地址，内部不合法的IP地址可以通过代理访问Internet。 d.用于应用层的过滤规则相对于包