第5章访问控制与防火墙技巧.ppt

第5章 访问控制与防火墙 本章概要 课程目标 5.1 网络防火墙的基本概念 防火墙的主要技术 应用层代理技术 (Application Proxy) 包过滤技术 (Packet Filtering) 状态包过滤技术 (Stateful Packet Filtering) 5.2.1 包过滤技术 包过滤技术的基本概念 包过滤技术是一种简单、有效的安全控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。 包过滤技术 包过滤技术是防火墙最常用的技术。对一个充满危险的网络，这种方法可以阻塞某些主机或网络连入内部网络，也可以限制内部人员对一些危险和色情站点的访问。 包过滤的优点和不足 只能阻止一种类型的地址欺骗，即外部主机伪装内部主机的IP，而对外部主机伪装其他外部主机的IP却不能阻止，另外不能防止DNS欺骗； 如果外部用户被允许访问内部主机，则他就可以直接访问内部网络上的任何主机。 5.2.2状态包检测技术 b.高效性：一方面，通过防火墙的数据包都在协议栈的较低层处理，减少了高层协议栈的开销；另一方面，由于不需要对每个数据包进行规则检查，从而使得性能得到了较大提高。 C.可伸缩和易扩展：由于状态表是动态的，当有一个新的应用时，它能动态的产生新的规则，而无需另外写代码，因而具有很好的可伸缩和易扩展。 d.应用范围广：不仅支持基于TCP的应用，而且支持基于无连接协议的应用。 5.2.3 代理服务技术 1.代理服务技术的优点 a.代理放火墙的最大好处是透明性。对用户来说，代理服务器提供了一个“用户正在与目标服务器直接打交道”的假象；对目标服务器来说，代理服务器提供了一个“目标服务器正在与用户的主机系统直接打交道”的假象。 b.由于代理机制完全阻断了内部网络与外部网络的直接联系，保证了内部网络拓扑结构等重要信息被限制在代理网关内侧，不会外泄，从而减少了黑客攻击时所需的必要信息。 c.通过代理访问Internet可以隐藏真实IP地址，同时解决合法IP地址不够用的问题。因为Internet见到的只是代理服务器的地址，内部不合法的IP地址可以通过代理访问Internet。 d.用于应用层的过滤规则相对于包过滤路由器来说更容易配置和测试。 e.应用层网关有能力支持可靠的拥护认证并提供详细的注册信息。代理工作在客户机和真实服务器之间，可提供很详细的日志和安全审计功能。 2.代理服务技术的不足 a.有限的连接：某种代理服务器只能用于某种特定的服务，如FTP服务器提供FTP服务，Telnet服务器提供Telnet服务，所能提供的服务和可伸缩性是有限的。所以代理服务器主要应用于安防要求较高但网络流量不太大的环境。 b.有限的技术：代理服务器不能为RPC、Talk和其他一些基于通用协议簇的服务提供代理。 c.有限的性能：处理性能远不及状态包检测技术高。 d.有限的应用：代理服务器的应用也受到诸多限制。首先是当一项新的应用加入时，如果代理服务程序不予支持，则此应用不能使用。解决的方法之一是自行编制特定服务的代理服务程序，但工作量大，而且技术水平要求很高。 5.3 防火墙的功能 具有审计作用 防火墙能有效地记录Internet网的活动，因为所有传输的信息都必须穿过防火墙，防火墙能帮助记录有关内部网和外部网的互访信息和入侵者的任何企图。 能强制安全策略 Internt网上的许多服务是不安全的，防火墙是这些服务的“交通警察”，它执行站点的安全策略，仅仅允许“认可”和符合规则的服务通过。 此外，防火墙还具有其他一些优点，如： 监视网络的安全并产生报警； 保密性好，强化私有权； 提供加密和解密及便于网络实施密钥管理的能力。 5.4防火墙的不足 防火墙不能防备内部人员的攻击 目前防火墙只提供对外部网络用户攻击的防护，对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性。所以，如果入侵者来自防火墙的内部，防火墙则无能为力。 限制有用的网络服务 防火墙为了提高被保护网络的安全性，限制或关闭了很多有用但存在安全缺陷的网络服务。由于多数网络服务在设计