网络安全访问控制及防火墙技术.pptVIP

网络安全技术 学习目的： 了解访问控制技术的基本概念 熟悉防火墙技术基础 初步掌握防火墙安全设计策略 了解防火墙攻击策略 了解第四代防火墙的主要技术 了解防火墙发展的新方向 了解防火墙选择原则与常见产品 学习重点： Windows NT/2K安全访问控制手段 防火墙安全设计策略 防火墙攻击策略 防火墙选择原则 3．1  访问控制技术 3．1．1 访问控制技术概述 3．1．2 访问控制策略 3．3  防火墙安全 设计策略 3．3．1 防火墙体系结构 1． 屏蔽路由器(ScreeningRouter) 屏蔽路由器可以由厂家专门生产的路由器实现，也可以用主机来实现。屏蔽路由器作为内外连接的惟一通道，要求所有的报文都必须在此通过检查。路由器上可以安装基于IP层的报文过滤软件，实现报文过滤功能。 2． 双穴主机网关(DualHomedGateway) 穴主机网关是用一台装有两块网卡的堡垒主机的做防火墙。两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件，可以转发应用程序，提供服务等。 3． 被屏蔽主机网关(ScreenedGatewy) 屏蔽主机网关易于实现也最为安全。 网关的基本控制策略由安装在上面的软件决定。 4． 屏蔽子网(ScreenedSubnet) 屏蔽子网就是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。 这种配置的危险仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。 3．3．2 网络服务访问权限策略 安全策略分为两个层次：网络服务访问策略和防火墙设计策略。 网络服务访问策略是一种高层次的、具体到事件的策略，主要用于定义在网络中允许的或禁止的网络服务，而且还包括对拨号访问以及SLIP／PPP联接的限制。 网络服务访问策略不但应该是一个站点安全策略的延伸，而且对于机构内部资源的保护也应起到全局的作用。 通常，一个防火墙执行两个通用网络服务访问策略中的一个：允许从内部站点访问Internet而不允许从Internet访问内部站点；只允许从Internet访问特定的系统，如信息服务器和电子邮件服务器。 比如，在最高层，某个组织机构的总体策略： (1) 内部信息对于一个组织的经济繁荣是至关重要的； (2) 应使用各种经济实惠的办法来保证我们的信息的机密性、完整性、真实性、和可用性； (3) 保护数据信息的机密性、完整性和可用性是高于一切的，是不同层次的员工的责任； (4) 所有信息处理的设备将被用于经过授权的任务。 因此，在这个普遍原则之下是与具体事情相关的政策，如公司财物的使用规定、信息系统的使用规定，防火墙的网络服务访问政策就是在这一个层次上。 防火墙的设计策略是具体地针对防火墙，制定相应的规章制度来实施网络服务访问策略。在制定这种策略之前，必须了解这种防火墙的性能以及缺点、TCP／IP本身所具有的易受攻击性和危险性。 两种基本设计策略： 第一种，除非明确不允许，否则允许某种服务。执行第一种策略的防火墙在默认情况下允许所有的服务，除非管理员对某种服务明确表示禁止。 3．3．3 防火墙设计策略及要求 第二种，除非明确允许，否则将禁止某种服务。执行第二种策略的防火墙在默认情况下禁止所有的服务，除非管理员对某种服务明确表示允许。 总之，防火墙好坏取决于安全性和灵活性的要求，所以在实施防火墙之前，考虑一下策略是至关重要的。如果不这样做，会导致防火墙不能达到要求。 3．3．4 防火墙与加密机制 现在的防火墙则逐渐集成了信息安全技术中的最新研究成果，一般都具有加密、解密和压缩、解压等功能，这些技术加强了信息在互联网上的安全性。 加密技术实际上是一种对要经由公共网络传送的信息进行编码的方法，它是确保数据安全的最有效方法。防火墙能够将授权用户的数据进行加密并使这个信息穿过防火墙而进入公共网络。保护接收网络的防火墙然后能够检查信息，对其进行解码，并将其发送到正确的授权用户手中。通过使用加密技术，大多数防火墙现在能够用作VPN的网关，在有些时候通过对在互联网上的端对端通讯信息进行保护还可作为VPN服务器。 3．4  防火墙攻 击策略 从黑客攻击防火墙的过程上看，防火墙攻击策略大概可以分为三类： 3．4．1 扫描防火墙策略 扫描防火墙策略的方法是探测在目标网络上安装的是何种防火墙系统并且找