应用层闸道电路层闸道.pptVIP

密碼學與網路安全第20章 防火牆 簡介 企業、個人連上網際網路的需求大增 連上網際網路的安全防護需求亦大增 防火牆可作為保護內部網路的屏障： 降低來自網路的威脅 同時不影響內部對外的連線動作 所有由內到外，及由外到內的流量都必須經過防火牆 只有經過授權，流量才被允許通過 防火牆本身對侵入具有免疫力 防火牆的功能 服務監控 決定可以使用何種網路服務 方向監控 決定那個方向的特定服務請求可以通過 使用者監控 決定使用者是否能有存取權 行為監控 監控某個特定服務的使用狀況 防火牆本身就是一道關卡 防火牆是提供監測安全相關事件的地方 防火牆是個方便的平台 防火牆可以作為IPSec服務的平台 防火牆的限制 防火牆無法抵擋繞過防火牆的攻擊 防火牆對於來自內部的攻擊束手無策 防火牆無法防止已經中毒的檔案或程式的通過 封包過濾路由 具有過濾封包功能的路由器可以設定檢查規則，來檢驗IP封包以決定要放行或丟棄 這是任何防火牆系統的基礎 因此可以限制存取特定通訊埠 沒有符合規則的預設動作 Default = discard：禁止未經明文許可的封包，也就是丟棄封包 Default = forward：允許未經明文規定禁止的封包，也就是傳送封包 封包過濾路由 封包過濾路由 針對封包過濾路由器的攻擊及反制 偽造IP位址 冒充被信任的來源位址 反制：丟棄從外部進入但來源位址是內部主機的封包 來源路由攻擊 來源端可以指定封包行經網際網路的路由 反制：丟棄所有含有路由資訊的封包 極小封包攻擊 以IP封包切割欄位將封包分成許多極小片段的封包 反制：丟棄所有TCP協定且IP分段位移值為1的封包 狀態檢視型防火牆 傳統的封包過濾只會過濾個別的封包，並不會考慮任何上層協定的內容 狀態檢視型的防火牆會以建立外送TCP連線狀態表的方式，讓TCP連線規則變的嚴格 檢視每個IP封包內容： 記錄主從連線 檢查每個封包是否有效 能有效偵測偽造的封包 應用層閘道 應用層閘道也稱為代理伺服端，作用如同應用層的流量轉送 運作方式 用戶端向代理端要求服務 代理端確認要求合法 代理端執行服務並將結果傳回用戶端 每個服務都需要各自的代理端 有些服務原本就支援代理方式 有些則不然 自訂的服務通常不支援 應用層閘道 電路層閘道 電路層閘道是獨立的系統，但也可由應用層閘道操控，以過濾特定服務的資料 電路層閘道在兩端之間建立兩條TCP連線 一條是電路層閘道與內部主機 一條是電路層閘道與外部主機 以「檢查是否可以在兩主機間建立連線」來達成其安全要求 連線一旦建立，通訊資料都可以不經檢查就安全通過 常見的使用情況是內部的主機都是可信任的，因此可以將閘道設定成對內連線使用應用層服務或代理服務，而對外連線則利用電路層 SOCKS通訊協定是電路層閘道的實例 電路層閘道 防禦主機 防禦主機是防火牆管理員認定的網路安全關鍵環節 通常防禦主機會當成實作應用層閘道或電路層閘道的平台 防禦主機的硬體平台會執行安全的作業系統而成為可信任的系統 只有必要的服務，才會安裝在防禦主機 防禦主機可能需要額外的認證功能，用來審核使用者能否使用所委託的服務 每個委託的服務都設定成只支援標準服務的一部份 單防禦屏蔽主機防火牆架構 雙防禦屏蔽主機防火牆架構 子網路屏蔽防火牆架構 資料存取控制 讓系統得以識別使用者 決定使用者可以存取哪些資源 存取控制的設計模式是在檔案或資料庫建立權限表格： 對象：描述物件是否能被存取 物件：任何必須限制存取的資源均屬之 存取權限：使用對象所列的動作來處理物件 權限表格可以下列方式分解： 直行的存取控制清單 橫列的能力清單 存取控制結構 可信任系統 保護使用者訊息的目的是避免訊息遭到主動式或被動式的攻擊 從安全的角度來保護資料或資源，可以將資訊分成 普通（unclassified，U） 密（confidential，C） 機密（secret，S） 極機密（top secret，TS） 多層次安全系統必須確保下列事情： 不能讀取較高層級 不能寫入較低層級 存取監控器是在電腦硬體和作業系統中的控制元件，可以依照安全設定來管理操作者對物件的存取動作 存取監控器有權去存取安全核心資料庫的檔案，其中列舉了每個操作者的存取權限，以及每個物件的分類層級 存取監控器會強制執行前述兩條安全規則並具有下列特性： 完全監控：不論作何存取動作，都要用兩條規則檢驗 隔離：未經認證的使用者將被隔離於存取監控器、資料庫之外 可驗證：存取監控器的正確性必需經過證明 參照監控器 評估電腦系統 美國國防部於1981年在國家安全局成立電腦安全中心。目標是要促進可信任系統的發展 此目標的計畫核心在於評估商業產品是否達到標準的要求，然後根據產品提供的安全特性加以評等 此計畫的結果可作為防禦部門進行採購時的參考，而且也大量出版供民間使用 此