计算机网络安全课件(沈鑫剡)第7章.ppt

计算机网络安全 第七章 第7章 防火墙 防火墙概述； 分组过滤器； 堡垒主机； 统一访问控制。 防火墙是一种对不同网络之间信息传输过程实施监测和控制的设备，尤其适用于内部网络和外部网络之间的连接处。 防火墙概述 防火墙功能 服务控制 　不同网络间只允许传输与特定服务相关的信息流。 方向控制 　不同网络间只允许传输与由特定网络中终端发起的会话相关的信息流。 用户控制 　不同网络间只允许传输与授权用户合法访问网络资源相关的信息流。 行为控制 　不同网络间只允许传输与行为合理的网络资源访问过程相关的信息流。 防火墙概述 如果不与操作系统的安全访问机制相结合，个人防火墙的功能相对简单； 有状态检查防火墙的功能已经涵盖电路层网关和应用层网关的功能，但对终端用户是透明的。 防火墙概述 电路层网关对运输层连接进行监测和控制，包括连接发起者的身份认证、经过连接传输的TCP报文的合理性等； 应用层网关对特定应用相关的消息交换过程实施监测控制和，包括请求、响应过程，请求、响应报文中各字段的正确性，传输内容的合理性和合法性等。 7.2 分组过滤器 无状态分组过滤器； 有状态分组过滤器。 分组过滤器根据规则鉴别出一组多个字段值等于设定值的IP分组，并对其进行规定操作。这些字段值可以是IP分组首部字段值，可以是运输层首部字段值（电路层网关功能），也可以是应用层消息的各个字段值（应用层网关的功能）。有状态和无状态的区别在于无状态逐个IP分组单独处理，有状态是基于会话，对属于相同会话的一组IP分组进行联合处理，会话可以是TCP连接，也可以是应用层请求、响应过程。因此，有状态分组过滤器的功能涵盖了电路层和应用层网关的大部分功能，但分组过滤器对终端用户是透明的。 一、分组过滤 一、分组过滤 要求LAN 1中终端不能通过TELNET访问LAN 2中服务器。 防火墙－动态分组过滤 防火墙－动态分组检测 防火墙－动态分组检测 防火墙－动态分组检测 防火墙－防拒绝服务攻击 防火墙－防拒绝服务攻击 7.3 堡垒主机 网络结构； 堡垒主机工作机制； 堡垒主机功能特性。 堡垒主机是代理形式的应用层网关，由它屏蔽内部网络资源，外部网络终端只能与堡垒主机建立TCP连接，相互交换信息，堡垒主机的安全功能非常强大，不容易被黑客攻陷，外部网络终端须经堡垒主机访问内部网络资源，因此，只要保证了堡垒主机的安全性，即可保证内部网络资源的安全性。 网络结构 单穴指堡垒主机只有一个接口连接内部网络； 堡垒主机的安全性基于外部网络终端必须通过堡垒主机实现对内部网络资源的访问； 单穴堡垒主机把外部网络终端通过堡垒主机实现对内部网络资源的访问的保证完全基于无状态分组过滤器的传输控制功能。 网络结构 双穴指堡垒主机用一个接口连接内部网络，用另一个接口连接无状态分组过滤器，并通过无状态分组过滤器连接外部网络； 这种网络结构保证外部网络必须通过堡垒主机才能访问内部网络资源。 网络结构 这种结构一是保证外部网络终端必须通过堡垒主机才能实现对内部网络资源的访问； 将内部网络根据安全等级划分为不同的网段，控制堡垒主机对重要内部网络资源的访问。 堡垒主机的工作机制 无状态分组过滤器保证外网终端只能与堡垒主机通信； 外网终端和堡垒主机建立TCP连接后，由堡垒主机完成对外网终端的身份认证和访问权限鉴别； 如果访问权限满足外网终端提出的资源访问要求，和Web服务器建立TCP连接； 堡垒主机一直监测外网终端和Web服务器之间的请求、响应过程和传输内容。 堡垒主机的功能特性 堡垒主机自身安全性必须得到保证； 由于堡垒主机是代理形式的应用层网关，所支持的应用层服务应该能够动态增删； 堡垒主机具备认证用户身份的能力，因此，或者自身由注册信息库，或者能够访问到注册信息库； 堡垒主机必须能够为不同的用户设置不同的访问权限； 堡垒主机必须能够详细记录外网终端访问内部网络资源的过程。 7.4 统一访问控制 系统结构； 实现原理； 应用实例。 防火墙访问控制策略能够控制属于不同网络的终端间的信息交换过程，但这种控制一是基于终端（由IP地址标识），二是静态，终端用户改变，或是终端安全状态改变不会改变防火墙的安全访问控制策略，但实际应用过程中，同一终端，当不同用户使用时，访问权限应该是不同的（访问控制策略基于用户），二是终端状态，尤其安全状态发生改变时，如检测到感染病毒，或是遭受黑客攻击，其访问权限应该随之改变（防火墙访问控制策略是动态的），统一访问控制（UAC）就是用于实现基于用户、动态设置访问控制策略的机制。 系统结构 系统结构 实现原理 UAC系统配置 实现原理 安全控制器建立安全策略库，基于用户设置访问权限； 防火墙访问控制策略基于网络地址确定终端的访问权限； 根据对用户身份的认证结果和终端的安全状态确定用户终端的访问权限； 将