第7章PPT防火墙.ppt

计算机网络安全;第7章 防火墙;防火墙概述;如果不与操作系统的安全访问机制相结合，个人防火墙的功能相对简单； 有状态检查防火墙的功能已经涵盖电路层网关和应用层网关的功能，但对终端用户是透明的。;电路层网关对运输层连接进行监测和控制，包括连接发起者的身份认证、经过连接传输的TCP报文的合理性等； 应用层网关对特定应用相关的消息交换过程实施监测控制和，包括请求、响应过程，请求、响应报文中各字段的正确性，传输内容的合理性和合法性等。;7.2 分组过滤器;源IP地址＝192.1.1.0/24;源IP地址=193.1.1.0/24 .and. 目的IP地址=193.1.2.5/32 .and. 目的端口号=23，对和规则匹配的IP分组采取的动作是：拒绝传输 。;防火墙－动态分组过滤;防火墙－动态分组检测;防火墙－动态分组检测;防火墙－动态分组检测;防火墙－防拒绝服务攻击;防火墙－防拒绝服务攻击;7.3 堡垒主机;网络结构;双穴指堡垒主机用一个接口连接内部网络，用另一个接口连接无状态分组过滤器，并通过无状态分组过滤器连接外部网络； 这种网络结构保证外部网络必须通过堡垒主机才能访问内部网络资源。;这种结构一是保证外部网络终端必须通过堡垒主机才能实现对内部网络资源的访问； 将内部网络根据安全等级划分为不同的网段，控制堡垒主机对重要内部网络资源的访问。;堡垒主机的工作机制;堡垒主机自身安全性必须得到保证； 由于堡垒主机是代理形式的应用层网关，所支持的应用层服务应该能够动态增删； 堡垒主机具备认证用户身份的能力，因此，或者自身由注册信息库，或者能够访问到注册信息库； 堡垒主机必须能够为不同的用户设置不同的访问权限； 堡垒主机必须能够详细记录外网终端访问内部网络资源的过程。;7.4 统一访问控制;系统结构;实现原理;安全控制器建立安全策略库，基于用户设置访问权限； 防火墙访问控制策略基于网络地址确定终端的访问权限； 根据对用户身份的认证结果和终端的安全状态确定用户终端的访问权限； 将接入用户终端的交换机端口配置到对应的VLAN，防火墙访问控制策略对应该VLAN的网络地址的访问权限恰好是安全控制器确定的用户终端具有的访问权限，以此完成基于用户和动态访问控制策略设置。 ;实现基于用户和动态设置访问权限的关键一是认证用户身份、获知终端安全状态。二是将连接用户终端的交换机端口动态配置为和用户访问权限一致的VLAN； 安全控制器需要与交换机和用户终端交换信息，802.1X及RADIUS恰好实现用户终端、交换机和安全控制器三者之间的通信问题，和交换机的动态配置问题； 这里，防火墙的访问控制策略是静态的，因此，安全控制器不需要动态配置防火墙的访问控制策略。;应用实例;应用实例;应用实例