第08章 网络安全技术.ppt

第08章 网络安全技术 主要内容 防火墙技术 防火墙在网络中的位置 防火墙的拓扑结构（1） 防火墙的拓扑结构（2） 防火墙的拓扑结构（3） 防火墙的分类 网络防火墙位置模型 包过滤防火墙 包过滤防火墙的工作原理 基于包过滤的防火墙设计 IP包过滤是通过路由的分组过滤，把通过的包信息头部的内容与设定于路由的存取控制规则进行比较，进行交通存取控制，实现网络层数据包控制。 过滤的项目（数据包过滤要考虑的信息） IP地址（源地址、目的地址） 端口号（源端口、目的端口） 协议号（TCP、UDP、ICMP） 连接状态、 IP包文的标志位 其中：控制访问内部网络的客户范围：IP地址 控制访问内部的网络提供的服务的种类：端口号/协议号 发现攻击者的扫描企图、攻击企图：标志位 防火墙的规则动作 有以下几种类型： 通过（accept） 允许IP包通过防火墙传输。 放弃（deny） 不允许IP包通过防火墙传输，但仅仅丢弃，不做任何响应。 拒绝（reject） 不允许IP包通过防火墙传输，并向源端发送目的主机不可达的ICMP报文。 返回（return） 没有发现匹配的规则，省缺动作。 规则举例（包过滤） 只允许Telnet出站的服务 包过滤技术的特点 优点： 一个过滤路由器能协助保护整个网络 数据包过滤对用户透明,不需要登录及口令 过滤路由器速度快、效率高 缺点： 没有用户的使用记录，不能发现黑客的记录 不能在用户级别上进行过滤，即不能鉴别不同的用户和防止IP地址盗用 可以阻止外部对私有网络的访问，却不能记录内部的访问 代理服务器型防火墙 基于应用代理的防火墙可以在网络应用层提供授权检查及代理服务 优点：为内网用户提供更好的安全性 —对访问内部网络的用户进行鉴别（必须先在防火墙上经过身份认证） —对访问内部网络的的资源进行控制 —对访问行为进行审计 —阻止恶意攻击者的攻击 缺点： 对用户不透明 必须为每个应用网关写专门的程序 代理服务器防火墙的工作原理 电路级网关 电路级网关是另一种类型的代理技术。在电路级网关中，包被提交用户应用层处理。电路级网关用来在两个通信的终点之间转换包 。 电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session) 是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高两层。 它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“ 链接”，由两个终止代理服务器上的“ 链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用，并隐藏了内部地址，提高了安全性 电路层网关型防火墙 双宿主主机结构防火墙 核心是具有双宿主功能的主机。 至少有两个网络接口，充当路由器。 不允许两网之间的直接发送功能。 仅仅能通过代理，或让用户直接登陆到双宿主主机来提供服务。 问题： 用户账号本身会带来明显的安全问题，会允许某种不安全的服务；通过登陆来使用因特网太麻烦。 双宿主主机结构防火墙 屏蔽主机防火墙 主要的安全机制由屏蔽路由器来提供。 堡垒主机位于内部网络上，是外部能访问的惟一的内部网络主机。 堡垒主机需要保持更高的安全等级。 问题： 如果路由器被破坏，整个网络对侵袭者是开放的。如堡垒主机被侵，内部网络的主机失去任何的安全保护。 屏蔽主机防火墙 堡垒主机 设计与构筑堡垒主机的原则： 使堡垒主机尽量简单； 随时做好堡垒主机可能被损害的准备。 堡垒主机提供的服务： 同因特网相关的一些服务； 删除所有不需要的服务； 不要在堡垒主机上保留用户账号。 屏蔽子网防火墙 添加额外的安全层：周边网，将内部网与因特网进一 步隔开。 周边网即：非军事化区，提供附加的保护层，入侵者如侵入周边网，可防止监听（sniffer）内部网的通信（窃取密码），不会损伤内部网的完整性。周边网上的主机主要通过主机安全来保证其安全性。 屏蔽子网防火墙使用了两个屏蔽路由器，消除了内部网络的单一侵入点，增强了安全性。 两个屏蔽路由器的规则设置的侧重点不同。 外部路由器只允许外部流量进入，内部路由器只允许内部流量进入。 屏蔽子网防火墙 高性能过滤算法 规则库的规模很大 ,对规则的处理速度决定了防火墙的速度。 对高性能过滤算法的要求： 过滤算法的速度应当足够快； 理想的过滤算法应当能够对任意的数据域进行匹配，包括链路层，网络层，传输层，甚至应用层的头部； 过滤算法应当能够支持待匹配规则具有各种表示方法； 过滤算法应当具有实时性，能够对规则表的改变