访问控制与防火墙PPT.ppt

*;*;*;访问控制与网络安全属性的关系 访问控制对机密性、完整性起直接的作用。对于可用性，访问控制通过对以下信息的有效控制来实现： 1）谁可以颁发影响网络可用性的网络管理指令 2）谁能够滥用资源以达到占用资源的目的 3）谁能够获得可以用于拒绝服务攻击的信息;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;RBAC数据库设计 RBAC数据库的基本表和相关操作主要包括：;*;*;*;*;*;*;*;*;*;*;*;*;*;按保护对象分：;*;*;*;*;*;*;*;一个可靠的分组过滤防火墙依赖于规则集例 第一条规则：主机任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。 第二条规则：任何主机的20端口访问主机的任何端口，基于TCP协议的数据包允许通过。 第三条规则：任何主机的20端口访问主机小于1024的端口，如果基于TCP协议的数据包都禁止通过。 这些规则应用的顺序与它们在表中的顺序相同。如果一个包不与任何规则匹配，它就会遭到拒绝。 ;比较流行的包过滤防火墙有： CheckPoint、 Cisco PIX、 Winroute(Kerio) ;例：利用WinRoute创建包过滤规则，禁用HTTP访问 HTTP服务用TCP协议，占用TCP协议的80端口，主机的IP地址是“05”，创建规则如表所示 ;选择菜单项“Packet Filter”，如图所示;;;打开本地的IE连接远程主机的HTTP服务，将遭到拒绝，如图所示。;由于此访问违反了访问规则，所以在主机的安全日志中记录下来，如图所示;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;以服务器保护为主的使用形式 堡垒主机主要作为内网服务器的应用代理防火墙。包过滤路由器禁止外网直接访问内网服务器，必须通过堡垒主机做代理。内网用户访问服务器时，不需要通过堡垒主机的代理。 优点 增加黑客从外网直接攻击内网主机的难度。 缺点 缺乏对内网主机的控制功能。 黑客可以利用内网用户的疏忽，设法将木马程序安装在内网主机上；木马以反向连接的方式接受黑客的控制，再通过内网主机间接入侵内网服务器。 以内网用户管理为主的使用形式 堡垒主机主要作为内网用户的应用代理服务器。路由器禁止内网主机（对外开放的服务器除外）直接访问外网，内网用户必须通过堡垒主机代理服务器访问外网。如果本地网络的安全政策允许，也可以不经过代理，直接经过过滤路由器（路由器上设置相应的规则）访问外网。 优点 可以加强对内网用户的管理。 代理服务器可以在一定程度上减少内外网通信的数据量，优化外网访问速度。 缺点 内网服务器没有得到堡垒主机的保护。;屏蔽路由器防火墙+双宿主堡垒主机网络结构又称屏蔽子网防火墙结构。它支持网络层和应用层安全功能 由于使用了内、外两个包过滤路，内外网之间构成了一个子网态势，相当于隔离带，故称DMZ（DeMilitarized Zone，非军事化区）。 ;屏蔽子网可以解决安装防火墙后外部网络不能访问内部网络服务器的问题。在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web 服务器、FTP服务器和论坛等。这样，可有效防止外网借助访问公开服务器（如果放置在内网）作为跳板来攻击内网。;屏蔽路由器只允许外网访问DMZ内的服务器和堡垒主机，屏蔽非开放地址和端口。 内网的主机需要通过堡垒主机的代理才能访问DMZ中的服务器。 内网的主机需要通过堡垒主机的代理后，才能通过屏蔽路由器访问外网。 堡垒主机禁止外网主动连接内网主机，也禁止DMZ的服务器主动连接内网主机。 在需要的时候，堡垒主机或屏蔽路由器可以禁止内网主机访问外网。; 简化方案1: ;如果内网对DMZ和外网的访问量比较大，而且网络安全策略不需要应用层级别的安全保护，可以用屏蔽路由器替代堡垒主机，以避免堡垒主机造成的瓶颈。 在这种结构中，外网防火墙负责处理对外的访问控制，内网防火墙负责处理对内的访问控制。; 有些防火墙同时提供内网防火墙和DMZ功能，以降低造价，简化网络拓扑结构。;*;*; 吞吐量 延迟 并发连接数 平均无故障时间;*;*;（4）分布式防火墙 分布式防火墙把Internet和内部网络都视为不可靠的，它们对每个用户、每台服务器都进行保护，如同边界防火墙对整个网络进行保护一样。 分布式防火墙是一种主机驻留式的安全系统，用以保护内部网络中的关键结点服务器、数据及工作站免受非法入侵的破坏。由于防火墙驻留在被保护的主机上，因此可以针对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略。 因为分布式防火墙可以分布在整个内部网络或服务器中，所以它具有无限制的扩展能力。;分布式