计算机网络安全技术第11章节幻灯片.ppt

2) 智能型防火墙的智能认证服务器及其实现方法 智能认证服务器是智能型防火墙的安全决策控制中心。该服务器上应该保存有多个与安全决策有关的数据库，即过滤策略数据库、网络安全知识库与网络安全数据库等。各个数据库可以通过统一的人机接口由具有相应权限的网络管理员查阅与修改。各网络数据库功能应为： 其一，过滤策略数据库是存放推理机产生过滤策略的内部形式，供过滤原文发生器对照前后的过滤策略，产生过滤指令。 其二，网络安全知识库中保存网络专家判断和处理各类网络攻击的经验性知识，例如口令探询攻击、专家对IP地址欺骗、邮件攻击、Internet蠕虫攻击等的判断处理方法。同时还储存一些用于处理当前通信状态异常但不能肯定是攻击的策略性知识。 其三，安全数据库中除存有用户权限数据外，主要保存应用过滤管理器收集的与数据有关的通信状态、应用状态和通信信息等方面的数据，供推理机比较前后数据包状态，获取更充分、更可靠的网络信息用于安全过滤决策。 智能认证服务器的核心是智能认证服务程序以及网络数据库，也是一种专家系统，该系统主要通过堡垒主机中的应用过滤管理保密传送的信息驱动运行。若外部主机要访问Intranet网，其数据包必须得到外部路由器的放行，方能进入DMZ网络；而内部路由器保证Intranet网络上的任何请求都能进入DMZ网络；然后到达堡垒主机指定端口。其次，要看数据包的前方路由器是否有针对该数据包的过滤规则，若有规则不允许传输，该数据包就被弃掉；如果有规则允许传输，该数据包就直接通过防火墙。若是数据包不满足路由器上的任何规则，其堡垒主机上的应用过滤管理器就对该数据包在协议最底层完全截取，然后从底层协议到高层协议逐层分析数据包，再从中提取与安全策略相关的各种信息，并把提取的信息保密送给智能认证服务器分析。 在实施上述分析基础上智能认证服务器上的通信数据接收器把接收到的信息存入网络安全数据库，网络安全数据库中数据的变化，从而激活推理机进程工作；推理机运用安全知识库中安全专家的经验和知识，对刚刚进入网络安全数据库的信息进行分析，找出与它相关的各种数据，再比较、分析与推断，从而得出过滤策略，如有必要还可通过人机接口向网络管理员报警。网络管理员接到报警后，并作适当处理。这时过滤器的原文发生器对刚刚产生的过滤策略内部代码进行形式转换，再根据具体情况作出相应决定：或者是由路由列表分配器通过保密通道修改指定路由器路由表和过滤规则，让内外主机进行直接通信；或者是由代理过滤配置分配器将过滤规则通过安全隧道保密送往DMZ上的堡垒主机，由应用过滤管理器负责对相关应用代理的过滤功能进行配置，同时激活相应应用代理进行工作。由此可见，智能型防火墙中的内外路由器可以根据具体自动让Intranet网和Internet网主机进行直接通讯，也可以让应用代理服务程序进行代理服务。因此采用此方案，既可发挥包过滤的高效率，可进行应用代理更严格更全面的安全控制。 11.7 基于Kerberos认证的分布式防火墙 传统的防火墙对其保护的对象有两个假设:1.在受控实体点内部----即防火墙保护的内部是可靠的、安全的；2.而在受控实体点的另外一边-----即来自防火墙外部的每一个访问都是带有攻击性的，或者至少是有潜在攻击的危险。这也就是说传统的防火墙主要是依赖严格的网络拓扑结构和受控制实体点进行工作的。但是随着Internet的迅猛发展，越来越多的Internet的接入，使得这种假设的科学性受到了质疑。第二，在用户方面，由于对于网络访问需求的不同，使得对于不同用户的安全保护也是不同的。在这种情况下，传统的防火墙虽然可以做到，但是其实现是比较繁琐的，并且在内部机器的IP经常变化的情况下就更难控制了。第三，传统防火墙在数据传输使用了加密机制以后，其安全保护就失效了。第四，通常而言传统防火墙对于在网络拓扑结构内部的攻击无能为力。 面对这些问题，一些人建议最合适的方法应该是完全抛弃防火墙的概念。因为他们认为防火墙的概念太晦涩了，但完全抛弃防火墙的概念也是不可取的，因为它在其他安全保护方面还是很有效的。而拙劣的程序代码和缓冲区的溢出是引起不安全的主要因素。更精确的说防火墙是一种规则控制机制，也就是说它允许一个站点的管理员设置一套外部访问规则以控制访问。就像文件的权限限制可以加强内部的安全一样，防火墙可以通过这种策略以加强外部访问的安全。为了在解决以上问题的同时又保留传统防火墙的这些特性，下面介绍一种基于认证模式的分布式解决方案。在这个方案中，规则的制定还是采用集中设置、更新的办法，但是这些规则的执行是在每个受保护的主机上进行的。这样不仅保留了传统防火墙的优点，同时又解决了上述的问题，其中最主要的是解决了对网络拓扑结构的依赖和内部攻击的问题。 11.7.1 基于Kerberos认证的分布式防火墙的系统结构和