防火墙 ppt5第五章.pptVIP

第5章 防火墙高级功能 5.1 身份验证和授权 5.2 网络地址转换 5.3 密码理论 5.4 虚拟专用网络（VPN） 5.5 IPSec（IP安全协议） 第5章 防火墙高级功能 5.6 网络监控 5.7 病毒免疫 5.8 可用性 5.9 管理 5.10 其他特性 5.1 身份验证和授权 5.1.1 身份验证（Authentication） 身份验证（Authentication），验证用户的身份与可使用的网络服务，负责确认请求网络服务的人。“身份验证”通常是指对一个给定用户的身份进行验证的过程，这个过程听起来很简单，但是其具体内容却很复杂。对用户进行身份验证主要有3种方法：看他们知道什么、看他们拥有什么和看他们是谁，这3种方法既可以单独使用，也可以为了增强安全性而联合使用。“身份验证”也可以指对一个软件过程的核实。比如，在某些支持路由验证（route authentication）的路由选择协议中，路由器必须达到某些标准后，它所发出的路由选择更新才能被另一台路由器所接受。 5.1 身份验证和授权 防火墙是通过一个安全策略列表或者ACL（Access Control List，访问控制列表）来控制身份验证的。该列表只是简单地对不同类型的流量进行识别，并且提供对流量的处理方式。只有保证用户和IP地址的关系确定时，基于地址的身份验正才能生效。通常来说，用户和IP地址的关系是不确定的，许多防火墙确实提供了将IP地址映射到用户身份验证的方法，但这种映射是通过客户和防火墙之间已经建立的或者专用的协议来实现的。例如，用户可以提供一个用户名和密码直接Telnet到防火墙上或者之间浏览防火墙。这次登录会话的源地址会被输入到防火墙的一个地址身份验证的动态列表中，当用户退出此次会话或者登录超时的情况下，防火墙就会在动态列表中删除这个源地址。 5.1 身份验证和授权 5.1.2 授权（Authorization） 身份验证控制着谁可以访问网络资源，授权则规定了用户或进程在获得网络资源的访问后能做什么。授权使安全管理员能控制网络的各个部分，比如服务器上的目录和文件。对不同的用户，授权是不同的，差异部分取决于用户所在的部门或其工作职责。比如，一项安全策略可能规定只有人力资源部门的雇员可以查看不归其管理的人员的工资记录。很难明确地列出每一用户在每项资源上所具有的经过授权的行为，因此，需要通过技术手段来简化这个过程。比如，网络管理员可以为具有相同特权的用户创建用户组。 5.1 身份验证和授权 在通过了身份验证之后，防火墙就可以授权用户进行资源访问了。举个例子，现在防火墙要对网络中特定的服务访问进行控制，某些特定的用户能够访问网络中的某台主机，而其他用户只能访问一些网络资源。用户身份验证要实现的授权访问的唯一方法就是客户端只能和防火墙进行通信，然后再在防火墙和服务器之间建立第二条会话连接，以便将客户端发向防火墙的流量定向到服务器上。 5.2 网络地址转换 TCP/IP协议使用了232个（四百万）地址空间。令人奇怪的是这么大的地址空间还是不够用的。RFC1918指定了许多地址不可用于Internet，而是将这些地址作为保留地址。由于这些地址不能用于Internet，所以可以将这些地址用于连接到Internet上的私有网络中。但是，这些私有网络的源地址在经过防火墙时必须被翻译成在Internet上可路由的地址。通过这种方法，位于防火墙之后的大量主机在访问Internet时就可以共享公共的IP地址了，这个过程就叫做网络地址转换（NAT）。表5-1列出了RFC1918保留的IP地址。 5.2 网络地址转换 5.2.1 NAT技术的定义 NAT英文全称是Network Address Translation，称为网络地址转换，它是一个IETF标准，允许一个机构以一个地址出现在Internet上。NAT将每个局域网节点的地址转换成一个IP地址，反之亦然。它也可以应用到防火墙技术里，把个别IP地址隐藏起来不被外界发现，使外界无法直接访问内部网络设备，同时，它还帮助网络可以超越地址的限制，合理地安排网络中的公有Internet 地址和私有IP地址的使用。 5.2 网络地址转换 5.2.2 NAT技术基本原理 NAT技术能帮助解决令人头痛的IP地址紧缺的问题，而且能使得内外网络隔离，提供一定的网络安全保障。它解决问题的办法是：在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址在Internet上使用，其具体的做法是把IP包内的地址域用合法的IP地址来替换。NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT设备维护一个状态表，用来把非法的IP地址映射到合法的IP地址上去。每个包在