第3章访问控制和防火墙技术.pptVIP

网络安全技术 学习目的： 了解访问控制技术的基本概念 熟悉防火墙技术基础 初步掌握防火墙安全设计策略 了解防火墙攻击策略 了解第四代防火墙的主要技术 了解防火墙发展的新方向 了解防火墙选择原则与常见产品 学习重点： Windows NT/2K安全访问控制手段 防火墙安全设计策略 防火墙攻击策略 防火墙选择原则 3．1  访问控制技术 3．1．1 访问控制技术概述 3．1．2 访问控制策略 3．3．2 网络服务访问权限策略 安全策略分为两个层次：网络服务访问策略和防火墙设计策略。 网络服务访问策略是一种高层次的、具体到事件的策略，主要用于定义在网络中允许的或禁止的网络服务，而且还包括对拨号访问以及SLIP／PPP联接的限制。 网络服务访问策略不但应该是一个站点安全策略的延伸，而且对于机构内部资源的保护也应起到全局的作用。 通常，一个防火墙执行两个通用网络服务访问策略中的一个：允许从内部站点访问Internet而不允许从Internet访问内部站点；只允许从Internet访问特定的系统，如信息服务器和电子邮件服务器。 比如，在最高层，某个组织机构的总体策略： (1) 内部信息对于一个组织的经济繁荣是至关重要的； (2) 应使用各种经济实惠的办法来保证我们的信息的机密性、完整性、真实性、和可用性； (3) 保护数据信息的机密性、完整性和可用性是高于一切的，是不同层次的员工的责任； (4) 所有信息处理的设备将被用于经过授权的任务。 因此，在这个普遍原则之下是与具体事情相关的政策，如公司财物的使用规定、信息系统的使用规定，防火墙的网络服务访问政策就是在这一个层次上。 防火墙的设计策略是具体地针对防火墙，制定相应的规章制度来实施网络服务访问策略。在制定这种策略之前，必须了解这种防火墙的性能以及缺点、TCP／IP本身所具有的易受攻击性和危险性。 两种基本设计策略： 第一种，除非明确不允许，否则允许某种服务。执行第一种策略的防火墙在默认情况下允许所有的服务，除非管理员对某种服务明确表示禁止。 3．3．3 防火墙设计策略及要求 第二种，除非明确允许，否则将禁止某种服务。执行第二种策略的防火墙在默认情况下禁止所有的服务，除非管理员对某种服务明确表示允许。 总之，防火墙好坏取决于安全性和灵活性的要求，所以在实施防火墙之前，考虑一下策略是至关重要的。如果不这样做，会导致防火墙不能达到要求。 3．3．4 防火墙与加密机制 现在的防火墙则逐渐集成了信息安全技术中的最新研究成果，一般都具有加密、解密和压缩、解压等功能，这些技术加强了信息在互联网上的安全性。 加密技术实际上是一种对要经由公共网络传送的信息进行编码的方法，它是确保数据安全的最有效方法。防火墙能够将授权用户的数据进行加密并使这个信息穿过防火墙而进入公共网络。保护接收网络的防火墙然后能够检查信息，对其进行解码，并将其发送到正确的授权用户手中。通过使用加密技术，大多数防火墙现在能够用作VPN的网关，在有些时候通过对在互联网上的端对端通讯信息进行保护还可作为VPN服务器。 3．4  防火墙攻 击策略 从黑客攻击防火墙的过程上看，防火墙攻击策略大概可以分为三类： 3．4．1 扫描防火墙策略 扫描防火墙策略的方法是探测在目标网络上安装的是何种防火墙系统并且找出此防火墙系统允许哪些服务，通常称之为对防火墙的探测攻击。 3．4．2 通过防火墙认证机制策略 通过防火墙认证机制策略，是指采取地址欺骗、TCP序号攻击等方法绕过防火墙的认证机制，从而对防火墙和内部网络破坏。 1． IP地址欺骗：突破防火墙系统最常用的方法是因特网地址欺骗，它同时也是其他一系列攻击方法的基础。 2． TCP序号攻击 ：TCP序号攻击是绕过基于分组过滤方法的防火墙系统的最有效和最危险的方法之一。 寻找、利用防火墙系统实现和设计上的安全漏洞，从而有针对性地发动攻击。这种攻击难度比较大，可是破坏性很大。 防火墙不能防止对自己的攻击，只能强制对抗。防火墙本身是一种被动防卫机制，不是主动安全机制。防火墙不能干涉还没有到达防火墙的包，如果这个包是攻击防火墙的，只有已经发生了攻击，防火墙才可以对抗，根本不能防止。 3．4．3 利用防火墙漏洞策略 3．5  第四代防火 墙的主要技 术 3．5．1 第四代防火墙的主要技术与功能 第四