第6讲 网络访问控制4.ppt

第6章 网络访问控制 一、防火墙基本知识 1、防火墙的提出 2、什么是防火墙 3、防火墙发展回顾 4、防火墙功能 5、防火墙的局限性 6、争议及不足 7、防火墙的设计原则 8、防火墙的分类 1、防火墙的提出 2、什么是防火墙（1） 在一个受保护的企业内部网络与互联网间,用来强制执行企业安全策略的一个或一组系统. 2、什么是防火墙（2） 2、什么是防火墙（3） 2、什么是防火墙（4） 2、什么是防火墙（5） 防火墙可在链路层、网络层和应用层上实现； 其功能的本质特征是隔离内外网络和对进出信息流实施访问控制。隔离方法可以是基于物理的，也可以是基于逻辑的； 从网络防御体系上看，防火墙是一种被动防御的保护装置 。 4、防火墙功能（1） 5、防火墙的局限性（1） 网络的安全性通常是以网络服务的开放性和灵活性为代价的。 防火墙的使用也会削弱网络的功能： ① 由于防火墙的隔离作用，在保护内部网络的同时使它与外部网络的信息交流受到阻碍； ② 由于在防火墙上附加各种信息服务的代理软件，增大了网络管理开销，还减慢了信息传输速率。 5、防火墙的局限性（2） 防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失： 只能防范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力； 不能解决来自内部网络的攻击和安全问题； 不能防止受病毒感染的文件的传输； 不能防止策略配置不当或错误配置引起的安全威胁； 不能防止自然或人为的故意破坏；不能防止本身安全漏洞的威胁。 6、争议及不足 使用不便，认为防火墙给人虚假的安全感 对用户不完全透明，可能带来传输延迟、瓶颈及单点失效 不能替代墙内的安全措施 不能防范恶意的知情者 不能防范不通过它的连接 不能防范全新的威胁 不能有效地防范数据驱动式的攻击 当使用端-端加密时，其作用会受到很大的限制 6、争议及不足(2) 7、防火墙的设计原则（1） 所有从内到外和从外到内的通信量都必须经过防火墙。 只有被认可的通信量通过本地安全策略进行定义后才允许传递 防火墙对于渗透是免疫的 7、防火墙的设计原则（2） Internet防火墙可能会扮演两种截然相反的姿态 拒绝没有特别允许的任何事情 允许没有特别拒绝的任何事情 8、防火墙的分类（1） 根据防火墙组成组件的不同 软件防火墙 一般硬件防火墙 纯硬件防火墙 根据防火墙技术的实现平台 Windows防火墙 Linux防火墙 8、防火墙的分类（2） 根据防火墙被保护的对象的不同 主机防火墙（个人防火墙） 网络防火墙 根据防火墙自身网络性能和被保护网络系统的网络性能 百兆防火墙 千兆防火墙 8、防火墙的分类（3） 根据防火墙功能或技术特点的不同 主机防火墙 病毒防火墙 智能防火墙 根据防范方式和侧重点的不同 下一节重点讲述 二、防火墙技术 根据防范方式和侧重点的不同可分为几类： 包过滤防火墙 状态防火墙 应用网关 NAT技术 分布式防火墙 病毒防火墙 1、包过滤防火墙（1） 1、包过滤防火墙（2） 包过滤防火墙对所接收的每个数据包做允许拒绝的决定。 包的进入接口和出接口如果有匹配并且规则允许该数据包，那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃。如果没有匹配规则，用户配置的缺省参数会决定是转发还是丢弃数据包。 包过滤防火墙使得防火墙能够根据特定的服务允许或拒绝流动的数据，因为多数的服务收听者都在已知的TCP/UDP端口号上。 1、包过滤防火墙（3） 数据包过滤一般要检查网络层的IP头和传输层的头： IP源地址 IP目标地址 协议类型（TCP包、UDP包和ICMP包） TCP或UDP包的目的端口 TCP或UDP包的源端口 TCP控制标记，如SYN,ACK,FIN,PSH,RST和其他标记 1、包过滤防火墙（4） 1、LAND攻击（1） 1、LAND攻击（2） 2、状态防火墙（1） 假设包过滤防火墙在Internet向内的接口上设置了一个规则，规定任何发送到主机A的外部流量均被拒绝。 有一台外部主机B试图访问主机A时 当主机A想要访问外部设备B 2、状态防火墙（2） 状态检测防火墙是在动态包过滤的基础上，增加了状态检测机制而形成的； 动态包过滤与普通包过滤相比，需要多做一项工作：对外出数据包的“身份”做一个标记，允许相同连接的数据包通过。 利用状态表跟踪每一个网络会话的状态，对每一个数据包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态； 2、状态防火墙（3） 2、状态防火墙（4） 主要优点： ① 高安全性（工作在数据链路层和网络层之间；“状态感知”能力） ② 高效性（对连接的后续数据包直接进行状态检查） ③ 状态防火墙