第2章节 网络安全防护1.pptVIP

第2章 网络安全防护;教学要求：;主要内容：;网络安全基础;访问控制;根据控制手段和目的的不同把控制访问分类：;入网访问控制;网络的权限控制;目录、文件、设备的访问控制;根据安全级别可分为两类： 自主访问控制 强制访问控制 ;自主访问控制;强制访问控制;访问控制的目的;访问控制的产品 防火墙 路由器 专用访问控制服务器;教学要求：;主要内容：;2.1防火墙概述;2.1.1 防火墙概念;IT领域的防火墙概念：;防火墙示意图;硬件防火墙示意图：;;基于路由器的防火墙 用户化的防火墙工具套 建立在通用操作系统上的防火墙 具有安全操作系统的防火墙 ;第一阶段：基于路由器的防火墙 由于多数路由器中本身就包含有分组过滤的功能，故网络访问控制功能可通过路由控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。 第一代防火墙产品的特点是： ●利用路由器本身对分组的解析，以访问控制表（access list）方式实现对分组的过滤； ●过滤判决的依据可以是：地址、端口号、IP旗标及其它网络特征； ;●只有分组过滤的功能，且防火墙与路由器是一体的，对安全要求低的网络采用路由器附带防火墙功能的方法，对安全性要求高的网络则可单独利用一台路由器作防火墙。 第一代防火墙产品的不足之处十分明显： ●路由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十分容易。例如：在使用FTP协议时，外部服务器容易从20号端口上与内部网相连，即使在路由器上设置了过滤规则，内部网络的20端口仍可由外部探寻。 ;●路由器上的分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂，它涉及到规则的逻辑一致性，作用端口的有效性和规则集的正确性，一般的网络系统管理员难于胜任，加之一旦出现新的协议，管理员就得加上更多的规则去限制，这往往会带来很多错误。 ●路由器防火墙的最大隐患是：攻击者可以假冒地址，由于信息在网络上是以明文传送的，黑客可以在网络上伪造假的路由信息欺骗防火墙。 ;●路由器防火墙的本质性缺陷是：由于路由器的主要功能是为网??访问提供动态的、灵活的路由，而防火墙则要对访问行为实施静态的、固定的控制，这是一对难以调和的矛盾，防火墙的规则设置会大大降低路由器的性能。 可以说：基于路由器的防火墙只是网络安全的一种应急措施，用这种权宜之计去对付黑客的攻击是十分危险的。 ;第二阶段：用户化的防火墙工具套 为了弥补路由器防火墙的不足，很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络，从而推动了用户化防火墙工具套的出现。 作为第二代防火墙产品，用户化的防火墙工具套具有以下特征： ;●将过滤功能从路由器中独立出来，并加上审计和告警功能； ●针对用户需求，提供模块化的软件包； ●软件可通过网络发送，用户可自己动手构造防火墙； ●与第一代防火墙相比，安全性提高了，价格降低了。 ;由于是纯软件产品，第二代防火墙产品无论在实现还是在维护上都对系统管理员提出了相当复杂的要求，并带来以下问题： ●配置和维护过程复杂、费时； ●对用户的技术要求高； ●全软件实现、安全性和处理速度均有局限； ●实践表明，使用中出现差错的情况很多。 ;第三阶段：建立在通用操作系统上的防火墙 基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品，近年来在市场上广泛可用的就是这一代产品，它具有以下特点： ●是批量上市的专用防火墙产品； ●包括分组过滤或者借用路由器的分组过滤功能； ;●装有专用的代理系统，监控所有协议的数据和指令； ●保护用户编程空间和用户可配置内核参数的设置； ●安全性和速度大为提高。 第三代防火墙有以纯软件实现的，也有以硬件方式实现的，已得到广大用户的认同。但随着安全需求的变化和使用时间的推延，仍表现出不少问题，比如： ;●作为基础的操作系统及其内核往往不为防火墙管理者所知，由于原码的保密，其安全性无从保证。 ●由于大多数防火墙厂商并非通用操作系统的厂商，通用操作系统厂商不会对操作系统的安全性负责； ●从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统厂商的攻击。 ●用户必须依赖两方面的安全支持：一是防火墙厂商、一是操作系统厂商。 ;第四阶段：具有安全操作系统的防火墙 防火墙技术和产品随着网络攻击和安全防护手段的发展而演进，到1997年初，具有安全操作系统的防火墙产品面市，使防火墙产品步入了第四个发展阶段。 具有安全操作系统的防火墙本身就是一个操作系统，因而在安全性上较之第三代防火墙有质的提高。获得安全操作系统的办法有两种：一种是通过许可