通信网络安全Chapter04.ppt

9.IP安全可选方案 IP风险的缓解办法包括：协议禁用、使用非路由的IP地址、过滤IP通信以及面向安全的协议 3.网络地址转换（NAT） NAT是通过公共网关将来自内网的分组中继，NAT网关是桥接Internet和内网的双主机系统，对于每个分组，NAT服务器在内部中继表存储映射关系 中继表是内部发起连接请求时建立的。中继表包含3部分：源IP地址和传输层端口，目的IP地址和传输层端口号，NAT服务器外部接口端口号 使用NAT外部IP和端口号将分组中继到外部网络，外部主机视分组来自NAT服务器，而非内部主机 9.IP安全可选方案 IP风险的缓解办法包括：协议禁用、使用非路由的IP地址、过滤IP通信以及面向安全的协议 3.网络地址转换（NAT） 当NAT服务器接收来自外部网络接口的分组，它将分组目的地和内部中继表进行比较，然后将分组转发的内部源 使用NAT服务器，内部主机通过相同的外部IP地址中继，NAT服务器提供两个安全效果：匿名和隐私 对外部网络来说，通过NAT服务器中继的分组都来自NAT服务器，因此内部是匿名的，攻击者无法知道内网状况 攻击者不能连到内部主机，与内部中继表条目不能匹配的分组都被丢弃。这使得NAT服务器成为有效的防火墙 NAT服务器所支持的连接，必须是内部主机主动发起的 9.IP安全可选方案 IP风险的缓解办法包括：协议禁用、使用非路由的IP地址、过滤IP通信以及面向安全的协议 3.网络地址转换（NAT） 9.IP安全可选方案 IP风险的缓解办法包括：协议禁用、使用非路由的IP地址、过滤IP通信以及面向安全的协议 3.网络地址转换（NAT） web server a b c NAT 204.x.1.10 Internet 9.IP安全可选方案 3.网络地址转换（NAT） Internet Web server a b c NAT 0 Connection request to port 80 from ‘c‘ to web server source , port 1025. , port 1025 mapped to 0, port 2000 Connection request from ‘c’ forwarded to web server source 0, port 2000. Request received and accepted. Inside IP Inside Port Out IP Out Port 1034 0 2005 1025 0 2000 9.IP安全可选方案 3.网络地址转换（NAT） Internet Web server a b c NAT Response sent to 0, port 2000. Inside IP Inside Port Out IP Out Port 1034 0 2005 1025 0 2000 Translate 0, port 2000 to port 1025 9.IP安全可选方案 IP风险的缓解办法包括：协议禁用、使用非路由的IP地址、过滤IP通信以及面向安全的协议 4.反向NAT（RNAT） 因为NAT能阻止外部网络主机发起的连接，因此不能把WEB，Email等对外部网络提供的服务放在内网。 为解决该问题，RNAT提供从NAT外部端口到内网上的IP地址和内部端口的静态映射，使用RNAT外部连接到NAT服务器的80端口能被路由到内网上的WEB服务器，NAT提供防火墙功能，而RNAT允许面向服务的应用 9.IP安全可选方案 IP风险的缓解办法包括：协议禁用、使用非路由的IP地址、过滤IP通信以及面向安全的协议 5.IP过滤 大部分非NAT防火墙支持基于IP分组头的分组过滤，过滤规则能限制基于特定主机、子网或服务类型（TCP、UDP或ICMP）的分组，这种应用能用到源或目的地址以提供在IP上的最大控制 网络层防火墙只能看到IP报头，传输层防火墙才能过滤基于特定端口和服务的分组，传输层防火墙可用于限制访问Web或E-mail服务器 9.IP安全可选方案 IP风险的缓解办法包括：协议禁用、使用非路由的IP地址、过滤IP通信以及面向安全的协议 6.出口过滤 大部分防火墙配置成限制从外面进入的通信，而对出口通信无限制，这种配置一方面提供了最大的安全以防范外部的攻击者，另一方面对内部用户提供了最大的方便，因此也允许了内部攻击者对外部资源进行攻击 出口过滤将防火墙规则应用到出口通信，最简单的出口过滤运行在网络层，以阻止来自内部网络的假的源地址分组 更加复杂的出口过滤在高层实施，如在传输层限制端口访问，在高层限制DNS和LDAP访问VPN和SSL身份鉴别，Web URL访