计算机网络安全技术第8章 访问控制及防火墙.pptVIP

1.包过滤型防火墙 （1）静态包过滤 这种类型的防火墙其工作原理是根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。一般说来，静态包过滤规则不保持前后连接信息，过滤决定是根据当前数据包的内容。管理员可以设计一个可接受机器和服务的列表，以及一个不可接受机器和服务的列表。在主机和网络一级，利用包过滤器很容易实现允许或禁止访问。 （2）动态包过滤 这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测（Stateful Inspection）技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，提取相关的通信和状态信息，并在动态连接表中进行状态及上下文信息的存储和更新。 包过滤型防火墙的优点 性能优于其他类型的防火墙，因执行较少计算，容易硬件实现。 不需对客户端计算机进行专门配置。 通过NAT，可以对外部屏蔽内部IP。 包过滤型防火墙的缺点： 无法识别应用层协议。 处理包内信息的能力有限。 安全性较差，存在安全隐患。 2.应用级网关型防火墙 应用层网关（Application Gateway）防火墙是通过一种代理（Proxy）技术参与到一个TCP连接的全过程。应用层网关通常被配置为双宿主网关，具有两个网络接口卡，跨接内部网和外部网，网关可以与两个网络通信，因此是安装传递数据软件的理想位置。这种软件就称为代理，通常是为其所提供的服务定制的。 应用层网关防火墙的最突出的优点就是安全。由于每一个内外网络之间的连接都要通过Proxy的介入和转换，通过专门为特定的服务如Http编写的安全化的应用程序进行处理，然后由防火墙本身提交请求和应答，没有给内外网络的计算机以任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。包过滤类型的防火墙是很难彻底避免这一漏洞的。 应用层网关防火墙的最大缺点就是速度相对比较慢，当用户对内外网络网关的吞吐量要求比较高时，（比如要求达到75-100Mbps时）代理防火墙就会成为内外网络之间的瓶颈。 3.电路级网关防火墙 电路级网关防火墙是一个通用的代理服务器。 与应用级网关技术相比，其优点是不需要对不同的应用设置不同的代理模块，但需要对客户端做适当修改。但具有资源占用大，速度慢的缺点。 电路级网关的实现典型是Socks，目前已发展到第5版，支持多种认证协议。 8.3.3防火墙的主要技术参数 功能指标 网络接口：防火墙所能保护的网络类型，如以太网，快速以太网，千兆以太网等。 协议支持：一般支持IP，IPX，Appletalk等协议。 加密算法：DES，3DES，AES，IDEA等 认证支持：RADIUS认证，证书、口令方式认证。 访问控制：包过滤，时间等。 安全功能：病毒扫描，内容过滤等。 管理功能：远程管理，本地管理等。 审计和报表：审计分析的能力。 性能指标 （1）最大吞吐量：在只有一条默认允许规则和不丢包的情况下能达到的最大吞吐率。 （2）转送速率：检查防火墙在通常安全规则发生作用的情况下，能以多快的速度转送正常的网络通信量。 （3）最大规则数：检查在添加大量规则的情况下，防火墙性能变化情况。 （4）并发连接数：单位时间内能建立起的最大TCP连接数，即每秒的连接数。 安全指标 防火墙的安全指标包括入侵实时警告、实时入侵防范、抗攻击性要求和防火墙所采用操作系统的安全性。 8.3.4防火墙基本体系结构 1．双宿/多宿主机模式 2．屏蔽子网模式 3．屏蔽主机模式 1．双宿/多宿主机模式 2．屏蔽子网模式 3．屏蔽主机模式 8.3.5防火墙的部署 1、根据公司的安全性要求，将网络划分为若干安全区域； 2、在安全区域之间设置针对网络通信的访问控制点； 3、根据控制点制定边界安全策略，采用合适的防火墙技术； 4、配置对应的安全策略； 5、测试； 6、运行和维护。 8.3.6 防火墙设置案例 1．天网防火墙个人版简介 2．天网防火墙包过滤规则的设置 第8章 访问控制及防火墙 本章要求 了解访问控制的基本原理和常用的防火墙技术 理解防火墙的工作原理与体系结构 了解防火墙在不同网络层次的应用 了解SOCKS V5协议的基本框架 常见的鉴别协议 本章主要内容 8.1 访问控制的基本原理 8.2 常见操作系统的访问控制 8.3 防火墙技术 8.1 访问控制的基本原理 访问控制服务的作用是保证只有被授权的用户才能访问网络和利用资源。 访问控制的基本原理是检查用户标识、口令，根据授予的权限限制其对资源的利用范围和程度。例如是否有权利用主机CPU运行程序，是否有权对数据库进行查询和修改等等。 访问控制服务通过访问控制机制实现。 一般访问控