《计算机网络原理与Internet技术》_第7章网络安全.pptVIP

７.５系统安全７.５.１防火墙网络边界是指采用不同安全策略的两个网络连接处，比如内部网络和互联网之间的连接、内部网络和其他业务往来单位的网络连接、内部网内不同部门之间的连接等。随着越来越多企业或组织的内部网络连接到Ｉｎｔｅｒｎｅｔ上，以及越来越多的企业组建Ｉｎｔｒａｎｅｔ和Ｅｘｔｒａｎｅｔ，网络的边界安全变得日趋重要。网络边界安全关注如何对进出网络边界的数据流进行有效的控制与监视，相应的控制措施包括防火墙、物理隔离、远程访问控制、病毒／恶意代码防御和入侵检测等。作为保护网络边界的安全产品，防火墙技术已经逐步趋于成熟，并为广大用户所认可。下一页返回７.５系统安全防火墙位于因特网和内部网络之间。因特网这边是防火墙的外面，而内部网络这边是防火墙的里面。一般都把防火墙里面的网络称为“可信的网络”（ｔｒｕｓｔｅｄｎｅｔｗｏｒｋ），而把防火墙外面的网络称为“不可信的网络”（ｕｎｔｒｕｓｔｅｄｎｅｔｗｏｒｋ）。防火墙是一种装置，它是由软件或硬件设备组合而成。作为内部网与外部网之间的一种访问控制设备，常常被安装在内部网和外部网交流的点上，用来限制Ｉｎｔｅｒｎｅｔ用户对内部网络的访问以及管理内部用户访问外界的权限。防火墙的基本模型如图７－１４所示。上一页下一页返回７.５系统安全防火墙的目的是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。在没有防火墙的环境中，内部网的安全性要由其中每个结点的坚固程度来决定，并且安全性取决于其中最弱的结点，从而内部网规模越大，把所有主机保持在相同安全水平上的可管理能力就越小。引入防火墙后，内部网的安全性在防火墙上得到了统一的加固，主要体现在以下几个方面。（１）强化了安全访问策略。防火墙可以提供实施和执行网络访问策略的工具，实现对用户和服务的访问控制。上一页下一页返回７.５系统安全（２）记录与Ｉｎｔｅｒｎｅｔ之间的通信活动。作为内外网之间唯一的访问通道，防火墙能够记录内部网络和外部网络之间发生的所有事件。（３）实现了网段之间的隔离或控制。防火墙的隔离作用，可防止一个网段中的问题在整个网络中传播。（４）提供一个安全策略的检查站。所有进出网络的信息都必须通过防火墙，这样防火墙便成为一个安全检查点，把所有可疑的访问拒之门外。上一页下一页返回７.５系统安全通常，防火墙可具有下面三种功能。（１）数据包过滤。数据包过滤是一种在内部网络与外部主机之间进行有选择的数据包转发的机制。它按照一种被称为访问控制列表（ＡｃｃｅｓｓＣｏｎｔｒｏｌＬｉｓｔ，ＡＣＬ）的安全策略来决定是允许还是阻止某些类型的数据包通过。ＡＣＬ可以被配置为根据数据包报头的任何部分进行接收或拒绝数据包，目前，这种过滤主要是针对数据包的协议地址（包括源地址和目的地址）、协议类型和ＴＣＰ／ＩＰ端口（包括源端口和目的商品）来进行的。因此，数据包过滤服务被认为是工作在网络层与传输层的边界安全机制。上一页下一页返回７.５系统安全（２）网络地址转换。网络地址转换（ｎｅｔｗｏｒｋａｄｄｒｅｓｓｔｒａｎｓｌａｔｉｏｎ，ＮＡＴ）是一种用来让使用私有地址的主机访问Ｉｎｔｅｒｎｅｔ的技术。提供ＮＡＴ功能的设备，一般运行在末节（ｓｔｕｂ）区域的边界上，于是位于网络边界的防火墙设备就成了一种理想的ＮＡＴ设备。提供了ＮＡＴ功能的防火墙设备不仅可以将私有地址转换为可在公网上被路由的公有ＩＰ地址，也通过隐藏内部网络的地址结构而增强了网络的安全性。因为涉及地址及端口之间的转换，网络地址翻译也是一种工作在网络层与传输层的边界安全机制。上一页下一页返回７.５系统安全（３）代理服务。代理（Ｐｒｏｘｙ）服务是运行在防火墙主机上的专门应用程序。防火墙主机可以是一个同时拥有内部网络接口和外部网络接口的双重宿主主机，也可以是一些内部网络中唯一可以与Ｉｎｔｅｒｎｅｔ通信的堡垒主机。代理服务程序接受内部网用户对Ｉｎｔｅｒｎｅｔ服务的请求，按照相应的安全策略转发它们的请求，并返回Ｉｎｔｅｒｎｅｔ网上主机的响应。实际上，代理就是一个在应用层提供替代连接并充当服务的网关。由于这个原因，代理也被称为应用级网关。代理具有应用相关性，即要按照应用服务类型的不同，选择相应的代理服务。上一页下一页返回７.５系统安全应该指出，尽管防火墙能够提供诸多的安全保证，但防火墙还是有它不可避免的缺陷，主要表现在以下几个方面。（１）防火墙不能防范恶意的知情者。防火墙可以禁止系统用户通过网络连接发送专有的信息