计算机网络安全技术访问控制与防火墙技术课件

1、计算机网络安全技术访问控制与防火墙技术课件计算机网络安全技术访问控制与防火墙技术课件 6.1访问控制的定义6.1.1 访问控制的定义6.1.2 基本目标6.1.3 访问控制的作用 访问控制是针对越权使用资源的防御措施，是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。 防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访 问，从而使计算机系统在合法范围内使用，决定用户能做什么，也决定代 表一定用户利益的程序能做什么。访问控制对机密性、完整性起直接的作用。对于可用性，访问控制通过对以下信息的有效控制来实现。 6.1访问控制的定义6.1.1 访问控制的定义

2、 6.1.4 主体、客体和授权6.1.5访问控制模型基本组成图6-1 访问控制模型基本组成客体（Object）。 主体（Subject）。 授权（Authorization）。主体请求决策提交访问请求客体访问实体控制 功能决策提交访问请求访问控制决策功能6.1.4 主体、客体和授权图6-1 访问控制模型基本组成 6.1.6 访问控制策略 访问控制策略（Access Control Policy）是在系统安全策略级上表示授权，是对访问如何控制、如何做出访问决定的高层指南（如图6-2所示）。图6-2 访问控制的一般策略自主访问控制强制访问控制访问控制访问控制自主访问控制强制访问控制基于角色访问控制

3、 6.1.6 访问控制策略自主访问控制强制访问控制访 自主访问控制 强制访问控制 多级策略 基于间隔的策略时间粒度上的控制（a）传统访问控制（b）基于角色的访问控制图6-3 RBAC与传统访问控制的差别 用户 用户 访问请求 用户 角色 用户 请求 访问 自主访问控制 （a）传统访问控制 用户 用户 访问请求 6.1.7 访问控制机制6.1.8 其他的访问控制与目标的内容相关的访问控制。如动态访问控制。多用户访问控制。当多个用户同时提出请求时，如何做出授权决定。基于上下文的控制。在做出对一个目标的授权决定时依赖于外界的因素，比如时间、用户的位置等。访问控制表（ACL，Access Contro

4、l List）其他访问控制机制6.1.7 访问控制机制访问控制表（ACL，Access 6.2 防 火 墙6.2.1 防火墙的基本概念防火墙（FireWall）防火墙的优点防火墙的局限性防火墙的作用一般的防火墙模型相关的几个基本概念6.2 防 火 墙6.2.1 防火墙的基本概念防火墙防火墙（FireWall） 所谓“防火墙”，是指一种将内部网和公众网络（如Internet）分开的方法，它实际上是一种隔离技术，最大限度地阻止网络中的黑客来访问你的网络，防止他们更改、复制和毁坏你的重要信息。 一个好的防火墙应该具备以下几点。所有在内部网络和外部网络之间传输的数据都必须通过防火墙。只有被授权的合法数

5、据。防火墙本身可以经受住各种攻击。使用目前新的信息安全技术。人机界面良好。防火墙（FireWall） 所谓“防火墙”，是指一防火墙的优点防火墙对企业内部网实现了集中的安全管理。防火墙能防止非授权用户进入内部网络。防火墙可以方便地监视网络的安全性并报警。可以作为部署网络地址转换的地点。防火墙对内部网络的划分从而限制安全问题的扩散。由于所有的访问都经过防火墙，。防火墙的优点防火墙对企业内部网实现了集中的安全管理。防火墙的局限性 虽然防火墙可以提高内部网的安全性，但是防火墙也有一些缺陷和不足。有些缺陷是目前根本无法解决的，下面是防火墙存在的缺陷。 限制有用的网络服务。无法防护内部网络用户的攻击。In

6、ternet防火墙无法防范通过防火墙以外的其他途径的攻击。Internet防火墙也不能完全防止传送已感染病毒的软件或文件。防火墙无法防范数据驱动型的攻击不能防备新的网络安全问题。防火墙的局限性 虽然防火墙可以提高内部网的安全性防火墙的作用 防火墙用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取。防火墙系统决定了哪些内部服务可以被外界访问，外界的哪些人可以访问内部的哪些可以访问的服务，以及哪些外部服务可以被内部人访问。防火墙的作用 防火墙用于加强网络间的访问控制，防应用层表示层物理层会话层传输层网络层数据链路层OSI/RM网关级

7、中继器级电路级路由器级网桥级防火墙防 火 墙 系 统非 安 全 区 域内部网外部网安 全 区 域图6-4 防火墙与OSI模型一般的防火墙模型应用层表示层物理层会话层传输层网络层数据链路层OSI/RM网相关的几个基本概念堡垒主机（Bastion Host）。双宿主机（Dual Homed Host）。数据包过滤（Package FilteRing）。屏蔽路由器（Screened Router）。屏蔽主机（Screened Host）。屏蔽子网（Screened SubNet）。代理服务器（Proxy Server）。IP地址欺骗（IP Spoofing）。隧道路由器（Tunneling Rout

8、er）。虚拟专用网（Virtual Private Network，VPN）。DNS欺骗（DNS Spoofing）。Internet控制报文协议（ICMP）。纵深防御（Defense In Depth）。最小特权（Least Privilege）。堡垒主机（Bastion Host）。 6.2.2 防火墙的安全策略用户账号策略用户权限策略信任关系策略包过滤策略 在构筑防火墙之前，需要制定一套完整有效的安全战略。网络服务访问策略，是一种高层次的具体到事件的策略，主要用于定义在网络中允许或禁止的服务。 6.2.2 防火墙的安全策略用户账号策略 在构筑防用户权限策略用户账号策略 用户账号应包含用户

9、的所有信息。其中最主要的应包括用户名、口令、用户所属的工作组、用户在系统中的权限和资源存在许可 通过网络连接计算机。备份文件和目录，此权限要高于文件和目录许可。设置计算机内部系统时钟。从计算机键盘登录计算机。指定何种事件和资源被审查，查看和清除安全日志。恢复文件和目录。关闭系统。获取一台计算机的文件、目录或是其他对象的所有权。用户权限策略用户账号策略 用户账号应包含用户的所有信息信任域被信任域图6-5 单向信任关系信任关系策略 通过信任关系在网络中建立域模型的安全性。信任关系是两个域中一个域信任另外的域，它包括两个方面：信任域和被信任域。信任域可允许被信任域中的用户在其中使用。两个域信任关系的

10、建立可以允许一个域中建立的用户存取整个网络中的资源。 信任域被信任域图6-5 单向信任关系信任关系策略 信任域被信任域图6-6 双向信任关系图6-7 多重信任关系信任域被信任域图6-6 双向信任关系图6-7 多重信任关OSI参考模型中包的过滤。包过滤操作过程。包过滤规则。防止两类不安全设计。对特定协议包的过滤。认证、签名和数据加密策略。密钥管理策略。审计策略。包过滤策略OSI参考模型中包的过滤。 6.2.3 防火墙的体系结构 图6-8 包过滤型防火墙包过滤型防火墙 6.2.3 防火墙的体系结构 图6-8 包过滤型包过滤路由器型防火墙的优点有以下几点 处理包的速度要比代理服务器快。实现包过滤几乎

11、不再需要费用。包过滤路由器对用户和应用来讲是透明的 包过滤路由器型防火墙的缺点有以下几点。防火墙的维护比较困难只能阻止一种类型的IP欺骗。任何直接经过路由器的数据包都有被用做数据驱动式攻击的潜在危险。一些包过滤网关不支持有效的用户认证。不可能提供有用的日志。随着过滤器数目的增加，路由器的吞吐量会下降。IP包过滤器可能无法对网络上流动的信息提供全面的控制。包过滤路由器型防火墙的优点有以下几点 处理包的速度要比代理服屏蔽主机防火墙图6-9 屏蔽主机防火墙屏蔽主机防火墙图6-9 屏蔽主机防火墙屏蔽子网防火墙图6-10 屏蔽子网防火墙屏蔽子网防火墙图6-10 屏蔽子网防火墙 在屏蔽的子网体系结构中，堡

12、垒主机被放置在周边网络上，它可以被认为是应用层网关，是这种防御体系的核心。在堡垒主机上，可以运行各种各样的代理服务器。在堡垒主机上运行电子邮件代理服务器。在堡垒主机上运行WWW代理服务器。在堡垒主机上运行一个伪DNS服务器。在堡垒主机上运行FTP代理服务器。 在屏蔽的子网体系结构中，堡垒主机被放置在周边网络上，它 6.2.4 防火墙的类型数据包过滤 图6-11 包过滤模型 6.2.4 防火墙的类型数据包过滤 图6-11 数据包过滤 设置步骤。 按地址过滤。 按服务过滤。数据包过滤特性。 IP包过滤特性。 TCP包过滤行性。 UDP。 ICMP 数据包过滤的特点和风险。数据包过滤表6-1 过滤规

13、则示例规 则方 向源 地 址目标地址动 作A出内部网络拒绝B入内部网络拒绝表6-2 规则表规 则方 向动 作源地址源端口目标地址目的端口注 释A进拒绝M*E-mail25不信任B出允许*允许联接C双向拒绝*缺省状态表6-1 过滤规则示例规 则方 向源 地 应用层网关 应用层网关原理。数据包过滤与代理服务的比较。应用层网关实现。应用层网关的特点和发展方向。 应用层网关 应用层网关原理。图6-12 应用层网关的结构示意图图6-12 应用层网关的结构示意图电路级网关技术图6-13 电路级网关电路级网关技术图6-13 电路级网关 6.2.5 防火墙的相关技术状态检查技术为了保证高层的安全，防火墙必须能

14、够访问、分析和利用以下几种信息。通信信息。通信状态。来自应用状态其。信息处理。 状态检查防火墙有如下优点 状态检查防火墙有如下优点。高安全性。高效性。可伸缩性和易扩展性。应用范围广 6.2.5 防火墙的相关技术状态检查技术为了保证高层IO地质翻译技术 图6-14 地址翻译防火墙1客户机外部接口公共服务器内部接口2043IO地质翻译技术 图6-14 地址翻译防火表6-3 图6-14中不同网段IP地址的翻译过 程源IP目的IP000地址翻译主要用于两个方面。 网络管理员希望隐藏内部网络的IP地址内部网络的IP地址是无效的IP地址。表6-3 图6-14中不同网段IP地址的翻译过 程源 内部地址是子网，防火墙网关对外部的地址是，可以将内部网的地址都翻译成出去。但这会遇到一个问题是所有返回数据包的目的IP都是，防火墙如何识别它们并将它们送回内部网的真实主机。我们可以让防火墙记住所有出去的包，因为每个包都有一个目的端口，每台主机的端口可能都不一样。还可以让防火墙记住所有出去的包的TCP序列号，不同主机发送的包序列号不一样，防火墙会根据记录把返回的数据包送达正确的发送主机。表态翻译。动态翻译