第5章 访问控制与网络隔离.ppt

1、信息系统安全 电 子 教 程 信息管理教研室 张 勇 E-mail: Http:/,第五章 访问控制 与网络隔离技术,信息系统安全,本章重点介绍访问控制技术、防火墙技术及网络隔离技术的基本概念、作用、分类、基本原理、防火墙的组成以及基本实现技术等。 通过本章的学习，学生应该掌握以下内容： (1)理解访问控制技术的定义、分类、手段、模型； (2)理解防火墙基本概念、作用、分类、基本原理、组成； (3)掌握防火墙基本实现技术； (4)掌握网络隔离基本原理及实现技术； (5)掌握简单防火墙软件的使用。,本章学习目标,访问是使信息在主体和对象间流动的一种交互方式。访问控制的目的是为了限制访问主体对访问

2、客体的访问权限，能访问系统的何种资源以及如何使用这些资源。 主体（Subject）是指主动的实体，该实体造成了信息的流动和系统状态的改变，主体通常包括用户、进程和设备。 客体（Object）是指包含或接受信息的被动实体。对客体的访问意味着对其中所包含信息的访问。客体通常包括记录、块、页、段、文件、目录、目录树和程序以及位、字节、字、字段处理器、显示器、键盘、时钟、打印机和网络节点、系统。,5.1.1访问控制定义,5.1访问控制技术,1.访问控制和其它安全内部控制的关系 控制（Control）是为了达成既定的目的和目标而采取的管理行动。管理通过计划、组织和指导一系列有效的活动为目的和目标的达成提

3、供保障。这样，控制就成为适当的管理计划、组织和指导的必然结果。 内部控制（Internal Control）是为了在组织内保障以下目标的实现而采取的方法： （1）信息的可靠性和完整性； （2）政策、计划、规程、法律、法规和合同的执行； （3）资产的保护； （4）资源使用的经济性和有效性； （5）业务及计划既定目的和目标的达成。,5.1.1访问控制定义,5.1访问控制技术,1.访问控制和其它安全内部控制的关系 访问控制（Access Control）与计算机信息系统相关的内容包括： （1）限制主体对客体的访问； （2）限制主体和其它主体通信或使用计算机系统或网络中的功能或服务的权力或能力。例如，

4、人是主体，文件是客体。 “保护资产”是内部控制和访问控制的共同目标。例如，内部控制涉及所有的资产，包括有形的和无形的资产，包括计算机相关的资产也包括和计算机无关的资产。访问控制涉及无形（知识）资产如程序、数据、程序库以及有形资产如硬件和放置计算机的房产。访问控制是整体安全控制的一部分。,5.1.1访问控制定义,5.1访问控制技术,2.访问控制的类型 另外，也有三种和控制有关的概念： （7）补偿型控制在一个领域的控制能力较弱而在另一个领域控制能力较强。 （8）综合型控制使用两个或更多的控制来加强对功能、程序或操作的控制效果。这样两个控制协同工作能够强化整个控制环境。 （9）规避型控制的原理就是对

5、资源进行分割管理。资源是系统或系统网络中需要管理的实体。资源可以包括物理实体如打印机、盘库、路由器和逻辑实体如用户和用户组。规避型控制的目的是将两个实体彼此分开以保证实体的安全和可靠。,5.1.1访问控制定义,5.1访问控制技术,2.访问控制的类型 规避型控制的例子有：将资产和威胁分隔开来以规避潜在的风险；计算机设备和无线电接收设备分隔开来以避免扩散的电磁信号被外界截获；生产系统和测试系统分隔开来以避免对程序代码的污染和数据的破坏；将系统开发过程和数据输入过程分隔开来；将系统组件相互分隔开来。,5.1.1访问控制定义,5.1访问控制技术,3.访问控制的手段 访问控制的手段可分为物理类控制手段、

6、管理类控制手段、技术类控制手段三个层次，每个层次又可分为防御型和探测型，以下分类列出部分访问控制手段，如表 51所示。,5.1.1访问控制定义,5.1访问控制技术,访问控制的手段分类说明,5.1访问控制技术,访问控制的手段分类说明,5.1访问控制技术,访问控制模型是用于规定如何作出访问决定的模型。传统的访问控制模型包括一组由操作规则定义的基本操作状态。典型的状态包含一组主体（S）、一组对象（O）、一组访问权(AS，O)包括读、写、执行和拥有。 访问控制模型涵盖对象、主体和操作，通过对访问者的控制达到保护重要资源的目的。对象包括终端、文本和文件，系统用户和程序被定义为主体。操作是主体和对象的交互

7、。访问控制模型除了提供机密性和完整性外还提供记帐性。记帐性是通过审计访问记录实现的，访问记录包括主体访问了什么对象和进行了什么操作。,5.1.3 主机访问控制模型,5.1访问控制技术,5.1.2 主机访问控制模型,自主 访问控制,强制 访问控制,基于角色 访问控制,访问控制,5.1访问控制技术,表 52访问矩阵,5.1访问控制技术,1.自主访问控制（DAC-discretionary Access Control） 自主访问控制是由客体自主地确定各个主体对它的直接访问权限（又称访问模式）。 这种方法能够控制主体对客体的直接访问，但不能控制主体对客体的间接访问(利用访问的传递性，即A可访问B，B

8、可访问C，于是A可访问C)。 目前常用的操作系统中的文件系统，使用的是自主访问控制方式，因为这比较适合操作系统的资源的管理特性 。 自主访问控制经常通过访问控制列表实现，访问控制列表难于集中进行访问控制和访问权力的管理。,5.1.2 主机访问控制模型,5.1访问控制技术,2.强制访问控制（MAC-Mandatory Access Control） 强制访问控制是一种不允许主体干涉的访问控制类型。它是基于安全标识和信息分级等信息敏感性的访问控制。 由一个授权机构为主体和客体分别定义固定的访问属性，且这些访问权限不能通过用户来修改。B类计算机采用这种方法，常用于军队和政府机构。 例如将数据分成绝密

9、、机密、秘密和一般等几类。用户的访问权限也类似定义，即拥有相应权限的用户可以访问对应安全级别的数据，从而避免了自主访问控制方法中出现的访问传递问题。这种方法具有层次性的特点，高级别的权限可访问低级别的数据。,5.1.2 主机访问控制模型,5.1访问控制技术,3.基于角色的访问控制 是对自主控制和强制控制机制的改进，它基于用户在系统中所起的作用来规定其访问权限。这个作用（即角色rule）可被定义为与一个特定活动相关联的一组动作和责任。角色包括职务特征、任务、责任、义务和资格。 例如担任系统管理员的用户便有维护系统文件的责任和权限，而并不管这个用户是谁。,5.1.2 主机访问控制模型,5.1访问控

10、制技术,3.基于角色的访问控制 特点： (1)提供了三种授权管理的控制途径： 改变客体的访问权限； 改变角色的访问权限； 改变主体所担任的角色。 (2)提供了层次化的管理结构，由于访问权限是客体的属性，所以角色的定义可以用面向对象的方法来表达，并可用类和继承等概念来表示角色之间的关系。 (3)具有提供最小权限的能力，由于可以按照角色的具体要求来定义对客体的访问权限，因此具有针对性，不出现多余的访问权限，从而降低了不安全性。,5.1.2 主机访问控制模型,5.1访问控制技术,3.基于角色的访问控制 特点： (4)具有责任分离的能力，不同角色的访问权限可相互制约，即定义角色的人不一定能担任这个角色

11、。因此具有更高的安全性。 非任意访问控制（non-discretionary access control）是为满足安全策略和目标而采用的一系列集中管理的控制手段。访问控制是由访问者在机构中的角色决定的。角色包括职务特征、任务、责任、义务和资格。访问者在系统中的角色有管理者赋予或吊销。,5.1.2 主机访问控制模型,5.1访问控制技术,信息系统中所有可控制的资源均可抽象为客体，对客体实施动作的实体称为主体，主体对客体所实施的动作需要通过访问矩阵（Access Matrix）得到授权，如表 52所示，其中，矩阵列展现控制，矩阵行展现能力。 这些授权对于主体可表示为访问权限，对于客体可表示为访问模

12、式。显然，访问权限应是访问模式的子集。,5.1.3 主机访问控制的基本方案,5.1访问控制技术,表 52访问矩阵,5.1访问控制技术,1.访问控制表方案,这是一种传统的授控机制，用访问矩阵表示，以客体为索引。即每一个访问控制列表（ACL-Access Control List）是客体（目标对象）的属性表，它给定每个主体（用户）对给定的目标的访问权限，即一系列实体及其对资源的访问权限的列表。,5.1.3 主机访问控制的基本方案,5.1访问控制技术,维护访问控表和实施访问控制本质上是系统和围绕目标的环境的责任。访问控制列表反映了一个目标对应于访问矩阵列中的内容。因此，基于身份的访问控制策略包括基于

13、个人的、基于组的和基于角色的多重策略，可以用很简单地应用访问控制列表来实现。基本的访问控制列表概念能以多种形式推广。,5.1.3 主机访问控制的基本方案,5.1访问控制技术,表 53 访问控制列表示例,5.1.3 主机访问控制的基本方案,5.1访问控制技术,访问控制列表最适合于有相对少的需要补区分的用户，并且这些用户中的绝大多数是稳定的情况。如果访问控制列表太大或经常改动，维护访问控制列表会成为最主要的问题。,5.1.3 主机访问控制的基本方案,5.1访问控制技术,2.访问能力表方案（CL-Capabilities List） 访问能力表这也是一种矩阵表示法，但以主体为索引。每个主体对应有一个

14、访问能力表，指出对各个客体的访问权限。这种方法的优缺点与直ACL相反。在分布式系统中，可允许主体只进行一次认证便获得它的CL，不必在会话期间不断地对各个分布的系统进行授权申请和处理。,5.1.3 主机访问控制的基本方案,Obj2 Own R W O,Obj2 R O,Obj2 R W O,User A,5.1访问控制技术,2.访问能力表方案 网络中通常包括多种安全区域。直接地围绕一个目标的安全区域，通常立即需要一个关于该目标的访问决策的表达。然而，访问能力适合于联系相对少的目标，并且对发起者访问控制决策容易实现的情况。访问能力方案的实施主要依赖于在系统间所采用的安全传递能力。其缺点是，目标的拥

15、有者不容易废除以前授予的权限。,5.1.3 主机访问控制的基本方案,5.1访问控制技术,5.1.3 主机访问控制的基本方案,3.授权关系方案 授权关系(Authorization relations)这种方案是ACL与CL的 结合，使用关系来表示访问矩阵。每个关系表示一个主 体对一个客体的访问权限，并使用关系式数据库来存放 这个访问矩阵。,5.1访问控制技术,网络中通常包括多种安全区域。直接地围绕一个目标的安全区域，通常立即需要一个关于该目标的访问决策的表达。然而，访问能力适合于联系相对少的目标，并且对发起者访问控制决策容易实现的情况。访问能力方案的实施主要依赖于在系统间所采用的安全传递能力。

16、其缺点是，目标的拥有者不容易废除以前授予的权限。,5.1.3 主机访问控制的基本方案,5.1访问控制技术,访问控制管理涉及访问控制在系统中的部署、测试、监控以及对用户访问的终止。虽然不一定需要对每一个用户设定具体的访问权限，但是访问控制管理依然需要大量复杂和艰巨的工作。访问控制决定需要考虑机构的策略、员工的职务描述、信息的敏感性、用户的职务需求等因素。,5.1.4主机访问控制管理,5.1访问控制技术,有三种基本的访问管理模式： （1）集中式 （2）分布式 （3）混合式 每种管理模式各有优缺点。应该根据机构的实际情况选择合适的管理模式。,5.1.4主机访问控制管理,5.1访问控制技术,1.集中式

17、管理 集中管理就是由一个管理者设置访问控制。当用户对信息的需求发生变化时，只能由这个管理者改变用户的访问权限。由于只有极少数人有更改访问权限的权力，所以这种控制是比较严格的。每个用户的账号都可以被集中监控，当用户离开机构时，其所有的访问权限可以很容易地被终止。因为管理者较少，所以整个过程和执行标准的一致性就比较容易达到。但是，当需要快速而大量修改访问权限时，管理者的工作负担和压力就会很大。,5.1.4主机访问控制管理,5.1访问控制技术,2.分布式管理 分布式管理就是把访问的控制权交给了文件的拥有者或创建者，通常是职能部门的管理者（functional managers）。这就等于把控制权交给

18、了对信息负有直接责任、对信息的使用最熟悉、最有资格判断谁需要信息的管理者的手中。但是这也同时造成在执行访问控制的过程和标准上的不一致性。在任一时刻，很难确定整个系统所有的用户的访问控制情况。不同管理者在实施访问控制时的差异会造成控制的相互冲突以致无法满足整个机构的需求。同时也有可能造成在员工调动和离职时访问权不能有效地清除。,5.1.4主机访问控制管理,5.1访问控制技术,3.混合式管理 混合式管理是集中式管理和分布式管理的结合。它的特点是由集中式管理负责整个机构中基本的访问控制，而由职能管理者就其所负责的资源对用户进行具体的访问控制。混合式管理的主要缺点是难以划分哪些访问控制应集中控制，哪些

19、应在本地控制。,5.1.4主机访问控制管理,5.1访问控制技术,防火墙是一种安全有效的防范技术，是访问控制机制、安全策略和防入侵措施。 从狭义上讲，防火墙是指安装了防火墙软件的主机或路由器系统； 从广义上讲，防火墙还包括了整个网络的安全策略和安全行为。它是通过在网络边界上建立起来的相应网络安全监测系统来隔离内部和外部网络，以确定哪些内部服务允许外部访问，以及允许哪些外部服务访问内部服务，阻挡外部网络的入侵。,5.2防火墙技术,防火墙在Internet与内部网中的位置,5.2防火墙技术,1.防火墙的作用 防火墙从本质上说是一些设备，是外部网络访问内部网络的访问控制设备，是用来保护内部网络的数据、

20、资源和用户声誉的。防止Internet上的危险（病毒、资源盗用等）传播到的网络内部。这样的设备通常是单独的计算机，路由器或防火墙盒（专有硬件设备）。 它们充当访问网络的唯一入口点，并且判断是否接收某个连接请求。只有来自授权主机根据用户的服务需要，保证一定的安全系数。,5.2.1防火墙概述,5.2防火墙技术,1.防火墙的作用,5.2.1防火墙概述,把安全网络连接到不安全全网上。 保护安全网络最大程度地访问网络。 将不安全网络转变成安全网络。,间谍：试图偷走敏感信息的黑客的和闯入者；,盗窃：盗窃对象包括数据、磁盘空间、资源等；,破坏系统：通过路由器或主机/服务器蓄意破坏文件系统或阻止授权用户访问内

21、部网络（外部网络）和服务器。,5.2防火墙技术,2.防火墙设置的必要性 （1）集中化的安全管理，强化安全策略 由于Internet上每天都有上百万人在 那里收集信息、交换信息，不可避免地会出现个别品德不良的人，或违反规则的人，防火墙是为了防止不良现象发生的“交通警察”，它执行站点的安全策略，仅仅容许“认可的”和符合规则的请求通过。 （2）网络日志及使用统计 因为防火墙是所有进出信息必须通路，所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点，防火墙能在被保护的网络和外部网络之间进行记录，对网络存取访问进行和统计。,5.2.1防火墙概述,5.2防火墙技术,2.防火墙设置的必要

22、性 （3）保护那些易受攻击的服务 防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。 （4）增强的保密 用来封锁有关网点系统的DNS信息。因此，网点系统名字和IP地址都不要提供给Internet。 （5）实施安全策略 防火墙是一个安全策略的检查站，控制对特殊站点的访问。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。,5.2.1防火墙概述,5.2防火墙技术,3.防火墙组成,5.2.1防火墙概述,5.2防火墙技术,5.2.1防火墙概述,防火墙由安全操作系统 过滤器：过滤器（filter）阻止某一类别的流量 网关

23、 域名服务 E-mail处理等部分组件构成，如图 56所示。 SOCKS协议：IETF的AFT（Authenticated Firewall Traversal） 工作组开发了一种同时支持TCP和UDP应用 穿越防火墙的通用认证框架。,5.2防火墙技术,开放式 Internet 接入,过滤器,过滤器、网关,过滤器、网关和域名服务及邮件处理,过滤器、网关、域名服务、邮件处理、安全操作系统,过滤器、网关、域名服务邮件处理、数据完整性、安全操作系统,无接入,功能,安全性 完全安全性 安全级,4.防火墙的安全级 根据防火墙的安全策略的不同，防火墙的安全级别也不同。,5.2.1防火墙概述,5.2防火墙技

24、术,5.防火墙不能对付的安全胁协 (1)不能防范来自内部恶意的知情者的攻击 防火墙不能防止专用网中内部用户对资源的攻击。它只是设在专用网和Internet之间，对其间的信息进行干预的安全设施。防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在 公文包中带出去。 (2)不能防范不通过它的连接 只对所有通过防火墙的进行Internet数据流进行处理，才能发挥防火墙的作用。防火墙能够有效地防止通过它进行传输信息，然而不能防止不通过它而传输的信息。如果用网中有些资源绕过防火墙直接与Internet连通，则得不到防火墙的保护。,5.2.1防火墙概述,5.2防火墙技

25、术,5.防火墙不能对付的安全胁协 (3)防火墙不能防范病毒 一般防火墙不对专用网提供防护外部病毒的侵犯。病毒可以通过FTP或其它工具传至专用网。如果要实现这种防护，防火墙中应设置检测病毒的逻辑。 (4)不能防备全部的威胁 防火墙被用来防备已知的威胁，如果是一个很好的防火墙设计方案，可以防备新的威胁，但没有一个防火墙能自动防御所有的新的威胁。,5.2.1防火墙概述,5.2防火墙技术,防火墙系统的体系结构可以说成为够成防火墙系统的拓扑结构。 网络对外呈现的安全水平依赖于所用防火墙系统的体系结构。一般将防火墙体系结构区分三种。 1.双宿主机体系结构 2.屏蔽主机体系结构 3.屏蔽子网体系结构,5.2

26、.2 防火墙系统的体系结构,5.2防火墙技术,1.双宿主机体系结构 (1)多宿主机（multi-homed host） 多宿主机一词用来描述具有多个网络 接口板控制的的主机。它们被广泛用于两个或多个局域网的系统中。,5.2.2 防火墙系统的体系结构,5.2防火墙技术,1.双宿主机体系结构 (2)双宿主机 双宿主机体系结构是多宿主机的一个特例，是连接两个网络的计算机系统，是围绕具有双宿主的主机计算机而构筑的，这样的主机可以充当与这些接口相连的网络之间的路由器，并能够从一个网络到另一个网络发送IP数据包。然而，实现双宿主机的作为防火墙的双宿主机体系结构禁止这种发送IP数据包功能。,5.2.2 防火

27、墙系统的体系结构,5.2防火墙技术,1.双宿主机体系结构,5.2.2 防火墙系统的体系结构,5.2防火墙技术,网络1上的主机A可以访双宿主机上的应用程序A。类似的，主机B可以访问双宿主机上的应用程序B。双宿主机上的这个两个应用程序甚至可以共享数据来交换信息是完全可能的，并且，在双宿主机上相连的两个网络段之间没有网络流量的交换。 双宿主机网关是在堡垒主机中插装两块网络口卡，并在其上运行服务器软件，受保护网与Internet之间不能直接进行通信，必须经过壁垒主机，因此，不必现实的列出保护网与外部网之间的路由，从而达到受保护网除了看到壁垒主机之外，不能看到其他任何系统效果。,5.2.2 防火墙系统的

28、体系结构,5.2防火墙技术,因而，IP数据分组从一个网络（例如，Internet）并不是直接发送到其它网络（例如，内部的、被保护的网络）。防火墙内部的系统能与双宿主机通信，同时防火墙外部的系统（在Internet上）能与双宿主机通信，但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。,双宿主机的防火墙体系结构很简单，双宿主机位于两者之间，并且被连接到Internet和内部的网络。如图 510所示.,5.2.2 防火墙系统的体系结构,5.2防火墙技术,作为防火墙的双宿主机,外部,内部,5.2.2 防火墙系统的体系结构,5.2防火墙技术,双宿主机是防火墙使用的最基本配置，双宿主防火墙主机

29、的重要性是路由被禁；网段之间唯一的路径是通过应用层的功能。如果路由意外地设有配置，且IP转发允许，那么双宿主防火墙的应用层功能就可能被越过。,5.2.2 防火墙系统的体系结构,5.2防火墙技术,屏蔽主机体系结构,2.屏蔽主机体系结构 屏蔽主机体系结构防火墙配置需要一个带数据分组过滤功能的路由器和一台堡垒主机，如图所示。 .,5.2.2 防火墙系统的体系结构,5.2防火墙技术,2.屏蔽主机体系结构 在这种体系结构中，防火墙系统提供的安全等级较高，因为它实现了网络层安全和应用层安全。所以入侵者在破坏内部网络安全之前，必须首先渗透两种不同的安全系统。 使用一个单独的路由器控制所有出入内部网的访问，并

30、将所有的请求传送给堡垒主机。主要的安全由数据包过滤。代理服务将通过防火墙的通信链路分为两段：防火墙内外的计算机系统的应用层链路优先两个终止于Proxy Server的“链路”来实现：外部计算机的网络链路只能达到Proxy Server，从而内网与外网计算机系统实现隔离。,5.2.2 防火墙系统的体系结构,5.2防火墙技术,3.屏蔽子网体系结构 屏蔽子网体系结构添加额外的安全层到屏蔽主机体系结构。用两个分组过滤路由器和一个堡垒主机，在内部网络与Internet之间有一个小型的独立网络，即通过添加周边网络更进一步地把内部网络与Internet隔离开，如图所示。,5.2.2 防火墙系统的体系结构,5

31、.2防火墙技术,3.屏蔽子网体系结构,5.2.2 防火墙系统的体系结构,5.2防火墙技术,3.屏蔽子网体系结构 两个分组过滤路由器，一个位于周边网与内部的网络之间，另一个位于周边网与外部网络之间。 通过屏蔽子网防火墙访问内部网络要受到路由器过滤规则的保护。堡垒主机、信息服务器、调制解调器组以及其他公用服务器放在子网中。屏蔽子网中的主机是内部网和Internet都能访问唯一系统，他支持网络层和应用层安全功能。 （1）周边网络 周边网络是另一个安全层，是在外部网络与用户的被保护的内部网络之间的附加的网络。如果侵袭者成功地侵入用户的防火墙的外层领域，周边网络在那个侵袭者与用户的内部系统之间提供一个附

32、加的保护层。,5.2.2 防火墙系统的体系结构,5.2防火墙技术,3.屏蔽子网体系结构 （2）堡垒主机 将过滤和代理服务等功能结合起来形成新的防火墙，所用主机称为堡垒主机（bastion Hosts）。堡垒主机是一个组织的网络安全的中心主机。它是一个专门的系统，具有特殊的装备，并能抵御攻击。堡垒主机提供安全性功能的几种特点如下： 堡垒主机的硬件执行一个安全版本的操作系统。 只有网络管理员认为必需的服务才能在堡垒主机上安装。 每个代理在堡垒主机上都以非特权用户的身份运行在其自己的并且是安全的目录中。,5.2.2 防火墙系统的体系结构,5.2防火墙技术,3.屏蔽子网体系结构 （2）堡垒主机 堡垒主

33、机负责提供代理服务。一般采用以下几种技术： 动态包过滤； 内核透明技术； 用户认证机制； 内容和策略感知能力； 内部信息隐藏； 智能日志、审计和实时报警； 防火墙的交互操作性等。,5.2.2 防火墙系统的体系结构,5.2防火墙技术,3.屏蔽子网体系结构 （3）内部路由器 内部路由器（有时被称为阻塞路由器）保护内部的网络使之免受 Internet 和周边网的侵犯。 内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网到Internet的有选择的出站服务。这些服务是用户的站点能使用数据包过滤而不是代理服务 安全支持和安全提供的服务。 内部路由器所允许的在堡垒主机（在周边网上）和用户的

34、内部网之间服务可以不同于内部路由器所允许的在 Internet和用户的内部网之间的服务。限制堡垒主机和内部网之间服务的理由是减少由此而导致的受到来自堡垒主机侵袭的机器的数量。,5.2.2 防火墙系统的体系结构,5.2防火墙技术,3.屏蔽子网体系结构 （4）外部路由器 外部路由器有时也被称为访问路由器，起着保护周边网和内部网免受来自Internet 的攻击。实际上，外部路由器倾向于允许几乎任何信息从周边网出站，并且它们通常只执行非常少的数据包过滤。保护内部机器的数据包过滤规则在内部路由器和外部路由器上基本上应该是一样的；如果在规则中有允许攻击者访问的错误，错误就可能出现在两个路由器上。 实际上外

35、部路由器能有效地执行的安全任务之一是：阻止从Internet上伪造源地址进来的任何数据包。这样的数据包自称来自内部的网络，但实际上是来自 Internet。,5.2.2 防火墙系统的体系结构,5.2防火墙技术,4.防火墙体系结构的组合形式 建造防火墙时，一般很少用单一的技术，通常是多种解决不同问题的技术的组合。这种组合主要取决于网管中心向用户提供什么样的服务，以及网管中心能接受什么等级风险。采用哪种技术主要取决于经费，投资的大小或技术人员的技术、时间等因素。,5.2.2 防火墙系统的体系结构,5.2防火墙技术,4.防火墙体系结构的组合形式 使用多堡垒主机； 合并内部路由器与外部路由器； 合并堡

36、垒主机与外部路由器； 合并堡垒主机与内部路由器； 使用多台内部路由器； 使用多台外部路由器； 使用多个周边网络； 使用双重宿主机与屏蔽子网。,5.2.2 防火墙系统的体系结构,5.2防火墙技术,防火墙系统是外部网络与内部网络之间的物理与逻辑界面。从外部来看，防火墙借助于不同的传输接口打开了进入内部网络的通道。通信接口支配着控制装置，允许内部与外部网络之间建立连接。对于接口的不同访问，防火墙基本上分为三种类。数据包过滤器、电路层网关和应用层网关。这三种类型的防火墙个有利弊，在实际应用中需考虑网络环境、安全策略和安全级别等各方面的因素来选择相应的防火墙。,5.2.3防火墙的类型,5.2防火墙技术,

37、1.包过滤路由器 欲保护网络的一种办法是正确配置过滤器，路由能够区分网络流量、协议特写的标准，路由在其端口具有区分分组和限制分组的能力叫作分组过滤。因此，过滤路由器也称作分组过滤路由器（Packet-filtering Firewall）。 分组过滤器安装在路由器上，当然PC机上也可以安装包过滤软件。它工作在网络层（IP），因此也称为网络防火墙。分组过滤路由器对每个进入的IP分组使用一个规则集合，然后转发或者丢弃该分组。该路由器通常都被配置成过滤双向的分组(来自内部或进入内部网络)。,5.2.3防火墙的类型,5.2防火墙技术,1.包过滤路由器 （1）过滤规则 包过滤规则是基于所收到的数据包的源

38、地址、目的地址、TCP/UDP、源端口号及目的端口号、分组出入接口、协议类型和数据包中的各种标志位等参数，与管理者预定的访问控制表（拟定一个提供接收和服务对象的清单，一个不接受访问或服务对象的清单）进行比较，按所定安全政策实施允许或拒绝访问，决定数据是否符合预先制定的安全策略，决定数据分组的转发或丢弃，即实施信息过滤。,5.2.3防火墙的类型,5.2防火墙技术,1.包过滤路由器 （1）过滤规则 它实际上是控制内部网络上的主机直接访问外部网络，而外部网络上的主机对内部网络的访问则要受到限制，大多数在路由增设这类功能。如图 513所示数据包过滤路由器用于OSI七层模型中的例子。,5.2.3防火墙的

39、类型,5.2防火墙技术,1.包过滤路由器 （1）过滤规则 典型地，分组过滤器被建立成一组规则的列表。这些规则基于与IP或TCP首部中字段的匹配。如果存在与一个规则的匹配，那条规则就会被调用来决定转发规则还是丢弃规则。如果和任何规则都不能匹配，那就采取一个默认动作。 两个默认策略是可能的： 默认=丢弃：没有明确允许的就被禁止。 默认=转发：没有明确禁止的就是允许。,5.2.3防火墙的类型,5.2防火墙技术,1.包过滤路由器 （1）过滤规则 表5-5至表5-9给出某个防火墙的一些分组过滤规则集合的例子。在每个集合中，规则是自顶向下应用的。字段中的“*”是一个匹配所有信息的通配符指示符，假设防火墙执

40、行的是默认=丢弃的策略。 表5-5,5.2.3防火墙的类型,5.2防火墙技术,1.包过滤路由器 （1）过滤规则 表5-5 表 55所示的规则是，允许的来自其它主机的邮件进入端口25（用于SMTP输入），但只是到网关主机OUR-GW。而来自特定外部主机SPIGOT的邮件要被阻塞，因为那个主机有在电子邮件报文中发送大规模文件的历史。,5.2.3防火墙的类型,5.2防火墙技术,1.包过滤路由器 （1）过滤规则 表5-6 表 56所示的规则显式说明是默认策略。所有规则集合都是将这个规则隐含地作为最后一条规则。,5.2.3防火墙的类型,5.2防火墙技术,1.包过滤路由器 （1）过滤规则 表5-7 表 5

41、7所示规则说明，任何内部主机都可以向外界发送邮件。目的端口为25的TCP分组被路由到目的机器上的SMTP服务器。这条规则的问题在于使用端口25作为SMTP接收者只是默认的；外部的机器可能配置成将某个其他应用连接到端口25。当这个规则写下后，攻击者就可以通过发送TCP源端口号为25的分组来获得内部机器的访问权。,5.2.3防火墙的类型,5.2防火墙技术,1.包过滤路由器 （1）过滤规则 表5-8 表中规则说明，允许源IP地址是指定的内部主机中的一个,并且目的TCP 端口号为25的IP分组进入；并允许源端口号为25且TCP报文段的ACK标记被置位的分组进入。规则利用了TCP连接的一个特征。一旦建立

42、连接，另一方发送的确认报文段中的TCP报文段的ACK标记会被置位。,5.2.3防火墙的类型,5.2防火墙技术,1.包过滤路由器 （1）过滤规则 表5-9 表中的规则是处理FTP连接的一种方法。对于FTP使用了两个TCP连接：建立文件传输的控制连接和用于实际文件传输的数据连接。数据连接使用了为这个传输动态分配的不同的端口号。大多数服务器，因此也是大多数的攻击目标，存在于低编号的端口；大多数的输出调用倾向于使用更高编号的端口，典型1023以上。,5.2.3防火墙的类型,5.2防火墙技术,1.包过滤路由器 （2）对分组过滤路由器攻击及安全策略 1）IP地址欺骗 入侵者传输来自外部的、源站IP地址字段

43、包含了一个内部主要机地址的分组。攻击者希望使用欺骗地址将允许其渗透到配置了简单的源地址安全性的系统里，其中来自指定的可信任的内部主机的分组将被接受。对策是丢弃那些从外部接口到达的，但却具有一个内部源地址的分组。 2）源站选路攻击 源站说明了分组穿过Internet应该采用的路由，希望可以绕过不对源路由选择信息进行分析的安全检查。对策是丢弃所有使用这个选项的分组。,5.2.3防火墙的类型,5.2防火墙技术,1.包过滤路由器 （2）对分组过滤路由器攻击及安全策略 3）微小分片攻击 入侵者使用IP分片选项来创建及其小的分片，并且迫使TCP首部信息进入一个单独的分组分片。这种攻击被设计成用来逃避依赖于

44、TCP首都信息的过滤规则。攻击者希望只有第一个分片被过滤路由器检查，剩余的分片就会被传递过去。通过丢弃所有协议类型，是TCP并且IP分片偏移等于1的分组打败微小分片攻击方法。,5.2.3防火墙的类型,5.2防火墙技术,1.包过滤路由器 （3）特点 分组过滤路由器优点： 简单、方便、速度快、透明性好，成本较低，对网络性能影响不大。 分组过滤路由器缺点： 缺乏用户日志（log）和审计信息（audit），缺乏用户认证机制，不具备登录和报告性能，不能进行审核管理，且过滤规则的完备性难以得到检验，复杂过滤规则的管理很困难。许多路由对欺骗性攻击很脆弱。它不能分辨好的和坏的用户，只能区分好的分组和坏的分组。

45、 过多地严格强调过滤的时候，路由器的性能会迅速下降（取决于预期的流入流量有多少）。,5.2.3防火墙的类型,5.2防火墙技术,2.代理服务器 （1）代理 代理服务器型防火墙（Proxy Service Firewall）通过在主机上运行代理的服务程序，直接对特定的应用层进行服务，因此也称为应用级网关。它担任应用级通信量的中继，应用网关与ISO七层模型如图 514所示，其核心是运行于防火墙主机上的代理服务器进程，代理网络用户完成TCP/IP功能。,5.2.3防火墙的类型,5.2防火墙技术,2.代理服务器 （1）代理,5.2.3防火墙的类型,应用网关与OSI七层模型,5.2防火墙技术,2.代理服务

46、器 （1）代理 在堡垒主机中设置一个负责与外部网络进行邮件交互的外部SMTP服务器转发； 外部网络发到内部网络的邮件由外部SMTP服务器送到内部SMTP服务器处理，而不直达内部主机。这样作为代理的堡垒主机就不必处理内部别名和内部邮件配置，简化了堡垒主机的配置工作。 在内边界路由器中设置端口变换功能，将向内的邮件通信变换到内部约定的非标准端口，向外的邮件通过变换成标准端口。攻击者即使攻破了外部的邮件系统，也仍然被内部路由器所阻挡，无法通过SMTP连接攻击内部系统。,5.2.3防火墙的类型,5.2防火墙技术,2.代理服务器 （1）代理 例如,SMTP代理。因为SMTP是一个存储转发协议，每一个SM

47、TP服务器都有可能为其他服务器转发邮件，所以特别适合于进行代理。为了便于内外信息交换和信息的安全管理，SMTP的配置往往使用多服务器的方式，如图所示。,5.2.3防火墙的类型,5.2防火墙技术,2.代理服务器 （2）代理服务器特点 优点：代理服务器比分组过滤器更安全。这种防火墙能完全控制网络信息的交换、控制会话过程，具有灵活性和安全性，但可能影响网络的性能，对用户不透明，且对每一种服务器都要设计1个代理模块，应用层网关能让网络管理员对服务进行全面的控制。 在应用层对所有进入的通信量记录日志和审计也很容易。支持可靠的用户认证并提供详细的注册信息； 用于应用层的过滤规则相对于包过滤路由器来说更容易

48、配置和测试。,5.2.3防火墙的类型,5.2防火墙技术,2.代理服务器 （1）代理服务器特点 缺点：是每个连接上增加了额外的处理负载。从效果上看，最终用户之间存在两个串接的连接，网关处于串接点，网关必须在两个方向上检查和转发所有通信量。要求用户改变自己的行为，或者在访问代理服务的每个系统上安装特殊的软件。 例如，透过应用层网关Telnet访问要求用户通过二步而不是一步来建立连接。不过，特殊的端系统软件可以让用户在Telnet命令中指定目标主机而不是应用层网关来应用层网关透明。,5.2.3防火墙的类型,5.2防火墙技术,3.电路层网关 电路层网关（Circuit level Gateways ）

49、在网络的传输层上实施访问策略，这可能是一个单独的系统或者可能是一个应用网关为特定应用程序完成的专门功能，电路层网关与OSI七层模型如图所示。,5.2.3防火墙的类型,5.2防火墙技术,3.电路层网关 网关建立了两个TCP连接，一个是在网关本身和内部主机上的一个TCP用户之间，一个是在网关和外部主机上的一个TCP用户之间。一旦两个连接建立起来了，网关的中继程序从一个连接向另个连接转发TCP报文段，而不检查其内容。安全功能体现在决定哪些连接是允许的。电路级网关典型应用场合是系统管理员信任内部用户的情况。即是在内、外网络主机之间建立1个虚拟电路，进行通信，相当于在防火墙上直接开了个口子进行传输。在这

50、种配置中，网关可能为了禁止功能而导致检查进入的应用数据的开支，但不会导致输出数据上的处理开支。,5.2.3防火墙的类型,5.2防火墙技术,在同一结构的两个部分之间，或者在同一内部网的两个不同组织结构之间建立的防火墙,被称为内部防火墙。 因为网络中每一个用户所需要的服务和信息经常是不一样的，它们对安全保障的要求也不一样，所以可以将网络组织结构的一部分与其余站点隔离开。例如，财务部门与其它部门分开，人事部门与办公管理部门分开等。许多用于建立外部防火墙的工具与技术也可用于建立内部防火墙。,5.2.4内部防火墙,5.2防火墙技术,防火墙技术向着混合使用包过滤技术、代理服务技术和其它一些新技术方向发展。

51、 客户端和服务器端的应用程序本身就支持代理服务方式。例如，许多WWW 客户服务软件包就具有代理能力。而许多象SOCKS这样的软件在运行编译时也支持类代理服务。 包过滤系统向着更具柔性和多功能的方向发展。例如动态包过滤系统中的包过滤规则可由路由器灵活、快速的来设置。一个输出的UDP 数据包可以引起对应的允许应答UDP创立一个临时的包过滤规则，允许其对应的UDP包进入内部网。 Ipv6协议对防火墙的建立与运行产生影响。,5.2.5防火墙的未来发展趋势,5.2防火墙技术,尽管广泛地采用如防火墙、代理服务器、入侵检测机制，通道控制机制等安全技术，但是由于这些技术基本都是一种逻辑机制，这对于逻辑实体（即

52、黑客或内部用户）而言，是可能被操纵的，具有技术的极端复杂性与有限性，无法满足某些组织(如军队、军工、政府、金融研究院、电信以及企业)提出的高度信息安全的要求，由此产生了物理隔离技术。 物理隔离技术主要思想：如果不存在与网络的物理连接，网络安全威胁便受到了真正的限制。,5.3 网络隔离技术,实现网络隔离的最彻底的方法是安装两套网络和计算机设备，一套对应内部网络，另一套连结Internet，两套网络互相不干扰。工作人员在进行不同的工作时，使用不同的网络和计算机。这种实施方案存在成本高和效率低两个问题，不能被多数用户接受。 要实现外部网络(公众信息网)与内部网络物理隔离的目的，就必须保证做到以下几点

53、： 在物理传输上使内外网络隔断 在物理辐射上隔断内部网与外部网 在物理存储上隔断两个网络环境,5.3 网络隔离技术,物理隔离技术实现内外网信息的隔离。网络物理隔离主要有以下几种方式： 1.客户端的物理隔离 2.集线器级的物理隔离 3.服务器端的物理隔离,5.3.1网络物理隔离的方式,5.3 网络隔离技术,1.客户端的物理隔离 这种方案用于解决网络的客户端的信息安全问题。 在网络的客户端应用物理隔离卡产品，可以使一台工作站既可连接内部网又可连接外部网，可在内外网上分时工作，同时绝对保证内外网之间的物理隔离，起到了方便工作、节约资源等目的。,5.3.1网络物理隔离的方式,5.3 网络隔离技术,2.

54、集线器级的物理隔离 集线器级的物理隔离方式需要与客户端的物理隔离产品结合起来应用。在客户端的内外双网的布线上使用一条网络线，通过远端切换器连接内外双网，实现一台工作站连接内外两个网络的目的，并在网络布线上避免了客户端要用两条网络线连接网络。,5.3 网络隔离技术,5.3.1网络物理隔离的方式,3.服务器端的物理隔离 服务器端的物理隔离方式是通过复杂的软、硬件技术实现在服务器端的数据过滤和传输任务，其技术关键还是在同一时刻内外网络没有物理上的数据连通，但又快速分时地处理并传递数据。,5.3 网络隔离技术,物理隔离技术的发展基本可分为三个阶段: 双网机技术阶段。 基于双网线的安全隔离卡技术阶段。

55、采用基于单网线的安全隔离卡加上网络选择器的技术阶段。,5.3.2 物理隔离技术的发展,5.3 网络隔离技术,1.双网机技术阶段 工作原理：在一个机箱内，设有两块主板、两套内存、两块硬盘，相当于两台机器共用一台显示器。用户通过客户端开关，分别选择两套计算机系统。这一代产品客户端的成本很高，并且要求网络布线为双间线结构，技术水平相对简单，目前的用户已经不多。,5.3.2 物理隔离技术的发展,5.3 网络隔离技术,1.基于双网线的安全隔离卡技术阶段 工作原理：客户端增加一块PCI卡，客户端硬盘或其他存储设备首先连接到该卡，然后再转接到主板，通过该卡用户就能控制客户端硬盘或其他存储设备。用户在选择硬盘

56、的时候，同时也选择了该卡上所对应的网络接口，连接到不同的网络。该方法较第一代产品技术水干更高，而且大大降低了成本。但是，这一代产品仍然要求网络布线采用双网线结构。这样，如果用户在客户端交换两个网络的网线连接，内外网的存储介质也就同时被交换了，因此这一代产品客户端还存在较大的安全隐患。,5.3.2 物理隔离技术的发展,5.3 网络隔离技术,3.采用基于单网线的安全隔离卡加上网络选择器的技术阶段。 客户端依然采用类似第二代双网线安全隔离卡的技术，所不同的是，第三代产品只采用一个网络接口，通过网线将不同的电平信号传递到网络的选择端，在网络选择端安装网络选择器，并根据不同的电平信号，选择不同的网络连接

57、。该类产品能有效地利用用户现有的单网线网络环境，实现成本较低。由于选择网络的选择器不在客户端。因此系统的安全性有了极大提高。,5.3.2 物理隔离技术的发展,5.3 网络隔离技术,目前实现网络隔离的基本技术主要有: 网络安全隔离卡; 安全集线器技术; 单主板安全隔离计算机;,5.3.3 网络隔离的基本技术,5.3 网络隔离技术,1.网络安全隔离卡 功能：以物理方式将一台工作站或PC虚拟为两部计算机，实现工作站的双重状态（安全状态、公共状态） ，这两种状态是完全隔离的，从而使一部工作站可在完全状态下连接内外网。网络安全隔离卡实际上是将一台工作站或PC的单个硬盘物理分割为两个分区，即公共区(Pub

58、lic)和安全区(Secure)。这些分区容量可以由用户指定。这样可以使一台工作站或PC能够连接两个网络。,5.3.3 网络隔离的基本技术,5.3 网络隔离技术,1.网络安全隔离卡 做法：利用S1S2转换开关进行网络转换，并利用可移动磁盘来存锗数据。连接到安全网络时必须插入安全硬盘。连接到公共网络时必须进行操作：按正常方式退出操作系统；关闭计算机；将安全硬盘转换为公共硬盘；切换S1S2转换开关到公共网络；启动计算机，在公共区内继续工作。,5.3.3 网络隔离的基本技术,网络安全隔离卡示意,5.3 网络隔离技术,2.网络安全隔离集线器 网络安全隔离集线器系统可以让所有用户（使用以太网、快速以太网或令牌环网连接到两个物理独立的网络用户），能使用现有的单一布线系统，节约了费用和精力。 网络安全隔离集线器是一种多路开关切换设备，它与网络安全隔离卡配合使用。它具有标准的RJ45接口，如图 519所示，入口与网络安全隔离卡相连，出口分别与内外网络的集线揣(hub)相连。,5.3.3 网络隔离的基本技术,5.3 网络隔离技术,2.网络安全隔离集线器,5.3.3 网络隔离的基本技术,5.3 网络隔离技术,3.单主板安全隔离计算机,是指采用彻底实现内外网物理隔离的个人计算机，这种双网计算机的成本仅仅增加了25左右，并且由