计算机网络安全课件(沈鑫剡)第7章.ppt

1、计算机网络安全,第七章,第7章 防火墙,防火墙概述； 分组过滤器； 堡垒主机； 统一访问控制。 防火墙是一种对不同网络之间信息传输过程实施监测和控制的设备，尤其适用于内部网络和外部网络之间的连接处。,防火墙概述,防火墙功能 服务控制 不同网络间只允许传输与特定服务相关的信息流。 方向控制 不同网络间只允许传输与由特定网络中终端发起的会话相关的信息流。 用户控制 不同网络间只允许传输与授权用户合法访问网络资源相关的信息流。 行为控制 不同网络间只允许传输与行为合理的网络资源访问过程相关的信息流。,如果不与操作系统的安全访问机制相结合，个人防火墙的功能相对简单； 有状态检查防火墙的功能已经涵盖电路

2、层网关和应用层网关的功能，但对终端用户是透明的。,防火墙概述,防火墙分类,电路层网关对运输层连接进行监测和控制，包括连接发起者的身份认证、经过连接传输的TCP报文的合理性等； 应用层网关对特定应用相关的消息交换过程实施监测控制和，包括请求、响应过程，请求、响应报文中各字段的正确性，传输内容的合理性和合法性等。,防火墙概述,电路层网关工作机制,先认证用户身份，确定是授权用户发起的TCP连接时，再与服务器建立TCP连接。,7.2 分组过滤器,无状态分组过滤器； 有状态分组过滤器。 分组过滤器根据规则鉴别出一组多个字段值等于设定值的IP分组，并对其进行规定操作。这些字段值可以是IP分组首部字段值，可

3、以是运输层首部字段值（电路层网关功能），也可以是应用层消息的各个字段值（应用层网关的功能）。有状态和无状态的区别在于无状态逐个IP分组单独处理，有状态是基于会话，对属于相同会话的一组IP分组进行联合处理，会话可以是TCP连接，也可以是应用层请求、响应过程。因此，有状态分组过滤器的功能涵盖了电路层和应用层网关的大部分功能，但分组过滤器对终端用户是透明的。,源IP地址/24,一、分组过滤,目的IP地址/24,目的IP地址/24,源IP地址/24,目的IP地址/24,源IP地址/24,源IP地

4、址=/24 .and. 目的IP地址=/32 .and. 目的端口号=23，对和规则匹配的IP分组采取的动作是：拒绝传输 。,一、分组过滤,要求LAN 1中终端不能通过TELNET访问LAN 2中服务器。,IP分组的源地址属于LAN1子网地址，目的地址是LAN2服务器，端口号必须确定是TELNET应用。,只允许LAN2中终端访问LAN1中的WEB服务器。,源IP地址= .and. 目的IP地址=/24 .and. 源端口号=80，对和规则匹配的IP分组采取的动作是：允许传输 。,不允许和LAN1中终端通过TELNET访问L

5、AN2中服务器操作有关的信息经过路由器R1。,防火墙动态分组过滤,只允许终端A用Telnet访问终端B，不允许终端B访问终端A。,终端A ,终端B ,源IP地址 .and.目的IP地址 .and. 源端口号23,只允许终端B向终端A回信，不允许终端B主动向终端A写信。 通过寄信人和收信人地址、姓名能区分这两种类型的信吗？,对终端A写给终端B的信和终端B写给终端A的信的内容进行检查，确定是回信，则通过，不是，则过滤。,防火墙动态分组检测,动态分组检测的第一步是将网络划分成三个区，然后对区间进行的访问过程全程监控。,所谓全程监

6、控是根据访问策略确定信息流顺序，然后对每一次信息流传输操作进行监控，看其是否符合策略规定的顺序和动作。,防火墙动态分组检测,访问策略 从信任区到非军事区 源IP地址=/24 目的IP地址=/32 HTTP服务； 从信任区到非军事区 源IP地址=/24 目的IP地址= SMTP+POP3服务； 从信任区到非信任区 源IP地址=/24 目的IP地址= HTTP+FTP GET服务； 从非军事区到非信任区 源IP地址=/32 目的IP地址= SMTP服务； 从非信任

7、区到非军事区 源IP地址= 目的IP地址=/32 HTTP GET服务； 从非信任区到非军事区 源IP地址= 目的IP地址=/32 SMTP服务。,访问策略和分组过滤不同，不是定义了允许或不允许传输的IP分组，而是定义了整个服务过程。如第一项策略表示允许进行由信任区中终端发起的，对非军事区中的WEB服务器的访问。它允许符合这个访问过程的IP分组在信任区和非军事区之间传输。,防火墙动态分组检测,策略对应的信息交换过程，由于是允许信任区中终端发起对非信任区中WEB服务器的访问，因此，首先允许通过的是符合信任区中终端发起建立TCP连接的

8、过程的IP分组。然后允许通过的是和读取WEB内容有关的IP分组。最后，允许通过的是释放TCP连接有关的IP分组。,防火墙防拒绝服务攻击,防火墙通过只中继正常的建立TCP连接请求，来避免服务器遭受SYN泛滥攻击。,防火墙防拒绝服务攻击,通过COOKIE技术避免防火墙被SYN泛滥阻塞。,7.3 堡垒主机,网络结构； 堡垒主机工作机制； 堡垒主机功能特性。 堡垒主机是代理形式的应用层网关，由它屏蔽内部网络资源，外部网络终端只能与堡垒主机建立TCP连接，相互交换信息，堡垒主机的安全功能非常强大，不容易被黑客攻陷，外部网络终端须经堡垒主机访问内部网络资源，因此，只要保证了堡垒主机的安全性，即可保证内部网

9、络资源的安全性。,网络结构,单穴指堡垒主机只有一个接口连接内部网络； 堡垒主机的安全性基于外部网络终端必须通过堡垒主机实现对内部网络资源的访问； 单穴堡垒主机把外部网络终端通过堡垒主机实现对内部网络资源的访问的保证完全基于无状态分组过滤器的传输控制功能。,单穴堡垒主机结构,无状态分组过滤器必须保证只允许目的IP地址的IP分组进入内部网络，源IP地址的IP分组离开内部网络。即外部网络终端只能和堡垒主机通信。,双穴指堡垒主机用一个接口连接内部网络，用另一个接口连接无状态分组过滤器，并通过无状态分组过滤器连接外部网络； 这种网络结构保证外部网络必须通过堡垒主机才能

10、访问内部网络资源。,网络结构,双穴堡垒主机结构,这种结构一是保证外部网络终端必须通过堡垒主机才能实现对内部网络资源的访问； 将内部网络根据安全等级划分为不同的网段，控制堡垒主机对重要内部网络资源的访问。,网络结构,双无状态分组过滤器结构,堡垒主机的工作机制,无状态分组过滤器保证外网终端只能与堡垒主机通信； 外网终端和堡垒主机建立TCP连接后，由堡垒主机完成对外网终端的身份认证和访问权限鉴别； 如果访问权限满足外网终端提出的资源访问要求，和Web服务器建立TCP连接； 堡垒主机一直监测外网终端和Web服务器之间的请求、响应过程和传输内容。,网络结构,堡垒主机自身安全性必须得到保证； 由于堡垒主机

11、是代理形式的应用层网关，所支持的应用层服务应该能够动态增删； 堡垒主机具备认证用户身份的能力，因此，或者自身由注册信息库，或者能够访问到注册信息库； 堡垒主机必须能够为不同的用户设置不同的访问权限； 堡垒主机必须能够详细记录外网终端访问内部网络资源的过程。,堡垒主机的功能特性,7.4 统一访问控制,系统结构； 实现原理； 应用实例。 防火墙访问控制策略能够控制属于不同网络的终端间的信息交换过程，但这种控制一是基于终端（由IP地址标识），二是静态，终端用户改变，或是终端安全状态改变不会改变防火墙的安全访问控制策略，但实际应用过程中，同一终端，当不同用户使用时，访问权限应该是不同的（访问控制策略基

12、于用户），二是终端状态，尤其安全状态发生改变时，如检测到感染病毒，或是遭受黑客攻击，其访问权限应该随之改变（防火墙访问控制策略是动态的），统一访问控制（UAC）就是用于实现基于用户、动态设置访问控制策略的机制。,系统结构,系统结构,UAC代理，运行于终端的软件，一是通过交互方式获得用户信息，并向安全控制器提供用户信息，二是向安全控制器提供终端状态及用户为终端设置的访问控制策略。,防火墙，策略执行部件，一是随时接收安全控制器为其制定的访问控制策略，二是根据访问控制策略调制执行机制。,安全控制器，一是建立完整的访问控制策略库，二是接收UAC代理提供的用户信息和终端状态，三是根据访问策略库和用户信息

13、及终端状态制定对应的访问控制策略，并将其传输给策略执行部件，如防火墙。,实现原理,UAC系统配置,安全控制器建立安全策略库，基于用户设置访问权限； 防火墙访问控制策略基于网络地址确定终端的访问权限； 根据对用户身份的认证结果和终端的安全状态确定用户终端的访问权限； 将接入用户终端的交换机端口配置到对应的VLAN，防火墙访问控制策略对应该VLAN的网络地址的访问权限恰好是安全控制器确定的用户终端具有的访问权限，以此完成基于用户和动态访问控制策略设置。,实现原理,实现基于用户和动态设置访问权限的关键一是认证用户身份、获知终端安全状态。二是将连接用户终端的交换机端口动态配置为和用户访问权限一致的VL

14、AN； 安全控制器需要与交换机和用户终端交换信息，802.1X及RADIUS恰好实现用户终端、交换机和安全控制器三者之间的通信问题，和交换机的动态配置问题； 这里，防火墙的访问控制策略是静态的，因此，安全控制器不需要动态配置防火墙的访问控制策略。,实现原理,应用实例,安全控制器必须完成对用户的身份认证，并将用户终端的IP地址作为用户的身份标识符，为了防止源IP地址欺骗攻击，要求建立用户和防火墙之间隧道模式的安全关联； 防火墙必须动态配置允许IP地址为的外网终端访问内部网络服务器的访问控制策略； 安全控制器和用户之间通过HTTPS交换信息，安全控制器和防火墙之间通过专用安全传输协议信息。,应用实例,用户和安全控制器之间通过HTTPS交换