第5章1 网络安全访问

1、第第5章章网络安全访问网络安全访问5.1 口令的选择口令的选择5.2 访问控制技术访问控制技术5.3 防火墙技术防火墙技术本讲目标了解信息安全门户的了解信息安全门户的2种重要技术，这些技术种重要技术，这些技术是构筑网络应用系统的基本的安全技术。是构筑网络应用系统的基本的安全技术。重点是这些技术的基本原理。重点是这些技术的基本原理。掌握访问控制技术的原理，特别注意与单机掌握访问控制技术的原理，特别注意与单机系统的区别系统的区别; 掌握防火墙技术的原理掌握防火墙技术的原理;它是如何提高网络安它是如何提高网络安全的；全的；5.1 口令选择与保护 5.1.1 对口令的攻击对口令的攻击 通过用户通过用户

2、ID和口令进行认证是网络操作系和口令进行认证是网络操作系统或网络应用程序通常采用的。统或网络应用程序通常采用的。 目前的电信诈骗基本上都是攻击口令后成目前的电信诈骗基本上都是攻击口令后成功的。功的。 社交工程：社会工程就是指采用非隐蔽方社交工程：社会工程就是指采用非隐蔽方法盗用口令等，比如冒充是处长或局长骗法盗用口令等，比如冒充是处长或局长骗取管理员信任得到口令等等。取管理员信任得到口令等等。 “钓鱼网站钓鱼网站”5.1.2 口令的选择 5.1.3 口令的保护 各种口令应当集中生成，生成的口令应各种口令应当集中生成，生成的口令应具有不可预测性。具有不可预测性。 口令长度，根据访问信息的秘密等级

3、确口令长度，根据访问信息的秘密等级确定，一般访问绝密级信息口令不应少于定，一般访问绝密级信息口令不应少于12个字符个字符(或或6个汉字个汉字)，机密级的应不少于，机密级的应不少于10个字符，秘密级的应不少于个字符，秘密级的应不少于8个字符。个字符。 人工输入的口令人工输入的口令,应妥善保存，输入时不应妥善保存，输入时不应显示在终端上，不得将口令记载在不保密载。应显示在终端上，不得将口令记载在不保密载。 口令的存储和传递必须加密，口令表的访口令的存储和传递必须加密，口令表的访问、修改、删除必须有专门授权者执行。问、修改、删除必须有专门授权者执行。 口令的更换频率根据访问信息等做决定。口令的更换频

4、率根据访问信息等做决定。 访问控制及专用系统或设备应使用一次访问控制及专用系统或设备应使用一次 性口令机制。性口令机制。5 密码管理应用商发布密码管理应用商发布20112011年度最差年度最差25个密码个密码 1.1.password password 2.1234562.1234563.123456783.123456784.Qwerty 4.Qwerty 5.abc1235.abc1236.Monkey6.Monkey7.1234567 7.1234567 8.Letmein 8.Letmein 9.trustno1 9.trustno110.Dragon 10.Dragon 11.Bas

5、eball11.Baseball12.11111112.11111113.Iloveyou 13.Iloveyou 14.Master 14.Master 15.Sunshine15.Sunshine16.Ashley 16.Ashley 17.Bailey17.Bailey18.passw0rd18.passw0rd19.Shadow19.Shadow20.123123 20.123123 21.65432121.65432122.Superman22.Superman23.Qazwsx23.Qazwsx24.Michael24.Michael25.football http:/ 62013

6、最常见的不安全密码榜单 1. 123456 2. password 3. 12345678 4. qwerty 5. abc123 6. 123456789 7. 111111 8. 1234567 9. iloveyou18. shadow19. sunshine20. 1234521. password122. princess23. azerty24. trustno125. 00000010. adobe12311. 12312312. Admin13. 123456789014. letmein15. photoshop16. 123417. monkeyhttp:/ 访问控制技术访

7、问控制技术5.2.1 访问控制模型访问控制模型1. 访问控制要素访问控制要素 访问控制包括访问控制包括2个要素，即：个要素，即： 实体（分为主体和客体实体（分为主体和客体2种）种） 访问控制策略。访问控制策略。5.2 访问控制技术访问控制技术实体实体(Entity)： 指计算机资源（物理设备、指计算机资源（物理设备、数据文件、内存或进程）或一个合法用户。数据文件、内存或进程）或一个合法用户。主体主体(Subject): 一个提出请求或要求的实一个提出请求或要求的实体，是动作的发起者，不一定是动作的执行体，是动作的发起者，不一定是动作的执行者。者。客体客体(Object)：接受其他实体访问的被动

8、：接受其他实体访问的被动实体。实体。访问控制策略访问控制策略(Access Control Policy)：主体对客体的操作行为集和约束条件集。主体对客体的操作行为集和约束条件集。5.2 访问控制技术访问控制技术约束条件集包括：约束条件集包括：安全级别：安全级别：（HierarchicalClassification）：）： 分 为 绝 密 （分 为 绝 密 （ T o p S e c r e t ） 、 机 密） 、 机 密（Confidential）、秘密（）、秘密（Secret）、非密但敏）、非密但敏感（感（Restricted）和无密级（）和无密级（Unclassified）偏序关系偏

9、序关系：主体和客体在分属不同的安全类别：主体和客体在分属不同的安全类别时，都属于一个固定的安全类别时，都属于一个固定的安全类别SC，SC构成一构成一个偏序关系（比如说绝密级个偏序关系（比如说绝密级TS比机密级要高）。比机密级要高）。 5.2 访问控制技术访问控制技术 根据偏序关系，主体对客体的根据偏序关系，主体对客体的访问主要有以下访问主要有以下4种方式：种方式：向下读向下读（read down, rd）：主体）：主体安全级别高于客体信息资源的安全安全级别高于客体信息资源的安全级别时允许查阅的读操作；级别时允许查阅的读操作；向上读向上读（read up, ru）：主体安）：主体安全级别低于客体

10、信息资源的安全级全级别低于客体信息资源的安全级别时允许的读操作；别时允许的读操作；向下写向下写（write down,wd）：主体）：主体安全级别高于客体信息资源的安全安全级别高于客体信息资源的安全级别时允许执行的动作或是写操作；级别时允许执行的动作或是写操作；向上写向上写（write up,wu）：主体安）：主体安全级别低于客体信息资源的安全级全级别低于客体信息资源的安全级别时允许执行的动作或是写操作。别时允许执行的动作或是写操作。5.2 访问控制技术访问控制技术5.2 访问控制技术访问控制技术 访问控制系统要素之间的行为关系参见访问控制系统要素之间的行为关系参见图图 5 1。可以用。可以用

11、3元组（元组（S,O,P）来表示，）来表示，其中：其中：S表示主体，表示主体，O表示客体，表示客体，P表示策表示策略。略。5.2 访问控制技术访问控制技术2. 访问控制过程访问控制过程 访问控制涉及到限制合法用户的访问控制涉及到限制合法用户的行为。这种控制是通过一个参考监视行为。这种控制是通过一个参考监视器来进行的，每一次用户对系统内目器来进行的，每一次用户对系统内目标进行访问时，都由它来进行调节。标进行访问时，都由它来进行调节。用户对系统进行访问时，参考监视器用户对系统进行访问时，参考监视器便察看授权数据库，以确定准备进行便察看授权数据库，以确定准备进行操作的用户是否确实得到了进行此项操作的

12、用户是否确实得到了进行此项操作的许可。操作的许可。 5.2 访问控制技术访问控制技术正确建立用户的身份是鉴别服务的责正确建立用户的身份是鉴别服务的责任；而访问控制则假定：在通过参考任；而访问控制则假定：在通过参考监视器实施访问控制前，用户的身份监视器实施访问控制前，用户的身份就已经得到了验证。就已经得到了验证。因而，访问控制的有效性取决于对用因而，访问控制的有效性取决于对用户的正确识别，同时也取决于参考监户的正确识别，同时也取决于参考监视器正确的授权管理。视器正确的授权管理。鉴别和访问控制的区别？鉴别和访问控制的区别？5.2 访问控制技术访问控制技术 访问控制并不能完全解决系统访问控制并不能完

13、全解决系统的安全问题，必须与审计结合起来。的安全问题，必须与审计结合起来。审计控制是指对系统中所有的用户审计控制是指对系统中所有的用户要求和行为进行后验分析。它要求要求和行为进行后验分析。它要求所有的用户要求和行为都必须登记所有的用户要求和行为都必须登记(存入存入)，以便以后对它们进行分析。，以便以后对它们进行分析。 访问控制并不能完全解决系统的安全问题访问控制并不能完全解决系统的安全问题5.2 访问控制技术访问控制技术 访问控制模型一般包括主体、访问控制模型一般包括主体、客体和控制实体间访问的监视器。客体和控制实体间访问的监视器。访问控制模型主要有三类：访问控制模型主要有三类：自主访问控制模

14、型（自主访问控制模型（DAC）、）、强制访问控制模型（强制访问控制模型（MAC）以及基于角色的访问控制模型以及基于角色的访问控制模型（RBAC）。）。访问控制模型有哪些类型？访问控制模型有哪些类型？5.2 访问控制技术访问控制技术3. 自主访问控制模型自主访问控制模型 自主访问控制模型（自主访问控制模型（Discretionary Access Control Model, DAC Model）是根据是根据自主访问控制策略自主访问控制策略建立的一种模建立的一种模型，允许合法用户以用户或用户组的身型，允许合法用户以用户或用户组的身份访问策略规定的客体，同时阻止非授份访问策略规定的客体，同时阻止非

15、授权用户访问客体。自主访问控制又称自权用户访问客体。自主访问控制又称自由访问控制由访问控制 5.2 访问控制技术访问控制技术 自主访问控制广泛应用于商业和工自主访问控制广泛应用于商业和工业环境中，如业环境中，如UNIX系统；系统； 自主访问控制模型提供的安全防护自主访问控制模型提供的安全防护是低级安全访问，无法给系统提供充分是低级安全访问，无法给系统提供充分的数据保护。的数据保护。 自主访问控制模型一般采用访问控自主访问控制模型一般采用访问控制矩阵或访问控制列表来存放不同主体制矩阵或访问控制列表来存放不同主体的访问控制信息的访问控制信息/权限，从而完成对主体权限，从而完成对主体访问权限的限制。

16、访问权限的限制。5.2 访问控制技术访问控制技术4. 强制访问控制模型强制访问控制模型 强制访问控制模型（强制访问控制模型（Mandatory Access Model, MAC Model），与），与DAC不同，各种不同，各种MAC模型都属于多级访问控制策略，通过分模型都属于多级访问控制策略，通过分级的安全标签实现信息的单向流通。级的安全标签实现信息的单向流通。MAC对对访问主体和受控对象标识两个安全标记：一访问主体和受控对象标识两个安全标记：一个是具有偏序关系的安全等级标记；另一个个是具有偏序关系的安全等级标记；另一个是非等级分类标记。主要是非等级分类标记。主要MAC模型有：模型有：Lat

17、tice模型，模型，Bell-Padula模型（模型（BLP Model）和）和Biba模型（模型（Biba Model）。）。5.2 访问控制技术访问控制技术(1) Lattice模型（模型（Lattice Model） 在在Lattice模型中，每个用户和资源都服模型中，每个用户和资源都服从于一个安全类别，也就是前面提到的安全从于一个安全类别，也就是前面提到的安全级别。在安全模型中，信息资源对应的安全级别。在安全模型中，信息资源对应的安全类别及用户所对应的安全级别，必须比可以类别及用户所对应的安全级别，必须比可以使用的客体资源高，访问才得以进行。使用的客体资源高，访问才得以进行。 该模型非

18、常适用于需要对信息资源进行该模型非常适用于需要对信息资源进行明显分类的系统。明显分类的系统。5.2 访问控制技术访问控制技术(2) Bell-LaPadula模型（模型（BLP Model） BLP模型的出发点是维护系统的保密性，模型的出发点是维护系统的保密性，有效地防止信息泄漏有效地防止信息泄漏;BLP模型的访问控制原则的形式化表述为：模型的访问控制原则的形式化表述为：无上读（无上读（no ru），无下写（），无下写（no wd）：）： rd, 当且仅当当且仅当SC(S)SC(O)，允许读操作，允许读操作; wu, 当且仅当当且仅当SC(S)SC(O)，允许写操作。，允许写操作。u但会影响完

19、整性。但会影响完整性。5.2 访问控制技术访问控制技术(3) Biba模型（模型（Biba Model） Biba模型定义了信息完整性级别，模型定义了信息完整性级别，在信息流向的定义方面不允许信息从级在信息流向的定义方面不允许信息从级别低的进程流向级别高的进程。别低的进程流向级别高的进程。5.2 访问控制技术访问控制技术Biba模型的特征是：模型的特征是： Biba模型禁止向上模型禁止向上“写写”，Biba模型没有模型没有下下“读读”， 用偏序关系表示为：用偏序关系表示为：Run，当且仅当，当且仅当SC(S)SC(O)，允许读操，允许读操作；作；Wd，当且仅当，当且仅当SC(S)SC(O)，允

20、许写操作。，允许写操作。5.2 访问控制技术访问控制技术5. 角色访问控制模型（角色访问控制模型（RBAC Model） 角色访问控制模型（角色访问控制模型（Role-based Access Model, RBAC Model） 将访问许可权分配给一定的角色，用户并将访问许可权分配给一定的角色，用户并不是可以访问的客体信息资源的所有者。访问不是可以访问的客体信息资源的所有者。访问控制是由各个用户在部门中承担的角色来确定。控制是由各个用户在部门中承担的角色来确定。角色策略要求确定在系统中的角色。担任某一角色策略要求确定在系统中的角色。担任某一角色的用户允许进行授权该角色的所有访问。角色的用户允

21、许进行授权该角色的所有访问。5.2 访问控制技术访问控制技术5.2.2 访问控制策略访问控制策略 访问控制的安全策略有以下两种实访问控制的安全策略有以下两种实现方式：基于身份的安全策略和基于规现方式：基于身份的安全策略和基于规则的安全策略。使用这两种安全策略的则的安全策略。使用这两种安全策略的基础都是授权行为。从形式上来看，基基础都是授权行为。从形式上来看，基于身份的安全策略等同于于身份的安全策略等同于DAC安全策略，安全策略，基于规则的安全策略等同于基于规则的安全策略等同于MAC安全安全策略。策略。5.2 访问控制技术访问控制技术 安全策略的实施原则围绕主体、安全策略的实施原则围绕主体、客体

22、和安全控制规则集三者之间的客体和安全控制规则集三者之间的关系展开。主要内容有：关系展开。主要内容有：最少特权原则最少特权原则;最小泄漏原则最小泄漏原则;多级安全策略多级安全策略.5.2 访问控制技术访问控制技术5.2.3 访问控制的实施技术访问控制的实施技术1. 访问控制列表访问控制列表 实现访问控制的最简单方式是访问控制实现访问控制的最简单方式是访问控制列表列表(Access Control Lists, ACLs)，对每一，对每一个资源记录着有哪些用户可以进行怎样的访个资源记录着有哪些用户可以进行怎样的访问。问。 许多操作系统（包括许多操作系统（包括Windows NT、Windows 2

23、000以及以及Windows XP）借助于）借助于ACL来判断一个帐户对一个资源的具有何种来判断一个帐户对一个资源的具有何种程度的访问权限。程度的访问权限。 5.2 访问控制技术访问控制技术 通过通过ACL，可以显而易见地看出访，可以显而易见地看出访问主体可以对客体进行的访问方式。要取问主体可以对客体进行的访问方式。要取消对客体的访问权也很容易，只需用空白消对客体的访问权也很容易，只需用空白ACL代替现有的代替现有的ACL。另一方面，在。另一方面，在ACL中要确定一个主体全部的访问权限中要确定一个主体全部的访问权限比较困难。必须检验系统中每个客体的比较困难。必须检验系统中每个客体的ACL，主体

24、才能访问。同样，如果主体，主体才能访问。同样，如果主体要撤消所有访问，也要逐一审查要撤消所有访问，也要逐一审查ACL。5.2 访问控制技术访问控制技术2. 访问控制访问控制能力能力列表列表 访问控制性能是指请求访问的发起者访问控制性能是指请求访问的发起者所拥有的一个有效标签。所拥有的一个有效标签。 访问控制性能列表（访问控制性能列表（Access Control Capabilities Lists, ACCLs）是）是以用户为中心建立的访问权限表。每个主以用户为中心建立的访问权限表。每个主体都与一个表格体都与一个表格(性能表性能表)相联系，相联系，ACCLs说明了主体可以对哪个客体进行访问。

25、这说明了主体可以对哪个客体进行访问。这种方法表示以行来贮存访问控制矩阵。种方法表示以行来贮存访问控制矩阵。5.2 访问控制技术访问控制技术3. 授权关系授权关系 访问控制性能的传递牵扯到授权访问控制性能的传递牵扯到授权的实现。授权是进行访问控制的前的实现。授权是进行访问控制的前提，是指客体授予主体一定的权力，提，是指客体授予主体一定的权力，通过这种权力，主体可以对客体执通过这种权力，主体可以对客体执行某种行为，如阅读文件、修改数行某种行为，如阅读文件、修改数据、管理帐户等。据、管理帐户等。5.2 访问控制技术访问控制技术4. 访问控制矩阵访问控制矩阵 访 问 控 制 矩 阵 （访 问 控 制

26、矩 阵 （ A c c e s s Control Matrix, ACM）是通过矩阵）是通过矩阵形式规定访问控制规则和授权用户形式规定访问控制规则和授权用户权限的方法，是主体对客体应拥有权限的方法，是主体对客体应拥有何种权利的概念性模型。访问控制何种权利的概念性模型。访问控制的主旨就是保证只有访问控制矩阵的主旨就是保证只有访问控制矩阵允许的操作才能进行。允许的操作才能进行。5.2 访问控制技术访问控制技术 主客体的区别是访问控制的基本问主客体的区别是访问控制的基本问题。主体产生对客体的行为或操作。这题。主体产生对客体的行为或操作。这些行为根据系统中的授权而得到允许或些行为根据系统中的授权而得

27、到允许或否决。访问权的含义取决于上述客体。否决。访问权的含义取决于上述客体。所有权是指谁能改变文件的访问权。所有权是指谁能改变文件的访问权。 客体，如银行帐目，可根据对帐目客体，如银行帐目，可根据对帐目的基本操作拥有相应的访问权的基本操作拥有相应的访问权 注意：对帐目来说没有所有权。注意：对帐目来说没有所有权。5.2 访问控制技术访问控制技术5. 访问控制实施部位访问控制实施部位 访问控制实施包括：接入访问控制、资源访访问控制实施包括：接入访问控制、资源访问控制、网络端口和节点的访问控制三个部位。问控制、网络端口和节点的访问控制三个部位。 接入访问控制是网络访问的第一层，它控制接入访问控制是网

28、络访问的第一层，它控制哪些用户能够登录到服务器并获取网络资源。哪些用户能够登录到服务器并获取网络资源。 资源访问控制是对客体整体资源信息的访问资源访问控制是对客体整体资源信息的访问控制管理。控制管理。 网络端口和节点是网络数据传输的关节点，网络端口和节点是网络数据传输的关节点，必须防止黑客攻击，比如应用防火墙（必须防止黑客攻击，比如应用防火墙（5.2节）。节）。 5.2 访问控制技术访问控制技术6 访问控制设备访问控制设备 一个成功的访问控制设计必须通一个成功的访问控制设计必须通过物理的访问控制设备完成。通常一过物理的访问控制设备完成。通常一个物理设备可以与认证技术结合完成个物理设备可以与认证

29、技术结合完成访问控制认证工作。访问控制认证工作。5.2 访问控制技术访问控制技术5.2.4 授权的行政管理授权的行政管理 在强制性访问控制中，被许可的在强制性访问控制中，被许可的访问完全取决于主客体的安全级别。访问完全取决于主客体的安全级别。安全级别是由安全管理员分配的。客安全级别是由安全管理员分配的。客体的安全级别取决于建立系统的用户体的安全级别取决于建立系统的用户的级别。安全管理员一般只有一个，的级别。安全管理员一般只有一个，他可以更换主客体的安全级别。他可以更换主客体的安全级别。 5.2 访问控制技术访问控制技术 自由访问控制允许大量行政管理政自由访问控制允许大量行政管理政策，其中有：策

30、，其中有：集中集中只有一个授权者只有一个授权者(或组或组)允许对允许对用户许可或取消授权。用户许可或取消授权。分级分级中央授权者将职责分配给其中央授权者将职责分配给其它管理员，他们可对系统中的用户许它管理员，他们可对系统中的用户许可或取消授权。可或取消授权。5.2 访问控制技术访问控制技术合作合作特定资源的行政管理不能只由特定资源的行政管理不能只由单一的授权者许可，而需几个授权者单一的授权者许可，而需几个授权者的合作。的合作。所有权所有权用户是他用户是他/她创造的客体的她创造的客体的专有者，所有者也可以许可或取消其专有者，所有者也可以许可或取消其它用户对此客体的访问。它用户对此客体的访问。分散

31、分散在分散的行政管理中客体的所在分散的行政管理中客体的所有者也可以许可其它用户对此客体的有者也可以许可其它用户对此客体的许可特权。许可特权。5.2 访问控制技术访问控制技术 角色访问控制同样也有许多行政角色访问控制同样也有许多行政管理政策。在这种情况下，管理政策。在这种情况下，“角色角色”也可以用来管理和控制行政管理机制。也可以用来管理和控制行政管理机制。5.3 防火墙技术防火墙技术 美国消防协会标准美国消防协会标准(NFPA 221)(NFPA 221)防火墙和防防火墙和防火隔墙标准火隔墙标准中定义：中定义：防火墙是设置在建筑物之间或在建筑物内部防火墙是设置在建筑物之间或在建筑物内部用以防火

32、分隔以阻止火势蔓延，并具有一定用以防火分隔以阻止火势蔓延，并具有一定耐火极限和结构稳定性的墙体。耐火极限和结构稳定性的墙体。 5.3 防火墙技术防火墙技术5.3.1 防火墙概述防火墙概述 描述性定义：防火墙是由一组相描述性定义：防火墙是由一组相关软件和硬件组成的，采用由系统管理关软件和硬件组成的，采用由系统管理员定义的规则，对一个安全网络之间的员定义的规则，对一个安全网络之间的数据流进行保护，通过控制和监测网络数据流进行保护，通过控制和监测网络之间的信息交换和访问行为来实现网络之间的信息交换和访问行为来实现网络安全。安全。5.3 防火墙技术防火墙技术 从总体上看，防火墙应具有以从总体上看，防火

33、墙应具有以下三个基本功能：下三个基本功能：所有进出网络的数据流，都必须所有进出网络的数据流，都必须经过防火墙；经过防火墙；只有授权的数据流才能通过防火只有授权的数据流才能通过防火墙墙;防火墙自身对网络攻击是免疫的。防火墙自身对网络攻击是免疫的。安全地过滤全部数据安全地过滤全部数据Internet防火墙WWW服务器销售部门生产部门人劳部门123邮件服务器防火墙应用例子防火墙应用例子网关所在的网关所在的网络称为网络称为“非军事区非军事区”（Demilitarized zone, DMZ）。）。实质上，防实质上，防火墙就是一火墙就是一种能够限制种能够限制网络访问的网络访问的设备或软件。设备或软件。5

34、.3 防火墙技术防火墙技术 一般来说，防火墙有几个不同的组成一般来说，防火墙有几个不同的组成部分：部分：“过滤器过滤器”用来阻断某些类型的数用来阻断某些类型的数据传输；据传输；网关网关则是一台或几台机器的组合，则是一台或几台机器的组合，用来提供中继服务，补偿过滤器带来的影用来提供中继服务，补偿过滤器带来的影响。响。 防火墙的组成与发展防火墙的组成与发展5.3 防火墙技术防火墙技术迄今为止，防火墙的发展经历了迄今为止，防火墙的发展经历了5个阶段。个阶段。 1. 基于路由器的防火墙基于路由器的防火墙3. 建立在通用操作系统上的防火墙建立在通用操作系统上的防火墙 2. 用户化防火墙工具用户化防火墙工

35、具4. 具有安全操作系统的防火墙具有安全操作系统的防火墙.分布式防火墙分布式防火墙5.3 防火墙技术防火墙技术5.3.2 防火墙安全设计策略防火墙安全设计策略 防 火 墙 是 用 来 在 不 可 信 网 （ 如防 火 墙 是 用 来 在 不 可 信 网 （ 如Internet上）保护可信网（如上）保护可信网（如Intranet）的一种手段。防火墙既可看成是一种策的一种手段。防火墙既可看成是一种策略，又可看成是根据网络配置、主机系略，又可看成是根据网络配置、主机系统、路由器以及利用诸如高级认证手段统、路由器以及利用诸如高级认证手段对策略的一种实现。策略对防火墙来说对策略的一种实现。策略对防火墙来

36、说是关键因素，有两种网络级的策略直接是关键因素，有两种网络级的策略直接影响到防火墙系统的设计、安装和使用：影响到防火墙系统的设计、安装和使用：5.3 防火墙技术防火墙技术网络服务访问权限策略网络服务访问权限策略：一种较高级别的：一种较高级别的策略，用来定义允许的和明确拒绝的服务，策略，用来定义允许的和明确拒绝的服务，包括提供这些服务的使用方法及策略的例包括提供这些服务的使用方法及策略的例外情况；外情况；防火墙设计策略防火墙设计策略：一种较低级别策略，用：一种较低级别策略，用来描述防火墙如何对网络服务访问权限策来描述防火墙如何对网络服务访问权限策略中定义的服务进行具体的限制访问过滤。略中定义的服

37、务进行具体的限制访问过滤。5.3 防火墙技术防火墙技术 防火墙采用的典型网络服务访问权防火墙采用的典型网络服务访问权限策略为：限策略为：不允许从不允许从Internet到本站点的访问，到本站点的访问，但允许站点到但允许站点到Internet的访问，或者相的访问，或者相反。反。允许从允许从Internet到本站点的某些访问到本站点的某些访问权限，诸如信息服务器和权限，诸如信息服务器和E-mail服务服务器等有所选择的系统。器等有所选择的系统。1. 网络服务访问权限策略网络服务访问权限策略5.3 防火墙技术防火墙技术2. 防火墙设计策略防火墙设计策略 为了获得一个好的防火墙设计策略，设计者首为了获

38、得一个好的防火墙设计策略，设计者首先应了解以下问题：先应了解以下问题：本机构将使用哪些本机构将使用哪些Internet服务服务 (例如：例如：TELNET，Mosaic，NFS)？ 在何处使用这些服务在何处使用这些服务 (本地、本地、Internet或远程机构或远程机构) ？是否需要支持诸如加密或拨号附加需求？是否需要支持诸如加密或拨号附加需求？提供这些服务和访问权限将带来什么风险？提供这些服务和访问权限将带来什么风险？根据对网络的控制和使用的影响，提供这些保护所根据对网络的控制和使用的影响，提供这些保护所须花的代价？须花的代价？5.3 防火墙技术防火墙技术一般来说，防火墙执行以下两种策略一般

39、来说，防火墙执行以下两种策略之一：之一：允许所有服务除非它被特别地拒绝；允许所有服务除非它被特别地拒绝；拒绝所有服务除非它得到特别地允许。拒绝所有服务除非它得到特别地允许。 第一种策略的安全性较为脆弱，因为它提供了更多第一种策略的安全性较为脆弱，因为它提供了更多的途径来攻击防火墙的途径来攻击防火墙;第二种策略较为安全，它继承了经典信息安全领域第二种策略较为安全，它继承了经典信息安全领域的访问权限控制模型，但实现起来更困难，对用户的访问权限控制模型，但实现起来更困难，对用户来说更严格。来说更严格。5.3 防火墙技术防火墙技术3. 防火墙实现技术防火墙实现技术 防火墙的实现从层次上可以分为防火墙的

40、实现从层次上可以分为两类：数据包过滤和应用层网关，两类：数据包过滤和应用层网关，前者工作在网络层，而后者工作在前者工作在网络层，而后者工作在应用层。应用层。5.3 防火墙技术防火墙技术 数据包过滤一般作用在网络层，也数据包过滤一般作用在网络层，也称称IP过滤器（过滤器（IP filter），或网络层防），或网络层防火墙（火墙（Network Level Firewall），它），它对进出内部网络的所有信息进行分析，对进出内部网络的所有信息进行分析，并根据安全策略（过滤规则）进行限并根据安全策略（过滤规则）进行限制，允许授权信息通过，拒绝非授权制，允许授权信息通过，拒绝非授权信息通过。信息通过。

41、 （1）数据包过滤）数据包过滤5.3 防火墙技术防火墙技术（2）应用层网关）应用层网关在应用层实现防火墙的方式有在应用层实现防火墙的方式有多种，主要有：多种，主要有：通过代理与代管服务通过代理与代管服务地址扩充与地址保护地址扩充与地址保护邮件技术邮件技术5.3 防火墙技术防火墙技术4. 防火墙与加密机制防火墙与加密机制 防火墙与加密技术结合在一起可有防火墙与加密技术结合在一起可有效遏制近效遏制近80%的安全攻击。在现有的的安全攻击。在现有的网络安全产品中，加密认证技术可以网络安全产品中，加密认证技术可以与防火墙融合在一起，也可以同路由与防火墙融合在一起，也可以同路由器和调制解调器相结合，还可以

42、单独器和调制解调器相结合，还可以单独实现。实现。 5.3 防火墙技术防火墙技术5.3.3 攻击防火墙攻击防火墙1. 对防火墙的扫描对防火墙的扫描 防火墙最主要的功能是防止外防火墙最主要的功能是防止外部网络对受保护的子网进行窥探，部网络对受保护的子网进行窥探，因此如果要穿透防火墙的屏蔽，首因此如果要穿透防火墙的屏蔽，首先要对防火墙进行扫描分析。先要对防火墙进行扫描分析。 5.3 防火墙技术防火墙技术 有些防火墙类型可以被简单的端口所有些防火墙类型可以被简单的端口所鉴别，例如，鉴别，例如，CheckPoints FireWall-1能能监听监听TCP的的256、257、258端口，这是端口，这是C

43、heckPoints用来进行远程管理用的。用来进行远程管理用的。Microfts Proxy Server通常监听通常监听TCP的的1080和和1745端口端口 5.3 防火墙技术防火墙技术 可以利用可以利用UNIX的的traceroute命命令或者令或者Windows的的tracert命令来查命令来查看目标主机，假如是用看目标主机，假如是用Linux的话，的话，可以再加可以再加-I选项，表示发送选项，表示发送ICMP包。包。 5.3 防火墙技术防火墙技术 Traceroute的原理是向目标主机发的原理是向目标主机发送一系列送一系列UDP数据包。开头的三个数据数据包。开头的三个数据包的存活期设

44、置为包的存活期设置为1，接收到该包的第，接收到该包的第一路由器会返回一个一路由器会返回一个TTL死亡数据包，死亡数据包，并且将这个丢弃。接着的第二个数据包并且将这个丢弃。接着的第二个数据包存活期设置为存活期设置为2，接收到的第二路由器，接收到的第二路由器返回一个返回一个TTL 死亡数据包，并且将它丢死亡数据包，并且将它丢弃，其他的依此类推。弃，其他的依此类推。5.3 防火墙技术防火墙技术通常可以看到下面的情况：通常可以看到下面的情况：1 XXX *ms*ms*ms2 SSS 11 WWW12 ZZZ13 QQQ

45、我们猜我们猜可能就是防火墙，当然，可能就是防火墙，当然，这种猜测不一定正确。这种猜测不一定正确。5.3 防火墙技术防火墙技术假如有些路由器或防火墙设置成不回复假如有些路由器或防火墙设置成不回复ICMP T T L 死 亡 数 据 包 的 话 ， 我 们 将 无 法 通 过死 亡 数 据 包 的 话 ， 我 们 将 无 法 通 过TRACEROUTE看到它的存在，这种情况会出看到它的存在，这种情况会出现如下响应：现如下响应：1 XXX 2 SSS 11 WWW 12 ZZZ 13 QQQ 14