第五章 网络访问控制

1、2022-5-11网络访问控制2022-5-11ISO-OSI RM物理层：在通信信道上传输原始的数据位。信息实际如何传送？数据链路层：在物理链路上无差错地传送数据帧。每一步该怎么走？网络层：分组传送、路由选择和网络管理。数据如何到达对方？传输层：从端对端经网络透明地传送报文。对方在何处？ 会话层：会话的管理与数据传输的同步。如何检查？表示层：对方看起来像什么？ 在两个应用层之间的传输过程中负责数据的表示语法应用层：包含直接针对用户需求的协议。做什么？ 2022-5-112022-5-11TCP/IP协议体系OSI层次划分TCP/IP层次划分应用层应用层表示层传输层会话层传输层网络层网络层数据

2、链路层链路层物理层HTTPFTPTELNETDNSSNMPTCPUDPIPEthernet Token Ring ARPICMPTCP/IP协议族中协议示例2022-5-11概述什么是防火墙 是一种访问控制技术 是放置在两个网络之间的一组组件 是位于两个信任度不同的网络之间的软件或硬件设备的组合。防火墙通过一组设备介入被保护对象和外部网络系统之间，对发生在被保护者和外部网络系统之间的网络通信进行有选择的限制，实现对被保护者的保护。2022-5-112022-5-111. 企业内联网企业内联网2. 部门子网部门子网3. 分公司网络分公司网络2022-5-11两个安全域之间通信流的唯一通道安全域1

3、Host A Host B 安全域2Host C Host D UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为 IT 领域使用的防火墙概念 2022-5-11防火墙的特征防火墙的访问控制手段 服务控制 确定可以访问的网络服务类型 方向控制 确定特定的服务请求可以发起并允许通过 防火墙 用户控制 根据哪个用户尝试访问服务来控制对于一个服务的访问 行为控制 控制怎样使用特定的服务2022-5-11防火墙的特征防火墙的功能过滤进出网络的数据管理进出网络的访问行为封堵某些禁止

4、的业务记录进出网络的信息和活动对网络攻击进行检测和告警2022-5-11防火墙的特征防火墙的缺陷 无法保护内部网络用户的攻击 无法防范通过防火墙以外的其他途径的攻击 无法完全防止传送已感染病毒的软件 无法防范数据驱动型攻击2022-5-11防火墙的设计原则防火墙设计目标 内外网络之间传输的数据必须经过防火墙 只有安全策略允许的数据才能通过防火墙 防火墙本身不受攻击影响2022-5-11防火墙的设计原则防火墙的姿态 拒绝没有特别允许的任何事情 允许没有特别拒绝的任何事情机构的安全策略 防火墙不是独立的,只是机构总体安全策略的一部分 建立在安全分析、风险评估、商业需求分析基础上 防火墙的费用202

5、2-5-11防火墙的分类按组成防火墙的组件不同分 软件防火墙 硬件防火墙根据实现平台分 基于Windows平台 基于Linux平台根据保护对象分 主机防火墙 网络防火墙2022-5-11防火墙的分类 根据使用的技术 包过滤防火墙 应用层代理 电路级网关 NAT防火墙 状态检查防火墙2022-5-11包过滤防火墙过滤操作 一台有能力过滤数据包某些内容的路由器 包过滤规则被定义在防火墙上，用来匹配数据包内容过滤信息 网络层的源和目的地址 网络层协议信息 传输层协议信息 发送或接受流量的接口2022-5-11包过滤防火墙所有的流量都通过包过滤路由器优点：简单2022-5-11包过滤防火墙安全网域Ho

6、st C Host D UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource数据包数据包数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包控制策略数据包过滤依据主要是TCP/IP报头里面的信息，不能对应用层数据进行处理数据TCP报头IP报头分组过滤判断信息包过滤原理2022-5-11包过滤防火墙数据包过滤 一般要检查网络层的IP头和传输层的头： IP源地址 IP目标地址 协议类型（TCP包、UDP包和ICMP包） TCP或UDP包的目的端口 TCP或UDP包的源端口 ICMP消息类型

7、2022-5-11包过滤防火墙优点 处理包的速度快 基本不需要额外的费用就可以实现包过滤 防火墙对用户透明2022-5-11包过滤防火墙缺点 定义过滤器、维护较困难 直接经过路由器的数据包有可能被利用作数据驱动式攻击 不支持有效的用户认证 日志功能被局限在网络层和传输层 过滤器数量增加会导致性能下降2022-5-11包过滤防火墙包过滤防火墙的应用环境 作为第一线防御 当用包过滤就能完全实现安全策略且不存在认证问题 在要求最低安全性并要考虑成本的网络中2022-5-11应用层代理 代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。 将所有跨越防火墙的网络通信链路分为两段，不允许通信直接

8、经过外部网和内部网。 外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。 2022-5-11应用层代理代理工作方式2022-5-11应用层代理客客 户户网网 关关服务器服务器发送请求发送请求转发请求转发请求请求响应请求响应转发响应转发响应网关理解应用协议，可以实施更细粒度的访问控制对每一类应用，都需要一个专门的代理灵活性不够2022-5-11应用层代理 使得网络管理员能够实现比包过滤路由器更严格的安全策略。 不用依赖包过滤工具来管理Internet服务在防火墙系统中的进出，而是采用为每种所需服务而安装在网关上特殊代码（代理服务）的方式来管理Internet服务。

9、 如果网络管理员没有为某种应用安装代理编码，那么该项服务就不被支持并不能通过防火墙系统来转发。 代理可以配置成只支持网络管理员认为必须的部分功能。 2022-5-11NAT技术网络地址翻译技术(NAT) 目的 解决IP地址空间不足问题 向外界隐藏内部网结构 方式 端口NAT(M-1)：多个内部网地址翻译到1个IP地址 静态NAT(1-1)：简单的地址翻译 NAT池(M-N)：多个内部网地址翻译到N个IP地址池2022-5-11NAT技术2022-5-11NAT技术2022-5-11地址翻译技术NAT 配置共享IP地址 当需要允许内部用户访问Internet，但又没有足够的合法IP地址时，可以使

10、用NAT配置共享IP地址。 配置在Internet上发布的服务器 当需要将内部设备发布到Internet上时，可以使用配置在Internet上发布的服务器的NAT转换方式。2022-5-11防火墙体系双宿网关防火墙 拥有两个连接到不同网络的接口 阻止IP层通信 两个网络通过应用层数据共享或应用代理服务来完成2022-5-11双宿网关防火墙 两种服务方式 用户直接登录到双重宿主机上 在双重宿主机上运行代理服务器2022-5-11防火墙双重宿主主机内部网络内部网络双重宿主主机体系结构2022-5-11屏蔽主机防火墙 典型构成 包过滤路由器堡垒主机 包过滤路由器配置在内部网和外部网之间 堡垒主机配置

11、在内部网络上堡垒主机 是一种被强化的可以防御进攻的计算机 是网络中最容易受到侵害的主机 经常配置网关服务2022-5-11外部网络外部网络内部网络内部网络堡垒主机示意图2022-5-11防火墙堡垒主机因特网屏蔽主机防火墙结构2022-5-11只允许堡垒主机可以与外界直接通讯优点：两层保护：包过滤+应用层网关；灵活配置 缺点：一旦包过滤路由器被攻破，则内部网络被暴露单宿主堡垒主机方案2022-5-11从物理上把内部网络和Internet隔开，必须通过两层屏障优点：两层保护：包过滤+应用层网关；配置灵活双宿主堡垒主机方案2022-5-11屏蔽子网防火墙 两个包过滤路由器+一个堡垒主机。三层防护，用

12、来阻止入侵者外面的router只向Internet暴露屏蔽子网中的主机内部的router只向内部私有网暴露屏蔽子网中的主机2022-5-11DMZ区域 是存在于公司内部网络和外部网络之间的小型网络 DMZ由筛选路由器建立，有时是一个阻塞路由器； DMZ用来作为一个额外的缓冲区以进一步隔离公网和内部私有网络 DMZ区域包含防火墙、堡垒主机（也可以看成防火墙）、病毒网关（在某些特殊的防火墙上集成有此类功能）、入侵检测系统等2022-5-11DMZ区域构成管理子网一般子网内部WWW重点子网2022-5-11其他防火墙结构管理子网一般子网内部WWW重点子网合并外部防火墙和堡垒主机2022-5-11其他

13、防火墙结构管理子网一般子网内部WWW重点子网合并内部防火墙和堡垒主机2022-5-11其他防火墙结构外部DMZ外部堡垒主机内部网外部路由器内部堡垒主机内部DMZ两个堡垒主机和两个非军事区2022-5-11其他防火墙结构 合并DMZ内部和外部路由器 牺牲主机结构 通过建立一个蜜罐网络，将黑客的注意力从合法的系统上分散开，从而跟踪并了解大量的有关这些怀有恶意的黑客的情况。 使用多台外部路由器 一台防火墙受到损害不会带来特别的威胁 增加备份，提供紧急情况下的可用性2022-5-115.5 物理隔离物理隔离的指导思想与防火墙绝然不同：防火墙的思路是在保障互联互通的前提下，尽可能安全，而物理隔离的思路是在保证必须安全的前提下，尽可能互联互通。一个典型的