第3章访问控制与防火墙剖析

1、 3.2 防火墙防火墙3.1 访问控制访问控制3.3 物理隔离物理隔离 3.1 3.1 访问控制访问控制 3.1.1 访问控制概述访问控制概述 3.1.2 自主访问控制技术自主访问控制技术 3.1.3 强制访问控制技术强制访问控制技术 3.1.4 基于角色的访问控制技术基于角色的访问控制技术 3.1.5 基于任务的访问控制技术基于任务的访问控制技术 3.1.6 基于对象的访问控制技术基于对象的访问控制技术3.1 3.1 访问控制访问控制n访问控制实质上是对资源使用的限制，它决定主体是否被授权对客体执行某种操作。它依赖于鉴别使主体合法化，并将组成员关系和特权与主体联系起来。只有经授权的用户，才允

2、许访问特定的网络资源。 3.1.1 3.1.1 访问控制概述访问控制概述 n访问控制的定义 访问控制是按照事先确定的规则决定主体对客体的访问是否合法。n访问控制是针对越权使用资源的防御措施，是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非法访问。 访问控制的三要素访问控制的三要素n主体（Subject）：是指一个提出请求或要求的实体，是动作的发起者，但不一定是动作的执行者，简记为S。主体可以是用户或其他任何代理用户行为的实体（如进程、作业和程序）。这里规定的实体是指计算机资源或一个合法用户。访问控制的三要素（续）访问控制的三要素（续）n客体（Object）：是接受其他

3、实体访问的被动实体，简记为O。在信息社会中，客体可以是信息、文件、记录等的集合体，也可以是网络上的硬件设施，无线通信中的终端等。 访问控制的三要素（续）访问控制的三要素（续）n控制策略：是主体对客体的操作行为集和约束集，简记为KS。简单讲，控制策略是主体对客体的访问规则集，这个规则集直接定义了主体可以的行为和客体对主体的条件约束。访问策略体现了一种授权行为，也就是客体对主体的权限允许，这种允许不得超越规则集。 访问控制的基本目标访问控制的基本目标 n防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问，从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序

4、能做什么。n未授权的访问包括：未经授权的使用、泄露、修改、销毁信息以及颁发指令等；非法用户进入系统；合法用户对系统资源的非法使用。 访问控制的作用访问控制的作用 n访问控制对机密性、完整性起直接的作用。 n对于可用性，访问控制通过对信息的有效控制来实现 。访问控制的内容访问控制的内容 n用户身份的识别和认证。访问控制的第一道设防是用户身份的识别和认证，鉴别合法用户和非法用户，从而有效地阻止非法用户访问系统。 n对访问的控制。当用户被批准访问系统后，就要对访问的操作进行控制。n审计跟踪。审计跟踪记录系统活动和用户活动。访问控制的分类访问控制的分类 n访问控制通常有两种不同的类型： 自主访问控制（

5、DAC） 强制访问控制（MAC）3.1.1 3.1.1 自主访问控制技术自主访问控制技术 n在自主访问控制下，用户可以按自己的意愿对系统参数做适当的修改，可以决定哪个用户可以访问系统资源。因此，DAC有时又被称为基于主人的访问控制。 n在美国国防部的TCSEC(Trusted Computer System Evaluation Criteria )中自主访问控制被用做C级安全系统的主要评价标准之一。 4个等级:A、B、C、D 7个级别：A1、A2、B1、B2、B3、C1、C2、D自主访问控制的自主访问控制的“自主自主”n自主访问控制基于对主体或主体所属的主体组的识别来限制对客体的访问，这种控

6、制是自主的。 n自主是指对其他具有授予某种访问权力的主体能够自主地（可能是间接的）将访问权的某个子集授予其他主体。 自主访问控制的特点自主访问控制的特点n自主访问控制的特点是灵活性高，被大量采用。 n目前常用的Linux、Unix、Windows操作系统中的文件系统使用的都是自主访问控制，因为这比较适合操作系统资源的管理特性。 n缺点是安全性最低。 访问控制矩阵访问控制矩阵n访问控制矩阵是实现DAC策略的基本数据结构，矩阵的每一行代表一个主体，每一列代表一个客体，行列交叉处的矩阵元素中存放着该主体（用户）访问该客体（文件）的权限。 文件1文件2 。文件N用户AO，R，W用户BR。用户NR，WO

7、，R，W文件权限用户表3-1 访问控制矩阵 访问控制矩阵(续)访问控制矩阵访问控制矩阵1.1.基于行的基于行的DAC DAC n在访问控制矩阵的基础上，DAC主要采用了按矩阵的行或列存储访问控制信息。n基于行的DAC在每个主体上都附加一个该主体可访问的客体的明细表，根据表中信息的不同又可分为： 权力表（权力表（Capabilities ListCapabilities List，CLCL） n权力表决定用户是否可对客体进行访问，以及可进行何种模式的访问（如读、写、执行等）。 n对于一个特定的客体，不能确定有权访对于一个特定的客体，不能确定有权访问它的所有主体，所以利用权力表不能问它的所有主体，

8、所以利用权力表不能实现完整的自主访问控制。实现完整的自主访问控制。 权力表（续）权力表（续）n访问控制权力表（Access Control Capabilities Lists，ACCL）是以用户为中心建立访问权限表，ACCL的具体实现如图3-1所示。 权力表（续）权力表（续）图3-1 访问控制权力列表的实现示例 前缀表（前缀表（ProfilesProfiles） n前缀表包括受保护的客体名以及主体对它的访问权。当主体欲访问某客体时，自主访问控制将检查主体的前缀是否具有它所要求的访问权。 口令（口令（PasswordPassword） n每个客体都相应地有一个口令，主体在对客体进行访问前，必须

9、提供客体的口令。 n大多数利用口令机制实现自主访问控制的系统，仅允许对每个客体分配一个口令，或对每个客体的每种访问模式分配一种口令。 2.2.基于列的基于列的DAC DAC n基于列的DAC是对每个客体附加一个可访问该客体的主体的明细表。它有两种形式： 保护位（保护位（Protection BitsProtection Bits） n保护位对所有主体、主体组以及该客体的拥有者指明了一个访问模式集合（1个二进制数）。 n这种方法已被用于UNIX等系统中。 n保护位的缺点是不能完全表示访问控制矩阵，系统不能基于单个主体来决定是否允许其对客体的访问。 访问控制列表（访问控制列表（Access Con

10、trol ListAccess Control List，ACLACL） n访问控制列表在客体上附加了访问控制矩阵中的可访问它自己的所有主体的访问权限信息表。 n访问控制列表是以文件为中心建立的访问权限表。 n目前，大多数PC、服务器和主机都使用ACL作为访问控制的实现机制。 n访问控制列表的优点在于实现简单。访问控制列表（续）访问控制列表（续）图3-2 访问控制列表的实现示例 3.3.基于行或列的基于行或列的DAC DAC n安全标签是限制和附属在主体（行）或客体（列）上的一组安全属性信息。 n访问控制标签列表（Access Control Security Labels Lists，ACS

11、LL）是限定一个用户对一个客体目标访问的安全属性集合。 n安全标签能对敏感信息加以区分，这样就可以对用户和客体资源强制执行安全策略，因此，强制访问控制经常会用到这种实现机制。 3.基于行或列的DAC （续）3.基于行或列的基于行或列的DAC （续）（续）自主访问控制的缺点自主访问控制的缺点n自主访问控制的控制是自主的，它能够控制主体对客体的直接访问，但不能控制主体对客体的间接访问（利用访问的传递性，即A可访问B，B可访问C，于是A可访问C）。 （权限传递性）n虽然这种自主性为用户提供了很大的灵活性，但同时也带来了严重的安全问题。 自主访问控制的缺点（续）自主访问控制的缺点（续）nDAC技术存在

12、着一些明显的不足： 资源管理比较分散； 用户间的关系不能在系统中体现出来，不易管理； 信息容易泄露，无法抵御特洛伊木马的攻击。 3.1.2 3.1.2 强制访问控制技术强制访问控制技术n强制访问控制技术（Mandatory Access Control，MAC）是比DAC更为严格的访问控制策略，在美国国防部的TCSEC中被用做B级安全系统的主要评价标准之一。常用于对安全级别要求较高的军队和国家重要机构。 nMAC是一种多级访问控制策略，访问主体和受控客体都有一个固定的安全属性（如密级：绝密，机密，秘密，公开）。n在实施访问控制时，系统先对访问主体和受控客体的安全属性进行比较，再决定访问主体能否

13、访问该受控客体。 主体对客体的四种访问方式主体对客体的四种访问方式 n向下读（向下读（read down）主体的安全级别高于客体信息的安全级别时允许读操作。n向上读（向上读（read up）主体的安全级别低于客体信息的安全级别时允许读操作。 n向下写（向下写（write down） 主体的安全级别高于客体信息的安全级别时允许写操作。 n向上写（向上写（write up） 主体的安全级别低于客体信息的安全级别时允许写操作。 强制访问控制能防止木马攻击强制访问控制能防止木马攻击n特洛伊木马能镶嵌在一个合法用户使用的程序中，悄无声息地进行非法操作，而且这种非法操作一般用户是察觉不到的。n在自主访问控

14、制中，操作系统无法区别对文件的操作是用户自己的合法操作，还是特洛伊木马的非法操作。n强制访问控制一般与自主访问控制结合使用，并实施一些附加的、更强的访问限制。 强制访问控制模型强制访问控制模型Bell-LaPadulaBell-LaPadula模型模型 nBLP安全模型是最著名的多级安全策略模型，它实质上也是一种强制访问控制。n在多级安全策略中，安全属性用二元组表示，记做（密级，类别集合）： 密级表示机密程度； 类别集合表示部门或组织的集合；密级和类别集合密级和类别集合n密级是集合（绝密，机密，秘密，公开）中的任一元素，此集合是全序的，即：绝密机密秘密公开； n类别集合是系统中非分层元素集合中

15、的一个子集，这一集合的元素依赖于所考虑的环境和应用领域。如类别集合可以是军队中的潜艇部队、导弹部队、航空部队等。 BLPBLP模型的几种访问模式模型的几种访问模式n只读（Read-Only）：读包含在客体中的信息。 n添加（Append）：向客体中添加信息且不读客体中的信息。 n执行（Execute）：执行一个客体（程序）。 n读写（Read-Write）：向客体中写信息，且允许读客体中的信息。 BLPBLP模型的安全策略模型的安全策略图3-3 Bell-La Padula模型的安全策略 BLPBLP模型的两个访问规则模型的两个访问规则 n简单安全规则（读）：仅当主体的敏感级不低于客体的敏感级

16、且主体的类别集合包含客体时，才允许该主体读客体。也就是说主体只能向下主体只能向下读读，而不能向上读而不能向上读。n星规则（写）：仅当主体的敏感级不高于客体的敏感级且客体的类别集合包含主体的类别集合时，才允许该主体写该客体。也就是说主体主体只能向上写，而不能向下写只能向上写，而不能向下写。 n上述两条规则保证了信息的单向流动，即信息信息只能向高安全属性的方向流动只能向高安全属性的方向流动，MAC就是通过信息的单向流动来防止信息的扩散，抵御特洛伊木马对系统的攻击。 BLPBLP模型的不足模型的不足n应用的领域比较窄，使用不灵活，一般用于军方等具有明显等级观念的行业或领域； n完整性方面控制不够，它

17、重点强调信息向高安全级的方向流动，对高安全级信息的完整性保护强调不够。 强制访问控制模型强制访问控制模型BibaBiba模型模型nBiba模型是Biba等人于20世纪70年代提出的，它主要是针对信息完整性保护方面的。 n与BLP模型类似，Biba模型用完整性等级取代了BLP模型中的敏感等级而访问控制的限制正好与BLP模型相反。 BibaBiba模型的安全策略模型的安全策略图3-4 Biba模型的安全策略 BibaBiba模型的两个访问规则模型的两个访问规则n简单完整性规则：仅当主体的完整级大于等于客体的完整级且主体的类别集合包含客体的类别集合时，才允许该主体写该客体。即主体只能向下写，而不能主

18、体只能向下写，而不能向上写向上写 。n完整性制约规则（星规则）：仅当主体的完整级不高于客体完整级且客体的类别集合包含主体的类别集合时，才允许该主体读该客体。即主体只能向上读，主体只能向上读，而不能向下读而不能向下读。3.1.3 3.1.3 基于角色的访问控制技术基于角色的访问控制技术 n基于角色的访问控制RBAC（Role-Based Access Control）的概念早在20世纪70年代就已经提出 。进入90年代，安全需求的发展使RBAC又引起了人们的极大关注。n在RBAC中，在用户和访问许可权之间引入角色（Role）的概念，用户与特定的一个或多个角色相联系，角色与一个或多个访问许可权相联

19、系。 RBACRBAC模型模型 图3-5 4种RBAC模型关系 RBACRBAC模型之一模型之一RBACRBAC0 0 nRBAC0由四个基本要素构成，即用户（User）、角色（Role）、会话（Session）、授权（Permission）。 n通过授权的管理机制，可以给:一个角色可以有多个访问许可权，而一个访问许可权也可以赋予多个角色，同时一个用户可以扮演多个角色，一个角色也可以接纳多个用户。 n在一个RBAC模型的系统中，每个用户进入系统得到自己的控制时，就得到了一个会话。 RBACRBAC模型之一模型之一RBACRBAC0 0（续）（续）n角色和会话的设置带来的好处是容易实施最小特权原

20、则（Least-Privilege Principle）。n最小特权原则是将超级用户的所有特权分解成一组细粒度的特权子集，定义成不同的角色；分别赋予不同的用户，每个用户仅拥有完成其工作所必需的最小特权，避免了超级用户的误操作或其身份被假冒后而产生的安全隐患。 RBACRBAC模型之一模型之一RBACRBAC0 0（续）（续）图3-6 RBAC结构 RBACRBAC模型之二模型之二RBACRBAC1 1nRBAC1的特征是为RBAC0上引入了角色层次的概念（如总经理、经理、职员）。n在一般的单位或组织中，特权或职权通常是具有线性关系的，而角色层次RH（Role Hierarchy）可以反映这种权

21、利责任关系。 RBACRBAC模型之三模型之三RBACRBAC2 2nRBAC2除了继承RBAC0的原有特征外，还引入了约束或限制（Constraints）的概念。nRBAC2中定义的约束有多种，例如：互斥角色基数约束 先决条件角色 运行时约束 RBACRBAC模型之四模型之四RBACRBAC3 3nRBAC3是RBAC1和RBAC2两者的结合，其结构如图3-6中除去管理角色的部分。 RBACRBAC的特点的特点优点优点n首先，RBAC是一种策略无关的访问控制技术，它不局限于特定的安全策略，几乎可以用来描述任何的安全策略。n其次，RBAC具有自管理的能力。n同时，RBAC使得安全管理更贴近应用

22、领域的机构或组织的实际情况，很容易将现实世界的管理方式和安全策略映射到信息系统中。 RBACRBAC的特点的特点不足不足n一方面，RBAC技术还不十分成熟，在角色的工程化、角色动态转换等方面还需要进一步研究 。n另一方面，RBAC技术比DAC和MAC都要复杂，系统实现难度大。n再者，RBAC的策略无关性需要用户自己定义适合本领域的安全策略，定义众多的角色和访问权限及它们之间的关系也是一件非常复杂的工作。 3.1.4 3.1.4 基于任务的访问控制技术基于任务的访问控制技术n上述几个访问控制模型都是从系统的角度出发去保护资源（控制环境是静态的），在进行权限的控制时没有考虑执行的上下文环境。 n基

23、于任务（活动）的访问控制模型（Task-based Access Control Model）是从应用和企业层角度来解决安全问题，以面向任务的观点，从任务（活动）的角度来建立安全模型和实现安全机制，在任务处理的过程中提供动态实时的安全管理。 关于关于TABCTABC模型的几个基本术语模型的几个基本术语n工作流。工作流是为完成某一目标而由多个相关的任务（活动）构成的业务流程。工作流所关注的问题是处理过程的自动化，对人和其他资源进行协调管理，从而完成某项工作。 n任务（Task）是工作流程中的一个逻辑单元，是一个可区分的动作，与多个用户相关，也可能包括几个子任务。 关于关于TABCTABC模型的几

24、个基本术语（续）模型的几个基本术语（续）n授权结构体（Authorization Unit）是由一个或多个授权步组成的结构体，它们在逻辑上是联系在一起的。授权结构体分为一般授权结构体和原子授权结构体。n一般授权结构体内的授权步依次执行，原子授权结构体内部的每个授权步紧密联系，其中任何一个授权步失败都会导致整个结构体的失败。 关于关于TABCTABC模型的几个基本术语（续）模型的几个基本术语（续）n授权步（Authorization Step）表示一个原始授权处理步，是指在一个工作流程中对处理对象的一次处理过程。授权步是访问控制所能控制的最小单元，由受托人集（Trustee Set）和多个许可集

25、（Permissions Set）组成。n受托人集是可被授予执行授权步的用户的集合。n许可集则是受托集的成员被授予授权步时拥有的访问许可。 TABCTABC模型的表示模型的表示nTBAC模型一般用五元组（S，O，P，L，AS）来表示，其中S表示主体，O表示客体，P表示许可，L表示生命期（Lifecycle），AS表示授权步。n当授权步AS被触发时，它的委托执行者开始拥有执行者许可集中的权限，同时它的生命期开始倒计时。n在生命期间，五元组有效。生命期终止时，五元组无效，委托执行者所拥有的权限被回收。 TBACTBAC支持最小特权原则和最小泄露原则支持最小特权原则和最小泄露原则 n在执行任务时只给

26、用户分配所需的权限，未执行任务或任务终止后用户不再拥有所分配的权限；n而且在执行任务过程中，当某一权限不再使用时，授权步自动将该权限回收；n另外，对于敏感的任务需要不同的用户执行，这可通过授权步之间的分权依赖实现。 TBACTBAC的特点的特点nTBAC从工作流中的任务角度建模，可以依据任务和任务状态的不同，对权限进行动态管理。 n因此，TBAC非常适合分布式计算和多点访问控制的信息处理控制以及在工作流、分布式处理和事务管理系统中的决策制定。 3.1.4 3.1.4 基于对象的访问控制技术基于对象的访问控制技术n基于对象的访问控制（Object-based Access Control Mod

27、el，OBAC Model）。n在DAC或MAC中，当用户数量多、处理的信息数据量巨大时，用户权限的管理任务将变得十分繁重，并且用户权限难以维护，这就降低了系统的安全性和可靠性。n对于海量的数据和差异较大的数据类型，需要用专门的系统和专门的人员加以处理，要是采用RBAC模型的话，安全管理员除了维护用户和角色的关联关系外，还需要将庞大的信息资源访问权限赋予有限个角色。 OBACOBAC模型模型n将访问控制列表与受控对象或受控对象的属性相关联，并将访问控制选项设计成为用户、组或角色及其对应权限的集合；n同时允许对策略和规则进行重用、继承和派生操作。n这样，不仅可以对受控对象本身进行访问控制，受控对

28、象的属性也可以进行访问控制，而且派生对象可以继承父对象的访问控制设置。 OBACOBAC模型的特点模型的特点n有效地解决了信息数据量大、数据种类繁多、数据更新变化频繁的大型管理信息系统的安全管理。n将访问主体的访问权限直接与受控对象相关联，一方面定义对象的访问控制列表，增、删、修改访问控制项易于操作；n另一方面，当受控对象的属性发生改变，或者受控对象发生继承和派生行为时，无须更新访问主体的权限，只需要修改受控对象的相应访问控制项即可，从而减少了访问主体的权限管理，降低了授权数据管理的复杂性。 3.2 3.2 防火墙防火墙3.2.1 防火墙技术概述防火墙技术概述3.2.2 常用的防火墙技术常用的

29、防火墙技术3.2.3 防火墙的实现技术、性能与功能指标防火墙的实现技术、性能与功能指标3.2.4 防火墙的局限性和发展防火墙的局限性和发展3.2 3.2 防火墙防火墙n防火墙是指设置在不同网络（如企业内部网Intranet和公共网Internet）或网络安全域之间（可信网络与不可信网络）的一系列部件（软件与硬件）的组合。n它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况， 以此来实现网络的安全保护。 3.2.1 3.2.1 防火墙技术概述防火墙技术概述 n防火墙是设置在可信网络和不可信网络之间的一道屏障，通过允许、拒绝或重新定向经过防火墙的数据流，实

30、现对进、出内部网络的服务和访问的审计和控制。n从实质上来说防火墙是用来加强网络之间的访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互连设备。 防火墙技术在网络中的应用防火墙技术在网络中的应用 图3-7 防火墙应用示意图 防火墙应该是连接内部网络和外部网络的唯一通道，所有进出内部网络的双向通信信息必须通过防火墙，只能允许经过本地安全策略授权的通信信息通过，同时防火墙本身不能影响网络信息的流通。 防火墙规则防火墙规则 n防火墙对内部网络与外部网络之间的信息流传递的控制功能是通过在防火墙中预先设定的安全规则实现的。n防火墙的安全规则由匹

31、配条件与处理方式两个部分共同构成。其中匹配条件是一些逻辑表达式，根据信息中的特定值域可以计算出逻辑表达式的值为真还是为假，如果信息使匹配条件的逻辑表达式为真，则说明该信息与当前规则匹配。 与规则匹配的信息的几种处理方式与规则匹配的信息的几种处理方式nAccept：允许数据或信息通过。 nReject：拒绝数据包或信息通过，并且通知信息源该信息被禁止。nDrop：直接将数据包或信息丢弃，并且不通知信息源。 与任何一条规则不相匹配的信息的基本处理原则之一与任何一条规则不相匹配的信息的基本处理原则之一n一切未被允许的就是禁止的。也称“默认拒绝”原则。在这条原则中，规则库主要由处理方式为Accept的

32、规则构成，对于不能与任何一条规则相匹配的信息，则不允许其通过防火墙。该规则的安全性较高，但限制了用户所能使用的服务种类，缺乏使用方便性。 与任何一条规则不相匹配的信息的基本处理原则之二与任何一条规则不相匹配的信息的基本处理原则之二n一切未被禁止的就是允许的。也称“默认允许”原则。在这条原则中，规则库主要由处理方式为Reject或Drop的规则组成，对于不能与任何一条规则相匹配的信息，则允许其通过防火墙。该规则的安全性相比前一个规则要低，但使用较方便，规则的配置较为灵活。n现在大多数的防火墙产品都采用的是“默认拒绝”原则。 匹配条件匹配条件 n目前防火墙产品大多是以TCP/IP协议簇为基础而设计

33、的。nTCP/IP协议簇具有明显的层次特性，防火墙产品在不同层次上实现信息过滤与控制所采用的策略也不相同。 匹配条件匹配条件网络层网络层n工作在网络层时，主要是针对TCP/IP协议中的IP数据包头部制定规则的匹配条件并实施过滤。n制定匹配条件关注的焦点包括以下字段内容：IP源地址：IP数据包的发送主机地址；IP目的地址：IP数据包的接收主机地址；协议：IP数据包中封装的协议类型，包括TCP，UDP或ICMP包等。 匹配条件匹配条件网络层（续）网络层（续）n例如“IP源地址=192. 168.1.0/并且IP目的地址=/”

34、 表示由网络发出，发送至网络的数据包。 匹配条件匹配条件传输层传输层n工作在传输层时，TCP/IP协议簇中的传输层协议主要由TCP或UDP构成，防火墙必须能够理解TCP或UDP数据包首部。n制定的规则主要针对首部中的如下字段： 源端口：发送TCP或UDP数据包应用程序的绑定端口； 目的端口：接收TCP或UDP数据包应用程序的绑定端口。 匹配条件匹配条件传输层（续）传输层（续）n例如“源端口=1456并且目的端口=21” 表示与规则匹配的是由发送主机上占用1456号端口的进程发送给目标主机上占用21号端口进程的传输层数据包。 匹配条件匹配条件应用层应用

35、层n工作在应用层时，防火墙必须理解各种应用层协议(如HTTP、FTP、SMTP、Telnet、SNMP等)，以便对应用协议的数据包进行过滤。由于应用层协议种类繁多，协议内容较为复杂，这里不做介绍。 匹配条件匹配条件基于信息流向基于信息流向 n基于信息流向的匹配条件主要由两个组成：“向外向外”与与“向内向内”。n一般来说，堡垒主机、软件防火墙工作站、硬件防火墙上的概念较为一致，都采用如下的表述方式：“向外向外”：指通过防火墙向外部网络发出的数据包；“向内向内”：指通过防火墙进入内部网络的数据包。 防火墙的分类（一）防火墙的分类（一） n按防范领域分类。从防范领域的角度进行划分，防火墙可以分为两种

36、：个人防火墙。主要用于保护个人主机系统。网络防火墙。主要用于隔离外部网络与内部网络，是防火墙的主流产品。 防火墙的分类（二）防火墙的分类（二）n按实现技术分类。从实现技术的角度划分，防火墙可以分为：包过虑路由器。审查每一个到达的数据包，根据IP的包头信息查看他们是否匹配某一条过虑规则，然后根据所匹配的规则的处理方式来决定转发或丢弃该数据包。应用层网关防火墙。主要由安装在网关上的代理软件来实现，能够实现比包过虑路由器更严格的安全策略。电路层网关。是一个特殊的构件，可以由应用层网关来实现。电路层网关只是简单中继该应用的连接，并不作任何审查、过滤工作。状态检测防火墙：这种防火墙摒弃了简单包过滤防火墙

37、仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。 防火墙的分类（三）防火墙的分类（三）n按实现的方式分类。软件防火墙。一般安装在隔离内网与外网的主机或服务器上，通过图形化的界面实现规则配置、访问控制、日志管理等数据包过虑型防火墙的基本功能。硬件防火墙。采用纯硬件设计或固化计算机的方式。 3.2.2 3.2.2 防火墙技术概述防火墙技术概述n常用的防火墙技术主要有包常用的防火墙技术主要有包过滤技术过滤

38、技术、代理技术代理技术和和状态检测技术状态检测技术，下面将一一加以介绍。 1.1.包过滤技术包过滤技术 n数据包过滤技术是一种简单、高效的安全控制技术，是防火墙发展初期普遍采用的技术。n因为CPU用来处理包过滤的时间相对很小，而且这种防护措施对用户透明，使用起来很方便。n因为包过滤技术是在IP/TCP层实现的，所以包过滤的一个很大的弱点是不能在应用层级别上进行过滤，所以防卫方式比较单一。 包过滤防火墙通常对以下特性进行检查：包过滤防火墙通常对以下特性进行检查： nIP源地址； nIP目标地址； n协议类型（TCP包/UDP包/ICMP包）； nTCP或UDP包的源端口；nTCP或UDP包的目的

39、端口； nICMP消息类型； nTCP包头的ACK位； nTCP包的序列号、IP校验和等。 包过虑的基本流程包过虑的基本流程 图3-8 包过滤的基本流程图 过滤规则指定的策略过滤规则指定的策略 n按地址过滤。按地址过滤是最简单的过滤方式，它只限制数据包的源地址和目的地址，而不必考虑协议。如果限制源地址，就会面临风险，因为源地址是可以伪造的。n按服务过滤。按服务过滤，就是根据相应的TCP/UDP端口进行过滤。在实际应用中，一般使用的是目的端口过滤，对于源端口过滤也是有风险的，源端口也是可以伪装的。 n对数据包做日志记录。 数据包过滤规则数据包过滤规则 n在配置数据包过滤规则之前，需要明确要允许或

40、者拒绝什么服务，并且需要把策略转换成为针对数据包的过滤规则。n网络协议一般都是双向的，在规划数据包过滤规则时，一定要注意数据包是双向的。 n在数据包过滤规则中有两种基本的安全策略：默认接受和默认拒绝。 建立数据包过滤规则的步骤建立数据包过滤规则的步骤 n建立安全策略（写出所允许的和禁止的任务）。 n将安全策略转化为数据包分组字段的逻辑表达式。 n用防火墙提供的过滤规则句法重写逻辑表达式并设置。 包过滤规则的特点包过滤规则的特点n优点：简单实用，速度快，性能高，实现成本较低；在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。 n缺点：首先,包过滤路由器的安全规则制定非常复杂

41、，且不易配置和维护；其次,包过滤技术是一种工作于网络层的安全技术，不能处理网络层以上的信息，无法识别基于应用层的恶意侵入；再次,包过滤技术不论是对待连接的TCP协议，还是无连接的UDP协议，它都以单个数据包为单位进行处理，对数据传输的状态并不关心，因而传统的包过滤技术又称为无状态过滤。 2.2.代理技术代理技术n代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序，这些程序根据安全策略接受用户对网络的请求，并在用户访问信息时依据预先设定的应用协议安全规则进行信息过滤。 n采用代理技术的防火墙将所有跨越防火墙的网络通信链路分为两段，从而起到隔离防火墙内外计算机系统的作用。 n代理服务一般分

42、为应用层代理与传输层代理两种。 （1 1）应用层代理）应用层代理 n应用层代理是在TCP/IP协议的应用层实现数据或信息过滤的防火墙实现方式。 n通常应用层代理防火墙主机不具备路由功能，因此，传输层以下的数据包无法通过防火墙主机在内部、外部网络之间进行传递。 n代理服务通常由两个部分组成： 代理服务器端程序 代理客户端程序。 代理服务器端程序和代理客户端程序代理服务器端程序和代理客户端程序 n内部网络用户只能将应用层协议请求提交给代理服务程序，按照访问检查表进行检查，若该请求是允许的，代理服务程序就把该请求转发给外部的真正服务程序，并将结果返回给内网用户。 n内部网络用户与外部网络资源之间不建

43、立直接的网络连接或者直接的网络通信，所有信息交互必须借助于应用层代理的应用层信息中继功能。 n为了连接到一个应用层代理服务程序，许多应用层网关要求用户在内部网络的主机上运行一个专用的代理客户端程序。 应用层代理的特点应用层代理的特点n优点：优点：能够支持可靠的用户认证并提供详细的注册信息；相对于包过滤路由器来说更容易配置和测试；完全控制会话可以提供很详细的日志和安全审计功能；可以隐藏内部网的IP地址保护内部主机免受外部主机的攻击；可以解决合法IP地址不够用的问题(基于NAT技术)。n缺点：缺点：不同的应用服务要用不同的代理服务程序，所以能提供的服务和可伸缩性是有限的；不能为RPC、Talk和其

44、他一些基于通用协议族的服务提供代理会造成明显的性能下降。 包过滤与应用网关两种技术的比较包过滤与应用网关两种技术的比较 n数据包过滤技术的优点：数据包过滤技术的优点：数据包过滤技术不针对特殊的应用服务，不要求客户端或服务器提供特殊软件接口。数据包过滤技术对用户基本透明，降低了对用户的使用要求。数据包过滤技术可以直接使用在隔离内、外网络的边界路由器上，让路由器提供防火墙的基本功能。数据包过滤技术可以直接使用在内部网络连接多个子网的中心路由器上，对内部网络用户间的资源访问提供控制。 包过滤与应用网关两种技术的比较（续）包过滤与应用网关两种技术的比较（续）n数据包过滤技术的缺点数据包过滤技术的缺点：

45、数据包过滤规则配置较为复杂，对网络管理人员要求较高。数据包过滤规则配置的正确性难以检测，在规则较多时，逻辑上的错误较难发现。不同防火墙产品的匹配条件表达能力差异较大，对于用户的特殊过滤需求难以实现。配置规则中的逻辑错误容易导致数据无法传递。采用数据包过滤技术的防火墙由于过滤负载较重，容易成为网络访问的瓶颈。多数数据包过滤技术无法支持用户的概念，无法支持用户级访问控制。 包过滤与应用网关两种技术的比较（续）包过滤与应用网关两种技术的比较（续）n应用网关的优点：应用网关的优点： 使用应用网关技术，用户不需要直接与外部网络连接，内部网络安全性较高。应用网关的Cache（高速缓存）机制，可以通过用户信

46、息共享的方式，提高信息访问率。采用应用网关的防火墙，没有网络层与传输层的过滤负载，同时代理只有当用户有请求时才会去访问外部网络，防火墙成为瓶颈的可能性小。应用网关支持用户概念，可以提供用户认证等用户安全策略。应用网关可以实现基于内容的信息过滤。 包过滤与应用网关两种技术的比较（续）包过滤与应用网关两种技术的比较（续）n应用网关的缺点：应用网关的缺点：在新的应用产生后，必须设计对应的应用网关软件，这使得代理服务的发展永远滞后于应用服务的发展。必须对每种服务提供应用代理，每开通一种服务，就必须在防火墙上添加相应的服务进程。代理服务器需要对客户端软件添加客户端代理模块，增加了系统安装与维护的工作量。

47、代理服务对实时性要求太高的服务不合适。 包过滤与应用网关两种技术的比较（续）包过滤与应用网关两种技术的比较（续）n数据包过滤与应用网关两种技术都有自己的优势与缺点，因此必须结合起来使用：一般情况下，在使用防火墙产品时，对使用较为频繁、信息可共享性高的服务采用应用网关，例如www服务。 而对于实时性要求高、使用不频繁、用户自定义的服务可以采用数据包过滤机制，如 Telnet服务。 （2 2）传输层代理）传输层代理 n针对应用层代理只能提供一种应用的缺陷，近几年产生了一项新的代理技术传输层代理（Socks）。 nSocks代理通常也包含两个部分：Socks服务器端和Socks客户端。 n它只中继基

48、于TCP数据包，对应用层也不需要作任何改变。 传输层代理的原理传输层代理的原理n当内部网络用户需要申请外部网络节点的应用服务时，客户程序首先建立一个与Socks服务器的连接（端口号为1080），然后把包括应用服务器地址、端口号和认证信息的访问请求发给Socks服务器，传输层代理根据其配置的安全策略验证该请求的有效性，然后建立与目标的合适连接，这种方式对用户来讲是完全透明的。 传输层代理的特点传输层代理的特点n优点优点：Socks的高度基础化使支持新的用户软件变得很容易，这也是它很流行的原因。 n缺点缺点：不能提供智能的访问控制，只提供登录服务，而大部分的登录服务在客户机上进行，从而使在一个地点

49、收集信息并进行检索很困难。 3.3.状态检测技术状态检测技术 n状态检测防火墙有一个根本的能力，即检查所有OSI七层的信息。既提供了比包过滤防火墙更高的安全性和更灵活的处理，也避免了应用层网关防火墙带来的速度降低的问题。n要实现状态检测防火墙，最重要的是实现连接的跟踪功能。 跟踪功能的实现跟踪功能的实现n对于单一连接的协议来说相对比较简单，只需要数据包头的信息就可以进行跟踪。n对于一些复杂协议，状态检测防火墙，能够进一步分析主连接中的内容信息，识别出所协商的子连接的端口而在防火墙上将其动态打开，连接结束时自动关闭，充分保证系统的安全。n状态检测防火墙为能跟踪各种多连接协议，就必须单独为各协议实

50、现连接跟踪模块，而且一般要求这些协议在协商子连接端口时是明文协商，不能进行加密。 状态状态n状态检测防火墙对每个合法网络连接保存的信息包括源地址、目的地址、协议类型、协议相关信息（如TCP/UDP协议的端口、ICMP协议的ID号）、连接状态（如TCP连接状态）和超时时间等，防火墙把这些信息叫做状态。 n通过状态检测，可实现比简单包过滤防火墙具有更大的安全性。 连接协议的状态检测连接协议的状态检测n当防火墙接收到初始化TCP连接的SYN包时，要对这个带有SYN的数据包进行安全规则检查。 n如果在检查了所有的规则后，该数据包都没有被接受，那么拒绝该次连接。如果该数据包被接受，那么本次会话的连接信息

51、被添加到状态监测表里。 n对于随后的数据包。就将包信息和该状态监测表中所记录的连接内容进行比较，如果会话是在状态表内，而且该数据包状态正确，该数据包被接受；如果不是会话的一部分，该数据包被丢弃。 无连接协议的状态检测无连接协议的状态检测n对于UDP协议，一方发出UDP包后，如 DNS请求，防火墙会将从目的地址和端口返回的、到达源地址源端口的包作为状态相关的包而允许通过； n对于ICMP协议，如ping（echo）包，其状态相关包就是来自目的地址的echo reply包，而没有与echo包对应的echo reply包则认为是状态非法的。n通过状态检测，就可以很容易实现你访问别人，而别人不能访问你

52、。 状态检测技术的特点状态检测技术的特点n优点优点：提供检测所有OSI七层的能力，而不改变目前的直接连接模式；提供完整的动态包过滤功能，而且能够提供较快的速度。 n缺点缺点：单线程的状态检测对性能有很大的影响；直接连接不适合高安全性；依赖于操作系统的安全性；工作在动态包过滤模式，并没有很高的安全性。 3.2.3 3.2.3 防火墙的实现技术、性能与功能指标防火墙的实现技术、性能与功能指标 1.防火墙的硬件实现技术防火墙的硬件实现技术 n总结起来，防火墙的硬件实现技术主要有以下3种：Intel x86架构工控机；ASIC(专用集成电路)硬件加速技术；网络处理器（NP）加速技术。 （1 1）基于）

53、基于Intel x86Intel x86架构工控机架构工控机 nx86是一个Intel通用计算机系列的标准编号缩写，也标识一套通用的计算机指令集合。n因具有极高的灵活性和可扩展性，x86一直被作为主要的防火墙开发平台。 n依赖于x86架构的防火墙功能主要由软件实现，可以根据用户的实际需要而作相应调整，增加或减少功能模块，产品比较灵活，功能也十分丰富。 nx86平台的防火墙数据从网卡到CPU之间的传输机制依靠“中断”来实现，中断机制导致在有大量数据包的需要处理的情况下，x86平台的防火墙吞吐速率不高，CPU占用率也很高。 （2 2）ASICASIC硬件加速技术硬件加速技术 nASIC的英文全称是

54、Application Specific Integrated Circuits，即专用集成电路。n相比较x86架构，ASIC防火墙通过上文提到的ASIC芯片逻辑进行硬件加速处理。 n基于ASIC架构的防火墙从架构上改进了中断机制，数据从网卡收到以后，不经过主CPU处理，而是经过集成在系统中的一些芯片直接处理，由这些芯片来完成传统防火墙的功能。n数据不经过主CPU处理，不使用中断机制，从而提高了防火墙的处理速率。 （2 2）ASICASIC硬件加速技术（续）硬件加速技术（续）n新一代的高可编程ASIC采用了更灵活的设计，能够通过软件改变应用逻辑，具有更广泛的适应能力。 nASIC的灵活性和扩展

55、性不够。缺乏灵活性，支持的应用和服务有限。一旦指令或计算逻辑固化到硬件中，就很难修改升级、增加新的功能或提高性能，使得资源重用率很低。而且，ASIC设计和制造周期长，研发费用高，也使ASIC很难应对万变的网络新应用，所以基于ASIC技术，很难快速推出能满足用户需求不断变化的防火墙产品。 （3 3）网络处理器加速技术）网络处理器加速技术 n网络处理器（Network Processor，NP）是专门为网络设备处理网络流量而设计的处理器，其体系结构和指令集对于防火墙常用的包过滤、转发等算法和操作都进行了专门的优化，可以高效地完成TCP/IP栈的常用操作，并对网络流量进行快速的并发处理。n网络处理器

56、的硬件结构设计具有较高的I/O能力。它可以构建一种硬件加速的完全可编程的架构，这种架构的软硬件都易于升级，软件可以支持新的标准和协议，硬件设计支持更高网络速度，从而使产品的生命周期更长。基于NP架构的防火墙与x86架构的防火墙相比，性能得到了很大的提高。 2.2.防火墙性能指标防火墙性能指标n吞吐量 n延时 n丢包率 n背靠背 吞吐量吞吐量 n定义：在不丢包的情况下，能够达到的定义：在不丢包的情况下，能够达到的最大速率。最大速率。n衡量标准：吞吐量作为衡量防火墙的重衡量标准：吞吐量作为衡量防火墙的重要性能指标之一，吞吐量小就会造成网要性能指标之一，吞吐量小就会造成网络新的瓶颈，以后影响整个网络

57、的性能。络新的瓶颈，以后影响整个网络的性能。延时延时 n定义：入口处输入帧最后一个比特到达至出口处输出帧定义：入口处输入帧最后一个比特到达至出口处输出帧第一个比特输出所用的时间间隔。第一个比特输出所用的时间间隔。n衡量标准：防火墙的时延能够体现它处理数据的速度。衡量标准：防火墙的时延能够体现它处理数据的速度。丢包率丢包率 n定义：在稳定负载下，应由网络设备传输，但由于资源定义：在稳定负载下，应由网络设备传输，但由于资源缺乏而被丢弃的帧的百分比。缺乏而被丢弃的帧的百分比。n衡量标准：防火墙的丢包率对其稳定性、可靠性有很大衡量标准：防火墙的丢包率对其稳定性、可靠性有很大影响。影响。背靠背背靠背 n

58、定义：从空闲状态开始，以达到传输介质最小合法间隔极限的传定义：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数。发送的帧数。n衡量标准：背靠背包的测试结果能体现出防火墙的缓冲容量，网衡量标准：背靠背包的测试结果能体现出防火墙的缓冲容量，网络上经常有一些应用会产生大量的突发数据包（如：路由更新，络上经常有一些应用会产生大量的突发数据包（如：路由更新，备份等），而且这样的数据包的丢失可能会产生更多的数据包，备份等），而且这样的数据包的丢失可能会产生更多的数据包，强大缓冲能力可

59、以减少这种突发对网络造成的影响。强大缓冲能力可以减少这种突发对网络造成的影响。3.3.防火墙的功能指标防火墙的功能指标n产品类型。分为3种类型：基于路由器的包过滤防火墙、基于通用操作系统的防火墙、基于专用安全操作系统的防火墙。 nLAN接口(如：FE、GE、10GE等)。n协议支持（如：HTTP、SMTP、FTP等）。n加密支持。n认证支持。n访问控制。 3.3.防火墙的功能指标（续）防火墙的功能指标（续）n防御功能。n安全特性。n管理功能。 n记录和报表功能。 3.2.4 3.2.4 防火墙的局限性和发展防火墙的局限性和发展 1.防火墙的局限性防火墙的局限性 n防火墙不能防范不经过防火墙的攻

60、击。 n防火墙防外不防内防火墙防外不防内。 n防火墙由于在配置和管理上比较复杂，所以容易造成安全漏洞。 n防火墙无法防范病毒，抵御数据驱动式防火墙无法防范病毒，抵御数据驱动式的攻击的攻击。 n防火墙不能防止利用标准网络协议中的缺陷以及服务器系统的漏洞进行的攻击。 n防火墙不能防止本身的安全漏洞的威胁。 2.2.防火墙的发展趋势防火墙的发展趋势 n新一代分布式防火墙技术。 n新一代嵌入式防火墙技术。 n新一代智能防火墙技术。 3.3 3.3 物理隔离物理隔离3.3.1 物理隔离概述物理隔离概述3.3.2 物理隔离的原理、分类和发展趋势物理隔离的原理、分类和发展趋势3.3.3 物理隔离网闸的原理与