计算机网络安全课件(沈鑫剡)第7章

1、 2006工程兵工程学院 计算机教研室第七章n防火墙概述；防火墙概述；n分组过滤器；分组过滤器；n堡垒主机；堡垒主机；n统一访问控制。统一访问控制。防火墙是一种对不同网络之间信息传输过程防火墙是一种对不同网络之间信息传输过程实施监测和控制的设备，尤其适用于内部网实施监测和控制的设备，尤其适用于内部网络和外部网络之间的连接处。络和外部网络之间的连接处。防火墙功能防火墙功能n服务控制服务控制不同网络间只允许传输与特定服务相关的信息流。不同网络间只允许传输与特定服务相关的信息流。n方向控制方向控制不同网络间只允许传输与由特定网络中终端发起的会话不同网络间只允许传输与由特定网络中终端发起的会话相关的信

2、息流。相关的信息流。n用户控制用户控制不同网络间只允许传输与授权用户合法访问网络资源相不同网络间只允许传输与授权用户合法访问网络资源相关的信息流。关的信息流。n行为控制行为控制不同网络间只允许传输与行为合理的网络资源访问过程不同网络间只允许传输与行为合理的网络资源访问过程相关的信息流。相关的信息流。n如果不与操作系统的安全访问机制相结合，个人防火墙的功能相对如果不与操作系统的安全访问机制相结合，个人防火墙的功能相对简单；简单；n有状态检查防火墙的功能已经涵盖电路层网关和应用层网关的功能，有状态检查防火墙的功能已经涵盖电路层网关和应用层网关的功能，但对终端用户是透明的。但对终端用户是透明的。防火

3、墙分类防火墙分类n电路层网关对运输层连接进行监测和控制，包括连接发起者的身份认电路层网关对运输层连接进行监测和控制，包括连接发起者的身份认证、经过连接传输的证、经过连接传输的TCP报文的合理性等；报文的合理性等；n应用层网关对特定应用相关的消息交换过程实施监测控制和，包括请应用层网关对特定应用相关的消息交换过程实施监测控制和，包括请求、响应过程，请求、响应报文中各字段的正确性，传输内容的合理求、响应过程，请求、响应报文中各字段的正确性，传输内容的合理性和合法性等。性和合法性等。电路层网关工作机制电路层网关工作机制先认证用户身份，确定是授权用户先认证用户身份，确定是授权用户发起的发起的TCP连接

4、时，再与服务器建连接时，再与服务器建立立TCP连接。连接。n无状态分组过滤器；无状态分组过滤器；n有状态分组过滤器。有状态分组过滤器。分组过滤器根据规则鉴别出一组多个字段值等于设定值分组过滤器根据规则鉴别出一组多个字段值等于设定值的的IP分组，并对其进行规定操作。这些字段值可以是分组，并对其进行规定操作。这些字段值可以是IP分组首部字段值，可以是运输层首部字段值（电路层网分组首部字段值，可以是运输层首部字段值（电路层网关功能），也可以是应用层消息的各个字段值（应用层关功能），也可以是应用层消息的各个字段值（应用层网关的功能）。有状态和无状态的区别在于无状态逐个网关的功能）。有状态和无状态的区别

5、在于无状态逐个IP分组单独处理，有状态是基于会话，对属于相同会话分组单独处理，有状态是基于会话，对属于相同会话的一组的一组IP分组进行联合处理，会话可以是分组进行联合处理，会话可以是TCP连接，也连接，也可以是应用层请求、响应过程。因此，有状态分组过滤可以是应用层请求、响应过程。因此，有状态分组过滤器的功能涵盖了电路层和应用层网关的大部分功能，但器的功能涵盖了电路层和应用层网关的大部分功能，但分组过滤器对终端用户是透明的。分组过滤器对终端用户是透明的。 /24 /24 /24 源源IPIP地址地址/24/

6、24一、分组过滤一、分组过滤目的目的IPIP地址地址/24/24目的目的IPIP地址地址/24/24源源IPIP地址地址/24/24目的目的IPIP地址地址/24/24源源IPIP地址地址/24/24 /24 /24 /24 1 2 3 1 2 R1 R2 R3 LAN 1 LAN 2 LAN 3 Web 服务器服务器 19

7、 终端终端 A 源源IPIP地址地址=/24 .and. =/24 .and. 目目的的IPIP地址地址=/32 .and. =/32 .and. 目目的端口号的端口号=23=23，对和规则匹配的，对和规则匹配的IPIP分组采取的动作是：拒绝传输分组采取的动作是：拒绝传输 。一、分组过滤一、分组过滤n要求要求LAN 1LAN 1中终端不能通过中终端不能通过TELNETTELNET访问访问LAN 2LAN 2中服务器。中服务器。IPIP分组的源地址属于分组的源地址属于LAN1LAN1子子网地址，目的地址是网地址

8、，目的地址是LAN2LAN2服服务器，端口号必须确定是务器，端口号必须确定是TELNETTELNET应用。应用。n只允许只允许LAN2LAN2中终端访问中终端访问LAN1LAN1中的中的WEBWEB服务器。服务器。源源IPIP地址地址= .and. = .and. 目的目的IPIP地址地址=/24 .and. =/24 .and. 源端口号源端口号=80=80，对，对和规则匹配的和规则匹配的IPIP分组采取的动作是：允分组采取的动作是：允许传输许传输 。不允许和不允许和LAN1LAN1中终端通过中终端通过TELNETTEL

9、NET访问访问LAN2LAN2中服务器中服务器操作有关的信息经过路由操作有关的信息经过路由器器R1R1。 /24 /24 防火墙动态分组过滤防火墙动态分组过滤 只允许终端只允许终端A A用用TelnetTelnet访问终端访问终端B B，不，不允许终端允许终端B B访问终端访问终端A A。终端终端A A终端终端B B源源IPIP地址地址 .and. .and.目的目的IPIP地地址址 .and. .and. 源端口

10、号源端口号2323 只允许终端只允许终端B B向终端向终端A A回信回信，不允，不允许终端许终端B B主动向终端主动向终端A A写信。写信。 通过寄信人和收信人地址、姓名通过寄信人和收信人地址、姓名能区分这两种类型的信吗？能区分这两种类型的信吗？对终端对终端A A写给终端写给终端B B的信和终端的信和终端B B写给终写给终端端A A的信的内容进行的信的内容进行检查，确定是回信，检查，确定是回信，则通过，不是，则则通过，不是，则过滤。过滤。 /24 /24 1 2 3 非信任区非信任区 54 54 LAN

11、 1 信任区信任区 LAN 2 非军事区非军事区 Web服务器服务器 Internet 邮件服务器邮件服务器 防火墙防火墙 防火墙动态分组检测防火墙动态分组检测动态分组检测的第一动态分组检测的第一步是将网络划分成三步是将网络划分成三个区，然后对区间进个区，然后对区间进行的访问过程全程监行的访问过程全程监控控。所谓全程监控是所谓全程监控是根据访问策略确根据访问策略确定信息流顺序，定信息流顺序，然后对每一次信然后对每一次信息流传输操作进息流传输操作进行监控，看其是行监控，看其是否符合策略规定否符合策略规定的顺序和动作。

12、的顺序和动作。防火墙动态分组检测防火墙动态分组检测访问策略访问策略从信任区到非军事区从信任区到非军事区 源源IPIP地址地址=/24 =/24 目的目的IPIP地址地址=/32 HTTP=/32 HTTP服务；服务；从信任区到非军事区从信任区到非军事区 源源IPIP地址地址=/24 =/24 目的目的IPIP地址地址= SMTP+POP3= SMTP+POP3服务；服务；从信任区到非信任区从信任区到非信任区 源源IPIP地址地址=/2

13、4 =/24 目的目的IPIP地址地址= = HTTP+FTP GETHTTP+FTP GET服务；服务；从非军事区到非信任区从非军事区到非信任区 源源IPIP地址地址=/32 =/32 目的目的IPIP地址地址= SMTP= SMTP服务；服务；从非信任区到非军事区从非信任区到非军事区 源源IPIP地址地址= = 目的目的IPIP地址地址=/32 HTTP GET=/32 HTTP GET服务；服务；从非信任区到非军事区

14、从非信任区到非军事区 源源IPIP地址地址= = 目的目的IPIP地址地址=/32 SMTP=/32 SMTP服务。服务。 访问策略和分组过滤不同，不是定访问策略和分组过滤不同，不是定义了允许或不允许传输的义了允许或不允许传输的IPIP分组，分组，而是定义了整个服务过程。如第一而是定义了整个服务过程。如第一项策略表示允许进行由信任区中终项策略表示允许进行由信任区中终端发起的，对非军事区中的端发起的，对非军事区中的WEBWEB服服务器的访问。它允许符合这个访问务器的访问。它允许符合这个访问过程的过程的IPIP分组在信任区和非军事区分

15、组在信任区和非军事区之间传输。之间传输。防火墙动态分组检测防火墙动态分组检测策略对应的信息交换过策略对应的信息交换过程，由于是允许信任区中程，由于是允许信任区中终端发起对非信任区中终端发起对非信任区中WEBWEB服务器的访问，因此，服务器的访问，因此，首先允许通过的是符合信首先允许通过的是符合信任区中终端发起建立任区中终端发起建立TCPTCP连接的过程的连接的过程的IPIP分组。然分组。然后允许通过的是和读取后允许通过的是和读取WEBWEB内容有关的内容有关的IPIP分组。分组。最后，允许通过的是释放最后，允许通过的是释放TCPTCP连接有关的连接有关的IPIP分组。分组。 SYN,SEQ=X

16、 SYN,SEQ=Y,ACK=X+1 ACK=Y+1 HTTP 请求请求 HTTP 响应响应 FIN,SEQ=U ACK=U+1 FIN,SEQ=V ACK=V信任区内的终端信任区内的终端 非军事区内的非军事区内的 Web 服务器服务器 /24 Internet SYN SYN,ACK SYN SYN,ACK SYN SYN,ACK Web服务器服务器 TCP 连接连接表表 防火墙防火墙 /24 SYN SYN,ACK TCP 连接表连接表 建立建立 TCP 连接请求报文阈值连接请求报文阈值 ACK SYN SYN,ACK ACK 防火墙防拒绝服务攻击防火墙

17、防拒绝服务攻击防火墙通过只中继正防火墙通过只中继正常的建立常的建立TCPTCP连接请求，连接请求，来避免服务器遭受来避免服务器遭受SYNSYN泛滥攻击。泛滥攻击。 /24 Internet SYN SYN,ACK SYN SYN,ACK SYN,SEQ=X SYN,ACK=X+1,SEQ=Z1 Web 服务器服务器 TCP 连接表连接表 防火墙防火墙 /24 SYN,SEQ=Y SYN,ACK=Y+1,SEQ=Z2 建立建立 TCP 连接请求报文阈值连接请求报文阈值 SEQ=Y+1,ACK=Z2+1 SYN,SEQ=Y SYN,ACK=Y+1,SEQ=U A

18、CK=U+1,SEQ=Y+1 Z1、Z2=MD5(请求报文源请求报文源 IP 地址目的地址目的 IP 地址地址 源端口号目的端口号发送序号）源端口号目的端口号发送序号） 防火墙防拒绝服务攻击防火墙防拒绝服务攻击通过通过COOKIECOOKIE技术避技术避免防火墙被免防火墙被SYNSYN泛泛滥阻塞。滥阻塞。n网络结构；网络结构；n堡垒主机工作机制；堡垒主机工作机制；n堡垒主机功能特性。堡垒主机功能特性。堡垒主机是代理形式的应用层网关，由它屏蔽内堡垒主机是代理形式的应用层网关，由它屏蔽内部网络资源，外部网络终端只能与堡垒主机建立部网络资源，外部网络终端只能与堡垒主机建立TCP连接，相互交换信息，堡

19、垒主机的安全功能连接，相互交换信息，堡垒主机的安全功能非常强大，不容易被黑客攻陷，外部网络终端须非常强大，不容易被黑客攻陷，外部网络终端须经堡垒主机访问内部网络资源，因此，只要保证经堡垒主机访问内部网络资源，因此，只要保证了堡垒主机的安全性，即可保证内部网络资源的了堡垒主机的安全性，即可保证内部网络资源的安全性。安全性。n单穴指堡垒主机只有一个接口连接内部网络；单穴指堡垒主机只有一个接口连接内部网络；n堡垒主机的安全性基于外部网络终端必须通过堡垒主机实现对内部网络堡垒主机的安全性基于外部网络终端必须通过堡垒主机实现对内部网络资源的访问；资源的访问；n单穴堡垒主机把外部网络终端通过堡垒主机实现对

20、内部网络资源的访问单穴堡垒主机把外部网络终端通过堡垒主机实现对内部网络资源的访问的保证完全基于无状态分组过滤器的传输控制功能。的保证完全基于无状态分组过滤器的传输控制功能。单穴堡垒主机结构单穴堡垒主机结构无状态分组过滤器必须保证只允许目的无状态分组过滤器必须保证只允许目的IP地址地址的的IP分组进入内部网分组进入内部网络，源络，源IP地址地址的的IP分组离开分组离开内部网络。即外部网络终端只能和堡垒内部网络。即外部网络终端只能和堡垒主机通信。主机通信。n双穴指堡垒主机用一个接口连接内部网络，用另一个接口双穴指堡垒主机用一个接口连接内部网络，用另一个接口连接无

21、状态分组过滤器，并通过无状态分组过滤器连接外连接无状态分组过滤器，并通过无状态分组过滤器连接外部网络；部网络；n这种网络结构保证外部网络必须通过堡垒主机才能访问内这种网络结构保证外部网络必须通过堡垒主机才能访问内部网络资源。部网络资源。双穴堡垒主机结构双穴堡垒主机结构n这种结构一是保证外部网络终端必须通过堡垒主机这种结构一是保证外部网络终端必须通过堡垒主机才能实现对内部网络资源的访问；才能实现对内部网络资源的访问；n将内部网络根据安全等级划分为不同的网段，控制将内部网络根据安全等级划分为不同的网段，控制堡垒主机对重要内部网络资源的访问。堡垒主机对重要内部网络资源的访问。双无状态分组过滤器结构双

22、无状态分组过滤器结构n无状态分组过滤器保证外网终端只能与堡垒主机通信；无状态分组过滤器保证外网终端只能与堡垒主机通信；n外网终端和堡垒主机建立外网终端和堡垒主机建立TCP连接后，由堡垒主机完成对外网终端的身份认证和连接后，由堡垒主机完成对外网终端的身份认证和访问权限鉴别；访问权限鉴别；n如果访问权限满足外网终端提出的资源访问要求，和如果访问权限满足外网终端提出的资源访问要求，和Web服务器建立服务器建立TCP连接；连接；n堡垒主机一直监测外网终端和堡垒主机一直监测外网终端和Web服务器之间的请求、响应过程和传输内容。服务器之间的请求、响应过程和传输内容。网络结构网络结构n堡垒主机自身安全性必须

23、得到保证；堡垒主机自身安全性必须得到保证；n由于堡垒主机是代理形式的应用层网关，所支持由于堡垒主机是代理形式的应用层网关，所支持的应用层服务应该能够动态增删；的应用层服务应该能够动态增删；n堡垒主机具备认证用户身份的能力，因此，或者堡垒主机具备认证用户身份的能力，因此，或者自身由注册信息库，或者能够访问到注册信息库；自身由注册信息库，或者能够访问到注册信息库；n堡垒主机必须能够为不同的用户设置不同的访问堡垒主机必须能够为不同的用户设置不同的访问权限；权限；n堡垒主机必须能够详细记录外网终端访问内部网堡垒主机必须能够详细记录外网终端访问内部网络资源的过程。络资源的过程。n系统结构；系统结构；n实

24、现原理；实现原理；n应用实例。应用实例。防火墙访问控制策略能够控制属于不同网络的终端间的防火墙访问控制策略能够控制属于不同网络的终端间的信息交换过程，但这种控制一是基于终端（由信息交换过程，但这种控制一是基于终端（由IP地址标地址标识），二是静态，终端用户改变，或是终端安全状态改识），二是静态，终端用户改变，或是终端安全状态改变不会改变防火墙的安全访问控制策略，但实际应用过变不会改变防火墙的安全访问控制策略，但实际应用过程中，同一终端，当不同用户使用时，访问权限应该是程中，同一终端，当不同用户使用时，访问权限应该是不同的（访问控制策略基于用户），二是终端状态，尤不同的（访问控制策略基于用户），

25、二是终端状态，尤其安全状态发生改变时，如检测到感染病毒，或是遭受其安全状态发生改变时，如检测到感染病毒，或是遭受黑客攻击，其访问权限应该随之改变（防火墙访问控制黑客攻击，其访问权限应该随之改变（防火墙访问控制策略是动态的），统一访问控制（策略是动态的），统一访问控制（UAC）就是用于实现）就是用于实现基于用户、动态设置访问控制策略的机制。基于用户、动态设置访问控制策略的机制。系统结构系统结构UAC代理，运行于终端的软件，一是通过交代理，运行于终端的软件，一是通过交互方式获得用户信息，并向安全控制器提供互方式获得用户信息，并向安全控制器提供用户信息，二是向安全控制器提供终端状态用户信息，二是向安

26、全控制器提供终端状态及用户为终端设置的访问控制策略。及用户为终端设置的访问控制策略。防火墙，策略执行防火墙，策略执行部件，一是随时接部件，一是随时接收安全控制器为其收安全控制器为其制定的访问控制策制定的访问控制策略，二是根据访问略，二是根据访问控制策略调制执行控制策略调制执行机制。机制。安全控制器，一是建立完整的访问控安全控制器，一是建立完整的访问控制策略库，二是接收制策略库，二是接收UAC代理提供的代理提供的用户信息和终端状态，三是根据访问用户信息和终端状态，三是根据访问策略库和用户信息及终端状态制定对策略库和用户信息及终端状态制定对应的访问控制策略，并将其传输给策应的访问控制策略，并将其传

27、输给策略执行部件，如防火墙。略执行部件，如防火墙。UAC系统配置系统配置n安全控制器建立安全策略库，基于用户设置访问安全控制器建立安全策略库，基于用户设置访问权限；权限；n防火墙访问控制策略基于网络地址确定终端的访防火墙访问控制策略基于网络地址确定终端的访问权限；问权限；n根据对用户身份的认证结果和终端的安全状态确根据对用户身份的认证结果和终端的安全状态确定用户终端的访问权限；定用户终端的访问权限；n将接入用户终端的交换机端口配置到对应的将接入用户终端的交换机端口配置到对应的VLAN，防火墙访问控制策略对应该，防火墙访问控制策略对应该VLAN的网的网络地址的访问权限恰好是安全控制器确定的用户络地址的访问权限恰好是安全控制器确定的用户终端具有的访问权限，以此完成基于用户和动态终端具有的访问权限，以此完成基于用户和动态访问控制策略设置。访问控制策略设置。n实现基于用户和动态实现基于用户和动态设置访问权限的关键设置访问权限的关键一是认证用户身份、一是认证用户身份、获知终端安全状态。获知终端安全状态。二是将连接用户终端二是将连接用户终端的交换机端口动态配的交换机端口动态配置为和用户访问权限置为和用户访问权限一致的一致的VLAN；n安全控制器需要与交安全控制器需要与交换机和用户终端交换换机和用户终端交换信息，信息，802.1X及及RADIUS恰好实现