信息安全技术——3(3)

1、信息安全技术(jsh)访问控制与防火墙技术(jsh)共七十二页提纲(tgng)访问控制技术防火墙技术基础防火墙安全设计策略防火墙攻击策略第四代防火墙的主要(zhyo)技术防火墙发展的新方向防火墙选择原则与常见产品本章小结共七十二页防火墙的发展(fzhn)里程防火墙的发展里程基于路由器的防火墙；用户(yngh)化的防火墙工具套；建立在通用操作系统上的防火墙；具有安全操作系统的防火墙；获得安全操作系统的途径通过许可证方式获得操作系统源码；通过固化操作系统内核来提高可靠性；共七十二页第4代防火墙的技术与功能第4代防火墙技术的实现方法第4代防火墙的抗攻击能力分析共七十二页第4代防火墙的技术(jsh)与

2、功能(1/10)双端口或三端口的结构具有两个或三个独立网卡内外两个网卡可以不做IP转换而串接于内部网与外部网之间另一个(y )网卡可专用于对服务器的安全保护。共七十二页第4代防火墙的技术(jsh)与功能(2/10)透明的访问(fngwn)方式以前的防火墙在访问方式上要么要求用户做系统登录，要么需要修改客户机的应用。第4代防火墙利用了透明的代理系统技术，从而降低了系统登录固有的安全风险和出错概率。共七十二页第4代防火墙的技术(jsh)与功能(3/10)灵活的代理系统代理系统一种将信息从防火墙的一侧传送到另一侧的软件模块。第4代防火墙采用了两种代理机制：用于代理从内部网络到外部网络的连接采用网络地

3、址变换NAT技术(jsh)来解决用于代理从外部网络到内部网络的连接利用非保密的用户定制代理或保密的代理系统技术来解决共七十二页第4代防火墙的技术(jsh)与功能(4/10)多级的过滤技术为保证系统的安全性和防护水平 ，第4代防火墙采用了3级过滤措施，并辅以鉴别手段。3级过滤措施在分组过滤一级能过滤掉所有的源路由分组和假冒的IP源地址；在应用网关一级能利用FTP、SMTP等各种网关，控制和监测Internet提供的所有通用服务(fw)；在电路网关一级实现内部主机与外部站点的透明连接，并对服务的通行实行严格控制。共七十二页第4代防火墙的技术(jsh)与功能(5/10)网络地址转换技术NAT第4代防

4、火墙利用NAT技术能透明地对所有内部地址进行转换，使外部网络无法了解网络的内部结构，同时允许内部网络使用自编的IP地址和专用网络，防火墙能详尽记录每一个(y )主机的通信，确保每个分组送往正确的地址。共七十二页第4代防火墙的技术(jsh)与功能(6/10)Internet网关技术由于是直接串联在网络之中，第4代防火墙必须支持用户在Internet互联的所有服务，同时还有防止与Internet服务有关的安全漏洞。所以它需要能以多种安全的应用服务器的安全性，对所有的文件和命令都要利用“改变根系统调用”做物理上的隔离。第4代防火墙采用两种独立的域名服务器：内部DNS服务器主要处理(chl)内部网络的

5、DNS信息；外部DNS服务器专门用于处理机构内部向Internet提供的部分DNS信息。共七十二页第4代防火墙的技术(jsh)与功能(7/10)安全服务网络SSN第4代防火墙采用分别保护的策略保护对外服务器以适应用户向Internet上提供服务时对服务器保护的需要它利用一张网卡将对外服务器作为一个独立网络处理，对外服务器既是内部网的一部分，又与内部网完全隔离。这就是安全服务网络技术SSN对SSN上的主机(zhj)，既可以单独管理，也可以设置成通过FTP、Telnet等方式从内部网上管理。SSN的方法提供的安全性优于传统的隔离区DMZ方法因为SSN与外部网之间有防火墙保护，SSN与内部网之间也有

6、防火墙保护，一旦SSN遭到破坏，内部网络仍可以处于防火墙的保护之下。有关SSN和DMZ的联系请参看文献“防火墙中DMZ与SSN的异同”可以从“/网络信息安全/参考资料/”处下载共七十二页第4代防火墙的技术(jsh)与功能(8/10)用户鉴别与加密为了降低(jingd)在Telnet、FTP等服务和远程管理上的风险，第4代防火墙采用一次性使用的口令系统作为用户的鉴别手段，并实现了对邮件的加密。共七十二页第4代防火墙的技术(jsh)与功能(9/10)用户定制服务第4代防火墙在提供(tgng)众多服务的同时，还为用户定制提供(tgng)支持，这类选项有：通用TCP，出站UDP、FTP、SMTP等类。

7、共七十二页第4代防火墙的技术(jsh)与功能(10/10)审计和告警功能审计功能第4代防火墙产品的日志文件包括：一般信息、内核信息、核心信息、接收邮件(yujin)、邮件(yujin)路径、发送邮件(yujin)、已收消息、已发消息、连接请求、已鉴别的访问、告警条件、管理日志、进站代理、出站代理、邮件(yujin)服务器、域名服务器等。告警功能监控每一个TCP或UDP探询，并能以发出邮件、声响等多种方式报警。共七十二页第4代防火墙的技术与功能第4代防火墙技术的实现方法第4代防火墙的抗攻击能力分析共七十二页第4代防火墙技术的实现(shxin)方法第4代防火墙关键技术的实现安全内核代理(dil)系

8、统多级过滤安全服务器鉴别与加密共七十二页安全(nqun)内核的实现安全内核的实现第4代防火墙是建立在安全操作系统之上的，安全的操作系统来自对专用操作系统的安全加固和改进，从现有的产品来看，对安全操作系统内核的固化与改造主要从以下几个方面进行：取消危险的系统调用；限制命令的执行权限；取消IP的转发(zhun f)功能；检查每个分组的接口；采用随机连接序号；驻留分组过滤模块；取消动态路由功能；采用多个安全内核；共七十二页代理(dil)系统的建立代理系统的建立(jinl)防火墙不允许任何信息直接穿过它，对所有的内外连接都需要通过代理系统来实现，为保证整个防火墙的安全，所有代理都应采用改变根目录的方式

9、存储在一个相对独立的区域以做安全隔离。在所有的连接通过防火墙前，所有的代理要检查已经定义的访问规则，这些规则控制代理的服务，并根据以下内容处理分组源地址、目的地址、时间、同类服务器的最大数量所有外部网络到防火墙内部或SSN的连接由进站代理处理，进站代理要保证内部主机能了解外部主机的所有信息，而外部主机只能看到防火墙之外或SSN的地址。所有内部网络或SSN通过防火墙与外部网络建立的连接由出站代理处理，出站代理必须确保由它所代表的内部网络与外部地址相连，防止内部网址与外部网址的直接连接，同时还要处理内部网络到SSN的连接。共七十二页分组过滤器的设计(shj)分组过滤器的设计作为防火墙的核心部件之一

10、，过滤器的设计要尽量做到减少对防火墙的访问。过滤器在调用时被下载到内核中执行，服务(fw)终止时，过滤规则会从内核中被消除，所有的分组过滤功能都在内核中IP堆栈的深层运行，非常安全。共七十二页安全(nqun)服务器的设计安全服务器的设计安全服务器的设计有两个要点：第一(dy)，所有SSN的流量都要隔离处理，即从内部网和外部网而来的路由信息流在机制上是分离的；第二，SSN的作用类似于两个网络，它看上去象是内部网，因为它对外透明，同时又象外部网，因为它从内部网络对外访问的方式十分有限。SSN上的每一个服务器都是隐蔽在Internet中的，SSN提供的服务对外部网络而言象防火墙的功能，由于地址转换是

11、透明的，对各种网络应用没有限制。实现SSN的关键在于：解决分组过滤器与SSN的连接；支持通用防火墙对SSN的访问；支持代理服务；共七十二页鉴别与加密(ji m)的考虑鉴别与加密的考虑鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段，鉴别机制除了提供安全保护外，还具有安全管理的功能。目前国外防火墙产品广泛使用令牌鉴别方式，具体方法有：加密卡；SecurityID；这两种都是一次性口令(kulng)的生成工具共七十二页第4代防火墙的技术与功能第4代防火墙技术的实现方法第4代防火墙的抗攻击能力分析共七十二页抗IP假冒(jimo)攻击抗IP假冒攻击IP假冒是指一个非法的主机假冒内部的主机地址，

12、骗区服务器的“信任”，从而达到对网络的攻击目的。由于(yuy)第4代防火墙知道网络内外的IP地址，它会丢弃所有来自网络外部但却有内部地址的分组，另外，防火墙已将网的实际地址隐藏起来，外部用户很难知道内部的IP地址，因而难以攻击。共七十二页抗特洛伊木马攻击(gngj)抗特洛伊木马攻击第4代防火墙是建立在安全的操作系统之上的，其安全内核中不能执行下载的程序，所以可以防止特洛伊木马的发生。必须指出的是，防火墙能抗特洛伊木马的攻击并不表明受其保护(boh)的某个主机也能防止这类攻击。内部用户可通过防火墙下载程序，并执行下载的程序。共七十二页抗口令字探询(tnxn)攻击抗口令字探询攻击在网络中探询口令字

13、的方法很多，最常见的是口令字嗅探和口令字解密。口令字嗅探：是指嗅探监测网络，截获用户传给服务器的口令字，记录下来后使用；口令字解密：是指采用强力攻击，猜测或截获含有加密口令字的文件，并设法解密。此外，攻击者还常常利用一些常用口令字直接(zhji)登录。第4代防火墙采用了一次性口令字和禁止直接登录防火墙的措施，能有效防止对口令字的攻击。共七十二页抗网络(wnglu)安全性分析抗网络安全性分析抗网络安全性分析工具本来是提供给管理人员用来分析网络安全性的，但该工具也可以被攻击者用来探测内部网络的安全缺陷和弱点所在。目前比较具有代表性的分析工具有：SATAN（可直接免费下载）、XSCAN等，这些工具给

14、网络安全构成了直接威胁。第4代防火墙采用了地址转换技术，将内部网络隐蔽起来，使网络安全分析工具无法(wf)从外部对内部网进行分析。剑走偏锋！新技术新思维共七十二页抗邮件诈骗(zhpin)攻击抗邮件诈骗攻击第4代防火墙不接收任何邮件，所以可有效防御此类攻击。需要(xyo)注意的是，防火墙不接收邮件，并不表示它不让邮件通过，实际上用户仍可收发邮件，内部用户需要(xyo)防止邮件诈骗解决方法：对邮件加密共七十二页提纲(tgng)访问控制技术防火墙技术基础防火墙安全设计策略防火墙攻击策略第四代防火墙的主要技术防火墙发展的新方向(fngxing)防火墙选择原则与常见产品本章小结共七十二页防火墙发展(fz

15、hn)的新方向防火墙发展的新方向透明(tumng)接入技术分布式防火墙技术以防火墙为核心的网络信息安全体系共七十二页以防火墙为核心(hxn)的网络信息安全体系分布式防火墙技术(jsh)透明接入技术共七十二页透明(tumng)接入技术透明接入技术透明模式：对用户是透明的，用户意识不到防火墙的存在；要实现透明模式，防火墙必须在没有IP地址的情况下工作，不需要对其设置IP地址，用户也不知道防火墙的IP地址。防火墙作为实际的物理设备，其本身也起到路由器的作用，所以在为用户安装(nzhung)防火墙时，需要考虑如何改动其原有的网络拓扑结构或修改连接防火墙的路由表，以适应用户的实际需要，这样就增加了工作的

16、复杂性。但如果防火墙采用了透明模式，即采用无IP方式运行，用户将不必重新设定和修改路由，防火墙就可以直接安装和放置到网络中使用。共七十二页防 火 墙非透明模式的防火墙透明模式的防火墙路由器网桥共七十二页透明模式的主要实现(shxin)方式透明模式的主要实现方式ARP透明代理网桥模式网卡置于混杂模式关于防火墙的透明模式，请参看(cnkn)“/信息安全/参考资料”下的文献，如“Linux下防火墙透明模式的原理及实现”和“IPv6下透明模式防火墙的设计与实现”共七十二页以防火墙为核心(hxn)的网络信息安全体系透明(tumng)接入技术分布式防火墙技术共七十二页传统边界(binji)防火墙技术的不足

17、(1/3)网络应用受到结构性限制随着象VPN等技术普及，网络边界的概念由物理向逻辑层面转换，传统边界防火墙的应用受到结构性限制。传统的边界式防火墙依赖于物理上的拓扑结构，从物理上将网络划分成内部网和外部网，根据VPN的概念，内部网和外部网的划分是基于(jy)逻辑的，而逻辑上同时处于内部网络的主机在物理上可能被划分在内部和外部网络中。这种传统边界防火墙的划分方式会影响基于VPN的分布式应用的实施。共七十二页传统边界(binji)防火墙技术的不足(2/3)内部安全隐患依然存在传统边界防火墙在应对来自网络内部威胁时无能为力(w nng wi l)，“外战内行，内战外行”70%-80%的攻击来自于网络

18、内部共七十二页传统边界防火墙技术(jsh)的不足(3/3)效率较低，故障率高由于边界式防火墙把检查机制集中在网络边界处的单点之上，造成网络的瓶颈和单点失效的隐患。从性能的角度来说，防火墙极易成为网络流量的瓶颈，从网络可达性的角度来说，由于其带宽的限制，防火墙并不能保证所有(suyu)请求都能得到及时答复，所以在可达性方面防火墙也是整个网络的一个脆弱点。边界式防火墙难以平衡网络效率与安全性设定之间的矛盾，无法为网络中的每台服务器定制规则，它只能使用一个折衷的规则来近似满足所有的被保护的服务器的需要要么牺牲效率，要么牺牲安全性共七十二页分布式防火墙体系(tx)的构成(1/3)网络防火墙(Netwo

19、rk Firewall)纯软件实现或辅以硬件支持。用于内部网与外部网之间以及内部网各子网之间的防护。与传统的边界防火墙相比，多了一种用于对内部子网之间的安全防护层，这样整个网络的安全防护体系就显得更加全面，更加可靠。不过在功能(gngnng)上与传统的边界防火墙相似。共七十二页分布式防火墙体系(tx)的构成(2/3)主机防火墙(Host Firewall)纯软件实现或辅以硬件支持。用于对网络中的服务器和桌面机进行防护。相当于对传统边界式防火墙在安全体系方面的一个完善(wnshn)它作用于同一内部子网之间的工作站与服务器之间，以确保内部网络服务器的安全。这样防火墙的作用不仅是用于内部与外部网之间

20、的防护，还可应用于内部网各子网之间，同一内部子网工作站与服务之间。可以说达到了应用层的安全防护，比起网络层更加彻底。共七十二页分布式防火墙体系(tx)的构成(3/3)中心(zhngxn)管理(CeNT/2Kral ManagementNT/2K)服务器软件，负责总体安全策略的策划、管理、分发和日志的汇总。具有以往防火墙所不具有的管理功能。共七十二页分布式防火墙的基本原理分布式防火墙的基本原理由中心定义策略，但由各个分布在网络中的端点实施这些策略。依赖于三个主要概念说明哪一类连接可以被允许禁止的策略语言；一种系统管理工具；IP安全(nqun)协议；共七十二页三个主要(zhyo)概念（1/3）策略

21、语言要求能够方便地表达需要的策略，关键是对内部主机的标志；简单地用IP地址可以用来标志主机，但不安全；建议使用(shyng)IP安全协议中的密码凭证来标志各台主机为主机提供可靠、惟一的标志，并且与网络的物理拓扑无关；共七十二页三个主要(zhyo)概念（2/3）系统管理工具用于将形成的策略文件分发给被防火墙保护的所有(suyu)主机（逻辑上的防火墙，而不是物理上的）共七十二页三个主要(zhyo)概念（3/3）IP安全协议一种对TCP/IP协议族的网络层进行加密保护的机制，包括AH和ESP，分别(fnbi)对IP包头和整个IP包进行认证，防止各类主机攻击。共七十二页分布式防火墙的工作(gngzu)

22、方式制定防火墙接入控制策略的中心通过编译器将策略语言描述内部(nib)格式，形成策略文件中心采用系统管理工具把策略文件分发给各台“内部主机”内部主机判断是否接受受到的数据包根据IP安全协议进行分析根据服务器端的策略文件进行分析内部主机数据包123共七十二页分布式防火墙的主要(zhyo)特点分布式防火墙的主要特点分布式防火墙负责(fz)对网络边界、各子网和网络内部各节点之间的安全防护，所以“分布式防火墙”是一个完整的系统，而不是单一的产品。共七十二页分布式防火墙的主要(zhyo)特点(1/4)主机驻留采用主机驻留方式（“主机防火墙”）。驻留在被保护的主机上，该主机以外的网络不管是处在网络内部，还

23、是网络外部，都被认为是不可信任(xnrn)的，因此可以针对该主机上运行的具体应用和对外提供的服务设定针对性强的安全策略。主机防火墙使安全策略不仅停留在网络与网络之间，而是把安全策略推广延伸到每个网络末端。共七十二页分布式防火墙的主要(zhyo)特点(2/4)嵌入操作系统内核分布式主机防火墙，其运行机制是主机防火墙的关键技术之一。为自身的安全核彻底堵住操作系统的漏洞，主机防火墙的安全检测核心引擎要以嵌入操作系统内核的形态运行，直接接管网卡，在把所有数据包进行检查后在提交操作系统。为实现这样的运行机制，除防火墙厂商自身的开发技术外，与操作系统厂商的技术合作也是必要的条件，因为这需要一些操作系统不公

24、开(gngki)的内部技术接口。不能实现这种分布式运行模式的主机防火墙由于受到操作系统安全性的制约，存在明显的安全隐患。共七十二页分布式防火墙的主要(zhyo)特点(3/4)类似于个人防火墙个人防火墙是一种软件防火墙产品(chnpn)，它是在分布式防火墙之前已经出现的一类防火墙产品(chnpn)，它是用来保护单一主机系统的。分布式针对桌面应用的主机防火墙与个人防火墙有相似之处（比如都对应个人系统），又有本质的差别：管理方式不同个人防火墙的安全策略由系统使用者自己设置，目标是防外部攻击；而针对桌面应用的主机防火墙的安全策略由整个系统的管理员统一安排和设置，除对该桌面机起到保护作用外，也可以对该桌

25、面机的对外访问加以控制，并且这种安全机制是桌面机的使用者不可见和不可改动的。服务对象不同个人防火墙面向个人用户，针对桌面应用的主机防火墙是面向企业级客户的，它与分布式防火墙其他产品共同构成一个企业级应用方案，形成一个安全策略中心统一管理，安全检查机制分散布置的分布式防火墙体系结构。共七十二页分布式防火墙的主要(zhyo)特点(4/4)适用于服务器托管对服务器托管用户而言，该服务器逻辑上是其企业网的一部分，只不过物理上不在企业内部(nib)，对于这类应用，边界式防火墙解决方案就显得牵强附会，而针对服务器的主机防火墙解决方案却可以较好地解决上述问题。解决方案对于纯软件式的分布式防火墙，用户只需要在

26、该服务器上安装上主机防火墙软件，并根据该服务器的应用设置安全策略即可，还可以利用中心管理软件对该服务器进行远程监控，不需要任何额外租用新的空间放置边界防火墙。对于硬件式的分布式防火墙，因其通常采用PCI卡式，通常兼顾网卡作用，所以可以直接插在服务器机箱内部，无须单独的空间托管费，降低企业运行成本。共七十二页分布式防火墙的优势(yush)分布式防火墙的优势增强的系统安全性提高了系统性能提高系统的可扩展性实施主机(zhj)策略应用更为广泛，支持VPN通信共七十二页分布式防火墙技术(jsh)的参考资料分布式防火墙技术的参考资料王伟，“分布式防火墙技术研究”，北京理工大学博士论文，2003通过“万方学

27、位论文库”查阅其他文献“分布式防火墙的网络安全系统研究”“分布式防火墙的原理实现及应用”“分布式防火墙关键技术研究”“分布式防火墙环境的边界防御系统”“分布式防火墙中的信任管理系统”以上文献可以从“/网络(wnglu)信息安全/参考资料/”处下载共七十二页透明(tumng)接入技术分布式防火墙技术(jsh)以防火墙为核心的网络信息安全体系共七十二页网络(wnglu)信息安全体系以防火墙为核心(hxn)的网络信息安全体系需要解决的问题如何设计安全防火墙单独依靠防火墙能否保证网络安全如何构造以防火墙为核心的网络安全体系共七十二页需要(xyo)注意的问题高速安全的防火墙基础平台是网络安全的保障(bo

28、zhng)专用的完善、稳定的安全操作系统专用硬件通讯平台构建以防火墙为核心的集成安全方案同IDS、防病毒系统等其他网络安全工具进行协作网络安全产品=产品+服务技术支持、培训、系统维护、技术更新共七十二页提纲(tgng)访问控制技术防火墙技术基础防火墙安全设计策略防火墙攻击策略第四代防火墙的主要技术防火墙发展的新方向防火墙选择原则与常见产品本章(bn zhn)小结共七十二页防火墙选择(xunz)原则（1/11）从受保护对象的角度考虑根据自身特点选择合适类型的防火墙市场有六种基本类型的防火墙，分别是嵌入式防火墙、基于企业软件的防火墙、基于企业硬件的防火墙、SOHO软件防火墙、SOHO硬件防火墙和特

29、殊(tsh)防火墙成本投入防火墙的成本不应超过受保护对象可能遭受最大损失的成本用户节点数共七十二页防火墙选择(xunz)原则（2/11）防火墙自身的安全性安全性考虑是否基于(jy)安全的操作系统是否采用专用的硬件平台共七十二页防火墙选择(xunz)原则（3/11）防火墙的稳定性通过专业人士或有实力(shl)的评测机构，对防火墙的稳定性进行分析共七十二页防火墙选择(xunz)原则（4/11）防火墙的性能数据通过率是表示防火墙性能的主要参数通过率越高，防火墙性能越好问题如何减少由于起用NAT而给防火墙性能造成的影响如何保证防火墙系统(xtng)中集成的VPN解决方案的效率共七十二页防火墙选择(xu

30、nz)原则（5/11）功能的灵活性防火墙应具有一系列不同(b tn)级别的设备，以满足不同(b tn)用户的各类安全控制需求的控制策略控制策略的质量体现在控制策略的有效性、多样性、级别目标清晰性、制订难易性和经济性等方面共七十二页防火墙选择(xunz)原则（6/11）便于安装、管理防火墙产品配置和管理的难易程度是防火墙能否(nn fu)达到目的的主要考虑因素之一许多防火墙未达到预期目的，其主要问题出在配置和实现上。管理上难度会影响防火墙的合理配置、运行和维护更新基于Windows的防火墙产品性能上落后基于Unix/Linux的防火墙，但销售上优于后者共七十二页防火墙选择(xunz)原则（7/11）是否可针对用户身份进行过滤(gul)利用用户身份进行过滤，安全性较利用IP地址进行过滤更为安全合理共七十二页防火墙选择(xunz)原则（8/11）可扩展性功能(gngnng)的扩展规模的扩展共七十二页防火墙选择(x