网络访问控制

网络访问控制第1页，课件共84页，创作于2023年2月一、防火墙基本知识1、防火墙的提出2、什么是防火墙3、防火墙发展回顾4、防火墙功能5、防火墙的局限性6、争议及不足7、防火墙的设计原则8、防火墙的分类第2页，课件共84页，创作于2023年2月企业上网面临的安全问题之一:

内部网与互联网的有效隔离解答:

防火墙网络间的访问----需隔离FIREWALL1、防火墙的提出第3页，课件共84页，创作于2023年2月2、什么是防火墙（1）在一个受保护的企业内部网络与互联网间,用来强制执行企业安全策略的一个或一组系统.第4页，课件共84页，创作于2023年2月

最初含义：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。

定义：防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。2、什么是防火墙（2）第5页，课件共84页，创作于2023年2月2、什么是防火墙（3）不可信网络和服务器可信网络防火墙路由器InternetIntranet可信用户不可信用户

DMZ第6页，课件共84页，创作于2023年2月目的：都是为了在被保护的内部网与不安全的非信任网络之间设立唯一的通道，以按照事先制定的策略控制信息的流入和流出，监督和控制使用者的操作。典型情况：安全网络为企业内部网络，不安全网络为因特网。注意：但防火墙不只用于因特网，也可用于Intranet各部门网络之间（内部防火墙）。例：财务部与市场部之间。2、什么是防火墙（4）第7页，课件共84页，创作于2023年2月2、什么是防火墙（5）防火墙可在链路层、网络层和应用层上实现；其功能的本质特征是隔离内外网络和对进出信息流实施访问控制。隔离方法可以是基于物理的，也可以是基于逻辑的；从网络防御体系上看，防火墙是一种被动防御的保护装置。第8页，课件共84页，创作于2023年2月4、防火墙功能（1）第9页，课件共84页，创作于2023年2月4、防火墙功能（2）应用程序代理包过滤&状态检测用户认证NATVPN日志IDS与报警内容过滤基本功能模块第10页，课件共84页，创作于2023年2月网络的安全性通常是以网络服务的开放性和灵活性为代价的。防火墙的使用也会削弱网络的功能：

①由于防火墙的隔离作用，在保护内部网络的同时使它与外部网络的信息交流受到阻碍；②由于在防火墙上附加各种信息服务的代理软件，增大了网络管理开销，还减慢了信息传输速率。5、防火墙的局限性（1）第11页，课件共84页，创作于2023年2月防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失：

只能防范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力；不能解决来自内部网络的攻击和安全问题；不能防止受病毒感染的文件的传输；不能防止策略配置不当或错误配置引起的安全威胁；不能防止自然或人为的故意破坏；不能防止本身安全漏洞的威胁。5、防火墙的局限性（2）第12页，课件共84页，创作于2023年2月6、争议及不足使用不便，认为防火墙给人虚假的安全感对用户不完全透明，可能带来传输延迟、瓶颈及单点失效不能替代墙内的安全措施不能防范恶意的知情者不能防范不通过它的连接不能防范全新的威胁不能有效地防范数据驱动式的攻击当使用端-端加密时，其作用会受到很大的限制第13页，课件共84页，创作于2023年2月6、争议及不足(2)内部提供的拨号服务绕过了防火墙第14页，课件共84页，创作于2023年2月7、防火墙的设计原则（1）所有从内到外和从外到内的通信量都必须经过防火墙。只有被认可的通信量通过本地安全策略进行定义后才允许传递防火墙对于渗透是免疫的第15页，课件共84页，创作于2023年2月7、防火墙的设计原则（2）Internet防火墙可能会扮演两种截然相反的姿态拒绝没有特别允许的任何事情允许没有特别拒绝的任何事情第16页，课件共84页，创作于2023年2月8、防火墙的分类（1）根据防火墙组成组件的不同软件防火墙一般硬件防火墙纯硬件防火墙根据防火墙技术的实现平台Windows防火墙Linux防火墙第17页，课件共84页，创作于2023年2月8、防火墙的分类（2）根据防火墙被保护的对象的不同主机防火墙（个人防火墙）网络防火墙根据防火墙自身网络性能和被保护网络系统的网络性能百兆防火墙千兆防火墙第18页，课件共84页，创作于2023年2月8、防火墙的分类（3）根据防火墙功能或技术特点的不同主机防火墙病毒防火墙智能防火墙根据防范方式和侧重点的不同下一节重点讲述第19页，课件共84页，创作于2023年2月二、防火墙技术根据防范方式和侧重点的不同可分为几类：包过滤防火墙状态防火墙应用网关NAT技术分布式防火墙病毒防火墙第20页，课件共84页，创作于2023年2月1、包过滤防火墙（1）第21页，课件共84页，创作于2023年2月1、包过滤防火墙（2）包过滤防火墙对所接收的每个数据包做允许拒绝的决定。包的进入接口和出接口如果有匹配并且规则允许该数据包，那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃。如果没有匹配规则，用户配置的缺省参数会决定是转发还是丢弃数据包。包过滤防火墙使得防火墙能够根据特定的服务允许或拒绝流动的数据，因为多数的服务收听者都在已知的TCP/UDP端口号上。第22页，课件共84页，创作于2023年2月1、包过滤防火墙（3）数据包过滤一般要检查网络层的IP头和传输层的头：IP源地址IP目标地址协议类型（TCP包、UDP包和ICMP包）TCP或UDP包的目的端口TCP或UDP包的源端口TCP控制标记，如SYN,ACK,FIN,PSH,RST和其他标记第23页，课件共84页，创作于2023年2月第24页，课件共84页，创作于2023年2月优点：

速度快，性能高,灵活对用户透明实现包过滤几乎不再需要费用\缺点：维护比较困难(需要对TCP/IP了解）安全性低（IP欺骗等）只对某些类型的TCP/IP攻击比较敏感不支持用户的连接认证只有有限的认证功能随着过滤器数目的增加,路由器的吞吐量会下降。1、包过滤防火墙（4）互连的物理介质应用层表示层会话层传输层应用层表示层会话层传输层网络层数据链路层物理层网络层数据链路层物理层网络层数据链路层物理层第25页，课件共84页，创作于2023年2月1、LAND攻击（1）第26页，课件共84页，创作于2023年2月1、LAND攻击（2）第27页，课件共84页，创作于2023年2月2、状态防火墙（1）假设包过滤防火墙在Internet向内的接口上设置了一个规则，规定任何发送到主机A的外部流量均被拒绝。有一台外部主机B试图访问主机A时当主机A想要访问外部设备B第28页，课件共84页，创作于2023年2月状态检测防火墙是在动态包过滤的基础上，增加了状态检测机制而形成的；动态包过滤与普通包过滤相比，需要多做一项工作：对外出数据包的“身份”做一个标记，允许相同连接的数据包通过。利用状态表跟踪每一个网络会话的状态，对每一个数据包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态；2、状态防火墙（2）第29页，课件共84页，创作于2023年2月2、状态防火墙（3）物理层引擎检测动态状态表应用层表示层会话层传输层数据链路层物理层网络层应用层表示层会话层传输层数据链路层网络层应用层表示层会话层传输层数据链路层物理层网络层第30页，课件共84页，创作于2023年2月主要优点：①高安全性（工作在数据链路层和网络层之间；“状态感知”能力）②高效性（对连接的后续数据包直接进行状态检查）③状态防火墙具有更强的日志功能。主要缺点：①无状态的协议，例如UPD、ICMP②状态表的大小。2、状态防火墙（4）第31页，课件共84页，创作于2023年2月3、应用网关（1）代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。不允许通信直接经过外部网和内部网。将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。第32页，课件共84页，创作于2023年2月代理服务器示意图3、应用网关（2）第33页，课件共84页，创作于2023年2月3、应用网关（3）第34页，课件共84页，创作于2023年2月3、应用网关（4）应用层表示层会话层传输层数据链路层物理层应用层表示层会话层传输层数据链路层物理层网络层TelnetHTTPFTP应用层表示层会话层传输层数据链路层物理层网络层网络层第35页，课件共84页，创作于2023年2月3、应用网关（5）第36页，课件共84页，创作于2023年2月为何能对连接请求进行认证？认证方式用户名和口令令牌卡信息网络层源地址生物信息3、应用网关（6）第37页，课件共84页，创作于2023年2月主要优点：认证个人而非设备；使黑客进行欺骗和实施Dos攻击比较困难;能够监控和过滤应用层信息；能够提供详细的日志；内部网络拓扑结构等重要信息不易外泄；可以实施用户认证、详细日志、审计跟踪和数据加密等功能和对具体协议及应用的过滤，安全性较高。3、应用网关（7）第38页，课件共84页，创作于2023年2月主要缺点：针对不同的应用层协议必须有单独的应用代理，也不能自动支持新的网络应用；有些代理还需要相应的支持代理的客户和服务器软件；用户可能还需要专门学习程序的使用方法才能通过代理访问Internet；详尽的日志功能性能下降。改进：详尽的日志功能性能下降？将应用网关设置成只监控关键应用3、应用网关（8）第39页，课件共84页，创作于2023年2月4、NAT技术（1）

网络地址转换/翻译（NAT，NetworkAddressTranslation）就是将一个IP地址用另一个IP地址代替。NAT的主要作用：隐藏内部网络的IP地址；解决地址紧缺问题。

注意：NAT本身并不是一种有安全保证的方案，它仅仅在包的最外层改变IP地址。所以通常要把NAT集成在防火墙系统中。第40页，课件共84页，创作于2023年2月4、NAT技术（2）

NAT有3种类型：静态NAT〈staticNAT)、NAT池(pooledNAT)和端口NAT(PAT)

静态NAT：内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址；

NAT池：可用的合法IP地址是一个范围，而内部网络地址的范围大于合法IP的范围，在做地址转换时，如果合法IP都被占用，此时从内部网络的新的请求会由于没有合法地址可以分配而失败。

PAT：把内部地址映射到外部网络的一个IP地址的不同端口上。第41页，课件共84页，创作于2023年2月4、NAT技术（3）

注意：进行地址翻译时，优先还是NAT，当合法IP地址分配完后，对于新发起的连接会重复使用已分配过的合法IP，要区别此次NAT与上次NAT的数据包，就要通过端口地址加以区分。比较：静态地址翻译：不需要维护地址转换状态表，功能简单，性能较好；

NAT池和端口转换：必须维护一个转换表，以保证能够对返回的数据包进行正确的反向转换，功能强大，但是需要的资源较多。第42页，课件共84页，创作于2023年2月源IP目的IP10.0.0.108202.112.108.50源IP目的IP202.112.108.30源IP目的IP202.112.108.50202.112.108.3源IP目的IP202.112.108.5010.0.0.108防火墙网关NAT技术中将不合法IP转换为合法IP4、NAT技术（4）第43页，课件共84页，创作于2023年2月InternetIntranet防火墙路由器将内部网地址转换成网关地址问题：所有返回数据包目的IP都是，防火墙如何识别并送回真正主机？方法：1、防火墙记住所有发送包的目的端口；

2、防火墙记住所有发送包的TCP序列号4、NAT技术（5）第44页，课件共84页，创作于2023年2月5、分布式防火墙（1）前面提到的几种防火墙都属于边界防火墙（PerimeterFirewall），它无法对内部网络实现有效地保护；随着人们对网络安全防护要求的提高，产生了一种新型的防火墙体系结构——分布式防火墙。近几年，分布式防火墙技术已逐渐兴起，并在国外一些大的网络设备开发商中得到实现，由于其优越的安全防护体系，符合未来的发展趋势，这一技术一出现就得到了许多用户的认可和接受。第45页，课件共84页，创作于2023年2月5、分布式防火墙（2）

传统防火墙：边界防火墙缺陷：结构性限制；内部威胁；效率和故障

分布式防火墙（广义）：一种新的防火墙体系结构（包含网络防火墙、主机防火墙和管理中心）优势：在网络内部增加了另一层安全，有效抵御来自内部的攻击，消除网络边界上的通信瓶颈和单一故障点，支持基于加密和认证的网络应用，与拓扑无关，支持移动计算。第46页，课件共84页，创作于2023年2月6、病毒防火墙（1）防火墙技术本身应该说不适合于反病毒，由于商业上的需求，相关专家和研发单位对此还是进行了很多研究，并给出了较为有效的相关技术产品。

病毒防火墙有时也称为防病毒型网关(NAVGateway)，综合了防火墙、虚拟专网和内容过滤等安全功能，构成了网络安全新理念。第47页，课件共84页，创作于2023年2月6、病毒防火墙（2）病毒防火墙系统具有以下一些功能特点：系统在网络边缘阻挡病毒；系统提供了一道安全防线，使得在它后面的所有主机都受到保护；系统减轻了邮件服务器的负荷；系统利用专用的平台，而不是标准主机。第48页，课件共84页，创作于2023年2月三、防火墙体系结构防火墙的体系结构：防火墙系统实现所采用的架构及其实现所采用的方法，它决定着防火墙的功能、性能以及使用范围。防火墙可以被设置成许多不同的结构，并提供不同级别的安全，而维护运行的费用也各不相同。双重宿主主机体系结构屏蔽主机体系结构屏蔽子网体系结构第49页，课件共84页，创作于2023年2月1、双重宿主主机体系结构（1）双重宿主主机体系结构是围绕双重宿主主机构筑的。双重宿主主机至少有两个网络接口，它位于内部网络和外部网络之间。这种防火墙的最大特点是IP层的通信是被阻止的，两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。第50页，课件共84页，创作于2023年2月Internet防火墙双重宿主主机内部网络……双重宿主主机体系结构1、双重宿主主机体系结构（2）第51页，课件共84页，创作于2023年2月1、双重宿主主机体系结构（3）双重宿主主机的特性：安全至关重要（唯一通道），其用户口令控制安全是关键。必须支持很多用户的访问（中转站），其性能非常重要。缺点：双重宿主主机是隔开内外网络的唯一屏障，一旦它被入侵，内部网络便向入侵者敞开大门。第52页，课件共84页，创作于2023年2月2、屏蔽主机体系结构（1）典型构成：包过滤路由器＋堡垒主机。包过滤路由器配置在内部网和外部网之间，保证外部系统对内部网络的操作只能经过堡垒主机。堡垒主机配置在内部网络上，是外部网络主机连接到内部网络主机的桥梁，它需要拥有高等级的安全。第53页，课件共84页，创作于2023年2月2、屏蔽主机体系结构（2）第54页，课件共84页，创作于2023年2月2、屏蔽主机体系结构（3）屏蔽路由器可按如下规则之一进行配置：允许内部主机为了某些服务请求与外部网上的主机建立直接连接（即允许那些经过过滤的服务）。不允许所有来自外部主机的直接连接。安全性更高，双重保护：实现了网络层安全（包过滤）和应用层安全（代理服务）。缺点：过滤路由器能否正确配置是安全与否的关键。如果路由器被损害，堡垒主机将被穿过，整个网络对侵袭者是开放的。第55页，课件共84页，创作于2023年2月3、屏蔽子网体系结构（1）屏蔽子网体系结构在本质上与屏蔽主机体系结构一样，但添加了额外的一层保护体系——周边网络。堡垒主机位于周边网络上，周边网络和内部网络被内部路由器分开。原因：堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机，能减少在堡垒主机被侵入的影响。第56页，课件共84页，创作于2023年2月Internet周边网络内部网络……外部路由器堡垒主机内部路由器屏蔽子网体系结构3、屏蔽子网体系结构（2）第57页，课件共84页，创作于2023年2月3、屏蔽子网体系结构（3）周边网络是一个防护层，在其上可放置一些信息服务器，它们是牺牲主机，可能会受到攻击，因此又被称为非军事区（DMZ）。周边网络的作用：即使堡垒主机被入侵者控制，它仍可消除对内部网的侦听。第58页，课件共84页，创作于2023年2月3、屏蔽子网体系结构（4）堡垒主机堡垒主机位于周边网络，是整个防御体系的核心。堡垒主机可被认为是应用层网关，可以运行各种代理服务程序。对于出站服务不一定要求所有的服务经过堡垒主机代理，但对于入站服务应要求所有服务都通过堡垒主机。第59页，课件共84页，创作于2023年2月3、屏蔽子网体系结构（5）外部路由器（访问路由器）作用：保护周边网络和内部网络不受外部网络的侵犯。它把入站的数据包路由到堡垒主机。防止部分IP欺骗，它可分辨出数据包是否真正来自周边网络，而内部路由器不可。内部路由器（阻塞路由器）作用：保护内部网络不受外部网络和周边网络的侵害，它执行大部分过滤工作。外部路由器一般与内部路由器应用相同的规则。第60页，课件共84页，创作于2023年2月三、物理隔离物理隔离技术背景物理隔离技术定义物理隔离技术原理第61页，课件共84页，创作于2023年2月1、物理隔离与防火墙技术（1）根据安全等级不同将网络划分不同的部分各个部分之间采用物理、逻辑隔离或受限访问方式互连物理隔离网络间禁止有物理通信线路连接逻辑隔离协议转换受限访问防火墙第62页，课件共84页，创作于2023年2月1、网络隔离与防火墙技术（2）解决目前防火墙存在的根本问题：防火墙对操作系统的依赖，因为操作系统也有漏洞；

TCP/IP的协议漏洞；防火墙、内网和DMZ同时直接连接；应用协议的漏洞，因为命令和指令可能是非法的；文件带有病毒和恶意代码第63页，课件共84页，创作于2023年2月1、网络隔离与防火墙技术（3）物理隔离的指导思想与防火墙绝然不同：防火墙的思路是在保障互联互通的前提下，尽可能安全，而物理隔离的思路是在保证必须安全的前提下，尽可能互联互通。一个典型的物理隔离方案（处于完全隔离状态）第64页，课件共84页，创作于2023年2月2、物理隔离的定义（1）物理隔离技术的基本思想是:如果不存在与网络的物理连接，网络安全威胁便可大大降低。物理隔离技术实质就是一种将内外网络从物理上断开，但保持逻辑连接的信息安全技术。第65页，课件共84页，创作于2023年2月案例：政府网络一般划分为3个安全等级不同的部分内部保密专用网络，传送保密信息业务网络，传送政府业务管理信息Internet连接网络，建设网站或对外访问保密网络要求跟其它部分物理隔离其它部分可以在保证安全性情况下互连第66页，课件共84页，创作于2023年2月案例：证券交易网一般划分为3个安全等级不同的部分证券交易业务专用网络，传送证券业务信息企业内综合管理网络，传送办公、财务、VoIP等企业内部管理信息Internet连接网络，建设网站或对外访问交易网络首先要保证可靠性和安全性，跟其它部分物理隔离，必要时可以采用逻辑隔离方式连接其它可以在保证安全性情况下互连第67页，课件共84页，创作于2023年2月2、物理隔离的定义（2）物理隔离从广义上分为网络隔离和数据隔离，它们都称为物理隔离。网络隔离数据隔离第68页，课件共84页，创作于2023年2月3、物理隔离技术原理－数据二极管第69页，课件共84页，创作于2023年2月3、物理隔离技术原理－存储池（1）存储池交换技术是一种隔离网络之间连接的专用安全技术第70页，课件共84页，创作于2023年2月3、物理隔离技术原理－存储池（2）第71页，课件共84页，创作于2023年2月3、物理隔离技术原理－存储池（3）第72页，课件共84页，创作于2023年2月3、物理隔离技术原理－存储池（4）第73页，课件共84页，创作于2023年2月3、物理隔离技术原理－存储池（5）第74页，课件共84页，创作于2023年2月3、物理隔离技术原理－存储池（6）第75页，课件共84页，创作于2023年2月3、物理隔离技术原理－存储池（7）第76页，课件共84页，创作于2023年2月3、物理隔离技术原理－存储池（8）存储池交换技术是一种隔离网络之间连接的专用安全技术。这种技术使用一