信息安全技术-访问控制与防火墙技术 (防火墙技术基础)

信息安全技术——访问控制与防火墙技术提纲访问控制技术防火墙技术基础防火墙安全设计策略第四代防火墙的主要技术防火墙发展的新方向防火墙选择原则与常见产品本章小结什么是防火墙？防火墙建筑学上的防火墙概念由不燃烧材料构成，为减少或避免建筑、结构、设备遭受热辐射危害和防止火灾蔓延所设置的具有耐火性的墙信息科学中的防火墙概念一种将内部网和公众网络分开的方法，属于一种隔离技术，是在两个网络通信时执行的一种访问控制手段，允许用户“同意”的人和数据进入网络，同时将用户“不同意”的人和数据拒于门外，最大限度地阻止网络中的黑客来访问自己的网络，防止非法更改、复制和毁坏自己的重要信息。防火墙的发展里程防火墙的发展里程基于路由器的防火墙；用户化的防火墙工具套；建立在通用操作系统上的防火墙；具有安全操作系统的防火墙；获得安全操作系统的途径通过许可证方式获得操作系统源码；通过固化操作系统内核来提高可靠性；防火墙的优点防火墙的优点防火墙对企业内网实现了集中安全管理，可以强化网络安全策略，比分散的主机管理更经济易行；防火墙能防止非授权用户进入内部网络；可以作为部署网络地址转换NAT

(

NetworkAddressTranslation)的地点，利用NAT技术可以缓解地址空间的短缺，隐藏内部网的结构；利用防火墙对内部网络的划分，可以实现重点网段的分离，从而限制问题的扩散；由于所有的访问都经过防火墙，防火墙是审记和记录网络的访问和使用的最佳地方；防火墙的局限性防火墙的局限性限制有用的网络服务防火墙为提高被保护网络的安全行，限制或关闭了许多有用但存在安全缺陷的网络服务；无法防护来自网络内部的攻击“外战内行，内战外行”Internet防火墙无法防范通过防火墙以外的其他途径的攻击比如私自通过电话线上网防火墙无法防范数据驱动型的攻击不能防备新的网络安全问题防火墙属于被动式防护手段，只能对已知的网络威胁起作用防火墙的类型防火墙的类型数据包过滤路由器代理服务器应用层网关电路层网关数据包过滤路由器代理服务器数据包过滤路由器数据包过滤路由器在网络中适当的位置对数据包实施有选择的通过规则、选择依据等（即为系统内设置的过滤规则），只有满足过滤规则的数据包才被转发至相应的网络接口，其余数据包则被从数据流中删除。控制站点与站点、站点与网络、网络与网络之间的相互访问，但不能控制传输的数据内容（因为内容是应用层数据，不是包过滤系统所能辨识）。包过滤检查模块包过滤检查模块深入到系统的网络层和数据链路层之间因为数据链路层是事实上的网卡（NIC），网络层是第一层协议堆栈，所以防火墙位于软件层次的最底层。通过检查模块，防火墙能拦截和检查所有出站的数据。防火墙检查模块的执行过程防火墙检查模块的执行过程防火墙检查模块首先验证这个包是否符合过滤规则，无论是否符合过滤规则，防火墙一般要记录数据包情况，不符合规则的包要进行报警或通知管理员。对丢弃的数据包，防火墙可以给发送方一个消息，也可以不给(取决于包过滤策略)。包检查模块能检查包中的所有信息，一般是网络层的IP头和传输层的头。包过滤在本地接收数据包时，一般不保留上下文，只根据目前数据包的内容做决定。根据不同的防火墙的类型，包过滤可能在进入、输出时或这两个时刻都进行。可以拟定一个要接受的设备和服务的清单，一个不接受的设备和服务的清单，组成访问控制表。7应用层6表示层5会话层4传输层3网络层防火墙检测模块2数据链路层1物理层IP层数据传输层数据会话层数据应用层数据与过滤规则是否匹配与过滤规则是否匹配审记/报警转发包？发送NACK(否认)丢弃包结束包过滤模型设置步骤设置步骤制订一个安全策略，规定哪些是允许的，哪些是不允许的；设定允许的包类型、包字段的逻辑表达；用防火墙支持的语法重写表达式；规则方向源地址目的地址动作A出内部网络202.110.8.0拒绝B入202.110.8.0内部网络拒绝按地址过滤说明：数据包过滤方式：按源地址进行过滤规则A、B：禁止内部主机和202.110.8.0进行通信——过滤规则没有充分利用全部信息，过滤机制欠合理过滤规则实例按服务过滤规则方向动作源地址源端口目的地址目的端口注释A进拒绝M*E-mail25不信任B出允许****允许连接C双向拒绝****默认状态*

：代表任意值按服务过滤的访问控制规则举例说明：假设安全策略是禁止外部主机访问内部的E-mail服务器（SMTP,端口25），允许内部主机访问外部主机通常源端口不作为规则的判断参数包过滤防火墙的优点包过滤防火墙的优点仅一个关键位置设置一个数据包过滤路由器，就可以保护整个网络，而且数据包过滤对用户是透明的。对网络管理员和应用程序的透明度较高。网络管理员只需根据一张常用服务与协议(端口)的对应表，就可以方便地设置过滤规则，而无需了解具体的过滤技术细节。内部网络或者外部网络的服务也无需进行修改，就可以达到控制进出数据包的目的。由于工作在较低的层面（网络层），多数的路由器都具有包过滤功能，网络管理员可以方便地在路由器中实现包过滤。实现容易，而且效率较高。包过滤防火墙的不足包过滤防火墙的不足包过滤规则比较复杂，缺乏规则的正确性自动检测工具；无法查出具有数据驱动攻击这类潜在危险数据包；过滤规则的增加会导致分析计算量的增加，从而降低路由器的吞吐量，影响网络性能；抗欺骗性能力不强不能有效应对伪造IP地址的攻击*包状态检查包状态检查与包过滤的对比在包过滤中，检测只对单一的数据包进行；包状态检查中，检测针对一定数量的数据包进行，这些数据包是在网络层拦截的，数量的多少取决于包状态检查模块有足够信息判定连接的安全性。与应用层代理的对比工作在网络层，所以比应用层代理具有更快的速度。包状态检查无法理解应用层的内容，难以收集到足够的安全信息，作出更好的判断和选择，这决定它无法达到应用层网关的安全系数。数据包过滤路由器代理服务器提出的背景许多安全专家相信真正可靠的防火墙安全仅仅发生在禁止所有通过防火墙的直接连接，在TCP/IP的最高层检验所有的输入数据。基于代理服务器的防火墙基于代理服务器的防火墙代理是一种代替客户端与服务器之间的直接会话，将客户端要求传达给服务器，并把服务器的应答传回客户端的防火墙技术。基本思想内部网络用户希望访问外网，而允许所有内部用户自由地访问外部网络是很危险的、很难监控的，为此，通常采用一种折中的方法，就是让所有用户通过一台单一的设备访问外部网络，这台单一的设备就是代理服务器。主要实现方式代理服务器应用层网关工作在应用层，主要是为内部网络提供代理服务。针对每一个特定应用都有一个代理程序电路层网关适用于多个协议在两台主机首次建立连接时提供了一个安全屏障，它的特殊客户程序只在初次连接时进行安全协商控制，其后就透明了。自适应代理工作在应用层和网络层可以看作包状态检查与代理技术的结合不同防火墙的对比（工作层面）工作的层面包过滤 网络层应用层网关 应用层电路层网关 会话层与应用层自适应代理 网络层与应用层包状态检查 网络层不同防火墙的对比(非法包判断能力)对非法包判断能力方面防火墙技术的工作层次越高，对数据包的理解能力越好，对非法包的判断能力越高。包过滤和包状态检查能力较低应用层网关、电路层网关、自适应代理能力较高不同防火墙的对比(工作效率方面)从工作效率方面考虑防火墙技术的实现过程越简单，其效率越高；工作层次越低，防火墙技术的实现过程越简单。包过滤都是效率较高的防火墙技术。包状态检查虽然工作在较低层次，但它的成功率影响着它的效率。代理(应用层网关、电路层网关、自适应代理)工作在较高层次，工作时既要进行较复杂的检查，又要建立替代连接(对TCP协议而一言)，所以效率较低。提纲访问控制技术防火墙技术基础防火墙安全设计策略第四代防火墙的主要技术防火墙发展的新方向防火墙选择原则与常见产品本章小结知识点防火墙体系结构网络服务访问权限策略防火墙设计策略及要求防火墙与加密机制防火墙体系结构防火墙体系结构屏蔽路由器双宿主主机网关屏蔽主机网关屏蔽子网其他体系结构防火墙体系结构_屏蔽路由器屏蔽路由器(ScreeningRouter)由厂家专门生产的路由器实现，也可以用主机来实现。屏蔽路由器作为内外连接的惟一通道，要求所有的报文都必须在此通过检查。路由器上可以安装基于IP层的报文过滤软件，实现报文过滤功能。许多路由器本身带有报文过滤配置选项，但一般比较简单。屏蔽路由器的安全性分析屏蔽路由器的安全性分析包括路由器本身及路由器允许访问的主机。屏蔽路由器的缺点被攻击后很难发现不能识别不同的用户防火墙体系结构_双宿主主机网关双宿主主机网关(DualHomedGateway）用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网络和外部网络相连。堡垒主机上运行着防火墙软件，可以转发应用程序，提供服务等。双宿主主机网关的安全性分析双宿主主机网关的安全性分析与屏蔽路由器相比，双宿主主机网关堡垒主机的系统软件可以用于维护系统日志、硬件备份日志或远程日志。风险一旦被攻克使其仅具有路由功能，那么任何用户都可以从外网访问内网。防火墙体系结构_屏蔽主机网关屏蔽主机网关(ScreenedGateway)一个堡垒主机安装在内部网络上，通常在路由器上设立过滤规则，并使这个堡垒主机成为从外网惟一可以直接到达的主机，这确保了内网不受未授权的外部用户的攻击。如果受保护的网络是一个虚拟扩展的本地网（即没有子网和路由器），那么内网的变化不影响堡垒主机和屏蔽路由器的配置；屏蔽主机网关的安全性分析屏蔽主机网关的安全性分析易于实现也最为安全。安全风险主要在堡垒主机和屏蔽路由器网关的基本控制策略由安装在上面的软件决定。如果攻击者设法登录到网关，内网中的其余主机都将受到威胁。防火墙体系结构_屏蔽子网屏蔽子网(ScreenedSubnet)在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在许多实现中，两个分组过滤路由器放在子网的两端，在子网内构成一个DNS，内网和外网都可以访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信。有的屏蔽子网中还设有堡垒主机作为惟一可访问点，支持终端交互或作为应用网关代理。屏蔽子网的安全性分析屏蔽子网的安全性分析存在的危险仅包括堡垒主机、子网主机以及所有连接内网、外网和屏蔽子网的路由器。如果攻击者试图完全破坏防火墙，必须重新配置连续3个网的路由器，既不切断连接又不要把自己锁在外面，同时又不使自己被发现，实现难度较大，但仍有可能。如果禁止网络访问路由器或只允许内网中的某些主机访问它，则攻击将更为困难。在这种情况下，攻击者需要先侵入堡垒主机，然后进入内网主机，再返回来破坏屏蔽路由器，而且整个过程中不能出发报警。防火墙体系结构的变化和组合防火墙体系结构的变化和组合多堡垒主机结构合并内外路由器结构合并堡垒主机和外部路由器结构合并堡垒主机和内部路由器结构使用多内部路由器结构使用多外部路由器结构使用多周边网结构——参看博士论文“防火墙系统及其分布式应用的研究”的第二章（来自“万方--学位论文库”）根据具体要求来设计，兼顾服务性能、安全性和成本。知识点防火墙体系结构网络服务访问权限策略防火墙设计策略及要求防火墙与加密机制访问权限安全策略访问权限安全策略网络服务访问策略防火墙设计策略网络服务访问策略网络服务访问策略是一种高层次的、具体到事件的策略，主要用于定义在网络中允许的或禁止的网络服务，而且还包括对拨号访问以及SLIP/PPP连接的限制。策略一定要具有现实性和完整性现实性的策略在降低网络风险和为用户提供合理的网络资源之间做出了一个权衡要充分考虑所设计策略的可行性（能否被管理员和一般用户理解并接受，是否具有可执行性等）两个通用网络服务访问策略一般情况下，一个防火墙执行两个通用网络服务访问策略中的一个：允许从内部站点访问Internet而不允许从Internet访问内部站点；只允许从Internet访问特定的系统，如信息服务器和电子邮件服务器。知识点防火墙体系结构网络服务访问权限策略防火墙设计策略及要求防火墙与加密机制两种基本防火墙设计策略(1/2)策略一：除非明确不允许，否则允许某种服务执行第一种策略的防火墙在默认情况下允许所有的服务，除非管理员对某种服务明确表示禁止。评论较为宽松的策略，用户可以访问没有被明令禁止的服务，具有较大的灵活性，但同时为入侵者提供了更多绕过防火墙的机会，存在较大的安全风险；两种基本防火墙设计策略(2/2)策略二：除非明确允许，否则将禁止某种服务执行第二种策略的防火墙在默认情况下禁止所有的服务，除非管理员对某种服务明确表示允许。评论