計(jì)算機(jī)網(wǎng)絡(luò)安全課件(沈鑫剡)第7章要點(diǎn)_第1頁
計(jì)算機(jī)網(wǎng)絡(luò)安全課件(沈鑫剡)第7章要點(diǎn)_第2頁
計(jì)算機(jī)網(wǎng)絡(luò)安全課件(沈鑫剡)第7章要點(diǎn)_第3頁
計(jì)算機(jī)網(wǎng)絡(luò)安全課件(沈鑫剡)第7章要點(diǎn)_第4頁
計(jì)算機(jī)網(wǎng)絡(luò)安全課件(沈鑫剡)第7章要點(diǎn)_第5頁
已閱讀5頁,還剩23頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

計(jì)算機(jī)網(wǎng)絡(luò)平安第七章第7章防火墻防火墻概述;分組過濾器;堡壘主機(jī);統(tǒng)一訪問限制。防火墻是一種對(duì)不同網(wǎng)絡(luò)之間信息傳輸過程實(shí)施監(jiān)測和限制的設(shè)備,尤其適用于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的連接處。防火墻概述防火墻功能服務(wù)限制不同網(wǎng)絡(luò)間只允許傳輸與特定服務(wù)相關(guān)的信息流。方向限制不同網(wǎng)絡(luò)間只允許傳輸與由特定網(wǎng)絡(luò)中終端發(fā)起的會(huì)話相關(guān)的信息流。用戶限制不同網(wǎng)絡(luò)間只允許傳輸與授權(quán)用戶合法訪問網(wǎng)絡(luò)資源相關(guān)的信息流。行為限制不同網(wǎng)絡(luò)間只允許傳輸與行為合理的網(wǎng)絡(luò)資源訪問過程相關(guān)的信息流。假如不與操作系統(tǒng)的平安訪問機(jī)制相結(jié)合,個(gè)人防火墻的功能相對(duì)簡潔;有狀態(tài)檢查防火墻的功能已經(jīng)涵蓋電路層網(wǎng)關(guān)和應(yīng)用層網(wǎng)關(guān)的功能,但對(duì)終端用戶是透亮的。防火墻概述防火墻分類電路層網(wǎng)關(guān)對(duì)運(yùn)輸層連接進(jìn)行監(jiān)測和限制,包括連接發(fā)起者的身份認(rèn)證、經(jīng)過連接傳輸?shù)腡CP報(bào)文的合理性等;應(yīng)用層網(wǎng)關(guān)對(duì)特定應(yīng)用相關(guān)的消息交換過程實(shí)施監(jiān)測限制和,包括懇求、響應(yīng)過程,懇求、響應(yīng)報(bào)文中各字段的正確性,傳輸內(nèi)容的合理性和合法性等。防火墻概述電路層網(wǎng)關(guān)工作機(jī)制先認(rèn)證用戶身份,確定是授權(quán)用戶發(fā)起的TCP連接時(shí),再與服務(wù)器建立TCP連接。7.2分組過濾器無狀態(tài)分組過濾器;有狀態(tài)分組過濾器。分組過濾器依據(jù)規(guī)則鑒別出一組多個(gè)字段值等于設(shè)定值的IP分組,并對(duì)其進(jìn)行規(guī)定操作。這些字段值可以是IP分組首部字段值,可以是運(yùn)輸層首部字段值(電路層網(wǎng)關(guān)功能),也可以是應(yīng)用層消息的各個(gè)字段值(應(yīng)用層網(wǎng)關(guān)的功能)。有狀態(tài)和無狀態(tài)的區(qū)分在于無狀態(tài)逐個(gè)IP分組單獨(dú)處理,有狀態(tài)是基于會(huì)話,對(duì)屬于相同會(huì)話的一組IP分組進(jìn)行聯(lián)合處理,會(huì)話可以是TCP連接,也可以是應(yīng)用層懇求、響應(yīng)過程。因此,有狀態(tài)分組過濾器的功能涵蓋了電路層和應(yīng)用層網(wǎng)關(guān)的大部分功能,但分組過濾器對(duì)終端用戶是透亮的。源IP地址=/24一、分組過濾目的IP地址=/24目的IP地址=/24源IP地址=/24目的IP地址=/24源IP地址=/24源IP地址=/24.and.目的IP地址=/32.and.目的端口號(hào)=23,對(duì)和規(guī)則匹配的IP分組實(shí)行的動(dòng)作是:拒絕傳輸。一、分組過濾要求LAN1中終端不能通過TELNET訪問LAN2中服務(wù)器。IP分組的源地址屬于LAN1子網(wǎng)地址,目的地址是LAN2服務(wù)器,端口號(hào)必需確定是TELNET應(yīng)用。只允許LAN2中終端訪問LAN1中的WEB服務(wù)器。源IP地址=.and.目的IP地址=/24.and.源端口號(hào)=80,對(duì)和規(guī)則匹配的IP分組實(shí)行的動(dòng)作是:允許傳輸。不允許和LAN1中終端通過TELNET訪問LAN2中服務(wù)器操作有關(guān)的信息經(jīng)過路由器R1。防火墻-動(dòng)態(tài)分組過濾只允許終端A用Telnet訪問終端B,不允許終端B訪問終端A。終端A終端B源IP地址=.and.目的IP地址=.and.源端口號(hào)=23只允許終端B向終端A回信,不允許終端B主動(dòng)向終端A寫信。

通過寄信人和收信人地址、姓名能區(qū)分這兩種類型的信嗎?對(duì)終端A寫給終端B的信和終端B寫給終端A的信的內(nèi)容進(jìn)行檢查,確定是回信,則通過,不是,則過濾。防火墻-動(dòng)態(tài)分組檢測動(dòng)態(tài)分組檢測的第一步是將網(wǎng)絡(luò)劃分成三個(gè)區(qū),然后對(duì)區(qū)間進(jìn)行的訪問過程全程監(jiān)控。所謂全程監(jiān)控是依據(jù)訪問策略確定信息流依次,然后對(duì)每一次信息流傳輸操作進(jìn)行監(jiān)控,看其是否符合策略規(guī)定的依次和動(dòng)作。防火墻-動(dòng)態(tài)分組檢測訪問策略1.從信任區(qū)到非軍事區(qū)源IP地址=/24目的IP地址=/32HTTP服務(wù);2.從信任區(qū)到非軍事區(qū)源IP地址=/24目的IP地址=SMTP+POP3服務(wù);3.從信任區(qū)到非信任區(qū)源IP地址=/24目的IP地址=HTTP+FTPGET服務(wù);4.從非軍事區(qū)到非信任區(qū)源IP地址=/32目的IP地址=SMTP服務(wù);5.從非信任區(qū)到非軍事區(qū)源IP地址=目的IP地址=/32HTTPGET服務(wù);6.從非信任區(qū)到非軍事區(qū)源IP地址=目的IP地址=/32SMTP服務(wù)。訪問策略和分組過濾不同,不是定義了允許或不允許傳輸?shù)腎P分組,而是定義了整個(gè)服務(wù)過程。如第一項(xiàng)策略表示允許進(jìn)行由信任區(qū)中終端發(fā)起的,對(duì)非軍事區(qū)中的WEB服務(wù)器的訪問。它允許符合這個(gè)訪問過程的IP分組在信任區(qū)和非軍事區(qū)之間傳輸。防火墻-動(dòng)態(tài)分組檢測策略1對(duì)應(yīng)的信息交換過程,由于是允許信任區(qū)中終端發(fā)起對(duì)非信任區(qū)中WEB服務(wù)器的訪問,因此,首先允許通過的是符合信任區(qū)中終端發(fā)起建立TCP連接的過程的IP分組。然后允許通過的是和讀取WEB內(nèi)容有關(guān)的IP分組。最終,允許通過的是釋放TCP連接有關(guān)的IP分組。防火墻-防拒絕服務(wù)攻擊防火墻通過只中繼正常的建立TCP連接懇求,來避開服務(wù)器遭遇SYN泛濫攻擊。防火墻-防拒絕服務(wù)攻擊通過COOKIE技術(shù)避開防火墻被SYN泛濫堵塞。7.3堡壘主機(jī)網(wǎng)絡(luò)結(jié)構(gòu);堡壘主機(jī)工作機(jī)制;堡壘主機(jī)功能特性。堡壘主機(jī)是代理形式的應(yīng)用層網(wǎng)關(guān),由它屏蔽內(nèi)部網(wǎng)絡(luò)資源,外部網(wǎng)絡(luò)終端只能與堡壘主機(jī)建立TCP連接,相互交換信息,堡壘主機(jī)的平安功能特別強(qiáng)大,不簡潔被黑客攻陷,外部網(wǎng)絡(luò)終端須經(jīng)堡壘主機(jī)訪問內(nèi)部網(wǎng)絡(luò)資源,因此,只要保證了堡壘主機(jī)的平安性,即可保證內(nèi)部網(wǎng)絡(luò)資源的平安性。網(wǎng)絡(luò)結(jié)構(gòu)單穴指堡壘主機(jī)只有一個(gè)接口連接內(nèi)部網(wǎng)絡(luò);堡壘主機(jī)的平安性基于外部網(wǎng)絡(luò)終端必需通過堡壘主機(jī)實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)資源的訪問;單穴堡壘主機(jī)把外部網(wǎng)絡(luò)終端通過堡壘主機(jī)實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)資源的訪問的保證完全基于無狀態(tài)分組過濾器的傳輸限制功能。單穴堡壘主機(jī)結(jié)構(gòu)無狀態(tài)分組過濾器必需保證只允許目的IP地址=的IP分組進(jìn)入內(nèi)部網(wǎng)絡(luò),源IP地址=的IP分組離開內(nèi)部網(wǎng)絡(luò)。即外部網(wǎng)絡(luò)終端只能和堡壘主機(jī)通信。雙穴指堡壘主機(jī)用一個(gè)接口連接內(nèi)部網(wǎng)絡(luò),用另一個(gè)接口連接無狀態(tài)分組過濾器,并通過無狀態(tài)分組過濾器連接外部網(wǎng)絡(luò);這種網(wǎng)絡(luò)結(jié)構(gòu)保證外部網(wǎng)絡(luò)必需通過堡壘主機(jī)才能訪問內(nèi)部網(wǎng)絡(luò)資源。網(wǎng)絡(luò)結(jié)構(gòu)雙穴堡壘主機(jī)結(jié)構(gòu)這種結(jié)構(gòu)一是保證外部網(wǎng)絡(luò)終端必需通過堡壘主機(jī)才能實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)資源的訪問;將內(nèi)部網(wǎng)絡(luò)依據(jù)平安等級(jí)劃分為不同的網(wǎng)段,限制堡壘主機(jī)對(duì)重要內(nèi)部網(wǎng)絡(luò)資源的訪問。網(wǎng)絡(luò)結(jié)構(gòu)雙無狀態(tài)分組過濾器結(jié)構(gòu)堡壘主機(jī)的工作機(jī)制無狀態(tài)分組過濾器保證外網(wǎng)終端只能與堡壘主機(jī)通信;外網(wǎng)終端和堡壘主機(jī)建立TCP連接后,由堡壘主機(jī)完成對(duì)外網(wǎng)終端的身份認(rèn)證和訪問權(quán)限鑒別;假如訪問權(quán)限滿足外網(wǎng)終端提出的資源訪問要求,和Web服務(wù)器建立TCP連接;堡壘主機(jī)始終監(jiān)測外網(wǎng)終端和Web服務(wù)器之間的懇求、響應(yīng)過程和傳輸內(nèi)容。網(wǎng)絡(luò)結(jié)構(gòu)堡壘主機(jī)自身平安性必需得到保證;由于堡壘主機(jī)是代理形式的應(yīng)用層網(wǎng)關(guān),所支持的應(yīng)用層服務(wù)應(yīng)當(dāng)能夠動(dòng)態(tài)增刪;堡壘主機(jī)具備認(rèn)證用戶身份的實(shí)力,因此,或者自身由注冊信息庫,或者能夠訪問到注冊信息庫;堡壘主機(jī)必需能夠?yàn)椴煌挠脩粼O(shè)置不同的訪問權(quán)限;堡壘主機(jī)必需能夠具體記錄外網(wǎng)終端訪問內(nèi)部網(wǎng)絡(luò)資源的過程。堡壘主機(jī)的功能特性7.4統(tǒng)一訪問限制系統(tǒng)結(jié)構(gòu);實(shí)現(xiàn)原理;應(yīng)用實(shí)例。防火墻訪問限制策略能夠限制屬于不同網(wǎng)絡(luò)的終端間的信息交換過程,但這種限制一是基于終端(由IP地址標(biāo)識(shí)),二是靜態(tài),終端用戶變更,或是終端平安狀態(tài)變更不會(huì)變更防火墻的平安訪問限制策略,但實(shí)際應(yīng)用過程中,同一終端,當(dāng)不同用戶運(yùn)用時(shí),訪問權(quán)限應(yīng)當(dāng)是不同的(訪問限制策略基于用戶),二是終端狀態(tài),尤其平安狀態(tài)發(fā)生變更時(shí),如檢測到感染病毒,或是遭遇黑客攻擊,其訪問權(quán)限應(yīng)當(dāng)隨之變更(防火墻訪問限制策略是動(dòng)態(tài)的),統(tǒng)一訪問限制(UAC)就是用于實(shí)現(xiàn)基于用戶、動(dòng)態(tài)設(shè)置訪問限制策略的機(jī)制。系統(tǒng)結(jié)構(gòu)系統(tǒng)結(jié)構(gòu)UAC代理,運(yùn)行于終端的軟件,一是通過交互方式獲得用戶信息,并向平安限制器供應(yīng)用戶信息,二是向平安限制器供應(yīng)終端狀態(tài)及用戶為終端設(shè)置的訪問限制策略。防火墻,策略執(zhí)行部件,一是隨時(shí)接收平安限制器為其制定的訪問限制策略,二是依據(jù)訪問限制策略調(diào)制執(zhí)行機(jī)制。平安限制器,一是建立完整的訪問限制策略庫,二是接收UAC代理供應(yīng)的用戶信息和終端狀態(tài),三是依據(jù)訪問策略庫和用戶信息及終端狀態(tài)制定對(duì)應(yīng)的訪問限制策略,并將其傳輸給策略執(zhí)行部件,如防火墻。實(shí)現(xiàn)原理UAC系統(tǒng)配置平安限制器建立平安策略庫,基于用戶設(shè)置訪問權(quán)限;防火墻訪問限制策略基于網(wǎng)絡(luò)地址確定終端的訪問權(quán)限;依據(jù)對(duì)用戶身份的認(rèn)證結(jié)果和終端的平安狀態(tài)確定用戶終端的訪問權(quán)限;將接入用戶終端的交換機(jī)端口配置到對(duì)應(yīng)的VLAN,防火墻訪問限制策略對(duì)應(yīng)當(dāng)VLAN的網(wǎng)絡(luò)地址的訪問權(quán)限恰好是平安限制器確定的用戶終端具有的訪問權(quán)限,以此完成基于用戶和動(dòng)態(tài)訪問限制策略設(shè)置。實(shí)現(xiàn)原理實(shí)現(xiàn)基于用戶和動(dòng)態(tài)設(shè)置訪問權(quán)限的關(guān)鍵一是認(rèn)證用戶身份、獲知終端平安狀態(tài)。二是將連接用戶終端的交換機(jī)端口動(dòng)態(tài)配置為和用戶訪問權(quán)限一樣的VLAN;平安限制器須要與交換機(jī)和用戶終端交換信息,802.1X及RADIUS恰好實(shí)現(xiàn)用戶終端、交換機(jī)和平安限制器三者之間的通信問題,和交換機(jī)的動(dòng)態(tài)配置問題;這里,防火墻的訪問限制策略是靜態(tài)的,因此,平安限制器不須要?jiǎng)討B(tài)配置防火墻的訪問限制策略。實(shí)現(xiàn)原理應(yīng)用實(shí)例平安限制器必需完成對(duì)用戶的身份認(rèn)證,并將用戶終端的IP地址作為用戶的身份標(biāo)識(shí)符,為了防止源IP地址欺瞞攻擊,要求建立用戶和防火墻之間隧道模式的平安關(guān)聯(lián);防火墻必需動(dòng)態(tài)配置允許IP地址為的外網(wǎng)終端訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的訪問限制策略;平安限制器和用戶之間通過HTTPS交換信息,平安限制器和防火墻之間通過專用平安傳輸協(xié)議信息。應(yīng)用實(shí)例用戶和平安限制器之間通過HTTPS交換信息過程。用戶和

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論