計(jì)算機(jī)網(wǎng)絡(luò)安全課件(沈鑫剡)第7章要點(diǎn)

計(jì)算機(jī)網(wǎng)絡(luò)平安第七章第7章防火墻防火墻概述；分組過濾器；堡壘主機(jī)；統(tǒng)一訪問限制。防火墻是一種對(duì)不同網(wǎng)絡(luò)之間信息傳輸過程實(shí)施監(jiān)測和限制的設(shè)備，尤其適用于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的連接處。防火墻概述防火墻功能服務(wù)限制不同網(wǎng)絡(luò)間只允許傳輸與特定服務(wù)相關(guān)的信息流。方向限制不同網(wǎng)絡(luò)間只允許傳輸與由特定網(wǎng)絡(luò)中終端發(fā)起的會(huì)話相關(guān)的信息流。用戶限制不同網(wǎng)絡(luò)間只允許傳輸與授權(quán)用戶合法訪問網(wǎng)絡(luò)資源相關(guān)的信息流。行為限制不同網(wǎng)絡(luò)間只允許傳輸與行為合理的網(wǎng)絡(luò)資源訪問過程相關(guān)的信息流。假如不與操作系統(tǒng)的平安訪問機(jī)制相結(jié)合，個(gè)人防火墻的功能相對(duì)簡潔；有狀態(tài)檢查防火墻的功能已經(jīng)涵蓋電路層網(wǎng)關(guān)和應(yīng)用層網(wǎng)關(guān)的功能，但對(duì)終端用戶是透亮的。防火墻概述防火墻分類電路層網(wǎng)關(guān)對(duì)運(yùn)輸層連接進(jìn)行監(jiān)測和限制，包括連接發(fā)起者的身份認(rèn)證、經(jīng)過連接傳輸?shù)腡CP報(bào)文的合理性等；應(yīng)用層網(wǎng)關(guān)對(duì)特定應(yīng)用相關(guān)的消息交換過程實(shí)施監(jiān)測限制和，包括懇求、響應(yīng)過程，懇求、響應(yīng)報(bào)文中各字段的正確性，傳輸內(nèi)容的合理性和合法性等。防火墻概述電路層網(wǎng)關(guān)工作機(jī)制先認(rèn)證用戶身份，確定是授權(quán)用戶發(fā)起的TCP連接時(shí)，再與服務(wù)器建立TCP連接。7.2分組過濾器無狀態(tài)分組過濾器；有狀態(tài)分組過濾器。分組過濾器依據(jù)規(guī)則鑒別出一組多個(gè)字段值等于設(shè)定值的IP分組，并對(duì)其進(jìn)行規(guī)定操作。這些字段值可以是IP分組首部字段值，可以是運(yùn)輸層首部字段值（電路層網(wǎng)關(guān)功能），也可以是應(yīng)用層消息的各個(gè)字段值（應(yīng)用層網(wǎng)關(guān)的功能）。有狀態(tài)和無狀態(tài)的區(qū)分在于無狀態(tài)逐個(gè)IP分組單獨(dú)處理，有狀態(tài)是基于會(huì)話，對(duì)屬于相同會(huì)話的一組IP分組進(jìn)行聯(lián)合處理，會(huì)話可以是TCP連接，也可以是應(yīng)用層懇求、響應(yīng)過程。因此，有狀態(tài)分組過濾器的功能涵蓋了電路層和應(yīng)用層網(wǎng)關(guān)的大部分功能，但分組過濾器對(duì)終端用戶是透亮的。源IP地址＝/24一、分組過濾目的IP地址＝/24目的IP地址＝/24源IP地址＝/24目的IP地址＝/24源IP地址＝/24源IP地址=/24.and.目的IP地址=/32.and.目的端口號(hào)=23，對(duì)和規(guī)則匹配的IP分組實(shí)行的動(dòng)作是：拒絕傳輸。一、分組過濾要求LAN1中終端不能通過TELNET訪問LAN2中服務(wù)器。IP分組的源地址屬于LAN1子網(wǎng)地址，目的地址是LAN2服務(wù)器，端口號(hào)必需確定是TELNET應(yīng)用。只允許LAN2中終端訪問LAN1中的WEB服務(wù)器。源IP地址=.and.目的IP地址=/24.and.源端口號(hào)=80，對(duì)和規(guī)則匹配的IP分組實(shí)行的動(dòng)作是：允許傳輸。不允許和LAN1中終端通過TELNET訪問LAN2中服務(wù)器操作有關(guān)的信息經(jīng)過路由器R1。防火墻－動(dòng)態(tài)分組過濾只允許終端A用Telnet訪問終端B，不允許終端B訪問終端A。終端A終端B源IP地址＝.and.目的IP地址＝.and.源端口號(hào)＝23只允許終端B向終端A回信，不允許終端B主動(dòng)向終端A寫信。

通過寄信人和收信人地址、姓名能區(qū)分這兩種類型的信嗎？對(duì)終端A寫給終端B的信和終端B寫給終端A的信的內(nèi)容進(jìn)行檢查，確定是回信，則通過，不是，則過濾。防火墻－動(dòng)態(tài)分組檢測動(dòng)態(tài)分組檢測的第一步是將網(wǎng)絡(luò)劃分成三個(gè)區(qū)，然后對(duì)區(qū)間進(jìn)行的訪問過程全程監(jiān)控。所謂全程監(jiān)控是依據(jù)訪問策略確定信息流依次，然后對(duì)每一次信息流傳輸操作進(jìn)行監(jiān)控，看其是否符合策略規(guī)定的依次和動(dòng)作。防火墻－動(dòng)態(tài)分組檢測訪問策略１．從信任區(qū)到非軍事區(qū)源IP地址=/24目的IP地址=/32HTTP服務(wù)；２．從信任區(qū)到非軍事區(qū)源IP地址=/24目的IP地址=SMTP+POP3服務(wù)；３．從信任區(qū)到非信任區(qū)源IP地址=/24目的IP地址=HTTP+FTPGET服務(wù)；４．從非軍事區(qū)到非信任區(qū)源IP地址=/32目的IP地址=SMTP服務(wù)；５．從非信任區(qū)到非軍事區(qū)源IP地址=目的IP地址=/32HTTPGET服務(wù)；６．從非信任區(qū)到非軍事區(qū)源IP地址=目的IP地址=/32SMTP服務(wù)。訪問策略和分組過濾不同，不是定義了允許或不允許傳輸?shù)腎P分組，而是定義了整個(gè)服務(wù)過程。如第一項(xiàng)策略表示允許進(jìn)行由信任區(qū)中終端發(fā)起的，對(duì)非軍事區(qū)中的WEB服務(wù)器的訪問。它允許符合這個(gè)訪問過程的IP分組在信任區(qū)和非軍事區(qū)之間傳輸。防火墻－動(dòng)態(tài)分組檢測策略１對(duì)應(yīng)的信息交換過程，由于是允許信任區(qū)中終端發(fā)起對(duì)非信任區(qū)中WEB服務(wù)器的訪問，因此，首先允許通過的是符合信任區(qū)中終端發(fā)起建立TCP連接的過程的IP分組。然后允許通過的是和讀取WEB內(nèi)容有關(guān)的IP分組。最終，允許通過的是釋放TCP連接有關(guān)的IP分組。防火墻－防拒絕服務(wù)攻擊防火墻通過只中繼正常的建立TCP連接懇求，來避開服務(wù)器遭遇SYN泛濫攻擊。防火墻－防拒絕服務(wù)攻擊通過COOKIE技術(shù)避開防火墻被SYN泛濫堵塞。7.3堡壘主機(jī)網(wǎng)絡(luò)結(jié)構(gòu)；堡壘主機(jī)工作機(jī)制；堡壘主機(jī)功能特性。堡壘主機(jī)是代理形式的應(yīng)用層網(wǎng)關(guān)，由它屏蔽內(nèi)部網(wǎng)絡(luò)資源，外部網(wǎng)絡(luò)終端只能與堡壘主機(jī)建立TCP連接，相互交換信息，堡壘主機(jī)的平安功能特別強(qiáng)大，不簡潔被黑客攻陷，外部網(wǎng)絡(luò)終端須經(jīng)堡壘主機(jī)訪問內(nèi)部網(wǎng)絡(luò)資源，因此，只要保證了堡壘主機(jī)的平安性，即可保證內(nèi)部網(wǎng)絡(luò)資源的平安性。網(wǎng)絡(luò)結(jié)構(gòu)單穴指堡壘主機(jī)只有一個(gè)接口連接內(nèi)部網(wǎng)絡(luò)；堡壘主機(jī)的平安性基于外部網(wǎng)絡(luò)終端必需通過堡壘主機(jī)實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)資源的訪問；單穴堡壘主機(jī)把外部網(wǎng)絡(luò)終端通過堡壘主機(jī)實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)資源的訪問的保證完全基于無狀態(tài)分組過濾器的傳輸限制功能。單穴堡壘主機(jī)結(jié)構(gòu)無狀態(tài)分組過濾器必需保證只允許目的IP地址＝的IP分組進(jìn)入內(nèi)部網(wǎng)絡(luò)，源IP地址＝的IP分組離開內(nèi)部網(wǎng)絡(luò)。即外部網(wǎng)絡(luò)終端只能和堡壘主機(jī)通信。雙穴指堡壘主機(jī)用一個(gè)接口連接內(nèi)部網(wǎng)絡(luò)，用另一個(gè)接口連接無狀態(tài)分組過濾器，并通過無狀態(tài)分組過濾器連接外部網(wǎng)絡(luò)；這種網(wǎng)絡(luò)結(jié)構(gòu)保證外部網(wǎng)絡(luò)必需通過堡壘主機(jī)才能訪問內(nèi)部網(wǎng)絡(luò)資源。網(wǎng)絡(luò)結(jié)構(gòu)雙穴堡壘主機(jī)結(jié)構(gòu)這種結(jié)構(gòu)一是保證外部網(wǎng)絡(luò)終端必需通過堡壘主機(jī)才能實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)資源的訪問；將內(nèi)部網(wǎng)絡(luò)依據(jù)平安等級(jí)劃分為不同的網(wǎng)段，限制堡壘主機(jī)對(duì)重要內(nèi)部網(wǎng)絡(luò)資源的訪問。網(wǎng)絡(luò)結(jié)構(gòu)雙無狀態(tài)分組過濾器結(jié)構(gòu)堡壘主機(jī)的工作機(jī)制無狀態(tài)分組過濾器保證外網(wǎng)終端只能與堡壘主機(jī)通信；外網(wǎng)終端和堡壘主機(jī)建立TCP連接后，由堡壘主機(jī)完成對(duì)外網(wǎng)終端的身份認(rèn)證和訪問權(quán)限鑒別；假如訪問權(quán)限滿足外網(wǎng)終端提出的資源訪問要求，和Web服務(wù)器建立TCP連接；堡壘主機(jī)始終監(jiān)測外網(wǎng)終端和Web服務(wù)器之間的懇求、響應(yīng)過程和傳輸內(nèi)容。網(wǎng)絡(luò)結(jié)構(gòu)堡壘主機(jī)自身平安性必需得到保證；由于堡壘主機(jī)是代理形式的應(yīng)用層網(wǎng)關(guān)，所支持的應(yīng)用層服務(wù)應(yīng)當(dāng)能夠動(dòng)態(tài)增刪；堡壘主機(jī)具備認(rèn)證用戶身份的實(shí)力，因此，或者自身由注冊(cè)信息庫，或者能夠訪問到注冊(cè)信息庫；堡壘主機(jī)必需能夠?yàn)椴煌挠脩粼O(shè)置不同的訪問權(quán)限；堡壘主機(jī)必需能夠具體記錄外網(wǎng)終端訪問內(nèi)部網(wǎng)絡(luò)資源的過程。堡壘主機(jī)的功能特性7.4統(tǒng)一訪問限制系統(tǒng)結(jié)構(gòu)；實(shí)現(xiàn)原理；應(yīng)用實(shí)例。防火墻訪問限制策略能夠限制屬于不同網(wǎng)絡(luò)的終端間的信息交換過程，但這種限制一是基于終端（由IP地址標(biāo)識(shí)），二是靜態(tài)，終端用戶變更，或是終端平安狀態(tài)變更不會(huì)變更防火墻的平安訪問限制策略，但實(shí)際應(yīng)用過程中，同一終端，當(dāng)不同用戶運(yùn)用時(shí)，訪問權(quán)限應(yīng)當(dāng)是不同的（訪問限制策略基于用戶），二是終端狀態(tài)，尤其平安狀態(tài)發(fā)生變更時(shí)，如檢測到感染病毒，或是遭遇黑客攻擊，其訪問權(quán)限應(yīng)當(dāng)隨之變更（防火墻訪問限制策略是動(dòng)態(tài)的），統(tǒng)一訪問限制（UAC）就是用于實(shí)現(xiàn)基于用戶、動(dòng)態(tài)設(shè)置訪問限制策略的機(jī)制。系統(tǒng)結(jié)構(gòu)系統(tǒng)結(jié)構(gòu)UAC代理，運(yùn)行于終端的軟件，一是通過交互方式獲得用戶信息，并向平安限制器供應(yīng)用戶信息，二是向平安限制器供應(yīng)終端狀態(tài)及用戶為終端設(shè)置的訪問限制策略。防火墻，策略執(zhí)行部件，一是隨時(shí)接收平安限制器為其制定的訪問限制策略，二是依據(jù)訪問限制策略調(diào)制執(zhí)行機(jī)制。平安限制器，一是建立完整的訪問限制策略庫，二是接收UAC代理供應(yīng)的用戶信息和終端狀態(tài)，三是依據(jù)訪問策略庫和用戶信息及終端狀態(tài)制定對(duì)應(yīng)的訪問限制策略，并將其傳輸給策略執(zhí)行部件，如防火墻。實(shí)現(xiàn)原理UAC系統(tǒng)配置平安限制器建立平安策略庫，基于用戶設(shè)置訪問權(quán)限；防火墻訪問限制策略基于網(wǎng)絡(luò)地址確定終端的訪問權(quán)限；依據(jù)對(duì)用戶身份的認(rèn)證結(jié)果和終端的平安狀態(tài)確定用戶終端的訪問權(quán)限；將接入用戶終端的交換機(jī)端口配置到對(duì)應(yīng)的VLAN，防火墻訪問限制策略對(duì)應(yīng)當(dāng)VLAN的網(wǎng)絡(luò)地址的訪問權(quán)限恰好是平安限制器確定的用戶終端具有的訪問權(quán)限，以此完成基于用戶和動(dòng)態(tài)訪問限制策略設(shè)置。實(shí)現(xiàn)原理實(shí)現(xiàn)基于用戶和動(dòng)態(tài)設(shè)置訪問權(quán)限的關(guān)鍵一是認(rèn)證用戶身份、獲知終端平安狀態(tài)。二是將連接用戶終端的交換機(jī)端口動(dòng)態(tài)配置為和用戶訪問權(quán)限一樣的VLAN；平安限制器須要與交換機(jī)和用戶終端交換信息，802.1X及RADIUS恰好實(shí)現(xiàn)用戶終端、交換機(jī)和平安限制器三者之間的通信問題，和交換機(jī)的動(dòng)態(tài)配置問題；這里，防火墻的訪問限制策略是靜態(tài)的，因此，平安限制器不須要?jiǎng)討B(tài)配置防火墻的訪問限制策略。實(shí)現(xiàn)原理應(yīng)用實(shí)例平安限制器必需完成對(duì)用戶的身份認(rèn)證，并將用戶終端的IP地址作為用戶的身份標(biāo)識(shí)符，為了防止源IP地址欺瞞攻擊，要求建立用戶和防火墻之間隧道模式的平安關(guān)聯(lián)；防火墻必需動(dòng)態(tài)配置允許IP地址為的外網(wǎng)終端訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的訪問限制策略；平安限制器和用戶之間通過HTTPS交換信息，平安限制器和防火墻之間通過專用平安傳輸協(xié)議信息。應(yīng)用實(shí)例用戶和平安限制器之間通過HTTPS交換信息過程。用戶和