信息安全技術(shù)——3(3)

1、信息安全技術(shù)(jsh)訪問控制與防火墻技術(shù)(jsh)共七十二頁提綱(tgng)訪問控制技術(shù)防火墻技術(shù)基礎(chǔ)防火墻安全設(shè)計策略防火墻攻擊策略第四代防火墻的主要(zhyo)技術(shù)防火墻發(fā)展的新方向防火墻選擇原則與常見產(chǎn)品本章小結(jié)共七十二頁防火墻的發(fā)展(fzhn)里程防火墻的發(fā)展里程基于路由器的防火墻；用戶(yngh)化的防火墻工具套；建立在通用操作系統(tǒng)上的防火墻；具有安全操作系統(tǒng)的防火墻；獲得安全操作系統(tǒng)的途徑通過許可證方式獲得操作系統(tǒng)源碼；通過固化操作系統(tǒng)內(nèi)核來提高可靠性；共七十二頁第4代防火墻的技術(shù)與功能第4代防火墻技術(shù)的實現(xiàn)方法第4代防火墻的抗攻擊能力分析共七十二頁第4代防火墻的技術(shù)(jsh)與

2、功能(1/10)雙端口或三端口的結(jié)構(gòu)具有兩個或三個獨立網(wǎng)卡內(nèi)外兩個網(wǎng)卡可以不做IP轉(zhuǎn)換而串接于內(nèi)部網(wǎng)與外部網(wǎng)之間另一個(y )網(wǎng)卡可專用于對服務(wù)器的安全保護(hù)。共七十二頁第4代防火墻的技術(shù)(jsh)與功能(2/10)透明的訪問(fngwn)方式以前的防火墻在訪問方式上要么要求用戶做系統(tǒng)登錄，要么需要修改客戶機(jī)的應(yīng)用。第4代防火墻利用了透明的代理系統(tǒng)技術(shù)，從而降低了系統(tǒng)登錄固有的安全風(fēng)險和出錯概率。共七十二頁第4代防火墻的技術(shù)(jsh)與功能(3/10)靈活的代理系統(tǒng)代理系統(tǒng)一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊。第4代防火墻采用了兩種代理機(jī)制：用于代理從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接采用網(wǎng)絡(luò)地

3、址變換NAT技術(shù)(jsh)來解決用于代理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接利用非保密的用戶定制代理或保密的代理系統(tǒng)技術(shù)來解決共七十二頁第4代防火墻的技術(shù)(jsh)與功能(4/10)多級的過濾技術(shù)為保證系統(tǒng)的安全性和防護(hù)水平 ，第4代防火墻采用了3級過濾措施，并輔以鑒別手段。3級過濾措施在分組過濾一級能過濾掉所有的源路由分組和假冒的IP源地址；在應(yīng)用網(wǎng)關(guān)一級能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測Internet提供的所有通用服務(wù)(fw)；在電路網(wǎng)關(guān)一級實現(xiàn)內(nèi)部主機(jī)與外部站點的透明連接，并對服務(wù)的通行實行嚴(yán)格控制。共七十二頁第4代防火墻的技術(shù)(jsh)與功能(5/10)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)NAT第4代防

4、火墻利用NAT技術(shù)能透明地對所有內(nèi)部地址進(jìn)行轉(zhuǎn)換，使外部網(wǎng)絡(luò)無法了解網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時允許內(nèi)部網(wǎng)絡(luò)使用自編的IP地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個(y )主機(jī)的通信，確保每個分組送往正確的地址。共七十二頁第4代防火墻的技術(shù)(jsh)與功能(6/10)Internet網(wǎng)關(guān)技術(shù)由于是直接串聯(lián)在網(wǎng)絡(luò)之中，第4代防火墻必須支持用戶在Internet互聯(lián)的所有服務(wù)，同時還有防止與Internet服務(wù)有關(guān)的安全漏洞。所以它需要能以多種安全的應(yīng)用服務(wù)器的安全性，對所有的文件和命令都要利用“改變根系統(tǒng)調(diào)用”做物理上的隔離。第4代防火墻采用兩種獨立的域名服務(wù)器：內(nèi)部DNS服務(wù)器主要處理(chl)內(nèi)部網(wǎng)絡(luò)的

5、DNS信息；外部DNS服務(wù)器專門用于處理機(jī)構(gòu)內(nèi)部向Internet提供的部分DNS信息。共七十二頁第4代防火墻的技術(shù)(jsh)與功能(7/10)安全服務(wù)網(wǎng)絡(luò)SSN第4代防火墻采用分別保護(hù)的策略保護(hù)對外服務(wù)器以適應(yīng)用戶向Internet上提供服務(wù)時對服務(wù)器保護(hù)的需要它利用一張網(wǎng)卡將對外服務(wù)器作為一個獨立網(wǎng)絡(luò)處理，對外服務(wù)器既是內(nèi)部網(wǎng)的一部分，又與內(nèi)部網(wǎng)完全隔離。這就是安全服務(wù)網(wǎng)絡(luò)技術(shù)SSN對SSN上的主機(jī)(zhj)，既可以單獨管理，也可以設(shè)置成通過FTP、Telnet等方式從內(nèi)部網(wǎng)上管理。SSN的方法提供的安全性優(yōu)于傳統(tǒng)的隔離區(qū)DMZ方法因為SSN與外部網(wǎng)之間有防火墻保護(hù)，SSN與內(nèi)部網(wǎng)之間也有

6、防火墻保護(hù)，一旦SSN遭到破壞，內(nèi)部網(wǎng)絡(luò)仍可以處于防火墻的保護(hù)之下。有關(guān)SSN和DMZ的聯(lián)系請參看文獻(xiàn)“防火墻中DMZ與SSN的異同”可以從“/網(wǎng)絡(luò)信息安全/參考資料/”處下載共七十二頁第4代防火墻的技術(shù)(jsh)與功能(8/10)用戶鑒別與加密為了降低(jingd)在Telnet、FTP等服務(wù)和遠(yuǎn)程管理上的風(fēng)險，第4代防火墻采用一次性使用的口令系統(tǒng)作為用戶的鑒別手段，并實現(xiàn)了對郵件的加密。共七十二頁第4代防火墻的技術(shù)(jsh)與功能(9/10)用戶定制服務(wù)第4代防火墻在提供(tgng)眾多服務(wù)的同時，還為用戶定制提供(tgng)支持，這類選項有：通用TCP，出站UDP、FTP、SMTP等類。

7、共七十二頁第4代防火墻的技術(shù)(jsh)與功能(10/10)審計和告警功能審計功能第4代防火墻產(chǎn)品的日志文件包括：一般信息、內(nèi)核信息、核心信息、接收郵件(yujin)、郵件(yujin)路徑、發(fā)送郵件(yujin)、已收消息、已發(fā)消息、連接請求、已鑒別的訪問、告警條件、管理日志、進(jìn)站代理、出站代理、郵件(yujin)服務(wù)器、域名服務(wù)器等。告警功能監(jiān)控每一個TCP或UDP探詢，并能以發(fā)出郵件、聲響等多種方式報警。共七十二頁第4代防火墻的技術(shù)與功能第4代防火墻技術(shù)的實現(xiàn)方法第4代防火墻的抗攻擊能力分析共七十二頁第4代防火墻技術(shù)的實現(xiàn)(shxin)方法第4代防火墻關(guān)鍵技術(shù)的實現(xiàn)安全內(nèi)核代理(dil)系

8、統(tǒng)多級過濾安全服務(wù)器鑒別與加密共七十二頁安全(nqun)內(nèi)核的實現(xiàn)安全內(nèi)核的實現(xiàn)第4代防火墻是建立在安全操作系統(tǒng)之上的，安全的操作系統(tǒng)來自對專用操作系統(tǒng)的安全加固和改進(jìn)，從現(xiàn)有的產(chǎn)品來看，對安全操作系統(tǒng)內(nèi)核的固化與改造主要從以下幾個方面進(jìn)行：取消危險的系統(tǒng)調(diào)用；限制命令的執(zhí)行權(quán)限；取消IP的轉(zhuǎn)發(fā)(zhun f)功能；檢查每個分組的接口；采用隨機(jī)連接序號；駐留分組過濾模塊；取消動態(tài)路由功能；采用多個安全內(nèi)核；共七十二頁代理(dil)系統(tǒng)的建立代理系統(tǒng)的建立(jinl)防火墻不允許任何信息直接穿過它，對所有的內(nèi)外連接都需要通過代理系統(tǒng)來實現(xiàn)，為保證整個防火墻的安全，所有代理都應(yīng)采用改變根目錄的方式

9、存儲在一個相對獨立的區(qū)域以做安全隔離。在所有的連接通過防火墻前，所有的代理要檢查已經(jīng)定義的訪問規(guī)則，這些規(guī)則控制代理的服務(wù)，并根據(jù)以下內(nèi)容處理分組源地址、目的地址、時間、同類服務(wù)器的最大數(shù)量所有外部網(wǎng)絡(luò)到防火墻內(nèi)部或SSN的連接由進(jìn)站代理處理，進(jìn)站代理要保證內(nèi)部主機(jī)能了解外部主機(jī)的所有信息，而外部主機(jī)只能看到防火墻之外或SSN的地址。所有內(nèi)部網(wǎng)絡(luò)或SSN通過防火墻與外部網(wǎng)絡(luò)建立的連接由出站代理處理，出站代理必須確保由它所代表的內(nèi)部網(wǎng)絡(luò)與外部地址相連，防止內(nèi)部網(wǎng)址與外部網(wǎng)址的直接連接，同時還要處理內(nèi)部網(wǎng)絡(luò)到SSN的連接。共七十二頁分組過濾器的設(shè)計(shj)分組過濾器的設(shè)計作為防火墻的核心部件之一

10、，過濾器的設(shè)計要盡量做到減少對防火墻的訪問。過濾器在調(diào)用時被下載到內(nèi)核中執(zhí)行，服務(wù)(fw)終止時，過濾規(guī)則會從內(nèi)核中被消除，所有的分組過濾功能都在內(nèi)核中IP堆棧的深層運行，非常安全。共七十二頁安全(nqun)服務(wù)器的設(shè)計安全服務(wù)器的設(shè)計安全服務(wù)器的設(shè)計有兩個要點：第一(dy)，所有SSN的流量都要隔離處理，即從內(nèi)部網(wǎng)和外部網(wǎng)而來的路由信息流在機(jī)制上是分離的；第二，SSN的作用類似于兩個網(wǎng)絡(luò)，它看上去象是內(nèi)部網(wǎng)，因為它對外透明，同時又象外部網(wǎng)，因為它從內(nèi)部網(wǎng)絡(luò)對外訪問的方式十分有限。SSN上的每一個服務(wù)器都是隱蔽在Internet中的，SSN提供的服務(wù)對外部網(wǎng)絡(luò)而言象防火墻的功能，由于地址轉(zhuǎn)換是

11、透明的，對各種網(wǎng)絡(luò)應(yīng)用沒有限制。實現(xiàn)SSN的關(guān)鍵在于：解決分組過濾器與SSN的連接；支持通用防火墻對SSN的訪問；支持代理服務(wù)；共七十二頁鑒別與加密(ji m)的考慮鑒別與加密的考慮鑒別與加密是防火墻識別用戶、驗證訪問和保護(hù)信息的有效手段，鑒別機(jī)制除了提供安全保護(hù)外，還具有安全管理的功能。目前國外防火墻產(chǎn)品廣泛使用令牌鑒別方式，具體方法有：加密卡；SecurityID；這兩種都是一次性口令(kulng)的生成工具共七十二頁第4代防火墻的技術(shù)與功能第4代防火墻技術(shù)的實現(xiàn)方法第4代防火墻的抗攻擊能力分析共七十二頁抗IP假冒(jimo)攻擊抗IP假冒攻擊IP假冒是指一個非法的主機(jī)假冒內(nèi)部的主機(jī)地址，

12、騙區(qū)服務(wù)器的“信任”，從而達(dá)到對網(wǎng)絡(luò)的攻擊目的。由于(yuy)第4代防火墻知道網(wǎng)絡(luò)內(nèi)外的IP地址，它會丟棄所有來自網(wǎng)絡(luò)外部但卻有內(nèi)部地址的分組，另外，防火墻已將網(wǎng)的實際地址隱藏起來，外部用戶很難知道內(nèi)部的IP地址，因而難以攻擊。共七十二頁抗特洛伊木馬攻擊(gngj)抗特洛伊木馬攻擊第4代防火墻是建立在安全的操作系統(tǒng)之上的，其安全內(nèi)核中不能執(zhí)行下載的程序，所以可以防止特洛伊木馬的發(fā)生。必須指出的是，防火墻能抗特洛伊木馬的攻擊并不表明受其保護(hù)(boh)的某個主機(jī)也能防止這類攻擊。內(nèi)部用戶可通過防火墻下載程序，并執(zhí)行下載的程序。共七十二頁抗口令字探詢(tnxn)攻擊抗口令字探詢攻擊在網(wǎng)絡(luò)中探詢口令字

13、的方法很多，最常見的是口令字嗅探和口令字解密。口令字嗅探：是指嗅探監(jiān)測網(wǎng)絡(luò)，截獲用戶傳給服務(wù)器的口令字，記錄下來后使用；口令字解密：是指采用強(qiáng)力攻擊，猜測或截獲含有加密口令字的文件，并設(shè)法解密。此外，攻擊者還常常利用一些常用口令字直接(zhji)登錄。第4代防火墻采用了一次性口令字和禁止直接登錄防火墻的措施，能有效防止對口令字的攻擊。共七十二頁抗網(wǎng)絡(luò)(wnglu)安全性分析抗網(wǎng)絡(luò)安全性分析抗網(wǎng)絡(luò)安全性分析工具本來是提供給管理人員用來分析網(wǎng)絡(luò)安全性的，但該工具也可以被攻擊者用來探測內(nèi)部網(wǎng)絡(luò)的安全缺陷和弱點所在。目前比較具有代表性的分析工具有：SATAN（可直接免費下載）、XSCAN等，這些工具給

14、網(wǎng)絡(luò)安全構(gòu)成了直接威脅。第4代防火墻采用了地址轉(zhuǎn)換技術(shù)，將內(nèi)部網(wǎng)絡(luò)隱蔽起來，使網(wǎng)絡(luò)安全分析工具無法(wf)從外部對內(nèi)部網(wǎng)進(jìn)行分析。劍走偏鋒！新技術(shù)新思維共七十二頁抗郵件詐騙(zhpin)攻擊抗郵件詐騙攻擊第4代防火墻不接收任何郵件，所以可有效防御此類攻擊。需要(xyo)注意的是，防火墻不接收郵件，并不表示它不讓郵件通過，實際上用戶仍可收發(fā)郵件，內(nèi)部用戶需要(xyo)防止郵件詐騙解決方法：對郵件加密共七十二頁提綱(tgng)訪問控制技術(shù)防火墻技術(shù)基礎(chǔ)防火墻安全設(shè)計策略防火墻攻擊策略第四代防火墻的主要技術(shù)防火墻發(fā)展的新方向(fngxing)防火墻選擇原則與常見產(chǎn)品本章小結(jié)共七十二頁防火墻發(fā)展(fz

15、hn)的新方向防火墻發(fā)展的新方向透明(tumng)接入技術(shù)分布式防火墻技術(shù)以防火墻為核心的網(wǎng)絡(luò)信息安全體系共七十二頁以防火墻為核心(hxn)的網(wǎng)絡(luò)信息安全體系分布式防火墻技術(shù)(jsh)透明接入技術(shù)共七十二頁透明(tumng)接入技術(shù)透明接入技術(shù)透明模式：對用戶是透明的，用戶意識不到防火墻的存在；要實現(xiàn)透明模式，防火墻必須在沒有IP地址的情況下工作，不需要對其設(shè)置IP地址，用戶也不知道防火墻的IP地址。防火墻作為實際的物理設(shè)備，其本身也起到路由器的作用，所以在為用戶安裝(nzhung)防火墻時，需要考慮如何改動其原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)或修改連接防火墻的路由表，以適應(yīng)用戶的實際需要，這樣就增加了工作的

16、復(fù)雜性。但如果防火墻采用了透明模式，即采用無IP方式運行，用戶將不必重新設(shè)定和修改路由，防火墻就可以直接安裝和放置到網(wǎng)絡(luò)中使用。共七十二頁防 火 墻非透明模式的防火墻透明模式的防火墻路由器網(wǎng)橋共七十二頁透明模式的主要實現(xiàn)(shxin)方式透明模式的主要實現(xiàn)方式ARP透明代理網(wǎng)橋模式網(wǎng)卡置于混雜模式關(guān)于防火墻的透明模式，請參看(cnkn)“/信息安全/參考資料”下的文獻(xiàn)，如“Linux下防火墻透明模式的原理及實現(xiàn)”和“IPv6下透明模式防火墻的設(shè)計與實現(xiàn)”共七十二頁以防火墻為核心(hxn)的網(wǎng)絡(luò)信息安全體系透明(tumng)接入技術(shù)分布式防火墻技術(shù)共七十二頁傳統(tǒng)邊界(binji)防火墻技術(shù)的不足

17、(1/3)網(wǎng)絡(luò)應(yīng)用受到結(jié)構(gòu)性限制隨著象VPN等技術(shù)普及，網(wǎng)絡(luò)邊界的概念由物理向邏輯層面轉(zhuǎn)換，傳統(tǒng)邊界防火墻的應(yīng)用受到結(jié)構(gòu)性限制。傳統(tǒng)的邊界式防火墻依賴于物理上的拓?fù)浣Y(jié)構(gòu)，從物理上將網(wǎng)絡(luò)劃分成內(nèi)部網(wǎng)和外部網(wǎng)，根據(jù)VPN的概念，內(nèi)部網(wǎng)和外部網(wǎng)的劃分是基于(jy)邏輯的，而邏輯上同時處于內(nèi)部網(wǎng)絡(luò)的主機(jī)在物理上可能被劃分在內(nèi)部和外部網(wǎng)絡(luò)中。這種傳統(tǒng)邊界防火墻的劃分方式會影響基于VPN的分布式應(yīng)用的實施。共七十二頁傳統(tǒng)邊界(binji)防火墻技術(shù)的不足(2/3)內(nèi)部安全隱患依然存在傳統(tǒng)邊界防火墻在應(yīng)對來自網(wǎng)絡(luò)內(nèi)部威脅時無能為力(w nng wi l)，“外戰(zhàn)內(nèi)行，內(nèi)戰(zhàn)外行”70%-80%的攻擊來自于網(wǎng)絡(luò)

18、內(nèi)部共七十二頁傳統(tǒng)邊界防火墻技術(shù)(jsh)的不足(3/3)效率較低，故障率高由于邊界式防火墻把檢查機(jī)制集中在網(wǎng)絡(luò)邊界處的單點之上，造成網(wǎng)絡(luò)的瓶頸和單點失效的隱患。從性能的角度來說，防火墻極易成為網(wǎng)絡(luò)流量的瓶頸，從網(wǎng)絡(luò)可達(dá)性的角度來說，由于其帶寬的限制，防火墻并不能保證所有(suyu)請求都能得到及時答復(fù)，所以在可達(dá)性方面防火墻也是整個網(wǎng)絡(luò)的一個脆弱點。邊界式防火墻難以平衡網(wǎng)絡(luò)效率與安全性設(shè)定之間的矛盾，無法為網(wǎng)絡(luò)中的每臺服務(wù)器定制規(guī)則，它只能使用一個折衷的規(guī)則來近似滿足所有的被保護(hù)的服務(wù)器的需要要么犧牲效率，要么犧牲安全性共七十二頁分布式防火墻體系(tx)的構(gòu)成(1/3)網(wǎng)絡(luò)防火墻(Netwo

19、rk Firewall)純軟件實現(xiàn)或輔以硬件支持。用于內(nèi)部網(wǎng)與外部網(wǎng)之間以及內(nèi)部網(wǎng)各子網(wǎng)之間的防護(hù)。與傳統(tǒng)的邊界防火墻相比，多了一種用于對內(nèi)部子網(wǎng)之間的安全防護(hù)層，這樣整個網(wǎng)絡(luò)的安全防護(hù)體系就顯得更加全面，更加可靠。不過在功能(gngnng)上與傳統(tǒng)的邊界防火墻相似。共七十二頁分布式防火墻體系(tx)的構(gòu)成(2/3)主機(jī)防火墻(Host Firewall)純軟件實現(xiàn)或輔以硬件支持。用于對網(wǎng)絡(luò)中的服務(wù)器和桌面機(jī)進(jìn)行防護(hù)。相當(dāng)于對傳統(tǒng)邊界式防火墻在安全體系方面的一個完善(wnshn)它作用于同一內(nèi)部子網(wǎng)之間的工作站與服務(wù)器之間，以確保內(nèi)部網(wǎng)絡(luò)服務(wù)器的安全。這樣防火墻的作用不僅是用于內(nèi)部與外部網(wǎng)之間

20、的防護(hù)，還可應(yīng)用于內(nèi)部網(wǎng)各子網(wǎng)之間，同一內(nèi)部子網(wǎng)工作站與服務(wù)之間。可以說達(dá)到了應(yīng)用層的安全防護(hù)，比起網(wǎng)絡(luò)層更加徹底。共七十二頁分布式防火墻體系(tx)的構(gòu)成(3/3)中心(zhngxn)管理(CeNT/2Kral ManagementNT/2K)服務(wù)器軟件，負(fù)責(zé)總體安全策略的策劃、管理、分發(fā)和日志的匯總。具有以往防火墻所不具有的管理功能。共七十二頁分布式防火墻的基本原理分布式防火墻的基本原理由中心定義策略，但由各個分布在網(wǎng)絡(luò)中的端點實施這些策略。依賴于三個主要概念說明哪一類連接可以被允許禁止的策略語言；一種系統(tǒng)管理工具；IP安全(nqun)協(xié)議；共七十二頁三個主要(zhyo)概念（1/3）策略

21、語言要求能夠方便地表達(dá)需要的策略，關(guān)鍵是對內(nèi)部主機(jī)的標(biāo)志；簡單地用IP地址可以用來標(biāo)志主機(jī)，但不安全；建議使用(shyng)IP安全協(xié)議中的密碼憑證來標(biāo)志各臺主機(jī)為主機(jī)提供可靠、惟一的標(biāo)志，并且與網(wǎng)絡(luò)的物理拓?fù)錈o關(guān)；共七十二頁三個主要(zhyo)概念（2/3）系統(tǒng)管理工具用于將形成的策略文件分發(fā)給被防火墻保護(hù)的所有(suyu)主機(jī)（邏輯上的防火墻，而不是物理上的）共七十二頁三個主要(zhyo)概念（3/3）IP安全協(xié)議一種對TCP/IP協(xié)議族的網(wǎng)絡(luò)層進(jìn)行加密保護(hù)的機(jī)制，包括AH和ESP，分別(fnbi)對IP包頭和整個IP包進(jìn)行認(rèn)證，防止各類主機(jī)攻擊。共七十二頁分布式防火墻的工作(gngzu)

22、方式制定防火墻接入控制策略的中心通過編譯器將策略語言描述內(nèi)部(nib)格式，形成策略文件中心采用系統(tǒng)管理工具把策略文件分發(fā)給各臺“內(nèi)部主機(jī)”內(nèi)部主機(jī)判斷是否接受受到的數(shù)據(jù)包根據(jù)IP安全協(xié)議進(jìn)行分析根據(jù)服務(wù)器端的策略文件進(jìn)行分析內(nèi)部主機(jī)數(shù)據(jù)包123共七十二頁分布式防火墻的主要(zhyo)特點分布式防火墻的主要特點分布式防火墻負(fù)責(zé)(fz)對網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點之間的安全防護(hù)，所以“分布式防火墻”是一個完整的系統(tǒng)，而不是單一的產(chǎn)品。共七十二頁分布式防火墻的主要(zhyo)特點(1/4)主機(jī)駐留采用主機(jī)駐留方式（“主機(jī)防火墻”）。駐留在被保護(hù)的主機(jī)上，該主機(jī)以外的網(wǎng)絡(luò)不管是處在網(wǎng)絡(luò)內(nèi)部，還

23、是網(wǎng)絡(luò)外部，都被認(rèn)為是不可信任(xnrn)的，因此可以針對該主機(jī)上運行的具體應(yīng)用和對外提供的服務(wù)設(shè)定針對性強(qiáng)的安全策略。主機(jī)防火墻使安全策略不僅停留在網(wǎng)絡(luò)與網(wǎng)絡(luò)之間，而是把安全策略推廣延伸到每個網(wǎng)絡(luò)末端。共七十二頁分布式防火墻的主要(zhyo)特點(2/4)嵌入操作系統(tǒng)內(nèi)核分布式主機(jī)防火墻，其運行機(jī)制是主機(jī)防火墻的關(guān)鍵技術(shù)之一。為自身的安全核徹底堵住操作系統(tǒng)的漏洞，主機(jī)防火墻的安全檢測核心引擎要以嵌入操作系統(tǒng)內(nèi)核的形態(tài)運行，直接接管網(wǎng)卡，在把所有數(shù)據(jù)包進(jìn)行檢查后在提交操作系統(tǒng)。為實現(xiàn)這樣的運行機(jī)制，除防火墻廠商自身的開發(fā)技術(shù)外，與操作系統(tǒng)廠商的技術(shù)合作也是必要的條件，因為這需要一些操作系統(tǒng)不公

24、開(gngki)的內(nèi)部技術(shù)接口。不能實現(xiàn)這種分布式運行模式的主機(jī)防火墻由于受到操作系統(tǒng)安全性的制約，存在明顯的安全隱患。共七十二頁分布式防火墻的主要(zhyo)特點(3/4)類似于個人防火墻個人防火墻是一種軟件防火墻產(chǎn)品(chnpn)，它是在分布式防火墻之前已經(jīng)出現(xiàn)的一類防火墻產(chǎn)品(chnpn)，它是用來保護(hù)單一主機(jī)系統(tǒng)的。分布式針對桌面應(yīng)用的主機(jī)防火墻與個人防火墻有相似之處（比如都對應(yīng)個人系統(tǒng)），又有本質(zhì)的差別：管理方式不同個人防火墻的安全策略由系統(tǒng)使用者自己設(shè)置，目標(biāo)是防外部攻擊；而針對桌面應(yīng)用的主機(jī)防火墻的安全策略由整個系統(tǒng)的管理員統(tǒng)一安排和設(shè)置，除對該桌面機(jī)起到保護(hù)作用外，也可以對該桌

25、面機(jī)的對外訪問加以控制，并且這種安全機(jī)制是桌面機(jī)的使用者不可見和不可改動的。服務(wù)對象不同個人防火墻面向個人用戶，針對桌面應(yīng)用的主機(jī)防火墻是面向企業(yè)級客戶的，它與分布式防火墻其他產(chǎn)品共同構(gòu)成一個企業(yè)級應(yīng)用方案，形成一個安全策略中心統(tǒng)一管理，安全檢查機(jī)制分散布置的分布式防火墻體系結(jié)構(gòu)。共七十二頁分布式防火墻的主要(zhyo)特點(4/4)適用于服務(wù)器托管對服務(wù)器托管用戶而言，該服務(wù)器邏輯上是其企業(yè)網(wǎng)的一部分，只不過物理上不在企業(yè)內(nèi)部(nib)，對于這類應(yīng)用，邊界式防火墻解決方案就顯得牽強(qiáng)附會，而針對服務(wù)器的主機(jī)防火墻解決方案卻可以較好地解決上述問題。解決方案對于純軟件式的分布式防火墻，用戶只需要在

26、該服務(wù)器上安裝上主機(jī)防火墻軟件，并根據(jù)該服務(wù)器的應(yīng)用設(shè)置安全策略即可，還可以利用中心管理軟件對該服務(wù)器進(jìn)行遠(yuǎn)程監(jiān)控，不需要任何額外租用新的空間放置邊界防火墻。對于硬件式的分布式防火墻，因其通常采用PCI卡式，通常兼顧網(wǎng)卡作用，所以可以直接插在服務(wù)器機(jī)箱內(nèi)部，無須單獨的空間托管費，降低企業(yè)運行成本。共七十二頁分布式防火墻的優(yōu)勢(yush)分布式防火墻的優(yōu)勢增強(qiáng)的系統(tǒng)安全性提高了系統(tǒng)性能提高系統(tǒng)的可擴(kuò)展性實施主機(jī)(zhj)策略應(yīng)用更為廣泛，支持VPN通信共七十二頁分布式防火墻技術(shù)(jsh)的參考資料分布式防火墻技術(shù)的參考資料王偉，“分布式防火墻技術(shù)研究”，北京理工大學(xué)博士論文，2003通過“萬方學(xué)

27、位論文庫”查閱其他文獻(xiàn)“分布式防火墻的網(wǎng)絡(luò)安全系統(tǒng)研究”“分布式防火墻的原理實現(xiàn)及應(yīng)用”“分布式防火墻關(guān)鍵技術(shù)研究”“分布式防火墻環(huán)境的邊界防御系統(tǒng)”“分布式防火墻中的信任管理系統(tǒng)”以上文獻(xiàn)可以從“/網(wǎng)絡(luò)(wnglu)信息安全/參考資料/”處下載共七十二頁透明(tumng)接入技術(shù)分布式防火墻技術(shù)(jsh)以防火墻為核心的網(wǎng)絡(luò)信息安全體系共七十二頁網(wǎng)絡(luò)(wnglu)信息安全體系以防火墻為核心(hxn)的網(wǎng)絡(luò)信息安全體系需要解決的問題如何設(shè)計安全防火墻單獨依靠防火墻能否保證網(wǎng)絡(luò)安全如何構(gòu)造以防火墻為核心的網(wǎng)絡(luò)安全體系共七十二頁需要(xyo)注意的問題高速安全的防火墻基礎(chǔ)平臺是網(wǎng)絡(luò)安全的保障(bo

28、zhng)專用的完善、穩(wěn)定的安全操作系統(tǒng)專用硬件通訊平臺構(gòu)建以防火墻為核心的集成安全方案同IDS、防病毒系統(tǒng)等其他網(wǎng)絡(luò)安全工具進(jìn)行協(xié)作網(wǎng)絡(luò)安全產(chǎn)品=產(chǎn)品+服務(wù)技術(shù)支持、培訓(xùn)、系統(tǒng)維護(hù)、技術(shù)更新共七十二頁提綱(tgng)訪問控制技術(shù)防火墻技術(shù)基礎(chǔ)防火墻安全設(shè)計策略防火墻攻擊策略第四代防火墻的主要技術(shù)防火墻發(fā)展的新方向防火墻選擇原則與常見產(chǎn)品本章(bn zhn)小結(jié)共七十二頁防火墻選擇(xunz)原則（1/11）從受保護(hù)對象的角度考慮根據(jù)自身特點選擇合適類型的防火墻市場有六種基本類型的防火墻，分別是嵌入式防火墻、基于企業(yè)軟件的防火墻、基于企業(yè)硬件的防火墻、SOHO軟件防火墻、SOHO硬件防火墻和特

29、殊(tsh)防火墻成本投入防火墻的成本不應(yīng)超過受保護(hù)對象可能遭受最大損失的成本用戶節(jié)點數(shù)共七十二頁防火墻選擇(xunz)原則（2/11）防火墻自身的安全性安全性考慮是否基于(jy)安全的操作系統(tǒng)是否采用專用的硬件平臺共七十二頁防火墻選擇(xunz)原則（3/11）防火墻的穩(wěn)定性通過專業(yè)人士或有實力(shl)的評測機(jī)構(gòu)，對防火墻的穩(wěn)定性進(jìn)行分析共七十二頁防火墻選擇(xunz)原則（4/11）防火墻的性能數(shù)據(jù)通過率是表示防火墻性能的主要參數(shù)通過率越高，防火墻性能越好問題如何減少由于起用NAT而給防火墻性能造成的影響如何保證防火墻系統(tǒng)(xtng)中集成的VPN解決方案的效率共七十二頁防火墻選擇(xu

30、nz)原則（5/11）功能的靈活性防火墻應(yīng)具有一系列不同(b tn)級別的設(shè)備，以滿足不同(b tn)用戶的各類安全控制需求的控制策略控制策略的質(zhì)量體現(xiàn)在控制策略的有效性、多樣性、級別目標(biāo)清晰性、制訂難易性和經(jīng)濟(jì)性等方面共七十二頁防火墻選擇(xunz)原則（6/11）便于安裝、管理防火墻產(chǎn)品配置和管理的難易程度是防火墻能否(nn fu)達(dá)到目的的主要考慮因素之一許多防火墻未達(dá)到預(yù)期目的，其主要問題出在配置和實現(xiàn)上。管理上難度會影響防火墻的合理配置、運行和維護(hù)更新基于Windows的防火墻產(chǎn)品性能上落后基于Unix/Linux的防火墻，但銷售上優(yōu)于后者共七十二頁防火墻選擇(xunz)原則（7/11）是否可針對用戶身份進(jìn)行過濾(gul)利用用戶身份進(jìn)行過濾，安全性較利用IP地址進(jìn)行過濾更為安全合理共七十二頁防火墻選擇(xunz)原則（8/11）可擴(kuò)展性功能(gngnng)的擴(kuò)展規(guī)模的擴(kuò)展共七十二頁防火墻選擇(x