網(wǎng)絡(luò)安全導(dǎo)論 課件 第11、12章 訪問控制、防火墻

第11章訪問控制討論議題1、訪問控制的有關(guān)概念2、訪問控制的策略和機制3、OS的訪問控制設(shè)計

1訪問控制的有關(guān)概念訪問控制的概念和目標一般概念——

是針對越權(quán)使用資源的防御措施?；灸繕耍悍乐箤θ魏钨Y源（如計算資源、通信資源或信息資源）進行未授權(quán)的訪問。從而使計算機系統(tǒng)在合法范圍內(nèi)使用；決定用戶能做什么，也決定代表一定用戶利益的程序能做什么。未授權(quán)的訪問包括：未經(jīng)授權(quán)的使用、泄露、修改、銷毀信息以及頒發(fā)指令等。非法用戶進入系統(tǒng)。合法用戶對系統(tǒng)資源的非法使用。5例:系統(tǒng)訪問控制登錄名稱即用戶ID，盡量保持一致以便管理?？诹羁诹畹陌踩貏e重要，加密后不可見。用戶標識符分為管理性用戶和普通用戶，用整數(shù)表示。組標識符將用戶分組是UNIX系統(tǒng)對權(quán)限進行管理的一種方式用戶起始目錄用戶登錄到系統(tǒng)后所處于的Home目錄PhysicalSecurityPerimeterAuthenticationMechanismAccessControlMechanismSysAdmin6公網(wǎng)互聯(lián)網(wǎng)用戶對外信息服務(wù)器員工上網(wǎng)拒絕信息服務(wù)器不能在上班時間進行QQ,MSN等聊天．例:網(wǎng)絡(luò)訪問控制訪問權(quán)限控制例：用戶訪問數(shù)據(jù)庫訪問控制的作用訪問控制對機密性、完整性起直接的作用。對于可用性，訪問控制通過對以下信息的有效控制來實現(xiàn)：（1）誰可以頒發(fā)影響網(wǎng)絡(luò)可用性的網(wǎng)絡(luò)管理指令（2）誰能夠濫用資源以達到占用資源的目的（3）誰能夠獲得可以用于拒絕服務(wù)攻擊的信息主體、客體和授權(quán)客體（Object）：規(guī)定需要保護的資源，又稱作目標（target)。主體（Subject）：或稱為發(fā)起者(Initiator)，是一個主動的實體，規(guī)定可以訪問該資源的實體，（通常指用戶或代表用戶執(zhí)行的程序）。授權(quán)（Authorization)：規(guī)定可對該資源執(zhí)行的動作（例如讀、寫、執(zhí)行或拒絕訪問）。一個主體為了完成任務(wù)，可以創(chuàng)建另外的主體，這些子主體可以在網(wǎng)絡(luò)上不同的計算機上運行，并由父主體控制它們。主客體的關(guān)系是相對的。訪問控制模型基本組成

訪問控制模型

引用監(jiān)控器身份鑒別訪問控制授權(quán)數(shù)據(jù)庫用戶目標目標目標目標目標審計安全管理員訪問控制決策單元

2訪問控制策略訪問控制策略與機制訪問控制策略(AccessControlPolicy):訪問控制策略在系統(tǒng)安全策略級上表示授權(quán)。是對訪問如何控制,如何作出訪問決定的高層指南。訪問控制機制（AccessControlMechanisms):是訪問控制策略的軟硬件低層實現(xiàn)。訪問控制機制與策略獨立，可允許安全機制的重用。安全策略之間沒有更好的說法，只是一種可以比一種提供更多的保護。應(yīng)根據(jù)應(yīng)用環(huán)境靈活使用。訪問控制策略的制訂原則(1)最小權(quán)限原則(2)最小泄露原則如何決定訪問權(quán)限用戶分類資源資源及使用訪問規(guī)則用戶的分類（1）特殊的用戶：系統(tǒng)管理員，具有最高級別的特權(quán)，可以訪問任何資源，并具有任何類型的訪問操作能力（2）一般的用戶：最大的一類用戶，他們的訪問操作受到一定限制，由系統(tǒng)管理員分配（3）作審計的用戶：負責整個安全系統(tǒng)范圍內(nèi)的安全控制與資源使用情況的審計（4）作廢的用戶：被系統(tǒng)拒絕的用戶。資源系統(tǒng)內(nèi)需要保護的是系統(tǒng)資源：磁盤與磁帶卷標遠程終端信息管理系統(tǒng)的事務(wù)處理及其應(yīng)用數(shù)據(jù)庫中的數(shù)據(jù)應(yīng)用資源資源和使用對需要保護的資源定義一個訪問控制包（Accesscontrolpacket)，包括：資源名及擁有者的標識符缺省訪問權(quán)用戶、用戶組的特權(quán)明細表允許資源的擁有者對其添加新的可用數(shù)據(jù)的操作審計數(shù)據(jù)訪問規(guī)則與規(guī)則集規(guī)定了若干條件，在這些條件下，可準許訪問一個資源。規(guī)則使用戶與資源配對，指定該用戶可在該文件上執(zhí)行哪些操作，如只讀、不許執(zhí)行或不許訪問。由系統(tǒng)管理人員來應(yīng)用這些規(guī)則，由硬件或軟件的安全內(nèi)核部分負責實施。一個主體對一個客體的訪問權(quán)能否轉(zhuǎn)讓?

自主訪問控制:能強制訪問控制:不能基于角色的訪問控制:不能

自主訪問控制強制訪問控制基于角色訪問控制訪問控制訪問控制的一般策略自主訪問控制特點：根據(jù)主體的身份及允許訪問的權(quán)限進行決策。自主是指具有某種訪問能力的主體能夠自主地將訪問權(quán)的某個子集授予其它主體。靈活性高，被大量采用。缺點：信息在移動過程中其訪問權(quán)限關(guān)系會被改變。如用戶A可將其對目標O的訪問權(quán)限傳遞給用戶B,從而使不具備對O訪問權(quán)限的B可訪問O。自主訪問控制的訪問類型訪問許可與訪問模式描述了主體對客體所具有的控制權(quán)與訪問權(quán).訪問許可定義了改變訪問模式的能力或向其它主體傳送這種能力的能力.訪問模式則指明主體對客體可進行何種形式的特定的訪問操作:讀\寫\運行.訪問模式AccessMode系統(tǒng)支持的最基本的保護客體:文件,對文件的訪問模式設(shè)置如下:

（1）讀-拷貝(Read-copy)

（2）寫-刪除（write-delete）（3）運行(Execute)

（4）無效(Null)強制訪問控制（1）將主體和客體分級，根據(jù)主體和客體的級別標記來決定訪問模式。如，絕密級，機密級，秘密級，無密級。（2）其訪問控制關(guān)系分為：上讀/下寫，下讀/上寫（完整性）（機密性）（3）通過安全標簽實現(xiàn)單向信息流通模式。精確描述強制訪問控制(MAC)中，系統(tǒng)包含主體集S和客體集O，每個S中的主體s及客體集中的客體o，都屬于一固定的安全類SC，安全類SC=<L,C>包括兩個部分：有層次的安全級別和無層次的安全范疇。構(gòu)成一偏序關(guān)系≤。Bell-LaPadula：保證保密性

-簡單安全特性(無上讀)：僅當SC(o)≤SC(s)時，s可以讀取o

-*-特性(無下寫):僅當SC(s)≤SC(o)時，s可以修改oBiba：保證完整性

-同(1)相反強制訪問控制實現(xiàn)機制-

安全標簽安全標簽是限制在目標上的一組安全屬性信息項。在訪問控制中，一個安全標簽隸屬于一個用戶、一個目標、一個訪問請求或傳輸中的一個訪問控制信息。最通常的用途是支持多級訪問控制策略。

在處理一個訪問請求時，目標環(huán)境比較請求上的標簽和目標上的標簽，應(yīng)用策略規(guī)則（如BellLapadula規(guī)則）決定是允許還是拒絕訪問。自主/強制訪問的問題自主訪問控制配置的粒度小配置的工作量大，效率低強制訪問控制配置的粒度大缺乏靈活性基于角色的策略與現(xiàn)代的商業(yè)環(huán)境相結(jié)合的產(chǎn)物基于角色的訪問控制是一個復(fù)合的規(guī)則，可以被認為是IBAC和RBAC的變體。一個身份被分配給一個被授權(quán)的組。起源于UNIX系統(tǒng)或別的操作系統(tǒng)中組的概念10yearhistory責任分離(separationofduties)角色分層(rolehierarchies)角色激活(roleactivation)用戶角色關(guān)系的約束(constraintsonuser/rolemembership)角色的定義每個角色與一組用戶和有關(guān)的動作相互關(guān)聯(lián)，角色中所屬的用戶可以有權(quán)執(zhí)行這些操作Arolecanbedefinedasasetofactionsandresponsibilitiesassociatedwithaparticularworkingactivity.角色與組的區(qū)別組：一組用戶的集合角色：一組用戶的集合+一組操作權(quán)限的集合一個基于角色的訪問控制的實例在銀行環(huán)境中，用戶角色可以定義為出納員、分行管理者、顧客、系統(tǒng)管理者和審計員訪問控制策略的一個例子如下：（1）允許一個出納員修改顧客的帳號記錄（包括存款和取款、轉(zhuǎn)帳等），并允許查詢所有帳號的注冊項（2）允許一個分行管理者修改顧客的帳號記錄（包括存款和取款，但不包括規(guī)定的資金數(shù)目的范圍）并允許查詢所有帳號的注冊項，也允許創(chuàng)建和終止帳號（3）允許一個顧客只詢問他自己的帳號的注冊項（4）允許系統(tǒng)的管理者詢問系統(tǒng)的注冊項和開關(guān)系統(tǒng)，但不允許讀或修改用戶的帳號信息（5）允許一個審計員讀系統(tǒng)中的任何數(shù)據(jù)，但不允許修改任何事情特點該策略陳述易于被非技術(shù)的組織策略者理解;同時也易于映射到訪問控制矩陣或基于組的策略陳述。同時具有基于身份策略的特征，也具有基于規(guī)則的策略的特征。在基于組或角色的訪問控制中，一個個人用戶可能是不只一個組或角色的成員，有時又可能有所限制。RBAC的優(yōu)勢便于授權(quán)管理，如系統(tǒng)管理員需要修改系統(tǒng)設(shè)置等內(nèi)容時，必須有幾個不同角色的用戶到場方能操作，從而保證了安全性。便于根據(jù)工作需要分級，如企業(yè)財務(wù)部門與非財力部門的員工對企業(yè)財務(wù)的訪問權(quán)就可由財務(wù)人員這個角色來區(qū)分。便于賦于最小特權(quán)，如即使用戶被賦于高級身份時也未必一定要使用，以便減少損失。只有必要時方能擁有特權(quán)。便于任務(wù)分擔，不同的角色完成不同的任務(wù)。便于文件分級管理，文件本身也可分為不同的角色，如信件、賬單等，由不同角色的用戶擁有。3訪問控制的實現(xiàn)機制訪問控制的一般實現(xiàn)機制和方法一般實現(xiàn)機制——

基于訪問控制屬性

——〉訪問控制表/矩陣基于用戶和資源分級（“安全標簽”）

——〉多級訪問控制常見實現(xiàn)方法——

訪問控制表ACLs（AccessControlLists)

訪問能力表（Capabilities)

授權(quán)關(guān)系表訪問控制矩陣任何訪問控制策略最終均可被模型化為訪問矩陣形式：行對應(yīng)于用戶，列對應(yīng)于目標，每個矩陣元素規(guī)定了相應(yīng)的用戶對應(yīng)于相應(yīng)的目標被準予的訪問許可、實施行為。訪問控制矩陣按列看是訪問控制表內(nèi)容按行看是訪問能力表內(nèi)容目標xR、W、OwnR、W、Own目標y目標z用戶a用戶b用戶c用戶dRRR、W、OwnR、WR、W

目標用戶

訪問控制表(ACL)

userAOwnRWOuserB

R

OuserCRWOObj1userAOwnRWOuserB

R

OuserCRWOObj1每個客體附加一個它可以訪問的主體的明細表。訪問能力表(CL)

Obj1OwnRWOObj2

R

OObj3

RWOUserA每個主體都附加一個該主體可訪問的客體的明細表。ACL、CL訪問方式比較(1)

ACLSsubjectclient(s,r)objectserverACL、CL訪問方式比較(2)

CLsubjectclient(o,r)objectserverACL、CL訪問方式比較(3)鑒別方面：二者需要鑒別的實體不同保存位置不同瀏覽訪問權(quán)限ACL:容易，CL:困難訪問權(quán)限傳遞ACL:困難，CL：容易訪問權(quán)限回收ACL:容易，CL：困難ACL和CL之間轉(zhuǎn)換ACL->CL：困難CL->ACL：容易ACL、CL訪問方式比較(4)多數(shù)集中式操作系統(tǒng)使用ACL方法或類似方式由于分布式系統(tǒng)中很難確定給定客體的潛在主體集，在現(xiàn)代OS中CL也得到廣泛應(yīng)用授權(quán)關(guān)系表

UserAOwnObj1UserARObj1UserAWObj1UserAWObj2UserARObj2

4OS的訪問控制設(shè)計操作系統(tǒng)的安全目標?Goal1:enablingmultipleuserssecurelyshareacomputer–Separationandsharingofprocesses,memory,files,devices,etc.?Howtoachieveit?–memoryprotection–processormodes–authentication–fileaccesscontrol操作系統(tǒng)的安全目標?Goal2:ensuresecureoperationinnetworkedenvironment?Howtoachieveit?–Authentication–AccessControl–SecureCommunication(usingcryptography)–Logging&Auditing–IntrusionPreventionandDetection–RecoveryCPU工作模式?Systemmode(privilegedmode,mastermode,supervisormode,kernelmode)–canexecuteanyinstructionandaccessanymemorylocations,e.g.,accessinghardwaredevices,enablinganddisablinginterrupts,changingprivilegedprocessorstate,accessingmemorymanagementunits,modifyingregistersforvariousdescriptortables.?Usermode–accesstomemoryislimited,cannotexecutesomeinstructions–cannot,e.g.,disableinterrupts,changearbitraryprocessorstate,accessmomorymanagementunits?Transitionfromusermodetosystemmodemustbedonethroughwelldefinedcallgates(systemcalls)KernelspacevsUserspace?PartoftheOSrunsinthekernelmodel–knownastheOSkernel?OtherpartsoftheOSrunintheusermode,includingserviceprograms(daemonprograms),userapplications,etc.–theyrunasprocesses–theyformtheuserspace(ortheuserland)?Differencebetweenkernelmodeandprocessesrunningasroot(orsuperuser,administrator)定時器TheOSprotectstheuseofcpubystartingatimerandpreventinguserprogramsfromchangingthetimer.ThisallowstheOStoabortanyprogramthatgoesintoaloop,intentionallyornot.內(nèi)存保護?Ensuresthatoneuser’sprocesscannotaccessother’smemory–fence–relocation–base/boundsregister–segmentation–paging–…?Operatingsystemanduserprocessesneedtohavedifferentprivileges共享內(nèi)存的保護Lockingmechanismscanbeusedinsharedmemoryprotection.Deadlocksmustbeovercomebytheconsistentorderingofsettingandreleasingthelocks.文件保護:windowsInwindows,thefundamentalbuildingblockofallOSdatastructureisanobject.Includedinthisgrouparefilesanddirectories.Eachobjecthasanowner.對對象的訪問需要主體出示訪問令牌.MajorNTFSgoalsHighreliabilityRecoverabilityDataredundancyandfaulttoleranceTransactionsupport.Highsecuritysecuritycanbeappliedtoanyobjectusinganaccesscontrollist.

Windows的安全組件安全標識符(sid)訪問令牌（Accesstoken)安全描述符訪問控制列表(ACL)訪問控制條目(ACE)安全標識符SID是分給所有用戶、組和計算機的統(tǒng)計上的唯一號碼。每次一個新的用戶或組被建立時，它就收到一個唯一的SID。每次windows安裝和建立時，一個新的SID就分給那個計算機了。SID唯一的標識用戶、組和計算機，不僅在特定的計算機上，也包括與其它計算機交互的時候。SID是安全結(jié)構(gòu)的基礎(chǔ)，所以了解它很重要。訪問令牌在用戶被驗證之后，分配給所有用戶訪問令牌。訪問令牌是系統(tǒng)訪問資源的“入場券”，只要用戶試圖訪問某種資源，就要向windows出示訪問令牌。然后系統(tǒng)對照請求對象的訪問控制列表檢查訪問領(lǐng)牌。如果被許可，則以適當?shù)姆绞秸J可訪問。訪問令牌只有在登錄過程期間才能被分發(fā)，所以對用戶訪問權(quán)限的任何改變，要求用戶先注銷，然后重新登錄后接收更新的訪問令牌。安全描述符Windows中每個對象有一個安全描述符，作為它屬性的一部分。安全描述符由對象所有者的SID、POSIX子系統(tǒng)使用的組的SID、自主訪問控制列表和系統(tǒng)訪問控制列表組成。對象所有者SIDDACLSACL訪問控制條目即訪問控制列表的表項每個訪問控制條目包含用戶或組的SID和分配給該對象的權(quán)限。禁止訪問優(yōu)先于其它權(quán)限管理工具為一個對象列出訪問權(quán)的時候總是按照用戶字母順序列的，所以管理員的訪問權(quán)限總在前面。LinuxfilesystemEXT.Linuxregardsallusersasbeingamemberofoneofthreesets.FileownerGroupusersEverybodyThefileownercansetthepermissionsonafilebyusingautilitycalledCHMOD.Filecontrolblocksystemwideopenfiletableper-processopenfiletable安全操作系統(tǒng)模型安全模型則是對安全策略所表達的安全需求的簡單、抽象和無歧義的描述。而模型的實現(xiàn)則描述了如何把特定的機制應(yīng)用于系統(tǒng)中，從而實現(xiàn)某一特定安全策略所需的安全保護。1972年，J.P.Anderson指出要開發(fā)安全系統(tǒng)，首先必須建立系統(tǒng)的安全模型，完成安全系統(tǒng)的建模之后，再進行安全內(nèi)核的設(shè)計與實現(xiàn)。主要安全模型BLP機密性安全模型Biba完整性安全模型Clark-Wilson完整性安全模型信息流模型RBAC安全模型DTE安全模型無干擾安全模型等。TCSEC定義的內(nèi)容沒有安全性可言，例如MSDOS不區(qū)分用戶，基本的訪問控制D級C1級C2級B1級B2級B3級A級有自主的訪問安全性，區(qū)分用戶標記安全保護，如SystemV等結(jié)構(gòu)化內(nèi)容保護，支持硬件保護安全域，數(shù)據(jù)隱藏與分層、屏蔽校驗級保護，提供低級別手段C2級安全標準的要求自主的訪問控制對象再利用必須由系統(tǒng)控制用戶標識和認證審計活動能夠?qū)徲嬎邪踩嚓P(guān)事件和個人活動只有管理員才有權(quán)限訪問Windows的基本管理措施

操作系統(tǒng)的安全管理措施主要有安裝系統(tǒng)補丁、用戶帳號及口令安全、文件系統(tǒng)安全、主機安全管理等組成。操作系統(tǒng)的安全管理核心是普通用戶安全管理和超級用戶安全管理。帳號和口令安全設(shè)置1.限制新建的帳號的登錄

2.限制帳戶的登錄時間

3.限制登錄到指定的計算機4.設(shè)置帳號失效期

5.設(shè)置密碼策略

windows主機安全

是指針對單個主機設(shè)置的安全規(guī)則，其主要措施有：使用安全策略

設(shè)置系統(tǒng)資源審核

關(guān)閉不必要的服務(wù)Windows2000的TerminalServices（終端服務(wù)）和IIS（Internet信息服務(wù)）等都可能給系統(tǒng)帶來安全漏洞。為了能夠在遠程方便的管理服務(wù)器，很多機器的終端服務(wù)都是開著的，如果開了，要確認已經(jīng)正確的配置了終端服務(wù)。有些惡意的程序也能以服務(wù)方式悄悄的運行服務(wù)器上的終端服務(wù)。要留意服務(wù)器上開啟的所有服務(wù)并每天檢查。Windows2000作為服務(wù)器可禁用的服務(wù)及其相關(guān)說明如表7-1所示。關(guān)閉不必要的端口關(guān)閉端口意味著減少功能，如果服務(wù)器安裝在防火墻的后面，被入侵的機會就會少一些，但是不可以認為高枕無憂了。用端口掃描器掃描系統(tǒng)所開放的端口，在Winnt\system32\drivers\etc\services文件中有知名端口和服務(wù)的對照表可供參考。該文件用記事本打開如圖7-7所示。思考題1.舉例說明訪問控制表和訪問能力表聯(lián)系和區(qū)別。2.訪問控制策略分為幾類,各有何特點。3.分析Windows系列產(chǎn)品在訪問控制方面的設(shè)計特點。4.分析Unix訪問控制的設(shè)計特點。5.什么是安全操作系統(tǒng)?6.查閱有關(guān)資料,對windows服務(wù)器的安全配置提出自己的建議.2024/6/1

第十二章

防火墻2024/6/1討論議題1、防火墻的概念2、防火墻的分類3、防火墻系統(tǒng)模型4、防火墻的發(fā)展5、創(chuàng)建防火墻的步驟6、防火墻產(chǎn)品與使用方法簡介2024/6/11、防火墻的概念2024/6/1防火墻定義防火墻是位于兩個(或多個)網(wǎng)絡(luò)間，實施網(wǎng)間訪問控制策略的一組組件的集合，它滿足以下條件：

內(nèi)部和外部之間的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過防火墻只有符合安全政策的數(shù)據(jù)流才能通過防火墻防火墻自身應(yīng)對滲透(peneration)免疫2024/6/1ServicecontrolDeterminesthetypesofInternetservicesthatcanbeaccessed,inboundoroutboundDirectioncontrolDeterminesthedirectioninwhichparticularservicerequestsareallowedtoflowUsercontrolControlsaccesstoaserviceaccordingtowhichuserisattemptingtoaccessitBehaviorcontrolControlshowparticularservicesareused(e.g.filtere-mail)Fourgeneraltechniquesforfirewalls2024/6/1為什么需要防火墻保護內(nèi)部不受來自Internet的攻擊為了創(chuàng)建安全域為了增強機構(gòu)安全策略2024/6/1對防火墻的基本要求保障內(nèi)部網(wǎng)安全保證內(nèi)部網(wǎng)同外部網(wǎng)的連通2024/6/1內(nèi)部網(wǎng)特點組成結(jié)構(gòu)復(fù)雜各節(jié)點通常自主管理信任邊界復(fù)雜，缺乏有效管理有顯著的內(nèi)外區(qū)別機構(gòu)有整體的安全需求最薄弱環(huán)節(jié)原則2024/6/1防火墻技術(shù)帶來的好處強化安全策略有效地記錄Internet上的活動隔離不同網(wǎng)絡(luò)，限制安全問題擴散是一個安全策略的檢查站為了提高安全性，限制或關(guān)閉了一些有用但存在安全缺陷的網(wǎng)絡(luò)服務(wù)，給用戶帶來使用的不便。防火墻不能對繞過防火墻的攻擊提供保護，如撥號上網(wǎng)等。不能對內(nèi)部威脅提供防護支持。受性能限制，防火墻對病毒傳輸保護能力弱。防火墻對用戶不完全透明，可能帶來傳輸延遲、性能瓶頸及單點失效。防火墻不能有效地防范數(shù)據(jù)內(nèi)容驅(qū)動式攻擊。作為一種被動的防護手段，防火墻不能自動防范因特網(wǎng)上不斷出現(xiàn)的新的威脅和攻擊。防火墻的局限性2024/6/12、防火墻分類2024/6/12、防火墻分類包過濾應(yīng)用代理狀態(tài)檢測2024/6/1防火墻與OSI/RM模型應(yīng)用層網(wǎng)關(guān)級表示層會話層傳輸層電路級網(wǎng)絡(luò)層路由器級鏈路層網(wǎng)橋級物理層中繼器級OSI/RM防火墻2024/6/1包過濾防火墻包過濾防火墻的工作原理采用這種技術(shù)的防火墻產(chǎn)品，通過在網(wǎng)絡(luò)中的適當位置對數(shù)據(jù)包進行過濾，根據(jù)檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所有的TCP端口號和TCP鏈路狀態(tài)等要素，然后依據(jù)一組預(yù)定義的規(guī)則，以允許合乎邏輯的數(shù)據(jù)包通過防火墻進入到內(nèi)部網(wǎng)絡(luò)，而將不合乎邏輯的數(shù)據(jù)包加以刪除。包過濾防火墻的工作機制2024/6/1靜態(tài)包過濾根據(jù)流經(jīng)該設(shè)備的數(shù)據(jù)包地址信息，決定是否允許該數(shù)據(jù)包通過判斷依據(jù)有(只考慮IP包)：數(shù)據(jù)包協(xié)議類型：TCP、UDP、ICMP、IGMP等源、目的IP地址源、目的端口：FTP、HTTP、DNS等IP選項：源路由、記錄路由等TCP選項：SYN、ACK、FIN、RST等其它協(xié)議選項：ICMPECHO、ICMPECHOREPLY等數(shù)據(jù)包流向：in或out數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)接口：eth0、eth1對每個經(jīng)過的IP包應(yīng)用安全規(guī)則集合檢查，決定是轉(zhuǎn)發(fā)或者丟棄該包過濾包是雙向的過濾規(guī)則基于與IP或TCP包頭中字段的匹配（如四元組：源IP地址、目的IP地址、源端口、目的端口）兩種缺省策略（丟棄或允許）包過濾防火墻工作流程2024/6/1包過濾示例堡壘主機內(nèi)部網(wǎng)外部網(wǎng)絡(luò)在上圖所示配置中，內(nèi)部網(wǎng)地址為：/24，堡壘主機內(nèi)網(wǎng)卡eth1地址為：，外網(wǎng)卡eth0地址為：3DNS地址為：要求允許內(nèi)部網(wǎng)所有主機能訪問外網(wǎng)WWW、FTP服務(wù)，外部網(wǎng)不能訪問內(nèi)部主機2024/6/1包過濾示例(續(xù))Setinternal=/24Denyipfrom$internaltoanyinviaeth0Denyipfromnot$internaltoanyinviaeth1Allowudpfrom$internaltoanydnsAllowudpfromanydnsto$internalAllowtcpfromanytoanyestablishedAllowtcpfrom$internaltoanywwwinviaeth1Allowtcpfrom$internaltoanyftpinviaeth1Allowtcpfromanyftp-datato$internalinviaeth0Denyipfromanytoany包過濾規(guī)則設(shè)置實例2024/6/1動態(tài)包過濾與狀態(tài)檢查技術(shù)動態(tài)包過濾：可以實現(xiàn)指定用戶數(shù)據(jù)流臨時通過防火墻，一般結(jié)合身份認證機制實現(xiàn)．可動態(tài)生成/刪除規(guī)則Checkpoint一項稱為“StatefulInspection”的技術(shù)根據(jù)維護的網(wǎng)絡(luò)會話連接信息來實現(xiàn)．2024/6/1包過濾技術(shù)的一些實現(xiàn)商業(yè)版防火墻產(chǎn)品個人防火墻路由器OpenSourceSoftwareIpfilter(FreeBSD、OpenBSD、Solaris，…)Ipfw(FreeBSD)Ipchains(Linux2.0.x/2.2.x)Iptables(Linux2.4.x)針對包過濾防火墻的攻擊IP欺騙：攻擊者偽造內(nèi)部網(wǎng)絡(luò)主機或授信網(wǎng)絡(luò)主機的IP地址，從而通過防火墻檢查?？梢酝ㄟ^數(shù)據(jù)包流向分析丟棄冒充內(nèi)部主機的數(shù)據(jù)包，但包過濾防火墻無法對付冒充授信外部主機的攻擊。源路由選擇規(guī)范：知曉路由器網(wǎng)關(guān)設(shè)置的人員可以定義源主機到達網(wǎng)絡(luò)目的地的路徑使相關(guān)數(shù)據(jù)包繞過防火墻。應(yīng)對這種攻擊的辦法是檢查每個包，如果發(fā)現(xiàn)啟用了源路由規(guī)范，則丟棄該包。微型碎片攻擊：攻擊者將IP數(shù)據(jù)包拆分成更小的包并推送其通過防火墻，寄希望于僅第一個拆分包會受到檢查，而其它包不經(jīng)檢查而通過。對付辦法是丟棄啟用了IP分片的說有數(shù)據(jù)包。2024/6/1優(yōu)點：簡單對用戶透明高速缺點：對于利用特定應(yīng)用的攻擊，防火墻無法防范配置安全規(guī)則比較困難缺少鑒別，不支持高級用戶認證日志功能有限包過濾防火墻2024/6/1代理防火墻的原理：代理防火墻運行在兩個網(wǎng)絡(luò)之間，它對于客戶來說像是一臺真的服務(wù)器一樣，而對于外界的服務(wù)器來說，它又是一臺客戶機。當代理服務(wù)器接收到用戶的請求后，會檢查用戶請求的站點是否符合公司的要求，如果公司允許用戶訪問該站點的話，代理服務(wù)器會像一個客戶一樣，去那個站點取回所需信息再轉(zhuǎn)發(fā)給客戶。代理防火墻2024/6/1應(yīng)用程序網(wǎng)關(guān)(代理服務(wù)器)客

戶網(wǎng)

關(guān)服務(wù)器網(wǎng)關(guān)理解應(yīng)用協(xié)議，可以實施更細粒度的訪問控制對每一類應(yīng)用，都需要一個專門的代理靈活性不夠發(fā)送請求轉(zhuǎn)發(fā)請求請求響應(yīng)轉(zhuǎn)發(fā)響應(yīng)應(yīng)用級網(wǎng)關(guān)（代理服務(wù)器）應(yīng)用級網(wǎng)關(guān)的工作機制2024/6/1應(yīng)用程序網(wǎng)關(guān)的一些實現(xiàn)商業(yè)版防火墻產(chǎn)品商業(yè)版代理(cache)服務(wù)器OpenSourceTISFWTK(Firewalltoolkit)ApacheSquid優(yōu)點：網(wǎng)關(guān)理解應(yīng)用協(xié)議，可以實施更細粒度的訪問控制，因此比包過濾更安全易于配置，界面友好不允許內(nèi)外網(wǎng)主機的直接連接只需要詳細檢查幾個允許的應(yīng)用程序?qū)M出數(shù)據(jù)進行日志和審計比較容易缺點：額外的處理負載，處理速度比包過濾慢對每一類應(yīng)用，都需要一個專門的代理靈活性不夠應(yīng)用級網(wǎng)關(guān)2024/6/1應(yīng)用層網(wǎng)關(guān)實現(xiàn)編寫代理軟件代理軟件一方面是服務(wù)器軟件但是它所提供的服務(wù)可以是簡單的轉(zhuǎn)發(fā)功能另一方面也是客戶軟件對于外面真正的服務(wù)器來說，是客戶軟件針對每一個服務(wù)都需要編寫模塊或者單獨的程序?qū)崿F(xiàn)一個標準的框架，以容納各種不同類型的服務(wù)軟件實現(xiàn)的可擴展性和可重用性客戶軟件軟件需要定制或者改寫對于最終用戶的透明性？協(xié)議對于應(yīng)用層網(wǎng)關(guān)的處理協(xié)議設(shè)計時考慮到中間代理的存在，特別是在考慮安全性，比如數(shù)據(jù)完整性的時候2024/6/1兩種防火墻技術(shù)

返回本節(jié)2024/6/1狀態(tài)監(jiān)視器防火墻（1）狀態(tài)監(jiān)視器防火墻的工作原理這種防火墻安全特性非常好，它采用了一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎，稱之為檢測模塊。檢測模塊在不影響網(wǎng)絡(luò)正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實施監(jiān)測，抽取部分數(shù)據(jù)，即狀態(tài)信息，并動態(tài)地保存起來作為以后指定安全決策的參考。2024/6/1狀態(tài)監(jiān)視器防火墻的優(yōu)缺點狀態(tài)監(jiān)視器的優(yōu)點：檢測模塊支持多種協(xié)議和應(yīng)用程序，并可以很容易地實現(xiàn)應(yīng)用和服務(wù)的擴充。它會監(jiān)測RPC和UDP之類的端口信息，而包過濾和代理網(wǎng)關(guān)都不支持此類端口。性能堅固狀態(tài)監(jiān)視器的缺點：配置非常復(fù)雜。會降低網(wǎng)絡(luò)的速度。2024/6/1復(fù)合式防火墻常見是代理服務(wù)器和狀態(tài)分析技術(shù)的組合具有對一切連接嘗試進行過濾的功能；提取和管理多種狀態(tài)信息的功能；智能化做出安全控制和流量控制的決策；提供高性能的服務(wù)和靈活的適應(yīng)性；具有網(wǎng)絡(luò)內(nèi)外完全透明的特性。2024/6/1３、防火墻系統(tǒng)模型2024/6/1篩選路由器優(yōu)點：簡單缺點：不具備監(jiān)視和日志功能，不隱藏內(nèi)部網(wǎng)絡(luò)信息。2024/6/1單宿主堡壘主機模型單宿主堡壘主機（屏蔽主機防火墻）模型由包過濾路由器和堡壘主機組成。該防火墻系統(tǒng)提供的安全等級比包過濾防火墻系統(tǒng)要高，因為它實現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層安全（代理服務(wù)）。所以入侵者在破壞內(nèi)部網(wǎng)絡(luò)的安全性之前，必須首先滲透兩種不同的安全系統(tǒng)。2024/6/1雙宿主堡壘主機模型雙宿主堡壘主機模型（屏蔽防火墻系統(tǒng)）可以構(gòu)造更加安全的防火墻系統(tǒng)。雙宿主堡壘主機有兩種網(wǎng)絡(luò)接口但是主機在兩個端口之間直接轉(zhuǎn)發(fā)信息的功能被關(guān)掉了。在物理結(jié)構(gòu)上強行將所有去往內(nèi)部網(wǎng)絡(luò)的信息經(jīng)過堡壘主機。2024/6/1屏蔽子網(wǎng)模型屏蔽子網(wǎng)模型用了兩個包過濾路由器和一個堡壘主機。它是最安全的防火墻系統(tǒng)之一，因為在定義了“中立區(qū)”(DMZ，DemilitarizedZone)網(wǎng)絡(luò)后，它支持網(wǎng)絡(luò)層和應(yīng)用層安全功能。網(wǎng)絡(luò)管理員將堡壘主機、信息服務(wù)器、Modem組，以及其它公用服務(wù)器放在DMZ網(wǎng)絡(luò)中。如果黑客想突破該防火墻那么必須攻破以上三個單獨的設(shè)備。2024/6/1屏蔽子網(wǎng)模式內(nèi)部路由器內(nèi)部網(wǎng)外部網(wǎng)絡(luò)堡壘主機外部路由器DMZ區(qū)周邊網(wǎng)2024/6/1其他結(jié)構(gòu)使用多堡壘主機合并內(nèi)部路由器與外部路由器合并堡壘主機與外部路由器合并堡壘主機與內(nèi)部路由器使用多臺內(nèi)部路由器使用多臺外部路由器使用多個周邊網(wǎng)絡(luò)使用雙重宿主主機與屏蔽子網(wǎng)2024/6/14、防火墻的發(fā)展2024/6/1防火墻的發(fā)展簡史 第一代防火墻：采用了包過濾（PacketFilter）技術(shù)。第二、三代防火墻：1989年，推出了電路層防火墻，和應(yīng)用層防火墻的初步結(jié)構(gòu)。第四代防火墻：1992年，開發(fā)出了基于動態(tài)包過濾技術(shù)的第四代防火墻。第五代防火墻：1998年，NAI公司推出了一種自適應(yīng)代理技術(shù)，可以稱之為第五代防火墻。2024/6/1防火墻的發(fā)展應(yīng)用層網(wǎng)關(guān)的進一步發(fā)展認證機制智能代理與其他技術(shù)的集成比如NAT、VPN(IPSec)、IDS，以及一些認證和訪問控制技術(shù)防火墻自身的安全性和穩(wěn)定性分布式防火墻2024/6/1第四代防火墻，具有安全操作系統(tǒng)的防火墻產(chǎn)品。1．雙端口或三端口的結(jié)構(gòu)

新一代防火墻產(chǎn)品具有兩個或三個獨立的網(wǎng)卡，內(nèi)外兩個網(wǎng)卡可不作IP轉(zhuǎn)化而串接于內(nèi)部網(wǎng)與外部網(wǎng)之間，另一個網(wǎng)卡可專用于對服務(wù)器的安全保護。

2．多級的過濾技術(shù)為保證系統(tǒng)的安全性和防護水平，第四代防火墻采用了三級過濾措施，并輔以鑒別手段。在分組過濾一級，能過濾掉所有的源路由分組和假冒的IP源地址；在應(yīng)用級網(wǎng)關(guān)一級，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測Internet提供的所用通用服務(wù)；在電路網(wǎng)關(guān)一級，實現(xiàn)內(nèi)部主機與外部站點的透明連接，并對服務(wù)的通行實行嚴格控制。第四代防火墻技術(shù)2024/6/13．Internet網(wǎng)關(guān)技術(shù)由于是直接串連在網(wǎng)絡(luò)之中，第四代防火墻必須支持用戶在Internet互連的所有服務(wù)，同時還要防止與Internet服務(wù)有關(guān)的安全漏洞。故它要能以多種安全的應(yīng)用服務(wù)器（包括FTP、Finger、mail、Ident、News、WWW等）來實現(xiàn)網(wǎng)關(guān)功能。為確保服務(wù)器的安全性，對所有的文件和命令均要利用“改變根系統(tǒng)調(diào)用（chroot）”作物理上的隔離。2024/6/14.VPN技術(shù)

VPN可以在防火墻與防火墻或移動的客戶端之間對所有網(wǎng)絡(luò)傳輸?shù)膬?nèi)容加密，建立一個虛擬通道，讓兩者感覺是在同一個網(wǎng)絡(luò)上，可以安全且不受拘束地互相存取。5．網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）第四代防火墻利用NAT技術(shù)能透明地對所有內(nèi)部地址作轉(zhuǎn)換，使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時允許內(nèi)部網(wǎng)絡(luò)使用自己編的IP地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個主機的通信，確保每個分組送往正確的地址。2024/6/16．審計和告警第四代防火墻產(chǎn)品的審計和告警功能十分健全，日志文件包括：一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理日志、進站代理、FTP代理、出站代理、郵件服務(wù)器、域名服務(wù)器等。告警功能會守住每一個TCP或UDP探尋，并能以發(fā)出郵件、聲響等多種方式報警。2024/6/17．用戶鑒別與加密為了降低防火墻產(chǎn)品在Telnet、FTP等服務(wù)和遠程管理上的安全風險，鑒別功能必不可少，第四代防火墻采用一次性使用的口令字系統(tǒng)來作為用戶的鑒別手段，并實現(xiàn)了對郵件的加密。8．用戶定制服務(wù)為滿足特定用戶的特定需求，第四代防火墻在提供眾多服務(wù)的同時，還為用戶定制提供支持，這類選項有：通用TCP，出站UDP、FTP、SMTP等類，如果某一用戶需要建立一個數(shù)據(jù)庫的代理，便可利用這些支持，方便設(shè)置。2024/6/1分布式防火墻傳統(tǒng)防火墻技術(shù)的幾個問題依賴于防火墻一端可信，另一端是潛在的敵人Internet的發(fā)展使從外部