信息安全概論第18講.ppt

1、在信息安全概論、第18屆2008年x月y日、6.3.3防火墻的應(yīng)用、實際應(yīng)用中，防火墻技術(shù)的應(yīng)用并不單一，而是結(jié)合多種技術(shù)構(gòu)建防火墻的體系結(jié)構(gòu)，實用高效的防火墻系統(tǒng)首先介紹堡壘主機(jī)的概念。 要塞主機(jī)如其名，位于內(nèi)部網(wǎng)絡(luò)的最外層，是像要塞一樣保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備。 要塞主機(jī)是防火墻體系結(jié)構(gòu)中暴露于互聯(lián)網(wǎng)、最容易受到攻擊的設(shè)備，因此必須特別關(guān)注其安全性。 1、防火墻架構(gòu)，(1)掩蔽路由器架構(gòu)是最簡單的架構(gòu)，掩蔽路由器(或主機(jī))，它作為內(nèi)外連接的唯一通道，對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行分組過濾。 其結(jié)構(gòu)參照附圖，(2)雙宿主主機(jī)結(jié)構(gòu)，(2)雙宿主主機(jī)結(jié)構(gòu)雙宿主主機(jī)是具有至少兩個網(wǎng)絡(luò)接口的主機(jī)，一個網(wǎng)絡(luò)接口連接內(nèi)

2、部網(wǎng)絡(luò)， 另一網(wǎng)絡(luò)接口連接外部網(wǎng)絡(luò)的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)不是直接的IP通信，而是通過雙重宿主主機(jī)的過濾、轉(zhuǎn)發(fā)方式進(jìn)行通信，雙重宿主主機(jī)向不同的服務(wù)提供代理。 雙宿主主機(jī)發(fā)揮堡壘主機(jī)的作用，其弱點是主機(jī)的脆弱性，入侵者突破堡壘主機(jī)，只要將其作為路由器，外部網(wǎng)絡(luò)的用戶就可以直接訪問內(nèi)部網(wǎng)絡(luò)。(2)雙宿主主機(jī)結(jié)構(gòu)，(3)掩蔽主機(jī)結(jié)構(gòu)掩蔽主機(jī)結(jié)構(gòu)=路由器隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)代理服務(wù)器堡主機(jī)部署在內(nèi)部網(wǎng)絡(luò)上。 在路由器上設(shè)置分組過濾規(guī)則，使堡壘主機(jī)成為外部網(wǎng)絡(luò)唯一可以訪問的主機(jī)，用路由器的分組過濾技術(shù)和堡壘主機(jī)的代理服務(wù)器技術(shù)保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。 屏蔽主機(jī)的防火墻體系結(jié)構(gòu)容易實現(xiàn)，并且比雙宿主主機(jī)體系結(jié)

3、構(gòu)安全性高，應(yīng)用廣泛。 (2)雙宿主主機(jī)結(jié)構(gòu)，(4)掩蔽子網(wǎng)結(jié)構(gòu)掩蔽子網(wǎng)結(jié)構(gòu)防火墻通過構(gòu)建外圍網(wǎng)絡(luò)將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔開。 周邊網(wǎng)絡(luò)：所隔離的子網(wǎng)在內(nèi)外之間形成“非軍事化區(qū)”(DeMilitarized Zone，DMZ )的隔離帶。 沒有要塞主機(jī)的屏蔽子網(wǎng)：通過2個屏蔽路由器將外圍網(wǎng)絡(luò)分別與內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)分離，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)可以訪問外圍網(wǎng)絡(luò)。 不允許通過外圍網(wǎng)絡(luò)進(jìn)行通信的堡壘帶主機(jī)的屏蔽子網(wǎng)：在屏蔽子網(wǎng)上設(shè)置堡壘主機(jī)，為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的通信提供代理服務(wù)，但是對堡壘主機(jī)的訪問必須通過2個屏蔽路由器。 如果攻擊者試圖完全破壞阻斷子網(wǎng)結(jié)構(gòu)的防火墻，則需要重新配置連接到外部網(wǎng)絡(luò)、外

4、圍網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的路由器，這大大增加了攻擊的難度。 如果進(jìn)一步禁止路由器訪問，或者只允許內(nèi)部網(wǎng)絡(luò)中的特定主機(jī)訪問，則攻擊將變得更加困難。 屏蔽子網(wǎng)結(jié)構(gòu)的防火墻具有很高的安全性，但需要的設(shè)備很多，費用很高，實施和管理復(fù)雜。 2、防火墻的限制、(2)雙宿主主機(jī)結(jié)構(gòu)、防火墻只是一種邊界安全保護(hù)系統(tǒng)，保證邊界的所有出口都有防火墻的保護(hù)，形成網(wǎng)絡(luò)邊界內(nèi)環(huán)境的保護(hù)。 防火墻只能保護(hù)邊界內(nèi)的環(huán)境，通信數(shù)據(jù)越過邊界后，防火墻的保護(hù)就會丟失。 公司內(nèi)部人員的攻擊沒有通過防火墻，所以防火墻也無法防護(hù)。 防火墻的配置是基于已知的攻擊知識而建立的，因此無法保護(hù)新的攻擊，需要頻繁更新配置。 防火墻對通信內(nèi)容的控制較弱，

5、因此對病毒、蠕蟲、特洛伊木馬等惡意代碼的保護(hù)能力較弱。6.3.4防火墻的發(fā)展趨勢，(2)雙宿主主機(jī)結(jié)構(gòu)，分布式防火墻通常位于網(wǎng)絡(luò)邊界上，為了解決無法監(jiān)視、控制網(wǎng)絡(luò)內(nèi)部糾正計算機(jī)之間的訪問的問題，提出了分布式防火墻的概念。 分布式防火墻是一種新的防火墻體系結(jié)構(gòu)，在內(nèi)外網(wǎng)絡(luò)邊界、內(nèi)部網(wǎng)各子網(wǎng)之間、密鑰主機(jī)等不同節(jié)點上分布式地配置防火墻，通過管理中心進(jìn)行統(tǒng)一的監(jiān)視、控制。 2 .網(wǎng)絡(luò)安全技術(shù)的集成和融合傳統(tǒng)的分組過濾技術(shù)僅檢查TCP/IP分組的報頭信息，不能檢查分組內(nèi)容中隱藏的惡意行為，例如垃圾郵件、不良信息、病毒、特洛伊木馬程序等除了檢查標(biāo)題信息外，還引入模式識別、人工智能等技術(shù)，識別數(shù)據(jù)包的內(nèi)容

6、，判斷是否具有不良信息和惡意代碼，阻止這些數(shù)據(jù)包通過防火墻。 另外，新的網(wǎng)絡(luò)協(xié)議和服務(wù)的出現(xiàn)，也促進(jìn)了防火墻技術(shù)相應(yīng)的處理機(jī)構(gòu)的發(fā)展。 由于IPv6的快速發(fā)展，網(wǎng)絡(luò)邊界變得更加復(fù)雜，基于IPv4的防火墻技術(shù)不一定能夠滿足需要。 防火墻技術(shù)是入侵檢測技術(shù)、病毒對策，因為攻擊技術(shù)不斷變化，新的病毒、蠕蟲、特洛伊木馬程序等惡意代碼陸續(xù)出現(xiàn)，單靠防火墻的單一技術(shù)無法滿足網(wǎng)絡(luò)安全需求與PKI等集成，變得更全面，3 .高性能硬件平臺技術(shù)防火墻的訪問和控制的矛盾也表現(xiàn)在安全性和效率上，一般安全性越高效率越低。 另一方面，網(wǎng)絡(luò)傳輸速度越來越快，應(yīng)用越來越豐富，防火墻作為網(wǎng)絡(luò)邊界的訪問控制設(shè)備已成為性能瓶頸。 借助高性能、多處理器和并行處理硬件平臺，有效提高防火墻的處理性能。 或者，通過修訂新的防火墻專用硬件平臺、技術(shù)體系結(jié)構(gòu)，可以解決日益嚴(yán)重的安全性和效率矛盾。 作業(yè)，1 .防火墻的技術(shù)是什么？ 說明各種技術(shù)的特征，展示適用的場景。 2 .說明VPN的技術(shù)特征。 3假設(shè)攻擊者可以通過外部