访问控制与防火墙技术教学课件电子教案.pptx

《访问控制与防火墙技术教学课件电子教案.pptx》由会员分享，可在线阅读，更多相关《访问控制与防火墙技术教学课件电子教案.pptx（242页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第8章 访问控制与防火墙技术网络空间信息安全第第8 8章章 访问控制与防火墙技术访问控制与防火墙技术本章主要内容 8.1访问控制技术 8.2防火墙技术 8.3网络地址转换技术 8.4 防火墙双机热备技术 8.5 虚拟防火墙技术第8章 访问控制与防火墙技术3 访问控制是针对越权使用资源的防御措施，是网络空间安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非法访问。本章首先介绍了访问控制的基本功能和原理及访问控制策略实施原则，然后重点介绍Windows平台中的访问控制手段以及实施方法。 防火墙是一种隔离控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问

2、，也可以使用防火墙阻止专用信息从公司的网络中被非法输出。本章介绍了防火墙的定义与功能、防火墙的分类、防火墙转发原理、网络地址转换技术、防火墙双机热备技术、虚拟防火墙技术。8.1 访问控制技术 8.1.1 访问控制功能及原理 8.1.2 访问控制策略 8.1.3 访问控制的实现 8.1.4 Windows平台的访问控制手段第8章 访问控制与防火墙技术68.1 访问控制技术 访问控制（Access Control）即为判断使用者是否有权限使用，并防止对任何资源进行未授权的访问，从而使计算机网络系统资源在合法的范围内使用。访问控制是网络安全防范和保护的主要策略，它也是维护网络空间系统安全、保护网络空

3、间资源的重要手段。第8章 访问控制与防火墙技术78.1.1 访问控制功能及原理 访问控制的基本任务是保证对客体的所有直接访问都是被认可的。它通过对程序与数据的读、写、更改和删除的控制，保证系统的安全性和有效性，以免受偶然的和蓄意的侵犯。因此，访问控制的主要内容包括验证、安全审计和控制策略的实现。第8章 访问控制与防火墙技术88.1.1 访问控制功能及原理 这里的验证一般是指验证服务器对用户的识别以及用户对服务器的检验确认。访问控制是通过网络空间系统一个参考监视器来进行的；每一次用户对系统（或者服务器）内目标进行访问时，都由它来进行调节。用户对其系统进行访问时，参考监视器便能查看授权数据库，以确

4、定准备进行操作的用户是否确实得到了可进行此项操作的许可。第8章 访问控制与防火墙技术98.1.1 访问控制功能及原理 而数据库的授权则是由一个安全管理器负责管理和维护，管理器以组织的安全策略为基准来设置这些授权。用户还能够修改该授权数据库的一部分，例如，为访问者个人的文件设置授权，安全审计对系统中的相关行为进行管理并做下记录。第8章 访问控制与防火墙技术108.1.1 访问控制功能及原理 但是访问控制并不能完全解决网络空间系统的安全问题，它还必须与安全审计结合起来。 安全审计是指系统可以自动根据用户的访问权限，对网络空间环境下的有关活动或行为进行系统的、独立的检查验证，并做出相应评价与审计。

5、访问控制一般对网络空间系统中所有的用户需求和行为进行检验分析，以确保系统安全运行。它要求所有的用户需求和行为都必须登记并保存，以便今后对它们进行分析。第8章 访问控制与防火墙技术118.1.1 访问控制功能及原理 这里控制策略是通过合理地设定控制规则集合，确保用户对网络空间信息资源在授权范围内的合法使用的。其既要确保授权用户的合理使用，又要防止非法用户侵权进入系统，使重要或者敏感信息资源泄露。同时，其对合法用户，也不能越权行使权限以外的功能及访问范围。第8章 访问控制与防火墙技术128.1.1 访问控制功能及原理 访问控制机制可以分为两个层次，即物理访问控制与逻辑访问控制。 物理访问控制如符合

6、标准规定的用户、设备、门与锁和安全环境等方面的要求，而逻辑访问控制则是在数据、应用、网络系统和权限等层面进行实现的。例如，对银行、证券等重要金融机构的网站，网络空间信息安全重点关注的是二者兼顾，物理访问控制则主要由其他类型的安全部门来负责。第8章 访问控制与防火墙技术138.1.1 访问控制功能及原理 网络空间系统访问控制包括3个要素，即主体、客体和访问控制策略。 其一是主体S（Subject），它是指一个提出请求或要求的实体，是动作的发起者，但不一定是动作的执行者。主体可以是某个用户，也可以是用户启动的进程、服务和I/O设备。例如，一个执行两种方案的用户可以以任何一个方案的名义登记。这样，与

7、此用户对应的主体就有两个，它取决于用户正在执行哪一个方案。第8章 访问控制与防火墙技术148.1.1 访问控制功能及原理 其二是客体O（Object），它是接受其他实体访问的被动实体。客体的概念也很广泛，凡是可以被操作的信息、资源、对象都可以被认为是客体。在信息社会中，客体可以是信息、文件、记录、共享内存和管道等的集合体，也可以是网络上的硬件设施、无线通信中的终端，甚至一个客体可以包含另外一个客体。第8章 访问控制与防火墙技术158.1.1 访问控制功能及原理 其三是访问控制策略（Access Control Policy，ACP），主体对客体的操作行为集和约束条件集，如访问矩阵、访问控制表等

8、。控制策略实际上体现了一种授权行为，也就是客体对主体的权限允许。第8章 访问控制与防火墙技术168.1.2 访问控制策略 在网络空间访问控制策略是在系统安全策略级上表示授权，是对用户访问来如何控制、如何做出访问决策的高层指南。第8章 访问控制与防火墙技术178.1.2 访问控制策略 1安全策略的实施原则 在网络空间系统中，访问控制一般要完成两种任务：一是识别和确认访问系统的用户；二是决定该用户可以对某一系统资源进行何种类型的访问。因此，系统安全策略的实施要坚持3个基本原则： （1）最小特权原则 （2）最小泄漏原则 （3）多级安全策略第8章 访问控制与防火墙技术188.1.2 访问控制策略 2自

9、主访问控制策略 自主访问控制（Discretionary Access Control，DAC）又称为基于身份的安全策略（Identification-based Access Control Policies，IDBACP）是一种最普遍的访问控制安全策略。第8章 访问控制与防火墙技术198.1.2 访问控制策略 自主访问控制是基于对主体的识别来限制对客体访问的一种方式，在自主访问控制下，一个用户可以自主选择哪些用户能共享其文件。其基本特征是用户所创建的文件的访问权限由用户自己来控制，系统通过设置的自主访问控制策略为用户提供这种支持。第8章 访问控制与防火墙技术208.1.2 访问控制策略 3

10、强制访问控制策略 强制访问控制（Mandatory Access Control，MAC）也称为基于规则的安全策略，在基于身份的访问控制的基础上，增加了对资源的属性（安全属性）划分，规定不同属性下的访问权限，即系统强制主体服从访问控制政策。第8章 访问控制与防火墙技术218.1.2 访问控制策略 强制访问策略将每个用户及文件赋予一个访问级别，如最高秘密级、秘密级、机密级及无级别。其级别为 TSCU，系统根据主体和客体的敏感标记来决定访问模式。第8章 访问控制与防火墙技术228.1.2 访问控制策略 访问模式包括以下几种： （1）下读（Read Down）：用户级别大于文件级别的读操作。 （2）

11、上写（Write Up）：用户级别等于文件级别的写操作。 （3）下写（Write Down）：用户级别等于文件级别的写操作。 （4）上读（Read Up）：用户级别小于文件级别的读操作。第8章 访问控制与防火墙技术238.1.2 访问控制策略 强制访问控制策略的安全性比自主访问控制策略的安全性有了很大提高，但灵活性要差一些，在大型、复杂的系统中很难采用。第8章 访问控制与防火墙技术248.1.2 访问控制策略 4基于角色的访问控制策略 基于角色的访问控制（Role Based Access Control，RBAC）是指在网络空间访问控制系统中，按照用户所承担的角色的不同而给予不同的操作集。其

12、核心思想是将访问权限与角色相联系，通过给用户分配合适的角色，让用户与访问权限相联系。第8章 访问控制与防火墙技术258.1.2 访问控制策略 角色是根据系统内为完成各种不同的任务需要而设置的，根据用户在系统中的职权和责任来设定其角色。用户可以在角色间进行转换。系统可以添加、删除角色，还可以对角色的权限进行添加、删除。第8章 访问控制与防火墙技术268.1.2 访问控制策略 基于角色的访问控制是目前国际上流行的、先进的安全管理控制方法，它具有以下特点。 （1）RBAC将若干特定的用户集合和访问权限连接在一起，即与某种业务分工（如岗位、工种）相关的授权连接在一起，这样的授权管理相对于针对个体的授权

13、来说，可操作性和可管理性都要强得多。第8章 访问控制与防火墙技术278.1.2 访问控制策略 （2）在许多存取控制型系统中，是以用户组作为存取控制单位的。用户组与角色最主要的区别是，用户组是作为用户的一个集合来对待的，并不涉及它的授权许可；而角色既是一个用户的集合，又是一个授权的集合，而且这种集合具有继承性，新的角色可以在已有的角色的基础上进行扩展，并可以继承多个父角色。第8章 访问控制与防火墙技术288.1.2 访问控制策略 （3）与基于安全级别和类别纵向划分的安全控制机制相比，RBAC显示了较多的机动灵活的优点。特别显著的优点是，RBAC在不同的系统配置下可以显示不同的安全控制功能，既可以

14、构造具备自主存取控制类型的系统，又可以构造具备强制存取控制类型的系统，甚至可以构造同时兼备这两种类型的系统。第8章 访问控制与防火墙技术298.1.3 访问控制的实现 在网络空间访问控制策略是在系统安全策略级上表示授权，是对用户访问来如何控制、如何做出访问决策的高层指南。 一个系统安全策略建立的需要与目的是安全领域中非常广泛而繁杂的内容，在构建一个可以抵御风险的安全框架要涉及很多具体细节。系统安全策略的具体含义是在其前提下，具有一般性和普遍性，如何使安全策略的这种普遍性和人们所要分析的实际问题的特殊性相结合，即使安全策略与当前的具体应用紧密结合是人们面临的最主要的问题。第8章 访问控制与防火墙

15、技术308.1.3 访问控制的实现 1访问控制列表 访问控制列表（Access Control Lists，ACLs）是以文件为中心建立的访问权限表。目前，大多数PC、服务器和主机都使用ACL作为访问控制的实现机制。访问控制表的优点在于实现简单，任何得到授权的主体都可以有一个访问表，如授权用户A1的访问控制规则存储在文件File1中，A1的访问规则可以由A1下面的权限表ACLsA1来确定，权限表限定了用户A1的访问权限。 其优点是控制粒度比较小，适用于被区分的用户数比较少、且这些用户的授权情况比较稳定的情形。第8章 访问控制与防火墙技术318.1.3 访问控制的实现 2访问控制矩阵 访问控制矩

16、阵（Access Control Matrix，ACM）是通过矩阵形式表示访问控制规则和授权用户权限的方法；也就是说，对每个主体而言，其拥有对哪些客体的哪些访问权限；而对客体而言，又有哪些主体对客体可以实施访问；将这种关联关系加以阐述，就形成了控制矩阵。其中，特权用户或特权用户组可以修改主体的访问控制权限。访问控制矩阵的实现很易于理解，但是查找和实现起来有一定的难度，而且，如果用户和文件系统要管理的文件很多，那么控制矩阵将会成几何级数增长，这样对于增长的矩阵而言，会有大量的空余空间。第8章 访问控制与防火墙技术328.1.3 访问控制的实现 3访问控制能力列表 能力是访问控制中的一个重要概念，

17、它是指请求访问的发起者所拥有的一个有效标签，它授权标签表明的持有者可以按照何种访问方式访问特定的客体。访问控制能力表（Access Control Capabilitis Lists，ACCLs）是以用户为中心建立的访问权限表。例如，访问控制权限表ACCLsF1表明了授权用户UserA对文件File1的访问权限，UserAF表明了UserA对文件系统的访问控制规则集。因此，ACCLs的实现与ACLs正好相反。定义能力的重要作用在于能力的特殊性，如果赋予哪个主体具有一种能力，事实上是说明了这个主体具有了一定对应的权限。第8章 访问控制与防火墙技术338.1.3 访问控制的实现 4访问控制安全标签

18、列表 安全标签是限制和附属在主体或客体上的一组安全属性信息。安全标签的含义比能力更为广泛和严格，因为它实际上还建立了一个严格的安全等级集合。访问控制标签列表（Access Control Security Labels Lists，ACSLLs）是限定一个用户对一个客体目标访问的安全属性集合。安全标签能对敏感信息加以区分，这样就可以对用户和客体资源强制执行安全策略了，因此，强制访问控制经常会用到这种实现机制。第8章 访问控制与防火墙技术348.1.3 访问控制的实现 5基于口令的机制 基于口令的机制主要有以下几点。 （1）与目标的内容相关的访问控制：动态访问控制。 （2）多用户访问控制：当多个

19、用户同时提出请求时，如何做出授权决定。 （3）基于上下文的控制：在做出对一个目标的授权决定时依赖于外界的因素，如时间、用户的位置等。第8章 访问控制与防火墙技术358.1.4 Windows 平台的访问控制手段 网络空间的Windows 平台分为服务器版和工作站版，其核心特性、安全系统和网络设计都非常相似。 Windows 平台通过一系列的管理工具，以及用户账号、口令的管理，对文件、数据授权访问，执行动作的限制，以及对事件的审核达到C2级安全（系统审计保护级）。其主要特点就是自主访问控制，要求资源的所有必须能够控制对资源的访问。第8章 访问控制与防火墙技术368.1.4 Windows 平台的

20、访问控制手段 1Windows 平台的安全模型 Windows 平台采用的是微内核（Microkernel）结构和模块化的系统设计。有的模块运行在底层的内核模式上，有的模块则运行在受内核保护的用户模式上。 Windows 平台的安全模式由4部分构成： （1）登录过程（Login Process，LP）：接收本地用户或者远程用户的登录请求，处理用户信息，为用户做一些初始化工作。第8章 访问控制与防火墙技术378.1.4 Windows 平台的访问控制手段 （2）本地安全授权机构（Local Security Authority，LSA）：根据安全账号管理器中的数据处理本地或者远程用户的登录信息，

21、并控制审计和日志。 （3）安全账号管理器（Security Account Manager，SAM）：维护账号的安全性管理的数据库。 （4）安全引用监视器（Security Reference Monitor，SRM）：检查存取合法性，防止非法存取和修改。第8章 访问控制与防火墙技术388.1.4 Windows 平台的访问控制手段 2Windows 平台的访问控制过程 1）创建账号 当一个账号被创建时，Windows 平台系统为它分配一个安全标识（SID）。安全标识和账号唯一对应，在账号创建时创建、删除时删除，而且永不再用。安全标识与对应的用户和组的账号信息一起存储在SAM数据库中。第8章

22、访问控制与防火墙技术398.1.4 Windows 平台的访问控制手段 2）登录过程控制 每次登录时，用户应输入用户名、口令和希望登录的服务器/域等信息，登录主机把这些信息传送给系统的安全账号管理器，由安全账号管理器将这些信息与SAM数据库中的信息进行比较，如果匹配，服务器发给客户机或工作站允许访问的信息，记录用户账号的特权、主目录位置、工作站参数等信息，并返回用户的安全标识和用户所在组的安全标识。工作站为用户生成一个进程。第8章 访问控制与防火墙技术408.1.4 Windows 平台的访问控制手段 3）创建访问令牌 当用户登录成功后，本地安全授权机构（LSA）为用户创建一个访问令牌，包括用

23、户名、所在组、安全标识等信息。以后用户每新建一个进程，都将访问令牌复制作为该进程的访问令牌。第8章 访问控制与防火墙技术418.1.4 Windows 平台的访问控制手段 4）访问对象控制 当用户或者用户生成的进程要访问某个对象时，安全引用监视器（SRM）将用户/进程的访问令牌中的安全标识（SID）与对象安全描述符（NT为共享资源创建的一组安全属性，包括所有者安全标识、组安全标识、自主访问控制表、系统访问控制表和访问控制项）中的自主访问控制表进行比较，从而决定用户是否有权访问该对象。第8章 访问控制与防火墙技术428.1.4 Windows 平台的访问控制手段 在这个过程中应该注意：安全标识对

24、应账号的整个有效期，而访问令牌只对应某一次账号登录。 综上所述，对于用户而言，Windows 平台有以下几种管理手段：用户账号和用户管理、域名管理、用户组权限和共享资源权限。第8章 访问控制与防火墙技术438.2 防火墙技术 8.2.1 防火墙的定义与功能 8.2.2 防火墙的分类 8.2.3 防火墙转发原理 8.2.4 防火墙的安全策略及应用第8章 访问控制与防火墙技术448.2 防火墙技术 8.2.1 防火墙的定义与功能 防火墙的本义原是指古代人们房屋之间修建的一道墙，这道墙可以防止火灾发生的时候蔓延到其他的房屋。在现代网络空间系统中防火墙指的是一种由软件和硬件设备组合而成、在内部网（In

25、tranet）与外部网（Internet）之间、专用网与公共网之间的界面上构造的保护屏障；或者由两个信任程度不同的网络之间（如企业内部网与因特网之间）的软件与硬件设备组合的网关。第8章 访问控制与防火墙技术458.2.1 防火墙的定义与功能 它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，限制外界用户对内部网络的访问以及管理内部用户访问外部网络的权限的系统，防止对重要信息资源的非法存取和访问，以达到保护网络系统安全的目的。第8章 访问控制与防火墙技术468.2.1 防火墙的定义与功能第8章 访问控制与防火墙技术478.2.1 防火墙的定义与功能 防火墙系统主要功能可以归纳为如下几个

26、方面。 1防火墙是网络安全的屏障 一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，因此网络环境变得更安全。第8章 访问控制与防火墙技术488.2.1 防火墙的定义与功能 如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。第8章 访问控制与防火墙技术498.2.1 防火墙的

27、定义与功能 2防火墙可以强化网络安全的策略 通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份验证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如，在网络访问时，动态口令系统和其他的身份验证系统完全可以不必分散在各个主机上，而是集中在防火墙身上。第8章 访问控制与防火墙技术508.2.1 防火墙的定义与功能 3对网络存取和访问进行监控审计 如果所有的访问都经过防火墙，那么防火墙就能记录下这些访问并做出日志记录，同时能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另

28、外，收集一个网络的使用和误用情况也是非常重要的。这可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。第8章 访问控制与防火墙技术518.2.1 防火墙的定义与功能 4防止内部信息的外泄 通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节，如Finger、DNS 服务。第8章 访问控制与防火墙技术528.2.2 防火墙

29、的分类 如果从防火墙的软、硬件形式来分，防火墙可以分为软件防火墙与硬件防火墙。 防火墙按照访问控制方式进行分类可以分为包过滤防火墙、代理防火墙、状态检测防火墙。第8章 访问控制与防火墙技术538.2.2 防火墙的分类 1）硬件防火墙 最初的防火墙与平时所见到的集线器、交换机样，都属于硬件产品，如3Com公司的一款3Com SuperStack 3 防火墙。它在外观上与网络中使用的集线器和交换机类似，只是只有少数几个接口，分别用于连接内、外部网络，这一特点由防火墙的基本作用决定。从防火墙的硬件性能上来分，还可将其分为低端硬件防火墙、高端硬件防火墙和高端服务器防火墙3种类型。第8章 访问控制与防火

30、墙技术548.2.2 防火墙的分类 硬件防火墙市场中的低端产品是一些需要进行一定配置的即插即用设备，就像普通的桌面交换机一样。它适合在小型公司和较大企业的内部使用。它们一般提供静态筛选功能和基本的远程管理功能。 它的优点在于成本低及配置简单，即几乎不需要进行配置，即插即用。也正是这类防火墙的优点决定了它存在的缺点，低端硬件防火墙只提供基本的防火墙功能，无法以并行的方式进行冗余，所以处理高吞吐量连接有限，可能会出现瓶颈。第8章 访问控制与防火墙技术558.2.2 防火墙的分类 在高端硬件防火墙市场中，有适合企业或服务提供商的高性能、高适应性产品。它提供最好的保护，而不会降低网络的性能，还可以通过

31、添加第二个作为运行的备份防火墙，以获得可用性的提高。它还提供较高级别的入侵防护，同时对性能造成的影响最低，并将高端硬件防火墙连接在一起，以实现最佳的可用性和负载平衡。 另外，防火墙的硬件与软件均可以升级，以满足更高的防护要求。这其在硬件升级可能包括附加的以太网端口，而软件升级可能包括新入侵方法的检测。第8章 访问控制与防火墙技术568.2.2 防火墙的分类 高端服务器防火墙是将防火墙功能添加到高端服务器中，在标准软件和系统上提供可靠快速的保护。此方法的好处是使用熟悉的硬件或软件，可以减少库存项目，简化培训和管理，提供可靠性和扩展性。许多高端硬件防火墙产品是在运行行业标准操作系统和行业标准硬件平

32、台上实现的，因此在技术上和性能上与服务器防火墙有一点差异。第8章 访问控制与防火墙技术578.2.2 防火墙的分类 但是，因为操作系统仍然是可见的，所以服务器防火墙功能可以进行升级并且通过特殊技术使其具有更高的可用性和更高的性能。服务器防火墙适用于特殊的硬件或软件平台，因为防火墙使用相同的平台可以使管理任务更简单，并且缓存功能还非常有效。 它的优点是具有高性能，即在一个性能合适的服务器上运行时，这些服务器可以提供较高级别的性能；可用性、适应性和可扩展性好，因为这种防火墙运行在标准个人计算机硬件上。但是，服务器防火墙对硬件要求较高，如高端中央处理单元、内存和网络接口。第8章 访问控制与防火墙技术

33、588.2.2 防火墙的分类 2）软件防火墙 随着防火墙应用的逐步普及和计算机软件技术飞速的发展，为了满足不同层次用户对防火墙技术的需求，许多网络安全软件厂商开发出了基于纯软件的防火墙。软件防火墙运行于特定的计算机上，它需要用户预先安装好的计算机操作系统的支持，一般来说这台计算机系统就是整个网络空间的网关。第8章 访问控制与防火墙技术598.2.2 防火墙的分类 个人防火墙是软件防火墙中比较常见的一种，可为个人计算机系统提供简单的防火墙功能。目前常用的个人防火墙有360 防火墙、天网个人防火墙、瑞星个人防火墙等。 个人防火墙是安装在个人计算机系统上，而不是放置在网络边界的，因此个人防火墙关心的

34、不是一个网络到另外一个网络的安全，而是单个主机和与之相连接的主机或网络之间的安全。个人防火墙使用方便，配置简单，但也具有一定的局限性，其应用范围较小，且只支持Windows平台系统，功能相对来说要弱很多，并且安全性和并发连接处理能力较差。第8章 访问控制与防火墙技术608.2.2 防火墙的分类 作为网络空间防火墙的软件防火墙具有比个人防火墙更强的控制功能和更高的性能。它不仅支持Windows平台系统，而且多数支持UNIX平台系统或Linux平台系统，如十分著名的Check Point FireWall、Microsoft ISA Server 等。 软件防火墙与硬件防火墙相比，在性能上和抗攻击

35、能力上都比较弱，如果所在的网络环境中攻击频度不是很高，用软件防火墙就能满足要求。但如果是较大型的网络，就需要硬件防火墙来进行保护了。第8章 访问控制与防火墙技术618.2.2 防火墙的分类 3）包过滤型防火墙 包过滤型防火墙位于网络级与逻辑层的网络层（IP层），它一般由包检查模块实现，此模块工作在网络层和数据链路层之间，即TCP层和IP层之间，它要抢在操作系统和TCP层之前对IP包进行处理，即根据系统事先设定好的过滤逻辑，检查数据流中的每个数据包，再根据数据包的源地址、目标地址、包使用端口来决定整个包的命运。第8章 访问控制与防火墙技术628.2.2 防火墙的分类 包过滤型防火墙主要优点：一是

36、它对于用户来说是透明的，也就是说，它不需要用户名和密码来登录，这种防火墙速度快且易于维护，通常作为第一道防线；二是实现包过滤几乎不再需要费用（或只需极少的费用），因为这些特点都包含在标准的路由器软件中。第8章 访问控制与防火墙技术638.2.2 防火墙的分类 包过滤型防火墙主要缺点：一是防火墙的维护比较困难，定义数据包过滤器会比较复杂，因为网络管理员需要对各种因特网服务、包头格式及每个域的意义有非常深入的理解，才能将过滤规则集尽量定义的完善；二是只能阻止一种类型的IP欺骗，即外部主机伪装内部主机的IP，对于外部主机伪装其他可信任外部主机的IP 却不可阻止；第8章 访问控制与防火墙技术648.2

37、.2 防火墙的分类 三是不能提供有用的日志，日志功能被局限在第3 层和第4层的信息，如不能记录封装在HTTP传输报文中的应用层数据，这使用户发觉网络受攻击的难度加大，也就谈不上根据日志进行网络的优化、完善及追查责任了；四是任何直接经过路由器的数据包都有被用作数据驱动攻击的潜在危险；五是允许外部网络直接连接到内部网络的主机上，易造成敏感数据的泄露。第8章 访问控制与防火墙技术658.2.2 防火墙的分类 虽然包过滤型防火墙有上述缺点，但是在管理良好的小规模网络上，它能够正常地发挥其作用。它通常适用于以下几个方面：作为第一线防御（边界路由器）；当用包过滤就能完全实现安全策略并且验证不是一个问题的时

38、候；在要求最低安全性并要考虑成本的SOHO 网络中。第8章 访问控制与防火墙技术668.2.2 防火墙的分类 4）代理型防火墙 代理型防火墙源于人们对越来越牢不可靠的网络空间安全方法的需求。包过滤防火墙可以按照IP地址禁止未授权者的访问，但是它不适合Internet用来控制内部人员访问外界的网络，对于这样的Internet来说应用代理服务是更好的选择。所谓应用代理服务，即防火墙外的计算机系统应用层的连接是在两个终止于应用代理服务的访问者任何时候都不能与服务器建立直接的连接来实现的。第8章 访问控制与防火墙技术678.2.2 防火墙的分类 这样便成功地实现了防火墙内外计算机系统的隔离，即代理防火

39、墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发、TCP连接，应用层的协议会话过程必须符合代理的安全策略要求。第8章 访问控制与防火墙技术688.2.2 防火墙的分类 代理服务作用于网络的应用层，其实质是把内部网络和外部网络用户之间直接进行的业务由代理接管。代理检查来自用户的请求，用户通过安全策略检查后，该防火墙将代表外部用户与真正的服务器建立连接，转发外部用户请求，并将真正服务器返回的响应回送给外部用户。第8章 访问控制与防火墙技术698.2.2 防火墙的分类第8章 访问控制与防火墙技术708.2.2

40、防火墙的分类 代理防火墙能够完全控制网络信息的交换，控制会话过程，具有较高的安全性。其缺点主要表现在： 软件实现限制了处理速度，易于遭受拒绝服务攻击； 需要针对每一种协议开发应用层代理，开发周期长，而且升级很困难。第8章 访问控制与防火墙技术718.2.2 防火墙的分类 5）状态检测防火墙 状态检测是包过滤技术的扩展。基于连接状态的包过滤在进行数据包的检查时，不仅将每个数据包看成是独立单元，还要考虑前后报文的历史关联性。第8章 访问控制与防火墙技术728.2.2 防火墙的分类 状态检测防火墙基本原理简述如下： 状态检测防火墙使用各种会话表来追踪激活的TCP（Transmission Contr

41、ol Protocol）会话和UDP（User Datagram Protocol）伪会话，由访问控制列表决定建立哪些会话，数据包只有与会话相关联时才会被转发。其中UDP伪会话是在处理UDP协议包时为该UDP数据流建立虚拟连接（UDP是面向无连接的协议），以对UDP 连接过程进行状态监控的会话。第8章 访问控制与防火墙技术738.2.2 防火墙的分类 状态检测防火墙结构如图所示第8章 访问控制与防火墙技术748.2.2 防火墙的分类 状态检测防火墙在网络层截获数据包，然后从各应用层提取出安全策略所需要的状态信息，并保存到会话表中，通过分析这些会话表和与该数据包有关的后续连接请求来做出恰当决定。

42、第8章 访问控制与防火墙技术758.2.2 防火墙的分类 状态检测防火墙具有以下优点：后续数据包处理性能优异：状态检测防火墙对数据包进行ACL 检查的同时，可以将数据流连接状态记录下来，该数据流中的后续包则无需再进行ACL检查，只需根据会话表对新收到的报文进行连接记录检查即可。 状态检测防火墙采用实时连接状态监控技术，通过在会话表中识别诸如应答响应等连接状态因素，增强了系统的安全性。第8章 访问控制与防火墙技术768.2.3 防火墙转发原理 1包过滤技术 包过滤作为一种网络安全保护机制，主要用于对网络中各种不同的流量是否转发做一个最基本的控制。第8章 访问控制与防火墙技术778.2.3 防火墙

43、转发原理 包过滤防火墙对需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。实现包过滤的核心技术是访问控制列表。第8章 访问控制与防火墙技术788.2.3 防火墙转发原理 包过滤防火墙原理如图所示。第8章 访问控制与防火墙技术798.2.3 防火墙转发原理 2. 防火墙安全策略 防火墙安全策略是按一定规则控制设备对流量转发以及对流量进行内容安全一体化检测的策略。规则的本质是包过滤。 防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击，但是同时还必须允许两个网络之间可以进行合法的通信。安全策略的作用就是对通过防火墙的数据流进行检验，符合安全策

44、略的合法数据流才能通过防火墙。第8章 访问控制与防火墙技术808.2.3 防火墙转发原理 3. 防火墙安全策略的原理 防火墙安全策略定义数据流在防火墙上的处理规则，防火墙根据规则对数据流进行处理。因此，防火墙安全策略的核心作用是：根据定义的规则对经过防火墙的流量进行筛选，由关键字确定筛选出的流量如何进行下一步操作。第8章 访问控制与防火墙技术818.2.3 防火墙转发原理 防火墙安全策略原理如图所示。第8章 访问控制与防火墙技术828.2.3 防火墙转发原理 防火墙安全策略作用：根据定义的规则对经过防火墙的流量进行筛选，并根据关键字确定筛选出的流量如何进行下一步操作。第8章 访问控制与防火墙技

45、术838.2.3 防火墙转发原理 4. 防火墙域间转发 早期包过滤防火墙采取的是“逐包检测”机制，即对设备收到的所有报文都根据包过滤规则每次都进行检查以决定是否对该报文放行。这种机制严重影响了设备转发效率，使包过滤防火墙成为网络中的转发瓶颈。第8章 访问控制与防火墙技术848.2.3 防火墙转发原理 于是越来越多的防火墙产品采用了“状态检测”机制来进行包过滤。“状态检测”机制以流量为单位来对报文进行检测和转发，即对一条流量的第一个报文进行包过滤规则检查，并将判断结果作为该条流量的“状态”记录下来。对于该流量的后续报文都直接根据这个“状态”来判断是转发（或进行内容安全检测）还是丢弃。这个“状态”

46、就是我们平常所述的会话表项。第8章 访问控制与防火墙技术858.2.3 防火墙转发原理 防火墙一般是检查IP报文中的五个元素，又称为“五元组”，即源IP地址和目的IP地址，源端口号和目的端口号，协议类型。通过判断IP数据报文的五元组，就可以判断一条数据流相同的IP数据报文。下一代防火墙除了检测五元组，还会检测报文的用户、应用和时间段等。第8章 访问控制与防火墙技术868.2.3 防火墙转发原理 防火墙域间转发原理图如图所示。第8章 访问控制与防火墙技术878.2.3 防火墙转发原理 5. 查询和创建会话 查询和创建会话对于已经存在会话表的报文的检测过程比没有会话表的报文要短很多。而通常情况下，

47、通过对一条连接的首包进行检测并建立会话后，该条连接的绝大部分报文都不再需要重新检测。这就是状态检测防火墙的“状态检测机制”相对于包过滤防火墙的“逐包检测机制”的改进之处。这种改进使状态检测防火墙在检测和转发效率上有迅速提升。第8章 访问控制与防火墙技术888.2.3 防火墙转发原理第8章 访问控制与防火墙技术89查询和创建会话原理如图8.8所示8.2.3 防火墙转发原理 6. 状态检测机制 状态检测机制开启状态下，只有首包通过设备才能建立会话表项，后续包直接匹配会话表项进行转发。状态检测机制关闭状态下，即使首包没有经过设备，后续包只要通过设备也可以生成会话表项。第8章 访问控制与防火墙技术90

48、8.2.3 防火墙转发原理 状态检测机制如图所示第8章 访问控制与防火墙技术918.2.3 防火墙转发原理 7. 会话表项 会话是状态检测防火墙的基础，每一个通过防火墙的数据流都会在防火墙上建立一个会话表项，以五元组（源目的IP地址、源目的端口、协议号）为Key值，通过建立动态的会话表提供域间转发数据流更高的安全性。下一代防火墙在五元组基础上增加用户、应用字段扩展为七元组。 下一代防火墙会话表包括七个元素：源IP地址、源端口、目的IP地址、目的端口、协议号、用户、应用。第8章 访问控制与防火墙技术928.2.3 防火墙转发原理 会话表项原理如图所示第8章 访问控制与防火墙技术938.2.3 防

49、火墙转发原理 8. 查看会话表信息 显示会话表简要信息 display firewall session table，如图所示。第8章 访问控制与防火墙技术948.2.3 防火墙转发原理 查看会话表信息命令： display firewall session table命令输出信息描述。 current total sessions: 当前会话表数统计 telnet/http: 协议名称 VPN:public-public: VPN实例名称，表示方式为：源方向-目的方向 192.168.3.1:2855-192.168.3.2:23: 会话表信息第8章 访问控制与防火墙技术958.2.3 防火

50、墙转发原理 显示会话表详细信息 display firewall session table verbose，如图所示第8章 访问控制与防火墙技术968.2.3 防火墙转发原理 display firewall session table verbose命令输出信息描述。 current total sessions: 当前会话表数统计 http: 协议名称 VPN:public-public: VPN实例名称，表示方式为：源方向-目的方向 ID: 当前会话ID zone:trust-local:会话的安全区域，表示方式为：源安全区域-目的安全区域 TTL:该会话表项总的生存时间 Left:该