网络访问控制幻灯片.ppt

《网络访问控制幻灯片.ppt》由会员分享，可在线阅读，更多相关《网络访问控制幻灯片.ppt（84页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络访问控制第1页，共84页，编辑于2022年，星期二一、防火墙基本知识w1、防火墙的提出w2、什么是防火墙w3、防火墙发展回顾w4、防火墙功能w5、防火墙的局限性w6、争议及不足w7、防火墙的设计原则w8、防火墙的分类第2页，共84页，编辑于2022年，星期二企业上网企业上网 面面 临临 的的 安安 全全 问问 题之一题之一:内部网与互联网的有效隔离内部网与互联网的有效隔离解答解答:防火墙防火墙网络间的访问网络间的访问 -需隔离需隔离 FIREWALL1、防火墙的提出第3页，共84页，编辑于2022年，星期二2、什么是防火墙（1）w在一个受保护的企业内部网络与互联网间,用来强制执行强制执行企

2、业安全策略企业安全策略的一个或一组系统.第4页，共84页，编辑于2022年，星期二 w最初含义：当房屋还处于木制结构的时侯，人们将石块堆当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。w 定义：防火墙是位于两个信任程度不同的网络之间（如企防火墙是位于两个信任程度不同的网络之间（如企业内部网络和业内部网络和Internet之间）的软件或硬件设备的组合，它之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止

3、对重要信息资源的非法存取和访问以达到保护系策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。统安全的目的。2、什么是防火墙（2）第5页，共84页，编辑于2022年，星期二2、什么是防火墙（3）不可信网络不可信网络和服务器和服务器可信网络可信网络防火墙防火墙路由器路由器InternetIntranet可信用户可信用户不可信用户不可信用户 DMZ第6页，共84页，编辑于2022年，星期二目的：都是为了在被保护的内部网与不安全的非信任网络都是为了在被保护的内部网与不安全的非信任网络之间设立唯一的通道，以按照事先制定的策略控制信息之间设立唯一的通道，以按照事先制定的策略控制信息的流入和

4、流出，监督和控制使用者的操作。的流入和流出，监督和控制使用者的操作。典型情况：安全网络为企业内部网络，不安全网络为因特安全网络为企业内部网络，不安全网络为因特网。网。注意：但防火墙不只用于因特网，也可用于但防火墙不只用于因特网，也可用于Intranet各部各部门网络之间（内部防火墙）。例：财务部与市场部之间。门网络之间（内部防火墙）。例：财务部与市场部之间。2、什么是防火墙（4）第7页，共84页，编辑于2022年，星期二2、什么是防火墙（5）w防火墙可在链路层、网络层和应用层上实现；防火墙可在链路层、网络层和应用层上实现；w其功能的本质特征是隔离内外网络和对进出信息流实施访问控其功能的本质特征

5、是隔离内外网络和对进出信息流实施访问控制。隔离方法可以是基于物理的，也可以是基于逻辑的；制。隔离方法可以是基于物理的，也可以是基于逻辑的；w从网络防御体系上看，防火墙是一种被动防御的保护装置从网络防御体系上看，防火墙是一种被动防御的保护装置 。第8页，共84页，编辑于2022年，星期二4、防火墙功能（1）第9页，共84页，编辑于2022年，星期二4、防火墙功能（2）应用程序代理应用程序代理包过滤包过滤&状态检测状态检测用户认证用户认证NATNATVPNVPN日志日志IDSIDS与报警与报警内容过滤内容过滤基本功能模块第10页，共84页，编辑于2022年，星期二w网络的安全性通常是以网络服务的开

6、放性和灵活性为网络的安全性通常是以网络服务的开放性和灵活性为代价的。代价的。w防火墙的使用也会削弱网络的功能：防火墙的使用也会削弱网络的功能：由于防火墙的隔离作用，在保护内部网络的同时使它与外由于防火墙的隔离作用，在保护内部网络的同时使它与外部网络的信息交流受到阻碍；部网络的信息交流受到阻碍；由于在防火墙上附加各种信息服务的代理软件，由于在防火墙上附加各种信息服务的代理软件，增大了网络管理开销，还减慢了信息传输速率。增大了网络管理开销，还减慢了信息传输速率。5、防火墙的局限性（1）第11页，共84页，编辑于2022年，星期二 防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失：u

7、只能防范经过其本身的非法访问和攻击，对绕过防火墙的访只能防范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力；问和攻击无能为力；u 不能解决来自内部网络的攻击和安全问题；不能解决来自内部网络的攻击和安全问题；u 不能防止受病毒感染的文件的传输；不能防止受病毒感染的文件的传输；u 不能防止策略配置不当或错误配置引起的安全威胁；不能防止策略配置不当或错误配置引起的安全威胁；u 不能防止自然或人为的故意破坏；不能防止本身安全漏洞的不能防止自然或人为的故意破坏；不能防止本身安全漏洞的威胁。威胁。5、防火墙的局限性（2）第12页，共84页，编辑于2022年，星期二6、争议及不足w使用不便，认

8、为防火墙给人虚假的安全感使用不便，认为防火墙给人虚假的安全感w对用户不完全透明，可能带来传输延迟、瓶颈及单点失效对用户不完全透明，可能带来传输延迟、瓶颈及单点失效w不能替代墙内的安全措施不能替代墙内的安全措施n不能防范恶意的知情者不能防范恶意的知情者 n不能防范不通过它的连接不能防范不通过它的连接 n不能防范全新的威胁不能防范全新的威胁 n不能有效地防范数据驱动式的攻击不能有效地防范数据驱动式的攻击n当使用端当使用端-端加密时，其作用会受到很大的限制端加密时，其作用会受到很大的限制第13页，共84页，编辑于2022年，星期二6、争议及不足(2)内部提供的拨号服务绕过了防火墙第14页，共84页，

9、编辑于2022年，星期二7、防火墙的设计原则（1）w所有从内到外和从外到内的通信量都必须经过防火墙。w只有被认可的通信量通过本地安全策略进行定义后才允许传递w防火墙对于渗透是免疫的第15页，共84页，编辑于2022年，星期二7、防火墙的设计原则（2）wInternet防火墙可能会扮演两种截然相反的姿态n拒绝没有特别允许的任何事情n允许没有特别拒绝的任何事情第16页，共84页，编辑于2022年，星期二8、防火墙的分类（1）w根据防火墙组成组件的不同n软件防火墙n一般硬件防火墙n纯硬件防火墙w根据防火墙技术的实现平台nWindows防火墙nLinux防火墙 第17页，共84页，编辑于2022年，星

10、期二8、防火墙的分类（2）w根据防火墙被保护的对象的不同n主机防火墙（个人防火墙）n网络防火墙w根据防火墙自身网络性能和被保护网络系统的网络性能n百兆防火墙n千兆防火墙第18页，共84页，编辑于2022年，星期二8、防火墙的分类（3）w根据防火墙功能或技术特点的不同n主机防火墙n病毒防火墙n智能防火墙w根据防范方式和侧重点的不同n下一节重点讲述第19页，共84页，编辑于2022年，星期二二、防火墙技术w根据防范方式和侧重点的不同可分为几类：n包过滤防火墙n状态防火墙n应用网关nNAT技术n分布式防火墙n病毒防火墙第20页，共84页，编辑于2022年，星期二1、包过滤防火墙（1）第21页，共84

11、页，编辑于2022年，星期二1、包过滤防火墙（2）w包过滤防火墙对所接收的每个数据包做允许拒绝的决定。w包的进入接口和出接口如果有匹配并且规则允许该数据包，那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃。如果没有匹配规则，用户配置的缺省参数会决定是转发还是丢弃数据包。w包过滤防火墙使得防火墙能够根据特定的服务允许或拒绝流动的数据，因为多数的服务收听者都在已知的TCP/UDP端口号上。第22页，共84页，编辑于2022年，星期二1、包过滤防火墙（3）w数据包过滤一般要检查网络层的IP头和传输层的头：nIP源地址nIP目标地址n协议类型（TCP包、U

12、DP包和ICMP包）nTCP或UDP包的目的端口nTCP或UDP包的源端口nTCP控制标记，如SYN,ACK,FIN,PSH,RST和其他标记第23页，共84页，编辑于2022年，星期二第24页，共84页，编辑于2022年，星期二优点：优点：速度快，性能高速度快，性能高,灵活灵活 对用户透明对用户透明 实现包过滤几乎不再需要费用实现包过滤几乎不再需要费用 缺点：缺点：维护比较困难维护比较困难(需要对需要对TCP/IPTCP/IP了解）了解）安全性低（安全性低（IPIP欺骗等）欺骗等）只对某些类型的只对某些类型的TCP/IPTCP/IP攻击比较敏感攻击比较敏感 不支持用户的连接认证不支持用户的连

13、接认证 只有有限的认证功能只有有限的认证功能 随着过滤器数目的增加随着过滤器数目的增加,路由器的吞吐量会路由器的吞吐量会下降下降。1、包过滤防火墙（4）互连的物理介质互连的物理介质应用层应用层表示层表示层会话层会话层传输层传输层应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理物理层层网络层网络层数据链路层数据链路层物理层物理层网络层网络层数据链路层数据链路层物理层物理层第25页，共84页，编辑于2022年，星期二1、LAND攻击（1）第26页，共84页，编辑于2022年，星期二1、LAND攻击（2）第27页，共84页，编辑于2022年，星期二2、状态防火墙（

14、1）w 假设包过滤防火墙在Internet向内的接口上设置了一个规则，规定任何发送到主机A的外部流量均被拒绝。n有一台外部主机B试图访问主机A时 n当主机A想要访问外部设备B 第28页，共84页，编辑于2022年，星期二w 状态检测防火墙是在状态检测防火墙是在动态包过滤的基础上，增加了状态的基础上，增加了状态检测机制而形成的；检测机制而形成的；w 动态包过滤与普通包过滤相比，需要多做一项工作：对外出数动态包过滤与普通包过滤相比，需要多做一项工作：对外出数据包的据包的“身份身份”做一个标记，允许相同连接的数据包通过。做一个标记，允许相同连接的数据包通过。w 利用状态表跟踪每一个网络会话的状态，对

15、每一个数据包的利用状态表跟踪每一个网络会话的状态，对每一个数据包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态；态；2、状态防火墙（2）第29页，共84页，编辑于2022年，星期二2、状态防火墙（3）物理层物理层物理层物理层引擎引擎引擎引擎检测检测检测检测动态状态表动态状态表动态状态表动态状态表应用层应用层应用层应用层表示层表示层表示层表示层会话层会话层会话层会话层传输层传输层传输层传输层数据链路层数据链路层数据链路层数据链路层物理层物理层物理层物理层网络层网络层网络层网络层应用层应用层应用层应用层表示层表示层表示层表示层会话层

16、会话层会话层会话层传输层传输层传输层传输层数据链路层数据链路层数据链路层数据链路层网络层网络层网络层网络层应用层应用层应用层应用层表示层表示层表示层表示层会话层会话层会话层会话层传输层传输层传输层传输层数据链路层数据链路层数据链路层数据链路层物理层物理层物理层物理层网络层网络层网络层网络层第30页，共84页，编辑于2022年，星期二主要优点：高安全性（工作在数据链路层和网络层之间；高安全性（工作在数据链路层和网络层之间；“状态感状态感知知”能力）能力）高效性（对连接的后续数据包直接进行状态检查）高效性（对连接的后续数据包直接进行状态检查）状态防火墙具有更强的日志功能。状态防火墙具有更强的日志功

17、能。主要缺点：无状态的协议，例如无状态的协议，例如UPDUPD、ICMPICMP 状态表的大小。状态表的大小。2、状态防火墙（4）第31页，共84页，编辑于2022年，星期二3、应用网关（1）w代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。w不允许通信直接经过外部网和内部网。w将所有跨越防火墙的网络通信链路分为两段。w防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。第32页，共84页，编辑于2022年，星期二代理服务器示意图代理服务器示意图3、应用网关（2）第33页，

18、共84页，编辑于2022年，星期二3、应用网关（3）第34页，共84页，编辑于2022年，星期二3、应用网关（4）应用层应用层应用层应用层表示层表示层表示层表示层会话层会话层会话层会话层传输层传输层传输层传输层数据链路层数据链路层数据链路层数据链路层物理层物理层物理层物理层应用层应用层应用层应用层表示层表示层表示层表示层会话层会话层会话层会话层传输层传输层传输层传输层数据链路层数据链路层数据链路层数据链路层物理层物理层物理层物理层网络层网络层网络层网络层TelnetTelnetHTTPHTTPFTPFTP应用层应用层应用层应用层表示层表示层表示层表示层会话层会话层会话层会话层传输层传输层传输层

19、传输层数据链路层数据链路层数据链路层数据链路层物理层物理层物理层物理层网络层网络层网络层网络层网络层网络层网络层网络层第35页，共84页，编辑于2022年，星期二3、应用网关（5）第36页，共84页，编辑于2022年，星期二w 为何能对连接请求进行认证？为何能对连接请求进行认证？w 认证方式认证方式n用户名和口令n令牌卡信息n网络层源地址n生物信息3、应用网关（6）第37页，共84页，编辑于2022年，星期二主要优点：认证个人而非设备；认证个人而非设备；使黑客进行欺骗和实施使黑客进行欺骗和实施DosDos攻击比较困难攻击比较困难;能够监控和过滤应用层信息；能够监控和过滤应用层信息；能够提供详细

20、的日志；能够提供详细的日志；内部网络拓扑结构等重要信息不易外泄；内部网络拓扑结构等重要信息不易外泄；可以实施用户认证、详细日志、审计跟踪和数据加密等功可以实施用户认证、详细日志、审计跟踪和数据加密等功能和对具体协议及应用的过滤，安全性较高能和对具体协议及应用的过滤，安全性较高。3、应用网关（7）第38页，共84页，编辑于2022年，星期二主要缺点：w 针对不同的应用层协议必须有单独的应用代理，也不能自动针对不同的应用层协议必须有单独的应用代理，也不能自动支持新的网络应用；支持新的网络应用；w 有些代理还需要相应的支持代理的客户和服务器软件；用有些代理还需要相应的支持代理的客户和服务器软件；用户

21、可能还需要专门学习程序的使用方法才能通过代理访问户可能还需要专门学习程序的使用方法才能通过代理访问InternetInternet；w 详尽的日志功能性能下降。详尽的日志功能性能下降。改进：详尽的日志功能性能下降？w 将应用网关设置成只监控关键应用将应用网关设置成只监控关键应用3、应用网关（8）第39页，共84页，编辑于2022年，星期二4、NAT技术（1）w 网络地址转换/翻译（NAT，Network Address Translation）就是将一个）就是将一个IP地址用另一个地址用另一个IP地址代替。地址代替。wNAT的主要作用：的主要作用：隐藏内部网络的隐藏内部网络的IP地址；地址；解

22、决地址紧缺问题。解决地址紧缺问题。w 注意：NAT本身并不是一种有安全保证的方案，它仅仅本身并不是一种有安全保证的方案，它仅仅在包的最外层改变在包的最外层改变IP地址。所以通常要把地址。所以通常要把NAT集成在防火墙系统集成在防火墙系统中。中。第40页，共84页，编辑于2022年，星期二4、NAT技术（2）w NAT有有3种类型：静态种类型：静态NATstatic NAT)、NAT池池(pooled NAT)和端口和端口NAT(PAT)w 静态NAT：内部网络中的每个主机都被永久映射成外部网络中的：内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址；某个合法的地址；w NAT池：可用

23、的合法：可用的合法IP地址是一个范围，而内部网络地址的范地址是一个范围，而内部网络地址的范围大于合法围大于合法IP的范围，在做地址转换时，如果合法的范围，在做地址转换时，如果合法IP都被占都被占用，此时从内部网络的新的请求会由于没有合法地址可以分用，此时从内部网络的新的请求会由于没有合法地址可以分配而失败。配而失败。w PAT：把内部地址映射到外部网络的一个：把内部地址映射到外部网络的一个IP地址的不同端口地址的不同端口上。上。第41页，共84页，编辑于2022年，星期二4、NAT技术（3）w 注意：进行地址翻译时，优先还是进行地址翻译时，优先还是NAT，当合法，当合法IP地址分配地址分配完后

24、，对于新发起的连接会重复使用已分配过的合法完后，对于新发起的连接会重复使用已分配过的合法IP，要，要区别此次区别此次NAT与上次与上次NAT的数据包，就要通过端口地址加以区分。的数据包，就要通过端口地址加以区分。比较：比较：w 静态地址翻译：不需要维护地址转换状态表，功能简单，性静态地址翻译：不需要维护地址转换状态表，功能简单，性能较好；能较好；w NAT池和端口转换：必须维护一个转换表，以保证能够对返回池和端口转换：必须维护一个转换表，以保证能够对返回的数据包进行正确的反向转换，功能强大，但是需要的资源较多的数据包进行正确的反向转换，功能强大，但是需要的资源较多。第42页，共84页，编辑于2

25、022年，星期二源IP目的IP10.0.0.108202.112.108.50源IP目的IP202.112.108.3202.112.108.50源IP目的IP202.112.108.50202.112.108.3源IP目的IP202.112.108.5010.0.0.108防火墙网关NATNAT技术中将不合法技术中将不合法IPIP转换为转换为合法合法IPIP4、NAT技术（4）第43页，共84页，编辑于2022年，星期二InternetInternetIntranet防火墙防火墙路由器路由器10.0.0.1200.0.0.1200.0.0.2200.0.0.1将内部网地址转换成网关地址将内部

26、网地址转换成网关地址问题：所有返回数据包目的问题：所有返回数据包目的IP都是都是200.0.0.1，防火，防火墙如何识别并送回真正主机？墙如何识别并送回真正主机？方法：方法：1、防火墙记住所有发送包的目的端口；防火墙记住所有发送包的目的端口；2、防火墙记住所有发送包的、防火墙记住所有发送包的TCP序列号序列号4、NAT技术（5）第44页，共84页，编辑于2022年，星期二5、分布式防火墙（1）w前面提到的几种防火墙都属于边界防火墙（前面提到的几种防火墙都属于边界防火墙（Perimeter Perimeter FirewallFirewall），它无法对内部网络实现有效地保护；），它无法对内部网

27、络实现有效地保护；w随着人们对网络安全防护要求的提高，产生了一种新型的防火随着人们对网络安全防护要求的提高，产生了一种新型的防火墙体系结构墙体系结构分布式防火墙。近几年，分布式防火墙技术已分布式防火墙。近几年，分布式防火墙技术已逐渐兴起，并在国外一些大的网络设备开发商中得到实现，由于逐渐兴起，并在国外一些大的网络设备开发商中得到实现，由于其优越的安全防护体系，符合未来的发展趋势，这一技术一出现其优越的安全防护体系，符合未来的发展趋势，这一技术一出现就得到了许多用户的认可和接受。就得到了许多用户的认可和接受。第45页，共84页，编辑于2022年，星期二5、分布式防火墙（2）w 传统防火墙：边界防

28、火墙：边界防火墙缺陷：结构性限制；内部威胁；效率和故障缺陷：结构性限制；内部威胁；效率和故障w 分布式防火墙（广义）：一种新的防火墙体系结构（包含网络防：一种新的防火墙体系结构（包含网络防火墙、主机防火墙和管理中心）火墙、主机防火墙和管理中心）优势：在网络内部增加了另一层安全，有效抵御来自内部的优势：在网络内部增加了另一层安全，有效抵御来自内部的攻击，消除网络边界上的通信瓶颈和单一故障点，支持基于攻击，消除网络边界上的通信瓶颈和单一故障点，支持基于加密和认证的网络应用，与拓扑无关，支持移动计算。加密和认证的网络应用，与拓扑无关，支持移动计算。第46页，共84页，编辑于2022年，星期二6、病毒

29、防火墙（1）w防火墙技术本身应该说不适合于反病毒，由于商业上的需求，相关专家和研发单位对此还是进行了很多研究，并给出了较为有效的相关技术产品。w病毒防火墙有时也称为防病毒型网关(NAV Gateway)，综合了防火墙、虚拟专网和内容过滤等安全功能，构成了网络安全新理念。第47页，共84页，编辑于2022年，星期二6、病毒防火墙（2）w病毒防火墙系统具有以下一些功能特点：n系统在网络边缘阻挡病毒；n系统提供了一道安全防线，使得在它后面的所有主机都受到保护；n系统减轻了邮件服务器的负荷；n系统利用专用的平台，而不是标准主机。第48页，共84页，编辑于2022年，星期二三、防火墙体系结构w防火墙的体

30、系结构：防火墙系统实现所采用的架构及其实防火墙的体系结构：防火墙系统实现所采用的架构及其实现所采用的方法，它决定着防火墙的功能、性能以及使用现所采用的方法，它决定着防火墙的功能、性能以及使用范围。范围。w防火墙可以被设置成许多不同的结构，并提供不同级别防火墙可以被设置成许多不同的结构，并提供不同级别的安全，而维护运行的费用也各不相同。的安全，而维护运行的费用也各不相同。n双重宿主主机体系结构n屏蔽主机体系结构n屏蔽子网体系结构第49页，共84页，编辑于2022年，星期二1、双重宿主主机体系结构（1）w双重宿主主机体系结构是围绕双重宿主主机构筑的。w双重宿主主机至少有两个网络接口，它位于内部网络

31、和外部网络之间。w这种防火墙的最大特点是IP层的通信是被阻止的，两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。第50页，共84页，编辑于2022年，星期二Internet防火墙双重宿主主机内部网络内部网络双重宿主主机体系结构双重宿主主机体系结构1、双重宿主主机体系结构（2）第51页，共84页，编辑于2022年，星期二1、双重宿主主机体系结构（3）w双重宿主主机的特性：n安全至关重要（唯一通道），其用户口令控制安全是关键。n必须支持很多用户的访问（中转站），其性能非常重要。w缺点：双重宿主主机是隔开内外网络的唯一屏障，一旦它被入侵，内部网络便向入侵者敞开大门。第52页，共84页，

32、编辑于2022年，星期二2、屏蔽主机体系结构（1）w典型构成：包过滤路由器堡垒主机。n包过滤路由器配置在内部网和外部网之间，保证外部系统对内部网络的操作只能经过堡垒主机。n堡垒主机配置在内部网络上，是外部网络主机连接到内部网络主机的桥梁，它需要拥有高等级的安全。第53页，共84页，编辑于2022年，星期二2、屏蔽主机体系结构（2）第54页，共84页，编辑于2022年，星期二2、屏蔽主机体系结构（3）w屏蔽路由器可按如下规则之一进行配置：n允许内部主机为了某些服务请求与外部网上的主机建立直接连接（即允许那些经过过滤的服务）。n不允许所有来自外部主机的直接连接。w安全性更高，双重保护：实现了网络层

33、安全（包过滤）和应用层安全（代理服务）。w缺点：过滤路由器能否正确配置是安全与否的关键。如果路由器被损害，堡垒主机将被穿过，整个网络对侵袭者是开放的。第55页，共84页，编辑于2022年，星期二3、屏蔽子网体系结构（1）w屏蔽子网体系结构在本质上与屏蔽主机体系结构一样，但添加了额外的一层保护体系周边网络。堡垒主机位于周边网络上，周边网络和内部网络被内部路由器分开。w原因：堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机，能减少在堡垒主机被侵入的影响。第56页，共84页，编辑于2022年，星期二Internet周边网络内部网络外部路由器堡垒主机内部路由器屏蔽子网体系结构屏蔽子

34、网体系结构3、屏蔽子网体系结构（2）第57页，共84页，编辑于2022年，星期二3、屏蔽子网体系结构（3）w周边网络是一个防护层，在其上可放置一些信息服务器，它们是牺牲主机，可能会受到攻击，因此又被称为非军事区（DMZ）。w周边网络的作用：即使堡垒主机被入侵者控制，它仍可消除对内部网的侦听。第58页，共84页，编辑于2022年，星期二3、屏蔽子网体系结构（4）w堡垒主机n堡垒主机位于周边网络，是整个防御体系的核心。n堡垒主机可被认为是应用层网关，可以运行各种代理服务程序。n对于出站服务不一定要求所有的服务经过堡垒主机代理，但对于入站服务应要求所有服务都通过堡垒主机。第59页，共84页，编辑于2

35、022年，星期二3、屏蔽子网体系结构（5）w外部路由器（访问路由器）n作用：保护周边网络和内部网络不受外部网络的侵犯。w它把入站的数据包路由到堡垒主机。w防止部分IP欺骗，它可分辨出数据包是否真正来自周边网络，而内部路由器不可。w内部路由器（阻塞路由器）n作用：保护内部网络不受外部网络和周边网络的侵害，它执行大部分过滤工作。n外部路由器一般与内部路由器应用相同的规则。第60页，共84页，编辑于2022年，星期二三、物理隔离w物理隔离技术背景w物理隔离技术定义w物理隔离技术原理第61页，共84页，编辑于2022年，星期二1、物理隔离与防火墙技术（1）w根据安全等级不同将网络划分不同的部分w各个部

36、分之间采用物理、逻辑隔离或受限访问方式互连w物理隔离n网络间禁止有物理通信线路连接w逻辑隔离n协议转换w受限访问n防火墙第62页，共84页，编辑于2022年，星期二1、网络隔离与防火墙技术（2）w解决目前防火墙存在的根本问题：n防火墙对操作系统的依赖，因为操作系统也有漏洞；n TCP/IP的协议漏洞；n防火墙、内网和DMZ同时直接连接；n应用协议的漏洞，因为命令和指令可能是非法的；n文件带有病毒和恶意代码第63页，共84页，编辑于2022年，星期二1、网络隔离与防火墙技术（3）w物理隔离的指导思想与防火墙绝然不同：防火墙的思路是在保障互联互通的前提下，尽可能安全，而物理隔离的思路是在保证必须安

37、全的前提下，尽可能互联互通。w一个典型的物理隔离方案（处于完全隔离状态）第64页，共84页，编辑于2022年，星期二2、物理隔离的定义（1）w物理隔离技术的基本思想是:如果不存在与网络的物理连接，网络安全威胁便可大大降低。w物理隔离技术实质就是一种将内外网络从物理上断开，但保持逻辑连接的信息安全技术。第65页，共84页，编辑于2022年，星期二案例：政府网络w一般划分为3个安全等级不同的部分n内部保密专用网络，传送保密信息n业务网络，传送政府业务管理信息nInternet连接网络，建设网站或对外访问w保密网络要求跟其它部分物理隔离w其它部分可以在保证安全性情况下互连第66页，共84页，编辑于2

38、022年，星期二案例：证券交易网w一般划分为3个安全等级不同的部分n证券交易业务专用网络，传送证券业务信息n企业内综合管理网络，传送办公、财务、VoIP等企业内部管理信息nInternet连接网络，建设网站或对外访问w交易网络首先要保证可靠性和安全性，跟其它部分物理隔离，必要时可以采用逻辑隔离方式连接w其它可以在保证安全性情况下互连第67页，共84页，编辑于2022年，星期二2、物理隔离的定义（2）w物理隔离从广义上分为网络隔离和数据隔离，它们都称为物理隔离。n网络隔离n数据隔离第68页，共84页，编辑于2022年，星期二3、物理隔离技术原理数据二极管第69页，共84页，编辑于2022年，星期

39、二3、物理隔离技术原理存储池（1）w存储池交换技术是一种隔离网络之间连接的专用安全技术第70页，共84页，编辑于2022年，星期二3、物理隔离技术原理存储池（2）第71页，共84页，编辑于2022年，星期二3、物理隔离技术原理存储池（3）第72页，共84页，编辑于2022年，星期二3、物理隔离技术原理存储池（4）第73页，共84页，编辑于2022年，星期二3、物理隔离技术原理存储池（5）第74页，共84页，编辑于2022年，星期二3、物理隔离技术原理存储池（6）第75页，共84页，编辑于2022年，星期二3、物理隔离技术原理存储池（7）第76页，共84页，编辑于2022年，星期二3、物理隔离技

40、术原理存储池（8）w存储池交换技术是一种隔离网络之间连接的专用安全技术。w这种技术使用一个可交换方向的电子存储池。存储池每次只能与内外网络的一方相连。通过内外网络向存储池拷贝数据块和存储池的摆动完成数据传输。w这种技术实际上是一种数据镜像技术。它在实现内外网络数据交换的同时，保持了内外网络的物理断开。第77页，共84页，编辑于2022年，星期二3、物理隔离技术原理存储池（9）w每一次数据交换，隔离设备经历了数据的接受，存储和转发三个过程。由于这些规则都是在内存和内核力完成的，因此速度上有保证，可以达到100%的总线处理能力。w物理隔离的一个特征，就是内网与外网永不连接，内网和外网在同一时间最多

41、只有一个同隔离设备建立非TCP/IP协议的数据连接。其数据传输机制是存储和转发。w物理隔离的好处是明显的，即使外网在最坏的情况下，内网不会有任何破坏。修复外网系统也非常容易。第78页，共84页，编辑于2022年，星期二4、物理隔离技术分类第一代（1）w采用双机双卡的技术w建立2套独立的网络系统n交换机、服务器、布线、客户机n每人2台计算机w网络间数据不连通w缺点n使用不方便n投资成本增大第79页，共84页，编辑于2022年，星期二解决每人2台计算机的问题1台计算机，可以分时使用内网或外网关键部件硬盘共享部件显示器键盘/鼠标主板/电源原理切换开关方案4、物理隔离技术分类第一代（2）第80页，共8

42、4页，编辑于2022年，星期二4、物理隔离技术分类第二代（1）外网硬盘内网硬盘外网网线内网网线公共部件控制卡控制开关第81页，共84页，编辑于2022年，星期二4、物理隔离技术分类第二代（2）w优点n一台计算机，可以分时使用内外网n降低成本n控制卡简单w缺点n增加硬盘n增加网线n安装复杂，重新安装一个操作系统n内外网数据无法传递n切换时需要 断电、切换、重新启动第82页，共84页，编辑于2022年，星期二4、物理隔离技术分类第三代w核心产品是单硬盘隔离卡w工作原理：将原计算机的单个硬盘从物理层上分割为公共和安全两个分区。w单硬盘隔离卡有严密的硬盘数据保护功能n支持热启动切换两个网络；n并有较强的可扩展功能。第83页，共84页，编辑于2022年，星期二本章小结 防火墙和物理隔离是网络安全控制的两个主要方式。本章介绍了防火墙的技术、体系、实现方式以及物理隔离技术的定义、原理、分类和发展趋势。第84页，共84页，编辑于2022年，星期二