计算机网络安全课件第7章要点优秀PPT.ppt

《计算机网络安全课件第7章要点优秀PPT.ppt》由会员分享，可在线阅读，更多相关《计算机网络安全课件第7章要点优秀PPT.ppt（28页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 2006工程兵工程学院 计算机教研室计算机网络平安第七章防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全第第7章章 防火墙防火墙n防火墙概述；防火墙概述；n分组过滤器；分组过滤器；n堡垒主机；堡垒主机；n统一访问限制。统一访问限制。n防火墙是一种对不同网络之间信息传输过防火墙是一种对不同网络之间信息传输过程实施监测和限制的设备，尤其适用于内部程实施监测和限制的设备，尤其适用于内部网络和外部网络之间的连接处。网络和外部网络之间的连接处。防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全防火墙概述防火墙概述防火墙功能防火墙功能服务限制

2、服务限制不同网络间只允许传输与特定服务相关的信息流。不同网络间只允许传输与特定服务相关的信息流。方向限制方向限制不同网络间只允许传输与由特定网络中终端发起的会话不同网络间只允许传输与由特定网络中终端发起的会话相关的信息流。相关的信息流。用户限制用户限制不同网络间只允许传输与授权用户合法访问网络资源相不同网络间只允许传输与授权用户合法访问网络资源相关的信息流。关的信息流。行为限制行为限制不同网络间只允许传输与行为合理的网络资源访问过程不同网络间只允许传输与行为合理的网络资源访问过程相关的信息流。相关的信息流。防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全n假如不

3、与操作系统的平安访问机制相结合，个人防火墙的功能相对假如不与操作系统的平安访问机制相结合，个人防火墙的功能相对简洁；简洁；n有状态检查防火墙的功能已经涵盖电路层网关和应用层网关的功能，有状态检查防火墙的功能已经涵盖电路层网关和应用层网关的功能，但对终端用户是透亮的。但对终端用户是透亮的。防火墙概述防火墙概述防火防火墙分分类防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全n电路层网关对运输层连接进行监测和限制，包括连接发起者的身份认电路层网关对运输层连接进行监测和限制，包括连接发起者的身份认证、经过连接传输的证、经过连接传输的TCP报文的合理性等；报文的合理性等；

4、n应用层网关对特定应用相关的消息交换过程实施监测限制和，包括恳应用层网关对特定应用相关的消息交换过程实施监测限制和，包括恳求、响应过程，恳求、响应报文中各字段的正确性，传输内容的合理求、响应过程，恳求、响应报文中各字段的正确性，传输内容的合理性和合法性等。性和合法性等。防火墙概述防火墙概述电路路层网关工作机制网关工作机制先先认证用用户身份，确定是授身份，确定是授权用用户发起的起的TCP连接接时，再与服，再与服务器建器建立立TCP连接。接。防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全7.2 分组过滤器分组过滤器n无状态分组过滤器；无状态分组过滤器；n有状态分组

5、过滤器。有状态分组过滤器。n分组过滤器依据规则鉴别出一组多个字段值等于设定值分组过滤器依据规则鉴别出一组多个字段值等于设定值的的IP分组，并对其进行规定操作。这些字段值可以是分组，并对其进行规定操作。这些字段值可以是IP分组首部字段值，可以是运输层首部字段值（电路层网分组首部字段值，可以是运输层首部字段值（电路层网关功能），也可以是应用层消息的各个字段值（应用层关功能），也可以是应用层消息的各个字段值（应用层网关的功能）。有状态和无状态的区分在于无状态逐个网关的功能）。有状态和无状态的区分在于无状态逐个IP分组单独处理，有状态是基于会话，对属于相同会话分组单独处理，有状态是基于会话，对属于相同

6、会话的一组的一组IP分组进行联合处理，会话可以是分组进行联合处理，会话可以是TCP连接，也连接，也可以是应用层恳求、响应过程。因此，有状态分组过滤可以是应用层恳求、响应过程。因此，有状态分组过滤器的功能涵盖了电路层和应用层网关的大部分功能，但器的功能涵盖了电路层和应用层网关的大部分功能，但分组过滤器对终端用户是透亮的。分组过滤器对终端用户是透亮的。防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、分组过滤一、分组过滤防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全源源IPIP地址地址=193.1.1.0/24.and.=193.

7、1.1.0/24.and.目目的的IPIP地址地址=193.1.2.5/32.and.=193.1.2.5/32.and.目目的端口号的端口号=23=23，对和规则匹配的，对和规则匹配的IPIP分组实行的动作是：拒绝传输分组实行的动作是：拒绝传输 。一、分组过滤一、分组过滤n要求要求LAN 1LAN 1中终端不能通过中终端不能通过TELNETTELNET访问访问LAN 2LAN 2中服务器。中服务器。IPIP分组的源地址属于分组的源地址属于LAN1LAN1子子网地址，目的地址是网地址，目的地址是LAN2LAN2服服务器，端口号必需确定是务器，端口号必需确定是TELNETTELNET应用。应用。

8、n只允许只允许LAN2LAN2中终端访问中终端访问LAN1LAN1中的中的WEBWEB服务器。服务器。源源IPIP地址地址=193.1.1.3.and.=193.1.1.3.and.目的目的IPIP地址地址=193.1.2.0/24.and.=193.1.2.0/24.and.源端口号源端口号=80=80，对，对和规则匹配的和规则匹配的IPIP分组实行的动作是：允分组实行的动作是：允许传输许传输 。不允许和不允许和LAN1LAN1中终端通过中终端通过TELNETTELNET访问访问LAN2LAN2中服务器中服务器操作有关的信息经过路由操作有关的信息经过路由器器R1R1。防火墙防火墙防火墙防火墙

9、计算机网络安全计算机网络安全计算机网络安全计算机网络安全防火墙动态分组过滤防火墙动态分组过滤 只允许终端只允许终端A A用用TelnetTelnet访问终端访问终端B B，不，不允许终端允许终端B B访问终端访问终端A A。终端终端A A终端终端B B源源IPIP地址地址192.1.3.1.and.192.1.3.1.and.目的目的IPIP地地址址192.1.1.1.and.192.1.1.1.and.源端口号源端口号2323 只允许终端只允许终端B B向终端向终端A A回信，不允回信，不允许终端许终端B B主动向终端主动向终端A A写信。写信。通过寄信人和收信人地址、姓名通过寄信人和收信人

10、地址、姓名能区分这两种类型的信吗？能区分这两种类型的信吗？对终端对终端A A写给终端写给终端B B的信和终端的信和终端B B写给终写给终端端A A的信的内容进行的信的内容进行检查，确定是回信，检查，确定是回信，则通过，不是，则则通过，不是，则过滤。过滤。防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全防火墙动态分组检测防火墙动态分组检测动态分组检测的第一步动态分组检测的第一步是将网络划分成三个区，是将网络划分成三个区，然后对区间进行的访问然后对区间进行的访问过程全程监控过程全程监控。所谓全程监控是所谓全程监控是依据访问策略确依据访问策略确定信息流依次，定信息流依

11、次，然后对每一次信然后对每一次信息流传输操作进息流传输操作进行监控，看其是行监控，看其是否符合策略规定否符合策略规定的依次和动作。的依次和动作。防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全防火墙动态分组检测防火墙动态分组检测访问策略访问策略从从信信任任区区到到非非军军事事区区 源源IPIP地地址址=193.1.1.0/24=193.1.1.0/24 目目的的IPIP地地址址=193.1.2.5/32 HTTP=193.1.2.5/32 HTTP服务；服务；从从信信任任区区到到非非军军事事区区 源源IPIP地地址址=193.1.1.0/24=193.1.1.0

12、/24 目目的的IPIP地地址址=193.1.2.6 SMTP+POP3=193.1.2.6 SMTP+POP3服务；服务；从从信信任任区区到到非非信信任任区区 源源IPIP地地址址=193.1.1.0/24=193.1.1.0/24 目目的的IPIP地地址址=0.0.0.0=0.0.0.0 HTTP+FTP GETHTTP+FTP GET服务；服务；从从非非军军事事区区到到非非信信任任区区 源源IPIP地地址址=193.1.2.6/32=193.1.2.6/32 目目的的IPIP地地址址=0.0.0.0 SMTP=0.0.0.0 SMTP服务；服务；从从 非非 信信 任任 区区 到到 非非

13、军军 事事 区区 源源 IPIP地地 址址=0.0.0.0=0.0.0.0 目目 的的 IPIP地地 址址=193.1.2.5/32 HTTP GET=193.1.2.5/32 HTTP GET服务；服务；从非信任区到非军事区从非信任区到非军事区 源源IPIP地址地址=0.0.0.0 =0.0.0.0 目的目的IPIP地址地址=193.1.2.6/32 SMTP=193.1.2.6/32 SMTP服务。服务。访问策略和分组过滤不同，不是定访问策略和分组过滤不同，不是定义了允许或不允许传输的义了允许或不允许传输的IPIP分组，分组，而是定义了整个服务过程。如第一而是定义了整个服务过程。如第一项策

14、略表示允许进行由信任区中终项策略表示允许进行由信任区中终端发起的，对非军事区中的端发起的，对非军事区中的WEBWEB服服务器的访问。它允许符合这个访问务器的访问。它允许符合这个访问过程的过程的IPIP分组在信任区和非军事区分组在信任区和非军事区之间传输。之间传输。防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全防火墙动态分组检测防火墙动态分组检测策略对应的信息交换过策略对应的信息交换过程，由于是允许信任区中程，由于是允许信任区中终端发起对非信任区中终端发起对非信任区中WEBWEB服务器的访问，因此，服务器的访问，因此，首先允许通过的是符合信首先允许通过的是符合信

15、任区中终端发起建立任区中终端发起建立TCPTCP连接的过程的连接的过程的IPIP分组。然分组。然后允许通过的是和读取后允许通过的是和读取WEBWEB内容有关的内容有关的IPIP分组。分组。最终，允许通过的是释放最终，允许通过的是释放TCPTCP连接有关的连接有关的IPIP分组。分组。防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全防火墙防拒绝服务攻击防火墙防拒绝服务攻击防火墙通过只中继正防火墙通过只中继正常的建立常的建立TCPTCP连接恳求，连接恳求，来避开服务器遭遇来避开服务器遭遇SYNSYN泛滥攻击。泛滥攻击。防火墙防火墙防火墙防火墙计算机网络安全计算机网络

16、安全计算机网络安全计算机网络安全防火墙防拒绝服务攻击防火墙防拒绝服务攻击通过通过COOKIECOOKIE技术避技术避开防火墙被开防火墙被SYNSYN泛滥泛滥堵塞。堵塞。防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全7.3 堡垒主机堡垒主机n网络结构；网络结构；n堡垒主机工作机制；堡垒主机工作机制；n堡垒主机功能特性。堡垒主机功能特性。n堡垒主机是代理形式的应用层网关，由它屏蔽堡垒主机是代理形式的应用层网关，由它屏蔽内部网络资源，外部网络终端只能与堡垒主机建内部网络资源，外部网络终端只能与堡垒主机建立立TCP连接，相互交换信息，堡垒主机的平安功连接，相互交换信息

17、，堡垒主机的平安功能特别强大，不简洁被黑客攻陷，外部网络终端能特别强大，不简洁被黑客攻陷，外部网络终端须经堡垒主机访问内部网络资源，因此，只要保须经堡垒主机访问内部网络资源，因此，只要保证了堡垒主机的平安性，即可保证内部网络资源证了堡垒主机的平安性，即可保证内部网络资源的平安性。的平安性。防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全网络结构网络结构n单穴指堡垒主机只有一个接口连接内部网络；单穴指堡垒主机只有一个接口连接内部网络；n堡垒主机的平安性基于外部网络终端必需通过堡垒主机实现对内部网络堡垒主机的平安性基于外部网络终端必需通过堡垒主机实现对内部网络资源的

18、访问；资源的访问；n单穴堡垒主机把外部网络终端通过堡垒主机实现对内部网络资源的访问单穴堡垒主机把外部网络终端通过堡垒主机实现对内部网络资源的访问的保证完全基于无状态分组过滤器的传输限制功能。的保证完全基于无状态分组过滤器的传输限制功能。单穴堡穴堡垒主机主机结构构无状无状态分分组过滤器必需保器必需保证只允只允许目的目的IP地址地址193.1.1.1的的IP分分组进入内部网入内部网络，源，源IP地址地址193.1.1.1的的IP分分组离开离开内部网内部网络。即外部网。即外部网络终端只能和堡端只能和堡垒主机通信。主机通信。防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安

19、全n双穴指堡垒主机用一个接口连接内部网络，用另一个接口双穴指堡垒主机用一个接口连接内部网络，用另一个接口连接无状态分组过滤器，并通过无状态分组过滤器连接外连接无状态分组过滤器，并通过无状态分组过滤器连接外部网络；部网络；n这种网络结构保证外部网络必需通过堡垒主机才能访问内这种网络结构保证外部网络必需通过堡垒主机才能访问内部网络资源。部网络资源。网络结构网络结构双穴堡双穴堡垒主机主机结构构防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全n这种结构一是保证外部网络终端必需通过堡垒主机这种结构一是保证外部网络终端必需通过堡垒主机才能实现对内部网络资源的访问；才能实现对

20、内部网络资源的访问；n将内部网络依据平安等级划分为不同的网段，限制将内部网络依据平安等级划分为不同的网段，限制堡垒主机对重要内部网络资源的访问。堡垒主机对重要内部网络资源的访问。网络结构网络结构双无状双无状态分分组过滤器器结构构防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全堡垒主机的工作机制堡垒主机的工作机制n无状态分组过滤器保证外网终端只能与堡垒主机通信；无状态分组过滤器保证外网终端只能与堡垒主机通信；n外网终端和堡垒主机建立外网终端和堡垒主机建立TCP连接后，由堡垒主机完成对外网终端的身份认证和连接后，由堡垒主机完成对外网终端的身份认证和访问权限鉴别；访问

21、权限鉴别；n假如访问权限满足外网终端提出的资源访问要求，和假如访问权限满足外网终端提出的资源访问要求，和Web服务器建立服务器建立TCP连接；连接；n堡垒主机始终监测外网终端和堡垒主机始终监测外网终端和Web服务器之间的恳求、响应过程和传输内容。服务器之间的恳求、响应过程和传输内容。网网络结构构防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全n堡垒主机自身平安性必需得到保证；堡垒主机自身平安性必需得到保证；n由于堡垒主机是代理形式的应用层网关，所支持由于堡垒主机是代理形式的应用层网关，所支持的应用层服务应当能够动态增删；的应用层服务应当能够动态增删；n堡垒主机具

22、备认证用户身份的实力，因此，或者堡垒主机具备认证用户身份的实力，因此，或者自身由注册信息库，或者能够访问到注册信息库；自身由注册信息库，或者能够访问到注册信息库；n堡垒主机必需能够为不同的用户设置不同的访问堡垒主机必需能够为不同的用户设置不同的访问权限；权限；n堡垒主机必需能够具体记录外网终端访问内部网堡垒主机必需能够具体记录外网终端访问内部网络资源的过程。络资源的过程。堡垒主机的功能特性堡垒主机的功能特性防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全7.4 统一访问限制统一访问限制n系统结构；系统结构；n实现原理；实现原理；n应用实例。应用实例。n防火墙访问

23、限制策略能够限制属于不同网络的终端间的防火墙访问限制策略能够限制属于不同网络的终端间的信息交换过程，但这种限制一是基于终端（由信息交换过程，但这种限制一是基于终端（由IP地址标地址标识），二是静态，终端用户变更，或是终端平安状态变识），二是静态，终端用户变更，或是终端平安状态变更不会变更防火墙的平安访问限制策略，但实际应用过更不会变更防火墙的平安访问限制策略，但实际应用过程中，同一终端，当不同用户运用时，访问权限应当是程中，同一终端，当不同用户运用时，访问权限应当是不同的（访问限制策略基于用户），二是终端状态，尤不同的（访问限制策略基于用户），二是终端状态，尤其平安状态发生变更时，如检测到感染

24、病毒，或是遭遇其平安状态发生变更时，如检测到感染病毒，或是遭遇黑客攻击，其访问权限应当随之变更（防火墙访问限制黑客攻击，其访问权限应当随之变更（防火墙访问限制策略是动态的），统一访问限制（策略是动态的），统一访问限制（UAC）就是用于实现）就是用于实现基于用户、动态设置访问限制策略的机制。基于用户、动态设置访问限制策略的机制。防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全系统结构系统结构系统结构系统结构UAC代理，运行于代理，运行于终端的端的软件，一是通件，一是通过交交互方式互方式获得用得用户信息，并向平安限制器供信息，并向平安限制器供应用用户信息，二是向平安

25、限制器供信息，二是向平安限制器供应终端状端状态及用及用户为终端端设置的置的访问限制策略。限制策略。防火防火墙，策略，策略执行行部件，一是随部件，一是随时接接收平安限制器收平安限制器为其其制定的制定的访问限制策限制策略，二是依据略，二是依据访问限制策略限制策略调制制执行行机制。机制。平安限制器，一是建立完整的平安限制器，一是建立完整的访问限限制策略制策略库，二是接收，二是接收UAC代理供代理供应的的用用户信息和信息和终端状端状态，三是依据，三是依据访问策略策略库和用和用户信息及信息及终端状端状态制定制定对应的的访问限制策略，并将其限制策略，并将其传输给策策略略执行部件，如防火行部件，如防火墙。防

26、火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全实现原理实现原理UAC系统配置系统配置防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全n平安限制器建立平安策略库，基于用户设置访问平安限制器建立平安策略库，基于用户设置访问权限；权限；n防火墙访问限制策略基于网络地址确定终端的访防火墙访问限制策略基于网络地址确定终端的访问权限；问权限；n依据对用户身份的认证结果和终端的平安状态确依据对用户身份的认证结果和终端的平安状态确定用户终端的访问权限；定用户终端的访问权限；n将接入用户终端的交换机端口配置到对应的将接入用户终端的交换机端口配置到对

27、应的VLAN，防火墙访问限制策略对应当，防火墙访问限制策略对应当VLAN的网的网络地址的访问权限恰好是平安限制器确定的用户络地址的访问权限恰好是平安限制器确定的用户终端具有的访问权限，以此完成基于用户和动态终端具有的访问权限，以此完成基于用户和动态访问限制策略设置。访问限制策略设置。实现原理实现原理防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全n实现基于用户和动态设实现基于用户和动态设置访问权限的关键一是置访问权限的关键一是认证用户身份、获知终认证用户身份、获知终端平安状态。二是将连端平安状态。二是将连接用户终端的交换机端接用户终端的交换机端口动态配置为和用户

28、访口动态配置为和用户访问权限一样的问权限一样的VLAN；n平安限制器须要与交换平安限制器须要与交换机和用户终端交换信息，机和用户终端交换信息，802.1X及及RADIUS恰好恰好实现用户终端、交换机实现用户终端、交换机和平安限制器三者之间和平安限制器三者之间的通信问题，和交换机的通信问题，和交换机的动态配置问题；的动态配置问题；n这里，防火墙的访问限这里，防火墙的访问限制策略是静态的，因此，制策略是静态的，因此，平安限制器不须要动态平安限制器不须要动态配置防火墙的访问限制配置防火墙的访问限制策略。策略。实现原理实现原理防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络

29、安全应用实例应用实例n平安限制器必需完成对用户的身份认证，并将用户终端的平安限制器必需完成对用户的身份认证，并将用户终端的IP地址作为用户的身份标识地址作为用户的身份标识符，为了防止源符，为了防止源IP地址欺瞒攻击，要求建立用户和防火墙之间隧道模式的平安关联；地址欺瞒攻击，要求建立用户和防火墙之间隧道模式的平安关联；n防火墙必需动态配置允许防火墙必需动态配置允许IP地址为地址为12.1.1.1的外网终端访问内部网络服务器的访问限制的外网终端访问内部网络服务器的访问限制策略；策略；n平安限制器和用户之间通过平安限制器和用户之间通过HTTPS交换信息，平安限制器和防火墙之间通过专用平安交换信息，平

30、安限制器和防火墙之间通过专用平安传输协议信息。传输协议信息。防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全应用实例应用实例用用户和平安限制器之和平安限制器之间通通过HTTPS交交换信息信息过程。程。用用户和平安限制器之和平安限制器之间通通过TLS完成身份完成身份认证和平安参和平安参数数约定定过程。程。防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全应用实例应用实例实现远程用户动态接入的关键如下：实现远程用户动态接入的关键如下：用户和平安限制器之间平安传输认证信息、平安状态和隧道配用户和平安限制器之间平安传输认证信息、平安状态和隧道配置信息。置信息。平安限制器能够依据平安策略库和用户身份及终端状态信息生平安限制器能够依据平安策略库和用户身份及终端状态信息生成隧道配置信息和防火墙动态平安访问限制策略。成隧道配置信息和防火墙动态平安访问限制策略。平安限制器能够将动态平安访问限制策略传输给防火墙；平安限制器能够将动态平安访问限制策略传输给防火墙；用户和平安限制器之间通过用户和平安限制器之间通过HTTPS平安传输信息；平安传输信息；平安限制器和防火墙之间通过专用平安传输协议平安传输信息。平安限制器和防火墙之间通过专用平安传输协议平安传输信息。