网络访问控制.ppt

网络访问控制
13讲 信息安全风险评估
概述
什么是防火墙
是一种访问控制技术
是放置在两个网络之间的一组组件
是位于两个信任度不同的网络之间的软件或硬件设备的组合。
防火墙通过一组设备介入被保护对象和外部网络系统之间，对发生在被保护者和外部网络系统之间的网络通信进行有选择的限制，实现对被保护者的保护。
物理隔离的指导思想：在保证必须安全的前提下尽可能互联互通
13讲 信息安全风险评估
层次式防御的战略思想
Internet
交换机
路由器
主机
网络传输设备
网络边界
13讲 信息安全风险评估
Internet
1. 企业内联网
2. 部门子网
3. 分公司网络
13讲 信息安全风险评估
两个安全域之间通信流的唯一通道
安全域1
Host A
Host B
安全域2
Host C
Host D
UDP
Block
Host C
Host B
TCP
Pass
Host C
Host A
Destination
Protocol
Permit
Source
根据访问控制规则决定进出网络的行为
IT 领域使用的防火墙概念
13讲 信息安全风险评估
防火墙的访问控制手段
服务控制
方向控制
用户控制
行为控制
13讲 信息安全风险评估
防
火
墙
的
功能
过滤进出网络的数据
管理进出网络的访问行为
封堵某些禁止的业务
记录进出网络的信息和活动
对网络攻击进行检测和告警
13讲 信息安全风险评估
防火墙的缺陷
限制有用的网络服务
无法保护内部网络用户的攻击
无法防范通过防火墙以为的其他途径的攻击
无法完全防止传送已感染病毒的软件
无法防范数据驱动型攻击
13讲 信息安全风险评估
防火墙设计目标
内外网络之间传输的数据必须经过防火墙
只有安全策略允许的数据才能通过防火墙
防火墙本身不受攻击影响
13讲 信息安全风险评估
防火墙的姿态
拒绝没有特别允许的
允许没有特别拒绝的
防火墙的整体安全策略
作为总体安全策略的一部分，应避免攻击者绕过防火墙
防火墙的费用