网络访问控制.ppt

概述
什么是防火墙
是一种访问控制技术
是放置在两个网络之间的一组组件
是位于两个信任度不同的网络之间的软件或硬件设备的组合。
防火墙通过一组设备介入被保护对象和外部网络系统之间，对发生在被保护者和外部网络系统之间的网络通信进行
安全网域
Host C
Host D
UDP
Block
Host C
Host B
TCP
Pass
Host C
Host A
Destination
Protocol
Permit
Source
数据包
数据包
数据包
数据包
数据包
查找对应的控制策略
拆开数据包
根据策略决定如何处理该数据包
控制策略
数据包
过滤依据主要是TCP/IP报头里面的信息，不能对应用层数据进行处理
数据
TCP报头
IP报头
分组过滤判断信息
包过滤原理
网络安全 第13讲 信息安全风险评估
第十四页，共四十七页。
数据包过滤
一般要检查网络层的IP头和传输层的头：
IP源地址
IP目标地址
协议类型（TCP包、UDP包和ICMP包）
TCP或UDP包的目的端口
TCP或UDP包的源端口
ICMP消息类型
TCP包头的ACK位
网络安全 第13讲 信息安全风险评估
第十五页，共四十七页。
包过滤防火墙
优点
处理包的速度快
基本不需要额外的费用就可以实现包过滤
防火墙对用户透明
网络安全 第13讲 信息安全风险评估
第十六页，共四十七页。
包过滤防火墙
缺点
定义过滤器、维护较困难
只能阻止外部主机伪装成内部主机的IP地址
直接经过路由器的数据包有可能被利用作数据驱动式攻击
不支持有效的用户认证
不能提供日志
过滤器数量增加会导致性能下降
无法对网络中的信息进行全面的控制
网络安全 第13讲 信息安全风险评估
第十七页，共四十七页。
状态检测技术
在包过滤的同时，检查数据包之间的关联性、数据包中动态变化的状态码。
综合了多种防火墙功能，检查OSI七层信息。
网络安全 第13讲 信息安全风险评估
第十八页，共四十七页。
应用层代理
代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。
将所有跨越防火墙的网络通信链路分为两段，不允许通信直接经过外部网和内部网。
外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。
网络安全 第13讲 信息安全风险评估
第十九页，共四十七页。
应用层代理
代理工作方式
网络安全 第13讲 信息安全风险评估
第二十页，共四十七页。
应用层代理
客
户
网
关
服务器
发送请求
转发请求
请求响应
转发响应
网关理解应用协议，可以实施更细粒度的访问控制
对每一类应用，都需要一个专门的代理
灵活性不够
网络安全 第13讲 信息安全风险评估
第二十一页，共四十七页。
应用层代理
使得网络管理员能够实现比包过滤路由器更严格的安全策略。
不用依赖包过滤工具来管理Internet服务在防火墙系统中的进出，而是采用为每种所需服务而安装在网关上特殊代码（代理服务）的方式来管理Internet服务。
如果网络管理员没有为某种应用安装代理编码，那么该项服务就不被支持并不能通过防火墙系统来转发。
代理可以配置成只支持网络管理员认为必须的部分功能。
网络安全 第13讲 信息安全风险评估
第二十二页，共四十七页。
应用层代理
应用层代理的一些实现
商业版防火墙产品
商业版代理(cache)服务器
Open Source
TIS FWTK(Firewall Toolkit)
Apache
Squid
网络安全 第13讲 信息安全风险评估
第二十三页，共四十七页。
地址翻译技术NAT
目的
解决IP地址空间不足问题
向外界隐藏内部网结构
方式
M-1：多个内部网地址翻译到1个IP地址
1-1：简单的地址翻译
M-N：多个内部网地址翻译到N个IP地址池
网络安全 第13讲 信息安全风险评估
第二十四页，共四十七页。
地址翻译技术NAT
网络安全 第13讲 信息安全风险评估
第二十五页，共四十七页。
地址翻译技术NAT
网络安全 第13讲 信息安全风险评估
第二十六页，共四十七页。
地址翻译技术NAT
配置共享IP地址
当需要允许内部用户访问Internet，但又没有足够的合法IP地址时，可以使用NAT配置共享IP地址。
配置在Internet上发布的服务器
当需要将内部设备发布到Internet上时，可以使用配置在Internet上发布的服务器的NAT转换方式。