第3章访问控制与防火墙技术

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,退出,第3章,访问控制与防火墙技术,网络安全技术,学习目的：,了解,访问控制技术,的基本概念,熟悉,防火墙技术基础,初步掌握,防火墙安全设计策略,了解防火墙攻击策略,了解,第四代防火墙的主要技术,了解,防火墙发展的新方向,了解防火墙选择原则与常见产品,学习重点：,Windows NT/2K,安全访问控制手段,防火墙安全设计策略,防火墙攻击策略,防火墙选择原则,3,1,访问控制技术,3,1,1,访问控制技术概述,1. 访问控制的定义,访问控制是针对越权使用资源的防御措施，是网络安全防范和保护的主要策略，主要任务是保证网络资源不被非法使用和非常访问。,也是保证网络安全的核心策略之一。,2. 基本目标,防止对任何资源进行未授权的访问，从而使计算机系统在合法范围内使用；决定用户能做什么。,3. 访问控制的作用,（1）访问控制对机密性、完整性起直接,的作用。,（2）对于可用性的有效控制,312 访问控制策略,访问控制策略(,Access Control Policy),是在系统安全策略级上表示授权，是对访问如何控制、如何作出访问决定的高层指南。,1. 自主访问控制,自主访问控制,(,DAC),也称基于身份的访问控制,(,IBAC),，,是针对访问资源的用户或者应用设置访问控制权限；根据主体的身份及允许访问的权限进行决策；自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体，访问信息的决定权在于信息的创建者。,自主访问控制可以分为以下两类：,基于个人的策略,基于组的策略,自主访问控制存在的问题：配置的粒度小，配置的工作量大，效率低。,特点：灵活性高，被大量采用。,缺点：安全性最低。,2.,强制访问控制,强制访问控制（,MAC,）,也称基于规则的访问控制（,RBAC,），,在自主访问控制的基础上，增加了对资源的属性,(,安全属性,),划分，规定不同属性下的访问权限。,3.,基于角色的访问控制,基于角色的访问控制（,RBAC,）,是与现代的商业环境相结合后的产物，同时具有基于身份策略的特征，也具有基于规则的策略的特征，可以看作是基于组的策略的变种，根据用户所属的角色作出授权决定。,4.,多级策略法,多级策略给每个目标分配一个密级，一般安全属性可分为四个级别：最高秘密级（,Top Secret）、,秘密级（,Secret）、,机密级（,Confidene,）,以及无级别级（,Unclassified ）。,313 访问控制的常用实现方法,访问控制的常用实现方法是指访问控制策略的软硬件低层实现。访问控制机制与策略独立，可允许安全机制的重用。安全策略之间没有更好的说法，应根据应用环境灵活使用。,1. 访问控制表(,ACL),优点：,控制粒度比较小，适用于被区分的用户数比较小的情况，并且这些用户的授权情况相对比较稳定的情形。,2.,访问能力表,授权机构针对每个限制区域，都为用户维护它的访问控制能力。,3.,安全标签,发起请求的时候，附属一个安全标签，在目标的属性中，也有一个相应的安全标签。在做出授权决定时，目标环境根据这两个标签决定是允许还是拒绝访问，常常用于多级访问策略。,4 基于口令的机制,（1）与目标的内容相关的访问控制,（2）多用户访问控制,（3）基于上下文的控制,对于用户而言，,Windows NT/2K,有以下几种管理手段：,1,用户帐号和用户密码,3,1,4,Windows NT/2K,安全访问控制手段,2,域名管理,3,用户组权限,4,共享资源权限,3,2,防火墙技术 基础,1,防火墙（,FireWall,）,一个防火墙的基本目标为：,1）对于一个网络来说，所有通过“内部”和“外部”的网络流量都要经过防火墙；,2）通过一些安全策略，来保证只有经过授权的流量才可以通过防火墙；,3）防火墙本身必须建立在安全操作系统的基础上。,3,2,1,防火墙概述,2,防火墙的优点,（1）防火墙对企业内部网实现了集中的安全管理，可以强化网络安全策略，比分散的主机管理更经济易行。,（2）防火墙能防止非授权用户进入内部网络。,（3）防火墙可以方便地监视网络的安全性并报警。,（4）可以作为部署网络地址转换（,Network Address Translation ）,的地点，利用,NAT,技术，可以缓解地址空间的短缺，隐藏内部网的结构。,（5）利用防火墙对内部网络的划分，可以实现重点网段的分离，从而限制问题的扩散。,（6）由于所有的访问都经过防火墙，防火墙是审计和记录网络的访问和使用的最佳地方。,3 防火墙的局限性,（1）限制有用的网络服务。,（2）无法防护内部网络用户的攻击。,（3）,Internet,防火墙无法防范通过防火墙以外,的其他途径的攻击。,（4）,Internet,防火墙也不能完全防止传送已感,染病毒的软件或文件。,（5）防火墙无法防范数据驱动型的攻击。,（6）不能防备新的网络安全问题。,4 防火墙的作用,防火墙用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取。,防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的哪些可以访问的服务，以及哪些外部服务可以被内部人访问。,1,数据包过滤路由器,防火墙常见的有三种类型：数据包过滤路由器、应用层网关、电路层网关。,3,2,2,防火墙的类型,（1）数据包过滤原理,数据包过滤技术是防火墙最常用的技术。,数据包过滤技术，顾名思义是在网络中适当的位置对数据包实施有选择的通过，选择依据，即为系统内设置的过滤规则（即访问控制表），只有满足过滤规则的数据包才被转发至相应的网络接口，其余数据包则被从数据流中删除。,数据包过滤可以控制站点与站点、站点与网络和网络与网络之间的相互访问，但不能控制传输的数据内容。,包过滤检查模块深入到系统的网络层和数据链路层之间。,下图是一个包过滤模型原理图：, 设置步骤,必须制定一个安全策略；,必须正式规定允许的包类型、包字段的逻辑表达；,必须用防火墙支持的语法重写表达式。, 按地址过滤,比如说，认为网络202.110.8.0是一个危险的网络，那么就可以用源地址过滤禁止内部主机和该网络进行通信。下表是根据上面的政策所制定的规则。, 按服务过滤,假设安全策略是禁止外部主机访问内部的,E-mail,服务器（,SMTP，,端口25），允许内部主机访问外部主机，实现这种的过滤的访问控制规则类似下表。,“*”代表任意值，没有被过滤器规则明确允许的包将被拒绝。,（2）数据包过滤特性分析,主要优点：是仅一个关健位置设置一个数据包过滤路由器就可以保护整个网络，而且数据包过滤对用户是透明的，不必在用户机上再安装特定的软件,缺点和局限性：包过滤规则配置比较复杂，而且几乎没有什么工具能对过滤规则的正确性进行测试；包过滤也没法查出具有数据驱动攻击这一类潜在危险的数据包；除此之外，随着过滤数目的增加，路由器的吞吐量会下降，从而影响网络性能。,2,应用层网关（,Application Gateway,）,（1）应用层网关原理,也称为代理服务器，代理（,Proxy）,技术与包过滤技术完全不同，包过滤技术是在网络层拦截所有的信息流，代理技术是针对每一个特定应用都有一个程序。代理是企图在应用层实现防火墙的功能，代理的主要特点是有状态性。代理能提供部分与传输有关的状态，能完全提供与应用相关的状态和部分传输方面的信息，代理也能处理和管理信息。,下图是应用层网关的结构示意图，其中内部网的一个,Telnet,客户通过代理访问外部网的一个,Telnet,服务器的情况。,提供代理的应用层网关主要有以下优点：, 应用层网关有能力支持可靠的用户认证并提供详细的注册信息。, 用于应用层的过滤规则相对于包过滤路由器来说更容易配置和测试。, 代理工作在客户机和真实服务器之间，完全控制会话，所以可以提供很详细的日志和安全审计功能。, 提供代理服务的防火墙可以被配置成惟一的可被外部看见的主机，这样可以隐藏内部网的,IP,地址，可以保护内部主机免受外部主机的进攻。, 通过代理访问,Internet,可以解决合法的,IP,地址不够用的问题，因为,Internet,所见到只是代理服务器的地址，内部不合法的,IP,通过代理可以访问,Internet。,应用层代理的缺点：, 有限的联接性。, 有限的技术。, 应用层实现的防火墙会造成明显的性能下降。, 每个应用程序都必须有一个代理服务程序来进行安全控制，每一种应用升级时，一般代理服务程序也要升级。, 应用层网关要求用户改变自己的行为，或者在访问代理服务的每个系统上安装特殊的软件。,（2）数据包过滤与代理服务的比较,代理服务在安全方面比包过滤强，但它们在性能和透明度上比较差。主要的安全优点在基于代理服务的防火墙设计上，即使一个基于代理的防火墙遭到破坏，还是没有直接路到防火墙后面的网络上；而包过滤防火墙上，如一个过滤规则被修改或破坏了，防火墙还继续为包路由。,（3）应用层网关实现,编写代理软件,客户软件,协议对于应用层网关的处理,（4）应用层网关的特点和发展方向,智能代理,3,电路级网关技术,电路级网关（,Circuit Level Gateway）,也是一种代理，但是只能是建立起一个回路，对数据包只起转发的作用。电路级网关只依赖于,TCP,联接，并不进行任何附加的包处理或过滤。,电路级网关防火墙特点：电路级网关是一个通用代理服务器，它工作于,OSI,互联模型的会话层或是,TCP/IP,协议的,TCP,层。它适用于多个协议，但它不能识别在同一个协议栈上运行的不同的应用，,优点：它可以对各种不同的协议提供服务，但这种代理需要改进客户程序。这种网关对外像一个代理，而对内则是一个过滤路由器。,3,3,防火墙安全 设计策略,3,3,1,防火墙体系结构,1,屏蔽路由器,(,ScreeningRouter,),屏蔽路由器可以由厂家专门生产的路由器实现，也可以用主机来实现。屏蔽路由器作为内外连接的惟一通道，要求所有的报文都必须在此通过检查。路由器上可以安装基于,IP,层的报文过滤软件，实现报文过滤功能。,2,双穴主机网关,(,DualHomedGateway,),穴主机网关是用一台装有两块网卡的堡垒主机的做防火墙。两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件，可以转发应用程序，提供服务等。,3,被屏蔽主机网关,(,ScreenedGatewy,),屏蔽主机网关易于实现也最为安全。,网关的基本控制策略由安装在上面的软件决定。,4,屏蔽子网,(,ScreenedSubnet,),屏蔽子网就是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。,这种配置的危险仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。,3,3,2,网络服务访问权限策略,安全策略分为两个层次：网络服务访问策略和防火墙设计策略。,网络服务访问策略是一种高层次的、具体到事件的策略，主要用于定义在网络中允许的或禁止的网络服务，而且还包括对拨号访问以及,SLIPPPP,联接的限制。,网络服务访问策略不但应该是一个站点安全策略的延伸，而且对于机构内部资源的保护也应起到全局的作用。,通常，,一个防火墙执行两个通用网络服务访问策略中的一个：允许从内部站点访问,Internet,而不允许从,Internet,访问内部站点；只允许从,Internet,访问特定的系统，如信息服务器和电子邮件服务器。,比如，在最高层，某个组织机构的总体策略：,(1) 内部信息对于一个组织的经济繁荣是至关重要的；,(2) 应使用各种经济实惠的办法来保证我们的信息的机密性、完整性、真实性、和可用性；,(3) 保护数据信息的机密性、完整性和可用性是高于一切的，是不同层次的员工的责任；,(4) 所有信息处理的设备将被用于经过授权的任务。,因此，在这个普遍原则之下是与具体事情相关的政策，如公司财物的使用规定、信息系统的使用规定，防火墙的网络服务访问政策就是在这一个层次上。,防火墙的设计策略是具体地针对防火墙，制定相应的规章制度来实施网络服务访问策略。在制定这种策略之前，必须了解这种防火墙的性能以及缺点、,TCPIP,本身所具有的易受攻击性和危险性。,两种基本设计策略：,第一种，除非明确不允许，否则允许某种服务。执行第一种策略的防火墙在默认情况下允许所有的服务，除非管理员对某种服务明确表示禁止。,3,3,3,防火墙设计策略及要求,第二种，除非明确允许，否则将禁止某种服务。执行第二种策略的防火墙在默认情况下禁止所有的服务，除非管理员对某种服务明确表示允许。,总之，防火墙好坏取决于安全性和灵活性的要求，所以在实施防火墙之前，考虑一下策略是至关重要的。如果不这样做，会导致防火墙不能达到要求。,3,3,4,防火墙与加密机制,现在的防火墙则逐渐集成了信息安全技术中的最新研究成果，一般都具有加密、解密和压缩、解压等功能，这些技术加强了信息在互联网上的安全性。,加密技术实际上是一种对要经由公共网络传送的信息进行编码的方法，它是确保数据安全的最有效方法。防火墙能够将授权用户的数据进行加密并使这个信息穿过防火墙而进入公共网络。保护接收网络的防火墙然后能够检查信息，对其进行解码，并将其发送到正确的授权用户手中。通过使用加密技术，大多数防火墙现在能够用作,VPN,的网关，在有些时候通过对在互联网上的端对端通讯信息进行保护还可作为,VPN,服务器。,3,4,防火墙攻 击策略,从黑客攻击防火墙的过程上看，,防火墙攻击策略,大概可以分为三类：,3,4,1,扫描防火墙策略,扫描防火墙策略的方法是探测在目标网络上安装的是何种防火墙系统并且找出此防火墙系统允许哪些服务，通常称之为对防火墙的探测攻击。,3,4,2,通过防火墙认证机制策略,通过防火墙认证机制策略，是指采取地址欺骗、,TCP,序号攻击等方法绕过防火墙的认证机制，从而对防火墙和内部网络破坏。,1,IP,地址欺骗,：,突破防火墙系统最常用的方法是因特网地址欺骗，它同时也是其他一系列攻击方法的基础。,2,TCP,序号攻击,：,TCP,序号攻击是绕过基于分组过滤方法的防火墙系统的最有效和最危险的方法之一。,寻找、利用防火墙系统实现和设计上的安全漏洞，从而有针对性地发动攻击。这种攻击难度比较大，可是破坏性很大。,防火墙不能防止对自己的攻击，只能强制对抗。防火墙本身是一种被动防卫机制，不是主动安全机制。防火墙不能干涉还没有到达防火墙的包，如果这个包是攻击防火墙的，只有已经发生了攻击，防火墙才可以对抗，根本不能防止。,3,4,3,利用防火墙漏洞策略,3,5,第四代防火 墙的主要技 术,3,5,1,第四代防火墙的主要技术与功能,第四代防火墙本身就是一个操作系统，因而在安全性上较之第三代防火墙有质的提高。获得安全操作系统的办法有两种：一种是通过许可证方式获得操作系统的源码；另一种是通过固化操作系统内核来提高可靠性。第四代防火墙产品将网关与安全系统合二为一，具有以下技术与功能。,防火墙技术的发展经历了基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙四个阶段。,1,双端口或三端口的结构,：,新一代防火墙产品具有两个或三个独立的网卡，内外两个网卡可不作,IP,转化而串接于内部网与外部网之间，另一个网卡可专用于对服务器的安全保护。,2,透明的访问方式,：,第四代防火墙利用了透明的代理系统技术，从而降低了系统登录固有的安全风险和出错概率。,3,灵活的代理系统,：,第四代防火墙采用了两种代理机制：一种用于代理从内部网络到外部网络的连接，采用网络地址转换（,NAT）,技术来解决；另一种用于代理从外部网络到内部网络的连接，采用非保密的用户定制代理或保密的代理系统技术来解决。,4,多级的过滤技术,：,第四代防火墙采用了三级过滤措施，并辅以鉴别手段。,在分组过滤一级，能过滤掉所有的源路由分组和假冒的,IP,源地址；,在应用网关一级，能利用,FTP、SMTP,等各种网关，控制和监测,Internet,提供的所有通用服务；,在电路网关一级，实现内部主机与外部站点的透明连接，并对服务的通行实行严格控制。,5,网络地址转换技术,：,第四代防火墙利用,NAT,技术能透明地对所有内部地址作转换，使外部网络无法了解网络的内部结构，同时允许内部网络使用自编的,IP,地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。,6,Internet,网关技术,：,由于是直接串联在网络之中，第四代防火墙必须支持用户在,Internet,互连的所有服务，同时还要防止与,Internet,服务有关的安全漏洞。,在域名服务方面，第四代防火墙采用两种独立的域名服务器：一种是内部,DNS,服务器，主要处理内部网络的,DNS,信息；另一种是外部,DNS,服务器，专门用于处理机构内部向,Internet,提供的部分,DNS,信息。,7,安全服务器网络（,SSN,）,：,第四代防火墙采用分别保护的策略保护对外服务器。它利用一张网卡将对外服务器作为一个独立网络处理，对外服务器既是内部网的一部分，又与内部网关完全隔离。这就是安全服务网络（,SSN）,技术，对,SSN,上的主机既可单独管理，也可设置成通过,FTP、Telnet,等方式从内部网上管理。,8,用户鉴别与加密,：,为了降低在,Telnet、FTP,等服务和远程管理上的风险，第四代防火墙采用一次性使用的口令字系统作为用户的鉴别手段，并实现了对邮件的加密。,9,用户定制服务,：,第四代防火墙在提供众多服务的同时，还为用户定制提供支持，这类选项有：通用,TCP，,出站,UDP、FTP、SMTP,等类。如果某一用户需要建立一个数据库的代理，便可利用这些支持，方便设置。,10,第四代防火墙产品的审计和告警功能,：,第四代防火墙产品的审计和告警功能十分健全。,此外，第四代防火墙还在网络诊断、数据备份与保全等方面具有特色。,3,5,2,第四代防火墙技术的实现方法,在第四代防火墙产品的设计与开发中，其安全内核、代理系统、多级过滤、安全服务器和鉴别与加密是关键所在。,1,安全内核的实现,：,第四代防火墙是建立在安全操作系统之上的，安全的操作系统来自对专用操作系统的安全加固和改造，从现有的诸多产品看，对安全操作系统内核的固化与改造主要从以下几方面进行： 取消危险的系统调用；限制命令的执行权限； 取消,IP,的转发功能；检查每个分组的接口；采用随机连接序号；驻留分组过滤模块；取消动态路由功能；采用多个安全内核。,2,代理系统的建立,：,防火墙不允许任何信息直接穿过它，对所有的内外连接均要通过代理系统来实现，为保证整个防火墙的安全，所有的代理都应采用改变根目录的方式存在一个相对独立的区域以作安全隔离。,3.,分组过滤器的设计,：,作为防火墙的核心部件之一，过滤器的设计要尽量做到减少对防火墙的访问。,4.,安全服务器的设计：,安全服务器的设计有两个要点：第一，所有,SSN,的流量都要隔离处理，即从内部网和外部网而来的路由信息流在机制上是分离的；第二，,SSN,的作用类似于两个网络，它看上去像是内部网，因为它对外透明，同时又像是外部网络，因为它从内部网络对外访问的方式十分有限。,5,鉴别与加密的考虑,：,鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段，鉴别机制除了提供安全保护而外，还有安全管理功能。,3,5,3,第四代防火墙抗攻击能力分析,在,Internet,环境中针对防火墙的攻击方法很多，下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。,1,抗,IP,假冒攻击,：,IP,假冒是指一个非法的主机假冒内部的主机地址，骗取服务器的“信任”，从而达到对网络的攻击目的。,2,抗特洛伊木马攻击,：,第四代防火墙是建立在安全的操作系统之上的，其安全内核中不能执行下载的程序，故而可防止特洛伊木马的发生。,3,抗口令字探寻攻击,：,第四代防火墙采用了一次性口令字和禁止直接登录防火墙的措施，能有效防止对口令字的攻击。,在网络中探寻口令字的方法很多，最常见的是口令字嗅探和口令字解密。,嗅探监测网络通信、截获用户传给服务器的口令字，记录下来后使用；解密指采用强力攻击，猜测或截获含有加密口令字的文件，并设法解密。此外，攻击者还常常利用一些常用口令字直接登录。,4,抗网络安全性分析,：,抗网络安全性分析工具本是供管理人员分析网络安全性之用的，一旦这类工具用作攻击网络的手段，则能较方便地探测到内部网络的安全缺陷和弱点所在。,第四代防火墙采用了地址转换技术，将内部网络隐蔽起来，使网络安全分析工具无法从外部对内部网分析。,5,抗邮件诈骗攻击,：邮件诈骗也是越来越突出的攻击方式，第四代防火墙不接收任何邮件，故难以采用这种方式对它攻击。,3,6,防火墙发展 的新方向,3,6,1,透明接入技术,透明模式，顾名思义，首要的特点就是对用户是透明的（,Transparent,），,即用户意识不到防火墙的存在。要想实现透明模式，防火墙必须在没有,IP,地址的情况下工作，不需要对其设置,IP,地址，用户也不知道防火墙的,IP,地址。,透明模式的防火墙就好象是一台网桥,(,非透明的防火墙好象一台路由器,),，网络设备,(,包括主机、路由器、工作站等,),和所有计算机的设置（包括,IP,地址和网关）无须改变，同时解析所有通过它的数据包，既增加了网络的安全性，又降低了用户管理的复杂程度。,防火墙使用透明代理技术，这些代理服务对用户也是透明的，用户意识不到防火墙的存在，便可完成内外网络的通讯。当内部用户需要使用透明代理访问外部资源时，用户不需要进行设置，代理服务器会建立透明的通道，让用户直接与外界通信，这样极大地方便了用户的使用。,透明代理的原理：假设,A,为内部网络客户机，,B,为外部网络服务器，,C,为防火墙。当,A,对,B,有连接请求时，,TCP,连接请求被防火墙截取并加以监控。截取后当发现连接需要使用代理服务器时，,A,和,C,之间首先建立连接，然后防火墙建立相应的代理服务通道与目标,B,建立连接，由此通过代理服务器建立,A,和目标地址,B,的数据传输途径。从用户的角度看，,A,和,B,的连接是直接的，而实际上,A,是通过代理服务器,C,和,B,建立连接的。,反之，当,B,对,A,有连接请求时原理相同。由于这些连接过程是自动的，不需要客户端手工配置代理服务器，甚至用户根本不知道代理服务器的存在，因而对用户来说是透明的。,防火墙使用透明代理技术，还可以使防火墙的服务端口无法探测到，也就无法对防火墙进行攻击，大大提高了防火墙的安全性与抗攻击性。透明代理避免了设置或使用中可能出现的错误，降低了防火墙使用时固有的安全风险和出错概率，方便用户使用。,因此，透明代理与透明模式都可以简化防火墙的设置，提高系统安全性。但两者之间也有本质的区别：工作于透明模式的防火墙使用了透明代理的技术，但透明代理并不是透明模式的全部，防火墙在非透明模式中也可以使用透明代理。,3,6,2,分布式防火墙技术,1,分布式防火墙的产生背景,因为传统的防火墙设置在网络边界，在内部企业网和外部互联网之间构成一个屏障，进行网络存取控制，所以也称为边界防火墙（,PerimeterFirewall,），,它存在以下不足之处：,（1）,网络应用受到结构性限制,（2）,内部安全隐患依然存在,（3）,效率较低和故障率高,分布式防火墙能克服这些缺点，它不仅能够保留传统边界式防火墙的所以优点，而且又能克服前面所说的那些缺点，在目前来说它是最为完善的一种防火墙技术。,2,分布式防火墙的主要特点,分布式防火墙负责对网络边界、各子网和网络内部各节点之间的安全防护，所以“分布式防火墙”是一个完整的系统，而不是单一的产品。包含如下部分：,网络防火墙（,NetworkFirewall,）,主机防火墙（,HostFirewall,）,中心管理,分布式防火墙的主要特点：,（1）,主机驻留：,这种分布式防火墙的最主要特点就是采用主机驻留方式，所以称之为“主机防火墙”,。,主机防火墙对分布式防火墙体系结构的突出贡献是，使安全策略不仅仅停留在网络与网络之间，而是把安全策略推广延伸到每个网络末端。,（2）,嵌入操作系统内核：,为自身的安全和彻底堵住操作系统的漏洞，主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行，直接接管网卡，在把所有数据包进行检查后再提交操作系统。,（3）,类似于个人防火墙,（4）,适用于服务器托管,3,分布式防火墙的主要优势,在新的安全体系结构下，分布式防火墙代表新一代防火墙技术的潮流，它可以在网络的任何交界和节点处设置屏障，从而形成了一个多层次、多协议，内外皆防的全方位安全体系。主要优势如下：,（1）,增强的系统安全性：,增加了针对主机的入侵检测和防护功能，加强了对来自内部攻击防范，可以实施全方位的安全策略。,（2）,提高了系统性能：,消除了结构性瓶颈问题，提高了系统性能。,（3）,系统的扩展性：,分布式防火墙随系统扩充提供了安全防护无限扩充的能力。,（4）,实施主机策略：,对网络中的各节点可以起到更安全的防护。,（5）,应用更为广泛，支持,VPN,通信：,其实分布式防火墙最重要的优势在于，它能够保护物理拓朴上不属于内部网络，但位于逻辑上的“内部”网络的那些主机，这种需求随着,VPN,的发展越来越多。,4分布式防火墙的基本原理,分布式防火墙仍然由中心定义策略，但由各个分布在网络中的端点实施这些制定的策略。它依赖于三个主要的概念：说明哪一类连接可以被允许禁止的策略语言、一种系统管理工具和,IP,安全协议。,（1）,策略语言：,以,IP,地址来标志内部主机是一种可供选择的方法，但它的安全性不高，所以更倾向于使用,IP,安全协议中的密码凭证来标志各台主机，它为主机提供了可靠的、唯一的标志，并且与网络的物理拓扑无关。,（2）,系统管理工具：,分布式防火墙服务器的系统管理工具用于将形成的策略文件分发给被防火墙保护的所有主机，应该注意的是这里所指的防火墙并不是传统意义上的物理防火墙，而是逻辑上的分布式防火墙。,（3）IP,安全协议：,是一种对,TCP/IP,协议族的网络层进行加密保护的机制，包括,AH,和,ESP，,分别对,IP,包头和整个,IP,包进行认证，可以防止各类主机攻击。,首先由制定防火墙接入控制策略的中心通过编译器将策略语言诉描述转换成内部格式，形成策略文件；,然后中心采用系统管理工具把策略文件分发给各台“内部”主机；“内部”主机将从两方面来判定是否接受收到的包，一方面是根据,IP,安全协议，另一方面是根据服务器端的策略文件。,分布式防火墙工作,过程：,因为采用了软件形式（有的采用了软件硬件形式），所以功能配置更加灵活，具备充分的智能管理能力，总的来说可以体现在以下几个方面：,5分布式防火墙的主要功能,（1）,Internet,访问控制,（2）,应用访问控制,（3）,网络状态监控,（4）,黑客攻击的防御,（5）,日志管理,（6）,系统工具,3,6,3,以防火墙为核心的网络信 息安全体系,网络安全是一个综合的概念，它不仅包括网络安全产品，而且还涉及整个企业的管理机制、流程方面的问题，因此是一复杂的系统工程。,就网络安全产品而言，就是一个很大的家族，除防火墙之外，还包括,VPN,密码机、,IDS、,防病毒产品等等。,误区：什么样的防火墙是安全的防火墙、单靠防火墙是否能否保证网络的安全、如何构建以防火墙为核心的网络安全体系等，下面就针对这些问题做简要的分析和介绍。,1,高速安全的防火墙基础平台是网络安全的,保障,2,构建以防火墙为核心的集成安全方案,3,网络安全产品不但是产品而是服务,3,7,防火墙选择 原则与常见 产品,3,7,1,防火墙选择原则,防火墙的选择应根据网站的特点来选择合适的防火墙。如果站点是一个机密性机构，但对某些人提供入站的,FTP,服务，则需要有强大认证功能的防火墙；如果站点联接到,Internet,上只是为了接收电子邮件，那么可以不需要防火墙。,在考虑购买防火墙的时候，主要考虑以下几条：,1总拥有成本,2,防火墙自身的安全性,3,防火墙的稳定性,4,防火墙的性能,5功能的灵活性,6,简化的安装与管理,7,配置方便性,8,是否可针对用户身份进行过滤,10可扩展和可升级性,11,有用的日志,3,7,2,常见产品,常见的企业级防火墙：,（1）,CheckPointFirewall,：,它提供了最佳权限控制、最佳综合性能及简单明了的管理。除了,NAT,外，它具有用户认证功能。,（2）,AXENTRaptor,：,总体来说是代理型防火墙中是最好的。,（4）,CiscoPIXFirewall,：,PIX,的处理性能是最好的，而且使用,NAT,时不影响其性能。,（3）,SecureComputingSecureZone,：,其代理功能很强，,FTP,代理可定制文件的创建、删改及,put/get,操作。,（5）,Netscreen,：,它使用专用的,ASIC,提供高性能的防火墙，既便宜又易于安装。,（6）,NetGuardGuardian,：,尽管它的界面简单，其权限控制功能优于,Netscreen,。,常见的企业级防火墙：,（1）天网防火墙,（2）蓝盾防火墙个人版,（3）瑞星个人防火墙,（4）“反黑王”,（5）美国赛门铁克（,Symantec）,公司的诺顿（,Norton）,防火墙,（6）金山网镖,3,8,本章小结,本章首先介绍了访问控制的基本常识，然后着重介绍了防火墙的相关知识。,在计算机网络安全技术性保护措施中，访问控制是针对越权使用资源的防御措施，是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。,作为近年来新兴的保护计算机网络安全技术性措施，防火墙是一种隔离控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问，也可以使用防火墙阻止专利信息从公司的网络上被非法输出。换言之：防火墙是一道门槛，控制进出两个方向的通信。通过限制与网络或某一特定区域的通信，以达到防止非法用户侵犯,Internet,和公用网络的目的。,防火墙是一种被动防卫技术，由于它假设了网络的边界和服务，因此对内部的非法访问难以有效地控制，所以，防火墙最适合于相对独立且与外部网络互联途径有限、网络服务种类相对集中的单一网络。,实现防火墙的主要技术有：数据包过滤路由器、应用双宿主网关的代理服务、主机屏蔽防火墙和子网屏蔽防火墙等。,防火墙的具体实现产品有很多，本章介绍多种企业级和个人版防火墙。,