第3章访问控制与防火墙技术ppt课件.ppt

第3章 访问控制与防火墙技术,本章主要介绍：1.访问控制技术2.防火墙技术基础3.防火墙安全设计策略4.防火墙攻击策略5.第四代防火墙的主要技术6.防火墙发展的新方向,3.1 访问控制技术,一般概念：是针对越权使用资源的防御措施。基本目标：防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问。从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么。未授权的访问包括：未经授权的使用、泄露、修改、销毁信息以及颁发指令等。非法用户进入系统。合法用户对系统资源的非法使用。,3.1 访问控制技术,访问控制的作用：访问控制对机密性、完整性起直接的作用。对于可用性，访问控制通过对以下信息的有效控制来实现：1）谁可以颁发影响网络可用性的网络管理指令2）谁能够滥用资源以达到占用资源的目的3）谁能够获得可以用于拒绝服务攻击的信息,3.1 访问控制技术,访问控制策略与机制访问控制策略(Access Control Policy):访问控制策略在系统安全策略级上表示授权。是对访问如何控制,如何作出访问决定的高层指南。访问控制机制（Access Control Mechanisms):是访问控制策略的软硬件低层实现。访问控制机制与策略独立，可允许安全机制的重用。安全策略之间没有更好的说法，只是一种可以比一种提供更多的保护。应根据应用环境灵活使用。,3.1 访问控制技术,访问控制策略与机制自主访问控制（discretionary policies),也称基于身份的访问控制IBAC(Identity Based Access Control)强制访问控制(mandatory policies),也称基于规则的访问控制RBAC（Rule Based Access Control）基于角色的访问控制(role-based policies),3.1 访问控制技术,自主访问控制DAC是基于对主体或主体所属的主体组的识别来限制对客体的访问，这种控制是自主的。特点：根据主体的身份及允许访问的权限进行决策。自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。灵活性高，被大量采用。缺点：安全性最低。信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标C的访问权限传递给用户B,从而使不具备对C访问权限的B可访问C。,3.1 访问控制技术,强制访问控制(mandatory policies)特点：取决于能用算法表达的并能在计算机上执行的策略。策略给出资源受到的限制和实体的授权，对资源的访问取决于实体的授权而非实体的身份。RBAC决策在批准一个访问之前需要进行授权信息和限制信息的比较。(1)将主体和客体分级，根据主体和客体的级别标记来决定访问模式。如，绝密级，机密级，秘密级，无密级。(2)其访问控制关系分为：上读/下写，下读/上写（完整性）（机密性）(3)通过安全标签实现单向信息流通模式。,3.1 访问控制技术,基于角色的访问控制(role-based policies)与现代的商业环境相结合的产物基于角色的访问控制是一个复合的规则，可以被认为是IBAC和RBAC的变体。一个身份被分配给一个被授权的组。起源于UNIX系统或别的操作系统中组的概念,3.1 访问控制技术,角色的定义每个角色与一组用户和有关的动作相互关联，角色中所属的用户可以有权执行这些操作A role can be defined as a set of actions and responsibilities associated with a particular working activity.角色与组的区别组：一组用户的集合角色：一组用户的集合+一组操作权限的集合,3.2 防火墙技术基础,1防火墙的概念在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。,3.2 防火墙技术基础,防火墙的基本设计目标:对于一个网络来说，所有通过“内部”和“外部”的网络流量都要经过防火墙通过一些安全策略，来保证只有经过授权的流量才可以通过防火墙防火墙本身必须建立在安全操作系统的基础上注意：安全操作系统可以保护防火墙的代码和文件免遭入侵者攻击。这些防火墙的代码只允许在给定主机系统上执行,这种限制可以减少非法穿越防火墙的可能性,3.2 防火墙技术基础,防火墙的控制能力:服务控制，确定哪些服务可以被访问方向控制，对于特定的服务，可以确定允许哪个方向能够通过防火墙用户控制，根据用户来控制对服务的访问行为控制，控制一个特定的服务的行为,3.2 防火墙技术基础,防火墙的优点：防火墙对企业内部网实现了集中的安全管理，可以强化网络安全策略，比分散的主机管理更经济易行。防火墙能防止非授权用户进入内部网络。防火墙可以方便地监视网络的安全性并报警。可以作为部署网络地址转换（Network Address Translation）的地点，利用NAT技术，可以缓解地址空间的短缺，隐藏内部网的结构。利用防火墙对内部网络的划分，可以实现重点网段的分离，从而限制安全问题的扩散。由于所有的访问都经过防火墙，防火墙是审计和记录网络的访问和使用的最佳地方。,3.2 防火墙技术基础,防火墙局限性：限制有用的网络服务。无法防护内部网络用户的攻击。防火墙不能防范不经过防火墙的攻击。防火墙也不能完全防止受病毒感染的文件或软件的传输。(由于病毒的种类繁多，如果要在防火墙完成对所有病毒代码的检查，防火墙的效率就会降到不能忍受的程度。)防火墙不能有效地防范数据驱动式攻击。不能防范新的网络安全问题。,基于路由器的防火墙,将过滤功能从路由器中独立出来，并加上审计和告警功能针对用户需求，提供模块化的软件包软件可通过网络发送，用户可根据需要构造防火墙与第一代防火墙相比，安全性提高了，价格降低了,利用路由器本身对分组的解析,进行分组过滤过滤判断依据：地址、端口号、IP旗标及其它网络特征防火墙与路由器合为一体，只有过滤功能适用于对安全性要求不高的网络环境,是批量上市的专用防火墙产品包括分组过滤或者借用路由器的分组过滤功能装有专用的代理系统，监控所有协议的数据和指令保护用户编程空间和用户可配置内核参数的设置安全性和速度大为提高。,防火墙厂商具有操作系统的源代码，并可实现安全内核去掉了不必要的系统特性，加固内核，强化安全保护在功能上包括了分组过滤、应用网关、电路级网关增加了许多附加功能：加密、鉴别、审计、NAT转换透明性好，易于使用,基于安全操作系统的防火墙,基于通用操作系统的防火墙,防火墙工具套,3.2 防火墙技术基础,第一代：基于路由器的防火墙称为包过滤防火墙特征：以访问控制表方式实现分组过滤过滤的依据是IP地址、端口号和其它网络特征只有分组过滤功能，且防火墙与路由器一体,3.2 防火墙技术基础,缺点：路由协议本身具有安全漏洞路由器上的分组过滤规则的设置和配置复杂攻击者可假冒地址本质缺陷：一对矛盾，防火墙的设置会大大降低路由器的性能。路由器：为网络访问提供动态灵活的路由防火墙：对访问行为实施静态固定的控制,包过滤型防火墙,3.2 防火墙技术基础,第二代:用户化的防火墙工具套件,特征：将过滤功能从路由器中独立出来，并加上审计和告警功能；针对用户需求提供模块化的软件包；安全性提高，价格降低；纯软件产品，实现维护复杂。缺点：配置和维护过程复杂费时；对用户技术要求高；全软件实现，安全性和处理速度均有局限；,3.2 防火墙技术基础,第三代：建立在通用操作系统上的防火墙是近年来在市场上广泛可用的一代产品。特征包括分组过滤或借用路由器的分组过滤功能；装有专用的代理系统，监控所有协议的数据和指令；保护用户编程空间和用户可配置内核参数的设置；安全性和速度大为提高。,实现方式：软件、硬件、软硬结合。问题：作为基础的操作系统及其内核的安全性无从保证。通用操作系统厂商不会对防火墙的安全性负责；从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统漏洞的攻击。用户必须依赖两方面的安全支持：防火墙厂商和操作系统厂商。,3.2 防火墙技术基础,3.2 防火墙技术基础,第四代：具有安全操作系统的防火墙1997年初，此类产品面市。安全性有质的提高。获得安全操作系统的方法：通过许可证方式获得操作系统的源码；通过固化操作系统内核来提高可靠性。,特点：防火墙厂商具有操作系统的源代码，并可实现安全内核；对安全内核实现加固处理：即去掉不必要的系统特性，强化安全保护；对每个服务器、子系统都作了安全处理；在功能上包括了分组过滤、代理服务，且具有加密与鉴别功能；透明性好，易于使用。,3.2 防火墙技术基础,第四代防火墙的主要技术与功能：灵活的代理系统：两种代理机制，一种用于从内部网到外部网的连接，另一种用于此外部网到内部网的连接；双端口或三端口结构；网络地址转换技术（NAT）虚拟专网技术（VPN）,3.2 防火墙技术基础,3.2 防火墙技术基础,防火墙的类型：数据包过滤路由器应用层网关电路层网关,3.2 防火墙技术基础,1.数据包过滤路由器基本思想：对于每个进来的包，适用一组规则，然后决定转发或者丢弃该包如何过滤：过滤的规则以IP和传输层的头中的域(字段)为基础，包括源和目标IP地址、IP协议域、源和目标端口号过滤器往往建立一组规则，根据IP包是否匹配规则中指定的条件来作出决定。如果匹配到一条规则，则根据此规则决定转发或者丢弃如果所有规则都不匹配，则根据缺省策略进行过滤,3.2 防火墙技术基础,两种缺省策略：没有被拒绝的流量都可以通过管理员必须针对每一种新出现的攻击，制定新的规则没有被允许的流量都要拒绝比较保守根据需要，逐渐开放,3.2 防火墙技术基础,每个数据包都包含有特定信息的一组报头，其主要信息是：（1）IP协议类型（TCP、UDP，ICMP等）；（2）IP源地址；（3）IP目标地址；（4）TCP或UDP源端口号；（5）TCP或UDP目标端口号；,3.2 防火墙技术基础,3.2 防火墙技术基础,包过滤模型,物理层,应用层,会话层,表示层,传输层,网络层,防火墙检查模块,数据链路层,链路层数据,应用层数据,传输层数据,与过滤规则匹配吗,与过滤规则匹配吗,审计/报警,转发包吗,发送NACK,丢弃包,结束,3.2 防火墙技术基础,设置步骤：确定什么是应该或不应该被允许的。规定允许的包类型、包字段的逻辑表达。用防火墙支持的语法重写表达式。,3.2 防火墙技术基础,按地址过滤：例：如果认为202.110.8.0是危险网络，则可以：,缺点：信息利用不完全。,3.2 防火墙技术基础,按服务过滤：例：禁止外部主机访问内部的E_Mail服务器(协议SMTP 端口25)，允许内部主机访问外部主机，则：,规则按从前到后的顺序匹配。,3.2 防火墙技术基础,例：从内往外的telnet服务,client,server,外部,内部,往外包的特性(用户操作信息)IP源是内部地址目标地址为serverTCP协议，目标端口23源端口1023,往内包的特性(显示信息)IP源是server目标地址为内部地址TCP协议，源端口23目标端口1023,3.2 防火墙技术基础,例：从外往内的telnet服务,client,server,内部,外部,往内包的特性(用户操作信息)IP源是外部地址目标地址为本地serverTCP协议，目标端口23源端口1023,往外包的特性(显示信息)IP源是本地server目标地址为外部地址TCP协议，源端口23目标端口1023,3.2 防火墙技术基础,规则列表：,3.2 防火墙技术基础,2.应用层网关(代理服务proxy)代理服务是运行在防火墙主机上的一些特定的应用程序或者服务程序。防火墙主机可以是有一个内部网络接口和一个外部网络接口的双重宿主主机，也可以是一些可以访问因特网并可被内部主机访问的堡垒主机。这些程序接受用户对因特网服务的请求（诸如文件传输FTP和远程登录Telnet等），并按照安全策略转发它们到实际的服务。所谓代理就是一个提供替代连接并且充当服务的网关。代理也称之为应用级网关。代理服务位于内部用户（在内部的网络上）和外部服务（在因特网上）之间。代理在幕后处理所有用户和因特网服务之间的通信以代替相互间的直接交谈。,3.2 防火墙技术基础,代理的实现过程,3.2 防火墙技术基础,应用层网关的结构示意图,3.2 防火墙技术基础,特点:所有的连接都通过防火墙，防火墙作为网关在应用层上实现可以监视包的内容可以实现基于用户的认证所有的应用需要单独实现可以提供理想的日志功能非常安全，但是开销比较大,3.2 防火墙技术基础,应用层网关的优点：应用层代理能够让网络管理员对服务进行全面的控制，因为代理应用限制了命令集并决定哪些内部主机可以被该服务访问。网络管理员可以完全控制提供那些服务，因为没有特定服务的代理就表示该服务不提供。防火墙可以被配置成唯一的可被外部看见的主机，这样可以保护内部主机免受外部主机的进攻。应用层代理有能力支持可靠的用户认证并提供详细的注册信息。另外，用于应用层的过滤规则相对于包过滤防火墙来说更容易配置和测试。代理工作在客户机和真实服务器之间，完全控制会话，所以可以提供很详细的日志和安全审计功能。,3.2 防火墙技术基础,应用层网关的缺点：有限的连接性有限的技术性能安全控制特殊软件的安装,3.2 防火墙技术基础,电路层网关,3.2 防火墙技术基础,电路层网关是一个通用代理服务器工作在OSI的会话层或者TCP/IP协议的TCP层不需要识别同一个协议栈上（如TCP、UDP）的不同应用（与应用层网关不同）工作原理接受客户端的连接请求，代理客户端与服务器建立连接负责数据包的转发将数据包提供给客户的应用层进行处理电路层网关是一个有状态的、动态的包过滤器上下文环境流状态,3.2 防火墙技术基础,1双重宿主主机体系结构(双穴主机网关)双重宿主主机体系结构是围绕具有双重宿主的主体计算机而构筑的。该计算机至少有两个网络接口，这样的主机可以充当与这些接口相连的网络之间的路由器，并能够从一个网络到另一个网络发送IP数据包。防火墙内部的网络系统能与双重宿主主机通信，同时防火墙外部的网络系统（在因特网上）也能与双重宿主主机通信。通过双重宿主主机，防火墙内外的计算机便可进行通信了，但是这些系统不能直接互相通信，它们之间的IP通信被完全阻止。,3.2 防火墙技术基础,双重宿主主机的防火墙体系结构是相当简单的，双重宿主主机位于两者之间，并且被连接到因特网和内部的网络。右图显示这种体系结构。,3.2 防火墙技术基础,双宿主主机防火墙,网络接口,网络接口,外部,内部,主机B,防火墙,Internet,3.2 防火墙技术基础,2堡垒主机过滤体系结构堡垒主机：内部网在外部网上的代表。建立堡垒主机的原则：1)最简化原则 2)预防原则堡垒主机的种类：1)无路由双宿主主机 2)牺牲主机 3)内部堡垒主机,3.2 防火墙技术基础,2堡垒主机过滤体系结构(续)堡垒主机的选择：1)操作系统的选择 2)速度的选择 3)物理位置的选择 4)在网络上的位置,3.2 防火墙技术基础,2堡垒主机过滤体系结构(续)建立堡垒主机的步骤：1)提供一个安全运行环境 2)关闭机器上所有不必要的服务 3)安装或修改必须的服务软件 4)根据最终需要重新配置机器 5)核查机器上的安全保障机制 6)将堡垒主机连入网络,3.2 防火墙技术基础,2堡垒主机过滤体系结构在主机过滤体系结构中提供安全保护的主机仅仅与内部网相连。另外，主机过滤结构还有一台单独的路由器（过滤路由器）。在这种体系结构中，主要的安全由数据包过滤提供，其结构如右图所示。,3.2 防火墙技术基础,基于堡垒主机的防火墙应用模式：网络中的防火墙配置符号表示法的定义,3.2 防火墙技术基础,应用模式：B2配置：,内部网络,Internet,堡垒主机,外部不可信网络,3.2 防火墙技术基础,应用模式：SB1配置：,内部网络,Internet,堡垒主机,外部不可信网络,过滤路由器,3.2 防火墙技术基础,应用模式：SB1配置：,内部网络:199.245.180.0,Internet,堡垒主机,过滤路由器,堡垒主机:199.245.180.10,3.2 防火墙技术基础,应用模式：SB1配置：,内部网络:199.245.180.0,Internet,堡垒主机,过滤路由器,堡垒主机:199.245.180.10,路由表被破坏,堡垒主机被越过,3.2 防火墙技术基础,带有过滤路由器和堡垒主机的网络流量路径：,应用程序特定访问控制,包过滤规则,外部网络,过滤路由器,内部网络,堡垒主机,内部网络,3.2 防火墙技术基础,把包过滤卸载到IAP的堡垒主机的防火墙配置：,内部网络,Internet,堡垒主机,Internet访问供给器,过滤路由器,3.2 防火墙技术基础,应用模式：SB2配置：,内部网络,Internet,外部网络,过滤路由器,堡垒主机,outside网,inside网,DMZ,3.2 防火墙技术基础,应用模式：SB2B2配置：,内部网络,Internet,外部网络,过滤路由器,堡垒主机,outside网,inside网,外部堡垒主机,堡垒主机,outdise DMZ,indise DMZ,内部堡垒主机,私有网络,3.2 防火墙技术基础,带有奉献主机的SB2B2配置：,内部网络,Internet,外部网络,过滤路由器,堡垒主机,outside网,inside网,外部堡垒主机,堡垒主机,outdise DMZ,indise DMZ,内部堡垒主机,私有网络,包含公共信息的奉献主机,3.2 防火墙技术基础,SB2B2的网络流量路径：,外部网络,过滤路由器,内部网络,外部堡垒主机,outside DMZ,inside DMZ,内部堡垒主机,应用程序特定访问控制,应用程序特定访问控制,包过滤规则,3.2 防火墙技术基础,SB1B1配置：,内部网络,Internet,过滤路由器,堡垒主机,外部堡垒主机,堡垒主机,DMZ,内部堡垒主机,过滤路由器(阻塞器),3.2 防火墙技术基础,SB1B1的网络流量路径：,外部网络,过滤路由器,内部网络,外部堡垒主机,DMZ,内部堡垒主机,过滤路由器(阻塞器),内部网络,包过滤规则,应用程序特定访问控制,应用程序特定访问控制,包过滤规则,3.2 防火墙技术基础,应用模式：SB2B1配置：,内部网络,Internet,外部网络,过滤路由器,堡垒主机,outside网,inside网,外部堡垒主机,堡垒主机,内部堡垒主机,3.2 防火墙技术基础,应用模式：SB1B2配置：,内部网络,Internet,外部网络,过滤路由器,堡垒主机,outside网,inside网,内部堡垒主机,堡垒主机,DMZ,3.2 防火墙技术基础,常见的防火墙 基本配置：具有路由能力的PC 网卡X2 禁止IP转发 打开一个网卡通向Internet 打开另一个网卡通向内部网,（1）内部路由器内部路由器的主要功能是保护内部网免受来自外部网与参数网络的侵扰。内部路由器完成防火墙的大部分包过滤工作，它允许某些站点的包过滤系统认为符合安全规则的服务在内外部网之间互传。根据各站点的需要和安全规则，可允许的服务是以下这些外向服务中的若干种，如：Telnet、FTP、WAIS、Archie、Gopher或者其它服务。内部路由器可以设定，使参数网络上的堡垒主机与内部网之间传递的各种服务和内部网与外部网之间传递的各种服务不完全相同。,3.2 防火墙技术基础,（2）外部路由器外部路由器既可保护参数网络又保护内部网。实际上，在外部路由器上仅做一小部分包过滤，它几乎让所有参数网络的外向请求通过，而外部路由器与内部路由器的包过滤规则是基本上相同的。外部路由器的包过滤主要是对参数网络上的主机提供保护。然而，一般情况下，因为参数网络上主机的安全主要通过主机安全机制加以保障，所以由外部路由器提供的很多保护并非必要。外部路由器真正有效的任务就是阻断来自外部网上伪造源地址进来的任何数据包。这些数据包自称是来自内部网，而其实它是来自外部网。,3.2 防火墙技术基础,防火墙配置实例（l）Web服务器置于防火墙内,3.2 防火墙技术基础,（2）Web服务器置于防火墙外,Internet,Web服务器,IP包过滤,路由器,Intranet,3.2 防火墙技术基础,（3）Web服务器置于防火墙之上,Internet,Web服务器,IP包过滤,Intranet,3.4防火墙攻击策略,防火墙攻击策略扫描防火墙策略 通过防火墙认证机制策略 1.IP地址欺骗 2.TCP序号攻击 利用防火墙漏洞策略 d.o.s拒绝服务攻击：简单的包过滤防火墙不能跟踪tcp的状态，很容易受到拒绝服务攻击，一旦防火墙受到d.o.s攻击，可能会忙于处理，而无法完成自己的过滤功能。,3.5防火墙技术的发展方向,第4代防火墙的主要技术双端口或三端口 透明的访问方式灵活的代理系统 多级的过滤技术 网络地址转换技术 Internet网关技术 安全服务器网络(SSN)用户鉴别与加密 用户定制服务 审计和告警功能,3.5防火墙技术的发展方向,第4代防火墙的抗攻击能力抗IP假冒攻击 抗木马攻击抗口令字探询攻击 抗网络安全性分析 抗邮件诈骗攻击,3.5防火墙技术的发展方向,防火墙发展的新方向：透明接入技术 分布式防火墙,