现代网络技术第9章网络安全与防火墙技术.ppt

第9章 网络安全与防火墙技术,9.1 计算机网络安全性问题9.2 网络安全策略9.3 网络安全机制9.4 网络防火墙技术,9.1 计算机网络安全性问题,9.1.1 网络安全基本概念 网络安全强调的是：数据信息的完整性（Integrity）、可用性（Availability）和保密性（Confidentiality and Privacy）。所谓完整性是指保护信息不被非授权用户修改或破坏；可用性是指避免拒绝授权访问或拒绝服务；保密性是指保护信息不泄露给非授权用户。,9.1.2 网络安全的威胁因素 网络威胁是指安全性受到潜在破坏，计算机网络所面临的攻击和威胁因素主要来自人为和非人为因素。中断（Interruption）：以可用性作为攻击目标，它毁坏系统资源，切断通信线路，造成文件系统不可用。截获（Interception）：以保密性作为攻击目标，非授权用户通过某种手段获得对系统资源的访问，如窃听、非法拷贝等。,图9-1网络安全攻击的几种形式,修改（Modifucation）：以完整性作为攻击目标，非授权用户不仅获得对系统资源的访问，而且对文件进行篡改，如改变数据文件中的数据或修改网上传输的信息等。伪造（Fabrication）：以完整性作为攻击目标，非授权用户将伪造的数据插入到正常系统中，如在网络上散布一些虚假信息等。,9.1.3 网络安全的评估标准 在标准中，系统安全程度被分为A、B、C、D四类，每一类又分为若干等级，共有八个等级，它们从低到高分别是D、C1、C2、B1、B2、B3、A1、A2，其中D级系统的安全度最低，常见的无密码保护的个人计算机系统即属此类，通常具有密码保护的多用户的工作站系统属于C1级。,9.2 网络安全策略,l对象认证（Entity Authentication）安全认证是防止主动攻击的重要防御措施，它对于开放系统环境中的各种信息安全有重要的作用。认证就是识别和证实。2访问控制（Access Control）访问控制是针对越权使用资源的防御措施。访问控制大体可分为自主访问控制和强制访问控制两类。,3数据保密性（Data Confidentiality）数据保密性是针对信息泄漏的防御措施，它又分为：信息保密、选择数据段保密与业务流保密等。4数据完整性（Data Integrity）数据完整性是针对非法地篡改信息、文件和业务流而设置的防范措施，以保证资源可获得性。5防抵赖（Non-repudiation）防抵赖是针对对方进行抵赖的防范措施，可用来证实发生过的操作。它可分为：对发送防抵赖、对递交防抵赖与公证。,9.3 网络安全机制,9.3.1 加密 密码学有着悠久而灿烂的历史，图9-2为密码技术中的加解密模型，在模型中将被加密的信息称为明文（Plaintext），明文经过以密钥（Key）为参数的函数转换（即加密）得到的结果称为密文（Ciphertext）。密文在信道上传输，入侵者（Intruder）可能会从信道上获得密文。,图9-2 加/解密模型,1.秘密密钥加密 传统的加密技术是：发送方和接收方必须使用相同的密钥，而且密钥必须保密。设发送方使用的加密函数encrypt有两个参数：密钥K和待加密数据M，加密后的数据为E，则E为：Eencrypt（K，M）而接收方使用的解密函数decrypt把上述过程逆运算，就产生了原来的数据M：Mdecrypt（K，E）数学上，decrypt和encrypt互为逆函数，有：M=decrypt（K，encrypt（K，M）,2.公开密钥加密 这种用两把密钥加密和解密的方法可以表示成如下的数学形式，假设M表示一段数据，pub-ul表示用户U1的公开密钥，prv-ul表示用户U1的私有密钥，那么有：M=decrypt(pub-ul，encrypt(prv-ul，M)和 Mdecrypt(pry-ul，encrypt(pub-ul，M),9.3.2 鉴别 鉴别（Authentication）是验证通信对象真实身份的技术。验证远端通信对象是否是一个恶意的入侵者是比较困难的，需要密码学的复杂协议。,9.3.3 数字签名(1)接收方能够验证发送方对报文的签名。(2)发送方事后不能抵赖对报文的签名。(3)接收方自己不能伪造对报文的签名。第1个条件是必须的。第2个条件用于保护银行不受欺骗。第3个条件用来在下述情况中保护客户。,其数学形式如下：X=encrypt（pub-u2，encrypt（prv-u1，M）Mdecrypt（pub-ul，decrypt（prv-u2，X）,9.4 网络防火墙技术,9.4.1 防火墙的基本概念 防火墙类似于建筑物中的防火墙，它防止外部网络（主要指Internet）上的危险黑客入侵内部网络（如图9-3所示）。,图9-3 防火墙示意图,所有内部对外部的通信都必须通过防火墙，反之亦然。只有按安全策略所定义的授权，通信才允许通过。防火墙本身是抗入侵的。防火墙可以记录内外网络通信时所发生的一切。,9.4.2 防火墙功能为了保证网络安全性要求，防火墙必须具有以下功能：(1)支持一定的安全策略。(2)提供一定的访问和接入控制机制。(3)容易扩充、更改新的服务和安全策略。(4)具有代理服务功能，包含先进的鉴别技术。(5)采用过滤技术，根据需求来允许或拒绝某些服务。,图9-4 包过滤技术,(6)防火墙的编程语言应较灵活，具有友好的编程界面，并具有较多的过滤属性，包括源和目的IP地址、协议类型、源和目的TCP/UDP端口以及进入和输出的接口地址。(7)具有缓冲存储的功能，以获得高效快速访问。(8)应能接纳对本地网的公共访问，本地网的公共信息服务由防火墙所保护，并能进行增删和扩充。(9)具有对拨号访问内部网的集中处理和过滤能力。,(10)具有记录和审计的功能，包括可以登记通信的业务和记录可疑活动的方法，便于检查和审计。(11)防火墙设备上所使用的操作系统和开发工具都应该具备一定等级的安全性。(12)防火墙应该是可检验和可管理的。防火墙系统由一组硬件和软件构成，它的基本实现技术包括了包过滤技术和代理服务技术。,9.4.3 包过滤技术 包过滤技术是防火墙的一种最基本的实现技术，具有包过滤技术的装置是用来控制内外网络间数据流的流入和流出（如图9-4所示）。,包过滤技术依靠以下三个基本依据来实现“允许或不允许”某些包通过防火墙：(1)包的目的地址及目的端口。(2)包的源地址及源端口。(3)包的传送协议。,图9-5 包过滤操作流程,(1)对于包过滤装置的有关端口必须设置包过滤规则。(2)当一个包到达过滤端口时，将该包的头部进行分析。大多数包过滤装置只检查IP、TCP或UDP头部内的字段。(3)包过滤规则按一定的顺序存储。当一个包到达时，应用于该包的顺序与包过滤规则顺序要相适应。,(4)如果有一条规则阻塞该包的传输或接收，则不允许该包通过。(5)如果有一条规则允许包传输或接收，则允许该包通过。(6)如果一个包不满足、中任何一条规则，则该包可能被阻塞，也可能通过。,针对以下所列的IP包的各个域写好访问控制表：(1)禁止一切源路由寻径的 IP包通过；(2)到达的IP包所来自的接口和所要转发的接口；(3)IP包的源地址和目的地址；(4)IP包中TCP与UDP的源端口和目的端口；(5)运行的协议（TCP、UDP、ICMP等）和已建立起来的连接等；(6)IP包的选择项。,包过滤技术的优点如下：(1)具有包过滤技术的防火墙是一种比较简单的设备，并具有良好的网络安全保障功能。(2)这种防火墙技术对用户是透明的，不需要用户站上的软件支持，也不要求客户做特别的设置。(3)包过滤的产品目前在市场上种类繁多，比较容易选用和获得，有些具有包过滤功能的软件还能从Internet上免费下载。,(1)由于包过滤的规则中无法包括用户名，而仅仅是客户机的IP地址，因此欲要过滤用户名就不能使用包过滤技术。(2)对于包中所包含的文件内容无法过滤。(3)对包过滤规则的配置和设置必须由经过一定培训的专业人员来进行。(4)每一种包过滤产品其功能都有一定的局限性。(5)由于包过滤往往遵循“未经禁止的就允许通过”的规则，因此一些未禁止的包进出网络会造成对网络安全的威胁。(6)有些协议所使用包过滤方式并不是很有效。,9.4.4 代理服务技术 代理服务技术是防火墙技术中使用得较多的技术，也是一种安全性能较高的技术。,图9-6 代理服务器的位置,图9-7 防火墙代理服务器工作原理,代理服务技术的防火墙优点有：(1)可以将内部网络的结构屏蔽起来，显著地增强了网络的安全性。(2)应用代理程序能理解所处理的应用协议，能针对协议实现其特有的安全特性。(3)应用代理程序能实施完善的数据流监控、过滤、记录、报警等功能，为系统提供了强大的安全控制能力。,图9-8 具有代理服务的壁垒主机,代理服务技术的防火墙缺点：(1)必须为每一个网络应用服务专门设计、开发相应的应用代理服务软件，开发的工作量大，而且对新协议，必须重新开发相应的应用代理。(2)应用代理程序的使用，降低了透明性。(3)由于在基于协议的应用层工作，导致网络性能的下降。(4)需要专用的硬件（服务器）来承担。,9.4.5 防火墙系统基本组件 防火墙是一个由软件和硬件组成的系统，所以又称防火墙系统。构成一个防火墙系统的基本组件如下：1屏蔽路由器（Screening Router）顾名思义，屏蔽路由器是根据安全的需要，对所有要通行的IP包进行过滤和路由的一台路由器（如图9-9所示）。,2壁垒主机（Bastion Host）壁垒主机是一台普通的计算机，软件上配置了代理服务程序，从而具备强大而完备的安全功能，它是内部网络Intranet与Internet之间的通信桥梁。如图9-10所示。,图9-9 屏蔽路由器防火墙,图9-10 壁垒主机防火墙,3应用网关（Application Gateway）应用网关是在一台双目主机上运行应用网关代理服务程序（如图9-11所示）的。它代理某种Internet网络服务并进行安全检查，每一个应用网关代理服务程序都是为一种网络应用服务而定制的程序，如 FTP代理、Telnet代理、SMTP代理等。应用网关的体系结构如图9-12所示。,图9-11 应用网关防火墙,9.4.6 防火墙系统结构 防火墙系统具有简单结构和复合型结构两类。简单结构包括只使用屏蔽路由器或者作为代理服务器的双目主机结构；复合型结构一般包括了屏蔽主机和屏蔽子网。,1.双目主机结构 双目主机结构防火墙系统主要由一台双目主机构成。双目主机具有两个网络接口，它的位置位于内部网络Intranet与Internet的连接处，并运行应用代理程序，充当内、外部网络之间的转发器。,图9-13 双目主机结构防火墙系统,如对于一个Unix主机防火墙必须要做到：移走程序开发工具：如编译器，链接器等；移走不需要或不了解的具有SUID和SGID权限的程序；使用磁盘分区，从而使对所有磁盘空间的攻击被限制在那个磁盘分区空间中；删去不需要的系统和专门帐号；删去不需要的网络服务。,2.屏蔽主机结构 屏蔽主机结构防火墙系统由屏蔽路由器与壁垒主机构成，屏蔽路由器位于内部网络Intranet与Internet之间的连接处，壁垒主机位于内部网络之上。这种结构中，屏蔽路由器为系统提供主要的安全功能，壁垒主机则主要提供面向应用的服务。屏蔽主机结构防火墙系统如图9-14所示。,图9-14 屏蔽主机结构防火墙系统,图9-15 屏蔽主机结构的防火墙体系结构,3.屏蔽子网结构 屏蔽子网结构防火墙系统在屏蔽主机结构的基础上，增加了一个周边防御网段，以进一步隔离内部网络与外部网络。屏蔽子网结构防火墙系统如图9-16所示。,图9-16 屏蔽子网结构的防火墙系统,使用屏蔽子网防火墙系统有如下优点：(1)Internet上的攻击者要到达内部网络，必须突破外部屏蔽路由器、壁垒主机和内部屏蔽路由器三道防线设备，对内部网来说，能获得很好的安全防卫性能。(2)由于外部屏蔽路由器只能向Internet通告DMZ的存在，即保证了内部网络对Internet说来是不可见的，即使在DMZ上也只有选定的系统才向Internet开放（通过路由表和DNS）。,(3)由于内部屏蔽路由器只向内部网络通告DMZ的存在，保证了内部网络上的用户必须通过驻留在壁垒主机上的代理服务才能访问Internet。(4)没有使用双目主机代理服务系统，而是屏蔽路由器直接指向DMZ上壁垒主机，这样能获得更大的数据包吞吐量。(5)由于DMZ与内部网是两个被隔离的网络，两个网络可以具有自己的IP地址，网络地址转换NAT可以安装在DMZ的壁垒主机上，从而避免在内部网络上为DMZ重新编址或重新划分子网。,9.4.7 使用防火墙系统的优点和局限性 1.使用防火墙系统的优点 使用防火墙系统的优点如下：(1)可以对网络安全进行集中控制和管理。防火墙系统是在企业内部与外部网络之间构筑的一道屏障，将承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上，在结构上形成一个控制中心。,(2)由于防火墙在结构上的特殊位置，使其很方便地提供了监视、管理与审计网络的使用及预警。(3)为解决IP地址危机提供了可行的解决方法。(4)防火墙系统可作为 Internet信息服务器（如 WWW、FTP等服务器）的安装地点，对外发布信息。,2.使用防火墙系统的局限性 防火墙系统存在着如下局限性：(1)常常需要有特殊的较为封闭的网络拓扑结构来支持，对网络安全功能的加强往往以网络服务的灵活性、多样性和开放性为代价。(2)防火墙系统防范的对象是来自外部网络对内部网络的攻击，而不能防范不经由防火墙的攻击。(3)防火墙在技术原理上对来自内部网络系统的安全威胁不具备防范作用。比如不能防范内奸或由用户不注意所造成的危害。,