本章要点 15 防火墙构成了每个方向传输数据所必须经过的关卡。防 火墙的安全策略规定了在每个数据传输方向上的授权。 防火墙可以被设计成P级的包过滤器,也可以被应用在 更高级别的协议层。 一个可信系统是在给定的安全策略下,其运行可以被验 证的计算机和操作系统。通常,可信系统的焦点是访问 控制,而其采用的策略规定了主体对客体的访问权限。 。消息技术安全通用标准是一个国际化的标准。它定义了 一套安全需求和测评,并以此需求为根据的产品的系统 化方法。 2022/10/9 现代密码学理论与实践-20 2/63
2022/10/9 现代密码学理论与实践-20 2/63 本章要点 ⚫ 防火墙构成了每个方向传输数据所必须经过的关卡。防 火墙的安全策略规定了在每个数据传输方向上的授权。 ⚫ 防火墙可以被设计成IP级的包过滤器,也可以被应用在 更高级别的协议层。 ⚫ 一个可信系统是在给定的安全策略下,其运行可以被验 证的计算机和操作系统。通常,可信系统的焦点是访问 控制,而其采用的策略规定了主体对客体的访问权限。 ⚫ 消息技术安全通用标准是一个国际化的标准。它定义了 一套安全需求和测评,并以此需求为根据的产品的系统 化方法
防火墙的定义 物国海车K术 15 在互联网上,防火墙是一种有效的网络安全系统,可以隔 离风险区域(Internet或有一定风险的网络)与安全区域(局域 网)的连接,同时不会妨碍安全区域对风险区域的访问。 安全区域 安全区域 服务器 工作站 台式PC 打印机 服务器 二作站 台式PC 打中机 服务器 服务器 防水墙 Internet网络 2022/10/9 3/63
2022/10/9 现代密码学理论与实践-20 3/63 防火墙的定义 ⚫ 在互联网上,防火墙是一种有效的网络安全系统,可以隔 离风险区域(Internet或有一定风险的网络)与安全区域(局域 网)的连接,同时不会妨碍安全区域对风险区域的访问。 防火墙 服务器 工作站 台式PC 打印机 服务器 安全区域 服务器 工作站 台式PC 打印机 服务器 安全区域 Internet网络
15 20.1防火墙的设计原理 。防火墙的基本设计目标 对于一个网络来说,所有通过“内部”和“外部”的 网络流量都要经过防火墙 通过一些安全策略,来保证只有经过授权的流量才可 以通过防火墙 。防火墙本身必须建立在安全操作系统的基础上 防火墙的控制能力 服务控制,确定哪些服务可以被访问 方向控制,对于特定的服务,可以确定允许哪个方向 能够通过防火墙 用户控制,根据用户来控制对服务的访问 行为控制,控制一个特定的服务的行为 2022/10/9 现代密码学理论与实践-20 4/63
2022/10/9 现代密码学理论与实践-20 4/63 20.1 防火墙的设计原理 ⚫ 防火墙的基本设计目标 ⚫ 对于一个网络来说,所有通过“内部”和“外部”的 网络流量都要经过防火墙 ⚫ 通过一些安全策略,来保证只有经过授权的流量才可 以通过防火墙 ⚫ 防火墙本身必须建立在安全操作系统的基础上 ⚫ 防火墙的控制能力 ⚫ 服务控制,确定哪些服务可以被访问 ⚫ 方向控制,对于特定的服务,可以确定允许哪个方向 能够通过防火墙 ⚫ 用户控制,根据用户来控制对服务的访问 ⚫ 行为控制,控制一个特定的服务的行为
防火墙的功能 。防火墙定义一个必经之点,包含以下三种基本功能 可以限制未授权的用户进入内部网络,过滤不安全的 服务和非法用户 防止入侵者接近网络防御设施 限制内部用户访问特殊站点 由于防火墙假设了网络边界和服务,因此适合于相对 独立的网络,例如Intranet等种类相对集中的网络,任 何关键性的服务器,都应该放在防火墙之后 ● 防火墙提供了一个监视各种安全事件的位置,可以在 防火墙上实现审计和报警 防火墙可以是地址转换,Internet日志、审计,甚至 计费功能的理想平台 ,防火墙可以作为IPSec的实现平 2022/10/9 现代密码学理论与实践-20 5/63
2022/10/9 现代密码学理论与实践-20 5/63 防火墙的功能 ⚫ 防火墙定义一个必经之点,包含以下三种基本功能 ⚫ 可以限制未授权的用户进入内部网络,过滤不安全的 服务和非法用户 ⚫ 防止入侵者接近网络防御设施 ⚫ 限制内部用户访问特殊站点 ⚫ 由于防火墙假设了网络边界和服务,因此适合于相对 独立的网络,例如Intranet等种类相对集中的网络, 任 何关键性的服务器,都应该放在防火墙之后 ⚫ 防火墙提供了一个监视各种安全事件的位置,可以在 防火墙上实现审计和报警 ⚫ 防火墙可以是地址转换,Internet日志、审计,甚至 计费功能的理想平台 ⚫ 防火墙可以作为IPSec的实现平台
15 防火墙的局限性 防火墙不能防范网络内部的攻击,比如防火墙无法禁 止变节者或内部间谍将敏感数据拷贝到软盘上。 防火墙不能防范伪装成超级用户或诈称新雇员的黑客 们劝说没有防范心理的用户公开其口令,并授予其临 时的网络访问权限。 ● 防火墙不能防止传送己感染病毒的软件或文件,不能 期望防火墙对每一个文件进行扫描,查出潜在的病毒 防火墙不能阻止绕过防火墙的攻击,例如,在防火墙 内部通过拨号出去 2022/10/9 现代密码学理论与实践-20 6/63
2022/10/9 现代密码学理论与实践-20 6/63 防火墙的局限性 ⚫ 防火墙不能防范网络内部的攻击, 比如防火墙无法禁 止变节者或内部间谍将敏感数据拷贝到软盘上。 ⚫ 防火墙不能防范伪装成超级用户或诈称新雇员的黑客 们劝说没有防范心理的用户公开其口令,并授予其临 时的网络访问权限。 ⚫ 防火墙不能防止传送己感染病毒的软件或文件, 不能 期望防火墙对每一个文件进行扫描, 查出潜在的病毒 ⚫ 防火墙不能阻止绕过防火墙的攻击,例如,在防火墙 内部通过拨号出去
防火墙的分类 包过滤器(Packet Filtering):作用在网络层和传输层,根 据包头源地址、目的地址和端口号、协议类型等标志确 定是否允许数据包通过,只有满足过滤逻辑的数据包才 被转发到相应的目的地的出口端,其余的数据包则从数 据流中丢弃。 应用层代理(Application Proxy,.应用层网关,Application Gateway):它作用在应用层,其特点是完全“阻隔”网 络通信流,通过对每种应用服务编制专门的代理程序 实现监视和控制应用层通信流的作用。实际中的应用层 网关通常由专用工作站实现。 电路级网关(Circuit Level Gateway):直接对分组里的数 据进行处理,并且结合前后分组的数据进行综合判断, 然后决定是否允许该数据包通过 2022/10/9 现代密码学理论与实践-20 7163
2022/10/9 现代密码学理论与实践-20 7/63 防火墙的分类 ⚫ 包过滤器(Packet Filtering):作用在网络层和传输层,根 据包头源地址、目的地址和端口号、协议类型等标志确 定是否允许数据包通过,只有满足过滤逻辑的数据包才 被转发到相应的目的地的出口端,其余的数据包则从数 据流中丢弃。 ⚫ 应用层代理(Application Proxy, 应用层网关, Application Gateway):它作用在应用层,其特点是完全“阻隔”网 络通信流,通过对每种应用服务编制专门的代理程序, 实现监视和控制应用层通信流的作用。实际中的应用层 网关通常由专用工作站实现。 ⚫ 电路级网关(Circuit Level Gateway):直接对分组里的数 据进行处理,并且结合前后分组的数据进行综合判断, 然后决定是否允许该数据包通过
车系 15 包过滤路由器 基本思想简单 ·对于每个进来的包,适用一组规则,然后决定转发或者丢弃 该包 ·往往配置成双向的 如何过滤 。过滤的规则以P和传输层的头中的域(字段)为基础,包括源 和目标P地址、P协议域、源和目标端口号 ● 过滤器往往建立一组规则,根据P包是否匹配规则中指定的 条件来作出决定 。 。如果匹配到一条规则,则根据此规则决定转发或者丢弃 ·如果所有规则都不匹配,则根据缺省策略 2022/10/9 现代密码学理论与实践-20 8/63
2022/10/9 现代密码学理论与实践-20 8/63 包过滤路由器 ⚫ 基本思想简单 ⚫ 对于每个进来的包,适用一组规则,然后决定转发或者丢弃 该包 ⚫ 往往配置成双向的 ⚫ 如何过滤 ⚫ 过滤的规则以IP和传输层的头中的域(字段)为基础,包括源 和目标IP地址、IP协议域、源和目标端口号 ⚫ 过滤器往往建立一组规则,根据IP包是否匹配规则中指定的 条件来作出决定。 ⚫ 如果匹配到一条规则,则根据此规则决定转发或者丢弃 ⚫ 如果所有规则都不匹配,则根据缺省策略
安全缺省策略 作长大 105 ●两种基本策略, 或缺省策略 ·没有被拒绝的流量都可以通过 管理员必须针对每一种新出现 的攻击,制定新的规则 ·没有被允许的流量都要拒绝 。比较保守 07 根据需要,逐渐开放 2022/10/9 现代密码学理论与实践-20 9/63
2022/10/9 现代密码学理论与实践-20 9/63 安全缺省策略 ⚫ 两种基本策略,或缺省策略 ⚫ 没有被拒绝的流量都可以通过 ⚫ 管理员必须针对每一种新出现 的攻击,制定新的规则 ⚫ 没有被允许的流量都要拒绝 ⚫ 比较保守 ⚫ 根据需要,逐渐开放
少因海海家水 1950 包过滤路由器示意图 Security Perimeter Private Internet Network Packet- 1 filtering- router 网络层 链路层 物理层 外部网络 内部网 °络 2022/10/9 现代密码学理论与实践-20 10/63
2022/10/9 现代密码学理论与实践-20 10/63 包过滤路由器示意图 网络层 链路层 物理层 外部网络 内部网 络
冷不 1950 包过滤防火墙 ·在网络层上进行监测,没有考虑连接状态信息 ● 通常在路由器上实现,实际上是一种网络的访问控 制机制 ·优点 实现简单 对用户透明 。效率高 ·缺点 正确制定规则并不容易 。不可能引入认证机制 ¥例:ipchains and iptables 2022/10/9 现代密码学理论与实践-20 11/63
2022/10/9 现代密码学理论与实践-20 11/63 包过滤防火墙 ⚫ 在网络层上进行监测,没有考虑连接状态信息 ⚫ 通常在路由器上实现,实际上是一种网络的访问控 制机制 ⚫ 优点 ⚫ 实现简单 ⚫ 对用户透明 ⚫ 效率高 ⚫ 缺点 ⚫ 正确制定规则并不容易 ⚫ 不可能引入认证机制 ⚫ 举例: ipchains and iptables