欢迎来到天天文库
浏览记录
ID:43766440
大小:516.00 KB
页数:32页
时间:2019-10-14
《网络安全原理与应用 沈苏彬 NetSec-ch4.2 Firewall》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第4章访问控制技术及应用网络防火墙沈苏彬南京邮电大学信息网络技术研究所主要内容网络防火墙基本概念网络层防火墙应用层防火墙2前言故善战者,求之于势,不责于人,故能择人而任势。(春秋)孙子,《孙子兵法》按照孙子所言,善于作战的将领,依靠对形势的把握和控制而获胜,而不是单纯依赖于下属。他们能够选择能审时度势合适的人才。同样,对于网络安全,也需要审时度势地进行网络控制,这样,才能成功地实施网络环境中的安全控制。3网络防火墙的相关问题为什么需要网络防火墙?何时出现网络防火墙?网络防火墙会长久存在吗?什么是网络防火墙的基本功能?网络防火墙是否真正具有安全防范作用?网
2、络防火墙还有什么不足?4网络防火墙基本概念网络防火墙定义网络防火墙特征网络防火墙部署结构网络防火墙分类网络防火墙自身安全性5网络防火墙定义从理论上定义,防火墙是限制数据在网络之间自由传递的控制系统,它是网络安全系统中一种访问控制系统。在实际应用中,防火墙是限制数据在企业内部网络、企业外部网络以及公共互联网之间自由传递的安全控制系统。6网络防火墙特征防火墙具有以下特征:(1)所有从外部网到内部网,或者从内部网到外部网的数据流必须经过防火墙;(2)根据本地安全策略定义,只有被授权的数据流才能通过防火墙;(3)防火墙具有抵御网络攻击的能力。7对比托管监控器模型
3、为了保证托管监控器能够按照访问控制数据库的规则,实现访问控制策略,托管监控器必须满足3点要求:完备性(任何访问操作无法绕过)=》必须经过防火墙孤立性(独立安全机制、不受其他系统干扰)=》本地安全策略可验证性(控制机制及其实现必须通过安全验证)=》抵御攻击托管监控器访问控制数据库审核文件主体客体图4.1托管监控器访问控制架构8网络防火墙分类防火墙一般可以分成2种类型:网络层防火墙和应用层防火墙。网络层防火墙也称为“分组过滤器”,它是通过路由器对分组报头的识别,过滤不符合安全策略的分组,实现对进入或者离开企业网的分组进行访问控制。公共互联网企业网过滤分组网络
4、层防火墙9网络防火墙分类(续)应用层防火墙也称为“应用网关”,它强制性在公共互联网与企业网之间中断应用连接,根据安全策略检查这些应用连接,如果这些应用连接符合安全策略的要求,然后再转发应用连接。公共互联网企业网应用层防火墙应用转接10网络防火墙部署结构在因特网环境下防火墙一般设置在公共因特网与企业网之间,而企业网中还可以进一步采用防火墙设置成企业外部网和企业内部网。外部防火墙内部防火墙对外服务器网络设备网络设备对内服务器内部主机内部主机网络设备企业外部网(非军事区)企业内部网公共互联网图4.5防火墙应用的典型结构11网络防火墙部署结构(续)外部防火墙的功
5、能:隔离公共互联网与外部网(企业放置对外服务器,例如对外网站和邮件服务器,的网络区域)。外部防火墙通常是网络层防火墙内部防火墙的功能:隔离外部网与内部网(企业放置内部服务器和内部网络客户机的网络区域)。内部防火墙=网络层防火墙+应用层防火墙12网络防火墙自身安全性防火墙的一个重要特征是自身具有很强的抵御网络攻击的能力。从安全角度看,作为防火墙的路由器或者网关都应该尽量少地运行简单的、易于控制的程序,关闭不需要的服务。例如应该关闭路由器或者网关上的远地登录服务。应用层防火墙也称为“堡垒主机”。为了使得“堡垒主机”真正成为外部网络攻击无法攻破的“堡垒”,它所
6、运行的操作系统、应用软件都是经过严格筛选和简化的系统和软件。13网络层防火墙网络层防火墙原理网络层防火墙功能网络层防火墙配置网络层防火墙优点网络层防火墙缺点14网络层防火墙原理网络层防火墙通常称为“分组过滤器”,它能够是网络层转发分组过程中,根据安全策略对分组进行过滤。这种防火墙主要在路由器中实现。现在因特网上的路由器都提供一种基于访问控制列表(ACL)的访问控制功能,这种功能就是“分组过滤器”功能。15网络层防火墙功能通过禁止(允许)某类源IP地址或者某类目的IP地址,分组过滤器可以限制(允许)来自公共互联网的某些子网访问企业网,或者限制(允许)企业网
7、内某些子网访问公共互联网;通过禁止(允许)某类源端口号或者某类目的端口号,分组过滤器可以限制(允许)来自公共互联网的某类服务请求,或者限制(允许)企业网对公共互联网的某些服务请求。16网络层防火墙配置S.Bellovin和W.Cheswick建议采用以下三个步骤配置分组过滤器:第一步需要了解被保护网络的安全策略,即需要知道什么应该被“允许”,什么应该被“禁止”,以及缺省情况。第二步需要根据网络安全策略,寻找对应的可控制的分组报头字段,并且需要明确罗列具体的安全控制规则。第三步按照分组过滤器中ACL要求的格式,配置具体罗列的安全控制规则。17网络层防火墙配
8、置(续1)假定设置的分组过滤器公共互联网与企业外部网之间的网络层防火墙。其安全策
此文档下载收益归作者所有