网络安全访问控制与防火墙技术资料

下图是一个包过滤模型原理图：
7 应用层
6 表示层 5 会话层 4 传输层
IP TCP Session
Application Data
与过滤规 则匹配吗？
审计/报警
转发包吗？
3 网络层
防火墙检查模块 2 数据链路层
还有另外 的规则吗？
发送 NACK
1 物理层
丢弃包
结束
•通过检查模块，防火墙能拦截和检查所有出站的 数据。
A 进 拒绝 M B 出 允许 *
*
E - mail
*
*
25
不信任
* 允许联接
C 双向 拒绝 *
*
*
* 缺省 状态
“*”代表任意值，没有被过滤器规则明确允许的 包将被拒绝。
（2）数据包过滤特性分析
•主要优点：是仅一个关健位置设置一个数据包 过滤路由器就可以保护整个网络，而且数据包过 滤对用户是透明的，不必在用户机上再安装特定 的软件
3．1 访问控制技术
3．1．1 访问控制技术概述
1. 访问控制的定义
访问控制是针对越权使用资源的防御措施， 是网络安全防范和保护的主要策略，主要任务是 保证网络资源不被非法使用和非常访问。
也是保证网络安全的核心策略之一。
2. 基本目标
防止对任何资源进行未授权的访问，从而使 计算机系统在合法范围内使用；决定用户能做什 么。
3．1．3 访问控制的常用实现方法
访问控制的常用实现方法是指访问控制策略 的软硬件低层实现。访问控制机制与策略独立， 可允许安全机制的重用。安全策略之间没有更好 的说法，应根据应用环境灵活使用。
1. 访问控制表(ACL)
•优点： 控制粒度比较小，适用于被区分的用户数比
较小的情况，并且这些用户的授权情况相对比较 稳定的情形。
2. 访问能力表
授权机构针对每个限制区域，都为用户维护 它的访问控制能力。
3. 安全标签
发起请求的时候，附属一个安全标签，在目 标的属性中，也有一个相应的安全标签。在做出 授权决定时，目标环境根据这两个标签决定是允 许还是拒绝访问，常常用于多级访问策略。
4． 基于口令的机制
（1）与目标的内容相关的访问控制 （2）多用户访问控制 （3）基于上下文的控制
• 数据包过滤可以控制站点与站点、站点与网络 和网络与网络之间的相互访问，但不能控制传输 的数据内容。
因为传输的数据内容是应用层数据，不是包 过滤系统所能辨认的，数据包过滤允许用户在单 个地方为整个网络提供特别的保护。 • 包过滤检查模块深入到系统的网络层和数据链 路层之间。
因为数据链路层是事实上的网卡（NIC）， 网络层是第一层协议堆栈，所以防火墙位于软件 层次的最底层。
（3）应用层网关实现 •编写代理软件 •客户软件 •协议对于应用层网关的处理
（4）应用层网关的特点和发展方向
•智能代理
3． 电路级网关技术
•电路级网关（Circuit Level Gateway）也是一种 代理，但是只能是建立起一个回路，对数据包只 起转发的作用。电路级网关只依赖于TCP联接， 并不进行任何附加的包处理或过滤。
⑤ 通过代理访问Internet可以解决合法的IP地址不 够用的问题，因为Internet所见到只是代理服务器的 地址，内部不合法的IP通过代理可以访问Internet。
•应用层代理的缺点：
① 有限的联接性。 ② 有限的技术。 ③ 应用层实现的防火墙会造成明显的性能下降。 ④ 每个应用程序都必须有一个代理服务程序来进 行安全控制，每一种应用升级时，一般代理服务程 序也要升级。 ⑤ 应用层网关要求用户改变自己的行为，或者在 访问代理服务的每个系统上安装特殊的软件。
网络安全技术
退出
学习目的：
了解访问控制技术的基本概念 熟悉防火墙技术基础 初步掌握防火墙安全设计策略 了解防火墙攻击策略 了解第四代防火墙的主要技术 了解防火墙发展的新方向 了解防火墙选择原则与常见产品
学习重点：
Windows NT/2K安全访问控制手段 防火墙安全设计策略 防火墙攻击策略 防火墙选择原则
4． 防火墙的作用
防火墙用于加强网络间的访问控制，防止 外部用户非法使用内部网的资源，保护内部网 络的设备不被破坏，防止内部网络的敏感数据 被窃取。
防火墙系统决定了哪些内部服务可以被外 界访问；外界的哪些人可以访问内部的哪些可 以访问的服务，以及哪些外部服务可以被内部 人访问。
3．2．2 防火墙的类型
3. 基于角色的访问控制
基于角色的访问控制（RBAC）是与现代的商 业环境相结合后的产物，同时具有基于身份策略 的特征，也具有基于规则的策略的特征，可以看 作是基于组的策略的变种，根据用户所属的角色 作出授权决定。
4.多级策略法
多级策略给每个目标分配一个密级，一般安 全属性可分为四个级别：最高秘密级（Top Secret）、秘密级（Secret）、机密级（ Confidene）以及无级别级（Unclassified ）。
2． 应用层网关（Application Gateway）
（1）应用层网关原理
•也称为代理服务器，代理（Proxy）技术与包过 滤技术完全不同，包过滤技术是在网络层拦截所 有的信息流，代理技术是针对每一个特定应用都 有一个程序。代理是企图在应用层实现防火墙的 功能，代理的主要特点是有状态性。代理能提供 部分与传输有关的状态，能完全提供与应用相关 的状态和部分传输方面的信息，代过滤与代理服务的比较
• 包过滤防火墙的安全性较弱，透明度上较好 。如果防火墙遭到损害，所有它后面的网络都面 临危险。
• 代理服务在安全方面比包过滤强，但它们在性能 和透明度上比较差。主要的安全优点在基于代理服务 的防火墙设计上，即使一个基于代理的防火墙遭到破 坏，还是没有直接传到防火墙后面的网络上；而包过 滤防火墙上，如一个过滤规则被修改或破坏了，防火 墙还继续为包路由。
3. 访问控制的作用
（1）访问控制对机密性、完整性起直接 的作用。
（2）对于可用性的有效控制
3．1．2 访问控制策略
访问控制策略(Access Control Policy)是 在系统安全策略级上表示授权，是对访问如何控 制、如何作出访问决定的高层指南。
1. 自主访问控制
自主访问控制(DAC)也称基于身份的访问控 制 (IBAC)，是针对访问资源的用户或者应用设 置访问控制权限；根据主体的身份及允许访问的 权限进行决策；自主是指具有某种访问能力的主 体能够自主地将访问权的某个子集授予其它主体 ，访问信息的决定权在于信息的创建者。
A
出向
内部网络 202.110.8.0 拒绝
B
入 202.110.8.0 内部网络 拒绝
③ 按服务过滤
假设安全策略是禁止外部主机访问内部的 E-mail服务器（SMTP，端口25），允许内部主 机访问外部主机，实现这种的过滤的访问控制 规则类似下表。
规则 方向 动作 源 地址 源端口 目的地址 目的端口 注释
•防火墙常见的有三种类型：数据包过滤路由器 、应用层网关、电路层网关。
1． 数据包过滤路由器
（1）数据包过滤原理
•数据包过滤技术是防火墙最常用的技术。 •数据包过滤技术，顾名思义是在网络中适当的 位置对数据包实施有选择的通过规则，选择依据 ，即为系统内设置的过滤规则（即访问控制表） ，只有满足过滤规则的数据包才被转发至相应的 网络接口，其余数据包则被从数据流中删除。
•下图是应用层网关的结构示意图，其中内部网 的一个Telnet客户通过代理访问外部网的一个 Telnet服务器的情况。
• Telnet代理服务器执行内部网络向外部网络申 请服务时中间转接作用。
应用层网关上的代理服务事实上分为一个客 户代理和一个服务器代理，Telnet是一个Telnet 的服务器守护进程，当它侦听到一个连接到来之 后，它首先要进行相应的身份认证，并根据安全 策略来决定是否中转连接。当决定转发时，代理 服务器上的Telnet客户进程向真正的Telnet服务 器发出请求，Telnet服务器返回的数据是由代理 服务器转发给Telnet客户机。
•缺点和局限性：包过滤规则配置比较复杂，而且 几乎没有什么工具能对过滤规则的正确性进行测 试；包过滤也没法查出具有数据驱动攻击这一类 潜在危险的数据包；由于数据包过滤是通过源地 址来做判断的，但IP地址是很容易改变的，所以 源地址欺骗用数据包过滤的方法不能查出来。除 此之外，随着过滤数目的增加，路由器的吞吐量 会下降，从而影响网络性能。
•电路级网关防火墙特点：电路级网关是一个通用 代理服务器，它工作于OSI互联模型的会话层或是 TCP/IP协议的TCP层。它适用于多个协议，但它 不能识别在同一个协议栈上运行的不同的应用。 •优点：它可以对各种不同的协议提供服务，但这 种代理需要改进客户程序。这种网关对外像一个代 理，而对内则是一个过滤路由器。
3． 防火墙的局限性
（1）限制有用的网络服务。 （2）无法防护内部网络用户的攻击。 （3）Internet防火墙无法防范通过防火墙以外
的其他途径的攻击。 （4）Internet防火墙也不能完全防止传送已感
染病毒的软件或文件。 （5）防火墙无法防范数据驱动型的攻击。 （6）不能防备新的网络安全问题。
3．1．4 Windows NT/2K 安全访问控制手段
对于用户而言，Windows NT/2K有以下几种管 理手段：
1． 用户帐号和用户密码 2． 域名管理 3． 用户组权限 4． 共享资源权限
3．2 防火墙技
术 基础
3．2．1 防火墙概述
1． 防火墙（FireWall）
•所谓“防火墙”，是指一种将内部网和公众网络（如 Internet）分开的方法，它实际上是一种隔离技术，是 在两个网络通信时执行的一种访问控制手段，它能允许 用户“同意”的人和数据进入网络，同时将用户“不同 意”的人和数据拒之门外，最大限度地阻止网络中的黑 客来访问自己的网络，防止他们更改、复制和毁坏自己 的重要信息。
① 设置步骤
•必须制定一个安全策略； •必须正式规定允许的包类型、包字段的逻辑表达； •必须用防火墙支持的语法重写表达式。
② 按地址过滤
•比如说，认为网络202.110.8.0是一个危险的网络 ，那么就可以用源地址过滤禁止内部主机和该网络 进行通信。下表是根据上面的政策所制定的规则。
规则
方
源地址 目标地址 动作
•一个防火墙的基本目标为： 1）对于一个网络来说，所有通过“内部”和“外
部”的网络流量都要经过防火墙；2）通过一些安全策 略，来保证只有经过授权的流量才可以通过防火墙；3 ）防火墙本身必须建立在安全操作系统的基础上。
2． 防火墙的优点
（1）防火墙对企业内部网实现了集中的安全管理，可 以强化网络安全策略，比分散的主机管理更经济易行 。 （2）防火墙能防止非授权用户进入内部网络。 （3）防火墙可以方便地监视网络的安全性并报警。 （4）可以作为部署网络地址转换（Network Address Translation ）的地点，利用NAT 技术，可以缓解地址 空间的短缺，隐藏内部网的结构。 （5）利用防火墙对内部网络的划分，可以实现重点网 段的分离，从而限制问题的扩散。 （6）由于所有的访问都经过防火墙，防火墙是审计和 记录网络的访问和使用的最佳地方。
• 特点：灵活性高，被大量采用。 • 缺点：安全性最低。
自主访问控制可以分为以下两类：
(1) 基于个人的策略 (2) 基于组的策略
• 自主访问控制存在的问题：配置的粒度小， 配置的工作量大，效率低。
2. 强制访问控制
强制访问控制（MAC）也称基于规则的访问控 制（RBAC），在自主访问控制的基础上，增加了 对资源的属性(安全属性)划分，规定不同属性下 的访问权限。
提供代理服务的可以是一台双宿网关，也可 以是一台堡垒主机，允许用户访问代理服务是很 重要的，但是用户是绝对不允许注册到应用层网 关中的。
• 提供代理的应用层网关主要有以下优点：
① 应用层网关有能力支持可靠的用户认证并提供 详细的注册信息。
② 用于应用层的过滤规则相对于包过滤路由器来说 更容易配置和测试。 ③ 代理工作在客户机和真实服务器之间，完全控制 会话，所以可以提供很详细的日志和安全审计功能 。 ④ 提供代理服务的防火墙可以被配置成惟一的可被 外部看见的主机，这样可以隐藏内部网的IP地址， 可以保护内部主机免受外部主机的进攻。