搜索
退出网络安全技术学习目的:了解访问控制技术的基本概念熟悉防火墙技术基础初步掌握防火墙安全设计策略了解防火墙攻击策略了解第四代防火墙的主要技术了解防火墙发展的新方向了解防火墙选择原则与常见产品学习重点:WindowsNT/2K安全访问控制手段防火墙安全设计策略防火墙攻击策略防火墙选择原则3.1访问控制技术3.1.1访问控制技术概述1.访问控制的定义访问控制是针对越权使用资源的防御措施,是网络安全防范和保护的主要策略,主要任务是保证网络资源不被非法使用和非常访问。也是保证网络安全的核心策略之一。2.基本目标防止对任何资源进行未授权的访问,从而使计算机系统在合法范围内使用;决定用户能做什么。3.访问控制的作用(1)访问控制对机密性、完整性起直接的作用。(2)对于可用性的有效控制3.1.2访问控制策略访问控制策略(AccessControlPolicy)是在系统安全策略级上表示授权,是对访问如何控制、如何作出访问决定的高层指南。1.自主访问控制自主访问控制(DAC)也称基于身份的访问控制(IBAC),是针对访问资源的用户或者应用设置访问控制权限;根据主体的身份及允许访问的权限进行决策;自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体,访问信息的决定权在于信息的创建者。自主访问控制可以分为以下两类:(1)基于个人的策略(2)基于组的策略•自主访问控制存在的问题:配置的粒度小,配置的工作量大,效率低。•特点:灵活性高,被大量采用。•缺点:安全性最低。2.强制访问控制强制访问控制(MAC)也称基于规则的访问控制(RBAC),在自主访问控制的基础上,增加了对资源的属性(安全属性)划分,规定不同属性下的访问权限。3.基于角色的访问控制基于角色的访问控制(RBAC)是与现代的商业环境相结合后的产物,同时具有基于身份策略的特征,也具有基于规则的策略的特征,可以看作是基于组的策略的变种,根据用户所属的角色作出授权决定。4.多级策略法多级策略给每个目标分配一个密级,一般安全属性可分为四个级别:最高秘密级(TopSecret)、秘密级(Secret)、机密级(Confidene)以及无级别级(Unclassified)。3.1.3访问控制的常用实现方法访问控制的常用实现方法是指访问控制策略的软硬件低层实现。访问控制机制与策略独立,可允许安全机制的重用。安全策略之间没有更好的说法,应根据应用环境灵活使用。1.访问控制表(ACL)•优点:控制粒度比较小,适用于被区分的用户数比较小的情况,并且这些用户的授权情况相对比较稳定的情形。2.访问能力表授权机构针对每个限制区域,都为用户维护它的访问控制能力。3.安全标签发起请求的时候,附属一个安全标签,在目标的属性中,也有一个相应的安全标签。在做出授权决定时,目标环境根据这两个标签决定是允许还是拒绝访问,常常用于多级访问策略。4.基于口令的机制(1)与目标的内容相关的访问控制(2)多用户访问控制(3)基于上下文的控制对于用户而言,WindowsNT/2K有以下几种管理手段:1.用户帐号和用户密码3.1.4WindowsNT/2K安全访问控制手段2.域名管理3.用户组权限4.共享资源权限3.2防火墙技术基础1.防火墙(FireWall)•一个防火墙的基本目标为:1)对于一个网络来说,所有通过“内部”和“外部”的网络流量都要经过防火墙;2)通过一些安全策略,来保证只有经过授权的流量才可以通过防火墙;3)防火墙本身必须建立在安全操作系统的基础上。3.2.1防火墙概述•所谓“防火墙”,是指一种将内部网和公众网络(如Internet)分开的方法,它实际上是一种隔离技术,是在两个网络通信时执行的一种访问控制手段,它能允许用户“同意”的人和数据进入网络,同时将用户“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们更改、复制和毁坏自己的重要信息。2.防火墙的优点(1)防火墙对企业内部网实现了集中的安全管理,可以强化网络安全策略,比分散的主机管理更经济易行。(2)防火墙能防止非授权用户进入内部网络。(3)防火墙可以方便地监视网络的安全性并报警。(4)可以作为部署网络地址转换(NetworkAddressTranslation)的地点,利用NAT技术,可以缓解地址空间的短缺,隐藏内部网的结构。(5)利用防火墙对内部网络的划分,可以实现重点网段的分离,从而限制问题的扩散。(6)由于所有的访问都经过防火墙,防火墙是审计和记录网络的访问和使用的最佳地方。3.防火墙的局限性(1)限制有用的网络服务。(2)无法防护内部网络用户的攻击。(3)Internet防火墙无法防范通过防火墙以外的其他途径的攻击。(4)Internet防火墙也不能完全防止传送已感染病毒的软件或文件。(5)防火墙无法防范数据驱动型的攻击。(6)不能防备新的网络安全问题。4.防火墙的作用防火墙用于加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃取。防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的哪些可以访问的服务,以及哪些外部服务可以被内部人访问。1.数据包过滤路由器•防火墙常见的有三种类型:数据包过滤路由器、应用层网关、电路层网关。3.2.2防火墙的类型(1)数据包过滤原理•数据包过滤技术是防火墙最常用的技术。•数据包过滤技术,顾名思义是在网络中适当的位置对数据包实施有选择的通过规则,选择依据,即为系统内设置的过滤规则(即访问控制表),只有满足过滤规则的数据包才被转发至相应的网络接口,其余数据包则被从数据流中删除。•数据包过滤可以控制站点与站点、站点与网络和网络与网络之间的相互访问,但不能控制传输的数据内容。因为传输的数据内容是应用层数据,不是包过滤系统所能辨认的,数据包过滤允许用户在单个地方为整个网络提供特别的保护。•包过滤检查模块深入到系统的网络层和数据链路层之间。因为数据链路层是事实上的网卡(NIC),网络层是第一层协议堆栈,所以防火墙位于软件层次的最底层。下图是一个包过滤模型原理图:IP1物理层3网络层2数据链路层TCPSessionApplicationData与过滤规则匹配吗?还有另外的规则吗?转发包吗?审计/报警发送NACK丢弃包结束防火墙检查模块4传输层5会话层6表示层7应用层•通过检查模块,防火墙能拦截和检查所有出站的数据。①设置步骤•必须制定一个安全策略;•必须正式规定允许的包类型、包字段的逻辑表达;•必须用防火墙支持的语法重写表达式。②按地址过滤•比如说,认为网络202.110.8.0是一个危险的网络,那么就可以用源地址过滤禁止内部主机和该网络进行通信。下表是根据上面的政策所制定的规则。拒绝内部网络202.110.8.0入B拒绝202.110.8.0内部网络出A动作目标地址源地址方向规则③按服务过滤假设安全策略是禁止外部主机访问内部的E-mail服务器(SMTP,端口25),允许内部主机访问外部主机,实现这种的过滤的访问控制规则类似下表。缺省状态****拒绝双向C允许联接****允许出B不信任25E-mail*M拒绝进A注释目的端口目的地址源端口源地址动作方向规则-“*”代表任意值,没有被过滤器规则明确允许的包将被拒绝。(2)数据包过滤特性分析•主要优点:是仅一个关健位置设置一个数据包过滤路由器就可以保护整个网络,而且数据包过滤对用户是透明的,不必在用户机上再安装特定的软件•缺点和局限性:包过滤规则配置比较复杂,而且几乎没有什么工具能对过滤规则的正确性进行测试;包过滤也没法查出具有数据驱动攻击这一类潜在危险的数据包;由于数据包过滤是通过源地址来做判断的,但IP地址是很容易改变的,所以源地址欺骗用数据包过滤的方法不能查出来。除此之外,随着过滤数目的增加,路由器的吞吐量会下降,从而影响网络性能。2.应用层网关(ApplicationGateway)(1)应用层网关原理•也称为代理服务器,代理(Proxy)技术与包过滤技术完全不同,包过滤技术是在网络层拦截所有的信息流,代理技术是针对每一个特定应用都有一个程序。代理是企图在应用层实现防火墙的功能,代理的主要特点是有状态性。代理能提供部分与传输有关的状态,能完全提供与应用相关的状态和部分传输方面的信息,代理也能处理和管理信息。•下图是应用层网关的结构示意图,其中内部网的一个Telnet客户通过代理访问外部网的一个Telnet服务器的情况。•Telnet代理服务器执行内部网络向外部网络申请服务时中间转接作用。应用层网关上的代理服务事实上分为一个客户代理和一个服务器代理,Telnet是一个Telnet的服务器守护进程,当它侦听到一个连接到来之后,它首先要进行相应的身份认证,并根据安全策略来决定是否中转连接。当决定转发时,代理服务器上的Telnet客户进程向真正的Telnet服务器发出请求,Telnet服务器返回的数据是由代理服务器转发给Telnet客户机。提供代理服务的可以是一台双宿网关,也可以是一台堡垒主机,允许用户访问代理服务是很重要的,但是用户是绝对不允许注册到应用层网关中的。②用于应用层的过滤规则相对于包过滤路由器来说更容易配置和测试。③代理工作在客户机和真实服务器之间,完全控制会话,所以可以提供很详细的日志和安全审计功能。④提供代理服务的防火墙可以被配置成惟一的可被外部看见的主机,这样可以隐藏内部网的IP地址,可以保护内部主机免受外部主机的进攻。⑤通过代理访问Internet可以解决合法的IP地址不够用的问题,因为Internet所见到只是代理服务器的地址,内部不合法的IP通过代理可以访问Internet。•提供代理的应用层网关主要有以下优点:①应用层网关有能力支持可靠的用户认证并提供详细的注册信息。•应用层代理的缺点:①有限的联接性。②有限的技术。③应用层实现的防火墙会造成明显的性能下降。④每个应用程序都必须有一个代理服务程序来进行安全控制,每一种应用升级时,一般代理服务程序也要升级。⑤应用层网关要求用户改变自己的行为,或者在访问代理服务的每个系统上安装特殊的软件。(2)数据包过滤与代理服务的比较•代理服务在安全方面比包过滤强,但它们在性能和透明度上比较差。主要的安全优点在基于代理服务的防火墙设计上,即使一个基于代理的防火墙遭到破坏,还是没有直接传到防火墙后面的网络上;而包过滤防火墙上,如一个过滤规则被修改或破坏了,防火墙还继续为包路由。•包过滤防火墙的安全性较弱,透明度上较好。如果防火墙遭到损害,所有它后面的网络都面临危险。(3)应用层网关实现•编写代理软件•客户软件•协议对于应用层网关的处理(4)应用层网关的特点和发展方向•智能代理3.电路级网关技术•电路级网关(CircuitLevelGateway)也是一种代理,但是只能是建立起一个回路,对数据包只起转发的作用。电路级网关只依赖于TCP联接,并不进行任何附加的包处理或过滤。•电路级网关防火墙特点:电路级网关是一个通用代理服务器,它工作于OSI互联模型的会话层或是TCP/IP协议的TCP层。它适用于多个协议,但它不能识别在同一个协议栈上运行的不同的应用。•优点:它可以对各种不同的协议提供服务,但这种代理需要改进客户程序。这种网关对外像一个代理,而对内则是一个过滤路由器。3.3防火墙安全设计策略3.3.1防火墙体系结构1.屏蔽路由器(ScreeningRouter)屏蔽路由器可以由厂家专门生产的路由器实现,也可以用主机来实现。屏蔽路由器作为内外连接的惟一通道,要求所有的报文都必须在此通过检查。路由器上可以安装基于IP层的报文过滤软件,实现报文过滤功能。2.双穴主机网关(DualHomedGateway)穴主机网关是用一台装有两块网卡的堡垒主机的做防火墙。两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件,可以转发应用程序,提供服务等。3.被屏蔽主机网关(ScreenedGatewy)•屏蔽主机网关易于实现也最为安全。•网关的基本控制策略由安装在上面的软件决定。4.