搜索
2020/9/9第5章防火墙与VPN技术2020/9/95.1防火墙1•5.1.1什么是防火墙•防火墙:是一类防范措施的总称,它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访,用来保护内部网络。•“扼制点”的作用:是控制访问。•围绕防火墙出现了一些常用的概念,这些是:•(1)外网(非受信网络):防火墙外的网络,一般为Internet。•(2)内网(受信网络):防火墙内的网络。受信主机和非受信主机分别对照内网和外网的主机。•(3)非军事化区(DMZ):为了配置管理方便,内网中需要向外提供服务的服务器往往放在一个单独的网段,这个网段便是非军事化区(DMZ区)。•设置防火墙的目的及主要作用是什么?•答:设置防火墙的目的是为了在内部网与外部网之间设立惟一通道,允许网络管理员定义一个中心“扼制点”提供两个网络间的访问的控制,使得只有被安全策略明确授权的信息流才被允许通过,对两个方向的信息流都能控制。它的主要作用是防止发生网络安全事件引起的损害,使入侵更难实现,来防止非法用户,比如防止黑客,网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络,并抗击来自各种路线的攻击。5.1防火墙2•5.1.2防火墙的设计原则•防火墙的设计须遵循以下基本原则:•(1)由内到外和由外到内的业务流必须经过防火墙。•(2)只允许本地安全政策认可的业务流通过防火墙。•(3)尽可能控制外部用户访问内域网,应严格限制外部用户进入内域网。•(4)具有足够的透明性,保证正常业务的流通。•(5)具有抗穿透攻击能力,强化记录、审计和告警。•5.1.3防火墙的基本组成•防火墙主要包括安全操作系统、过滤器、网关、域名服务和E-mail处理。•5.1.4防火墙的分类•1,包过滤型•2,包检验型•3,应用层网关型2020/9/95.1防火墙3•5.1.5防火墙不能解决的问题•防火墙无法防范通过防火墙以外的其他途径的攻击。•防火墙不能防止来自内部变节者和不经心的用户带来的威胁。•防火墙也不能防止传送已感染病毒的软件和文件。•防火墙无法防范数据驱动型的攻击。•防火墙无法防范内部人的工作失误。2020/9/95.2VPN技术1•5.2.1问题的提出•5.2.2什么是VPN•虚拟专用网(VPN):通常被定义为通过一个公共网络(通常是Internet)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道,它是对企业内部网的扩展。•VPN提供如下功能:•加密数据:以保证通过公网传输的信息即使被他人截获也不会泄露。•信息认证和身份认证:保证信息的完整性、合法性,并能鉴别用户的身份。•提供访问控制:不同的用户有不同的访问权限。•5.2.3VPN的优点•成本较低:VPN在设备的使用量及广域网络的频宽使用上,均比专线式的架构节省,故能使企业网络的总成本降低。•网络结构灵活:VPN比专线式的架构有弹性,当有必要将网络扩充或是变更网络架构时,VPN可以轻易地达到目的。•管理方便:VPN较少的网络设备及物理线路,使网络的管理较为轻松•VPN是一种连接,从表面上看它类似一种专用连接,但实际上是在共享网络上实现的。2020/9/95.2VPN技术2•5.2.4VPN的基础——隧道协议•VPN利用隧道协议在网络之间建立一个虚拟通道,以完成数据信息的安全传输。•隧道协议可分为第2层隧道协议PPTP、L2F、L2TP和第3层隧道协议GRE、IPSec。•它们的本质区别在于用户的数据包是被封装在哪种数据包中传输的。•隧道协议主要包括以下几种:•(1)互联网协议安全IPSec:它位于第3层,是一个与互联网密钥交换IKE有关的框架协议,主要用于基于防火墙的VPN系统。•(2)第2层转发协议L2F:它由Cisco系统公司提出,可以在多种媒介,如ATM、帧中继、IP网上建立多协议的安全VPN通信方式。•第2层隧道协议L2TP:它PPTP和L2F的优点,并提交IETF进行标准化操作。•(3)点对点隧道协议PPTP:它由3Com、Access、As-cend、Microsoft和ECITelematics公司共同制定,用于PPTP客户机和PPTP服务器之间的安全通信。•(4)通用路由封装协议GRE:GRE在RFC1701、RFC1702中定义,它规定了怎样用一种网络层协议去封装另一种网络层协议的方法,GRE的隧道由其两端的源IP地址和目的IP地址来定义。•5.2.5隧道的基本组成•一个隧道启动器;•一个路由网络(Internet);•一个可选的隧道交换机;•一个或多个隧道终结器。•隧道启动和终止可由许多网络设备和软件来实现。2020/9/95.2VPN技术3•5.2.6IPSec•IPSec是一系列保护IP通信的规则的集合,制定了通过公有网路传输私有加密信息的途径和方式。•IPSec提供的安全服务包括私有性(加密)、真实性(验证发送者的身份)、完整性(防数据篡改)和重传保护(防止未经授权的数据重新发送)等,并制定了密钥管理的方法。•互联网密钥交换IKE作为IPSec的密钥管理协议,定义了一系列的方法和步骤来建立用于加密和解密的密钥,并定义了双方通信的公用语言和标识。•IPSec有两种工作模式:•一是传输模式,为源到目的之间已存在的IP包提供安全性。•二是隧道模式,它把一个IP包放到一个新的IP包中,并以IPSec格式发往目的终点。隧道模式被用在两端或是一端是安全网关的架构中,例如装有IPSec的路由器或防火墙。2020/9/95.2VPN技术4•5.2.7选择VPN解决方案•VPN解决方案一般分为VPN服务器(或集中器)和VPN客户端。•VPN服务器应用一般部署在安全网关上,而VPN客户端应用安装于非网关的主机上。典型的VPN部署包括安装VPN服务器和客户端。•选择VPN解决方案时需要考虑几个要点:•(1)认证方法:在VPN解决方案中首先要寻找的标准之一是认证方法。•(2)支持的加密算法:就加密算法而言,至少应该支持AES(高级加密标准);为了和以前的VPN实现兼容三重DES也是应该有的。•(3)支持的认证算法:IPSec规范规定所有的IPSec实现都应该支持带消息认证码HMAC的MD5和SHA-1杂凑函数。•(4)支持的IP压缩算法:理想情况下应该同时支持DEFI.ATE和LZS压缩算法。VPN解决方案应该至少支持这些压缩算法中的一个。•(5)易于部署:需要考虑部署VPN解决方案的难易程度,特别是当多个解决方案提供类似的技术特征时。•(6)兼容分布式或个人防火墙的可用性:保护那些允许与公司网络建立远程连接的客户端。2020/9/95.2VPN技术5•5.2.8VPN的适用范围•在满足基本应用要求后,有四类用户比较适合采用VPN。•(1)位置众多,特别是单个用户和远程办公室站点多,例如企业用户、远程教育用户;•(2)用户/站点分布范围广,彼此之间的距离远,遍对全球各地,需通过长途电信,甚至国际长途手段联系的用户;•(3)带宽和时延要求相对适中的用户;•(4)对线路保密性和可用性有一定要求的用户。•相对而言,有四种情况可能并不适于采用VPN:•(1)非常重视传输数据的安全性;•(2)不管价格多少,性能都被放在第一位的情况;•(3)采用不常见的协议,不能在IP隧道中传送应用的情况;•(4)大多数通信是实时通信的应用,如语音和视频。但这种情况可以使用公共交换电话网(PSTN)解决方案与VPN配合使用。2020/9/95.2VPN技术6•5.2.9VPN的分类•1,按VPN的部署模式分类•VPN的部署模式从本质上描述了VPN的通道是如何建立和终止的,一般有3种VPN部署模式:•(1)端到端(End-to-End)模式;•(2)供应商-企业(Provider-Enterprise)模式;•(3)内部供应商(Intra-Provider)模式。•2,按VPN的服务类型分类•根据服务类型,VPN业务大致可分为3类•(1)IntranetVPN:即企业的总部与分支机构间通过公网构筑的虚拟网。•(2)AccessVPN:又称为拨号VPN(即VPDN),是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。•(3)ExtranetVPN:即企业间发生收购、兼并或企业间建立战略联盟后,使不同企业网通过公网来构筑的虚拟网。•3,按接入方式不同•VPN的具体实现即解决方案有四种:•(1)虚拟专用拨号网络(VPDN)。•(2)虚拟专用路由网络(VPRN)。•(3)虚拟租用线路(VLL)。•(4)虚拟专用LAN子网段(VPLS)。2020/9/95.2VPN技术7•5.2.10组建VPN应该遵循的设计原则•VPN的设计应该遵循以下原则:•(1)安全性•(2)网络优化•(3)VPN管理等•5.2.11VPN的应用前景•在中国,制约VPN的发展、普及的因素大致上可分为客观因素和主观因素两方面。•1,客观因素•客观因素包括因特网带宽和服务质量QoS问题。•2,主观因素•主观因素之一是用户总害怕自己内部的数据在Internet上传输不安全。•主观因素之二,也是VPN应用最大的障碍,是客户自身的应用跟不上,只有企业将自己的业务完全和网络联系上,VPN才会有了真正的用武之地。2020/9/95.2VPN技术8•5.2.12VPN的几种解决方案•1,Cisco的VPN解决方案•Cisco公司与路由器集成的VPN解决方案是一种较为常见的基于硬件的构建策略。•2,华为的VPN解决方案•华为的VPN解决方案包括AccessVPN、IntranetVPN、ExtranetVPN及结合防火墙的VPN解决方案。•3,网际先进(InternetAppliance)公司的VPN解决方案•利用网际先进公司的VPN产品,用户能够自己建立和发起VPN,其灵活性和安全性完全由用户自己掌握。•4,川大能士的VPN解决方案•针对国家部委、金融、证券单位对安全的特殊需求和网络连接情况,四川川大能士公司提供了安全VPN(SVPN-SecurityVPN)的概念,以区别于其他的VPN。SVPN构建在x.25、帧中继或ATM网上,它更强调VPN的安全性,对安全要求更高。SVPN和IP-VPN面对的是不同的客户。•SVPN应该包括以下的特性:•(1)连接的真实性,即用户身份的鉴别;•(2)连接的连界安全,即合法用户的授权问题。边界数据的安全性,即数据的保护。边界的可用性;•(3)连接的完整性,连接本身的完整性以及在连接中传输的数据的完整性;•(4)连接机密性,过程和存在都不让外人知道。即使知道了,也无法破戒其中的数据;•(5)报警功能;•(6)整体的概念,要实现集中管理,也就是可控性,才能保证实现用户需要;•(7)安全设备自身的安全性,如防撬、抗高温等,操作平台的安全,没有体系结构漏洞。•使用能士公司的SVPN产品,用户可以自主地管理VPN,从设备管理、安全策略到配置,都能够自己控制。2020/9/9第6章接入控制与数据库加密2020/9/96.1接入控制1•6.1接入控制•接入或访问控制:是保证网络安全的重要手段,它通过一组机制控制不同级别的主体对目标资源的不同授权访问,在对主体认证之后实施网络资源安全管理使用。•Internet的接入控制主要对付三类入侵者(如黑客或破门而入者):•(1)伪装者:为非法用户,乔装合法用户渗透进入系统,他来自外部;•(2)违法者:为合法用户,他非法访问未授权数据、程序或资源,一般来自系统外部;•(3)地下用户:为掌握系统的管理控制;并利用它来逃避审计和接入控制或抑制审计作用的人,系统外部、内部都有。•6.1.1接入控制的功能•接入控制功能有以下三个:•(1)阻止非法用户进入系统;•(2)允许合法用户人进入系统;•(3)使合法人按其权限进行各种信息活动。•接入控制机构的建立主要根据三种类型信息:•(1)主体:是对目标进行访问的实体,它可为用户、用户组、终端、主机或一个应用程序;•(2)客体:是一个可接受访问和受控的实体,它可以是一个数据文件、一个程序组或一个数据库;•(3)接入权限:表示主体对客体访