第6章网络访问控制一、防火墙基本知识 企业上网面临的安全问题之一: 内部网与互联网的有效隔离 解答: 防火墙2、什么是防火墙（1） 2、什么是防火墙（3）目的：都是为了在被保护的内部网与不安全的非信任网络之间设立唯一的通道，以按照事先制定的策略控制信息的流入和流出，监督和控制使用者的操作。 典型情况：安全网络为企业内部网络，不安全网络为因特网。 注意：但防火墙不只用于因特网，也可用于Intranet各部门网络之间（内部防火墙）。例：财务部与市场部之间。2、什么是防火墙（5）4、防火墙功能（1）网络的安全性通常是以网络服务的开放性和灵活性为代价的。 防火墙的使用也会削弱网络的功能： ①由于防火墙的隔离作用，在保护内部网络的同时使它与外部网络的信息交流受到阻碍； ②由于在防火墙上附加各种信息服务的代理软件，增大了网络管理开销，还减慢了信息传输速率。防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失： 只能防范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力； 不能解决来自内部网络的攻击和安全问题； 不能防止受病毒感染的文件的传输； 不能防止策略配置不当或错误配置引起的安全威胁； 不能防止自然或人为的故意破坏；不能防止本身安全漏洞的威胁。6、争议及不足6、争议及不足(2)7、防火墙的设计原则（1）7、防火墙的设计原则（2）8、防火墙的分类（1）8、防火墙的分类（2）8、防火墙的分类（3）二、防火墙技术1、包过滤防火墙（1）1、包过滤防火墙（2）1、包过滤防火墙（3）优点： 速度快，性能高,灵活 对用户透明 实现包过滤几乎不再需要费用\1、LAND攻击（1）1、LAND攻击（2）2、状态防火墙（1）状态检测防火墙是在动态包过滤的基础上，增加了状态检测机制而形成的； 动态包过滤与普通包过滤相比，需要多做一项工作：对外出数据包的“身份”做一个标记，允许相同连接的数据包通过。 利用状态表跟踪每一个网络会话的状态，对每一个数据包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态；2、状态防火墙（3）主要优点： ①高安全性（工作在数据链路层和网络层之间；“状态感知”能力） ②高效性（对连接的后续数据包直接进行状态检查） ③状态防火墙具有更强的日志功能。 主要缺点： ①无状态的协议，例如UPD、ICMP ②状态表的大小。 3、应用网关（1）代理服务器示意图3、应用网关（3）3、应用网关（4）3、应用网关（5）为何能对连接请求进行认证？ 认证方式 用户名和口令 令牌卡信息 网络层源地址 生物信息 主要优点： 认证个人而非设备； 使黑客进行欺骗和实施Dos攻击比较困难; 能够监控和过滤应用层信息； 能够提供详细的日志； 内部网络拓扑结构等重要信息不易外泄； 可以实施用户认证、详细日志、审计跟踪和数据加密等功能和对具体协议及应用的过滤，安全性较高。主要缺点： 针对不同的应用层协议必须有单独的应用代理，也不能自动支持新的网络应用； 有些代理还需要相应的支持代理的客户和服务器软件；用户可能还需要专门学习程序的使用方法才能通过代理访问Internet； 详尽的日志功能性能下降。 改进：详尽的日志功能性能下降？ 将应用网关设置成只监控关键应用4、NAT技术（1）4、NAT技术（2）4、NAT技术（3）源IPInternet5、分布式防火墙（1）5、分布式防火墙（2）6、病毒防火墙（1）6、病毒防火墙（2）三、防火墙体系结构1、双重宿主主机体系结构（1）1、双重宿主主机体系结构（3）2、屏蔽主机体系结构（1）2、屏蔽主机体系结构（2）2、屏蔽主机体系结构（3）3、屏蔽子网体系结构（1）Internet3、屏蔽子网体系结构（3）3、屏蔽子网体系结构（4）3、屏蔽子网体系结构（5）三、物理隔离1、物理隔离与防火墙技术（1）1、网络隔离与防火墙技术（2）1、网络隔离与防火墙技术（3）2、物理隔离的定义（1）案例：政府网络案例：证券交易网2、物理隔离的定义（2）3、物理隔离技术原理－数据二极管3、物理隔离技术原理－存储池（1）3、物理隔离技术原理－存储池（2）3、物理隔离技术原理－存储池（3）3、物理隔离技术原理－存储池（4）3、物理隔离技术原理－存储池（5）3、物理隔离技术原理－存储池（6）3、物理隔离技术原理－存储池（7）3、物理隔离技术原理－存储池（8）3、物理隔离技术原理－存储池（9）4、物理隔离技术分类－第一代（1）解决每人2台计算机的问题 1台计算机，可以分时使用内网或外网 关键部件 硬盘 共享部件 显示器 键盘/鼠标 主板/电源 原理 切换开关方案4、物理隔离技术分类－第二代（1）4、物理隔离技术分类－第二代（2）4、物理隔离技术分类－第三代本章小结