第7章PPT防火墻

1、 2006工程兵工程學(xué)院 計(jì)算機(jī)教研室第七章n防火墻概述；防火墻概述；n分組過濾器；分組過濾器；n堡壘主機(jī)；堡壘主機(jī)；n統(tǒng)一訪問控制。統(tǒng)一訪問控制。防火墻是一種對不同網(wǎng)絡(luò)之間信息傳輸過程防火墻是一種對不同網(wǎng)絡(luò)之間信息傳輸過程實(shí)施監(jiān)測和控制的設(shè)備，尤其適用于內(nèi)部網(wǎng)實(shí)施監(jiān)測和控制的設(shè)備，尤其適用于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的連接處。絡(luò)和外部網(wǎng)絡(luò)之間的連接處。防火墻功能防火墻功能n服務(wù)控制服務(wù)控制不同網(wǎng)絡(luò)間只允許傳輸與特定服務(wù)相關(guān)的信息流。不同網(wǎng)絡(luò)間只允許傳輸與特定服務(wù)相關(guān)的信息流。n方向控制方向控制不同網(wǎng)絡(luò)間只允許傳輸與由特定網(wǎng)絡(luò)中終端發(fā)起的會(huì)話不同網(wǎng)絡(luò)間只允許傳輸與由特定網(wǎng)絡(luò)中終端發(fā)起的會(huì)話相關(guān)的信

2、息流。相關(guān)的信息流。n用戶控制用戶控制不同網(wǎng)絡(luò)間只允許傳輸與授權(quán)用戶合法訪問網(wǎng)絡(luò)資源相不同網(wǎng)絡(luò)間只允許傳輸與授權(quán)用戶合法訪問網(wǎng)絡(luò)資源相關(guān)的信息流。關(guān)的信息流。n行為控制行為控制不同網(wǎng)絡(luò)間只允許傳輸與行為合理的網(wǎng)絡(luò)資源訪問過程不同網(wǎng)絡(luò)間只允許傳輸與行為合理的網(wǎng)絡(luò)資源訪問過程相關(guān)的信息流。相關(guān)的信息流。n如果不與操作系統(tǒng)的安全訪問機(jī)制相結(jié)合，個(gè)人防火墻的功能相對如果不與操作系統(tǒng)的安全訪問機(jī)制相結(jié)合，個(gè)人防火墻的功能相對簡單；簡單；n有狀態(tài)檢查防火墻的功能已經(jīng)涵蓋電路層網(wǎng)關(guān)和應(yīng)用層網(wǎng)關(guān)的功能，有狀態(tài)檢查防火墻的功能已經(jīng)涵蓋電路層網(wǎng)關(guān)和應(yīng)用層網(wǎng)關(guān)的功能，但對終端用戶是透明的。但對終端用戶是透明的。防火

3、墻分類防火墻分類n電路層網(wǎng)關(guān)對運(yùn)輸層連接進(jìn)行監(jiān)測和控制，包括連接發(fā)起者的身份認(rèn)電路層網(wǎng)關(guān)對運(yùn)輸層連接進(jìn)行監(jiān)測和控制，包括連接發(fā)起者的身份認(rèn)證、經(jīng)過連接傳輸?shù)淖C、經(jīng)過連接傳輸?shù)腡CP報(bào)文的合理性等；報(bào)文的合理性等；n應(yīng)用層網(wǎng)關(guān)對特定應(yīng)用相關(guān)的消息交換過程實(shí)施監(jiān)測控制和，包括請應(yīng)用層網(wǎng)關(guān)對特定應(yīng)用相關(guān)的消息交換過程實(shí)施監(jiān)測控制和，包括請求、響應(yīng)過程，請求、響應(yīng)報(bào)文中各字段的正確性，傳輸內(nèi)容的合理求、響應(yīng)過程，請求、響應(yīng)報(bào)文中各字段的正確性，傳輸內(nèi)容的合理性和合法性等。性和合法性等。電路層網(wǎng)關(guān)工作機(jī)制電路層網(wǎng)關(guān)工作機(jī)制先認(rèn)證用戶身份，確定是授權(quán)用戶先認(rèn)證用戶身份，確定是授權(quán)用戶發(fā)起的發(fā)起的TCP連接

4、時(shí)，再與服務(wù)器建連接時(shí)，再與服務(wù)器建立立TCP連接。連接。n無狀態(tài)分組過濾器；無狀態(tài)分組過濾器；n有狀態(tài)分組過濾器。有狀態(tài)分組過濾器。分組過濾器根據(jù)規(guī)則鑒別出一組多個(gè)字段值等于設(shè)定值分組過濾器根據(jù)規(guī)則鑒別出一組多個(gè)字段值等于設(shè)定值的的IP分組，并對其進(jìn)行規(guī)定操作。這些字段值可以是分組，并對其進(jìn)行規(guī)定操作。這些字段值可以是IP分組首部字段值，可以是運(yùn)輸層首部字段值（電路層網(wǎng)分組首部字段值，可以是運(yùn)輸層首部字段值（電路層網(wǎng)關(guān)功能），也可以是應(yīng)用層消息的各個(gè)字段值（應(yīng)用層關(guān)功能），也可以是應(yīng)用層消息的各個(gè)字段值（應(yīng)用層網(wǎng)關(guān)的功能）。有狀態(tài)和無狀態(tài)的區(qū)別在于無狀態(tài)逐個(gè)網(wǎng)關(guān)的功能）。有狀態(tài)和無狀態(tài)的區(qū)別

5、在于無狀態(tài)逐個(gè)IP分組單獨(dú)處理，有狀態(tài)是基于會(huì)話，對屬于相同會(huì)話分組單獨(dú)處理，有狀態(tài)是基于會(huì)話，對屬于相同會(huì)話的一組的一組IP分組進(jìn)行聯(lián)合處理，會(huì)話可以是分組進(jìn)行聯(lián)合處理，會(huì)話可以是TCP連接，也連接，也可以是應(yīng)用層請求、響應(yīng)過程。因此，有狀態(tài)分組過濾可以是應(yīng)用層請求、響應(yīng)過程。因此，有狀態(tài)分組過濾器的功能涵蓋了電路層和應(yīng)用層網(wǎng)關(guān)的大部分功能，但器的功能涵蓋了電路層和應(yīng)用層網(wǎng)關(guān)的大部分功能，但分組過濾器對終端用戶是透明的。分組過濾器對終端用戶是透明的。 /24 /24 /24 源源IPIP地址地址/24/

6、24一、分組過濾一、分組過濾目的目的IPIP地址地址/24/24目的目的IPIP地址地址/24/24源源IPIP地址地址/24/24目的目的IPIP地址地址/24/24源源IPIP地址地址/24/24 /24 /24 /24 1 2 3 1 2 R1 R2 R3 LAN 1 LAN 2 LAN 3 Web 服務(wù)器服務(wù)器 19

7、 終端終端 A 源源IPIP地址地址=/24 .and. =/24 .and. 目目的的IPIP地址地址=/32 .and. =/32 .and. 目目的端口號(hào)的端口號(hào)=23=23，對和規(guī)則匹配的，對和規(guī)則匹配的IPIP分組采取的動(dòng)作是：拒絕傳輸分組采取的動(dòng)作是：拒絕傳輸 。一、分組過濾一、分組過濾n要求要求LAN 1LAN 1中終端不能通過中終端不能通過TELNETTELNET訪問訪問LAN 2LAN 2中服務(wù)器。中服務(wù)器。IPIP分組的源地址屬于分組的源地址屬于LAN1LAN1子子網(wǎng)地址，目的地址是網(wǎng)地址

8、，目的地址是LAN2LAN2服服務(wù)器，端口號(hào)必須確定是務(wù)器，端口號(hào)必須確定是TELNETTELNET應(yīng)用。應(yīng)用。n只只允許允許LAN2LAN2中終端訪問中終端訪問LAN1LAN1中的中的WEBWEB服務(wù)器。服務(wù)器。源源IPIP地址地址= .and. = .and. 目的目的IPIP地址地址=/24 .and. =/24 .and. 源端口號(hào)源端口號(hào)=80=80，對，對和規(guī)則匹配的和規(guī)則匹配的IPIP分組采取的動(dòng)作是：允分組采取的動(dòng)作是：允許傳輸許傳輸 。不允許和不允許和LAN1LAN1中終端通過中終端通過TELNETTEL

9、NET訪問訪問LAN2LAN2中服務(wù)器中服務(wù)器操作有關(guān)的信息經(jīng)過路由操作有關(guān)的信息經(jīng)過路由器器R1R1。 /24 /24 防火墻動(dòng)態(tài)分組過濾防火墻動(dòng)態(tài)分組過濾 只允許終端只允許終端A A訪問訪問終終端端B B，不允許終端不允許終端B B訪訪問終端問終端A A。終端終端A A終端終端B B源源IPIP地址地址 .and. .and.目的目的IPIP地地址址 .and. .and. 源端口號(hào)源端口號(hào)2323 只允許終端

10、只允許終端B B向終端向終端A A回信回信，不允不允許終端許終端B B主動(dòng)向終端主動(dòng)向終端A A寫信。寫信。 通過寄信人和收信人地址、姓名通過寄信人和收信人地址、姓名能區(qū)分這兩種類型的信嗎？能區(qū)分這兩種類型的信嗎？對終端對終端A A寫給終端寫給終端B B的信和終端的信和終端B B寫給終寫給終端端A A的信的內(nèi)容進(jìn)行的信的內(nèi)容進(jìn)行檢查，確定是回信，檢查，確定是回信，則通過，不是，則則通過，不是，則過濾。過濾。 /24 /24 1 2 3 非信任區(qū)非信任區(qū) 54 54 LAN 1 信任區(qū)信任區(qū) LAN 2

11、非軍事區(qū)非軍事區(qū) Web服務(wù)器服務(wù)器 Internet 郵件服務(wù)器郵件服務(wù)器 防火墻防火墻 防火墻動(dòng)態(tài)分組檢測防火墻動(dòng)態(tài)分組檢測動(dòng)態(tài)分組檢測的第一動(dòng)態(tài)分組檢測的第一步是將網(wǎng)絡(luò)劃分成三步是將網(wǎng)絡(luò)劃分成三個(gè)區(qū)，然后對區(qū)間進(jìn)個(gè)區(qū)，然后對區(qū)間進(jìn)行的訪問過程全程監(jiān)行的訪問過程全程監(jiān)控控。所謂全程監(jiān)控是所謂全程監(jiān)控是根據(jù)訪問策略確根據(jù)訪問策略確定信息流順序，定信息流順序，然后對每一次信然后對每一次信息流傳輸操作進(jìn)息流傳輸操作進(jìn)行監(jiān)控，看其是行監(jiān)控，看其是否符合策略規(guī)定否符合策略規(guī)定的順序和動(dòng)作。的順序和動(dòng)作。防火墻動(dòng)態(tài)分組檢測

12、防火墻動(dòng)態(tài)分組檢測訪問策略訪問策略從信任區(qū)到非軍事區(qū)從信任區(qū)到非軍事區(qū) 源源IPIP地址地址=/24 =/24 目的目的IPIP地址地址=/32 HTTP=/32 HTTP服務(wù)；服務(wù)；從信任區(qū)到非軍事區(qū)從信任區(qū)到非軍事區(qū) 源源IPIP地址地址=/24 =/24 目的目的IPIP地址地址= SMTP+POP3= SMTP+POP3服務(wù)；服務(wù)；從信任區(qū)到非信任區(qū)從信任區(qū)到非信任區(qū) 源源IPIP地址地址=/24 =/24

13、目的目的IPIP地址地址= = HTTP+FTP GETHTTP+FTP GET服務(wù)；服務(wù)；從非軍事區(qū)到非信任區(qū)從非軍事區(qū)到非信任區(qū) 源源IPIP地址地址=/32 =/32 目的目的IPIP地址地址= SMTP= SMTP服務(wù)；服務(wù)；從非信任區(qū)到非軍事區(qū)從非信任區(qū)到非軍事區(qū) 源源IPIP地址地址= = 目的目的IPIP地址地址=/32 HTTP GET=/32 HTTP GET服務(wù)；服務(wù)；從非信任區(qū)到非軍事區(qū)從非信任區(qū)到非軍事區(qū) 源源IPI

14、P地址地址= = 目的目的IPIP地址地址=/32 SMTP=/32 SMTP服務(wù)。服務(wù)。 訪問策略和分組過濾不同，不是定訪問策略和分組過濾不同，不是定義了允許或不允許傳輸?shù)牧x了允許或不允許傳輸?shù)腎PIP分組，分組，而是定義了整個(gè)服務(wù)過程。如第一而是定義了整個(gè)服務(wù)過程。如第一項(xiàng)策略表示允許進(jìn)行由信任區(qū)中終項(xiàng)策略表示允許進(jìn)行由信任區(qū)中終端發(fā)起的，對非軍事區(qū)中的端發(fā)起的，對非軍事區(qū)中的WEBWEB服服務(wù)器的訪問。它允許符合這個(gè)訪問務(wù)器的訪問。它允許符合這個(gè)訪問過程的過程的IPIP分組在信任區(qū)和非軍事區(qū)分組在信任區(qū)和非軍事區(qū)之間傳輸。之

15、間傳輸。防火墻動(dòng)態(tài)分組檢測防火墻動(dòng)態(tài)分組檢測策略對應(yīng)的信息交換過策略對應(yīng)的信息交換過程，由于是允許信任區(qū)中程，由于是允許信任區(qū)中終端發(fā)起對非信任區(qū)中終端發(fā)起對非信任區(qū)中WEBWEB服務(wù)器的訪問，因此，服務(wù)器的訪問，因此，首先允許通過的是符合信首先允許通過的是符合信任區(qū)中終端發(fā)起建立任區(qū)中終端發(fā)起建立TCPTCP連接的過程的連接的過程的IPIP分組。然分組。然后允許通過的是和讀取后允許通過的是和讀取WEBWEB內(nèi)容有關(guān)的內(nèi)容有關(guān)的IPIP分組。分組。最后，允許通過的是釋放最后，允許通過的是釋放TCPTCP連接有關(guān)的連接有關(guān)的IPIP分組。分組。 SYN,SEQ=X SYN,SEQ=Y,ACK=X

16、+1 ACK=Y+1 HTTP 請求請求 HTTP 響應(yīng)響應(yīng) FIN,SEQ=U ACK=U+1 FIN,SEQ=V ACK=V信任區(qū)內(nèi)的終端信任區(qū)內(nèi)的終端 非軍事區(qū)內(nèi)的非軍事區(qū)內(nèi)的 Web 服務(wù)器服務(wù)器 /24 Internet SYN SYN,ACK SYN SYN,ACK SYN SYN,ACK Web服務(wù)器服務(wù)器 TCP 連接連接表表 防火墻防火墻 /24 SYN SYN,ACK TCP 連接表連接表 建立建立 TCP 連接請求報(bào)文閾值連接請求報(bào)文閾值 ACK SYN SYN,ACK ACK 防火墻防拒絕服務(wù)攻擊防火墻防拒絕服務(wù)攻擊防火墻通過只中繼正

17、防火墻通過只中繼正常的建立常的建立TCPTCP連接請求，連接請求，來避免服務(wù)器遭受來避免服務(wù)器遭受SYNSYN泛濫攻擊。泛濫攻擊。 /24 Internet SYN SYN,ACK SYN SYN,ACK SYN,SEQ=X SYN,ACK=X+1,SEQ=Z1 Web 服務(wù)器服務(wù)器 TCP 連接表連接表 防火墻防火墻 /24 SYN,SEQ=Y SYN,ACK=Y+1,SEQ=Z2 建立建立 TCP 連接請求報(bào)文閾值連接請求報(bào)文閾值 SEQ=Y+1,ACK=Z2+1 SYN,SEQ=Y SYN,ACK=Y+1,SEQ=U ACK=U+1,SEQ=Y+1 Z

18、1、Z2=MD5(請求報(bào)文源請求報(bào)文源 IP 地址目的地址目的 IP 地址地址 源端口號(hào)目的端口號(hào)發(fā)送序號(hào)）源端口號(hào)目的端口號(hào)發(fā)送序號(hào)） 防火墻防拒絕服務(wù)攻擊防火墻防拒絕服務(wù)攻擊通過通過COOKIECOOKIE技術(shù)避技術(shù)避免防火墻被免防火墻被SYNSYN泛泛濫阻塞。濫阻塞。n網(wǎng)絡(luò)結(jié)構(gòu)；網(wǎng)絡(luò)結(jié)構(gòu)；n堡壘主機(jī)工作機(jī)制；堡壘主機(jī)工作機(jī)制；n堡壘主機(jī)功能特性。堡壘主機(jī)功能特性。堡壘主機(jī)是代理形式的應(yīng)用層網(wǎng)關(guān)，由它屏蔽內(nèi)堡壘主機(jī)是代理形式的應(yīng)用層網(wǎng)關(guān)，由它屏蔽內(nèi)部網(wǎng)絡(luò)資源，外部網(wǎng)絡(luò)終端只能與堡壘主機(jī)建立部網(wǎng)絡(luò)資源，外部網(wǎng)絡(luò)終端只能與堡壘主機(jī)建立TCP連接，相互交換信息，堡壘主機(jī)的安全功能連接，相互交換信

19、息，堡壘主機(jī)的安全功能非常強(qiáng)大，不容易被黑客攻陷，外部網(wǎng)絡(luò)終端須非常強(qiáng)大，不容易被黑客攻陷，外部網(wǎng)絡(luò)終端須經(jīng)堡壘主機(jī)訪問內(nèi)部網(wǎng)絡(luò)資源，因此，只要保證經(jīng)堡壘主機(jī)訪問內(nèi)部網(wǎng)絡(luò)資源，因此，只要保證了堡壘主機(jī)的安全性，即可保證內(nèi)部網(wǎng)絡(luò)資源的了堡壘主機(jī)的安全性，即可保證內(nèi)部網(wǎng)絡(luò)資源的安全性。安全性。n單穴指堡壘主機(jī)只有一個(gè)接口連接內(nèi)部網(wǎng)絡(luò)；單穴指堡壘主機(jī)只有一個(gè)接口連接內(nèi)部網(wǎng)絡(luò)；n堡壘主機(jī)的安全性基于外部網(wǎng)絡(luò)終端必須通過堡壘主機(jī)實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)堡壘主機(jī)的安全性基于外部網(wǎng)絡(luò)終端必須通過堡壘主機(jī)實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)資源的訪問；資源的訪問；n單穴堡壘主機(jī)把外部網(wǎng)絡(luò)終端通過堡壘主機(jī)實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)資源的訪問單穴堡壘主機(jī)把

20、外部網(wǎng)絡(luò)終端通過堡壘主機(jī)實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)資源的訪問的保證完全基于無狀態(tài)分組過濾器的傳輸控制功能。的保證完全基于無狀態(tài)分組過濾器的傳輸控制功能。單穴堡壘主機(jī)結(jié)構(gòu)單穴堡壘主機(jī)結(jié)構(gòu)無狀態(tài)分組過濾器必須保證只允許目的無狀態(tài)分組過濾器必須保證只允許目的IP地址地址的的IP分組進(jìn)入內(nèi)部網(wǎng)分組進(jìn)入內(nèi)部網(wǎng)絡(luò)，源絡(luò)，源IP地址地址的的IP分組離開分組離開內(nèi)部網(wǎng)絡(luò)。即外部網(wǎng)絡(luò)終端只能和堡壘內(nèi)部網(wǎng)絡(luò)。即外部網(wǎng)絡(luò)終端只能和堡壘主機(jī)通信。主機(jī)通信。n雙穴指堡壘主機(jī)用一個(gè)接口連接內(nèi)部網(wǎng)絡(luò)，用另一個(gè)接口雙穴指堡壘主機(jī)用一個(gè)接口連接內(nèi)部網(wǎng)絡(luò)，用另一個(gè)接口連接無狀態(tài)分組過濾器，并通過無狀態(tài)分組

21、過濾器連接外連接無狀態(tài)分組過濾器，并通過無狀態(tài)分組過濾器連接外部網(wǎng)絡(luò)；部網(wǎng)絡(luò)；n這種網(wǎng)絡(luò)結(jié)構(gòu)保證外部網(wǎng)絡(luò)必須通過堡壘主機(jī)才能訪問內(nèi)這種網(wǎng)絡(luò)結(jié)構(gòu)保證外部網(wǎng)絡(luò)必須通過堡壘主機(jī)才能訪問內(nèi)部網(wǎng)絡(luò)資源。部網(wǎng)絡(luò)資源。雙穴堡壘主機(jī)結(jié)構(gòu)雙穴堡壘主機(jī)結(jié)構(gòu)n這種結(jié)構(gòu)一是保證外部網(wǎng)絡(luò)終端必須通過堡壘主機(jī)這種結(jié)構(gòu)一是保證外部網(wǎng)絡(luò)終端必須通過堡壘主機(jī)才能實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)資源的訪問；才能實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)資源的訪問；n將內(nèi)部網(wǎng)絡(luò)根據(jù)安全等級(jí)劃分為不同的網(wǎng)段，控制將內(nèi)部網(wǎng)絡(luò)根據(jù)安全等級(jí)劃分為不同的網(wǎng)段，控制堡壘主機(jī)對重要內(nèi)部網(wǎng)絡(luò)資源的訪問。堡壘主機(jī)對重要內(nèi)部網(wǎng)絡(luò)資源的訪問。雙無狀態(tài)分組過濾器結(jié)構(gòu)雙無狀態(tài)分組過濾器結(jié)構(gòu)n無狀態(tài)分組

22、過濾器保證外網(wǎng)終端只能與堡壘主機(jī)通信；無狀態(tài)分組過濾器保證外網(wǎng)終端只能與堡壘主機(jī)通信；n外網(wǎng)終端和堡壘主機(jī)建立外網(wǎng)終端和堡壘主機(jī)建立TCP連接后，由堡壘主機(jī)完成對外網(wǎng)終端的身份認(rèn)證和連接后，由堡壘主機(jī)完成對外網(wǎng)終端的身份認(rèn)證和訪問權(quán)限鑒別；訪問權(quán)限鑒別；n如果訪問權(quán)限滿足外網(wǎng)終端提出的資源訪問要求，和如果訪問權(quán)限滿足外網(wǎng)終端提出的資源訪問要求，和Web服務(wù)器建立服務(wù)器建立TCP連接；連接；n堡壘主機(jī)一直監(jiān)測外網(wǎng)終端和堡壘主機(jī)一直監(jiān)測外網(wǎng)終端和Web服務(wù)器之間的請求、響應(yīng)過程和傳輸內(nèi)容。服務(wù)器之間的請求、響應(yīng)過程和傳輸內(nèi)容。網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)n堡壘主機(jī)自身安全性必須得到保證；堡壘主機(jī)自身安全性必須

23、得到保證；n由于堡壘主機(jī)是代理形式的應(yīng)用層網(wǎng)關(guān)，所支持由于堡壘主機(jī)是代理形式的應(yīng)用層網(wǎng)關(guān)，所支持的應(yīng)用層服務(wù)應(yīng)該能夠動(dòng)態(tài)增刪；的應(yīng)用層服務(wù)應(yīng)該能夠動(dòng)態(tài)增刪；n堡壘主機(jī)具備認(rèn)證用戶身份的能力，因此，或者堡壘主機(jī)具備認(rèn)證用戶身份的能力，因此，或者自身由注冊信息庫，或者能夠訪問到注冊信息庫；自身由注冊信息庫，或者能夠訪問到注冊信息庫；n堡壘主機(jī)必須能夠?yàn)椴煌挠脩粼O(shè)置不同的訪問堡壘主機(jī)必須能夠?yàn)椴煌挠脩粼O(shè)置不同的訪問權(quán)限；權(quán)限；n堡壘主機(jī)必須能夠詳細(xì)記錄外網(wǎng)終端訪問內(nèi)部網(wǎng)堡壘主機(jī)必須能夠詳細(xì)記錄外網(wǎng)終端訪問內(nèi)部網(wǎng)絡(luò)資源的過程。絡(luò)資源的過程。n系統(tǒng)結(jié)構(gòu)；系統(tǒng)結(jié)構(gòu)；n實(shí)現(xiàn)原理；實(shí)現(xiàn)原理；n應(yīng)用實(shí)例。應(yīng)

24、用實(shí)例。防火墻訪問控制策略能夠控制屬于不同網(wǎng)絡(luò)的終端間的防火墻訪問控制策略能夠控制屬于不同網(wǎng)絡(luò)的終端間的信息交換過程，但這種控制一是基于終端（由信息交換過程，但這種控制一是基于終端（由IP地址標(biāo)地址標(biāo)識(shí)），二是靜態(tài)，終端用戶改變，或是終端安全狀態(tài)改識(shí)），二是靜態(tài)，終端用戶改變，或是終端安全狀態(tài)改變不會(huì)改變防火墻的安全訪問控制策略，但實(shí)際應(yīng)用過變不會(huì)改變防火墻的安全訪問控制策略，但實(shí)際應(yīng)用過程中，同一終端，當(dāng)不同用戶使用時(shí)，訪問權(quán)限應(yīng)該是程中，同一終端，當(dāng)不同用戶使用時(shí)，訪問權(quán)限應(yīng)該是不同的（訪問控制策略基于用戶），二是終端狀態(tài)，尤不同的（訪問控制策略基于用戶），二是終端狀態(tài)，尤其安全狀態(tài)發(fā)生改

25、變時(shí)，如檢測到感染病毒，或是遭受其安全狀態(tài)發(fā)生改變時(shí)，如檢測到感染病毒，或是遭受黑客攻擊，其訪問權(quán)限應(yīng)該隨之改變（防火墻訪問控制黑客攻擊，其訪問權(quán)限應(yīng)該隨之改變（防火墻訪問控制策略是動(dòng)態(tài)的），統(tǒng)一訪問控制（策略是動(dòng)態(tài)的），統(tǒng)一訪問控制（UAC）就是用于實(shí)現(xiàn)）就是用于實(shí)現(xiàn)基于用戶、動(dòng)態(tài)設(shè)置訪問控制策略的機(jī)制?；谟脩?、動(dòng)態(tài)設(shè)置訪問控制策略的機(jī)制。系統(tǒng)結(jié)構(gòu)系統(tǒng)結(jié)構(gòu)UAC代理，運(yùn)行于終端的軟件，一是通過交代理，運(yùn)行于終端的軟件，一是通過交互方式獲得用戶信息，并向安全控制器提供互方式獲得用戶信息，并向安全控制器提供用戶信息，二是向安全控制器提供終端狀態(tài)用戶信息，二是向安全控制器提供終端狀態(tài)及用戶為終端

26、設(shè)置的訪問控制策略。及用戶為終端設(shè)置的訪問控制策略。防火墻，策略執(zhí)行防火墻，策略執(zhí)行部件，一是隨時(shí)接部件，一是隨時(shí)接收安全控制器為其收安全控制器為其制定的訪問控制策制定的訪問控制策略，二是根據(jù)訪問略，二是根據(jù)訪問控制策略調(diào)制執(zhí)行控制策略調(diào)制執(zhí)行機(jī)制。機(jī)制。安全控制器，一是建立完整的訪問控安全控制器，一是建立完整的訪問控制策略庫，二是接收制策略庫，二是接收UAC代理提供的代理提供的用戶信息和終端狀態(tài)，三是根據(jù)訪問用戶信息和終端狀態(tài)，三是根據(jù)訪問策略庫和用戶信息及終端狀態(tài)制定對策略庫和用戶信息及終端狀態(tài)制定對應(yīng)的訪問控制策略，并將其傳輸給策應(yīng)的訪問控制策略，并將其傳輸給策略執(zhí)行部件，如防火墻。略執(zhí)

27、行部件，如防火墻。UAC系統(tǒng)配置系統(tǒng)配置n安全控制器建立安全策略庫，基于用戶設(shè)置訪問安全控制器建立安全策略庫，基于用戶設(shè)置訪問權(quán)限；權(quán)限；n防火墻訪問控制策略基于網(wǎng)絡(luò)地址確定終端的訪防火墻訪問控制策略基于網(wǎng)絡(luò)地址確定終端的訪問權(quán)限；問權(quán)限；n根據(jù)對用戶身份的認(rèn)證結(jié)果和終端的安全狀態(tài)確根據(jù)對用戶身份的認(rèn)證結(jié)果和終端的安全狀態(tài)確定用戶終端的訪問權(quán)限；定用戶終端的訪問權(quán)限；n將接入用戶終端的交換機(jī)端口配置到對應(yīng)的將接入用戶終端的交換機(jī)端口配置到對應(yīng)的VLAN，防火墻訪問控制策略對應(yīng)該，防火墻訪問控制策略對應(yīng)該VLAN的網(wǎng)的網(wǎng)絡(luò)地址的訪問權(quán)限恰好是安全控制器確定的用戶絡(luò)地址的訪問權(quán)限恰好是安全控制器確定的用戶終端具有的訪問權(quán)限，以此完成基于用戶和動(dòng)態(tài)終端具有的訪問權(quán)限，以此完成基于用戶和動(dòng)態(tài)訪問控制策略設(shè)置。訪問控制策略設(shè)置。n實(shí)現(xiàn)基于用戶和動(dòng)態(tài)實(shí)現(xiàn)基于用戶和動(dòng)態(tài)設(shè)置訪問權(quán)限的關(guān)鍵設(shè)置訪問權(quán)限的關(guān)鍵一是認(rèn)證用戶身份、一是認(rèn)證用戶身份、獲知終端安全狀態(tài)。獲知終端安全狀態(tài)。二是將連接用戶終端二是將連接用戶終端的交換機(jī)端口動(dòng)態(tài)配的交換機(jī)端口動(dòng)態(tài)配置為和用戶訪問權(quán)限置為和用戶訪問權(quán)限一致的一致的VLAN；n安全控制器需要與交安全控制器需要與交換機(jī)和用戶終端交換換機(jī)和用戶終端交換信息，信息，802.1X及及RADIUS恰好實(shí)現(xiàn)用戶