網(wǎng)絡(luò)訪問控制

網(wǎng)絡(luò)訪問控制第1頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月一、防火墻基本知識(shí)1、防火墻的提出2、什么是防火墻3、防火墻發(fā)展回顧4、防火墻功能5、防火墻的局限性6、爭(zhēng)議及不足7、防火墻的設(shè)計(jì)原則8、防火墻的分類第2頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月企業(yè)上網(wǎng)面臨的安全問題之一:

內(nèi)部網(wǎng)與互聯(lián)網(wǎng)的有效隔離解答:

防火墻網(wǎng)絡(luò)間的訪問----需隔離FIREWALL1、防火墻的提出第3頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月2、什么是防火墻（1）在一個(gè)受保護(hù)的企業(yè)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)間,用來(lái)強(qiáng)制執(zhí)行企業(yè)安全策略的一個(gè)或一組系統(tǒng).第4頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月

最初含義：當(dāng)房屋還處于木制結(jié)構(gòu)的時(shí)侯，人們將石塊堆砌在房屋周圍用來(lái)防止火災(zāi)的發(fā)生。這種墻被稱之為防火墻。

定義：防火墻是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間）的軟件或硬件設(shè)備的組合，它對(duì)兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過強(qiáng)制實(shí)施統(tǒng)一的安全策略，防止對(duì)重要信息資源的非法存取和訪問以達(dá)到保護(hù)系統(tǒng)安全的目的。2、什么是防火墻（2）第5頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月2、什么是防火墻（3）不可信網(wǎng)絡(luò)和服務(wù)器可信網(wǎng)絡(luò)防火墻路由器InternetIntranet可信用戶不可信用戶

DMZ第6頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月目的：都是為了在被保護(hù)的內(nèi)部網(wǎng)與不安全的非信任網(wǎng)絡(luò)之間設(shè)立唯一的通道，以按照事先制定的策略控制信息的流入和流出，監(jiān)督和控制使用者的操作。典型情況：安全網(wǎng)絡(luò)為企業(yè)內(nèi)部網(wǎng)絡(luò)，不安全網(wǎng)絡(luò)為因特網(wǎng)。注意：但防火墻不只用于因特網(wǎng)，也可用于Intranet各部門網(wǎng)絡(luò)之間（內(nèi)部防火墻）。例：財(cái)務(wù)部與市場(chǎng)部之間。2、什么是防火墻（4）第7頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月2、什么是防火墻（5）防火墻可在鏈路層、網(wǎng)絡(luò)層和應(yīng)用層上實(shí)現(xiàn)；其功能的本質(zhì)特征是隔離內(nèi)外網(wǎng)絡(luò)和對(duì)進(jìn)出信息流實(shí)施訪問控制。隔離方法可以是基于物理的，也可以是基于邏輯的；從網(wǎng)絡(luò)防御體系上看，防火墻是一種被動(dòng)防御的保護(hù)裝置。第8頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月4、防火墻功能（1）第9頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月4、防火墻功能（2）應(yīng)用程序代理包過濾&狀態(tài)檢測(cè)用戶認(rèn)證NATVPN日志IDS與報(bào)警內(nèi)容過濾基本功能模塊第10頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開放性和靈活性為代價(jià)的。防火墻的使用也會(huì)削弱網(wǎng)絡(luò)的功能：

①由于防火墻的隔離作用，在保護(hù)內(nèi)部網(wǎng)絡(luò)的同時(shí)使它與外部網(wǎng)絡(luò)的信息交流受到阻礙；②由于在防火墻上附加各種信息服務(wù)的代理軟件，增大了網(wǎng)絡(luò)管理開銷，還減慢了信息傳輸速率。5、防火墻的局限性（1）第11頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月防火墻只是整個(gè)網(wǎng)絡(luò)安全防護(hù)體系的一部分，而且防火墻并非萬(wàn)無(wú)一失：

只能防范經(jīng)過其本身的非法訪問和攻擊，對(duì)繞過防火墻的訪問和攻擊無(wú)能為力；不能解決來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題；不能防止受病毒感染的文件的傳輸；不能防止策略配置不當(dāng)或錯(cuò)誤配置引起的安全威脅；不能防止自然或人為的故意破壞；不能防止本身安全漏洞的威脅。5、防火墻的局限性（2）第12頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月6、爭(zhēng)議及不足使用不便，認(rèn)為防火墻給人虛假的安全感對(duì)用戶不完全透明，可能帶來(lái)傳輸延遲、瓶頸及單點(diǎn)失效不能替代墻內(nèi)的安全措施不能防范惡意的知情者不能防范不通過它的連接不能防范全新的威脅不能有效地防范數(shù)據(jù)驅(qū)動(dòng)式的攻擊當(dāng)使用端-端加密時(shí)，其作用會(huì)受到很大的限制第13頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月6、爭(zhēng)議及不足(2)內(nèi)部提供的撥號(hào)服務(wù)繞過了防火墻第14頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月7、防火墻的設(shè)計(jì)原則（1）所有從內(nèi)到外和從外到內(nèi)的通信量都必須經(jīng)過防火墻。只有被認(rèn)可的通信量通過本地安全策略進(jìn)行定義后才允許傳遞防火墻對(duì)于滲透是免疫的第15頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月7、防火墻的設(shè)計(jì)原則（2）Internet防火墻可能會(huì)扮演兩種截然相反的姿態(tài)拒絕沒有特別允許的任何事情允許沒有特別拒絕的任何事情第16頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月8、防火墻的分類（1）根據(jù)防火墻組成組件的不同軟件防火墻一般硬件防火墻純硬件防火墻根據(jù)防火墻技術(shù)的實(shí)現(xiàn)平臺(tái)Windows防火墻Linux防火墻第17頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月8、防火墻的分類（2）根據(jù)防火墻被保護(hù)的對(duì)象的不同主機(jī)防火墻（個(gè)人防火墻）網(wǎng)絡(luò)防火墻根據(jù)防火墻自身網(wǎng)絡(luò)性能和被保護(hù)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)性能百兆防火墻千兆防火墻第18頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月8、防火墻的分類（3）根據(jù)防火墻功能或技術(shù)特點(diǎn)的不同主機(jī)防火墻病毒防火墻智能防火墻根據(jù)防范方式和側(cè)重點(diǎn)的不同下一節(jié)重點(diǎn)講述第19頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月二、防火墻技術(shù)根據(jù)防范方式和側(cè)重點(diǎn)的不同可分為幾類：包過濾防火墻狀態(tài)防火墻應(yīng)用網(wǎng)關(guān)NAT技術(shù)分布式防火墻病毒防火墻第20頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月1、包過濾防火墻（1）第21頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月1、包過濾防火墻（2）包過濾防火墻對(duì)所接收的每個(gè)數(shù)據(jù)包做允許拒絕的決定。包的進(jìn)入接口和出接口如果有匹配并且規(guī)則允許該數(shù)據(jù)包，那么該數(shù)據(jù)包就會(huì)按照路由表中的信息被轉(zhuǎn)發(fā)。如果匹配并且規(guī)則拒絕該數(shù)據(jù)包，那么該數(shù)據(jù)包就會(huì)被丟棄。如果沒有匹配規(guī)則，用戶配置的缺省參數(shù)會(huì)決定是轉(zhuǎn)發(fā)還是丟棄數(shù)據(jù)包。包過濾防火墻使得防火墻能夠根據(jù)特定的服務(wù)允許或拒絕流動(dòng)的數(shù)據(jù)，因?yàn)槎鄶?shù)的服務(wù)收聽者都在已知的TCP/UDP端口號(hào)上。第22頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月1、包過濾防火墻（3）數(shù)據(jù)包過濾一般要檢查網(wǎng)絡(luò)層的IP頭和傳輸層的頭：IP源地址IP目標(biāo)地址協(xié)議類型（TCP包、UDP包和ICMP包）TCP或UDP包的目的端口TCP或UDP包的源端口TCP控制標(biāo)記，如SYN,ACK,FIN,PSH,RST和其他標(biāo)記第23頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月第24頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月優(yōu)點(diǎn)：

速度快，性能高,靈活對(duì)用戶透明實(shí)現(xiàn)包過濾幾乎不再需要費(fèi)用\缺點(diǎn)：維護(hù)比較困難(需要對(duì)TCP/IP了解）安全性低（IP欺騙等）只對(duì)某些類型的TCP/IP攻擊比較敏感不支持用戶的連接認(rèn)證只有有限的認(rèn)證功能隨著過濾器數(shù)目的增加,路由器的吞吐量會(huì)下降。1、包過濾防火墻（4）互連的物理介質(zhì)應(yīng)用層表示層會(huì)話層傳輸層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層第25頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月1、LAND攻擊（1）第26頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月1、LAND攻擊（2）第27頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月2、狀態(tài)防火墻（1）假設(shè)包過濾防火墻在Internet向內(nèi)的接口上設(shè)置了一個(gè)規(guī)則，規(guī)定任何發(fā)送到主機(jī)A的外部流量均被拒絕。有一臺(tái)外部主機(jī)B試圖訪問主機(jī)A時(shí)當(dāng)主機(jī)A想要訪問外部設(shè)備B第28頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月狀態(tài)檢測(cè)防火墻是在動(dòng)態(tài)包過濾的基礎(chǔ)上，增加了狀態(tài)檢測(cè)機(jī)制而形成的；動(dòng)態(tài)包過濾與普通包過濾相比，需要多做一項(xiàng)工作：對(duì)外出數(shù)據(jù)包的“身份”做一個(gè)標(biāo)記，允許相同連接的數(shù)據(jù)包通過。利用狀態(tài)表跟蹤每一個(gè)網(wǎng)絡(luò)會(huì)話的狀態(tài)，對(duì)每一個(gè)數(shù)據(jù)包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會(huì)話所處的狀態(tài)；2、狀態(tài)防火墻（2）第29頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月2、狀態(tài)防火墻（3）物理層引擎檢測(cè)動(dòng)態(tài)狀態(tài)表應(yīng)用層表示層會(huì)話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層應(yīng)用層表示層會(huì)話層傳輸層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層應(yīng)用層表示層會(huì)話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層第30頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月主要優(yōu)點(diǎn)：①高安全性（工作在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間；“狀態(tài)感知”能力）②高效性（對(duì)連接的后續(xù)數(shù)據(jù)包直接進(jìn)行狀態(tài)檢查）③狀態(tài)防火墻具有更強(qiáng)的日志功能。主要缺點(diǎn)：①無(wú)狀態(tài)的協(xié)議，例如UPD、ICMP②狀態(tài)表的大小。2、狀態(tài)防火墻（4）第31頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月3、應(yīng)用網(wǎng)關(guān)（1）代理服務(wù)是運(yùn)行在防火墻主機(jī)上的專門的應(yīng)用程序或者服務(wù)器程序。不允許通信直接經(jīng)過外部網(wǎng)和內(nèi)部網(wǎng)。將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個(gè)終止代理服務(wù)器上的“鏈接”來(lái)實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。第32頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月代理服務(wù)器示意圖3、應(yīng)用網(wǎng)關(guān)（2）第33頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月3、應(yīng)用網(wǎng)關(guān)（3）第34頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月3、應(yīng)用網(wǎng)關(guān)（4）應(yīng)用層表示層會(huì)話層傳輸層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層TelnetHTTPFTP應(yīng)用層表示層會(huì)話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層網(wǎng)絡(luò)層第35頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月3、應(yīng)用網(wǎng)關(guān)（5）第36頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月為何能對(duì)連接請(qǐng)求進(jìn)行認(rèn)證？認(rèn)證方式用戶名和口令令牌卡信息網(wǎng)絡(luò)層源地址生物信息3、應(yīng)用網(wǎng)關(guān)（6）第37頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月主要優(yōu)點(diǎn)：認(rèn)證個(gè)人而非設(shè)備；使黑客進(jìn)行欺騙和實(shí)施Dos攻擊比較困難;能夠監(jiān)控和過濾應(yīng)用層信息；能夠提供詳細(xì)的日志；內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等重要信息不易外泄；可以實(shí)施用戶認(rèn)證、詳細(xì)日志、審計(jì)跟蹤和數(shù)據(jù)加密等功能和對(duì)具體協(xié)議及應(yīng)用的過濾，安全性較高。3、應(yīng)用網(wǎng)關(guān)（7）第38頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月主要缺點(diǎn)：針對(duì)不同的應(yīng)用層協(xié)議必須有單獨(dú)的應(yīng)用代理，也不能自動(dòng)支持新的網(wǎng)絡(luò)應(yīng)用；有些代理還需要相應(yīng)的支持代理的客戶和服務(wù)器軟件；用戶可能還需要專門學(xué)習(xí)程序的使用方法才能通過代理訪問Internet；詳盡的日志功能性能下降。改進(jìn)：詳盡的日志功能性能下降？將應(yīng)用網(wǎng)關(guān)設(shè)置成只監(jiān)控關(guān)鍵應(yīng)用3、應(yīng)用網(wǎng)關(guān)（8）第39頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月4、NAT技術(shù)（1）

網(wǎng)絡(luò)地址轉(zhuǎn)換/翻譯（NAT，NetworkAddressTranslation）就是將一個(gè)IP地址用另一個(gè)IP地址代替。NAT的主要作用：隱藏內(nèi)部網(wǎng)絡(luò)的IP地址；解決地址緊缺問題。

注意：NAT本身并不是一種有安全保證的方案，它僅僅在包的最外層改變IP地址。所以通常要把NAT集成在防火墻系統(tǒng)中。第40頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月4、NAT技術(shù)（2）

NAT有3種類型：靜態(tài)NAT〈staticNAT)、NAT池(pooledNAT)和端口NAT(PAT)

靜態(tài)NAT：內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址；

NAT池：可用的合法IP地址是一個(gè)范圍，而內(nèi)部網(wǎng)絡(luò)地址的范圍大于合法IP的范圍，在做地址轉(zhuǎn)換時(shí)，如果合法IP都被占用，此時(shí)從內(nèi)部網(wǎng)絡(luò)的新的請(qǐng)求會(huì)由于沒有合法地址可以分配而失敗。

PAT：把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上。第41頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月4、NAT技術(shù)（3）

注意：進(jìn)行地址翻譯時(shí)，優(yōu)先還是NAT，當(dāng)合法IP地址分配完后，對(duì)于新發(fā)起的連接會(huì)重復(fù)使用已分配過的合法IP，要區(qū)別此次NAT與上次NAT的數(shù)據(jù)包，就要通過端口地址加以區(qū)分。比較：靜態(tài)地址翻譯：不需要維護(hù)地址轉(zhuǎn)換狀態(tài)表，功能簡(jiǎn)單，性能較好；

NAT池和端口轉(zhuǎn)換：必須維護(hù)一個(gè)轉(zhuǎn)換表，以保證能夠?qū)Ψ祷氐臄?shù)據(jù)包進(jìn)行正確的反向轉(zhuǎn)換，功能強(qiáng)大，但是需要的資源較多。第42頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月源IP目的IP10.0.0.108202.112.108.50源IP目的IP202.112.108.30源IP目的IP202.112.108.50202.112.108.3源IP目的IP202.112.108.5010.0.0.108防火墻網(wǎng)關(guān)NAT技術(shù)中將不合法IP轉(zhuǎn)換為合法IP4、NAT技術(shù)（4）第43頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月InternetIntranet防火墻路由器將內(nèi)部網(wǎng)地址轉(zhuǎn)換成網(wǎng)關(guān)地址問題：所有返回?cái)?shù)據(jù)包目的IP都是，防火墻如何識(shí)別并送回真正主機(jī)？方法：1、防火墻記住所有發(fā)送包的目的端口；

2、防火墻記住所有發(fā)送包的TCP序列號(hào)4、NAT技術(shù)（5）第44頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月5、分布式防火墻（1）前面提到的幾種防火墻都屬于邊界防火墻（PerimeterFirewall），它無(wú)法對(duì)內(nèi)部網(wǎng)絡(luò)實(shí)現(xiàn)有效地保護(hù)；隨著人們對(duì)網(wǎng)絡(luò)安全防護(hù)要求的提高，產(chǎn)生了一種新型的防火墻體系結(jié)構(gòu)——分布式防火墻。近幾年，分布式防火墻技術(shù)已逐漸興起，并在國(guó)外一些大的網(wǎng)絡(luò)設(shè)備開發(fā)商中得到實(shí)現(xiàn)，由于其優(yōu)越的安全防護(hù)體系，符合未來(lái)的發(fā)展趨勢(shì)，這一技術(shù)一出現(xiàn)就得到了許多用戶的認(rèn)可和接受。第45頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月5、分布式防火墻（2）

傳統(tǒng)防火墻：邊界防火墻缺陷：結(jié)構(gòu)性限制；內(nèi)部威脅；效率和故障

分布式防火墻（廣義）：一種新的防火墻體系結(jié)構(gòu)（包含網(wǎng)絡(luò)防火墻、主機(jī)防火墻和管理中心）優(yōu)勢(shì)：在網(wǎng)絡(luò)內(nèi)部增加了另一層安全，有效抵御來(lái)自內(nèi)部的攻擊，消除網(wǎng)絡(luò)邊界上的通信瓶頸和單一故障點(diǎn)，支持基于加密和認(rèn)證的網(wǎng)絡(luò)應(yīng)用，與拓?fù)錈o(wú)關(guān)，支持移動(dòng)計(jì)算。第46頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月6、病毒防火墻（1）防火墻技術(shù)本身應(yīng)該說(shuō)不適合于反病毒，由于商業(yè)上的需求，相關(guān)專家和研發(fā)單位對(duì)此還是進(jìn)行了很多研究，并給出了較為有效的相關(guān)技術(shù)產(chǎn)品。

病毒防火墻有時(shí)也稱為防病毒型網(wǎng)關(guān)(NAVGateway)，綜合了防火墻、虛擬專網(wǎng)和內(nèi)容過濾等安全功能，構(gòu)成了網(wǎng)絡(luò)安全新理念。第47頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月6、病毒防火墻（2）病毒防火墻系統(tǒng)具有以下一些功能特點(diǎn)：系統(tǒng)在網(wǎng)絡(luò)邊緣阻擋病毒；系統(tǒng)提供了一道安全防線，使得在它后面的所有主機(jī)都受到保護(hù)；系統(tǒng)減輕了郵件服務(wù)器的負(fù)荷；系統(tǒng)利用專用的平臺(tái)，而不是標(biāo)準(zhǔn)主機(jī)。第48頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月三、防火墻體系結(jié)構(gòu)防火墻的體系結(jié)構(gòu)：防火墻系統(tǒng)實(shí)現(xiàn)所采用的架構(gòu)及其實(shí)現(xiàn)所采用的方法，它決定著防火墻的功能、性能以及使用范圍。防火墻可以被設(shè)置成許多不同的結(jié)構(gòu)，并提供不同級(jí)別的安全，而維護(hù)運(yùn)行的費(fèi)用也各不相同。雙重宿主主機(jī)體系結(jié)構(gòu)屏蔽主機(jī)體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)第49頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月1、雙重宿主主機(jī)體系結(jié)構(gòu)（1）雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞雙重宿主主機(jī)構(gòu)筑的。雙重宿主主機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口，它位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。這種防火墻的最大特點(diǎn)是IP層的通信是被阻止的，兩個(gè)網(wǎng)絡(luò)之間的通信可通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來(lái)完成。第50頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月Internet防火墻雙重宿主主機(jī)內(nèi)部網(wǎng)絡(luò)……雙重宿主主機(jī)體系結(jié)構(gòu)1、雙重宿主主機(jī)體系結(jié)構(gòu)（2）第51頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月1、雙重宿主主機(jī)體系結(jié)構(gòu)（3）雙重宿主主機(jī)的特性：安全至關(guān)重要（唯一通道），其用戶口令控制安全是關(guān)鍵。必須支持很多用戶的訪問（中轉(zhuǎn)站），其性能非常重要。缺點(diǎn)：雙重宿主主機(jī)是隔開內(nèi)外網(wǎng)絡(luò)的唯一屏障，一旦它被入侵，內(nèi)部網(wǎng)絡(luò)便向入侵者敞開大門。第52頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月2、屏蔽主機(jī)體系結(jié)構(gòu)（1）典型構(gòu)成：包過濾路由器＋堡壘主機(jī)。包過濾路由器配置在內(nèi)部網(wǎng)和外部網(wǎng)之間，保證外部系統(tǒng)對(duì)內(nèi)部網(wǎng)絡(luò)的操作只能經(jīng)過堡壘主機(jī)。堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上，是外部網(wǎng)絡(luò)主機(jī)連接到內(nèi)部網(wǎng)絡(luò)主機(jī)的橋梁，它需要擁有高等級(jí)的安全。第53頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月2、屏蔽主機(jī)體系結(jié)構(gòu)（2）第54頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月2、屏蔽主機(jī)體系結(jié)構(gòu)（3）屏蔽路由器可按如下規(guī)則之一進(jìn)行配置：允許內(nèi)部主機(jī)為了某些服務(wù)請(qǐng)求與外部網(wǎng)上的主機(jī)建立直接連接（即允許那些經(jīng)過過濾的服務(wù)）。不允許所有來(lái)自外部主機(jī)的直接連接。安全性更高，雙重保護(hù)：實(shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層安全（代理服務(wù)）。缺點(diǎn)：過濾路由器能否正確配置是安全與否的關(guān)鍵。如果路由器被損害，堡壘主機(jī)將被穿過，整個(gè)網(wǎng)絡(luò)對(duì)侵襲者是開放的。第55頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月3、屏蔽子網(wǎng)體系結(jié)構(gòu)（1）屏蔽子網(wǎng)體系結(jié)構(gòu)在本質(zhì)上與屏蔽主機(jī)體系結(jié)構(gòu)一樣，但添加了額外的一層保護(hù)體系——周邊網(wǎng)絡(luò)。堡壘主機(jī)位于周邊網(wǎng)絡(luò)上，周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)被內(nèi)部路由器分開。原因：堡壘主機(jī)是用戶網(wǎng)絡(luò)上最容易受侵襲的機(jī)器。通過在周邊網(wǎng)絡(luò)上隔離堡壘主機(jī)，能減少在堡壘主機(jī)被侵入的影響。第56頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月Internet周邊網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)……外部路由器堡壘主機(jī)內(nèi)部路由器屏蔽子網(wǎng)體系結(jié)構(gòu)3、屏蔽子網(wǎng)體系結(jié)構(gòu)（2）第57頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月3、屏蔽子網(wǎng)體系結(jié)構(gòu)（3）周邊網(wǎng)絡(luò)是一個(gè)防護(hù)層，在其上可放置一些信息服務(wù)器，它們是犧牲主機(jī)，可能會(huì)受到攻擊，因此又被稱為非軍事區(qū)（DMZ）。周邊網(wǎng)絡(luò)的作用：即使堡壘主機(jī)被入侵者控制，它仍可消除對(duì)內(nèi)部網(wǎng)的偵聽。第58頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月3、屏蔽子網(wǎng)體系結(jié)構(gòu)（4）堡壘主機(jī)堡壘主機(jī)位于周邊網(wǎng)絡(luò)，是整個(gè)防御體系的核心。堡壘主機(jī)可被認(rèn)為是應(yīng)用層網(wǎng)關(guān)，可以運(yùn)行各種代理服務(wù)程序。對(duì)于出站服務(wù)不一定要求所有的服務(wù)經(jīng)過堡壘主機(jī)代理，但對(duì)于入站服務(wù)應(yīng)要求所有服務(wù)都通過堡壘主機(jī)。第59頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月3、屏蔽子網(wǎng)體系結(jié)構(gòu)（5）外部路由器（訪問路由器）作用：保護(hù)周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的侵犯。它把入站的數(shù)據(jù)包路由到堡壘主機(jī)。防止部分IP欺騙，它可分辨出數(shù)據(jù)包是否真正來(lái)自周邊網(wǎng)絡(luò)，而內(nèi)部路由器不可。內(nèi)部路由器（阻塞路由器）作用：保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)和周邊網(wǎng)絡(luò)的侵害，它執(zhí)行大部分過濾工作。外部路由器一般與內(nèi)部路由器應(yīng)用相同的規(guī)則。第60頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月三、物理隔離物理隔離技術(shù)背景物理隔離技術(shù)定義物理隔離技術(shù)原理第61頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月1、物理隔離與防火墻技術(shù)（1）根據(jù)安全等級(jí)不同將網(wǎng)絡(luò)劃分不同的部分各個(gè)部分之間采用物理、邏輯隔離或受限訪問方式互連物理隔離網(wǎng)絡(luò)間禁止有物理通信線路連接邏輯隔離協(xié)議轉(zhuǎn)換受限訪問防火墻第62頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月1、網(wǎng)絡(luò)隔離與防火墻技術(shù)（2）解決目前防火墻存在的根本問題：防火墻對(duì)操作系統(tǒng)的依賴，因?yàn)椴僮飨到y(tǒng)也有漏洞；

TCP/IP的協(xié)議漏洞；防火墻、內(nèi)網(wǎng)和DMZ同時(shí)直接連接；應(yīng)用協(xié)議的漏洞，因?yàn)槊詈椭噶羁赡苁欠欠ǖ模晃募в胁《竞蛺阂獯a第63頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月1、網(wǎng)絡(luò)隔離與防火墻技術(shù)（3）物理隔離的指導(dǎo)思想與防火墻絕然不同：防火墻的思路是在保障互聯(lián)互通的前提下，盡可能安全，而物理隔離的思路是在保證必須安全的前提下，盡可能互聯(lián)互通。一個(gè)典型的物理隔離方案（處于完全隔離狀態(tài)）第64頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月2、物理隔離的定義（1）物理隔離技術(shù)的基本思想是:如果不存在與網(wǎng)絡(luò)的物理連接，網(wǎng)絡(luò)安全威脅便可大大降低。物理隔離技術(shù)實(shí)質(zhì)就是一種將內(nèi)外網(wǎng)絡(luò)從物理上斷開，但保持邏輯連接的信息安全技術(shù)。第65頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月案例：政府網(wǎng)絡(luò)一般劃分為3個(gè)安全等級(jí)不同的部分內(nèi)部保密專用網(wǎng)絡(luò)，傳送保密信息業(yè)務(wù)網(wǎng)絡(luò)，傳送政府業(yè)務(wù)管理信息Internet連接網(wǎng)絡(luò)，建設(shè)網(wǎng)站或?qū)ν庠L問保密網(wǎng)絡(luò)要求跟其它部分物理隔離其它部分可以在保證安全性情況下互連第66頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月案例：證券交易網(wǎng)一般劃分為3個(gè)安全等級(jí)不同的部分證券交易業(yè)務(wù)專用網(wǎng)絡(luò)，傳送證券業(yè)務(wù)信息企業(yè)內(nèi)綜合管理網(wǎng)絡(luò)，傳送辦公、財(cái)務(wù)、VoIP等企業(yè)內(nèi)部管理信息Internet連接網(wǎng)絡(luò)，建設(shè)網(wǎng)站或?qū)ν庠L問交易網(wǎng)絡(luò)首先要保證可靠性和安全性，跟其它部分物理隔離，必要時(shí)可以采用邏輯隔離方式連接其它可以在保證安全性情況下互連第67頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月2、物理隔離的定義（2）物理隔離從廣義上分為網(wǎng)絡(luò)隔離和數(shù)據(jù)隔離，它們都稱為物理隔離。網(wǎng)絡(luò)隔離數(shù)據(jù)隔離第68頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月3、物理隔離技術(shù)原理－數(shù)據(jù)二極管第69頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月3、物理隔離技術(shù)原理－存儲(chǔ)池（1）存儲(chǔ)池交換技術(shù)是一種隔離網(wǎng)絡(luò)之間連接的專用安全技術(shù)第70頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月3、物理隔離技術(shù)原理－存儲(chǔ)池（2）第71頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月3、物理隔離技術(shù)原理－存儲(chǔ)池（3）第72頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月3、物理隔離技術(shù)原理－存儲(chǔ)池（4）第73頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月3、物理隔離技術(shù)原理－存儲(chǔ)池（5）第74頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月3、物理隔離技術(shù)原理－存儲(chǔ)池（6）第75頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月3、物理隔離技術(shù)原理－存儲(chǔ)池（7）第76頁(yè)，課件共84頁(yè)，創(chuàng)作于2023年2月3、物理隔離技術(shù)原理－存儲(chǔ)池（8）存儲(chǔ)池交換技術(shù)是一種隔離網(wǎng)絡(luò)之間連接的專用安全技術(shù)。這種技術(shù)使用一