网络安全技术

2019/11/44.2.1防火墙体系结构基于网络防火墙的部件类型屏蔽路由器（Screeningrouter）实施分组过滤能够阻断网络与某一台主机的IP层的通信堡垒主机（Bastionhost）一个网络系统中安全性最强的计算机系统安全性受到最严密的监视没有保护的信息不能作为跳板实施分组代理2019/11/4网络防火墙体系结构双重宿主机体系结构–基于堡垒主机屏蔽主机体系结构–基于堡垒主机和屏蔽路由器被屏蔽子网体系结构–双重屏蔽路由器2019/11/4双重宿主主机(dual-homedhost)连接因特网和局域网双重宿主计算机服务器服务器工作站工作站工作站因特网过滤和代理2019/11/4屏蔽主机(ScreenedHost)用包过滤和应用代理的双重安全保护包过滤器连接因特网代理服务器为局域网上的客户机提供服务包过滤器服务器服务器工作站工作站应用代理网关因特网2019/11/4屏蔽子网(ScreenedSubnet)添加额外的安全层进一步地把内部网络与Internet隔离开包过滤器服务器服务器工作站工作站工作站应用代理服务器包过滤器因特网DMZ2019/11/44.2.2防火墙的安全策略安全策略的两个层次–网络服务访问策略–防火墙设计策略设计策略1.用户账号策略2.用户权限策略3.信任关系策略4.分组过滤策略5.认证、签名和数据加密策略6.密钥管理策略7.审计策略2019/11/4用户账号策略口令最小长度口令最长有效期口令历史口令存储方式用户账号锁定方式–在若干次口令错误之后2019/11/4用户权限策略备份文件权限远程/本地登录访问权限远程/本地关机权限更改系统时间权限管理日志权限删除/还原文件权限设置信任关系权限卷管理权限安装/卸载设备驱动程序权限2019/11/4审计策略成功或者不成功的登录事件成功或者不成功的对象访问成功或者不成功的目录服务访问成功或者不成功的特权使用成功或者不成功的系统事件成功或者不成功的账户管理事件2019/11/44.2.3防火墙技术分组过滤技术依据–IP分组的源地址和目的地址–源端口号和目的端口号–传送协议优点–可以实现粗颗粒的网络安全策略–容易实现–配置成本低–速度快局限性–配置分组过滤规则比较困难–不能识别分组中的用户信息–不能抵御IP地址欺骗2019/11/4例4-1某一个具有B类网络123.45的公司的网络管理员希望阻止来自因特网上的访问(123.45/16)。该网络中有一个特殊子网(123.45.6.0/24)是一个与某大学合作的，该大学的网址是135.79。他希望这个特殊的子网能够被该大学的所有子网访问。此外还希望阻止公司的网络被大学中某一个特殊子网(135.79.99.0/24)访问。试设计制订过滤规则。2019/11/4解某一个具有B类网络123.45的公司的网络管理员希望阻止来自因特网上的访问(123.45/16)。该网络中有一个特殊子网(123.45.6.0/24)是一个与某大学合作的，该大学的网址是135.79。他希望这个特殊的子网能够被该大学的所有子网访问。此外还希望阻止公司的网络被大学中某一个特殊子网(135.79.99.0/24)访问。试设计制订过滤规则。制订过滤规则如下规则源地址目标地址动作A135.79.99.0/24123.45.6.0/24拒绝B135.79.0.0/16123.45.6.0/24允许C0.0.0.0/00.0.0.0/0拒绝2019/11/4例4-2处于一个C类网络116.111.4.0的防火墙，第一，希望阻止网络中的用户访问主机202.108.5.6；假设需要阻止这个主机的Telnet服务，对于Internet的其他站点，允许网络内部用户通过Telnet方式访问，但不允许网络外部其他站点以Telnet方式访问网络。第二，为了收发电子邮件，允许SMTP出站入站服务，邮件服务器的IP地址为116.111.4.1。第三，对于服务，允许内部网用户访问Internet上任何网络和站点，但只允许一个公司的网络98.120.7.0访问内部服务器，内部。试根据以上要求设计过滤规则。2019/11/4解规则方向协议源地址目的地址源端口目的端口动作A出TCP116.111.4.0202.108.5.6102323拒绝B入TCP202.108.5.6116.111.4.0231023拒绝C出TCP116.111.4.0任意102323允许D入TCP任意116.111.4.0231023允许E出TCP116.111.4.1任意102325允许F入TCP任意116.111.4.1251023允许G入TCP任意116.111.4.1102325允许H出TCP116.111.4.1任意251023允许I出TCP116.111.4.0任意102380允许J入TCP任意116.111.4.0801023允许K入TCP98.120.7.0116.111.4.5102380允许L出TCP116.111.4.598.120.7.0801023允许M双向任意任意任意任意任意拒绝23：telnet25：SMTP80:web1023:非系统进程2019/11/4地址过滤配置实例2019/11/4配置结果2019/11/4问题1DMZ包过滤器A服务器服务器工作站工作站工作站应用代理服务器包过滤器B因特网某屏蔽子网的应用代理服务器中，对外接口的IP地址是202.120.1.1，对内接口的IP地址为192.168.1.1。问如何配置包过滤器规则，使得所有的内网与外网的通信都经过代理服务器的检查和传递。2019/11/4解答某屏蔽子网的应用代理服务器中，对外接口的IP地址是202.120.1.1，对内接口的IP地址为192.168.1.1。问如何配置包过滤器规则，使得所有的内网与外网的通信都经过代理服务器的检查和传递。规则方向协议源地址目地址源端口目端口动作AIn--202.120.1.1--允许Bout-202.120.1.1---允许C------禁止规则方向协议源地址目地址源端口目端口动作Ain-192.168.1.1---允许Bout--192.168.1.1--允许C------禁止包过滤器B包过滤器A2019/11/4防火墙安全策略的例子AllowallinboundandoutboundICMPAllowinboundTCP445fromhosts192.168.4.0–192.168.20.255BlockallinboundTCPBlockallinboundUDPAllowalloutboundTCPAllowalloutboundUDP2019/11/4代理服务技术代理–客户机与服务器之间的一个应用层中介–在两者之间传递应用程序的信息–可以根据数据包的内容进行检测应用代理的原理–隔断通信双方的直接联系•将内部网络与外部网络从网络层起分开–所有通信都必须经应用层的代理进行转发•用另外的连接和封装转发应用层信息2019/11/4代理服务技术特点–安全性较高•能够识别应用层信息•数据重新封装–应用滞后•不支持没有开发代理的网络应用–客户端配置较复杂•需要在客户端进行代理设置–要求应用层数据中不包含加密、压缩数据•Email中做不到代理的实例–网络地址转换器（NAT）–URL过滤器（Web应用层）2019/11/4NAT网络层/传输层代理–提供外网IP地址与内网地址之间的转换•方便路由汇聚与IPv6网络连通–使得外网地址重用分类–静态NAT•将内部地址与外部地址固定地一一对应–动态NAT•将多个内部地址与同一个外部地址对应（分时使用）•通过TCP/UDP端口号区分（NAPT）IPv4/IPv4NAT(RFC1631,RFC2663,RFC3022,RFC3235)IPv4/IPv6NAT(RFC2766,RFC2765,RFC3027)2019/11/4例4-3NATSA=176.16.1.1DA=191.1.1.3SA=191.1.1.1DA=191.1.1.3SA=191.1.1.3DA=191.1.1.1SA=191.1.1.3DA=176.16.1.12019/11/4例4-4NAPT2019/11/4NAPT将地址转换扩展到端口号全转换FullCone–外网随时可以利用映射后的地址给内网发送UDP报文受限转换RestrictedCone–当内网主机向外网发送数据分组后，外网才可以利用映射后的地址给内网发送UDP报文端口受限转换PortRestrictedCone–当内网主机向外网发送数据分组后，外网才可以利用映射后相同的地址和端口号给内网发送UDP报文对称NATSymmetricNAT–多个内网地址和端口号映射到同一个外网地址–当内网主机向外网发送数据分组后，外网才可以利用映射后相同的地址和端口号给内网发送UDP报文2019/11/4NAT-PT地址转换–静态地将每个IPv6地址转换成IPv4地址(NAT-PT)–动态地将一个IPv6地址转换成一定期限的IPv4地址–动态地将一个IPv6地址转换成IPv4地址和TCP/UDP端口号(NAPT-PT)协议转换–在IPv4与对应的IPv6分组之间相互转换•IPv4头与对应的IPv6头之间的相互转换•TCP/UDP/ICMP校验和更新•ICMPv4头与ICMPv6头之间的相互转换•ICMPv4错误消息与ICMPv6错误消息的相互转换•IPv4senderdoesnotperformpathMTUdiscoveryRFC27652019/11/4ProblemsofNATAndrewS.TanenbaumViolatesarchitecturemodelofIPChangestheInternetfromaconnectionlesstoconnection-orientedViolatestheroleofprotocollayeringDoesnotsupportothertransportprotocolDoesnotsupportIPaddressesinthebody–FTPandH.323worksthisway–breaksmanyIPapplications–RFC30272019/11/4NAT穿透与语音通信H.323与SIP的共同点传输中需要建立两种通道–控制通道–媒体通道•RTP/RTCP连接使用的UDP端口需要通过协商确定•因为一台主机可能建立多条媒体通道（多个媒体流）•要求防火墙打开所有的端口号发起呼叫方的IP地址在分组的载荷中–根据这个IP地址发回的分组将被防火墙阻挡–防火墙的穿透问题NAT-FriendlyApplicationDesignGuidelines–在分组中不包含IP地址和端口号–许多协议无法根据这个指导原则构建–RFC32352019/11/4NAT穿透与语音通信解决方案应用级网关ALG(ApplicationLayerGateways)–存放应用层信息并用于NAT–修改应用层信息中的IP地址–需要更新已有的NAT•扩展性问题、可靠性问题和新应用布署问题FullProxy–由专门的应用层代理对业务流进行转发–代理在防火墙的外部•对载荷中的IP地址进行处理•对应答分组中的IP地址进行转换NAT2019/11/4TraverseaFirewallMIDCOM–MiddleboxCommunicationsprotocol–采用应用代理与NAT通信–允许一个应用实体控制NAT•需要更新当前的NAT和防火墙–RFC3303STUN–SimpletraversalofUDPthroughNAT–使得应用程序能发现NAT和防火墙的存在•通过发送绑定请求给STUN服务器并比较应答中的IP地址和端口号–使得应用程序发现映射的地址和端口号•确定NAT的地