第3章访问控制与防火墙技术

第3章访问控制与防火墙技术本章主要介绍：1.访问控制技术2.防火墙技术基础3.防火墙安全设计策略4.防火墙攻击策略5.第四代防火墙的主要技术6.防火墙发展的新方向3.1访问控制技术一般概念：是针对越权使用资源的防御措施。基本目标：防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问。从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么。未授权的访问包括：未经授权的使用、泄露、修改、销毁信息以及颁发指令等。–非法用户进入系统。–合法用户对系统资源的非法使用。3.1访问控制技术访问控制的作用：访问控制对机密性、完整性起直接的作用。对于可用性，访问控制通过对以下信息的有效控制来实现：1）谁可以颁发影响网络可用性的网络管理指令2）谁能够滥用资源以达到占用资源的目的3）谁能够获得可以用于拒绝服务攻击的信息3.1访问控制技术访问控制策略与机制访问控制策略(AccessControlPolicy):访问控制策略在系统安全策略级上表示授权。是对访问如何控制,如何作出访问决定的高层指南。访问控制机制（AccessControlMechanisms):是访问控制策略的软硬件低层实现。访问控制机制与策略独立，可允许安全机制的重用。安全策略之间没有更好的说法，只是一种可以比一种提供更多的保护。应根据应用环境灵活使用。3.1访问控制技术访问控制策略与机制•自主访问控制（discretionarypolicies),也称基于身份的访问控制IBAC(IdentityBasedAccessControl)•强制访问控制(mandatorypolicies),也称基于规则的访问控制RBAC（RuleBasedAccessControl）•基于角色的访问控制(role-basedpolicies)3.1访问控制技术•自主访问控制DAC是基于对主体或主体所属的主体组的识别来限制对客体的访问，这种控制是自主的。特点：根据主体的身份及允许访问的权限进行决策。自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。灵活性高，被大量采用。缺点：安全性最低。信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标C的访问权限传递给用户B,从而使不具备对C访问权限的B可访问C。3.1访问控制技术•强制访问控制(mandatorypolicies)特点：取决于能用算法表达的并能在计算机上执行的策略。策略给出资源受到的限制和实体的授权，对资源的访问取决于实体的授权而非实体的身份。RBAC决策在批准一个访问之前需要进行授权信息和限制信息的比较。(1)将主体和客体分级，根据主体和客体的级别标记来决定访问模式。如，绝密级，机密级，秘密级，无密级。(2)其访问控制关系分为：上读/下写，下读/上写（完整性）（机密性）(3)通过安全标签实现单向信息流通模式。3.1访问控制技术•基于角色的访问控制(role-basedpolicies)与现代的商业环境相结合的产物基于角色的访问控制是一个复合的规则，可以被认为是IBAC和RBAC的变体。一个身份被分配给一个被授权的组。起源于UNIX系统或别的操作系统中组的概念3.1访问控制技术角色的定义每个角色与一组用户和有关的动作相互关联，角色中所属的用户可以有权执行这些操作Arolecanbedefinedasasetofactionsandresponsibilitiesassociatedwithaparticularworkingactivity.角色与组的区别组：一组用户的集合角色：一组用户的集合+一组操作权限的集合3.2防火墙技术基础1．防火墙的概念在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。3.2防火墙技术基础防火墙的基本设计目标:对于一个网络来说，所有通过“内部”和“外部”的网络流量都要经过防火墙通过一些安全策略，来保证只有经过授权的流量才可以通过防火墙防火墙本身必须建立在安全操作系统的基础上注意：安全操作系统可以保护防火墙的代码和文件免遭入侵者攻击。这些防火墙的代码只允许在给定主机系统上执行,这种限制可以减少非法穿越防火墙的可能性3.2防火墙技术基础防火墙的控制能力:服务控制，确定哪些服务可以被访问方向控制，对于特定的服务，可以确定允许哪个方向能够通过防火墙用户控制，根据用户来控制对服务的访问行为控制，控制一个特定的服务的行为3.2防火墙技术基础防火墙的优点：●防火墙对企业内部网实现了集中的安全管理，可以强化网络安全策略，比分散的主机管理更经济易行。●防火墙能防止非授权用户进入内部网络。●防火墙可以方便地监视网络的安全性并报警。●可以作为部署网络地址转换（NetworkAddressTranslation）的地点，利用NAT技术，可以缓解地址空间的短缺，隐藏内部网的结构。●利用防火墙对内部网络的划分，可以实现重点网段的分离，从而限制安全问题的扩散。●由于所有的访问都经过防火墙，防火墙是审计和记录网络的访问和使用的最佳地方。3.2防火墙技术基础防火墙局限性：●限制有用的网络服务。●无法防护内部网络用户的攻击。●防火墙不能防范不经过防火墙的攻击。●防火墙也不能完全防止受病毒感染的文件或软件的传输。(由于病毒的种类繁多，如果要在防火墙完成对所有病毒代码的检查，防火墙的效率就会降到不能忍受的程度。)●防火墙不能有效地防范数据驱动式攻击。●不能防范新的网络安全问题。基于路由器的防火墙将过滤功能从路由器中独立出来，并加上审计和告警功能针对用户需求，提供模块化的软件包软件可通过网络发送，用户可根据需要构造防火墙与第一代防火墙相比，安全性提高了，价格降低了利用路由器本身对分组的解析,进行分组过滤过滤判断依据：地址、端口号、IP旗标及其它网络特征防火墙与路由器合为一体，只有过滤功能适用于对安全性要求不高的网络环境是批量上市的专用防火墙产品包括分组过滤或者借用路由器的分组过滤功能装有专用的代理系统，监控所有协议的数据和指令保护用户编程空间和用户可配置内核参数的设置安全性和速度大为提高。防火墙厂商具有操作系统的源代码，并可实现安全内核去掉了不必要的系统特性，加固内核，强化安全保护在功能上包括了分组过滤、应用网关、电路级网关增加了许多附加功能：加密、鉴别、审计、NAT转换透明性好，易于使用基于安全操作系统的防火墙基于通用操作系统的防火墙防火墙工具套3.2防火墙技术基础第一代：基于路由器的防火墙称为包过滤防火墙特征：以访问控制表方式实现分组过滤过滤的依据是IP地址、端口号和其它网络特征只有分组过滤功能，且防火墙与路由器一体3.2防火墙技术基础缺点：路由协议本身具有安全漏洞路由器上的分组过滤规则的设置和配置复杂攻击者可假冒地址本质缺陷：一对矛盾，防火墙的设置会大大降低路由器的性能。路由器：为网络访问提供动态灵活的路由防火墙：对访问行为实施静态固定的控制包过滤型防火墙3.2防火墙技术基础第二代:用户化的防火墙工具套件特征：将过滤功能从路由器中独立出来，并加上审计和告警功能；针对用户需求提供模块化的软件包；安全性提高，价格降低；纯软件产品，实现维护复杂。缺点：配置和维护过程复杂费时；对用户技术要求高；全软件实现，安全性和处理速度均有局限；3.2防火墙技术基础第三代：建立在通用操作系统上的防火墙是近年来在市场上广泛可用的一代产品。特征包括分组过滤或借用路由器的分组过滤功能；装有专用的代理系统，监控所有协议的数据和指令；保护用户编程空间和用户可配置内核参数的设置；安全性和速度大为提高。实现方式：软件、硬件、软硬结合。问题：作为基础的操作系统及其内核的安全性无从保证。通用操作系统厂商不会对防火墙的安全性负责；从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统漏洞的攻击。用户必须依赖两方面的安全支持：防火墙厂商和操作系统厂商。3.2防火墙技术基础3.2防火墙技术基础第四代：具有安全操作系统的防火墙1997年初，此类产品面市。安全性有质的提高。获得安全操作系统的方法：通过许可证方式获得操作系统的源码；通过固化操作系统内核来提高可靠性。特点：防火墙厂商具有操作系统的源代码，并可实现安全内核；对安全内核实现加固处理：即去掉不必要的系统特性，强化安全保护；对每个服务器、子系统都作了安全处理；在功能上包括了分组过滤、代理服务，且具有加密与鉴别功能；透明性好，易于使用。3.2防火墙技术基础第四代防火墙的主要技术与功能：灵活的代理系统：两种代理机制，一种用于从内部网到外部网的连接，另一种用于此外部网到内部网的连接；双端口或三端口结构；网络地址转换技术（NAT）虚拟专网技术（VPN）3.2防火墙技术基础3.2防火墙技术基础防火墙的类型：●数据包过滤路由器●应用层网关●电路层网关3.2防火墙技术基础1.数据包过滤路由器基本思想：对于每个进来的包，适用一组规则，然后决定转发或者丢弃该包如何过滤：过滤的规则以IP和传输层的头中的域(字段)为基础，包括源和目标IP地址、IP协议域、源和目标端口号过滤器往往建立一组规则，根据IP包是否匹配规则中指定的条件来作出决定。如果匹配到一条规则，则根据此规则决定转发或者丢弃如果所有规则都不匹配，则根据缺省策略进行过滤3.2防火墙技术基础两种缺省策略：没有被拒绝的流量都可以通过管理员必须针对每一种新出现的攻击，制定新的规则没有被允许的流量都要拒绝比较保守根据需要，逐渐开放3.2防火墙技术基础每个数据包都包含有特定信息的一组报头，其主要信息是：（1）IP协议类型（TCP、UDP，ICMP等）；（2）IP源地址；（3）IP目标地址；（4）TCP或UDP源端口号；（5）TCP或UDP目标端口号；3.2防火墙技术基础网络层链路层物理层外部网络内部网络3.2防火墙技术基础包过滤模型物理层应用层会话层表示层传输层网络层防火墙检查模块数据链路层链路层数据应用层数据传输层数据与过滤规则匹配吗与过滤规则匹配吗审计/报警转发包吗发送NACK丢弃包结束3.2防火墙技术基础设置步骤：●确定什么是应该或不应该被允许的。●规定允许的包类型、包字段的逻辑表达。●用防火墙支持的语法重写表达式。3.2防火墙技术基础按地址过滤：例：如果认为202.110.8.0是危险网络，则可以：规则方向源地址目的地址动作A出内部网络202.110.8.0拒绝B入202.110.8.0内部网络拒绝缺点：信息利用不完全。3.2防火墙技术基础按服务过滤：例：禁止外部主机访问内部的E_Mail服务器(协议SMTP端口25)，允许内部主机访问外部主机，则：规则方向动作源地址源端口目的地址目的端口注释A入拒绝M*E_Mail25不信任B出允许****允许连接C双向拒绝****默认状态规则按从前到后的顺序匹配。3.2防火墙技术基础例：从内往外的telnet服务clientserver外部内部往外包的特性(用户操作信息)IP源是内部地址目标地址为serverTCP协议，目标端口23源端口1023往内包的特性(显示信息)IP源是server目标地址为内部地址TCP协议，源端口23目标端口10233.2防火墙技术基础例：从外往内的telnet服务clientserver内部外部往内包的特性(用户操作信息)IP源是外部地址目标地址为本地serverTCP协议，目标端口23源端口1023往外包的特性(显示信息)IP源是本地server目标地址为外部地址TCP协议，源端口23目标端口10233.2防火墙技术基础服务方向包方向源地址目标地址包类型源端口目标端口动作往外外内部