信息學(xué)院公共教學(xué)部第12章

網(wǎng)絡(luò)平安與防火墻技術(shù)伴隨網(wǎng)絡(luò)的普及，平安日益成為影響網(wǎng)絡(luò)效能的重要問(wèn)題。而Internet所具有的開(kāi)放性、國(guó)際性、自由性，在增加應(yīng)用自由度的同時(shí)，對(duì)平安提出了更高的要求。如何保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵，已成為政府機(jī)構(gòu)、企事業(yè)單位信息化健康開(kāi)展所要考慮的重要事情之一。12.1網(wǎng)絡(luò)平安概述 網(wǎng)絡(luò)平安的定義網(wǎng)絡(luò)平安的研究?jī)?nèi)容 Internet平安面臨的威脅個(gè)人上網(wǎng)用戶面臨的網(wǎng)絡(luò)陷阱12.1.5平安策略返回本章首頁(yè)網(wǎng)絡(luò)平安的定義 1〕保密性2〕完整性3〕可用性4〕可審查性5)可控性返回本節(jié)網(wǎng)絡(luò)平安的研究?jī)?nèi)容1．物理平安2．邏輯平安3．操作系統(tǒng)提供的平安4．聯(lián)網(wǎng)平安5．其他形式的平安6．虛假平安返回本節(jié)網(wǎng)絡(luò)平安面臨的威脅1．非授權(quán)訪問(wèn)、黑客2．計(jì)算機(jī)病毒、網(wǎng)絡(luò)病毒3．信息泄漏或喪失4．后門(mén)5．窺探6.破壞數(shù)據(jù)完整性7.拒絕效勞攻擊返回本節(jié)個(gè)人上網(wǎng)用戶面臨的網(wǎng)絡(luò)陷阱〔1〕賬號(hào)密碼被竊取〔2〕“電子炸彈〞和“垃圾郵件〞騷擾〔3〕網(wǎng)絡(luò)病毒〔4〕winnuke攻擊返回本節(jié)12.1.5平安策略威嚴(yán)的法律先進(jìn)的技術(shù)嚴(yán)格的管理返回本節(jié)12.2網(wǎng)絡(luò)平安的根本體系12.2.1物理平安

環(huán)境平安、設(shè)備平安、媒體平安12.2.2網(wǎng)絡(luò)平安

1、內(nèi)外網(wǎng)隔離及訪問(wèn)控制系統(tǒng)、2、內(nèi)部網(wǎng)不同平安域的隔離及訪問(wèn)控制3、網(wǎng)絡(luò)平安檢測(cè)4、審計(jì)與控制5、網(wǎng)絡(luò)反病毒6、網(wǎng)絡(luò)備份系統(tǒng)12.2.3信息平安合法用戶的鑒別數(shù)據(jù)傳輸平安系統(tǒng)數(shù)據(jù)存儲(chǔ)平安系統(tǒng)12.2.4平安管理的原那么與實(shí)現(xiàn)網(wǎng)絡(luò)平安管理的隱患〔1〕有權(quán)賬號(hào)管理混亂〔2〕系統(tǒng)缺乏分級(jí)管理〔3〕FTP帶來(lái)的隱患〔4〕CGI接口程序弊病網(wǎng)絡(luò)平安管理的內(nèi)容〔1〕鑒別管理〔2〕訪問(wèn)控制管理〔3〕密鑰管理〔4〕信息網(wǎng)絡(luò)的平安管理1〕在通信實(shí)體上實(shí)施強(qiáng)制平安策略。2〕允許實(shí)體確定與之通信一組實(shí)體的自主平安策略。3〕控制和分配信息到提供平安效勞的各類(lèi)開(kāi)放系統(tǒng)中，報(bào)告所提供的平安效勞，以及已發(fā)生與平安有關(guān)的事件。4〕在一個(gè)實(shí)際的開(kāi)放系統(tǒng)中，可設(shè)想與平安有關(guān)的信息將存儲(chǔ)在文件或表中。網(wǎng)絡(luò)平安管理的作用網(wǎng)絡(luò)平安的常規(guī)防護(hù)措施 1．采用備份來(lái)防止損失2．幫助用戶自助3．預(yù)防引導(dǎo)病毒4．預(yù)防文件病毒5．將訪問(wèn)控制加到PC機(jī)6．防止無(wú)意的信息披露7．使用效勞器平安計(jì)算機(jī)網(wǎng)絡(luò)的平安效勞1．對(duì)象認(rèn)證平安效勞2．訪問(wèn)控制平安效勞3．?dāng)?shù)據(jù)保密性平安效勞4．?dāng)?shù)據(jù)完整性平安效勞5．防抵賴(lài)平安效勞計(jì)算機(jī)網(wǎng)絡(luò)的平安機(jī)制加密機(jī)制數(shù)字簽名機(jī)制訪問(wèn)控制機(jī)制數(shù)據(jù)完整性機(jī)制鑒別交換機(jī)制防業(yè)務(wù)流分析機(jī)制路由控制機(jī)制公證機(jī)制平安審計(jì)跟蹤表1平安機(jī)制與平安效勞的關(guān)系對(duì)照表平安效勞機(jī)制的配置 1．物理層2．?dāng)?shù)據(jù)鏈路層3．網(wǎng)絡(luò)層4．傳輸層5．會(huì)話層6．表示層7．應(yīng)用層表2參考模型的各個(gè)層能提供的平安效勞網(wǎng)絡(luò)平安控制措施 1．物理訪問(wèn)控制2．邏輯訪問(wèn)控制3．組織方面的控制4．人事控制5．操作控制6．應(yīng)用程序開(kāi)發(fā)控制7．工作站控制8．效勞器控制9．?dāng)?shù)據(jù)傳輸保護(hù)網(wǎng)絡(luò)平安實(shí)施過(guò)程中要注意的問(wèn)題1．網(wǎng)絡(luò)平安分級(jí)應(yīng)以風(fēng)險(xiǎn)為依據(jù)2．有效防止部件被毀壞或喪失可以得到最正確收益3．平安概念確定在設(shè)計(jì)早期4．完善規(guī)那么5．注重經(jīng)濟(jì)效益規(guī)那么6．對(duì)平安防護(hù)措施進(jìn)行綜合集成7．盡量減少與外部的聯(lián)系8．一致性與平等原那么9．可以接受的根本原那么10．時(shí)刻關(guān)注技術(shù)進(jìn)步12.3信息平安的評(píng)價(jià)標(biāo)準(zhǔn)美國(guó)TCSEC〔桔皮書(shū)〕歐洲ITSEC美國(guó)聯(lián)邦準(zhǔn)那么FC聯(lián)合公共準(zhǔn)那么CC系統(tǒng)平安工程能力成熟模型SSE-CMMISO平安體系結(jié)構(gòu)標(biāo)準(zhǔn)等同采用國(guó)際標(biāo)準(zhǔn)12.4防火墻技術(shù)概述

防火墻的定義防火墻的架構(gòu)防火墻的體系結(jié)構(gòu)12.4.4防火墻的根本類(lèi)型防火墻的定義 防火墻是設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)平安域之間的一系列部件的組合。既可以使一臺(tái)或多臺(tái)主機(jī)；也可以使一臺(tái)路由器或其他設(shè)備。防火墻提供信息平安效勞，所有的通信都必須經(jīng)過(guò)防火墻。只允許經(jīng)過(guò)授權(quán)的網(wǎng)絡(luò)流量通性，它經(jīng)得起對(duì)其本身的攻擊。圖9.1為防火墻示意圖。圖9.1防火墻示意圖返回本節(jié)防火墻的開(kāi)展簡(jiǎn)史 第一代防火墻：采用了包過(guò)濾〔PacketFilter〕技術(shù)。第二、三代防火墻：1989年，推出了電路層防火墻，和應(yīng)用層防火墻的初步結(jié)構(gòu)。第四代防火墻：1992年，開(kāi)發(fā)出了基于動(dòng)態(tài)包過(guò)濾技術(shù)的第四代防火墻。第五代防火墻：1998年，NAI公司推出了一種自適應(yīng)代理技術(shù)，可以稱(chēng)之為第五代防火墻。圖9.2防火墻技術(shù)的簡(jiǎn)單開(kāi)展歷史設(shè)置防火墻的目的和功能 〔1〕防火墻是網(wǎng)絡(luò)平安的屏障〔2〕防火墻可以強(qiáng)化網(wǎng)絡(luò)平安策略〔3〕對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)〔4〕防止內(nèi)部信息的外泄防火墻的局限性 〔1〕防火墻防外不防內(nèi)?！?〕防火墻難于管理和配置，易造成平安漏洞?！?〕很難為用戶在防火墻內(nèi)外提供一致的平安策略?！?〕防火墻只實(shí)現(xiàn)了粗粒度的訪問(wèn)控制。防火墻技術(shù)開(kāi)展動(dòng)態(tài)和趨勢(shì) 〔1〕優(yōu)良的性能〔2〕可擴(kuò)展的結(jié)構(gòu)和功能〔3〕簡(jiǎn)化的安裝與管理〔4〕主動(dòng)過(guò)濾〔5〕防病毒與防黑客12.4.2防火墻的架構(gòu)一套完整的防火墻系統(tǒng)包括：

屏蔽路由器代理效勞器12.4.3防火墻的體系結(jié)構(gòu)屏蔽路由器雙穴主機(jī)網(wǎng)關(guān)被屏蔽主機(jī)網(wǎng)關(guān)被屏蔽子網(wǎng)屏蔽路由器示意圖雙穴主機(jī)網(wǎng)關(guān)示意圖屏蔽主機(jī)網(wǎng)關(guān)示意圖被屏蔽子網(wǎng)防火墻示意圖12.4.4防火墻的根本類(lèi)型 1．包過(guò)濾防火墻2．代理防火墻3．狀態(tài)監(jiān)視器1．包過(guò)濾防火墻〔1〕數(shù)據(jù)包過(guò)濾技術(shù)的開(kāi)展：靜態(tài)包過(guò)濾、動(dòng)態(tài)包過(guò)濾?！?〕包過(guò)濾的優(yōu)點(diǎn)：不用改動(dòng)應(yīng)用程序、一個(gè)過(guò)濾路由器能協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò)、數(shù)據(jù)包過(guò)濾對(duì)用戶透明、過(guò)濾路由器速度快、效率高。〔3〕包過(guò)濾的缺點(diǎn)：不能徹底防止地址欺騙；一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過(guò)濾；正常的數(shù)據(jù)包過(guò)濾路由器無(wú)法執(zhí)行某些平安策略；平安性較差；數(shù)據(jù)包工具存在很多局限性。包過(guò)濾處理靜態(tài)包過(guò)濾防火墻動(dòng)態(tài)包過(guò)濾防火墻〔1〕代理防火墻的原理：代理防火墻通過(guò)編程來(lái)弄清用戶應(yīng)用層的流量，并能在用戶層和應(yīng)用協(xié)議層間提供訪問(wèn)控制；而且，還可用來(lái)保持一個(gè)所有應(yīng)用程序使用的記錄。記錄和控制所有進(jìn)出流量的能力是應(yīng)用層網(wǎng)關(guān)的主要優(yōu)點(diǎn)之一。代理防火墻的工作原理如圖9.6所示。2．代理防火墻〔2〕應(yīng)用層網(wǎng)關(guān)型防火墻：主要保存Internet上那些最常用和最近訪問(wèn)過(guò)的內(nèi)容：在Web上，代理首先試圖在本地尋找數(shù)據(jù)，如果沒(méi)有，再到遠(yuǎn)程效勞器上去查找。為用戶提供了更快的訪問(wèn)速度，并且提高了網(wǎng)絡(luò)平安性。應(yīng)用層網(wǎng)關(guān)的工作原理如圖9.7所示。應(yīng)用層網(wǎng)關(guān)防火墻最突出的優(yōu)點(diǎn)就是平安，缺點(diǎn)就是速度相比照較慢?！?〕電路層網(wǎng)關(guān)防火墻在電路層網(wǎng)關(guān)中，包被提交用戶應(yīng)用層處理。電路層網(wǎng)關(guān)用來(lái)在兩個(gè)通信的終點(diǎn)之間轉(zhuǎn)換包，如圖9.8所示。電路層網(wǎng)關(guān)防火墻的工作原理如圖9.9所示電路層網(wǎng)關(guān)防火墻的特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段?！?〕代理技術(shù)的優(yōu)點(diǎn)1〕代理易于配置；2〕代理能生成各項(xiàng)記錄；3〕代理能靈活、完全地控制進(jìn)出流量、內(nèi)容；4〕代理能過(guò)濾數(shù)據(jù)內(nèi)容；5〕代理能為用戶提供透明的加密機(jī)制；6〕代理可以方便地與其他平安手段集成?！?〕代理技術(shù)的缺點(diǎn)1〕代理速度較路由器慢；2〕代理對(duì)用戶不透明；3〕對(duì)于每項(xiàng)效勞代理可能要求不同的效勞器；4〕代理效勞不能保證免受所有協(xié)議弱點(diǎn)的限制；5〕代理不能改進(jìn)底層協(xié)議的平安性。圖9.6代理的工作方式應(yīng)用層網(wǎng)關(guān)防火墻圖9.8電路層網(wǎng)關(guān)電路層網(wǎng)關(guān)防火墻12.5主要的防火墻技術(shù)12.5.1包過(guò)濾技術(shù)1