第五章访问控制与网络隔离技术

第五章访问控制与网络隔离技术内容摘要：

火墙系统的体系结构可以说成为够成防火墙系统的拓扑结构。 网络对外呈现的安全水平依赖于所用防火墙系统的体系结构。 一般将防火墙体系结构区分三种。 防火墙系统的体系结构 防火墙技术 (1)多宿主机 （ multihomed host） 多宿主机一词用来描述具有多个网络 接口板控制的的主机。 它们被广泛用于两个或多个局域网的系统中。 防火墙系统的体系结构 防火墙技术 网络板 网络板 网络板 网络 1 网络 2 网络 3 可选路由功能 多 宿 主 机 (2)双宿主机 双宿主机体系结构是多宿主机的一个特例，是连接两个网络的计算机系统，是围绕具有双宿主的主机计算机而构筑的，这样的主机可以充当与这些接口相连的网络之间的路由器，并能够从一个网络到另一个网络发送 IP数据包。 然而，实现双宿主机的作为防火墙的双宿主机体系结构禁止这种发送 IP数据包功能。 防火墙系统的体系结构 防火墙技术 防火墙系统的体系结构 防火墙技术 主机 A 主机 B 网络 1上的主机 A可以访双宿主机上的应用程序 A。 类似的 ， 主机 B可以访问双宿主机上的应用程序 B。 双宿主机上的这个两个应用程序甚至可以共享数据来交换信息是完全可能的 ， 并且 ， 在双宿主机上相连的两个网络段之间没有网络流量的交换。 双宿主机网关是在堡垒主机中插装两块网络口卡 ，并在其上运行服务器软件 ， 受保护网与 Inter之间不能直接进行通信 ， 必须经过壁垒主机 ， 因此 ， 不必现实的列出保护网与外部网之间的路由 ， 从而达到受保护网除了看到壁垒主机之外 ， 不能看到其他任何系统效果。 防火墙系统的体系结构 防火墙技术 因而， IP数据分组从一个网络（例如， Inter）并不是直接发送到其它网络（例如，内部的、被保护的网络）。 防火墙内部的系统能与双宿主机通信，同时防火墙外部的系统（在 Inter上）能与双宿主机通信，但是这些系统不能直接互相通信。 它们之间的 IP通信被完全阻止。 双宿主机的防火墙体系结构很简单 ， 双宿主机位于两者之间 ， 并且被连接到 Inter和内部的网络。 如图 510所示 . 防火墙系统的体系结构 防火墙技术 作为防火墙的双宿主机 外部 内部 防火墙系统的体系结构 防火墙技术 双宿主机是防火墙使用的最基本配置 ， 双宿主防火墙主机的重要性是路由被禁；网段之间唯一的路径是通过应用层的功能。 如果路由意外地设有配置 ， 且 IP转发允许 ， 那么双宿主防火墙的应用层功能就可能被越过。 防火墙系统的体系结构 防火墙技术 屏蔽主机体系结构 屏蔽主机体系结构防火墙配置需要一个带数据分组过滤功能的路由器和一台堡垒主机，如图所示。 . 防火墙系统的体系结构 防火墙技术 在这种体系结构中 ， 防火墙系统提供的安全等级较高 ， 因为它实现了网络层安全和应用层安全。 所以入侵者在破坏内部网络安全之前 ， 必须首先渗透两种不同的安全系统。 使用一个单独的路由器控制所有出入内部网的访问， 并将所有的请求传送给堡垒主机。 主要的安全由数据包过滤。 代理服务将通过防火墙的通信链路分为两段：防火墙内外的计算机系统的应用层链路优先两个终止于Proxy Server的 “ 链路 ” 来实现：外部计算机的网络链路只能达到 Proxy Server， 从而内网与外网计算机系统实现隔离。 防火墙系统的体系结构 防火墙技术 屏蔽子网体系结构添加额外的安全层到屏蔽主机体系结构。 用两个分组过滤路由器和一个堡垒主机 ， 在内部网络与 Inter之间有一个小型的独立网络 ， 即通过添加周边网络更进一步地把内部网络与 Inter隔离开， 如图所示。 防火墙系统的体系结构 防火墙技术 防火墙系统的体系结构 防火墙技术 两个分组过滤路由器 ， 一个位于周边网与内部的网络之间 ， 另一个位于周边网与外部网络之间。 通过屏蔽子网防火墙访问内部网络要受到路由器过滤规则的保护。 堡垒主机 、 信息服务器 、 调制解调器组以及其他公用服务器放在子网中。 屏蔽子网中的主机是内部网和 Inter都能访问唯一系统 ， 他支持网络层和应用层安全功能。 （ 1） 周边网络 周边网络是另一个安全层 ， 是在外部网络与用户的被保护的内部网络之间的附加的网络。 如果侵袭者成功地侵入用户的防火墙的外层领域 ， 周边网络在那个侵袭者与用户的内部系统之间提供一个附加的保护层。 防火墙系统的体系结构 防火墙技术 （ 2） 堡垒主机 将过滤和代理服务等功能结合起来形成新的防火墙 ，所用主机称为堡垒主机 （ bastion Hosts）。 堡垒主机是一个组织的网络安全的中心主机。 它是一个专门的系统 ，具有特殊的装备 ， 并能抵御攻击。 堡垒主机提供安全性功能的几种特点如下： • 堡垒主机的硬件执行一个安全版本的操作系统。 • 只有网络管理员认为必需的服务才能在堡垒主机上安装。 • 每个代理在堡垒主机上都以非特权用户的身份运行在其自己的并且是安全的目录中。 防火墙系统的体系结构 防火墙技术 （ 2） 堡垒主机 堡垒主机负责提供代理服务。 一般采用以下几种技术： ① 动态包过滤； ② 内核透明技术； ③ 用户认证机制； ④ 内容和策略感知能力； ⑤ 内部信息隐藏； ⑥ 智能日志 、 审计和实时报警； ⑦ 防火墙的交互操作性等。 防火墙系统的体系结构 防火墙技术 （ 3） 内部路由器 内部路由器 （ 有时被称为阻塞路由器 ） 保护内部的网络使之免受 Inter 和周边网的侵犯。 内部路由器为用户的防火墙执行大部分的数据包过滤工作。 它允许从内部网到 Inter的有选择的出站服务。 这些服务是用户的站点能使用数据包过滤而不是代理服务 安全支持和安全提供的服务。 内部路由器所允许的在堡垒主机 （ 在周边网上 ） 和用户的内部网之间服务可以不同于内部路由器所允许的在 Inter和用户的内部网之间的服务。 限制堡垒主机和内部网之间服务的理由是减少由此而导致的受到来自堡垒主机侵袭的机器的数量。 防火墙系统的体系结构 防火墙技术 （ 4） 外部路由器 外部路由器有时也被称为访问路由器 ， 起着保护周边网和内部网免受来自 Inter 的攻击。 实际上 ， 外部路由器倾向于允许几乎任何信息从周边网出站 ， 并且它们通常只执行非常少的数据包过滤。 保护内部机器的数据包过滤规则在内部路由器和外部路由器上基本上应该是一样的；如果在规则中有允许攻击者访问的错误 ， 错误就可能出现在两个路由器上。 实际上外部路由器能有效地执行的安全任务之一是：阻止从 Inter上伪造源地址进来的任何数据包。 这样的数据包自称来自内部的网络 ， 但实际上是来自 Inter。 防火墙系统的体系结构 防火墙技术 建造防火墙时 ， 一般很少用单一的技术 ， 通常是多种解决不同问题的技术的组合。 这种组合主要取决于网管中心向用户提供什么样的服务 ， 以及网管中心能接受什么等级风险。 采用哪种技术主要取决于经费 ， 投资的大小或技术人员的技术 、 时间等因素。 防火墙系统的体系结构 防火墙技术 • 使用多堡垒主机； • 合并内部路由器与外部路由器； • 合并堡垒主机与外部路由器； • 合并堡垒主机与内部路由器； • 使用多台内部路由器； • 使用多台外部路由器； • 使用多个周边网络； • 使用双重宿主机与屏蔽子网。 防火墙系统的体系结构 防火墙技术 防火墙系统是外部网络与内部网络之间的物理与逻辑界面。 从外部来看，防火墙借助于不同的传输接口打开了进入内部网络的通道。 通信接口支配着控制装置，允许内部与外部网络之间建立连接。 对于接口的不同访问，防火墙基本上分为三种类。 数据包过滤器、电路层网关和应用层网关。 这三种类型的防火墙个有利弊，在实际应用中需考虑网络环境、安全策略和安全级别等各方面的因素来选择相应的防火墙。 防火墙技术 欲保护网络的一种办法是正确配置过滤器 ， 路由能够区分网络流量 、 协议特写的标准 ， 路由在其端口具有区分分组和限制分组的能力叫作 分组过滤。 因此 ， 过滤路由器也称作分组过滤路由器 （ Packetfiltering Firewall）。 分组过滤器安装在路由器上 ， 当然 PC机上也可以安装包过滤软件。 它工作在网络层 （ IP） ， 因此也称为网络防火墙。 分组过滤路由器对每个进入的 IP分组使用一个规则集合 ， 然后转发或者丢弃该分组。 该路由器通常都被配置成过滤双向的分组 (来自内部或进入内部网络 )。 防火墙技术 （ 1） 过滤规则 包过滤规则是基于所收到的数据包的源地址、目的地址、 TCP/UDP、源端口号及目的端口号、分组出入接口、协议类型和数据包中的各种标志位等参数，与管理者预定的访问控制表（拟定一个提供接收和服务对象的清单，一个不接受访问或服务对象的清单）进行比较，按所定安全政策实施允许或拒绝访问，决定数据是否符合预先制定的安全策略，决定数据分组的转发或丢弃，即实施信息过滤。 防火墙技术 （ 1） 过滤规则 它实际上是控制内部网络上的主机直接访问外部网络，而外部网络上的主机对内部网络的访问则要受到限制，大多数在路由增设这类功能。 如图 513所示数据包过滤路由器用于 OSI七层模型中的例子。 防火墙技术 传输层 网络层 链路层 物理层 Inter 内部网络 数据包过滤 路由器 传输层 网络层 链路层 物理层 （ 1） 过滤规则 典型地，分组过滤器被建立成一组规则的列表。 这些规则基于与 IP或 TCP首部中字段的匹配。 如果存在与一个规则的匹配，那条规则就会被调用来决定转发规则还是丢弃规则。 如果和任何规则都不能匹配，那就采取一个默认动作。 两个默认策略是可能的： 默认 =丢弃：没有明确允许的就被禁止。 默认 =转发：没有明确禁止的就是允许。 防火墙技术 （ 1） 过滤规则 表 55至表 59给出某个防火墙的一些分组过滤规则集合的例子。 在每个集合中，规则是自顶向下应用的。 字段中的 “ *” 是一个匹配所有信息的通配符指示符，假设防火墙执行的是默认 =丢弃的策略。 表 55 防火墙技术 动作 我们的主机。