网络访问控制.ppt

13讲信息安全风险评估5.3防火墙体系双宿网关防火墙拥有两个连接到不同网络的接口阻止IP层通信两个网络通过应用层数据共享或应用代理服务来完成第30页，共48页，星期日，2025年，2月5日13讲信息安全风险评估双宿网关防火墙两种服务方式用户直接登录到双重宿主机上在双重宿主机上运行代理服务器第31页，共48页，星期日，2025年，2月5日13讲信息安全风险评估Internet防火墙双重宿主主机内部网络双重宿主主机体系结构第32页，共48页，星期日，2025年，2月5日13讲信息安全风险评估屏蔽主机防火墙典型构成包过滤路由器＋堡垒主机包过滤路由器配置在内部网和外部网之间堡垒主机配置在内部网络上堡垒主机是一种被强化的可以防御进攻的计算机是网络中最容易受到侵害的主机经常配置网关服务第33页，共48页，星期日，2025年，2月5日13讲信息安全风险评估外部网络内部网络堡垒主机示意图第34页，共48页，星期日，2025年，2月5日网络访问控制第1页，共48页，星期日，2025年，2月5日13讲信息安全风险评估5.1概述什么是防火墙是一种访问控制技术是放置在两个网络之间的一组组件是位于两个信任度不同的网络之间的软件或硬件设备的组合。防火墙通过一组设备介入被保护对象和外部网络系统之间，对发生在被保护者和外部网络系统之间的网络通信进行有选择的限制，实现对被保护者的保护。物理隔离的指导思想：在保证必须安全的前提下尽可能互联互通第2页，共48页，星期日，2025年，2月5日13讲信息安全风险评估层次式防御的战略思想Internet交换机路由器主机网络传输设备网络边界第3页，共48页，星期日，2025年，2月5日13讲信息安全风险评估Internet1.企业内联网2.部门子网3.分公司网络第4页，共48页，星期日，2025年，2月5日13讲信息安全风险评估两个安全域之间通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为IT领域使用的防火墙概念第5页，共48页，星期日，2025年，2月5日13讲信息安全风险评估防火墙的访问控制手段服务控制方向控制用户控制行为控制第6页，共48页，星期日，2025年，2月5日13讲信息安全风险评估防火墙的功能过滤进出网络的数据管理进出网络的访问行为封堵某些禁止的业务记录进出网络的信息和活动对网络攻击进行检测和告警第7页，共48页，星期日，2025年，2月5日13讲信息安全风险评估防火墙的缺陷限制有用的网络服务无法保护内部网络用户的攻击无法防范通过防火墙以为的其他途径的攻击无法完全防止传送已感染病毒的软件无法防范数据驱动型攻击第8页，共48页，星期日，2025年，2月5日13讲信息安全风险评估防火墙设计目标内外网络之间传输的数据必须经过防火墙只有安全策略允许的数据才能通过防火墙防火墙本身不受攻击影响第9页，共48页，星期日，2025年，2月5日13讲信息安全风险评估防火墙的姿态拒绝没有特别允许的允许没有特别拒绝的防火墙的整体安全策略作为总体安全策略的一部分，应避免攻击者绕过防火墙防火墙的费用第10页，共48页，星期日，2025年，2月5日13讲信息安全风险评估防火墙的分类依据防火墙体系结构分包过滤防火墙双宿网关根据使用的技术包过滤防火墙应用层代理电路级网关NAT防火墙状态检查防火墙第11页，共48页，星期日，2025年，2月5日13讲信息安全风险评估防火墙的分类按组成防火墙的组件不同分软件防火墙硬件防火墙根据实现平台分基于Windows平台基于Linux平台根据保护对象分主机防火墙网络防火墙第12页，共48页，星期日，2025年，2月5日13讲信息安全风险评估5.2防火墙技术包过滤防火墙第13页，共48页，星期日，2025年，2月5日13讲信息安全风险评估所有的流量都通过包过滤路由器优点：简单第14页，共48页，星期日，2025年，2月5日13讲信息安全风险评估安全网域HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolP