安全漏洞挖掘与防护课件：访问控制技术.ppt

在它与用户的其他内部机器之间除了偶尔可能有的主机安全之外没有其他的防范手段时，若有人成功地入侵屏蔽主机体系结构中的堡垒主机，那它就能够毫无阻挡地进入内部系统。屏蔽子网（ScreenedSubnet）体系结构通过在周边网络上隔离堡垒主机，能够减少对堡垒主机入侵的可能，如图8-8所示。**图8-8屏蔽子网体系结构**屏蔽子网体系结构通过在内部网络和外部网络之间建立一个被隔离的子网（周边网络），用两台过滤路由器将这一子网分别与内部网络和外部网络分开。在具体实现中，可以将过滤路由器放置在子网的两端，内部网络和外部网络均可以访问屏蔽子网，但禁止它们穿过被屏蔽子网。（1）周边网络周边网络是另一个安全层，是在外部网络与受保护的内部网络之间附加的网络。如果攻击者成功地入侵用户的防火墙的外层领域，周边网络在攻击者与用户的内部系统之间提供附加的保护层。但对于周边网络来说，如果攻击者入侵周边网络上的堡垒主机，他也仅能侦听到周边网络上的通信，而内部网络是通信仍然是安全的。（2）堡垒主机在屏蔽子网体系结构中，用户把堡垒主机连接到周边网络上，这台主机便是接受来自外部连接的主要入口。而从内部网络的客户端到Internet上的服务器的出站服务的处理方法有：在外部网络和内部网络的路由器上设置数据包过滤，以允许内部的客户端直接访问外部的服务器；设置代理服务器在堡垒主机上运行来允许内部的客户端间接地访问外部的服务器。（3）内部路由器内部路由器有时也称为阻塞路由器，它保护内部网络免受Internet和周边网络的入侵。内部路由器所允许的堡垒主机和用户的内部网络之间的服务可以不同于内部路由器所允许的Internet和用户的内部网之间的服务。（4）外部路由器外部路由器也称为访问路由器，它保护周边网络和内部网络免受来自Internet的侵犯。一般，外部路由器由外部服务提供商（如用户的Internet供应商）提供，同时用户对它的访问被限制。外部路由器能有效执行的安全任务之一是阻止从Internet上伪造源地址进来的任何数据包。这样的数据包自称来自内部的网络，但实际上是来自Internet。**8.2.4防火墙安全设计策略在构筑防火墙保护网络之前，需要制定一套完整有效的安全策略。一般，防火墙安全策略分为两个层次：网络服务访问策略和防火墙安全设计策略。（1）网络服务访问策略网络服务访问策略是一种高层次的、具体到事件的策略，主要用于定义在网络中允许的或禁止的网络服务，而且还包括对拨号访问以及SLIP/PPP连接的限制。比如，如果一个防火墙阻止用户使用Telnet服务访问Internet，一些人可能会使用拨号链接来获得这种服务，这样就可能会使网络受到攻击。网络服务访问策略不但应该是一个站点安全策略的延伸，而且对于机构内部资源的保护也应起到全局的作用。**一般情况下，一个防火墙执行两个通用网络服务访问策略中的一个：允许从内部站点访问Internet而不允许从Internet访问内部站点；只允许从Internet访问特定的系统，如信息服务器和电子邮件服务器。在最高层（或应用层），某个组织机构的总体策略可能是这样的：内部信息对于一个组织的经济繁荣是至关重要的。应使用各种经济实惠的办法来保证我们的信息的机密性、完整性、真实性和可用性。保护数据信息的机密性、完整性和可用性是高于一切的，是不同层次的员工的责任。所有信息处理的设备将被用于经过授权的任务。（2）防火墙安全设计策略防火墙的设计策略是具体地针对防火墙，制定相应的规章制度来实施网络服务访问策略。防火墙一般执行以下两种基本设计策略中的一种：第一种，除非明确不允许，否则允许某种服务；第二种，除非明确允许，否则将禁止某种服务。防火墙可以实施一种宽松的政策（第一种），也可以实施一种限制性政策（第二种），这就是制定防火墙策略的入手点。一个公司可以把一些必须的而又不能通过防火墙的服务放在屏蔽子网上，和其他的系统相隔离开。有些人把这种方法用在Web服务器上，这个服务器只是由包过滤进行保护，并不放在防火墙后面。此外，现在的防火墙还逐渐集成了信息安全技术中的必威体育精装版研究成果，使用加密机制来提高防火墙的安全性。总之，防火墙好坏取决于其安全性和灵活性的要求，所以在实施防火墙之前，考虑