本章要点 15 防火墙构成了每个方向传输数据所必须经过的关卡。防 火墙的安全策略规定了在每个数据传输方向上的授权。 防火墙可以被设计成P级的包过滤器,也可以被应用在 更高级别的协议层。 一个可信系统是在给定的安全策略下,其运行可以被验 证的计算机和操作系统。通常,可信系统的焦点是访问 控制,而其采用的策略规定了主体对客体的访问权限。 。消息技术安全通用标准是一个国际化的标准。它定义了 一套安全需求和测评,并以此需求为根据的产品的系统 化方法。 2022/10/9 现代密码学理论与实践-20 2/63
2022/10/9 现代密码学理论与实践-20 2/63 本章要点 ⚫ 防火墙构成了每个方向传输数据所必须经过的关卡。防 火墙的安全策略规定了在每个数据传输方向上的授权。 ⚫ 防火墙可以被设计成IP级的包过滤器,也可以被应用在 更高级别的协议层。 ⚫ 一个可信系统是在给定的安全策略下,其运行可以被验 证的计算机和操作系统。通常,可信系统的焦点是访问 控制,而其采用的策略规定了主体对客体的访问权限。 ⚫ 消息技术安全通用标准是一个国际化的标准。它定义了 一套安全需求和测评,并以此需求为根据的产品的系统 化方法
防火墙的定义 物国海车K术 15 在互联网上,防火墙是一种有效的网络安全系统,可以隔 离风险区域(Internet或有一定风险的网络)与安全区域(局域 网)的连接,同时不会妨碍安全区域对风险区域的访问。 安全区域 安全区域 服务器 工作站 台式PC 打印机 服务器 二作站 台式PC 打中机 服务器 服务器 防水墙 Internet网络 2022/10/9 3/63
2022/10/9 现代密码学理论与实践-20 3/63 防火墙的定义 ⚫ 在互联网上,防火墙是一种有效的网络安全系统,可以隔 离风险区域(Internet或有一定风险的网络)与安全区域(局域 网)的连接,同时不会妨碍安全区域对风险区域的访问。 防火墙 服务器 工作站 台式PC 打印机 服务器 安全区域 服务器 工作站 台式PC 打印机 服务器 安全区域 Internet网络
15 20.1防火墙的设计原理 。防火墙的基本设计目标 对于一个网络来说,所有通过“内部”和“外部”的 网络流量都要经过防火墙 通过一些安全策略,来保证只有经过授权的流量才可 以通过防火墙 。防火墙本身必须建立在安全操作系统的基础上 防火墙的控制能力 服务控制,确定哪些服务可以被访问 方向控制,对于特定的服务,可以确定允许哪个方向 能够通过防火墙 用户控制,根据用户来控制对服务的访问 行为控制,控制一个特定的服务的行为 2022/10/9 现代密码学理论与实践-20 4/63
2022/10/9 现代密码学理论与实践-20 4/63 20.1 防火墙的设计原理 ⚫ 防火墙的基本设计目标 ⚫ 对于一个网络来说,所有通过“内部”和“外部”的 网络流量都要经过防火墙 ⚫ 通过一些安全策略,来保证只有经过授权的流量才可 以通过防火墙 ⚫ 防火墙本身必须建立在安全操作系统的基础上 ⚫ 防火墙的控制能力 ⚫ 服务控制,确定哪些服务可以被访问 ⚫ 方向控制,对于特定的服务,可以确定允许哪个方向 能够通过防火墙 ⚫ 用户控制,根据用户来控制对服务的访问 ⚫ 行为控制,控制一个特定的服务的行为
防火墙的功能 。防火墙定义一个必经之点,包含以下三种基本功能 可以限制未授权的用户进入内部网络,过滤不安全的 服务和非法用户 防止入侵者接近网络防御设施 限制内部用户访问特殊站点 由于防火墙假设了网络边界和服务,因此适合于相对 独立的网络,例如Intranet等种类相对集中的网络,任 何关键性的服务器,都应该放在防火墙之后 ● 防火墙提供了一个监视各种安全事件的位置,可以在 防火墙上实现审计和报警 防火墙可以是地址转换,Internet日志、审计,甚至 计费功能的理想平台 ,防火墙可以作为IPSec的实现平 2022/10/9 现代密码学理论与实践-20 5/63
2022/10/9 现代密码学理论与实践-20 5/63 防火墙的功能 ⚫ 防火墙定义一个必经之点,包含以下三种基本功能 ⚫ 可以限制未授权的用户进入内部网络,过滤不安全的 服务和非法用户 ⚫ 防止入侵者接近网络防御设施 ⚫ 限制内部用户访问特殊站点 ⚫ 由于防火墙假设了网络边界和服务,因此适合于相对 独立的网络,例如Intranet等种类相对集中的网络, 任 何关键性的服务器,都应该放在防火墙之后 ⚫ 防火墙提供了一个监视各种安全事件的位置,可以在 防火墙上实现审计和报警 ⚫ 防火墙可以是地址转换,Internet日志、审计,甚至 计费功能的理想平台 ⚫ 防火墙可以作为IPSec的实现平台
15 防火墙的局限性 防火墙不能防范网络内部的攻击,比如防火墙无法禁 止变节者或内部间谍将敏感数据拷贝到软盘上。 防火墙不能防范伪装成超级用户或诈称新雇员的黑客 们劝说没有防范心理的用户公开其口令,并授予其临 时的网络访问权限。 ● 防火墙不能防止传送己感染病毒的软件或文件,不能 期望防火墙对每一个文件进行扫描,查出潜在的病毒 防火墙不能阻止绕过防火墙的攻击,例如,在防火墙 内部通过拨号出去 2022/10/9 现代密码学理论与实践-20 6/63
2022/10/9 现代密码学理论与实践-20 6/63 防火墙的局限性 ⚫ 防火墙不能防范网络内部的攻击, 比如防火墙无法禁 止变节者或内部间谍将敏感数据拷贝到软盘上。 ⚫ 防火墙不能防范伪装成超级用户或诈称新雇员的黑客 们劝说没有防范心理的用户公开其口令,并授予其临 时的网络访问权限。 ⚫ 防火墙不能防止传送己感染病毒的软件或文件, 不能 期望防火墙对每一个文件进行扫描, 查出潜在的病毒 ⚫ 防火墙不能阻止绕过防火墙的攻击,例如,在防火墙 内部通过拨号出去