【文章內(nèi)容簡介】 2 2 10 0. C E 1 路由表 C E 2 路由表 C E 1 C E 2 1 5 V L A N 1 V L A N 2 V L A N 1 V L A N 2 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? 終端 A和終端 E雖然連接在通過 IP網(wǎng)絡(luò)互連的兩個(gè)不同的以太網(wǎng)上，但它們可以像連接在同一個(gè)以太網(wǎng)一樣直接通信，即可以直接傳輸以 MAC A和 MAC E為源和目的MAC地址的 MAC幀； ? 對于以太網(wǎng) CE1和 CE2就像是用線纜（電纜或光纜）直接連接的兩個(gè)網(wǎng)橋，第 2層隧道就是線纜，實(shí)現(xiàn) MAC幀兩個(gè)網(wǎng)橋之間的通信； ? 對于第 2層隧道， CE1和 CE2是兩個(gè) IP網(wǎng)絡(luò)終端設(shè)備，需要指出通往隧道另一端的傳輸路徑的路由項(xiàng)，需要將經(jīng)過第 2層隧道傳輸?shù)?MAC幀封裝成以隧道兩端 IP地址為源和目的 IP地址第 2層隧道報(bào)文。 網(wǎng)絡(luò)結(jié)構(gòu) 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? 為每一個(gè) VALN單獨(dú)建立第 2層隧道，因此，第 2層隧道就像是一個(gè)非標(biāo)記端口。 網(wǎng)絡(luò)結(jié)構(gòu) IC R Q C I D : 456 N S:2 N R : 2 V PN I D ： 1 A L SI D : 678 虛擬線路類型 : 以太網(wǎng) IC R P C I D : 123 N S:2 N R : 3 V PN I D ： 1 A L SI D : 789 A R SI D : 678 虛擬線路類型 : 以太網(wǎng) IC C N CI D : 456 N S:3 N R : 3 A L SI D : 678 A R SI D : 789 A C K C I D : 123 N S:3 N R : 4 C E 1 C E 2 將 VLAN標(biāo)識(shí)符：1和會(huì)話標(biāo)識(shí)符：678 789綁定在一起。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 數(shù)據(jù)傳輸過程 ? 終端 A構(gòu)建以 MAC A為源 MAC地址， MAC B為目的 MAC地址的 MAC幀，將 MAC幀發(fā)送給交換機(jī) S1， S1根據(jù)接收端口確認(rèn) MAC幀屬于 VLAN 1，從標(biāo)記端口－端口 5轉(zhuǎn)發(fā)該 MAC幀時(shí)，帶上 VLAN標(biāo)識(shí)符： 1； ? CE1通過端口 1接收到 MAC幀，根據(jù) MAC幀攜帶的 VLAN標(biāo)識(shí)符： 1確定該 MAC幀屬于 VLAN 1，由于連接轉(zhuǎn)發(fā)端口的是第 2層隧道，因此， MAC幀被封裝成第 2層隧道報(bào)文，建立第 2層隧道報(bào)文時(shí)已經(jīng)將 VLAN 1和會(huì)話標(biāo)識(shí)符： 789綁定在一起，因此，第 2層隧道報(bào)文的會(huì)話標(biāo)識(shí)符是 789； ? CE2接收到第 2層隧道報(bào)文，從中分離出 MAC幀，根據(jù)會(huì)話標(biāo)識(shí)符 789確定該 MAC幀屬于 VLAN 1，由于 MAC幀的 VLAN 標(biāo)識(shí)符為 1，將 MAC幀從端口 2轉(zhuǎn)發(fā)出去，MAC幀經(jīng)過交換機(jī) S2轉(zhuǎn)發(fā)，到達(dá)終端 B。 Inter 1 MAC A MAC B 789 1 MAC A MAC B 終端 A 終端 B CE1 VLAN 1→789 789 → VLAN 1 CE2 169。 2022工程兵工程學(xué)院 計(jì)算機(jī)教研室 計(jì)算機(jī)網(wǎng)絡(luò)安全 第七章 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 第 7章 防火墻 ?防火墻概述； ?分組過濾器； ?堡壘主機(jī)； ?統(tǒng)一訪問控制。 防火墻是一種對不同網(wǎng)絡(luò)之間信息傳輸過程實(shí)施監(jiān)測和控制的設(shè)備，尤其適用于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的連接處。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 防火墻概述 防火墻功能 ? 服務(wù)控制 不同網(wǎng)絡(luò)間只允許傳輸與特定服務(wù)相關(guān)的信息流。 ? 方向控制 不同網(wǎng)絡(luò)間只允許傳輸與由特定網(wǎng)絡(luò)中終端發(fā)起的會(huì)話相關(guān)的信息流。 ? 用戶控制 不同網(wǎng)絡(luò)間只允許傳輸與授權(quán)用戶合法訪問網(wǎng)絡(luò)資源相關(guān)的信息流。 ? 行為控制 不同網(wǎng)絡(luò)間只允許傳輸與行為合理的網(wǎng)絡(luò)資源訪問過程相關(guān)的信息流。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? 如果不與操作系統(tǒng)的安全訪問機(jī)制相結(jié)合，個(gè)人防火墻的功能相對簡單； ? 有狀態(tài)檢查防火墻的功能已經(jīng)涵蓋電路層網(wǎng)關(guān)和應(yīng)用層網(wǎng)關(guān)的功能，但對終端用戶是透明的。 防火墻概述 分組過濾 器 防火墻 個(gè)人防火墻 網(wǎng)絡(luò)防火墻 分組過濾器 有狀態(tài)檢查 防火墻 有狀態(tài)檢查 防火墻 電路層網(wǎng)關(guān) 應(yīng)用層網(wǎng)關(guān) 防火墻分類 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? 電路層網(wǎng)關(guān)對運(yùn)輸層連接進(jìn)行監(jiān)測和控制，包括連接發(fā)起者的身份認(rèn)證、經(jīng)過連接傳輸?shù)?TCP報(bào)文的合理性等； ? 應(yīng)用層網(wǎng)關(guān)對特定應(yīng)用相關(guān)的消息交換過程實(shí)施監(jiān)測控制和，包括請求、響應(yīng)過程，請求、響應(yīng)報(bào)文中各字段的正確性，傳輸內(nèi)容的合理性和合法性等。 防火墻概述 用戶名、口令 SY N SY N ， A C K A C K SY N SY N ， A C K A C K 終端 電路層 網(wǎng)關(guān) 服務(wù)器 電路層網(wǎng)關(guān)工作機(jī)制 先認(rèn)證用戶身份，確定是授權(quán)用戶發(fā)起的 TCP連接時(shí)，再與服務(wù)器建立 TCP連接。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 分組過濾器 ?無狀態(tài)分組過濾器； ?有狀態(tài)分組過濾器。 分組過濾器根據(jù)規(guī)則鑒別出一組多個(gè)字段值等于設(shè)定值的 IP分組，并對其進(jìn)行規(guī)定操作。這些字段值可以是 IP分組首部字段值，可以是運(yùn)輸層首部字段值（電路層網(wǎng)關(guān)功能），也可以是應(yīng)用層消息的各個(gè)字段值（應(yīng)用層網(wǎng)關(guān)的功能）。有狀態(tài)和無狀態(tài)的區(qū)別在于無狀態(tài)逐個(gè)IP分組單獨(dú)處理，有狀態(tài)是基于會(huì)話，對屬于相同會(huì)話的一組 IP分組進(jìn)行聯(lián)合處理，會(huì)話可以是 TCP連接，也可以是應(yīng)用層請求、響應(yīng)過程。因此，有狀態(tài)分組過濾器的功能涵蓋了電路層和應(yīng)用層網(wǎng)關(guān)的大部分功能，但分組過濾器對終端用戶是透明的。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 .0/ 24 .0/ 24 .0/ 24 源 IP地址＝一、分組過濾 目的 IP地址＝目的 IP地址＝源 IP地址＝目的 IP地址＝源 IP地址＝虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 .0/ 24 .0/ 24 .0/ 24 .5 1 2 3 1 2 R1 R2 R3 L A N 1 L A N 2 L A N 3 W eb 服務(wù)器 .3 .1 終端 A 源 IP地址 =的 IP地址 =的端口號(hào) =23，對和規(guī)則匹配的 IP分組采取的動(dòng)作是：拒絕傳輸 。 一、分組過濾 ? 要求 LAN 1中終端不能通過 TELNET訪問 LAN 2中服務(wù)器 。 IP分組的源地址屬于 LAN1子網(wǎng)地址，目的地址是 LAN2服務(wù)器，端口號(hào)必須確定是TELNET應(yīng)用。 ? 只允許 LAN2中終端訪問 LAN1中的 WEB服務(wù)器 。 源 IP地址 = .and. 目的 IP地址=，對和規(guī)則匹配的 IP分組采取的動(dòng)作是：允許傳輸 。 不允許和 LAN1中終端通過TELNET訪問 LAN2中服務(wù)器操作有關(guān)的信息經(jīng)過路由器 R1。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 192 . .0/ 24 192 . .0/ 24 防火墻－動(dòng)態(tài)分組過濾 只允許終端 A用Tel訪問終端 B，不允許終端 B訪問終端 A。 終端 A 終端 B 源 IP地址＝ . IP地址＝ .and. 源端口號(hào)＝ 23 只允許終端 B向終端 A回信，不允許終端 B主動(dòng)向終端 A寫信。 通過寄信人和收信人地址、姓名能區(qū)分這兩種類型的信嗎？ 對終端 A寫給終端 B的信和終端 B寫給終端 A的信的內(nèi)容進(jìn)行檢查，確定是回信，則通過，不是，則過濾。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 .0/ 24 .0/ 24 .1 1 2 3 非信任區(qū) .254 .254 L A N 1 信任區(qū) L A N 2 非軍事區(qū) .5 W eb 服務(wù)器 Int er .6 郵件服務(wù)器 .2 防火墻 .1 防火墻－動(dòng)態(tài)分組檢測 動(dòng)態(tài)分組檢測的第一步是將網(wǎng)絡(luò)劃分成三個(gè)區(qū)，然后對區(qū)間進(jìn)行的訪問過程全程監(jiān)控 。 所謂全程監(jiān)控是根據(jù)訪問策略確定信息流順序，然后對每一次信息流傳輸操作進(jìn)行監(jiān)控，看其是否符合策略規(guī)定的順序和動(dòng)作。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 防火墻－動(dòng)態(tài)分組檢測 訪問策略 １ ． 從信任區(qū)到非軍事區(qū) 源 IP地址 ==； ２ ． 從信任區(qū)到非軍事區(qū) 源 IP地址 == SMTP+POP3服務(wù)； ３ ． 從信任區(qū)到非信任區(qū) 源 IP地址 =HTTP+FTP GET服務(wù)； ４ ． 從非軍事區(qū)到非信任區(qū) 源 IP地址 == SMTP服務(wù)； ５ ． 從 非 信 任 區(qū)到 非 軍 事區(qū) 源 IP 地址 = 目的 IP 地址=； ６．從非信任區(qū)到非軍事區(qū) 源 IP地址 = 目的 IP地址=。 訪問策略和分組過濾不同，不是定義了允許或不允許傳輸?shù)?IP分組，而是定義了整個(gè)服務(wù)過程。如第一項(xiàng)策略表示允許進(jìn)行由信任區(qū)中終端發(fā)起的，對非軍事區(qū)中的 WEB服務(wù)器的訪問。它允許符合這個(gè)訪問過程的 IP分組在信任區(qū)和非軍事區(qū)之間傳輸。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 防火墻－動(dòng)態(tài)分組檢測 策略１對應(yīng)的信息交換過程，由于是允許信任區(qū)中終端發(fā)起對非信任區(qū)中WEB服務(wù)器的訪問，因此，首先允許通過的是符合信任區(qū)中終端發(fā)起建立 TCP連接的過程的 IP分組。然后允許通過的是和讀取WEB內(nèi)容有關(guān)的 IP分組。最后，允許通過的是釋放TCP連接有關(guān)的 IP分組。 SY N ,S E Q =X SY N ,S E Q = Y , A C K =X +1 A C K =Y +1 H T T P 請求 H T T P 響應(yīng) FIN , SE Q = U A C K =U +1 FIN , SE Q =V A C K =V+1 信任區(qū)內(nèi)的終端 非軍事區(qū)內(nèi)的 W e b 服務(wù)器 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 .0/ 24 Int er SY N SY N , A C K SY N SY N , A C K SY N SY N , A C K W eb 服務(wù)器 T C P 連接表 防火墻 .0/ 24 SY N SY N , A C K T C P 連接表 建立 T C P 連接請求報(bào)文閾值 A C K SY N SY N , A C K A C K 防火墻－防拒絕服務(wù)攻擊 防火墻通過只中繼正常的建立 TCP連接請求，來避免服務(wù)器遭受 SYN泛濫攻擊。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 .0/ 24 Int er SY N SY N , A C K SY N SY N , A C K SY N ,S E Q =X SY N , A C K =X +1,S E Q =Z 1 W eb 服務(wù)器 T C P 連接表 防火墻 .0/ 24 SY N ,S E Q = Y SY N , A C K = Y +1,S E Q =Z 2 建立 T C P 連接請求報(bào)文閾值 SE Q = Y +1, A C K =Z 2+1 SY N ,S E Q = Y SY N , A C K = Y +1,S E Q = U A C K =U +1,S E Q = Y +1 Z1 、 Z 2=MD5( 請求報(bào)文源 IP 地址＋目的 IP 地址＋ 源端口號(hào)＋目的端口號(hào)＋發(fā)送序號(hào)） 防火墻－防拒絕服務(wù)攻擊 通過 COOKIE技術(shù)避免防火墻被 SYN泛濫阻塞。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 堡壘主機(jī) ?網(wǎng)絡(luò)結(jié)構(gòu)； ?堡壘主機(jī)工作機(jī)制； ?堡壘主機(jī)功能特性。 堡壘主機(jī)是代理形式的應(yīng)用層網(wǎng)關(guān)，由它屏蔽內(nèi)部網(wǎng)絡(luò)資源，外部網(wǎng)絡(luò)終端只能與堡壘主機(jī)建立TCP連接，相互交換信息，堡壘主機(jī)的安全功能非常強(qiáng)大，不容易被黑客攻陷，外部網(wǎng)絡(luò)終端須經(jīng)堡壘主機(jī)訪問內(nèi)部網(wǎng)絡(luò)資源，因此，只要保證了堡壘主機(jī)的安全性，即可保證內(nèi)部網(wǎng)絡(luò)資源的安全性。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 網(wǎng)絡(luò)結(jié)構(gòu) ? 單穴指堡壘主機(jī)只有一個(gè)接口連接內(nèi)部網(wǎng)絡(luò)； ? 堡壘