原始数据
互联网
外部服务器非TCP/IP连接
存储设备
内部服务器
物理隔离控制设备
集线器 内部网络
14
• 一个典型的物理隔离方案（隔离设备处 于与内网相连状态）
互联网
外部服务器
原始数据
存储设备 非TCP/IP连接 内部服务器
物理隔离控制设备
集线器
15
2 VPN概述
• VPN定义 • VPN技术 • VPN分类 • IPSec体系
– 网络地址转就是在防火墙上装一个合法IP地址集，然后 • 当内部某一用户要访问Internet时，防火墙动态地从 地址集中选一个未分配的地址分配给该用户； • 同时，对于内部的某些服务器如Web服务器，网络 地址转换器允许为其分配一个固定的合法地址。
– 地址翻译主要用在两个方面： • 网络管理员希望隐藏内部网络的IP地址。这样互联 网上的主机无法判断内部网络的情况。 • 内部网络的IP地址是无效的IP地址。 这种情况主要 是因为现在的IP地址不够用，要申请到足够多的合 法IP地址很难办到，因此需要翻译IP地址。
VPN Gateway
总部 网络
19
• VPN的定义：是指依靠ISP或其他NSP在公用网 络基础设施之上构建的专用的数据通信网络， 这里所指的公用网络有多种，包括IP网络、帧 中继网络和ATM网络。 – 虚拟： – 专用网：封闭的用户群、安全性高 、服务 质量保证
• IETF对基于IP的VPN定义：使用IP机制仿 真出一个私有的广域网。
6
源IP
10.0. 0.108
目的IP
202.112. 108.50
源IP
202.112. 108.50
目的IP
10.0. 0.108
源IP
202.112. 108.3
目的IP
202.112. 108.50
防火墙网关
源IP
目的IP
202.112. 202.112. 108.50 108.3
7
• 应用层代理
第7讲 保密通信（一）
IPSec FW
Page 1
1 防火墙概述
• 基本概念 • 关键技术 • 体系结构 • 网络隔离
2
基本概念
• 防火墙概念 – William Cheswick和Steve Beilovin（1994）： 防火墙是放置在两个网络之间的一组组件，这组组 件共同具有下列性质： • 只允许本地安全策略授权的通信信息通过 • 双向通信信息必须通过防火墙 • 防火墙本身不会影响信息的流通 – 防火墙是位于两个信任程度不同的网络之间（如企 业内部网络和Internet之间）的软件或硬件设备的 组合，它对两个网络之间的通信进行控制，通过强 制实施统一的安全策略，防止对重要信息资源的非 法存取和访问以达到保护系统安全的目的。 – 传统防火墙概念特指网络层实现
– 周边网络：一个防护层，在其上可放置一些信息服 务器，它们是牺牲主机，可能会受到攻击，因此又 被称为非军事区（DMZ）。周边网络的作用：即使 堡垒主机被入侵者控制，它仍可消除对内部网的侦 听。例: netxray等的工作原理。
11
Internet
外部路由器
周边网络
堡垒主机 内部路由器
内部网络 … …
– 网关理解应用协议，可以实施更细粒度的 访问控制
– 对每一类应用，都需要一个专门的代理 – 灵活性不够
客户
发送请求 转发响应
转发请求
网关
请求响应
服务器
8
体系结构
• 双宿主主机体系
– 双重宿主主机的特性：
Internet • 安全至关重要（唯一通道），其用户口令控制安全是关键。
• 必须支持很多用户的访问（中转站），其性能非常重要。
3
• 防火墙缺陷
– 使用不便，认为防火墙给人虚假的安全感 – 对用户不完全透明，可能带来传输延迟、瓶颈及单
点失效 – 不能替代墙内的安全措施
• 不能防范恶意的知情者 • 不能防范不通过它的连接 • 不能防范全新的威胁 • 不能有效地防范数据驱动式的攻击 • 当使用端-端加密时，其作用会受到很大的限制
4
关键技术
• 数据包过滤
– 依据事先设定的过滤规则，对所接收的每个数据包做允许拒 绝的决定。
• 数据包过滤优点：
– 速度快，性能高
应用层
应用层
– 对用户透明
表示层
• 数据包过滤缺点：
会话层
– –
维安护全比性较低困（难IP(欺需骗要等对）TCP/I传P输了层解）
– 不提供有用的日志，或根本就网不络层提供16Fra bibliotekVPN定义
• 两个基本的专网形式
Modem 远程独立客户机
电话网
远程访问服务器
Modem
17
适配器 分支机构服务器
数据网
专用通道
SDH、DDN、 ADSL、
ISDN、……
适配器
总部远程访问服务器
18
远程局域 网络
单个 用户
分支机构 VPN
Gateway
ISP Modems
Internet
总部
网络层
表示层 会话层 传输层 网络层
– –
不不防能范根数据据状驱态动信型 息攻 进击 行控制数据链路层
– 不能处理网络层以上的信息 物理层
数据链路层 物理层
– 无法对网络上流动的信息提供全面的控互制连的物理介质
数据链路层
物理 层
5
• NAT （Network Address Translation）
12
网络隔离
• 物理隔离的指导思想与防火墙绝然不同：防火墙的思路 是在保障互联互通的前提下，尽可能安全，而物理隔离 的思路是在保证必须安全的前提下，尽可能互联互通。
• 一个典型的物理隔离方案（处于完全隔离状态）
互联网
外部服务器
存储设备
内部服务器
物理隔离控制设备
集线器 内部网络
13
• 一个典型的物理隔离方案（隔离设备处 于与外网相连状态）
• 堡垒主机配置在内部网络上，是因外部特网网络主机连接到内部
网络主机的桥梁，它需要拥有高等级的安全。
防火墙
堡垒主机
10
• 屏蔽子网体系
– 组成：屏蔽子网体系结构在本质上与屏蔽主机体系 结构一样，但添加了额外的一层保护体系——周边 网络。堡垒主机位于周边网络上，周边网络和内部 网络被内部路由器分开。
– 缺点：双重宿主主机是隔开内外网络的唯一屏障， 一旦它被入侵，内部网络便向入侵者敞开大门。
防火墙
双重宿主主机
内部网络
… …
9
• 屏蔽主机体系
– 屏蔽主机体系结构由防火墙和内部网络的堡垒主机 承担安全责任。一般这种防火墙较简单，可能就是 简单的路由器。
– 典型构成：包过滤路由器＋堡垒主机。
• 包过滤路由器配置在内部网和外部网之间，保证外部系统 对内部网络的操作只能经过堡垒主机。