1、第四章 防火墻工作原理及應(yīng)用4.1 防火墻概念與分類 4.1.1 防火墻簡介 4.1.2 包過濾防火墻 4.1.3 代理服務(wù)防火墻 4.1.4 復合防火墻 4.1.5 個人防火墻第四章 防火墻工作原理及應(yīng)用 4.2 防火墻體系結(jié)構(gòu) 4.2.1. 堡壘主機 4.2.2. 非軍事區(qū) 4.2.3. 屏蔽路由器 4.2.4 雙宿主主機體系結(jié)構(gòu) 4.2.5 主機過濾體系結(jié)構(gòu) 4.2.6 子網(wǎng)過濾體系結(jié)構(gòu) 4.2.7 組合體系結(jié)構(gòu)第四章 防火墻工作原理及應(yīng)用（續(xù)） 4.3 防火墻選型與產(chǎn)品簡介 4.3.1 防火墻的局限性 4.3.2 開發(fā)防火墻安全策略 4.3.3 防火墻選型原則 4.3.4 典型防火墻簡

2、介第四章 防火墻工作原理及應(yīng)用（續(xù)） 第四章 防火墻工作原理及應(yīng)用 當網(wǎng)絡(luò)涉及不同的信任級別時（例如內(nèi)部網(wǎng)、Internet或者網(wǎng)絡(luò)劃分），要保證安全必須安裝控制設(shè)備。此類控制設(shè)備幾乎總是某種形式的防火墻。防火墻允許授權(quán)的數(shù)據(jù)通過，而拒絕未經(jīng)授權(quán)的數(shù)據(jù)通信，并記錄訪問報告等。由于使用防火墻能增強內(nèi)部網(wǎng)絡(luò)的安全性，因此防火墻技術(shù)的研究已經(jīng)成為網(wǎng)絡(luò)信息安全技術(shù)的主導研究方向。本章將介紹防火墻的基本功能、工作原理、分類、體系結(jié)構(gòu)、局限性以及典型防火墻產(chǎn)品。4.1 防火墻概念與分類 網(wǎng)絡(luò)防火墻是隔離內(nèi)部網(wǎng)與Internet之間的一道防御系統(tǒng)，這里有一個門，允許人們在內(nèi)部網(wǎng)和開放的Internet之間通

3、信。訪問者必須首先穿越防火墻的安全防線，才能接觸目標計算機，網(wǎng)絡(luò)防火墻如圖4.1所示。圖4.1 網(wǎng)絡(luò)防火墻Internet 內(nèi)部網(wǎng)防火墻路由器4.1.1 防火墻簡介在沒有防火墻時，局域網(wǎng)內(nèi)部的每個節(jié)點都暴露給Internet上的其它主機，此時內(nèi)部網(wǎng)的安全性要由每個節(jié)點的堅固程度來決定，且安全性等同于其中最薄弱的節(jié)點。使用防火墻后，防火墻會將內(nèi)部網(wǎng)的安全性統(tǒng)一到它自身，網(wǎng)絡(luò)安全性在防火墻系統(tǒng)上得到加固，而不是分布在內(nèi)部網(wǎng)的所有節(jié)點上。防火墻把內(nèi)部網(wǎng)與Internet隔離，僅讓安全、核準了的信息進入，而阻止對內(nèi)部網(wǎng)構(gòu)成威脅的數(shù)據(jù)，它防止黑客更改、拷貝、毀壞重要信息；同時又不會妨礙人們對Intern

4、et的訪問。根據(jù)安全策略，從Intranet到Internet 的流量以及響應(yīng)的返回流量允許通過防火墻。 根據(jù)安全策略，從Internet到Intranet的流量受到阻塞 根據(jù)安全策略，從Internet來的特殊類型的流量可能被允許到達Intranet圖4.2防火墻的工作原理服務(wù)器內(nèi)部網(wǎng)Internet防火墻的基本功能作為一個中心“遏制點”，將內(nèi)部網(wǎng)的安全管理集中起來，所有的通信都經(jīng)過防火墻；只放行經(jīng)過授權(quán)的網(wǎng)絡(luò)流量，屏蔽非法請求，防止越權(quán)訪問,并產(chǎn)生安全報警；能經(jīng)受得起對其自身的攻擊。防火墻能為管理人員提供對下列問題的答案： 什么人在使用網(wǎng)絡(luò)? 他們什么時間，使用了什么網(wǎng)絡(luò)資源? 他們連接了

5、什么站點? 他們在網(wǎng)上做什么? 誰要上網(wǎng),但是沒有成功?防火墻的基本功能（續(xù)）防火墻工作在OSI參考模型上OSI參考模型防火墻技術(shù)應(yīng)用層應(yīng)用級網(wǎng)關(guān)表示層 加密會話層電路級網(wǎng)關(guān)傳輸層包過濾網(wǎng)絡(luò)層NAT數(shù)據(jù)鏈路層無 物理層 無防火墻的發(fā)展史第一代防火墻技術(shù)由附加在邊界路由器上的訪問控制表ACL (Access Control Table)構(gòu)成，采用了包過濾技術(shù)。第二代代理防火墻即電路層網(wǎng)關(guān)和應(yīng)用層網(wǎng)關(guān)。1994年，以色列的Check Point公司開發(fā)出了第一個基于動態(tài)包過濾技術(shù)的防火墻產(chǎn)品。1998年，美國的網(wǎng)絡(luò)聯(lián)盟公司NAI (Network Associates Inc.)又推出了一種自適應(yīng)

6、代理技術(shù)。防火墻的兩大分類 盡管防火墻的發(fā)展經(jīng)過了將近20年，但是按照防火墻對內(nèi)外來往數(shù)據(jù)的處理方法，大致可以將防火墻分為兩大體系：包過濾防火墻和代理防火墻。前者以Checkpoint防火墻和Cisco公司的PIX防火墻為代表，后者以NAI公司的Gauntlet防火墻為代表，表4.2為防火墻兩大體系性能的比較。防火墻兩大體系性能的比較包過濾防火墻代理防火墻優(yōu)點工作在IP和TCP層，所以處理包的速度快，效率高；提供透明的服務(wù)，用戶不用改變客戶端程序不允許數(shù)據(jù)包直接通過防火墻，避免了數(shù)據(jù)驅(qū)動式攻擊的發(fā)生，安全性好;能生成各項記錄。能靈活、完全地控制進出的流量和內(nèi)容；能過濾數(shù)據(jù)內(nèi)容。防火墻兩大體系性

7、能的比較（續(xù)）包過濾防火墻代理防火墻缺點定義復雜，容易出現(xiàn)因配置不當帶來的問題；允許數(shù)據(jù)包直接通過，容易造成數(shù)據(jù)驅(qū)動式攻擊的潛在危險;不能徹底防止地址欺騙；包中只有來自哪臺機器的信息不包含來自哪個用戶的信息；不支持用戶認證；不提供日志功能。對于每項服務(wù)代理可能要求不同的服務(wù)器；速度較慢；對用戶不透明，用戶需要改變客戶端程序；不能保證免受所有協(xié)議弱點的限制；不能改進底層協(xié)議的安全性。防火墻的組成 防火墻既可以是一臺路由器、一臺PC或者一臺主機，也可以是由多臺主機構(gòu)成的體系。應(yīng)該將防火墻放置在網(wǎng)絡(luò)的邊界。網(wǎng)絡(luò)邊界是一個本地網(wǎng)絡(luò)的整個邊界，本地網(wǎng)絡(luò)通過輸入點和輸出點與其它網(wǎng)絡(luò)相連，這些連接點都應(yīng)該裝

8、有防火墻，然而在網(wǎng)絡(luò)邊界內(nèi)部也應(yīng)該部署防火墻，以便為特定主機提供額外的、特殊的保護。Internet 內(nèi)部網(wǎng)分支機構(gòu)或合作伙伴的網(wǎng)絡(luò)VPN連接圖 4.3防火墻放置的位置防火墻的分類防火墻有很多種分類方法：根據(jù)采用的技術(shù)不同，可分為包過濾防火墻和 代理服務(wù)防火墻；按照應(yīng)用對象的不同，可分為企業(yè)級防火墻與 個人防火墻；依據(jù)實現(xiàn)的方法不同，又可分為軟件防火墻、 硬件防火墻和專用防火墻。軟件防火墻 防火墻運行于特定的計算機上，一般來說這臺計算機就是整個網(wǎng)絡(luò)的網(wǎng)關(guān)。軟件防火墻像其它的軟件產(chǎn)品一樣需要先在計算機上安裝并做好配置才可以使用。使用這類防火墻，需要網(wǎng)絡(luò)管理人員對所工作的操作系統(tǒng)平臺比較熟悉。硬件

9、防火墻 由PC硬件、通用操作系統(tǒng)和防火墻軟件組成。在定制的PC硬件上，采用通用PC系統(tǒng)、Flash盤、網(wǎng)卡組成的硬件平臺上運行Linux、FreeBSD、Solaris等經(jīng)過最小化安全處理后的操作系統(tǒng)及集成的防火墻軟件。特點是開發(fā)成本低、性能實用、穩(wěn)定性和擴展性較好，價格也低廉。由于此類防火墻依賴操作系統(tǒng)內(nèi)核，因此會受到操作系統(tǒng)本身安全性影響，處理速度也慢。專用防火墻 采用特別優(yōu)化設(shè)計的硬件體系結(jié)構(gòu)，使用專用的操作系統(tǒng)，此類防火墻在穩(wěn)定性和傳輸性能方面有著得天獨厚的優(yōu)勢，速度快，處理能力強，性能高；由于使用專用操作系統(tǒng)，容易配置和管理，本身漏洞也比較少，但是擴展能力有限，價格也較高。由于專用防

10、火墻系列化程度好，用戶可根據(jù)應(yīng)用環(huán)境選擇合適的產(chǎn)品。4.1.2 包過濾防火墻 包過濾(Packet Filter)是所有防火墻中最核心的功能，進行包過濾的標準是根據(jù)安全策略制定的。通常情況下靠網(wǎng)絡(luò)管理員在防火墻設(shè)備的ACL中設(shè)定。與代理服務(wù)器相比，它的優(yōu)勢是不占用網(wǎng)絡(luò)帶寬來傳輸信息。包過濾規(guī)則一般存放于路由器的ACL中。在ACL中定義了各種規(guī)則來表明是否同意或拒絕數(shù)據(jù)包的通過。如果沒有一條規(guī)則能匹配，防火墻就會使用默認規(guī)則，一般情況下，默認規(guī)則要求防火墻丟棄該包。包過濾的核心是安全策略即包過濾算法的設(shè)計。幀頭（例如HDLC)數(shù)據(jù)包（IP頭部）段（例如TCP頭部）數(shù)據(jù)幀尾目的端口號源端口號目的I

11、P地址源IP地址封裝協(xié)議用ACL規(guī)則測試數(shù)據(jù)包拒絕，丟棄允許通過圖4.4ACL對數(shù)據(jù)包的過濾NoYesNo數(shù)據(jù)包到達防火墻接口與第一條匹配嗎？接口上有ACL嗎？Yes列表中的下一條目還有更多的條目嗎？Yes應(yīng)用條件拒絕允許轉(zhuǎn)發(fā)給接口NoICMP消息圖4.5ACL處理入數(shù)據(jù)包的過程無狀態(tài)包過濾防火墻 無狀態(tài)包過濾也叫靜態(tài)包過濾或者無檢查包過濾。防火墻在檢查數(shù)據(jù)包報頭時，不關(guān)心服務(wù)器和客戶機之間的連接狀態(tài)，只是根據(jù)定義好的過濾規(guī)則集來檢查所有進出防火墻的數(shù)據(jù)包報頭信息來允許或者拒絕數(shù)據(jù)包。網(wǎng)絡(luò)層鏈路層物理層傳輸層Internet內(nèi)部網(wǎng)圖4.6無狀態(tài)包過濾防火墻的執(zhí)行無狀態(tài)包過濾防火墻的優(yōu)缺點無狀態(tài)

12、包過濾防火墻最大的好處是速度快、效率高，對流量的管理較出色；由于所有的通信必須通過防火墻，所以繞過是困難的；同時對用戶和應(yīng)用是透明的。無狀態(tài)包過濾防火墻的缺點也很明顯：它允許外部網(wǎng)絡(luò)直接連接到內(nèi)部網(wǎng)絡(luò)主機；只要數(shù)據(jù)包符合ACL規(guī)則都可以通過，因此它不能區(qū)分包的“好”與“壞” ；它不能識別IP欺詐。它也不支持用戶身份認證，不提供日志功能；雖然可以過濾端口，但是不能過濾服務(wù)。IP欺騙當外部主機偽裝內(nèi)部主機的IP地址時，防火墻能夠阻止這種類型的IP欺騙。但是當外部主機偽裝成可信任的外部主機的IP地址時，防火墻卻不能阻止它們。由于無狀態(tài)包過濾防火墻不能為掛起的通信維持一個記錄，所以它就必須根據(jù)數(shù)據(jù)包的

13、格式來判斷該數(shù)據(jù)包是否屬于先前所允許的對話。這就使其有受到IP欺詐的可能性，并且無法識別UDP數(shù)據(jù)包和ICMP包的狀態(tài)。無法過濾服務(wù)對于一些比較新的多媒體應(yīng)用在會話開始之前端口號是未知的。例如，Web服務(wù)器默認端口為80，而計算機上又安裝了RealPlayer，那么它會搜尋可以允許連接到RealAudio服務(wù)器的端口，而不管這個端口是否被其他協(xié)議所使用，RealPlayer正好是使用80端口而搜尋的。就這樣無意中，RealPlayer就利用了Web服務(wù)器的端口。有狀態(tài)包過濾防火墻 有狀態(tài)包過濾也叫狀態(tài)包檢查SPI（State- fulPacket Inspection）或者動態(tài)包過濾（Dyna

14、mic packet filter），后來發(fā)展成為包狀態(tài)監(jiān)測技術(shù)，它是包過濾器和應(yīng)用級網(wǎng)關(guān)的一種折衷方案。具有包過濾機制的速度和靈活，也有應(yīng)用級網(wǎng)關(guān)的應(yīng)用層安全的優(yōu)點。SPI防火墻 采用SPI技術(shù)的防火墻除了有一個過濾規(guī)則集外，還要對通過它的每一個連接都進行跟蹤，汲取相關(guān)的通信和應(yīng)用程序的狀態(tài)信息，形成一個當前連接的狀態(tài)列表。列表中至少包括源和目的IP地址、源和目的端口號、TCP序列號信息，以及與那個特定會話相關(guān)的每條TCP/UDP連接的附加標記。當一個會話經(jīng)過防火墻時，SPI防火墻把數(shù)據(jù)包與狀態(tài)表、規(guī)則集進行對比，只允許與狀態(tài)表和規(guī)則集匹配的項通過。SPI防火墻（續(xù)）在維護了一張狀態(tài)表后，防

15、火墻就可以利用更多的信息來決定是否允許數(shù)據(jù)包通過，大大降低了把數(shù)據(jù)包偽裝成一個正在使用的連接的一部分的可能性。SPI防火墻能夠?qū)μ囟愋蛿?shù)據(jù)包的數(shù)據(jù)進行檢測。如運行FTP協(xié)議的服務(wù)器和客戶端程序有許多漏洞，其中一部分漏洞來源于不正確的請求或者不正確的命令。SPI防火墻不行使代理功能，即不在源主機和目的之間建立中轉(zhuǎn)連接；也不提供與應(yīng)用層網(wǎng)關(guān)相同程度的保護，而是僅在數(shù)據(jù)包的數(shù)據(jù)部分查找特定的字符串。規(guī)則集是否允許數(shù)據(jù)包的內(nèi)容通過 ？數(shù)據(jù)包到達防火墻接口YesNo丟棄數(shù)據(jù)包更新對話表作日志記錄給源主機發(fā)送ICMP消息NoNo數(shù)據(jù)包是否屬于一個已存在的連接？建立連接項數(shù)據(jù)包的內(nèi)容是否符合規(guī)則集？Yes

16、將數(shù)據(jù)包轉(zhuǎn)發(fā)給接口更新對話表作日志記錄Yes圖 4.7SPI防火墻的處理過程舉 例例1主機A試圖訪問，它必須通過路由器，而該路 由器被配置成SPI防火墻，下面是主機A發(fā)出連接請求的工作過 程，見圖4.8。1）A發(fā)出連接請求到 ；2）請求到達路由器，路由器檢查狀態(tài)表；3）如果有連接存在，且狀態(tài)表正常，允許數(shù)據(jù)包通過；4）如果無連接存在，創(chuàng)建狀態(tài)項,將請求與防火墻規(guī)則集進行比較；5）如果規(guī)則允許內(nèi)部主機可以訪問TCP/80。則允許數(shù)據(jù)包通過；6）數(shù)據(jù)包被Web服務(wù)器接收；7）SYN/ACK信息回到路由器，路由器檢查狀態(tài)表；8）狀態(tài)表正確，允許數(shù)據(jù)包通過，數(shù)據(jù)包到達最先發(fā)出請求的計算 機；9）如果規(guī)

17、則不允許內(nèi)部主機訪問TCP/80。則禁止數(shù)據(jù)包通過，路 由器發(fā)送ICMP消息。以太網(wǎng)步驟 (1)步驟 (8)步驟（3）步驟（2）步驟（4）步驟（6）步驟（5）步驟（7）步驟（9）Internet圖4.8主機A發(fā)出連接請求通過SPI防火墻SPI防火墻的優(yōu)缺點優(yōu)點：具有識別帶有欺騙性源IP地址包的能力；檢查的層面能夠從網(wǎng)絡(luò)層至應(yīng)用層；具有詳細記錄通過的每個包的信息的能力，其中包括應(yīng)用程序?qū)Π恼埱?，連接的持續(xù)時間，內(nèi)部和外部系統(tǒng)所做的連接請求等。缺點：所有這些記錄、測試和分析工作可能會造成網(wǎng)絡(luò)連接的某種遲滯，特別是在同時有許多連接激活的時候，或者是有大量的過濾網(wǎng)絡(luò)通信的規(guī)則存在時。但是，硬件速度越

18、快，這個問題就越不易察覺。4.1.3 代理服務(wù)防火墻 最初，代理服務(wù)器將常用的頁面存儲在緩沖區(qū)中，以便提高網(wǎng)絡(luò)通信的速度。后來代理服務(wù)器逐漸發(fā)展為能夠提供強大安全功能的一種技術(shù)。代理能在應(yīng)用層實現(xiàn)防火墻功能，代理技術(shù)針對每一個特定應(yīng)用都有一個程序，通過代理可以實現(xiàn)比包過濾更嚴格的安全策略。代理服務(wù)器原理 代理服務(wù)器（Proxy Server）防火墻是基于軟件的。運行在內(nèi)部用戶和外部主機之間，并且在它們之間轉(zhuǎn)發(fā)數(shù)據(jù)，它像真的墻一樣擋在內(nèi)部網(wǎng)和Internet之間。從外面來的訪問者只能看到代理服務(wù)器但看不見任何內(nèi)部資源；而內(nèi)部客戶根本感覺不到代理服務(wù)器的存在，他們可以自由訪問外部站點。代理可以提供

19、極好的訪問控制、登錄能力以及地址轉(zhuǎn)換功能，對進出防火墻的信息進行記錄，便于管理員監(jiān)視和管理系統(tǒng)。舉 例例2主機A試圖訪問 ，它通過代理服務(wù)器到達網(wǎng)關(guān)。下面是主機A發(fā)出連接請求的工作過程，如圖4.9所示。1）主機發(fā)出訪問Web站點的請求；2）請求到達代理服務(wù)器，代理服務(wù)器檢查防火墻規(guī)則集，檢查數(shù)據(jù)包報頭信息和數(shù)據(jù)；3）如果不允許該請求發(fā)出，代理服務(wù)器拒絕請求，發(fā)送ICMP消息給源主機；4）如果允許該請求發(fā)出，代理服務(wù)器修改源IP地址，創(chuàng)建數(shù)據(jù)包；5）代理服務(wù)器將數(shù)據(jù)包發(fā)給目的計算機，數(shù)據(jù)包顯示源IP地址來自代理服務(wù)器；舉 例（續(xù)）6）返回的數(shù)據(jù)包又被發(fā)送到代理服務(wù)器。服務(wù)器再次根據(jù)防火墻規(guī)則集檢

20、查數(shù)據(jù)包報頭信息和數(shù)據(jù)；7）如果不允許該數(shù)據(jù)包進入內(nèi)部網(wǎng)，代理服務(wù)器丟棄該數(shù)據(jù)包，發(fā)送ICMP消息；8）如果允許該數(shù)據(jù)包進入內(nèi)部網(wǎng)，代理服務(wù)器將它發(fā)給最先發(fā)出請求的計算機；9）數(shù)據(jù)包到達最先發(fā)出請求的計算機，此時數(shù)據(jù)包顯示來自外部主機而不是代理服務(wù)器。圖4.9主機A發(fā)出連接請求通過代理服務(wù)器防火墻步驟（3）步驟（1）步驟（9）步驟（2）步驟（4）步驟（5）步驟（8）步驟（6）步驟（7）代理服務(wù)器Internet代理服務(wù)器和包過濾的比較代理服務(wù)器對整個IP包的數(shù)據(jù)進行掃描，因此它比包過濾器提供更詳細的日志文件。如果數(shù)據(jù)包和包過濾規(guī)則匹配，就允許數(shù)據(jù)包通過防火墻，而代理服務(wù)器要用新的源IP地址重建

21、數(shù)據(jù)包，這樣對外隱藏了內(nèi)部用戶。使用代理服務(wù)器，意味著在Internet上必須有一個服務(wù)器，且內(nèi)部主機不能直接與外部主機相連。帶有惡意攻擊的外部數(shù)據(jù)包也就不能到達內(nèi)部主機。對網(wǎng)絡(luò)通信而言，如果包過濾器由于某種原因不能工作，可能出現(xiàn)的結(jié)果是所有的數(shù)據(jù)包都能到達內(nèi)部網(wǎng)；而如果代理服務(wù)器由于某種原因不能工作，整個網(wǎng)絡(luò)通信將被終止。電路級網(wǎng)關(guān) 電路級網(wǎng)關(guān)不允許TCP端到端的連接，而是要建立兩個連接。其中一個連接是網(wǎng)關(guān)到內(nèi)部主機，另一個是網(wǎng)關(guān)到外部主機。一旦兩個連接被建立，網(wǎng)關(guān)只簡單地進行數(shù)據(jù)中轉(zhuǎn)，即它只在內(nèi)部連接和外部連接之間來回拷貝字節(jié)，并將源IP地址轉(zhuǎn)換為自己的地址，使得外界認為是網(wǎng)關(guān)和目的地址在

22、進行連接，電路級網(wǎng)關(guān)防火墻如圖4.10所示。由于電路級網(wǎng)關(guān)在會話建立連接后不對所傳輸?shù)膬?nèi)容作進一步的分析，因此安全性稍低。圖4.10 電路級網(wǎng)關(guān)OutOutOutInInInInternet外連接內(nèi)連接電路級網(wǎng)關(guān)防火墻舉 例例3主機A試圖訪問 ，它要通過一個電路級網(wǎng)關(guān)。下面是主機A發(fā)出連接請求的工作過程。1）主機發(fā)出訪問Web站點的請求；2）該主機上的客戶端應(yīng)用程序?qū)⒄埱蟀l(fā)送到電路級網(wǎng)關(guān)的內(nèi)部接口；3）如果需要身份驗證，網(wǎng)關(guān)會提示用戶進行身份驗證；4）如果用戶的身份驗證通過，網(wǎng)關(guān)將目的URL與防火墻規(guī)則集進行 比較，該規(guī)則集包括允許或者禁止的URL列表；5）如果規(guī)則集不允許進行連接，網(wǎng)關(guān)將拒絕

23、訪問站點的請求，并發(fā) 送ICMP消息給源主機；6）如果規(guī)則集允許進行連接，網(wǎng)關(guān)向目的URL發(fā)出DNS請求，接著 將自己的IP地址作為源IP地址，與目的IP地址建立一個連接；7）網(wǎng)關(guān)接收到Web站點的應(yīng)答后，講轉(zhuǎn)發(fā)該應(yīng)答給最先發(fā)出請求的 計算機。電路級網(wǎng)關(guān)的優(yōu)缺點電路級網(wǎng)關(guān)的優(yōu)點是提供網(wǎng)絡(luò)地址轉(zhuǎn)換NAT（Network Address Translator），在使用內(nèi)部網(wǎng)絡(luò)地址機制時為網(wǎng)絡(luò)管理員實現(xiàn)安全提供了很大的靈活性；基于和包過濾防火墻一樣的規(guī)則，具有包過濾防火墻提供的所有優(yōu)點。電路級網(wǎng)關(guān)的缺點是不能很好地區(qū)分好包與壞包、易受IP欺騙類的攻擊；需要修改應(yīng)用程序和執(zhí)行程序；要求終端用戶通過身份

24、認證。應(yīng)用級網(wǎng)關(guān)代理服務(wù)、應(yīng)用級網(wǎng)關(guān)、應(yīng)用程序代理這些術(shù)語指的都是同一種保護方式。應(yīng)用級網(wǎng)關(guān)主要工作在應(yīng)用層。它檢查進出的數(shù)據(jù)包，如圖4.11所示，通過自身（網(wǎng)關(guān)）復制傳遞數(shù)據(jù)，防止在內(nèi)部網(wǎng)主機與Internet主機間直接建立聯(lián)系。它能夠理解應(yīng)用層上的協(xié)議，能夠作復雜一些的訪問控制，并做精細的注冊和審核?；竟ぷ鬟^程 當客戶機需要使用服務(wù)器上的數(shù)據(jù)時，首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道，外部的惡意侵害也就很難傷害到內(nèi)部網(wǎng)?；竟ぷ鬟^程（續(xù)） 在應(yīng)用級網(wǎng)關(guān)中，每一種協(xié)議都需要

25、相應(yīng)的代理軟件，常用的代理服務(wù)軟件有如HTTP、SMTP、FTP、Telnet等，但是對于新開發(fā)的應(yīng)用，尚沒有相應(yīng)的代理服務(wù)。有些應(yīng)用級網(wǎng)關(guān)還存儲Internet上的那些被頻繁使用的頁面。當用戶請求的頁面在服務(wù)器緩存中存在時，服務(wù)器將檢查所緩存的頁面是否是最新的版本（即該頁面是否已更新），如果是最新版本，則直接提交給用戶，否則，到真正的服務(wù)器上請求最新的頁面，然后再轉(zhuǎn)發(fā)給用戶。圖4.11應(yīng)用級網(wǎng)關(guān)HTTPFTPTelnetSMTPInternet外連接內(nèi)連接應(yīng)用級網(wǎng)關(guān)防火墻舉 例例4 一個Telnet服務(wù)器允許遠程管理員對其執(zhí)行某些特定的操作。該Telnet網(wǎng)關(guān)對Internet可見，但是隱藏

26、了其真實主機名，以便不受信任的網(wǎng)絡(luò)不能識別它的真實身份，連接它的過程如圖4.12。應(yīng)用級網(wǎng)關(guān)一般由雙宿主主機或者多宿主主機（在主機至少插有兩塊網(wǎng)卡）擔任。在本例中，應(yīng)用級網(wǎng)關(guān)有兩塊網(wǎng)卡，一塊用于連接受保護的內(nèi)部網(wǎng)，一塊連接Internet.用戶通過23端口Telnet到應(yīng)用級網(wǎng)關(guān)網(wǎng)關(guān)展示給用戶一個系統(tǒng)菜單，允許用戶連接到目的主機網(wǎng)關(guān)檢測源IP是否在允許的源地址列表YesYes用戶身份驗證是否通過用戶選擇要連接的系統(tǒng)網(wǎng)關(guān)初始化一個新的，從應(yīng)用級網(wǎng)關(guān)到目的主機的TCP連接如果有要求，系統(tǒng)會提示用戶，再進行另外的身份驗證拒絕訪問NoNo圖4.12 遠程連接應(yīng)用級網(wǎng)關(guān)應(yīng)用級網(wǎng)關(guān)的優(yōu)缺點應(yīng)用級網(wǎng)關(guān)的優(yōu)點

27、是能夠有效地實現(xiàn)防火墻內(nèi)外計算機系統(tǒng)的隔離，安全性好，還可用于實施較強的數(shù)據(jù)流監(jiān)控、過濾、記錄和報告等功能。缺點是實現(xiàn)麻煩，對于那些為了使用代理服務(wù)器而修改自己應(yīng)用的終端用戶來說，這種選擇缺乏透明度。另外由于代理服務(wù)器必須采用操作系統(tǒng)服務(wù)來執(zhí)行代理過程，所以它通常是建立在操作系統(tǒng)之上的，由此帶來的問題是增加了開銷、降低了性能，而且由于通用操作系統(tǒng)是眾所周知的，所以該操作系統(tǒng)容易被攻擊的漏洞也是公開的。自適應(yīng)代理防火墻 雖然應(yīng)用代理防火墻具有很好的安全性，但速度不盡如人意。自適應(yīng)代理技術(shù)（Adaptive proxy）結(jié)合了代理服務(wù)器防火墻的安全性和包過濾防火墻的高速度等優(yōu)點，組成這種類型防火墻

28、的基本要素有兩個：自適應(yīng)代理服務(wù)器（Adaptive Proxy Server）與動態(tài)包過濾器。在自適應(yīng)代理防火墻中，初始的安全檢查仍在應(yīng)用層中進行，保證實現(xiàn)傳統(tǒng)防火墻的最大安全性；而一旦可信任身份得到認證，建立了安全通道，隨后的數(shù)據(jù)包就可重新定向到網(wǎng)絡(luò)層。這使得它在毫不損失安全性的基礎(chǔ)上將代理服務(wù)器防火墻的性能提高10倍以上。4.1.4 復合防火墻由于防火墻所處的優(yōu)越位置（內(nèi)部網(wǎng)與Internet的分界點），在實際應(yīng)用中除了基本的過濾和訪問控制外，防火墻又添加了NAT、VPN、IDS、AAA、QoS、加密、內(nèi)容過濾、防病毒、路由管理、網(wǎng)絡(luò)監(jiān)視等功能。剛開始這些功能都是由另外的設(shè)備提供，這些設(shè)

29、備在網(wǎng)絡(luò)中的位置處于串行或者并行。目前通常的解決辦法是將這些特性合并到防火墻中，當整合了這些功能的防火墻正常運轉(zhuǎn)時，網(wǎng)絡(luò)連接既安全可靠，又效率高。網(wǎng)絡(luò)地址轉(zhuǎn)換 網(wǎng)絡(luò)地址轉(zhuǎn)換NAT（Network Address Translator），是一種將一個IP地址域映射到另一個IP地址域的技術(shù)，從而為終端主機提供透明路由。NAT常用于私有地址域與公用地址域的轉(zhuǎn)換以解決IP地址匱乏問題。在防火墻上實現(xiàn)NAT后，可以隱藏受保護網(wǎng)絡(luò)的內(nèi)部拓撲結(jié)構(gòu)，在一定程度上提高網(wǎng)絡(luò)的安全性。它可以在邊界路由器、包過濾防火墻以及代理服務(wù)防火墻上實現(xiàn)。虛擬專用網(wǎng)絡(luò) 虛擬專用網(wǎng)絡(luò)VPN (Virtual Private Net

30、work)，是在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密通道”在公網(wǎng)中傳播。目前，VPN的安全保證主要是通過防火墻技術(shù)、路由器配以隧道技術(shù)、加密協(xié)議和安全密匙來實現(xiàn)的，用于公司總部和分支機構(gòu)、合作伙伴之間以及移動辦公用戶通過公網(wǎng)進行通信，并且達到安全的目的。入侵檢測系統(tǒng) 入侵檢測系統(tǒng)IDS（Intrusion Detection System），是主動保護自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。它要對侵入計算機網(wǎng)絡(luò)和主機的行為進行發(fā)現(xiàn)并進行一定的阻止。通常IDS安裝在計算機網(wǎng)絡(luò)或計算機系統(tǒng)的若干關(guān)鍵點，進行網(wǎng)絡(luò)和系統(tǒng)的信息收集和分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和攻擊的跡象。它擴展

31、了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、攻擊識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。認證、授權(quán)、審計認證、授權(quán)、審計AAA (Authentication，Authorization，Accounting)，Cisco系統(tǒng)表述集中式身份驗證服務(wù)器三大主要功能的術(shù)語，它是網(wǎng)絡(luò)安全策略的一個組成部分。認證：確認遠端訪問用戶的身份，判斷訪問者是否為合法的網(wǎng)絡(luò)用戶。授權(quán)：對用戶進行認證后，授權(quán)服務(wù)將決定該用戶可以訪問哪些資源，允許該用戶執(zhí)行哪些操作。審計：為統(tǒng)計、計費和審計目的記錄用戶使用網(wǎng)絡(luò)服務(wù)中的所有操作，包括使用的服務(wù)類型、起始時間、數(shù)據(jù)流量等信息。服務(wù)質(zhì)量 服務(wù)質(zhì)量QoS（Qua

32、lity of Service），是網(wǎng)絡(luò)的一種安全機制。擁有QoS的網(wǎng)絡(luò)是一種智能網(wǎng)絡(luò)，它可以對網(wǎng)絡(luò)上傳輸?shù)囊曇纛l流等對實時性要求較高的數(shù)據(jù)提供優(yōu)先服務(wù)，從而保證較低的延遲。如果不實施QoS，IP 電話、電視會議及關(guān)鍵任務(wù)數(shù)據(jù)等應(yīng)用只能作為“盡力而為”業(yè)務(wù)傳輸，這將導致在網(wǎng)絡(luò)擁塞時話音和視頻的不穩(wěn)定性。其 它 防火墻還應(yīng)包含先進的鑒別措施，如身份識別及驗證、信息的保密性保護、信息的完整性校驗，以及授權(quán)管理技術(shù)等。網(wǎng)絡(luò)管理安全越完善，體系架構(gòu)就越復雜。管理網(wǎng)絡(luò)的多臺安全設(shè)備，還需要集中的網(wǎng)管。4.1.5 個人防火墻個人版防火墻是安裝在PC 機系統(tǒng)里的一段“代碼墻”把你的電腦和Internet分隔

33、開。它檢查到達防火墻兩端的所有數(shù)據(jù)包，無論是進入還是發(fā)出，從而決定該攔截這個包還是將其放行。也就是說：在不妨礙你正常上網(wǎng)瀏覽的同時，阻止Internet上的其他用戶對你的計算機進行的非法訪問。一個好的個人版防火墻必須是低的系統(tǒng)資源消耗，高的處理效率，具有簡單易懂的設(shè)置界面，具有靈活而有效的規(guī)則設(shè)定。4.2 防火墻體系結(jié)構(gòu) 防火墻是保護網(wǎng)絡(luò)安全的一個很好的選擇，設(shè)置防火墻、選擇合適類型的防火墻并配置它，是用好防火墻的三大關(guān)鍵任務(wù)。如何設(shè)置它，應(yīng)該將它放到什么位置是本節(jié)要討論的問題。在網(wǎng)絡(luò)設(shè)計時要考慮網(wǎng)絡(luò)安全問題，所以網(wǎng)絡(luò)拓撲結(jié)構(gòu)應(yīng)該有網(wǎng)絡(luò)安全拓撲內(nèi)容。關(guān)注網(wǎng)絡(luò)安全拓撲設(shè)計對阻止網(wǎng)絡(luò)攻擊大有幫助。

34、并且能夠使不同設(shè)備的安全特性得到最有效的使用。4.2.1. 堡壘主機“堡壘”一詞來源于中世紀，指城堡中特別加固的部分，用于發(fā)現(xiàn)和抵御攻擊者的進攻。在網(wǎng)絡(luò)中堡壘主機是經(jīng)過加固，安裝了防火墻軟件，但沒有IP轉(zhuǎn)發(fā)功能的計算機。它對外界提供一些必要的服務(wù)，也可以被內(nèi)部用戶訪問。通常它只提供一種服務(wù)，因為提供的服務(wù)越多，導致的安全隱患的可能性也就越大。它應(yīng)該位于非軍事區(qū)DMZ（Demilitarized Zone，也稱為停火區(qū)或者周邊網(wǎng)絡(luò)）。如果堡壘主機提供代理服務(wù)，它會知道自己將要為哪些應(yīng)用提供代理。配置堡壘主機1）禁用不需要的服務(wù)；2）限制端口；3）禁用賬戶；4）及時地安裝所需要的補丁；5）大部分能

35、夠用于操縱該臺主機的工具和配置程序都要從該主機中刪除；6）開啟主機的日志紀錄，以便捕獲任何危害它的企圖；7）進行備份；8）堡壘主機和內(nèi)部網(wǎng)要使用不同的認證系統(tǒng)。以防止攻擊者攻破堡壘主機后獲得訪問防火墻和內(nèi)部網(wǎng)的權(quán)限。堡壘主機的配置類型1 單宿主堡壘主機2 雙宿主堡壘主機3 內(nèi)部堡壘主機4 外部堡壘主機5 受害堡壘主機單宿主堡壘主機 有一塊網(wǎng)卡的堡壘主機做防火墻，通常用于應(yīng)用級網(wǎng)關(guān)防火墻。將外部路由器配置成所有進來的數(shù)據(jù)均發(fā)送到堡壘主機上，同時將全部內(nèi)部客戶端配置成所有出去的數(shù)據(jù)都發(fā)送到這臺堡壘主機上。堡壘主機以安全方針作為依據(jù)檢驗這些數(shù)據(jù)。它的主要缺點是可以配置路由器使信息直接進入內(nèi)部網(wǎng)絡(luò)，而

36、完全繞過堡壘主機；內(nèi)部用戶也可以配置他們的主機，繞過堡壘主機把信息直接發(fā)送到路由器上。雙宿主堡壘主機 有兩塊網(wǎng)卡的堡壘主機做防火墻，兩塊網(wǎng)卡各自與內(nèi)外部網(wǎng)絡(luò)相連。但是內(nèi)外部網(wǎng)絡(luò)之間不能直接通信，內(nèi)外部網(wǎng)絡(luò)之間的數(shù)據(jù)流被雙宿主機完全切斷。它采用主機取代路由器執(zhí)行安全控制功能?？梢酝ㄟ^運行代理軟件或者讓用戶直接注冊到其上來提供網(wǎng)絡(luò)控制。當一個黑客若要訪問內(nèi)部網(wǎng)絡(luò)時，他必須首先攻破雙宿主堡壘主機，這使得網(wǎng)絡(luò)管理員有時間阻止對入侵做出反應(yīng)。內(nèi)部堡壘主機 堡壘主機與內(nèi)部網(wǎng)通信，以便轉(zhuǎn)發(fā)從外部網(wǎng)獲得的信息。這類堡壘主機啟用了較多的服務(wù)，并開放了較多的端口以便滿足應(yīng)用程序的需要。外部堡壘主機 堡壘主機為In

37、ternet 提供公共服務(wù)，它不向內(nèi)部網(wǎng)轉(zhuǎn)發(fā)任何請求，而是自己處理請求。它只提供非常有限的服務(wù)，并且只開放有限的端口來滿足這類服務(wù)。它需要更多的防御和保護，并應(yīng)切斷對內(nèi)部網(wǎng)的任何訪問。受害堡壘主機 該堡壘主機是故意向攻擊者暴露的目標，也被稱作蜜罐（honeypot）或者陷阱。設(shè)置它的主要目的是引誘不法者的攻擊，讓黑客誤以為已經(jīng)成功侵入網(wǎng)絡(luò)，并且讓黑客繼續(xù)“為所欲為”，以便贏得時間跟蹤他們。該堡壘主機只包含最起碼的最小服務(wù)配置以便運行相應(yīng)的程序。4.2.2. 非軍事區(qū)在現(xiàn)代網(wǎng)絡(luò)安全設(shè)計中用到的最關(guān)鍵的思想之一是按照功能或者部門將網(wǎng)絡(luò)分割成網(wǎng)段。不同的網(wǎng)段對安全有著不同的需要。以太網(wǎng)是一個廣播的網(wǎng)

38、絡(luò)，網(wǎng)絡(luò)上的任何機器都有可能查看到這個網(wǎng)絡(luò)上的所有通信。如果黑客侵入網(wǎng)絡(luò)，可以容易地截獲所有通信。為了配置和管理方便，內(nèi)部網(wǎng)需要向外提供服務(wù)的服務(wù)器往往放在一個單獨的網(wǎng)段，這個網(wǎng)段便是DMZ。DMZ在內(nèi)部網(wǎng)之外，具有一個與內(nèi)部網(wǎng)不同的網(wǎng)絡(luò)號，連接到防火墻，提供公共服務(wù)。創(chuàng)建DMZ的方法 創(chuàng)建DMZ的方法有很多，怎樣創(chuàng)建它依賴于網(wǎng)絡(luò)的安全需要，也依賴于對它的預算約束。創(chuàng)建DMZ的常用方法如下： （1）使用一個三腳防火墻 （2）將DMZ置于防火墻之外，公網(wǎng)和防火墻之間 （3）將DMZ置于防火墻之外，但不在公網(wǎng)和防火墻之 間的通道上 （4）兩個防火墻，一個DMZ （5）“臟”DMZ使用一個三腳防火墻

39、 使用一個有三個接口的防火墻（三宿主防火墻）創(chuàng)建隔離區(qū)，如圖4.12所示，每個隔離區(qū)成為這個防火墻接口的一員。防火墻提供區(qū)之間的隔離，也提供了DMZ的安全。圖4.12 DMZ在三腳防火墻中（續(xù)）DMZ堡壘主機 Internet 內(nèi)部網(wǎng)DMZ置于防火墻之外公網(wǎng)和防火墻之間 需要通過防火墻的流量首先通過DMZ。缺點是DMZ暴露在公共面一側(cè)，因此不推薦使用這種配置，如圖4.13所示。圖4.13DMZ置于防火墻之外公網(wǎng)和防火墻之間（續(xù)）InternetDMZ 內(nèi)部網(wǎng)堡壘主機DMZ置于防火墻之外不在公網(wǎng)和防火墻之間的通道上 DMZ位于邊緣路由器的一個接口，沒有與防火墻直接相連，如圖4.14所示，從DMZ

40、到防火墻形成一個隔離層。在這種配置中路由器能夠用于拒絕所有從DMZ子網(wǎng)到防火墻所在的子網(wǎng)的訪問，當位于DMZ子網(wǎng)的主機受到危害，并且攻擊者開始使用這個主機對網(wǎng)絡(luò)發(fā)動進一步攻擊時，增加的隔離層能夠幫助延緩對防火墻的攻擊進度。圖4.14DMZInternet 內(nèi)部網(wǎng)堡壘主機邊緣路由器DMZ置于防火墻之外不在公網(wǎng)和防火墻之間的通道上（續(xù)）兩個防火墻，一個DMZDMZ由兩個防火墻來保護如圖4.15。防火墻監(jiān)控DMZ到Internet之間的通信，防火墻監(jiān)控DMZ到內(nèi)部網(wǎng)之間的通信。防火墻相當于一個備份設(shè)備,可以作為故障切換防火墻，當防火墻工作失敗時，它可以立即工作。由于防火墻使得DMZ獲得相當多的安全，

41、但它的缺點是需要從Internet訪問到內(nèi)部網(wǎng)時，所有流量必須通過DMZ，所有從內(nèi)部網(wǎng)到Internet的訪問流量也都要經(jīng)過DMZ，當一個DMZ設(shè)備被攻陷后，攻擊者會阻截或者攻擊這個流量。解決的辦法是在兩個防火墻之間的設(shè)備上使用VLAN。它的另一個缺點是需要使用兩個防火墻，增加了設(shè)備的成本。圖4.15 內(nèi)部網(wǎng)DMZInternet堡壘主機兩個防火墻，一個DMZ（續(xù)）“臟”DMZ 用一個邊界路由器在不安全的Internet 與準安全的DMZ之間建立一個分界線，即產(chǎn)生一個“臟”DMZ，見圖4.16。在這里邊界路由器是擔當?shù)谝坏婪谰€的普通路由器，內(nèi)置的ACL用來實現(xiàn)由網(wǎng)絡(luò)安全策略所定義的包過濾規(guī)則，

42、以便可以對堡壘主機提供一個部分受保護的環(huán)境。專用的防火墻提供第二道防線，更好的保護內(nèi)部網(wǎng)資源。圖4.16 受保護DMZ“臟”DMZInternet邊界路由器交換機內(nèi)部網(wǎng)“臟”DMZ（續(xù)）4.2.3. 屏蔽路由器 屏蔽路由器(Screening Router)是在Internet和內(nèi)部網(wǎng)之間放置一個路由器，使之執(zhí)行包過濾功能，這是最簡單的防火墻。屏蔽路由器可以由路由器實現(xiàn)。它作為內(nèi)外連接的唯一通道，要求所有的數(shù)據(jù)包都必須在此通過檢查。在路由器上安裝包過濾軟件，實現(xiàn)包過濾功能。圖4.17顯示了它的拓撲結(jié)構(gòu)，雖然它并不昂貴，但仍能提供重要的保護。屏蔽路由器體系結(jié)構(gòu)也稱篩選路由器體系結(jié)構(gòu)，最大優(yōu)點是架

43、構(gòu)簡單且硬件成本較低，由于路由器提供非常有限的服務(wù)，所以保衛(wèi)路由器比保衛(wèi)主機較易實現(xiàn)。圖4.17帶包過濾功能的路由器Internet 內(nèi)部網(wǎng)屏蔽路由器防火墻屏蔽路由器的缺點屏蔽路由器僅依靠包過濾規(guī)則過濾數(shù)據(jù)包，一旦有任何錯誤的配置，將會導致不期望的流量通過或者拒絕一些可接受的流量；只有一個單獨的設(shè)備保護網(wǎng)絡(luò)，如果一個黑客損害到這個路由器，他將能訪問到內(nèi)部網(wǎng)中的任何資源；屏蔽路由器不能隱藏內(nèi)部網(wǎng)的配置，任何能訪問屏蔽路由器的人都能輕松地看到內(nèi)部網(wǎng)的布局和結(jié)構(gòu)；屏蔽路由器沒有較好的監(jiān)視和日志功能、沒有報警功能，缺乏用戶級身份認證，如果一個安全侵犯事件發(fā)生，對于這種潛在的威脅它不能通知網(wǎng)絡(luò)管理員。4

44、.2.4 雙宿主主機體系結(jié)構(gòu) 用一臺裝有兩塊網(wǎng)卡的堡壘主機做防火墻，兩塊網(wǎng)卡各自與內(nèi)部網(wǎng)和Internet相連，如圖4.18。堡壘主機上運行防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。內(nèi)、外部網(wǎng)之間的通信必須經(jīng)過堡壘主機。在這種體系結(jié)構(gòu)中必須禁用路由選擇功能，這樣防火墻兩邊的網(wǎng)絡(luò)才可以只與雙宿主主機通信，而兩系統(tǒng)不能直接通信。圖4.18 Internet 內(nèi)部網(wǎng) 雙宿主主機體系結(jié)構(gòu)有雙網(wǎng)卡的堡壘主機優(yōu) 缺 點雙宿主主機體系結(jié)構(gòu)優(yōu)于屏蔽路由器的地方是：堡壘主機的系統(tǒng)軟件可用于維護系統(tǒng)日志、硬件拷貝日志或遠程管理日志。這對于日后的檢查很有用。但這不能幫助網(wǎng)絡(luò)管理者確認內(nèi)部網(wǎng)中哪些主機可能已被黑客入侵

45、。雙宿主主機體系結(jié)構(gòu)的一個致命弱點是：一旦入侵者侵入堡壘主機并使其只具有路由功能，則任何網(wǎng)上用戶均可以隨便訪問內(nèi)部網(wǎng)。4.2.5 主機過濾體系結(jié)構(gòu)在雙宿主主機體系結(jié)構(gòu)防火墻中沒有使用路由器。而主機過濾體系結(jié)構(gòu)防火墻（Screened Host Firewall）則使用一個路由器把內(nèi)部網(wǎng)和外部網(wǎng)隔離，路由器充當內(nèi)部網(wǎng)和外部網(wǎng)之間的接口，主機過濾體系結(jié)構(gòu)如圖4.19所示。主機過濾體系結(jié)構(gòu)也稱作屏蔽主機體系結(jié)構(gòu)或者篩選主機體系結(jié)構(gòu)。在這種體系結(jié)構(gòu)中利用一個執(zhí)行數(shù)據(jù)包過濾的路由器連接外部網(wǎng)，在其上設(shè)立過濾規(guī)則用于防止人們繞過代理服務(wù)器直接相連。同時將一個堡壘主機安裝在內(nèi)部網(wǎng)，并使這個堡壘主機成為從外部

46、網(wǎng)唯一可直接到達的主機，這樣確保了內(nèi)部網(wǎng)不受未被授權(quán)的外部用戶的攻擊。圖4.19 主機過濾體系結(jié)構(gòu)內(nèi)部網(wǎng)Internet路由器堡壘主機路由器執(zhí)行的數(shù)據(jù)包過濾可以允許內(nèi)部主機為特定服務(wù)打開到Internet 的連接或者拒絕所有從內(nèi)部主機到Internet 連接的嘗試，應(yīng)該強制內(nèi)部主機通過堡壘主機發(fā)送它們的連接請求。應(yīng)該將代理服務(wù)器安裝在防火墻后面。防火墻應(yīng)該有一個和Internet的接口，可以對在它后面的代理服務(wù)器起到保護作用。這種保護是關(guān)鍵的，因為當代理服務(wù)器被黑客攻破時，代理服務(wù)器會誤以為黑客是內(nèi)部客戶機，而允許其通過代理服務(wù)器，這樣將會對受保護的網(wǎng)絡(luò)造成災難性的后果。主機過濾體系結(jié)構(gòu)（續(xù)）

47、4.2.6 子網(wǎng)過濾體系結(jié)構(gòu)子網(wǎng)過濾體系結(jié)構(gòu)也稱為被屏蔽子網(wǎng)體系結(jié)構(gòu)或者篩選子網(wǎng)體系結(jié)構(gòu)。它用兩臺包過濾路由器建立一個DMZ，用這一DMZ將內(nèi)部網(wǎng)和外部網(wǎng)分開，簡單的子網(wǎng)過濾體系結(jié)構(gòu)如圖4.20所示。在這種體系結(jié)構(gòu)中兩個包過濾路由器放在DMZ的兩端，構(gòu)成一個內(nèi)部網(wǎng)和外部網(wǎng)均可訪問的被屏蔽子網(wǎng)，但禁止信息直接穿過被屏蔽子網(wǎng)進行通信。在被屏蔽子網(wǎng)中堡壘主機作為唯一的可訪問點，該點作為應(yīng)用級網(wǎng)關(guān)代理。圖4.20最簡單的子網(wǎng)過濾體系結(jié)構(gòu)DMZ外部路由器內(nèi)部路由器 Internet 內(nèi)部網(wǎng)堡壘主機子網(wǎng)過濾體系結(jié)構(gòu)（續(xù)） 為了侵入這種類型的網(wǎng)絡(luò)，黑客必須先攻破外部路由器，即使他設(shè)法侵入堡壘主機，仍然必須通

48、過內(nèi)部路由器，才能進入內(nèi)部網(wǎng)。在該體系結(jié)構(gòu)中，因為堡壘主機不直接與內(nèi)部網(wǎng)的主機交互使用，所以內(nèi)部網(wǎng)中兩個主機間的通信不會通過堡壘主機，即使黑客侵入堡壘主機，他也只能看到從Internet 和一些內(nèi)部主機到堡壘主機的通信以及返回的通信，而看不到內(nèi)部網(wǎng)絡(luò)主機之間的通信。所以DMZ為內(nèi)部網(wǎng)增加了安全級別。內(nèi)部路由器 內(nèi)部路由器也稱作阻塞路由器、扼流路由器。它的任務(wù)是保護內(nèi)部網(wǎng)使之免受來自Internet和DMZ的侵犯，并承擔防火墻數(shù)據(jù)包過濾的任務(wù)。它允許從內(nèi)部網(wǎng)到Internet的有選擇的出站服務(wù)。為了減少堡壘主機受侵襲的數(shù)量，要限制堡壘主機給內(nèi)部網(wǎng)提供的服務(wù)。外部路由器 外部路由器也稱作訪問路由器

49、，保護DMZ和內(nèi)部網(wǎng)使之免受來自Internet的侵犯。它幾乎允許任何通信從DMZ出站，并且通常只執(zhí)行非常少的數(shù)據(jù)包過濾；但它要阻止從Internet上任何偽造源地址進來的數(shù)據(jù)包，這樣的數(shù)據(jù)包自稱來自內(nèi)部的網(wǎng)絡(luò)，但實際上是來自Internet。4.2.7 組合體系結(jié)構(gòu) 建造防火墻時，一般很少采用單一的技術(shù)，通常采用解決不同問題的多種技術(shù)的組合。 1）多堡壘主機 2）合并內(nèi)部路由器與外部路由器 3）合并堡壘主機與外部路由器 4）合并堡壘主機與內(nèi)部路由器 5）使用多臺外部路由器 6）使用多個周邊網(wǎng)絡(luò)圖4.21DMZ內(nèi)路路由器外部路由器 Internet 內(nèi)部網(wǎng)有兩個堡壘主機的子網(wǎng)過濾體系結(jié)構(gòu)內(nèi)/外

50、部路由器DMZ圖4.22Internet 內(nèi)部網(wǎng)單個路由器的子網(wǎng)過濾體系結(jié)構(gòu)圖4.23DMZ堡壘主機 Internet 內(nèi)部網(wǎng)堡壘主機充當外部路由器外部路由器圖4.24DMZ外部路由器堡壘主機內(nèi)部路由器 Internet 內(nèi)部網(wǎng)堡壘主機充當內(nèi)部路由器圖4.25外部路由器外部路由器內(nèi)部路由器DMZ 內(nèi)部網(wǎng)Internet分支機構(gòu)或合作伙伴多臺外部路由器的子網(wǎng)過濾體系結(jié)構(gòu)圖4.26外部路由器內(nèi)部路由器外部路由器內(nèi)部路由器 Internet 內(nèi)部網(wǎng)分支機構(gòu)或合作伙伴DMZDMZ有兩個DMZ的子網(wǎng)過濾體系結(jié)構(gòu)4.3 防火墻選型與產(chǎn)品簡介防火墻技術(shù)發(fā)展到現(xiàn)在，其爭的焦點主要是在以下四個方面：防火墻的管理

51、網(wǎng)絡(luò)安全的關(guān)鍵防火墻的功能防火墻應(yīng)用的基礎(chǔ) 防火墻的性能提高網(wǎng)絡(luò)傳輸效率的條件防火墻的抗攻擊能力網(wǎng)絡(luò)安全的保證4.3.1 防火墻的局限性 1）不能防范不經(jīng)過防火墻的攻擊 2）不能防止來自內(nèi)部變節(jié)者或不經(jīng)心的用戶帶來的威脅；也不能 解決進入防火墻的數(shù)據(jù)帶來的所有安全問題 3）只能按照對其配置的規(guī)則進行有效的工作 4）不能防止感染了病毒的軟件或文件的傳輸 5）不能修復脆弱的管理措施或者設(shè)計有問題的安全策略 6）可以阻斷攻擊，但不能消滅攻擊源 7）不能抵抗最新的未設(shè)置策略的攻擊漏洞 8）在某些流量大、并發(fā)請求多的情況下，很容易導致?lián)砣?成為整個網(wǎng)絡(luò)的瓶頸 9）防火墻對服務(wù)器合法開放的端口的攻擊大多

52、無法阻止 10）防火墻本身也會出現(xiàn)問題和受到攻擊4.3.2 開發(fā)防火墻安全策略一個有效的防火墻依賴于一個明確的、清楚的、全面的安全策略。在設(shè)計安全系統(tǒng)時，首先應(yīng)該考慮的是安全策略而不是防火墻。安全策略建立了全方位的防御體系來保護機構(gòu)的信息資源。所有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣的安全級別加以保護。國際標準化組織ISO（International Standardization Organization）和國際電工委員會IEC（International Engineering Consortium）頒布的ISO17799是一套常用的策略及指導過程從 可以獲得。安全策略（續(xù)） 安裝一個防火墻

53、最困難的部分不是處理硬件和軟件，而是如何向周圍的人解釋你想施加的那些限制。安全性和復雜性成反比安全性和可用性成反比對網(wǎng)絡(luò)威脅要詳加分析，真實的威脅、可能的威脅 和假想的威脅，還有已知與未知的威脅安全策略并不是一成不變的安全是投資，不是消費，安全投資需要得到企業(yè)或 組織領(lǐng)導的大力支持4.3.3 防火墻選型原則市場上防火墻的售價極為懸殊，從數(shù)萬元到數(shù)十萬元，甚至到百萬元不等。由于用戶數(shù)量不同，用戶安全要求不同，功能要求不同，因此防火墻的價格也不盡相同。網(wǎng)絡(luò)吞吐量、丟包率、延遲、連接數(shù)等都是重要的技術(shù)指標。質(zhì)量好的防火墻能夠有效地控制通信，為不同級別、不同需求的用戶提供不同的控制策略?？刂撇呗缘挠行?/p>

54、性、多樣性、級別目標清晰性以及制定難易程度都直接反映出防火墻控制策略的質(zhì)量。4.3.4 典型防火墻簡介Checkpoint FireWall-1Cisco PIX Firewall東軟NetEyeCheckpoint FireWall-1CheckPoint軟件技術(shù)有限公司成立于1993年，該公司是Internet安全領(lǐng)域的全球領(lǐng)先企業(yè)。Check Point已經(jīng)成為防火墻軟件的代名詞，它推出并持有專利的狀態(tài)監(jiān)測技術(shù)是網(wǎng)絡(luò)安全性技術(shù)的事實標準。Check Point的成名部分原因歸功于它的安全性開放式平臺OPSEC（Open Platform for Security）。OPSEC聯(lián)盟成立于1997年。FireWall-1 是Check Point網(wǎng)絡(luò)安全性產(chǎn)品線中最重要的產(chǎn)品，也是業(yè)界領(lǐng)先的企業(yè)級安全性套件。它集成了訪問控制、用戶認證、NAT、VPN、內(nèi)容安全性、審計和報告等特性。FireWall-1的基本模塊狀態(tài)檢測模塊（Inspection Module）： 提供訪問控制、客 戶機認證、會話認證、NAT和審計功能； 防火墻模塊（FireWall Module）： 包含一個狀態(tài)檢測模 塊，另外提供用戶認證、內(nèi)容安全和多防火墻同步功能； 管理模塊（Management Module）： 對一個或多個安全策 略執(zhí)行點（安裝了FireWall-1的某個模塊，如狀態(tài)檢測模 塊、