第6章Internet安全26.1Internet安全概述6.2防火墻技術(shù)6.3VPN技術(shù)6.4網(wǎng)絡(luò)入侵檢測(cè)6.5IP協(xié)議安全6.6電子商務(wù)應(yīng)用安全協(xié)議目錄34OSI七層的主要功能物理層的任務(wù)就是為它的上一層提供一個(gè)物理連接，以及它們的機(jī)械、電氣、功能和過程特性。如規(guī)定使用電纜和接頭的類型、傳送信號(hào)的電壓等。在這一層，數(shù)據(jù)還沒有被組織，僅作為原始的位流或電氣電壓處理，單位是bit比特。數(shù)據(jù)鏈路層的主要功能是如何在不可靠的物理線路上進(jìn)行數(shù)據(jù)的可靠傳遞。為了保證傳輸，從網(wǎng)絡(luò)層接收到的數(shù)據(jù)被分割成特定的可被物理層傳輸?shù)膸＞W(wǎng)絡(luò)層主要功能是將網(wǎng)絡(luò)地址翻譯成對(duì)應(yīng)的物理地址，并決定如何將數(shù)據(jù)從發(fā)送方路由到接收方。傳輸層同時(shí)進(jìn)行流量控制或是基于接收方可接收數(shù)據(jù)的快慢程度規(guī)定適當(dāng)?shù)陌l(fā)送速率，糾正傳輸中的錯(cuò)誤。會(huì)話層的功能包括：建立通信鏈接，保持會(huì)話過程通信鏈接的暢通，同步兩個(gè)節(jié)點(diǎn)之間的對(duì)話，決定通信是否被中斷以及通信中斷時(shí)決定從何處重新發(fā)送。應(yīng)用程序和網(wǎng)絡(luò)之間的翻譯官，在表示層，數(shù)據(jù)將按照網(wǎng)絡(luò)能理解的方案進(jìn)行格式化；這種格式化也因所使用網(wǎng)絡(luò)的類型不同而不同。表示層管理數(shù)據(jù)的解密與加密，如系統(tǒng)口令的處理。是最靠近用戶的OSI層。這一層為用戶的應(yīng)用程序（例如電子郵件、文件傳輸和終端仿真）提供網(wǎng)絡(luò)服務(wù)。566.1.1網(wǎng)絡(luò)層安全

網(wǎng)絡(luò)層安全指的是對(duì)從一個(gè)網(wǎng)絡(luò)的終端系統(tǒng)傳送到另一個(gè)網(wǎng)絡(luò)的終端系統(tǒng)的通信數(shù)據(jù)的保護(hù)。典型的網(wǎng)絡(luò)層安全服務(wù)包括：認(rèn)證和完整性保密性訪問控制6.1Internet概述76.1.2應(yīng)用層安全應(yīng)用層安全指的是建立在某個(gè)特定的應(yīng)用程序內(nèi)部，不依賴于任何網(wǎng)絡(luò)層安全措施而獨(dú)立運(yùn)行的安全措施。應(yīng)用層安全措施包括：認(rèn)證訪問控制保密性數(shù)據(jù)完整性不可否認(rèn)性與Web、與信息傳送有關(guān)的安全措施6.1Internet概述86.1.3系統(tǒng)安全系統(tǒng)安全是指對(duì)特定終端系統(tǒng)及其局部環(huán)境的保護(hù)，而不考慮對(duì)網(wǎng)絡(luò)層安全或應(yīng)用層安全措施所承擔(dān)的通信保護(hù)。系統(tǒng)安全措施包括：確保在安裝的軟件中沒有已知的安全缺陷確保系統(tǒng)的配置能使入侵風(fēng)險(xiǎn)降至最低確保所下載的軟件其來源是可信任的和可靠的確保系統(tǒng)能得到適當(dāng)管理以使侵入風(fēng)險(xiǎn)最小確保采用合適的審計(jì)機(jī)制，以便能防止對(duì)系統(tǒng)的成功入侵和采取新的合適的防御性措施6.1Internet概述96.2防火墻技術(shù)6.2.1防火墻的基本概念6.2.2防火墻的基本原理6.2.3防火墻的實(shí)現(xiàn)方式106.2.1防火墻的基本概念一、防火墻的基本概念防火墻（firewall）是在兩個(gè)網(wǎng)絡(luò)之間強(qiáng)制實(shí)施訪問控制策略的一個(gè)系統(tǒng)或一組系統(tǒng)。狹義——指安裝了防火墻軟件的主機(jī)或路由器系統(tǒng)。11防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它可通過監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。

12為什么需要防火墻？強(qiáng)化安全策略僅允許“認(rèn)可”或符合規(guī)則的請(qǐng)求通過有效記錄網(wǎng)上活動(dòng)經(jīng)過防火墻的所有流量被記錄，包括用戶上網(wǎng)情況；隱藏用戶站點(diǎn)或網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)在隔離內(nèi)外網(wǎng)的同時(shí)利用NAT隱藏內(nèi)網(wǎng)各種細(xì)節(jié)安全策略的檢查所有信息都經(jīng)過防火墻，其成為了一個(gè)安全檢查點(diǎn)二、防火墻的功能13防火墻不可以防范什么防火墻不是解決所有網(wǎng)絡(luò)安全問題的萬能藥方，只是網(wǎng)絡(luò)安全政策和策略中的一個(gè)組成部分。防火墻不能防范繞過防火墻的攻擊，例:內(nèi)部提供撥號(hào)服務(wù)。防火墻不能防范不經(jīng)過防火墻的攻擊。防火墻不能阻止被病毒感染的程序或文件的傳遞。防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。例:特洛伊木馬。14內(nèi)部提供撥號(hào)服務(wù)繞過防火墻15二、防火墻的設(shè)計(jì)準(zhǔn)則1．防火墻的規(guī)則(1)拒絕每件未被特別許可的事情(限制政策)只支持那些仔細(xì)選擇的服務(wù),建立一個(gè)非常安全的環(huán)境。其缺點(diǎn)是安全性的考慮優(yōu)于使用性的考慮，限制了提供給用戶的服務(wù)范圍。(2)允許未被特別拒絕的每—件事情(寬松政策)建立一個(gè)非常靈活的使用環(huán)境，能為用戶提供更多的服務(wù)。缺點(diǎn)是使用性的考慮優(yōu)于安全性的考慮.多數(shù)防火墻都在兩種之間采取折衷。

162．機(jī)構(gòu)的安全策略為確保網(wǎng)絡(luò)的安全性，機(jī)構(gòu)應(yīng)明確保護(hù)什么，而安全策略的制訂則必須建立在安全分析、風(fēng)險(xiǎn)評(píng)估、商務(wù)需求等分析的基礎(chǔ)之上.如果一個(gè)組織沒有詳細(xì)的安全策略，任何仔細(xì)構(gòu)建的防火墻都能被繞過，從而使整個(gè)內(nèi)部網(wǎng)絡(luò)都暴露在敵手的攻擊之中。

安全＝3分技術(shù)＋7分管理173.防火墻的費(fèi)用其費(fèi)用取決于它的復(fù)雜程度和需保護(hù)的網(wǎng)絡(luò)范圍。防火墻系統(tǒng)的管理、維護(hù)、軟件升級(jí)、安全補(bǔ)漏、事故處理等都需大量的費(fèi)用支持。186.2.2防火墻的基本原理一、包過濾型防火墻1、原理分析工作在網(wǎng)絡(luò)層，根據(jù)所收到的TCP/IP數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的報(bào)文類型、源IP地址、目的IP地址、TCP端口號(hào)、TCP鏈路狀態(tài)等信息，與用戶預(yù)定的訪問控制表進(jìn)行比較，決定數(shù)據(jù)是否符合預(yù)先制定的安全策略，決定數(shù)據(jù)包的轉(zhuǎn)發(fā)或丟棄，即實(shí)施信息過濾。

包過濾技術(shù)依據(jù)系統(tǒng)內(nèi)置的訪問控制表描述的過濾邏輯在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇19包過濾防火墻的工作原理攔截流經(jīng)防火墻的數(shù)據(jù)包該包是否符合過濾規(guī)則報(bào)警、通知管理員丟棄數(shù)據(jù)包防火墻記錄數(shù)據(jù)包的情況NoYes20包過濾技術(shù)的工作對(duì)象是數(shù)據(jù)包。對(duì)TCP/IP協(xié)議族來說，包過濾技術(shù)主要對(duì)其數(shù)據(jù)包包頭的各個(gè)字段進(jìn)行操作。安全過濾規(guī)則是包過濾技術(shù)的核心，是組織或機(jī)構(gòu)的整體安全策略中網(wǎng)絡(luò)安全策略部分的直接體現(xiàn)。包過濾防火墻將包頭各個(gè)字段的內(nèi)容與安全過濾規(guī)則進(jìn)行逐條地比較判斷，直至找到一條相符的規(guī)則為止。如果沒有相符的規(guī)則，則執(zhí)行默認(rèn)的規(guī)則。21假設(shè)網(wǎng)絡(luò)安全策略規(guī)定：內(nèi)部網(wǎng)絡(luò)的E-mail服務(wù)器（IP地址為192.1.6.2，TCP端口號(hào)為25）可以接收來自外部網(wǎng)絡(luò)用戶的所有電子郵件；允許內(nèi)部網(wǎng)絡(luò)用戶傳送到外部電子郵件服務(wù)器的電子郵件；拒絕所有與外部網(wǎng)絡(luò)中名字為TESTHOST主機(jī)的連接。

過濾規(guī)則實(shí)例分析22包過濾規(guī)則表

232、包過濾技術(shù)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)包過濾技術(shù)實(shí)現(xiàn)簡(jiǎn)單、快速。經(jīng)典的解決方案只需要在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的路由器上安裝過濾模塊即可。包過濾技術(shù)的實(shí)現(xiàn)對(duì)用戶是透明的。用戶無需改變自己的網(wǎng)絡(luò)訪問行為模式，也不需要在主機(jī)上安裝任何的客戶端軟件，更不用進(jìn)行任何的培訓(xùn)。包過濾技術(shù)的檢查規(guī)則相對(duì)簡(jiǎn)單，因此檢查操作耗時(shí)極短，執(zhí)行效率非常高，不會(huì)給用戶網(wǎng)絡(luò)的性能帶來不利的影響。網(wǎng)絡(luò)地址轉(zhuǎn)換NAT-NetworkAddressTranslation目前大多數(shù)的路由器設(shè)備都集成了數(shù)據(jù)包過濾的功能，具有很高的性價(jià)比。24缺點(diǎn)包過濾技術(shù)過濾思想簡(jiǎn)單，對(duì)信息的處理能力有限。只能訪問包頭中的部分信息，不能理解通信的上下文，因此不能提供更安全的網(wǎng)絡(luò)防護(hù)能力。當(dāng)過濾規(guī)則增多的時(shí)候，對(duì)于過濾規(guī)則的維護(hù)是一個(gè)非常困難的問題。不但要考慮過濾規(guī)則是否能夠完成安全過濾任務(wù)，還要考慮規(guī)則之間的關(guān)系防止沖突的發(fā)生。尤其是后一個(gè)問題是非常難于解決的。包過濾技術(shù)控制層次較低，不能實(shí)現(xiàn)用戶級(jí)控制。特別是不能實(shí)現(xiàn)對(duì)用戶合法身份的認(rèn)證以及對(duì)冒用的IP地址的確定。25NAT：網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)協(xié)議將內(nèi)部網(wǎng)絡(luò)的多個(gè)IP地址轉(zhuǎn)換到一個(gè)公共地址并建立與Internet的連接。允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用IP（InternetProtocol）地址出現(xiàn)在Internet上。它是一種把內(nèi)部私有網(wǎng)絡(luò)地址（IP地址）翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。進(jìn)行地址轉(zhuǎn)換有兩個(gè)好處：其一是隱藏內(nèi)部網(wǎng)絡(luò)真正的IP，這可以使黑客無法直接攻擊內(nèi)部網(wǎng)絡(luò)；另一個(gè)好處是可以讓內(nèi)部使用保留的IP，這對(duì)許多IP不足的企業(yè)是有益的。3、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT26二、應(yīng)用網(wǎng)關(guān)型防火墻在應(yīng)用層建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。針對(duì)特定的應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時(shí)，對(duì)數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì)，形成報(bào)告。27三、代理服務(wù)型防火墻1、基本原理28代理型防火墻工作在ISO7層模型的最高層——應(yīng)用層。它完全阻斷了網(wǎng)絡(luò)訪問的數(shù)據(jù)流：它為每一種服務(wù)都建立了一個(gè)代理，內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間沒有直接的服務(wù)連接，都必須通過相應(yīng)的代理審核后再轉(zhuǎn)發(fā)。29代理服務(wù)器禁止內(nèi)網(wǎng)與外網(wǎng)的直接連接，減少了內(nèi)部主機(jī)受到直接攻擊的危險(xiǎn)；因?yàn)榇矸?wù)器屏蔽了內(nèi)部網(wǎng)絡(luò)，所以阻止了一切對(duì)內(nèi)部網(wǎng)絡(luò)的探測(cè)活動(dòng)。代理服務(wù)在應(yīng)用層上建立，可以更有效地對(duì)內(nèi)容進(jìn)行過濾。代理服務(wù)可以提供各種用戶身份認(rèn)證手段，從而加強(qiáng)服務(wù)的安全性。連接是基于服務(wù)而非基于物理連接，因此代理防火墻不易受IP地址欺騙的攻擊。代理服務(wù)提供了詳細(xì)的日志記錄，有助于進(jìn)行細(xì)致的日志分析和審計(jì)。代理防火墻的過濾規(guī)則比包過濾防火墻的過濾規(guī)則更簡(jiǎn)單。2、代理型防火墻的優(yōu)缺點(diǎn)優(yōu)點(diǎn)30代理服務(wù)程序很多都是專用的，還不能夠完全支持所有的協(xié)議，不能夠很好地適應(yīng)網(wǎng)絡(luò)服務(wù)和協(xié)議的不斷發(fā)展。在訪問數(shù)據(jù)流量較大的情況下，代理技術(shù)會(huì)增加訪問的延遲，影響系統(tǒng)的性能。應(yīng)用層網(wǎng)關(guān)需要用戶改變自己的行為模式，不能夠?qū)崿F(xiàn)用戶的透明訪問。代理系統(tǒng)對(duì)操作系統(tǒng)有明顯的依賴性，必須基于某個(gè)特定的系統(tǒng)及其協(xié)議。相對(duì)于包過濾技術(shù)來說，代理技術(shù)執(zhí)行的速度是較慢的。缺點(diǎn)31相對(duì)于包過濾而言，代理技術(shù)能夠?yàn)橛脩籼峁└叩陌踩燃?jí)：

代理服務(wù)器不僅掃描數(shù)據(jù)包頭部的各個(gè)字段，還要深入到包的內(nèi)部，理解數(shù)據(jù)包載荷部分內(nèi)容的含義。這可為安全檢測(cè)和日志記錄提供詳細(xì)的信息。包過濾技術(shù)采用的是基于包頭信息的過濾機(jī)制，很難與代理技術(shù)相提并論。對(duì)于外網(wǎng)來說，只能見到代理服務(wù)器而不能看見內(nèi)網(wǎng)；對(duì)于內(nèi)網(wǎng)來說，也只能看見代理服務(wù)器而看不見外網(wǎng)。實(shí)現(xiàn)了網(wǎng)絡(luò)隔離，降低了用戶網(wǎng)絡(luò)受到直接攻擊的風(fēng)險(xiǎn)。而且對(duì)外網(wǎng)隱藏了內(nèi)網(wǎng)的結(jié)構(gòu)以及用戶，進(jìn)一步降低了用戶網(wǎng)絡(luò)遭受探測(cè)的風(fēng)險(xiǎn)。而包過濾技術(shù)在網(wǎng)絡(luò)隔離和預(yù)防探測(cè)方面做的不是很好。包過濾技術(shù)通常由路由器實(shí)現(xiàn)。若過濾機(jī)制被破壞，則內(nèi)網(wǎng)將毫無遮攔地直接與外網(wǎng)接觸。將不可避免地出現(xiàn)網(wǎng)絡(luò)攻擊和信息泄露的現(xiàn)象。而代理服務(wù)器要是損壞的話，只能是內(nèi)網(wǎng)與外網(wǎng)的連接中斷，但無法出現(xiàn)網(wǎng)絡(luò)攻擊和信息泄漏的現(xiàn)象。從這個(gè)角度看，代理技術(shù)比包過濾技術(shù)安全。代理技術(shù)與包過濾技術(shù)的安全性比較32四、狀態(tài)檢查防火墻防火墻使用了一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件模塊，稱之為監(jiān)測(cè)引擎。監(jiān)測(cè)引擎在不影響網(wǎng)絡(luò)正常運(yùn)行的前提下，采用抽取有關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測(cè)，抽取狀態(tài)信息，并動(dòng)態(tài)地保存起來作為以后執(zhí)行安全策略的參考。監(jiān)測(cè)引擎支持多種協(xié)議和應(yīng)用程序，并可以很容易地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。狀態(tài)檢查防火墻根據(jù)從傳輸過程和應(yīng)用狀態(tài)所獲得的數(shù)據(jù)、網(wǎng)絡(luò)設(shè)置和安全規(guī)則產(chǎn)生要么允許、要么拒絕所請(qǐng)求的IP包，或者加密傳輸IP包。1、基本原理33

首先需要建立好規(guī)則，通常此時(shí)規(guī)則需要指明網(wǎng)絡(luò)連接的方向，即是進(jìn)還是出，然后在客戶端打開IE向某個(gè)網(wǎng)站請(qǐng)求WEB頁面，當(dāng)數(shù)據(jù)包到達(dá)防火墻時(shí)，狀態(tài)檢測(cè)引擎會(huì)檢測(cè)到這是一個(gè)發(fā)起連接的初始數(shù)據(jù)包(由SYN標(biāo)志)，然后就會(huì)把這個(gè)數(shù)據(jù)包中的信息與防火墻規(guī)則做比較，如果沒有相應(yīng)規(guī)則允許，防火墻就會(huì)拒絕這次連接。當(dāng)然在這里它會(huì)發(fā)現(xiàn)有一條規(guī)則允許訪問外部WEB服務(wù)，于是允許數(shù)據(jù)包外出并且在狀態(tài)表中新建一條會(huì)話，通常這條會(huì)話會(huì)包括此連接的源地址、源端口、目標(biāo)地址、目標(biāo)端口、連接時(shí)間等信息，當(dāng)后續(xù)數(shù)據(jù)包到達(dá)時(shí)，如果這個(gè)數(shù)據(jù)包不含SYN標(biāo)志，也就是說這個(gè)數(shù)據(jù)包不是發(fā)起一個(gè)新的連接時(shí)，狀態(tài)檢測(cè)引擎就會(huì)直接把它的信息與狀態(tài)表中的會(huì)話條目進(jìn)行比較，如果信息匹配，就直接允許數(shù)據(jù)包通過，這樣不再去接受規(guī)則的檢查，提高了效率，如果信息不匹配，數(shù)據(jù)包就會(huì)被丟棄或連接被拒絕，并且每個(gè)會(huì)話還有一個(gè)超時(shí)值，過了這個(gè)時(shí)間，相應(yīng)會(huì)話條目就會(huì)被從狀態(tài)表中刪除掉。狀態(tài)檢測(cè)的流程342、狀態(tài)檢測(cè)技術(shù)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)安全性比靜態(tài)包過濾技術(shù)高。狀態(tài)檢測(cè)機(jī)制可以區(qū)分連接的發(fā)起方與接收方；可以通過狀態(tài)分析阻斷更多的復(fù)雜攻擊行為；可以通過分析打開相應(yīng)的端口而不是“一刀切”，要么全打開要么全不打開。與靜態(tài)包過濾技術(shù)相比，提升了防火墻的性能。狀態(tài)檢測(cè)機(jī)制對(duì)連接的初始報(bào)文進(jìn)行詳細(xì)檢查，而對(duì)后續(xù)報(bào)文不需要進(jìn)行相同的動(dòng)作，只需快速通過即可。35缺點(diǎn)主要工作在網(wǎng)絡(luò)層和傳輸層，對(duì)報(bào)文的數(shù)據(jù)部分檢查很少，安全性還不夠高。檢查內(nèi)容多，對(duì)防火墻的性能提出了更高的要求。361、過濾路由器定義：放在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，具有數(shù)據(jù)過濾功能的路由器。功能：按照預(yù)定義的過濾規(guī)則，允許授權(quán)數(shù)據(jù)通過，拒絕非授權(quán)數(shù)據(jù)通過。與普通路由器的區(qū)別：要根據(jù)過濾規(guī)則決定是否允許轉(zhuǎn)發(fā)該數(shù)據(jù)包。6.2.3防火墻的實(shí)現(xiàn)方式37優(yōu)點(diǎn)：快速、耗費(fèi)比高、透明、實(shí)現(xiàn)容易。缺點(diǎn)：配置復(fù)雜，維護(hù)困難；只針對(duì)數(shù)據(jù)包本身進(jìn)行檢測(cè)，只能檢測(cè)出部分攻擊行為；無法防范數(shù)據(jù)驅(qū)動(dòng)式攻擊；只能簡(jiǎn)單地判斷IP地址，而無法進(jìn)行用戶級(jí)的身份認(rèn)證和鑒別；隨著過濾規(guī)則的增加，路由器的吞吐量將會(huì)下降；無法對(duì)數(shù)據(jù)流進(jìn)行全面地控制，不能理解特定服務(wù)的上下文環(huán)境和數(shù)據(jù)。38過濾規(guī)則的主要字段：源地址、源端口號(hào)、目的地址、目的端口號(hào)、協(xié)議標(biāo)志、過濾方式。規(guī)則沖突：兩個(gè)或兩個(gè)以上的規(guī)則匹配同一個(gè)數(shù)據(jù)包、或者一個(gè)規(guī)則永遠(yuǎn)都無法匹配任何通過該過濾路由器的包。包括無用沖突、屏蔽沖突、泛化沖突、關(guān)聯(lián)沖突和冗余沖突幾種。392、堡壘主機(jī)定義：堡壘主機(jī)由一臺(tái)計(jì)算機(jī)擔(dān)當(dāng)，并擁有兩塊或者多塊網(wǎng)卡分別連接各內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)。作用：隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，為內(nèi)部網(wǎng)絡(luò)設(shè)立一個(gè)檢查點(diǎn)，對(duì)所有進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行過濾，集中解決內(nèi)部網(wǎng)絡(luò)的安全問題。403、雙宿主網(wǎng)關(guān)防火墻

雙重宿主網(wǎng)關(guān)是放在內(nèi)網(wǎng)與外網(wǎng)接口上的一臺(tái)堡壘主機(jī)。它最少有兩個(gè)網(wǎng)絡(luò)接口：一個(gè)與內(nèi)網(wǎng)相連，另外一個(gè)與外網(wǎng)相連。內(nèi)、外網(wǎng)之間禁止直接通信，需通過多重宿主主機(jī)上應(yīng)用層數(shù)據(jù)共享或者應(yīng)用層代理服務(wù)來完成。41雙宿主網(wǎng)關(guān)無需用戶登錄至防火墻主機(jī)，而是在防火墻上安裝各種代理服務(wù)器。內(nèi)網(wǎng)主機(jī)要訪問外網(wǎng)時(shí)，只需將請(qǐng)求發(fā)送至相應(yīng)的代理服務(wù)器，通過過濾規(guī)則的檢測(cè)并獲得允許后，再由代理服務(wù)器代為轉(zhuǎn)發(fā)至外網(wǎng)指定主機(jī)。而外網(wǎng)主機(jī)所有對(duì)內(nèi)網(wǎng)的請(qǐng)求都由代理服務(wù)接收并處理，規(guī)則允許的外部連接由相應(yīng)的代理服務(wù)器轉(zhuǎn)發(fā)至內(nèi)網(wǎng)目標(biāo)主機(jī)，規(guī)則不允許的外部連接則被拒絕。42雙宿主網(wǎng)關(guān)防火墻的優(yōu)點(diǎn)是：無用戶賬戶數(shù)據(jù)庫，管理難度小、系統(tǒng)風(fēng)險(xiǎn)低；代理服務(wù)器技術(shù)使得防火墻提供的服務(wù)具有良好的可擴(kuò)展性；屏蔽了內(nèi)網(wǎng)主機(jī)，阻止了信息的泄露。雙宿主網(wǎng)關(guān)防火墻的缺點(diǎn)是：存在單失效點(diǎn)，防火墻配置復(fù)雜；防火墻主機(jī)本身的性能是影響系統(tǒng)整體性能的瓶頸；靈活性較差。434、屏蔽主機(jī)防火墻（過濾主機(jī)網(wǎng)關(guān)）這種防火墻由內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一臺(tái)過濾路由器和一臺(tái)堡壘主機(jī)構(gòu)成。它強(qiáng)迫所有外部主機(jī)與堡壘主機(jī)相連接。為了達(dá)到這個(gè)目的，過濾路由器將所有的外部到內(nèi)部的連接都路由到了堡壘主機(jī)上，讓外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問通過堡壘主機(jī)上提供的相應(yīng)代理服務(wù)器進(jìn)行。對(duì)于內(nèi)部網(wǎng)絡(luò)到外部不可信網(wǎng)絡(luò)的出站連接則可以采用不同的策略：有些服務(wù)可以允許繞過堡壘主機(jī)，直接通過過濾路由器進(jìn)行連接；而其它的一些服務(wù)則必須經(jīng)過堡壘主機(jī)上的運(yùn)行該服務(wù)的代理服務(wù)器實(shí)現(xiàn)。44堡壘主機(jī)配置在內(nèi)部網(wǎng)上，包過濾路由器放置在內(nèi)部網(wǎng)和Internet之間在路由器上進(jìn)行規(guī)則配置，使得外部系統(tǒng)只能訪問堡壘主機(jī)；對(duì)于內(nèi)部用戶對(duì)外部網(wǎng)絡(luò)的訪問，可以強(qiáng)制經(jīng)過堡壘主機(jī)，也可以直接經(jīng)過屏蔽路由器出去，針對(duì)的不同的應(yīng)用采用不同的安全策略。對(duì)路由器的過濾規(guī)則進(jìn)行配置，使得其只接受來自堡壘主機(jī)的內(nèi)部數(shù)據(jù)包，就可以強(qiáng)制內(nèi)部用戶使用代理服務(wù)。防火墻屏蔽路由器Internet內(nèi)部網(wǎng)絡(luò)堡壘主機(jī)過濾路由器是否正確配置是這種防火墻安全與否的關(guān)鍵。45

屏蔽主機(jī)防火墻實(shí)際上結(jié)合了兩種不同類型的防火墻：過濾路由器實(shí)現(xiàn)的是包過濾防火墻的功能，而堡壘主機(jī)實(shí)現(xiàn)的是代理防火墻的功能。其優(yōu)點(diǎn)是：能提供比單純的過濾路由器和多重宿主主機(jī)更高的安全性；支持多種網(wǎng)絡(luò)服務(wù)的深層過濾，并具有