第五章防火墻技術(shù)8/15/20231電子科技大學(xué)成都學(xué)院第五章防火墻技術(shù)8/2/20231電子科技大學(xué)成都學(xué)院5.1防火墻的基本概念5.2防火墻的主要技術(shù)5.3防火墻的體系結(jié)構(gòu)5.4防火墻的局限性及發(fā)展8/15/20232電子科技大學(xué)成都學(xué)院5.1防火墻的基本概念8/2/20232電子科技大學(xué)成都學(xué)5.1防火墻的基本概念防火墻是一種高級(jí)訪問(wèn)控制設(shè)備，是在被保護(hù)網(wǎng)和外網(wǎng)之間執(zhí)行訪問(wèn)控制策略的一種或一系列部件的組合，是不同網(wǎng)絡(luò)安全域間通信流的通道，能根據(jù)企業(yè)有關(guān)安全策略控制進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為。防火墻是設(shè)置在可信網(wǎng)絡(luò)(TrustedNetwork)和不可信任的外界之間的一道屏障，可以實(shí)施比較廣泛的安全策略來(lái)控制信息流進(jìn)入可信網(wǎng)絡(luò)，防止不可預(yù)料的潛在的入侵破壞；另一方面能夠限制可信網(wǎng)絡(luò)中的用戶對(duì)外部網(wǎng)絡(luò)的非授權(quán)訪問(wèn)。8/15/20233電子科技大學(xué)成都學(xué)院5.1防火墻的基本概念防火墻是一種高級(jí)訪問(wèn)控制設(shè)備，是在被防火墻都必須具有以下三種基本性質(zhì)：進(jìn)出網(wǎng)絡(luò)的雙向通信信息必須通過(guò)防火墻；只能允許經(jīng)過(guò)本地安全策略授權(quán)的通信信息通過(guò)；防火墻本身不能影響網(wǎng)絡(luò)信息的流通。8/15/20234電子科技大學(xué)成都學(xué)院防火墻都必須具有以下三種基本性質(zhì)：8/2/20234電子科防火墻的功能主要表現(xiàn)在如下四個(gè)方面：（1）防火墻是網(wǎng)絡(luò)安全的屏障（2）防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略（3）對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)（4）防止內(nèi)部信息的外泄由于防火墻所處的優(yōu)越位置，在實(shí)際應(yīng)用中往往加入其他功能，如NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）、路由管理、VPN等。8/15/20235電子科技大學(xué)成都學(xué)院防火墻的功能主要表現(xiàn)在如下四個(gè)方面：8/2/20235電子科從總體上來(lái)看，防火墻應(yīng)具有以下五個(gè)基本功能：過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為；封堵某些禁止的業(yè)務(wù)；記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。8/15/20236電子科技大學(xué)成都學(xué)院從總體上來(lái)看，防火墻應(yīng)具有以下五個(gè)基本功能：8/2/20235.2防火墻技術(shù)常見的防火墻技術(shù)有三種：1、包(分組)過(guò)濾技術(shù)2、代理技術(shù)3、狀態(tài)檢測(cè)技術(shù)8/15/20237電子科技大學(xué)成都學(xué)院5.2防火墻技術(shù)常見的防火墻技術(shù)有三種：8/2/202371．包(分組)過(guò)濾技術(shù)包過(guò)濾技術(shù)指在網(wǎng)絡(luò)中適當(dāng)?shù)奈恢脤?duì)數(shù)據(jù)包有選擇的通過(guò)，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾規(guī)則，只有滿足過(guò)濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的網(wǎng)絡(luò)接口，其余數(shù)據(jù)包則從數(shù)據(jù)流中刪除。包過(guò)濾防火墻一般位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的邊界上，是內(nèi)外網(wǎng)絡(luò)通信的唯一出入點(diǎn)，所有進(jìn)出內(nèi)部網(wǎng)絡(luò)的流量首先都要經(jīng)過(guò)包過(guò)濾防火墻的審查。8/15/20238電子科技大學(xué)成都學(xué)院1．包(分組)過(guò)濾技術(shù)8/2/20238電子科技大學(xué)成都學(xué)院包過(guò)濾防火墻作用在網(wǎng)絡(luò)層和傳輸層，它根據(jù)通過(guò)防火墻的每個(gè)數(shù)據(jù)包的首部信息確定是否允許數(shù)據(jù)包通過(guò)。只有滿足過(guò)濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。過(guò)濾依據(jù)特性：IP源地址IP目標(biāo)地址協(xié)議類型（TCP包、UDP包和ICMP包）TCP或UDP包的目的端口TCP或UDP包的源端口ICMP消息類型TCP包頭的ACK位TCP包的序列號(hào)、IP校驗(yàn)和等8/15/20239電子科技大學(xué)成都學(xué)院包過(guò)濾防火墻作用在網(wǎng)絡(luò)層和傳輸層，它根據(jù)通過(guò)防火墻的每個(gè)數(shù)據(jù)分組過(guò)濾原理安全網(wǎng)域HostCHostD數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包查找對(duì)應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包控制策略數(shù)據(jù)包過(guò)濾依據(jù)主要是TCP/IP報(bào)頭里面的信息，不能對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行處理數(shù)據(jù)TCP報(bào)頭IP報(bào)頭分組過(guò)濾判斷信息8/15/202310電子科技大學(xué)成都學(xué)院分組過(guò)濾原理安全網(wǎng)域HostCHostD數(shù)據(jù)包數(shù)據(jù)包包過(guò)濾設(shè)備(不管是路由器還是防火墻)配置有一系列的數(shù)據(jù)包過(guò)濾規(guī)則，定義了什么包可以通過(guò)防火墻，什么包必須丟棄，這些規(guī)則常稱為數(shù)據(jù)包過(guò)濾訪問(wèn)擴(kuò)展列表(ACL)。各個(gè)廠商的防火墻產(chǎn)品都有自己的語(yǔ)法用于創(chuàng)建規(guī)則。一些常用的包過(guò)濾規(guī)則使用與廠商無(wú)關(guān)但可理解的定義語(yǔ)言，如表5-1所示。8/15/202311電子科技大學(xué)成都學(xué)院包過(guò)濾設(shè)備(不管是路由器還是防火墻)配置有一系列的數(shù)據(jù)包過(guò)濾一般地，應(yīng)該阻止如下幾種IP包進(jìn)入內(nèi)部網(wǎng)：（1）源地址是內(nèi)部地址的外來(lái)數(shù)據(jù)包。這類數(shù)據(jù)包很可能是為實(shí)行IP地址詐騙攻擊而設(shè)計(jì)的，其目的是裝扮成內(nèi)部主機(jī)混過(guò)防火墻的檢查進(jìn)入內(nèi)部網(wǎng)。（2）指定中轉(zhuǎn)路由器的數(shù)據(jù)包。這類數(shù)據(jù)包很可能是為繞過(guò)防火墻而設(shè)計(jì)的數(shù)據(jù)包。（3）有效載荷很小的數(shù)據(jù)包。這類數(shù)據(jù)包很可能是為抵御過(guò)濾規(guī)則而設(shè)計(jì)的數(shù)據(jù)包，其目的是將TCP包首部分封裝成兩個(gè)或多個(gè)IP包送出，比如將起始端口和目標(biāo)端口分別放在兩個(gè)不同的TCP包中，使防火墻的過(guò)濾規(guī)則對(duì)這類數(shù)據(jù)包失效，這種方法稱為TCP碎片攻擊。8/15/202312電子科技大學(xué)成都學(xué)院一般地，應(yīng)該阻止如下幾種IP包進(jìn)入內(nèi)部網(wǎng)：8/2/20231除了阻止從外部網(wǎng)送來(lái)的惡意數(shù)據(jù)包外，過(guò)濾規(guī)則還應(yīng)阻止某些類型的內(nèi)部網(wǎng)數(shù)據(jù)包進(jìn)入外部網(wǎng)，特別是用于建立局域網(wǎng)和提供內(nèi)部網(wǎng)通信服務(wù)的各種協(xié)議數(shù)據(jù)包，包括:啟動(dòng)程序協(xié)議(Bootp)動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)簡(jiǎn)易文件傳輸協(xié)議(TFTP)微軟網(wǎng)絡(luò)基本輸入輸出系統(tǒng)(NetBIOS)公共互聯(lián)網(wǎng)文件系統(tǒng)(CIFS)遠(yuǎn)程行式打印機(jī)(LPR)網(wǎng)絡(luò)文件系統(tǒng)(NFS)8/15/202313電子科技大學(xué)成都學(xué)院除了阻止從外部網(wǎng)送來(lái)的惡意數(shù)據(jù)包外，過(guò)濾規(guī)則還應(yīng)阻止某些類型優(yōu)點(diǎn)包過(guò)濾防火墻的優(yōu)點(diǎn)在于處理效率上，安全性體現(xiàn)在根據(jù)過(guò)濾規(guī)則對(duì)TCP、UDP數(shù)據(jù)包進(jìn)行檢測(cè)。缺點(diǎn)制定包過(guò)濾路由器的安全規(guī)則非常復(fù)雜，且不易配置和維護(hù)，有時(shí)為了允許正常情況下被阻塞的訪問(wèn)服務(wù)而需要制定規(guī)則的例外情形，這使得過(guò)濾規(guī)則復(fù)雜到難以管理的地步。包過(guò)濾防火墻不能很好的處理動(dòng)態(tài)端口連接的情況。不能根據(jù)每一連接的情況，開放實(shí)際使用的端口。8/15/202314電子科技大學(xué)成都學(xué)院優(yōu)點(diǎn)8/2/202314電子科技大學(xué)成都學(xué)院例1：包過(guò)濾防火墻不能很好的處理動(dòng)態(tài)端口連接的情況。不能根據(jù)每一連接的情況，開放實(shí)際使用的端口。例2：包過(guò)濾防火墻對(duì)于TCPACK隱蔽掃描無(wú)能為力。8/15/202315電子科技大學(xué)成都學(xué)院例1：包過(guò)濾防火墻不能很好的處理動(dòng)態(tài)端口連接的情況。不能根據(jù)2．狀態(tài)包過(guò)濾技術(shù)狀態(tài)包過(guò)濾(StatefulPacketFilter)是一種基于連接的狀態(tài)檢測(cè)機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，對(duì)接收到的數(shù)據(jù)包進(jìn)行分析，判斷其是否屬于當(dāng)前合法連接，從而進(jìn)行動(dòng)態(tài)的過(guò)濾。跟傳統(tǒng)包過(guò)濾只有一張過(guò)濾規(guī)則表不同，狀態(tài)包過(guò)濾同時(shí)維護(hù)過(guò)濾規(guī)則表和狀態(tài)表。過(guò)濾規(guī)則表是靜態(tài)的，而狀態(tài)表中保留著當(dāng)前活動(dòng)的合法連接，它的內(nèi)容是動(dòng)態(tài)變化的，隨著數(shù)據(jù)包來(lái)回經(jīng)過(guò)設(shè)備而實(shí)時(shí)更新。當(dāng)新的連接通過(guò)驗(yàn)證，在狀態(tài)表中則添加該連接條目，而當(dāng)一條連接完成它的通信任務(wù)后，狀態(tài)表中的該條目將自動(dòng)刪除。

8/15/202316電子科技大學(xué)成都學(xué)院2．狀態(tài)包過(guò)濾技術(shù)8/2/202316電子科技大學(xué)成都學(xué)院工作過(guò)程8/15/202317電子科技大學(xué)成都學(xué)院工作過(guò)程8/2/202317電子科技大學(xué)成都學(xué)院針對(duì)前例的優(yōu)勢(shì)狀態(tài)包過(guò)濾借助狀態(tài)表，可以按需開放端口，分配到哪個(gè)動(dòng)態(tài)端口，就只開放這個(gè)端口，一旦連接結(jié)束，該端口重新被關(guān)閉，這樣很好的彌補(bǔ)了前面提到的傳統(tǒng)包過(guò)濾缺陷，大大增強(qiáng)了安全性。在狀態(tài)過(guò)濾防火墻中，狀態(tài)過(guò)濾器記住了原來(lái)Web請(qǐng)求的外出SYN包，如果攻擊者試圖從早先沒有SYN的地址和端口發(fā)送ACK數(shù)據(jù)包，則狀態(tài)包過(guò)濾器會(huì)丟棄這些包。8/15/202318電子科技大學(xué)成都學(xué)院針對(duì)前例的優(yōu)勢(shì)8/2/202318電子科技大學(xué)成都學(xué)院此外，狀態(tài)數(shù)據(jù)包過(guò)濾能夠幫助保護(hù)更復(fù)雜的服務(wù)，如FTP。FTP傳輸一個(gè)文件需要兩個(gè)連接：一個(gè)FTP控制連接(通過(guò)這個(gè)連接發(fā)送獲取目錄列表和傳輸文件的命令)，以及一個(gè)FTP數(shù)據(jù)連接(通過(guò)這個(gè)連接發(fā)送文件列表和文件本身)。可以配置狀態(tài)數(shù)據(jù)包過(guò)濾器，使之只在建立了FTP控制連接之后才允許FTP數(shù)據(jù)連接，從而比傳統(tǒng)的(非狀態(tài))數(shù)據(jù)包過(guò)濾器更好地維護(hù)協(xié)議。

8/15/202319電子科技大學(xué)成都學(xué)院此外，狀態(tài)數(shù)據(jù)包過(guò)濾能夠幫助保護(hù)更復(fù)雜的服務(wù)，如FTP。FT狀態(tài)數(shù)據(jù)包過(guò)濾器比傳統(tǒng)數(shù)據(jù)包過(guò)濾具有強(qiáng)得多的安全能力。但是，由于必須查詢狀態(tài)表，狀態(tài)數(shù)據(jù)包過(guò)濾器通常要比傳統(tǒng)數(shù)據(jù)包過(guò)濾器慢一些。不過(guò)，由于大大提高了安全性，性能上的這點(diǎn)變化通?？梢院雎?。而且，使用定制的專用芯片，狀態(tài)過(guò)濾處理仍然可以相當(dāng)快速。由于這些極大的好處，現(xiàn)在許多防火墻解決方案都是基于狀態(tài)數(shù)據(jù)包過(guò)濾技術(shù)。8/15/202320電子科技大學(xué)成都學(xué)院8/2/202320電子科技大學(xué)成都學(xué)院3.代理技術(shù)

代理服務(wù)一般分為應(yīng)用層代理與傳輸層代理兩種。應(yīng)用層代理，也稱為應(yīng)用層網(wǎng)關(guān)(ApplicationGateway)技術(shù)。它工作在網(wǎng)絡(luò)體系結(jié)構(gòu)的最高層——應(yīng)用層，通過(guò)對(duì)每一種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層信息流的作用。防火墻可以代理HTTP、FTP、SMTP、POP3、Telnet等協(xié)議，使得內(nèi)網(wǎng)用戶可以在安全的情況下實(shí)現(xiàn)瀏覽網(wǎng)頁(yè)、收發(fā)郵件、遠(yuǎn)程登錄等應(yīng)用。8/15/202321電子科技大學(xué)成都學(xué)院3.代理技術(shù)8/2/202321電子科技大學(xué)成都學(xué)院應(yīng)用代理防火墻的優(yōu)點(diǎn)基于代理的防火墻沒有傳統(tǒng)數(shù)據(jù)包過(guò)濾器遇到的ACK攻擊掃描問(wèn)題，因?yàn)锳CK不是有意義的應(yīng)用請(qǐng)求的一部分，它將被代理丟棄?；诖淼姆阑饓梢允崂響?yīng)用級(jí)協(xié)議，以確保所有交換都嚴(yán)格遵守協(xié)議消息集。例如，一個(gè)Web代理可以確保所有消息都是正確格式化的HTTP，而不是僅僅檢查確保它們是前往目標(biāo)TCP端口80。代理可以允許或拒絕應(yīng)用級(jí)功能。因此，對(duì)于FTP，代理可以允許FTPGET，從而使用戶可以將文件帶入網(wǎng)絡(luò)，同時(shí)拒絕FTPPUT，禁止用戶使用FTP將文件傳送出去。8/15/202322電子科技大學(xué)成都學(xué)院應(yīng)用代理防火墻的優(yōu)點(diǎn)8/2/202322電子科技大學(xué)成都學(xué)院應(yīng)用層網(wǎng)關(guān)有能力支持可靠的用戶認(rèn)證并提供詳細(xì)的注冊(cè)信息。因?yàn)樗趹?yīng)用級(jí)操作，并可以顯示用戶ID和口令提示或其他驗(yàn)證請(qǐng)求。用于應(yīng)用層的過(guò)濾規(guī)則相對(duì)于包過(guò)濾路由器來(lái)說(shuō)更容易配置和測(cè)試。代理工作在客戶機(jī)和真實(shí)服務(wù)器之間，完全控制會(huì)話，所以可以提供很詳細(xì)的日志和安全審計(jì)功能。提供代理服務(wù)的防火墻可以被配置成惟一的可被外部看見的主機(jī)，這樣可以隱藏內(nèi)部網(wǎng)的IP地址，可以保護(hù)內(nèi)部主機(jī)免受外部主機(jī)的進(jìn)攻。通過(guò)代理訪問(wèn)Internet可以解決合法IP地址不夠用的問(wèn)題，因?yàn)镮nternet所見到只是代理服務(wù)器的地址，內(nèi)部的IP則通過(guò)代理可以訪問(wèn)Internet。8/15/202323電子科技大學(xué)成都學(xué)院應(yīng)用層網(wǎng)關(guān)有能力支持可靠的用戶認(rèn)證并提供詳細(xì)的注冊(cè)信息。因?yàn)槿秉c(diǎn)盡管特定廠商的實(shí)現(xiàn)差別很大，一般來(lái)講，因?yàn)榛诖淼姆阑饓ψ⒅赜趹?yīng)用層，并詳細(xì)搜索協(xié)議，因此它們比數(shù)據(jù)包過(guò)濾器防火墻稍慢。代理對(duì)數(shù)據(jù)流的控制要多得多，但是控制需要CPU開銷和內(nèi)存開銷。因此，要處理相同量的數(shù)據(jù)流，基于代理的防火墻通常需要更高性能的處理器。有限的連接性。有限的技術(shù)。8/15/202324電子科技大學(xué)成都學(xué)院缺點(diǎn)8/2/202324電子科技大學(xué)成都學(xué)院5.3防火墻體系結(jié)構(gòu)防火墻體系結(jié)構(gòu)一般分為：包過(guò)濾路由器雙宿主機(jī)防火墻屏蔽主機(jī)防火墻屏蔽子網(wǎng)防火墻8/15/202325電子科技大學(xué)成都學(xué)院5.3防火墻體系結(jié)構(gòu)防火墻體系結(jié)構(gòu)一般分為：8/2/202屏蔽子網(wǎng)防火墻幾個(gè)概念：1、周邊網(wǎng)絡(luò)周邊網(wǎng)絡(luò)是一個(gè)防護(hù)層，在其上可放置一些信息服務(wù)器，它們是犧牲主機(jī)，可能會(huì)受到攻擊，因此又被稱為非軍事區(qū)（DMZ）。周邊網(wǎng)絡(luò)的作用：即使堡壘主機(jī)被入侵者控制，它仍可消除對(duì)內(nèi)部網(wǎng)的偵聽。E.g.:netxray等的工作原理。8/15/202326電子科技大學(xué)成都學(xué)院屏蔽子網(wǎng)防火墻幾個(gè)概念：8/2/202326電子科技大學(xué)成都屏蔽子網(wǎng)防火墻2、堡壘主機(jī)堡壘主機(jī)位于周邊網(wǎng)絡(luò)，是整個(gè)防御體系的核心。堡壘主機(jī)可被認(rèn)為是應(yīng)用層網(wǎng)關(guān)，可以運(yùn)行各種代理服務(wù)程序。對(duì)于出站服務(wù)不一定要求所有的服務(wù)經(jīng)過(guò)堡壘主機(jī)代理，但對(duì)于入站服務(wù)應(yīng)要求所有服務(wù)都通過(guò)堡壘主機(jī)。8/15/202327電子科技大學(xué)成都學(xué)院屏蔽子網(wǎng)防火墻2、堡壘主機(jī)8/2/202327電子科技大學(xué)成屏蔽子網(wǎng)防火墻3、外部路由器（訪問(wèn)路由器）作用：保護(hù)周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的侵犯。它把入站的數(shù)據(jù)包路由到堡壘主機(jī)。防止部分IP欺騙，它可分辨出數(shù)據(jù)包是否真正來(lái)自周邊網(wǎng)絡(luò)，而內(nèi)部路由器不可。4、內(nèi)部路由器（阻塞路由器）作用：保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)和周邊網(wǎng)絡(luò)的侵害，它執(zhí)行大部分過(guò)濾工作。外部路由器一般與內(nèi)部路由器應(yīng)用相同的規(guī)則。8/15/202328電子科技大學(xué)成都學(xué)院屏蔽子網(wǎng)防火墻3、外部路由器（訪問(wèn)路由器）8/2/20232包過(guò)濾路由器內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)包過(guò)濾器進(jìn)行包過(guò)濾8/15/202329電子科技大學(xué)成都學(xué)院包過(guò)濾路由器內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)包過(guò)濾器進(jìn)行包過(guò)濾8/2/202雙宿主主機(jī)防火墻內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)禁止內(nèi)外網(wǎng)絡(luò)之間直接通信雙宿主主機(jī)

通過(guò)應(yīng)用代理通過(guò)登陸到雙宿主主機(jī)上獲得服務(wù)缺點(diǎn)：如何保護(hù)雙宿主主機(jī)本身的安全所有的通信必須經(jīng)過(guò)雙宿主主機(jī)8/15/202330電子科技大學(xué)成都學(xué)院雙宿主主機(jī)防火墻內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)禁止內(nèi)外網(wǎng)絡(luò)之間直接通信雙雙宿主主機(jī)防火墻雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞雙重宿主主機(jī)構(gòu)筑的。雙重宿主主機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口，它位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，它能從一個(gè)網(wǎng)絡(luò)接收IP數(shù)據(jù)包并將之發(fā)往另一網(wǎng)絡(luò)。然而實(shí)現(xiàn)雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送功能，完全阻止了內(nèi)外網(wǎng)絡(luò)之間的IP通信。兩個(gè)網(wǎng)絡(luò)之間的通信可通過(guò)應(yīng)用層數(shù)據(jù)共享和應(yīng)用層代理服務(wù)的方法實(shí)現(xiàn)。一般情況下采用代理服務(wù)的方法。8/15/202331電子科技大學(xué)成都學(xué)院雙宿主主機(jī)防火墻雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞雙重宿主主機(jī)構(gòu)筑的雙宿主主機(jī)防火墻雙重宿主主機(jī)的特性：安全至關(guān)重要（唯一通道），其用戶口令控制安全是關(guān)鍵。必須支持很多用戶的訪問(wèn)（中轉(zhuǎn)站），其性能非常重要。缺點(diǎn)：雙重宿主主機(jī)是隔開內(nèi)外網(wǎng)絡(luò)的唯一屏障，一旦它被入侵，內(nèi)部網(wǎng)絡(luò)便向入侵者敞開大門。8/15/202332電子科技大學(xué)成都學(xué)院雙宿主主機(jī)防火墻雙重宿主主機(jī)的特性：8/2/202332電子屏蔽主機(jī)堡壘主機(jī)進(jìn)行規(guī)則配置，只允許外部主機(jī)與堡壘主機(jī)通訊互聯(lián)網(wǎng)對(duì)內(nèi)部其他主機(jī)的訪問(wèn)必須經(jīng)過(guò)堡壘主機(jī)缺點(diǎn)：堡壘主機(jī)與其他主機(jī)在同一個(gè)子網(wǎng)一旦堡壘主機(jī)被攻破或被越過(guò)，整個(gè)內(nèi)網(wǎng)和堡壘主機(jī)之間就再也沒有任何阻擋。不允許外部主機(jī)直接訪問(wèn)除堡壘主機(jī)之外的其他主機(jī)過(guò)濾器8/15/202333電子科技大學(xué)成都學(xué)院屏蔽主機(jī)堡壘主機(jī)進(jìn)行規(guī)則配置，只允許外部主機(jī)與堡壘主機(jī)通訊互屏蔽主機(jī)防火墻屏蔽主機(jī)體系結(jié)構(gòu)由防火墻和內(nèi)部網(wǎng)絡(luò)的堡壘主機(jī)承擔(dān)安全責(zé)任。一般這種防火墻較簡(jiǎn)單，可能就是簡(jiǎn)單的路由器。典型構(gòu)成：包過(guò)濾路由器＋堡壘主機(jī)。包過(guò)濾路由器配置在內(nèi)部網(wǎng)和外部網(wǎng)之間，保證外部系統(tǒng)對(duì)內(nèi)部網(wǎng)絡(luò)的操作只能經(jīng)過(guò)堡壘主機(jī)。堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上，是外部網(wǎng)絡(luò)主機(jī)連接到內(nèi)部網(wǎng)絡(luò)主機(jī)的橋梁，它需要擁有高等級(jí)的安全。8/15/202334電子科技大學(xué)成都學(xué)院屏蔽主機(jī)防火墻屏蔽主機(jī)體系結(jié)構(gòu)由防火墻和內(nèi)部網(wǎng)絡(luò)的堡壘主機(jī)承屏蔽主機(jī)防火墻屏蔽路由器可按如下規(guī)則之一進(jìn)行配置：允許內(nèi)部主機(jī)為了某些服務(wù)請(qǐng)求與外部網(wǎng)上的主機(jī)建立直接連接（即允許那些經(jīng)過(guò)過(guò)濾的服務(wù)）。不允許所有來(lái)自內(nèi)部主機(jī)的直接連接。安全性更高，雙重保護(hù)：實(shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過(guò)濾）和應(yīng)用層安全（代理服務(wù)）。缺點(diǎn)：過(guò)濾路由器能否正確配置是安全