1、2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),第8章 防火墻技術(shù),本章主要介紹： 1. 防火墻基本概念 2. 防火墻的基本功能 3. 防火墻的體系結(jié)構(gòu) 4. 包過濾 5. 代理服務(wù) 6. 堡壘主機(jī)以及防火墻的選購原則,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.1 防火墻基本概念,8.1.1 因特網(wǎng)防火墻 1防火墻的基本知識(shí) 防火墻是在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個(gè)或一組系統(tǒng)，包括硬件和軟件，目的是保護(hù)網(wǎng)絡(luò)不被他人侵?jǐn)_。本質(zhì)上，它遵循的是一種允許或阻止業(yè)務(wù)來往的網(wǎng)絡(luò)通信安全機(jī)制，也就是提供可控的過濾網(wǎng)絡(luò)通信，只允許授權(quán)的通信。 通常，防火墻就是位于內(nèi)部網(wǎng)或Web站點(diǎn)與因特網(wǎng)之間的一個(gè)路由器或一臺(tái)

2、計(jì)算機(jī)，又稱為堡壘主機(jī)。其目的如同一個(gè)安全門，為門內(nèi)的部門提供安全，控制那些可被允許出入該受保護(hù)環(huán)境的人或物。就像工作在前門的安全衛(wèi)士，控制并檢查站點(diǎn)的訪問者。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.1 防火墻基本概念,防火墻是由管理員為保護(hù)自己的網(wǎng)絡(luò)免遭外界非授權(quán)訪問但又允許與因特網(wǎng)聯(lián)接而發(fā)展起來的。從網(wǎng)際角度，防火墻可以看成是安裝在兩個(gè)網(wǎng)絡(luò)之間的一道柵欄，根據(jù)安全計(jì)劃和安全策略中的定義來保護(hù)其后面的網(wǎng)絡(luò)。由軟件和硬件組成的防火墻應(yīng)該具有以下功能。 （1）所有進(jìn)出網(wǎng)絡(luò)的通信流都應(yīng)該通過防火墻。 （2）所有穿過防火墻的通信流都必須有安全策略和計(jì)劃的確認(rèn)和授權(quán)。 （3）理論上說，防火墻是穿

3、不透的。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.1 防火墻基本概念,內(nèi)部網(wǎng)需要防范的三種攻擊有： 間諜：試圖偷走敏感信息的黑客、入侵者和闖入者。 盜竊：盜竊對(duì)象包括數(shù)據(jù)、Web表格、磁盤空間和CPU資源等。 破壞系統(tǒng)：通過路由器或主機(jī)服務(wù)器蓄意破壞文件系統(tǒng)或阻止授權(quán)用戶訪問內(nèi)部網(wǎng) （外部網(wǎng)）和服務(wù)器。 這里，防火墻的作用是保護(hù)Web站點(diǎn)和公司的內(nèi)部網(wǎng)，使之免遭因特網(wǎng)上各種危險(xiǎn)的侵犯。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.1 防火墻基本概念,防火墻在因特網(wǎng)與內(nèi)部網(wǎng)中的位置 從邏輯上講，防火墻是分離器、限制器和分析器。從物理角度看，各站點(diǎn)防火墻物理實(shí)現(xiàn)的方式有所不同。通常防火墻是一組

4、硬件設(shè)備，即路由器、主計(jì)算機(jī)或者是路由器、計(jì)算機(jī)和配有適當(dāng)軟件的網(wǎng)絡(luò)的多種組合。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.1 防火墻基本概念,2防火墻的基本功能 （1）防火墻能夠強(qiáng)化安全策略 （2）防火墻能有效地記錄因特網(wǎng)上的活動(dòng) （3）防火墻限制暴露用戶點(diǎn) （4）防火墻是一個(gè)安全策略的檢查站 3防火墻的不足之處 （1）不能防范惡意的知情者 （2）防火墻不能防范不通過它的連接 （3）防火墻不能防備全部的威脅 （4）防火墻不能防范病毒,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.1 防火墻基本概念,8.1.2數(shù)據(jù)包過濾 防火墻通常是一個(gè)具備包過濾功能的簡單路由器，支持因特網(wǎng)安全。這是使因特網(wǎng)

5、聯(lián)接更加安全的一種簡單方法，因?yàn)榘^濾是路由器的固有屬性。 包是網(wǎng)絡(luò)上信息流動(dòng)的單位。在網(wǎng)上傳輸?shù)奈募话阍诎l(fā)出端被劃分成一串?dāng)?shù)據(jù)包，經(jīng)過網(wǎng)上的中間站點(diǎn)，最終傳到目的地，然后這些包中的數(shù)據(jù)又重新組成原來的文件。 每個(gè)包有兩個(gè)部分：數(shù)據(jù)部分和包頭。包頭中含有源地址和目標(biāo)地址等信息。 包過濾一直是一種簡單而有效的方法。通過攔截?cái)?shù)據(jù)包，讀出并拒絕那些不符合標(biāo)準(zhǔn)的包頭，過濾掉不應(yīng)入站的信息。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.1 防火墻基本概念,每個(gè)數(shù)據(jù)包都包含有特定信息的一組報(bào)頭，其主要信息是： （1）IP協(xié)議類型（TCP、UDP，ICMP等）； （2）IP源地址； （3）IP目標(biāo)地址；

6、（4）IP選擇域的內(nèi)容； （5）TCP或UDP源端口號(hào)； （6）TCP或UDP目標(biāo)端口號(hào)； （7）ICMP消息類型。 路由器也會(huì)得到一些在數(shù)據(jù)包頭部信息種沒有得到的關(guān)于數(shù)據(jù)包得其他信息。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.1 防火墻基本概念,過濾路由器放置在內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間，作用為： （l）過濾路由器將擔(dān)負(fù)更大的責(zé)任，它不但需要執(zhí)行轉(zhuǎn)發(fā)及確定轉(zhuǎn)發(fā)的任務(wù)，而且它是唯一的保護(hù)系統(tǒng)； （2）如果安全保護(hù)失?。ɑ蛟谇忠u下失?。?，內(nèi)部的網(wǎng)絡(luò)將被暴露； （3）簡單的過濾路由器不能修改任務(wù)； （4）過濾路由器能容許或否認(rèn)服務(wù)，但它不能保護(hù)在一個(gè)服務(wù)之內(nèi)的單獨(dú)操作。如果一個(gè)服務(wù)沒有提供安全的操作

7、要求，或者這個(gè)服務(wù)由不安全的服務(wù)器提供，數(shù)據(jù)包過濾路由器則不能保護(hù)它。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.1 防火墻基本概念,8.1.3 代理服務(wù) 代理服務(wù)是運(yùn)行在防火墻主機(jī)上的一些特定的應(yīng)用程序或者服務(wù)程序。防火墻主機(jī)可以是有一個(gè)內(nèi)部網(wǎng)絡(luò)接口和一個(gè)外部網(wǎng)絡(luò)接口的雙重宿主主機(jī)，也可以是一些可以訪問因特網(wǎng)并可被內(nèi)部主機(jī)訪問的堡壘主機(jī)。這些程序接受用戶對(duì)因特網(wǎng)服務(wù)的請(qǐng)求（諸如文件傳輸FTP和遠(yuǎn)程登錄Telnet等），并按照安全策略轉(zhuǎn)發(fā)它們到實(shí)際的服務(wù)。所謂代理就是一個(gè)提供替代連接并且充當(dāng)服務(wù)的網(wǎng)關(guān)。代理也稱之為應(yīng)用級(jí)網(wǎng)關(guān)。 代理服務(wù)位于內(nèi)部用戶（在內(nèi)部的網(wǎng)絡(luò)上）和外部服務(wù)（在因特網(wǎng)上）之

8、間。代理在幕后處理所有用戶和因特網(wǎng)服務(wù)之間的通信以代替相互間的直接交談。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.1 防火墻基本概念,代理的實(shí)現(xiàn)過程,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.1 防火墻基本概念,8.1.4 防火墻體系結(jié)構(gòu) 1雙重宿主主機(jī)體系結(jié)構(gòu) 雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主的主體計(jì)算機(jī)而構(gòu)筑的。該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口，這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，并能夠從一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。 防火墻內(nèi)部的網(wǎng)絡(luò)系統(tǒng)能與雙重宿主主機(jī)通信，同時(shí)防火墻外部的網(wǎng)絡(luò)系統(tǒng)（在因特網(wǎng)上）也能與雙重宿主主機(jī)通信。通過雙重宿主主機(jī)，防火墻內(nèi)外的計(jì)算機(jī)便可

9、進(jìn)行通信了，但是這些系統(tǒng)不能直接互相通信，它們之間的IP通信被完全阻止。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.1 防火墻基本概念,雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)是相當(dāng)簡單的，雙重宿主主機(jī)位于兩者之間，并且被連接到因特網(wǎng)和內(nèi)部的網(wǎng)絡(luò)。右圖顯示這種體系結(jié)構(gòu)。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.1 防火墻基本概念,2主機(jī)過濾體系結(jié)構(gòu) 在主機(jī)過濾體系結(jié)構(gòu)中提供安全保護(hù)的主機(jī)僅僅與內(nèi)部網(wǎng)相連。另外，主機(jī)過濾結(jié)構(gòu)還有一臺(tái)單獨(dú)的路由器（過濾路由器）。在這種體系結(jié)構(gòu)中，主要的安全由數(shù)據(jù)包過濾提供，其結(jié)構(gòu)如右圖所示。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.1 防火墻基本概念,3子網(wǎng)過濾體系

10、結(jié)構(gòu) 子網(wǎng)過濾體系結(jié)構(gòu)添加了額外的安全層到主機(jī)過濾體系結(jié)構(gòu)中，即通過添加參數(shù)網(wǎng)絡(luò)，更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)隔離開。 子網(wǎng)過濾體系結(jié)構(gòu)的最簡單的形式為兩個(gè)過濾路由器，每一個(gè)都連接到參數(shù)網(wǎng)，一個(gè)位于參數(shù)網(wǎng)與內(nèi)部的網(wǎng)絡(luò)之間，另一個(gè)位于參數(shù)網(wǎng)與外部網(wǎng)絡(luò)之間。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.1 防火墻基本概念,（1）參數(shù)網(wǎng)絡(luò) 參數(shù)網(wǎng)絡(luò)是在內(nèi)外部網(wǎng)之間另加的一層安全保護(hù)網(wǎng)絡(luò)層。如果入侵者成功地闖過外層保護(hù)網(wǎng)到達(dá)防火墻，參數(shù)網(wǎng)絡(luò)就能在入侵者與內(nèi)部網(wǎng)之間再提供一層保護(hù)。 如果入侵者僅僅侵入到參數(shù)網(wǎng)絡(luò)的堡壘主機(jī)，他只能偷看到這層網(wǎng)絡(luò)（參數(shù)網(wǎng)絡(luò)）的信息流（看不到內(nèi)部網(wǎng)的信息），而這層網(wǎng)絡(luò)的信息流

11、僅從參數(shù)網(wǎng)絡(luò)往來于外部網(wǎng)或者從參數(shù)網(wǎng)絡(luò)往來于堡壘主機(jī)。因?yàn)闆]有純粹的內(nèi)部信息流（內(nèi)部主機(jī)間互傳的重要和敏感的信息）在參數(shù)網(wǎng)絡(luò)中流動(dòng)，所以即使堡壘主機(jī)受到損害也不會(huì)讓入侵者破壞內(nèi)部網(wǎng)的信息流。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.1 防火墻基本概念,（2）堡壘主機(jī) 在子網(wǎng)過濾結(jié)構(gòu)中，我們將堡壘主機(jī)與參數(shù)網(wǎng)絡(luò)相連，而這臺(tái)主機(jī)是外部網(wǎng)服務(wù)于內(nèi)部網(wǎng)的主節(jié)點(diǎn)。它為內(nèi)部網(wǎng)服務(wù)的主要功能有： 它接收外來的電子郵件再分發(fā)給相應(yīng)的站點(diǎn)； 它接收外來的FTP，并連到內(nèi)部網(wǎng)的匿名FTP服務(wù)器； 它接收外來的有關(guān)內(nèi)部網(wǎng)站點(diǎn)的域名服務(wù)。 向外的服務(wù)功能可用以下方法來實(shí)施： 在內(nèi)、外部路由器上建立包過濾，以便內(nèi)部

12、網(wǎng)的用戶可直接操作外部服務(wù)器； 在主機(jī)上建立代理服務(wù)，在內(nèi)部網(wǎng)的用戶與外部的服務(wù)器之間建立間接的連接。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),（3）內(nèi)部路由器 內(nèi)部路由器的主要功能是保護(hù)內(nèi)部網(wǎng)免受來自外部網(wǎng)與參數(shù)網(wǎng)絡(luò)的侵?jǐn)_。 內(nèi)部路由器完成防火墻的大部分包過濾工作，它允許某些站點(diǎn)的包過濾系統(tǒng)認(rèn)為符合安全規(guī)則的服務(wù)在內(nèi)外部網(wǎng)之間互傳。根據(jù)各站點(diǎn)的需要和安全規(guī)則，可允許的服務(wù)是以下這些外向服務(wù)中的若干種，如：Telnet、FTP、WAIS、Archie、Gopher或者其它服務(wù)。 內(nèi)部路由器可以設(shè)定，使參數(shù)網(wǎng)絡(luò)上的堡壘主機(jī)與內(nèi)部網(wǎng)之間傳遞的各種服務(wù)和內(nèi)部網(wǎng)與外部網(wǎng)之間傳遞的各種服務(wù)不完全相同。,

13、8.1 防火墻基本概念,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.1 防火墻基本概念,（4）外部路由器 外部路由器既可保護(hù)參數(shù)網(wǎng)絡(luò)又保護(hù)內(nèi)部網(wǎng)。實(shí)際上，在外部路由器上僅做一小部分包過濾，它幾乎讓所有參數(shù)網(wǎng)絡(luò)的外向請(qǐng)求通過，而外部路由器與內(nèi)部路由器的包過濾規(guī)則是基本上相同的。 外部路由器的包過濾主要是對(duì)參數(shù)網(wǎng)絡(luò)上的主機(jī)提供保護(hù)。然而，一般情況下，因?yàn)閰?shù)網(wǎng)絡(luò)上主機(jī)的安全主要通過主機(jī)安全機(jī)制加以保障，所以由外部路由器提供的很多保護(hù)并非必要。 外部路由器真正有效的任務(wù)就是阻斷來自外部網(wǎng)上偽造源地址進(jìn)來的任何數(shù)據(jù)包。這些數(shù)據(jù)包自稱是來自內(nèi)部網(wǎng)，而其實(shí)它是來自外部網(wǎng)。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安

14、全基礎(chǔ),8.1 防火墻基本概念,8.1.5 防火墻的各種變化和組合 （l） 使用多堡壘主機(jī)； （2）合并內(nèi)部路由器與外部路由器； （3）合并堡壘主機(jī)與外部路由器； （4）合并堡壘主機(jī)與內(nèi)部路由器； （5）使用多臺(tái)內(nèi)部路由器； （6）使用多臺(tái)外部路由器； （7）使用多個(gè)參數(shù)網(wǎng)絡(luò)； （8）使用雙重宿主主機(jī)與子網(wǎng)過濾。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.1 防火墻基本概念,8.1.6 內(nèi)部防火墻 但有時(shí)為了某些原因，我們還需要對(duì)內(nèi)部網(wǎng)的部分站點(diǎn)再加以保護(hù)以免受其它站點(diǎn)的侵襲。因此，有時(shí)我們需要在同一結(jié)構(gòu)的兩個(gè)部分之間，或者在同一內(nèi)部網(wǎng)的兩個(gè)不同組織結(jié)構(gòu)之間再建立防火墻（也被稱為內(nèi)部防火墻）

15、。 因?yàn)榫W(wǎng)絡(luò)中每一個(gè)用戶所需要的服務(wù)和信息經(jīng)常是不一樣的，它們對(duì)安全保障的要求也不一樣，所以我們可以將網(wǎng)絡(luò)組織結(jié)構(gòu)的一部分與其余站點(diǎn)隔離（比如，財(cái)務(wù)部分要與其它部分分開）。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.1 防火墻基本概念,1試驗(yàn)網(wǎng)絡(luò) 在大多數(shù)情況下，應(yīng)該在內(nèi)部防火墻中設(shè)置這樣的包過濾：允許內(nèi)部網(wǎng)的其它站點(diǎn)主動(dòng)地連接試驗(yàn)網(wǎng)絡(luò)，而對(duì)試驗(yàn)網(wǎng)絡(luò)，只允許建立與被認(rèn)為是安全內(nèi)部網(wǎng)的其它站點(diǎn)的連接。 在有些情況下，我們也可能要防止內(nèi)部網(wǎng)其它站點(diǎn)的某些類型的信息流干擾試驗(yàn)網(wǎng)絡(luò)，因此要設(shè)置允許所有的外向連接（對(duì)試驗(yàn)網(wǎng)絡(luò)而言）而控制內(nèi)向連接的包過濾。 如果有幾個(gè)試驗(yàn)網(wǎng)絡(luò)，最好的方法是設(shè)置一個(gè)參數(shù)網(wǎng)

16、絡(luò)，并給每個(gè)試驗(yàn)網(wǎng)絡(luò)配置一臺(tái)路由器并連接到參數(shù)網(wǎng)絡(luò)。而主要的包過濾工作在連接參數(shù)網(wǎng)絡(luò)與內(nèi)部主網(wǎng)的路由器上完成。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.1 防火墻基本概念,2低保密網(wǎng)絡(luò) 試驗(yàn)網(wǎng)絡(luò)比較危險(xiǎn)，但它對(duì)整個(gè)內(nèi)部網(wǎng)的安全構(gòu)成的威脅還不是最大的。而許多內(nèi)部網(wǎng)組織結(jié)構(gòu)里面的資源本身就固有一些非安全因素。比如，校園網(wǎng)中那些包含學(xué)生公寓網(wǎng)點(diǎn)的部分就被認(rèn)為是不安全的，單位企業(yè)網(wǎng)中的那些演示網(wǎng)部分、客戶培訓(xùn)網(wǎng)部分和開放實(shí)驗(yàn)室網(wǎng)部分都被認(rèn)為是安全性比較差的。但這些網(wǎng)又比純粹的外部網(wǎng)與內(nèi)部網(wǎng)其它部分的交互要多得多。這些網(wǎng)絡(luò)稱為低保密網(wǎng)。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.1 防火墻基本概念

17、,3高保密網(wǎng)絡(luò) 內(nèi)部網(wǎng)的某些站點(diǎn)可能需要很高的安全保障。比如校園網(wǎng)中的教務(wù)網(wǎng)、招生信息網(wǎng)，商業(yè)網(wǎng)中的財(cái)務(wù)網(wǎng)、新品開發(fā)網(wǎng)都應(yīng)具有相當(dāng)高的保密度。 當(dāng)高保密網(wǎng)的信息流通過內(nèi)部網(wǎng)的其它部分時(shí)，可以用對(duì)信息進(jìn)行加密的方法對(duì)它們加以保護(hù)。也可將高保密網(wǎng)與內(nèi)部網(wǎng)的其它部分完全隔離。比如，有一個(gè)新品開發(fā)網(wǎng)，這個(gè)網(wǎng)的用戶只有在注冊(cè)到某臺(tái)機(jī)器上時(shí)方可使用該網(wǎng)絡(luò)，這樣就可用防火墻（一般是一臺(tái)帶有包過濾的路由器）將這個(gè)網(wǎng)與內(nèi)部網(wǎng)完全分離。這個(gè)防火墻對(duì)待內(nèi)部網(wǎng)的其它用戶就像對(duì)待外部網(wǎng)一樣。一般情況下，這類高保密網(wǎng)需要的外部服務(wù)并不太多，因此在防火墻內(nèi)不一定要有堡壘主機(jī)，而只有在防火墻保護(hù)極為機(jī)密的內(nèi)部子網(wǎng)上，才用參數(shù)

18、網(wǎng)絡(luò)。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.1 防火墻基本概念,4聯(lián)合防火墻 若干企業(yè)集團(tuán)為了合作開發(fā)項(xiàng)目而需在一定的時(shí)間內(nèi)共享某些機(jī)器、數(shù)據(jù)和其它資源。在建立內(nèi)部防火墻時(shí)，應(yīng)根據(jù)以下原則來限定哪些資源需共享；哪些信息需保護(hù)；又如何來實(shí)現(xiàn)保護(hù)： （l）為何要與其它企業(yè)網(wǎng)絡(luò)相連。這將決定內(nèi)部防火墻允許哪些服務(wù)通過、阻斷哪些服務(wù)。 （2）是否希望與對(duì)方在不使用因特網(wǎng)的前提下互傳電子郵件和文件。 （3）是否試圖為兩個(gè)不同企業(yè)項(xiàng)目開發(fā)組的成員創(chuàng)立一個(gè)共同的軟件平臺(tái)。如有此要求則需要兩個(gè)防火墻來隔離該軟件平臺(tái)與各企業(yè)的本地網(wǎng)。 （4）支持哪類信息互傳，又需要加何種安全保護(hù)。,2020/9/24,

19、計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.1 防火墻基本概念,5共享參數(shù)網(wǎng)絡(luò) 共享參數(shù)網(wǎng)絡(luò)結(jié)構(gòu)是解決聯(lián)合網(wǎng)安全問題的一個(gè)好辦法。每個(gè)參與聯(lián)合體的網(wǎng)在參數(shù)網(wǎng)絡(luò)上都有各自能控制的路由器。在有些結(jié)構(gòu)中，參數(shù)網(wǎng)絡(luò)上沒有堡壘主機(jī)，而這些路由器是參數(shù)網(wǎng)絡(luò)上僅有的設(shè)備。 6內(nèi)部防火墻的堡壘主機(jī)選擇 如果聯(lián)合網(wǎng)的各合作單位間有足夠的信任度，那在防火墻中可僅使用包過濾，以便其它單位的用戶與本單位的內(nèi)部網(wǎng)服務(wù)可直接建立連接（如DNS、SMTP）。相反，如果各單位間缺乏足夠的信任度，他們可建立各自的參數(shù)網(wǎng)絡(luò)，建立他們可單獨(dú)控制的堡壘主機(jī)。這樣從一個(gè)內(nèi)部網(wǎng)流出的信息流須經(jīng)過兩臺(tái)堡壘主機(jī)方可抵達(dá)另一內(nèi)部網(wǎng)。,2020/9/24,計(jì)算機(jī)網(wǎng)

20、絡(luò)安全基礎(chǔ),8.2 堡壘主機(jī),8.2.1 建立堡壘主機(jī)的一般原則 1最簡化原則 堡壘主機(jī)越簡單，對(duì)它進(jìn)行保護(hù)就越方便。堡壘主機(jī)提供的任何網(wǎng)絡(luò)服務(wù)都有可能在軟件上存在缺陷或在配置上存在錯(cuò)誤，而這些差錯(cuò)就可能使堡壘主機(jī)的安全保障出問題。因此，在堡壘主機(jī)上設(shè)置的服務(wù)必須最少，同時(shí)對(duì)必須設(shè)置的服務(wù)軟件只能給予盡可能低的權(quán)限。 2預(yù)防原則,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.2 堡壘主機(jī),8.2.2堡壘主機(jī)的種類 堡壘主機(jī)目前一般有以下三種類型：無路由雙宿主主機(jī)、犧牲主機(jī)和內(nèi)部堡壘主機(jī)。 無路由雙宿主主機(jī)有多個(gè)網(wǎng)絡(luò)接口，但這些接口間沒有信息流。這種主機(jī)本身就可作為一個(gè)防火墻，也可作為一個(gè)更復(fù)雜防

21、火墻結(jié)構(gòu)的一部分。 犧牲主機(jī)除了可讓用戶隨意登錄外，其配置基本上與一般的堡壘主機(jī)一樣。用戶總是希望在堡壘主機(jī)上存有盡可能多的服務(wù)與程序。主要特點(diǎn)是它易于被管理，即使被侵襲也無礙內(nèi)部網(wǎng)的安全。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.2 堡壘主機(jī),在大多數(shù)配置中，堡壘主機(jī)可與某些內(nèi)部主機(jī)進(jìn)行交互。比如，堡壘主機(jī)可傳送電子郵件給內(nèi)部主機(jī)的郵件服務(wù)器，傳送Usenet新聞給新聞服務(wù)器，與內(nèi)部域名服務(wù)器協(xié)同工作等。這些內(nèi)部主機(jī)其實(shí)是有效的次級(jí)堡壘主機(jī)，對(duì)它們就應(yīng)像保護(hù)堡壘主機(jī)一樣加以保護(hù)。我們可以在它們上面多放一些服務(wù)，但對(duì)它們的配置必須遵循與堡壘主機(jī)一樣的過程。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安

22、全基礎(chǔ),8.2 堡壘主機(jī),8.2.3 堡壘主機(jī)的選擇 1堡壘主機(jī)操作系統(tǒng)的選擇 2堡壘主機(jī)速度的選擇 3堡壘主機(jī)的硬件 4堡壘主機(jī)的物理位置 （1）位置要安全 （2）堡壘主機(jī)在網(wǎng)絡(luò)上的位置 堡壘主機(jī)應(yīng)被放置在沒有機(jī)密信息流的網(wǎng)絡(luò)上，最好放置在一個(gè)單獨(dú)的網(wǎng)絡(luò)上。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.2 堡壘主機(jī),8.2.4 堡壘主機(jī)提供的服務(wù) 堡壘主機(jī)應(yīng)當(dāng)提供站點(diǎn)所需求的所有與因特網(wǎng)有關(guān)的服務(wù)，同時(shí)還要經(jīng)過包過濾提供內(nèi)部網(wǎng)向外界的服務(wù)。任何與外部網(wǎng)無關(guān)的服務(wù)都不應(yīng)放置在堡壘主機(jī)上。 （1）無風(fēng)險(xiǎn)服務(wù)，僅僅通過包過濾便可實(shí)施的服務(wù)。 （2）低風(fēng)險(xiǎn)服務(wù)，在有些情況下這些服務(wù)運(yùn)行時(shí)有安全隱患，

23、但加以一些安全控制措施便可消除安全問題。 （3）高風(fēng)險(xiǎn)服務(wù)，在使用這些服務(wù)時(shí)無法徹底消除安全隱患；這類服務(wù)一般應(yīng)被禁用，特別需要時(shí)也只能放置在主機(jī)上使用。 （4）禁用服務(wù)，應(yīng)被徹底禁止使用的服務(wù)。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.2 堡壘主機(jī),電子郵件（SMTP）是堡壘主機(jī)應(yīng)提供的最基本的服務(wù)，其它還應(yīng)提供的服務(wù)有： FTP，文件傳輸服務(wù)； WAIS，基于關(guān)鍵字的信息瀏覽服務(wù)； HTTP，超文本方式的信息瀏覽服務(wù)； NNTP，Usenet新聞組服務(wù)； Gopher，菜單驅(qū)動(dòng)的信息瀏覽服務(wù)。 為了支持以上這些服務(wù)，堡壘主機(jī)還應(yīng)有域名服務(wù)（DNS）。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全

24、基礎(chǔ),8.2 堡壘主機(jī),8.2.5 建立堡壘主機(jī) 我們?cè)谏厦嬉呀榻B了堡壘主機(jī)應(yīng)完成的工作，而建立堡壘主機(jī)則應(yīng)遵循以下步驟。 （l）給堡壘主機(jī)一個(gè)安全的運(yùn)行環(huán)境。 （2）關(guān)閉機(jī)器上所有不必要的服務(wù)軟件。 （3）安裝或修改必需的服務(wù)軟件。 （4）根據(jù)最終需要重新配置機(jī)器。 （5）核查機(jī)器上的安全保障機(jī)制。 （6）將堡壘主機(jī)連入網(wǎng)絡(luò)。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.2 堡壘主機(jī),建立堡壘主機(jī)應(yīng)該注意以下幾點(diǎn)： （1）要在機(jī)器上使用最小的、干凈的和標(biāo)準(zhǔn)的操作系統(tǒng)。 （2）應(yīng)該認(rèn)真對(duì)待每一條從計(jì)算機(jī)緊急救援協(xié)作中心獲得的針對(duì)用戶目前工作平臺(tái)的安全建議。 （3）要經(jīng)常使用檢查列表（Check

25、list）。 （4）要保護(hù)好系統(tǒng)的日志。作為極為重要的主機(jī)，堡壘主機(jī)上記錄有很多信息，建立堡壘主機(jī)的一個(gè)重要步驟就是要確保系統(tǒng)日志的安全。系統(tǒng)日志非常重要，因?yàn)橥ㄟ^它可以判斷出堡壘主機(jī)的運(yùn)行是否正常，同時(shí)，當(dāng)有黑客入侵到堡壘主機(jī)時(shí)，系統(tǒng)日志是記錄當(dāng)時(shí)現(xiàn)場的主要機(jī)制。所以妥善存放日志很重要。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.2 堡壘主機(jī),8.2.6 堡壘主機(jī)的監(jiān)測(cè) 1監(jiān)測(cè)堡壘主機(jī)的運(yùn)行 完成了對(duì)堡壘主機(jī)的所有配置就可把它連到網(wǎng)上。為了能監(jiān)視堡壘主機(jī)的運(yùn)行情況，及時(shí)發(fā)現(xiàn)出現(xiàn)的異?，F(xiàn)象，及早發(fā)現(xiàn)入侵者或系統(tǒng)本身的安全漏洞。我們首先必須詳細(xì)了解正常系統(tǒng)運(yùn)行時(shí)預(yù)處理文件的內(nèi)容，包括以下幾項(xiàng)：

26、 （l）一般在同一時(shí)刻大概會(huì)有幾個(gè)作業(yè)在運(yùn)行？ （2）每個(gè)作業(yè)一般花費(fèi)多少CPU時(shí)間？ （3）一天內(nèi)哪些時(shí)間是系統(tǒng)重載的時(shí)間？ 2自動(dòng)監(jiān)測(cè)堡壘主機(jī),2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.2 堡壘主機(jī),8.2.7 堡壘主機(jī)的保護(hù)與備份 在完成堡壘主機(jī)的配置并將它投入正常運(yùn)行后，要給它以較好的物理運(yùn)行環(huán)境，并將有關(guān)軟件做備份，將文檔資料妥善保存。 備份文件應(yīng)與堡壘主機(jī)分離。這樣可保證備份不會(huì)被侵入到堡壘主機(jī)的黑客破壞。由于堡壘主機(jī)應(yīng)是一個(gè)穩(wěn)定的系統(tǒng)，因而備份的制作頻度可以稍低一些。每周一次或每月一次便足夠了。 堡壘主機(jī)的系統(tǒng)備份不僅僅是為系統(tǒng)癱瘓后而重建系統(tǒng)時(shí)用的，它也是我們檢查系統(tǒng)是否被侵

27、入的工具之一。像其它重要的備份一樣，妥善保管好堡壘主機(jī)的備份與保護(hù)機(jī)器本身同樣重要。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.3 包過濾,包過濾是一種保安機(jī)制，它控制哪些數(shù)據(jù)包可以進(jìn)出網(wǎng)絡(luò)而哪些數(shù)據(jù)包應(yīng)被網(wǎng)絡(luò)拒絕。我們?cè)谶@兒首先簡單介紹一些高層IP（因特網(wǎng)協(xié)議）網(wǎng)絡(luò)的概念。 一個(gè)文件要穿過網(wǎng)絡(luò)，必須將文件分成小塊，每小塊文件單獨(dú)傳輸。把文件分成小塊的做法主要是為了讓多個(gè)系統(tǒng)共享網(wǎng)絡(luò)，每個(gè)系統(tǒng)可以依次發(fā)送文件塊。在IP網(wǎng)絡(luò)中，這些小塊被稱為包。所有的信息傳輸都是以包的方式來實(shí)施的。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.3 包過濾,8.3.1 包過濾是如何工作的 包過濾技術(shù)可以允許或不

28、允許某些包在網(wǎng)絡(luò)上傳遞，它依據(jù)以下的判據(jù)： （1）將包的目的地址作為判據(jù)； （2）將包的源地址作為判據(jù)； （3）將包的傳送協(xié)議作為判據(jù)。 包過濾系統(tǒng)只能讓我們進(jìn)行類似以下情況的操作： （1）不讓任何用戶從外部網(wǎng)用Telnet登錄； （2）允許任何用戶使用SMTP往內(nèi)部網(wǎng)發(fā)電子郵件； （3）只允許某臺(tái)機(jī)器通過NNTP往內(nèi)部網(wǎng)發(fā)新聞。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.3 包過濾,包過濾不能允許我們進(jìn)行如下的操作： （1）允許某個(gè)用戶從外部網(wǎng)用Telnet登錄而不允許其它用戶進(jìn)行這種操作。 （2）允許用戶傳送一些文件而不允許用戶傳送其它文件。 入侵者總是把他們偽裝成來自于內(nèi)部網(wǎng)。要用包過

29、濾路由器來實(shí)現(xiàn)我們?cè)O(shè)計(jì)的安全規(guī)則，唯一的方法是通過參數(shù)網(wǎng)絡(luò)上的包過濾路由器。只有處在這種位置上的包過濾路由器才能通過查看包的源地址，從而辨認(rèn)出這個(gè)包到底是來自于內(nèi)部網(wǎng)還是來自于外部網(wǎng)。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.3 包過濾,源地址偽裝,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.3 包過濾,1包過濾的優(yōu)點(diǎn) 包過濾方式有許多優(yōu)點(diǎn)，而其主要優(yōu)點(diǎn)之一是僅用一個(gè)放置在重要位置上的包過濾路由器就可保護(hù)整個(gè)網(wǎng)絡(luò)。如果我們的站點(diǎn)與因特網(wǎng)間只有一臺(tái)路由器，那么不管站點(diǎn)規(guī)模有多大，只要在這臺(tái)路由器上設(shè)置合適的包過濾，我們的站點(diǎn)就可獲得很好的網(wǎng)絡(luò)安全保護(hù)。 2包過濾的缺點(diǎn) （1）在機(jī)器中配置包過

30、濾規(guī)則比較困難； （2）對(duì)系統(tǒng)中的包過濾規(guī)則的配置進(jìn)行測(cè)試也較麻煩； （3）許多產(chǎn)品的包過濾功能有這樣或那樣的局限性，要找一個(gè)比較完整的包過濾產(chǎn)品比較困難。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.3 包過濾,8.3.2 包過濾路由器的配置 在配置包過濾路由器時(shí)，我們首先要確定哪些服務(wù)允許通過而哪些服務(wù)應(yīng)被拒絕，并將這些規(guī)定翻譯成有關(guān)的包過濾規(guī)則。 下面給出將有關(guān)服務(wù)翻譯成包過濾規(guī)則時(shí)非常重要的幾個(gè)概念。 （1）協(xié)議的雙向性。協(xié)議總是雙向的，協(xié)議包括一方發(fā)送一個(gè)請(qǐng)求而另一方返回一個(gè)應(yīng)答。在制定包過濾規(guī)則時(shí)，要注意包是從兩個(gè)方向來到路由器的。 （2）“往內(nèi)”與“往外”的含義。在我們制定包過濾

31、規(guī)則時(shí)，必須準(zhǔn)確理解“往內(nèi)”與“往外”的包和“往內(nèi)”與“往外”的服務(wù)這幾個(gè)詞的語義。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.3 包過濾,（3）“默認(rèn)允許”與“默認(rèn)拒絕”。網(wǎng)絡(luò)的安全策略中的有兩種方法：默認(rèn)拒絕（沒有明確地被允許就應(yīng)被拒絕）與默認(rèn)允許（沒有明確地被拒絕就應(yīng)被允許）。從安全角度來看，用默認(rèn)拒絕應(yīng)該更合適。 8.3.3 包的基本構(gòu)造 包的構(gòu)造有點(diǎn)像洋蔥一樣，它是由各層連接的協(xié)議組成的。每一層，包都由包頭與包體兩部分組成。在包頭中存放與這一層相關(guān)的協(xié)議信息，在包體中存放包在這一層的數(shù)據(jù)信息。這些數(shù)據(jù)信息也包含了上層的全部信息。在每一層上對(duì)包的處理是將從上層獲取的全部信息作為包體，

32、然后依本層的協(xié)議再加上包頭。這種對(duì)包的層次性操作（每一層均加裝一個(gè)包頭）一般稱為封裝。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.3 包過濾,數(shù)據(jù)包的封裝,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.3 包過濾,8.3.4 包過濾處理內(nèi)核 過濾路由器可以利用包過濾作為手段來提高網(wǎng)絡(luò)的安全性。 1包過濾和網(wǎng)絡(luò)策略 包過濾還可以用來實(shí)現(xiàn)大范圍內(nèi)的網(wǎng)絡(luò)安全策略。網(wǎng)絡(luò)安全策略必須清楚地說明被保護(hù)的網(wǎng)絡(luò)和服務(wù)的類型、它們的重要程度和這些服務(wù)要保護(hù)的對(duì)象。 2一個(gè)簡單的包過濾模型 包過濾器通常置于一個(gè)或多個(gè)網(wǎng)段之間。外部網(wǎng)段是通過網(wǎng)絡(luò)將用戶的計(jì)算機(jī)連接到外面的網(wǎng)絡(luò)上，內(nèi)部網(wǎng)段用來連接公司的主機(jī)和其它網(wǎng)絡(luò)

33、資源。 包過濾器設(shè)備的每一端口都可用來完成網(wǎng)絡(luò)安全策略，該策略描述了通過此端口可訪問的網(wǎng)絡(luò)服務(wù)類型。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.3 包過濾,3包過濾器操作 （l）包過濾標(biāo)準(zhǔn)必須由包過濾設(shè)備端口存儲(chǔ)起來，這些包過濾標(biāo)準(zhǔn)叫包過濾規(guī)則。 （2）當(dāng)包到達(dá)端口時(shí)，對(duì)包的報(bào)頭進(jìn)行語法分析，大多數(shù)包過濾設(shè)備只檢查IP、TCP或UDP報(bào)頭中的字段，不檢查包體的內(nèi)容。 （3）包過濾器規(guī)則以特殊的方式存儲(chǔ)。 （4）如果一條規(guī)則阻止包傳輸或接收，此包便不被允許通過。 （5）如果一條規(guī)則允許包傳輸或接收，該包可以繼續(xù)處理。 （6）如果一個(gè)包不滿足任何一條規(guī)則，該包被阻塞。,2020/9/24,計(jì)算機(jī)

34、網(wǎng)絡(luò)安全基礎(chǔ),包過濾操作流程圖,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.3 包過濾,4包過濾設(shè)計(jì) 考慮圖中的網(wǎng)絡(luò)，其中過濾路由器被用作在內(nèi)部被保護(hù)網(wǎng)絡(luò)和外部不信任網(wǎng)絡(luò)之間的第一道防線。 假設(shè)網(wǎng)絡(luò)策略安全規(guī)則確定：從外部主機(jī)發(fā)來的因特網(wǎng)郵件在某一特定網(wǎng)關(guān)被接收，并且想拒絕從不信任的CREE-PHOST的主機(jī)發(fā)來的數(shù)據(jù)流。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.3 包過濾,在這個(gè)例子中，SMTP使用的網(wǎng)絡(luò)安全策略必須翻譯成包過濾規(guī)則。我們可以把網(wǎng)絡(luò)安全規(guī)則翻譯成下列中文規(guī)則： 過濾器規(guī)則1：我們不相信從CREE-PHOST來的連接。 過濾器規(guī)則2：我們?cè)试S與我們的郵件網(wǎng)關(guān)的連接。 這些規(guī)

35、則可以編成表。其中星號(hào)（*）表明它可以匹配該列的任何值。 對(duì)于過濾器規(guī)則1：阻塞任何從（*）CREE-PHOST端口來的到我們?nèi)我猓?）主機(jī)的任意（*）端口的連接。 對(duì)于過濾器規(guī)則2：允許任意（*）外部主機(jī)從其任意（*）端口到我們的Mail-GW主機(jī)端口的連接。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.3 包過濾,對(duì)于過濾器規(guī)則3 ：表示了一個(gè)內(nèi)部主機(jī)發(fā)送SMTP郵件到外部主機(jī)端口25。如果外部站點(diǎn)對(duì)SMTP不使用端口25，那么SMTP發(fā)送者便發(fā)送郵件。 這些規(guī)則應(yīng)用的順序與它們?cè)诒碇械捻樞蛳嗤?。如果一個(gè)包不與任何規(guī)則匹配，它就會(huì)遭到拒絕。表中規(guī)定：它允許任何外部機(jī)器從端口25產(chǎn)生一個(gè)請(qǐng)求

36、。端口25應(yīng)該保留SMTP。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.3 包過濾,8.3.5 包過濾規(guī)則 制定包過濾規(guī)則時(shí)應(yīng)注意的事項(xiàng)： （l）聯(lián)機(jī)編輯過濾規(guī)則。 （2）要用IP地址值，而不用主機(jī)名。 8.3.6 依據(jù)地址進(jìn)行過濾 在包過濾系統(tǒng)中，最簡單的方法是依據(jù)地址進(jìn)行過濾。用地址進(jìn)行過濾可以不管使用什么協(xié)議，僅根據(jù)源地址/目的地址對(duì)流動(dòng)的包進(jìn)行過濾。我們可用這種方法只讓某些被指定的外部主機(jī)與某些被指定的內(nèi)部主機(jī)進(jìn)行交互。還可以防止黑客用偽包裝成來自某臺(tái)主機(jī)，而其實(shí)并非來自于那臺(tái)主機(jī)的包對(duì)網(wǎng)絡(luò)進(jìn)行的侵?jǐn)_。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.3 包過濾,8.3.7 依據(jù)服務(wù)進(jìn)行

37、過濾 1往外的Telnet服務(wù) 在往外的Telnet服務(wù)中，一個(gè)本地用戶與一個(gè)遠(yuǎn)程服務(wù)器交互。我們必須對(duì)往外與往內(nèi)的包都加以處理。 2往內(nèi)的Telnet服務(wù) 3依據(jù)源端口來過濾 依據(jù)源端口來過濾必須有個(gè)前提，提供端口號(hào)的機(jī)器必須是真實(shí)的。如若入侵者已經(jīng)通過root完全控制了這臺(tái)機(jī)器，那他就可隨意在這臺(tái)機(jī)器上，也就等于在我們包過濾規(guī)則的端口上運(yùn)行任意的客戶程序或服務(wù)器程序。有時(shí)我們就根本不能相信由對(duì)方機(jī)器提供的機(jī)器源地址，因?yàn)橛锌赡苣桥_(tái)機(jī)器就是入侵者偽裝的。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.4 代理服務(wù),代理服務(wù)的條件是具有訪問因特網(wǎng)能力的主機(jī)才可以作為那些無權(quán)訪問因特網(wǎng)的主機(jī)的代理

38、，這樣使得一些不能訪問因特網(wǎng)的主機(jī)通過代理服務(wù)也可以完成訪問因特網(wǎng)的工作。 代理服務(wù)是在雙重宿主主機(jī)或堡壘主機(jī)上運(yùn)行一個(gè)具有特殊協(xié)議或一組協(xié)議。使一些僅能與內(nèi)部用戶交談的主機(jī)同樣也可以與外界交談，這些用戶的客戶程序通過與該代理服務(wù)器交談來代替直接與外部因特網(wǎng)中的服務(wù)器的“真正的”交談。代理服務(wù)器判斷從客戶端來的請(qǐng)求并決定哪些請(qǐng)求允許傳送而哪些應(yīng)被拒絕。當(dāng)某個(gè)請(qǐng)求被允許時(shí)，代理服務(wù)器就代表客戶與真正的服務(wù)器進(jìn)行交談，并將從客戶端來的請(qǐng)求傳送給真實(shí)服務(wù)器，將真實(shí)服務(wù)器的回答傳送給客戶。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.4 代理服務(wù),8.4.1代理服務(wù)的優(yōu)缺點(diǎn) 1代理服務(wù)的優(yōu)點(diǎn) （1）代

39、理服務(wù)允許用戶“直接”訪問因特網(wǎng) （2）代理服務(wù)適合于做日志 2代理服務(wù)的缺點(diǎn) （1）代理服務(wù)落后于非代理服務(wù) （2）每個(gè)代理服務(wù)要求不同的服務(wù)器 （3）代理服務(wù)一般要求對(duì)客戶或程序進(jìn)行修改 （4）代理服務(wù)對(duì)某些服務(wù)來說是不合適的 （5）代理服務(wù)不能保護(hù)你不受協(xié)議本身缺點(diǎn)的限制,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.4 代理服務(wù),8.4.2 代理服務(wù)的工作方法 代理工作的細(xì)節(jié)對(duì)每一種服務(wù)是不同的，代理服務(wù)在服務(wù)器上要求運(yùn)行合適的代理服務(wù)器軟件。在客戶端可以有以下不同的方法。 （1）定制客戶軟件。 （2）定制客戶過程。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.4 代理服務(wù),8.4.3

40、代理服務(wù)器的使用 代理服務(wù)器有一些特殊類型，主要表現(xiàn)為應(yīng)用級(jí)與回路級(jí)代理、公共與專用代理服務(wù)器和智能代理服務(wù)器。 1應(yīng)用級(jí)與回路級(jí)代理 主要區(qū)別為：應(yīng)用級(jí)代理使用修改的過程，回路級(jí)代理使用修改的客戶程序，這與代理的實(shí)用性有關(guān)。為了實(shí)現(xiàn)一個(gè)代理連接，你必須知道連接的方向。一個(gè)混合網(wǎng)關(guān)可以很容易地阻止連接，但一個(gè)代理主機(jī)只能接收連接，并從得到的信息中判斷它要與哪里繼續(xù)進(jìn)行連接。一個(gè)回路級(jí)代理不能解釋應(yīng)用協(xié)議，需要通過其它方式給它提供信息。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.4 代理服務(wù),2公共與專用代理服務(wù)器 一個(gè)專用代理服務(wù)器只適用于單個(gè)協(xié)議，而一個(gè)公共代理服務(wù)器則適用多個(gè)協(xié)議。實(shí)際上

41、專用代理服務(wù)器是應(yīng)用級(jí)的，而公共代理服務(wù)器是屬于回路級(jí)的。 3智能代理服務(wù)器 如果一個(gè)代理服務(wù)器不僅能處理轉(zhuǎn)發(fā)請(qǐng)求，同時(shí)還能夠做其它許多事情的話，這樣的代理服務(wù)器就稱為智能代理服務(wù)器。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.4 代理服務(wù),8.4.4使用代理的若干問題 1TCP與其它協(xié)議 理想的代理服務(wù)器應(yīng)在一個(gè)方向作TCP的連接，僅包含安全的命令、一些可變長度的送給服務(wù)器的用戶數(shù)據(jù)，并且只用于內(nèi)部客戶到外部服務(wù)器上。 因?yàn)門CP是一個(gè)面向連接的協(xié)議，只需進(jìn)行一次建立代理的連接，然后就可以一直使用該連接了。UDP沒有連接的概念，每個(gè)數(shù)據(jù)包都需要代理服務(wù)器進(jìn)行獨(dú)立的傳輸，因此TCP代理更為簡

42、便。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.4 代理服務(wù),2不使用代理服務(wù)器的代理 一些服務(wù)特別是所謂的“存儲(chǔ)轉(zhuǎn)發(fā)”服務(wù)（如SMTP、NNTP）一般都支持代理。這些服務(wù)是為了讓服務(wù)器接收信息，然后進(jìn)行存儲(chǔ)直到它們被轉(zhuǎn)發(fā)到其它服務(wù)器上。 一般很少有信息直接從發(fā)送者的機(jī)器傳送到接收者的機(jī)器，信息至少要通過四臺(tái)機(jī)器： （l）發(fā)送者的機(jī)器； （2）發(fā)送者站點(diǎn)的輸出郵件網(wǎng)關(guān)（或發(fā)送者的因特網(wǎng)服務(wù)提供者）； （3）接收者站點(diǎn)的輸入郵件網(wǎng)關(guān)； （4）接收者的機(jī)器。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.4 代理服務(wù),3無法代理的原因及解決辦法 可能會(huì)由于下列原因而不能進(jìn)行代理 （1）沒有代理服務(wù)

43、器 （2）代理無法保證服務(wù)的安全 （3）無法修改客戶程序或過程 經(jīng)常有一些服務(wù)不具備修改用戶過程的條件，一般情況下，可以在堡壘主機(jī)上安全地提供數(shù)據(jù)的傳輸，允許用戶連入堡壘主機(jī)，但是要加以限制，只允許運(yùn)行無法進(jìn)行代理的服務(wù)。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.4 代理服務(wù),8.4.5 用于因特網(wǎng)服務(wù)的代理特性 因特網(wǎng)上的主要服務(wù)功能有電子郵件E-mail簡單郵件傳輸協(xié)議SMTP、郵局協(xié)議POP、文件傳輸FTP、遠(yuǎn)程登錄Telnet、存儲(chǔ)轉(zhuǎn)發(fā)協(xié)議NNTP、萬維網(wǎng)WWW、域名服務(wù)DNS等。 1電子郵件（E-mail） （1）一個(gè)服務(wù)器，用來向外部主機(jī)發(fā)送郵件或從外部主機(jī)接收郵件。 （2）發(fā)

44、信代理，用于將郵件正確地放入本地主機(jī)郵箱中。 （3）用戶代理，用于讓收信人閱讀郵件并編排出站郵件。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.4 代理服務(wù),2簡單郵件傳輸協(xié)議（SMTP）的代理特點(diǎn) 因?yàn)镾MTP是一個(gè)存儲(chǔ)轉(zhuǎn)發(fā)協(xié)議，所以它特別適合于進(jìn)行代理。由于任何一個(gè)SMTP服務(wù)器都有可能為其它站點(diǎn)進(jìn)行郵件轉(zhuǎn)發(fā)，因而很少將它設(shè)置成一個(gè)單獨(dú)的代理。大多數(shù)站點(diǎn)將輸入的SMTP連接到一臺(tái)安全運(yùn)行SMTP服務(wù)的堡壘主機(jī)上，該堡壘主機(jī)就是一個(gè)代理。 3郵局協(xié)議（POP）的代理特點(diǎn) 郵局協(xié)議（POP）對(duì)于代理系統(tǒng)來說是非常簡單的，因?yàn)樗捎脝蝹€(gè)連接。內(nèi)置的支持代理的POP客戶程序還很少，主要原因是POP

45、多用于局域網(wǎng)，而很少用于因特網(wǎng)。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.4 代理服務(wù),4文件傳輸FTP 在開始使用一個(gè)FTP連接時(shí)，客戶程序首先為自己分配兩個(gè)大于1023的TCP端口，它使用第一個(gè)端口作為命令通道端口與服務(wù)器連接，然后發(fā)出端口命令，告訴服務(wù)器它的第二個(gè)作為數(shù)據(jù)通道的端口號(hào)，這樣服務(wù)器就能打開數(shù)據(jù)通道了。大多數(shù)FTP服務(wù)器（特別是那些用在因特網(wǎng)上的主要匿名FTP站點(diǎn)）和許多FTP客戶程序都支持一種允許客戶程序打開命令通道和數(shù)據(jù)通道來連接到FTP服務(wù)器的方式，這種方式被稱為“反向方式”。 在使用反向方式時(shí)，一個(gè)FTP客戶程序需要分配兩個(gè)TCP端口供其使用。它使用第一個(gè)TCP端

46、口與FTP服務(wù)器連接，但客戶程序通過反向方式命令代替原來的端口命令來告訴服務(wù)器客戶程序的第二個(gè)TCP端口。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.4 代理服務(wù),這樣就能使服務(wù)器為本身的數(shù)據(jù)通道分配第二個(gè)TCP端口，并通知客戶程序所分配的那個(gè)端口號(hào)。這時(shí)，客戶程序就從它的數(shù)據(jù)通道的端口連接到服務(wù)器剛才通知它的那個(gè)端口上。 5遠(yuǎn)程登錄（Telnet） 代理系統(tǒng)能夠很好地支持Telnet。 6存儲(chǔ)轉(zhuǎn)發(fā)協(xié)議（NNTP） NNTP是一個(gè)存儲(chǔ)轉(zhuǎn)發(fā)的協(xié)議，有能力進(jìn)行自己的代理。它作為一個(gè)簡單的單個(gè)連接協(xié)議很容易實(shí)現(xiàn)代理。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.4 代理服務(wù),7萬維網(wǎng)（WWW） 各

47、種HTTP客戶程序（如Netscape Navigator或因特網(wǎng)Explorer等）都支持代理的方案。 8域名服務(wù)（DNS） DNS具有這樣的結(jié)構(gòu)：可以使服務(wù)器充當(dāng)客戶程序的代理。利用DNS能夠轉(zhuǎn)發(fā)自身的特點(diǎn)，可以使一個(gè)DNS服務(wù)器成為另一個(gè)DNS服務(wù)器的代理。在真正的實(shí)現(xiàn)時(shí)，大多數(shù)情況可以修改DNS庫來使用修改的客戶程序代理。在不支持動(dòng)態(tài)連接的機(jī)器上，使用DNS的修改客戶程序的代理需要重新編譯網(wǎng)絡(luò)中使用的每個(gè)程序。,2020/9/24,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),8.5 選擇防火墻的原則,設(shè)計(jì)和選用防火墻首先要明確哪些數(shù)據(jù)是必須保護(hù)的，這些數(shù)據(jù)的被侵入會(huì)導(dǎo)致什么樣的后果及網(wǎng)絡(luò)不同區(qū)域需要什么等級(jí)的安全級(jí)別。不管采用原始設(shè)計(jì)還是使用現(xiàn)成的防火墻產(chǎn)品，對(duì)于防火墻的安全標(biāo)準(zhǔn)，首先需根據(jù)安全級(jí)別確定。其次，設(shè)計(jì)或選用防火墻必須與網(wǎng)絡(luò)接口匹配，要防止你所能想到的威脅。防火墻可以是軟件或硬件模