1、第4章 防火墻體系結(jié)構(gòu),4.1 防火墻的體系結(jié)構(gòu) 4.2 包過濾器 4.3 應(yīng)用級網(wǎng)關(guān) 4.4 電路級網(wǎng)關(guān) 4.5 狀態(tài)包檢測（SPI） 4.6 實(shí)施方式,為了滿足用戶的更高要求，防火墻體系架構(gòu)經(jīng)歷了從低性能的x86，PPC軟件防火墻向高性能硬件防火墻的過渡。防火墻在經(jīng)過幾年繁榮的發(fā)展后，已經(jīng)形成了多種類型的體系架構(gòu)，并且這幾種體系架構(gòu)的設(shè)備并存互補(bǔ)，并不斷進(jìn)行發(fā)展升級。 1. 雙重宿主主機(jī)體系結(jié)構(gòu) 雙重宿主主機(jī)體系結(jié)構(gòu)圍繞雙重宿主主機(jī)構(gòu)筑。雙重宿主主機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口。這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，它能夠從一個(gè)網(wǎng)絡(luò)到另外一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包，然而雙重宿主主機(jī)的防火墻

2、體系結(jié)構(gòu)禁止這種發(fā)送。,4.1 防火墻的體系結(jié)構(gòu),下一頁,返回,因此，IP數(shù)據(jù)包并不是從一個(gè)網(wǎng)絡(luò)（如外部網(wǎng)絡(luò)）直接發(fā)送到另一個(gè)網(wǎng)絡(luò)（如內(nèi)部網(wǎng)絡(luò)）。外部網(wǎng)絡(luò)能與雙重宿主主機(jī)通信，內(nèi)部網(wǎng)絡(luò)也能與雙重宿主主機(jī)通信。但是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信，它們之間的通信必須經(jīng)過雙重宿主主機(jī)的過濾和控制，如圖4-1所示。 2. 被屏蔽主機(jī)體系結(jié)構(gòu) 雙重宿主主機(jī)體系結(jié)構(gòu)防火墻沒有使用路由器，而被屏蔽主機(jī)體系結(jié)構(gòu)防火墻則使用一個(gè)路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開，如圖4-2所示。在這種體系結(jié)構(gòu)中，主要的安全由數(shù)據(jù)包過濾提供（例如，數(shù)據(jù)包過濾用于防止人們繞過代理服務(wù)器直接相連）。,4.1 防火墻的體系結(jié)構(gòu),下一頁,

3、返回,上一頁,這種體系結(jié)構(gòu)涉及到堡壘主機(jī)。堡壘主機(jī)是因特網(wǎng)上的主機(jī)能連接到的唯一的內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)。任何外部的系統(tǒng)要訪問內(nèi)部的系統(tǒng)或服務(wù)都必須先連接到這臺(tái)主機(jī)。因此，堡壘主機(jī)要保持更高等級的主機(jī)安全。 3. 被屏蔽子網(wǎng)體系結(jié)構(gòu) 被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（通常是Internet）隔離開。被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為兩個(gè)屏蔽路由器，每一個(gè)都連接到周邊網(wǎng)。,4.1 防火墻的體系結(jié)構(gòu),下一頁,返回,上一頁,一個(gè)位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間，另一個(gè)位于周邊網(wǎng)與外部網(wǎng)絡(luò)（通常為Internet）之間。這樣就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)

4、絡(luò)之間形成了一個(gè)“隔離帶”。為了侵入用這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，侵襲者必須通過兩個(gè)路由器。即使侵襲者侵入堡壘主機(jī)，他將仍然必須通過內(nèi)部路由器，如圖4-3所示。,4.1 防火墻的體系結(jié)構(gòu),返回,上一頁,4.2.1 包過濾技術(shù)分類 在包過濾技術(shù)的發(fā)展中，出現(xiàn)過兩種不同的技術(shù)，即靜態(tài)包過濾和動(dòng)態(tài)包過濾。包過濾技術(shù)作為防火墻的應(yīng)用有三類。 一是路由設(shè)備在完成路由選擇和數(shù)據(jù)轉(zhuǎn)發(fā)之外，同時(shí)進(jìn)行包過濾，這是目前較常用的方式。 二是在工作站上使用軟件進(jìn)行包過濾，這種方式價(jià)格較貴。 三是在一種稱為屏蔽路由器的路由設(shè)備上啟動(dòng)包過濾功能。,4.2 包過濾器,下一頁,返回,防火墻對數(shù)據(jù)的過濾，首先是根據(jù)數(shù)據(jù)包中包頭

5、部分所包含的源IP地址、目的IP地址、協(xié)議類型（TCP包、UDP包、ICMP包）、源端口、目的端口及數(shù)據(jù)包傳遞方向等信息，判斷是否符合安全規(guī)則，以此來確定該數(shù)據(jù)包是否允許通過。 1. 靜態(tài)包過濾（Static packet filter） 靜態(tài)包過濾（Static packet filter）技術(shù)是傳統(tǒng)包過濾技術(shù)，它根據(jù)流經(jīng)該設(shè)備的數(shù)據(jù)包地址信息決定是否允許該數(shù)據(jù)包通過，它判斷的依據(jù)有（只考慮IP包）： 數(shù)據(jù)包協(xié)議類型：TCP，UDP，ICMP，IGMP等。 源IP地址、目的IP地址。,4.2 包過濾器,下一頁,返回,上一頁, 源端口、目的端口：FTP，HTTP，DNS等。 IP選項(xiàng)：源路由、

6、記錄路由等。 TCP選項(xiàng)：SYN，ACK，F(xiàn)IN，RST等。 其他協(xié)議選項(xiàng)：ICMP ECHO，ICMP ECHO REPLY等。 數(shù)據(jù)包流向：in（進(jìn)）或out（出）。 數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)接口。,4.2 包過濾器,下一頁,返回,上一頁,2. 動(dòng)態(tài)包過濾（Dynamic packet filter） 包過濾防火墻是基于路由器來實(shí)現(xiàn)的。它利用數(shù)據(jù)包的頭信息（源IP地址、封裝協(xié)議、端口號等）判定與過濾規(guī)則是否相匹配來決定舍取。建立這類防火墻應(yīng)按如下步驟去做： 第1步，建立安全策略寫出所允許的和禁止的任務(wù)。 第2步，將安全策略轉(zhuǎn)化為數(shù)據(jù)包分組字段的邏輯表達(dá)式。 第3步，用供貨商提供的句法重寫邏輯表達(dá)式并

7、設(shè)置之。,4.2 包過濾器,下一頁,返回,上一頁,4.2.2 包過濾器的工作層次 包過濾防火墻通常工作在OSI的三層及三層以下，由此可以看出，它可控的內(nèi)容主要包括報(bào)文的源地址、報(bào)文的目標(biāo)地址、服務(wù)類型，以及第二層數(shù)據(jù)鏈路層可控的MAC地址等。除此以外，隨著包過濾防火墻的發(fā)展，部分OSI四層的內(nèi)容也被包括進(jìn)來，如報(bào)文的源端口和目的端口。,4.2 包過濾器,下一頁,返回,上一頁,4.2.3 過濾器的工作原理 1. 使用過濾器 數(shù)據(jù)包過濾用在內(nèi)部主機(jī)和外部主機(jī)之間，過濾系統(tǒng)是一臺(tái)路由器或一臺(tái)主機(jī)。過濾系統(tǒng)根據(jù)過濾規(guī)則來決定是否讓數(shù)據(jù)包通過。用于過濾數(shù)據(jù)包的路由器被稱為過濾路由器。 數(shù)據(jù)包過濾是通過對

8、數(shù)據(jù)包的IP頭、TCP頭或UDP頭的檢查來實(shí)現(xiàn)的。 在TCP/IP中，存在著一些標(biāo)準(zhǔn)的服務(wù)端口號，例如，HTTP的端口號為80。通過屏蔽特定的端口可以禁止特定的服務(wù)。,4.2 包過濾器,下一頁,返回,上一頁,包過濾系統(tǒng)可以阻塞內(nèi)部主機(jī)和外部主機(jī)或另外一個(gè)網(wǎng)絡(luò)之間的連接，例如，可以阻塞一些被視為是有敵意的或不可信的主機(jī)或網(wǎng)絡(luò)連接到內(nèi)部網(wǎng)絡(luò)中。 2. 過濾器的實(shí)現(xiàn) 數(shù)據(jù)包過濾一般使用過濾路由器來實(shí)現(xiàn)，這種路由器與普通的路由器有所不同。 普通的路由器只檢查數(shù)據(jù)包的目標(biāo)地址，并選擇一個(gè)達(dá)到目的地址的最佳路徑。它處理數(shù)據(jù)包是以目標(biāo)地址為基礎(chǔ)的，存在著兩種可能性：若路由器可以找到一個(gè)路徑到達(dá)目標(biāo)地址，,4

9、.2 包過濾器,下一頁,返回,上一頁,則發(fā)送出去；若路由器不知道如何發(fā)送數(shù)據(jù)包，則通知數(shù)據(jù)包的發(fā)送者“數(shù)據(jù)包不可達(dá)”。 過濾路由器會(huì)更加仔細(xì)地檢查數(shù)據(jù)包，除了決定是否有到達(dá)目標(biāo)地址的路徑外，還要決定是否應(yīng)該發(fā)送數(shù)據(jù)包。“應(yīng)該與否”是由路由器的過濾策略決定并強(qiáng)行執(zhí)行的。 4.2.4 包過濾的基本過程 下面對包過濾過程做簡單的敘述。 包過濾規(guī)則必須被包過濾設(shè)備端口存儲(chǔ)起來。 當(dāng)包到達(dá)端口時(shí)，對包報(bào)頭進(jìn)行語法分析。大多數(shù)包過濾設(shè)備只檢查IP，TCP或UDP報(bào)頭中的字段。,4.2 包過濾器,下一頁,返回,上一頁, 包過濾規(guī)則以特殊的方式存儲(chǔ)。應(yīng)用于包的規(guī)則的順序與包過濾器規(guī)則存儲(chǔ)順序必須相同。 若一條

10、規(guī)則阻止包傳輸或接收，則此包便不被允許。 若一條規(guī)則允許包傳輸或接收，則此包便可以被繼續(xù)處理。 若包不滿足任何一條規(guī)則，則此包便被阻塞。 一個(gè)包過濾防火墻必須具備兩個(gè)端口，一個(gè)端口連接非信任網(wǎng)絡(luò)（如Internet），一個(gè)端口連接可信網(wǎng)絡(luò)（如內(nèi)部網(wǎng)絡(luò)）和一組規(guī)則組成。,4.2 包過濾器,下一頁,返回,上一頁,防火墻配置的規(guī)則必須能對從一個(gè)非信任端口流向信任端口或是從信任端口流向非信任端口進(jìn)行控制處理，以此來決定是否讓信息流通過，如圖4-5所示。 根據(jù)上圖將可以創(chuàng)建一個(gè)典型的網(wǎng)絡(luò)結(jié)構(gòu)，包括HTTP，DNS，SMTP，內(nèi)部網(wǎng)絡(luò)通過包過濾防火墻將其分為服務(wù)器區(qū)域和子網(wǎng)絡(luò)區(qū)域，包括Internet非信

11、任網(wǎng)絡(luò)。,4.2 包過濾器,返回,上一頁,4.3.1 應(yīng)用級網(wǎng)關(guān)的發(fā)展 應(yīng)用級網(wǎng)關(guān)防火墻安裝在網(wǎng)絡(luò)應(yīng)用層上，它在應(yīng)用層上對信息進(jìn)行處理，是一種比包過濾防火墻更加安全的防火墻技術(shù)。防火墻要支持應(yīng)用程序，需要提供一個(gè)唯一的程序接受客戶端應(yīng)用程序的數(shù)據(jù)，并且作為中轉(zhuǎn)站將數(shù)據(jù)發(fā)往目標(biāo)服務(wù)器。應(yīng)用級網(wǎng)關(guān)對客戶來說是一個(gè)服務(wù)器，對目標(biāo)服務(wù)器來說是一個(gè)客戶端，所以它扮演著雙重角色。,4.3 應(yīng)用級網(wǎng)關(guān),下一頁,返回,應(yīng)用級網(wǎng)關(guān)使用軟件來轉(zhuǎn)發(fā)和過濾特定的應(yīng)用服務(wù)，如Telnet，F(xiàn)TP等服務(wù)的連接，這是一種代理服務(wù)。它只允許有代理的服務(wù)通過，也就是說只有那些被認(rèn)為“可信賴的”服務(wù)才被允許通過防火墻。另外代理服

12、務(wù)還可以過濾協(xié)議，如過濾FTP連接、拒絕使用FTP放置命令等。應(yīng)用級網(wǎng)關(guān)具有登記、日記、統(tǒng)計(jì)和報(bào)告功能，有很好的審計(jì)功能。還可以具有嚴(yán)格的用戶認(rèn)證功能。,4.3 應(yīng)用級網(wǎng)關(guān),下一頁,返回,上一頁,4.3.2 應(yīng)用級網(wǎng)關(guān)的工作過程 防火墻會(huì)對應(yīng)用程序的數(shù)據(jù)進(jìn)行校驗(yàn)以保證其格式可以接受，能夠過濾協(xié)議，進(jìn)行身份驗(yàn)證和記錄信息。其工作過程是：當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí)，首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器，由代理服務(wù)器根據(jù)這一請求向服務(wù)器請求數(shù)據(jù)，然后再由代理服務(wù)器將返回的數(shù)據(jù)轉(zhuǎn)給客戶機(jī)。,4.3 應(yīng)用級網(wǎng)關(guān),下一頁,返回,上一頁,4.3.3 應(yīng)用級網(wǎng)關(guān)的優(yōu)缺點(diǎn) 應(yīng)用級網(wǎng)關(guān)的安全性高，其不足是要為每種應(yīng)

13、用提供專門的代理服務(wù)程序。 應(yīng)用級網(wǎng)關(guān)有較好的訪問控制，是目前最安全的防火墻技術(shù)，但實(shí)現(xiàn)困難，而且有的應(yīng)用級網(wǎng)關(guān)缺乏“透明度”。在實(shí)際使用中，用戶在受信任的網(wǎng)絡(luò)上通過防火墻訪問Internet時(shí)，經(jīng)常會(huì)發(fā)現(xiàn)存在延遲并且必須進(jìn)行多次登錄（Login）才能訪問Internet或Intranet。,4.3 應(yīng)用級網(wǎng)關(guān),下一頁,返回,上一頁,應(yīng)用級網(wǎng)關(guān)也存在一些不足之處，首先它會(huì)使訪問速度變慢，因?yàn)樗辉试S用戶直接訪問網(wǎng)絡(luò)，而且應(yīng)用級網(wǎng)關(guān)需要對每一個(gè)特定的Internet服務(wù)安裝相應(yīng)的代理服務(wù)軟件，用戶不能使用未被服務(wù)器支持的服務(wù)，對每一類服務(wù)要使用特殊的客戶端軟件，尤其是，并非所有的Internet

14、應(yīng)用軟件都可以使用代理服務(wù)器。,4.3 應(yīng)用級網(wǎng)關(guān),返回,上一頁,電路級網(wǎng)關(guān)又稱線路級網(wǎng)關(guān)，它工作在會(huì)話層。它在兩個(gè)主機(jī)首次建立TCP連接時(shí)創(chuàng)立一個(gè)電子屏障。它作為服務(wù)器接收外來請求，轉(zhuǎn)發(fā)請求；與被保護(hù)的主機(jī)連接時(shí)則擔(dān)當(dāng)客戶機(jī)角色、起代理服務(wù)的作用。它監(jiān)視兩主機(jī)建立連接時(shí)的握手信息，如SYN，ACK和序列數(shù)據(jù)等是否合乎邏輯，判定該會(huì)話請求是否合法。一旦會(huì)話連接有效后，網(wǎng)關(guān)僅復(fù)制、傳遞數(shù)據(jù)，而不進(jìn)行過濾。 電路級網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的TCP握手信息，這樣來決定該會(huì)話（Session）是否合法，電路級網(wǎng)關(guān)是在OSI模型中會(huì)話層上來過濾數(shù)據(jù)包，這樣比包過濾防火墻要高兩層

15、。,4.4 電路級網(wǎng)關(guān),下一頁,返回,它的主要技術(shù)特點(diǎn)是不允許直接建立端對端的連接，而是將跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段，通過代理服務(wù)器建立兩個(gè)TCP連接，如圖4-7所示。 代理服務(wù)是運(yùn)行在網(wǎng)絡(luò)主機(jī)上的一個(gè)軟件應(yīng)用程序，它就像外部網(wǎng)和內(nèi)部網(wǎng)之間的中間媒介，篩選進(jìn)出的數(shù)據(jù)。 運(yùn)行代理服務(wù)的網(wǎng)絡(luò)主機(jī)稱為代理服務(wù)器或網(wǎng)關(guān)。 對于外部網(wǎng)絡(luò)，代理服務(wù)器相當(dāng)于內(nèi)部網(wǎng)絡(luò)的一臺(tái)服務(wù)器，實(shí)際上，它只是內(nèi)部網(wǎng)絡(luò)的一臺(tái)過濾設(shè)備。,4.4 電路級網(wǎng)關(guān),下一頁,返回,上一頁, 代理服務(wù)器的安全性除了表現(xiàn)在它可以隔斷內(nèi)部和外部網(wǎng)絡(luò)的直接連接，還可以防止外部網(wǎng)絡(luò)發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)的地址。 4.4.1 電路級網(wǎng)關(guān)的工作過程 電路

16、級網(wǎng)關(guān)工作過程如下： 假定有一用戶正在試圖和目的URL進(jìn)行連接。 此時(shí)，該用戶所使用的客戶應(yīng)用程序不是為這個(gè)URL發(fā)出的DNS請求，而是將請求發(fā)到地址已經(jīng)被解析的電路級網(wǎng)關(guān)（如代理服務(wù)器）的接口上。 若有需要，電路級網(wǎng)關(guān)提示用戶進(jìn)行身份認(rèn)證。,4.4 電路級網(wǎng)關(guān),下一頁,返回,上一頁, 用戶通過身份認(rèn)證后，電路級網(wǎng)關(guān)為目的URL發(fā)出一個(gè)DNS請求，然后用自己的IP地址和目的IP地址建立一個(gè)連接。 電路級網(wǎng)關(guān)然后把目的URL服務(wù)器的應(yīng)答轉(zhuǎn)給用戶。 4.4.2 電路級網(wǎng)關(guān)的缺點(diǎn) 大多數(shù)的電路級網(wǎng)關(guān)都是基于TCP端口配置的，不是對每一個(gè)數(shù)據(jù)包進(jìn)行檢測，所以會(huì)出現(xiàn)一些漏洞。通常來說，配置了電路級網(wǎng)關(guān)技

17、術(shù)后向內(nèi)的連接都是禁止的。所以，有時(shí)訪問資源的空間和范圍是有限的。,4.4 電路級網(wǎng)關(guān),返回,上一頁,狀態(tài)包檢測防火墻是最新一代的防火墻技術(shù)，一般稱作第三代防火墻。這類防火墻檢查IP包的所有部分來判定是允許還是拒絕請求，是目前最先進(jìn)的網(wǎng)絡(luò)層防火墻。狀態(tài)包檢測技術(shù)檢查所有的OSI層，因此它提供的安全程度遠(yuǎn)高于包過濾防火墻。 使用狀態(tài)包檢測（Statefull Packet Inspection，SPI）的防火墻對每一個(gè)通過它的數(shù)據(jù)包都要進(jìn)行檢查，確定這些數(shù)據(jù)包是否屬于一個(gè)已經(jīng)通過防火墻并且正在進(jìn)行連接的會(huì)話，或者基于一組與包過濾規(guī)則相似的規(guī)則集對數(shù)據(jù)包進(jìn)行處理。,4.5 狀態(tài)包檢測（SPI）,下

18、一頁,返回,4.5.1 SPI防火墻的工作過程 狀態(tài)檢測包的邏輯流程如圖4-8所示。 從圖4-8中可以看出狀態(tài)檢測技術(shù)防火墻的工作原理，數(shù)據(jù)包到達(dá)防火墻的接口，防火墻判斷數(shù)據(jù)是不是已經(jīng)在連接，如果是在連接就對數(shù)據(jù)包進(jìn)行特征檢測，并判斷策略是否讓防火墻內(nèi)容通過，如果可以通過的話就轉(zhuǎn)發(fā)到目的端口并記錄日志，否則就丟掉數(shù)據(jù)包。這是一個(gè)狀態(tài)檢測防火墻工作的過程。,4.5 狀態(tài)包檢測（SPI）,下一頁,返回,上一頁,具體描述如下： SPI防火墻檢查數(shù)據(jù)包是否是一個(gè)已經(jīng)建立并且正在使用的通信流的一部分。SPI防火墻要維護(hù)一張連接表，其中包括源IP地址、目的IP地址、源端口號和目的端口號等信息，通過查詢正在

19、使用的連接，判斷該數(shù)據(jù)包是否與表中某個(gè)連接相匹配。 如果防火墻包含有數(shù)據(jù)包使用的協(xié)議，就查看數(shù)據(jù)包的數(shù)據(jù)部分，根據(jù)其內(nèi)容決定是否轉(zhuǎn)發(fā)該數(shù)據(jù)包，防火墻對數(shù)據(jù)包檢查的內(nèi)容取決于數(shù)據(jù)包所使用的協(xié)議。 如果數(shù)據(jù)包和連接表的各項(xiàng)都不匹配，防火墻就會(huì)檢查數(shù)據(jù)包是否與其所配置的規(guī)則集匹配。,4.5 狀態(tài)包檢測（SPI）,下一頁,返回,上一頁, 當(dāng)數(shù)據(jù)包通過源IP地址、源端口號、目的IP地址、目的端口號、使用的協(xié)議和數(shù)據(jù)內(nèi)容檢查后，防火墻就轉(zhuǎn)發(fā)該數(shù)據(jù)包，并在其連接表中為此次會(huì)話創(chuàng)建或者更新一個(gè)連接項(xiàng)。防火墻使用該連接項(xiàng)對返回的數(shù)據(jù)包進(jìn)行檢查。 防火墻通常檢測TCP包中的FIN位，或者使用計(jì)時(shí)器來決定何時(shí)從連接

20、表中刪除某連接項(xiàng)。,4.5 狀態(tài)包檢測（SPI）,下一頁,返回,上一頁,4.5.2 SPI在安全上的優(yōu)點(diǎn) SPI防火墻具有非常好的安全特性，它使用了一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件模塊，稱之為監(jiān)測引擎。監(jiān)測引擎在不影響網(wǎng)絡(luò)正常運(yùn)行的前提下，采用抽取有關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測，抽取狀態(tài)信息，并動(dòng)態(tài)地保存起來作為以后執(zhí)行安全策略的參考。監(jiān)測引擎支持多種協(xié)議和應(yīng)用程序，并可以很容易地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。與前兩種防火墻不同，當(dāng)用戶訪問請求到達(dá)網(wǎng)關(guān)的操作系統(tǒng)前，狀態(tài)監(jiān)視器要抽取有關(guān)數(shù)據(jù)進(jìn)行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定做出接納、拒絕、身份認(rèn)證、報(bào)警或給該通信加密等處理動(dòng)作。,4.5 狀態(tài)包

21、檢測（SPI）,下一頁,返回,上一頁,這種防火墻的優(yōu)點(diǎn)是一旦某個(gè)訪問違反安全規(guī)定，就會(huì)拒絕該訪問，并報(bào)告有關(guān)狀態(tài)做日志記錄。狀態(tài)監(jiān)測防火墻的另一個(gè)優(yōu)點(diǎn)是它會(huì)監(jiān)測無連接狀態(tài)的遠(yuǎn)程過程調(diào)用（RPC）和用戶數(shù)據(jù)報(bào)（UDP）之類的端口信息，而包過濾和應(yīng)用網(wǎng)關(guān)防火墻都不支持此類應(yīng)用。這種防火墻無疑是非常堅(jiān)固的。但是它會(huì)降低網(wǎng)絡(luò)的速度，而且配置也比較復(fù)雜。當(dāng)然，有關(guān)防火墻廠商已注意到這一問題，有些防火墻產(chǎn)品的安全策略規(guī)則是通過面向?qū)ο蟮膱D形用戶界面（GUI）來定義以簡化配置過程。,4.5 狀態(tài)包檢測（SPI）,返回,上一頁,4.6.1 基于網(wǎng)絡(luò)主機(jī)的防火墻 防火墻銷售商在現(xiàn)有的服務(wù)器硬件平臺(tái)上使用兩種方法

22、來部署防火墻軟件。從嚴(yán)格意義上講，第一種部署方法只是一種應(yīng)用程序。這種部署防火墻的方法以用戶現(xiàn)有的平臺(tái)為基礎(chǔ)。典型的部署方法就是防火墻作為一個(gè)在商業(yè)操作系統(tǒng)之上運(yùn)行的應(yīng)用程序。雖然大多數(shù)的操作系統(tǒng)都至少支持一個(gè)防火墻應(yīng)用程序，但最常見的支持防火墻的操作系統(tǒng)還是Windows NT/2000，Sun Solaris和HPUX。這幾種操作系統(tǒng)都支持4種技術(shù)：包過濾、應(yīng)用級網(wǎng)關(guān)、電路級網(wǎng)關(guān)、狀態(tài)包檢查（如本章前面所述）。,4.6 實(shí)施方式,下一頁,返回,在操作系統(tǒng)上運(yùn)行防火墻的先決條件就是要保證操作系統(tǒng)本身是安全的。這一過程叫做操作系統(tǒng)的“加固”，它能夠?qū)θ魏伪┞队诓皇苄湃尉W(wǎng)絡(luò)前的系統(tǒng)進(jìn)行“加固”。

23、雖然對每一種操作系統(tǒng)進(jìn)行“加固”超過了本書的講述范圍，但是在這個(gè)話題上還是有很多書可以參考的。正如本書前面所述，在所有情況下，防火墻主機(jī)都應(yīng)該遵循公司的標(biāo)準(zhǔn)和安全策略。這些文件包括對所有資源都有效的安全原則（例如最小優(yōu)先級的概念）。,4.6 實(shí)施方式,下一頁,返回,上一頁,4.6.2 基于路由器的防火墻 路由器通常可以再細(xì)分成為 Internet 連接設(shè)計(jì)的低端設(shè)備和高端傳統(tǒng)路由器。低端路由器提供了阻止和允許特定的 IP 地址和端口號的基本防火墻功能，以及使用 NAT 來隱藏內(nèi)部 IP 地址。它們經(jīng)常提供防火墻功能作為阻止來自Internet入侵的標(biāo)準(zhǔn)和最佳選擇，雖然它們不需要配置，但是進(jìn)行進(jìn)

24、一步配置可以優(yōu)化它們。高端路由器可以配置為通過阻擋更顯而易見的入侵（如Ping）以及使用 ACL 實(shí)現(xiàn)其他IP地址和端口限制來限制訪問。其他防火墻功能（在某些路由器中提供監(jiān)控狀態(tài)的數(shù)據(jù)包篩選）可能可用。,4.6 實(shí)施方式,下一頁,返回,上一頁,在高端路由器中，防火墻功能與硬件防火墻設(shè)備的功能類似，但是成本更低，而且吞吐量也更低。 可以說基于路由器的防火墻技術(shù)只是網(wǎng)絡(luò)安全的一種應(yīng)急措施，用這種權(quán)宜之計(jì)去對付黑客的攻擊是十分危險(xiǎn)的。但是，幾乎在所有的安全體系結(jié)構(gòu)中，路由器都是位于安全防護(hù)的第一線，而且經(jīng)?？梢源娣阑饓κ褂?，尤其是在小規(guī)模網(wǎng)絡(luò)中。小規(guī)模網(wǎng)絡(luò)安裝防火墻的原因就是價(jià)格問題，由于網(wǎng)絡(luò)規(guī)模

25、小，所以要設(shè)置一臺(tái)獨(dú)立的安全設(shè)備并且對其進(jìn)行獨(dú)立地管理顯得很不經(jīng)濟(jì)。,4.6 實(shí)施方式,下一頁,返回,上一頁,4.6.3 基于單個(gè)主機(jī)的防火墻 這種防火墻通常是安裝在單個(gè)系統(tǒng)上的一種軟件，它只保護(hù)這個(gè)系統(tǒng)不受侵害。如果只有一兩臺(tái)主機(jī)連接到不受信任的網(wǎng)絡(luò)（如Internet）上的話，那么在主機(jī)上安裝這種防火墻就很經(jīng)濟(jì)。一般說來，基于單個(gè)主機(jī)的防火墻適用于規(guī)模很小的辦公室或者家庭（SOHO），在這些地方一般只有一到五臺(tái)主機(jī)。 在一個(gè)公司中，如果有成百上千或者成千上萬的主機(jī)需要保護(hù)，這種基于單個(gè)主機(jī)的防火墻就不能提供任何集中式的管理和測量。在家庭網(wǎng)絡(luò)中，最終用戶所使用的基于單個(gè)主機(jī)的防火墻現(xiàn)在正由一

26、些公司進(jìn)行標(biāo)準(zhǔn)化。,4.6 實(shí)施方式,下一頁,返回,上一頁,4.6.4 硬件防火墻 硬件防火墻是指把防火墻程序做到芯片里面，由硬件執(zhí)行這些功能，能減少CPU的負(fù)擔(dān)，使路由更穩(wěn)定。通常，硬件防火墻的性能要強(qiáng)于軟件防火墻，并且連接、使用比較方便。 硬件防火墻采用專用的硬件設(shè)備，然后集成生產(chǎn)廠商的專用防火墻軟件。從功能上看，硬件防火墻內(nèi)建安全軟件，使用專屬或強(qiáng)化的操作系統(tǒng)，管理方便，更換容易，軟硬件搭配較固定。硬件防火墻效率高，解決了防火墻效率、性能之間的矛盾，可以達(dá)到線性。,4.6 實(shí)施方式,下一頁,返回,上一頁,一般來說，硬件防火墻的例行檢查主要針對以下6方面的內(nèi)容。 1. 硬件防火墻的配置文件

27、 不管在安裝硬件防火墻的時(shí)候考慮得有多么的全面和嚴(yán)密，一旦硬件防火墻投入到實(shí)際使用環(huán)境中，情況隨時(shí)都在發(fā)生改變。硬件防火墻的規(guī)則總會(huì)不斷地變化和調(diào)整著，配置參數(shù)也會(huì)時(shí)常有所改變。作為網(wǎng)絡(luò)安全管理人員，最好能夠編寫一套修改防火墻配置和規(guī)則的安全策略，并嚴(yán)格實(shí)施。所涉及的硬件防火墻配置，最好能詳細(xì)到類似哪些流量被允許，哪些服務(wù)要用到代理這樣的細(xì)節(jié)。,4.6 實(shí)施方式,下一頁,返回,上一頁,2. 硬件防火墻的磁盤使用情況 如果在硬件防火墻上保留日志記錄，那么檢查硬件防火墻的磁盤使用情況是一件很重要的事情。如果不保留日志記錄，那么檢查硬件防火墻的磁盤使用情況就變得更加重要了。保留日志記錄的情況下，磁盤占用量的異常增長很可能表明日志清除過程存在問題，這種情況相對來說還好處理一