網(wǎng)絡(luò)信息安全西財(cái)課件

1、網(wǎng)絡(luò)信息安全西財(cái),1,第八章 防火墻,網(wǎng)絡(luò)信息安全西財(cái),2,第八章 防火墻,第一節(jié)防火墻的基本原理,第二節(jié)防火墻的分類,第三節(jié) 防火墻體系結(jié)構(gòu),第四節(jié) 防火墻的發(fā)展趨勢(shì),網(wǎng)絡(luò)信息安全西財(cái),3,第一節(jié)防火墻的基本原理,一、防火墻的概念,網(wǎng)絡(luò)信息安全西財(cái),4,一、防火墻的概念,防火墻(Firewall)是指一個(gè)由軟件和硬件設(shè)備組合而成，處于企業(yè)或網(wǎng)絡(luò)群體計(jì)算機(jī)與外界通道之間，限制外界用戶對(duì)內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限,第一節(jié)防火墻的基本原理,網(wǎng)絡(luò)信息安全西財(cái),5,一、防火墻的概念,第一節(jié)防火墻的基本原理,網(wǎng)絡(luò)信息安全西財(cái),6,二、防火墻模型,形象地說，防火墻是在兩個(gè)網(wǎng)絡(luò)通信時(shí)，執(zhí)行

2、一種相互訪問控制的尺度，它能夠允許用戶“同意”的人和數(shù)據(jù)進(jìn)入他的網(wǎng)絡(luò)，同時(shí)將用戶“不同意”的人和數(shù)據(jù)拒之門外，阻止網(wǎng)絡(luò)中的黑客訪問他的網(wǎng)絡(luò)，防止他們更改、拷貝、毀壞用戶的重要信息，按照OSI/RM模型要求，防火墻可以在OSI/RM七層中的五層設(shè)置,第一節(jié)防火墻的基本原理,網(wǎng)絡(luò)信息安全西財(cái),7,二、防火墻模型,防火墻模型,第一節(jié)防火墻的基本原理,網(wǎng)絡(luò)信息安全西財(cái),8,三、防火墻的安全策略,包括用戶的所有信息。其中最主要包括用戶名、口令、用戶所屬的工作組、用戶在系統(tǒng)中的權(quán)限和資源存取許可,第一節(jié)防火墻的基本原理,1用戶帳號(hào)策略,網(wǎng)絡(luò)信息安全西財(cái),9,三、防火墻的安全策略,用戶權(quán)限策略用來允許授權(quán)用

3、戶使用系統(tǒng)資源。用戶權(quán)限一般有兩種：對(duì)執(zhí)行特定任務(wù)用戶的授權(quán)可應(yīng)用于整個(gè)系統(tǒng)；對(duì)特定對(duì)象（如目錄、文件、打印機(jī)等）的規(guī)定，這種規(guī)定限制用戶能否或以何種方式存取對(duì)象,第一節(jié)防火墻的基本原理,2用戶權(quán)限策略,網(wǎng)絡(luò)信息安全西財(cái),10,三、防火墻的安全策略,通過信任關(guān)系在網(wǎng)絡(luò)中建立域的安全性。信任關(guān)系是兩個(gè)域中一個(gè)域信任另外的域。它包括兩個(gè)方面：信任域和被信任域。信任域可允許被信任域中的用戶在其中使用,第一節(jié)防火墻的基本原理,3信任關(guān)系策略,網(wǎng)絡(luò)信息安全西財(cái),11,三、防火墻的安全策略,包過濾路由器根據(jù)過濾規(guī)則，來過濾基于標(biāo)準(zhǔn)的數(shù)據(jù)包，完成包過濾功能。其中包括：包過濾控制點(diǎn)；包過濾操作過程、包過濾規(guī)則

4、；對(duì)地址欺騙、輸入輸出端口的過濾；FTD包與UDP包的過濾等,第一節(jié)防火墻的基本原理,4包過濾策略,網(wǎng)絡(luò)信息安全西財(cái),12,三、防火墻的安全策略,目前已有的可以公開的加密算法很多，其中最有名的傳統(tǒng)加密算法是美國(guó)DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）和RC5算法、歐洲的IDEA算法、日本的FEAL算法。最有名的公開密鑰體制是RSA體制、Elgamal體制等。最有名的數(shù)字簽名體制是DSS體制、Elgamal體制等。最有名的消息簽名體制有MD5等,第一節(jié)防火墻的基本原理,5認(rèn)證、簽名和數(shù)據(jù)加密策略,網(wǎng)絡(luò)信息安全西財(cái),13,三、防火墻的安全策略,從Internet的應(yīng)用來看，密鑰管理方式應(yīng)采用自動(dòng)化管理，特別對(duì)于密鑰

5、分配而言，應(yīng)采用離線式密鑰中心方式。針對(duì)Internet的層次結(jié)構(gòu)，密鑰中心的設(shè)置應(yīng)具有相應(yīng)的層次。而整個(gè)密鑰體系也應(yīng)采用層次結(jié)構(gòu)，以分為主密鑰、密鑰加密密鑰和會(huì)話密鑰三個(gè)層次為宜,第一節(jié)防火墻的基本原理,6密鑰分配策略,網(wǎng)絡(luò)信息安全西財(cái),14,三、防火墻的安全策略,審計(jì)是用來記錄如下事件：哪個(gè)用戶訪問哪個(gè)對(duì)象；訪問類型；訪問過程是否成功等,第一節(jié)防火墻的基本原理,7審計(jì)策略,網(wǎng)絡(luò)信息安全西財(cái),15,按照防火墻對(duì)內(nèi)外來往數(shù)據(jù)的處理方法，大致可以分為兩大類,包過濾（packet filtering）防火墻,應(yīng)用代理（application proxy）防火墻 （又稱應(yīng)用層網(wǎng)關(guān)防火墻,第一節(jié)防火墻

6、的基本原理,網(wǎng)絡(luò)信息安全西財(cái),16,第八章 防火墻,第一節(jié)防火墻的基本原理,第二節(jié)防火墻的分類,第三節(jié) 防火墻體系結(jié)構(gòu),第四節(jié) 防火墻的發(fā)展趨勢(shì),網(wǎng)絡(luò)信息安全西財(cái),17,第二節(jié)防火墻的分類,一、包過濾防火墻,包過濾作用在網(wǎng)絡(luò)層和傳輸層，它根據(jù)分組包頭源地址，目的地址和端口號(hào)、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄,1包過濾的概念,網(wǎng)絡(luò)信息安全西財(cái),18,包過濾防火墻又稱為過濾路由器，它通過將包頭信息和管理員設(shè)定的規(guī)則表比較，如果有一條規(guī)則不允許發(fā)送某個(gè)包，路由器就將它丟棄,一、包過濾防火墻,1包過濾的概念,第二節(jié)

7、防火墻的分類,網(wǎng)絡(luò)信息安全西財(cái),19,包過濾方式有很多優(yōu)點(diǎn)，而其主要優(yōu)點(diǎn)之一是僅用放置在重要位置上的包過濾路由器就可保護(hù)整個(gè)網(wǎng)絡(luò),1包過濾的概念,一、包過濾防火墻,第二節(jié)防火墻的分類,網(wǎng)絡(luò)信息安全西財(cái),20,雖然包過濾防火墻有許多優(yōu)點(diǎn)，但它也有一些缺點(diǎn)及局限性： （1）在機(jī)器中配置包過濾規(guī)則比較困難； （2）對(duì)系統(tǒng)中的包過濾規(guī)則的配置進(jìn)行測(cè)試也較麻煩； （3）許多產(chǎn)品的包過濾功能有這樣或那樣的局限性，要尋找一個(gè)比較完整的包過濾產(chǎn)品比較困難,一、包過濾防火墻,第二節(jié)防火墻的分類,網(wǎng)絡(luò)信息安全西財(cái),21,一、包過濾防火墻,2包過濾的基本原理,1）包過濾和網(wǎng)絡(luò)安全策略 包過濾還可以用來實(shí)現(xiàn)大范圍內(nèi)的

8、網(wǎng)絡(luò)安全策略。網(wǎng)絡(luò)安全策略必須清楚地說明被保護(hù)的網(wǎng)絡(luò)和服務(wù)的類型、它們的重要程度和這些服務(wù)要保護(hù)的對(duì)象等,第二節(jié)防火墻的分類,網(wǎng)絡(luò)信息安全西財(cái),22,2）包過濾模型 包過濾器通常設(shè)置于一個(gè)或多個(gè)網(wǎng)段之間。網(wǎng)絡(luò)段區(qū)分為外部網(wǎng)段或內(nèi)部網(wǎng)段。外部網(wǎng)段是通過網(wǎng)絡(luò)將用戶的計(jì)算機(jī)連接到外面的網(wǎng)絡(luò)上，內(nèi)部網(wǎng)段用來連接公司內(nèi)部的主機(jī)和其他網(wǎng)絡(luò)資源,2包過濾的基本原理,一、包過濾防火墻,第二節(jié)防火墻的分類,網(wǎng)絡(luò)信息安全西財(cái),23,3）包過濾操作,2包過濾的基本原理,一、包過濾防火墻,包過濾標(biāo)準(zhǔn)必須由包過濾設(shè)備端口存儲(chǔ)起來，這些包過濾標(biāo)準(zhǔn)叫包過濾規(guī)則,當(dāng)包到達(dá)端口時(shí)，對(duì)包的報(bào)頭進(jìn)行語(yǔ)法分析,包過濾規(guī)則以特殊的方式

9、進(jìn)行存儲(chǔ),第二節(jié)防火墻的分類,網(wǎng)絡(luò)信息安全西財(cái),24,如果一條規(guī)則允許包傳輸或接收則該包可以繼續(xù)處理,如果一條規(guī)則阻止包傳輸或接收，此包便不被允許通過,如果一個(gè)包不滿足任何一條規(guī)則，則該包被阻塞,2包過濾的基本原理,一、包過濾防火墻,3）包過濾操作,第二節(jié)防火墻的分類,網(wǎng)絡(luò)信息安全西財(cái),25,一、包過濾防火墻,圖8.2 包過濾操作流程圖,包過濾操作流程,3包過濾規(guī)則,第二節(jié)防火墻的分類,網(wǎng)絡(luò)信息安全西財(cái),26,一、包過濾防火墻,4依據(jù)地址進(jìn)行過濾,用地址進(jìn)行過濾可以不管使用什么協(xié)議，僅根據(jù)源地址/目的地址對(duì)流動(dòng)的包進(jìn)行過濾,第二節(jié)防火墻的分類,網(wǎng)絡(luò)信息安全西財(cái),27,一、包過濾防火墻,5依據(jù)服

10、務(wù)進(jìn)行過濾,被拒絕進(jìn)入內(nèi)部網(wǎng)絡(luò)的偽裝包主要是在依靠地址進(jìn)行過濾的包過濾系統(tǒng)中。大多數(shù)包過濾系統(tǒng)還涉及到依據(jù)服務(wù)進(jìn)行過濾,第二節(jié)防火墻的分類,網(wǎng)絡(luò)信息安全西財(cái),28,二、應(yīng)用代理防火墻,應(yīng)用代理，也叫應(yīng)用網(wǎng)關(guān)（application gateway），它作用在應(yīng)用層，其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用,1應(yīng)用代理概念,第二節(jié)防火墻的分類,網(wǎng)絡(luò)信息安全西財(cái),29,二、應(yīng)用代理防火墻,應(yīng)用代理防火墻的典型配置,第二節(jié)防火墻的分類,網(wǎng)絡(luò)信息安全西財(cái),30,應(yīng)用代理或代理服務(wù)器(application level proxyor，pr

11、oxy server)是代理內(nèi)部網(wǎng)絡(luò)用戶與外部網(wǎng)絡(luò)服務(wù)器進(jìn)行信息交換的程序。它將內(nèi)部用戶的請(qǐng)求確認(rèn)后送達(dá)外部服務(wù)寶器，同時(shí)將外部服務(wù)器的響應(yīng)再回送給用戶,二、應(yīng)用代理防火墻,1應(yīng)用代理概念,第二節(jié)防火墻的分類,網(wǎng)絡(luò)信息安全西財(cái),31,代理的實(shí)現(xiàn)過程如圖8.4所示，代理服務(wù)有兩個(gè)主要部件：代理服務(wù)器和代理客戶,二、應(yīng)用代理防火墻,1應(yīng)用代理概念,第二節(jié)防火墻的分類,網(wǎng)絡(luò)信息安全西財(cái),32,二、應(yīng)用代理防火墻,2代理服務(wù),代理服務(wù)是具有訪問互聯(lián)網(wǎng)能力的主機(jī)作為那些無權(quán)訪問互聯(lián)網(wǎng)主機(jī)的代理，這樣使得一些不能訪問互聯(lián)網(wǎng)的主機(jī)通過代理服務(wù)也可以完成訪問互聯(lián)網(wǎng)的工作,第二節(jié)防火墻的分類,網(wǎng)絡(luò)信息安全西財(cái),

12、33,二、應(yīng)用代理防火墻,3. 代理服務(wù)的工作方法,代理服務(wù)的工作細(xì)節(jié)對(duì)每一種服務(wù)器都是不同的，一些服務(wù)已自動(dòng)地提供了代理，對(duì)于這些服務(wù)可以通過對(duì)正常服務(wù)器的配置來設(shè)置代理。但對(duì)于大多數(shù)服務(wù)來說，代理服務(wù)在服務(wù)器上要求運(yùn)行特殊的代理服務(wù)器軟件,第二節(jié)防火墻的分類,網(wǎng)絡(luò)信息安全西財(cái),34,在客戶端可以有以下兩種方法,3. 代理服務(wù)的工作方法,二、應(yīng)用代理防火墻,1)定制客戶軟件。采用這種方法，軟件必須知道當(dāng)用戶提出請(qǐng)求時(shí)怎樣與代替真實(shí)服務(wù)器的代理服務(wù)器進(jìn)行連接，并且告訴代理服務(wù)器如何與真實(shí)服務(wù)器連接,第二節(jié)防火墻的分類,網(wǎng)絡(luò)信息安全西財(cái),35,2)定制客戶過程。采用這種方法時(shí)，用戶使用標(biāo)準(zhǔn)的客戶

13、軟件與代理服務(wù)器連接，并通知代理服務(wù)器與真實(shí)服務(wù)器連接，以此來代替與真實(shí)服務(wù)器的連接,二、應(yīng)用代理防火墻,3. 代理服務(wù)的工作方法,第二節(jié)防火墻的分類,網(wǎng)絡(luò)信息安全西財(cái),36,二、應(yīng)用代理防火墻,4. 代理服務(wù)器的使用,代理服務(wù)器有一些特殊類型，主要表現(xiàn)為應(yīng)用級(jí)與回路級(jí)代理、公共與專用代理服務(wù)器和智能代理服務(wù)器,1）應(yīng)用級(jí)與回路級(jí)代理 應(yīng)用級(jí)代理是已知代理服務(wù)為哪個(gè)應(yīng)用提供的代理，它能了解并解釋應(yīng)用協(xié)議中的命令；而回路級(jí)代理在客戶端與服務(wù)器之間不解釋應(yīng)用協(xié)議中的命令就建立了連接回路,2）公共與專用代理服務(wù)器 一個(gè)專用服務(wù)器只適用于單個(gè)協(xié)議，而一個(gè)公共代理服務(wù)器則適用多個(gè)協(xié)議。實(shí)際上專用代理服務(wù)

14、器是應(yīng)用級(jí)的，而公共代理服務(wù)器是屬于回路級(jí)的,3）智能代理服務(wù)器 如果一個(gè)代理服務(wù)器不僅能處理轉(zhuǎn)發(fā)請(qǐng)求，同時(shí)還能夠做其他許多事情的話，這樣的代理服務(wù)器就稱為智能代理服務(wù)器。對(duì)于一個(gè)專用的應(yīng)用級(jí)代理來說很容易升級(jí)到智能代理服務(wù)器，但對(duì)一個(gè)回路級(jí)的代理來說則比較困難,第二節(jié)防火墻的分類,網(wǎng)絡(luò)信息安全西財(cái),37,三、 復(fù)合型防火墻,1傳統(tǒng)防火墻分析,基于網(wǎng)絡(luò)地址轉(zhuǎn)換（network address translator, NAT）的復(fù)合型防火墻系統(tǒng)，它融合了代理技術(shù)的高性能和包過濾技術(shù)高效性的優(yōu)點(diǎn),第二節(jié)防火墻的分類,網(wǎng)絡(luò)信息安全西財(cái),38,三、 復(fù)合型防火墻,2設(shè)計(jì)思想,集中訪問控制技術(shù)是在服務(wù)請(qǐng)

15、求時(shí)由網(wǎng)關(guān)負(fù)責(zé)鑒別，一旦鑒別成功，其后的報(bào)文交互都直接通過TCP/IP層的過濾規(guī)則，無需象應(yīng)用層代理那樣逐個(gè)報(bào)文轉(zhuǎn)發(fā)，這就實(shí)現(xiàn)了與代理方式同樣的安全水平而處理量大幅下降，性能隨即得到大大提高。另一方面，NAT技術(shù)通過在網(wǎng)關(guān)上對(duì)進(jìn)出IP包源與目的地址的轉(zhuǎn)換，實(shí)現(xiàn)過濾規(guī)則的動(dòng)態(tài)化,第二節(jié)防火墻的分類,網(wǎng)絡(luò)信息安全西財(cái),39,三、 復(fù)合型防火墻,3系統(tǒng)設(shè)計(jì),圖8.5給出了基于NAT的復(fù)合型防火墻系統(tǒng)的總體結(jié)構(gòu)模型，由五大模塊組成,第二節(jié)防火墻的分類,網(wǎng)絡(luò)信息安全西財(cái),40,三、 復(fù)合型防火墻,3系統(tǒng)設(shè)計(jì),NAT模塊依據(jù)一定的規(guī)則，對(duì)所有出入的數(shù)據(jù)包進(jìn)行源與目的地址識(shí)別，并將由內(nèi)向外的數(shù)據(jù)包中源地址替

16、換成一個(gè)真實(shí)地址，而將由外向內(nèi)的數(shù)據(jù)包中的目的地址替換成相應(yīng)的虛擬地址,第二節(jié)防火墻的分類,網(wǎng)絡(luò)信息安全西財(cái),41,三、 復(fù)合型防火墻,集中訪問控制（CAC）模塊負(fù)責(zé)響應(yīng)所有指定的由外向內(nèi)的服務(wù)訪問，通知認(rèn)證訪問控制系統(tǒng)實(shí)施安全鑒別，為合法用戶建立相應(yīng)的連接，并將這一連接的相關(guān)信息傳遞給NAT模塊，保證在后續(xù)的報(bào)文傳輸時(shí)直接轉(zhuǎn)發(fā)而無需控制模塊干預(yù),3系統(tǒng)設(shè)計(jì),第二節(jié)防火墻的分類,網(wǎng)絡(luò)信息安全西財(cái),42,三、 復(fù)合型防火墻,臨時(shí)訪問端口表及連接控制（TLTC）模塊通過監(jiān)視外向型連接的端口數(shù)據(jù)動(dòng)態(tài)維護(hù)一張臨時(shí)端口表，記錄所有由內(nèi)向外的連接的源與目的端口信息，根據(jù)此表及預(yù)先配置好的協(xié)議集由連接控制模

17、塊決定哪些連接是允許的而哪些是不允許的，即根據(jù)所制定的規(guī)則（安全政策）禁止相應(yīng)的由外向內(nèi)發(fā)起的連接，以防止攻擊者利用網(wǎng)關(guān)允許的由內(nèi)向外的訪問協(xié)議類型做反向的連接訪問,3系統(tǒng)設(shè)計(jì),第二節(jié)防火墻的分類,網(wǎng)絡(luò)信息安全西財(cái),43,三、 復(fù)合型防火墻,認(rèn)證與訪問控制系統(tǒng)是防火墻系統(tǒng)的關(guān)鍵環(huán)節(jié)，它按照網(wǎng)絡(luò)安全策略負(fù)責(zé)對(duì)通過防火墻的用戶實(shí)施用戶的身份鑒別和對(duì)網(wǎng)絡(luò)信息資源的訪問控制，保證合法用戶正常訪問和禁止非法用戶訪問,3系統(tǒng)設(shè)計(jì),第二節(jié)防火墻的分類,網(wǎng)絡(luò)信息安全西財(cái),44,三、 復(fù)合型防火墻,網(wǎng)絡(luò)監(jiān)控系統(tǒng)負(fù)責(zé)截取到達(dá)防火墻網(wǎng)關(guān)的所有數(shù)據(jù)包，對(duì)信息包報(bào)頭和內(nèi)容進(jìn)行分析，檢測(cè)是否有攻擊行為，并實(shí)時(shí)通知系統(tǒng)管理

18、員,3系統(tǒng)設(shè)計(jì),第二節(jié)防火墻的分類,網(wǎng)絡(luò)信息安全西財(cái),45,三、 復(fù)合型防火墻,1）網(wǎng)絡(luò)地址轉(zhuǎn)換模塊 （2）集中訪問控制模塊 （3）臨時(shí)訪問端口表 （4）認(rèn)證與訪問控制系統(tǒng) （5）網(wǎng)絡(luò)安全監(jiān)控系統(tǒng) （6）基于WEB的防火墻管理系統(tǒng),4系統(tǒng)的實(shí)現(xiàn),第二節(jié)防火墻的分類,網(wǎng)絡(luò)信息安全西財(cái),46,第八章 防火墻,第一節(jié)防火墻的基本原理,第二節(jié)防火墻的分類,第三節(jié) 防火墻體系結(jié)構(gòu),第四節(jié) 防火墻的發(fā)展趨勢(shì),網(wǎng)絡(luò)信息安全西財(cái),47,一、防火墻體系結(jié)構(gòu),1. 雙重宿主主機(jī)體系結(jié)構(gòu),雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主的主體計(jì)算機(jī)而構(gòu)筑的。該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口，這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之

19、間的路由器，并能夠從一個(gè)網(wǎng)絡(luò)向另一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包,第三節(jié) 防火墻體系結(jié)構(gòu),網(wǎng)絡(luò)信息安全西財(cái),48,一、防火墻體系結(jié)構(gòu),1. 雙重宿主主機(jī)體系結(jié)構(gòu),第三節(jié) 防火墻體系結(jié)構(gòu),網(wǎng)絡(luò)信息安全西財(cái),49,一、防火墻體系結(jié)構(gòu),2. 主機(jī)過濾體系結(jié)構(gòu),第三節(jié) 防火墻體系結(jié)構(gòu),網(wǎng)絡(luò)信息安全西財(cái),50,一、防火墻體系結(jié)構(gòu),3. 子網(wǎng)過濾體系結(jié)構(gòu),第三節(jié) 防火墻體系結(jié)構(gòu),網(wǎng)絡(luò)信息安全西財(cái),51,二、防火墻的變化和組合,一般有以下幾種形式： 使用多堡壘主機(jī)； 合并內(nèi)部路由器和外部路由器； 合并堡壘主機(jī)與外部路由器； 合并堡壘主機(jī)與內(nèi)部路由器； 合并多臺(tái)內(nèi)部路由器； 合并多臺(tái)外部路由器； 使用多個(gè)參數(shù)網(wǎng)絡(luò)； 使

20、用雙重宿主主機(jī)與子網(wǎng)過濾,第三節(jié) 防火墻體系結(jié)構(gòu),網(wǎng)絡(luò)信息安全西財(cái),52,三、堡壘主機(jī),設(shè)計(jì)和建立堡壘主機(jī)的基本原則有兩條：最簡(jiǎn)化原則和預(yù)防原則。 （1）最簡(jiǎn)化原則 在堡壘主機(jī)上設(shè)置的服務(wù)必須最少，同時(shí)對(duì)必須設(shè)置的服務(wù)軟件只能給予盡可能低的權(quán)限。 （2）預(yù)防原則 要盡量使堡壘主機(jī)不被破壞，但同時(shí)又必須時(shí)刻提防“它一旦被攻破怎么辦？”。一旦堡壘主機(jī)被破壞，我們還得盡力讓內(nèi)部網(wǎng)絡(luò)仍處于安全保障之中,第三節(jié) 防火墻體系結(jié)構(gòu),1. 建立堡壘主機(jī)的一般原則,網(wǎng)絡(luò)信息安全西財(cái),53,三、堡壘主機(jī),2. 堡壘主機(jī)的種類,堡壘主機(jī)目前一般有三種類型：無路由雙宿主主機(jī)、犧牲主機(jī)和內(nèi)部堡壘主機(jī),無路由雙宿主主機(jī)有

21、多個(gè)網(wǎng)絡(luò)接口，但這些接口間沒有信息流,犧牲主機(jī)是一種上面沒有任何需要保護(hù)信息的主機(jī)，同時(shí)它又不與任何入侵者想利用的主機(jī)相連,堡壘主機(jī)可與某些內(nèi)部主機(jī)進(jìn)行交互。這些內(nèi)部主機(jī)其實(shí)是有效的次級(jí)堡壘主機(jī)，對(duì)它們就應(yīng)像堡壘主機(jī)一樣加以保護(hù),第三節(jié) 防火墻體系結(jié)構(gòu),網(wǎng)絡(luò)信息安全西財(cái),54,三、堡壘主機(jī),3. 堡壘主機(jī)的選擇,1）堡壘主機(jī)操作系統(tǒng)的選擇 應(yīng)該選擇較為熟悉的系統(tǒng)作為堡壘主機(jī)的操作系統(tǒng),第三節(jié) 防火墻體系結(jié)構(gòu),網(wǎng)絡(luò)信息安全西財(cái),55,三、堡壘主機(jī),3. 堡壘主機(jī)的選擇,2）堡壘主機(jī)速度的選擇 作為堡壘主機(jī)的計(jì)算機(jī)并不要求有很高的速度。選用功能并不十分強(qiáng)大的機(jī)器作為堡壘主機(jī)反而更好,第三節(jié) 防火墻

22、體系結(jié)構(gòu),網(wǎng)絡(luò)信息安全西財(cái),56,三、堡壘主機(jī),3. 堡壘主機(jī)的選擇,3）堡壘主機(jī)的硬件 在選擇堡壘主機(jī)及它的外圍設(shè)備時(shí)，應(yīng)慎選產(chǎn)品；不可選太舊的產(chǎn)品；堡壘主機(jī)的內(nèi)存要大，并配置有足夠的交換空間。；需要有較大的磁盤空間作為存儲(chǔ)緩沖,第三節(jié) 防火墻體系結(jié)構(gòu),網(wǎng)絡(luò)信息安全西財(cái),57,三、堡壘主機(jī),3. 堡壘主機(jī)的選擇,4）堡壘主機(jī)的物理位置 位置要安全 堡壘主機(jī)在網(wǎng)絡(luò)上的位置,第三節(jié) 防火墻體系結(jié)構(gòu),網(wǎng)絡(luò)信息安全西財(cái),58,三、堡壘主機(jī),3. 堡壘主機(jī)的選擇,5）堡壘主機(jī)提供的服務(wù) 堡壘主機(jī)應(yīng)當(dāng)提供站點(diǎn)所需求的所有與互聯(lián)網(wǎng)有關(guān)的服務(wù)，同時(shí)還要經(jīng)過包過濾提供內(nèi)部網(wǎng)絡(luò)向外界的服務(wù)。任何與外部網(wǎng)絡(luò)無關(guān)的服務(wù)都不應(yīng)放置在堡壘主機(jī)上,第三節(jié) 防火墻體系結(jié)構(gòu),網(wǎng)絡(luò)信息安全西財(cái),59,三、堡壘主機(jī),3. 堡壘主機(jī)的選擇,我們將可以由堡壘主機(jī)提供的服務(wù)分成以下四個(gè)級(jí)別。 無風(fēng)險(xiǎn)服務(wù)，僅僅通過包過濾便可實(shí)施的服務(wù)。 低風(fēng)險(xiǎn)服務(wù)，在有些情況下這些服務(wù)運(yùn)行時(shí)有安全隱患，但加以一些安全控制措施便可消除安全問題，這類服務(wù)只能由堡壘主機(jī)提供。 高風(fēng)險(xiǎn)服務(wù)，在使用這些服務(wù)時(shí)無法徹底消除安全隱患；這類服務(wù)一般應(yīng)被禁用，特別需要時(shí)也只能放置在主機(jī)上使用。 禁用服務(wù)，應(yīng)被徹底禁止使用的服務(wù),第三節(jié) 防火墻體系結(jié)構(gòu),網(wǎng)絡(luò)信息