屏蔽子網(wǎng)體系結(jié)構(gòu)

1、屏蔽子網(wǎng)體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)通過(guò)添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)，即通過(guò) 添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與 Internet 隔離開(kāi)。在這種結(jié)構(gòu)下，即使攻破了堡壘主機(jī)，也不能直接侵入內(nèi)部網(wǎng)絡(luò)（他將仍 然必須通過(guò)內(nèi)部路由器）。圖9.4 屏蔽子網(wǎng)體系結(jié)構(gòu)堡壘主機(jī)是用戶的網(wǎng)絡(luò)上最容易受侵襲的機(jī)器。任憑用戶盡最大的力氣去保護(hù)它，它仍是最有可能被侵襲的機(jī)器，因?yàn)樗?本質(zhì)上是能夠被侵襲的機(jī)器。如果在屏蔽主機(jī)體系結(jié)構(gòu)中，用戶的內(nèi)部網(wǎng)絡(luò)對(duì)來(lái)自用戶的堡壘主機(jī)的侵 襲門戶洞開(kāi)，那么用戶的堡壘主機(jī)是非常誘人的攻擊目標(biāo)。在它與用戶的其它內(nèi)部機(jī)器之間沒(méi)有其它的防御手段時(shí)（除了它們可能有 的主機(jī)安全之外，這通常

2、是非常少的）。如果有人成功地侵入屏蔽主機(jī)體系結(jié)構(gòu)中的堡壘主機(jī)，那就毫無(wú)阻擋地進(jìn) 入了內(nèi)部系統(tǒng)。通過(guò)在周邊網(wǎng)絡(luò)上隔離堡壘主機(jī)，能減少在堡壘主機(jī)上侵入的影響?？梢哉f(shuō)，它只給入侵者一些訪問(wèn)的機(jī)會(huì)，但不是全部。屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡(jiǎn)單的形式為，兩個(gè)屏蔽路由器，每一個(gè)都連接到 周邊網(wǎng)。一個(gè)位于周邊網(wǎng)與內(nèi)部的網(wǎng)絡(luò)之間，另一個(gè)位于周邊網(wǎng)與外部網(wǎng)絡(luò)之間 （通常為 Internet ）。為了侵入用這種類型的體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，侵襲者必須要通過(guò)兩個(gè) 路由器。即使侵襲者設(shè)法侵入堡壘主機(jī)，他將仍然必須通過(guò)內(nèi)部路由器。在此情況下，沒(méi)有損害內(nèi)部網(wǎng)絡(luò)的單一的易受侵襲點(diǎn)。 作為入侵者，只是進(jìn)行了一次訪問(wèn)。（1）周邊網(wǎng)絡(luò)是

3、另一個(gè)安全層，是在外部網(wǎng)絡(luò)與用戶的被保護(hù)的內(nèi)部網(wǎng)絡(luò) 之間的附加的網(wǎng)絡(luò)。如果侵襲者成功地侵入用戶的防火墻的外層領(lǐng)域，周邊網(wǎng)絡(luò)在那個(gè)侵襲者 與用戶的內(nèi)部系統(tǒng)之間提供一個(gè)附加的保護(hù)層。在許多網(wǎng)絡(luò)結(jié)構(gòu)中，用給定網(wǎng)絡(luò)上的任何機(jī)器來(lái)查看這個(gè)網(wǎng)絡(luò)上的每一臺(tái) 機(jī)器的通信是可能的，如以太網(wǎng)、令牌環(huán)和 FDDI。探聽(tīng)者可以監(jiān)聽(tīng)Telnet、FTP以及rlogin會(huì)話期間使用過(guò)的口令，偷看敏感 信息等；探聽(tīng)者能完全監(jiān)視何人在使用網(wǎng)絡(luò)。對(duì)于周邊網(wǎng)絡(luò)，如果攻擊者侵入周邊網(wǎng)絡(luò)上的堡壘主機(jī)，他也僅能探聽(tīng)到 周邊網(wǎng)上的通信，內(nèi)部網(wǎng)絡(luò)的通信仍是安全的。（2）堡壘主機(jī)在屏蔽的子網(wǎng)體系結(jié)構(gòu)中，用戶把堡壘主機(jī)連接到周邊網(wǎng)； 這臺(tái)主機(jī)

4、便是接受來(lái)自外界連接的主要入口。例如：對(duì)于進(jìn)來(lái)的電子郵件（SMTP會(huì)話，傳送電子郵件到站點(diǎn)；對(duì)于進(jìn)來(lái)的FTP連接，轉(zhuǎn)接到站點(diǎn)的匿名FTP服務(wù)器；對(duì)于進(jìn)來(lái)的域名服務(wù)（DNS站點(diǎn)查從內(nèi)部的客戶端到在 Internet 上的服務(wù)器的出站服務(wù)按如下任一方法處 理：在外部和內(nèi)部的路由器上設(shè)置數(shù)據(jù)包過(guò)濾來(lái)允許內(nèi)部的客戶端直接訪問(wèn)外 部的服務(wù)器；設(shè)置代理服務(wù)器在堡壘主機(jī)上運(yùn)行來(lái)允許內(nèi)部的客戶端間接地訪 問(wèn)外部的服務(wù)器。用戶也可以設(shè)置數(shù)據(jù)包過(guò)濾來(lái)允許內(nèi)部的客戶端在堡壘主機(jī)上同代理服務(wù) 器交談，反之亦然。但是禁止內(nèi)部的客戶端與外部世界之間直接通信（即撥號(hào)入網(wǎng)方式）。（ 3）內(nèi)部路由器有時(shí)被稱為阻塞路由器，它保護(hù)

5、內(nèi)部的網(wǎng)絡(luò)使之免受 Internet 和周邊網(wǎng)的侵犯。內(nèi)部路由器為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過(guò)濾工作。它允許從內(nèi)部網(wǎng)到 Internet 的有選擇的出站服務(wù)。內(nèi)部路由器所允許的在堡壘主機(jī)和用戶的內(nèi)部網(wǎng)之間服務(wù)可以不同于內(nèi)部 路由器所允許的在 Internet 和用戶的內(nèi)部網(wǎng)之間的服務(wù)。限制堡壘主機(jī)和內(nèi)部網(wǎng)之間服務(wù)的理由是減少了堡壘主機(jī)被攻破時(shí)對(duì)內(nèi)部 網(wǎng)的危害。（ 4）外部路由器有時(shí)被稱為訪問(wèn)路由器，保護(hù)周邊網(wǎng)和內(nèi)部網(wǎng)使之免受來(lái) 自 Internet 的侵犯。實(shí)際上，外部路由器傾向于允許幾乎任何東西從周邊網(wǎng)出站，并且它們通 常只執(zhí)行非常少的數(shù)據(jù)包過(guò)濾。保護(hù)內(nèi)部機(jī)器的數(shù)據(jù)包過(guò)濾規(guī)則在內(nèi)部路由器

6、和外部路由器上基本上應(yīng)該 是一樣的；如果在規(guī)則中有允許侵襲者訪問(wèn)的錯(cuò)誤，錯(cuò)誤就可能出現(xiàn)在兩個(gè)路 由器上。一般，外部路由器由外部群組提供（例如用戶的 Internet 供應(yīng)商），同時(shí) 用戶對(duì)它的訪問(wèn)被限制。外部群組可能愿意放入一些通用型數(shù)據(jù)包過(guò)濾規(guī)則來(lái)維護(hù)路由器，但是不 愿意使用維護(hù)復(fù)雜或者頻繁變化的規(guī)則組。外部路由器能有效地執(zhí)行的安全任務(wù)之一是：阻止從 Internet 上偽造源地址進(jìn)來(lái)的任何數(shù)據(jù)包。這樣的數(shù)據(jù)包自稱來(lái)自內(nèi)部的網(wǎng)絡(luò)，但實(shí)際上是來(lái)自 Internet 。建造防火墻時(shí)，一般很少采用單一的技術(shù)，通常是多種解決不同問(wèn)題的技 術(shù)的組合。這種組合主要取決于網(wǎng)管中心向用戶提供什么樣的服務(wù)，以及網(wǎng)管中心能 接受什么等級(jí)風(fēng)險(xiǎn)。采用哪種技術(shù)主要取決于經(jīng)費(fèi)，投資的大小或技術(shù)人員的技術(shù)、時(shí)間等因 素。一般有以下幾種形式：使用多堡壘主機(jī)；合并內(nèi)部路由器與外部路由器；合并堡壘主機(jī)與外部路 由器；合并堡壘主機(jī)與內(nèi)部路由器；使用多臺(tái)內(nèi)部路由器；使用多臺(tái)外部路由 器；使用多個(gè)周邊網(wǎng)絡(luò)；使用雙重宿主主機(jī)與屏蔽子網(wǎng)。通常建立防火墻的目的在于保護(hù)內(nèi)部網(wǎng)免受外部網(wǎng)的侵?jǐn)_，但內(nèi)部網(wǎng)絡(luò)中 每個(gè)用戶所需要的服務(wù)和信息經(jīng)常是不一樣的，它們對(duì)安全保障的要求也不一 樣。例如，財(cái)務(wù)部分與其它部分分開(kāi)，人事檔案部分與辦公管理分開(kāi)等。我們還需要