網(wǎng)絡(luò)管理與安全技術(shù)52

1、網(wǎng)絡(luò)管理與平安技術(shù).第7章 防火墻 防火墻作為網(wǎng)絡(luò)平安的一種防護(hù)手段得到了廣泛的運(yùn)用，已成為各企業(yè)網(wǎng)絡(luò)中實施平安維護(hù)的中心，平安管理員可以經(jīng)過其選擇性地回絕進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流量，加強(qiáng)了對網(wǎng)絡(luò)的維護(hù)作用 。. 防火墻是位于兩個信任程度不同的網(wǎng)絡(luò)之間的軟件或硬件設(shè)備的組合，它對兩個網(wǎng)絡(luò)之間的通訊進(jìn)展控制，經(jīng)過強(qiáng)迫實施一致的平安戰(zhàn)略，防止對重要信息資源的非法存取和訪問，以到達(dá)維護(hù)系統(tǒng)平安的目的。 防火墻通常是運(yùn)轉(zhuǎn)在一臺單獨計算機(jī)之上的一個特別的效力軟件，用來維護(hù)由許多臺計算機(jī)組成的內(nèi)部網(wǎng)絡(luò)，可以識別并屏蔽非法懇求，有效防止跨越權(quán)限的數(shù)據(jù)訪問。防火墻可以是非常簡單的過濾器，也能夠是精心配置的網(wǎng)關(guān)。但都可

2、用于監(jiān)測并過濾一切內(nèi)部網(wǎng)和外部網(wǎng)之間的信息交換。 防火墻維護(hù)著內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)不被竊取和破壞，并記錄內(nèi)外通訊的有關(guān)形狀信息日志，如通訊發(fā)生的時間和進(jìn)展的操作等等。新一代的防火墻甚至可以阻止內(nèi)部人員將敏感數(shù)據(jù)向外傳輸，并對網(wǎng)絡(luò)數(shù)據(jù)的流動實現(xiàn)有效地管理。 7.1 防火墻根本概念 .防火墻表示圖 .UF3500/3100防火墻運(yùn)用 三端口NAT方式交換機(jī)路由器集線器防火墻UF3500/3100WWW 效力器Mail效力器PCPCFTP 效力器.7.1.1 防火墻技術(shù)開展情況 自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統(tǒng)后，防火墻技術(shù)得到了飛速的開展。許多公

3、司推出了功能不同的防火墻系統(tǒng)產(chǎn)品。第一代防火墻，又稱為包過濾防火墻，其主要經(jīng)過對數(shù)據(jù)包源地址、目的地址、端口號等參數(shù)來決議能否允許該數(shù)據(jù)包經(jīng)過或進(jìn)展轉(zhuǎn)發(fā)，但這種防火墻很難抵御IP地址欺騙等攻擊，而且審計功能很差。第二代防火墻，也稱代理效力器，它用來提供網(wǎng)絡(luò)效力級的控制，起到外部網(wǎng)絡(luò)向被維護(hù)的內(nèi)部網(wǎng)絡(luò)懇求效力時中間轉(zhuǎn)接作用，這種方法可以有效地防止對內(nèi)部網(wǎng)絡(luò)的直接攻擊，平安性較高。第三代防火墻有效地提高了防火墻的平安性，稱為形狀監(jiān)控功能防火墻，它可以對每一層的數(shù)據(jù)包進(jìn)展檢測和監(jiān)控。.第四代防火墻：1992年，開發(fā)出了基于動態(tài)包過濾技術(shù)的第四代防火墻。第五代防火墻：1998年，NAI公司推出了一種自

4、順應(yīng)代理技術(shù)，可以稱之為第五代防火墻。7.1.1 防火墻技術(shù)開展情況 .7.1.2 防火墻的義務(wù) 防火墻應(yīng)可以確保滿足以下四個目的 ：1. 實現(xiàn)平安戰(zhàn)略 防火墻的主要目的是強(qiáng)迫執(zhí)行人們所設(shè)計的平安戰(zhàn)略。比如，平安戰(zhàn)略中只需對效力器的SMTP流量作些限制，那么就要在防火墻中直接設(shè)置并執(zhí)行這一戰(zhàn)略。 防火墻普通實施兩個根本設(shè)計戰(zhàn)略之一 ：n 凡是沒有明確表示允許的就要被制止；n 凡是沒有明確表示制止的就要被允許。.2. 創(chuàng)建檢查點 防火墻在內(nèi)部網(wǎng)絡(luò)和公網(wǎng)間建立一個檢查點。經(jīng)過檢查點防火墻設(shè)備可以監(jiān)視、過濾和檢查一切進(jìn)來和出去的流量。網(wǎng)絡(luò)管理員可以在檢查點上集中實現(xiàn)平安目的。7.1.2 防火墻的義務(wù)

5、.7.1.2 防火墻的義務(wù) 九運(yùn)會信息網(wǎng)絡(luò)系統(tǒng)曾經(jīng)受并勝利地抵御了87萬多次網(wǎng)絡(luò)攻擊. 3. 記錄Internet活動 防火墻可以進(jìn)展日志記錄，并且提供警報功能。經(jīng)過在防火墻上實現(xiàn)日志效力，平安管理員可以監(jiān)視一切從外部網(wǎng)或互聯(lián)網(wǎng)的訪問。好的日志戰(zhàn)略是實現(xiàn)網(wǎng)絡(luò)平安的有效工具之一。防火墻對于管理員進(jìn)展日志存檔提供了更多的信息。 .7.1.2 防火墻的義務(wù)維護(hù)內(nèi)部網(wǎng)絡(luò) 對于公網(wǎng)防火墻隱藏了內(nèi)部系統(tǒng)的一些信息以添加其嚴(yán)密性。當(dāng)遠(yuǎn)程節(jié)點探測內(nèi)部網(wǎng)絡(luò)時，其僅僅能看到防火墻。遠(yuǎn)程節(jié)點不會知道內(nèi)部網(wǎng)絡(luò)構(gòu)造和資源。防火墻以提高認(rèn)證功能和對網(wǎng)絡(luò)加密來限制網(wǎng)絡(luò)信息的暴露，并經(jīng)過對一切輸入的流量時行檢查，以限制從外部

6、發(fā)動的攻擊。 .7.2 防火墻技術(shù) 目前大多數(shù)防火墻都采用幾種技術(shù)相結(jié)合的方式來維護(hù)網(wǎng)絡(luò)不受惡意的攻擊，其根本技術(shù)通常分為兩類：l 網(wǎng)絡(luò)數(shù)據(jù)單元過濾l 網(wǎng)絡(luò)效力代理.7.2.1 數(shù)據(jù)包過濾數(shù)據(jù)包過濾Packet Filtering技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)展分析、選擇，選擇的根據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，稱為訪問控制表Access Control Table。經(jīng)過檢查數(shù)據(jù)流中每一個數(shù)據(jù)包的源地址、目的地址、所用端口號、協(xié)議形狀等要素，或它們的組合來確定能否允許該數(shù)據(jù)包經(jīng)過。 .7.2.1 數(shù)據(jù)包過濾包過濾技術(shù)任務(wù)在OIS七層模型的網(wǎng)絡(luò)層上并有兩個功能，即允許和阻止；假設(shè)檢查數(shù)據(jù)包一切的條件都符合規(guī)

7、那么，那么允許進(jìn)展路由；假設(shè)檢查到數(shù)據(jù)包的條件不符合規(guī)那么，那么阻止經(jīng)過并將其丟棄。包檢查是對IP頭和傳輸層的頭進(jìn)展過濾，普通要檢查下面幾項： .7.2.1 數(shù)據(jù)包過濾l 源IP地址l 目的IP地址l TCP/UDP源端口l TCP/UDP目的端口l 協(xié)議類型TCP包、UDP包、ICMP包l TCP報頭中的ACK位l ICMP音訊類型.7.2.1 數(shù)據(jù)包過濾例如：假想象制止從Internet的遠(yuǎn)程登錄到內(nèi)部網(wǎng)設(shè)備中，那么需求建立一條包過濾規(guī)那么。由于Telnet效力是運(yùn)用TCP協(xié)議的23端口，那么制止Telnet的包過濾規(guī)那么 為： 規(guī)那么號 功能源IP地址目的IP地址源端口 目的端口協(xié)議1

8、Discard* * 23 * TCP2 Discard* * * 23 TCP 上表列出的信息是路由器丟棄一切從TCP23端口出去和進(jìn)來的數(shù)據(jù)包。其它一切的數(shù)據(jù)包都允許經(jīng)過。 .例如：FTP運(yùn)用TCP的20和21端口。假設(shè)包過濾要制止一切的數(shù)據(jù)包只允許特殊的數(shù)據(jù)包經(jīng)過。 規(guī)那么號 功能 源IP地址 目的IP地址 源端口 目的端口 協(xié)議 1 Allow * * * TCP 2 Allow * 20 * TCP第一條是允許地址為的網(wǎng)段內(nèi)而其源端口和目的端口為恣意的主機(jī)進(jìn)展TCP的會話。第二條是允許端口為20的任何遠(yuǎn)程IP地址都可以銜接到的恣意端口上。第二條規(guī)那么不能限制目的端口是由于自動的FTP

9、客戶端是不運(yùn)用20端口的。當(dāng)一個自動的FTP客戶端發(fā)起一個FTP會話時，客戶端是運(yùn)用動態(tài)分配的端口號。而遠(yuǎn)程的FTP效力器只檢查這個網(wǎng)絡(luò)內(nèi)端口為20的設(shè)備。有閱歷的黑客可以利用這些規(guī)那么非法訪問內(nèi)部網(wǎng)絡(luò)中的任何資源。所以要對FTP包過濾的規(guī)那么加以相應(yīng)修正 .7.2.1 數(shù)據(jù)包過濾規(guī)那么號 功能 源IP地址 目的IP地址 源端口 目的端口 協(xié)議1 Allow * * 21 TCP2 Block* 20 1024 TCP3 Allow * 20 * TCP ACK=1第一條是允許網(wǎng)絡(luò)地址為內(nèi)的任何主機(jī)與目的地址為恣意且端口為21建立TCP的會話銜接。第二條是阻止任何源端口為20的遠(yuǎn)程IP地址訪問

10、內(nèi)部網(wǎng)絡(luò)地址為且端口小于1024的恣意主機(jī)。第三條規(guī)那么是允許源端口為20的恣意遠(yuǎn)程主機(jī)可以訪問網(wǎng)絡(luò)內(nèi)主機(jī)恣意端口。這些規(guī)那么的運(yùn)用是按照順序執(zhí)行的。第三條看上去好似是矛盾的。假設(shè)任何包違反第二條規(guī)那么，它會被立刻丟棄掉，第三條規(guī)那么不會執(zhí)行。但第三條規(guī)那么依然需求是由于包過濾對一切進(jìn)來和出去的流量進(jìn)展過濾直到遇到特定的允許規(guī)那么。 .7.2.1 數(shù)據(jù)包過濾包過濾防火墻的優(yōu)點 速度快、邏輯簡單、本錢低、易于安裝和運(yùn)用，網(wǎng)絡(luò)性能和透明度好。它通常安裝在路由器上，因內(nèi)部網(wǎng)絡(luò)與Internet銜接必需經(jīng)過路由器，所以在原有網(wǎng)絡(luò)上添加這類防火墻，幾乎不需求任何額外的費(fèi)用。包過濾防火墻的缺陷 不能對數(shù)據(jù)

11、內(nèi)容進(jìn)展控制，缺乏用戶級的授權(quán)；非法訪問一旦突破防火墻，即可對主機(jī)上的系統(tǒng)和配置進(jìn)展攻擊。數(shù)據(jù)包的源地址、目的地址以及IP端口號都在數(shù)據(jù)包的頭部，很有能夠被冒充或竊取。 .7.2.2 運(yùn)用級網(wǎng)關(guān) 運(yùn)用層網(wǎng)關(guān)技術(shù)是在網(wǎng)絡(luò)的運(yùn)用層上實現(xiàn)協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對特定的網(wǎng)絡(luò)運(yùn)用效力協(xié)議運(yùn)用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時，對數(shù)據(jù)包進(jìn)展必要的分析、記錄和統(tǒng)計，構(gòu)成報告。實踐的運(yùn)用網(wǎng)關(guān)通常安裝在公用任務(wù)站系統(tǒng)上 .7.2.2 運(yùn)用級網(wǎng)關(guān)運(yùn)用級網(wǎng)關(guān)可以了解運(yùn)用層上的協(xié)議，進(jìn)展復(fù)雜一些的訪問控制。但每一種協(xié)議需求相應(yīng)的代理軟件，運(yùn)用時任務(wù)量大，效率不如網(wǎng)絡(luò)級防火墻。常用的運(yùn)用級防火墻有相應(yīng)的代理效力器，運(yùn)

12、用級網(wǎng)關(guān)有較好的訪問控制，但實現(xiàn)困難，而且有的運(yùn)用級網(wǎng)關(guān)缺乏“透明度 .7.2.2 運(yùn)用級網(wǎng)關(guān)運(yùn)用層網(wǎng)關(guān)防火墻和數(shù)據(jù)包過濾有一個共同的特點，就是它們僅僅依托特定的邏輯來判別能否允許數(shù)據(jù)包經(jīng)過。一旦符合條件，防火墻內(nèi)外的計算機(jī)系統(tǒng)便可以建立直接聯(lián)絡(luò)，外部的用戶便有能夠直接了解到防火墻內(nèi)部的網(wǎng)絡(luò)構(gòu)造和運(yùn)轉(zhuǎn)形狀，這大大添加了非法訪問和攻擊的時機(jī)。 .7.2.3 代理效力 運(yùn)用代理效力技術(shù)可以將一切跨越防火墻的網(wǎng)絡(luò)通訊鏈路分為兩段。防火墻內(nèi)外計算機(jī)系統(tǒng)間運(yùn)用層的銜接是由兩個代理效力器之間的銜接來實現(xiàn)，外部計算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理效力器，從而起到隔離防火墻內(nèi)外計算機(jī)系統(tǒng)的作用。另外，代理效力器也對過

13、往的數(shù)據(jù)包進(jìn)展分析、記錄、構(gòu)成報告，當(dāng)發(fā)現(xiàn)攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警告，并保管攻擊痕跡。 .7.2.3 代理效力 運(yùn)用代理效力器對客戶端的懇求行使“代理職責(zé)?？蛻舳算暯拥椒阑饓Σl(fā)出懇求，然后防火墻銜接到效力器，并代表這個客戶端反復(fù)這個懇求。前往時數(shù)據(jù)發(fā)送到代理效力器，然后再傳送給用戶，從而確保內(nèi)部IP地址和口令不在Internet上出現(xiàn)。 .7.2.3 代理效力代理技術(shù)與包過濾技術(shù)完全不同，包過濾技術(shù)是在網(wǎng)絡(luò)層攔截一切的信息流，代理技術(shù)是針對每一個特定運(yùn)用都有一個程序。根據(jù)其處置協(xié)議的不同，可分為FTP網(wǎng)關(guān)型、WWW網(wǎng)關(guān)型、Telnet網(wǎng)關(guān)型等防火墻，其優(yōu)點在于既能進(jìn)展平安控制，又可加速

14、訪問，但實現(xiàn)起來比較困難，對于每一種效力協(xié)議必需設(shè)計一個代理軟件方式，以進(jìn)展平安控制。 .7.2.3 代理效力運(yùn)用層代理主要的優(yōu)點：支持用戶認(rèn)證并提供詳細(xì)的注冊信息；過濾規(guī)那么相對于包過濾路由器更容易配置和測試；可提供詳細(xì)的日志和平安審計功能；可以隱藏內(nèi)部網(wǎng)的IP地址以維護(hù)內(nèi)部主機(jī)不受外部主機(jī)的進(jìn)攻；內(nèi)部網(wǎng)中的一切主機(jī)經(jīng)過代理可以訪問Internet。運(yùn)用層代理也有明顯的缺陷：運(yùn)用層實現(xiàn)的防火墻會呵斥執(zhí)行速度慢，其性能明顯下降；每個運(yùn)用程序都必需有一個代理效力程序來進(jìn)展平安控制，并隨運(yùn)用晉級面晉級。其順應(yīng)性和銜接性都是有限的。.7.2.4 形狀檢測 形狀檢測是對包過濾功能的擴(kuò)展。傳統(tǒng)的包過濾在

15、用動態(tài)端口的協(xié)議時，事先無法知道哪些端口需求翻開，就會將一切能夠用到的端口翻開，而這會給平安帶來不用要的隱患。形狀檢測將經(jīng)過檢查運(yùn)用程序信息來判別此端口能否需求暫時翻開，并當(dāng)傳輸終了時，端口馬上恢復(fù)為封鎖形狀。 .7.2.4 形狀檢測形狀檢測防火墻抑制了包過濾防火墻和運(yùn)用代理效力器的局限性，不要求每個被訪問的運(yùn)用都有代理。形狀檢測模塊可以了解并學(xué)習(xí)各種協(xié)議和運(yùn)用，以支持各種最新的運(yùn)用效力。形狀檢測模塊截獲、分析并處置一切試圖經(jīng)過防火墻的數(shù)據(jù)包，保證網(wǎng)絡(luò)的高度平安和數(shù)據(jù)完好。網(wǎng)絡(luò)和各種運(yùn)用的通訊形狀動態(tài)存儲、更新到動態(tài)形狀表中，結(jié)合預(yù)定義好的規(guī)那么，實現(xiàn)平安戰(zhàn)略。形狀檢測是檢查OSI七層模型的一

16、切層，以決議能否過濾，而不僅僅是對網(wǎng)絡(luò)層檢測。 .7.3 防火墻體系構(gòu)造及其運(yùn)用 防火墻體系構(gòu)造通常分為四類：l 屏蔽路由器Screening Routerl 屏蔽主機(jī)網(wǎng)關(guān) (Screened Host Gateway)l雙穴主機(jī)網(wǎng)關(guān) (Dual-Homed Gateway)l 屏蔽子網(wǎng) (Screened Subnet). 7.3.1屏蔽路由器 屏蔽路由器就是實施過濾的路由器 包過濾路由器在網(wǎng)絡(luò)之間完成數(shù)據(jù)包轉(zhuǎn)發(fā)的普通路由功能，并利用包過濾規(guī)那么來允許或回絕數(shù)據(jù)包。通常過濾規(guī)那么定義為：內(nèi)部網(wǎng)絡(luò)上的主機(jī)可以直接訪問Internet，Internet上的主機(jī)對內(nèi)部網(wǎng)絡(luò)上的主機(jī)進(jìn)展訪問是有限制的

17、，即沒有特別允許的數(shù)據(jù)包都回絕。 . 7.3.1屏蔽路由器 INTERNET包過濾路由器內(nèi)部網(wǎng)絡(luò)屏蔽路由器. 7.3.1屏蔽路由器 優(yōu)點是價錢低且易于運(yùn)用，缺陷需求掌握TCP/IP知識才干創(chuàng)建相應(yīng)的過濾規(guī)那么，假設(shè)有配置錯誤將會導(dǎo)致不期望的流量經(jīng)過或回絕一些應(yīng)接受的流量。包過濾路由器不隱藏內(nèi)部網(wǎng)絡(luò)的配置，任何允許訪問屏蔽路由器的用戶都可看到網(wǎng)絡(luò)的規(guī)劃和構(gòu)造。其監(jiān)視和日志功能較弱，通常也沒有警報的功能。這就意味著網(wǎng)絡(luò)管理員要不斷地檢查網(wǎng)絡(luò)以確定其能否遭到攻擊。防火墻一旦被攻陷后很難發(fā)現(xiàn)攻擊者。 .7.3.2 屏蔽主機(jī)網(wǎng)關(guān) 防火墻系統(tǒng)采用了包過濾路由器和堡壘主機(jī)組成的防火墻。提供的平安等級比包過濾

18、防火墻要高，其實現(xiàn)了網(wǎng)絡(luò)層平安包過濾和運(yùn)用層平安代理效力。堡壘主機(jī)可以經(jīng)過網(wǎng)絡(luò)地址解析來隱藏內(nèi)部網(wǎng)絡(luò)的配置信息。 INTERNET包過濾路由器內(nèi)部網(wǎng)絡(luò)屏蔽主機(jī)防火墻信息效力器堡壘主機(jī).7.3.2 屏蔽主機(jī)網(wǎng)關(guān)屏蔽主機(jī)防火墻是針對一切進(jìn)出的信息都要經(jīng)過堡壘主機(jī)而設(shè)計的。堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上，而包過濾路由器那么放置在內(nèi)部網(wǎng)絡(luò)和Internet之間。在路由器上進(jìn)展過濾規(guī)那么配置，使得外部系統(tǒng)只能訪問堡壘主機(jī)，內(nèi)部系統(tǒng)的其他主機(jī)的信息全部被阻塞。確保了內(nèi)部網(wǎng)絡(luò)不受外部攻擊。 由于內(nèi)部主機(jī)與堡壘主機(jī)處于同一網(wǎng)絡(luò)，平安戰(zhàn)略之一就是決議能否允許內(nèi)部系統(tǒng)直接訪問Internet或運(yùn)用堡壘主機(jī)上的代理效力來

19、訪問Internet。假設(shè)要強(qiáng)迫內(nèi)部用戶運(yùn)用代理效力，那么可在路由器配置過濾規(guī)那么時，讓Internet只接受來自堡壘主機(jī)的內(nèi)部數(shù)據(jù)包。 .7.3.2 屏蔽主機(jī)網(wǎng)關(guān)該防火墻系統(tǒng)的優(yōu)點內(nèi)網(wǎng)的變化不影響堡壘主機(jī)和屏蔽路由器的配置?？蓪⑻峁┕_的信息效力的效力器放置在由包過濾路由器和堡壘主機(jī)共用的網(wǎng)段上。假設(shè)要求有特別高的平安特性，可讓堡壘主機(jī)運(yùn)轉(zhuǎn)代理效力，使得內(nèi)部和外部用戶在與信息效力器通訊之前，必需先經(jīng)過堡壘主機(jī)。假設(shè)平安等級較低，那么可將路由器配置成讓外部用戶直接訪問公共的信息效力器。 .7.3.2 屏蔽主機(jī)網(wǎng)關(guān)與包過濾比較，這種方法的缺陷是：添加了本錢并降低了性能。由于堡壘主機(jī)處置信息時，網(wǎng)

20、絡(luò)經(jīng)常需求更多的時間來對用戶的懇求做出呼應(yīng)。運(yùn)用戶訪問Internet變得較慢。假設(shè)堡壘主機(jī)效力器作為運(yùn)用級網(wǎng)關(guān)，內(nèi)部客戶端必需被配置成運(yùn)用運(yùn)用網(wǎng)關(guān)效力。 .7.3.3 雙宿主機(jī)網(wǎng)關(guān) 用一臺裝有兩塊網(wǎng)卡的堡壘主機(jī)做防火墻，一塊與內(nèi)網(wǎng)相連，一塊與外部網(wǎng)相連。堡壘主機(jī)上運(yùn)轉(zhuǎn)著防火墻軟件，可以轉(zhuǎn)發(fā)運(yùn)用程序，提供效力等。這種防火墻由于在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間創(chuàng)建了完全的物理隔斷，添加了更有效的平安性。 INTERNET包過濾路由器內(nèi)部網(wǎng)絡(luò) 雙宿堡壘主機(jī)防火墻信息效力器堡壘主機(jī).7.3.3 雙宿主機(jī)網(wǎng)關(guān)在單宿主堡壘主機(jī)構(gòu)造上，一切外部的流量直接轉(zhuǎn)發(fā)到堡壘主機(jī)上執(zhí)行。黑客可修正路由器而不把數(shù)據(jù)包轉(zhuǎn)發(fā)給堡壘

21、主機(jī)，這樣將會繞過堡壘主機(jī)且直接進(jìn)入到內(nèi)部網(wǎng)絡(luò)中。雙宿堡壘主機(jī)有兩個網(wǎng)絡(luò)接口，但主機(jī)不能在兩個端口之間直接轉(zhuǎn)發(fā)信息。這種物理構(gòu)造強(qiáng)行讓一切去往內(nèi)部網(wǎng)絡(luò)的信息經(jīng)過堡壘主機(jī)。 .7.3.3 雙宿主機(jī)網(wǎng)關(guān)雙宿主機(jī)網(wǎng)關(guān)優(yōu)于屏蔽路由器的地方是：堡壘主機(jī)的系統(tǒng)軟件可用于維護(hù)系統(tǒng)日志、硬件拷貝日志或遠(yuǎn)程日志。便于日后的檢查之用。由于堡壘主機(jī)是獨一能從Internet上直接訪問的內(nèi)部系統(tǒng)，所以有能夠遭到攻擊的主機(jī)就只需堡壘主機(jī)本身。對于入侵者來說，允許其注冊到堡壘主機(jī)，就可容易的破壞堡壘主機(jī)而整個內(nèi)部網(wǎng)絡(luò)遭到攻擊的要挾。因此，防止被浸透和不允許非法用戶注冊對堡壘主機(jī)來說是至關(guān)重要的。 .7.3.4 屏蔽子網(wǎng)

22、實施防火墻最常見的方法就是屏蔽子網(wǎng)。在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)，稱之為非軍事區(qū)DMZ。其是用兩臺分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開，網(wǎng)絡(luò)管理員將堡壘主機(jī)、信息效力器以及其他公用效力器放在DMZ網(wǎng)絡(luò)中。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問被屏蔽子網(wǎng)，但制止其穿過被屏蔽子網(wǎng)直接通訊。屏蔽子網(wǎng)中的堡壘主機(jī)作為獨一可訪問點，并作為運(yùn)用網(wǎng)關(guān)代理。 INTERNET包過濾路由器內(nèi)部網(wǎng)絡(luò)屏蔽子網(wǎng)防火墻信息效力器堡壘主機(jī)包過濾路由器.7.3.4 屏蔽子網(wǎng)對于進(jìn)來的信息，外面的路由器用于防備通常的外部攻擊，并管理Internet到DMZ網(wǎng)絡(luò)的訪問。它只允許外部系統(tǒng)訪問堡壘主機(jī)和信息效力

23、器 。里面的路由器提供第二層防御，只接受源于堡壘主機(jī)的數(shù)據(jù)包，擔(dān)任的是管理DMZ到內(nèi)部網(wǎng)絡(luò)的訪問。對于出來的信息，里面的路由器管理內(nèi)部網(wǎng)絡(luò)到DMZ的訪問。它允許內(nèi)部系統(tǒng)只訪問堡壘主機(jī)和信息效力器。外面的路由器上的過濾規(guī)那么要求運(yùn)用代理效力，即只接受來自堡壘主機(jī)的去往Internet的數(shù)據(jù)包。 .7.3.4 屏蔽子網(wǎng)屏蔽子網(wǎng)防火墻系統(tǒng)有以下幾個優(yōu)點： 入侵者必需攻克三個不同的設(shè)備且不被發(fā)現(xiàn)才干侵襲內(nèi)部網(wǎng)絡(luò)。 內(nèi)部網(wǎng)絡(luò)對Internet來說是不可見的，由于一切進(jìn)出的數(shù)據(jù)包都會直接送到DMZ。并且只需在DMZ網(wǎng)絡(luò)上選定的系統(tǒng)才對Internet開放。這使黑客想得到內(nèi)部系統(tǒng)的信息幾乎不太能夠的。由于內(nèi)

24、部路由器只向內(nèi)部網(wǎng)絡(luò)通告DMZ的存在，內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)不能直接通往Internet，這樣就保證了內(nèi)部網(wǎng)絡(luò)上的用戶必需經(jīng)過駐留在堡壘主機(jī)上的代理效力才干訪問Internet。這種配置防止了內(nèi)部用戶繞過內(nèi)網(wǎng)的平安機(jī)制。 .7.3.4 屏蔽子網(wǎng) 外部路由器直接將數(shù)據(jù)引向DMZ網(wǎng)絡(luò)上所指定的系統(tǒng)，無必要設(shè)置雙宿堡壘主機(jī)。內(nèi)部路由器作為內(nèi)部網(wǎng)絡(luò)與公網(wǎng)之間的防火墻系統(tǒng)并支持比雙宿堡壘主機(jī)更大的數(shù)據(jù)包吞吐量。 在DMZ網(wǎng)絡(luò)上可以安裝NAT于堡壘主機(jī)上，從而防止在內(nèi)部網(wǎng)絡(luò)上重新編址或重新劃分子網(wǎng)。 在實踐運(yùn)用中，詳細(xì)采用哪一種防火墻主要取決于網(wǎng)絡(luò)向用戶提供什么樣的效力及網(wǎng)絡(luò)所接受的風(fēng)險等級。還要取決于經(jīng)費(fèi)和技

25、術(shù)人員的技術(shù)及時間等要素。 .7.4 防火墻的類型 大多數(shù)防火墻都可以實現(xiàn)上述所討論的功能，在實踐運(yùn)用中的防火墻以其實現(xiàn)方式可以分為以下四種類型： l 嵌入式防火墻l 軟件防火墻l 硬件防火墻l 運(yùn)用程序防火墻. 7.4.1 嵌入式防火墻 當(dāng)防火墻功能被集成到路由器或者交換機(jī)上時，這種防火墻稱為嵌入式embedded防火墻。其通常只對分組信息進(jìn)展IP級的檢查，可獲得較高的性能，易于實現(xiàn)并有較好的性價比。 .7.4.2 軟件防火墻 軟件防火墻又分有兩種類型:一是企業(yè)級軟件防火墻，其用于大型網(wǎng)絡(luò)上并執(zhí)行路由選擇功能。另一種是SOHO(Small Office Home Office)級。軟件防火墻

26、通常會提供全面的防火墻功能.基于效力器的防火墻實踐上是在操作系統(tǒng)之上運(yùn)轉(zhuǎn)的運(yùn)用程序。其系統(tǒng)平臺有Unix、Linux以及Windows NT、2000、XP和.NET等。 .7.4.3 硬件防火墻 由于硬件路由器也要運(yùn)用軟件，所以將硬件防火墻又稱為設(shè)備防火墻。其設(shè)計成一種總體系統(tǒng)，不需求復(fù)雜的安裝或配置就可以提供防火墻功能。硬件防火墻與軟件防火墻類似，可以針對企業(yè)運(yùn)用市場來設(shè)計，也可以針對SOHO環(huán)境?；谠O(shè)備的防火墻也為集成處理方案，是指運(yùn)轉(zhuǎn)在公用的硬件和軟件上的防火墻產(chǎn)品。如Cisco PIX防火墻就屬于這種集成設(shè)備，其整個系統(tǒng)不能實現(xiàn)除防火墻之外的其他任何功能，并且也沒有硬盤或效力器的其他常規(guī)組件。由于它的集成性和公用性，其速度、穩(wěn)定性和平安性方面都比基于效力器的防火墻更好。但基于效力器的防火墻會提供一些額外的配置和支持選項，并且價錢比集成處理方案要廉價。 .7.4.4 運(yùn)用程序防火墻 運(yùn)用程序防火