計(jì)算機(jī)網(wǎng)絡(luò)信息安全第8章

第8章防火墻技術(shù)的原理與應(yīng)用

8.1防火墻概述

8.2防火墻技術(shù)與類型

8.3防火墻主要技術(shù)參數(shù)

8.4防火墻防御體系結(jié)構(gòu)類型

8.5防火墻部署與應(yīng)用案例8.6本章小結(jié)

本章思考與練習(xí)

8.1防

火

墻

概

述

8.1.1防火墻技術(shù)背景目前，各組織機(jī)構(gòu)都是通過便利的公共網(wǎng)絡(luò)與客戶、合作伙伴進(jìn)行信息交換的，但是，一些敏感的數(shù)據(jù)有可能泄露給第三方，特別是連上因特網(wǎng)的網(wǎng)絡(luò)將面臨黑客的攻擊和入侵。為了應(yīng)對(duì)網(wǎng)絡(luò)威脅，連網(wǎng)的機(jī)構(gòu)或公司將自己的網(wǎng)絡(luò)與公共的不可信任的網(wǎng)絡(luò)進(jìn)行隔離，其方法是根據(jù)網(wǎng)絡(luò)的平安信任程度和需要保護(hù)的對(duì)象，人為地劃分假設(shè)干平安區(qū)域，這些平安區(qū)域有：*公共外部網(wǎng)絡(luò)，如Internet。*內(nèi)聯(lián)網(wǎng)(Intranet)，如某個(gè)公司或組織的專用網(wǎng)絡(luò)，網(wǎng)絡(luò)訪問限制在組織內(nèi)部。*Extranet，是內(nèi)聯(lián)網(wǎng)的擴(kuò)展延伸，常用作組織與合作伙伴之間進(jìn)行通信。*軍事緩沖區(qū)域，簡(jiǎn)稱DMZ，該區(qū)域是介于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)段，常放置公共效勞設(shè)備，向外提供信息效勞。在平安區(qū)域劃分的根底上，通過一種網(wǎng)絡(luò)平安設(shè)備，控制平安區(qū)域間的通信，就能實(shí)現(xiàn)隔離有害通信的作用，進(jìn)而可以阻斷網(wǎng)絡(luò)攻擊。這種平安設(shè)備的功能類似于防火使用的墻，因而人們就把這種平安設(shè)備俗稱為“防火墻〞，它一般安裝在不同的平安區(qū)域邊界處，用于網(wǎng)絡(luò)通信平安控制，由專用硬件或軟件系統(tǒng)組成。8.1.2防火墻工作原理防火墻是由一些軟、硬件組合而成的網(wǎng)絡(luò)訪問控制器，它根據(jù)一定的平安規(guī)那么來(lái)控制流過防火墻的網(wǎng)絡(luò)包，如禁止或轉(zhuǎn)發(fā)，能夠屏蔽被保護(hù)網(wǎng)絡(luò)內(nèi)部的信息、拓?fù)浣Y(jié)構(gòu)和運(yùn)行狀況，從而起到網(wǎng)絡(luò)平安屏障的作用。防火墻一般用來(lái)將內(nèi)部網(wǎng)絡(luò)與Internet或者其他外部網(wǎng)絡(luò)互相隔離，限制網(wǎng)絡(luò)互訪，保護(hù)內(nèi)部網(wǎng)絡(luò)的平安，如圖8-1所示。圖8-1防火墻部署安裝示意圖

防火墻根據(jù)網(wǎng)絡(luò)包所提供的信息實(shí)現(xiàn)網(wǎng)絡(luò)通信訪問控制：如果網(wǎng)絡(luò)通信包符合網(wǎng)絡(luò)訪問控制策略，就允許該網(wǎng)絡(luò)通信包通過防火墻，否那么不允許，如圖8-2所示。防火墻的平安策略有兩種類型，即：(1)只允許符合平安規(guī)那么的包通過防火墻，其他通信包禁止。(2)禁止與平安規(guī)那么相沖突的包通過防火墻，其他通信包都允許。圖8-2防火墻工作示意圖

防火墻簡(jiǎn)單的可以用路由器、交換機(jī)實(shí)現(xiàn)，復(fù)雜的就要用一臺(tái)計(jì)算機(jī)，甚至一組計(jì)算機(jī)實(shí)現(xiàn)。按照TCP/IP協(xié)議的層次，防火墻的訪問控制可以作用于網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層，首先依據(jù)各層所包含的信息判斷是否遵循平安規(guī)那么，然后控制網(wǎng)絡(luò)通信連接，如禁止、允許。防火墻簡(jiǎn)化了網(wǎng)絡(luò)的平安管理。如果沒有它，網(wǎng)絡(luò)中的每個(gè)主機(jī)都處于直接受攻擊的范圍之內(nèi)。為了保護(hù)主機(jī)的平安，就必須在每臺(tái)主機(jī)上安裝平安軟件，并對(duì)每臺(tái)主機(jī)都要定時(shí)檢查和配置更新。歸納起來(lái)，防火墻的功能有：*過濾非平安網(wǎng)絡(luò)訪問。將防火墻設(shè)置為只有預(yù)先被允許的效勞和用戶才能通過防火墻，禁止未授權(quán)的用戶訪問受保護(hù)的網(wǎng)絡(luò)，降低被保護(hù)網(wǎng)絡(luò)受非法攻擊的風(fēng)險(xiǎn)。*限制網(wǎng)絡(luò)訪問。防火墻只允許外部網(wǎng)絡(luò)訪問受保護(hù)網(wǎng)絡(luò)的指定主機(jī)或網(wǎng)絡(luò)效勞，通常受保護(hù)網(wǎng)絡(luò)中的Mail、FTP、WWW效勞器等可讓外部網(wǎng)絡(luò)訪問，而其他類型的訪問那么予以禁止。防火墻也用來(lái)限制受保護(hù)網(wǎng)絡(luò)中的主機(jī)訪問外部網(wǎng)絡(luò)的某些效勞，例如某些不良網(wǎng)址。*網(wǎng)絡(luò)訪問審計(jì)。防火墻是外部網(wǎng)絡(luò)與受保護(hù)網(wǎng)絡(luò)之間的惟一網(wǎng)絡(luò)通道，可以記錄所有通過它的訪問并提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。依據(jù)防火墻的日志，可以掌握網(wǎng)絡(luò)的使用情況，例如網(wǎng)絡(luò)通信帶寬和訪問外部網(wǎng)絡(luò)的效勞數(shù)據(jù)。防火墻的日志也可用于入侵檢測(cè)和網(wǎng)絡(luò)攻擊取證。*網(wǎng)絡(luò)帶寬控制。防火墻可以控制網(wǎng)絡(luò)帶寬的分配使用，實(shí)現(xiàn)局部網(wǎng)絡(luò)質(zhì)量效勞(QoS)保障。*協(xié)同防御。目前，防火墻和入侵檢測(cè)系統(tǒng)通過交換信息實(shí)現(xiàn)聯(lián)動(dòng)，根據(jù)網(wǎng)絡(luò)的實(shí)際情況配置并修改平安策略，增強(qiáng)網(wǎng)絡(luò)平安。8.1.3防火墻缺陷盡管防火墻有許多防范功能，但它也有一些力不能及的地方，因?yàn)榉阑饓χ荒軐?duì)通過它的網(wǎng)絡(luò)通信包進(jìn)行訪問控制，所以對(duì)未經(jīng)過它的網(wǎng)絡(luò)通信就無(wú)能為力了。例如，如果允許從內(nèi)部網(wǎng)絡(luò)直接撥號(hào)訪問外部網(wǎng)絡(luò)，那么防火墻就失效了，攻擊者通過用戶撥號(hào)連接直接訪問內(nèi)部網(wǎng)絡(luò)，繞過防火墻控制，也能造成潛在的攻擊途徑。除此之外，防火墻還有一些脆弱點(diǎn)，例如:*防火墻不能完全防止感染病毒的軟件或文件傳輸。防火墻是網(wǎng)絡(luò)通信的瓶頸，因?yàn)橐延械牟《?、操作系統(tǒng)以及加密和壓縮二進(jìn)制文件的種類太多，以致于不能指望防火墻逐個(gè)掃描每個(gè)文件查找病毒，而只能在每臺(tái)主機(jī)上安裝反病毒軟件。*防火墻不能防止基于數(shù)據(jù)驅(qū)動(dòng)式的攻擊。當(dāng)有些外表看來(lái)無(wú)害的數(shù)據(jù)被郵寄或復(fù)制到主機(jī)上并被執(zhí)行而發(fā)起攻擊時(shí)，就會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)攻擊效果。防火墻對(duì)此無(wú)能為力。*防火墻不能完全防止后門攻擊。防火墻是粗粒度的網(wǎng)絡(luò)訪問控制，某些基于網(wǎng)絡(luò)隱蔽通道的后門能繞過防火墻的控制，例如tunnel等。8.2防火墻技術(shù)與類型

8.2.1包過濾包過濾是在IP層實(shí)現(xiàn)的防火墻技術(shù)。包過濾根據(jù)包的源IP地址、目的IP地址、源端口、目的端口及包傳遞方向等包頭信息判斷是否允許包通過。此外，還有一種可以分析包中數(shù)據(jù)區(qū)內(nèi)容的智能型包過濾器?；诎^濾技術(shù)的防火墻，簡(jiǎn)稱包過濾型防火墻，英文表示就是PacketFilter，其工作機(jī)制如圖8-3所示。

圖8-3包過濾工作機(jī)制

目前，包過濾是防火墻的根本功能之一。多數(shù)現(xiàn)代的IP路由軟件或設(shè)備都支持包過濾功能，并默認(rèn)轉(zhuǎn)發(fā)所有的包。ipf、ipfw、ipfwadm是有名的自由過濾軟件，可以運(yùn)行在Linux操作系統(tǒng)平臺(tái)上。包過濾的控制依據(jù)是規(guī)那么集，典型的過濾規(guī)那么表示格式由規(guī)那么號(hào)、匹配條件、匹配操作三局部組成，包過濾規(guī)那么格式隨所使用的軟件或防火墻設(shè)備的不同而略有差異，但一般的包過濾防火墻都用源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)、協(xié)議類型(UDP，TCP，ICMP)、通信方向及規(guī)那么運(yùn)算符來(lái)描述過濾規(guī)那么條件。而匹配操作有拒絕、轉(zhuǎn)發(fā)、審計(jì)等三種。表8-1是包過濾型防火墻過濾規(guī)那么表，這些規(guī)那么的作用在于只允許內(nèi)、外網(wǎng)的郵件通信，其他的通信都禁止。表8-1防火墻過濾規(guī)那么表包過濾型防火墻對(duì)用戶透明，合法用戶在進(jìn)出網(wǎng)絡(luò)時(shí)，感覺不到它的存在，使用起來(lái)很方便。在實(shí)際網(wǎng)絡(luò)平安管理中，包過濾技術(shù)經(jīng)常用來(lái)進(jìn)行網(wǎng)絡(luò)訪問控制。下面以CiscoIOS為例，說明包過濾器的作用。CiscoIOS有兩種訪問規(guī)那么形式，即標(biāo)準(zhǔn)IP訪問表和擴(kuò)展IP訪問表，它們的區(qū)別主要是訪問控制的條件不一樣。標(biāo)準(zhǔn)IP訪問表只是根據(jù)IP包的源地址進(jìn)行。標(biāo)準(zhǔn)IP訪問控制規(guī)那么的格式如下：assess-listlist-mumber{deny|pernit}source[source-wildcard][log]而擴(kuò)展IP訪問規(guī)那么的格式是:assess-listlist-mumber{deny|pernit}protocolsourcesource-wildcardsource-qualifiersdestinationdestination-wildcarddestination-qualifiers[log|log-input]其中：*標(biāo)準(zhǔn)IP訪問控制規(guī)那么的list-number規(guī)定為1～99，而擴(kuò)展IP訪問規(guī)那么的list-number規(guī)定為100～199；*deny表示假設(shè)經(jīng)過CiscoIOS過濾器的包條件匹配，那么禁止該包通過；*permit表示假設(shè)經(jīng)過CiscoIOS過濾器的包條件匹配，那么允許該包通過；*source表示來(lái)源的IP地址；*source-wildcard表示發(fā)送數(shù)據(jù)包的主機(jī)IP地址的通配符掩碼，其中1代表“忽略〞，0代表“需要匹配〞，any代表任何來(lái)源的IP包；*destination表示目的IP地址；*destination-wildcard表示接收數(shù)據(jù)包的主機(jī)IP地址的通配符掩碼；*protocol表示協(xié)議選項(xiàng)，如IP、ICMP、UDP、TCP等；*log表示記錄符合規(guī)那么條件的網(wǎng)絡(luò)包。下面給出一個(gè)例子，用Cisco路由器防止DDoS攻擊，配置信息如下：!theTRINOODDoSsystemsaccess-list170denytcpanyanyeq27665logaccess-list170denyudpanyanyeq31335logaccess-list170denyudpanyanyeq27444log!theStacheldrahtDDoSsystemsaccess-list170denytcpanyanyeq16660logaccess-list170denytcpanyanyeq65000log!theTrinityV3systemsaccess-list170denytcpanyanyeq33270logaccess-list170denytcpanyanyeq39268log!theSubsevensystemsandsomevariantsaccess-list170denytcpanyanyrange67116712logaccess-list170denytcpanyanyeq6776logaccess-list170denytcpanyanyeq6669logaccess-list170denytcpanyanyeq2222logaccess-list170denytcpanyanyeq7000log簡(jiǎn)而言之，包過濾成為當(dāng)前解決網(wǎng)絡(luò)平安問題的重要技術(shù)之一，不僅可以用在網(wǎng)絡(luò)邊界上，而且也可應(yīng)用在單臺(tái)主機(jī)上。例如，現(xiàn)在的個(gè)人防火墻以及Windows2000和WindowsXP都提供了對(duì)TCP、UDP等協(xié)議的過濾支持，用戶可以根據(jù)自己的平安需求，通過過濾規(guī)那么的配置來(lái)限制外部對(duì)本機(jī)的訪問。圖8-4是利用Windows2000系統(tǒng)自帶的包過濾功能對(duì)139端口進(jìn)行過濾，這樣可以阻止基于RPC的漏洞攻擊。圖8-4Windows2000過濾配置示意圖

包過濾防火墻技術(shù)的優(yōu)點(diǎn)是低負(fù)載、高通過率、對(duì)用戶透明；但是包過濾技術(shù)的弱點(diǎn)是不能在用戶級(jí)別進(jìn)行過濾，如不能識(shí)別不同的用戶和防止IP地址的盜用。如果攻擊者把自己主機(jī)的IP地址設(shè)置成一個(gè)合法主機(jī)的IP地址，就可以輕易通過包過濾器。

8.2.2應(yīng)用效勞代理應(yīng)用效勞代理防火墻扮演著受保護(hù)網(wǎng)絡(luò)的內(nèi)部網(wǎng)主機(jī)和外部網(wǎng)絡(luò)主機(jī)的網(wǎng)絡(luò)通信連接“中間人〞的角色，代理防火墻代替受保護(hù)網(wǎng)絡(luò)的主機(jī)向外部網(wǎng)絡(luò)發(fā)送效勞請(qǐng)求，并將外部效勞請(qǐng)求響應(yīng)的結(jié)果返回給受保護(hù)網(wǎng)絡(luò)的主機(jī)，如圖8-5所示。圖8-5代理效勞工作流程示意圖采用代理效勞技術(shù)的防火墻簡(jiǎn)稱代理效勞器，它能夠提供在應(yīng)用級(jí)的網(wǎng)絡(luò)平安訪問控制。代理效勞器按照所代理的效勞可以分為FTP代理、TELENET、HTTP代理、SOCKET代理、郵件代理等。代理效勞器通常由一組按應(yīng)用分類的代理效勞程序和身份驗(yàn)證效勞程序構(gòu)成。每個(gè)代理效勞程序應(yīng)用到一個(gè)指定的網(wǎng)絡(luò)端口，代理客戶程序通過該端口獲得相應(yīng)的代理效勞。例如，IE瀏覽器支持多種代理配置，包括HTTP、FTP、SOCKs等，如圖8-6所示。圖8-6IE瀏覽器配置示意圖

代理效勞技術(shù)也是常用的防火墻技術(shù)，平安管理員為了對(duì)內(nèi)部網(wǎng)絡(luò)用戶進(jìn)行應(yīng)用級(jí)上的訪問控制，常安裝代理效勞器，如圖8-7所示。受保護(hù)內(nèi)部用戶對(duì)外部網(wǎng)絡(luò)訪問時(shí)，首先需要通過代理效勞器的認(rèn)可，才能向外提出請(qǐng)求，而外網(wǎng)的用戶只能看到代理效勞器，從而隱藏了受保護(hù)網(wǎng)的內(nèi)部結(jié)構(gòu)及用戶的計(jì)算機(jī)信息。因而，代理效勞器可以提高網(wǎng)絡(luò)系統(tǒng)的平安性。應(yīng)用效勞代理技術(shù)的優(yōu)點(diǎn)是：圖8-7代理效勞器工作示意圖*不允許外部主機(jī)直接訪問內(nèi)部主機(jī)；*支持多種用戶認(rèn)證方案；*可以分析數(shù)據(jù)包內(nèi)部的應(yīng)用命令；*可以提供詳細(xì)的審計(jì)記錄。而它的缺點(diǎn)是：*速度比包過濾慢；*對(duì)用戶不透明；*與特定應(yīng)用協(xié)議相關(guān)聯(lián)，代理效勞器并不能支持所有的網(wǎng)絡(luò)協(xié)議。8.2.3網(wǎng)絡(luò)地址轉(zhuǎn)換NAT是“NetworkAddressTranslation〞的英文縮寫，中文的意思是“網(wǎng)絡(luò)地址轉(zhuǎn)換〞。NAT技術(shù)主要是為了解決公開地址缺乏而出現(xiàn)的，它可以緩解少量因特網(wǎng)IP地址和大量主機(jī)之間的矛盾。但NAT技術(shù)用在網(wǎng)絡(luò)平安應(yīng)用方面，那么能透明地對(duì)所有內(nèi)部地址作轉(zhuǎn)換，使外部網(wǎng)絡(luò)無(wú)法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，從而提高內(nèi)部網(wǎng)絡(luò)的平安性。基于NAT技術(shù)的防火墻上裝有一個(gè)合法的IP地址集，當(dāng)內(nèi)部某一用戶訪問外網(wǎng)時(shí)，防火墻動(dòng)態(tài)地從地址集中選一個(gè)未分配的地址分配給該用戶，該用戶即可使用這個(gè)合法地址進(jìn)行通信。實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換的方式有：靜態(tài)NAT(staticNAT)、NAT池(pooledNAT)和端口NAT(PAT)三種類型。其中，靜態(tài)NAT設(shè)置起來(lái)最為簡(jiǎn)單，此時(shí)內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址。而NAT池那么是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。PAT那么是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上。NAT的三種方式目前已被許多的路由器產(chǎn)品支持。在路由器上定義啟用NAT的一般步驟如下：第一步，確定使用NAT的接口，通常將連接到內(nèi)部網(wǎng)絡(luò)的接口設(shè)定為NAT內(nèi)部接口，將連接到外網(wǎng)的接口設(shè)定為NAT的外部接口。第二步，設(shè)定內(nèi)部全局地址的轉(zhuǎn)換地址及轉(zhuǎn)換方式。第三步，根據(jù)需要將外部全局地址轉(zhuǎn)換為外部本地地址。目前，專用的防火墻產(chǎn)品都支持地址轉(zhuǎn)換技術(shù)，比較常見的有：IP-Filter和iptable。IP-Filter的功能強(qiáng)大，它可完成ipfwadm、ipchains、ipfw等防火墻的功能，而且安裝配置相比照較簡(jiǎn)單。8.3防火墻主要技術(shù)參數(shù)

8.3.1防火墻功能指標(biāo)防火墻主要功能類指標(biāo)項(xiàng)如表8-2所示。

表8-2防火墻主要功能類指標(biāo)項(xiàng)

8.3.2防火墻性能指標(biāo)評(píng)估防火墻性能指標(biāo)涉及到防火墻所采用的技術(shù)，根據(jù)現(xiàn)有防火墻產(chǎn)品，防火墻在性能方面的指標(biāo)主要有：*最大吞吐量：檢查防火墻在只有一條默認(rèn)允許規(guī)那么和不丟包的情況下到達(dá)的最大吞吐速率。*轉(zhuǎn)送速率：檢查防火墻在通常平安規(guī)那么發(fā)生作用的情況下，能以多快的速度轉(zhuǎn)送正常的網(wǎng)絡(luò)通信量。*最大規(guī)那么數(shù)：檢查在添加大數(shù)量訪問規(guī)那么的情況下，防火墻的性能變化狀況。*并發(fā)連接數(shù)：防火墻在單位時(shí)間內(nèi)所能建立的最大TCP連接數(shù)，即每秒的連接數(shù)。8.3.3防火墻平安指標(biāo)由于防火墻在網(wǎng)絡(luò)平安中扮演著重要的角色，因此防火墻的自身平安至關(guān)重要。當(dāng)前，評(píng)價(jià)防火墻的平安功能的指標(biāo)主要有：*入侵實(shí)時(shí)警告：防火墻能夠?qū)ψ陨砗褪鼙Ｗo(hù)網(wǎng)絡(luò)的非法攻擊進(jìn)行多種告警，如聲音、日志、郵件、呼機(jī)、等。*實(shí)時(shí)入侵防范：提供實(shí)時(shí)入侵響應(yīng)功能，當(dāng)發(fā)生入侵事件時(shí)，防火墻能夠動(dòng)態(tài)響應(yīng)，調(diào)整平安策略，阻擋惡意報(bào)文。*抗攻擊性要求：防火墻具有抵抗針對(duì)本身和受保護(hù)網(wǎng)絡(luò)的攻擊能力，這些攻擊包括IP地址欺騙、拒絕效勞攻擊、滲透性攻擊等。*防火墻所采用的操作系統(tǒng)應(yīng)是平安可信的：防火墻應(yīng)采用平安的操作系統(tǒng)或平安增強(qiáng)型的操作系統(tǒng)。8.4防火墻防御體系結(jié)構(gòu)類型8.4.1基于雙宿主主機(jī)防火墻結(jié)構(gòu)基于雙宿主主機(jī)結(jié)構(gòu)是最根本的防火墻系統(tǒng)結(jié)構(gòu)。這種系統(tǒng)實(shí)質(zhì)上是至少具有兩個(gè)網(wǎng)絡(luò)接口卡的主機(jī)系統(tǒng)。在這種結(jié)構(gòu)中，一般都是將一個(gè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分別連接在不同的網(wǎng)卡上，使內(nèi)外網(wǎng)絡(luò)不能直接通信。對(duì)從一塊網(wǎng)卡上送來(lái)的IP包，經(jīng)過一個(gè)平安檢查模塊檢查后，如果是合法的，那么轉(zhuǎn)發(fā)到另一塊網(wǎng)卡上，以實(shí)現(xiàn)網(wǎng)絡(luò)的正常通信；如果不合法，那么阻止通信。這樣，內(nèi)外網(wǎng)絡(luò)直接的IP數(shù)據(jù)流完全在雙宿主主機(jī)的控制之中，如圖8-8所示。圖8-8雙宿主主機(jī)防火墻結(jié)構(gòu)

8.4.2基于代理型防火墻結(jié)構(gòu)雙宿主主機(jī)結(jié)構(gòu)由一臺(tái)同時(shí)連接內(nèi)外網(wǎng)絡(luò)的主機(jī)提供平安保障，代理型結(jié)構(gòu)那么不同。代理型結(jié)構(gòu)中由一臺(tái)主機(jī)同外部網(wǎng)連接，該主機(jī)代理內(nèi)部網(wǎng)和外部網(wǎng)的通信。同時(shí)，代理型結(jié)構(gòu)中還包括過濾路由器，即代理效勞器和路由器共同構(gòu)建了一個(gè)網(wǎng)絡(luò)平安邊界防御架構(gòu)，如圖8-9所示。圖8-9代理型防火墻結(jié)構(gòu)

在這種結(jié)構(gòu)中，代理主機(jī)位于內(nèi)部網(wǎng)絡(luò)。一般情況下，過濾路由器可按如下規(guī)那么進(jìn)行配置：*允許其他內(nèi)部主機(jī)為某些類型的效勞請(qǐng)求與外部網(wǎng)絡(luò)建立直接連接。*任何外部網(wǎng)(或Internet)的主機(jī)只能與內(nèi)部網(wǎng)絡(luò)的代理主機(jī)建立連接。*任何外部系統(tǒng)對(duì)內(nèi)部網(wǎng)絡(luò)的操作都必須經(jīng)過代理主機(jī)。同時(shí)，代理主機(jī)本身要求要有較全面的平安保護(hù)。由于這種結(jié)構(gòu)允許包從外部網(wǎng)絡(luò)直接傳送到內(nèi)部網(wǎng)(代理主機(jī))，因此這種結(jié)構(gòu)的平安控制看起來(lái)似乎比雙宿主主機(jī)結(jié)構(gòu)差。在雙宿主主機(jī)結(jié)構(gòu)中，外部網(wǎng)絡(luò)的包理論上不可能直接抵達(dá)內(nèi)部網(wǎng)。但實(shí)際上，應(yīng)用雙宿主主機(jī)結(jié)構(gòu)防護(hù)數(shù)據(jù)包從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)也很容易失敗，并且這種失敗是隨機(jī)的，所以無(wú)法有效地預(yù)先防范。一般來(lái)說，代理型結(jié)構(gòu)比雙宿主主機(jī)結(jié)構(gòu)能提供更好的平安保護(hù)，同時(shí)操作也更加簡(jiǎn)便。代理型結(jié)構(gòu)的主要缺點(diǎn)是，只要攻擊者設(shè)法攻破了代理主機(jī)，那么對(duì)于攻擊者來(lái)說，整個(gè)內(nèi)部網(wǎng)絡(luò)與代理主機(jī)之間就沒有任何障礙了，攻擊者變成了內(nèi)部合法用戶，完全可以偵聽到內(nèi)部網(wǎng)絡(luò)上的所有信息。8.4.3基于屏蔽子網(wǎng)的防火墻結(jié)構(gòu)如圖8-10所示，子網(wǎng)過濾結(jié)構(gòu)是在代理型結(jié)構(gòu)中增加了一層周邊網(wǎng)絡(luò)的平安機(jī)制，使內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)有兩層隔離帶。周邊網(wǎng)絡(luò)隔離堡壘主機(jī)與內(nèi)部網(wǎng)，減輕攻擊者攻破堡壘主機(jī)時(shí)對(duì)內(nèi)部網(wǎng)絡(luò)的沖擊力。攻擊者即使攻破了堡壘主機(jī)，也不能偵聽到內(nèi)部網(wǎng)絡(luò)的信息，不能對(duì)內(nèi)部網(wǎng)絡(luò)直接操作。基于屏蔽子網(wǎng)的防火墻結(jié)構(gòu)的特點(diǎn)是：*應(yīng)用代理位于被屏蔽子網(wǎng)中，內(nèi)部網(wǎng)絡(luò)向外公開的效勞器也放在被屏蔽子網(wǎng)中，外部網(wǎng)絡(luò)只能訪問被屏蔽子網(wǎng)，不能直接進(jìn)入內(nèi)部網(wǎng)絡(luò)。*兩個(gè)包過濾路由器的功能和配置是不同的，包過濾路由器A的作用是過濾外部網(wǎng)絡(luò)對(duì)被屏蔽子網(wǎng)的訪問。包過濾路由器B的作用是過濾被屏蔽子網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問。所有外部網(wǎng)絡(luò)經(jīng)由被屏蔽子網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問，都必須經(jīng)過代理效勞器的檢查和認(rèn)證。*優(yōu)點(diǎn)：平安級(jí)別最高。*缺點(diǎn)：本錢高，配置復(fù)雜。圖8-10屏蔽子網(wǎng)防火墻結(jié)構(gòu)

8.5防火墻部署與應(yīng)用案例

8.5.1防火墻部署的根本方法與步驟防火墻部署是指根據(jù)受保護(hù)的網(wǎng)絡(luò)環(huán)境和平安策略，如網(wǎng)絡(luò)物理結(jié)構(gòu)或邏輯區(qū)域，將防火墻安裝在網(wǎng)絡(luò)系統(tǒng)中的過程。防火墻部署的根本過程包含以下幾個(gè)步驟：第一步，根據(jù)組織或公司的平安策略要求，將網(wǎng)絡(luò)劃分成假設(shè)干平安區(qū)域；第二步，在平安區(qū)域之間設(shè)置針對(duì)網(wǎng)絡(luò)通信的訪問控制點(diǎn)；第三步，針對(duì)不同訪問控制點(diǎn)的通信業(yè)務(wù)需求，制定相應(yīng)的邊界平安策略；第四步，依據(jù)控制點(diǎn)的邊界平安策略，采用適宜的防火墻技術(shù)和防范結(jié)構(gòu)；第五步，在防火墻上，配置實(shí)現(xiàn)對(duì)應(yīng)的邊界平安策略；第六步，測(cè)試并驗(yàn)證邊界平安策略是否正常執(zhí)行。第七步，運(yùn)行和維護(hù)防火墻。8.5.2基于Cisco路由器的平安應(yīng)用案例圖8-11某公司的網(wǎng)絡(luò)結(jié)構(gòu)

為了保證內(nèi)部網(wǎng)絡(luò)和路由器的平安，特定義如下平安策略：*只允許指定的主機(jī)收集SNMP管理信息；*禁止來(lái)自外部網(wǎng)絡(luò)的非法通信流通過；*禁止來(lái)自內(nèi)部網(wǎng)絡(luò)的非法通信流通過；*只允許指定的主機(jī)遠(yuǎn)程訪問路由器。Cisco路由器的平安配置信息如下：HostnameEast!interfaceEthernet0ipipaccess-group100in!interfaceEthernet1ipipaccess-group102in!routerospf44network55area0network55area1!!access-list75appliestohostsallowedtogatherSNMPinfo!fromthisrouternoaccess-list75!!access-list100appliestotrafficfromexternalnetworks!totheinternalnetworkortotherouternoaccess-list100access-list100denyip 55anylogaccess-list100denyiphost0host0logaccess-list100denyip55anylogaccess-list100denyip55anylogaccess-list100denyip55 anylogaccess-list100denyip 55 anylogaccess-list100denyip 55 anylogaccess-list100denyip 55 anylogaccess-list100denyip 55 anylogaccess-list100denyip55anylogaccess-list100denyipanyhost55logaccess-list100denyipanyhostlogaccess-list100permittcpany55establishedaccess-list100denyicmpanyanyechologaccess-list100denyicmpanyanyredirectlogaccess-list100denyicmpanyanymask-requestlogaccess-list100permiticmpaccess-list100permitospfaccess-list100denytcpanyanyrange60006063logaccess-list100denytcpanyanyeq6667logaccess-list100denytcpanyanyrange1234512346logaccess-list100denytcpanyanyeq31337logaccess-list100permittcpgt1023access-list100denyudpanyanyeq2049logaccess-list100denyudpanyanyeq31337logaccess-list100denyudpanyanyrange3340034400logaccess-list100permitudpanyeqgt1023access-list100denytcpanyrange065535anyrange065535logaccess-list100denyudpanyrange065535anyrange065535logaccess-list100denyipanyanylog!!access-list102appliestotrafficfromtheinternalnetwork!toexternalnetworksortotherouteritselfnoaccess-list102access-list102denyiphost50host50logaccess-list102permiticmp55anyechoaccess-list102permiticmp55anyparameter-problemaccess-list102permiticmp55anypacket-too-bigaccess-list102permiticmp55anysource-quenchaccess-list102denytcpanyanyrange119logaccess-list102denytcpanyanyeq43logaccess-list102denytcpanyanyeq93logaccess-list102denytcpanyanyra