網(wǎng)絡(luò)管理與安全技術(shù)課件

網(wǎng)絡(luò)管理與安全技術(shù)

.

Nd|ir3,ioo

SwitchQiOD

本章學(xué)習(xí)要求

?理斛；防火焉基埼概念

I蒙握；防火播技術(shù)

IM4/防火磕體系修構(gòu)及其應(yīng)用

I蕤恚；防火磕的類型

第7章防火墻

防火墻作為網(wǎng)絡(luò)安全的一種防護(hù)手段

得到了廣泛的應(yīng)用，已成為各企業(yè)網(wǎng)絡(luò)中

實(shí)施安全保護(hù)的核心，安全管理員可以通

過其選擇性地拒絕進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流量，

增強(qiáng)了對(duì)網(wǎng)絡(luò)的保護(hù)作用。

7.1防火墻基本概念

?防火墻是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間的軟件或

硬件設(shè)備的組合，它對(duì)兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制，

通過強(qiáng)制實(shí)施統(tǒng)一的安全策略，防止對(duì)重要信息資源的

非法存取和訪問，以達(dá)到保護(hù)系統(tǒng)安全的目的。

?防火墻通常是運(yùn)行在一臺(tái)單獨(dú)計(jì)算機(jī)之上的一個(gè)特別

的服務(wù)軟件，用來保護(hù)由許多臺(tái)計(jì)算機(jī)組成的內(nèi)部網(wǎng)絡(luò),

可以識(shí)別并屏蔽非法請(qǐng)求，有效防止跨越權(quán)限的數(shù)據(jù)訪

問。防火墻可以是非常簡單的過濾器，也可能是精心配

置的網(wǎng)關(guān)。但都可用于監(jiān)測并過濾所有內(nèi)部網(wǎng)和外部網(wǎng)

之間的信息交換。

?防火墻保護(hù)著內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)不被竊取和破壞，并

記錄內(nèi)外通信的有關(guān)狀態(tài)信息日志，如通信發(fā)生的時(shí)間

和進(jìn)行的操作等等。新一代的防火墻甚至可以阻止內(nèi)部

人員將敏感數(shù)據(jù)向外傳輸，并對(duì)網(wǎng)絡(luò)數(shù)據(jù)的流動(dòng)實(shí)現(xiàn)有

效地管理。

防火墻你的電腦

防火墻示意圖

UF3500/3100防火墻應(yīng)用

三端口NAT模式

7.1.1防火墻技術(shù)發(fā)展?fàn)顩r

■自從1986年美國Digital公司在Internet上安裝了全球

第一個(gè)商用防火墻系統(tǒng)后，防火墻技術(shù)得到了飛速的發(fā)

展。許多公司推出了功能不同的防火墻系統(tǒng)產(chǎn)品。

■第一代防火墻，又稱為包過濾防火墻，其主要通過對(duì)數(shù)

據(jù)包源地址、目的地址、端口號(hào)等參數(shù)來決定是否允許

該數(shù)據(jù)包通過或進(jìn)行轉(zhuǎn)發(fā)，但這種防火墻很難抵御IP地

址欺騙等攻擊，而且審計(jì)功能很差。

■第二代防火墻，也稱代理服務(wù)器，它用來提供網(wǎng)絡(luò)服務(wù)

級(jí)的控制，起到外部網(wǎng)絡(luò)向被保護(hù)的內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)

時(shí)中間轉(zhuǎn)接作用，這種方法可以宥莪地防止對(duì)內(nèi)等網(wǎng)絡(luò)

的直接攻擊，安全性較高。

■第三代防火墻有效地提高了防火墻的安全性，稱為狀態(tài)

監(jiān)控功能防火墻，它可以對(duì)每一層的數(shù)據(jù)包進(jìn)行檢測和

監(jiān)控。

7.1.1防火墻技術(shù)發(fā)展?fàn)顩r

■第四代防火墻：1992年，開發(fā)出了基于動(dòng)

態(tài)包過濾技術(shù)的第四代防火墻。

■第五代防火墻：1998年，NAI公司推出了一

種自適應(yīng)代理技術(shù)，可以稱之為第五代防

火墻。

7.1.2防火墻的任務(wù)

防火墻應(yīng)能夠確保滿足以下四個(gè)目標(biāo)：

1.實(shí)現(xiàn)安全策略

防火墻的主要目的是強(qiáng)制執(zhí)行人們所設(shè)計(jì)的

安全策略。比如，安全策略中只需對(duì)E-mail服務(wù)

器的SMTP流量作些限制，那么就要在防火墻中直

接設(shè)置并執(zhí)行這一策略。

防火墻一般實(shí)施兩個(gè)基本設(shè)計(jì)策略之一：

■n凡是沒有明確表示允許的就要被禁止；

■n凡是沒有明確表示禁止的就要被允許。

7.1.2防火墻的任務(wù)

2.創(chuàng)建檢查點(diǎn)

■防火墻在內(nèi)部網(wǎng)絡(luò)和公網(wǎng)間建立一個(gè)檢查

點(diǎn)。

■通過檢查點(diǎn)防火墻設(shè)備可以監(jiān)視、過濾和

檢查所有進(jìn)來和出去的流量。

■網(wǎng)絡(luò)管理員可以在檢查點(diǎn)上集中實(shí)現(xiàn)安全

目的。

Z1.2防火墻的任務(wù)

九運(yùn)會(huì)信息網(wǎng)絡(luò)系統(tǒng)已經(jīng)受并成功地抵御了87萬多次網(wǎng)絡(luò)攻擊

3.成己錄Inteoet活動(dòng)

防火墻可以進(jìn)行日志記錄，并且提供警報(bào)功能。通

過在防火墻上實(shí)現(xiàn)日志服務(wù)，安全管理員可以監(jiān)視所有

從外部網(wǎng)或互聯(lián)網(wǎng)的訪問。好的日志策略是實(shí)現(xiàn)網(wǎng)絡(luò)安

全的有效工具之一。防火墻對(duì)于管理員進(jìn)行日志存檔提

供了更多的信息。

不

芹

同

平

臺(tái)

的

服

務(wù)

丁

器

日志

Z1.2防火墻的任務(wù)

4.保護(hù)內(nèi)部網(wǎng)絡(luò)

對(duì)于公網(wǎng)防火墻隱藏了

內(nèi)部系統(tǒng)的一些信息以

增加其保密性。當(dāng)遠(yuǎn)程

節(jié)點(diǎn)探測內(nèi)部網(wǎng)絡(luò)時(shí)，

其僅僅能看到防火墻。

遠(yuǎn)程節(jié)點(diǎn)不會(huì)知道內(nèi)部

網(wǎng)絡(luò)結(jié)構(gòu)和資源。防火

墻以提高認(rèn)證功能和對(duì)

網(wǎng)絡(luò)加密來限制網(wǎng)絡(luò)信

息的暴露，并通過對(duì)所

有輸入的流量時(shí)行檢查,

以限制從外部發(fā)動(dòng)的攻

擊。

7.2防火墻技術(shù)

目前大多數(shù)防火墻都采用幾種技術(shù)相結(jié)合的形式

來保護(hù)網(wǎng)絡(luò)不受惡意的攻擊，其基本技術(shù)通常分

為兩類：

?網(wǎng)絡(luò)數(shù)據(jù)單元過濾

?網(wǎng)絡(luò)服務(wù)代理

7.2.1數(shù)據(jù)包過濾

?數(shù)據(jù)包過濾(Packet

Filtering)技術(shù)是在網(wǎng)

絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行分析、

選擇，選擇的依據(jù)是系統(tǒng)

內(nèi)設(shè)置的過濾邏輯，稱為

訪問控制表(Access

ControlTable)。

?通過檢查數(shù)據(jù)流中每一個(gè)

數(shù)據(jù)包的源地址、目的地

址、所用端口號(hào)、協(xié)議狀

態(tài)等因素，或它們的組合

來確定是否允許該數(shù)據(jù)包

通過。

7.2.1數(shù)據(jù)包過濾

■包過濾技術(shù)工作在OIS七層模型的網(wǎng)絡(luò)層上

并有兩個(gè)功能:即允許和阻止；

■如果檢查數(shù)據(jù)包所有的條件都符合規(guī)則，

則允許進(jìn)行路由；如果檢查到數(shù)據(jù)包的條

件不符合規(guī)則，則阻止通過并將其丟棄。

■包檢查是對(duì)IP頭和傳輸層的頭進(jìn)行過濾,

一般要檢查下面幾項(xiàng)：

7.2.1數(shù)據(jù)包過濾

?源IP地址

?目的IP地址

?TCP/UDP源端口

?TCP/UDP目的端口

?協(xié)議類型（TCP包、UDP包、ICMP包）

?TCP報(bào)頭中的ACK位

?ICMP消息類型

7.2.1數(shù)據(jù)包過濾

例如：若想禁止從Internet的遠(yuǎn)程登錄到內(nèi)部網(wǎng)

設(shè)備中，則需要建立一條包過濾規(guī)則。因?yàn)?/p>

Telnet服務(wù)是使用TCP協(xié)議的23端口，則禁止

Telnet的包過濾規(guī)則為：

規(guī)則號(hào)功能源IP地址目標(biāo)IP地址源端口目標(biāo)端口協(xié)議

1Discard**23*TCP

2Discard***23TCP

上表列出的信息是路由器丟棄所有從TCP23端口出去和進(jìn)來

的數(shù)據(jù)包。其它所有的數(shù)據(jù)包都允許通過。

例如：FTP使用TCP的20和21端口。如果包過濾要禁止所有的數(shù)

據(jù)包只允許特殊的數(shù)據(jù)包通過。

規(guī)則號(hào)功能源IP地址目標(biāo)IP地址源端口目標(biāo)端口協(xié)議

1AHow***TCP

2AUow*20*TCP

?第一條是允許地址為192.168.1.0的網(wǎng)段內(nèi)而其源端口和目的端

口為任意的主機(jī)進(jìn)行TCP的會(huì)話。

?第二條是允許端口為20的任何遠(yuǎn)程IP地址都可以連接到

192.168.10.0的任意端口上。

?第二條規(guī)則不能限制目標(biāo)端口是因?yàn)橹鲃?dòng)的FTP客戶端是不使用

20端口的。當(dāng)一個(gè)主動(dòng)的FTP客戶端發(fā)起一個(gè)FTP會(huì)話時(shí)，客戶端

是使用動(dòng)態(tài)分配的端口號(hào)。而遠(yuǎn)程的FTP服務(wù)器只檢查

192.168.1.0這個(gè)網(wǎng)絡(luò)內(nèi)端口為20的設(shè)備。有經(jīng)驗(yàn)的黑客可以利

用這些規(guī)則非法訪問內(nèi)部網(wǎng)絡(luò)中的任何資源。所以要對(duì)FTP包過

濾的規(guī)則加以相應(yīng)修改

7.2.1數(shù)據(jù)包過濾

規(guī)則號(hào)功能源IP地址目標(biāo)IP地址源端口目標(biāo)端口協(xié)議

1Allow192.168.1.0**21TCP

2Block*192.168.1.020<1024TCP

3Allow*192.168.1.020*TCP

ACK=1

■第一條是允許網(wǎng)絡(luò)地址為192.168.1.0內(nèi)的任何主機(jī)與目標(biāo)地址為

任意且端口為21建立TCP的會(huì)話連接。

?第二條是阻止任何源端口為20的遠(yuǎn)程IP地址訪問內(nèi)部網(wǎng)絡(luò)地址為

192.168.1.0且端口小于1024的任意主機(jī)。

?第三條規(guī)則是允許源端口為20的任意遠(yuǎn)程主機(jī)可以訪問

192.168.1.0網(wǎng)絡(luò)內(nèi)主機(jī)任意端口。這些規(guī)則的應(yīng)用是按照順序執(zhí)

行的。第三條看上去好像是矛盾的。如果任何包違反第二條規(guī)則，

它會(huì)被立刻丟棄掉，第三條規(guī)則不會(huì)執(zhí)行。但第三條規(guī)則仍然需要

是因?yàn)榘^濾對(duì)所有進(jìn)來和出去的流量進(jìn)行過濾直到遇到特定的允

許規(guī)貝I。

7.2.1數(shù)據(jù)包過濾

■包過濾防火墻的優(yōu)點(diǎn)

速度快、邏輯簡單、成本低、易于安裝和使用，

網(wǎng)絡(luò)性能和透明度好。它通常安裝在路由器上，

因內(nèi)部網(wǎng)絡(luò)與Internet連接必須通過路由器，所

以在原有網(wǎng)絡(luò)上增加這類防火墻，幾乎不需要任

何額外M費(fèi)用。

■包過濾防火墻的缺點(diǎn)

不能對(duì)數(shù)據(jù)內(nèi)容進(jìn)行控制，缺乏用戶級(jí)的授權(quán)；

非法訪問一旦突破防火墻，即可對(duì)主機(jī)上的系統(tǒng)

和配置進(jìn)行攻擊。數(shù)據(jù)包的源地址、目的地址以

及IP端口號(hào)都在數(shù)據(jù)包的頭部，很有可能被冒充

或竊取。

7.2.2應(yīng)用級(jí)網(wǎng)關(guān)

■應(yīng)用層網(wǎng)關(guān)技術(shù)是

在網(wǎng)絡(luò)的應(yīng)用層上

實(shí)現(xiàn)協(xié)議過濾和轉(zhuǎn)

發(fā)功能。它針對(duì)特

定的網(wǎng)絡(luò)應(yīng)用服務(wù)

協(xié)議使用指定的數(shù)

據(jù)過濾邏輯，并在

過濾的同時(shí)，對(duì)數(shù)

據(jù)包進(jìn)行必要的分

析、記錄和統(tǒng)計(jì)，

形成報(bào)告。實(shí)際的

應(yīng)用網(wǎng)關(guān)通常安裝

在專用工作站系統(tǒng)

上

7.2.2應(yīng)用級(jí)網(wǎng)關(guān)

■應(yīng)用級(jí)網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議，進(jìn)

行復(fù)雜一些的訪問控制。但每一種協(xié)議需

要相應(yīng)的代理軟件，使用時(shí)工作量大，效

率不如網(wǎng)絡(luò)級(jí)防火墻。

■常用的應(yīng)用級(jí)防火墻有相應(yīng)的代理服務(wù)器，

應(yīng)用級(jí)網(wǎng)關(guān)有較好的訪問控制，但實(shí)現(xiàn)困

難，而且有的應(yīng)用級(jí)網(wǎng)關(guān)缺乏“透明度”

7.2.2應(yīng)用級(jí)網(wǎng)關(guān)

■應(yīng)用層網(wǎng)關(guān)防火墻和

數(shù)據(jù)包過濾有一個(gè)共

同的特點(diǎn)，就是它們

僅僅依靠特定的邏輯

來判斷是否允許數(shù)據(jù)

包通過。一旦符合條

件，防火墻內(nèi)外的計(jì)

算機(jī)系統(tǒng)便可以建立

直接聯(lián)系，外部的用

戶便有可能直接了解

到防火墻內(nèi)部的網(wǎng)絡(luò)

結(jié)構(gòu)和運(yùn)行狀態(tài)，這

大大增加了非法訪問

和攻擊的機(jī)會(huì)。

7.2.3代理服務(wù)

■應(yīng)用代理服務(wù)技術(shù)能夠?qū)⑺锌缭椒阑饓Φ木W(wǎng)絡(luò)通

信鏈路分為兩段。

■防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的連接是由兩個(gè)代

理服務(wù)器之間的連接來實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈

路只能到達(dá)代理服務(wù)器，從而起到隔離防火墻內(nèi)外

計(jì)算機(jī)系統(tǒng)的作用。

■另外，代理服務(wù)器也對(duì)過往的數(shù)據(jù)包進(jìn)行分析、記

錄、形成報(bào)告，當(dāng)發(fā)現(xiàn)攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員

發(fā)出警告，并保留攻擊痕跡。

請(qǐng)求

轉(zhuǎn)發(fā)

服務(wù)器

應(yīng)答

7.2.3代理服務(wù)

應(yīng)用代理服務(wù)器對(duì)客戶

端的請(qǐng)求行使“代理”

職責(zé)?？蛻舳诉B接到防次13端口幽用

火墻并發(fā)出請(qǐng)求，然后

防火墻連接到服務(wù)器，

并代表這個(gè)客戶端重復(fù)

這個(gè)請(qǐng)求。返回時(shí)數(shù)據(jù)

發(fā)送到代理服務(wù)器，然

后再傳送給用戶，從而

確保內(nèi)部IP地址和口令A(yù)dnnnistrotor

不在Internet上出現(xiàn)。

7.2.3代理服務(wù)

■代理技術(shù)與包過濾技術(shù)完全不同，包過濾技術(shù)是

在網(wǎng)絡(luò)層攔截所有的信息流，代理技術(shù)是針對(duì)每

-一個(gè)特定應(yīng)用都有一個(gè)程序。

■根據(jù)其處理協(xié)議的不同，可分為FTP網(wǎng)關(guān)型、WWW

網(wǎng)關(guān)型、Telnet網(wǎng)關(guān)型等防火墻，其優(yōu)點(diǎn)在于既

能進(jìn)行安全控制，又可加速訪問，但實(shí)現(xiàn)起來比

較困難，對(duì)于每一種服務(wù)協(xié)議必須設(shè)計(jì)一個(gè)代理

軟件模式，以進(jìn)行安全控制。

7.2.3代理服務(wù)

應(yīng)用層代理主要的優(yōu)點(diǎn)：

■支持用戶認(rèn)證并提供詳細(xì)的注冊信息；

■過濾規(guī)則相對(duì)于包過濾路由器更容易配置和測試;

■可提供詳細(xì)的日志和安全審計(jì)功能；

■可以隱藏內(nèi)部網(wǎng)的IP地址以保護(hù)內(nèi)部主機(jī)不受外

部主機(jī)的進(jìn)攻；

■內(nèi)部網(wǎng)中的所有主機(jī)通過代理可以訪問Internet。

應(yīng)用層代理也有明顯的缺點(diǎn)：

■應(yīng)用層實(shí)現(xiàn)的防火墻會(huì)造成執(zhí)行速度慢，其性能

明顯下降；

■每個(gè)應(yīng)用程序都必須有一個(gè)代理服務(wù)程序來進(jìn)行

安全控制,并隨應(yīng)用并級(jí)面升級(jí)。其適應(yīng)性和連

接性都是有限的。

7.2.4狀態(tài)檢測

■狀態(tài)檢測是對(duì)包過濾功能的擴(kuò)展。

■傳統(tǒng)的包過濾在用動(dòng)態(tài)端口的協(xié)議時(shí)，事先

無法知道哪些端口需要打開，就會(huì)將所宥可

能用到的端口打開，而這會(huì)給安全帶來不必

要的隱患。

■狀態(tài)檢測將通過檢查應(yīng)用程序信息來判斷此

端口是否需要臨時(shí)打開，并當(dāng)傳輸結(jié)束時(shí)，

端口馬上恢復(fù)為關(guān)閉狀態(tài)。

7.2.4狀態(tài)檢測

■狀態(tài)檢測防火墻克服了包過濾防火墻和應(yīng)用代理

服務(wù)器的局限性，不要求每個(gè)被訪問的應(yīng)用都有

代理。

■狀態(tài)檢測模塊能夠理解并學(xué)習(xí)各種協(xié)議和應(yīng)用，

以支持各種最新的應(yīng)用服務(wù)。

■狀態(tài)檢測模塊截獲、分析并處理所有試圖通過防

火墻的數(shù)據(jù)包，保證網(wǎng)絡(luò)的高度安全和數(shù)據(jù)完整。

■網(wǎng)絡(luò)和各種應(yīng)用的通信狀態(tài)動(dòng)態(tài)存儲(chǔ)、更新到動(dòng)

態(tài)狀態(tài)表中，結(jié)合預(yù)定義好的規(guī)則，實(shí)現(xiàn)安全策

略。

■狀態(tài)檢測是檢查OSI七層模型的所有層，以決定是

否過濾，而不僅僅是對(duì)網(wǎng)絡(luò)層檢測。

7.3防火墻體系結(jié)構(gòu)及其應(yīng)用

防火墻體系結(jié)構(gòu)通常分為四類：

?屏蔽路由器(ScreeningRouter)

?屏蔽主機(jī)網(wǎng)關(guān)(ScreenedHostGateway)

?雙穴主機(jī)網(wǎng)關(guān)(Dual-HomedGateway)

?屏蔽子網(wǎng)(ScreenedSubnet)

731屏蔽路由器

■屏蔽路由器就是實(shí)施過濾的路由器

■包過濾路由器在網(wǎng)絡(luò)之間完成數(shù)據(jù)包

轉(zhuǎn)發(fā)的普通路由功能，并利用包過濾

規(guī)則來允許或拒絕數(shù)據(jù)包。

■通常過濾規(guī)則定義為：內(nèi)部網(wǎng)絡(luò)上的

主機(jī)可以直接訪問Internet)

Internet上的主機(jī)對(duì)內(nèi)部網(wǎng)絡(luò)上的主

機(jī)進(jìn)行訪問是有限制的，即沒有特別

允許的數(shù)據(jù)包都拒絕。

731屏蔽路由器

INTERNET

包過濾路由器

內(nèi)部網(wǎng)絡(luò)

屏蔽路由器

731屏蔽路由器

■優(yōu)點(diǎn)是價(jià)格低且易于使用，

■缺點(diǎn)

1.需要掌握TCP/IP知識(shí)才能創(chuàng)建相應(yīng)的過濾規(guī)則,

若有配置錯(cuò)誤將會(huì)導(dǎo)致不期望的流量通過或拒

絕一些應(yīng)接受的流量。

2.包過濾路由器不隱藏內(nèi)部網(wǎng)絡(luò)的配置，任何允

許訪問屏蔽路由器的用戶都可看到網(wǎng)絡(luò)的布局

和結(jié)構(gòu)。

3.其監(jiān)視和日志功能較弱，通常也沒有警報(bào)的功

能。這就意味著網(wǎng)絡(luò)管理員要不斷地檢查網(wǎng)絡(luò)

以確定其是否受到攻擊。防火墻一旦被攻陷后

很難發(fā)現(xiàn)攻擊者。

7.3.2屏蔽主機(jī)網(wǎng)關(guān)

■防火墻系統(tǒng)采用了包過濾路由器和堡壘主機(jī)組成的防火墻。

■提供的安全等級(jí)比包過濾防火墻要高，其實(shí)現(xiàn)了網(wǎng)絡(luò)層安全

（包過濾）和應(yīng)用層安全（代理服務(wù)）。

■堡壘主機(jī)可以通過網(wǎng)絡(luò)地址解析來隱藏內(nèi)部網(wǎng)絡(luò)的配置信息。

信息服務(wù)器

INTERNET

包過濾路由器

h1

堡壘主機(jī)

內(nèi)部網(wǎng)絡(luò)

屏蔽主機(jī)防火墻

7.3.2屏蔽主機(jī)網(wǎng)關(guān)

■屏蔽主機(jī)防火墻是針對(duì)所有進(jìn)出的信息都要經(jīng)過堡

壘主機(jī)而設(shè)計(jì)的。

■堡壘主枷配置在內(nèi)部網(wǎng)絡(luò)上，而包過濾路由器則放

置在內(nèi)部網(wǎng)絡(luò)和Internet之間。

■在路由器上進(jìn)行過濾規(guī)則配置，使得外部系統(tǒng)只能

訪問堡壘主機(jī)，內(nèi)部系統(tǒng)的其他主機(jī)的信息全部被

阻塞。確保了內(nèi)部網(wǎng)絡(luò)不受外部攻擊。

■由于內(nèi)部主機(jī)與堡壘主機(jī)處于同一網(wǎng)絡(luò)，安全策略

之一就是決定是否允許內(nèi)部系統(tǒng)直接訪問Internet

或使用堡壘主機(jī)上的代理服務(wù)來訪問Interneto

■若要強(qiáng)制內(nèi)部用戶使用代理服務(wù)，則可在路由器配

置過濾規(guī)則時(shí)，讓Internet只接受來自堡壘主機(jī)的

內(nèi)部數(shù)據(jù)包。

7.3.2屏蔽主機(jī)網(wǎng)關(guān)

■該防火墻系統(tǒng)的優(yōu)點(diǎn)

i.內(nèi)網(wǎng)的變化不影響堡壘主機(jī)和屏蔽路由器的配置。

2.可將提供公開的信息服務(wù)的服務(wù)器放置在由包過濾

路由器和堡壘主機(jī)共用的網(wǎng)段上。

3.如果要求有特別高的安全特性，可讓堡壘主機(jī)運(yùn)行

代理服務(wù)，使得內(nèi)部和外部用戶在與信息服務(wù)器通

信之前，必須先通過堡壘主機(jī)。

4.如果安全等級(jí)較低，則可將路由器配置成讓外部用

戶直接訪問公共的信息服務(wù)器。

7.3.2屏蔽主機(jī)網(wǎng)關(guān)

■與包過濾比較，這種方法的缺點(diǎn)是：

1,增加了成本并降低了性能。因?yàn)楸局鳈C(jī)處理

信息時(shí)，網(wǎng)絡(luò)經(jīng)常需要更多的時(shí)間來對(duì)用戶的

請(qǐng)求做出響應(yīng)。使用戶訪問Internet變得較慢

2.如果堡壘主機(jī)服務(wù)器作為應(yīng)用級(jí)網(wǎng)關(guān)，內(nèi)部客

戶端必須被配置成使用應(yīng)用網(wǎng)關(guān)服務(wù)。

7.3.3雙宿主機(jī)網(wǎng)關(guān)

用一臺(tái)裝有兩塊網(wǎng)卡的堡壘主機(jī)做防火墻，一塊與內(nèi)網(wǎng)相連，

一塊與外部網(wǎng)相連。堡壘主機(jī)上運(yùn)行著防火墻軟件，可以轉(zhuǎn)發(fā)

應(yīng)用程序，提供服務(wù)等。這種防火墻由于在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)

絡(luò)之間創(chuàng)建了完全的物理隔斷，增加了更有效的安全性。

■信息服務(wù)器

BP

INTERNET

包過濾路由器

堡壘主機(jī)

內(nèi)部網(wǎng)絡(luò)

雙宿堡壘主機(jī)防火墻

7.3.3雙宿主機(jī)網(wǎng)關(guān)

■在單宿主堡壘主機(jī)結(jié)構(gòu)上,所有外部的流量

直接轉(zhuǎn)發(fā)到堡壘主機(jī)上執(zhí)行。黑客可修改路

由器而不把數(shù)據(jù)包轉(zhuǎn)發(fā)給堡壘主機(jī)，這樣將

會(huì)繞過堡壘主機(jī)且直接進(jìn)入到內(nèi)部網(wǎng)絡(luò)中。

■雙宿堡壘主機(jī)有兩個(gè)網(wǎng)絡(luò)接口，但主機(jī)不能

在兩個(gè)端口之間直接轉(zhuǎn)發(fā)信息。這種物理結(jié)

構(gòu)強(qiáng)行讓所有去往內(nèi)部網(wǎng)絡(luò)的信息經(jīng)過堡壘

主機(jī)。

7.3.3雙宿主機(jī)網(wǎng)關(guān)

■雙宿主機(jī)網(wǎng)關(guān)優(yōu)于屏蔽路由器的地方是：

1.堡壘主機(jī)的系統(tǒng)軟件可用于維護(hù)系統(tǒng)日志、

破件拷貝日志或遠(yuǎn)程日志。便于日后的檢查

之用。

2,由于堡壘主機(jī)是唯一能從Internet上直接訪

問的內(nèi)部系統(tǒng)，所以有可能受到攻擊的主機(jī)

就只有堡壘主機(jī)本身。

3.對(duì)于入侵者來說，允許其注冊到堡壘主機(jī)，

就可容易的破壞堡壘主機(jī)而整個(gè)內(nèi)部網(wǎng)絡(luò)受

到攻擊居威脅。因此）避免被滲透和不允許

非法用戶注冊對(duì)堡壘主機(jī)來說是至關(guān)重要的。

7.3.4屏蔽子網(wǎng)

實(shí)施防火墻最常見的方法就是屏蔽子網(wǎng)。在內(nèi)部網(wǎng)絡(luò)和外部

網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)，稱之為非軍事區(qū)DMZ。

其是用兩臺(tái)分組過濾路由器圈這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外

部網(wǎng)絡(luò)分開，網(wǎng)絡(luò)管理員將堡壘主機(jī)、信息服務(wù)器以及其他

公用服務(wù)器放在DMZ網(wǎng)絡(luò)中。

內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問被屏蔽子網(wǎng)，但禁止其穿過被

屏蔽子網(wǎng)直接通信。屏蔽子網(wǎng)中的堡壘主機(jī)作為唯一可訪問

點(diǎn)，并作為應(yīng)用網(wǎng)關(guān)代理。

一^.s信息服務(wù)器

包過濾路由器*包過濾路由器

堡壘主機(jī)

內(nèi)部網(wǎng)絡(luò)

屏蔽子網(wǎng)防火墻

7.3.4屏蔽子網(wǎng)

?對(duì)于進(jìn)來的信息，外面的路由器用于防范通常的外

部攻擊，并管理Internet到DMZ網(wǎng)絡(luò)的訪問。它只允

許外部系統(tǒng)訪問堡壘主機(jī)和信息服務(wù)器。

?里面的路由器提供第二層防御，只接受源于堡壘主

機(jī)的數(shù)據(jù)包，負(fù)責(zé)的是管理DMZ到內(nèi)部網(wǎng)絡(luò)的訪問。

?對(duì)于出來的信息，里面的路由器管理內(nèi)部網(wǎng)絡(luò)到

DMZ的訪問。它允許內(nèi)部系統(tǒng)只訪問堡壘主機(jī)和信息

服務(wù)器。

?外面的路由器上的過濾規(guī)則要求使用代理服務(wù)，即

只接受來自堡壘主機(jī)的去往Internet的數(shù)據(jù)包。

7.3.4屏蔽子網(wǎng)

屏蔽子網(wǎng)防火墻系統(tǒng)有以下幾個(gè)優(yōu)點(diǎn)：

1.入侵者必須攻克三個(gè)不同的設(shè)備且不被發(fā)現(xiàn)才

能侵襲內(nèi)部網(wǎng)絡(luò)。

2.內(nèi)部網(wǎng)絡(luò)對(duì)Internet來說是不可見的，因?yàn)樗?/p>

進(jìn)出的數(shù)據(jù)包都會(huì)直接送到DMZ。并且只有在DMZ

網(wǎng)絡(luò)上選定的系統(tǒng)才對(duì)Internet開放。這使黑客

想得到內(nèi)部系統(tǒng)的信息幾乎不太可能的。

3.由于內(nèi)部路由器只向內(nèi)部網(wǎng)絡(luò)通告DMZ的存在，內(nèi)

部網(wǎng)絡(luò)上的系統(tǒng)不能直接通往Internet,這樣就

保證了內(nèi)部網(wǎng)絡(luò)上的用戶必須通過駐留在堡壘主

機(jī)上的代理服務(wù)才能訪問Internet。這種配置避

免了內(nèi)部用戶繞過內(nèi)網(wǎng)的安全機(jī)制。

7.3.4屏蔽子網(wǎng)

4.外部路由器直接將數(shù)據(jù)引向DMZ網(wǎng)絡(luò)上所指定的

系統(tǒng)，無必要設(shè)置雙宿堡壘主機(jī)。

5.內(nèi)部路由器作為內(nèi)部網(wǎng)絡(luò)與公網(wǎng)之間的防火墻系

統(tǒng)并支持比雙宿堡壘主機(jī)更大的數(shù)據(jù)包吞吐量。

6.在DMZ網(wǎng)絡(luò)上可以安裝NAT于堡壘主機(jī)上，從而避

免在內(nèi)部網(wǎng)絡(luò)上重新編址或重新劃分子網(wǎng)。

?在實(shí)際應(yīng)用中，具體采用哪一種防火墻主要取決于

網(wǎng)絡(luò)向用戶提供什么樣的服務(wù)及網(wǎng)絡(luò)所接受的風(fēng)險(xiǎn)

等級(jí)。還要取決于經(jīng)費(fèi)和技術(shù)人員的技術(shù)及時(shí)間等

因素。

7.4防火墻的類型

■大多數(shù)防火墻都可以實(shí)現(xiàn)上述所討論的功能,

在實(shí)際使用中的防火墻以其實(shí)現(xiàn)形式可以分

為以下四種類型：

1嵌入式防火墻

1軟件防火墻

1硬件防火墻

1應(yīng)用程序防火墻

7.4.1嵌入式防火墻

■當(dāng)防火墻功能被集成到路由器或者交換機(jī)上

時(shí)，這種防火墻稱為嵌入式(embedded)防

火墻。

■其通常只對(duì)分組信息進(jìn)行IP級(jí)的檢查，可獲

得較高的性能，易于實(shí)現(xiàn)并有較好的性價(jià)比。

7.4.2軟件防火墻

■軟件防火墻又分有兩種類型：

1.一是企業(yè)級(jí)軟件防火墻，其用于大型網(wǎng)絡(luò)上

并執(zhí)行路由選擇功能。

2.另一^種是SOHO(SmallOfficeHomeOffice)

級(jí)。軟件防火墻通常會(huì)提供全面的防火墻功

能.

■基于服務(wù)器的防火墻實(shí)際上是在操作系統(tǒng)之

上運(yùn)行的應(yīng)用程序。其系統(tǒng)平臺(tái)有Unix、

Linux以及WindowsNT、2000、XP和.NET等。

7.4.3硬件防火墻

■因?yàn)橛布酚善饕惨褂密浖詫⒂布阑饓τ?/p>

稱為設(shè)備防火墻。其設(shè)計(jì)成一種總體系統(tǒng)，不需要復(fù)

雜的安裝或配置就可以提供防火墻功能。硬件防火墻

與軟件防火墻相似，可以針對(duì)企業(yè)應(yīng)用市場來設(shè)計(jì)，

也可以針對(duì)SOHO環(huán)境。

■基于設(shè)備的防火墻也為集成解決方案，是指運(yùn)行在專

用的硬件和軟件上的防火墻產(chǎn)品。如CiscoPIX防火

墻就屬于這種集成設(shè)備，其整個(gè)系統(tǒng)不能實(shí)現(xiàn)除防火

墻之外的其他任何功能，并且也沒有硬盤或服務(wù)器的

其他常規(guī)組件。由于它的集成性和專用性，其速度、

穩(wěn)定性和安全性方面都比基于服務(wù)器的防火墻更好。

但基于服務(wù)器的防火墻會(huì)提供一些額外的配置和支持

選項(xiàng)，并且價(jià)格比集成解決方案要便宜。

7.4.4應(yīng)用程序防火墻

■應(yīng)用程序防火墻經(jīng)常是作為現(xiàn)有硬件或軟件防

火墻的組件實(shí)現(xiàn)的。它們的主要目的是提供一

種復(fù)雜的內(nèi)容過濾層次，用來對(duì)應(yīng)用層傳輸?shù)?/p>

數(shù)據(jù)進(jìn)行過濾。

■隨著防火墻功能的提高，對(duì)于數(shù)據(jù)的過濾已經(jīng)

越來越多地集中到了應(yīng)用層，應(yīng)用程序防火墻

的針對(duì)性也越來越強(qiáng)。

?用專用芯片處理數(shù)據(jù)包，CPU?機(jī)箱+CPU+防火墻軟件集成于一體?運(yùn)行在通用操作系統(tǒng)上的能安

只作管理之用。(PCBOX結(jié)構(gòu))，市面上大部分聲稱全控制存取訪問的軟件，性能依

“硬件”防火墻的產(chǎn)品都采用這種結(jié)靠于計(jì)算機(jī)CPU,內(nèi)存等。

?使用專用的操作系統(tǒng)平臺(tái)，構(gòu)。?基于通用操作系統(tǒng)(

避免了通用性操作系統(tǒng)的安全?采用專用或通用操作系統(tǒng)。WinNT,SUNSolaris,SCOUNIX等

性漏洞。),對(duì)底層操作系統(tǒng)的安全依賴

性很高。

?高帶寬，高吞吐量，真正線

速防火墻。即實(shí)際帶寬與理論?核心技術(shù)仍然為軟件，容易造成網(wǎng)絡(luò)?由于操作系統(tǒng)平臺(tái)的限制，極易

值可以達(dá)到一致帶寬瓶頸。造成網(wǎng)絡(luò)帶寬瓶頸。因此，實(shí)際

?安全與速度同時(shí)兼顧。沒有所能達(dá)到的帶寬通常只有理論值

用戶限制。?只能滿足中低帶寬要求，吞吐量不高的20%—70沆可以滿足低帶寬低

o通常帶寬只能達(dá)到理論值的20%-流量環(huán)境下的安全需要，高速環(huán)

70%。中低流量時(shí)可滿足一定的安全要境下容易造成系統(tǒng)崩潰。

求，在高流量環(huán)境下會(huì)造成堵塞甚至

系統(tǒng)崩潰。

?性價(jià)比高。?有用戶限制，一般需要按用戶

?管理簡單，快捷。?性價(jià)比不高。數(shù)購買，性價(jià)比極低。

?管理比較方便。?管理復(fù)雜，與系統(tǒng)有關(guān)，要求

維護(hù)人員必須熟悉各種工作站及

?識(shí)別方法.操作系統(tǒng)的安裝及維護(hù)。

產(chǎn)品｝卜觀為硬件機(jī)箱形，此類

.識(shí)別方法：?識(shí)別方法：

產(chǎn)品.卜觀為硬件機(jī)箱形,此類防火墻一此類前火墻」般都有嚴(yán)格的系統(tǒng)

防火墻一般不會(huì)對(duì)外公布其

CPU或RAM等硬件水平,核心為般會(huì)對(duì)外強(qiáng)調(diào)其CPU與RAM等硬件水平硬件與操作系統(tǒng)要求.產(chǎn)品為軟件

硬件芯片。

?典型產(chǎn)品：?典型產(chǎn)品：?典型產(chǎn)品：

NetScreen系列防火墻CiscoPIX防火墻CheckPoint

7.4.5選擇防火墻需要綜合考慮的問題

1.防火墻