【正文】 ）體系結(jié)構(gòu)n 被屏蔽子網(wǎng)（ Screened Sub）體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)n 雙重宿主主機(jī)體系結(jié)構(gòu)圍繞雙重宿主主機(jī)構(gòu)筑n 雙重宿主主機(jī) 至少有兩個(gè)網(wǎng)絡(luò)接口 ，這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，它能夠使內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的數(shù)據(jù)包直接通過。n 但一些應(yīng)用層協(xié)議，可能會(huì)有這種情況：n 協(xié)議除了使用一個(gè)公開端口的主連接進(jìn)行通信外，在通信過程中還會(huì) 動(dòng)態(tài)建立子連接 進(jìn)行數(shù)據(jù)傳輸，而 子連接的端口號(hào)是在主連接中通過協(xié)商得到的隨機(jī)值。（（ TCP協(xié)議狀態(tài)圖協(xié)議狀態(tài)圖 如下圖）如下圖）TCP 狀態(tài)圖狀態(tài)圖 ：：粗實(shí)線表示、粗實(shí)線表示客戶端的正常路客戶端的正常路徑；徑；粗虛線表示、粗虛線表示服務(wù)器端的正常服務(wù)器端的正常路徑；路徑；細(xì)線表示不、細(xì)線表示不常見的事件。n 通過狀態(tài)檢測(cè)，可以實(shí)現(xiàn)比簡(jiǎn)單包過濾防火墻具有更大的安全性。電路級(jí)網(wǎng)關(guān)示意圖狀態(tài)檢測(cè)技術(shù)n 狀態(tài)檢測(cè)（ Stateful Inspection） 技術(shù)現(xiàn)在應(yīng)用非常廣泛，是一種相當(dāng)于 的過濾技術(shù)n 它不限于包過濾防火墻的 3/4 層（網(wǎng)絡(luò) /傳輸層）過濾，又不需要應(yīng)用層網(wǎng)關(guān)防火墻的 5 層（應(yīng)用層）過濾。電路級(jí)網(wǎng)關(guān)n 電路級(jí)網(wǎng)關(guān)（ Circuit Gateway）又稱為電路中繼（ Circuit Relay）， 工作在傳輸層（ TCP） 。代理服務(wù)器技術(shù)示意圖應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層 物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層外部網(wǎng)絡(luò)主機(jī)外部網(wǎng)絡(luò)主機(jī) 內(nèi)部網(wǎng)絡(luò)主機(jī)內(nèi)部網(wǎng)絡(luò)主機(jī)防火墻防火墻應(yīng)用層表示層會(huì)話層傳輸層一個(gè) Tel代理服務(wù)器例子外部 Tel客戶內(nèi)部 Tel服務(wù)器日志系統(tǒng)Tel代理 認(rèn)證系統(tǒng)Tel代理代理服務(wù)器服務(wù)器FTP代理原來的直原來的直接連接接連接端口 23內(nèi) 部連接端口 23外部連接端口 23一個(gè) Tel代理服務(wù)器例子（續(xù)）n Tel代理網(wǎng)關(guān)的執(zhí)行過程n 用戶首先 Tel到應(yīng)用網(wǎng)關(guān)主機(jī)，并輸入內(nèi)部目標(biāo)主機(jī)的名字（域名、 IP地址）；n 應(yīng)用網(wǎng)關(guān)檢查用戶的源 IP地址等，并根據(jù)事先設(shè)定的訪問規(guī)則來決定是否轉(zhuǎn)發(fā)或拒絕；n 應(yīng)用網(wǎng)關(guān) 對(duì) 用戶 信息 進(jìn)行驗(yàn)證 （ 應(yīng)用層過濾 ） ；n 應(yīng)用網(wǎng)關(guān)中的代理服務(wù)器為用戶建立在網(wǎng)關(guān)與內(nèi)部主機(jī)之間的 Tel連接；n 代理服務(wù)器在兩個(gè)連接（用戶 /代理服務(wù)器，代理服務(wù)器 /內(nèi)部主機(jī)）之間傳送數(shù)據(jù) ；n 應(yīng)用網(wǎng)關(guān)對(duì)本次連接進(jìn)行日志記錄。n 局限：n 正確的設(shè)置包過濾規(guī)則比較困難；n 由于包過濾技術(shù)是在 IP/TCP層上實(shí)現(xiàn)的，所以包過濾不能在應(yīng)用層級(jí)別上進(jìn)行過濾，防衛(wèi)方式比較單一；n 有些網(wǎng)絡(luò)協(xié)議不適合包過濾n 如 FTP協(xié)議，在協(xié)議內(nèi)部會(huì)動(dòng)態(tài)生成子連接。n 根據(jù)該策略制定防火墻的過濾規(guī)則。n 一般都 采用默認(rèn)拒絕策略 。內(nèi)網(wǎng)主機(jī)內(nèi)網(wǎng)主機(jī)防防火火墻墻內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)請(qǐng)求、請(qǐng)求 報(bào)文報(bào)文 （（ 源端口一般隨機(jī)生成源端口一般隨機(jī)生成 ））源端口源端口 1024，目標(biāo)端口，目標(biāo)端口 80外部網(wǎng)絡(luò)外部網(wǎng)絡(luò)（如因特網(wǎng)）（如因特網(wǎng)） 防火墻根防火墻根據(jù)據(jù) 80端口放端口放行請(qǐng)求報(bào)文行請(qǐng)求報(bào)文響應(yīng)報(bào)文、響應(yīng)報(bào)文源源 端口端口 80，目標(biāo)端口目標(biāo)端口 1024（（ =請(qǐng)求中的源端口請(qǐng)求中的源端口））防火墻根、防火墻根據(jù)什么放行據(jù)什么放行響應(yīng)報(bào)文？響應(yīng)報(bào)文？?jī)?nèi)網(wǎng)到外網(wǎng)的 TCP或 UDP訪問數(shù)據(jù)包過濾的默認(rèn)安全策略n 包過濾規(guī)則中有兩種基本的默認(rèn)安全策略： 默認(rèn)接受和默認(rèn)拒絕 。n 在從 內(nèi)部到外部 的 TCP（或 UDP）連接中， 為了允許返回?cái)?shù)據(jù)通過，會(huì)給過濾規(guī)則的制定增加困難 （見后）：n 在內(nèi)部到外部的 TCP和 UDP連接中，內(nèi)部主機(jī)采用的源端口一般是 大于 1024的隨機(jī)端口 （如下圖）n 為了支持雙向通信， 需要允許返回到內(nèi)部主機(jī)的所有大于 1024端口的數(shù)據(jù)包，這是非常危險(xiǎn)的 。n 例如，如果允許內(nèi)部主機(jī)到外部服務(wù)器的郵件發(fā)送服務(wù)（正常運(yùn)行于端口 25），當(dāng) TCP端口 25確是一個(gè)常規(guī)郵件端口時(shí)，這個(gè)配置就沒有危險(xiǎn)。按服務(wù)過濾n 按服務(wù)過濾，就是根據(jù)相應(yīng)的 TCP/UDP端口進(jìn)行過濾n 比如要禁止外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的 Tel的訪問，就需要檢查數(shù)據(jù)包的目的端口和 TCP標(biāo)志位，如果端口是23，并且是 SYN包，則拒絕這個(gè)包。以避免危險(xiǎn)。TCP連接的 3次握手過程基于 UDP的數(shù)據(jù)包過濾n 可以根據(jù)可以根據(jù) UDP中的源端口和目的端口來制中的源端口和目的端口來制定安全規(guī)則定安全規(guī)則n 由于由于 UDP的源端口通常是隨機(jī)的，所以的源端口通常是隨機(jī)的，所以 通常不通常不使用源端口進(jìn)行控制使用源端口進(jìn)行控制 ?；?IP的數(shù)據(jù)包過濾（續(xù)）n “極小數(shù)據(jù)分段 ”攻擊n 極小數(shù)據(jù)分段式攻擊（ Tiny Fragment Attacks）的特點(diǎn)是入侵者使用了 IP分片的特性， 創(chuàng)建極小的分片并強(qiáng)行將 TCP頭信息分成多個(gè)數(shù)據(jù)包段 。n 防火墻解決這個(gè)問題的辦法很簡(jiǎn)單，只要檢查 IP選項(xiàng)，簡(jiǎn)單地 丟棄所有包含源路由選項(xiàng)的數(shù)據(jù)包 即可。n 也可以根據(jù) IP協(xié)議中的 協(xié)議類型字段 來制定安全規(guī)則：n 如允許 TCP 協(xié)議通過防火墻。包過濾技術(shù)（續(xù)）n 包過濾技術(shù)在防火墻上的應(yīng)用非常廣泛，其主要優(yōu)點(diǎn)是：n 1）系統(tǒng)（如 CPU）用來處理包過濾的時(shí)間相對(duì)很小，效率高；n 2）這種防護(hù)措施對(duì)用戶透明，合法用戶在使用網(wǎng)絡(luò)通信時(shí)，感覺不到它的存在，使用起來很方便。n 并發(fā)連接數(shù)的測(cè)試主要用來測(cè)試被防火墻建立和維持TCP連接的性能。n 丟包率是衡量防火墻設(shè)備穩(wěn)定性和可靠性的重要指標(biāo)。如果防火墻的吞吐量指標(biāo)太低就會(huì)造成網(wǎng)絡(luò)瓶頸，影響網(wǎng)絡(luò)的性能。n 一方面網(wǎng)絡(luò)的優(yōu)勢(shì)是它的互聯(lián)互通性，用戶希望快捷順暢地訪問網(wǎng)站、收發(fā)電子郵件等；n 另一方面，網(wǎng)絡(luò)也是不安全的，所以需要使用防火墻對(duì)網(wǎng)絡(luò)進(jìn)行控制，添加安全規(guī)則，讓用戶通過登錄來完成訪問授權(quán)，可這樣會(huì)使用戶感到繁瑣，而且需要檢查的安全規(guī)則越多，網(wǎng)絡(luò)性能就會(huì)越差。防火墻的分類n 從防火墻實(shí)現(xiàn)的技術(shù)方式分：n 包過濾防火墻；n 應(yīng)用層網(wǎng)關(guān)防火墻；n 電路層網(wǎng)關(guān)防火墻；n 狀態(tài)檢測(cè)防火墻。 n 2） Smurf： n 該攻擊向一個(gè)子網(wǎng)的廣播地址發(fā)一個(gè)帶有特定請(qǐng)求（如 ICMP回應(yīng)請(qǐng)求）的包，并且將源地址偽裝成想要攻擊的主機(jī)地址；n 子網(wǎng)上所有主機(jī)都回應(yīng)廣播包請(qǐng)求而向被攻擊主機(jī)發(fā)包，使該主機(jī)受到攻擊。比如進(jìn)行地址欺騙，不可信網(wǎng)絡(luò)的用戶偽裝成可信網(wǎng)絡(luò)的地址，從而繞過系統(tǒng)的認(rèn)證實(shí)現(xiàn)進(jìn)入被攻擊系統(tǒng)；或者通過在內(nèi)部網(wǎng)絡(luò)中安裝木馬程序，實(shí)現(xiàn)對(duì)內(nèi)部機(jī)器的控制。n 附加功能：n 流量控制；n 網(wǎng)絡(luò)地址轉(zhuǎn)換（ Network Address Translation—NAT）；n 虛擬專用網(wǎng)（ Virtual Private Network—VPN ）。n 網(wǎng)絡(luò)越大，對(duì)主機(jī)進(jìn)行管理使它們達(dá)到統(tǒng)一的安全級(jí)別水平就越不容易。防火墻概述（續(xù)）n 如果沒有防火墻，則整個(gè)內(nèi)部網(wǎng)絡(luò)的安全性完全依賴于每個(gè)主