【正文】 問 。 開放式 Inter 接入 過濾器 過 濾 器、 網(wǎng)關(guān) 過濾器 、網(wǎng)關(guān)和域名服務(wù)及郵件處理 過濾器 、 網(wǎng)關(guān) 、 域名服務(wù) 、 郵件處理 、 安全操作系統(tǒng) 過濾器 、 網(wǎng)關(guān) 、 域名服務(wù)郵件處理、 數(shù)據(jù)完整性 、 安全操作系統(tǒng) 無接入 功能 安全性 完全安全性 安全級 根據(jù)防火墻的安全策略的不同 ， 防火墻的安全級別也不同 。 (2)不能防范不通過它的連接 只對所有通過防火墻的進(jìn)行 Inter數(shù)據(jù)流進(jìn)行處理 ，才能發(fā)揮防火墻的作用 。 病毒可以通過 FTP或其它工具傳至專用網(wǎng) 。 網(wǎng)絡(luò)對外呈現(xiàn)的安全水平依賴于所用防火墻系統(tǒng)的體系結(jié)構(gòu) 。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) 網(wǎng)絡(luò)板 網(wǎng)絡(luò)板 網(wǎng)絡(luò)板 網(wǎng)絡(luò) 1 網(wǎng)絡(luò) 2 網(wǎng)絡(luò) 3 可選路由功能 多 宿 主 機(jī) (2)雙宿主機(jī) 雙宿主機(jī)體系結(jié)構(gòu)是多宿主機(jī)的一個特例，是連接兩個網(wǎng)絡(luò)的計算機(jī)系統(tǒng)，是圍繞具有雙宿主的主機(jī)計算機(jī)而構(gòu)筑的，這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，并能夠從一個網(wǎng)絡(luò)到另一個網(wǎng)絡(luò)發(fā)送 IP數(shù)據(jù)包。 雙宿主機(jī)上的這個兩個應(yīng)用程序甚至可以共享數(shù)據(jù)來交換信息是完全可能的 ， 并且 ， 在雙宿主機(jī)上相連的兩個網(wǎng)絡(luò)段之間沒有網(wǎng)絡(luò)流量的交換 。它們之間的 IP通信被完全阻止。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) 屏蔽主機(jī)體系結(jié)構(gòu) 屏蔽主機(jī)體系結(jié)構(gòu)防火墻配置需要一個帶數(shù)據(jù)分組過濾功能的路由器和一臺堡壘主機(jī)，如圖所示。 主要的安全由數(shù)據(jù)包過濾 。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) 兩個分組過濾路由器 ， 一個位于周邊網(wǎng)與內(nèi)部的網(wǎng)絡(luò)之間 ， 另一個位于周邊網(wǎng)與外部網(wǎng)絡(luò)之間 。 （ 1） 周邊網(wǎng)絡(luò) 周邊網(wǎng)絡(luò)是另一個安全層 ， 是在外部網(wǎng)絡(luò)與用戶的被保護(hù)的內(nèi)部網(wǎng)絡(luò)之間的附加的網(wǎng)絡(luò) 。 它是一個專門的系統(tǒng) ，具有特殊的裝備 ， 并能抵御攻擊 。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) （ 2） 堡壘主機(jī) 堡壘主機(jī)負(fù)責(zé)提供代理服務(wù) 。 它允許從內(nèi)部網(wǎng)到 Inter的有選擇的出站服務(wù) 。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) （ 4） 外部路由器 外部路由器有時也被稱為訪問路由器 ， 起著保護(hù)周邊網(wǎng)和內(nèi)部網(wǎng)免受來自 Inter 的攻擊 。 這樣的數(shù)據(jù)包自稱來自內(nèi)部的網(wǎng)絡(luò) ， 但實際上是來自 Inter。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) ? 使用多堡壘主機(jī)； ? 合并內(nèi)部路由器與外部路由器； ? 合并堡壘主機(jī)與外部路由器； ? 合并堡壘主機(jī)與內(nèi)部路由器； ? 使用多臺內(nèi)部路由器； ? 使用多臺外部路由器； ? 使用多個周邊網(wǎng)絡(luò)； ? 使用雙重宿主機(jī)與屏蔽子網(wǎng) 。對于接口的不同訪問，防火墻基本上分為三種類。 因此 ， 過濾路由器也稱作分組過濾路由器 （ Packetfiltering Firewall） 。 該路由器通常都被配置成過濾雙向的分組 (來自內(nèi)部或進(jìn)入內(nèi)部網(wǎng)絡(luò) )。 防火墻技術(shù) 傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層 Inter 內(nèi)部網(wǎng)絡(luò) 數(shù)據(jù)包過濾 路由器 傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層 （ 1） 過濾規(guī)則 典型地，分組過濾器被建立成一組規(guī)則的列表。 兩個默認(rèn)策略是可能的： 默認(rèn) =丟棄：沒有明確允許的就被禁止 。字段中的 “ *” 是一個匹配所有信息的通配符指示符，假設(shè)防火墻執(zhí)行的是默認(rèn) =丟棄的策略。所有規(guī)則集合都是將這個規(guī)則隱含地作為最后一條規(guī)則。 當(dāng)這個規(guī)則寫下后 ， 攻擊者就可以通過發(fā)送 TCP源端口號為 25的分組來獲得內(nèi)部機(jī)器的訪問權(quán) 。 防火墻技術(shù) 動作 源站 端口 目的站 端口 標(biāo)志 注釋 允許 {我們的主機(jī) } * * 25 我們發(fā)送他們的 SMTP端口 允許 * 25 * * ACK 他們的應(yīng)答 （ 1） 過濾規(guī)則 表 59 表中的規(guī)則是處理 FTP連接的一種方法。 防火墻技術(shù) 動作 源站 端口 目的站 端口 標(biāo)志 注釋 允許 {我們的 主機(jī) } * * 25 我們輸出的調(diào)用 允許 * * * * ACK 對我們的調(diào)用的應(yīng)答 允許 * * * 1024 到非服務(wù)器的通信量 （ 2） 對分組過濾路由器攻擊及安全策略 1） IP地址欺騙 入侵者傳輸來自外部的 、 源站 IP地址字段包含了一個內(nèi)部主要機(jī)地址的分組 。 對策是丟棄所有使用這個選項的分組 。 通過丟棄所有協(xié)議類型 ， 是 TCP并且 IP分片偏移等于 1的分組打敗微小分片攻擊方法 。它不能分辨好的和壞的用戶，只能區(qū)分好的分組和壞的分組。 防火墻技術(shù) （ 1） 代理 防火墻技術(shù) Inter 內(nèi)部網(wǎng)絡(luò) 傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層 傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層 應(yīng)用網(wǎng)關(guān) 應(yīng)用層 應(yīng)用層 應(yīng)用網(wǎng)關(guān)與 OSI七層模型 （ 1） 代理 ? 在堡壘主機(jī)中設(shè)置一個負(fù)責(zé)與外部網(wǎng)絡(luò)進(jìn)行郵件交互的外部 SMTP服務(wù)器轉(zhuǎn)發(fā)； ? 外部網(wǎng)絡(luò)發(fā)到內(nèi)部網(wǎng)絡(luò)的郵件由外部 SMTP服務(wù)器送到內(nèi)部 SMTP服務(wù)器處理 ， 而不直達(dá)內(nèi)部主機(jī) 。 防火墻技術(shù) （ 1） 代理 例如 ,SMTP代理 。 這種防火墻能完全控制網(wǎng)絡(luò)信息的交換 、 控制會話過程 ， 具有靈活性和安全性 ， 但可能影響網(wǎng)絡(luò)的性能 ， 對用戶不透明 ， 且對每一種服務(wù)器都要設(shè)計 1個代理模塊 ， 應(yīng)用層網(wǎng)關(guān)能讓網(wǎng)絡(luò)管理員對服務(wù)進(jìn)行全面的控制 。 從效果上看 ， 最終用戶之間存在兩個串接的連接 ， 網(wǎng)關(guān)處于串接點 ， 網(wǎng)關(guān)必須在兩個方向上檢查和轉(zhuǎn)發(fā)所有通信量 。 防火墻技術(shù) 電路層網(wǎng)關(guān) （ Circuit –level Gateways ） 在網(wǎng)絡(luò)的傳輸層上實施訪問策略，這可能是一個單獨的系統(tǒng)或者可能是一個應(yīng)用網(wǎng)關(guān)為特定應(yīng)用程序完成的專門功能，電路層網(wǎng)關(guān)與 OSI七層模型如圖所示。電路級網(wǎng)關(guān)典型應(yīng)用場合是系統(tǒng)管理員信任內(nèi)部用戶的情況。 因為網(wǎng)絡(luò)中每一個用戶所需要的服務(wù)和信息經(jīng)常是不一樣的 ， 它們對安全保障的要求也不一樣 ， 所以可以將網(wǎng)絡(luò)組織結(jié)構(gòu)的一部分與其余站點隔離開 。 ? 客戶端和服務(wù)器端的應(yīng)用程序本身就支持代理服務(wù)方式 。 例如動態(tài)包過濾系統(tǒng)中的包過濾規(guī)則可由路由器靈活 、 快速的來設(shè)置 。 物理隔離技術(shù) 主要思想 ：如果不存在與網(wǎng)絡(luò)的物理連接 ， 網(wǎng)絡(luò)安全威脅便受到了真正的限制 。 要實現(xiàn)外部網(wǎng)絡(luò) (公眾信息網(wǎng) )與內(nèi)部網(wǎng)絡(luò)物理隔離的目的，就必須保證做到以下幾點： ①在物理傳輸上使內(nèi)外網(wǎng)絡(luò)隔斷 ②在物理輻射上隔斷內(nèi)部網(wǎng)與外部網(wǎng) ③在物理存儲上隔斷兩個網(wǎng)絡(luò)環(huán)境 網(wǎng)絡(luò)隔離技術(shù) 物理隔離技術(shù)實現(xiàn)內(nèi)外網(wǎng)信息的隔離。 在客戶端的內(nèi)外雙網(wǎng)的布線上使用一條網(wǎng)絡(luò)線 ， 通過遠(yuǎn)端切換器連接內(nèi)外雙網(wǎng) ， 實現(xiàn)一臺工作站連接內(nèi)外兩個網(wǎng)絡(luò)的目的 ， 并在網(wǎng)絡(luò)布線上避免了客戶端要用兩條網(wǎng)絡(luò)線連接網(wǎng)絡(luò) 。 ?采用基于單網(wǎng)線的安全隔離卡加上網(wǎng)絡(luò)選擇器的技術(shù)階段。 網(wǎng)絡(luò)隔離技術(shù) 物理隔離技術(shù)的發(fā)展 工作原理： 客戶端增加一塊 PCI卡 ， 客戶端硬盤或其他存儲設(shè)備首先連接到該卡 ， 然后再轉(zhuǎn)接到主板 ， 通過該卡用戶就能控制客戶端硬盤或其他存儲設(shè)備 。 這樣 ， 如果用戶在客戶端交換兩個網(wǎng)絡(luò)的網(wǎng)線連接 ， 內(nèi)外網(wǎng)的存儲介質(zhì)也就同時被交換了 ， 因此這一代產(chǎn)品客戶端還存在較大的安全隱患 。 由于選擇網(wǎng)絡(luò)的選擇器不在客戶端 。 ?單主板安全隔離計算機(jī) 。這樣可以使一臺工作站或 PC能夠連接兩個網(wǎng)絡(luò)。 網(wǎng)絡(luò)隔離技術(shù) 網(wǎng)絡(luò)隔離的基本技術(shù) 安全區(qū) 公共區(qū) 公共網(wǎng)絡(luò) 內(nèi)部網(wǎng)絡(luò) S1 S2 網(wǎng)絡(luò)安全隔離卡示意 網(wǎng)絡(luò)安全隔離集線器系統(tǒng)可以讓所有用戶（使用以太網(wǎng)、快速以太網(wǎng)或令牌環(huán)網(wǎng)連接到兩個物理獨立的網(wǎng)絡(luò)用戶），能使用現(xiàn)有的單一布線系統(tǒng)，節(jié)約了費用和精力。 因此處理器 、 主板 、 外設(shè)的升級不會給計算機(jī)帶來 “ 不兼容 ” 的影響 。在系統(tǒng)引導(dǎo)時不允許驅(qū)動器中有移動存儲介質(zhì)。 如果對這些接口使用不當(dāng) ， 也會是安全漏洞 ， 應(yīng)當(dāng)加強(qiáng)使用管制 。 網(wǎng)絡(luò)隔離技術(shù) 網(wǎng)絡(luò)隔離技術(shù) 外網(wǎng) 內(nèi)網(wǎng) 網(wǎng)絡(luò)安全隔離與安全交換系統(tǒng)簡稱網(wǎng)閘 ， 是用于自動處理兩個物理上隔離的網(wǎng)絡(luò)之間的數(shù)據(jù)安全交換問題 。 同時需要向外網(wǎng)發(fā)送的數(shù)據(jù)被傳送到轉(zhuǎn)發(fā)服務(wù)器中 ， 然后轉(zhuǎn)發(fā)服務(wù)器斷開內(nèi)網(wǎng)與外網(wǎng)連接 ， 需要向外網(wǎng)發(fā)送的數(shù)據(jù)傳到外網(wǎng)服務(wù)器上 . 網(wǎng)絡(luò)隔離技術(shù) 內(nèi)部網(wǎng)絡(luò) 內(nèi)部交換機(jī) 外部交換機(jī) 內(nèi)部 Web 服務(wù)器 外部 Web 服務(wù)器 圖 520 能提供對外服務(wù)的隔離方案 網(wǎng)絡(luò)隔離技術(shù) 網(wǎng)絡(luò)隔離技術(shù) 在做到內(nèi)外網(wǎng)隔離的同時，能有效地防止內(nèi)部網(wǎng)絡(luò)的信 息泄露。 網(wǎng)絡(luò)隔離技術(shù) 內(nèi)部網(wǎng)絡(luò) … 內(nèi)部服務(wù)器 客戶端 打印機(jī) 客戶端 客戶端 隔離卡 隔離卡 … 外部服務(wù)器 客戶端 客戶端 客戶端 客戶端 客戶端 外部公共網(wǎng) 安全集線器 網(wǎng)絡(luò)隔離技術(shù) 例如，某個政府機(jī)構(gòu)內(nèi)的網(wǎng)絡(luò)分為內(nèi)部涉密網(wǎng)和外部公共網(wǎng)，其中公共網(wǎng)通過集中出口連接 Inter(視需要安裝防火墻、入侵檢測及防病毒等措施 )，部分計算機(jī)需要能夠接入兩個網(wǎng)絡(luò)，但同時又要保證內(nèi)外網(wǎng)的完全物理隔離。 目的： 在 Windows2020中創(chuàng)建簡易防火墻配置 IP 篩選器。 任務(wù) IP 篩選器 任務(wù) 2. 添加 IP篩選器表 任務(wù) IP篩選器動作 任務(wù) IP安全策略 任務(wù) IP篩選器屏蔽特定端口 任務(wù) IP安全策略規(guī)則 實驗三：簡易防火墻配置