【正文】 被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)，即通過添加 周邊網(wǎng)絡(luò)更進(jìn)一步的把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（通常是 Inter）隔離開。n 然而雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種通信。常見的事件。n 狀態(tài)檢測(cè)既提供了比包過濾防火墻更高的安全性和更靈活的處理，也避免了應(yīng)用層網(wǎng)關(guān)防火墻帶來的速度降低的問題。代理服務(wù)器特點(diǎn)n 代理技術(shù)能進(jìn)行安全控制和加速訪問，有效地實(shí)現(xiàn)防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的隔離，安全性好； 能實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、應(yīng)用層數(shù)據(jù)過濾、記錄和報(bào)告 等功能。MailGate郵件（ 25）DNS（ 53）Tel（ 23） NTP對(duì)外網(wǎng)開放的服務(wù)對(duì)外網(wǎng)開放的服務(wù)例子（續(xù)）例子：根據(jù)安全策略制定的包過濾規(guī)則注意：注意： 沒有明確協(xié)議標(biāo)志的規(guī)則用于沒有明確協(xié)議標(biāo)志的規(guī)則用于 TCP；； INSIDENET指所有內(nèi)部網(wǎng)絡(luò)的主指所有內(nèi)部網(wǎng)絡(luò)的主機(jī)。n 默認(rèn)接受： 指除非明確地指定禁止某個(gè)數(shù)據(jù)包，否則數(shù)據(jù)包是可以通過的。n 但是 防火墻沒有辦法控制一個(gè)外部主機(jī)上的端口號(hào) ，黑客可能會(huì)用其他程序控制外部主機(jī)上 25 號(hào)端口，模擬郵件服務(wù)和內(nèi)部主機(jī)建立連接，進(jìn)行非授權(quán)的訪問。包過濾規(guī)則的制定策略n 總的來說，包過濾規(guī)則的制定策略包括兩類：n 按 IP地址過濾；n 按服務(wù)（即端口號(hào)）過濾。n 這種攻擊是為了繞過用戶定義的過濾規(guī)則n 黑客通常寄希望于過濾器只檢查第一個(gè)分片而允許其余的分片通過。n 基于 IP的數(shù)據(jù)包過濾容易遭到 “源地址路由 ”和 “極小數(shù)據(jù)分段 ”攻擊。二、防火墻技術(shù)n 包過濾（ Packet Filter ）n 代理服務(wù)器（ Proxy Server）n 電路級(jí)網(wǎng)關(guān)（ Circuit Level Gateway）n 狀態(tài)檢測(cè)（ State Inspection）包過濾技術(shù)n 包過濾 (Packet Filter)技術(shù)是在 網(wǎng)絡(luò)層（或傳輸層） 中根據(jù)數(shù)據(jù)包中的包頭信息 對(duì)數(shù)據(jù)包實(shí)施有選擇的通過。n 2）時(shí)延： n 對(duì)存儲(chǔ)轉(zhuǎn)發(fā)設(shè)備，如路由器，是指從入口處進(jìn)入的輸入幀的最后一個(gè)比特到達(dá)，到從出口發(fā)出的輸出幀的第一個(gè)比特輸出所用的時(shí)間間隔。n 從形態(tài)上分：n 軟件防火墻；n 硬件防火墻n 硬件防火墻是將防火墻軟件安裝在專用的硬件平臺(tái)和專有操作系統(tǒng)（有些硬件防火墻甚至沒有操作系統(tǒng)）之上，以硬件形式出現(xiàn)，如 Cisco的 PIX防火墻。n 2） 針對(duì)防火墻的攻擊，使其失去功能 ：包括各種協(xié)議漏洞攻擊和碎片攻擊，使防火墻死機(jī)或者失去本身應(yīng)有功能。n 如果采用了防火墻，內(nèi)部網(wǎng)絡(luò)中的主機(jī)將不再直接暴露給來自 Inter的攻擊n 因此， 對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)的主機(jī)的安全管理就變成了防火墻的安全管理 ，這樣就使安全管理變得更為方便，易于控制，也會(huì)使內(nèi)部網(wǎng)絡(luò)更加安全。防火墻的設(shè)計(jì)目標(biāo)n 所有進(jìn)出被保護(hù)網(wǎng)絡(luò)的通信必須通過防火墻；n 所有通過防火墻的通信必須經(jīng)過安全策略的過濾或者防火墻的授權(quán)；n 防火墻本身應(yīng)該具有很強(qiáng)的抵抗攻擊能力。n 3） 拒絕服務(wù)攻擊 ：此種攻擊現(xiàn)在非常普遍，對(duì)網(wǎng)絡(luò)的危害非常大，是防火墻較難阻擋的攻擊之一。n 有的還使用一些專有的 ASIC硬件芯片負(fù)責(zé)數(shù)據(jù)包的過濾，性能更好。n 這個(gè)指標(biāo)能夠衡量出防火墻處理數(shù)據(jù)的快慢。n 包過濾依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾規(guī)則，檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的包頭后， 根據(jù)包頭中的各個(gè)數(shù)據(jù)項(xiàng)來確定是否允許數(shù)據(jù)包通過， 其核心是安全策略即過濾規(guī)則的設(shè)計(jì)?；?IP的數(shù)據(jù)包過濾（續(xù)）n 源地址路由攻擊 ：n 源地址路由是 IP的選項(xiàng)，指由數(shù)據(jù)包的源地址來指定到達(dá)目的地的路由，而不是讓路由器根據(jù)其路由表來決定向何處發(fā)送數(shù)據(jù)包。n 防火墻解決這個(gè) 問題的方法是在防火墻處進(jìn)行IP報(bào)文重組TCP數(shù)據(jù)包格式20基于 TCP的數(shù)據(jù)包過濾n 可以根據(jù) TCP協(xié)議中的 源端口 和 目的端口來制定安全規(guī)則n 注意： 由于 TCP的源端口通常是隨機(jī)的，所以通常不使用源端口進(jìn)行控制 。按 IP地址過濾n 按地址過濾是最簡(jiǎn)單的過濾方式，它只限制數(shù)據(jù)包的源地址和目的地址，而不必考慮協(xié)議。網(wǎng)絡(luò)協(xié)議的雙向性對(duì)包過濾規(guī)則制定的影響n 需要注意的是， 網(wǎng)絡(luò)協(xié)議一般都是雙向的 ，如果發(fā)送了一個(gè)請(qǐng)求或者一條命令，另一邊的主機(jī)就會(huì)發(fā)出某種響應(yīng)。n 默認(rèn)拒絕： 指除非明確的指定允許某個(gè)數(shù)據(jù)包通過，否則數(shù)據(jù)包是不可以通過的。機(jī)。n 其缺點(diǎn)是n 對(duì)于每一種應(yīng)用服務(wù)都必須為其設(shè)計(jì)一個(gè)代理軟件模塊來進(jìn)行安全控制 ，而每一種網(wǎng)絡(luò)應(yīng)用服務(wù)的安全問題各不相同，實(shí)現(xiàn)困難。n 實(shí)現(xiàn)狀態(tài)檢測(cè)最重要的是 實(shí)現(xiàn)連接跟蹤功能n 需要為不同的通信協(xié)議開發(fā)單獨(dú)的連接跟蹤模塊。 對(duì) TCP協(xié)議的狀態(tài)檢測(cè)（續(xù)）n 對(duì) TCP協(xié)議，有如下結(jié)論：n TCP連接是有狀態(tài)的，連接進(jìn)入到不同的階段有不同的狀態(tài)n TCP連接狀態(tài)的轉(zhuǎn)換是有一定順序的，不能任意改變n TCP連接過程中客戶端和服務(wù)端的可能狀態(tài)是有區(qū)別的n 如客戶端不可能進(jìn)入到 Listen狀態(tài)n 對(duì)于 TCP包中的標(biāo)志，有些標(biāo)志是不可能同時(shí)存在的n 如 SYN不能和 FIN、 RST、 PSH同時(shí)存在n 根據(jù)這些原則，防火墻就可以判斷出連接雙方目前處于何種狀態(tài)，一旦發(fā)現(xiàn)數(shù)據(jù)包和狀態(tài)不符，就可以認(rèn)為該數(shù)據(jù)包狀態(tài)異常，從而拒絕n 另外這種方式對(duì)于一些端口掃描工具，也能很好對(duì)抗。n 在雙重宿主主機(jī)體系結(jié)構(gòu)中，外部網(wǎng)絡(luò)能與雙重宿主主機(jī)通信，內(nèi)部網(wǎng)絡(luò)也能與雙重宿主主機(jī)通信，但是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信，它們之間的通信 必須經(jīng)過雙重宿主主機(jī)的過濾和控制 。n 周邊網(wǎng)絡(luò)是一個(gè)被隔離的獨(dú)立子網(wǎng)，充當(dāng)了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的緩沖區(qū)，在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個(gè) “隔離帶 ”，即 “非軍事區(qū) ”（ DeMilitarized Zone, DMZ）。n 構(gòu)建堡壘主機(jī)的要點(diǎn)如下：n 選擇合適的操作系統(tǒng)，關(guān)閉不需要的服務(wù)和功能；n 確定堡壘主機(jī)的安裝位置，最好處于一個(gè)獨(dú)立的網(wǎng)絡(luò)中，如 DMZ；n 確定堡壘主機(jī)提供的服務(wù)；n 保護(hù)堡壘主機(jī)產(chǎn)生的系統(tǒng)日志；n 監(jiān)測(cè)和備份堡壘主機(jī)的數(shù)據(jù)。UTM的功能n UTM設(shè)備應(yīng)該具備的基本功能包括： 網(wǎng)絡(luò)防火墻 、 網(wǎng)絡(luò)入侵檢測(cè) 和 網(wǎng)關(guān)防病毒n 這幾項(xiàng)功能并不一定要同時(shí)都得到使用，但它們應(yīng)該是 UTM設(shè)備自身固有的功能。UTM的典型技術(shù)（續(xù)）n 定制的操作系統(tǒng)（ OS）n 專用的強(qiáng)化安全的 OS提供精簡(jiǎn)的、高性能防火墻和內(nèi)容安全檢測(cè)平臺(tái)。UTM的主要優(yōu)勢(shì)n 能夠防御混合型攻擊n 降低了復(fù)雜性n 避免了軟件安裝工作和服務(wù)器的增加n 減少了維護(hù)量n 應(yīng)用的靈活性n 集中的安全日志管理n 整合帶來成本降低UTM主要存在的問題n 性能： 由于 UTM自身的檢測(cè)是多方面的，而且這些檢測(cè)結(jié)果還要用于阻斷 /通行的判斷，因此，目前 UTM設(shè)備的 HA能力普遍要弱于防火墻和路由器。n 安全性： UTM將所有的安全功能置于一臺(tái)設(shè)備之內(nèi)，使得 UTM可能會(huì)成為網(wǎng)絡(luò)中的單點(diǎn)故障；而一旦 UTM被成功侵入或突破，整個(gè)網(wǎng)絡(luò)也將被完全暴露在打擊之下。UTM的典型技術(shù)（續(xù)）n 緊密型模式識(shí)別語言 (CPRL)n