【文章內(nèi)容簡(jiǎn)介】 火墻系統(tǒng)的體系結(jié)構(gòu)可以說成為夠成防火墻系統(tǒng)的拓?fù)浣Y(jié)構(gòu) 。 網(wǎng)絡(luò)對(duì)外呈現(xiàn)的安全水平依賴于所用防火墻系統(tǒng)的體系結(jié)構(gòu) 。 一般將防火墻體系結(jié)構(gòu)區(qū)分三種 。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) (1)多宿主機(jī) （ multihomed host） 多宿主機(jī)一詞用來描述具有多個(gè)網(wǎng)絡(luò) 接口板控制的的主機(jī) 。 它們被廣泛用于兩個(gè)或多個(gè)局域網(wǎng)的系統(tǒng)中 。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) 網(wǎng)絡(luò)板 網(wǎng)絡(luò)板 網(wǎng)絡(luò)板 網(wǎng)絡(luò) 1 網(wǎng)絡(luò) 2 網(wǎng)絡(luò) 3 可選路由功能 多 宿 主 機(jī) (2)雙宿主機(jī) 雙宿主機(jī)體系結(jié)構(gòu)是多宿主機(jī)的一個(gè)特例，是連接兩個(gè)網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng)，是圍繞具有雙宿主的主機(jī)計(jì)算機(jī)而構(gòu)筑的，這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，并能夠從一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò)發(fā)送 IP數(shù)據(jù)包。然而，實(shí)現(xiàn)雙宿主機(jī)的作為防火墻的雙宿主機(jī)體系結(jié)構(gòu)禁止這種發(fā)送 IP數(shù)據(jù)包功能。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) 主機(jī) A 主機(jī) B 網(wǎng)絡(luò) 1上的主機(jī) A可以訪雙宿主機(jī)上的應(yīng)用程序 A。 類似的 ， 主機(jī) B可以訪問雙宿主機(jī)上的應(yīng)用程序 B。 雙宿主機(jī)上的這個(gè)兩個(gè)應(yīng)用程序甚至可以共享數(shù)據(jù)來交換信息是完全可能的 ， 并且 ， 在雙宿主機(jī)上相連的兩個(gè)網(wǎng)絡(luò)段之間沒有網(wǎng)絡(luò)流量的交換 。 雙宿主機(jī)網(wǎng)關(guān)是在堡壘主機(jī)中插裝兩塊網(wǎng)絡(luò)口卡 ，并在其上運(yùn)行服務(wù)器軟件 ， 受保護(hù)網(wǎng)與 Inter之間不能直接進(jìn)行通信 ， 必須經(jīng)過壁壘主機(jī) ， 因此 ， 不必現(xiàn)實(shí)的列出保護(hù)網(wǎng)與外部網(wǎng)之間的路由 ， 從而達(dá)到受保護(hù)網(wǎng)除了看到壁壘主機(jī)之外 ， 不能看到其他任何系統(tǒng)效果 。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) 因而， IP數(shù)據(jù)分組從一個(gè)網(wǎng)絡(luò)（例如， Inter）并不是直接發(fā)送到其它網(wǎng)絡(luò)（例如，內(nèi)部的、被保護(hù)的網(wǎng)絡(luò)）。防火墻內(nèi)部的系統(tǒng)能與雙宿主機(jī)通信，同時(shí)防火墻外部的系統(tǒng)（在 Inter上）能與雙宿主機(jī)通信，但是這些系統(tǒng)不能直接互相通信。它們之間的 IP通信被完全阻止。 雙宿主機(jī)的防火墻體系結(jié)構(gòu)很簡(jiǎn)單 ， 雙宿主機(jī)位于兩者之間 ， 并且被連接到 Inter和內(nèi)部的網(wǎng)絡(luò) 。 如圖 510所示 . 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) 作為防火墻的雙宿主機(jī) 外部 內(nèi)部 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) 雙宿主機(jī)是防火墻使用的最基本配置 ， 雙宿主防火墻主機(jī)的重要性是路由被禁；網(wǎng)段之間唯一的路徑是通過應(yīng)用層的功能 。 如果路由意外地設(shè)有配置 ， 且 IP轉(zhuǎn)發(fā)允許 ， 那么雙宿主防火墻的應(yīng)用層功能就可能被越過 。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) 屏蔽主機(jī)體系結(jié)構(gòu) 屏蔽主機(jī)體系結(jié)構(gòu)防火墻配置需要一個(gè)帶數(shù)據(jù)分組過濾功能的路由器和一臺(tái)堡壘主機(jī)，如圖所示。 . 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) 在這種體系結(jié)構(gòu)中 ， 防火墻系統(tǒng)提供的安全等級(jí)較高 ， 因?yàn)樗鼘?shí)現(xiàn)了網(wǎng)絡(luò)層安全和應(yīng)用層安全 。 所以入侵者在破壞內(nèi)部網(wǎng)絡(luò)安全之前 ， 必須首先滲透兩種不同的安全系統(tǒng) 。 使用一個(gè)單獨(dú)的路由器控制所有出入內(nèi)部網(wǎng)的訪問， 并將所有的請(qǐng)求傳送給堡壘主機(jī) 。 主要的安全由數(shù)據(jù)包過濾 。 代理服務(wù)將通過防火墻的通信鏈路分為兩段：防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)的應(yīng)用層鏈路優(yōu)先兩個(gè)終止于Proxy Server的 “ 鏈路 ” 來實(shí)現(xiàn)：外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能達(dá)到 Proxy Server， 從而內(nèi)網(wǎng)與外網(wǎng)計(jì)算機(jī)系統(tǒng)實(shí)現(xiàn)隔離 。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) 屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到屏蔽主機(jī)體系結(jié)構(gòu) 。 用兩個(gè)分組過濾路由器和一個(gè)堡壘主機(jī) ， 在內(nèi)部網(wǎng)絡(luò)與 Inter之間有一個(gè)小型的獨(dú)立網(wǎng)絡(luò) ， 即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與 Inter隔離開， 如圖所示 。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) 兩個(gè)分組過濾路由器 ， 一個(gè)位于周邊網(wǎng)與內(nèi)部的網(wǎng)絡(luò)之間 ， 另一個(gè)位于周邊網(wǎng)與外部網(wǎng)絡(luò)之間 。 通過屏蔽子網(wǎng)防火墻訪問內(nèi)部網(wǎng)絡(luò)要受到路由器過濾規(guī)則的保護(hù) 。 堡壘主機(jī) 、 信息服務(wù)器 、 調(diào)制解調(diào)器組以及其他公用服務(wù)器放在子網(wǎng)中 。 屏蔽子網(wǎng)中的主機(jī)是內(nèi)部網(wǎng)和 Inter都能訪問唯一系統(tǒng) ， 他支持網(wǎng)絡(luò)層和應(yīng)用層安全功能 。 （ 1） 周邊網(wǎng)絡(luò) 周邊網(wǎng)絡(luò)是另一個(gè)安全層 ， 是在外部網(wǎng)絡(luò)與用戶的被保護(hù)的內(nèi)部網(wǎng)絡(luò)之間的附加的網(wǎng)絡(luò) 。 如果侵襲者成功地侵入用戶的防火墻的外層領(lǐng)域 ， 周邊網(wǎng)絡(luò)在那個(gè)侵襲者與用戶的內(nèi)部系統(tǒng)之間提供一個(gè)附加的保護(hù)層 。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) （ 2） 堡壘主機(jī) 將過濾和代理服務(wù)等功能結(jié)合起來形成新的防火墻 ，所用主機(jī)稱為堡壘主機(jī) （ bastion Hosts） 。 堡壘主機(jī)是一個(gè)組織的網(wǎng)絡(luò)安全的中心主機(jī) 。 它是一個(gè)專門的系統(tǒng) ，具有特殊的裝備 ， 并能抵御攻擊 。 堡壘主機(jī)提供安全性功能的幾種特點(diǎn)如下： ? 堡壘主機(jī)的硬件執(zhí)行一個(gè)安全版本的操作系統(tǒng) 。 ? 只有網(wǎng)絡(luò)管理員認(rèn)為必需的服務(wù)才能在堡壘主機(jī)上安裝。 ? 每個(gè)代理在堡壘主機(jī)上都以非特權(quán)用戶的身份運(yùn)行在其自己的并且是安全的目錄中。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) （ 2） 堡壘主機(jī) 堡壘主機(jī)負(fù)責(zé)提供代理服務(wù) 。 一般采用以下幾種技術(shù)： ① 動(dòng)態(tài)包過濾； ② 內(nèi)核透明技術(shù)； ③ 用戶認(rèn)證機(jī)制； ④ 內(nèi)容和策略感知能力； ⑤ 內(nèi)部信息隱藏； ⑥ 智能日志 、 審計(jì)和實(shí)時(shí)報(bào)警； ⑦ 防火墻的交互操作性等 。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) （ 3） 內(nèi)部路由器 內(nèi)部路由器 （ 有時(shí)被稱為阻塞路由器 ） 保護(hù)內(nèi)部的網(wǎng)絡(luò)使之免受 Inter 和周邊網(wǎng)的侵犯 。 內(nèi)部路由器為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過濾工作 。 它允許從內(nèi)部網(wǎng)到 Inter的有選擇的出站服務(wù) 。這些服務(wù)是用戶的站點(diǎn)能使用數(shù)據(jù)包過濾而不是代理服務(wù) 安全支持和安全提供的服務(wù) 。 內(nèi)部路由器所允許的在堡壘主機(jī) （ 在周邊網(wǎng)上 ） 和用戶的內(nèi)部網(wǎng)之間服務(wù)可以不同于內(nèi)部路由器所允許的在 Inter和用戶的內(nèi)部網(wǎng)之間的服務(wù) 。 限制堡壘主機(jī)和內(nèi)部網(wǎng)之間服務(wù)的理由是減少由此而導(dǎo)致的受到來自堡壘主機(jī)侵襲的機(jī)器的數(shù)量 。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) （ 4） 外部路由器 外部路由器有時(shí)也被稱為訪問路由器 ， 起著保護(hù)周邊網(wǎng)和內(nèi)部網(wǎng)免受來自 Inter 的攻擊 。 實(shí)際上 ， 外部路由器傾向于允許幾乎任何信息從周邊網(wǎng)出站 ， 并且它們通常只執(zhí)行非常少的數(shù)據(jù)包過濾 。 保護(hù)內(nèi)部機(jī)器的數(shù)據(jù)包過濾規(guī)則在內(nèi)部路由器和外部路由器上基本上應(yīng)該是一樣的；如果在規(guī)則中有允許攻擊者訪問的錯(cuò)誤 ， 錯(cuò)誤就可能出現(xiàn)在兩個(gè)路由器上 。 實(shí)際上外部路由器能有效地執(zhí)行的安全任務(wù)之一是：阻止從 Inter上偽造源地址進(jìn)來的任何數(shù)據(jù)包 。 這樣的數(shù)據(jù)包自稱來自內(nèi)部的網(wǎng)絡(luò) ， 但實(shí)際上是來自 Inter。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) 建造防火墻時(shí) ， 一般很少用單一的技術(shù) ， 通常是多種解決不同問題的技術(shù)的組合 。 這種組合主要取決于網(wǎng)管中心向用戶提供什么樣的服務(wù) ， 以及網(wǎng)管中心能接受什么等級(jí)風(fēng)險(xiǎn) 。 采用哪種技術(shù)主要取決于經(jīng)費(fèi) ， 投資的大小或技術(shù)人員的技術(shù) 、 時(shí)間等因素 。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) ? 使用多堡壘主機(jī)； ? 合并內(nèi)部路由器與外部路由器； ? 合并堡壘主機(jī)與外部路由器； ? 合并堡壘主機(jī)與內(nèi)部路由器； ? 使用多臺(tái)內(nèi)部路由器； ? 使用多臺(tái)外部路由器； ? 使用多個(gè)周邊網(wǎng)絡(luò)； ? 使用雙重宿主機(jī)與屏蔽子網(wǎng) 。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) 防火墻系統(tǒng)是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間的物理與邏輯界面。從外部來看，防火墻借助于不同的傳輸接口打開了進(jìn)入內(nèi)部網(wǎng)絡(luò)的通道。通信接口支配著控制裝置，允許內(nèi)部與外部網(wǎng)絡(luò)之間建立連接。對(duì)于接口的不同訪問，防火墻基本上分為三種類。數(shù)據(jù)包過濾器、電路層網(wǎng)關(guān)和應(yīng)用層網(wǎng)關(guān)。這三種類型的防火墻個(gè)有利弊，在實(shí)際應(yīng)用中需考慮網(wǎng)絡(luò)環(huán)境、安全策略和安全級(jí)別等各方面的因素來選擇相應(yīng)的防火墻。 防火墻技術(shù) 欲保護(hù)網(wǎng)絡(luò)的一種辦法是正確配置過濾器 ， 路由能夠區(qū)分網(wǎng)絡(luò)流量 、 協(xié)議特寫的標(biāo)準(zhǔn) ， 路由在其端口具有區(qū)分分組和限制分組的能力叫作 分組過濾 。 因此 ， 過濾路由器也稱作分組過濾路由器 （ Packetfiltering Firewall） 。 分組過濾器安裝在路由器上 ， 當(dāng)然 PC機(jī)上也可以安裝包過濾軟件 。 它工作在網(wǎng)絡(luò)層 （ IP） ， 因此也稱為網(wǎng)絡(luò)防火墻 。 分組過濾路由器對(duì)每個(gè)進(jìn)入的 IP分組使用一個(gè)規(guī)則集合 ， 然后轉(zhuǎn)發(fā)或者丟棄該分組 。 該路由器通常都被配置成過濾雙向的分組 (來自內(nèi)部或進(jìn)入內(nèi)部網(wǎng)絡(luò) )。 防火墻技術(shù) （ 1） 過濾規(guī)則 包過濾規(guī)則是基于所收到的數(shù)據(jù)包的源地址、目的地址、 TCP/UDP、源端口號(hào)及目的端口號(hào)、分組出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標(biāo)志位等參數(shù)，與管理者預(yù)定的訪問控制表（擬定一個(gè)提供接收和服務(wù)對(duì)象的清單，一個(gè)不接受訪問或服務(wù)對(duì)象的清單）進(jìn)行比較，按所定安全政策實(shí)施允許或拒絕訪問，決定數(shù)據(jù)是否符合預(yù)先制定的安全策略，決定數(shù)據(jù)分組的轉(zhuǎn)發(fā)或丟棄，即實(shí)施信息過濾。 防火墻技術(shù) （ 1） 過濾規(guī)則 它實(shí)際上是控制內(nèi)部網(wǎng)絡(luò)上的主機(jī)直接訪問外部網(wǎng)絡(luò)，而外部網(wǎng)絡(luò)上的主機(jī)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問則要受到限制，大多數(shù)在路由增設(shè)這類功能。如圖 513所示數(shù)據(jù)包過濾路由器用于 OSI七層模型中的例子。 防火墻技術(shù) 傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層 Inter 內(nèi)部網(wǎng)絡(luò) 數(shù)據(jù)包過濾 路由器 傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層 （ 1） 過濾規(guī)則 典型地，分組過濾器被建立成一組規(guī)則的列表。這些規(guī)則基于與 IP或 TCP首部中字段的匹配。如果存在與一個(gè)規(guī)則的匹配，那條規(guī)則就會(huì)被調(diào)用來決定轉(zhuǎn)發(fā)規(guī)則還是丟棄規(guī)則。如果和任何規(guī)則都不能匹配，那就采取一個(gè)默認(rèn)動(dòng)作。 兩個(gè)默認(rèn)策略是可能的： 默認(rèn) =丟棄：沒有明確允許的就被禁止 。 默認(rèn) =轉(zhuǎn)發(fā)：沒有明確禁止的就是允許 。 防火墻技術(shù) （ 1） 過濾規(guī)則 表 55至表 59給出某個(gè)防火墻的一些分組過濾規(guī)則集合的例子。在每個(gè)集合中，規(guī)則是自頂向下應(yīng)用的。字段中的 “ *” 是一個(gè)匹配所有信息的通配符指示符，假設(shè)防火墻執(zhí)行的是默認(rèn) =丟棄的策略。 表 55 防火墻技術(shù) 動(dòng)作 我們的主機(jī)