【文章內(nèi)容簡介】 火墻系統(tǒng)的體系結(jié)構(gòu)可以說成為夠成防火墻系統(tǒng)的拓撲結(jié)構(gòu) 。 網(wǎng)絡對外呈現(xiàn)的安全水平依賴于所用防火墻系統(tǒng)的體系結(jié)構(gòu) 。 一般將防火墻體系結(jié)構(gòu)區(qū)分三種 。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) (1)多宿主機 （ multihomed host） 多宿主機一詞用來描述具有多個網(wǎng)絡 接口板控制的的主機 。 它們被廣泛用于兩個或多個局域網(wǎng)的系統(tǒng)中 。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) 網(wǎng)絡板 網(wǎng)絡板 網(wǎng)絡板 網(wǎng)絡 1 網(wǎng)絡 2 網(wǎng)絡 3 可選路由功能 多 宿 主 機 (2)雙宿主機 雙宿主機體系結(jié)構(gòu)是多宿主機的一個特例，是連接兩個網(wǎng)絡的計算機系統(tǒng)，是圍繞具有雙宿主的主機計算機而構(gòu)筑的，這樣的主機可以充當與這些接口相連的網(wǎng)絡之間的路由器，并能夠從一個網(wǎng)絡到另一個網(wǎng)絡發(fā)送 IP數(shù)據(jù)包。然而，實現(xiàn)雙宿主機的作為防火墻的雙宿主機體系結(jié)構(gòu)禁止這種發(fā)送 IP數(shù)據(jù)包功能。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) 主機 A 主機 B 網(wǎng)絡 1上的主機 A可以訪雙宿主機上的應用程序 A。 類似的 ， 主機 B可以訪問雙宿主機上的應用程序 B。 雙宿主機上的這個兩個應用程序甚至可以共享數(shù)據(jù)來交換信息是完全可能的 ， 并且 ， 在雙宿主機上相連的兩個網(wǎng)絡段之間沒有網(wǎng)絡流量的交換 。 雙宿主機網(wǎng)關(guān)是在堡壘主機中插裝兩塊網(wǎng)絡口卡 ，并在其上運行服務器軟件 ， 受保護網(wǎng)與 Inter之間不能直接進行通信 ， 必須經(jīng)過壁壘主機 ， 因此 ， 不必現(xiàn)實的列出保護網(wǎng)與外部網(wǎng)之間的路由 ， 從而達到受保護網(wǎng)除了看到壁壘主機之外 ， 不能看到其他任何系統(tǒng)效果 。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) 因而， IP數(shù)據(jù)分組從一個網(wǎng)絡（例如， Inter）并不是直接發(fā)送到其它網(wǎng)絡（例如，內(nèi)部的、被保護的網(wǎng)絡）。防火墻內(nèi)部的系統(tǒng)能與雙宿主機通信，同時防火墻外部的系統(tǒng)（在 Inter上）能與雙宿主機通信，但是這些系統(tǒng)不能直接互相通信。它們之間的 IP通信被完全阻止。 雙宿主機的防火墻體系結(jié)構(gòu)很簡單 ， 雙宿主機位于兩者之間 ， 并且被連接到 Inter和內(nèi)部的網(wǎng)絡 。 如圖 510所示 . 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) 作為防火墻的雙宿主機 外部 內(nèi)部 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) 雙宿主機是防火墻使用的最基本配置 ， 雙宿主防火墻主機的重要性是路由被禁；網(wǎng)段之間唯一的路徑是通過應用層的功能 。 如果路由意外地設有配置 ， 且 IP轉(zhuǎn)發(fā)允許 ， 那么雙宿主防火墻的應用層功能就可能被越過 。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) 屏蔽主機體系結(jié)構(gòu) 屏蔽主機體系結(jié)構(gòu)防火墻配置需要一個帶數(shù)據(jù)分組過濾功能的路由器和一臺堡壘主機，如圖所示。 . 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) 在這種體系結(jié)構(gòu)中 ， 防火墻系統(tǒng)提供的安全等級較高 ， 因為它實現(xiàn)了網(wǎng)絡層安全和應用層安全 。 所以入侵者在破壞內(nèi)部網(wǎng)絡安全之前 ， 必須首先滲透兩種不同的安全系統(tǒng) 。 使用一個單獨的路由器控制所有出入內(nèi)部網(wǎng)的訪問， 并將所有的請求傳送給堡壘主機 。 主要的安全由數(shù)據(jù)包過濾 。 代理服務將通過防火墻的通信鏈路分為兩段：防火墻內(nèi)外的計算機系統(tǒng)的應用層鏈路優(yōu)先兩個終止于Proxy Server的 “ 鏈路 ” 來實現(xiàn)：外部計算機的網(wǎng)絡鏈路只能達到 Proxy Server， 從而內(nèi)網(wǎng)與外網(wǎng)計算機系統(tǒng)實現(xiàn)隔離 。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) 屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到屏蔽主機體系結(jié)構(gòu) 。 用兩個分組過濾路由器和一個堡壘主機 ， 在內(nèi)部網(wǎng)絡與 Inter之間有一個小型的獨立網(wǎng)絡 ， 即通過添加周邊網(wǎng)絡更進一步地把內(nèi)部網(wǎng)絡與 Inter隔離開， 如圖所示 。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) 兩個分組過濾路由器 ， 一個位于周邊網(wǎng)與內(nèi)部的網(wǎng)絡之間 ， 另一個位于周邊網(wǎng)與外部網(wǎng)絡之間 。 通過屏蔽子網(wǎng)防火墻訪問內(nèi)部網(wǎng)絡要受到路由器過濾規(guī)則的保護 。 堡壘主機 、 信息服務器 、 調(diào)制解調(diào)器組以及其他公用服務器放在子網(wǎng)中 。 屏蔽子網(wǎng)中的主機是內(nèi)部網(wǎng)和 Inter都能訪問唯一系統(tǒng) ， 他支持網(wǎng)絡層和應用層安全功能 。 （ 1） 周邊網(wǎng)絡 周邊網(wǎng)絡是另一個安全層 ， 是在外部網(wǎng)絡與用戶的被保護的內(nèi)部網(wǎng)絡之間的附加的網(wǎng)絡 。 如果侵襲者成功地侵入用戶的防火墻的外層領域 ， 周邊網(wǎng)絡在那個侵襲者與用戶的內(nèi)部系統(tǒng)之間提供一個附加的保護層 。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) （ 2） 堡壘主機 將過濾和代理服務等功能結(jié)合起來形成新的防火墻 ，所用主機稱為堡壘主機 （ bastion Hosts） 。 堡壘主機是一個組織的網(wǎng)絡安全的中心主機 。 它是一個專門的系統(tǒng) ，具有特殊的裝備 ， 并能抵御攻擊 。 堡壘主機提供安全性功能的幾種特點如下： ? 堡壘主機的硬件執(zhí)行一個安全版本的操作系統(tǒng) 。 ? 只有網(wǎng)絡管理員認為必需的服務才能在堡壘主機上安裝。 ? 每個代理在堡壘主機上都以非特權(quán)用戶的身份運行在其自己的并且是安全的目錄中。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) （ 2） 堡壘主機 堡壘主機負責提供代理服務 。 一般采用以下幾種技術(shù)： ① 動態(tài)包過濾； ② 內(nèi)核透明技術(shù)； ③ 用戶認證機制； ④ 內(nèi)容和策略感知能力； ⑤ 內(nèi)部信息隱藏； ⑥ 智能日志 、 審計和實時報警； ⑦ 防火墻的交互操作性等 。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) （ 3） 內(nèi)部路由器 內(nèi)部路由器 （ 有時被稱為阻塞路由器 ） 保護內(nèi)部的網(wǎng)絡使之免受 Inter 和周邊網(wǎng)的侵犯 。 內(nèi)部路由器為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過濾工作 。 它允許從內(nèi)部網(wǎng)到 Inter的有選擇的出站服務 。這些服務是用戶的站點能使用數(shù)據(jù)包過濾而不是代理服務 安全支持和安全提供的服務 。 內(nèi)部路由器所允許的在堡壘主機 （ 在周邊網(wǎng)上 ） 和用戶的內(nèi)部網(wǎng)之間服務可以不同于內(nèi)部路由器所允許的在 Inter和用戶的內(nèi)部網(wǎng)之間的服務 。 限制堡壘主機和內(nèi)部網(wǎng)之間服務的理由是減少由此而導致的受到來自堡壘主機侵襲的機器的數(shù)量 。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) （ 4） 外部路由器 外部路由器有時也被稱為訪問路由器 ， 起著保護周邊網(wǎng)和內(nèi)部網(wǎng)免受來自 Inter 的攻擊 。 實際上 ， 外部路由器傾向于允許幾乎任何信息從周邊網(wǎng)出站 ， 并且它們通常只執(zhí)行非常少的數(shù)據(jù)包過濾 。 保護內(nèi)部機器的數(shù)據(jù)包過濾規(guī)則在內(nèi)部路由器和外部路由器上基本上應該是一樣的；如果在規(guī)則中有允許攻擊者訪問的錯誤 ， 錯誤就可能出現(xiàn)在兩個路由器上 。 實際上外部路由器能有效地執(zhí)行的安全任務之一是：阻止從 Inter上偽造源地址進來的任何數(shù)據(jù)包 。 這樣的數(shù)據(jù)包自稱來自內(nèi)部的網(wǎng)絡 ， 但實際上是來自 Inter。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) 建造防火墻時 ， 一般很少用單一的技術(shù) ， 通常是多種解決不同問題的技術(shù)的組合 。 這種組合主要取決于網(wǎng)管中心向用戶提供什么樣的服務 ， 以及網(wǎng)管中心能接受什么等級風險 。 采用哪種技術(shù)主要取決于經(jīng)費 ， 投資的大小或技術(shù)人員的技術(shù) 、 時間等因素 。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) ? 使用多堡壘主機； ? 合并內(nèi)部路由器與外部路由器； ? 合并堡壘主機與外部路由器； ? 合并堡壘主機與內(nèi)部路由器； ? 使用多臺內(nèi)部路由器； ? 使用多臺外部路由器； ? 使用多個周邊網(wǎng)絡； ? 使用雙重宿主機與屏蔽子網(wǎng) 。 防火墻系統(tǒng)的體系結(jié)構(gòu) 防火墻技術(shù) 防火墻系統(tǒng)是外部網(wǎng)絡與內(nèi)部網(wǎng)絡之間的物理與邏輯界面。從外部來看，防火墻借助于不同的傳輸接口打開了進入內(nèi)部網(wǎng)絡的通道。通信接口支配著控制裝置，允許內(nèi)部與外部網(wǎng)絡之間建立連接。對于接口的不同訪問，防火墻基本上分為三種類。數(shù)據(jù)包過濾器、電路層網(wǎng)關(guān)和應用層網(wǎng)關(guān)。這三種類型的防火墻個有利弊，在實際應用中需考慮網(wǎng)絡環(huán)境、安全策略和安全級別等各方面的因素來選擇相應的防火墻。 防火墻技術(shù) 欲保護網(wǎng)絡的一種辦法是正確配置過濾器 ， 路由能夠區(qū)分網(wǎng)絡流量 、 協(xié)議特寫的標準 ， 路由在其端口具有區(qū)分分組和限制分組的能力叫作 分組過濾 。 因此 ， 過濾路由器也稱作分組過濾路由器 （ Packetfiltering Firewall） 。 分組過濾器安裝在路由器上 ， 當然 PC機上也可以安裝包過濾軟件 。 它工作在網(wǎng)絡層 （ IP） ， 因此也稱為網(wǎng)絡防火墻 。 分組過濾路由器對每個進入的 IP分組使用一個規(guī)則集合 ， 然后轉(zhuǎn)發(fā)或者丟棄該分組 。 該路由器通常都被配置成過濾雙向的分組 (來自內(nèi)部或進入內(nèi)部網(wǎng)絡 )。 防火墻技術(shù) （ 1） 過濾規(guī)則 包過濾規(guī)則是基于所收到的數(shù)據(jù)包的源地址、目的地址、 TCP/UDP、源端口號及目的端口號、分組出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標志位等參數(shù)，與管理者預定的訪問控制表（擬定一個提供接收和服務對象的清單，一個不接受訪問或服務對象的清單）進行比較，按所定安全政策實施允許或拒絕訪問，決定數(shù)據(jù)是否符合預先制定的安全策略，決定數(shù)據(jù)分組的轉(zhuǎn)發(fā)或丟棄，即實施信息過濾。 防火墻技術(shù) （ 1） 過濾規(guī)則 它實際上是控制內(nèi)部網(wǎng)絡上的主機直接訪問外部網(wǎng)絡，而外部網(wǎng)絡上的主機對內(nèi)部網(wǎng)絡的訪問則要受到限制，大多數(shù)在路由增設這類功能。如圖 513所示數(shù)據(jù)包過濾路由器用于 OSI七層模型中的例子。 防火墻技術(shù) 傳輸層 網(wǎng)絡層 鏈路層 物理層 Inter 內(nèi)部網(wǎng)絡 數(shù)據(jù)包過濾 路由器 傳輸層 網(wǎng)絡層 鏈路層 物理層 （ 1） 過濾規(guī)則 典型地，分組過濾器被建立成一組規(guī)則的列表。這些規(guī)則基于與 IP或 TCP首部中字段的匹配。如果存在與一個規(guī)則的匹配，那條規(guī)則就會被調(diào)用來決定轉(zhuǎn)發(fā)規(guī)則還是丟棄規(guī)則。如果和任何規(guī)則都不能匹配，那就采取一個默認動作。 兩個默認策略是可能的： 默認 =丟棄：沒有明確允許的就被禁止 。 默認 =轉(zhuǎn)發(fā)：沒有明確禁止的就是允許 。 防火墻技術(shù) （ 1） 過濾規(guī)則 表 55至表 59給出某個防火墻的一些分組過濾規(guī)則集合的例子。在每個集合中，規(guī)則是自頂向下應用的。字段中的 “ *” 是一個匹配所有信息的通配符指示符，假設防火墻執(zhí)行的是默認 =丟棄的策略。 表 55 防火墻技術(shù) 動作 我們的主機