【文章內(nèi)容簡(jiǎn)介】 價(jià)格便宜，易于安裝和使用，網(wǎng)絡(luò)性能和透明性好，通常安裝在路由器上。路由器是內(nèi)部網(wǎng)絡(luò)與 Inter連接必不可少的設(shè)備，因此，在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費(fèi)用。 數(shù)據(jù)包過濾防火墻有兩個(gè)主要缺點(diǎn)：一是非法訪問一旦突破防火墻，即可對(duì)主機(jī)上的軟件和配置漏洞進(jìn)行攻擊；二是數(shù)據(jù)包的源地址、目的地址以及 IP的端口號(hào)都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒。 2．應(yīng)用級(jí)網(wǎng)關(guān)型防火墻 應(yīng)用級(jí)網(wǎng)關(guān) (Application Level Gateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。 它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時(shí)，對(duì)數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì)，形成報(bào)告。應(yīng)用級(jí)網(wǎng)關(guān)型防火墻的工作流程示意圖請(qǐng)見圖 82。 圖 82 應(yīng)用級(jí)網(wǎng)關(guān)型防火墻的工作流程 數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)防火墻有一個(gè)共同的特點(diǎn)，就是僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過。一旦滿足邏輯，則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系，防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)，這有利于實(shí)施非法訪問和攻擊。 3．代理服務(wù)型防火墻 代理服務(wù) (Proxy Service)也稱鏈路級(jí)網(wǎng)關(guān)或 TCP通道 (Circuit Level Gateways or TCP Tunnels)， 也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類。代理服務(wù)是針對(duì)數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)， 其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的 “ 鏈接 ” ， 由兩個(gè)終止代理服務(wù)器上的 “ 鏈接 ” 來實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器， 從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。此外，代理服務(wù)也對(duì)過往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記， 形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。使用代理服務(wù)型防火墻的網(wǎng)絡(luò)結(jié)構(gòu)示意圖請(qǐng)見圖 83。 圖 83 代理服務(wù)型防火墻的網(wǎng)絡(luò)結(jié)構(gòu) 防火墻體系結(jié)構(gòu) 1．雙重宿主主機(jī)體系結(jié)構(gòu) 雙重宿主主機(jī)體系結(jié)構(gòu)圍繞雙重宿主主機(jī)構(gòu)筑。雙重宿主主機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口。這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器；能夠從一個(gè)網(wǎng)絡(luò)到另外一個(gè)網(wǎng)絡(luò)發(fā)送 IP數(shù)據(jù)包。然而雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送。因此 IP數(shù)據(jù)包并不是從一個(gè)網(wǎng)絡(luò)（如外部網(wǎng)絡(luò)）直接發(fā)送到另一個(gè)網(wǎng)絡(luò)（如內(nèi)部網(wǎng)絡(luò)）。外部網(wǎng)絡(luò)能與雙重宿主主機(jī)通信，內(nèi)部網(wǎng)絡(luò)也能與雙重宿主主機(jī)通信。但是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信，它們之間的通信必須經(jīng)過雙重宿主主機(jī)的過濾和控制。如圖 84。 圖 84 雙重宿主主機(jī)體系結(jié)構(gòu) 2．被屏蔽主機(jī)體系結(jié)構(gòu) 雙重宿主主機(jī)體系結(jié)構(gòu)防火墻沒有使用路由器。而被屏蔽主機(jī)體系結(jié)構(gòu)防火墻則使用一個(gè)路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開，如圖 85。在這種體系結(jié)構(gòu)中，主要的安全由數(shù)據(jù)包過濾提供（例如，數(shù)據(jù)包過濾用于防止人們繞過代理服務(wù)器直接相連）。 圖 85 被屏蔽主機(jī)體系結(jié)構(gòu) 這種體系結(jié)構(gòu)涉及到堡壘主機(jī)。堡壘主機(jī)是因特網(wǎng)上的主機(jī)能連接到的唯一內(nèi)部網(wǎng)絡(luò)上的主機(jī)。任何外部的系統(tǒng)要訪問內(nèi)部的系統(tǒng)或服務(wù)都必須先連接到這臺(tái)主機(jī)。因此堡壘主機(jī)要保持更高等級(jí)的主機(jī)安全。 3．被屏蔽子網(wǎng)體系結(jié)構(gòu) 被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu) ， 即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步的把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò) （ 通常是Inter） 隔離開 。 被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡(jiǎn)單的形式為，兩個(gè)屏蔽路由器，每一個(gè)都連接到周邊網(wǎng)。一個(gè)位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間，另一個(gè)位于周邊網(wǎng)與外部網(wǎng)絡(luò)（通常為 Inter）之間。這樣就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個(gè) “ 隔離帶 ” 。為了侵入用這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，侵襲者必須通過兩個(gè)路由器。即使侵襲者侵入堡壘主機(jī)，他將仍然必須通過內(nèi)部路由器。如圖 86。 圖 86 被屏蔽子網(wǎng)體系結(jié)構(gòu) 包過濾技術(shù) 包過濾 (Packet Filter)技術(shù)是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過 。 根據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯 ， 檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包后 ，根據(jù)數(shù)據(jù)包的源地址 、 目的地址 、 TCP/UDP源端口號(hào) 、 TCP/UDP目的端口號(hào)及數(shù)據(jù)包頭中的各種標(biāo)志位等因素來確定是否允許數(shù)據(jù)包通過 ，其核心是安全策略即過濾算法的設(shè)計(jì) 。 例如 ， 用于特定的因特網(wǎng)服務(wù)的服務(wù)器駐留在特定的端口號(hào)的事實(shí)（ 如 TCP端口 23用于 Tel連接 ） ， 使包過濾器可以通過簡(jiǎn)單的規(guī)定適當(dāng)?shù)亩丝谔?hào)來達(dá)到阻止或允許一定類型的連接的目的 ， 并可進(jìn)一步組成一套數(shù)據(jù)包過濾規(guī)則 。 包過濾技術(shù)作為防火墻的應(yīng)用有三類：一是路由設(shè)備在完成路由選擇和數(shù)據(jù)轉(zhuǎn)發(fā)之外 , 同時(shí)進(jìn)行包過濾，這是目前較常用的方式；二是在工作站上使用軟件進(jìn)行包過濾 , 這種方式價(jià)格較貴；三是在一種稱為屏蔽路由器的路由設(shè)備上啟動(dòng)包過濾功能。 使用 Linux架構(gòu)包過濾防火墻 包過濾型防火墻的一般概念 1．什么是包過濾 包過濾就是用一個(gè)軟件查看所流經(jīng)的數(shù)據(jù)包的包頭 (header)， 由此決定整個(gè)數(shù)據(jù)包是否允許通過 。 它可能會(huì)決定丟棄 (DROP)這個(gè)包 ， 可能會(huì)接受 (ACCEPT)這個(gè)包 (讓這個(gè)包通過 )， 也可能執(zhí)行其他更復(fù)雜的動(dòng)作 。 在 Linux系統(tǒng)下，包過濾功能是內(nèi)建于核心的 (作為一個(gè)核心模塊，或者直接內(nèi)建 )，同時(shí)還有一些可以運(yùn)用于數(shù)據(jù)包之上的技巧，不過最常用的依然是查看包頭以決定是否允許通過。 2．包過濾防火墻的工作層次 包過濾防火墻示意圖如圖 87所示。包過濾是一種內(nèi)置于 Linux內(nèi)核路由功能之上的防火墻類型，其防火墻工作在網(wǎng)絡(luò)層。 應(yīng)用層 數(shù)據(jù) 應(yīng)用層 物理層 數(shù)據(jù)鏈路層 網(wǎng)絡(luò)層 傳輸層 應(yīng)用層 物理層 數(shù)據(jù)鏈路層 網(wǎng)絡(luò)層 傳輸層 數(shù)據(jù) 應(yīng)用層 應(yīng)用層 圖 87 包過濾防火墻示意圖 3．包過濾防火墻的工作原理 (1)使用過濾器。數(shù)據(jù)包過濾用在內(nèi)部主機(jī)和外部主機(jī)之間，過濾系統(tǒng)是一臺(tái)路由器或是一臺(tái)主機(jī)。過濾系統(tǒng)根據(jù)過濾規(guī)則來決定是否讓數(shù)據(jù)包通過。如圖 88所示，用于過濾數(shù)據(jù)包的路由器被稱為過濾路由器。 圖 88 用過濾路由器過濾數(shù)據(jù)包 數(shù)據(jù)包過濾是通過對(duì)數(shù)據(jù)包的 IP頭和 TCP或 UDP頭的檢查來實(shí)現(xiàn)的，主要信息有： ?IP源地址 ?IP目的地址 ?協(xié)議 (TCP包、 UDP包和 ICMP包 ) ?TCP或 UDP包的源端口 ?TCP或 UDP包的目的端口 ?ICMP消息類型 ?TCP包頭中的 ACK位 ?數(shù)據(jù)包到達(dá)的端口