【文章內(nèi)容簡介】 控、報警、 安全策略等 答復 Inter 請求 請求 內(nèi)部網(wǎng)絡(luò) 應(yīng)用層代理 代理防火墻工作示意圖 應(yīng)用層 TCP層 IP層 數(shù)據(jù)鏈路層 物理層 5 4 3 2 1 輸入數(shù)據(jù)流 輸出數(shù)據(jù)流 代理防火墻作用在應(yīng)用層，用來提供應(yīng)用層服務(wù)的控制。其特點是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用，所以代理防火墻又被稱為應(yīng)用代理或應(yīng)用層網(wǎng)關(guān)型防火墻。 應(yīng)用層網(wǎng)關(guān)型防火墻控制的內(nèi)部網(wǎng)絡(luò)只接受代理服務(wù)器提出的服務(wù)請求，拒絕外部網(wǎng)絡(luò)其他點的直接請求。它同時提供了多種方法認證用戶。當確認了用戶名和密碼后，服務(wù)器根據(jù)系統(tǒng)的設(shè)置對用戶進行進一步的檢查，驗證其是否可以訪問本服務(wù)器。應(yīng)用層網(wǎng)關(guān)型防火墻還對進出防火墻的信息進行記錄，并可由網(wǎng)絡(luò)管理員監(jiān)視和管理防火墻的使用情況。實際中的應(yīng)用網(wǎng)關(guān)通常由專用代理服務(wù)器來實現(xiàn)。 代理服務(wù)器的優(yōu)點是可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征，對數(shù)據(jù)包的檢測能力比較強。 其缺點有以下幾點。 (1) 難以配置，對用戶是不透明的。由于每個應(yīng)用都要求單獨的代理進程，這就要求網(wǎng)絡(luò)管理員能理解每項應(yīng)用協(xié)議的弱點，并能合理地配置安全策略。 (2) 處理速度比較慢。通常應(yīng)用代理服務(wù)器的處理延遲會很大，對于像迅雷那種采用 P2P 多線程下載的軟件來講，如果使用代理服務(wù)器，則要占用代理服務(wù)器很大的資源，處理不好可能會導致死鎖。 (3) 針對不同的應(yīng)用，需要建立不同的服務(wù)代理，以處理客戶端的訪問請求。 動態(tài)包過濾防火墻技術(shù) 在包過濾防火墻中提到的無法阻止 “ IP 欺騙 ”的攻擊，如果采用動態(tài)設(shè)置包過濾規(guī)則的方法，就可以避免這樣的問題。這種技術(shù)就是所謂的包狀態(tài)監(jiān)測 (State Inspection)技術(shù)。 動態(tài)包過濾防火墻為了克服包過濾模式明顯的安全性不足的問題，不再只是分別對每 個進出的包簡單地對地址進行檢查，而是從TCP 連接的建立到終止都跟蹤檢測，并且根據(jù)需要可動態(tài)地增加或減少過濾規(guī)則。 使用狀態(tài)監(jiān)測表這種方式提高了系統(tǒng)的性能，因為每一個數(shù)據(jù)包不是和規(guī)則庫比較，而是和狀態(tài)監(jiān)測表比較。并且只有在 SYN 的數(shù)據(jù)包到來才和規(guī)則庫比較。狀態(tài)監(jiān)測表是位于內(nèi)核模式中的，所有的數(shù)據(jù)包與狀態(tài)檢測表的比較都在內(nèi)核模式下進行，所以速度很快。結(jié)束連接時，當狀態(tài)監(jiān)測模式監(jiān)測到一個 FIN 或 RST 包的時候，減少時間溢出值，將設(shè)定的值 3600s 減少為60s。如果在這個周期內(nèi)沒有數(shù)據(jù)包交換，則這個狀態(tài)檢測表項將會被刪除，如果有數(shù)據(jù)包交換，那么這個周期會被重新設(shè)置到 60s。如果需要繼續(xù)通信，這個連接狀態(tài)會被繼續(xù)以 60s 的周期維持下去。這種設(shè)計方式可以避免一些 DoS 攻擊。 帶狀態(tài)檢查包過濾技術(shù) No 數(shù)據(jù)包到達防火墻接口 數(shù)據(jù)包是否屬于一個已經(jīng)存在的連接 對數(shù)據(jù)包是否含有特定的 內(nèi)容進行檢測 將數(shù)據(jù)包轉(zhuǎn)發(fā)到最終的目的地址并且更新對話表，進行日志記錄 策略集是否允許 數(shù)據(jù)包的內(nèi)容 數(shù)據(jù)包到達防火墻接口 該數(shù)據(jù)包是否通過了規(guī)則集的檢測 拒絕該數(shù)據(jù)包， 進行日志記錄 Yes Yes No Yes Yes No 狀態(tài)檢測包過濾技術(shù)防火墻的工作邏輯流程圖 防火墻體系結(jié)構(gòu) 通常防火墻是一組硬件設(shè)備，包括路由器、主計算機或者路由器、計算機和配有適當軟件的網(wǎng)絡(luò)設(shè)置等多種組合。防火墻中所使用的主計算機通常被稱為堡壘主機。 (1) 堡壘主機 (Bastion Host)是一種配置了案例防范措施的網(wǎng)絡(luò)上的計算機，為網(wǎng)絡(luò)間的通信提供了一個阻塞點。如果沒有堡壘主機，網(wǎng)絡(luò)之間將不能相互訪問。該主機可以配置成過濾型、代理型或混合型。 (2) 雙宿主主機 (DualHomed Host)。有兩個網(wǎng)絡(luò)接口的計算機系統(tǒng)，一個接口接內(nèi)網(wǎng)，一個接口接外網(wǎng)。 (3) DMZ(Demilitarized Zone，非軍事區(qū)或?；饏^(qū) )。在內(nèi)網(wǎng)和外網(wǎng)之間增加一個子網(wǎng)。 目前，防火墻的體系結(jié)構(gòu)一般有以下幾種。 (1) 雙重宿主主機體系結(jié)構(gòu)。 (2) 被屏蔽主機體系結(jié)構(gòu)。 (3) 被屏蔽子網(wǎng)體系結(jié)構(gòu)。 雙重宿主主機體系結(jié)構(gòu) 雙重宿主主機體系結(jié)構(gòu)是圍繞具有雙重宿主的主機計算機而構(gòu)筑的，該計算機至少有兩個網(wǎng)絡(luò)接口。這樣的主機可以充當與這些接口相連的網(wǎng)絡(luò)之間的路由器，它能夠從一個網(wǎng)絡(luò)向另一個網(wǎng)絡(luò)發(fā)送 IP 數(shù)據(jù)包。然而，實現(xiàn)雙重宿主主機的防火墻體系結(jié)構(gòu)禁止這種發(fā)送功能，因而， IP 數(shù)據(jù)包從一個網(wǎng)絡(luò)(如 Inter)并不是直接發(fā)送到其他網(wǎng)絡(luò) (如內(nèi)部的、被保護的網(wǎng)絡(luò) )。防火墻內(nèi)部的系統(tǒng)能與雙重宿主主機通信，同時防火墻外部的系統(tǒng) (在Inter上 )能與雙重宿主主機通信，但是這些系統(tǒng)不能直接互相通信，它們之間的 IP 通信被完全阻止。 雙重宿主主機的防火墻體系結(jié)構(gòu)是相當簡單的：雙重宿主主機位于兩者之間，并且被連接到 Inter 和內(nèi)部的網(wǎng)絡(luò)，如圖 所示。 雙宿 /多宿主機模式 特點：多宿主機又叫“堡壘主機”，至少擁有兩個網(wǎng)絡(luò) 接口卡。 外部網(wǎng)絡(luò) 多端口主機 內(nèi)部 網(wǎng)絡(luò) 被屏蔽主機體系結(jié)構(gòu) 雙重宿主主機體系結(jié)構(gòu)提供來自多個網(wǎng)絡(luò)相連的主機的服務(wù) (但路由關(guān)閉 )，而被屏蔽 主機體系結(jié)構(gòu)通過使用一個單獨的路由器提供來自僅與內(nèi)網(wǎng)相連的主機的服務(wù)。在這種體系結(jié)構(gòu)中，主要的安全由數(shù)據(jù)包過濾，其結(jié)構(gòu)如圖 所示。 屏蔽主機結(jié)構(gòu) 內(nèi)部 網(wǎng)絡(luò) 路由器充當 包過濾防火墻 外部網(wǎng)絡(luò) 這種體系結(jié)構(gòu)允許數(shù)據(jù)包從 Inter 向內(nèi)部網(wǎng)的移動，所以它的設(shè)計比雙重宿主主機體系結(jié)構(gòu)似乎更冒風險。實際上，沒有外部數(shù)據(jù)包能到達內(nèi)部網(wǎng)絡(luò)的雙重宿主主機體系結(jié)構(gòu)，在防備數(shù)據(jù)包從外部網(wǎng)絡(luò)穿過內(nèi)部網(wǎng)絡(luò)方面也容易產(chǎn)生失敗 (因為這種失敗類型是完全出乎預料的，不太可能防備黑客侵襲 )。進而言之，保衛(wèi)路由器比保衛(wèi)主機較易實現(xiàn)，因為它提供非常有限的服務(wù)組。多數(shù)情況下，被屏蔽的主機體系結(jié)構(gòu)比雙重宿主主機體系結(jié)構(gòu)具有更好的安全性和可用性。 然而，比較其他體系結(jié)構(gòu)，如下面要討論的被屏蔽子網(wǎng)體系結(jié)構(gòu)也是有一些缺點的。 主要是如果當侵襲者沒有辦法侵入堡壘主機時，而在堡壘主機和其余的內(nèi)部主機之間沒有任何保護網(wǎng)絡(luò)安全的設(shè)備存在的情況下，路由器同樣出現(xiàn)單點失效問題。如果路由器被損害，整個網(wǎng)絡(luò)對侵襲者來說是開放的。 被屏蔽子網(wǎng)體系結(jié)構(gòu) 被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進一步地把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò) (通常是 Inter)隔離開。 被屏蔽子網(wǎng)體系結(jié)構(gòu)最簡單的形式是這樣的：兩個屏蔽路由器，每一個都連接到周邊網(wǎng)。一個位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間，另一個位于周邊網(wǎng)與外部網(wǎng)絡(luò)(通常為 Inter)之間。 這樣就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個 “ 隔離帶 ” 。為了侵入用這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，侵襲者必須通過兩個路由器。即使侵襲者侵入堡壘主機，它將仍然必須通過內(nèi)部路由器，如圖 所示。 屏蔽子網(wǎng)型結(jié)構(gòu) DMZ 內(nèi)部網(wǎng)絡(luò) … 外部路由器 內(nèi)部路由器 堡壘主機 (1) 周邊網(wǎng)絡(luò)。 周邊網(wǎng)絡(luò)是另一個安全層，是在外部網(wǎng)絡(luò)與用戶的被保護的內(nèi)部網(wǎng)絡(luò)之間附加的網(wǎng)絡(luò)。 如果侵襲者成功地侵入用戶的防火墻的外層領(lǐng)域，周邊網(wǎng)絡(luò)就在侵襲者與用戶的內(nèi)部系統(tǒng)之間提供一個附加的保護層。 (2) 堡壘主機。 在被屏蔽的子網(wǎng)體系結(jié)構(gòu)中，用戶把堡壘主機連接到周邊網(wǎng)絡(luò)上，這臺主機便是接受來自外界連接的主要入口。例如以下幾方面。 ① 對于進來的電子郵件 (SMTP)會話，傳送電子郵件到站點。 ② 對于進來的 FTP 連接，轉(zhuǎn)接到站點的匿名FTP 服務(wù)器。 ③ 對于進來的域名服務(wù) (DNS)站點查詢等。 另外，其出站服務(wù) (從內(nèi)部的客戶端到 Inter 上的服務(wù)器 )按如下任一方法處理。 ① 在外部和內(nèi)部的路由器上設(shè)置數(shù)據(jù)包過濾來允許內(nèi)部的客戶端直接訪問外部的服務(wù)器。 ② 設(shè)置代理服務(wù)器在堡壘主機上運行 (如果用戶的防火墻使用代理軟件 )來允許內(nèi)部的客戶端間接地訪問外部的服務(wù)器。用戶也可以設(shè)置數(shù)據(jù)包過濾來允許內(nèi)部的客戶端在堡壘主機上同代理服務(wù)器交談，反之亦然。但是禁止內(nèi)部的客戶端與外部直接通信 (即撥號入網(wǎng)方式 )。 (3) 內(nèi)部路由器。 內(nèi)部路由器 (在有關(guān)防火墻著作中有時被稱為阻塞路由器 )保護內(nèi)部的網(wǎng)絡(luò)使之免受 Inter 和周邊網(wǎng)絡(luò)的侵犯。 內(nèi)部路由器為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過濾工作。它允許從內(nèi)部網(wǎng)到 Inter的有選擇的出站服務(wù)。這些服務(wù)使用戶的站點能使用數(shù)據(jù)包過濾而不是代理服務(wù)安全支持和安全提供的服務(wù)。 內(nèi)部路由器所允許的在堡壘主機 (在周邊網(wǎng)絡(luò)上 )和用戶的內(nèi)部網(wǎng)之間服