【文章內(nèi)容簡(jiǎn)介】 如果返回的數(shù)據(jù)包不是到內(nèi)部主機(jī)隨機(jī)產(chǎn)生的端口，而是到另一個(gè)端口，可能就是一次破壞服務(wù)器的嘗試 。n 有些 UDP協(xié)議的請(qǐng)求端口和目的端口都是固定的，這樣防火墻只需簡(jiǎn)單地允許相應(yīng)的端口的進(jìn)出就可以保證安全了。內(nèi)網(wǎng)主機(jī)內(nèi)網(wǎng)主機(jī)防防火火墻墻內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)請(qǐng)求、請(qǐng)求 報(bào)文報(bào)文 （（ 源端口一般隨機(jī)生成源端口一般隨機(jī)生成 ））源端口源端口 1024，目標(biāo)端口，目標(biāo)端口 80外部網(wǎng)絡(luò)外部網(wǎng)絡(luò)（如因特網(wǎng)）（如因特網(wǎng)） 防火墻根防火墻根據(jù)據(jù) 80端口放端口放行請(qǐng)求報(bào)文行請(qǐng)求報(bào)文響應(yīng)報(bào)文、響應(yīng)報(bào)文源源 端口端口 80，目標(biāo)端口目標(biāo)端口 1024（（ =請(qǐng)求中的源端口請(qǐng)求中的源端口））防火墻根、防火墻根據(jù)什么放行據(jù)什么放行響應(yīng)報(bào)文？響應(yīng)報(bào)文？?jī)?nèi)網(wǎng)到外網(wǎng)的 TCP或 UDP訪問(wèn)數(shù)據(jù)包過(guò)濾的默認(rèn)安全策略n 包過(guò)濾規(guī)則中有兩種基本的默認(rèn)安全策略： 默認(rèn)接受和默認(rèn)拒絕 。n 默認(rèn)接受： 指除非明確地指定禁止某個(gè)數(shù)據(jù)包，否則數(shù)據(jù)包是可以通過(guò)的。n 默認(rèn)拒絕： 指除非明確的指定允許某個(gè)數(shù)據(jù)包通過(guò)，否則數(shù)據(jù)包是不可以通過(guò)的。n 顯然，默認(rèn)接受的易用性更好，而默認(rèn)拒絕的安全性更好。n 一般都 采用默認(rèn)拒絕策略 。建立數(shù)據(jù)包過(guò)濾規(guī)則的步驟防火墻對(duì)過(guò)濾規(guī)則的使用n 在制定了數(shù)據(jù)包過(guò)濾規(guī)則并設(shè)置進(jìn)防火墻后，對(duì)于網(wǎng)絡(luò)上每一個(gè)數(shù)據(jù)包， 防火墻會(huì)從第一條規(guī)則開(kāi)始依次進(jìn)行檢查，直到找到一個(gè)可以匹配該數(shù)據(jù)包的規(guī)則n 防火墻根據(jù)匹配規(guī)則中的 “動(dòng)作 ”來(lái)決定是接受還是拒絕該數(shù)據(jù)包；n 如果規(guī)則表中沒(méi)有匹配的規(guī)則，則根據(jù)設(shè)置的默認(rèn)安全策略對(duì)數(shù)據(jù)包進(jìn)行處理n 如默認(rèn)拒絕，則這個(gè)數(shù)據(jù)包將被拒絕。防火墻對(duì)過(guò)濾規(guī)則的 使用（續(xù)）防火墻外網(wǎng)口防火墻外網(wǎng)口（所有報(bào)文）（所有報(bào)文）防火墻內(nèi)網(wǎng)口防火墻內(nèi)網(wǎng)口（允許通過(guò)的報(bào)文（允許通過(guò)的報(bào)文））包過(guò)濾規(guī)則列表包過(guò)濾規(guī)則列表進(jìn)行規(guī)則匹配進(jìn)行規(guī)則匹配動(dòng)作動(dòng)作動(dòng)作動(dòng)作動(dòng)作動(dòng)作動(dòng)作動(dòng)作規(guī)則表達(dá)式規(guī)則表達(dá)式規(guī)則表達(dá)式規(guī)則表達(dá)式規(guī)則表達(dá)式規(guī)則表達(dá)式默認(rèn)策略默認(rèn)策略 動(dòng)作：允許或拒絕動(dòng)作：允許或拒絕針對(duì)外網(wǎng)到內(nèi)網(wǎng)報(bào)文針對(duì)外網(wǎng)到內(nèi)網(wǎng)報(bào)文防火墻外網(wǎng)口防火墻外網(wǎng)口（（ 允許允許 通過(guò)的報(bào)文通過(guò)的報(bào)文））防火墻內(nèi)網(wǎng)口防火墻內(nèi)網(wǎng)口（所有報(bào)文）（所有報(bào)文）包過(guò)濾規(guī)則列表包過(guò)濾規(guī)則列表進(jìn)行規(guī)則匹配進(jìn)行規(guī)則匹配動(dòng)作動(dòng)作動(dòng)作動(dòng)作動(dòng)作動(dòng)作動(dòng)作動(dòng)作規(guī)則表達(dá)式規(guī)則表達(dá)式規(guī)則表達(dá)式規(guī)則表達(dá)式規(guī)則表達(dá)式規(guī)則表達(dá)式默認(rèn)策略默認(rèn)策略 動(dòng)作：允許或拒絕動(dòng)作：允許或拒絕針對(duì)內(nèi)網(wǎng)到外網(wǎng)報(bào)文針對(duì)內(nèi)網(wǎng)到外網(wǎng)報(bào)文例子n 假設(shè)一個(gè)公司的安全策略為：n 允許外部主機(jī)對(duì)內(nèi)部 MailGate主機(jī)的郵件訪問(wèn)；n 允許外部主機(jī)對(duì)內(nèi)部 MailGate主機(jī)的 DNS訪問(wèn)；n 允許外部主機(jī)對(duì)內(nèi)部 MailGate主機(jī)的 Tel訪問(wèn)；n 允許外部 OutSide主機(jī)對(duì)內(nèi)部 InSide主機(jī)的 NTP協(xié)議對(duì)時(shí)；n 允許內(nèi)部主機(jī)對(duì)外部主機(jī)的一切 Tcp協(xié)議的訪問(wèn)。n 禁止其他類型的所有通信。n 根據(jù)該策略制定防火墻的過(guò)濾規(guī)則。MailGate郵件（ 25）DNS（ 53）Tel（ 23） NTP對(duì)外網(wǎng)開(kāi)放的服務(wù)對(duì)外網(wǎng)開(kāi)放的服務(wù)例子（續(xù)）例子：根據(jù)安全策略制定的包過(guò)濾規(guī)則注意：注意： 沒(méi)有明確協(xié)議標(biāo)志的規(guī)則用于沒(méi)有明確協(xié)議標(biāo)志的規(guī)則用于 TCP；； INSIDENET指所有內(nèi)部網(wǎng)絡(luò)的主指所有內(nèi)部網(wǎng)絡(luò)的主機(jī)。機(jī)。 規(guī)則規(guī)則匹配匹配針對(duì)上條針對(duì)上條規(guī)則的返規(guī)則的返回報(bào)文回報(bào)文包過(guò)濾技術(shù)的特點(diǎn)n 包過(guò)濾技術(shù)的優(yōu)點(diǎn)：n 效率高，速度快；n 對(duì)應(yīng)用透明，合法應(yīng)用在進(jìn)出網(wǎng)絡(luò)時(shí)感覺(jué)不到它的存在。n 局限：n 正確的設(shè)置包過(guò)濾規(guī)則比較困難；n 由于包過(guò)濾技術(shù)是在 IP/TCP層上實(shí)現(xiàn)的，所以包過(guò)濾不能在應(yīng)用層級(jí)別上進(jìn)行過(guò)濾，防衛(wèi)方式比較單一；n 有些網(wǎng)絡(luò)協(xié)議不適合包過(guò)濾n 如 FTP協(xié)議，在協(xié)議內(nèi)部會(huì)動(dòng)態(tài)生成子連接。代理服務(wù)器n 代理服務(wù)器（ Proxy Server）作用于應(yīng)用層，用來(lái)提供應(yīng)用層服務(wù)的控制， 在內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)起到中間轉(zhuǎn)接作用n 在該框架中， 內(nèi)部網(wǎng)絡(luò)服務(wù)只接受代理服務(wù)提出的服務(wù)請(qǐng)求 ，拒絕外部網(wǎng)絡(luò)其他結(jié)點(diǎn)的直接請(qǐng)求。n 代理服務(wù)器是運(yùn)行在防火墻主機(jī)上的專門(mén)的應(yīng)用程序或者服務(wù)程序n 這些程序接受用戶對(duì) Inter服務(wù)的請(qǐng)求（如 FTP、Tel），并按照一定的安全策略將它們轉(zhuǎn)發(fā)到實(shí)際的服務(wù)中。n 代理提供代替連接并且充當(dāng)服務(wù)的網(wǎng)關(guān)。代理服務(wù)器技術(shù)示意圖應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層 物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層外部網(wǎng)絡(luò)主機(jī)外部網(wǎng)絡(luò)主機(jī) 內(nèi)部網(wǎng)絡(luò)主機(jī)內(nèi)部網(wǎng)絡(luò)主機(jī)防火墻防火墻應(yīng)用層表示層會(huì)話層傳輸層一個(gè) Tel代理服務(wù)器例子外部 Tel客戶內(nèi)部 Tel服務(wù)器日志系統(tǒng)Tel代理 認(rèn)證系統(tǒng)Tel代理代理服務(wù)器服務(wù)器FTP代理原來(lái)的直原來(lái)的直接連接接連接端口 23內(nèi) 部連接端口 23外部連接端口 23一個(gè) Tel代理服務(wù)器例子（續(xù)）n Tel代理網(wǎng)關(guān)的執(zhí)行過(guò)程n 用戶首先 Tel到應(yīng)用網(wǎng)關(guān)主機(jī)，并輸入內(nèi)部目標(biāo)主機(jī)的名字（域名、 IP地址）；n 應(yīng)用網(wǎng)關(guān)檢查用戶的源 IP地址等，并根據(jù)事先設(shè)定的訪問(wèn)規(guī)則來(lái)決定是否轉(zhuǎn)發(fā)或拒絕；n 應(yīng)用網(wǎng)關(guān) 對(duì) 用戶 信息 進(jìn)行驗(yàn)證 （ 應(yīng)用層過(guò)濾 ） ；n 應(yīng)用網(wǎng)關(guān)中的代理服務(wù)器為用戶建立在網(wǎng)關(guān)與內(nèi)部主機(jī)之間的 Tel連接；n 代理服務(wù)器在兩個(gè)連接（用戶 /代理服務(wù)器，代理服務(wù)器 /內(nèi)部主機(jī)）之間傳送數(shù)據(jù) ；n 應(yīng)用網(wǎng)關(guān)對(duì)本次連接進(jìn)行日志記錄。代理服務(wù)器特點(diǎn)n 代理技術(shù)能進(jìn)行安全控制和加速訪問(wèn)，有效地實(shí)現(xiàn)防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的隔離，安全性好； 能實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、應(yīng)用層數(shù)據(jù)過(guò)濾、記錄和報(bào)告 等功能。n 其缺點(diǎn)是n 對(duì)于每一種應(yīng)用服務(wù)都必須為其設(shè)計(jì)一個(gè)代理軟件模塊來(lái)進(jìn)行安全控制 ，而每一種網(wǎng)絡(luò)應(yīng)用服務(wù)的安全問(wèn)題各不相同，實(shí)現(xiàn)困難。n 效率低。電路級(jí)網(wǎng)關(guān)n 電路級(jí)網(wǎng)關(guān)（ Circuit Gateway）又稱為電路中繼（ Circuit Relay）， 工作在傳輸層（ TCP） 。n 它在兩個(gè)主機(jī)首次建立 TCP連接時(shí)創(chuàng)立一個(gè) “電子屏障 ”n 它作為服務(wù)器接收外來(lái)請(qǐng)求，轉(zhuǎn)發(fā)請(qǐng)求；n 與被保護(hù)主機(jī)連接時(shí)則擔(dān)當(dāng)客戶機(jī)角色，起到了代理服務(wù)作用。n 電路網(wǎng)關(guān)一般只在 TCP連接建立時(shí)進(jìn)行控制和判斷 ，監(jiān)視兩主機(jī)建立連接時(shí)的握手信息，如 SYN、 ACK等標(biāo)志和序列號(hào)等是否合乎邏輯n 一旦連接建立后僅復(fù)制、傳遞數(shù)據(jù)，而不再進(jìn)行過(guò)濾 。n 電路級(jí)網(wǎng)關(guān)的安全性比較高，但它仍不能檢查應(yīng)用層的數(shù)據(jù)包以消除應(yīng)用層攻擊的威脅。電路級(jí)網(wǎng)關(guān)示意圖狀態(tài)檢測(cè)技術(shù)n 狀態(tài)檢測(cè)（ Stateful Inspection） 技術(shù)現(xiàn)在應(yīng)用非常廣泛，是一種相當(dāng)于 的過(guò)濾技術(shù)n 它不限于包過(guò)濾防火墻的 3/4 層（網(wǎng)絡(luò) /傳輸層）過(guò)濾，又不需要應(yīng)用層網(wǎng)關(guān)防火墻的 5 層（應(yīng)用層）過(guò)