【文章內(nèi)容簡(jiǎn)介】 的基本概念 防火墻的基本特性 ① 所有內(nèi)部和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過(guò)防火墻 。 ② 只有被授權(quán)的合法數(shù)據(jù)即防火墻系統(tǒng)中安全策略允許 的數(shù)據(jù)可以通過(guò)防火墻。 ③ 防火墻本身不受各種攻擊的影響。 防火墻的基本準(zhǔn)則 ⑴ 過(guò)濾不安全服務(wù)： 防火墻應(yīng)封鎖所有的信息流 ,然后對(duì)希望提供的安全服務(wù)逐項(xiàng)開(kāi)放，把不安全的服務(wù)或可能有安全隱患的服務(wù)一律扼殺在萌芽之中。 ⑵ 過(guò)濾非法用戶和訪問(wèn)特殊站點(diǎn)： 防火墻允許所有用戶 和站點(diǎn)對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問(wèn)，然后網(wǎng)絡(luò)管理員按照 IP地址對(duì)未授權(quán)的用戶或不信任的站點(diǎn)進(jìn)行逐項(xiàng)屏蔽。 34 防火墻的基本功能 作為網(wǎng)絡(luò)安全的屏障 防火墻作為阻塞點(diǎn)、控制點(diǎn)，能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。 可以強(qiáng)化網(wǎng)絡(luò)安全策略 通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件（口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。 對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì) 所有的外部訪問(wèn)都經(jīng)過(guò)防火墻時(shí)，防火墻就能記錄下這些訪問(wèn)，為網(wǎng)絡(luò)使用情況提供統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑信息時(shí)防火墻能發(fā)出報(bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。 可以防止內(nèi)部信息的外泄 利用防火墻可以實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。 35 防火墻的基本類型 網(wǎng)絡(luò)級(jí)防火墻（ Network Gateway） 網(wǎng)絡(luò)級(jí)防火墻主要用來(lái)防止整個(gè)網(wǎng)絡(luò)出現(xiàn)外來(lái)非法的入侵。 圖 710 包過(guò)濾路由器的工作原理示意圖 內(nèi)部網(wǎng)絡(luò) 物理層 分組過(guò)濾規(guī)則 數(shù)據(jù)鏈跑層 Inter 外部網(wǎng)絡(luò) 網(wǎng)絡(luò)層 物理層 數(shù)據(jù)鏈跑層 網(wǎng)絡(luò)層 包過(guò)濾路由器 36 防火墻的基本類型 應(yīng)用級(jí)防火墻（ Application Gateway） 這種類型的防火墻被網(wǎng)絡(luò)安全專家和媒體公認(rèn)為是最安全的防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)。在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)發(fā)揮了中間轉(zhuǎn)接的作用。代理防火墻的最大缺點(diǎn)是速度相對(duì)比較慢。應(yīng)用級(jí)代理工作原理圖 711所示。 圖 711 應(yīng)用級(jí)代理工作原理示意圖 內(nèi)部網(wǎng)絡(luò) 真正服務(wù)器 代理服務(wù)器 實(shí)際的連接 實(shí)際的連接 外部網(wǎng)絡(luò) 客戶 虛擬的連接 Inter 防火墻 37 防火墻的基本類型 電路級(jí)防火墻（ Gateway） 電路級(jí)防火墻也稱電路層網(wǎng)關(guān) ,是一個(gè)具有特殊功能的防火墻。電路級(jí)網(wǎng)關(guān)只依賴于 TCP連接，并不進(jìn)行任何附加的包處理或過(guò)濾。與應(yīng)用級(jí)防火墻相似 ,電路級(jí)防火墻也是代理服務(wù)器 ,只是它不需要用戶配備專門(mén)的代理客戶應(yīng)用程序 。 另外 ,電路級(jí)防火墻在客戶與服務(wù)器間創(chuàng)建了一條電路 ,雙方應(yīng)用程序都不知道有關(guān)代理服務(wù)的信息。 狀態(tài)監(jiān)測(cè)防火墻（ Statefu inspection Gateway） 狀態(tài)檢測(cè)是比包過(guò)濾更為有效的安全控制方法 。 對(duì)新建的應(yīng)用連接 ,狀態(tài)檢測(cè)檢查預(yù)先設(shè)置的安全規(guī)則 ,允許符合規(guī)則的連接通過(guò) ,并在內(nèi)存中記錄下該連接的相關(guān)信息 ,生成狀態(tài)表。對(duì)該連接的后續(xù)數(shù)據(jù)包 ,只要符合狀態(tài)表就可以通過(guò)。 38 防火墻的基本結(jié)構(gòu) 雙宿主機(jī)網(wǎng)關(guān)（ Dual Homed Gateway） 雙宿主機(jī)網(wǎng)關(guān)是用一臺(tái)裝有兩個(gè)網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻 ,其中一個(gè)是網(wǎng)卡 ,與內(nèi)網(wǎng)相連；另一個(gè)可以是網(wǎng)卡、調(diào)制解調(diào)器或 ISDN卡。雙宿主機(jī)網(wǎng)關(guān)的弱點(diǎn)是一旦入侵者攻入堡壘主機(jī)并使其具有路由功能，則外網(wǎng)用戶均可自由訪問(wèn)內(nèi)網(wǎng)。雙宿主機(jī)網(wǎng)關(guān)工作原理圖如圖 713所示。 圖 713 雙宿堡壘主機(jī) Inter 雙宿堡壘主機(jī) 內(nèi)網(wǎng) 39 防火墻的基本結(jié)構(gòu) 屏蔽主機(jī)網(wǎng)關(guān)（ Screened Host Gateway） ⑴ 單宿堡壘主機(jī)： 是屏蔽主機(jī)網(wǎng)關(guān)的一種簡(jiǎn)單形式 ,單宿堡壘主機(jī)只有一個(gè)網(wǎng)卡，并與內(nèi)部網(wǎng)絡(luò)連接。通常在路由器上設(shè)立過(guò)濾規(guī)則，并使這個(gè)單宿堡壘主機(jī)成為可以從 Inter上訪問(wèn)的唯一主機(jī)。而 Intra內(nèi)部的客戶機(jī)，可以受控地通過(guò)屏蔽主機(jī)和路由器訪問(wèn) Inter,其工作原理圖如圖 714所示 。 圖 714 屏蔽主機(jī)網(wǎng)關(guān)單宿堡壘主機(jī) Inter 雙宿堡壘主機(jī) 內(nèi)網(wǎng) 40 防火墻的基本結(jié)構(gòu) ⑵ 雙宿堡壘主機(jī)： 是屏蔽主機(jī)網(wǎng)關(guān)的另一種形式 , 與單宿堡壘主機(jī)相比，雙宿堡壘主機(jī)有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡(luò)，一塊連接路由器。雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)比單宿堡壘主機(jī)更加安全。屏蔽主機(jī)網(wǎng)關(guān)雙宿堡壘主機(jī)工作原理圖如圖 715 所示。 圖 715 屏蔽主機(jī)網(wǎng)關(guān)雙宿堡壘主機(jī) Inter 雙宿堡壘主機(jī) 內(nèi)網(wǎng) 41 防火墻的基本結(jié)構(gòu) 屏蔽子網(wǎng)（ Screened Sub Gateway） 屏蔽子網(wǎng)是在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間建立一個(gè)起隔離作用的子網(wǎng)。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問(wèn)屏蔽子網(wǎng)，它們不能直接通信，但可根據(jù)需要在屏蔽子網(wǎng)中安裝堡壘主機(jī)，為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的互訪提供代理服務(wù)。屏蔽子網(wǎng)工作原理圖如圖 716 所示。 圖 716 屏蔽子網(wǎng)防火墻 內(nèi)網(wǎng) 屏蔽子網(wǎng) Inter 42 防火墻的安全標(biāo)準(zhǔn)與產(chǎn)品 防火墻的安全標(biāo)準(zhǔn) ⑴ Secure/WAN（ S/WAN）標(biāo)準(zhǔn) ⑵ FWPD（ Fire Wall Product Developer）聯(lián)盟制訂的 防火墻測(cè)試標(biāo)準(zhǔn) 常見(jiàn)的防火墻產(chǎn)品 43 什么是虛擬專用網(wǎng) 防火墻用來(lái)將局域網(wǎng)與 Inter分隔開(kāi)來(lái)，阻止來(lái)自外部網(wǎng)絡(luò)的損壞。隨著企業(yè)網(wǎng)應(yīng)用的不斷擴(kuò)大，企業(yè)網(wǎng)的范圍也不斷擴(kuò)大，從一個(gè)本地網(wǎng)絡(luò)發(fā)展到一個(gè)跨地區(qū)跨城市甚至跨國(guó)家的網(wǎng)絡(luò) ,為保證區(qū)域間流通的企業(yè)信息安全 ,通過(guò)租用昂貴的跨地區(qū)數(shù)字專線方式建立物理上的專用網(wǎng)非常困難。 隨著計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)的發(fā)展，現(xiàn)在可通過(guò) Inter提供的虛擬專用網(wǎng) (Virtual Private Network， VPN)技術(shù)，使家庭辦公、移動(dòng)用戶或其它用戶主機(jī)可以很方便地訪問(wèn)企業(yè)服務(wù)器。用戶就像通過(guò)專線連接一樣，而感覺(jué)不到公網(wǎng)的存在，這種網(wǎng)絡(luò)被稱為 VPN的基本結(jié)構(gòu)如圖 717所示。 167。 虛擬專用 網(wǎng)技術(shù) VPN的基本概念 44 VPN的基本概念 VPN是通過(guò)一個(gè)公用網(wǎng)絡(luò)建立的一個(gè)臨時(shí)、安全的連接方式 ,是一條穿越混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道，其目標(biāo)是在不安全的公用網(wǎng)絡(luò)上建立一個(gè)安全的專用通信網(wǎng)絡(luò)。 VPN的最大優(yōu)點(diǎn)是無(wú)需租用電信部門(mén)的專用線路，而由本地 ISP所提供的 VPN服務(wù)所替代。因此，人們?cè)絹?lái)越關(guān)注基于Inter的 VPN技術(shù)及其應(yīng)用。 圖 717 虛擬專用網(wǎng)示意圖 VPN服務(wù)器 明文 共用網(wǎng)絡(luò) 密文 VPN隧道 數(shù)據(jù)分組 VPN連接 明文 VPN服務(wù)器 45 虛擬專用網(wǎng)的安全性 VPN實(shí)際上是一種服務(wù)，是企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。 VPN中傳輸?shù)氖瞧笫聵I(yè)或公司的內(nèi)部信息，因此數(shù)據(jù)的安全性非常重要。 VPN保證數(shù)據(jù)的安全性主要包括以下 3個(gè)方面。 ⑴ 數(shù)據(jù)保密性（ Confidentiality）： 通過(guò)數(shù)據(jù)加密來(lái)確保數(shù)據(jù)通過(guò)公網(wǎng)傳輸時(shí)外人無(wú)法看到或截獲，即使被他人看到也不會(huì)泄露。 ⑵ 身份驗(yàn)證 (Authentication）： 對(duì)通信實(shí)體的身份認(rèn)證和信息的完整性檢查，能夠?qū)τ诓煌挠脩舯仨毷谟璨煌脑L問(wèn)權(quán)限 ,確保數(shù)據(jù)是從正確的發(fā)送方傳輸來(lái)的。 ⑶ 數(shù)據(jù)完整性（ Integrity）： 確保數(shù)據(jù)在傳輸過(guò)程中沒(méi)有被非法改動(dòng)，保持?jǐn)?shù)據(jù)信息原樣地到達(dá)目的地。 VPN的基本概念 46 VPN的特點(diǎn) VPN最終用戶提供類似于專用網(wǎng)絡(luò)性能的網(wǎng)絡(luò)服務(wù)技術(shù) ,并具有以下特點(diǎn)。 ⑴ 安全性高： VPN可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴同公司內(nèi)部網(wǎng)之間建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。 ⑵ 降低成本： VPN是建立在現(xiàn)有網(wǎng)絡(luò)硬件設(shè)施基礎(chǔ)上，因此可以保護(hù)用戶現(xiàn)有的網(wǎng)絡(luò)設(shè)施投資；大幅度地減少用戶在 WAN和遠(yuǎn)程連接上的費(fèi)用；降低企業(yè)內(nèi)部網(wǎng)絡(luò)的建設(shè)成本 。 ⑶ 優(yōu)化管理： 采用 VPN方案可以簡(jiǎn)化網(wǎng)絡(luò)設(shè)計(jì)和管理，加速連接新的用戶和網(wǎng)站。同時(shí)，能夠極大地提高用戶網(wǎng)絡(luò)運(yùn)營(yíng)和管理的靈活性。 VPN的基本概念 47 VPN的實(shí)現(xiàn)技術(shù) 隧道技術(shù) 隧道技術(shù)是一種通過(guò)使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式 ,是 VPN的核心。隧道技術(shù)是在公用網(wǎng)建立一條專用數(shù)據(jù)“通道”，以實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)的連接，讓來(lái)自不同數(shù)據(jù)源的網(wǎng)絡(luò)業(yè)務(wù)經(jīng)由不同的“通道”在相同的網(wǎng)絡(luò)體系結(jié)構(gòu)上傳輸，并且允許網(wǎng)絡(luò)協(xié)議穿越不兼容的體系結(jié)構(gòu)。隧道的組成如圖 718所示。 圖 718 隧道的組成 ISP接入 集線器 Mobile PC 隧道終結(jié)器 交換機(jī) ISP VPN Gateway 互聯(lián)網(wǎng) 48 VPN的實(shí)現(xiàn)技術(shù) 加解密技術(shù)（ Encryption Decryption） 對(duì)通過(guò)公用互聯(lián)網(wǎng)絡(luò)傳遞的數(shù)據(jù)必須經(jīng)過(guò)加密，確保網(wǎng)絡(luò)其它未授權(quán)的用戶無(wú)法讀取該信息。 密鑰管理技術(shù)（ Key Management） 密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行常用密鑰管理技術(shù)可分為 SKIP與ISAKMP／ Oakley兩種。 身份認(rèn)證技術(shù)（ Authentication） 公用網(wǎng)絡(luò)上有眾多的使用者與設(shè)備，如何正確地辨認(rèn)合法的使用者與設(shè)備，使屬于本單位的人員與設(shè)備能互通，構(gòu)成一個(gè) VPN并讓未授權(quán)者無(wú)法進(jìn)人系統(tǒng) ,這就是使用者與設(shè)備身份認(rèn)證技術(shù)要解決的問(wèn)題。 49 VPN的實(shí)現(xiàn)技術(shù) VPN的應(yīng)用平臺(tái) VPN設(shè)備選擇的標(biāo)準(zhǔn)主要取決于應(yīng)用程序運(yùn)行的安全級(jí)別和性能要求，而在技術(shù)方法上 VPN是通過(guò)平臺(tái)來(lái)實(shí)現(xiàn)的。目前 VPN的應(yīng)用平臺(tái)可分為 3種類型。 ⑴ 基于軟件的 VPN： 當(dāng)數(shù)據(jù)連接速度較低，對(duì)性能和安全性要求不高時(shí)，利用一些軟件提供的功能便可實(shí)現(xiàn)簡(jiǎn)單的VPN功能。 ⑵ 基于專用硬件平臺(tái)的 VPN： 當(dāng)企業(yè)和用戶對(duì)數(shù)據(jù)安全與通信性能要求很高時(shí)，可采用專用硬件平臺(tái)實(shí)現(xiàn) VPN功能。 ⑶ 輔助硬件平臺(tái)的 VPN： 以現(xiàn)有網(wǎng)絡(luò)設(shè)備為基礎(chǔ)，在添加適當(dāng)?shù)?VPN軟件的情況下實(shí)現(xiàn) VPN功能。網(wǎng)絡(luò)安全性和通信性能介于上述兩者之間。 50 VPN的安全協(xié)議 網(wǎng)絡(luò)隧道協(xié)議有兩種：一種是二層隧道協(xié)議，用于傳輸二層網(wǎng)絡(luò)協(xié)議數(shù)據(jù)，以構(gòu)建遠(yuǎn)程訪問(wèn)虛擬專用網(wǎng)；另一種是三層隧道協(xié)議，用于傳輸三層網(wǎng)絡(luò)協(xié)議，以構(gòu)建企業(yè)內(nèi)部虛擬專用網(wǎng)和擴(kuò)展的企業(yè)內(nèi)部 VPN。 二層隧道協(xié)議（ PPTP／ P2TP） ⑴ PPTP： 是點(diǎn)對(duì)點(diǎn)隧道協(xié)議，它是由 Microsoft公司提出的、被嵌入到 Windows中的、用于路由和遠(yuǎn)程服務(wù)的數(shù)據(jù)鏈路層協(xié)議。 PPTP用