【文章內(nèi)容簡介】 4． 屏蔽子網(wǎng) (ScreenedSub) ?屏蔽子網(wǎng)就是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)，用兩臺分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。 ?這種配置的危險僅包括堡壘主機、子網(wǎng)主機及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。 3． 3． 2 網(wǎng)絡(luò)服務(wù)訪問權(quán)限策略 安全策略分為兩個層次：網(wǎng)絡(luò)服務(wù)訪問策略和防火墻設(shè)計策略。 網(wǎng)絡(luò)服務(wù)訪問策略是一種高層次的、具體到事件的策略，主要用于定義在網(wǎng)絡(luò)中允許的或禁止的網(wǎng)絡(luò)服務(wù)，而且還包括對撥號訪問以及 SLIP／ PPP聯(lián)接的限制。 網(wǎng)絡(luò)服務(wù)訪問策略不但應(yīng)該是一個站點安全策略的延伸，而且對于機構(gòu)內(nèi)部資源的保護也應(yīng)起到全局的作用。 通常， 一個防火墻執(zhí)行兩個通用網(wǎng)絡(luò)服務(wù)訪問策略中的一個：允許從內(nèi)部站點訪問 Inter而不允許從 Inter訪問內(nèi)部站點；只允許從 Inter訪問特定的系統(tǒng)，如信息服務(wù)器和電子郵件服務(wù)器。 比如，在最高層，某個組織機構(gòu)的總體策略： (1) 內(nèi)部信息對于一個組織的經(jīng)濟繁榮是至關(guān)重要的； (2) 應(yīng)使用各種經(jīng)濟實惠的辦法來保證我們的信息的機密性、完整性、真實性、和可用性； (3) 保護數(shù)據(jù)信息的機密性、完整性和可用性是高于一切的，是不同層次的員工的責(zé)任； (4) 所有信息處理的設(shè)備將被用于經(jīng)過授權(quán)的任務(wù)。 因此，在這個普遍原則之下是與具體事情相關(guān)的政策，如公司財物的使用規(guī)定、信息系統(tǒng)的使用規(guī)定，防火墻的網(wǎng)絡(luò)服務(wù)訪問政策就是在這一個層次上。 防火墻的設(shè)計策略是具體地針對防火墻，制定相應(yīng)的規(guī)章制度來實施網(wǎng)絡(luò)服務(wù)訪問策略。在制定這種策略之前，必須了解這種防火墻的性能以及缺點、 TCP／ IP本身所具有的易受攻擊性和危險性。 ?兩種基本設(shè)計策略： 第一種，除非明確不允許，否則允許某種服務(wù)。執(zhí)行第一種策略的防火墻在默認(rèn)情況下允許所有的服務(wù)，除非管理員對某種服務(wù)明確表示禁止。 3． 3． 3 防火墻設(shè)計策略及要求 第二種，除非明確允許，否則將禁止某種服務(wù)。執(zhí)行第二種策略的防火墻在默認(rèn)情況下禁止所有的服務(wù)，除非管理員對某種服務(wù)明確表示允許。 總之，防火墻好壞取決于安全性和靈活性的要求，所以在實施防火墻之前，考慮一下策略是至關(guān)重要的。如果不這樣做，會導(dǎo)致防火墻不能達(dá)到要求。 3． 3． 4 防火墻與加密機制 現(xiàn)在的防火墻則逐漸集成了信息安全技術(shù)中的最新研究成果，一般都具有加密、解密和壓縮、解壓等功能，這些技術(shù)加強了信息在互聯(lián)網(wǎng)上的安全性。 加密技術(shù)實際上是一種對要經(jīng)由公共網(wǎng)絡(luò)傳送的信息進行編碼的方法，它是確保數(shù)據(jù)安全的最有效方法。防火墻能夠?qū)⑹跈?quán)用戶的數(shù)據(jù)進行加密并使這個信息穿過防火墻而進入公共網(wǎng)絡(luò)。保護接收網(wǎng)絡(luò)的防火墻然后能夠檢查信息，對其進行解碼，并將其發(fā)送到正確的授權(quán)用戶手中。通過使用加密技術(shù)，大多數(shù)防火墻現(xiàn)在能夠用作 VPN的網(wǎng)關(guān)，在有些時候通過對在互聯(lián)網(wǎng)上的端對端通訊信息進行保護還可作為 VPN服務(wù)器。 3． 4 防火墻攻 擊策略 從黑客攻擊防火墻的過程上看， 防火墻攻擊策略大概可以分為三類： 3． 4． 1 掃描防火墻策略 掃描防火墻策略的方法是探測在目標(biāo)網(wǎng)絡(luò)上安裝的是何種防火墻系統(tǒng)并且找出此防火墻系統(tǒng)允許哪些服務(wù)，通常稱之為對防火墻的探測攻擊。 3． 4． 2 通過防火墻認(rèn)證機制策略 通過防火墻認(rèn)證機制策略，是指采取地址欺騙、TCP序號攻擊等方法繞過防火墻的認(rèn)證機制，從而對防火墻和內(nèi)部網(wǎng)絡(luò)破壞。 1． IP地址欺騙 ： 突破防火墻系統(tǒng)最常用的方法是因特網(wǎng)地址欺騙，它同時也是其他一系列攻擊方法的基礎(chǔ)。 2． TCP序號攻擊 ： TCP序號攻擊是繞過基于分組過濾方法的防火墻系統(tǒng)的最有效和最危險的方法之一。 尋找、利用防火墻系統(tǒng)實現(xiàn)和設(shè)計上的安全漏洞，從而有針對性地發(fā)動攻擊。這種攻擊難度比較大，可是破壞性很大。 防火墻不能防止對自己的攻擊，只能強制對抗。防火墻本身是一種被動防衛(wèi)機制，不是主動安全機制。防火墻不能干涉還沒有到達(dá)防火墻的包，如果這個包是攻擊防火墻的，只有已經(jīng)發(fā)生了攻擊，防火墻才可以對抗，根本不能防止。 3． 4． 3 利用防火墻漏洞策略 3． 5 第四代防火 墻的主要技 術(shù) 3． 5． 1 第四代防火墻的主要技術(shù)與功能 第四代防火墻本身就是一個操作系統(tǒng)，因而在安全性上較之第三代防火墻有質(zhì)的提高。獲得安全操作系統(tǒng)的辦法有兩種：一種是通過許可證方式獲得操作系統(tǒng)的源碼；另一種是通過固化操作系統(tǒng)內(nèi)核來提高可靠性。第四代防火墻產(chǎn)品將網(wǎng)關(guān)與安全系統(tǒng)合二為一，具有以下技術(shù)與功能。 防火墻技術(shù)的發(fā)展經(jīng)歷了基于路由器的防火墻、用戶化的防火墻工具套、建立在通用操作系統(tǒng)上的防火墻、具有安全操作系統(tǒng)的防火墻四個階段。 1． 雙端口或三端口的結(jié)構(gòu) ： 新一代防火墻產(chǎn)品具有兩個或三個獨立的網(wǎng)卡，內(nèi)外兩個網(wǎng)卡可不作IP轉(zhuǎn)化而串接于內(nèi)部網(wǎng)與外部網(wǎng)之間，另一個網(wǎng)卡可專用于對服務(wù)器的安全保護。 2． 透明的訪問方式 ： 第四代防火墻利用了透明的代理系統(tǒng)技術(shù)，從而降低了系統(tǒng)登錄固有的安全風(fēng)險和出錯概率。 3． 靈活的代理系統(tǒng) ： 第四代防火墻采用了兩種代理機制：一種用于代理從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接，采用網(wǎng)絡(luò)地址轉(zhuǎn)換（ NAT）技術(shù)來解決；另一種用于代理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接，采用非保密的用戶定制代理或保密的代理系統(tǒng)技術(shù)來解決。 4． 多級的過濾技術(shù) ： 第四代防火墻采用了三級過濾措施，并輔以鑒別手段。 在分組過濾一級，能過濾掉所有的源路由分組和假冒的 IP源地址； 在應(yīng)用網(wǎng)關(guān)一級，能利用 FTP、 SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測 Inter提供的所有通用服務(wù)； 在電路網(wǎng)關(guān)一級，實現(xiàn)內(nèi)部主機與外部站點的透明連接，并對服務(wù)的通行實行嚴(yán)格控制。 5． 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù) ： 第四代防火墻利用 NAT技術(shù)能透明地對所有內(nèi)部地址作轉(zhuǎn)換，使外部網(wǎng)絡(luò)無法了解網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時允許內(nèi)部網(wǎng)絡(luò)使用自編的IP地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個主機的通信，確保每個分組送往正確的地址。 6． Inter網(wǎng)關(guān)技術(shù) ： 由于是直接串聯(lián)在網(wǎng)絡(luò)之中，第四代防火墻必須支持用戶在 Inter互連的所有服務(wù)，同時還要防止與 Inter服務(wù)有關(guān)的安全漏洞。 在域名服務(wù)方面，第四代防火墻采用兩種獨立的域名服務(wù)器：一種是內(nèi)部 DNS服務(wù)器，主要處理內(nèi)部網(wǎng)絡(luò)的 DNS信息；另一種是外部 DNS服務(wù)器，專門用于處理機構(gòu)內(nèi)部向 Inter提供的部分 DNS信息。 7． 安全服務(wù)器網(wǎng)絡(luò)（ SSN） ： 第四代防火墻采用分別保護的策略保護對外服務(wù)器。它利用一張網(wǎng)卡將對外服務(wù)器作為一個獨立網(wǎng)絡(luò)處理，對外服務(wù)器既是內(nèi)部網(wǎng)的一部分，又與內(nèi)部網(wǎng)關(guān)完全隔離。這就是安全服務(wù)網(wǎng)絡(luò)（ SSN）技術(shù)，