【文章內(nèi)容簡介】 （ 3） 裝有專用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令； （ 4） 保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置； （ 5） 安全性和速度大大提高。 第三代防火墻有以純軟件實(shí)現(xiàn)的，也有以硬件方式實(shí)現(xiàn)的，它們已經(jīng)得到了廣大用戶的認(rèn)同。但隨著安全需求的變化和使用時間的推延，仍表現(xiàn)出不少問題 。 操 作系統(tǒng)上 的防火墻 的缺點(diǎn) （ 1） 作為基礎(chǔ)的操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知，由于源碼的保密，其安全性無從保證； （ 2） 由于大多數(shù)防火墻廠商并非通用操作系統(tǒng)的廠商，通用操作系統(tǒng)廠商不會對操作系統(tǒng)的安全性負(fù)責(zé)； （ 3） 從本質(zhì)上看，第三代防火墻既要防止來自外部網(wǎng)絡(luò)的攻擊，還要防止來自操作系統(tǒng)廠商的攻擊； （ 4） 在功能上包括了分組過濾、應(yīng)用網(wǎng)關(guān)、電路級網(wǎng)關(guān)且具有加密鑒別功能； （ 5） 透明性好，易于使用。 第二章 防火墻體系結(jié)構(gòu) 重宿主主機(jī)體系結(jié)構(gòu) 雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主的主機(jī)計算機(jī)而構(gòu)筑的，該計算機(jī)至少有兩個網(wǎng)絡(luò)接口。這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器；它能夠從一個網(wǎng)絡(luò)到另一個網(wǎng)絡(luò)發(fā)送 IP 數(shù)據(jù)包。然而，實(shí)現(xiàn)雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送功能。因而， IP 數(shù)據(jù)包從一個網(wǎng)絡(luò)（例如，因特網(wǎng)）并不是直接發(fā)送到其他網(wǎng)絡(luò)（例如，內(nèi)部的、被保護(hù)的網(wǎng)絡(luò)）。防火墻內(nèi)部的系統(tǒng)能與雙重宿主主機(jī)通信，同時防火墻外部的系統(tǒng)（在因特網(wǎng)上）能與雙重宿主主機(jī)通信，但是這些系統(tǒng)不能直接互相通信。它們之間的 IP 通信被完全阻 止。 雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)是相當(dāng)簡單的：雙重宿主主機(jī)位于兩者之間，并且被連接到因特網(wǎng)和內(nèi)部的網(wǎng)絡(luò)，如圖 所示。 圖 屏蔽主機(jī)體系結(jié)構(gòu) 雙重宿主主機(jī)體系結(jié)構(gòu)提供來自與多個網(wǎng)絡(luò)相連的主機(jī)的服務(wù) (但是路由關(guān)閉 ),而被屏蔽主機(jī)體系結(jié)構(gòu)使用一個單獨(dú)的路由器提供來自僅僅與內(nèi)部的網(wǎng)絡(luò)相連的主機(jī)的服務(wù)。在這種體系結(jié)構(gòu)中 ,主要的安全由數(shù)據(jù)包過濾，其結(jié)構(gòu)如圖 所示。 圖 屏蔽主機(jī)體系結(jié)構(gòu) 在屏蔽的路由器上的數(shù)據(jù)包過濾是按這樣一種方法設(shè)置的 : 堡壘主機(jī)是因特網(wǎng)上的主機(jī)能連接到內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)的橋梁（例如，傳送進(jìn)來的電子郵件）。即使這樣，也僅有某些確定類型的連接被允許。任何外部的系統(tǒng)試圖訪問內(nèi)部的系統(tǒng)或服務(wù)將必須連接到這臺堡壘主機(jī)上。因此，堡壘主機(jī)需要擁有高等級的安全。 數(shù)據(jù)包過濾也允許堡壘主機(jī)開放可允許的連接（什么是“可允許”將由用戶的站點(diǎn)的安全策略決定）到外部世界。在屏蔽的路由器中數(shù)據(jù)包過濾配置可以按下列之一執(zhí)行： （ 1）允許其他的內(nèi)部主機(jī)為了 某些服務(wù)與因特網(wǎng)上的主機(jī)連接（即允許那些已經(jīng)由數(shù)據(jù)包過濾的服務(wù)）。 （ 2）不允許來自內(nèi)部主機(jī)的所有連接（強(qiáng)迫那些主機(jī)經(jīng)由堡壘主機(jī)使用代理服務(wù)）。 用戶可以針對不同的服務(wù)混合使用這些手段；某些服務(wù)可以被允許直接經(jīng)由數(shù)據(jù)包過濾，而其他服務(wù)可以被允許僅僅間接地經(jīng)過代理。這完全取決于用戶實(shí)行的安全策略。 因為這種體系結(jié)構(gòu)允許數(shù)據(jù)包從因特網(wǎng)向內(nèi)部網(wǎng)的移動，所以它的設(shè)計比沒有外部數(shù)據(jù)包能到達(dá)內(nèi)部網(wǎng)絡(luò)的雙重宿主主機(jī)體系結(jié)構(gòu)似乎是更冒風(fēng)險。實(shí)際上，雙重宿主主機(jī)體系結(jié)構(gòu)在防備數(shù)據(jù)包從外部網(wǎng)絡(luò)穿過內(nèi)部的網(wǎng)絡(luò)也容易產(chǎn) 生失?。ㄒ驗檫@種失敗類型是完全出乎預(yù)料的，不太可能防備黑客侵襲）。進(jìn)而言之，保衛(wèi)路由器比保衛(wèi)主機(jī)較易實(shí)現(xiàn)，因為它提供非常有限的服務(wù)組。多數(shù)情況下，被屏蔽的主機(jī)體系結(jié)構(gòu)提供比雙重宿主主機(jī)體系結(jié)構(gòu)具有更好的安全性和可用性。 然而，比較其他體系結(jié)構(gòu)，如在下面要討論的屏蔽子網(wǎng)體系結(jié)構(gòu)也有一些缺點(diǎn)。主要是如果侵襲者沒有辦法侵入堡壘主機(jī)時，而且在堡壘主機(jī)和其余的內(nèi)部主機(jī)之間沒有任何保護(hù)網(wǎng)絡(luò)安全的東西存在的情況下，路由器同樣出現(xiàn)一個單點(diǎn)失效。如果路由器被損害，整個網(wǎng)絡(luò)對侵襲者是開放的。 被屏蔽子網(wǎng)體系結(jié)構(gòu) 被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（通常是 Inter）隔離開。 被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為：兩個屏蔽路由器，每一個都連接到周邊網(wǎng)。一個位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間，另一個位于周邊網(wǎng)與外部網(wǎng)絡(luò)（通常為 Inter）之間。這樣就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個“隔離帶”。為了侵入用這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，侵襲者必須通過兩個路由器。即使侵襲者侵入堡壘主機(jī)，它將仍然必須通過內(nèi)部路由器，如圖 所示。 圖 被屏蔽子網(wǎng)體系結(jié)構(gòu) 對圖的要點(diǎn)說明如下： （ 1）周邊網(wǎng)絡(luò) 周邊網(wǎng)絡(luò)是另一個安全層 ,是在外部網(wǎng)絡(luò)與用戶的被保護(hù)的內(nèi)部網(wǎng)絡(luò)之間的附加的網(wǎng)絡(luò)。如果侵襲者成功地侵入用戶的防火墻的外層領(lǐng)域，周邊網(wǎng)絡(luò)在那個侵襲者與用戶的內(nèi)部系統(tǒng)之間提供一個附加的保護(hù)層。 對于周邊網(wǎng)絡(luò)的作用，舉例說明如下。在許多網(wǎng)絡(luò)設(shè)置中，用給定網(wǎng)絡(luò)上的任何機(jī)器來查看這個網(wǎng)絡(luò)上的每一臺機(jī)器的通信是可能的，對大多數(shù)以太網(wǎng)為基礎(chǔ)的網(wǎng)絡(luò)確實(shí)如此（而且以太網(wǎng)是當(dāng)今使用最廣泛的局域網(wǎng) 技術(shù)）；對若干其他成熟的技術(shù)，諸如令牌環(huán)和 FDDI 也是如此。探聽者可以通過查看那些在 Tel、FTP 以及 Rlogin 會話期間使用過的口令成功地探測出口令。即使口令沒被攻破，探聽者仍然能偷看或訪問他人的敏感文件的內(nèi)容，或閱讀他們感興趣的電子郵件等；探聽者能完全監(jiān)視何人在使用網(wǎng)絡(luò)。 對于周邊網(wǎng)絡(luò)，如果某人侵入周邊網(wǎng)上的堡壘主機(jī)，他僅能探聽到周邊網(wǎng)上的通信。因為所有周邊網(wǎng)上的通信來自或通往堡壘主機(jī)或 Inter。 因為沒有嚴(yán)格的內(nèi)部通信（即在兩臺內(nèi)部主機(jī)之間的通信，這通常是敏感的或?qū)Ｓ械模┠茉竭^周 邊網(wǎng)。所以，如果堡壘主機(jī)被損害，內(nèi)部的通信仍將是安全的。 一般來說，來往于堡壘主機(jī)，或者外部世界的通信，仍然是可監(jiān)視的。防火墻設(shè)計工作的一部分就是確保這種通信不至于機(jī)密到閱讀它將損害你的站點(diǎn)的完整性。 （ 2）堡壘主機(jī) 在屏蔽的子網(wǎng)體系結(jié)構(gòu)中，用戶把堡壘主機(jī)連接到周邊網(wǎng)；這臺主機(jī)便是接受來自外界連接的主要入口。例如： 1 對于進(jìn)來的電子郵件（ SMTP）會話，傳送電子郵件到站點(diǎn)。 2 對于進(jìn)來的 FTP 連接，轉(zhuǎn)接到站點(diǎn)的匿名 FTP 服務(wù)器。 3 對于進(jìn)來的域名服務(wù)（ DNS）站點(diǎn)查詢等。 另外，其出 站服務(wù)（從內(nèi)部的客戶端到在 Inter 上的服務(wù)器）按如下任一方法處理： 1 在外部和內(nèi)部的路由器上設(shè)置數(shù)據(jù)包過濾來允許內(nèi)部的客戶端直接訪問外部的服務(wù)器。 2 設(shè)置代理服務(wù)器在堡壘主機(jī)上運(yùn)行（如果用戶的防火墻使用代理軟件）來允許內(nèi)部的客戶端間接地訪問外部的服務(wù)器。用戶也可以設(shè)置數(shù)據(jù)包過濾來允許內(nèi)部的客戶端在堡壘主機(jī)上同代理服務(wù)器交談，反之亦然。但是禁止內(nèi)部的客戶端與外部世界之間直接通信（即撥號入網(wǎng)方式）。 （ 3）內(nèi)部路由器 內(nèi)部路由器（在有關(guān)防火墻著作中有時被稱為阻塞路由器）保護(hù)內(nèi)部的網(wǎng)絡(luò)使之 免受 Inter 和周邊網(wǎng)的侵犯。 內(nèi)部路由器為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過濾工作。它允許從內(nèi)部網(wǎng)到 Inter 的有選擇的出站服務(wù)。這些服務(wù)是用戶的站點(diǎn)能使用數(shù)據(jù)包過濾而不是代理服務(wù)安全支持和安全提供的服務(wù)。 內(nèi)部路由器所允許的在堡壘主機(jī)（在周邊網(wǎng)上）和用戶的內(nèi)部網(wǎng)之間服務(wù)可以不同于內(nèi)部路由器所允許的在 Inter 和用戶的內(nèi)部網(wǎng)之間的服務(wù)。限制堡壘主機(jī)和內(nèi)部網(wǎng)之間服務(wù)的理由是減少由此而導(dǎo)致的受到來自堡壘主機(jī)侵襲的機(jī)器的數(shù)量。 （ 4）外部路由器 在理論上，外部路由器（在有關(guān)防火墻著作 中有時被稱為訪問路由器）保護(hù)周邊網(wǎng)和內(nèi)部網(wǎng)使之免受來自 Inter 的侵犯。實(shí)際上，外部路由器傾向于允許幾乎任何東西從周邊網(wǎng)出站，并且它們通常只執(zhí)行非常少的數(shù)據(jù)包過濾。保護(hù)內(nèi)部機(jī)器的數(shù)據(jù)包過濾規(guī)則在內(nèi)部路由器和外部路由器上基本上應(yīng)該是一樣的 ； 如果在規(guī)則中有允許侵襲者訪問的錯誤，錯誤就可能出現(xiàn)在兩個路由器上。 一般地，外部路由器由外部群組提供（例如，用戶的 Inter 供應(yīng)商），同時用戶對它的訪問被限制。外部群組可能愿意放入一些通用型數(shù)據(jù)包過濾規(guī)則來維護(hù)路由器，但是不愿意使維護(hù)復(fù)雜或使用頻繁變化的規(guī)則 組。 外部路由器實(shí)際上需要做什么呢？外部路由器能有效地執(zhí)行的安全任務(wù)之一（通常別的任何地方不容易做的任務(wù)）是：阻止從 Inter 上偽造源地址進(jìn)來的任何數(shù)據(jù)包。這樣的數(shù)據(jù)包自稱來自內(nèi)部的網(wǎng)絡(luò)，但實(shí)際上是來自 Inter。 第三章 防火墻的配置（硬件） 目前比較流行的有以下三種防火墻配置方案 。 宿主機(jī)網(wǎng)關(guān)（ Dual Homed Gateway） 這種配置是用一臺裝有兩個網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻。雙宿主機(jī)用兩個網(wǎng)絡(luò)適配器分別連接兩 個網(wǎng)絡(luò)，又稱堡壘主機(jī)。 堡壘主機(jī)上運(yùn)行著防火墻軟件（通常是代理服務(wù)器），可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。雙宿主機(jī)網(wǎng)關(guān)有一個致命弱點(diǎn)， 一旦入侵者侵入堡壘主機(jī)并使該主機(jī)只具有路由器功能，則任何網(wǎng)上用戶均可以隨便訪問有保護(hù)的內(nèi)部網(wǎng)絡(luò)（如圖 ）。 圖 雙宿主機(jī)網(wǎng)關(guān) 屏蔽主機(jī)網(wǎng)關(guān)（ Screened Host Gateway） 屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)，安全性好，應(yīng)用廣泛。它又分為單宿堡壘主機(jī)和雙宿堡壘主機(jī)兩種類型。先來看單宿堡壘主機(jī)類型。 一個包過濾路由器連接外 部網(wǎng)絡(luò)，同時一個堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。堡壘主機(jī)只有一個網(wǎng)卡，與內(nèi)部網(wǎng)絡(luò)連接（如圖 ）。通常在路由器上設(shè)立過濾規(guī)則，并使這個單宿堡壘主機(jī)成為從 Inter 惟一可以訪問的主機(jī)，確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。而 Intra 內(nèi)部的客戶機(jī)，可以受控制地通過屏蔽主機(jī)和路由器訪問 Inter。 圖 屏蔽主機(jī)網(wǎng)關(guān)（單宿堡壘主機(jī)） 雙宿堡壘主機(jī)型與單宿堡壘主機(jī)型的區(qū)別是，堡壘主機(jī)有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡(luò)，一塊連接包過濾路由器（如圖 ）。雙宿堡壘主機(jī)在應(yīng) 用層提供代理服務(wù)，與單宿型相比更加安全。 圖 屏蔽主機(jī)網(wǎng)關(guān)（雙宿堡壘主機(jī)） 屏蔽子網(wǎng)（ Screened Sub） 這種方法是在 Intra 和 Inter 之間建立一個被隔離的子網(wǎng)，用兩個包過濾路由器將這一子網(wǎng)分別與 Intra 和 Inter 分開。兩個包過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個“緩沖地帶”（如圖 ），兩個路由器一個控制 Intra 數(shù)據(jù)流，另一個控制 Inter 數(shù)據(jù)流， Intra 和 Inter均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏 蔽子網(wǎng)通信?？筛鶕?jù)需要在屏蔽子網(wǎng)中安裝堡壘主機(jī)，為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的互相訪問提供代理服務(wù)， 但是來自兩網(wǎng)絡(luò)的訪問都必須通過兩個包過濾路由器的檢查。對于向 Inter公開的服務(wù)器，像 WWW、 FTP、 Mail 等 Inter 服務(wù)器也可安裝在屏蔽子網(wǎng)內(nèi)，這樣無論是外部用戶，還是內(nèi)部用戶都可訪問。 這種結(jié)構(gòu)的防火墻安全性能高，具有很強(qiáng)的抗攻擊能力，但需要的設(shè)備多，造價高。 圖 屏蔽子網(wǎng)防火墻 當(dāng)然，防火墻本身也有其局限性，如不能防范繞過防火墻的入侵，像一般的防火墻不能防止受到病毒感 染的軟件或文件的傳輸；難以避免來自內(nèi)部的攻擊等等?？傊?，防火墻只是一種整體安全防范策略的一部分，僅有防火墻是不夠的 ，安全策略還必須包括全面的安全準(zhǔn)則，即網(wǎng)絡(luò)訪問、本地和遠(yuǎn)程用戶認(rèn)證、撥出撥入呼叫、磁盤和數(shù)據(jù)加密以及病毒防護(hù)等有關(guān)的安全策略 。 防火墻配置原理 防火墻通常有 3 個接口，分別連接 3 個網(wǎng)絡(luò)： 內(nèi)部區(qū)域（內(nèi)網(wǎng)）：內(nèi)部區(qū)域通常就是指企業(yè)內(nèi)部網(wǎng)絡(luò)或者是企業(yè)內(nèi)部網(wǎng)絡(luò)的一部分。它