【文章內容簡介】 （ 3） 裝有專用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據和指令； （ 4） 保護用戶編程空間和用戶可配置內核參數(shù)的設置； （ 5） 安全性和速度大大提高。 第三代防火墻有以純軟件實現(xiàn)的，也有以硬件方式實現(xiàn)的，它們已經得到了廣大用戶的認同。但隨著安全需求的變化和使用時間的推延，仍表現(xiàn)出不少問題 。 操 作系統(tǒng)上 的防火墻 的缺點 （ 1） 作為基礎的操作系統(tǒng)及其內核往往不為防火墻管理者所知，由于源碼的保密，其安全性無從保證； （ 2） 由于大多數(shù)防火墻廠商并非通用操作系統(tǒng)的廠商，通用操作系統(tǒng)廠商不會對操作系統(tǒng)的安全性負責； （ 3） 從本質上看，第三代防火墻既要防止來自外部網絡的攻擊，還要防止來自操作系統(tǒng)廠商的攻擊； （ 4） 在功能上包括了分組過濾、應用網關、電路級網關且具有加密鑒別功能； （ 5） 透明性好，易于使用。 第二章 防火墻體系結構 重宿主主機體系結構 雙重宿主主機體系結構是圍繞具有雙重宿主的主機計算機而構筑的，該計算機至少有兩個網絡接口。這樣的主機可以充當與這些接口相連的網絡之間的路由器；它能夠從一個網絡到另一個網絡發(fā)送 IP 數(shù)據包。然而，實現(xiàn)雙重宿主主機的防火墻體系結構禁止這種發(fā)送功能。因而， IP 數(shù)據包從一個網絡（例如，因特網）并不是直接發(fā)送到其他網絡（例如，內部的、被保護的網絡）。防火墻內部的系統(tǒng)能與雙重宿主主機通信，同時防火墻外部的系統(tǒng)（在因特網上）能與雙重宿主主機通信，但是這些系統(tǒng)不能直接互相通信。它們之間的 IP 通信被完全阻 止。 雙重宿主主機的防火墻體系結構是相當簡單的：雙重宿主主機位于兩者之間，并且被連接到因特網和內部的網絡，如圖 所示。 圖 屏蔽主機體系結構 雙重宿主主機體系結構提供來自與多個網絡相連的主機的服務 (但是路由關閉 ),而被屏蔽主機體系結構使用一個單獨的路由器提供來自僅僅與內部的網絡相連的主機的服務。在這種體系結構中 ,主要的安全由數(shù)據包過濾，其結構如圖 所示。 圖 屏蔽主機體系結構 在屏蔽的路由器上的數(shù)據包過濾是按這樣一種方法設置的 : 堡壘主機是因特網上的主機能連接到內部網絡上的系統(tǒng)的橋梁（例如，傳送進來的電子郵件）。即使這樣，也僅有某些確定類型的連接被允許。任何外部的系統(tǒng)試圖訪問內部的系統(tǒng)或服務將必須連接到這臺堡壘主機上。因此，堡壘主機需要擁有高等級的安全。 數(shù)據包過濾也允許堡壘主機開放可允許的連接（什么是“可允許”將由用戶的站點的安全策略決定）到外部世界。在屏蔽的路由器中數(shù)據包過濾配置可以按下列之一執(zhí)行： （ 1）允許其他的內部主機為了 某些服務與因特網上的主機連接（即允許那些已經由數(shù)據包過濾的服務）。 （ 2）不允許來自內部主機的所有連接（強迫那些主機經由堡壘主機使用代理服務）。 用戶可以針對不同的服務混合使用這些手段；某些服務可以被允許直接經由數(shù)據包過濾，而其他服務可以被允許僅僅間接地經過代理。這完全取決于用戶實行的安全策略。 因為這種體系結構允許數(shù)據包從因特網向內部網的移動，所以它的設計比沒有外部數(shù)據包能到達內部網絡的雙重宿主主機體系結構似乎是更冒風險。實際上，雙重宿主主機體系結構在防備數(shù)據包從外部網絡穿過內部的網絡也容易產 生失?。ㄒ驗檫@種失敗類型是完全出乎預料的，不太可能防備黑客侵襲）。進而言之，保衛(wèi)路由器比保衛(wèi)主機較易實現(xiàn)，因為它提供非常有限的服務組。多數(shù)情況下，被屏蔽的主機體系結構提供比雙重宿主主機體系結構具有更好的安全性和可用性。 然而，比較其他體系結構，如在下面要討論的屏蔽子網體系結構也有一些缺點。主要是如果侵襲者沒有辦法侵入堡壘主機時，而且在堡壘主機和其余的內部主機之間沒有任何保護網絡安全的東西存在的情況下，路由器同樣出現(xiàn)一個單點失效。如果路由器被損害，整個網絡對侵襲者是開放的。 被屏蔽子網體系結構 被屏蔽子網體系結構添加額外的安全層到被屏蔽主機體系結構，即通過添加周邊網絡更進一步地把內部網絡和外部網絡（通常是 Inter）隔離開。 被屏蔽子網體系結構的最簡單的形式為：兩個屏蔽路由器，每一個都連接到周邊網。一個位于周邊網與內部網絡之間，另一個位于周邊網與外部網絡（通常為 Inter）之間。這樣就在內部網絡與外部網絡之間形成了一個“隔離帶”。為了侵入用這種體系結構構筑的內部網絡，侵襲者必須通過兩個路由器。即使侵襲者侵入堡壘主機，它將仍然必須通過內部路由器，如圖 所示。 圖 被屏蔽子網體系結構 對圖的要點說明如下： （ 1）周邊網絡 周邊網絡是另一個安全層 ,是在外部網絡與用戶的被保護的內部網絡之間的附加的網絡。如果侵襲者成功地侵入用戶的防火墻的外層領域，周邊網絡在那個侵襲者與用戶的內部系統(tǒng)之間提供一個附加的保護層。 對于周邊網絡的作用，舉例說明如下。在許多網絡設置中，用給定網絡上的任何機器來查看這個網絡上的每一臺機器的通信是可能的，對大多數(shù)以太網為基礎的網絡確實如此（而且以太網是當今使用最廣泛的局域網 技術）；對若干其他成熟的技術，諸如令牌環(huán)和 FDDI 也是如此。探聽者可以通過查看那些在 Tel、FTP 以及 Rlogin 會話期間使用過的口令成功地探測出口令。即使口令沒被攻破，探聽者仍然能偷看或訪問他人的敏感文件的內容，或閱讀他們感興趣的電子郵件等；探聽者能完全監(jiān)視何人在使用網絡。 對于周邊網絡，如果某人侵入周邊網上的堡壘主機，他僅能探聽到周邊網上的通信。因為所有周邊網上的通信來自或通往堡壘主機或 Inter。 因為沒有嚴格的內部通信（即在兩臺內部主機之間的通信，這通常是敏感的或專有的）能越過周 邊網。所以，如果堡壘主機被損害，內部的通信仍將是安全的。 一般來說，來往于堡壘主機，或者外部世界的通信，仍然是可監(jiān)視的。防火墻設計工作的一部分就是確保這種通信不至于機密到閱讀它將損害你的站點的完整性。 （ 2）堡壘主機 在屏蔽的子網體系結構中，用戶把堡壘主機連接到周邊網；這臺主機便是接受來自外界連接的主要入口。例如： 1 對于進來的電子郵件（ SMTP）會話，傳送電子郵件到站點。 2 對于進來的 FTP 連接，轉接到站點的匿名 FTP 服務器。 3 對于進來的域名服務（ DNS）站點查詢等。 另外，其出 站服務（從內部的客戶端到在 Inter 上的服務器）按如下任一方法處理： 1 在外部和內部的路由器上設置數(shù)據包過濾來允許內部的客戶端直接訪問外部的服務器。 2 設置代理服務器在堡壘主機上運行（如果用戶的防火墻使用代理軟件）來允許內部的客戶端間接地訪問外部的服務器。用戶也可以設置數(shù)據包過濾來允許內部的客戶端在堡壘主機上同代理服務器交談，反之亦然。但是禁止內部的客戶端與外部世界之間直接通信（即撥號入網方式）。 （ 3）內部路由器 內部路由器（在有關防火墻著作中有時被稱為阻塞路由器）保護內部的網絡使之 免受 Inter 和周邊網的侵犯。 內部路由器為用戶的防火墻執(zhí)行大部分的數(shù)據包過濾工作。它允許從內部網到 Inter 的有選擇的出站服務。這些服務是用戶的站點能使用數(shù)據包過濾而不是代理服務安全支持和安全提供的服務。 內部路由器所允許的在堡壘主機（在周邊網上）和用戶的內部網之間服務可以不同于內部路由器所允許的在 Inter 和用戶的內部網之間的服務。限制堡壘主機和內部網之間服務的理由是減少由此而導致的受到來自堡壘主機侵襲的機器的數(shù)量。 （ 4）外部路由器 在理論上，外部路由器（在有關防火墻著作 中有時被稱為訪問路由器）保護周邊網和內部網使之免受來自 Inter 的侵犯。實際上，外部路由器傾向于允許幾乎任何東西從周邊網出站，并且它們通常只執(zhí)行非常少的數(shù)據包過濾。保護內部機器的數(shù)據包過濾規(guī)則在內部路由器和外部路由器上基本上應該是一樣的 ； 如果在規(guī)則中有允許侵襲者訪問的錯誤，錯誤就可能出現(xiàn)在兩個路由器上。 一般地，外部路由器由外部群組提供（例如，用戶的 Inter 供應商），同時用戶對它的訪問被限制。外部群組可能愿意放入一些通用型數(shù)據包過濾規(guī)則來維護路由器，但是不愿意使維護復雜或使用頻繁變化的規(guī)則 組。 外部路由器實際上需要做什么呢？外部路由器能有效地執(zhí)行的安全任務之一（通常別的任何地方不容易做的任務）是：阻止從 Inter 上偽造源地址進來的任何數(shù)據包。這樣的數(shù)據包自稱來自內部的網絡，但實際上是來自 Inter。 第三章 防火墻的配置（硬件） 目前比較流行的有以下三種防火墻配置方案 。 宿主機網關（ Dual Homed Gateway） 這種配置是用一臺裝有兩個網絡適配器的雙宿主機做防火墻。雙宿主機用兩個網絡適配器分別連接兩 個網絡，又稱堡壘主機。 堡壘主機上運行著防火墻軟件（通常是代理服務器），可以轉發(fā)應用程序，提供服務等。雙宿主機網關有一個致命弱點， 一旦入侵者侵入堡壘主機并使該主機只具有路由器功能，則任何網上用戶均可以隨便訪問有保護的內部網絡（如圖 ）。 圖 雙宿主機網關 屏蔽主機網關（ Screened Host Gateway） 屏蔽主機網關易于實現(xiàn)，安全性好，應用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種類型。先來看單宿堡壘主機類型。 一個包過濾路由器連接外 部網絡，同時一個堡壘主機安裝在內部網絡上。堡壘主機只有一個網卡，與內部網絡連接（如圖 ）。通常在路由器上設立過濾規(guī)則，并使這個單宿堡壘主機成為從 Inter 惟一可以訪問的主機，確保了內部網絡不受未被授權的外部用戶的攻擊。而 Intra 內部的客戶機，可以受控制地通過屏蔽主機和路由器訪問 Inter。 圖 屏蔽主機網關（單宿堡壘主機） 雙宿堡壘主機型與單宿堡壘主機型的區(qū)別是，堡壘主機有兩塊網卡，一塊連接內部網絡，一塊連接包過濾路由器（如圖 ）。雙宿堡壘主機在應 用層提供代理服務，與單宿型相比更加安全。 圖 屏蔽主機網關（雙宿堡壘主機） 屏蔽子網（ Screened Sub） 這種方法是在 Intra 和 Inter 之間建立一個被隔離的子網，用兩個包過濾路由器將這一子網分別與 Intra 和 Inter 分開。兩個包過濾路由器放在子網的兩端，在子網內構成一個“緩沖地帶”（如圖 ），兩個路由器一個控制 Intra 數(shù)據流，另一個控制 Inter 數(shù)據流， Intra 和 Inter均可訪問屏蔽子網，但禁止它們穿過屏 蔽子網通信?？筛鶕枰谄帘巫泳W中安裝堡壘主機，為內部網絡和外部網絡的互相訪問提供代理服務， 但是來自兩網絡的訪問都必須通過兩個包過濾路由器的檢查。對于向 Inter公開的服務器，像 WWW、 FTP、 Mail 等 Inter 服務器也可安裝在屏蔽子網內，這樣無論是外部用戶，還是內部用戶都可訪問。 這種結構的防火墻安全性能高，具有很強的抗攻擊能力，但需要的設備多，造價高。 圖 屏蔽子網防火墻 當然，防火墻本身也有其局限性，如不能防范繞過防火墻的入侵，像一般的防火墻不能防止受到病毒感 染的軟件或文件的傳輸；難以避免來自內部的攻擊等等?？傊?，防火墻只是一種整體安全防范策略的一部分，僅有防火墻是不夠的 ，安全策略還必須包括全面的安全準則，即網絡訪問、本地和遠程用戶認證、撥出撥入呼叫、磁盤和數(shù)據加密以及病毒防護等有關的安全策略 。 防火墻配置原理 防火墻通常有 3 個接口，分別連接 3 個網絡： 內部區(qū)域（內網）：內部區(qū)域通常就是指企業(yè)內部網絡或者是企業(yè)內部網絡的一部分。它