【文章內(nèi)容簡介】 ，從大學(xué)中的其它子網(wǎng)到公司中的其它字網(wǎng)的包(如包4)都被拒絕(根據(jù)規(guī)則C)。若以BAC的順序來應(yīng)用規(guī)則，則不能達(dá)到預(yù)計的目的。實際上，在上面的規(guī)則外集中存在著一個小錯誤，正是由于這個錯誤，導(dǎo)致了以ABC的順序和以BAC的順序來應(yīng)用規(guī)則而出現(xiàn)了不同的結(jié)果。該錯誤就是:，但實際上這是多余的。如果將這條規(guī)則去掉，那么順序ABC和BAC都將歸結(jié)為AC順序。以AC的順序進(jìn)行過濾后的結(jié)果如表三所示。表三Packet源 地 址目 的 地 址希望的動作AC 動作denydeny(C)permitpermit(A)permitpermit(A)denydeny(C)* 例 二如圖一所示的網(wǎng)絡(luò)，由包過濾的Router作為在內(nèi)部被保護(hù)的網(wǎng)絡(luò)與外部不安全的網(wǎng)絡(luò)之間的第一道防線。假設(shè)網(wǎng)絡(luò)的安全策略為:從外部主機(jī)來的Internet Mail 在一個指定的網(wǎng)關(guān)上接收，同時你不信任外部網(wǎng)絡(luò)上一個名叫HPVC的主機(jī)，準(zhǔn)備拒絕任何由它發(fā)起的網(wǎng)絡(luò)通信。本例中，關(guān)于使用SMTP的網(wǎng)絡(luò)安全策略必須轉(zhuǎn)移為包過濾規(guī)則?？梢詫⒕W(wǎng)絡(luò)安全規(guī)則轉(zhuǎn)換成下述用語言表示的規(guī)則：規(guī)則1: 拒絕從主機(jī)HPVC發(fā)起的連接。規(guī)則2：允許連接到我們的EMail網(wǎng)關(guān)。這些規(guī)則可以用下面的表四來表示。星號(*)表示可以匹配該列的任何值。表四規(guī)則動作本地本地遠(yuǎn)地主機(jī)遠(yuǎn)地說明序號主機(jī)端口號端口號Block**HPVC*Block traffic fromHPVC 2Allow MailGW 25**Allow Connection to OurMail gateway對于表四所示的規(guī)則1而言，在遠(yuǎn)地主機(jī)欄中填入了HPVC，而其它所有欄的內(nèi)容都是星號；在動作欄填入阻塞。這條規(guī)則的意義可以理解為：阻塞所有從遠(yuǎn)地主機(jī)HPVC發(fā)起的從它的任意端口到我們本地任意主機(jī)的任意端口的連接。對于表四所示的規(guī)則2而言，在本地主機(jī)和本地端口號兩欄中都有內(nèi)容，而其它欄都是星號；在動作欄填入允許。這個規(guī)則的意義可以理解為：允許從任意遠(yuǎn)地主機(jī)的任意端口發(fā)起的到本地主機(jī)MailGW的25號端口連接(端口25是為SMTP保留的)規(guī)則是按照它們在表中的順序來執(zhí)行的。如果一個分組不符合任何規(guī)則，則它將被拒絕。在表四中對規(guī)則的描述有一個嚴(yán)重的問題，它允許任意外部主機(jī)從端口25發(fā)起一個呼叫。端口25是為SMTP保留的，但是一個外部主機(jī)有可能利用這個權(quán)利從事其它活動。這條規(guī)則的一個更好的描述方案是允許本地主機(jī)發(fā)起呼叫，同遠(yuǎn)地主機(jī)的端口25進(jìn)行通信。這使得本地主機(jī)可以向遠(yuǎn)地站點(diǎn)發(fā)送電子郵件。如果遠(yuǎn)地主機(jī)不是用端口25執(zhí)行SMTP，則SMTP的發(fā)送進(jìn)程將不能發(fā)送電子郵件。這等價與遠(yuǎn)地主機(jī)不支持電子郵件。一個TCP連接是一個全雙工連接，信息雙向流動。在表四所示的包過濾規(guī)則中沒有明確指定被發(fā)送報文分組中信息的傳遞方向，即是從本地主機(jī)發(fā)送遠(yuǎn)地站點(diǎn)，還是從遠(yuǎn)地站點(diǎn)發(fā)送到本地主機(jī)。當(dāng)一個TCP包在某一個方向上傳遞時，它必須被接收方確認(rèn)。接收方通過設(shè)置TCP ACK標(biāo)志來發(fā)送應(yīng)答幀。TCP ACK標(biāo)志也被用來確認(rèn)TCP建立連接請求，ACK包將在所有TCP連接上發(fā)送。當(dāng)一個ACK包被發(fā)送后，發(fā)送方向就逆轉(zhuǎn)過來，包過濾規(guī)則應(yīng)該考慮為響應(yīng)控制或數(shù)據(jù)包而發(fā)回的ACK包。對于下面的表五中的規(guī)則1,在目標(biāo)主機(jī)端口號欄中填入25,其它欄中都填入星號,:(,主機(jī)號字段為0表示網(wǎng)絡(luò)上任意一臺主機(jī)).基于以上的討論,五SMTP的包過濾規(guī)則規(guī)則 動作源主機(jī)源端目標(biāo)主機(jī)遠(yuǎn)地TCP標(biāo)識說明序號口號端口號/IP選項 Allow **Allow packetfrom Network Allow* *TCP ACK Allow returnacknowledgement對于表五中的規(guī)則2,在源端口號欄中填入25,在TCP標(biāo)志和IP選項欄中填入TCP ACK,其它欄中都填入星號,:允許所有從任何外部網(wǎng)絡(luò)主機(jī)上源端口號25發(fā)起的到任意本地主機(jī)()任意端口號的TCP :(數(shù)據(jù)層和網(wǎng)絡(luò)層).,這個策略運(yùn)行得很好,因為TCP維護(hù)連接兩側(cè)的狀態(tài)信息,一些上層應(yīng)用服務(wù),例如TELNET ,SMTP 和FTP等,只能接受遵循應(yīng)用層協(xié)議規(guī)則的包,可考慮和應(yīng)用層網(wǎng)關(guān)一起使用(下節(jié)將會討論).羅羅嗦嗦說了一大通,可以綜述為下面兩點(diǎn):包過濾路由器的優(yōu)點(diǎn):絕大多數(shù)Internet ,執(zhí)行PACKET FILTER ,包過濾路由器對終端用戶和應(yīng)用程序是透明的,:定義包過濾器可能是一項復(fù)雜的工作,因為網(wǎng)管員需要詳細(xì)地了解Internet 各種服務(wù)、包頭格式和他們在希望每個域查找的特定的值。如果必須支持復(fù)雜的過濾要求的，則過濾規(guī)則集可能會變得很長和很復(fù)雜，從而很難管理。存在幾種自動測試軟件，被配置到Router上后即可校驗過濾規(guī)則。這可能對未檢測到的易損部件開放了一個地點(diǎn)。一般來說，一個路由器和信息包吞吐量隨過濾器數(shù)量的增加而減少。Router 被優(yōu)化用來從每個包中提取目的IP地址、查找一個相對簡單的路由表，而后將信息包順向運(yùn)行到適當(dāng)轉(zhuǎn)發(fā)接口。如果過濾可執(zhí)行，Router還必須對每個包執(zhí)行所有過濾規(guī)則。這可能消耗CPU的資源，并影響一個完全飽和的系統(tǒng)性能。 應(yīng)用網(wǎng)關(guān)為了克服與包過濾路由器相關(guān)聯(lián)的某些弱點(diǎn),防火墻需要使用應(yīng)用軟件來轉(zhuǎn)發(fā)和過濾Telnet和Ftp等服務(wù)的連接。這樣一種應(yīng)用叫做代理服務(wù)，而運(yùn)行代理服務(wù)軟件的主系統(tǒng)叫做應(yīng)用網(wǎng)關(guān)。應(yīng)用網(wǎng)關(guān)和包過濾路由器可以組合在一起使用，以獲得高于單獨(dú)使用的安全性和靈活性。作為一個例子，請考慮一個用包過濾路由器封鎖所有輸入Telnet 和Ftp 連接的網(wǎng)點(diǎn)。路由器允許Telnet和Ftp包只通過一個主系統(tǒng)，即Telnet/Ftp應(yīng)用網(wǎng)關(guān)，然后再連接到目的主系統(tǒng)，過程如下：，并輸入內(nèi)部主系統(tǒng)的名字；，并根據(jù)任何合適的訪問準(zhǔn)則接受或拒絕；（可使用一次性口令裝置）；；，代理服務(wù)軟件在兩個連接之間傳送數(shù)據(jù)；。這一例子指出了使用代理服務(wù)軟件的幾個好處。第一，代理服務(wù)軟件只允許有代理的服務(wù)通過。換句話說，如果應(yīng)用網(wǎng)關(guān)包含Telnet和Ftp的代理軟件，則只有Ftp和Telnet被允許進(jìn)入受保護(hù)的子網(wǎng)，而其它所有服務(wù)都完全被封鎖住。對有些網(wǎng)點(diǎn)來說，這種程度的安全性是很重要的，因為它保證，只有那些被認(rèn)為“可信賴的”服務(wù)才被允許通過防火墻。它還防止其他不可靠的服務(wù)不會背著防火墻管理人員實施。使用代理服務(wù)的另一好處是可以過濾協(xié)議。例如，有些防火墻可以過濾FTP連接，并拒絕使用FTP 協(xié)議中的 put 命令。如果人們要保證用戶不能寫到匿名FTP服務(wù)器軟件，則這一點(diǎn)是很有用的。應(yīng)用網(wǎng)關(guān)有三種基本的原型，分別適用于不同的網(wǎng)絡(luò)規(guī)模。* 雙穴主機(jī)網(wǎng)關(guān)（DualHomed Gateway）* 屏蔽主機(jī)網(wǎng)關(guān)（Screened Host Gateway)* 屏蔽子網(wǎng)網(wǎng)關(guān)（Screened Subnet Gateway）這三種原型有一個共同的特點(diǎn)，就是都需要一臺主機(jī)（如上面所述一樣）,通常稱為橋頭堡主機(jī)(Bastion Host)。該主機(jī)充當(dāng)應(yīng)用程序轉(zhuǎn)發(fā)者、通信登記者以及服務(wù)提供者的角色。因此，保護(hù)該主機(jī)的安全性是至關(guān)重要的，建立防火墻時，應(yīng)將較多的注意力放在該主機(jī)上。* 雙穴主機(jī)網(wǎng)關(guān)該原型的結(jié)構(gòu)如下圖所示。其中，橋頭堡主機(jī)充當(dāng)網(wǎng)關(guān)，因此，需要在此主機(jī)中裝兩塊網(wǎng)卡，并在其上運(yùn)行防火墻軟件。受保護(hù)網(wǎng)與Internet之間不能直接進(jìn)行通信，必須經(jīng)過橋頭堡主機(jī)，因此，不必顯示地列出受保護(hù)網(wǎng)與不受保護(hù)網(wǎng)之間的路由，從而達(dá)到受保護(hù)網(wǎng)除了看到橋頭堡主機(jī)之外，不能看到其他任何系統(tǒng)的效果。同時，橋頭堡主機(jī)不轉(zhuǎn)發(fā)TCP/IP包，網(wǎng)絡(luò)中的所有服務(wù)都必須由此主機(jī)的相應(yīng)代理程序支持。由于雙穴主機(jī)網(wǎng)關(guān)容易安裝，所需的硬件設(shè)備也較少，且容易驗證其正確性，因此，這是一種使用較多的紡火墻。雙穴主機(jī)網(wǎng)關(guān)最致命的弱點(diǎn)是:一旦防火墻被破壞，橋頭堡主機(jī)實際上就變成了一臺沒有尋徑功能的路由器，一個有經(jīng)驗的攻擊者就能使它尋徑，從而使受保護(hù)網(wǎng)完全開放并受到攻擊。例如，在基于Unix的雙穴主機(jī)網(wǎng)關(guān)中，通常是先修改一個名叫IPforwarding的內(nèi)核變量，來禁止橋頭堡主機(jī)的尋徑能力，非法攻擊者只要能獲得網(wǎng)關(guān)上的系統(tǒng)特權(quán)，就能修改此變量，使橋頭堡主機(jī)恢復(fù)尋徑能力，以進(jìn)行攻擊。* 屏蔽主機(jī)網(wǎng)關(guān)該原型的結(jié)構(gòu)如下圖所示。其中，橋頭堡主機(jī)在受保護(hù)網(wǎng)中，將帶有包屏蔽功能的路由器置于保護(hù)網(wǎng)和Internet之間，它不允許Internet對保護(hù)網(wǎng)的直接訪問，只允許對受保護(hù)網(wǎng)中橋頭堡主機(jī)的訪問。與雙穴網(wǎng)關(guān)類似，橋頭堡主機(jī)運(yùn)行防火墻軟件。屏蔽主機(jī)網(wǎng)關(guān)是一種很靈活的防火墻，它可以有選擇地允許那些值得信任的應(yīng)用程序通過路由器。但它不像雙穴網(wǎng)關(guān)，只需注意橋頭堡主機(jī)的安全性即可，它必須考慮兩方面的安全性，即橋頭堡主機(jī)和路由器。如果路由器中的訪問控制列表允許某些服務(wù)能夠通過路由器，則防火墻管理員不僅要管理橋頭堡主機(jī)中的訪問控制表，還要管理路由器中的訪問控制列表，并使它們互相協(xié)調(diào)。當(dāng)路由器允許通過的服務(wù)數(shù)量逐漸增多時，驗證防火墻的正確性就會變得越來越困難。* 屏蔽子網(wǎng)網(wǎng)關(guān)該原型的結(jié)構(gòu)如下圖所示。其中，一個小型的獨(dú)立網(wǎng)絡(luò)放在受保護(hù)網(wǎng)與Internet之間，對這個網(wǎng)絡(luò)的訪問受到路由器中屏蔽規(guī)則的保護(hù)。因此，屏蔽子網(wǎng)中的主機(jī)是唯一一個受保護(hù)網(wǎng)和Internet都能訪問到的系統(tǒng)。從理論上來說，這也是一種雙穴網(wǎng)關(guān)的方法，只是將其應(yīng)用到了網(wǎng)絡(luò)上。防火墻被破壞后，它會出現(xiàn)與雙穴主機(jī)網(wǎng)關(guān)同樣的問題。不同的是，在雙穴主機(jī)網(wǎng)關(guān)中只需配置橋頭堡主機(jī)的尋徑功能，而在屏蔽子網(wǎng)網(wǎng)關(guān)中則需配置三個網(wǎng)絡(luò)（受保護(hù)網(wǎng)、屏蔽子網(wǎng)和Internet）之間的尋徑功能，即先要闖入橋頭堡主機(jī)，再進(jìn)入受保護(hù)網(wǎng)中的某臺主機(jī)，然后返回包屏蔽路由器，分別進(jìn)行配置。這對攻擊者來說顯然是極其困難的。另外，由于Internet很難直接與受保護(hù)網(wǎng)進(jìn)行通信，因此，防火墻管理員不需指出受保護(hù)網(wǎng)到Internet之間的路由。這對于保護(hù)大型網(wǎng)絡(luò)來說是一種很好的方法。應(yīng)用網(wǎng)關(guān)的一個缺點(diǎn)是，就Telnet 等客戶機(jī)服務(wù)器協(xié)議來說，需要采取兩個步驟來連接輸入信息或輸出信息。有些應(yīng)用網(wǎng)關(guān)需要經(jīng)過修改的客戶機(jī)，這一點(diǎn)既可看作是缺點(diǎn)，也可看作是優(yōu)點(diǎn)，視修改的客戶機(jī)是否更加容易使用防火墻而定。Telnet應(yīng)用網(wǎng)關(guān)不一定需要經(jīng)過修改的Telnet客戶機(jī)，但是，它需要修改用戶行為：用戶必須連接到防火墻(但不記錄)，而不是直接連接到主系統(tǒng)。但是，經(jīng)過修改的Telnet客戶機(jī)可以使防火墻透明，因為它允許用戶用Telnet命令規(guī)定目的系統(tǒng)(不是防火墻)。防火墻起著通向目的系統(tǒng)通道的作用，從而攔截連接，再按需完成其他步驟，如查詢一次性口令。用戶行為仍然是相同的，但其代價是每個系統(tǒng)需要一個經(jīng)過修改的客戶機(jī)。除了Telnet 外，應(yīng)用網(wǎng)關(guān)一般用于Ftp 和電子郵件，同時也用于XWindows和其他某些服務(wù)。有些Ftp應(yīng)用網(wǎng)關(guān)包括拒絕特定主系統(tǒng)的put 和get 命令的能力。例如，一個已同內(nèi)部系統(tǒng)(如匿名Ftp服務(wù)器)建立Ftp對話(通過Ftp應(yīng)用網(wǎng)關(guān))的外部用戶，可能試圖把文件上裝到服務(wù)器。應(yīng)用網(wǎng)關(guān)可以過濾Ftp協(xié)議,并拒絕把所有puts命令發(fā)送給匿名Ftp服務(wù)器；這將保證沒有文件能上裝到服務(wù)器，而且所提供的確信程度要高于只依賴由設(shè)置正確的匿名Ftp服務(wù)器進(jìn)行的文件許可。電子郵件應(yīng)用網(wǎng)關(guān)可集中收集電子郵件，并把它分發(fā)給內(nèi)部主系統(tǒng)和用戶。對外部用戶來說，所有內(nèi)部用戶都擁有電子郵件地址，其格式為：user@host 其中,host是電子郵件網(wǎng)關(guān)的名字。網(wǎng)關(guān)會接受外部用戶的郵件，然后按需把郵件轉(zhuǎn)發(fā)到其他內(nèi)部系統(tǒng)。從內(nèi)部系統(tǒng)發(fā)送電子郵件的用戶可以從其主系統(tǒng)直接發(fā)送電子郵件，否則在內(nèi)部系統(tǒng)名字只有受保護(hù)的子網(wǎng)知道的情況下，郵件會發(fā)送給應(yīng)用網(wǎng)關(guān)，然后應(yīng)用網(wǎng)關(guān)著把郵件轉(zhuǎn)發(fā)給目的主系統(tǒng)。有些電子郵件網(wǎng)關(guān)使用更加安全的sendmail程序版本來接收電子郵件第四篇：防火墻論文河北大學(xué)人民武裝學(xué)院河北大學(xué)人民武裝學(xué)院2015屆畢業(yè)論文防火墻安全技術(shù)河北大學(xué)人民武裝學(xué)院中 隊：三十一中隊專 業(yè)：計算機(jī)網(wǎng)絡(luò)技術(shù)班級：四班姓 名：馬偉韜防火墻安全技術(shù)摘 要隨著計算機(jī)網(wǎng)絡(luò)的發(fā)展，上網(wǎng)的人數(shù)不斷地增大，網(wǎng)上的資源也不斷地增加，網(wǎng)絡(luò)的開放性、共享性、互連程度也隨著擴(kuò)大，所以網(wǎng)絡(luò)的安全問題也是現(xiàn)在注重考慮的問題。本文介紹網(wǎng)絡(luò)安全可行的解決方案——防火墻技術(shù)，防火墻技術(shù)是近年來發(fā)展起來的一種保護(hù)計算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，它實際上是一種訪問控制技術(shù)，在某個機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對信息資源的非法訪問, 也可以使用它阻止保密信息從受保護(hù)網(wǎng)絡(luò)上被非法輸出。關(guān)鍵詞：防火墻網(wǎng)絡(luò)安全包過濾狀態(tài)監(jiān)視應(yīng)用代理河北大學(xué)人民武裝學(xué)院河北大學(xué)人民武裝學(xué)院目 錄引言..............................................................................................5一、防火墻的概念..............................................................................6二、防火墻的分類..............................................................................7三、防火墻技術(shù)................................................................................10四、技術(shù)展望....................................................................................13 結(jié)論............................................................