【正文】 的在堡壘主機(jī) (在周邊網(wǎng)絡(luò)上 )和用戶的內(nèi)部網(wǎng)之間服務(wù)可以不同于內(nèi)部路由器所允許的在 Inter 和用戶的內(nèi)部網(wǎng)之間的服務(wù)。它允許從內(nèi)部網(wǎng)到 Inter的有選擇的出站服務(wù)。 內(nèi)部路由器 (在有關(guān)防火墻著作中有時(shí)被稱為阻塞路由器 )保護(hù)內(nèi)部的網(wǎng)絡(luò)使之免受 Inter 和周邊網(wǎng)絡(luò)的侵犯。但是禁止內(nèi)部的客戶端與外部直接通信 (即撥號(hào)入網(wǎng)方式 )。 ② 設(shè)置代理服務(wù)器在堡壘主機(jī)上運(yùn)行 (如果用戶的防火墻使用代理軟件 )來(lái)允許內(nèi)部的客戶端間接地訪問(wèn)外部的服務(wù)器。 另外，其出站服務(wù) (從內(nèi)部的客戶端到 Inter 上的服務(wù)器 )按如下任一方法處理。 ② 對(duì)于進(jìn)來(lái)的 FTP 連接，轉(zhuǎn)接到站點(diǎn)的匿名FTP 服務(wù)器。例如以下幾方面。 (2) 堡壘主機(jī)。 周邊網(wǎng)絡(luò)是另一個(gè)安全層，是在外部網(wǎng)絡(luò)與用戶的被保護(hù)的內(nèi)部網(wǎng)絡(luò)之間附加的網(wǎng)絡(luò)。即使侵襲者侵入堡壘主機(jī)，它將仍然必須通過(guò)內(nèi)部路由器，如圖 所示。 這樣就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個(gè) “ 隔離帶 ” 。 被屏蔽子網(wǎng)體系結(jié)構(gòu)最簡(jiǎn)單的形式是這樣的：兩個(gè)屏蔽路由器，每一個(gè)都連接到周邊網(wǎng)。如果路由器被損害，整個(gè)網(wǎng)絡(luò)對(duì)侵襲者來(lái)說(shuō)是開(kāi)放的。 然而，比較其他體系結(jié)構(gòu)，如下面要討論的被屏蔽子網(wǎng)體系結(jié)構(gòu)也是有一些缺點(diǎn)的。進(jìn)而言之，保衛(wèi)路由器比保衛(wèi)主機(jī)較易實(shí)現(xiàn)，因?yàn)樗峁┓浅Ｓ邢薜姆?wù)組。 屏蔽主機(jī)結(jié)構(gòu) 內(nèi)部 網(wǎng)絡(luò) 路由器充當(dāng) 包過(guò)濾防火墻 外部網(wǎng)絡(luò) 這種體系結(jié)構(gòu)允許數(shù)據(jù)包從 Inter 向內(nèi)部網(wǎng)的移動(dòng)，所以它的設(shè)計(jì)比雙重宿主主機(jī)體系結(jié)構(gòu)似乎更冒風(fēng)險(xiǎn)。 外部網(wǎng)絡(luò) 多端口主機(jī) 內(nèi)部 網(wǎng)絡(luò) 被屏蔽主機(jī)體系結(jié)構(gòu) 雙重宿主主機(jī)體系結(jié)構(gòu)提供來(lái)自多個(gè)網(wǎng)絡(luò)相連的主機(jī)的服務(wù) (但路由關(guān)閉 )，而被屏蔽 主機(jī)體系結(jié)構(gòu)通過(guò)使用一個(gè)單獨(dú)的路由器提供來(lái)自僅與內(nèi)網(wǎng)相連的主機(jī)的服務(wù)。 雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)是相當(dāng)簡(jiǎn)單的：雙重宿主主機(jī)位于兩者之間，并且被連接到 Inter 和內(nèi)部的網(wǎng)絡(luò)，如圖 所示。然而，實(shí)現(xiàn)雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送功能，因而， IP 數(shù)據(jù)包從一個(gè)網(wǎng)絡(luò)(如 Inter)并不是直接發(fā)送到其他網(wǎng)絡(luò) (如內(nèi)部的、被保護(hù)的網(wǎng)絡(luò) )。 雙重宿主主機(jī)體系結(jié)構(gòu) 雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主的主機(jī)計(jì)算機(jī)而構(gòu)筑的，該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口。 (2) 被屏蔽主機(jī)體系結(jié)構(gòu)。 目前，防火墻的體系結(jié)構(gòu)一般有以下幾種。 (3) DMZ(Demilitarized Zone，非軍事區(qū)或?；饏^(qū) )。 (2) 雙宿主主機(jī) (DualHomed Host)。如果沒(méi)有堡壘主機(jī)，網(wǎng)絡(luò)之間將不能相互訪問(wèn)。防火墻中所使用的主計(jì)算機(jī)通常被稱為堡壘主機(jī)。這種設(shè)計(jì)方式可以避免一些 DoS 攻擊。如果在這個(gè)周期內(nèi)沒(méi)有數(shù)據(jù)包交換，則這個(gè)狀態(tài)檢測(cè)表項(xiàng)將會(huì)被刪除，如果有數(shù)據(jù)包交換，那么這個(gè)周期會(huì)被重新設(shè)置到 60s。狀態(tài)監(jiān)測(cè)表是位于內(nèi)核模式中的，所有的數(shù)據(jù)包與狀態(tài)檢測(cè)表的比較都在內(nèi)核模式下進(jìn)行，所以速度很快。 使用狀態(tài)監(jiān)測(cè)表這種方式提高了系統(tǒng)的性能，因?yàn)槊恳粋€(gè)數(shù)據(jù)包不是和規(guī)則庫(kù)比較，而是和狀態(tài)監(jiān)測(cè)表比較。這種技術(shù)就是所謂的包狀態(tài)監(jiān)測(cè) (State Inspection)技術(shù)。 (3) 針對(duì)不同的應(yīng)用，需要建立不同的服務(wù)代理，以處理客戶端的訪問(wèn)請(qǐng)求。 (2) 處理速度比較慢。 (1) 難以配置，對(duì)用戶是不透明的。 代理服務(wù)器的優(yōu)點(diǎn)是可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征，對(duì)數(shù)據(jù)包的檢測(cè)能力比較強(qiáng)。應(yīng)用層網(wǎng)關(guān)型防火墻還對(duì)進(jìn)出防火墻的信息進(jìn)行記錄，并可由網(wǎng)絡(luò)管理員監(jiān)視和管理防火墻的使用情況。它同時(shí)提供了多種方法認(rèn)證用戶。其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流，通過(guò)對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用，所以代理防火墻又被稱為應(yīng)用代理或應(yīng)用層網(wǎng)關(guān)型防火墻。代理服務(wù)器對(duì)內(nèi)網(wǎng)的客戶機(jī)來(lái)說(shuō)像是一臺(tái)服務(wù)器，而對(duì)于外網(wǎng)的服務(wù)器來(lái)說(shuō)，它又像是一臺(tái)客戶機(jī)。 代理防火墻技術(shù) 代理防火墻也就是經(jīng)常提到的代理服務(wù)器 (Proxy Server)、應(yīng)用網(wǎng)關(guān) (Application Gateway)，它工作在應(yīng)用層，適用于某些特定的服務(wù)，如 HTTP、 FTP等。有的路由器默認(rèn)設(shè)置是允許，有的是拒絕，后者比前者更加安全簡(jiǎn)便。 (4) 注意訪問(wèn)控制列表作用的接口以及數(shù)據(jù)的流向。 (3) 訪問(wèn)控制列表的位置。 (2) 語(yǔ)句的位置。 3．設(shè)計(jì)訪問(wèn)控制列表的注意點(diǎn) 包過(guò)濾防火墻基本通過(guò)路由器的訪問(wèn)控制列表 (Access Control List， ACL)方式來(lái)實(shí)現(xiàn)， 設(shè)置訪問(wèn)控制列表時(shí)應(yīng)該注意以下幾點(diǎn)。如當(dāng)它配置了僅允許從內(nèi)到外的 TCP 訪問(wèn)時(shí)，一些以 TCP 應(yīng)答包的形式從外網(wǎng)對(duì)內(nèi)網(wǎng)進(jìn)行的攻擊仍可穿透防火墻。 (3) 不支持應(yīng)用層協(xié)議，無(wú)法發(fā)現(xiàn)基于應(yīng)用層的攻擊。 (1) 無(wú)法阻止 IP 欺騙。 (4) 對(duì)用戶來(lái)說(shuō)是透明的，用戶的應(yīng)用層不受影響。 (2) 處理速度快。因此，過(guò)濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用，共同組成防火墻系統(tǒng)。 ? 認(rèn)證信息 訪問(wèn)控制列表 ? ? 身份認(rèn)證 ? DA 內(nèi)部網(wǎng)絡(luò) 協(xié)議 目的 IP 目的端口 源 IP 源端口 動(dòng)作 方向 TCP any any accept in TCP any any accept out Inter ? DA 包過(guò)濾防火墻的優(yōu)點(diǎn)是不用改動(dòng)客戶機(jī)和主機(jī)上的應(yīng)用程序，因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無(wú)關(guān)。對(duì)符合規(guī)則的數(shù)據(jù)包，防火墻可以發(fā)給發(fā)送方一個(gè)消息，也可以不發(fā)。通過(guò)檢查模塊，防火墻攔截和檢查所有進(jìn)站和出站的數(shù)據(jù)。 第一代防火墻 第二代防火墻 第三代防火墻 第四代防火墻 下一代防火墻 下一代防火墻： ?多級(jí)過(guò)濾技術(shù)的發(fā)展和應(yīng)用； ?胖技術(shù)路線和技術(shù)路線； ?實(shí)現(xiàn)和配置都十分復(fù)雜； ?管理平臺(tái)的通用化； ?防火墻性能的提高和自身的安全性加強(qiáng) 。 第四代防火墻建立在安全操作系統(tǒng)之上：① 防火墻廠商通過(guò)許可證方式購(gòu)買操作系統(tǒng)源碼修改和使用權(quán)； ② 或者防火墻廠商編寫(xiě)安全操作系統(tǒng)內(nèi)核 。 第三代防火墻有以軟件實(shí)現(xiàn)的 ， 也有以硬件實(shí)現(xiàn)的 ， 特點(diǎn)： ?批量上市的專用防火墻； ?集成多種功能； ?保護(hù)用戶編程空間和可配置內(nèi)核參數(shù)的設(shè)置； ?防火墻依賴兩方面的安全支持： ?防火墻廠商； ?操作系統(tǒng)廠商 。 代理服務(wù)器提供了應(yīng)用服務(wù)級(jí)的控制 。 1986年美國(guó) Digital公司再 Inter上安裝了第一個(gè)商用防火墻 ， 之后防火墻得到飛速發(fā)展 。 第四代防火墻可以抵御目前常見(jiàn)的網(wǎng)絡(luò)攻擊手段，如 IP 地址欺騙、特洛伊木馬攻擊、 Inter 蠕蟲(chóng)、口令探尋攻擊、郵件攻擊等。它將網(wǎng)關(guān)與安全系統(tǒng)合二為一，在功能上包括了靈活的代理系統(tǒng)、多級(jí)的過(guò)濾技術(shù)、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)及Inter 網(wǎng)關(guān)技術(shù)，且具有審計(jì)和報(bào)警、加密與鑒別等功能，透明性好，易于使用。狀態(tài)檢測(cè)防火墻就是基于這種連接過(guò)程，根據(jù)數(shù)據(jù)包狀態(tài)變化來(lái)決定訪問(wèn)控制的策略。 3．動(dòng)態(tài)包過(guò)濾防火墻 1992 年 USC 信息科學(xué)的 BobBraden 開(kāi)發(fā)出了基于動(dòng)態(tài)包過(guò)濾 (Dynamic Packet Filter)技術(shù)的防火墻，也就是目前所說(shuō)的狀態(tài)檢測(cè) (State Inspection)技術(shù)。 這種方法可以有效地防止對(duì)內(nèi)部網(wǎng)絡(luò)的直接攻擊，安全性較高。 2．代理防火墻 第二代防火墻工作在應(yīng)用層，能夠根據(jù)具體的應(yīng)用對(duì)數(shù)據(jù)進(jìn)行過(guò)濾或者轉(zhuǎn)發(fā)，也就是常說(shuō)的代理服務(wù)器、應(yīng)用網(wǎng)關(guān)。但缺點(diǎn)是維護(hù)比較困難；不能有效防止黑客的 IP 欺騙攻擊；不支持應(yīng)用層的過(guò)濾，不能防范數(shù)據(jù)驅(qū)動(dòng)型攻擊；無(wú)法對(duì)網(wǎng)絡(luò)上流動(dòng)的信息提供全面的控制。過(guò)濾規(guī)則是基于可以提供給 IP 轉(zhuǎn)發(fā)過(guò)程的包頭信息的。 1．包過(guò)濾防火墻 第一代包過(guò)濾防火墻與路由器同時(shí)出現(xiàn)，實(shí)現(xiàn)了根據(jù)數(shù)據(jù)包頭信息的靜態(tài)包過(guò)濾。 NAT 常用于私有地址域與公有地址域的轉(zhuǎn)換，以解決 IP 地址匱乏問(wèn)題。 6．支持網(wǎng)絡(luò)地址轉(zhuǎn)換 網(wǎng)絡(luò)地址轉(zhuǎn)換 (Network Address Translation， NAT)指將一個(gè) IP 地址域映射到另一個(gè) IP地址域，對(duì)所有內(nèi)部地址透明地進(jìn)行轉(zhuǎn)換，使外部網(wǎng)絡(luò)無(wú)法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)。 5．支持 VPN 功能 除了安全作用，防火墻還支持具有 Inter服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系 VPN 。 攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等。使用防火墻就可以隱蔽那些透露內(nèi)部細(xì)節(jié)的服務(wù)，如 Finger、 DNS 等。 4．防止內(nèi)部信息的外泄 通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行劃分，可實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局