【正文】 狀態(tài)異常，從而拒絕n 另外這種方式對于一些端口掃描工具，也能很好對抗。（（ TCP協(xié)議狀態(tài)圖協(xié)議狀態(tài)圖 如下圖）如下圖）TCP 狀態(tài)圖狀態(tài)圖 ：：粗實線表示、粗實線表示客戶端的正常路客戶端的正常路徑；徑；粗虛線表示、粗虛線表示服務(wù)器端的正常服務(wù)器端的正常路徑；路徑；細線表示不、細線表示不常見的事件。n 對于隨后的數(shù)據(jù)包，就將包信息和狀態(tài)監(jiān)測表中所記錄的連接內(nèi)容進行比較n 如果該包是某會話的一部分，并且狀態(tài)正確，則接受該數(shù)據(jù)包。n 通過狀態(tài)檢測，可以實現(xiàn)比簡單包過濾防火墻具有更大的安全性。n 實現(xiàn)狀態(tài)檢測最重要的是 實現(xiàn)連接跟蹤功能n 需要為不同的通信協(xié)議開發(fā)單獨的連接跟蹤模塊。電路級網(wǎng)關(guān)示意圖狀態(tài)檢測技術(shù)n 狀態(tài)檢測（ Stateful Inspection） 技術(shù)現(xiàn)在應(yīng)用非常廣泛，是一種相當(dāng)于 的過濾技術(shù)n 它不限于包過濾防火墻的 3/4 層（網(wǎng)絡(luò) /傳輸層）過濾，又不需要應(yīng)用層網(wǎng)關(guān)防火墻的 5 層（應(yīng)用層）過濾。n 電路網(wǎng)關(guān)一般只在 TCP連接建立時進行控制和判斷 ，監(jiān)視兩主機建立連接時的握手信息，如 SYN、 ACK等標(biāo)志和序列號等是否合乎邏輯n 一旦連接建立后僅復(fù)制、傳遞數(shù)據(jù)，而不再進行過濾 。電路級網(wǎng)關(guān)n 電路級網(wǎng)關(guān)（ Circuit Gateway）又稱為電路中繼（ Circuit Relay）， 工作在傳輸層（ TCP） 。n 其缺點是n 對于每一種應(yīng)用服務(wù)都必須為其設(shè)計一個代理軟件模塊來進行安全控制 ，而每一種網(wǎng)絡(luò)應(yīng)用服務(wù)的安全問題各不相同，實現(xiàn)困難。代理服務(wù)器技術(shù)示意圖應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層 物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層外部網(wǎng)絡(luò)主機外部網(wǎng)絡(luò)主機 內(nèi)部網(wǎng)絡(luò)主機內(nèi)部網(wǎng)絡(luò)主機防火墻防火墻應(yīng)用層表示層會話層傳輸層一個 Tel代理服務(wù)器例子外部 Tel客戶內(nèi)部 Tel服務(wù)器日志系統(tǒng)Tel代理 認(rèn)證系統(tǒng)Tel代理代理服務(wù)器服務(wù)器FTP代理原來的直原來的直接連接接連接端口 23內(nèi) 部連接端口 23外部連接端口 23一個 Tel代理服務(wù)器例子（續(xù)）n Tel代理網(wǎng)關(guān)的執(zhí)行過程n 用戶首先 Tel到應(yīng)用網(wǎng)關(guān)主機，并輸入內(nèi)部目標(biāo)主機的名字（域名、 IP地址）；n 應(yīng)用網(wǎng)關(guān)檢查用戶的源 IP地址等，并根據(jù)事先設(shè)定的訪問規(guī)則來決定是否轉(zhuǎn)發(fā)或拒絕；n 應(yīng)用網(wǎng)關(guān) 對 用戶 信息 進行驗證 （ 應(yīng)用層過濾 ） ；n 應(yīng)用網(wǎng)關(guān)中的代理服務(wù)器為用戶建立在網(wǎng)關(guān)與內(nèi)部主機之間的 Tel連接；n 代理服務(wù)器在兩個連接（用戶 /代理服務(wù)器，代理服務(wù)器 /內(nèi)部主機）之間傳送數(shù)據(jù) ；n 應(yīng)用網(wǎng)關(guān)對本次連接進行日志記錄。n 代理服務(wù)器是運行在防火墻主機上的專門的應(yīng)用程序或者服務(wù)程序n 這些程序接受用戶對 Inter服務(wù)的請求（如 FTP、Tel），并按照一定的安全策略將它們轉(zhuǎn)發(fā)到實際的服務(wù)中。n 局限：n 正確的設(shè)置包過濾規(guī)則比較困難；n 由于包過濾技術(shù)是在 IP/TCP層上實現(xiàn)的，所以包過濾不能在應(yīng)用層級別上進行過濾，防衛(wèi)方式比較單一；n 有些網(wǎng)絡(luò)協(xié)議不適合包過濾n 如 FTP協(xié)議，在協(xié)議內(nèi)部會動態(tài)生成子連接。機。n 根據(jù)該策略制定防火墻的過濾規(guī)則。防火墻對過濾規(guī)則的 使用（續(xù)）防火墻外網(wǎng)口防火墻外網(wǎng)口（所有報文）（所有報文）防火墻內(nèi)網(wǎng)口防火墻內(nèi)網(wǎng)口（允許通過的報文（允許通過的報文））包過濾規(guī)則列表包過濾規(guī)則列表進行規(guī)則匹配進行規(guī)則匹配動作動作動作動作動作動作動作動作規(guī)則表達式規(guī)則表達式規(guī)則表達式規(guī)則表達式規(guī)則表達式規(guī)則表達式默認(rèn)策略默認(rèn)策略 動作：允許或拒絕動作：允許或拒絕針對外網(wǎng)到內(nèi)網(wǎng)報文針對外網(wǎng)到內(nèi)網(wǎng)報文防火墻外網(wǎng)口防火墻外網(wǎng)口（（ 允許允許 通過的報文通過的報文））防火墻內(nèi)網(wǎng)口防火墻內(nèi)網(wǎng)口（所有報文）（所有報文）包過濾規(guī)則列表包過濾規(guī)則列表進行規(guī)則匹配進行規(guī)則匹配動作動作動作動作動作動作動作動作規(guī)則表達式規(guī)則表達式規(guī)則表達式規(guī)則表達式規(guī)則表達式規(guī)則表達式默認(rèn)策略默認(rèn)策略 動作：允許或拒絕動作：允許或拒絕針對內(nèi)網(wǎng)到外網(wǎng)報文針對內(nèi)網(wǎng)到外網(wǎng)報文例子n 假設(shè)一個公司的安全策略為：n 允許外部主機對內(nèi)部 MailGate主機的郵件訪問；n 允許外部主機對內(nèi)部 MailGate主機的 DNS訪問；n 允許外部主機對內(nèi)部 MailGate主機的 Tel訪問；n 允許外部 OutSide主機對內(nèi)部 InSide主機的 NTP協(xié)議對時；n 允許內(nèi)部主機對外部主機的一切 Tcp協(xié)議的訪問。n 一般都 采用默認(rèn)拒絕策略 。n 默認(rèn)拒絕： 指除非明確的指定允許某個數(shù)據(jù)包通過，否則數(shù)據(jù)包是不可以通過的。內(nèi)網(wǎng)主機內(nèi)網(wǎng)主機防防火火墻墻內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)請求、請求 報文報文 （（ 源端口一般隨機生成源端口一般隨機生成 ））源端口源端口 1024，目標(biāo)端口，目標(biāo)端口 80外部網(wǎng)絡(luò)外部網(wǎng)絡(luò)（如因特網(wǎng)）（如因特網(wǎng)） 防火墻根防火墻根據(jù)據(jù) 80端口放端口放行請求報文行請求報文響應(yīng)報文、響應(yīng)報文源源 端口端口 80，目標(biāo)端口目標(biāo)端口 1024（（ =請求中的源端口請求中的源端口））防火墻根、防火墻根據(jù)什么放行據(jù)什么放行響應(yīng)報文？響應(yīng)報文？內(nèi)網(wǎng)到外網(wǎng)的 TCP或 UDP訪問數(shù)據(jù)包過濾的默認(rèn)安全策略n 包過濾規(guī)則中有兩種基本的默認(rèn)安全策略： 默認(rèn)接受和默認(rèn)拒絕 。n 而 UDP是無連接的協(xié)議 ，沒有標(biāo)準(zhǔn)可以區(qū)分，只能通過端口號，但是端口號是可以偽造的n 如果返回的數(shù)據(jù)包不是到內(nèi)部主機隨機產(chǎn)生的端口，而是到另一個端口，可能就是一次破壞服務(wù)器的嘗試 。n 在從 內(nèi)部到外部 的 TCP（或 UDP）連接中， 為了允許返回數(shù)據(jù)通過，會給過濾規(guī)則的制定增加困難 （見后）：n 在內(nèi)部到外部的 TCP和 UDP連接中，內(nèi)部主機采用的源端口一般是 大于 1024的隨機端口 （如下圖）n 為了支持雙向通信， 需要允許返回到內(nèi)部主機的所有大于 1024端口的數(shù)據(jù)包，這是非常危險的 。網(wǎng)絡(luò)協(xié)議的雙向性對包過濾規(guī)則制定的影響n 需要注意的是， 網(wǎng)絡(luò)協(xié)議一般都是雙向的 ，如果發(fā)送了一個請求或者一條命令，另一邊的主機就會發(fā)出某種響應(yīng)。n 例如，如果允許內(nèi)部主機到外部服務(wù)器的郵件發(fā)送服務(wù)（正常運行于端口 25），當(dāng) TCP端口 25確是一個常規(guī)郵件端口時，這個配置就沒有危險。n 此外，按服務(wù)過濾需要保證內(nèi)部的服務(wù)確實工作在相應(yīng)的端口上。按服務(wù)過濾n 按服務(wù)過濾，就是根據(jù)相應(yīng)的 TCP/UDP端口進行過濾n 比如要禁止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的 Tel的訪問，就需要檢查數(shù)據(jù)包的目的端口和 TCP標(biāo)志位，如果端口是23，并且是 SYN包，則拒絕這個包。按 IP地址過濾n 按地址過濾是最簡單的過濾方式，它只限制數(shù)據(jù)包的源地址和目的地址，而不必考慮協(xié)議。以避免危險?？梢杂糜谔綔y網(wǎng)絡(luò)拓撲結(jié)構(gòu)。TCP連接的 3次握手過程基于 UDP的數(shù)據(jù)包過濾n 可以根據(jù)可以根據(jù) UDP中的源端口和目的端口來制中的源端口和目的端口來制定安全規(guī)則定安全