【正文】 分別保護(hù)的策略保護(hù)對(duì)外服務(wù)器。 6． Inter網(wǎng)關(guān)技術(shù) ： 由于是直接串聯(lián)在網(wǎng)絡(luò)之中，第四代防火墻必須支持用戶在 Inter互連的所有服務(wù)，同時(shí)還要防止與 Inter服務(wù)有關(guān)的安全漏洞。 在分組過濾一級(jí)，能過濾掉所有的源路由分組和假冒的 IP源地址； 在應(yīng)用網(wǎng)關(guān)一級(jí)，能利用 FTP、 SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測(cè) Inter提供的所有通用服務(wù)； 在電路網(wǎng)關(guān)一級(jí)，實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)的透明連接，并對(duì)服務(wù)的通行實(shí)行嚴(yán)格控制。 3． 靈活的代理系統(tǒng) ： 第四代防火墻采用了兩種代理機(jī)制：一種用于代理從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接，采用網(wǎng)絡(luò)地址轉(zhuǎn)換（ NAT）技術(shù)來解決；另一種用于代理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接，采用非保密的用戶定制代理或保密的代理系統(tǒng)技術(shù)來解決。 1． 雙端口或三端口的結(jié)構(gòu) ： 新一代防火墻產(chǎn)品具有兩個(gè)或三個(gè)獨(dú)立的網(wǎng)卡，內(nèi)外兩個(gè)網(wǎng)卡可不作IP轉(zhuǎn)化而串接于內(nèi)部網(wǎng)與外部網(wǎng)之間，另一個(gè)網(wǎng)卡可專用于對(duì)服務(wù)器的安全保護(hù)。第四代防火墻產(chǎn)品將網(wǎng)關(guān)與安全系統(tǒng)合二為一，具有以下技術(shù)與功能。 3． 4． 3 利用防火墻漏洞策略 3． 5 第四代防火 墻的主要技 術(shù) 3． 5． 1 第四代防火墻的主要技術(shù)與功能 第四代防火墻本身就是一個(gè)操作系統(tǒng)，因而在安全性上較之第三代防火墻有質(zhì)的提高。防火墻本身是一種被動(dòng)防衛(wèi)機(jī)制，不是主動(dòng)安全機(jī)制。這種攻擊難度比較大，可是破壞性很大。 2． TCP序號(hào)攻擊 ： TCP序號(hào)攻擊是繞過基于分組過濾方法的防火墻系統(tǒng)的最有效和最危險(xiǎn)的方法之一。 3． 4． 2 通過防火墻認(rèn)證機(jī)制策略 通過防火墻認(rèn)證機(jī)制策略，是指采取地址欺騙、TCP序號(hào)攻擊等方法繞過防火墻的認(rèn)證機(jī)制，從而對(duì)防火墻和內(nèi)部網(wǎng)絡(luò)破壞。通過使用加密技術(shù)，大多數(shù)防火墻現(xiàn)在能夠用作 VPN的網(wǎng)關(guān)，在有些時(shí)候通過對(duì)在互聯(lián)網(wǎng)上的端對(duì)端通訊信息進(jìn)行保護(hù)還可作為 VPN服務(wù)器。防火墻能夠?qū)⑹跈?quán)用戶的數(shù)據(jù)進(jìn)行加密并使這個(gè)信息穿過防火墻而進(jìn)入公共網(wǎng)絡(luò)。 3． 3． 4 防火墻與加密機(jī)制 現(xiàn)在的防火墻則逐漸集成了信息安全技術(shù)中的最新研究成果，一般都具有加密、解密和壓縮、解壓等功能，這些技術(shù)加強(qiáng)了信息在互聯(lián)網(wǎng)上的安全性。 總之，防火墻好壞取決于安全性和靈活性的要求，所以在實(shí)施防火墻之前，考慮一下策略是至關(guān)重要的。 3． 3． 3 防火墻設(shè)計(jì)策略及要求 第二種，除非明確允許，否則將禁止某種服務(wù)。 ?兩種基本設(shè)計(jì)策略： 第一種，除非明確不允許，否則允許某種服務(wù)。 防火墻的設(shè)計(jì)策略是具體地針對(duì)防火墻，制定相應(yīng)的規(guī)章制度來實(shí)施網(wǎng)絡(luò)服務(wù)訪問策略。 比如，在最高層，某個(gè)組織機(jī)構(gòu)的總體策略： (1) 內(nèi)部信息對(duì)于一個(gè)組織的經(jīng)濟(jì)繁榮是至關(guān)重要的； (2) 應(yīng)使用各種經(jīng)濟(jì)實(shí)惠的辦法來保證我們的信息的機(jī)密性、完整性、真實(shí)性、和可用性； (3) 保護(hù)數(shù)據(jù)信息的機(jī)密性、完整性和可用性是高于一切的，是不同層次的員工的責(zé)任； (4) 所有信息處理的設(shè)備將被用于經(jīng)過授權(quán)的任務(wù)。 網(wǎng)絡(luò)服務(wù)訪問策略不但應(yīng)該是一個(gè)站點(diǎn)安全策略的延伸，而且對(duì)于機(jī)構(gòu)內(nèi)部資源的保護(hù)也應(yīng)起到全局的作用。 3． 3． 2 網(wǎng)絡(luò)服務(wù)訪問權(quán)限策略 安全策略分為兩個(gè)層次：網(wǎng)絡(luò)服務(wù)訪問策略和防火墻設(shè)計(jì)策略。 4． 屏蔽子網(wǎng) (ScreenedSub) ?屏蔽子網(wǎng)就是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)，用兩臺(tái)分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。 3． 被屏蔽主機(jī)網(wǎng)關(guān) (ScreenedGatewy) ?屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)也最為安全。兩塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連。路由器上可以安裝基于 IP層的報(bào)文過濾軟件，實(shí)現(xiàn)報(bào)文過濾功能。 3． 3 防火墻安全 設(shè)計(jì)策略 3． 3． 1 防火墻體系結(jié)構(gòu) 1． 屏蔽路由器 (ScreeningRouter) 屏蔽路由器可以由廠家專門生產(chǎn)的路由器實(shí)現(xiàn)，也可以用主機(jī)來實(shí)現(xiàn)。 ?優(yōu)點(diǎn)：它可以對(duì)各種不同的協(xié)議提供服務(wù)，但這種代理需要改進(jìn)客戶程序。 ?電路級(jí)網(wǎng)關(guān)防火墻特點(diǎn)：電路級(jí)網(wǎng)關(guān)是一個(gè)通用代理服務(wù)器，它工作于 OSI互聯(lián)模型的會(huì)話層或是TCP/IP協(xié)議的 TCP層。 （ 3）應(yīng)用層網(wǎng)關(guān)實(shí)現(xiàn) ?編寫代理軟件 ?客戶軟件 ?協(xié)議對(duì)于應(yīng)用層網(wǎng)關(guān)的處理 （ 4）應(yīng)用層網(wǎng)關(guān)的特點(diǎn)和發(fā)展方向 ?智能代理 3． 電路級(jí)網(wǎng)關(guān)技術(shù) ?電路級(jí)網(wǎng)關(guān)（ Circuit Level Gateway）也是一種代理，但是只能是建立起一個(gè)回路，對(duì)數(shù)據(jù)包只起轉(zhuǎn)發(fā)的作用。 ? 包過濾防火墻的安全性較弱，透明度上較好。 （ 2）數(shù)據(jù)包過濾與代理服務(wù)的比較 ? 代理服務(wù)在安全方面比包過濾強(qiáng)，但它們?cè)谛阅芎屯该鞫壬媳容^差。 ④ 每個(gè)應(yīng)用程序都必須有一個(gè)代理服務(wù)程序來進(jìn)行安全控制，每一種應(yīng)用升級(jí)時(shí)，一般代理服務(wù)程序也要升級(jí)。 ② 有限的技術(shù)。 ? 提供代理的應(yīng)用層網(wǎng)關(guān)主要有以下優(yōu)點(diǎn)： ① 應(yīng)用層網(wǎng)關(guān)有能力支持可靠的用戶認(rèn)證并提供詳細(xì)的注冊(cè)信息。 ④ 提供代理服務(wù)的防火墻可以被配置成惟一的可被外部看見的主機(jī)，這樣可以隱藏內(nèi)部網(wǎng)的 IP地址，可以保護(hù)內(nèi)部主機(jī)免受外部主機(jī)的進(jìn)攻。 ② 用于應(yīng)用層的過濾規(guī)則相對(duì)于包過濾路由器來說更容易配置和測(cè)試。當(dāng)決定轉(zhuǎn)發(fā)時(shí)，代理服務(wù)器上的 Tel客戶進(jìn)程向真正的 Tel服務(wù)器發(fā)出請(qǐng)求， Tel服務(wù)器返回的數(shù)據(jù)是由代理服務(wù)器轉(zhuǎn)發(fā)給 Tel客戶機(jī)。 ? Tel代理服務(wù)器執(zhí)行內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用。代理能提供部分與傳輸有關(guān)的狀態(tài)，能完全提供與應(yīng)用相關(guān)的狀態(tài)和部分傳輸方面的信息，代理也能處理和管理信息。 2． 應(yīng)用層網(wǎng)關(guān)（ Application Gateway） （ 1）應(yīng)用層網(wǎng)關(guān)原理 ?也稱為代理服務(wù)器，代理（ Proxy）技術(shù)與包過濾技術(shù)完全不同，包過濾技術(shù)是在網(wǎng)絡(luò)層攔截所有的信息流，代理技術(shù)是針對(duì)每一個(gè)特定應(yīng)用都有一個(gè)程序。 （ 2）數(shù)據(jù)包過濾特性分析 ?主要優(yōu)點(diǎn)：是僅一個(gè)關(guān)健位置設(shè)置一個(gè)數(shù)據(jù)包過濾路由器就可以保護(hù)整個(gè)網(wǎng)絡(luò)，而且數(shù)據(jù)包過濾對(duì)用戶是透明的，不必在用戶機(jī)上再安裝特定的軟件 ?缺點(diǎn)和局限性：包過濾規(guī)則配置比較復(fù)雜，而且?guī)缀鯖]有什么工具能對(duì)過濾規(guī)則的正確性進(jìn)行測(cè)試；包過濾也沒法查出具有數(shù)據(jù)驅(qū)動(dòng)攻擊這一類潛在危險(xiǎn)的數(shù)據(jù)包；由于 數(shù)據(jù)包過濾是通過源地址來做判斷的，但 IP地址是很容易改變的，所以源地址欺騙用數(shù)據(jù)包過濾的方法不能查出來。 拒絕 內(nèi)部網(wǎng)絡(luò) 2 0 2 . 1 1 0 . 8 . 0 入 B 拒絕 2 0 2 . 1 1 0 . 8 . 0 內(nèi)部網(wǎng)絡(luò) 出 A 動(dòng)作 目標(biāo)地址 源 地址 方向 規(guī)則 ③ 按服務(wù)過濾 假設(shè)安全策略是禁止外部主機(jī)訪問