【正文】 墻后面，便于隔離對安全性或敏感性要求更高的部分。 IP地址，通過地 址轉(zhuǎn)換來解決 Inter IP地址不足的問題 。 。防火墻對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管理，在防火墻定義 的安全規(guī)則可以運用于整個內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無需在內(nèi)部網(wǎng)每臺機器上分別設(shè) 立安 全策略。 盡管防火墻提供了很好的保護，但它也存在一定的局限性，主要表現(xiàn)在 : 于附加了對數(shù)據(jù)包的過濾或轉(zhuǎn)發(fā)，防火墻的存在增加了數(shù)據(jù)處理的復 雜 性 因此會造成網(wǎng)絡(luò)瓶頸，導致數(shù)據(jù)傳輸速度的降低。 。 。 。防火墻被用 來防備己知的威脅，如果是一個很好的防火墻 ,可以防備一些新威脅 ,但沒有一個防火墻能自動防御所有的新的威脅。 15 防火墻的類型與運行機制 目 前 ,從防火墻運行的層次上來講，其主要有包過濾和代理兩大類，其中代理 (也稱為網(wǎng)關(guān) )又分為應(yīng)用層和電路層兩種。 包過濾防火墻 數(shù)據(jù)包過濾 包過濾防火墻 工 作在網(wǎng)絡(luò)層，一般是具有多個端口的路由器 (也有人稱之為屏蔽 路由器 )，它對每個進入的 IP數(shù)據(jù)包應(yīng)用一組規(guī)則集合來判斷該數(shù)據(jù)包是否應(yīng)該轉(zhuǎn)發(fā)。 數(shù)據(jù)包過濾技術(shù)是以數(shù)據(jù)包頭為基礎(chǔ)，按照路由器配置中的一組規(guī) 則講數(shù)據(jù)包分類，然后在網(wǎng)絡(luò)層對數(shù)據(jù)包進行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯 (被稱為訪問控制列表 )。訪問控制列表 (ACL)制定某種類型的數(shù)據(jù)包是被轉(zhuǎn)發(fā) 、 還是被丟棄。 數(shù)據(jù)包過濾是針對分組的包 頭 信息來進行的，每個數(shù)據(jù)包都包含有特定信息的一組包頭，其主要信息有 : 1)IP源地址 。 2)IP目標地址 。 3)封裝的協(xié)議類型 (TCP、 UDP、 ICMP等 ) 4) TCP或 UDP源端口 。 5) TCP或 UDP目標端口 6) ICMP消息類型 分組到達過濾端口 16 YES NO YES NO YES NO 數(shù)據(jù)包過濾技術(shù)通過檢查的范圍涉及網(wǎng)絡(luò)層、傳輸層和會 話層 ， 過濾匹配的原則除上述包頭信息外，有的還可以根據(jù) TCP序列號、 TCP連接的握手序列 (如 SYN, ACK)的邏輯分析來進行判斷，較為有效的抵御類似 IP Spoofing, Sync flooding等類型的攻擊。具體來說，路由器審查每個數(shù)據(jù)包以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于可以提供給 IP轉(zhuǎn)發(fā)過程的包頭信息。包的進入接口和出接口如果有匹配并且規(guī)則允許該數(shù)據(jù)包，那么該數(shù)據(jù)包就會按照路由表中的信息被轉(zhuǎn)發(fā)。如果匹配并且規(guī)則拒絕該數(shù)據(jù)包，那么該數(shù)據(jù)包就會被丟棄。如果沒有匹配原則，用戶配置的缺省參數(shù)會決定是轉(zhuǎn)發(fā)還是丟棄數(shù)據(jù)包。如圖 52所示，為過濾規(guī)則在路由器中的執(zhí)行過程。 過濾規(guī)則設(shè)計 為完成數(shù)據(jù) 包過濾，需設(shè)計一套過濾規(guī)則以規(guī)定什么類型的數(shù)據(jù)包被轉(zhuǎn)發(fā)或被丟棄。設(shè)計過濾規(guī)則的時候，我們應(yīng)注意以下三個概念 : . 全連接 (full association):描述了一個 TCP連接的完整信息，它可由一個五元組來定義 (協(xié)議類型、源 TP地址、源 TCP/UDP端口、目的 IP地址，目的 TCP/UDP 口 )。 分析分組的 IP,TCP,UCP 的頭域 分配下一個過濾規(guī) 如匹配則接受 如不匹配則拒絕 最后一條規(guī)則 轉(zhuǎn) 發(fā) 丟 棄 17 . 半連接 (half association):描述了連接的一端的信息，它可由一個三 元 組來定義 (協(xié)議類型、 IP地址、 TCP/UDP端口號 )。 . 端點 (endpoints)也稱為傳輸?shù)刂?，它由一個兩元組來定義 (IP地址， TCP/UDP端口號 )。 通過以上三個定義我們不難看出，過濾規(guī)則的設(shè)計主要依賴于數(shù)據(jù)包所提供的包頭信息。根據(jù)包頭信息，我們可以按 IP地址過濾，可以按封裝的協(xié)議類型過濾，也可以按端口號過濾甚至可以按 SYN/ACK信號來進行過濾。當然，也可以將上述幾種方式組合起來制定過濾規(guī)則。 有些類型的攻擊難以用基本分組頭信息加以鑒別，因為這些攻擊不屬于某種服務(wù)。防止這類攻擊，在過濾規(guī)則中應(yīng)檢查特定 IP選項、檢驗特殊片段偏移，下面是對幾種攻擊的對策 : .源 IP地址欺騙 :這類攻擊的形式是入侵者從偽裝成內(nèi)部主機的外部節(jié)點 傳送信息分組 。 只要在路由器的外部接口丟棄每個含有內(nèi)部 IP地址的分組即可 。 .源路由攻擊 :源站指定了一個信息分組穿越 INTERNET時應(yīng)走的路徑。只要丟棄所有 含有源路由選項的分組即可。 .IP殘片攻擊 。入侵者利用 IP殘片特性生成一個極少的片斷并將 TCP包頭信息支解 成一個分離的信息分組片斷。只要丟棄所有協(xié)議類型為 TCP,且 IP片斷偏移值為 1的信息分組即可。 對包過濾路由器的評價 包過濾路由器分組過濾簡單方便，對用戶透明，不需用戶認證 ， 易于安裝管理，由于工作在 IP層和 TCP/UDP層，且不必對所有信息流進行 審計和跟蹤，因此速度快。但正因為其沒有日志和審計功能，因此有很多信息不能提供，使得管理員不易對事件進行跟蹤檢查，有可能受到欺騙性攻擊。 基于代理的防火墻 基于代理的防火墻又分為電路層網(wǎng)關(guān)和應(yīng)用層網(wǎng)關(guān)兩種。電路層網(wǎng)關(guān)是一個特殊的功能，可以由應(yīng)用層網(wǎng)關(guān)來完成。電路層網(wǎng)關(guān)只依賴于 TCP連接，并不進行任何附加的包處理或過濾。電路層網(wǎng)關(guān)對 TCP連接實行中繼。調(diào)用者與網(wǎng)關(guān)的 TCP端口相連， TCP又連接到該網(wǎng)關(guān)另一邊的某一目的地址上。在調(diào)用期間，網(wǎng)關(guān)中繼程序復制往返的字節(jié)。 電路層網(wǎng)關(guān)常用于向外連接，這時網(wǎng) 絡(luò)管理員對其內(nèi)部用戶是信任的。他們的優(yōu)點是堡壘主機可以被設(shè)置成混合網(wǎng)關(guān)，對于內(nèi)連接支持應(yīng)用層網(wǎng)關(guān) (即代理服務(wù) ).而對外連接支持電路層功能。這樣使得防火墻系統(tǒng)對于要訪問 Inter服務(wù)的內(nèi)部人員來說使用起來很方便，同時又能提供保護內(nèi)部網(wǎng)絡(luò)免于外部攻擊 的防火墻功能。 應(yīng) 用層網(wǎng)關(guān)又被稱之為代理服務(wù)器。代理只對單個 (或很少一部分 )主機提供因特網(wǎng)訪問服務(wù)，盡管它看起來像是面對用戶所有的主機提供服務(wù)。具有訪問 Inter功能的主機充當沒有該功能的主機的代理人來完成這些機器想做的事。即代理是指代表內(nèi)部客戶端與外部 服務(wù)器通信的程序。如圖 53所示。代理服務(wù)在客戶和服務(wù)器建立連接期間同時充當客戶和服務(wù)器的角色 。 在連接建立起來后，對客戶端來說，與代理服務(wù)器交談就像與真實的服務(wù)器交談一樣，此時，代理服務(wù)扮演服務(wù)器的角色 。對真實的服務(wù)器來說，他是與一個運行在代理服務(wù)器上的用戶交談，他并不知道 18 用戶的真實所在，此時，代理服務(wù)扮演的是客戶端的角色。代理在發(fā)出請求的客戶和服務(wù)器之間復制數(shù)據(jù)，相當于一個中繼。 轉(zhuǎn)發(fā)請求 請求 轉(zhuǎn)發(fā)應(yīng)答 應(yīng)答 堡壘主機 由于客戶端和服務(wù)器之間傳輸 的數(shù)據(jù)均被代理截獲，從而它對會話具有完全的控制并可按需要進行詳細的日志記錄。同時 ,代理服務(wù)器所具有的網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT)功能可以屏蔽內(nèi)網(wǎng)的 IP地址，使 Intra的網(wǎng)絡(luò)拓撲結(jié)構(gòu)對外界 Inter來講是不可見的。 代理服務(wù)器必須為每一個網(wǎng)絡(luò)應(yīng)用服務(wù) (如 FTP,TELNET,HTTP等等 )運行一個相應(yīng)的專門開發(fā)的應(yīng)用代理服務(wù)器軟件，否則，該服務(wù)就不能通過代理服務(wù)器。因此，每出現(xiàn)一個新的協(xié)議，必須為之開發(fā)一個相應(yīng)的新的應(yīng)用代理程序。而且代理程序的使用，降低了透明性，同時，由于代理服務(wù)器是在基于協(xié)議的應(yīng)用 層工作，這會導致網(wǎng)絡(luò)性能有所下降。 防火墻的實現(xiàn)方式 前面我們對防火墻的兩種基本技術(shù)一包過濾和代理服務(wù)進行了詳細的討論。 這兩種技術(shù)各有優(yōu)缺點。所以，在實際使用時，出于對更高的安全性的要求，通常 把包過濾和代理服務(wù)技術(shù)結(jié)合起來使用，其基本的體系結(jié)構(gòu)有 . 雙宿主主機體系結(jié) 構(gòu) . 屏蔽主機體系結(jié)構(gòu) . 屏蔽子網(wǎng)體系結(jié)構(gòu) Sever Proxy client Proxy sever 訪問控制 client 堡壘主機對截獲的通信進行檢測、過濾并進行詳細的日記記錄 代理應(yīng)用程序 19 內(nèi) 網(wǎng) 雙 宿主主機體系結(jié)構(gòu) 雙宿主主機體系結(jié)構(gòu) 所謂多宿主主機是指具 有多個網(wǎng)絡(luò)接口卡的主機， 每個網(wǎng)卡都與網(wǎng)絡(luò)相連。 比 較常見的是雙宿主主機，其位于內(nèi)外網(wǎng)的連接處，兩塊網(wǎng)卡 ,一塊與外網(wǎng)相連 ， 一塊與內(nèi)網(wǎng)相連，如圖 54所示。該主機運行應(yīng)用代理程 序，充當內(nèi)、 外網(wǎng)的轉(zhuǎn)發(fā)器，但其關(guān)閉了正常的 IP路由功能，即數(shù)據(jù)包不能從一個網(wǎng)絡(luò)直接發(fā)送到另一個網(wǎng)絡(luò)，而是要通過運行在雙宿主主機上的代理服務(wù)程序來完成。 雙宿主主 機體系結(jié)構(gòu)在網(wǎng)絡(luò)結(jié)構(gòu)上簡單明了 ,易于實現(xiàn)，成本低，能為內(nèi)外網(wǎng)的通信提供較為完善的控制機制，如檢測、認證、日志等，而且對外隱藏了內(nèi)網(wǎng)的拓撲結(jié)構(gòu)，使得內(nèi)部 INTRANET對外是不可見的。同時，由于雙宿主主機擔任了內(nèi)、外網(wǎng)通信的橋梁，因此，當內(nèi)外網(wǎng)之間的信息量較大時，該主機將不可避免得成為此網(wǎng)絡(luò)通信的瓶頸。 屏蔽主機體系結(jié)構(gòu) NIC 代理服務(wù)程序 NIC 雙宿主機 Inter 20 防火墻 內(nèi)網(wǎng) 屏蔽主機體系結(jié)構(gòu) 屏蔽主機體系結(jié)構(gòu)由一臺 包過濾路由器和一臺堡壘主機構(gòu)成。包過濾路由 器位于內(nèi)外網(wǎng)的連接處，堡壘主機只有一塊網(wǎng)卡，位于內(nèi)部網(wǎng)內(nèi)。 在這種結(jié)構(gòu) 中，使得包過濾路由器面對外網(wǎng)，擔負主要的安全職責，而堡壘主機則僅提供面向應(yīng)用的代理服務(wù)。如圖所示，在屏蔽主機體系結(jié)構(gòu)中，數(shù)據(jù)流的方向是 :Inter?包過濾路由 器防火墻 ?堡壘主機 ?內(nèi)網(wǎng)其他主機?？梢?，在這里，由包過濾路由器執(zhí)行過濾規(guī)則，使堡壘主機成為內(nèi)網(wǎng)唯一能 與 Inter相連的主機，并拒絕內(nèi)網(wǎng)的其他主機對外直接通信，從而使 Inter上 符合轉(zhuǎn)發(fā)條件的數(shù)據(jù)統(tǒng)統(tǒng)轉(zhuǎn)發(fā)給堡壘主機，堡壘主機使用代理程序來進一步判斷這些來自外網(wǎng)的請求是否被允許。同理，內(nèi)網(wǎng)其他主機對外通信也必須先經(jīng)過堡壘主機的認證和代理，然后將其數(shù)據(jù)轉(zhuǎn)發(fā)給防火墻，通過防火墻的審查后發(fā)送至外網(wǎng)。 該體系結(jié)構(gòu)中，在包過濾路由器處出現(xiàn)一個失效節(jié)點，如包過濾路由器被損害，整個網(wǎng)絡(luò)對侵襲者是開放的。而且與雙宿主主機體系結(jié)構(gòu)一樣，如果侵襲者設(shè)法繞過防火墻侵入堡壘主機，則在堡壘主機和其余的內(nèi)部主機之間沒有任何保護網(wǎng)絡(luò)安全的東西存在。因此，人們又提出了屏蔽子網(wǎng)體系結(jié)構(gòu)。 屏蔽子網(wǎng)體系結(jié)構(gòu) 屏蔽子網(wǎng)體系結(jié)構(gòu)在屏蔽主機體系結(jié)構(gòu)基礎(chǔ)上增加 了一臺內(nèi)部包過濾路由器，堡壘主機 包過濾路由器 Inter 21 增設(shè)了一個周邊防御網(wǎng)段，用以進一步隔離內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)。 周邊防御網(wǎng)段是位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的另一層安全網(wǎng)段，分別由內(nèi)、外兩個包過濾路由器與之相連。周邊防御網(wǎng)段所構(gòu)成的子網(wǎng)又被稱為“非軍事區(qū)(Demi