防火墻技術(shù)的原理與應(yīng)用

1、防火墻技術(shù)的原理與應(yīng)用學(xué)習(xí)內(nèi)容 8.1 防火墻概述 8.2 防火墻技術(shù)與類(lèi)型 8.3 防火墻主要技術(shù)參數(shù) 8.4 防火墻防御體系結(jié)構(gòu)類(lèi)型 8.5 防火墻部署與應(yīng)用案例8.6 本章小結(jié) 本章思考與練習(xí) 2.8.1 防 火 墻 概 述 8.1.1 防火墻技術(shù)背景目前，各組織機(jī)構(gòu)都是通過(guò)便利的公共網(wǎng)絡(luò)與客戶(hù)、合作伙伴進(jìn)行信息交換的，但是，一些敏感的數(shù)據(jù)有可能泄露給第三方，特別是連上因特網(wǎng)的網(wǎng)絡(luò)將面臨黑客的攻擊和入侵。為了應(yīng)對(duì)網(wǎng)絡(luò)威脅，連網(wǎng)的機(jī)構(gòu)或公司將自己的網(wǎng)絡(luò)與公共的不可信任的網(wǎng)絡(luò)進(jìn)行隔離，其方法是根據(jù)網(wǎng)絡(luò)的安全信任程度和需要保護(hù)的對(duì)象，人為地劃分若干安全區(qū)域，這些安全區(qū)域有： 3.* 公共外部網(wǎng)

2、絡(luò)，如Internet。* 內(nèi)聯(lián)網(wǎng)(Intranet)，如某個(gè)公司或組織的專(zhuān)用網(wǎng)絡(luò)，網(wǎng)絡(luò)訪問(wèn)限制在組織內(nèi)部。* Extranet，是內(nèi)聯(lián)網(wǎng)的擴(kuò)展延伸，常用作組織與合作伙伴之間進(jìn)行通信。* 軍事緩沖區(qū)域，簡(jiǎn)稱(chēng)DMZ，該區(qū)域是介于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)段，常放置公共服務(wù)設(shè)備，向外提供信息服務(wù)。 4.在安全區(qū)域劃分的基礎(chǔ)上，通過(guò)一種網(wǎng)絡(luò)安全設(shè)備，控制安全區(qū)域間的通信，就能實(shí)現(xiàn)隔離有害通信的作用，進(jìn)而可以阻斷網(wǎng)絡(luò)攻擊。這種安全設(shè)備的功能類(lèi)似于防火使用的墻，因而人們就把這種安全設(shè)備俗稱(chēng)為“防火墻”，它一般安裝在不同的安全區(qū)域邊界處，用于網(wǎng)絡(luò)通信安全控制，由專(zhuān)用硬件或軟件系統(tǒng)組成。

3、防火墻工作原理防火墻是由一些軟、硬件組合而成的網(wǎng)絡(luò)訪問(wèn)控制器，它根據(jù)一定的安全規(guī)則來(lái)控制流過(guò)防火墻的網(wǎng)絡(luò)包，如禁止或轉(zhuǎn)發(fā)，能夠屏蔽被保護(hù)網(wǎng)絡(luò)內(nèi)部的信息、拓?fù)浣Y(jié)構(gòu)和運(yùn)行狀況，從而起到網(wǎng)絡(luò)安全屏障的作用。防火墻一般用來(lái)將內(nèi)部網(wǎng)絡(luò)與Internet或者其他外部網(wǎng)絡(luò)互相隔離，限制網(wǎng)絡(luò)互訪，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全，如圖8-1所示。 6.圖8-1 防火墻部署安裝示意圖 7.防火墻根據(jù)網(wǎng)絡(luò)包所提供的信息實(shí)現(xiàn)網(wǎng)絡(luò)通信訪問(wèn)控制：如果網(wǎng)絡(luò)通信包符合網(wǎng)絡(luò)訪問(wèn)控制策略，就允許該網(wǎng)絡(luò)通信包通過(guò)防火墻，否則不允許，如圖8-2所示。防火墻的安全策略有兩種類(lèi)型，即：(1) 只允許符合安全規(guī)則的包通過(guò)防火墻，其他通信包禁止。(2)

4、 禁止與安全規(guī)則相沖突的包通過(guò)防火墻，其他通信包都允許。 8.圖8-2 防火墻工作示意圖 9.防火墻簡(jiǎn)單的可以用路由器、交換機(jī)實(shí)現(xiàn)，復(fù)雜的就要用一臺(tái)計(jì)算機(jī)，甚至一組計(jì)算機(jī)實(shí)現(xiàn)。按照TCP/IP協(xié)議的層次，防火墻的訪問(wèn)控制可以作用于網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層，首先依據(jù)各層所包含的信息判斷是否遵循安全規(guī)則，然后控制網(wǎng)絡(luò)通信連接，如禁止、允許。防火墻簡(jiǎn)化了網(wǎng)絡(luò)的安全管理。如果沒(méi)有它，網(wǎng)絡(luò)中的每個(gè)主機(jī)都處于直接受攻擊的范圍之內(nèi)。為了保護(hù)主機(jī)的安全，就必須在每臺(tái)主機(jī)上安裝安全軟件，并對(duì)每臺(tái)主機(jī)都要定時(shí)檢查和配置更新。歸納起來(lái)，防火墻的功能有：* 過(guò)濾非安全網(wǎng)絡(luò)訪問(wèn)。將防火墻設(shè)置為只有預(yù)先被允許的

5、服務(wù)和用戶(hù)才能通過(guò)防火墻，禁止未授權(quán)的用戶(hù)訪問(wèn)受保護(hù)的網(wǎng)絡(luò)，降低被保護(hù)網(wǎng)絡(luò)受非法攻擊的風(fēng)險(xiǎn)。 10.* 限制網(wǎng)絡(luò)訪問(wèn)。防火墻只允許外部網(wǎng)絡(luò)訪問(wèn)受保護(hù)網(wǎng)絡(luò)的指定主機(jī)或網(wǎng)絡(luò)服務(wù)，通常受保護(hù)網(wǎng)絡(luò)中的Mail、FTP、WWW服務(wù)器等可讓外部網(wǎng)絡(luò)訪問(wèn)，而其他類(lèi)型的訪問(wèn)則予以禁止。防火墻也用來(lái)限制受保護(hù)網(wǎng)絡(luò)中的主機(jī)訪問(wèn)外部網(wǎng)絡(luò)的某些服務(wù)，例如某些不良網(wǎng)址。* 網(wǎng)絡(luò)訪問(wèn)審計(jì)。防火墻是外部網(wǎng)絡(luò)與受保護(hù)網(wǎng)絡(luò)之間的惟一網(wǎng)絡(luò)通道，可以記錄所有通過(guò)它的訪問(wèn)并提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。依據(jù)防火墻的日志，可以掌握網(wǎng)絡(luò)的使用情況，例如網(wǎng)絡(luò)通信帶寬和訪問(wèn)外部網(wǎng)絡(luò)的服務(wù)數(shù)據(jù)。防火墻的日志也可用于入侵檢測(cè)和網(wǎng)絡(luò)攻擊取證。 11

6、.* 網(wǎng)絡(luò)帶寬控制。防火墻可以控制網(wǎng)絡(luò)帶寬的分配使用，實(shí)現(xiàn)部分網(wǎng)絡(luò)質(zhì)量服務(wù)(QoS)保障。* 協(xié)同防御。目前，防火墻和入侵檢測(cè)系統(tǒng)通過(guò)交換信息實(shí)現(xiàn)聯(lián)動(dòng)，根據(jù)網(wǎng)絡(luò)的實(shí)際情況配置并修改安全策略，增強(qiáng)網(wǎng)絡(luò)安全。 防火墻缺陷盡管防火墻有許多防范功能，但它也有一些力不能及的地方，因?yàn)榉阑饓χ荒軐?duì)通過(guò)它的網(wǎng)絡(luò)通信包進(jìn)行訪問(wèn)控制，所以對(duì)未經(jīng)過(guò)它的網(wǎng)絡(luò)通信就無(wú)能為力了。例如，如果允許從內(nèi)部網(wǎng)絡(luò)直接撥號(hào)訪問(wèn)外部網(wǎng)絡(luò)，則防火墻就失效了，攻擊者通過(guò)用戶(hù)撥號(hào)連接直接訪問(wèn)內(nèi)部網(wǎng)絡(luò)，繞過(guò)防火墻控制，也能造成潛在的攻擊途徑。 13.除此之外，防火墻還有一些脆弱點(diǎn)，例如:* 防火墻不能完全防止感染病毒的軟件

7、或文件傳輸。防火墻是網(wǎng)絡(luò)通信的瓶頸，因?yàn)橐延械牟《?、操作系統(tǒng)以及加密和壓縮二進(jìn)制文件的種類(lèi)太多，以致于不能指望防火墻逐個(gè)掃描每個(gè)文件查找病毒，而只能在每臺(tái)主機(jī)上安裝反病毒軟件。* 防火墻不能防止基于數(shù)據(jù)驅(qū)動(dòng)式的攻擊。當(dāng)有些表面看來(lái)無(wú)害的數(shù)據(jù)被郵寄或復(fù)制到主機(jī)上并被執(zhí)行而發(fā)起攻擊時(shí)，就會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)攻擊效果。防火墻對(duì)此無(wú)能為力。* 防火墻不能完全防止后門(mén)攻擊。防火墻是粗粒度的網(wǎng)絡(luò)訪問(wèn)控制，某些基于網(wǎng)絡(luò)隱蔽通道的后門(mén)能繞過(guò)防火墻的控制，例如http tunnel等。 14.8.2 防火墻技術(shù)與類(lèi)型 8.2.1 包過(guò)濾包過(guò)濾是在IP層實(shí)現(xiàn)的防火墻技術(shù)。包過(guò)濾根據(jù)包的源IP地址、目的IP地址、源端口、

8、目的端口及包傳遞方向等包頭信息判斷是否允許包通過(guò)。此外，還有一種可以分析包中數(shù)據(jù)區(qū)內(nèi)容的智能型包過(guò)濾器。基于包過(guò)濾技術(shù)的防火墻，簡(jiǎn)稱(chēng)包過(guò)濾型防火墻，英文表示就是Packet Filter，其工作機(jī)制如圖8-3所示。 15.圖8-3 包過(guò)濾工作機(jī)制 16.目前，包過(guò)濾是防火墻的基本功能之一。多數(shù)現(xiàn)代的IP路由軟件或設(shè)備都支持包過(guò)濾功能，并默認(rèn)轉(zhuǎn)發(fā)所有的包。ipf、ipfw、ipfwadm是有名的自由過(guò)濾軟件，可以運(yùn)行在Linux操作系統(tǒng)平臺(tái)上。包過(guò)濾的控制依據(jù)是規(guī)則集，典型的過(guò)濾規(guī)則表示格式由規(guī)則號(hào)、匹配條件、匹配操作三部分組成，包過(guò)濾規(guī)則格式隨所使用的軟件或防火墻設(shè)備的不同而略有差異，但一般的

9、包過(guò)濾防火墻都用源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)、協(xié)議類(lèi)型(UDP，TCP，ICMP)、通信方向及規(guī)則運(yùn)算符來(lái)描述過(guò)濾規(guī)則條件。而匹配操作有拒絕、轉(zhuǎn)發(fā)、審計(jì)等三種。表8-1是包過(guò)濾型防火墻過(guò)濾規(guī)則表，這些規(guī)則的作用在于只允許內(nèi)、外網(wǎng)的郵件通信，其他的通信都禁止。 17.表8-1 防火墻過(guò)濾規(guī)則表 18.包過(guò)濾型防火墻對(duì)用戶(hù)透明，合法用戶(hù)在進(jìn)出網(wǎng)絡(luò)時(shí)，感覺(jué)不到它的存在，使用起來(lái)很方便。在實(shí)際網(wǎng)絡(luò)安全管理中，包過(guò)濾技術(shù)經(jīng)常用來(lái)進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制。下面以Cisco IOS為例，說(shuō)明包過(guò)濾器的作用。Cisco IOS有兩種訪問(wèn)規(guī)則形式，即標(biāo)準(zhǔn)IP訪問(wèn)表和擴(kuò)展IP訪問(wèn)表，它們的區(qū)別主要是訪問(wèn)

10、控制的條件不一樣。標(biāo)準(zhǔn)IP訪問(wèn)表只是根據(jù)IP包的源地址進(jìn)行。標(biāo)準(zhǔn)IP訪問(wèn)控制規(guī)則的格式如下：assess-list list-mumberdeny|pernitsourcesource-wildcardlog 19.而擴(kuò)展IP訪問(wèn)規(guī)則的格式是:assess-list list-mumberdeny|pernitprotocolsource source-wildcard source-qualifiersdestination destination-wildcard destination-qualifierslog|log-input其中：* 標(biāo)準(zhǔn)IP訪問(wèn)控制規(guī)則的list-number

11、規(guī)定為199，而擴(kuò)展IP訪問(wèn)規(guī)則的list-number規(guī)定為100199； 20.* deny表示若經(jīng)過(guò)Cisco IOS過(guò)濾器的包條件匹配，則禁止該包通過(guò)；* permit表示若經(jīng)過(guò)Cisco IOS過(guò)濾器的包條件匹配，則允許該包通過(guò)；* source表示來(lái)源的IP地址；* source-wildcard 表示發(fā)送數(shù)據(jù)包的主機(jī)IP地址的通配符掩碼，其中1代表“忽略”，0代表“需要匹配”，any代表任何來(lái)源的IP包；* destination表示目的IP地址；* destination-wildcard 表示接收數(shù)據(jù)包的主機(jī)IP地址的通配符掩碼；* protocol 表示協(xié)議選項(xiàng)，如IP、I

12、CMP、UDP、TCP等；* log 表示記錄符合規(guī)則條件的網(wǎng)絡(luò)包。 21.下面給出一個(gè)例子，用Cisco路由器防止DDoS攻擊，配置信息如下：! the TRINOO DDoS systemsaccess-list 170 deny tcp any any eq 27665 logaccess-list 170 deny udp any any eq 31335 logaccess-list 170 deny udp any any eq 27444 log! the Stacheldraht DDoS systemsaccess-list 170 deny tcp any any eq 1

13、6660 logaccess-list 170 deny tcp any any eq 65000 log! the TrinityV3 systems 22.access-list 170 deny tcp any any eq 33270 logaccess-list 170 deny tcp any any eq 39268 log! the Subseven systems and some variantsaccess-list 170 deny tcp any any range 6711 6712 logaccess-list 170 deny tcp any any eq 67

14、76 logaccess-list 170 deny tcp any any eq 6669 logaccess-list 170 deny tcp any any eq 2222 logaccess-list 170 deny tcp any any eq 7000 log 23.簡(jiǎn)而言之，包過(guò)濾成為當(dāng)前解決網(wǎng)絡(luò)安全問(wèn)題的重要技術(shù)之一，不僅可以用在網(wǎng)絡(luò)邊界上，而且也可應(yīng)用在單臺(tái)主機(jī)上。例如，現(xiàn)在的個(gè)人防火墻以及Windows 2000和Windows XP都提供了對(duì)TCP、UDP等協(xié)議的過(guò)濾支持，用戶(hù)可以根據(jù)自己的安全需求，通過(guò)過(guò)濾規(guī)則的配置來(lái)限制外部對(duì)本機(jī)的訪問(wèn)。圖8-4是利用Window

15、s 2000系統(tǒng)自帶的包過(guò)濾功能對(duì)139端口進(jìn)行過(guò)濾，這樣可以阻止基于RPC的漏洞攻擊。 24.圖8-4 Windows 2000過(guò)濾配置示意圖 25.包過(guò)濾防火墻技術(shù)的優(yōu)點(diǎn)是低負(fù)載、高通過(guò)率、對(duì)用戶(hù)透明；但是包過(guò)濾技術(shù)的弱點(diǎn)是不能在用戶(hù)級(jí)別進(jìn)行過(guò)濾，如不能識(shí)別不同的用戶(hù)和防止IP地址的盜用。如果攻擊者把自己主機(jī)的IP地址設(shè)置成一個(gè)合法主機(jī)的IP地址，就可以輕易通過(guò)包過(guò)濾器。 應(yīng)用服務(wù)代理應(yīng)用服務(wù)代理防火墻扮演著受保護(hù)網(wǎng)絡(luò)的內(nèi)部網(wǎng)主機(jī)和外部網(wǎng)絡(luò)主機(jī)的網(wǎng)絡(luò)通信連接“中間人”的角色，代理防火墻代替受保護(hù)網(wǎng)絡(luò)的主機(jī)向外部網(wǎng)絡(luò)發(fā)送服務(wù)請(qǐng)求，并將外部服務(wù)請(qǐng)求響應(yīng)的結(jié)果返回給受保護(hù)網(wǎng)絡(luò)的

16、主機(jī)，如圖8-5所示。 27.圖8-5 代理服務(wù)工作流程示意圖 28.采用代理服務(wù)技術(shù)的防火墻簡(jiǎn)稱(chēng)代理服務(wù)器，它能夠提供在應(yīng)用級(jí)的網(wǎng)絡(luò)安全訪問(wèn)控制。代理服務(wù)器按照所代理的服務(wù)可以分為FTP代理、TELENET、HTTP代理、SOCKET代理、郵件代理等。代理服務(wù)器通常由一組按應(yīng)用分類(lèi)的代理服務(wù)程序和身份驗(yàn)證服務(wù)程序構(gòu)成。每個(gè)代理服務(wù)程序應(yīng)用到一個(gè)指定的網(wǎng)絡(luò)端口，代理客戶(hù)程序通過(guò)該端口獲得相應(yīng)的代理服務(wù)。例如，IE瀏覽器支持多種代理配置，包括HTTP、FTP、SOCKs等，如圖8-6所示。 29.圖8-6 IE瀏覽器配置示意圖 30.代理服務(wù)技術(shù)也是常用的防火墻技術(shù)，安全管理員為了對(duì)內(nèi)部網(wǎng)絡(luò)用戶(hù)

17、進(jìn)行應(yīng)用級(jí)上的訪問(wèn)控制，常安裝代理服務(wù)器，如圖8-7所示。受保護(hù)內(nèi)部用戶(hù)對(duì)外部網(wǎng)絡(luò)訪問(wèn)時(shí)，首先需要通過(guò)代理服務(wù)器的認(rèn)可，才能向外提出請(qǐng)求，而外網(wǎng)的用戶(hù)只能看到代理服務(wù)器，從而隱藏了受保護(hù)網(wǎng)的內(nèi)部結(jié)構(gòu)及用戶(hù)的計(jì)算機(jī)信息。因而，代理服務(wù)器可以提高網(wǎng)絡(luò)系統(tǒng)的安全性。應(yīng)用服務(wù)代理技術(shù)的優(yōu)點(diǎn)是： 31.圖8-7 代理服務(wù)器工作示意圖 32.* 不允許外部主機(jī)直接訪問(wèn)內(nèi)部主機(jī)；* 支持多種用戶(hù)認(rèn)證方案；* 可以分析數(shù)據(jù)包內(nèi)部的應(yīng)用命令；* 可以提供詳細(xì)的審計(jì)記錄。而它的缺點(diǎn)是：* 速度比包過(guò)濾慢；* 對(duì)用戶(hù)不透明；* 與特定應(yīng)用協(xié)議相關(guān)聯(lián)，代理服務(wù)器并不能支持所有的網(wǎng)絡(luò)協(xié)議。 網(wǎng)絡(luò)地址轉(zhuǎn)

18、換NAT是“Network Address Translation”的英文縮寫(xiě)，中文的意思是“網(wǎng)絡(luò)地址轉(zhuǎn)換”。NAT技術(shù)主要是為了解決公開(kāi)地址不足而出現(xiàn)的，它可以緩解少量因特網(wǎng)IP地址和大量主機(jī)之間的矛盾。但NAT技術(shù)用在網(wǎng)絡(luò)安全應(yīng)用方面，則能透明地對(duì)所有內(nèi)部地址作轉(zhuǎn)換，使外部網(wǎng)絡(luò)無(wú)法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，從而提高內(nèi)部網(wǎng)絡(luò)的安全性?；贜AT技術(shù)的防火墻上裝有一個(gè)合法的IP地址集，當(dāng)內(nèi)部某一用戶(hù)訪問(wèn)外網(wǎng)時(shí)，防火墻動(dòng)態(tài)地從地址集中選一個(gè)未分配的地址分配給該用戶(hù)，該用戶(hù)即可使用這個(gè)合法地址進(jìn)行通信。34.實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換的方式有：靜態(tài)NAT(staticNAT)、NAT池(pooledNAT)和

19、端口NAT(PAT)三種類(lèi)型。其中，靜態(tài)NAT設(shè)置起來(lái)最為簡(jiǎn)單，此時(shí)內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址。而NAT池則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。PAT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上。NAT的三種方式目前已被許多的路由器產(chǎn)品支持。在路由器上定義啟用NAT的一般步驟如下： 35.第一步，確定使用NAT的接口，通常將連接到內(nèi)部網(wǎng)絡(luò)的接口設(shè)定為NAT內(nèi)部接口，將連接到外網(wǎng)的接口設(shè)定為NAT的外部接口。第二步，設(shè)定內(nèi)部全局地址的轉(zhuǎn)換地址及轉(zhuǎn)換方式。第三步，根據(jù)需要將外部全局地址轉(zhuǎn)換為外部本地地址。目前，專(zhuān)用的防

20、火墻產(chǎn)品都支持地址轉(zhuǎn)換技術(shù)，比較常見(jiàn)的有：IP-Filter和iptable。IP-Filter的功能強(qiáng)大，它可完成ipfwadm、ipchains、ipfw等防火墻的功能，而且安裝配置相對(duì)比較簡(jiǎn)單。 36.8.3 防火墻主要技術(shù)參數(shù) 8.3.1 防火墻功能指標(biāo)防火墻主要功能類(lèi)指標(biāo)項(xiàng)如表8-2所示。 37.表8-2 防火墻主要功能類(lèi)指標(biāo)項(xiàng) 防火墻性能指標(biāo)評(píng)估防火墻性能指標(biāo)涉及到防火墻所采用的技術(shù)，根據(jù)現(xiàn)有防火墻產(chǎn)品，防火墻在性能方面的指標(biāo)主要有：* 最大吞吐量：檢查防火墻在只有一條默認(rèn)允許規(guī)則和不丟包的情況下達(dá)到的最大吞吐速率。* 轉(zhuǎn)送速率：檢查防火墻在通常安全規(guī)則發(fā)生作用的

21、情況下，能以多快的速度轉(zhuǎn)送正常的網(wǎng)絡(luò)通信量。* 最大規(guī)則數(shù)：檢查在添加大數(shù)量訪問(wèn)規(guī)則的情況下，防火墻的性能變化狀況。* 并發(fā)連接數(shù)：防火墻在單位時(shí)間內(nèi)所能建立的最大TCP 連接數(shù)，即每秒的連接數(shù)。 防火墻安全指標(biāo)由于防火墻在網(wǎng)絡(luò)安全中扮演著重要的角色，因此防火墻的自身安全至關(guān)重要。當(dāng)前，評(píng)價(jià)防火墻的安全功能的指標(biāo)主要有：* 入侵實(shí)時(shí)警告：防火墻能夠?qū)ψ陨砗褪鼙Ｗo(hù)網(wǎng)絡(luò)的非法攻擊進(jìn)行多種告警，如聲音、日志、郵件、呼機(jī)、手機(jī)等。* 實(shí)時(shí)入侵防范：提供實(shí)時(shí)入侵響應(yīng)功能，當(dāng)發(fā)生入侵事件時(shí)，防火墻能夠動(dòng)態(tài)響應(yīng)，調(diào)整安全策略，阻擋惡意報(bào)文。 40.* 抗攻擊性要求：防火墻具有抵抗針對(duì)本身和

22、受保護(hù)網(wǎng)絡(luò)的攻擊能力，這些攻擊包括IP地址欺騙、拒絕服務(wù)攻擊、滲透性攻擊等。* 防火墻所采用的操作系統(tǒng)應(yīng)是安全可信的：防火墻應(yīng)采用安全的操作系統(tǒng)或安全增強(qiáng)型的操作系統(tǒng)。 41.8.4 防火墻防御體系結(jié)構(gòu)類(lèi)型8.4.1 基于雙宿主主機(jī)防火墻結(jié)構(gòu)基于雙宿主主機(jī)結(jié)構(gòu)是最基本的防火墻系統(tǒng)結(jié)構(gòu)。這種系統(tǒng)實(shí)質(zhì)上是至少具有兩個(gè)網(wǎng)絡(luò)接口卡的主機(jī)系統(tǒng)。在這種結(jié)構(gòu)中，一般都是將一個(gè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分別連接在不同的網(wǎng)卡上，使內(nèi)外網(wǎng)絡(luò)不能直接通信。對(duì)從一塊網(wǎng)卡上送來(lái)的IP包，經(jīng)過(guò)一個(gè)安全檢查模塊檢查后，如果是合法的，則轉(zhuǎn)發(fā)到另一塊網(wǎng)卡上，以實(shí)現(xiàn)網(wǎng)絡(luò)的正常通信；如果不合法，則阻止通信。這樣，內(nèi)外網(wǎng)絡(luò)直接的IP數(shù)據(jù)流完

23、全在雙宿主主機(jī)的控制之中，如圖8-8所示。 42.圖8-8 雙宿主主機(jī)防火墻結(jié)構(gòu) 基于代理型防火墻結(jié)構(gòu)雙宿主主機(jī)結(jié)構(gòu)由一臺(tái)同時(shí)連接內(nèi)外網(wǎng)絡(luò)的主機(jī)提供安全保障，代理型結(jié)構(gòu)則不同。代理型結(jié)構(gòu)中由一臺(tái)主機(jī)同外部網(wǎng)連接，該主機(jī)代理內(nèi)部網(wǎng)和外部網(wǎng)的通信。同時(shí)，代理型結(jié)構(gòu)中還包括過(guò)濾路由器，即代理服務(wù)器和路由器共同構(gòu)建了一個(gè)網(wǎng)絡(luò)安全邊界防御架構(gòu)，如圖8-9所示。 44.圖8-9 代理型防火墻結(jié)構(gòu) 45.在這種結(jié)構(gòu)中，代理主機(jī)位于內(nèi)部網(wǎng)絡(luò)。一般情況下，過(guò)濾路由器可按如下規(guī)則進(jìn)行配置：* 允許其他內(nèi)部主機(jī)為某些類(lèi)型的服務(wù)請(qǐng)求與外部網(wǎng)絡(luò)建立直接連接。* 任何外部網(wǎng)(或Internet)的主機(jī)只

24、能與內(nèi)部網(wǎng)絡(luò)的代理主機(jī)建立連接。* 任何外部系統(tǒng)對(duì)內(nèi)部網(wǎng)絡(luò)的操作都必須經(jīng)過(guò)代理主機(jī)。同時(shí)，代理主機(jī)本身要求要有較全面的安全保護(hù)。 46.由于這種結(jié)構(gòu)允許包從外部網(wǎng)絡(luò)直接傳送到內(nèi)部網(wǎng)(代理主機(jī))，因此這種結(jié)構(gòu)的安全控制看起來(lái)似乎比雙宿主主機(jī)結(jié)構(gòu)差。在雙宿主主機(jī)結(jié)構(gòu)中，外部網(wǎng)絡(luò)的包理論上不可能直接抵達(dá)內(nèi)部網(wǎng)。但實(shí)際上，應(yīng)用雙宿主主機(jī)結(jié)構(gòu)防護(hù)數(shù)據(jù)包從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)也很容易失敗，并且這種失敗是隨機(jī)的，所以無(wú)法有效地預(yù)先防范。一般來(lái)說(shuō)，代理型結(jié)構(gòu)比雙宿主主機(jī)結(jié)構(gòu)能提供更好的安全保護(hù)，同時(shí)操作也更加簡(jiǎn)便。代理型結(jié)構(gòu)的主要缺點(diǎn)是，只要攻擊者設(shè)法攻破了代理主機(jī)，那么對(duì)于攻擊者來(lái)說(shuō)，整個(gè)內(nèi)部網(wǎng)絡(luò)與代理主機(jī)

25、之間就沒(méi)有任何障礙了，攻擊者變成了內(nèi)部合法用戶(hù)，完全可以偵聽(tīng)到內(nèi)部網(wǎng)絡(luò)上的所有信息。 基于屏蔽子網(wǎng)的防火墻結(jié)構(gòu)如圖8-10所示，子網(wǎng)過(guò)濾結(jié)構(gòu)是在代理型結(jié)構(gòu)中增加了一層周邊網(wǎng)絡(luò)的安全機(jī)制，使內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)有兩層隔離帶。周邊網(wǎng)絡(luò)隔離堡壘主機(jī)與內(nèi)部網(wǎng)，減輕攻擊者攻破堡壘主機(jī)時(shí)對(duì)內(nèi)部網(wǎng)絡(luò)的沖擊力。攻擊者即使攻破了堡壘主機(jī)，也不能偵聽(tīng)到內(nèi)部網(wǎng)絡(luò)的信息，不能對(duì)內(nèi)部網(wǎng)絡(luò)直接操作?；谄帘巫泳W(wǎng)的防火墻結(jié)構(gòu)的特點(diǎn)是：* 應(yīng)用代理位于被屏蔽子網(wǎng)中，內(nèi)部網(wǎng)絡(luò)向外公開(kāi)的服務(wù)器也放在被屏蔽子網(wǎng)中，外部網(wǎng)絡(luò)只能訪問(wèn)被屏蔽子網(wǎng)，不能直接進(jìn)入內(nèi)部網(wǎng)絡(luò)。 48.* 兩個(gè)包過(guò)濾路由器的功能和配置是不同的，包

26、過(guò)濾路由器A的作用是過(guò)濾外部網(wǎng)絡(luò)對(duì)被屏蔽子網(wǎng)的訪問(wèn)。包過(guò)濾路由器B的作用是過(guò)濾被屏蔽子網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)。所有外部網(wǎng)絡(luò)經(jīng)由被屏蔽子網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，都必須經(jīng)過(guò)代理服務(wù)器的檢查和認(rèn)證。* 優(yōu)點(diǎn)：安全級(jí)別最高。* 缺點(diǎn)：成本高，配置復(fù)雜。 49.圖8-10 屏蔽子網(wǎng)防火墻結(jié)構(gòu) 50.8.5 防火墻部署與應(yīng)用案例 8.5.1 防火墻部署的基本方法與步驟防火墻部署是指根據(jù)受保護(hù)的網(wǎng)絡(luò)環(huán)境和安全策略，如網(wǎng)絡(luò)物理結(jié)構(gòu)或邏輯區(qū)域，將防火墻安裝在網(wǎng)絡(luò)系統(tǒng)中的過(guò)程。防火墻部署的基本過(guò)程包含以下幾個(gè)步驟：第一步，根據(jù)組織或公司的安全策略要求，將網(wǎng)絡(luò)劃分成若干安全區(qū)域；第二步，在安全區(qū)域之間設(shè)置針對(duì)網(wǎng)絡(luò)通信的訪問(wèn)

27、控制點(diǎn)；第三步，針對(duì)不同訪問(wèn)控制點(diǎn)的通信業(yè)務(wù)需求，制定相應(yīng)的邊界安全策略； 51.第四步，依據(jù)控制點(diǎn)的邊界安全策略，采用合適的防火墻技術(shù)和防范結(jié)構(gòu)；第五步，在防火墻上，配置實(shí)現(xiàn)對(duì)應(yīng)的邊界安全策略；第六步，測(cè)試并驗(yàn)證邊界安全策略是否正常執(zhí)行。第七步，運(yùn)行和維護(hù)防火墻。 基于Cisco路由器的安全應(yīng)用案例 圖8-11 某公司的網(wǎng)絡(luò)結(jié)構(gòu) 53.為了保證內(nèi)部網(wǎng)絡(luò)和路由器的安全，特定義如下安全策略：* 只允許指定的主機(jī)收集SNMP管理信息；* 禁止來(lái)自外部網(wǎng)絡(luò)的非法通信流通過(guò)；* 禁止來(lái)自?xún)?nèi)部網(wǎng)絡(luò)的非法通信流通過(guò)；* 只允許指定的主機(jī)遠(yuǎn)程訪問(wèn)路由器。 54.Cisco 路由器的安全配置

28、信息如下：Hostname East!interface Ethernet 0 description Outside interface to the /16 networkip address0 ip access-group 100 in!interface Ethernet 1 description Inside interface to the /24 network ip address 55.0 ip access-group 102 in 55.!router ospf 44network 55 area 0network 55 area 1! access-list 75

29、applies to hosts allowed to gather SNMP info! from this routerno access-list 75access-list 75 permit host access-list 75 permit host 8! 56.! access-list 100 applies to traffic from external networks! to the internal network or to the routerno access-list 100access-list 100 deny ip 55 any logaccess-l

30、ist 100 deny ip host 0 host 0 logaccess-list 100 deny ip 55any logaccess-list 100 deny ip 55any log57.access-list 100 deny ip 55 any logaccess-list 100 deny ip 55 any log access-list 100 deny ip 55 any logaccess-list 100 deny ip 55 any logaccess-list 100 deny ip 55 any logaccess-list 100 deny ip 55a

31、ny logaccess-list 100 deny ip any host 55 logaccess-list 100 deny ip any host logaccess-list 100 permit tcp any 55 establishedaccess-list 100 deny icmp any any echo log access-list 100 deny icmp any any redirect log 58.access-list 100 deny icmp any any mask-request logaccess-list 100 permit icmp any

32、 55access-list 100 permit ospf 55 host 0access-list 100 deny tcp any any range 6000 6063 logaccess-list 100 deny tcp any any eq 6667 log access-list 100 deny tcp any any range 12345 12346 logaccess-list 100 deny tcp any any eq 31337 log access-list 100 permit tcp any eq20 55 gt 1023access-list 100 d

33、eny udp any any eq 2049 log access-list 100 deny udp any any eq 31337 log 59.access-list 100 deny udp any any range 33400 34400 logaccess-list 100 permit udp any eq 53 55 gt 1023access-list 100 deny tcp any range 0 65535 any range 0 65535 logaccess-list 100 deny udp any range 0 65535 any range 0 655

34、35 logaccess-list 100 deny ip any any log! access-list 102 applies to traffic from the internal network! to external networks or to the router itselfno access-list 102 access-list 102 deny ip host 50 host 50 logaccess-list 102 permit icmp 55 any echo access-list 102 permit icmp 55 any parameter-prob

35、lem 60.access-list 102 permit icmp 55 any packet-too-bigaccess-list 102 permit icmp 55 any source-quenchaccess-list 102 deny tcp any any range 1 19 logaccess-list 102 deny tcp any any eq 43 logaccess-list 102 deny tcp any any eq 93 logaccess-list 102 deny tcp any any range 135 139 logaccess-list 102 deny tcp any any eq 445 l