k第十一周-防火墻技術(shù)

1ServerClient防火墻（Firewall）注解：防火墻類(lèi)似一堵城墻，將服務(wù)器與客戶(hù)主機(jī)進(jìn)行物理隔離，并在此基礎(chǔ)上實(shí)現(xiàn)服務(wù)器與客戶(hù)主機(jī)之間的授權(quán)互訪、互通等功能。2防火墻技術(shù)防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域（公共網(wǎng)和企業(yè)內(nèi)部網(wǎng)）之間的一系列部件的組合。它是不同網(wǎng)絡(luò)（安全域）之間的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有很高的抗攻擊能力，它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施?；竟ぷ髟硎窃诳尚湃尉W(wǎng)絡(luò)的邊界上建立起網(wǎng)絡(luò)控制系統(tǒng)隔離內(nèi)部和外部網(wǎng)絡(luò)執(zhí)行訪問(wèn)控制策略防止外部的未授權(quán)節(jié)點(diǎn)訪問(wèn)內(nèi)部網(wǎng)絡(luò)和非法向外傳遞內(nèi)部信息防火墻基本功能模塊應(yīng)用程序代理包過(guò)濾&狀態(tài)檢測(cè)用戶(hù)認(rèn)證NATVPN日志IDS與報(bào)警內(nèi)容過(guò)濾防火墻技術(shù)4防火墻相關(guān)概念堡壘主機(jī)：是指一個(gè)計(jì)算機(jī)系統(tǒng)，它對(duì)外部網(wǎng)絡(luò)（互聯(lián)網(wǎng)絡(luò)）暴露，同時(shí)又是內(nèi)部網(wǎng)絡(luò)用戶(hù)的主要連接點(diǎn)，所以非常容易被侵入，因此這個(gè)系統(tǒng)需要嚴(yán)加保護(hù)。雙宿主主機(jī)：具有至少兩個(gè)網(wǎng)絡(luò)接口的通用計(jì)算機(jī)系統(tǒng)。包過(guò)濾：設(shè)備對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行有選擇的控制與操作。參數(shù)網(wǎng)絡(luò)：為了增加一層安全控制，而在外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間增加的一個(gè)網(wǎng)絡(luò)。參數(shù)網(wǎng)絡(luò)有時(shí)也被稱(chēng)為?；饚?。代理服務(wù)器：代表內(nèi)部網(wǎng)絡(luò)用戶(hù)與外部網(wǎng)絡(luò)服務(wù)器進(jìn)行信息交換的程序。它將內(nèi)部用戶(hù)的請(qǐng)求送達(dá)外部服務(wù)器，同時(shí)將外部服務(wù)器的響應(yīng)再回送給用戶(hù)。5防火墻的分類(lèi)按實(shí)現(xiàn)設(shè)備分類(lèi)軟件防火墻、硬件防火墻、芯片級(jí)防火墻按網(wǎng)絡(luò)體系結(jié)構(gòu)分類(lèi)工作在OSI參考模型中的不同位置最常見(jiàn)：網(wǎng)絡(luò)層：包過(guò)濾防火墻應(yīng)用層：代理服務(wù)器按應(yīng)用技術(shù)分類(lèi)包過(guò)濾防火墻、代理服務(wù)器、電路級(jí)網(wǎng)關(guān)按拓?fù)浣Y(jié)構(gòu)分類(lèi)雙宿主主機(jī)防火墻、屏蔽主機(jī)防火墻、屏蔽子網(wǎng)防火墻。6防火墻技術(shù)內(nèi)容－分組過(guò)濾應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層外部網(wǎng)絡(luò)主機(jī)內(nèi)部網(wǎng)絡(luò)主機(jī)分組過(guò)濾型防火墻包過(guò)濾模型

包過(guò)濾防火墻8包過(guò)濾防火墻工作在網(wǎng)絡(luò)層（IP

層）根據(jù)過(guò)濾規(guī)則和安全策略，逐個(gè)檢查IP

包（TCP包、UDP包），確定是否允許通過(guò)優(yōu)點(diǎn)對(duì)應(yīng)用透明，合法建立的連接不被中斷。速度快、效率高。安全性級(jí)別低：不能識(shí)別高層信息、容易受到欺騙配置簡(jiǎn)單，但要求有一定專(zhuān)業(yè)知識(shí)例子：只允許telnet的出站規(guī)則類(lèi)比：天網(wǎng)個(gè)人防火墻、金山網(wǎng)鏢的包過(guò)濾規(guī)則天網(wǎng)個(gè)人防火墻中的IP規(guī)則及規(guī)則的設(shè)置界面包過(guò)濾一般要檢查下面幾項(xiàng)：（1）IP源地址；（2）IP目的地址；（3）協(xié)議類(lèi)型（TCP包、UDP包和ICMP包）；（4）TCP或UDP的源端口；（5）TCP或UDP的目的端口；（6）ICMP消息類(lèi)型；（7）TCP報(bào)頭中的ACK位。另外，TCP的序列號(hào)、確認(rèn)號(hào)，IP校驗(yàn)以及分段偏移也往往是要檢查的選項(xiàng)。包過(guò)濾防火墻10規(guī)則原則按地址過(guò)濾；按服務(wù)過(guò)濾。防火墻的規(guī)則動(dòng)作有以下幾種類(lèi)型：通過(guò)（accept）

允許IP包通過(guò)防火墻傳輸。放棄（deny）

不允許IP包通過(guò)防火墻傳輸，但僅僅丟棄，不做任何響應(yīng)。拒絕（reject）

不允許IP包通過(guò)防火墻傳輸，并向源端發(fā)送目的主機(jī)不可達(dá)的ICMP報(bào)文。返回（return）

沒(méi)有發(fā)現(xiàn)匹配的規(guī)則，省缺動(dòng)作。包過(guò)濾防火墻11天網(wǎng)防火墻舉例包過(guò)濾操作過(guò)程：(1)包過(guò)濾規(guī)則必須被存儲(chǔ)在包過(guò)濾設(shè)備的端口；(2)當(dāng)數(shù)據(jù)包在端口到達(dá)時(shí)，包頭被提取，同時(shí)包過(guò)濾設(shè)備檢查IP、TCP、UDP等包頭中的信息；(3)包過(guò)濾規(guī)則以特定的次序被存儲(chǔ)，每一規(guī)則按照被存儲(chǔ)的次序作用于包；(4)如果一條規(guī)則允許傳輸，包就被通過(guò)；如果一條規(guī)則阻止傳輸，包就被棄掉或進(jìn)入下一條規(guī)則。包過(guò)濾防火墻包過(guò)濾防火墻第一代：靜態(tài)包過(guò)濾根據(jù)定義好的過(guò)濾規(guī)則審查每個(gè)數(shù)據(jù)包，以便確定其是否與某一條包過(guò)濾規(guī)則匹配。過(guò)濾規(guī)則基于數(shù)據(jù)包的報(bào)頭信息進(jìn)行制訂。包括IP源地址、IP目標(biāo)地址、傳輸協(xié)議(TCP、UDP、ICMP等等)、TCP/UDP目標(biāo)端口、ICMP消息類(lèi)型等。包過(guò)濾類(lèi)型的防火墻要遵循的一條基本原則是“最小特權(quán)原則”，即明確允許那些管理員希望通過(guò)的數(shù)據(jù)包，禁止其他的數(shù)據(jù)包。14靜態(tài)包過(guò)濾無(wú)法過(guò)濾服務(wù)對(duì)于一些比較新的多媒體應(yīng)用在會(huì)話開(kāi)始之前端口號(hào)是未知的。例如，Web服務(wù)器默認(rèn)端口為80，而計(jì)算機(jī)上又安裝了RealPlayer，那么它會(huì)搜尋可以允許連接到RealAudio服務(wù)器的端口，而不管這個(gè)端口是否被其他協(xié)議所使用，RealPlayer正好是使用80端口而搜尋的。就這樣無(wú)意中，RealPlayer就利用了Web服務(wù)器的端口。包過(guò)濾防火墻第二代：動(dòng)態(tài)包過(guò)濾即包狀態(tài)監(jiān)測(cè)（StatefulInspection）技術(shù)。采用這種技術(shù)的防火墻對(duì)通過(guò)其建立的每一個(gè)連接都進(jìn)行跟蹤狀態(tài)包檢測(cè)模式增加了更多的包和包之間的安全上下文檢查，以達(dá)到與應(yīng)用級(jí)代理防火墻相類(lèi)似的安全性能。狀態(tài)包檢測(cè)防火墻在網(wǎng)絡(luò)層攔截輸入包，并利用足夠的企圖連接的狀態(tài)信息做出決策。根據(jù)需要可動(dòng)態(tài)地在過(guò)濾規(guī)則中增加或更新。包過(guò)濾防火墻優(yōu)點(diǎn)安全性相比靜態(tài)包過(guò)濾技術(shù)要高，提升了防火墻的性能狀態(tài)檢測(cè)機(jī)制可以區(qū)分連接的發(fā)起方與接收方可以通過(guò)狀態(tài)分析阻斷更多的復(fù)雜攻擊行為，可以通過(guò)分析打開(kāi)相應(yīng)的端口而不是“一刀切”工作在協(xié)議棧的較低層，通過(guò)防火墻的所有數(shù)據(jù)包都在低層處理，不需要協(xié)議棧的上層來(lái)處理數(shù)據(jù)包，減少了高層協(xié)議的開(kāi)銷(xiāo)執(zhí)行效率高。通過(guò)已知合法數(shù)據(jù)包的模式來(lái)比較進(jìn)出數(shù)據(jù)包，比應(yīng)用級(jí)代理在過(guò)濾數(shù)據(jù)包上更加有效；缺點(diǎn)主要工作在網(wǎng)絡(luò)層和傳輸層，對(duì)報(bào)文的數(shù)據(jù)部分檢查很少，安全性還不夠高。對(duì)高層協(xié)議棧內(nèi)容有足夠的能見(jiàn)度較低。檢查內(nèi)容多，對(duì)防火墻性能提出了更高的要求包過(guò)濾防火墻17防火墻技術(shù)內(nèi)容－應(yīng)用代理應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層外部網(wǎng)絡(luò)主機(jī)內(nèi)部網(wǎng)絡(luò)主機(jī)應(yīng)用代理型防火墻應(yīng)用層表示層會(huì)話層傳輸層18代理服務(wù)器型防火墻代理服務(wù)器:ProxyServer.每個(gè)代理服務(wù)器都有所支持的協(xié)議HttpProxy,Socket4/5Proxy,FtpProxy等等代理服務(wù)器的應(yīng)用模式工作在應(yīng)用層，根據(jù)規(guī)則為客戶(hù)請(qǐng)求建立新的服務(wù)連接，或拒絕服務(wù)連接要求從網(wǎng)絡(luò)層切斷了內(nèi)外網(wǎng)絡(luò)之間的連通性，安全性大大提高。能夠識(shí)別高層協(xié)議信息，進(jìn)行高層協(xié)議過(guò)濾。對(duì)應(yīng)用不透明，客戶(hù)端需要重新配置（如IE、QQ、CuteFTP）速度較慢、效率低。代理的工作方式雙向通信必須經(jīng)過(guò)應(yīng)用代理，禁止IP直接轉(zhuǎn)發(fā)；只允許本地安全策略允許的通信信息通過(guò)；代理服務(wù)20防火墻技術(shù)內(nèi)容－應(yīng)用代理(cont.)外部Telnet服務(wù)器內(nèi)部Telnet服務(wù)器日志系統(tǒng)Telnet代理FTP代理認(rèn)證系統(tǒng)應(yīng)用網(wǎng)關(guān)一個(gè)Telnet代理的例子21一個(gè)Telnet應(yīng)用代理的過(guò)程用戶(hù)首先Telnet到應(yīng)用網(wǎng)關(guān)主機(jī)，并輸入內(nèi)部目標(biāo)主機(jī)的名字（域名、IP地址）應(yīng)用網(wǎng)關(guān)檢查用戶(hù)的源IP地址等，并根據(jù)事先設(shè)定的訪問(wèn)規(guī)則來(lái)決定是否轉(zhuǎn)發(fā)或拒絕然后用戶(hù)必須進(jìn)行是否驗(yàn)證（如一次一密等高級(jí)認(rèn)證設(shè)備）應(yīng)用網(wǎng)關(guān)中的代理服務(wù)器為用戶(hù)建立在網(wǎng)關(guān)與內(nèi)部主機(jī)之間的Telnet連接代理服務(wù)器在兩個(gè)連接（用戶(hù)/應(yīng)用網(wǎng)關(guān)，代理服務(wù)器/內(nèi)部主機(jī)）之間傳送數(shù)據(jù)應(yīng)用網(wǎng)關(guān)對(duì)本次連接進(jìn)行日志記錄防火墻技術(shù)內(nèi)容－應(yīng)用代理(cont.)代理防火墻第一代：代理防火墻代理防火墻也叫應(yīng)用層網(wǎng)關(guān)（ApplicationGateway）防火墻。這種防火墻通過(guò)一種代理（Proxy）技術(shù)參與到一個(gè)TCP連接的全過(guò)程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過(guò)這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。這種類(lèi)型的防火墻被網(wǎng)絡(luò)安全專(zhuān)家和媒體公認(rèn)為是最安全的防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)。代理防火墻第二代：自適應(yīng)代理防火墻自適應(yīng)代理技術(shù)（Adaptiveproxy）是最近在商業(yè)應(yīng)用防火墻中實(shí)現(xiàn)的一種革命性的技術(shù)。它可以結(jié)合代理類(lèi)型防火墻的安全性和包過(guò)濾防火墻的高速度等優(yōu)點(diǎn)組成這種類(lèi)型防火墻的基本要素有兩個(gè)：自適應(yīng)代理服務(wù)器（AdaptiveProxyServer）與動(dòng)態(tài)包過(guò)濾器（DynamicPacketfilter）。在自適應(yīng)代理與動(dòng)態(tài)包過(guò)濾器之間存在一個(gè)控制通道。基本的安全檢測(cè)仍在應(yīng)用層進(jìn)行；但一旦安全檢測(cè)代理明確了會(huì)話的所有細(xì)節(jié)，那么其后的數(shù)據(jù)包就可以直接經(jīng)過(guò)速度更快的網(wǎng)絡(luò)層。自適應(yīng)代理就可以根據(jù)用戶(hù)的配置信息，決定是使用代理服務(wù)從應(yīng)用層代理請(qǐng)求還是從網(wǎng)絡(luò)層轉(zhuǎn)發(fā)包。如果是后者，它將動(dòng)態(tài)地通知包過(guò)濾器增減過(guò)濾規(guī)則，滿(mǎn)足用戶(hù)對(duì)速度和安全性的雙重要求。24電路級(jí)網(wǎng)關(guān)工作在傳輸層。它在兩個(gè)主機(jī)首次建立TCP連接時(shí)創(chuàng)立一個(gè)電子屏障，建立兩個(gè)TCP連接。一旦兩個(gè)連接建立起來(lái)，網(wǎng)關(guān)從一個(gè)連接向另一個(gè)連接轉(zhuǎn)發(fā)數(shù)據(jù)包，而不檢查內(nèi)容。也稱(chēng)為通用代理，統(tǒng)一的代理應(yīng)用程序，各協(xié)議可透明地通過(guò)通用代理防火墻。電路級(jí)網(wǎng)關(guān)實(shí)現(xiàn)的典型例子是SOCKS軟件包，是DavidKoblas在1990年開(kāi)發(fā)的。電路級(jí)網(wǎng)關(guān)起一定的代理服務(wù)作用，它監(jiān)視兩主機(jī)建立連接時(shí)的握手信息，從而判斷該會(huì)話請(qǐng)求是否合法，一旦會(huì)話連接有效，該網(wǎng)關(guān)僅復(fù)制、傳遞數(shù)據(jù)。在IP層代理各種高層會(huì)話，具有隱藏內(nèi)部網(wǎng)絡(luò)信息的能力，且透明性高；但由于其對(duì)會(huì)話建立后所傳輸?shù)木唧w內(nèi)容不再作進(jìn)一步地分析，因此安全性稍低。電路級(jí)網(wǎng)關(guān)防火墻26電路級(jí)網(wǎng)關(guān)不允許進(jìn)行端點(diǎn)到端點(diǎn)的TCP連接，而是建立兩個(gè)TCP連接：一個(gè)在網(wǎng)關(guān)和內(nèi)部主機(jī)上的TCP用戶(hù)程序之間，另一個(gè)在網(wǎng)關(guān)和外部主機(jī)的TCP用戶(hù)程序之間。一旦建立兩個(gè)連接，只是把TCP數(shù)據(jù)包從一個(gè)連接轉(zhuǎn)送到另一個(gè)連接中去而不檢驗(yàn)其中的內(nèi)容。其安全功能就是確定哪些連接是允許的。和包過(guò)濾型防火墻有一個(gè)共同特點(diǎn)，都是依靠特定的邏輯來(lái)判斷是否允許數(shù)據(jù)包通過(guò)；但包過(guò)濾型防火墻允許內(nèi)外計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系，而電路級(jí)網(wǎng)關(guān)無(wú)法IP直達(dá)。

利用SOCKSv5所具有的強(qiáng)大而靈活的協(xié)議框架，例如透明的網(wǎng)絡(luò)訪問(wèn)、容易支持認(rèn)證和加密方法、快速開(kāi)發(fā)新的網(wǎng)絡(luò)應(yīng)用、簡(jiǎn)化網(wǎng)絡(luò)安全策略管理和支持雙向代理等。電路級(jí)網(wǎng)關(guān)防火墻28三種防火墻技術(shù)安全功能比較

源地址目的地址用戶(hù)身份數(shù)據(jù)內(nèi)容包過(guò)濾YYNN應(yīng)用代理YYY（Proxy認(rèn)證）P電路級(jí)網(wǎng)關(guān)YYYN29雙宿主主機(jī)結(jié)構(gòu)防火墻核心是具有雙宿主功能的主機(jī)。至少有兩個(gè)網(wǎng)絡(luò)接口（內(nèi)網(wǎng)、外網(wǎng)），充當(dāng)路由器。不允許兩網(wǎng)之間的直接發(fā)送功能。僅僅能通過(guò)防火墻所在主機(jī)上的內(nèi)部代理或讓用戶(hù)直接登陸到雙宿主主機(jī)來(lái)提供服務(wù)（即作為該主機(jī)的一個(gè)遠(yuǎn)程用戶(hù)，繞過(guò)防火墻）提供高級(jí)別的安全控制。問(wèn)題：用戶(hù)賬號(hào)本身會(huì)帶來(lái)明顯的安全問(wèn)題，會(huì)允許某種不安全的服務(wù)；通過(guò)登陸來(lái)使用因特網(wǎng)太麻煩。30雙宿主主機(jī)結(jié)構(gòu)防火墻31屏蔽主機(jī)防火墻主要的安全機(jī)制由屏蔽路由器來(lái)提供包過(guò)濾，只允許外部訪問(wèn)堡壘主機(jī)的IP包通過(guò)堡壘主機(jī)位于內(nèi)部網(wǎng)絡(luò)上，是外部能訪問(wèn)的惟一的內(nèi)部網(wǎng)絡(luò)主機(jī)（而看不到內(nèi)部網(wǎng)絡(luò)其它部分）因此，堡壘主機(jī)需要保持更高的安全等級(jí)內(nèi)部網(wǎng)的其它主機(jī)可自由訪問(wèn)外網(wǎng)32屏蔽主機(jī)防火墻33屏蔽主機(jī)防火墻優(yōu)點(diǎn)：外部網(wǎng)對(duì)內(nèi)部網(wǎng)的可控訪問(wèn)適合于向外提供網(wǎng)絡(luò)服務(wù)的系統(tǒng)問(wèn)題：如果路由器被破壞，整個(gè)網(wǎng)絡(luò)對(duì)侵襲者是開(kāi)放的。如堡壘主機(jī)被侵，內(nèi)部網(wǎng)絡(luò)的主機(jī)失去任何的安全保護(hù)。配置復(fù)雜下面來(lái)看一下路由器不被正常路由的情況，這會(huì)降低系統(tǒng)的安全性。下圖顯示了正常的路由情況，路由器的路由表指向堡壘主機(jī)。內(nèi)部網(wǎng)絡(luò)號(hào)是，堡壘主機(jī)的IP地址為，路由表的內(nèi)容為：目的：轉(zhuǎn)發(fā)至：這樣，網(wǎng)絡(luò)上所有的流量都被轉(zhuǎn)發(fā)到堡壘主機(jī)上。屏蔽主機(jī)防火墻圖正常的路由情況屏蔽主機(jī)防火墻下圖顯示了路由表被破壞的情形，堡壘主機(jī)的路由項(xiàng)目被從路由表中刪除，這樣，進(jìn)入屏蔽路由器的流量就不會(huì)被轉(zhuǎn)發(fā)到堡壘主機(jī)上，可能被轉(zhuǎn)發(fā)到另一主機(jī)上，即外部主機(jī)直接訪問(wèn)了內(nèi)部主機(jī)而繞過(guò)了防火墻。在這種情況下，過(guò)濾路由器成了惟一的防線，在前面講過(guò)屏蔽路由器的安全性較差，這樣入侵者就很容易突破屏蔽路由器，內(nèi)部網(wǎng)絡(luò)也就處于危險(xiǎn)之中了。屏蔽主機(jī)防火墻圖路由表被破壞的情形屏蔽主機(jī)防火墻38屏蔽子網(wǎng)防火墻添加額外的安全層：周邊網(wǎng)，將內(nèi)部網(wǎng)與因特網(wǎng)進(jìn)一步隔開(kāi)。周邊網(wǎng)即：非軍事化區(qū)，提供附加的保護(hù)層，入侵者如侵入周邊網(wǎng)，可防止監(jiān)聽(tīng)（sniffer）內(nèi)部網(wǎng)的通信（竊取密碼），不會(huì)損傷內(nèi)部網(wǎng)的完整性。周邊網(wǎng)上的主機(jī)主要通過(guò)主機(jī)安全來(lái)保證其安全性。屏蔽子網(wǎng)防火墻使用了兩個(gè)屏蔽路由器，消除了內(nèi)部網(wǎng)絡(luò)的單一侵入點(diǎn)，增強(qiáng)了安全性。兩個(gè)屏蔽路由器的規(guī)則設(shè)置的側(cè)重點(diǎn)不同。外部路由器只允許外部流量進(jìn)入，內(nèi)部路由器只允許內(nèi)部流量進(jìn)入。39屏蔽子網(wǎng)防火墻40三種防火墻拓?fù)浣Y(jié)構(gòu)的區(qū)別三者的區(qū)別在于：內(nèi)網(wǎng)與外網(wǎng)的數(shù)據(jù)連接“鴻溝”雙宿主主機(jī)：在一臺(tái)主機(jī)上屏蔽主機(jī)：一層屏蔽路由器屏蔽子網(wǎng)：兩層屏蔽路由器41防火墻體系結(jié)構(gòu)的種種變化和組合

1）使用多堡壘主機(jī)

422）合并內(nèi)外部由器

防火墻體系結(jié)構(gòu)的種種變化和組合

433）合并堡壘主機(jī)和外部路由器

防火墻體系結(jié)構(gòu)的種種變化和組合

444）將堡壘主機(jī)與內(nèi)部路由器合并

防火墻體系結(jié)構(gòu)的種種變化和組合

455）采用多內(nèi)部路由器結(jié)構(gòu)

防火墻體系結(jié)構(gòu)的種種變化和組合

465）采用多內(nèi)部路由器結(jié)構(gòu)－多個(gè)內(nèi)部網(wǎng)防火墻體系結(jié)構(gòu)的種種變化和組合

476）使用多外部路由器

防火墻體系結(jié)構(gòu)的種種變化和組合

48內(nèi)部防火墻

試驗(yàn)網(wǎng)絡(luò)

49防火墻核心技術(shù)－－網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）作用：按內(nèi)部定義，將原包中的IP地址“翻譯”成內(nèi)部使用地址目的：解決IP地址空間不夠問(wèn)題；向外界隱藏內(nèi)部網(wǎng)結(jié)構(gòu)實(shí)現(xiàn)真正的動(dòng)態(tài)均衡（通常會(huì)緩存IP）方式：靜態(tài)NAT，簡(jiǎn)單的地址翻譯（一一對(duì)應(yīng)）端口NAT，多個(gè)內(nèi)部網(wǎng)地址翻譯到一個(gè)IP地址多對(duì)一翻譯，不同的內(nèi)部網(wǎng)地址在外部用“公用IP：端口”的形式表示NAT池，M個(gè)內(nèi)部地址翻譯到N個(gè)外部IP地址池50網(wǎng)絡(luò)地址轉(zhuǎn)換原理51利用NAT實(shí)現(xiàn)負(fù)載均衡（附加功能）實(shí)現(xiàn)NAT的地址映射有許多方法：使用靜態(tài)地址分配(StaticTranslation，也稱(chēng)為端口轉(zhuǎn)發(fā)，PortForwarding)，它們用NAT為內(nèi)部網(wǎng)絡(luò)的客戶(hù)綁定一個(gè)固定IP地址。使用動(dòng)態(tài)地址分配(DynamicTranslation，也稱(chēng)為自動(dòng)模式，隱藏模式或IP偽裝)的NAT為訪問(wèn)外部網(wǎng)絡(luò)的客戶(hù)分配一個(gè)IP地址。在客戶(hù)會(huì)話結(jié)束，或者超過(guò)某一時(shí)限后，合法的外部網(wǎng)絡(luò)地址會(huì)返回到地址池，等待下次分配，實(shí)現(xiàn)IP地址的復(fù)用。NAT可以工作在單向方式，當(dāng)初始化外出的會(huì)話時(shí)，NAT為內(nèi)部網(wǎng)絡(luò)客戶(hù)分配一個(gè)網(wǎng)絡(luò)地址。它也可以工作在雙向方式，以便進(jìn)入的目的IP地址可以被修改，從而發(fā)送數(shù)據(jù)包到處于內(nèi)部網(wǎng)絡(luò)的服務(wù)器。利用NAT實(shí)現(xiàn)負(fù)載均衡（附加功能）53其他防火墻分布式防火墻打破物理拓?fù)浣Y(jié)構(gòu)集中定義策略（劃分內(nèi)外網(wǎng)），分布執(zhí)行VPN概述VPNVirtualPrivateNetwork的縮寫(xiě)，是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)，尤其是Internet連接而成的邏輯上的虛擬子網(wǎng)。為了保障信息的安全，VPN技術(shù)采用了鑒別、訪問(wèn)控制、保密性、完整性等措施，以防止信息被泄露、篡改和復(fù)制?！胺瓑Α笔侵竿ㄟ^(guò)建立VPN的隧道或者通過(guò)訪問(wèn)代理服務(wù)器的方法VPN概述VPN具體實(shí)現(xiàn)是采用隧道技術(shù),將企業(yè)網(wǎng)的數(shù)據(jù)封裝在隧道中進(jìn)行傳輸。隧道協(xié)議可分為第二層隧道協(xié)議：點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTP（Point-to-PointTunnelingProtocol）、第二層轉(zhuǎn)發(fā)協(xié)議L2F(Layer2Forwarding)、第二層隧道協(xié)議L2TP(Layer2TunnelingProtocol)第三層隧道協(xié)議：通用路由封裝GRE(GenericRoutingEncapsulation)、IPSec(IPSecurity)。它們的本質(zhì)區(qū)別在于用戶(hù)的數(shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中在隧道中傳輸?shù)摹PTPvsL2TP聯(lián)系：PPTP和L2TP都使用PPP協(xié)議對(duì)數(shù)據(jù)進(jìn)行封裝，然后添加附加包頭用于數(shù)據(jù)在互聯(lián)網(wǎng)絡(luò)上的傳輸。區(qū)別：1）PPTP要求互聯(lián)網(wǎng)絡(luò)為IP網(wǎng)絡(luò)。L2TP只要求隧道媒介提供面向數(shù)據(jù)包的點(diǎn)對(duì)點(diǎn)的連接。L2TP可以在IP（使用UDP），楨中繼永久虛擬電路（PVCs），X.25虛擬電路（VCs）或ATMVCs網(wǎng)絡(luò)上使用。2）PPTP只能在兩端點(diǎn)間建立單一隧道。L2TP支持在兩端點(diǎn)間使用多隧道。使用L2TP，用戶(hù)可以針對(duì)不同的服務(wù)質(zhì)量創(chuàng)建不同的隧道。3）L2TP可以提供包頭壓縮。。4）L2TP可以提供隧道驗(yàn)證，而PPTP不支持隧道驗(yàn)證。。PPTP和L2TF端點(diǎn)用戶(hù)需要在連接前手工建立加密信道。認(rèn)證和加密受到限制，沒(méi)有強(qiáng)加密和認(rèn)證支持。VPN概述將L2TP和IPSec結(jié)合起來(lái):用L2TP作為隧道協(xié)議，用IPSec協(xié)議保護(hù)數(shù)據(jù)。目前，市場(chǎng)上大部分VPN采用這類(lèi)技術(shù)。IPSECvsMPLSVPN概述IPsecVPNMPLSVPN服務(wù)模式高速I(mǎi)nternet服務(wù)、商業(yè)質(zhì)量的IP服務(wù)、電子商務(wù)和應(yīng)用主機(jī)托管服務(wù)高速I(mǎi)nternet服務(wù)、商業(yè)質(zhì)量的IP服務(wù)、電子商務(wù)和應(yīng)用主機(jī)托管服務(wù)可伸縮性大規(guī)模部署需要制定相應(yīng)計(jì)劃并且協(xié)同解決關(guān)鍵分支機(jī)構(gòu)、關(guān)鍵管理和對(duì)等配置各個(gè)方面出現(xiàn)的問(wèn)題由于不需要站點(diǎn)對(duì)站點(diǎn)的對(duì)等性而具有高度的可伸縮性。典型的MPLS-VPN部署能夠支持在同一網(wǎng)絡(luò)上部署上萬(wàn)個(gè)VPN組網(wǎng)絡(luò)位置本地環(huán)路、網(wǎng)絡(luò)邊緣或者遠(yuǎn)離存在加密數(shù)據(jù)較高曝光性的網(wǎng)絡(luò)位置最佳，此類(lèi)地點(diǎn)最適合采用隧道和加密等IPsec安全機(jī)制在服務(wù)供應(yīng)商的核心網(wǎng)絡(luò)最佳，此地QoS、流量工程和帶寬利用可以得到完全地控制，如果服務(wù)供應(yīng)商的VPN服務(wù)提供SLA或者服務(wù)級(jí)保證（SLG），那么這一情況下的VPN服務(wù)更應(yīng)該配置在網(wǎng)絡(luò)核心。特點(diǎn)只支持IP協(xié)議MPLSVPN并未提供加密、認(rèn)證等安全機(jī)制IPSECvsSSL1、IPsecVPN多用于“網(wǎng)—網(wǎng)”連接，SSLVPN用于“移動(dòng)客戶(hù)—網(wǎng)”連接。SSLVPN的移動(dòng)用戶(hù)使用標(biāo)準(zhǔn)的瀏覽器，無(wú)需安裝客戶(hù)端程序，即可通過(guò)SSLVPN隧道接入內(nèi)部網(wǎng)絡(luò)；而IPSecVPN的移動(dòng)用戶(hù)需要安裝專(zhuān)門(mén)的IPSec客戶(hù)端軟件。2、IPsecVPN對(duì)所有的IP應(yīng)用均透明；而SSLVPN保護(hù)基于Web的應(yīng)用更有優(yōu)勢(shì)。3、SSLVPN用戶(hù)不受上網(wǎng)方式限制，SSLVPN隧道可以穿透Firewall；而IPSec客戶(hù)端需要支持“NAT穿透”功能才能穿透Firewall，而且需要Firewall打開(kāi)UDP500端口。4、SSLVPN只需要維護(hù)中心節(jié)點(diǎn)的網(wǎng)關(guān)設(shè)備，客戶(hù)端免維護(hù)，降低了部署和支持費(fèi)用。而IPSecVPN需要管理通訊的每個(gè)節(jié)點(diǎn)，網(wǎng)管專(zhuān)業(yè)性較強(qiáng)。5、SSLVPN更容易提供細(xì)粒度訪問(wèn)控制，可以對(duì)用戶(hù)的權(quán)限、資源、服務(wù)、文件進(jìn)行更加細(xì)致的控制，與第三方認(rèn)證系統(tǒng)（如radius）結(jié)合更加便捷。而IPSecVPN主要基于IP五元組