第4章-防火墻技術(shù)

防火墻技術(shù)目錄4.1概述4.2防火墻的種類4.3防火墻的體系結(jié)構(gòu)4.4防火墻部署4.5防火墻的功能防火墻的提出企業(yè)上網(wǎng)面臨的安全問題之一:

內(nèi)部網(wǎng)與互聯(lián)網(wǎng)的有效隔離解答:

防火墻網(wǎng)絡(luò)間的訪問----需隔離FIREWALL4.1概述1、防火墻形態(tài)接口屬性固定內(nèi)網(wǎng)外網(wǎng)SSN2、防火墻示意圖Internet企業(yè)內(nèi)聯(lián)網(wǎng)部門子網(wǎng)分公司網(wǎng)絡(luò)4.1概述3、防火墻是什么在一個(gè)受保護(hù)的企業(yè)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)間,用來強(qiáng)制執(zhí)行企業(yè)安全策略的一個(gè)或一組系統(tǒng).4.1概述Internet一種高級(jí)訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問行為。兩個(gè)安全域之間通信流的唯一通道UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根據(jù)訪問控制規(guī)則決定進(jìn)出網(wǎng)絡(luò)的行為4、防火墻定義內(nèi)部網(wǎng)4.1概述防火墻連線圖直通線交叉線交叉線串口線管理機(jī)SSN區(qū)域外網(wǎng)內(nèi)網(wǎng)5、防火墻特點(diǎn)防火墻主要用于保護(hù)內(nèi)部安全網(wǎng)絡(luò)免受外部網(wǎng)不安全網(wǎng)絡(luò)的侵害。典型情況：安全網(wǎng)絡(luò)為企業(yè)內(nèi)部網(wǎng)絡(luò)，不安全網(wǎng)絡(luò)為因特網(wǎng)。但防火墻不只用于因特網(wǎng)，也可用于Intranet各部門網(wǎng)絡(luò)之間（內(nèi)部防火墻）。例：財(cái)務(wù)部與市場部之間。4.1概述6、防火墻概念最初含義：當(dāng)房屋還處于木制結(jié)構(gòu)的時(shí)侯，人們將石塊堆砌在房屋周圍用來防止火災(zāi)的發(fā)生。這種墻被稱之為防火墻。RichKosinski(InternetSecurity公司總裁）：

防火墻是一種訪問控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對信息資源的非法訪問。換句話說，防火墻是一道門檻，用來控制進(jìn)/出兩個(gè)方向的通信。網(wǎng)絡(luò)安全的第一道防線4.1概述7、防火墻實(shí)現(xiàn)層次4.1概述8、防火墻的基本功能模塊應(yīng)用程序代理包過濾&狀態(tài)檢測用戶認(rèn)證NATVPN日志IDS與報(bào)警內(nèi)容過濾4.1概述9、防火墻的主要功能防火墻的功能過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)管理進(jìn)出網(wǎng)絡(luò)的訪問行為封堵某些禁止的業(yè)務(wù)記錄進(jìn)出網(wǎng)絡(luò)的信息和活動(dòng)對網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警10、Internet防火墻的作用(1)(1).Internet防火墻允許網(wǎng)絡(luò)管理員定義一個(gè)中心“扼制點(diǎn)”來防止非法用戶，如黑客、網(wǎng)絡(luò)破壞者等進(jìn)入內(nèi)部網(wǎng)絡(luò)。禁止存在安全脆弱性的服務(wù)進(jìn)出網(wǎng)絡(luò)，并抗擊來自各種路線的攻擊。Internet防火墻能夠簡化安全管理，網(wǎng)絡(luò)安全性是在防火墻系統(tǒng)上得到加固，而不是分布在內(nèi)部網(wǎng)絡(luò)的所有主機(jī)上。(2).在防火墻上可以很方便的監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報(bào)警。應(yīng)該注意的是：對一個(gè)內(nèi)部網(wǎng)絡(luò)已經(jīng)連接到Internet上的機(jī)構(gòu)來說，重要的問題并不是網(wǎng)絡(luò)是否會(huì)受到攻擊，而是何時(shí)會(huì)受到攻擊。網(wǎng)絡(luò)管理員必須審計(jì)并記錄所有通過防火墻的重要信息。如果網(wǎng)絡(luò)管理員不能及時(shí)響應(yīng)報(bào)警并審查常規(guī)記錄，防火墻就形同虛設(shè)。在這種情況下，網(wǎng)絡(luò)管理員永遠(yuǎn)不會(huì)知道防火墻是否受到攻擊。10、Internet防火墻的作用(2)(3).Internet防火墻可以作為部署NAT(NetworkAddressTranslator，網(wǎng)絡(luò)地址變換）的邏輯地址。因此防火墻可以用來緩解地址空間短缺的問題，并消除機(jī)構(gòu)在變換ISP時(shí)帶來的重新編址的麻煩。(4).Internet防火墻是審計(jì)和記錄Internet使用量的一個(gè)最佳地方。網(wǎng)絡(luò)管理員可以在此向管理部門提供Internet連接的費(fèi)用情況，查出潛在的帶寬瓶頸的位置，并能夠根據(jù)機(jī)構(gòu)的核算模式提供部門級(jí)的記費(fèi)。(5).Internet防火墻也可以成為向客戶發(fā)布信息的地點(diǎn)。Internet防火墻作為部署WWW服務(wù)器和FTP服務(wù)器的地點(diǎn)非常理想。還可以對防火墻進(jìn)行配置，允許Internet訪問上述服務(wù)，而禁止外部對受保護(hù)的內(nèi)部網(wǎng)絡(luò)上其它系統(tǒng)的訪問。11、對防火墻的評價(jià)防火墻不可以防范什么?防火墻不是解決所有網(wǎng)絡(luò)安全問題的萬能藥方，只是網(wǎng)絡(luò)安全政策和策略中的一個(gè)組成部分。防火墻不能防范繞過防火墻的攻擊，例:內(nèi)部提供撥號(hào)服務(wù)。防火墻不能防范來自內(nèi)部人員惡意的攻擊。防火墻不能阻止被病毒感染的程序或文件的傳遞。防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。例:特洛伊木馬。4.1概述內(nèi)部提供撥號(hào)服務(wù)繞過防火墻防火墻不可以防范什么?4.2防火墻的種類防火墻的存在形式：軟件、硬件。根據(jù)防范方式和側(cè)重點(diǎn)的不同可分為：4.2.1包過濾防火墻4.2.2代理服務(wù)器4.2.3狀態(tài)檢測防火墻4.2.1包過濾防火墻應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層網(wǎng)絡(luò)層鏈路層物理層簡單包過濾技術(shù)介紹應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查報(bào)頭簡單包過濾防火墻的工作原理簡單包過濾防火墻不檢查數(shù)據(jù)區(qū)簡單包過濾防火墻不建立連接狀態(tài)表前后報(bào)文無關(guān)應(yīng)用層控制很弱按地址規(guī)則方向源地址目標(biāo)地址動(dòng)作A出內(nèi)部網(wǎng)絡(luò)拒絕B入內(nèi)部網(wǎng)絡(luò)拒絕按服務(wù)規(guī)則方向類型源地址目的地址源端口目的端口行為操作訪問控制列表（ACL），過濾規(guī)則，包過濾的核心示例：兩個(gè)默認(rèn)策略：默認(rèn)=丟棄：沒有明確允許的就被禁止。默認(rèn)=轉(zhuǎn)發(fā)：沒有明確禁止的就是允許。優(yōu)點(diǎn)：

速度快，性能高對用戶透明缺點(diǎn)：1.維護(hù)比較困難(需要對TCP/IP了解）2.安全性低（IP欺騙等）3.不提供有用的日志，或根本就不提供4.不防范數(shù)據(jù)驅(qū)動(dòng)型攻擊5.不能根據(jù)狀態(tài)信息進(jìn)行控制6.不能處理網(wǎng)絡(luò)層以上的信息7.無法對網(wǎng)絡(luò)上流動(dòng)的信息提供全面的控制；互連的物理介質(zhì)應(yīng)用層表示層會(huì)話層傳輸層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層包過濾防火墻優(yōu)缺點(diǎn)包過濾技術(shù)的一些實(shí)現(xiàn)商業(yè)版防火墻產(chǎn)品個(gè)人防火墻路由器OpenSourceSoftware–Ipfilter(FreeBSD、OpenBSD、Solaris，…)–Ipfw(FreeBSD)–Ipchains(Linux2.0.x/2.2.x)–Iptables(Linux2.4.x)代理服務(wù)是運(yùn)行在防火墻主機(jī)上的專門的應(yīng)用程序或者服務(wù)器程序。不允許通信直接經(jīng)過外部網(wǎng)和內(nèi)部網(wǎng)。將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個(gè)終止代理服務(wù)器上的“鏈接”來實(shí)現(xiàn).外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。4.2.2代理服務(wù)器代理服務(wù)器代理服務(wù)器示意圖應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用代理技術(shù)介紹應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層優(yōu)點(diǎn)：安全性高提供應(yīng)用層的安全缺點(diǎn)：性能差伸縮性差只支持有限的應(yīng)用不透明FTPHTTPSMTP應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查數(shù)據(jù)應(yīng)用代理防火墻的工作原理不檢查IP、TCP報(bào)頭不建立連接狀態(tài)表網(wǎng)絡(luò)層保護(hù)比較弱應(yīng)用層代理的優(yōu)點(diǎn)1.應(yīng)用層代理能夠讓網(wǎng)絡(luò)管理員對服務(wù)進(jìn)行全面的控制，因?yàn)榇響?yīng)用限制了命令集并決定哪些內(nèi)部主機(jī)可以被該服務(wù)訪問。2.網(wǎng)絡(luò)管理員可以完全控制提供那些服務(wù)，因?yàn)闆]有特定服務(wù)的代理就表示該服務(wù)不提供。3.防火墻可以被配置成唯一的可被外部看見的主機(jī)，這樣可以保護(hù)內(nèi)部主機(jī)免受外部主機(jī)的進(jìn)攻。4.應(yīng)用層代理有能力支持可靠的用戶認(rèn)證并提供詳細(xì)的注冊信息。另外，用于應(yīng)用層的過濾規(guī)則相對于包過濾防火墻來說更容易配置和測試。5.代理工作在客戶機(jī)和真實(shí)服務(wù)器之間，完全控制會(huì)話，所以可以提供很詳細(xì)的日志和安全審計(jì)功能。應(yīng)用層代理的缺點(diǎn)應(yīng)用層代理的最大缺點(diǎn)是要求用戶改變自己的行為，或者在訪問代理服務(wù)的每個(gè)系統(tǒng)上安裝特殊的軟件。比如，透過應(yīng)用層代理Telnet訪問要求用戶通過兩步而不是一步來建立連接。不過，特殊的端系統(tǒng)軟件可以讓用戶在Telnet命令中指定目標(biāo)主機(jī)而不是應(yīng)用層代理來使應(yīng)用層代理透明。每個(gè)應(yīng)用程序都必須有一個(gè)代理服務(wù)程序來進(jìn)行安全控制，每一種應(yīng)用升級(jí)時(shí)，一般代理服務(wù)程序也要升級(jí)。代理服務(wù)的分類代理服務(wù)分類：代理服務(wù)可分為應(yīng)用級(jí)代理與電路級(jí)代理：應(yīng)用級(jí)代理是已知代理服務(wù)向哪一應(yīng)用提供的代理，它在應(yīng)用協(xié)議中理解并解釋命令。應(yīng)用級(jí)代理的優(yōu)點(diǎn)為它能解釋應(yīng)用協(xié)議從而獲得更多的信息，缺點(diǎn)為只適用于單一協(xié)議。電路級(jí)代理：是一個(gè)通用代理服務(wù)器，它工作于OSI互聯(lián)模型的會(huì)話層或TCP/IP協(xié)議的TCP層。它適用于多個(gè)協(xié)議，但它不能識(shí)別在同一個(gè)協(xié)議棧上運(yùn)行的不同的應(yīng)用，當(dāng)然也就不需要對不同的應(yīng)用設(shè)置不同的代理模塊。拓?fù)浣Y(jié)構(gòu)同應(yīng)用層代理服務(wù)器相同接收客戶端連接請求，代理客戶端完成網(wǎng)絡(luò)連接，在客戶和服務(wù)器間中轉(zhuǎn)數(shù)據(jù)電路級(jí)代理工作示意圖輸入數(shù)據(jù)流輸出數(shù)據(jù)流代理服務(wù)器的一些實(shí)現(xiàn)商業(yè)版防火墻產(chǎn)品商業(yè)版代理(cache)服務(wù)器OpenSource–TISFWTK(Firewalltoolkit)–Apache–Squid4.2.3狀態(tài)檢測防火墻狀態(tài)檢測防火墻又稱動(dòng)態(tài)包過濾防火墻。狀態(tài)檢測防火墻在網(wǎng)絡(luò)層由一個(gè)監(jiān)測引擎截獲數(shù)據(jù)包，抽取出與應(yīng)用層狀態(tài)有關(guān)的信息，并以此作為依據(jù)決定對該數(shù)據(jù)包是接受還是拒絕。狀態(tài)檢測技術(shù)：在包過濾的同時(shí)，檢察數(shù)據(jù)包之間的關(guān)聯(lián)性，數(shù)據(jù)包中動(dòng)態(tài)變化的狀態(tài)碼。監(jiān)測引擎：一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件模塊。監(jiān)測引擎采用抽取有關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測，抽取狀態(tài)信息，并動(dòng)態(tài)地保存起來作為以后執(zhí)行安全策略的參考。當(dāng)用戶訪問請求到達(dá)網(wǎng)關(guān)的操作系統(tǒng)前，狀態(tài)監(jiān)視器要抽取有關(guān)數(shù)據(jù)進(jìn)行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定作出接納、拒絕、身份認(rèn)證、報(bào)警或給該通信加密等處理動(dòng)作。狀態(tài)檢測示意圖應(yīng)用層表示層會(huì)話層傳輸層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層監(jiān)測引擎狀態(tài)檢測的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：一旦某個(gè)訪問違反安全規(guī)定，就會(huì)拒絕該訪問，并報(bào)告有關(guān)狀態(tài)作日志記錄。它會(huì)監(jiān)測無連接狀態(tài)的遠(yuǎn)程過程調(diào)用（RPC）和用戶數(shù)據(jù)報(bào)（UDP）之類的端口信息。包過濾防火墻和代理服務(wù)防火墻都不支持此類端口的檢測。缺點(diǎn)：

降低網(wǎng)絡(luò)速度配置比較復(fù)雜應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查報(bào)頭狀態(tài)檢測包過濾防火墻的工作原理不檢查數(shù)據(jù)區(qū)建立連接狀態(tài)表前后報(bào)文相關(guān)應(yīng)用層控制很弱建立連接狀態(tài)表應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101檢查整個(gè)報(bào)文內(nèi)容復(fù)合型防火墻的工作原理可以檢查整個(gè)數(shù)據(jù)包內(nèi)容根據(jù)需要建立連接狀態(tài)表網(wǎng)絡(luò)層保護(hù)強(qiáng)應(yīng)用層控制細(xì)會(huì)話控制較弱建立連接狀態(tài)表防火墻核心技術(shù)比較綜合安全性網(wǎng)絡(luò)層保護(hù)應(yīng)用層保護(hù)應(yīng)用層透明整體性能處理對象簡單包過濾防火墻狀態(tài)檢測包過濾防火墻應(yīng)用代理防火墻復(fù)合型防火墻單個(gè)包報(bào)頭單個(gè)包報(bào)頭單個(gè)包數(shù)據(jù)單個(gè)包全部防火墻技術(shù)的新發(fā)展——自適應(yīng)代理技術(shù)新型的自適應(yīng)代理(Adaptiveproxy)防火墻，本質(zhì)上也屬于代理服務(wù)技術(shù)，但它也結(jié)合了動(dòng)態(tài)包過濾(狀態(tài)檢測)技術(shù)。自適應(yīng)代理技術(shù)是在商業(yè)應(yīng)用防火墻中實(shí)現(xiàn)的一種革命性的技術(shù)。組成這類防火墻的基本要素有兩個(gè)：自適應(yīng)代理服務(wù)器與動(dòng)態(tài)包過濾器。它結(jié)合了代理服務(wù)防火墻安全性和包過濾防火墻的高速度等優(yōu)點(diǎn)，在保證安全性的基礎(chǔ)上將代理服務(wù)器防火墻的性能提高10倍以上。

在自適應(yīng)代理與動(dòng)態(tài)包過濾器之間存在一個(gè)控制通道。在對防火墻進(jìn)行配置時(shí)，用戶僅僅將所需要的服務(wù)類型、安全級(jí)別等信息通過相應(yīng)代理的管理界面進(jìn)行設(shè)置就可以了。然后，自適應(yīng)代理就可以根據(jù)用戶的配置信息，決定是使用代理服務(wù)器從應(yīng)用層代理請求，還是使用動(dòng)態(tài)包過濾器從網(wǎng)絡(luò)層轉(zhuǎn)發(fā)包。如果是后者，它將動(dòng)態(tài)地通知包過濾器增減過濾規(guī)則，滿足用戶對速度和安全性的雙重要求。自適應(yīng)代理技術(shù)的特點(diǎn)4.3防火墻的體系結(jié)構(gòu)防火墻的體系結(jié)構(gòu)：篩選路由器雙重宿主主機(jī)結(jié)構(gòu)屏蔽主機(jī)體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)其它的防火墻結(jié)構(gòu)內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)包過濾器進(jìn)行包過濾1、篩選路由器2、雙重宿主主機(jī)模式它是一種擁有兩個(gè)或多個(gè)連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻.通常用一臺(tái)裝有兩塊或多塊網(wǎng)卡的堡壘主機(jī)做防火墻。堡壘主機(jī)：BastionHost堡壘主機(jī)是一種配置了安全防范措施的網(wǎng)絡(luò)的計(jì)算機(jī)，堡壘主機(jī)為網(wǎng)絡(luò)之間的通信提供了一個(gè)阻塞點(diǎn)，也就是說如果沒有堡壘主機(jī)，網(wǎng)絡(luò)之間將不能相互訪問。2、雙重宿主主機(jī)體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞雙重宿主主機(jī)構(gòu)筑的。雙重宿主主機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口，它位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，它能從一個(gè)網(wǎng)絡(luò)接收IP數(shù)據(jù)包并將之發(fā)往另一網(wǎng)絡(luò)。然而實(shí)現(xiàn)雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送功能，完全阻止了內(nèi)外網(wǎng)絡(luò)之間的IP通信。因此IP數(shù)據(jù)包并不是從一個(gè)網(wǎng)絡(luò)（如外部網(wǎng)絡(luò)）直接發(fā)送到另一個(gè)網(wǎng)絡(luò)（如內(nèi)部網(wǎng)絡(luò)）。外部網(wǎng)絡(luò)能與雙重宿主主機(jī)通信，內(nèi)部網(wǎng)絡(luò)也能與雙重宿主主機(jī)通信。但是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信，它們之間的通信必須經(jīng)過雙重宿主主機(jī)的過濾和控制。兩個(gè)網(wǎng)絡(luò)之間的通信可通過應(yīng)用層數(shù)據(jù)共享和應(yīng)用層代理服務(wù)的方法實(shí)現(xiàn)。一般情況下采用代理服務(wù)的方法。結(jié)構(gòu)圖Internet防火墻雙重宿主主機(jī)內(nèi)部網(wǎng)絡(luò)……雙重宿主主機(jī)體系結(jié)構(gòu)2、雙重宿主主機(jī)體系結(jié)構(gòu)（2）雙重宿主主機(jī)的特性：安全至關(guān)重要（唯一通道），其用戶口令控制安全是關(guān)鍵。必須支持很多用戶的訪問（中轉(zhuǎn)站），其性能非常重要。缺點(diǎn)：雙重宿主主機(jī)是隔開內(nèi)外網(wǎng)絡(luò)的唯一屏障，一旦它被入侵，內(nèi)部網(wǎng)絡(luò)便向入侵者敞開大門。內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)禁止內(nèi)外網(wǎng)絡(luò)之間直接通信雙宿主主機(jī)

通過應(yīng)用代理通過登陸到雙宿主主機(jī)上獲得服務(wù)缺點(diǎn)：如何保護(hù)雙宿主主機(jī)本身的安全所有的通信必須經(jīng)過雙宿主主機(jī)雙宿主主機(jī)3.屏蔽主機(jī)模式屏蔽主機(jī)防火墻由包過濾路由器和堡壘主機(jī)組成。包過濾路由器外部網(wǎng)內(nèi)部網(wǎng)堡壘主機(jī)屏蔽主機(jī)模式特點(diǎn)：在這種方式的防火墻中，堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。通常在路由器上設(shè)立過濾規(guī)則，并使堡壘主機(jī)成為從外部網(wǎng)絡(luò)唯一可直接到達(dá)的主機(jī)，這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。在這一方式下，過濾路由器是否配置正確是這種防火墻安全與否的關(guān)鍵，如果路由表遭到破壞，堡壘主機(jī)就可能被越過，使內(nèi)部網(wǎng)完全暴露。3、屏蔽主機(jī)體系結(jié)構(gòu)（2）屏蔽路由器可按如下規(guī)則之一進(jìn)行配置：允許內(nèi)部主機(jī)為了某些服務(wù)請求與外部網(wǎng)上的主機(jī)建立直接連接（即允許那些經(jīng)過數(shù)據(jù)包過濾的服務(wù)）。不允許所有來自外部主機(jī)的直接連接。(強(qiáng)迫那些主機(jī)經(jīng)由堡壘主機(jī)使用代理服務(wù)）。安全性更高，雙重保護(hù)：實(shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層安全（代理服務(wù)）。缺點(diǎn)：過濾路由器能否正確配置是安全與否的關(guān)鍵。如果路由器被損害，堡壘主機(jī)將被穿過，整個(gè)網(wǎng)絡(luò)對侵襲者是開放的。堡壘主機(jī)進(jìn)行規(guī)則配置，只允許外部主機(jī)與堡壘主機(jī)通訊互聯(lián)網(wǎng)對內(nèi)部其他主機(jī)的訪問必須經(jīng)過堡壘主機(jī)缺點(diǎn)：堡壘主機(jī)與其他主機(jī)在同一個(gè)子網(wǎng)

一旦堡壘主機(jī)被攻破或被越過，整個(gè)內(nèi)網(wǎng)和堡壘主機(jī)之間就再也沒有任何阻擋。不允許外部主機(jī)直接訪問除堡壘主機(jī)之外的其他主機(jī)過濾器被屏蔽主機(jī)4、屏蔽子網(wǎng)體系結(jié)構(gòu)（1）屏蔽子網(wǎng)體系結(jié)構(gòu)在本質(zhì)上與屏蔽主機(jī)體系結(jié)構(gòu)一樣，但添加了額外的一層保護(hù)體系——周邊網(wǎng)絡(luò)。堡壘主機(jī)位于周邊網(wǎng)絡(luò)上，周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)被內(nèi)部路由器分開。原因：堡壘主機(jī)是用戶網(wǎng)絡(luò)上最容易受侵襲的機(jī)器。通過在周邊網(wǎng)絡(luò)上隔離堡壘主機(jī)，能減少在堡壘主機(jī)被侵入的影響。結(jié)構(gòu)圖Internet周邊網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)……外部路由器堡壘主機(jī)內(nèi)部路由器屏蔽子網(wǎng)體系結(jié)構(gòu)4、屏蔽子網(wǎng)體系結(jié)構(gòu)（2）周邊網(wǎng)絡(luò)是一個(gè)防護(hù)層，在其上可放置一些信息服務(wù)器，它們是犧牲主機(jī)，可能會(huì)受到攻擊，因此又被稱為非軍事區(qū)（DMZ）。周邊網(wǎng)絡(luò)的作用：即使堡壘主機(jī)被入侵者控制，它仍可消除對內(nèi)部網(wǎng)的偵聽。4、屏蔽子網(wǎng)體系結(jié)構(gòu)（3）堡壘主機(jī)堡壘主機(jī)位于周邊網(wǎng)絡(luò)，是整個(gè)防御體系的核心。堡壘主機(jī)可被認(rèn)為是應(yīng)用層網(wǎng)關(guān)，可以運(yùn)行各種代理服務(wù)程序。對于出站服務(wù)不一定要求所有的服務(wù)經(jīng)過堡壘主機(jī)代理，但對于入站服務(wù)應(yīng)要求所有服務(wù)都通過堡壘主機(jī)。4、屏蔽子網(wǎng)體系結(jié)構(gòu)（4）外部路由器（訪問路由器）作用：保護(hù)周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的侵犯。它把入站的數(shù)據(jù)包路由到堡壘主機(jī)。防止部分IP欺騙，它可分辨出數(shù)據(jù)包是否真正來自周邊網(wǎng)絡(luò)，而內(nèi)部路由器不可。內(nèi)部路由器（阻塞路由器）作用：保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)和周邊網(wǎng)絡(luò)的侵害，它執(zhí)行大部分過濾工作。外部路由器一般與內(nèi)部路由器應(yīng)用相同的規(guī)則。內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)堡壘主機(jī)內(nèi)部篩選路由器外部篩選路由器禁止內(nèi)外網(wǎng)絡(luò)直接進(jìn)行通訊內(nèi)外部網(wǎng)絡(luò)之間的通信都經(jīng)過堡壘主機(jī)內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)堡壘主機(jī)被屏蔽子網(wǎng)4.4防火墻部署受保護(hù)網(wǎng)絡(luò)Internet如果防火墻支持透明模式，則內(nèi)部網(wǎng)絡(luò)主機(jī)的配置不用調(diào)整HostAHostCHostDHostB同一網(wǎng)段透明模式下，這里不用配置IP地址透明模式下，這里不用配置IP地址防火墻相當(dāng)于網(wǎng)橋，原網(wǎng)絡(luò)結(jié)構(gòu)沒有改變透明接入受保護(hù)網(wǎng)絡(luò)InternetHostAHostCHostDHostB防火墻相當(dāng)于一個(gè)簡單的路由器提供簡單的路由功能路由接入路由器HTTP服務(wù)器DNS服務(wù)器Email服務(wù)器防火墻DMZ區(qū)內(nèi)部專用網(wǎng)絡(luò)InternetDDNPSTNATMISDNX.25幀中繼防火墻管理器外部網(wǎng)絡(luò)安裝方式之一防火墻防火墻管理工作站分支機(jī)構(gòu)受保護(hù)局域網(wǎng)防火墻防火墻資源子網(wǎng)路由器路由器路由器分支機(jī)構(gòu)受保護(hù)局域網(wǎng)公共網(wǎng)絡(luò)總部路由器路由器安裝方式之二公眾服務(wù)網(wǎng)

省電子政務(wù)外網(wǎng)平臺(tái)市政府政協(xié)人大Internet市局中心服務(wù)器中心服務(wù)器XX市政府網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖郵件服務(wù)器市委撥號(hào)市局互聯(lián)網(wǎng)防火墻服務(wù)器防火墻互連防火墻內(nèi)部用戶區(qū)

互連區(qū)內(nèi)部服務(wù)器區(qū)外部服務(wù)器區(qū)4.5防火墻的功能HostCHostD基本的訪問控制技術(shù)AccessnattoanypassAccesstoblockAccessdefaultpass1010010101規(guī)則匹配成功基于源IP地址基于目的IP地址基于源端口基于目的端口基于時(shí)間基于用戶基于流量基于文件基于網(wǎng)址基于MAC地址WWW1WWW2WWW3服務(wù)器負(fù)載均衡負(fù)載均衡算法：順序選擇地址+權(quán)值根據(jù)PING的時(shí)間間隔來選擇地址+權(quán)值根據(jù)Connect的時(shí)間間隔來選擇地址+權(quán)值根據(jù)Connect然后發(fā)送請求并得到應(yīng)答的時(shí)間間隔來選擇地址+權(quán)值://根據(jù)負(fù)載均衡算法將數(shù)據(jù)重定位到一臺(tái)WWW服務(wù)器服務(wù)器陣列響應(yīng)請求支持第三方認(rèn)證服務(wù)器InternetRADIUS服務(wù)器OTP認(rèn)證服務(wù)器chenaifeng12354876防火墻將認(rèn)證信息傳給真正的RADIUS服務(wù)器進(jìn)行認(rèn)證將認(rèn)證結(jié)果傳給防火墻支持第三方RADIUS服務(wù)器認(rèn)證支持OTP認(rèn)證服務(wù)器支持TACAS及TACAS+服務(wù)器支持S/KEY認(rèn)證服務(wù)器根據(jù)認(rèn)證結(jié)果決定用戶對資源的訪問權(quán)限分級(jí)帶寬管理InternetWWWMailDNS財(cái)務(wù)部子網(wǎng)采購部子網(wǎng)出口帶寬512KDMZ區(qū)保留256K分配70K帶寬分配90K帶寬分配96K帶寬DMZ區(qū)域內(nèi)部網(wǎng)絡(luò)總帶寬512K內(nèi)網(wǎng)256KDMZ256K70K90K96K+++財(cái)務(wù)子網(wǎng)采購子網(wǎng)生產(chǎn)子網(wǎng)生產(chǎn)部子網(wǎng)日志分析不做日志做通信日志：即傳統(tǒng)日志通信源地址、目的地址、源目端口、通信時(shí)間、通信協(xié)議、字節(jié)數(shù)、是否允許通過做應(yīng)用層命令日志：在通信日志的基礎(chǔ)之上，記錄下各個(gè)應(yīng)用層命令及其參數(shù)。例如HTTP請求及其要取的網(wǎng)頁名。做訪問日志：即在通信日志的基礎(chǔ)之上，記錄下用戶對網(wǎng)絡(luò)資源的訪問。它和應(yīng)用層命令日志的區(qū)別是：應(yīng)用層命令日志可以記錄下大量的數(shù)據(jù)，有些用戶可能不需要，如協(xié)商通信參數(shù)過程等。例如針對FTP協(xié)議，訪問日志只記錄下讀、寫文件的動(dòng)作

做內(nèi)容日志：即在應(yīng)用層命令日志的基礎(chǔ)之上，還記錄下用戶傳輸?shù)膬?nèi)容。如用戶發(fā)送的郵件，用戶取下的網(wǎng)頁等。但因?yàn)檫@個(gè)功能涉及到隱私問題，所以在普通的防火墻中沒有包含

Firewall5G對所有的應(yīng)用層協(xié)議都可以進(jìn)行通信日志，而命令日志、訪問日志、內(nèi)容日志目前支持HTTP、FTP、SMTP、POP3、TELNET、RSH、RLOGIN等協(xié)議

提供日志分析工具自動(dòng)產(chǎn)生各種報(bào)表，智能化的指出網(wǎng)絡(luò)可能的安全漏洞Clint://響應(yīng)請求發(fā)送請求通信日志通信日志通信信息做通信日志Clint://響應(yīng)請求發(fā)送請求命令日志命令日志做應(yīng)用層命令日志命令信息Clint://響應(yīng)請求發(fā)送請求訪問日志訪問日志做訪問日志訪問信息Clint://響應(yīng)請求發(fā)送請求內(nèi)容日志內(nèi)容日志做內(nèi)容日志內(nèi)容信息HostCHostDHostBHostA受保護(hù)網(wǎng)絡(luò)InternetIDS黑客發(fā)起攻擊發(fā)送通知報(bào)文驗(yàn)證報(bào)文并采取措施發(fā)送響應(yīng)報(bào)文識(shí)別出攻擊行為阻斷連接或者報(bào)警等與IDS的安全聯(lián)動(dòng)與病毒服務(wù)器的安全聯(lián)動(dòng)Internet110010101病毒服務(wù)器100010101000010101待發(fā)數(shù)據(jù)110010101100010101000010101110010101100010101000010101passpass無病毒轉(zhuǎn)發(fā)最后一個(gè)報(bào)文，如帶有病毒則丟棄最后一個(gè)報(bào)文協(xié)議還原檢查病毒沒有發(fā)現(xiàn)病毒可以放過最后一個(gè)報(bào)文接收數(shù)據(jù)接收數(shù)據(jù)與內(nèi)容服務(wù)器的安全聯(lián)動(dòng)Internet內(nèi)容安全服務(wù)器來自外部的數(shù)據(jù)101010011010111011010001進(jìn)行訪問控制提交給內(nèi)容安全服務(wù)器進(jìn)行處理進(jìn)行病毒、惡意JAVA或ActiveX程度的過濾利用提供的安全產(chǎn)品協(xié)作平臺(tái)實(shí)現(xiàn)（ICSP協(xié)議的典型應(yīng)用）ICSP協(xié)議是用來實(shí)現(xiàn)NGFW與信息內(nèi)容檢查系統(tǒng)之間的有機(jī)聯(lián)動(dòng)與URL服務(wù)器的安全聯(lián)動(dòng)內(nèi)部網(wǎng)絡(luò)Internet://URL服務(wù)器可以訪問://嗎？Ok!通過T-SCP安全產(chǎn)品協(xié)作平臺(tái)實(shí)現(xiàn)防火墻與URL服務(wù)器的互動(dòng)，從而控制對外部WEB站點(diǎn)的訪問雙地址路由功能中國教育網(wǎng)Internet內(nèi)網(wǎng)根據(jù)源、目地址來進(jìn)行路由主機(jī)B直接連接Internet主機(jī)A通過教育網(wǎng)上InternetInternetHostAHostBHostCHostD00-50-04-BB-71-A600-50-04-BB-71-BCBINDTo00-50-04-BB-71-A6BINDTo00-50-04-BB-71-BCIP與MAC地址綁定后，不允許HostB假冒HostA的IP地址上網(wǎng)防火墻允許HostA上網(wǎng)跨路由器IP與MAC（用戶）的綁定對DHCP應(yīng)用環(huán)境的支持InternetDHCP服務(wù)器HostAHostBHostCHostDHostEHostF沒有固定IP地址只允許HostB上網(wǎng)設(shè)定HostB的MAC地址設(shè)定HostB的IP地址為空根據(jù)HostB的MAC地址進(jìn)行訪問控制客戶機(jī)建立連接并維持連接狀態(tài)直到查詢結(jié)