防火墻的安全體系結(jié)構(gòu)

5.3防火墻的安全體系結(jié)構(gòu)

目前市場上的大多數(shù)防火墻為避免單一技術(shù)的不足，通常都是包過濾（Packetfilteringfirewall）、電路級網(wǎng)關(guān)（Circuitlevelgateway）、應(yīng)用級網(wǎng)關(guān)（Applicationlevelgateway）、狀態(tài)監(jiān)測防火墻（StatefulInspectionFirewall）這幾種技術(shù)中的二、三種相結(jié)合的設(shè)計方式。精選ppt采用的安全體系結(jié)構(gòu)一般是在網(wǎng)絡(luò)層進行IP包過濾，在應(yīng)用層實現(xiàn)代理服務(wù)機制的體系結(jié)構(gòu)，并實時的進行狀態(tài)監(jiān)控。這些防火墻將信息分析功能、包過濾功能、多種反電子欺騙手段等多種安全措施綜合運用。根據(jù)系統(tǒng)管理員事先設(shè)定的安全規(guī)則（SecurityRules）保護內(nèi)部網(wǎng)絡(luò)，可以提供完善的安全性設(shè)置，通過高性能的網(wǎng)絡(luò)核心進行訪問控制，同時提供網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation）、透明的代理服務(wù)（TransparentProxy）、信息過濾（Filter）、雙機熱備份、流量控制和分析、用戶認證授權(quán)等功能。這樣防火墻標準配置提供四個網(wǎng)絡(luò)接口，將網(wǎng)絡(luò)信息劃分為不同的安全通道?；诿總€安全通道定義不同的安全策略。其結(jié)構(gòu)如圖5.15所示精選ppt圖5.15網(wǎng)絡(luò)結(jié)構(gòu)示意圖

精選ppt內(nèi)部網(wǎng)即內(nèi)部網(wǎng)絡(luò)是被保護的網(wǎng)絡(luò)，不對外開放，也不對外提供任何服務(wù)，所以外部用戶不能直接訪問內(nèi)部網(wǎng)絡(luò)，并且檢測不到內(nèi)部網(wǎng)絡(luò)的IP地址段，防火墻的主要目的就是屏蔽外部攻擊，保證內(nèi)部網(wǎng)絡(luò)安全。

DMZ區(qū)又稱非軍事化區(qū)，主要部署服務(wù)器，同時對外部網(wǎng)和內(nèi)部網(wǎng)提供服務(wù)，屬于的開放性區(qū)域，也是被攻擊的對象。由于該部分是與內(nèi)部網(wǎng)絡(luò)相隔離開的，因此即使服務(wù)器受到攻擊，也不會危及內(nèi)部網(wǎng)絡(luò)的安全。外部網(wǎng)即外部網(wǎng)絡(luò)（主要指Internet），針對內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)的大多數(shù)威脅和入侵都從這里發(fā)起。

精選ppt管理接口對防火墻的所有配置進行設(shè)置，方法是通過加密的信息通道對防火墻進行設(shè)置和操作。防火墻四個網(wǎng)絡(luò)接口相對獨立，管理員能夠通過管理接口實現(xiàn)對四個網(wǎng)絡(luò)接口間的通訊進行訪問控制，監(jiān)視和查詢網(wǎng)絡(luò)故障，并提供內(nèi)部監(jiān)控、日志審計等功能。以上安全體系結(jié)構(gòu)的防火墻是目前市場上專業(yè)防火墻采用的典型配置，當然用戶可以在此基礎(chǔ)上針對自身網(wǎng)絡(luò)的特點，依據(jù)實際情況靈活地使用防火墻的各個網(wǎng)絡(luò)接口。例如，有些網(wǎng)絡(luò)不提供DMZ區(qū)。精選ppt高端防火墻一般都是以TCP/IP和相關(guān)的應(yīng)用協(xié)議為基礎(chǔ)，分別在應(yīng)用層、傳輸層、網(wǎng)絡(luò)層與數(shù)據(jù)鏈路層對內(nèi)外通訊進行監(jiān)控。應(yīng)用層主要于對連接所用的具體協(xié)議內(nèi)容進行檢測。傳輸層和網(wǎng)絡(luò)層主要對IP、ICMP、TCP和UDP協(xié)議的安全策略進行訪問控制。數(shù)據(jù)鏈路層實現(xiàn)MAC地址檢查，防止IP欺騙。在沒有安裝防火墻時的網(wǎng)絡(luò)結(jié)構(gòu)圖如下:精選ppt圖5.16沒有安裝防火墻時的網(wǎng)絡(luò)結(jié)構(gòu)圖精選ppt安裝防火墻后的網(wǎng)絡(luò)結(jié)構(gòu)圖如下:圖5.17安裝防火墻時的網(wǎng)絡(luò)結(jié)構(gòu)圖

精選ppt通過防火墻安全體系結(jié)構(gòu)的特點，用戶一般對防火墻采取如下選擇原則。設(shè)計和選用防火墻首先要明確哪些內(nèi)部數(shù)據(jù)是必須保護的，這些數(shù)據(jù)的被侵入會造成的后果，并對內(nèi)部網(wǎng)絡(luò)采用分區(qū)域管理，對不同區(qū)域設(shè)置不同等級的安全級別。根據(jù)安全級別確定在該區(qū)域需要采用的防火墻安全標準。另外設(shè)計和選用防火墻還必須與網(wǎng)絡(luò)接口相匹配。盡量防止所有可能遭受的威脅。防火墻作為網(wǎng)絡(luò)安全體系的基礎(chǔ)和核心控制設(shè)備，它位于受保護網(wǎng)絡(luò)（一般為內(nèi)部網(wǎng)絡(luò)）的通信主干線，對通過通信主干線的任何通信行為進行安全處理、審核。針對不同情況采取控制數(shù)據(jù)流向、審計、拋棄數(shù)據(jù)包、報警反應(yīng)等行動，同時也承擔著繁重的通信任務(wù)即數(shù)據(jù)轉(zhuǎn)發(fā)。由于防火墻本身處于網(wǎng)絡(luò)系統(tǒng)中的核心位置和主要被攻擊點，因此在品種繁多的防火墻品種中選用一個安全、穩(wěn)定和可靠的防火墻產(chǎn)品，其重要性是不言而喻，直接關(guān)系到整個網(wǎng)絡(luò)系統(tǒng)的安全與否。

精選ppt1．防火墻自身的安全性防火墻自身的安全主要體現(xiàn)在自身設(shè)計和管理兩個方面。防火墻自身軟件系統(tǒng)主要分為防火墻操作系統(tǒng)和應(yīng)用系統(tǒng)。而設(shè)計的安全關(guān)鍵就是在于防火墻的操作系統(tǒng)，只有操作系統(tǒng)自身具有完整信任關(guān)系才可以保證系統(tǒng)的安全。而應(yīng)用系統(tǒng)的安全又是以操作系統(tǒng)的安全為基礎(chǔ)的，應(yīng)用系統(tǒng)是衡量一個防火墻性能的關(guān)鍵。可見防火墻自身的安全實現(xiàn)也直接影響整體系統(tǒng)的安全性。通過經(jīng)驗只有那些防火墻采用了專用硬件平臺，并采用基于安全的專用操作系統(tǒng)的防火墻才可能最大限度的保證防火墻自身安全。精選ppt例如，在當前的網(wǎng)絡(luò)攻中，拒絕服務(wù)攻擊是使用頻率最高的方法，很多大型網(wǎng)站遭受的大多是拒絕服務(wù)攻擊，因此在為網(wǎng)站選擇防火墻時一定要首先確保防火墻本身具有較強的抗拒絕服務(wù)攻擊的能力。拒絕服務(wù)攻擊一般分為兩類：一類是由于操作系統(tǒng)或應(yīng)用軟件本身設(shè)計或編程上的缺陷而造成的，由此帶來的攻擊種類很多，只有通過打補丁的辦法來解決；另一類是由于TCP／IP協(xié)議本身的缺陷造成的，這種情況目前只有幾種，但危害性非常大，很難從根本上解決。由于系統(tǒng)缺陷被攻擊和病毒的直接攻擊不同，這是因為防火墻沒有病毒碼可以作為安全策略的依據(jù)，并且防火墻在判斷拒絕服務(wù)攻擊時經(jīng)常出現(xiàn)誤報。抵抗拒絕服務(wù)攻擊的能力必須作為衡量防火墻性能指標的主要標準之一，目前防火墻不能真正做到抵御拒絕服務(wù)攻擊，只能是最大限度的降低拒絕服務(wù)攻擊的危害。精選ppt2．性能高效，系統(tǒng)可靠高性能是防火墻的一個重要指標，實際上用戶不論使用何種防火墻都是以付出網(wǎng)絡(luò)通信性能作為代價換取網(wǎng)絡(luò)安全的。如果用戶使用防火墻而帶來了網(wǎng)絡(luò)性能較大幅度下降的話，既是網(wǎng)絡(luò)安全性再高，也是用戶所無法接受的。而一個防火墻性能的高低又是同防火墻采用安全策略的規(guī)則數(shù)成反比的。一般來說，防火墻加載的安全策略超過上百條規(guī)則，其性能下降不應(yīng)超過5％，如果超過這個指標就必須考慮更換更高性能的防火墻了。另外還可以通過計算防火墻可以同時提供的連接數(shù)計算出一個指標，這個指標也可以作為衡量一個防火墻性能的標準。光有高性能還是不夠的，在高性能的同時還用保證防火墻的可靠性，性能和可靠性是密不可分的兩方面，不可偏廢。因為防火墻的可靠性對防火墻這種訪問控制設(shè)備來說極為重要，直接影響到防火墻的實用性。

精選ppt從系統(tǒng)設(shè)計上，提高可靠性的措施一般是提高本身部件的強健性、增大設(shè)計閾值和增加冗余部件。以及防火墻生產(chǎn)廠商采用較高的生產(chǎn)標準和設(shè)計冗余度，例如，使用更高的工業(yè)標淮作為生產(chǎn)標準、電源熱備份等方法。當然采用高可靠性設(shè)計的防火墻，它的價格也是成倍提升的。一般就成熟的產(chǎn)品來說，系統(tǒng)的可靠性是最基本的要求。防火墻的可靠性情況從廠家的宣傳材料中是看不出來的，但可以通過如下方法進行評估：是否經(jīng)過國家權(quán)威的測評認證機構(gòu)認證，例如，公安部計算機安全產(chǎn)品檢測中心和中國國家信息安全測評認證中心；是否具有入網(wǎng)證明書；通過其他渠道獲得消息，例如，同行之間的評價等。精選ppt3．功能完善，并具有可擴展性采用單一技術(shù)的防火墻，一般都功能單一，缺點明顯。建議在選取防火墻時盡量選擇那些功能多樣，可同時實現(xiàn)多種防火墻技術(shù)結(jié)合運用的防火墻。另外在網(wǎng)絡(luò)中部署新的網(wǎng)絡(luò)設(shè)備是一件非常復(fù)雜的事件，因為一般這意味著修改幾乎全部現(xiàn)有設(shè)備的配置，重新規(guī)劃網(wǎng)絡(luò)，同時還有可能造成運行不穩(wěn)定。網(wǎng)絡(luò)經(jīng)過一段時間運行后，往往網(wǎng)絡(luò)內(nèi)部情況復(fù)雜，所作的改動需要一段整合期。所以，用戶應(yīng)盡量選用那些具有良好擴展功能的防火墻。例如，良好的管理界面也是擴展性的一個方面。精選ppt一般用戶在制定安全政策時往往有些需求不是每款防火墻都會提供的，常見的需求主要有：地址轉(zhuǎn)換(IPaddresstranslation)，地址轉(zhuǎn)換的作用是隱藏內(nèi)部網(wǎng)絡(luò)真正的P地址，防止黑客直接攻擊內(nèi)部網(wǎng)絡(luò)，還可以讓內(nèi)部使用保留的地址，這對許多地址不足的企業(yè)是十分重要的；虛擬企業(yè)網(wǎng)絡(luò)(VPN)，VPN指為那些有權(quán)直接透過防火墻訪問內(nèi)部資源的外部用戶建立連接并對網(wǎng)絡(luò)傳輸?shù)膬?nèi)容加密，實際上是建立了一個虛擬通道，以使用戶感覺是在同一個網(wǎng)絡(luò)上，可以安全且不受約束地互相存取。例如，總公司與分公司之間或公司與外出員工之間的網(wǎng)絡(luò)連接就是屬于這一情況；限制只有特定用戶才有權(quán)限發(fā)送E-mail，F(xiàn)TP只能對文件進行GET操作，而不能進行PUT操作；限制同時上網(wǎng)人數(shù)和限制不同用戶的使用時間段等。精選ppt網(wǎng)絡(luò)結(jié)構(gòu)不是一成不變的。例如，在網(wǎng)絡(luò)建設(shè)之初，一般規(guī)模都比較小只需要在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間部署防火墻，但隨著網(wǎng)絡(luò)發(fā)展，可能網(wǎng)絡(luò)規(guī)模會不斷擴大，這時就需要對內(nèi)部網(wǎng)絡(luò)劃分子網(wǎng)，并根據(jù)實際情況對子網(wǎng)確定安全級別，這時一般就需要在這些子網(wǎng)之間部署相應(yīng)的防火墻。另外隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和攻擊手段的變化，防火墻也必須不斷地進行升級，因此支持軟件升級也是十分重要的。防火墻的功能評估及維護。防火墻對網(wǎng)絡(luò)的安全起到了一定的保護作用，作為網(wǎng)絡(luò)安全的一種防護手段。建立合理的安全規(guī)劃，配置有效的防火墻部署策略。通常的實施流程：風(fēng)險分析，需求分析，合理配置。精選ppt

Web服務(wù)器裝在防火墻內(nèi)的優(yōu)點是Web服務(wù)器受到安全保護，不容易受到攻擊，也不易為外部網(wǎng)絡(luò)提供Web服務(wù)。一般這種Web服務(wù)器站點只對內(nèi)網(wǎng)提供Web服務(wù)。

例如，針對內(nèi)部網(wǎng)和Web站點的安全。根據(jù)防火墻和Web服務(wù)器所處的位置可以分為Web服務(wù)器置于防火墻之內(nèi)、Web服務(wù)器置于防火墻之外和Web服務(wù)器置于防火墻之上3種配置。Web服務(wù)器置于防火墻之外。為保證內(nèi)部網(wǎng)絡(luò)的安全，將Web服務(wù)器完全置于防火墻之外是比較合適的。Web服務(wù)器置于防火墻之外時Web服務(wù)器不受保護，但內(nèi)部網(wǎng)則處于完全保護之中。

精選pptWeb服務(wù)器置于防火墻之上。將Web服務(wù)器裝在防火墻上主要包括利用代理服務(wù)器、雙重防火墻、利用成對的“入”、“出”服務(wù)器提供對信息訪問的控制。允許防火墻傳遞對80端口的請求，訪問請求會被限制到Web站點返回。或者可以在防火墻機器上安裝代理服務(wù)器，來自Web服務(wù)器的所有訪問請求在被代理服務(wù)器截獲之后才傳給服務(wù)器。防火墻設(shè)置是否成功的關(guān)鍵是制定訪問控制策略（安全策略），確立安全規(guī)則。例如，內(nèi)部用戶可以訪問因特網(wǎng)Web站點、FTP站點或發(fā)送SMTP電子郵件，但只允許來自因特網(wǎng)的SMTP郵件進入內(nèi)部網(wǎng)絡(luò)。當然一個內(nèi)部網(wǎng)路的不同部分之間也可以使用訪問控制策略。例如，外派員工可以通過VPN同內(nèi)部網(wǎng)絡(luò)進行安全連接，或允許一定的商業(yè)伙伴使用內(nèi)部網(wǎng)絡(luò)的部分資源。這樣防火墻用戶可能需要限制此類連接的訪問范圍。精選ppt

訪問控制策略規(guī)定了網(wǎng)絡(luò)不同部分之間允許的數(shù)據(jù)流向，確定哪些類型的數(shù)據(jù)流是允許的，哪些是不允許的。在制定訪問控制策略時，用戶可以使用訪問控制描述符進行說明，見下表:精選ppt內(nèi)容規(guī)定流向

按信息的流向規(guī)定允許的傳輸行為。例如，由外部網(wǎng)絡(luò)傳入內(nèi)部網(wǎng)絡(luò)的信息或從內(nèi)部網(wǎng)絡(luò)發(fā)送到外部網(wǎng)絡(luò)的信息

服務(wù)

訪問的服務(wù)器應(yīng)用的服務(wù)類型。例如web訪問、文件傳輸協(xié)議、簡單文件傳輸協(xié)議。

主機

有時除制定傳輸方向外還需要更詳細的說明。例如，某公司可能允許訪問某臺指定內(nèi)部網(wǎng)絡(luò)的計算機?；蛘呖捎胁糠肿泳W(wǎng)絡(luò)或主機可以訪問外部網(wǎng)絡(luò)。

用戶

訪問權(quán)限分派，不同級別的用戶具有不同的訪問權(quán)限。例如，當外派用戶如果需要對內(nèi)部網(wǎng)絡(luò)訪問時，一般防火墻須對每個試圖訪問的人進行授權(quán)檢查保證只有具有相關(guān)權(quán)限的用戶才可以進入。

時間

對訪問時間進行限制，只允許在某天中的某些時刻進行訪問。例如，內(nèi)部網(wǎng)絡(luò)用戶只能在7:00-17:00之間訪問外部網(wǎng)絡(luò)。

帶寬管理

根據(jù)不同用戶或不同子網(wǎng)設(shè)置帶寬限制，分配網(wǎng)絡(luò)資源來控制訪問活動

精選ppt評價防火墻性能不能僅僅認為是安全防護作用，還要看防火墻阻擋或捕捉到惡意攻擊和非法訪問的蛛絲馬跡的能力。按防火墻狀態(tài)級別來分，一般有五種狀態(tài)：1)未受傷害能夠正常工作。2)關(guān)閉并重新啟動，同時恢復(fù)到正常工作狀態(tài)。3)關(guān)閉并重新啟動，同時恢復(fù)到防火墻的初始設(shè)置。4)禁止所有的數(shù)據(jù)通行。5)允許所有的數(shù)據(jù)通行，此時防火墻處于完全失效狀態(tài)。防火墻必須進行維護精選ppt防火墻投入使用后，需要網(wǎng)絡(luò)管理員進行大量的日常工作維護。主要的維護工作有以下幾種。(1)數(shù)據(jù)備份，日常管理必須對防火墻的配置數(shù)據(jù)進行備份，包括每次更改后的備份。一旦防火墻出現(xiàn)故障，則可迅速恢復(fù)。(2)隨時監(jiān)測，實時監(jiān)測防火墻的工作情況，及時檢查防火墻工作狀態(tài)是否正常，是否有入侵者在活動?？梢允褂门鋫浔O(jiān)測軟件的專用計算機在監(jiān)測點上進行定期或長期監(jiān)測，記錄下監(jiān)測到的信息并進行分析，以及定期檢查日志文件。另外還需要經(jīng)常定期對軟件進行更新，升級版本。攻擊正是基于這類防火墻對II)地址缺乏識別和驗證的機制。精選ppt通常情況下，從外部網(wǎng)絡(luò)直接攻擊防火墻入侵內(nèi)部網(wǎng)絡(luò)的可能性非常小，有效的攻擊都是從內(nèi)部網(wǎng)絡(luò)的相