計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)-防火墻基礎(chǔ)

一個(gè)典型的防火墻使用形態(tài)進(jìn)行訪問(wèn)規(guī)那么檢查發(fā)起訪問(wèn)請(qǐng)求合法請(qǐng)求那么允許對(duì)外訪問(wèn)將訪問(wèn)記錄寫進(jìn)日志文件合法請(qǐng)求那么允許對(duì)外訪問(wèn)發(fā)起訪問(wèn)請(qǐng)求

Internet區(qū)域Internet邊界路由器DMZ區(qū)域WWWMailDNS內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)防火墻在此處的功能：1、工作子網(wǎng)與外部子網(wǎng)的物理隔離2、訪問(wèn)控制3、對(duì)工作子網(wǎng)做NAT地址轉(zhuǎn)換4、日志記錄.防火墻示意圖Internet1.企業(yè)內(nèi)聯(lián)網(wǎng)2.部門子網(wǎng)3.分公司網(wǎng)絡(luò).防火墻是什么在一個(gè)受保護(hù)的內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)間,用來(lái)強(qiáng)制執(zhí)行企業(yè)平安策略的一個(gè)或一組系統(tǒng)..防火墻主要用于保護(hù)內(nèi)部平安網(wǎng)絡(luò)免受外部網(wǎng)不平安網(wǎng)絡(luò)的侵害。典型情況：平安網(wǎng)絡(luò)為企業(yè)內(nèi)部網(wǎng)絡(luò)，不平安網(wǎng)絡(luò)為因特網(wǎng)。但防火墻不只用于因特網(wǎng)，也可用于Intranet各部門網(wǎng)絡(luò)之間〔內(nèi)部防火墻〕。例：財(cái)務(wù)部與市場(chǎng)部之間。.防火墻概念〔1〕最初含義：當(dāng)房屋還處于木制結(jié)構(gòu)的時(shí)侯，人們將石塊堆砌在房屋周圍用來(lái)防止火災(zāi)的發(fā)生。這種墻被稱之為防火墻。RichKosinski(InternetSecurity公司總裁〕： 防火墻是一種訪問(wèn)控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不平安的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對(duì)信息資源的非法訪問(wèn)。換句話說(shuō)，防火墻是一道門檻，控制進(jìn)/出兩個(gè)方向的通信。.WilliamCheswick和SteveBeilovin〔1994〕：防火墻是放置在兩個(gè)網(wǎng)絡(luò)之間的一組組件，這組組件共同具有以下性質(zhì)：只允許本地平安策略授權(quán)的通信信息通過(guò)雙向通信信息必須通過(guò)防火墻防火墻本身不會(huì)影響信息的流通防火墻概念〔2〕.防火墻概念〔3〕簡(jiǎn)單的說(shuō)，網(wǎng)絡(luò)平安的第一道防線

防火墻是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間〔如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間〕的軟件或硬件設(shè)備的組合，它對(duì)兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過(guò)強(qiáng)制實(shí)施統(tǒng)一的平安策略，防止對(duì)重要信息資源的非法存取和訪問(wèn)以到達(dá)保護(hù)系統(tǒng)平安的目的。.防火墻的概念〔4〕在邏輯上，防火墻是別離器，限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和外部網(wǎng)之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的平安。在物理上，防火墻通常是一組硬件設(shè)備——路由器、主計(jì)算機(jī)，或者是路由器、計(jì)算機(jī)和配有軟件的網(wǎng)絡(luò)的組合。防火墻一般可分為多個(gè)局部，某些局部除了執(zhí)行防火墻功能外還執(zhí)行其它功能。如：加密和解密——VPN。.防火墻概念〔5〕防火墻的實(shí)質(zhì)是一對(duì)矛盾〔或稱機(jī)制)：限制數(shù)據(jù)流通允許數(shù)據(jù)流通兩種極端的表現(xiàn)形式：除了非允許不可的都被禁止，平安但不好用。〔限制政策〕除了非禁止不可的都被允許，好用但不平安?！矊捤烧摺扯鄶?shù)防火墻都在兩種之間采取折衷。

.防火墻實(shí)現(xiàn)層次.防火墻的根本功能模塊應(yīng)用程序代理包過(guò)濾&狀態(tài)檢測(cè)用戶認(rèn)證NATVPN日志IDS與報(bào)警內(nèi)容過(guò)濾.防火墻的主要功能防火墻的功能過(guò)濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)管理進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為封堵某些禁止的業(yè)務(wù)記錄進(jìn)出網(wǎng)絡(luò)的信息和活動(dòng)對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警.Internet防火墻的作用Internet防火墻允許網(wǎng)絡(luò)管理員定義一個(gè)中心“扼制點(diǎn)〞來(lái)防止非法用戶，如黑客、網(wǎng)絡(luò)破壞者等進(jìn)入內(nèi)部網(wǎng)絡(luò)。禁止存在平安脆弱性的效勞進(jìn)出網(wǎng)絡(luò)，并抗擊來(lái)自各種路線的攻擊。Internet防火墻能夠簡(jiǎn)化平安管理，網(wǎng)絡(luò)平安性是在防火墻系統(tǒng)上得到加固，而不是分布在內(nèi)部網(wǎng)絡(luò)的所有主機(jī)上。在防火墻上可以很方便的監(jiān)視網(wǎng)絡(luò)的平安性，并產(chǎn)生報(bào)警。應(yīng)該注意的是：對(duì)一個(gè)內(nèi)部網(wǎng)絡(luò)已經(jīng)連接到Internet上的機(jī)構(gòu)來(lái)說(shuō)，重要的問(wèn)題并不是網(wǎng)絡(luò)是否會(huì)受到攻擊，而是何時(shí)會(huì)受到攻擊。網(wǎng)絡(luò)管理員必須審計(jì)并記錄所有通過(guò)防火墻的重要信息。如果網(wǎng)絡(luò)管理員不能及時(shí)響應(yīng)報(bào)警并審查常規(guī)記錄，防火墻就形同虛設(shè)。在這種情況下，網(wǎng)絡(luò)管理員永遠(yuǎn)不會(huì)知道防火墻是否受到攻擊。.Internet防火墻的作用Internet防火墻可以作為部署NAT(NetworkAddressTranslator，網(wǎng)絡(luò)地址變換〕的邏輯地址。因此防火墻可以用來(lái)緩解地址空間短缺的問(wèn)題，并消除機(jī)構(gòu)在變換ISP時(shí)帶來(lái)的重新編址的麻煩。Internet防火墻是審計(jì)和記錄Internet使用量的一個(gè)最正確地方。網(wǎng)絡(luò)管理員可以在此向管理部門提供Internet連接的費(fèi)用情況，查出潛在的帶寬瓶頸的位置，并能夠根據(jù)機(jī)構(gòu)的核算模式提供部門級(jí)的記費(fèi)。Internet防火墻也可以成為向客戶發(fā)布信息的地點(diǎn)。Internet防火墻作為部署WWW效勞器和FTP效勞器的地點(diǎn)非常理想。還可以對(duì)防火墻進(jìn)行配置，允許Internet訪問(wèn)上述效勞，而禁止外部對(duì)受保護(hù)的內(nèi)部網(wǎng)絡(luò)上其它系統(tǒng)的訪問(wèn)。.互聯(lián)網(wǎng)非法獲取內(nèi)部數(shù)據(jù)防火墻的作用示意圖.目前合法的IP地址已經(jīng)遠(yuǎn)遠(yuǎn)不夠使用，許多公司內(nèi)部使用的都是非法的IP地址，無(wú)法直接與外界相連。防火墻能夠?qū)?nèi)部使用的非法IP地址與對(duì)外真正的IP作轉(zhuǎn)換。使現(xiàn)在使用的IP無(wú)需變動(dòng)，也能夠與外界相通。防火墻提供一對(duì)一〔NAT〕及多對(duì)一〔PAT〕的地址轉(zhuǎn)換，可保護(hù)及隱藏內(nèi)部網(wǎng)絡(luò)資源并減少由于架設(shè)網(wǎng)絡(luò)防火墻所引起的IP地址變動(dòng)，方便網(wǎng)絡(luò)管理，并可以解決IP地址缺乏的問(wèn)題。地址翻譯(NAT).網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)〔NAT〕NAT〔NetworkAddressTranslation〕:就是將一個(gè)IP地址用另一個(gè)IP地址代替。應(yīng)用領(lǐng)域：網(wǎng)絡(luò)管理員希望隱藏內(nèi)部網(wǎng)絡(luò)的IP地址。內(nèi)部網(wǎng)絡(luò)的IP地址是無(wú)效的IP地址。合法InternetIP地址有限，而且受保護(hù)網(wǎng)絡(luò)往往有自己的一套IP地址規(guī)劃〔非正式IP地址〕.網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)〔NAT〕解決方法：網(wǎng)絡(luò)地址轉(zhuǎn)換器就是在防火墻上裝一個(gè)合法IP地址集。當(dāng)內(nèi)部某一用戶要訪問(wèn)Internet時(shí)，防火墻動(dòng)態(tài)地從地址集中選一個(gè)未分配的地址分配給該用戶；同時(shí)，對(duì)于內(nèi)部的某些效勞器如Web效勞器，網(wǎng)絡(luò)地址轉(zhuǎn)換器允許為其分配一個(gè)固定的合法地址。好處：緩解IP地址匱乏問(wèn)題；對(duì)外隱藏了內(nèi)部主機(jī)的IP地址，提高了平安性。.防火墻網(wǎng)關(guān)NAT技術(shù)中將不合法IP轉(zhuǎn)換為合法IP.InternetIntranet防火墻路由器將內(nèi)部網(wǎng)地址轉(zhuǎn)換成網(wǎng)關(guān)地址問(wèn)題：所有返回?cái)?shù)據(jù)包目的IP都是，防火墻如何識(shí)別并送回真正主機(jī)？方法：1、防火墻記住所有發(fā)送包的目的端口；

2、防火墻記住所有發(fā)送包的TCP序列號(hào).NAT示意圖Internet005WWWPCPCServer.內(nèi)容過(guò)濾阻止Java,ActiveX,JavaScript

VBscriptURL記錄和攔截SMTP過(guò)濾丟棄假來(lái)源地址的信件可設(shè)定傳送信件的大小可消除內(nèi)部信件傳遞路徑信息,防止內(nèi)部主機(jī)暴露給外界提供E-mail地址轉(zhuǎn)換功能病毒?.InspectPortCommandDropsthePacketHTTPRequestJavaSignatureServerReplyRequestsforJavaAppletNNoJavaSignature—

LetsitThroughInspectWebServerWebClientJava阻塞

.防火墻的評(píng)價(jià)

--防火墻不可以防范什么防火墻不是解決所有網(wǎng)絡(luò)平安問(wèn)題的萬(wàn)能藥方，只是網(wǎng)絡(luò)平安政策和策略中的一個(gè)組成局部。防火墻不能防范繞過(guò)防火墻的攻擊，例:內(nèi)部提供撥號(hào)效勞。防火墻不能防范來(lái)自內(nèi)部人員惡意的攻擊。防火墻不能阻止被病毒感染的程序或文件的傳遞。防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。例:特洛伊木馬。

.防火墻的評(píng)價(jià)

--防火墻不可以防范什么內(nèi)部提供撥號(hào)效勞繞過(guò)防火墻.日志功能日志記錄一般包括:系統(tǒng)日志、流量日志、告警日志等.根據(jù)管理的需要，它可以對(duì)每一個(gè)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包作簡(jiǎn)單或詳細(xì)的紀(jì)錄。包括數(shù)據(jù)的來(lái)源，目的，使用的協(xié)議，時(shí)間甚至數(shù)據(jù)的內(nèi)容等等。.防火墻的種類防火墻的存在形式：軟件、硬件。根據(jù)防范方式和側(cè)重點(diǎn)的不同可分為四類：包過(guò)濾應(yīng)用層代理電路層代理狀態(tài)檢查.包過(guò)濾防火墻.包過(guò)濾防火墻包過(guò)濾防火墻對(duì)所接收的每個(gè)數(shù)據(jù)包做允許拒絕的決定。防火墻審查每個(gè)數(shù)據(jù)報(bào)以便確定其是否與某一條包過(guò)濾規(guī)那么匹配。過(guò)濾規(guī)那么基于可以提供給IP轉(zhuǎn)發(fā)過(guò)程的包頭信息。包頭信息中包括IP源地址、IP目標(biāo)端地址、內(nèi)裝協(xié)〔TCP、UDP、ICMP、或IPTunnel〕、TCP/UDP目標(biāo)端口、ICMP消息類型、TCP包頭中的ACK位包的進(jìn)入接口和出接口如果有匹配并且規(guī)那么允許該數(shù)據(jù)包，那么該數(shù)據(jù)包就會(huì)按照路由表中的信息被轉(zhuǎn)發(fā)。如果匹配并且規(guī)那么拒絕該數(shù)據(jù)包，那么該數(shù)據(jù)包就會(huì)被丟棄。如果沒(méi)有匹配規(guī)那么，用戶配置的缺省參數(shù)會(huì)決定是轉(zhuǎn)發(fā)還是丟棄數(shù)據(jù)包。.包過(guò)濾防火墻包過(guò)濾防火墻使得防火墻能夠根據(jù)特定的效勞允許或拒絕流動(dòng)的數(shù)據(jù)，因?yàn)槎鄶?shù)的效勞收聽(tīng)者都在的TCP/UDP端口號(hào)上。例如，Telnet效勞器在TCP的23號(hào)端口上監(jiān)聽(tīng)遠(yuǎn)地連接，而SMTP效勞器在TCP的25號(hào)端口上監(jiān)聽(tīng)人連接。為了阻塞所有進(jìn)入的Telnet連接，防火墻只需簡(jiǎn)單的丟棄所有TCP端口號(hào)等于23的數(shù)據(jù)包。為了將進(jìn)來(lái)的Telnet連接限制到內(nèi)部的數(shù)臺(tái)機(jī)器上，防火墻必須拒絕所有TCP端口號(hào)等于23并且目標(biāo)IP地址不等于允許主機(jī)的IP地址的數(shù)據(jù)包。.包過(guò)濾檢查內(nèi)容數(shù)據(jù)包過(guò)濾一般要檢查網(wǎng)絡(luò)層的IP頭和傳輸層的頭：IP源地址IP目標(biāo)地址協(xié)議類型〔TCP包、UDP包和ICMP包〕TCP或UDP包的目的端口TCP或UDP包的源端口ICMP消息類型TCP包頭的ACK位TCP包的序列號(hào)、IP校驗(yàn)和等.優(yōu)點(diǎn)：

速度快，性能高對(duì)用戶透明缺點(diǎn)：維護(hù)比較困難(需要對(duì)TCP/IP了解〕平安性低〔IP欺騙等〕不提供有用的日志，或根本就不提供不防范數(shù)據(jù)驅(qū)動(dòng)型攻擊不能根據(jù)狀態(tài)信息進(jìn)行控制不能處理網(wǎng)絡(luò)層以上的信息無(wú)法對(duì)網(wǎng)絡(luò)上流動(dòng)的信息提供全面的控制包過(guò)濾防火墻優(yōu)缺點(diǎn)

互連的物理介質(zhì)應(yīng)用層表示層會(huì)話層傳輸層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層.透明模式包過(guò)濾.NAT模式.NAT(MAPIP).NATSample(PAT).虛擬IP.路由模式.代理效勞器代理效勞是運(yùn)行在防火墻主機(jī)上的專門的應(yīng)用程序或者效勞器程序。不允許通信直接經(jīng)過(guò)外部網(wǎng)和內(nèi)部網(wǎng)。將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接〞，由兩個(gè)終止代理效勞器上的“鏈接〞來(lái)實(shí)現(xiàn)外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理效勞器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。.代理效勞器示意圖.Telnet代理效勞器.代理效勞的分類代理效勞分類：代理效勞可分為應(yīng)用級(jí)代理與電路級(jí)代理：應(yīng)用級(jí)代理是代理效勞向哪一應(yīng)用提供的代理，它在應(yīng)用協(xié)議中理解并解釋命令。應(yīng)用級(jí)代理的優(yōu)點(diǎn)為它能解釋應(yīng)用協(xié)議從而獲得更多的信息，缺點(diǎn)為只適用于單一協(xié)議。電路級(jí)代理是在客戶和效勞器之間不解釋應(yīng)用協(xié)議即建立回路。電路級(jí)代理的優(yōu)點(diǎn)在于它能對(duì)各種不同的協(xié)議提供效勞，缺點(diǎn)在于它對(duì)因代理而發(fā)生的情況幾乎不加控制。.應(yīng)用層代理的優(yōu)點(diǎn)應(yīng)用層代理能夠讓網(wǎng)絡(luò)管理員對(duì)效勞進(jìn)行全面的控制，因?yàn)榇響?yīng)用限制了命令集并決定哪些內(nèi)部主機(jī)可以被該效勞訪問(wèn)。網(wǎng)絡(luò)管理員可以完全控制提供哪些效勞，因?yàn)闆](méi)有特定效勞的代理就表示該效勞不提供。防火墻可以被配置成唯一的可被外部看見(jiàn)的主機(jī)，這樣可以保護(hù)內(nèi)部主機(jī)免受外部主機(jī)的進(jìn)攻。應(yīng)用層代理有能力支持可靠的用戶認(rèn)證并提供詳細(xì)的注冊(cè)信息。另外，用于應(yīng)用層的過(guò)濾規(guī)那么相對(duì)于包過(guò)濾防火墻來(lái)說(shuō)更容易配置和測(cè)試。代理工作在客戶機(jī)和真實(shí)效勞器之間，完全控制會(huì)話，所以可以提供很詳細(xì)的日志和平安審計(jì)功能。.應(yīng)用層代理的缺點(diǎn)應(yīng)用層代理的最大缺點(diǎn)是要求用戶改變自己的行為，或者在訪問(wèn)代理效勞的每個(gè)系統(tǒng)上安裝特殊的軟件。比方，透過(guò)應(yīng)用層代理Telnet訪問(wèn)要求用戶通過(guò)兩步而不是一步來(lái)建立連接。不過(guò)，特殊的端系統(tǒng)軟件可以讓用戶在Telnet命令中指定目標(biāo)主機(jī)而不是應(yīng)用層代理來(lái)使應(yīng)用層代理透明。每個(gè)應(yīng)用程序都必須有一個(gè)代理效勞程序來(lái)進(jìn)行平安控制，每一種應(yīng)用升級(jí)時(shí)，一般代理效勞程序也要升級(jí)。.全狀態(tài)檢查狀態(tài)檢測(cè)技術(shù)：在包過(guò)濾的同時(shí)，檢察數(shù)據(jù)包之間的關(guān)聯(lián)性，數(shù)據(jù)包中動(dòng)態(tài)變化的狀態(tài)碼。監(jiān)測(cè)引擎：一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)平安策略的軟件模塊。監(jiān)測(cè)引擎采用抽取有關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測(cè)，抽取狀態(tài)信息，并動(dòng)態(tài)地保存起來(lái)作為以后執(zhí)行平安策略的參考。當(dāng)用戶訪問(wèn)請(qǐng)求到達(dá)網(wǎng)關(guān)的操作系統(tǒng)前，狀態(tài)監(jiān)視器要抽取有關(guān)數(shù)據(jù)進(jìn)行分析，結(jié)合網(wǎng)絡(luò)配置和平安規(guī)定作出接納、拒絕、身份認(rèn)證、報(bào)警或給該通信加密等處理動(dòng)作。.應(yīng)用層表示層會(huì)話層傳輸層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層監(jiān)測(cè)引擎狀態(tài)檢測(cè)示意圖.狀態(tài)檢測(cè)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：一旦某個(gè)訪問(wèn)違反平安規(guī)定，就會(huì)拒絕該訪問(wèn)，并報(bào)告有關(guān)狀態(tài)作日志記錄。它會(huì)監(jiān)測(cè)無(wú)連接狀態(tài)的遠(yuǎn)程過(guò)程調(diào)用〔RPC〕和用戶數(shù)據(jù)報(bào)〔UDP〕之類的端口信息。缺點(diǎn)：降低網(wǎng)絡(luò)速度配置比較復(fù)雜.防火墻的體系結(jié)構(gòu)防火墻的主要體系結(jié)構(gòu)：雙重宿主主機(jī)體系結(jié)構(gòu)屏蔽主機(jī)體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)其它的防火墻結(jié)構(gòu).雙重宿主主機(jī)體系結(jié)構(gòu)〔1〕雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞雙重宿主主機(jī)構(gòu)筑的。雙重宿主主機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口，它位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，它能從一個(gè)網(wǎng)絡(luò)接收IP數(shù)據(jù)包并將之發(fā)往另一網(wǎng)絡(luò)。然而實(shí)現(xiàn)雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送功能，完全阻止了內(nèi)外網(wǎng)絡(luò)之間的IP通信。兩個(gè)網(wǎng)絡(luò)之間的通信可通過(guò)應(yīng)用層數(shù)據(jù)共享和應(yīng)用層代理效勞的方法實(shí)現(xiàn)。一般情況下采用代理效勞的方法。.Internet防火墻雙重宿主主機(jī)內(nèi)部網(wǎng)絡(luò)……雙重宿主主機(jī)體系結(jié)構(gòu).雙重宿主主機(jī)體系結(jié)構(gòu)〔2〕雙重宿主主機(jī)的特性：平安至關(guān)重要〔唯一通道〕，其用戶口令控制平安是關(guān)鍵。必須支持很多用戶的訪問(wèn)〔中轉(zhuǎn)站〕，其性能非常重要。缺點(diǎn)：雙重宿主主機(jī)是隔開(kāi)內(nèi)外網(wǎng)絡(luò)的唯一屏障，一旦它被入侵，內(nèi)部網(wǎng)絡(luò)便向入侵者敞開(kāi)大門。.屏蔽主機(jī)體系結(jié)構(gòu)〔1〕屏蔽主機(jī)體系結(jié)構(gòu)由防火墻和內(nèi)部網(wǎng)絡(luò)的堡壘主機(jī)承擔(dān)平安責(zé)任。一般這種防火墻較簡(jiǎn)單，可能就是簡(jiǎn)單的路由器。典型構(gòu)成：包過(guò)濾路由器＋堡壘主機(jī)。包過(guò)濾路由器配置在內(nèi)部網(wǎng)和外部網(wǎng)之間，保證外部系統(tǒng)對(duì)內(nèi)部網(wǎng)絡(luò)的操作只能經(jīng)過(guò)堡壘主機(jī)。堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上，是外部網(wǎng)絡(luò)主機(jī)連接到內(nèi)部網(wǎng)絡(luò)主機(jī)的橋梁，它需要擁有高等級(jí)的平安。.屏蔽主機(jī)體系結(jié)構(gòu)〔2〕屏蔽路由器可按如下規(guī)那么之一進(jìn)行配置：允許內(nèi)部主機(jī)為了某些效勞請(qǐng)求與外部網(wǎng)上的主機(jī)建立直接連接〔即允許那些經(jīng)過(guò)過(guò)濾的效勞〕。不允許所有來(lái)自外部主機(jī)的直接連接。平安性更高，雙重保護(hù)：實(shí)現(xiàn)了網(wǎng)絡(luò)層平安〔包過(guò)濾〕和應(yīng)用層平安〔代理效勞〕。缺點(diǎn)：過(guò)濾路由器能否正確配置是平安與否的關(guān)鍵。如果路由器被損害，堡壘主機(jī)將被穿過(guò)，整個(gè)網(wǎng)絡(luò)對(duì)侵襲者是開(kāi)放的。.……屏蔽主機(jī)體系結(jié)構(gòu)因特網(wǎng).屏蔽子網(wǎng)體系結(jié)構(gòu)〔1〕屏蔽子網(wǎng)體系結(jié)構(gòu)在本質(zhì)上與屏蔽主機(jī)體系結(jié)構(gòu)一樣，但添加了額外的一層保護(hù)體系——周邊網(wǎng)絡(luò)。堡壘主機(jī)位于周邊網(wǎng)絡(luò)上，周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)被內(nèi)部路由器分開(kāi)。原因：堡壘主機(jī)是用戶網(wǎng)絡(luò)上最容易受侵襲的機(jī)器。通過(guò)在周邊網(wǎng)絡(luò)上隔離堡壘主機(jī)，能減少在堡壘主機(jī)被侵入的影響。.Internet周邊網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)……外部路由器堡壘主機(jī)內(nèi)部路由器屏蔽子網(wǎng)體系結(jié)構(gòu).屏蔽子網(wǎng)體系結(jié)構(gòu)〔2〕周邊網(wǎng)絡(luò)是一個(gè)防護(hù)層，在其上可放置一些信息效勞器，它們是犧牲主機(jī)，可能會(huì)受到攻擊，因此又被稱為非軍事區(qū)〔DMZ〕。周邊網(wǎng)絡(luò)的作用：即使堡壘主機(jī)被入侵者控制，它仍可消除對(duì)內(nèi)部網(wǎng)的偵聽(tīng)。例:netxray等的工作原理。.屏蔽子網(wǎng)體系結(jié)構(gòu)〔3〕堡壘主機(jī)堡壘主機(jī)位于周邊網(wǎng)絡(luò)，是整個(gè)防御體系的核心。堡壘主機(jī)可被認(rèn)為是應(yīng)用層網(wǎng)關(guān)，可以運(yùn)行各種代理效勞程序。對(duì)于出站效勞不一定要求所有的效勞經(jīng)過(guò)堡壘主機(jī)代理，但對(duì)于入站效勞應(yīng)要求所有效勞都通過(guò)堡壘主機(jī)。.屏蔽子網(wǎng)體系結(jié)構(gòu)〔4〕外部路由器〔訪問(wèn)路由器〕作用：保護(hù)周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的侵犯。它把入站的數(shù)據(jù)包路由到堡壘主機(jī)。防止局部IP欺騙，它可分辨出數(shù)據(jù)包是否真正來(lái)自周邊網(wǎng)絡(luò)，而內(nèi)部路由器不可。內(nèi)部路由器〔阻塞路由器〕作用：保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)和周邊網(wǎng)絡(luò)的侵害，它執(zhí)行大局部過(guò)濾工作。外部路由器一般與內(nèi)部路由器應(yīng)用相同的規(guī)那么。.其它的防火墻結(jié)構(gòu)〔1〕OutsideDemilitarizedZones(DMZs)PublicAccessServerPublicAccessServer.其它的防火墻結(jié)構(gòu)〔2〕一個(gè)堡壘主機(jī)和一個(gè)非軍事區(qū)示意圖……DMZ堡壘主機(jī)內(nèi)部網(wǎng)外部路由器Internet.其它的防火墻結(jié)構(gòu)〔3〕兩個(gè)堡壘主機(jī)和兩個(gè)非軍事區(qū)外部DMZ外部堡壘主機(jī)內(nèi)部網(wǎng)外部路由器Internet……內(nèi)部堡壘主機(jī)內(nèi)部DMZ.防火墻的關(guān)鍵技術(shù)包過(guò)濾技術(shù)代理技術(shù)狀態(tài)檢查技術(shù)地址轉(zhuǎn)換技術(shù)〔NAT〕虛擬專網(wǎng)技術(shù)〔VPN〕內(nèi)容檢查技術(shù)：提供對(duì)高層效勞協(xié)議數(shù)據(jù)的監(jiān)控能力。包括計(jì)算機(jī)病毒、惡意的JavaApplet或ActiveX控件的攻擊、惡意的電子郵件及不健康網(wǎng)頁(yè)內(nèi)容等的過(guò)濾防護(hù)。.防火墻的平安標(biāo)準(zhǔn)〔1〕防火墻技術(shù)開(kāi)展很快，但是現(xiàn)在標(biāo)準(zhǔn)尚不健全，導(dǎo)致不同的防火墻產(chǎn)品兼容性差，給不同廠商的防火墻產(chǎn)品的互聯(lián)帶來(lái)了困難。為了解決這個(gè)問(wèn)題目前已提出了2個(gè)標(biāo)準(zhǔn)：1、RSA數(shù)據(jù)平安公司與一些防火墻的生產(chǎn)廠商〔如Checkpoint公司、TIS公司等〕以及一些TCP/IP協(xié)議開(kāi)發(fā)商〔如FTP公司等〕提出了Secure／WAN〔S／WAN〕標(biāo)準(zhǔn)，它能使在IP層上由支持?jǐn)?shù)據(jù)加密技術(shù)的不同廠家生產(chǎn)的防火墻和TCP／IP協(xié)議具有互操作性，從而解決了建立虛擬專用網(wǎng)〔VPN〕的一個(gè)主要障礙。.防火墻的平安標(biāo)準(zhǔn)〔2〕此標(biāo)準(zhǔn)包含兩個(gè)局部：①防火墻中采用的信息加密技術(shù)一致，即加密算法、平安協(xié)議一致，使得遵循此標(biāo)準(zhǔn)生產(chǎn)的防火墻產(chǎn)品能夠?qū)崿F(xiàn)無(wú)縫互聯(lián)，但又不失去加密功能；②平安控制策略的標(biāo)準(zhǔn)性、邏輯上的正確合理性，防止了各大防火墻廠商推出的防火墻產(chǎn)品由于平安策略上的漏洞而對(duì)整個(gè)內(nèi)部保護(hù)網(wǎng)絡(luò)產(chǎn)生危害。.防火墻的平安標(biāo)準(zhǔn)〔3〕2、美國(guó)國(guó)家計(jì)算機(jī)平安協(xié)會(huì)NCSA〔NationalComputerSecurityAssociation〕成立的防火墻開(kāi)發(fā)商FWPD〔FirewallProductDeveloper〕聯(lián)盟制訂的防火墻測(cè)試標(biāo)準(zhǔn)。3、我國(guó)質(zhì)量技術(shù)監(jiān)督局1999.11.11發(fā)布，2000.5.1開(kāi)始實(shí)施：包過(guò)濾防火墻平安技術(shù)要求應(yīng)用級(jí)防火墻平安技術(shù)要求網(wǎng)絡(luò)代理效勞器的平安技術(shù)要求.防火墻技術(shù)的回憶與展望防火墻技術(shù)與產(chǎn)品回憶第四代防火墻的主要技術(shù)與功能防火墻開(kāi)展現(xiàn)狀防火墻技術(shù)展望.防火墻技術(shù)與產(chǎn)品開(kāi)展回憶防火墻產(chǎn)品目前已形成一個(gè)產(chǎn)業(yè)，年增長(zhǎng)率達(dá)173％。五大根本功能：過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);管理進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為；封堵某些禁止的業(yè)務(wù)；記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊檢測(cè)和告警。.防火墻產(chǎn)品開(kāi)展的四個(gè)階段基于路由器的防火墻用戶化的防火墻工具套件建立在通用操作系統(tǒng)上的防火墻具有平安操作系統(tǒng)的防火墻.第一代：

基于路由器的防火墻稱為包過(guò)濾防火墻特征：以訪問(wèn)控制表方式實(shí)現(xiàn)分組過(guò)濾過(guò)濾的依據(jù)是IP地址、端口號(hào)和其它網(wǎng)絡(luò)特征只有分組過(guò)濾功能，且防火墻與路由器一體.第一代：

基于路由器的防火墻(二)缺點(diǎn)：路由協(xié)議本身具有平安漏洞路由器上的分組過(guò)濾規(guī)那么的設(shè)置和配置復(fù)雜攻擊者可假冒地址本質(zhì)缺陷：一對(duì)矛盾，防火墻的設(shè)置會(huì)大大降低路由器的性能。路由器：為網(wǎng)絡(luò)訪問(wèn)提供動(dòng)態(tài)靈活的路由防火墻：對(duì)訪問(wèn)行為實(shí)施靜態(tài)固定的控制.包過(guò)濾型防火墻

.第二代:

用戶化的防火墻工具套件特征：將過(guò)濾功能從路由器中獨(dú)立出來(lái)，并加上審計(jì)和告警功能；針對(duì)用戶需求提供模塊化的軟件包；平安性提高，價(jià)格降低；純軟件產(chǎn)品，實(shí)現(xiàn)維護(hù)復(fù)雜。缺點(diǎn)：配置和維護(hù)過(guò)程復(fù)雜費(fèi)時(shí)；對(duì)用戶技術(shù)要求高；全軟件實(shí)現(xiàn)，平安性和處理速度均有局限；.Internet客戶通過(guò)代理效勞訪問(wèn)內(nèi)部網(wǎng)主機(jī).第三代：建立在通用操作系統(tǒng)上的防火墻是近年來(lái)在市場(chǎng)上廣泛可用的一代產(chǎn)品。特征包括分組過(guò)濾或借用路由器的分組過(guò)濾功能；裝有專用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令；保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置；平安性和速度大為提高。.實(shí)現(xiàn)方式：軟件、硬件、軟硬結(jié)合。問(wèn)題：作為根底的操作系統(tǒng)及其內(nèi)核的平安性無(wú)從保證。通用操作系統(tǒng)廠商不會(huì)對(duì)防火墻的平安性負(fù)責(zé)；從本質(zhì)上看，第三代防火墻既要防止來(lái)自外部網(wǎng)絡(luò)的攻擊，還要防止來(lái)自操作系統(tǒng)漏洞的攻擊。用戶必須依賴兩方面的平安支持：防火墻廠商和操作系統(tǒng)廠商。上述問(wèn)題在基于WindowsNT開(kāi)發(fā)的防火墻產(chǎn)品中表現(xiàn)得十清楚顯。.第四代：

具有平安操作系統(tǒng)的防火墻1997年初，此類產(chǎn)品面市。平安性有質(zhì)的提高。獲得平安操作系統(tǒng)的方法：通過(guò)許可證方式獲得操作系統(tǒng)的源碼；通過(guò)固化操作系統(tǒng)內(nèi)核來(lái)提高可靠性。.特點(diǎn)：防火墻廠商具有操作系統(tǒng)的源代碼，并可實(shí)現(xiàn)平安內(nèi)核；對(duì)平安內(nèi)核實(shí)現(xiàn)加固處理：即去掉不必要的系統(tǒng)特性，強(qiáng)化平安保護(hù)；對(duì)每個(gè)效勞器、子系統(tǒng)都作了平安處理；在功能上包括了分組過(guò)濾、代理效勞，且具有加密與鑒別功能；透明性好，易于使用。.第四代防火墻的主要技術(shù)與功能：靈活的代理系統(tǒng)：兩種代理機(jī)制，一