第八章 防火墙基本原理.pdf

《第八章 防火墙基本原理.pdf》由会员分享，可在线阅读，更多相关《第八章 防火墙基本原理.pdf（77页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、传统防火墙概念：防火墙被设计用来防止火从房屋的一部分传播到另一部分传播到另部分网络安全理论与技术2I T 领域使用的防火墙概念领域使用的防火墙概念两个安全域之间通安全域1Host A Host B 安全域2Host C Host D 两个安全域之间通信流的唯一通道UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSourceUDPBlockHost CHost B根据访问控制规则决一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据有关的安全政策控制（允许、拒绝

2、、根据访问控制规则决定进出网络的行为网络安全理论与技术监视、记录）进出网络的访问行为。3为什么需要防火墙为什么需要防火墙?为什么需要防火墙为什么需要防火墙?保护内部不受来自Internet的攻击 为了创建安全域 为了增强机构安全策略为了增强机构安全策略网络安全理论与技术4谁需要防火墙谁需要防火墙？谁需要防火墙谁需要防火墙？任何使用互联网的企业和公司都需要防火墙。任何使用互联网的企业和公司都需要防火墙。任何使用互联网的企业和公司都需要防火墙。任何使用互联网的企业和公司都需要防火墙。WWW服 务器防火墙路由器防火墙企业内部网络服务器服务器计算机终端网络安全理论与技术计算机终端5对防火墙的两大需求?

3、对防火墙的两大需求?保障内部网保障内部网安全安全?保证内部网同外部网的保证内部网同外部网的连通连通网络安全理论与技术6一个典型的防火墙使用形态个典型的防火墙使用形态区域区域WWW Mail DNSDMZDMZ区域区域般子网内部WWW发 起 访 问请求合法请求则允许对外访问InternetInternet边界路由器边界路由器一般子网进 行 访问 规 则请求合法请求则允许对发起访问请求Internet Internet 区域区域边界路由器边界路由器管理子网问 规 则检查将访问记录写进日志文件则允许对外访问重点子网防火墙在此处的功能：防火墙在此处的功能：1 1、内部子网与外部子网的物理隔离、内部子网

4、与外部子网的物理隔离内部工作子网内部工作子网2 2、访问控制、访问控制3 3、对内部子网做、对内部子网做NATNAT地址转换地址转换4 4、日志记录、日志记录网络安全理论与技术7防火墙示意图防火2.部门子网部门子网3 分公司网络分公司网络I ttI tt3.分公司网络分公司网络InternetInternet1.企业内联网企业内联网网络安全理论与技术8利用路由器本身对分组的解析 进行分组过滤防火墙技术发展过程防火墙技术发展过程基于路由器的防火墙?利用路由器本身对分组的解析,进行分组过滤?过滤判断依据：地址、端口号、IP旗标及其它网络特征?防火墙与路由器合为一体，只有过滤功能基于路由器的防火墙?

5、将过滤功能从路由器中独立出来，并加上审计和告警功能?针对用户需求提供模块化的软件包?适用于对安全性要求不高的网络环境?针对用户需求，提供模块化的软件包?软件可通过网络发送，用户可根据需要构造防火墙?与第一代防火墙相比，安全性提高了，价格降低了防火墙工具套?是批量上市的专用防火墙产品?包括分组过滤或者借用路由器的分组过滤功能?装有专用的代理系统，监控所有协议的数据和指令?保护用户编程空间和用户可配置内核参数的设置?安全性和速度大为提高。?防火墙厂商具有操作系统的源代码，并可实现安全内核基于通用操作系统的防火墙防火墙厂商具有操作系统的源代码，并可实现安全内核?去掉了不必要的系统特性，加固内核，强化

6、安全保护?在功能上包括了分组过滤、应用网关、电路级网关?增加了许多附加功能：加密、鉴别、审计、NAT转换透明性好易于使用网络安全理论与技术?透明性好，易于使用基于安全操作系统的防火墙9防火墙技术带来的好处防火墙技术带来的好处防火墙技术带来的好处防火墙技术带来的好处?强化安全策略?有效地记录Internet上的活动离络制安全问扩散?隔离不同网络限制安全问题扩散?是个安全策略的检查站?是一个安全策略的检查站网络安全理论与技术10存在的争议及不足存在的争议及不足?使用不便认为防火墙给人虚假的安全感存在的争议及不足存在的争议及不足?使用不便、认为防火墙给人虚假的安全感?对用户不完全透明可能带来传输延迟

7、瓶颈及单点失效?不能替代墙内的安全措施 不能防范恶意的知情者不能防范恶意的知情者 不能防范不通过它的连接 不能防范全新的威胁 不能有效地防范数据驱动式的攻击有式 当使用端-端加密时其作用会受到很大的限制网络安全理论与技术11防火墙技术防火墙技术本章主要介绍本章主要介绍：1 防火墙基本概念1.防火墙基本概念2.堡垒主机3.包过滤4 代理服务4.代理服务5.防火墙选择原则网络安全理论与技术12防火墙基本概念本1防火墙的基本知识防火墙是在两个网络之间执行访问控制策略的一个防火墙是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，目的是保护网络不被他人侵扰。本质上，它遵循的是一种允许或阻

8、止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。通常防火墙就是位于内部网或Web站点与因特网通常，防火墙就是位于内部网或Web站点与因特网之间的一个路由器或一台计算机，又称为堡垒主机。其目的如同一个安全门，为门内的部门提供安全，控制那些可被允许出入该受保护环境的人或物。就像工作在前门的安全卫士，控制并检查站点的访问者。网络安全理论与技术13防火墙示意图网络安全理论与技术14防火墙基本概念防火墙基本概念防火墙是由管理员为保护自己的网络免遭外界非授权防火墙是由管理员为保护自己的网络免遭外界非授权访问但又允许与因特网联接而发展起来的访问但又允许与因特网联接而发展起来的从

9、网际角度从网际角度访问但又允许与因特网联接而发展起来的访问但又允许与因特网联接而发展起来的。从网际角度从网际角度，防火墙可以看成是安装在两个网络之间的一道栅栏防火墙可以看成是安装在两个网络之间的一道栅栏，根据根据安全计划和安全策略中的定义来保护其后面的网络安全计划和安全策略中的定义来保护其后面的网络。防火墙必须做到以下几点防火墙必须做到以下几点，才能使防火墙起到安全防才能使防火墙起到安全防护的作用：护的作用：（1）所有进出网络的通信流都应该通过防火墙。（2）所有穿过防火墙的通信流都必须有安全策略和（2）所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。（3）理论上说防火墙是穿不透的（防

10、火墙本身是（3）理论上说，防火墙是穿不透的（防火墙本身是不可被侵入的）。网络安全理论与技术15防火墙基本概念防火墙基本概念防火墙在因特网与内部网中的位置从逻辑上讲，防火墙是分离器、限制器和分析器。从物理角度看各站点防火墙物理实现的方式有所不防火墙在因特网与内部网中的位置从物理角度看，各站点防火墙物理实现的方式有所不同。通常防火墙是一组硬件设备，即路由器、主计算机或者是路由器、计算机和配有适当软件的网络的多机或者是路由器、计算机和配有适当软件的网络的多种组合。网络安全理论与技术16防火墙的发展简史防火墙的发展简史第一代防火墙：采用了包过滤（Packet Filter）技术。第二三代防火墙1989

11、年推出了电路层防第二、三代防火墙：1989年，推出了电路层防火墙，和应用层防火墙的初步结构。第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。第五代防火墙：1998年，NAI公司推出了一种自适应代理技术可以称之为第五代防火墙自适应代理技术，可以称之为第五代防火墙。网络安全理论与技术17防火墙技术的简单发展历史防火墙技术的简单发展历史防火墙技术的简单发展历史防火墙技术的简单发展历史网络安全理论与技术18防火墙的主要功能防火墙的主要功能防访问控制功能防火内容控制功能墙的全面的日志功能的功集中管理功能功能自身的安全和可用性网络安全理论与技术19防火墙的原理防火墙的原理防火墙的原理防

12、火墙的原理边界保护机制边界保护机制互操作性要求互操作性要求可信网络与不可信网络可信网络与不可信网络网络安全理论与技术20潜在的攻击和可能的对象潜在的攻击和可能的对象潜在的攻击和可能的对象潜在的攻击和可能的对象入侵内部网络入侵内部网络强度攻击（洪水攻击）强度攻击（洪水攻击）针对防火墙的攻击，使其失去功能针对防火墙的攻击，使其失去功能 Fld拒绝服务访问拒绝服务访问协议漏洞攻击协议漏洞攻击Syn FloodSmurfLand-based拒绝服务访问拒绝服务访问应用漏洞攻击应用漏洞攻击Land basedPing of DeathTeardrop网络安全理论与技术Ping SweepPing Flo

13、od21防火墙的局限性防火墙的局限性防火不能防范不经防火墙的攻击火墙不能防止感染病毒的软件或文件的传输墙的不能防止数据驱动式攻击局限不能防止内部用户的破坏限性不能防备不断更新的攻击网络安全理论与技术22防火墙的主要性能指标防火墙的主要性能指标防火墙的主要性能指标防火墙的主要性能指标吞吐率吞吐率背对背背对背时延时延时延时延丢包率丢包率丢包率丢包率并发连接数并发连接数网络安全理论与技术23包过滤防火墙防火墙的分类防火墙的分类防火墙的分类防火墙的分类应用网关防火墙防火墙的分类防火墙的分类(实现技术方式实现技术方式)防火墙的分类防火墙的分类(实现技术方式实现技术方式)代理防火墙状态检测防火墙网络安全理

14、论与技术24软件防火墙防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网软件防火墙，络的网关。软件防火墙防火墙就象其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙防火墙厂商中做网络版软件这里指的是网络版的软件防火墙而不是个人防火墙。个人防火墙在网上有很多可以免费下载的，不需要花钱买。防火墙防火墙最出名的莫过于Checkpoint。防火墙的分类防火墙的分类(形态方式形态方式)防火墙的分类防火墙的分类(形态方式形态方式)X86架构软件防火墙特点:软件防火墙一般基于?所谓的硬件防火墙，之所以加上所谓二字是针对芯片级防火墙说的了。它们

15、硬件防火墙X86架构ASIC架构防防某个操作系统平台开发，直接在计算机上进行软件的安装和配置。由于客户平台的多样性，软件防火墙需支持。最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构，硬件防火墙NP架构多 操 作 系 统，如 Unix、Linux、Windows等，代码庞大、安装成本高、售后支持成本高、效率低。就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常网络安全理论与技术用的有老版本的Unix、Linux和FreeBSD系统。25硬件防火墙特点一此类防火墙采用的依然是别人的内核

16、，因此依然会受到OS本身的安全性影响。国内的许多防火墙产品就属于此类，因为采用的是经过裁减内核和定制组件的平台，因此国内防火墙的某些销售人员常常吹嘘其产品是“专用的OS”等等，其实是一个概念误导，下面我们提到的第三种防火墙才是真正的OS专用。导，下面我们提到的第种防墙才是真的专用硬件防火墙特点二硬件防火墙采用专用的硬件设备，然后集成生产厂商的专用防火墙软件。从功能上看，硬件防火墙内建安全软件，使用精简或者强化的操作系统，管理方便，更换容易，软硬件搭配较固定。硬件防火墙效率高，解决了防火墙效率、性能之间的矛盾，可以达到线性。到线性。网络安全理论与技术26芯片级防火墙芯片级防火墙基于专门的硬件平台

17、，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商莫过于NetScreen.其他的品牌还有FortiNet,算是后起之秀。芯片级防火墙特点这类防火墙由于是专用OS，因此防火墙本身的漏洞比较少，不过开发设计复杂，价格相对比较高昂，所以一般只有在“确实需要”的情况下才考虑。网络安全理论与技术27X86架构NP和ASIC三种架构综合比较三种架构综合比较X86架构、NP和ASIC三种架构综合比较三种架构综合比较注解注解注解注解：NP：网络处理器NP：网络处理器（Network Pr

18、ocessor）（Network Processor）ASICASIC专集成电路专集成电路网络安全理论与技术ASICASIC：专专用用集成电路集成电路（Application Specific Integrated CircuitApplication Specific Integrated Circuit）28防火墙技术防火墙技术包过滤(Packet filtering)防火墙通常是一个具备包过滤功能的简单路由器防火墙通常是一个具备包过滤功能的简单路由器，支持因特网安全。这是使因特网联接更加安全的一种简单方法，因为包过滤是路由器的固有属性。包是网络上信息流动的单位。在网上传输的文件一般在发出

19、端被划分成一串数据包，经过网上的中间站点，最终传到目的地然后这些包中的数据又重新组成原来最终传到目的地，然后这些包中的数据又重新组成原来的文件。每个包有两个部分：数据部分和包头。包头中含有每个有两个部分数据部分头头中含有源地址和目标地址等信息。包过滤一直是一种简单而有效的方法。通过拦截数据包读出并拒绝那些不符合标准的包头过滤掉不应入包，读出并拒绝那些不符合标准的包头，过滤掉不应入站的信息。网络安全理论与技术29安全边界 Internet内部网网包过滤路由器路由器包过滤防火墙网络安全理论与技术30包过滤路由器结构示意图网络安全理论与技术31防火墙技术防火墙技术每个数据包都包含有特定信息的一组报头

20、每个数据包都包含有特定信息的一组报头，其主其主要信息是要信息是（1）IP协议类型（TCP、UDP，ICMP等）；（2）IP源地址要信息是：要信息是：（2）IP源地址；（3）IP目标地址；（4）IP选择域的内容；（4）IP选择域的内容；（5）TCP或UDP源端口号；（6）TCP或UDP目标端口号；（6）TCP或UDP目标端口号；（7）ICMP消息类型。路由器也会得到一些在数据包头部信息中没有路由器也会得到一些在数据包头部信息中没有路由器也会得到些在数据包头部信息中没有路由器也会得到些在数据包头部信息中没有的关于数据包的其他信息的关于数据包的其他信息，如数据包到达的网络接口如数据包到达的网络接口和

21、出去的网络接口和出去的网络接口。网络安全理论与技术32包过滤防火墙包过滤防火墙包过滤防火墙包过滤防火墙检查检查检查检查IP 包的源地址包的源地址IP 包的源地址包的源地址IP 包的目的地址包的目的地址IP 包的目的地址包的目的地址项项项项TCP/UDP 源端口源端口TCP/UDP 源端口源端口包过滤防火墙包过滤防火墙转发转发符合符合IP 包包检测包头检测包头检查路由检查路由转发转发符合符合不符合不符合安全策略：过滤规则安全策略：过滤规则路由表路由表网络安全理论与技术丢弃丢弃33防火墙技术过滤路由器严格地检查数据包，除了决定它是否转发数据包到目的地之外，还决定它是否应该发送。应该或者不应该由站点

22、的安全策略决定。过滤路由器放置在内部网络与因特网之间，作用为：（l）过滤路由器将担负更大的责任，它不但需要执行转发及确定转发的任务，而且它是唯一的保护系统；（2）如果安全保护失败(或在侵袭下失败)，内部的网络将被暴露；（3）简单的过滤路由器不能修改任务；（4）过滤路由器能容许或否认服务，但它不能保护在一个服务之内的单独操作。如果一个服务没有提供安全的操作要求，或者这个服务由不安全的服务器提供数据包过滤路由器则不能保护它务由不安全的服务器提供，数据包过滤路由器则不能保护它。网络安全理论与技术34防火墙技术防火墙技术应用代理服务(Application Layer)代理服务是运行在防火墙主机上的一

23、些特定的应用代理服务是运行在防火墙主机上的一些特定的应用程序或者服务程序。防火墙主机可以是有一个内部网络接口和一个外部防火墙机可是有个内部络个部网络接口的双重宿主主机，也可以是一些可以访问因特网并可被内部主机访问的堡垒主机。这些程序接受用户对因特网服务的请求(如文件传输FTP和远程登录Telnet对因特网服务的请求(如文件传输FTP和远程登录Telnet等)，并按照安全策略转发它们到实际的服务。所谓代理就是一个提供替代连接并且充当服务的网所谓代就是个提供替代连接并充当务的网关。代理也称之为应用级网关。代理服务位于内部用户(在内部的网络上)和外部服务(在因特网上)之间代理在幕后处理所有用户和因特

24、网服(在因特网上)之间。代理在幕后处理所有用户和因特网服务之间的通信以代替相互间的直接交谈。网络安全理论与技术35防火墙技术防火墙技术代理的实现过程网络安全理论与技术36应用级网关T lt外部连接应用级网关内部连接TelnetFTP外部主机内部主机SMTPHTTP外部主机内部主机应用代理防火墙网络安全理论与技术37电路级网关型防火墙(Session Layer)电路级起定的代理服务作用它监视两主机建立电路级起一定的代理服务作用，它监视两主机建立连接时的握手信息，从而判断该会话请求是否合法，它工作于会话层如下图所示工作于会话层，如下图所示。一旦会话连接有效，该网关仅复制、传递数据。它在IP层代理

25、各种高层会话，具有隐藏内部网络信息的能在IP层代理各种高层会话，具有隐藏内部网络信息的能力，且透明性高。但由于其对会话建立后所传输的具体内容不再作进一步地分析，因此安全性稍低。网络安全理论与技术38电路级网关OutIn外部连接OutIn外部主机内部连接OutIn内部连接内部主机电路级防火墙内部主机电路级防火墙网络安全理论与技术39?电路级网关不允许进行端点到端点的TCP连接，而是建立两个TCP连接。一个在网关和内部主机上的TCP个连个在关内部机用户程序之间，另一个在网关和外部主机的TCP用户程序之间。一旦建立两个连接，网关通常就只是把TCP数据包从个连接转送到另个连接中去而不检TCP数据包从一

26、个连接转送到另一个连接中去而不检验其中的内容。其安全功能就是确定哪些连接是允许的的。?它和包过滤型防火墙有一个共同特点，都是依靠特定的逻辑来判断是否允许数据包通过，但包过滤型防火的逻辑来判断是否允许数据包通过，但包过滤型防火墙允许内外计算机系统建立直接联系，而电路级网关无法IP直达。网络安全理论与技术40状态包检测(Stateful-Inspection)为了克服基本状态包过滤模式所带有的明显安全为了克服基本状态包过滤模式所带有的明显安全问题，一些包过滤防火墙厂商提出了所谓的状态包检测概念。测概念。上面提到的包过滤技术简单的查看每一个单一的输入包信息而状态包检测模式则增加了更多的包和输入包信息

27、，而状态包检测模式则增加了更多的包和包之间的安全上下文检查，以达到与应用级代理防火墙相类似的安全性能。状态包检测防火墙在网络层拦截输入包，并利用足够的企图连接的状态信息做出决策(通过对高层的息某算信息进行某种形式的逻辑或数学运算)，如图所示。网络安全理论与技术41状态信息库OutIn外部连接信息处理OutInOutIn外部主机OutIn内部连接内部主机状态包检测防火墙网络安全理论与技术42状态检测包过滤检测流程状态检测包过滤检测流程示意示意状态检测包过滤防火墙状态检测包过滤防火墙状态检测包过滤检测流程状态检测包过滤检测流程示意示意会话连接状态缓存表会话连接状态缓存表状态检测包过滤防火墙状态检测

28、包过滤防火墙符合符合IP 包包检测包头检测包头下一步处理下一步处理符合符合IP 包包检测包头检测包头不符合不符合安全策略：过滤规则安全策略：过滤规则网络安全理论与技术丢弃丢弃43?这些包在操作系统内核的私有检测模块中检测。安全决策所需的相关状态信息在检测模块中检测，然后保决策所需的相关状态信息在检测模块中检测，然后保留在为评价后续连接企图的动态状态表(库)中。被检查通过的包发往防火墙内部，允许直接连接内部、外部主机系统主机系统。?状态包检测防火墙工作在协议栈的较低层，通过防火?状态包检测防火墙工作在协议栈的较低层，通过防火墙的所有数据包都在低层处理，不需要协议栈的上层来处理任何数据包，因此减少

29、了高层协议头的开销，执行效率也大大提高了另外旦个连接在防火执行效率也大大提高了。另外，一旦一个连接在防火墙中建立起来，就不用再对该连接进行更多的处理，这样，系统就可以去处理其它连接，执行效率可以得这样系统就可以去处其连接执行效率可以得到进一步的提高。网络安全理论与技术44?尽管状态包检测防火墙方法显著的增强了简单包过滤防?尽管状态包检测防火墙方法显著的增强了简单包过滤防火墙的安全，但它仍然不能提供和前面提及的应用级检测相似的充足能见度。?状态包检测防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据。这些算法通过已靠某种算法来识别进出的应用层数据。这些算法通过已知合法数据包的

30、模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更加有效。但应用级代理防火墙对最高层的协议栈内容有足够的能见度从代理防火墙对最高层的协议栈内容有足够的能见度，从而可以准确的知道它的意图，而状态包检测防火墙必须在没有这些信息的情况下做出安全决策。在没有这些信息的情况下做出安全决策网络安全理论与技术45?例如，当应用级代理防火墙厂商声称支持微软SQL Server时，你就知道任何到内部SQL Server服务器Server时，你就知道任何到内部SQL Server服务器的远程连接必须在应用层通过专门的微软SQL代理接受全面的检测。而对于状态包检测防火墙，允许远程用户访问防火墙后面的

31、SQL数据库是肯定要冒更大安用户访问防火墙后面的SQL数据库是肯定要冒更大安全风险的。?假设我们的安全守卫是状态包检测守卫。这次当包到来时，和仅简单地检查地址所不同的是，守卫检测货物单看是否包内有任何东西是被禁止的虽然它比简物单看是否包内有任何东西是被禁止的。虽然它比简单的包过滤好，但它还是不如真正打开包检测它的内容安全。如果包看起来是可接受的，守卫打开关卡，容安如果看起来是可接受的守打开关卡允许运货卡车进入。网络安全理论与技术46?状态包检测防火墙的安全比应用级代理要低应用级代?状态包检测防火墙的安全比应用级代理要低。应用级代理防火墙本质上提供了比包过滤防火墙更多的安全，不管它是有状态的还是

32、无状态的。管它是有状态的还是无状态的?带有状态检测的包过滤防火墙仍然允许外部用户直接访问内网系统和应用程序，而这些程序和系统可能配置在拥有众所周知的安全弱点的操作系统上。应用级代理通过个自身具有有限明确的任务集代理来限制访问应过一个自身具有有限、明确的任务集代理来限制访问应用程序或计算机系统，从而克服了这些同样的弱点。网络安全理论与技术47防火墙体系结构防火墙体系结构防火墙体系结构防火墙体系结构宿主主结构1双重宿主主机体系结构双重宿主主机体系结构是围绕具有双重宿主的主体计算机而构筑的该计算机至少有两个网络接口体计算机而构筑的。该计算机至少有两个网络接口，这样的主机可以充当与这些接口相连的网络之

33、间的路由器，并能够从一个网络到另一个网络发送IP数据包。防火墙内部的网络系统能与双重宿主主机通信，同时防火墙外部的网络系统（在因特网上）也能与双防墙部络统特能与重宿主主机通信。通过双重宿主主机，防火墙内外的计算机便可进行通信了，但是这些系统不能直接互相通信它们之间的IP通信被完全阻止通信，它们之间的IP通信被完全阻止。网络安全理论与技术48防火墙体系结构防火墙体系结构1双重宿主主机的防火墙体系结构双重宿主主机的防火墙体系结构是相当简单的双重宿主主机位单的，双重宿主主机位于两者之间，并且被连接到因特网和内部的网络右图显这种体系络。右图显示这种体系结构。网络安全理论与技术49InternetInt

34、ernet双重宿主主机Firewall内部网络双重宿主防火墙体系结构网络安全理论与技术50多宿主主机多宿主主机双宿主主机双宿主主机双宿主主机双宿主主机所有的通信必须经过双宿主主机所有的通信必须经过双宿主主机?通过登陆到双宿主主机上获得服务通过登陆到双宿主主机上获得服务?通过应用代理通过应用代理?通过应用代理通过应用代理缺点：如何保护双宿主主机本身的安全缺点：如何保护双宿主主机本身的安全内部网络外部网络?禁止内外网络之间直接通信禁止内外网络之间直接通信网络安全理论与技术?禁止内外网络之间直接通信禁止内外网络之间直接通信51防火墙体系结构防火墙体系结构2主机过滤体系结构在主机过滤体系结构中提供安全

35、保护结构中提供安全保护的主机仅仅与内部网相连。另外，主机过滤结构还有台单独滤结构还有一台单独的路由器(过滤路由器)。在这种体系结构中，主要的安全由数据包过滤提供，其结构如右图所示。网络安全理论与技术52InternetInternet防火墙屏蔽路由器内部网络堡垒主机屏蔽主机防火墙体系结构网络安全理论与技术53被屏蔽主机被屏蔽主机互联网互联网缺点：?堡垒主机与其他主机在同一个子网?一旦堡垒主机被攻破或被越过，整个内网和堡垒主机之间就再也没有任何阻挡。进行规则配置，只允许外部主机与堡垒主机通讯不允许外部主机直接访问除堡垒主机之外的其他主机过滤器主机与堡垒主机通讯堡垒主对内部其他主机的访问必须经过堡

36、垒主机网络安全理论与技术主机54防火墙体系结构防火墙体系结构3子网过滤体系结构子网过滤体系结构添加了额外的安全层到主机过滤体系结3子网过滤体系结构层到主机过滤体系结构中，即通过添加参数网络，更进一步地把内部网络与因特网隔离开隔离开。子网过滤体系结构的最简单的形式为两个过滤路由器，每个都连接到参数一个都连接到参数网，一个位于参数网与内部的网络之间，另一个位于参数网与外部间个参数与部网络之间。网络安全理论与技术55堡垒主机Internet边界网络外部路由器内部路由器边界网络防火墙内部网络防火墙屏蔽子网防火墙体系结构网络安全理论与技术56被屏蔽子网被屏蔽子网被屏蔽子网被屏蔽子网内部筛选路由器外部筛选

37、路由器禁止内外网络直接进行通讯堡垒主机堡垒主机内部网络外部网络内外部网络之间的通信都经过堡垒主机网络安全理论与技术57防火墙体系结构中的技术防火墙体系结构中的技术（1）参数网络参数网络是在内外部网之间另加的一层安全保护网络层。如果入侵者成功地闯过外层保护网到达防火墙，参数网络就能在入侵者与内部网之间再提供层保护参数网络就能在入侵者与内部网之间再提供一层保护。如果入侵者仅仅侵入到参数网络的堡垒主机，他只能偷看到这层网络(参数网络)的信息流但看不到内部网能偷看到这层网络(参数网络)的信息流但看不到内部网的信息，而这层网络的信息流仅从参数网络往来于外部网或者从参数网络往来于堡垒主机。因为没有纯粹的内

38、网或者从参数网络往来于机因为没有粹的内部信息流(内部主机间互传的重要和敏感的信息)在参数网络中流动，所以即使堡垒主机受到损害也不会让入侵者破坏内部网的信息流者破坏内部网的信息流。网络安全理论与技术58防火墙体系结构中的技术堡垒机防火墙体系结构中的技术堡垒机外部网络外部网络内部网络参数网络防火墙（）包过滤器（）包过滤器 防火墙（）包过滤器 网络安全理论与技术59防火墙体系结构中的技术（2）堡垒主机防火墙体系结构中的技术在子网过滤结构中，我们将堡垒主机与参数网络相连，而这台主机是外部网服务于内部网的主节点。它为内部网服务的主要功能有：它为内部网服务的主要功能有：它接收外来的电子邮件再分发给相应的站

39、点；它接收外来的FTP，并连到内部网的匿名FTP服务器；它接收外来的有关内部网站点的域名服务。向外的服务功能可用以下方法来实施：在内外部路由器上建立包过滤以便内部网的用户可直接在内、外部路由器上建立包过滤，以便内部网的用户可直接操作外部服务器；在主机上建立代理服务，在内部网的用户与外部的服务器之间建立间接的连接间建立间接的连接。网络安全理论与技术60防火墙体系结构中的技术（3）内部路由器内部路由器的主要功能是保护内部网免受来自外部防火墙体系结构中的技术内部路由器的主要功能是保护内部网免受来自外部网与参数网络的侵扰。内部路由器完成防火墙的大部分包过滤工作，它允内部路由器完成防火墙的大部分包过滤工

40、作，它允许某些站点的包过滤系统认为符合安全规则的服务在内外部网之间互传。根据各站点的需要和安全规则，可允许的服务是以下这些外向服务中的若干种，如：Telnet、FTP、WAIS、Archie、Gopher或者其他服务。内部路由器可以设定，使参数网络上的堡垒主机与内部网之间传递的各种服务和内部网与外部网之间传递的各种服务不完全相同的各种服务不完全相同。网络安全理论与技术61防火墙体系结构中的技术（4）外部路由器外部路由器既可保护参数网络又保护内部网。实际防火墙体系结构中的技术外部路由器既可保护参数网络又保护内部网。实际上，在外部路由器上仅做一小部分包过滤，它几乎让所有参数网络的外向请求通过，而外

41、部路由器与内部路由器的包过滤规则是基本上相同的器的包过滤规则是基本上相同的。外部路由器的包过滤主要是对参数网络上的主机提供保护然而，一般情况下，因为参数网络上主机的安供保护。然而，般情况下，因为参数网络上主机的安全主要通过主机安全机制加以保障，所以由外部路由器提供的很多保护并非必要。外部路由器真正有效的任务就是阻断来自外部网上伪造源地址进来的任何数据包。这些数据包自称是来自内部网，而其实它是来自外部网。内部网，而其实它是来自外部网。网络安全理论与技术62防火墙技术防火墙技术防火墙的各种变化和组合（l）最少服务最小特权原则（2）使用多堡垒主机（2）使用多堡垒主机；（3）合并内部路由器与外部路由器

42、；（4）合并堡垒主机与外部路由器；（5）合并堡垒主机与内部路由器；（6）使用多台内部路由器；（7）使用多台外部路由器；（7）使用多台外部路由器；（8）使用多个参数网络；（9）使用双重宿主主机与子网过滤网络安全理论与技术（9）使用双重宿主主机与子网过滤。63防火墙技术防火墙技术内部防火墙但有时为了某些原因，我们还需要对内部网的部分站点再加以保护以免受其他站点的侵袭。因此，有时我们需要在同结构的两个部分之间或者在同内部网的两个要在同一结构的两个部分之间，或者在同一内部网的两个不同组织结构之间再建立防火墙（也被称为内部防火墙）。因为网络中每一个用户所需要的服务和信息经常是不一样的，它们对安全保障的要

43、求也不一样，所以我们可以样安要求样所可将网络组织结构的一部分与其余站点隔离（比如，财务部分要与其他部分分开）。网络安全理论与技术64防火墙技术防火墙技术1 试验网络在大多数情况下应该在内部防火墙中设置这样的包在大多数情况下，应该在内部防火墙中设置这样的包过滤：允许内部网的其它站点主动地连接试验网络，而对试验网络，只允许建立与被认为是安全内部网的其它站点的连接。在有些情况下，我们也可能要防止内部网其它站点的某些类型的信息流干扰试验网络，因此要设置允许所有的外向连接（对试验网络而言）而控制内向连接的包过滤。如果有几个试验网络，最好的方法是设置一个参数网络，并给每个试验网络配置一台路由器并连接到参数

44、网络。而主要的包过滤工作在连接参数网络与内部主网的路由器而主要的包过滤工作在连接参数网络与内部主网的路由器上完成。网络安全理论与技术65防火墙技术防火墙技术2低保密网络试验网络比较危险，但它对整个内部网的安全构成的威胁还不是最大的。而许多内部网组织结构里面的资源本身就固有些非安全因素源本身就固有一些非安全因素。比如，校园网中那些包含学生公寓网点的部分就被认为是不安全的，单位企业网中的那些演示网部分、客户培训网部分和开放实验室网部分都被认为是安全性比较差的但这些网又比纯粹的外部网与内部网其它部分较差的。但这些网又比纯粹的外部网与内部网其它部分的交互要多得多。这些网络称为低保密网。网络安全理论与技

45、术66防火墙技术防火墙技术3 高保密网络内部网的某些站点可能需要很高的安全保障比如校园网中内部网的某些站点可能需要很高的安全保障。比如校园网中的教务网、招生信息网，商业网中的财务网、新品开发网都应具有相当高的保密度。当高保密网的信息流通过内部网的其它部分时，可以用对信息进行加密的方法对它们加以保护。也可将高保密网与内部网的其它部分完全隔离比如有一个新品开发网这个网的用户只其它部分完全隔离。比如，有个新品开发网，这个网的用户只有在注册到某台机器上时方可使用该网络，这样就可用防火墙（一般是一台带有包过滤的路由器）将这个网与内部网完全分离。这个防火墙对待内部网的其它用户就像对待外部网样般情这个防火墙

46、对待内部网的其它用户就像对待外部网一样。一般情况下，这类高保密网需要的外部服务并不太多，因此在防火墙内不一定要有堡垒主机，而只有在防火墙保护极为机密的内部子网上才用参数网络上，才用参数网络。网络安全理论与技术67防火墙技术防火墙技术4 联合防火墙若干企业集团为了合作开发项目而需在一定的时间内若集为合作发项目需在时间内共享某些机器、数据和其它资源。在建立内部防火墙时，应根据以下原则来限定哪些资源需共享；哪些信息需保护；又如何来实现保护：又如何来实现保护：（l）为何要与其它企业网络相连。这将决定内部防火墙允许哪些服务通过、阻断哪些服务。哪些服务通过、阻断哪些服务。（2）是否希望与对方在不使用因特网

47、的前提下互传电子邮件和文件。（3）是否试图为两个不同企业项目开发组的成员创立一个共同的软件平台。如有此要求则需要两个防火墙来隔离该软件平台与各企业的本地网。软件平台与各企业的本地网。（4）支持哪类信息互传，又需要加何种安全保护。网络安全理论与技术68防火墙技术防火墙技术5 共享参数网络共享参数网络结构是解决联合网安全问题的一个好办法。每个参与联合体的网在参数网络上都有各自能控制的路由器。在有些结构中，参数网络上没有堡垒主机，而这些路由器是参数网络些结构中，参数网络上没有堡垒主机，而这些路由器是参数网络上仅有的设备。6 内部防火墙的堡垒主机选择6内部防火墙的堡垒主机选择如果联合网的各合作单位间有

48、足够的信任度，那在防火墙中可仅使用包过滤，以便其它单位的用户与本单位的内部网服务可可仅使用包过滤，以便其它单位的用户与本单位的内部网服务可直接建立连接（如DNS、SMTP）。相反，如果各单位间缺乏足够的信任度，他们可建立各自的参数网络，建立他们可单独控制的堡垒主机这样从一个内部网流出的信息流须经过两台堡垒主的堡垒主机。这样从个内部网流出的信息流须经过两台堡垒主机方可抵达另一内部网。网络安全理论与技术69堡垒主机堡垒主机建立堡垒主机的一般原则1最简化原则堡垒主机越简单，对它进行保护就越方便。堡垒堡垒主机越简单，对它进行保护就越方便。堡垒主机提供的任何网络服务都有可能在软件上存在缺陷或在配置上存在

49、错误，而这些差错就可能使堡垒主机的安全保障出问题。因此，在堡垒主机上设置的服务必须最少，同时对必须设置的服务软件只能给予尽可能低的权限能低的权限。2预防原则2预防原则网络安全理论与技术70堡垒主机堡垒主机的种类堡垒主机目前一般有以下三种类型：无路由双宿主主机、牺牲主机和内部堡垒主机。无路由双宿主主机有多个网络接口，但这些接口间没有信息流。这种主机本身就可作为一个防火墙，也可作为一个更复杂防火墙结这种主机本身就可作为个防火墙，也可作为个更复杂防火墙结构的一部分。牺牲主机除了可让用户随意登录外，其配置基本上与一般的堡垒主机一样用户总是希望在堡垒主机上存有尽可能多的服务与程垒主机一样。用户总是希望在

50、堡垒主机上存有尽可能多的服务与程序。主要特点是它易于被管理，即使被侵袭也无碍内部网的安全。在大多数配置中，堡垒主机可与某些内部主机进行交互。比如，堡垒主机可传送电子邮件给内部主机的邮件服务器传送Usenet新堡垒主机可传送电子邮件给内部主机的邮件服务器，传送Usenet新闻给新闻服务器，与内部域名服务器协同工作等。这些内部主机其实是有效的次级堡垒主机，对它们就应像保护堡垒主机一样加以保护我们可以在它们上面多放一些服务但对它们的配置必须遵循护。我们可以在它们上面多放一些服务，但对它们的配置必须遵循与堡垒主机一样的过程。网络安全理论与技术71堡垒主机堡垒主机堡垒主机的选择1堡垒主机操作系统的选择2