第--章-防火墙优秀文档.ppt

《第--章-防火墙优秀文档.ppt》由会员分享，可在线阅读，更多相关《第--章-防火墙优秀文档.ppt（40页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第 7 章防火墙 第 7 章防火墙 防火墙概述防火墙的功能防火墙的分类防火墙的发展过程防火墙的技术原理防火墙的体系结构防火墙的选择1、防火墙概述、防火墙概述l7.1.1防火墙的基本概念 l“防火墙”原来是指在建筑物中用来隔离不同的房间，防止火灾蔓延的隔断墙。以前在人们使用木制结构建筑房屋的时候，为了使“城门失火”不致“殃及池鱼”，将坚固的石块堆砌在房屋周围作为屏障，进一步防止火灾的发生和蔓延，这种防护构筑物被称为防火墙。今天人们借用这个概念，将计算机软硬件系统构成防火墙，从而保护敏感的数据不被窃取和篡改。l防火墙是设置在可信任的企业内部网和不可信任的外部网或网络安全域之间的一系列部件的组合。它

2、是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的防攻击能力。它是提供信息安全服务、实现网络和信息安全的基础设施。l防火墙实际上是一种访问控制技术，它在一个被认为是安全、可信的内部网络和一个不安全、可信的外部网络之间设置障碍，阻止对信息资源的非法访问，也可以阻止保密信息从受保护网络上被非法输出。它能允许用户“同意”的人和数据进入用户的网络，同时将用户“不同意”的人和数据拒之网外。l防火墙是一类防范措施的总称，不是一个单独的计算机程序或设备。在物理上，它通常是一组硬件设备和软件的多种组合；使用防火墙保护的益处：（1）所有风险

3、区域都集中在单一系统即防火墙上，安全管理者就可针对网络的某个方面进行管理，而采取的安全措施对网络中的其他区域并不会有多大影响。（2）监测与控制装置仅需安装在防火墙中。（3）内部网络与外部的一切联系都必须通过防火墙进行，因此防火墙能够监视与控制所有联系过程。2 2、防火墙的功能防火墙的功能1访问控制防火墙是网络安全的屏障，通过设置防火墙的过滤规则，可以实现对数据流的访问控制。例如，允许内部网的用户只能够访问外部网的Web服务器。一个防火墙(作为阻塞点、控制点)能极大地提高内部网络的安全性，并通过过滤不安全的服务而进步降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境会变得更安全

4、。如防火墙可以禁止诸如NFS等不安全协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时还可以保护网络免受基于路由的攻击，如 IP 选项中的源路由攻击和 ICMP 重定向中的重定向路径攻击。防火墙可以拒绝以上所有类型的攻击报文并通知防火墙管理员。3 3、防火墙的功能、防火墙的功能l2防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置，可以将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其他的身份认证系统完全可以不必分散在各个主机上，而

5、集中在防火墙一身上。l3对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集网络的使用和误用情况也是非常重要的，首先可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足；另外，网络使用统计对网络需求分析和威胁分析也是非常重要的。3 3、防火墙的功能、防火墙的功能l4防止内部信息的外泄。通过利用防火墙对内部网络进行划分，可实现对内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造

6、成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索，从而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透露内部细节的服务如 Finger、DNS 等。Finger 显示了主机所有用户的注册名、真实姓名、最后登录时间和使用 shell 类型等信息，但是 Finger 显示的信息非常容易被攻击者获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等。使用防火墙可以阻塞有关内部网络的 DNS 信息，这样主机的域名和 IP 地址就不会被外界所了解。3 3、防火

7、墙的功能、防火墙的功能l5支持VPN功能。除了安全作用，防火墙还支持具有 Internet 服务特性的企业内部网络技术体系 VPN。通过VPN，可将企事业单位地域上分布在全世界各地的 LAN 或专用子网，有机地联成一个整体，这样不仅省去了专用通信线路，而且为信息共享提供了技术保障。l6支持网络地址转换。网络地址转换(Network Address Translation，NAT)指将一个IP地址域映射到另一个IP地址域，对所有内部地址透明地进行转换，使外部网络无法了解内部网络的内部结构。在防火墙上实现NAT后，可以隐藏受保护网络的内部结构，在一定程序上提高网络的安全性。NAT常用于私有地址域与

8、公有地址域的转换，以解决IP地址匮乏问题。4.防火墙的分类防火墙的分类 按软硬件分类按软硬件分类软件防火墙和硬件防火墙以及芯片级防火墙。1.软件防火墙软件防火墙 软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其他的软件产品一样需要先在计算机上安装并做好配置才可以使用。使用这类防火墙，需要网管对所工作的操作系统平台比较熟悉。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构，运行一些经过剪裁和简化的操作系统芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比

9、其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS（操作系统），因此防火墙本身的漏洞比较少，不过价格相对比较高昂。5 5、防火墙的发展过程防火墙的发展过程l防火墙的发展大致分为以下4个阶段。l1包过滤防火墙。第一代包过滤防火墙与路由器同时出现，实现了根据数据包头信息的静态包过滤。静态包过滤防火墙对所接收的每个数据包做允许拒绝的决定，防火墙审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则是基于可以提供给IP转发过程的包头信息的。包过滤主要检查包头中的下列内容：IP源地址、IP目标地址

10、、协议类型(TCP、UDP或ICMP)、TCP或UDP包的目的端口、TCP或UDP包的源端口、ICMP消息类型、TCP包头的ACK位等。l静态包过滤防火墙的优点是速度快、逻辑简单、成本低、易于安装和使用，网络性能高，对用户透明。但缺点是维护比较困难；不能有效防止黑客的IP欺骗攻击；不支持应用层的过滤，不能防范数据驱动型攻击；无法对网络上流动的信息提供全面的控制。因此，静态包过滤的安全性较低5 5、防火墙的发展过程防火墙的发展过程l2.代理防火墙。第二代防火墙工作在应用层，能够根据具体的应用对数据进行过滤或者转发，也就是常说的代理服务器、应用网关、这样的防火墙彻底隔断内网与外网的直接通信，内网的

11、用户对外网的访问变成防火墙对外网的访问，然后再由防火墙把访问的结果转发给内网用户。这种方法可以有效地防止对内部网络的直接攻击，安全性较高。但同时第二代防火墙无论在实现还是在维护上都对系统管理员提出了相当复杂的要求，导致配置和维护过程复杂、费时，使用中出现差错的情况较多。l3动态包过滤防火墙。1992年USC信息科学的BobBraden开发出了基于动态包过滤(Dynamic Packet Filter)技术的防火墙，也就是目前所说的状态检测(State Inspection)技术。根据TCP协议，每个可靠连接的建立，都需要经过3次握手，其传输的数据包并不是独立的，而是前后有着密切的状态联系。状态

12、检测防火墙就是基于这种连接过程，根据数据包状态变化来决定访问控制的策略。5 5、防火墙的发展过程防火墙的发展过程l4全方位自适应的安全技术代理防火墙。第四代防火墙已经超出了原来传统意义上防火墙的范畴，演变成为全方位的安全技术集成系统。它将网关与安全系统合二为一，在功能上包括了灵活的代理系统、多级的过滤技术、网络地址转换技术及Internet网关技术，且具有审计和报警、加密与鉴别等功能，透明性好，易于使用。此外它还在网络诊断、数据备份与保存等方面具有特色。第四代防火墙可以抵御目前常见的网络攻击手段，如IP地址欺骗、特洛伊木马攻击、Internet蠕虫、口令探寻攻击、邮件攻击等。5 5、防火墙的发

13、展过程防火墙的发展过程l由以上可以看出，防火墙最基本的构件既不是软件也不是硬件，而是构造防火墙的思想，这种思想会极大地影响对网络数据设计路由的方法。归纳起来，一个好的防火墙系统具有以下的一些特性。l所有在内部网络和外部网络之间传输的数据都必须经过防火墙。l只有被授权的合法数据，即防火墙系统中安全策略允许的数据才可以通过防火墙。l防火墙本身应能抵御各种攻击的影响。l防火墙应使用目前较先进的信息安全技术。l防火墙应具有良好的人机界面，方便配置及管理。l从防火墙的发展趋势来看，未来的防火墙识别能够通过的信息的效率将更高，同时在功能上向“透明”、“低级”方向逐渐发展。6、防火墙实现技术原理l1包过滤防

14、火墙的原理l包过滤防火墙是一种通用、廉价、有效的安全手段。通用是因为它不针对各个具体的网络服务采取特殊的处理方式；廉价是因为大多数路由器都提供分组过滤功能；有效是因为它能很大程度地满足企业的安全要求。l包过滤技术作为防火墙的应用有3种。第一种是路由设备在完成路由选择和数据转发的同时进行包过滤；第二种是在工作站上使用软件进行包过滤；第三种是在一种称为屏蔽路由器的路由设备上启动包过滤功能，目前较常用的方式是第一种。用户可以设定一系列的规则，指定允许哪些类型的数据包可以流入或流出内部网络，哪些类型的数据包的传输应该被拦截。l防火墙检查模块一般检查的项包括：源、目的IP地址；源、目的端口号；协议类型；

15、TCP报头的标志位。6、防火墙实现技术原理p通过检查模块，防火墙拦截和检查所有进站和出站的数据，其工作流程如图所示。p防火墙检查模块首先验证这个包是否符合规则，不管是否符合过滤规则，防火墙一般要记录数据包的情况，对不符合规则的数据包要进行报警或通知管理员。对符合规则的数据包，防火墙可以发给发送方一个消息，也可以不发。如果返回一个消息，攻击者可能会根据拒绝包的信息猜测出过滤规则的大致情况，所以是否返回消息要慎重。6、防火墙实现技术原理l包过滤防火墙的优点如下所示。l(1)利用路由器本身的包过滤功能，以访问控制列表(ACL)方式实现。l(2)处理速度快。l(3)对安全要求低的网络采用路由器附带防火

16、墙功能的方法，不需要其他设备。l(4)对用户来说是透明的，用户的应用层不受影响。l其缺点如下所示。l(1)无法阻止IP欺骗。l(2)对路由器中过滤规则的设置和配置要求十分复杂，它涉及到规则的逻辑一致性、作用端口的有效性和规则集的正确性。l(3)不支持应用层协议，无法发现基于应用层的攻击。l(4)实施的是静态的、固定的控制，不能跟踪TCP状态。如当它配置了仅允许从内到外的TCP访问时，一些以TCP应答包的形式从外网对内网进行的攻击仍可穿透防火墙l(5)不支持用户认证，只判断数据包来自哪台计算机，不判断来自哪个用户。6、防火墙实现技术原理l l2.2.代理防火墙技术代理防火墙技术l代理防火墙也就是

17、经常提到的代理服务器(Proxy Server)、应用网关(Application Gateway)，它工作在应用层，适用于某些特定的服务、如HTTP，FTP等。l代理服务器通常运行在两个网络之间，是客户机和真实服务器之间的中介，代理服务器彻底隔断内网与外网的直接通信，内网的客户机对外网服务器的访问，变成了代理服务器对外网服务器的访问，然后再由代理服务器转发给内网的客户机。代理服务器对内网的客户机来说像是一台服务器，而对于外网的服务器来说，它又像是一台客户机。这种技术经常被用于在Web服务器上高速缓存信息，扮演着Web客户和Web服务器之间的中介角色。它主要保存Internet上最常用和最近访

18、问过的内容，可为用户提供更快的访问速度，并且提高了网络安全性。由于代理服务器在外网向内网申请服务时发挥了中间转接和隔离的作用，因此又把它称作代理防火墙。防火墙内部的系统能与双重宿主主机通信，同时防火墙外部的系统(在Internet上)能与双重宿主主机通信，但是这些系统不能直接互相通信，它们之间的IP通信被完全阻止。（1）所有风险区域都集中在单一系统即防火墙上，安全管理者就可针对网络的某个方面进行管理，而采取的安全措施对网络中的其他区域并不会有多大影响。使用这类防火墙，需要网管对所工作的操作系统平台比较熟悉。然后防火墙等待一个返回的确认连接的数据包，对于返回的连接请求的数据包类型需要做出判断，确

19、认其是否含有SYN/ACK标志，当接收到这样的包，防火墙将连接的时间溢出值设定为3600s。某些服务可以被允许直接经由数据包过滤，而其他服务可以被允许仅仅间接地经过代理。内部路由器(又称阻塞路由器)位于内部网和周边网络之间，用于保护内部网不受周边网络和Internet的侵害，它执行了大部分的过滤工作。使用防火墙就可以隐蔽那些透露内部细节的服务如 Finger、DNS 等。（3）内部网络与外部的一切联系都必须通过防火墙进行，因此防火墙能够监视与控制所有联系过程。1防火墙的基本概念但同时第二代防火墙无论在实现还是在维护上都对系统管理员提出了相当复杂的要求，导致配置和维护过程复杂、费时，使用中出现差

20、错的情况较多。周边网络也称为“停火区”或者“非军事区”(DMZ)，周边网络用了两个包过滤路由器和一个堡垒主机。(3)针对不同的应用，需要建立不同的服务代理，以处理客户端的访问请求。从防火墙的发展趋势来看，未来的防火墙识别能够通过的信息的效率将更高，同时在功能上向“透明”、“低级”方向逐渐发展。应用层网关型防火墙还对进出防火墙的信息进行记录，并可由网络管理员监视和管理防火墙的使用情况。它是提供信息安全服务、实现网络和信息安全的基础设施。由以上可以看出，防火墙最基本的构件既不是软件也不是硬件，而是构造防火墙的思想，这种思想会极大地影响对网络数据设计路由的方法。6、防火墙实现技术原理l代理防火墙作用

21、在应用层，用来提供应用层服务的控制。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用，所以代理防火墙又被称为应用代理或应用层网关型防火墙。l应用层网关型防火墙控制的内部网络只接受代理服务器提出的服务请求，拒绝外部网络其他点的直接请求。它同时提供了多种方法认证用户。当确认了用户名和密码后，服务器根据系统的设置对用户进行进一步的检查，验证其是否可以访问本服务器。应用层网关型防火墙还对进出防火墙的信息进行记录，并可由网络管理员监视和管理防火墙的使用情况。实际中的应用网关通常由专用代理服务器来实现。6、防火墙实现技术原理l l代理服务器的优点是可

22、以检查应用层、传输层和网络层的协议特征，代理服务器的优点是可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强。其缺点有以下几点。对数据包的检测能力比较强。其缺点有以下几点。l l(1)(1)难于配置，对用户是不透明的。由于每个应用都要求单独的代难于配置，对用户是不透明的。由于每个应用都要求单独的代理进程，这就要求网络管理员能理解每项应用协议的弱点，并能合理进程，这就要求网络管理员能理解每项应用协议的弱点，并能合理的配置安全策略。理的配置安全策略。l l(2)(2)处理速度比较慢。通常应用代理服务器的处理延迟会很大，对处理速度比较慢。通常应用代理服务器的处理延迟会很大，对于像迅雷

23、那种采用于像迅雷那种采用P2PP2P多线程下载的软件来讲，如果使用代理服务多线程下载的软件来讲，如果使用代理服务器，则要代理服务器占用很大的资源，处理不好可能会导致死锁。器，则要代理服务器占用很大的资源，处理不好可能会导致死锁。l l(3)(3)针对不同的应用，需要建立不同的服务代理，以处理客户端的针对不同的应用，需要建立不同的服务代理，以处理客户端的访问请求。访问请求。l l总之，代理防火墙不能支持大规模的并发连接。另外，代理防火墙总之，代理防火墙不能支持大规模的并发连接。另外，代理防火墙核心要求预先内置一些已知应用程序的代理。这使得一些新出现的核心要求预先内置一些已知应用程序的代理。这使得

24、一些新出现的应用在代理防火墙内被无情地阻断，因此不能很好地支持新应用。应用在代理防火墙内被无情地阻断，因此不能很好地支持新应用。6、防火墙实现技术原理l在包过滤防火墙中提到的无法阻止“IP欺骗”的攻击，如果采用动态设置包过滤规则的方法，就可以避免这样的问题。这种技术就是所谓的包状态监测(State Inspection)技术。l动态包过滤防火墙为了克服包过滤模式明显的安全性不足的问题，不再只是分别对每个进出的包简单地对地址进行检查，而是从TCP连接的建立到终止都跟踪检测，并且根据需要可动态地增加或减少过滤规则。6、防火墙实现技术原理l其工作原理为：当防火墙收到一个初始化TCP连接的SYN包时，

25、这个带有SYN的数据包被防火墙的规则库检查，该包在规则库里按照次序进行比较。如果在检查了所有的规则后，该包都没有被接受，那么拒绝该次连接，发送一个RST数据包到远端的计算机。如果该包被接受，那么本次会话被记录到状态监测表里，这时需要设置一个时间溢出值，如将其设定为60s。然后防火墙等待一个返回的确认连接的数据包，对于返回的连接请求的数据包类型需要做出判断，确认其是否含有SYN/ACK标志，当接收到这样的包，防火墙将连接的时间溢出值设定为3600s。随后的数据包(不是只带一个SYN标志)就和该状态监测表内容进行比较。如果会话是在状态表内，而且该数据包是会话的一部分，则该数据包被接受；如果不是会话

26、的一部分，则该数据包被丢弃。6、防火墙实现技术原理l使用状态监测表这种方式提高了系统的性能，因为每一个数据包不是和规则库比较，而是和状态监测表比较。并且只有在SYN的数据包到来才和规则库比较。状态监测表是位于内核模式中的，所有的数据包与状态检测表的比较都在内核模式下进行，所以速度很快。l结束连接时，当状态监测模式监测到一个FIN或RST包的时候，减少时间溢出值，将设定的值3600s减少为50s。如果在这个周期内没有数据包交换，则这个状态检测表项将会被删除，如果有数据包交换，那么这个周期会被重新设置到50s。如果需要继续通信，这个连接状态会被继续以50s的周期维持下去。这种设计方式可以避免一些D

27、oS攻击。6、防火墙实现技术原理l l4.4.适应代理防火墙技术适应代理防火墙技术l自适应代理(Adaptive Proxy)防火墙技术是最近在商业应用防火墙中实现的一种革命性的技术。它结合代理防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失案例性的基础之上将代理防火墙的性能提高10倍以上。自适应代理防火墙组成的基本要素有两个：自适应代理服务器与动态包过滤器。l在自适应代理防火墙中，初始的安全检查仍然发生在应用层，一旦安全通道建立后，随后的数据包就可以重新定向到网络层。在安全性方面，自适应代理防火墙与标准代理防火墙是完全一样的，同时还提高了处理速度。自适应代理技术可根据用户定义的安全规则

28、，动态“适应”传送中的数据流量。当安全要求较高时，安全检查仍在应用层中进行，保证实现传统防火墙的最大安全性；而一旦信任身份得到认证，其后数据便可直接通过速度很快的网络层。7、防火墙体系结构l通常防火墙是一组硬件设备，包括路由器、主计算机或者路由器、计算机和配有适当软件的网络设置等多种组合。防火墙中所使用的主计算机通常被称为堡垒主机。l(1)堡垒主机(Bastion HOST)是一种配置了案例防范措施的网络上的计算机，为网络间的通信提供了一个阻塞点。如果没有堡垒主机，网络之间将不能相互访问。该主机可以配置成过滤型、代理型或混合型。l(2)双宿主主机(Dual-Homed Host)。有两个网络接

29、口的计算机系统，一个接口接内部网，一个接口接外网。l(3)DMZ(Demilitarized Zone，非军事区或停火区)。在内网和外网之间增加一个子网。l目前，防火墙的体系结构一般有以下几种。l双宿主机模式。l屏蔽主机模式。l屏蔽子网模式。7、防火墙体系结构l1.双宿主机模式l双宿主机模式是围绕具有双重宿主的主机计算机而构筑的，该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器，它能够从一个网络向另一个网络发送IP数据包。然而，实现双重宿主主机的防火墙体系结构禁止这种发送功能，因而，IP数据包从一个网络(如Internet)并不是直接发送到其他网络(如内部的、被保

30、护的网络)。防火墙内部的系统能与双重宿主主机通信，同时防火墙外部的系统(在Internet上)能与双重宿主主机通信，但是这些系统不能直接互相通信，它们之间的IP通信被完全阻止。l双宿主机模式的防火墙体系结构是相当简单的：双重宿主主机位于两者之间，并且被连接到Internet和内部的网络。如果需要继续通信，这个连接状态会被继续以50s的周期维持下去。内部过滤路内器也用来过滤内部网络和堡垒主机之间的数据包，这样做是为了防止堡垒土机被攻占。6支持网络地址转换。一个位于周边网与内部网络之间，另一个位于周边网与外部网络(通常为Internet)之间。如果没有堡垒主机，网络之间将不能相互访问。在屏蔽的路由

31、器上的数据包过滤是按这样一种方法设置的:堡垒主机是Internet上的主机能连接到内网上的系统的桥梁(如传送进来的电子邮件)。在物理上，它通常是一组硬件设备和软件的多种组合；代理防火墙也就是经常提到的代理服务器(Proxy Server)、应用网关(Application Gateway)，它工作在应用层，适用于某些特定的服务、如HTTP，FTP等。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。但缺点是维护比较困难；（1）所有风险区域都集中在单一系统即防火墙上，安全管理者就可针对网络的某个方面进行管理，而采取的安全措施对网络中的其他区域并不会有多大影响。防火

32、墙检查模块一般检查的项包括：源、目的IP地址；由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境会变得更安全。运行代理服务器的双宿主机 双宿主机的路由功能未被禁止 7、防火墙体系结构l l2.2.屏蔽主机体系结构屏蔽主机体系结构l屏蔽主机体系结构通过使用一个单独的路由器提供来自仅与内网相连的主机的服务。在这种体系结构中,主要的安全由数据包过滤。l在屏蔽的路由器上的数据包过滤是按这样一种方法设置的:堡垒主机是Internet上的主机能连接到内网上的系统的桥梁(如传送进来的电子邮件)。即使这样，也仅有某些确定类型的连接被允许。任何外部的系统试图访问内部的系统或服务将必须连接到这台堡垒主机上

33、。因此，堡垒主机需要拥有高等级的安全性。其结构如图所示堡垒主机转发数据包堡垒主机转发数据包7、防火墙体系结构l数据包过滤也允许堡垒主机开放可允许的连接(什么是“可允许”将由用户的站点安全策略决定)到外部世界。在屏蔽的路由器中数据包过滤配置可按下列之一执行。l(1)允许其他的内部主机为了某些服务与Internet上的主机连接(即允许那些已经由数据包过滤的服务)。l(2)不允许来自内部主机的所有连接(强迫那些主机经由堡垒主机使用代理服务)。l用户可以针对不同的服务混合使用这些手段。某些服务可以被允许直接经由数据包过滤，而其他服务可以被允许仅仅间接地经过代理。这完全取决于用户实行的安全策略。7、防火

34、墙体系结构l3.屏蔽子网体系结构l屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步地把内部网络和外部网络(通常是Internet)隔离开。l屏蔽子网体系结构最简单的形式是这样的：两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部网络之间，另一个位于周边网与外部网络(通常为Internet)之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。为了侵入用这种体系结构构筑的内部网络，侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机，它将仍然必须通过内部路由器，如图所示。屏蔽子网体系结构7.1 周边网络周边网络l周边网络也称为“停火区”或者“非军事区”(D

35、MZ)，周边网络用了两个包过滤路由器和一个堡垒主机。这是最安全的防火墙系统，因为在定义了“停火区”网络后，它支持网络层和应用层安全功能。l网络管理员将堡垒主机、信息服务器、Modem组以及其他公用服务器放在DMZ网络中。DMZ网络很小，处于Internet和内部网络之间，在一般情况下对DMZ配置成使用Internet和内部网络系统能够访问DMZ网络上数目有限的系统，而通过DMZ网络直接进行信息传输是严格禁止的。7.2 堡垒主机堡垒主机（1）在堡垒主机上运行电子邮件代理服务器，代理服务器把入站的E-mail转发到内部网的邮件服务器上。（2）在堡垒主机上运行WWW代理服务器，内部网络的用户可以通过

36、堡垒主机访问Internet上的WWW服务器。（3）在堡垒主机上运行一个伪DNS服务器，回答Internet上主机的查询。（4）在堡垒主机上运行FTP代理服务器，对外部的FTP联接进行认证，并转接到内部的FTP服务器上。除了安全作用，防火墙还支持具有 Internet 服务特性的企业内部网络技术体系 VPN。使用这类防火墙，需要网管对所工作的操作系统平台比较熟悉。(3)不支持应用层协议，无法发现基于应用层的攻击。这种方法可以有效地防止对内部网络的直接攻击，安全性较高。包过滤防火墙的优点如下所示。它是提供信息安全服务、实现网络和信息安全的基础设施。例如在网络访问时，一次一密口令系统和其他的身份认

37、证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。（1）防火墙的管理难易度在自适应代理防火墙中，初始的安全检查仍然发生在应用层，一旦安全通道建立后，随后的数据包就可以重新定向到网络层。不能有效防止黑客的IP欺骗攻击；另外，收集网络的使用和误用情况也是非常重要的，首先可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足；如果不是会话的一部分，则该数据包被丢弃。但缺点是维护比较困难；数据包过滤也允许堡垒主机开放可允许的连接(什么是“可允许”将由用户的站点安全策略决定)到外部世界。软件防火墙就像其他的软件产品一样需要先在计算机上安装并做好配置才可以使用。不支持应用层的过

38、滤，不能防范数据驱动型攻击；在安全性方面，自适应代理防火墙与标准代理防火墙是完全一样的，同时还提高了处理速度。7.3 内部路由器内部路由器l内部路由器(又称阻塞路由器)位于内部网和周边网络之间，用于保护内部网不受周边网络和Internet的侵害，它执行了大部分的过滤工作。l对于一些服务，如出站的Telnet，可以允许它不经过堡垒主权而只经过内部过滤路由器。在这种情况下，内部过滤路由器用来过滤数据包。内部过滤路内器也用来过滤内部网络和堡垒主机之间的数据包，这样做是为了防止堡垒土机被攻占。若不对内部网络和堡垒主机之间的数据包加以控制，当入侵者控制了堡垒主机后，就可以不受限制地访问内部网络上的任何主

39、机，周边网络也就失去了意义，在实质上就与屏蔽主机结构一样了。7.4 外部路由器l外部路内器的一个主要功能是保护周边网络上的主机，但这种保护不是很必要的，因为这主要是通过堡垒主机来进行安全保护的，但多一层保护也并无害处。外部路由器还可以把入站的数据包路由到堡垒主机，外部路由器一般与内部路由器应用相同的规则。l外部路由器还可以防止部分IP欺骗，因为内部路由器分辨不出一个声称从周边网络来的数据包是否真的从周边网络来，而外部路出器很容易分辨出真伪。8.防火墙的选择防火墙的选择 1.选择防火墙须考虑的基本原则选择防火墙须考虑的基本原则 首先，应该明确你的目的第三，是费用问题。其次，是想要达到什么级别的监测和控制。8.2 选择防火墙的基本标准选择防火墙的基本标准（1）防火墙的管理难易度（2）防火墙自身的安全性（3）NCSC的认证标准（4）最好能弥补其他操作系统之不足（5）能否为使用者提供不同平台的选择（6）能否向使用者提供完善的售后服务（7）应该考虑企业的特殊需求 IP地址转换(IP Address Translation)双重DNS 虚拟企业网络(VPN)扫毒功能 特殊控制需求