防火墙能有效地记录因特网上的活动-专业网站制作课件.ppt

1、第五章第五章 防火墙技术基础防火墙技术基础 由于系统的安全性是由它的最薄弱环由于系统的安全性是由它的最薄弱环节决定，因此，安全范围必须是整个系统节决定，因此，安全范围必须是整个系统性的。例如，在某个大企业的内部网络中，性的。例如，在某个大企业的内部网络中，含有许多不同品牌和型号的机器，而这些含有许多不同品牌和型号的机器，而这些机器的操作系统和应用程序又是千差万别。机器的操作系统和应用程序又是千差万别。它们再通过不同供应商提供的不同性能和它们再通过不同供应商提供的不同性能和容量的网络设备和路由器连接起来。在这容量的网络设备和路由器连接起来。在这样不同种类、不断变化的环境中，检测整样不同种类、不断

2、变化的环境中，检测整个系统和确保所有部件的安全是相当费时个系统和确保所有部件的安全是相当费时和复杂的。和复杂的。 防火墙的基本知识防火墙的基本知识 防火墙是位于两个信任程度不同的防火墙是位于两个信任程度不同的网络之间（如企业内部网络和网络之间（如企业内部网络和InternetInternet之间）的软件或硬件设备的组合，目的之间）的软件或硬件设备的组合，目的是保护网络不被他人侵扰。本质上，它是保护网络不被他人侵扰。本质上，它遵循的是一种允许或阻止业务来往的网遵循的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。滤网络

3、通信，只允许授权的通信。防火墙的基本功能防火墙的基本功能（1 1）防火墙能有效地记录因特网上的）防火墙能有效地记录因特网上的活动活动（2 2）防火墙限制暴露用户点）防火墙限制暴露用户点（3 3）防火墙是一个安全策略的检查站）防火墙是一个安全策略的检查站（4）建立一个节流点。建立一个节流点。 防火墙作为中心控制点，易于实现防火墙作为中心控制点，易于实现和更新公司的安全策略。它能为网络提和更新公司的安全策略。它能为网络提供安全的单访问点。所以用户可以在一供安全的单访问点。所以用户可以在一个地方改变设置而无需改动每台机器。个地方改变设置而无需改动每台机器。防火墙能在网络范围内加强安全，比如防火墙能在

4、网络范围内加强安全，比如防止网络中的每个人都有权访问某些防止网络中的每个人都有权访问某些Internet 资源。资源。 防火墙在因特网与内部网中的位置防火墙在因特网与内部网中的位置 防火墙可以看成是安装在两个网络之防火墙可以看成是安装在两个网络之间的一道栅栏，根据安全计划和安全策间的一道栅栏，根据安全计划和安全策略中的定义来保护其后面的网络。它应略中的定义来保护其后面的网络。它应该满足以下条件：该满足以下条件：（1 1）所有进出网络的通信流都应该通过）所有进出网络的通信流都应该通过防火墙。防火墙。（2 2）所有穿过防火墙的通信流都必须有）所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权

5、。安全策略和计划的确认和授权。（3 3）理论上说，防火墙是穿不透的。）理论上说，防火墙是穿不透的。防火墙的不足之处防火墙的不足之处（1）防火墙不能防范不通过它的连接）防火墙不能防范不通过它的连接 如果网络具有其他联接方式，比如一台如果网络具有其他联接方式，比如一台Windows PC 使用一台调制解调器通过使用一台调制解调器通过I S P 联到联到Internet 上，因为连接不经过防火墙，上，因为连接不经过防火墙，因此绕过了防火墙提供的安全控制。因此绕过了防火墙提供的安全控制。 （2）防火墙不能防备全部的威胁）防火墙不能防备全部的威胁 防火墙不能防止许多常见的防火墙不能防止许多常见的Inte

6、rnet 问问题，如病毒和特洛伊木马。题，如病毒和特洛伊木马。 从物理角度看，各站点防火墙物理实从物理角度看，各站点防火墙物理实现的方式有所不同。许多人认为防火墙是现的方式有所不同。许多人认为防火墙是一台机器，有一些网络是这种情况。然而，一台机器，有一些网络是这种情况。然而，防火墙这一术语和所执行的功能关系更紧防火墙这一术语和所执行的功能关系更紧密一些，而不是指物理设备。防火墙可以密一些，而不是指物理设备。防火墙可以是一组硬件设备，即路由器、主计算机或是一组硬件设备，即路由器、主计算机或者是路由器、计算机和配有适当软件的网者是路由器、计算机和配有适当软件的网络的多种组合。络的多种组合。 但是也

7、有纯软件防火墙，但是也有纯软件防火墙，如天网个人防火墙。如天网个人防火墙。 防火墙通常由多个不同的部分组成防火墙通常由多个不同的部分组成, ,包括包过滤器包括包过滤器( (packet filters)packet filters)、代理代理( (proxies)proxies)和主机和主机( (hosts)hosts)等。我们等。我们需要了需要了解这些概念解这些概念, ,以及网络地址翻译和操作系统以及网络地址翻译和操作系统硬化的含义。硬化的含义。 包过滤器包过滤器 包过滤器在包对包的基础上进行网络包过滤器在包对包的基础上进行网络流量的处理。它们只在流量的处理。它们只在OSIOSI参考模型的网

8、参考模型的网络层工作络层工作, ,因此因此, ,它们能够准许或阻止它们能够准许或阻止IPIP地址和端口，并且能够在标准的路由器地址和端口，并且能够在标准的路由器上以及专门的防火墙设备上执行。一个上以及专门的防火墙设备上执行。一个纯包过滤器只关注下列信息纯包过滤器只关注下列信息: :源源IPIP地址地址 、目标目标IPIP地址地址、源端口源端口、目标端口目标端口、包类包类型型 包过滤器的一个基本例子就是位于包过滤器的一个基本例子就是位于In ternet 和内部网络之间的路由器，它根据数和内部网络之间的路由器，它根据数据包的来源、目的地址和端口来过滤。这样据包的来源、目的地址和端口来过滤。这样的

9、路由器被称为筛分路由器的路由器被称为筛分路由器(screening router)。 标准路由器和筛分路由器的不同之处在标准路由器和筛分路由器的不同之处在于二者检查报文的方式。普通路由器只是查于二者检查报文的方式。普通路由器只是查看看IP地址并把报文发送到至目的地的正确路地址并把报文发送到至目的地的正确路径上。筛分路由器检查报文头，不仅要决定径上。筛分路由器检查报文头，不仅要决定怎样对其进行路由，还要基于一些规则决定怎样对其进行路由，还要基于一些规则决定是否应对其进行路由。是否应对其进行路由。 包过滤系统只能让我们进行类似以包过滤系统只能让我们进行类似以下情况的操作：下情况的操作： （1）允许

10、或不允许用户从外部网用）允许或不允许用户从外部网用Telnet登录；登录；（2）允许或不允许用户使用）允许或不允许用户使用SMTP往内往内部网发电子邮件；部网发电子邮件； （3）允许或不允许某个）允许或不允许某个IP通过通过NNTP往往内部网发新闻。内部网发新闻。 包过滤不能允许我们进行如下的包过滤不能允许我们进行如下的操作：操作：（1）允许某个用户从外部网用）允许某个用户从外部网用Telnet登录而不允许其它用户进行这种操作。登录而不允许其它用户进行这种操作。（2）允许用户传送一些文件而不允许）允许用户传送一些文件而不允许用户传送其它文件。用户传送其它文件。包过滤的优点包过滤的优点包过滤方式

11、有许多优点，而其主要优包过滤方式有许多优点，而其主要优点之一是仅用一个放置在重要位置上的点之一是仅用一个放置在重要位置上的包过滤路由器就可保护整个网络。如果包过滤路由器就可保护整个网络。如果我们的站点与因特网间只有一台路由器，我们的站点与因特网间只有一台路由器，那么不管站点规模有多大，只要在这台那么不管站点规模有多大，只要在这台路由器上设置合适的包过滤，我们的站路由器上设置合适的包过滤，我们的站点就可获得很好的网络安全保护。点就可获得很好的网络安全保护。 包过滤的缺点包过滤的缺点（1）在机器中配置包过滤规则比较困难；）在机器中配置包过滤规则比较困难；（2）对系统中的包过滤规则的配置进行）对系统

12、中的包过滤规则的配置进行测试也较麻烦；测试也较麻烦；（3）许多产品的包过滤功能有这样或那）许多产品的包过滤功能有这样或那样的局限性，要找一个比较完整的包过样的局限性，要找一个比较完整的包过滤产品比较困难。滤产品比较困难。包过滤路由器的配置包过滤路由器的配置在配置包过滤路由器时，我们首先要确在配置包过滤路由器时，我们首先要确定哪些服务允许通过而哪些服务应被拒绝，定哪些服务允许通过而哪些服务应被拒绝，并将这些规定翻译成有关的包过滤规则。并将这些规定翻译成有关的包过滤规则。 下面给出将有关服务翻译成包过滤规则下面给出将有关服务翻译成包过滤规则时非常重要的几个概念。时非常重要的几个概念。（1）协议的双

13、向性。）协议的双向性。 协议总是双向的，协议包括一方发送协议总是双向的，协议包括一方发送一个请求而另一方返回一个应答。在制定包一个请求而另一方返回一个应答。在制定包过滤规则时，要注意包是从两个方向来到路过滤规则时，要注意包是从两个方向来到路由器的。由器的。 （2 2）“往内往内”与与“往外往外”的服务的含义。的服务的含义。 在我们制定包过滤规则时，必须准确在我们制定包过滤规则时，必须准确理解理解“往内往内”与与“往外往外”的包和的包和“往内往内”与与“往外往外”的服务这几个词的语义。的服务这几个词的语义。 （3 3）“默认允许默认允许”与与“默认拒绝默认拒绝”。 网络的安全策略中的有两种方法：

14、默网络的安全策略中的有两种方法：默认拒绝与默认允许认拒绝与默认允许: : 拒绝所有的信息传输拒绝所有的信息传输在这种情况下在这种情况下, ,将指定将指定准许进出网络的某些类型的信息传输。准许进出网络的某些类型的信息传输。 准许所有的信息传输准许所有的信息传输在这种情况下在这种情况下, ,将指定将指定你要拒绝的某些类型的信息传输。你要拒绝的某些类型的信息传输。 从安全角度来看，用默认拒绝应该更从安全角度来看，用默认拒绝应该更合适。合适。包过滤器操作包过滤器操作（l）由于包过滤器是一台按照预先设定的内容对由于包过滤器是一台按照预先设定的内容对每一个包进行检查的设备，因此，必须告诉包每一个包进行检查

15、的设备，因此，必须告诉包过滤器阻塞什么过滤器阻塞什么, ,准许什么。这些准许什么。这些包过滤标准包过滤标准必须由包过滤设备端口存储起来，叫做包过滤必须由包过滤设备端口存储起来，叫做包过滤规则。规则。（2）包过滤器规则以特定的方式存储，比如）包过滤器规则以特定的方式存储，比如包包过滤器使用由安全管理员已经建立好的文本文过滤器使用由安全管理员已经建立好的文本文件。这个文本文件由逐行顺序读取的一些规则件。这个文本文件由逐行顺序读取的一些规则组成。每一个规则包含明确的条目来帮助决定组成。每一个规则包含明确的条目来帮助决定流入的包将如何被处理。流入的包将如何被处理。 （3）当包到达端口时，对包的报头进行

16、语法分）当包到达端口时，对包的报头进行语法分析，大多数包过滤设备只检查析，大多数包过滤设备只检查IP、TCP或或UDP报头中的字段，不检查包体的内容。报头中的字段，不检查包体的内容。（4）如果一条规则阻止包传输或接收，此包）如果一条规则阻止包传输或接收，此包便不被允许通过。便不被允许通过。（5）如果一条规则允许包传输或接收，该包）如果一条规则允许包传输或接收，该包允许通过。允许通过。（6）如果一个包不满足任何一条规则，该包）如果一个包不满足任何一条规则，该包被阻塞。被阻塞。 因为一旦包在过滤器中的某个部分没有通因为一旦包在过滤器中的某个部分没有通过过, ,后续的规则将不再被读取。因此后续的规则

17、将不再被读取。因此, ,要记住考要记住考虑一下在一个过滤器中规则的顺序。虑一下在一个过滤器中规则的顺序。包过滤操作流程图包过滤操作流程图 代理服务器代理服务器一、何为一、何为proxy？ 英文是英文是Proxy Server，功能就是代理网功能就是代理网络用户去取得网络信息。代理服务器位于络用户去取得网络信息。代理服务器位于网络和网络和Internet 之间，接收、分析服务请求，之间，接收、分析服务请求，并在允许的情况下对其进行转发。代理服并在允许的情况下对其进行转发。代理服务提供服务的替代连接，比如，网络内部务提供服务的替代连接，比如，网络内部的一个用户想要远程登录到的一个用户想要远程登录到

18、Internet 上的一上的一台主机，代理服务器会接收用户请求，决台主机，代理服务器会接收用户请求，决定是否准许其到远程的连接，之后建立自定是否准许其到远程的连接，之后建立自身与远程目标主机之间及自身与用户之间身与远程目标主机之间及自身与用户之间的的Telnet 会话。会话。代理的实现过程代理的实现过程 代理服务器是在双重宿主主机或堡垒代理服务器是在双重宿主主机或堡垒主机上运行一个特殊程序。使一些仅能与主机上运行一个特殊程序。使一些仅能与内部用户交谈的主机同样也可以与外界交内部用户交谈的主机同样也可以与外界交谈，这些用户的客户程序通过与该代理服谈，这些用户的客户程序通过与该代理服务器交谈来代替

19、直接与外部因特网中的服务器交谈来代替直接与外部因特网中的服务器的务器的“真正的真正的”交谈。代理服务器判断交谈。代理服务器判断从客户端来的请求并决定哪些请求允许传从客户端来的请求并决定哪些请求允许传送而哪些应被拒绝。当某个请求被允许时，送而哪些应被拒绝。当某个请求被允许时，代理服务器就代表客户与真正的服务器进代理服务器就代表客户与真正的服务器进行交谈，并将从客户端来的请求传送给真行交谈，并将从客户端来的请求传送给真实服务器，将真实服务器的回答传送给客实服务器，将真实服务器的回答传送给客户。户。 代理服务器有两种类型：代理服务器有两种类型： 应用层代理应用层代理(Application-laye

20、r proxies）(也称做应用层网关）也称做应用层网关） 链路层代理链路层代理(Circuit-level proxies）(也称也称做链路层网关）做链路层网关） 应用层代理应用层代理 到目前为止到目前为止, ,最流行的代理服务器类型最流行的代理服务器类型是那些对应用层流量的代理。代理服务器从是那些对应用层流量的代理。代理服务器从内部网络客户端接受请求。然后内部网络客户端接受请求。然后, ,如果客户端如果客户端被代理服务器授权了被代理服务器授权了, ,代理服务器将代表客户代理服务器将代表客户端与外部服务器进行通信。端与外部服务器进行通信。 链路层代理链路层代理 链路层代理工作在链路层代理工作

21、在OSI参考模型的传输参考模型的传输层。链路层代理的另一个名字是链路层网关层。链路层代理的另一个名字是链路层网关(circuit-level gateway）。）。 链路层代理服务器常常提供网络地址翻链路层代理服务器常常提供网络地址翻译。意思是一台网络主机将内部网络主机的译。意思是一台网络主机将内部网络主机的包进行修改包进行修改,这样这样,它们就能够通过它们就能够通过Internet发发出了。出了。 最流行的链路层代理是使用协议最流行的链路层代理是使用协议SOCKS(SOCKS protocol）的一种代理。的一种代理。 作为中介，代理服务器隐藏了关于用作为中介，代理服务器隐藏了关于用户的一些

22、信息。假设用户正在从事一项高户的一些信息。假设用户正在从事一项高度 保 密 的 项 目 ， 那 么 用 户 就 想 对 外度 保 密 的 项 目 ， 那 么 用 户 就 想 对 外( Internet )隐藏关于其所在网络的信息隐藏关于其所在网络的信息IP 地址等等。代理服务器会把用户地址地址等等。代理服务器会把用户地址改成自己的地址，使用一个内部表来解析改成自己的地址，使用一个内部表来解析到正确目的地的进出报文。对于外面的人到正确目的地的进出报文。对于外面的人而言，只有一个而言，只有一个IP 地址地址(代理服务器的代理服务器的IP 地址地址)可见。可见。 代理服务器适用于特定的代理服务器适用

23、于特定的Internet服务，如服务，如HTTP、 FTP等。比如等。比如http代理代理服务器是介于浏览器和服务器是介于浏览器和Web服务器之间服务器之间的一台服务器，有了它之后，浏览器不的一台服务器，有了它之后，浏览器不是直接到是直接到Web服务器去取回网页而是向服务器去取回网页而是向代理服务器发出请求，代理服务器发出请求，Request信号会信号会先送到代理服务器，由代理服务器来取先送到代理服务器，由代理服务器来取回浏览器所需要的信息并传送给你的浏回浏览器所需要的信息并传送给你的浏览器。览器。 HTTP代理服务器通常都拥有一个代理服务器通常都拥有一个高速缓存，这个缓存存储用户经常访问高速

24、缓存，这个缓存存储用户经常访问的站点内容，在下一个用户要访问同一的站点内容，在下一个用户要访问同一站点时，服务器就不用重复地获取相同站点时，服务器就不用重复地获取相同的内容，直接将缓存内容发出即可，既的内容，直接将缓存内容发出即可，既节约了时间也节约了网络资源。节约了时间也节约了网络资源。代理服务器的主要功能：代理服务器的主要功能：1 连接连接Internet与与Intranet 充当防火墙：充当防火墙： 因为所有内部网的用户通过代理服因为所有内部网的用户通过代理服务器访问外界时，只映射为一个务器访问外界时，只映射为一个IP地址，地址，所以外界不能直接访问到内部网；同时所以外界不能直接访问到内

25、部网；同时可以设置可以设置IP地址过滤，限制内部网对外地址过滤，限制内部网对外部的访问权限；另外，两个没有互联的部的访问权限；另外，两个没有互联的内部网，也可以通过第三方的代理服务内部网，也可以通过第三方的代理服务器进行互联来交换信息。器进行互联来交换信息。2 节省节省IP开销：开销： 如前面所讲，所有用户对外只占用如前面所讲，所有用户对外只占用一个一个IP，所以不必租用过多的所以不必租用过多的IP地址，降地址，降低网络的维护成本。这样，局域网内没有低网络的维护成本。这样，局域网内没有与外网相连的众多机器就可以通过内网的与外网相连的众多机器就可以通过内网的一台代理服务器连接到外网，大大减少费一

26、台代理服务器连接到外网，大大减少费用。当然也有它不利的一面，如许多网络用。当然也有它不利的一面，如许多网络黑客通过这种方法隐藏自己的真实黑客通过这种方法隐藏自己的真实IP地址，地址，而逃过监视。而逃过监视。3 提高访问速度：提高访问速度： 本身带宽较小，通过带宽较大的本身带宽较小，通过带宽较大的proxy与目标主机连接。而且通常代理与目标主机连接。而且通常代理服务器都设置一个较大的硬盘缓冲区服务器都设置一个较大的硬盘缓冲区（可能高达几个（可能高达几个GB或更大），当有外或更大），当有外界的信息通过时，同时也将其保存到缓界的信息通过时，同时也将其保存到缓冲区中，当其他用户再访问相同的信息冲区中，

27、当其他用户再访问相同的信息时，则直接由缓冲区中取出信息，传给时，则直接由缓冲区中取出信息，传给用户，从而达到提高访问速度的目的。用户，从而达到提高访问速度的目的。决定决定proxy的速度的因素的速度的因素: 1. proxy所在的网络。网络的出口带宽就所在的网络。网络的出口带宽就直接决定着其中的直接决定着其中的proxy的速度。的速度。2. proxy server的性能。的性能。3. proxy server与你的机器之间的距离。与你的机器之间的距离。 4. 你所访问的站点情况。你所访问的站点情况。 代理服务器的优点和特点代理服务器的优点和特点 代理服务器的主要优点是能够提供代理服务器的主要

28、优点是能够提供NATNAT。对公共网络隐藏内部网络是极为重对公共网络隐藏内部网络是极为重要的。除此以外要的。除此以外, ,还有下列的好处还有下列的好处: :验证验证、日志记录和报警日志记录和报警、缓存缓存、较少的规则较少的规则 面向代理的防火墙对面向代理的防火墙对IPIP包的查寻是很深包的查寻是很深入的入的, ,它们并不停留于它们并不停留于OSIOSI参考模型的网络层。参考模型的网络层。它们可以在应用层上读取文本字符串它们可以在应用层上读取文本字符串, ,并且它并且它们能够验证用户。由于代理服务器提供更多们能够验证用户。由于代理服务器提供更多的特点的特点, ,它们通常需要额外的系统资源。这样它

29、们通常需要额外的系统资源。这样, ,在网络上运行一个代理服务器可能需要更昂在网络上运行一个代理服务器可能需要更昂贵的硬件。贵的硬件。使用代理的不足之处：使用代理的不足之处： 首先它会使访问速度变慢，因为不首先它会使访问速度变慢，因为不允许用户直接访问网络，而且应用级网允许用户直接访问网络，而且应用级网关需要对每一个特定的关需要对每一个特定的Internet服务安装服务安装相应的代理服务软件，其次，用户不能相应的代理服务软件，其次，用户不能使用未被服务器支持的服务，对每一类使用未被服务器支持的服务，对每一类服务要使用特殊的客户端软件，尤其是，服务要使用特殊的客户端软件，尤其是，并非所有的并非所有

30、的Internet应用软件都可以使用应用软件都可以使用代理服务器。代理服务器。 使用代理服务器与远端使用代理服务器与远端TCP/IPTCP/IP连接的连接的客户端客户端, ,必须配置使用一个代理服务器并且必须配置使用一个代理服务器并且具备所有指定参数的正确设置。同时具备所有指定参数的正确设置。同时代理代理服务不能保护我们不受协议本身缺点的限服务不能保护我们不受协议本身缺点的限制。制。防火墙体系结构防火墙体系结构 有四种常用的防火墙设计有四种常用的防火墙设计, ,每一个都每一个都提供了一个确定的安全级别。这四个选择提供了一个确定的安全级别。这四个选择是是: : v屏蔽路由器屏蔽路由器v双重宿主主

31、机体系结构双重宿主主机体系结构v主机过滤体系结构主机过滤体系结构v子网过滤体系结构子网过滤体系结构 1 1，屏蔽路由器，屏蔽路由器 屏蔽路由器屏蔽路由器( (screening router)screening router)被被认为是出色的首道防线认为是出色的首道防线屏蔽路由器的选屏蔽路由器的选择是最简单和最常用的择是最简单和最常用的。 这个方法费用不高这个方法费用不高, ,但仍提供了显著但仍提供了显著的保护。的保护。 只使用一台屏蔽路由器的解决方案可只使用一台屏蔽路由器的解决方案可能会有一些缺点。主要的一个缺点是建立能会有一些缺点。主要的一个缺点是建立恰当的过滤器需要高水平的恰当的过滤器需

32、要高水平的TCP/IPTCP/IP知识。知识。另一个缺点是只有一台单一的设备在保护另一个缺点是只有一台单一的设备在保护网络。屏蔽路由器还没有高质量的监控或网络。屏蔽路由器还没有高质量的监控或日志记录功能。日志记录功能。 2双重宿主主机体系结构双重宿主主机体系结构双重宿主主机体系结构是围绕具有双重宿主主机体系结构是围绕具有双重宿主的主体计算机而构筑的。该计双重宿主的主体计算机而构筑的。该计算机至少有两个网络接口，这样的主机算机至少有两个网络接口，这样的主机可以充当与这些接口相连的网络之间的可以充当与这些接口相连的网络之间的路由器，并能够从一个网络到另一个网路由器，并能够从一个网络到另一个网络发送

33、络发送IP数据包。数据包。双重宿主主双重宿主主机 的 防 火 墙 体机 的 防 火 墙 体系 结 构 是 相 当系 结 构 是 相 当简 单 的 ， 双 重简 单 的 ， 双 重宿 主 主 机 位 于宿 主 主 机 位 于两 者 之 间 ， 并两 者 之 间 ， 并且 被 连 接 到 因且 被 连 接 到 因特 网 和 内 部 的特 网 和 内 部 的网 络 。 右 图 显网 络 。 右 图 显示 这 种 体 系 结示 这 种 体 系 结构。构。 防火墙内部的网络系统能与双重防火墙内部的网络系统能与双重宿主主机通信，同时防火墙外部的网宿主主机通信，同时防火墙外部的网络系统（在因特网上）也能与双

34、重宿络系统（在因特网上）也能与双重宿主主机通信。通过双重宿主主机，防主主机通信。通过双重宿主主机，防火墙内外的计算机便可进行通信了，火墙内外的计算机便可进行通信了，但是这些系统不能直接互相通信，它但是这些系统不能直接互相通信，它们之间的们之间的IP通信被完全阻止。通信被完全阻止。 在主机过滤体在主机过滤体系结构中提供安全系结构中提供安全保护的壁垒主机仅保护的壁垒主机仅仅与内部网相连。仅与内部网相连。另外，主机过滤结另外，主机过滤结构还有一台单独的构还有一台单独的路由器（过滤路由路由器（过滤路由器）。在这种体系器）。在这种体系结构中，主要的安结构中，主要的安全由数据包过滤提全由数据包过滤提供，其

35、结构如右图供，其结构如右图所示。所示。3 3主机过滤体系结构主机过滤体系结构 堡垒主机既可以被配置成链路级也可堡垒主机既可以被配置成链路级也可以是应用级网关。当使用这两种类型中的以是应用级网关。当使用这两种类型中的任意一种时任意一种时, ,每一个都是代理服务器每一个都是代理服务器, ,堡垒堡垒主机可以用来隐藏内部网络的配置。主机可以用来隐藏内部网络的配置。 在某些方面在某些方面, ,这种实施方式优于包过滤这种实施方式优于包过滤防火墙。首先防火墙。首先, ,它增加了一台壁垒主机以及链它增加了一台壁垒主机以及链路级和应用级网关路级和应用级网关, ,同样同样, ,壁垒本身构成又一壁垒本身构成又一个安

36、全设备，因为这种防火墙在网络和任意个安全设备，因为这种防火墙在网络和任意一个外部网络一个外部网络( (如如InternetInternet）之间建立了一个之间建立了一个完全的物理间隔完全的物理间隔, ,所以它的实施是安全的。所以它的实施是安全的。 比起包过滤器来比起包过滤器来, ,这种方法的缺点在于这种方法的缺点在于成本的增加和性能上可能的下降。成本的增加和性能上可能的下降。 最常用的、实现一个防火墙的方法是屏最常用的、实现一个防火墙的方法是屏蔽子网蔽子网( (screened subnetscreened subnet）。）。它也被称做是它也被称做是非军事化区非军事化区, ,这是由于它在这是

37、由于它在InternetInternet和你的和你的网络之间网络之间, ,建立了一个相当安全的空间建立了一个相当安全的空间, ,或子或子网。子网过滤体系结构添加了额外的安全层网。子网过滤体系结构添加了额外的安全层到主机过滤体系结构中，即通过添加屏蔽子到主机过滤体系结构中，即通过添加屏蔽子网，更进一步地把内部网络与因特网隔离开。网，更进一步地把内部网络与因特网隔离开。子网过滤体系结构的最简单的形式为两个子网过滤体系结构的最简单的形式为两个过滤路由器，每一个都连接到子网，一个位过滤路由器，每一个都连接到子网，一个位于子网与内部的网络之间，另一个位于子网于子网与内部的网络之间，另一个位于子网与外部网

38、络之间。与外部网络之间。4 4子网过滤体系结构子网过滤体系结构（1）屏蔽子网屏蔽子网屏蔽子网屏蔽子网是在内外部网之间另加的一层是在内外部网之间另加的一层安全保护网络层。如果入侵者成功地闯过外安全保护网络层。如果入侵者成功地闯过外层保护网到达防火墙，层保护网到达防火墙，屏蔽子网屏蔽子网就能在入侵就能在入侵者与内部网之间再提供一层保护。者与内部网之间再提供一层保护。 如果入侵者仅仅侵入到如果入侵者仅仅侵入到屏蔽子网屏蔽子网的堡垒的堡垒主机，他只能偷看到这层网络的信息流（看主机，他只能偷看到这层网络的信息流（看不到内部网的信息），而这层网络的信息流不到内部网的信息），而这层网络的信息流仅从仅从屏蔽子

39、网屏蔽子网往来于外部网或者从往来于外部网或者从屏蔽子网屏蔽子网往来于堡垒主机。因为没有纯粹的内部信息往来于堡垒主机。因为没有纯粹的内部信息流在流在屏蔽子网屏蔽子网中流动，所以即使堡垒主机受中流动，所以即使堡垒主机受到损害也不会让入侵者破坏内部网的信息流。到损害也不会让入侵者破坏内部网的信息流。（2）堡垒主机）堡垒主机在子网过滤结构中，我们将堡垒主机在子网过滤结构中，我们将堡垒主机与与屏蔽子网屏蔽子网相连，而这台主机是外部网服相连，而这台主机是外部网服务于内部网的主节点。它为内部网服务的务于内部网的主节点。它为内部网服务的主要功能有：主要功能有：它接收外来的电子邮件再分发给相应它接收外来的电子邮

40、件再分发给相应的站点；的站点；它接收外来的它接收外来的FTP，并连到内部网的并连到内部网的匿名匿名FTP服务器；服务器；它接收外来的有关内部网站点的域名它接收外来的有关内部网站点的域名服务。服务。（3）内部路由器）内部路由器内部路由器的主要功能是保护内部网内部路由器的主要功能是保护内部网免受来自外部网与屏蔽子网的侵扰。免受来自外部网与屏蔽子网的侵扰。内部路由器完成防火墙的大部分包过内部路由器完成防火墙的大部分包过滤工作，它允许某些站点的包过滤系统认滤工作，它允许某些站点的包过滤系统认为符合安全规则的服务在内外部网之间互为符合安全规则的服务在内外部网之间互传。传。（4）外部路由器）外部路由器外部

41、路由器既可保护外部路由器既可保护屏蔽子网屏蔽子网又保护内部又保护内部网。实际上，在外部路由器上仅做一小部分网。实际上，在外部路由器上仅做一小部分包过滤，它几乎让所有外向请求通过。包过滤，它几乎让所有外向请求通过。 外部路由器的包过滤主要是对外部路由器的包过滤主要是对屏蔽子网屏蔽子网上上的主机提供保护。然而，一般情况下，因为的主机提供保护。然而，一般情况下，因为屏蔽子网屏蔽子网上主机的安全主要通过主机安全机上主机的安全主要通过主机安全机制加以保障，所以由外部路由器提供的很多制加以保障，所以由外部路由器提供的很多保护并非必要。保护并非必要。 外部路由器真正有效的任务就是阻断外部路由器真正有效的任务

42、就是阻断来自外部网上伪造源地址进来的任何数据来自外部网上伪造源地址进来的任何数据包。这些数据包自称是来自内部网，而其包。这些数据包自称是来自内部网，而其实它是来自外部网。实它是来自外部网。 入侵者总是把他们伪装成来自于内部入侵者总是把他们伪装成来自于内部网。要用包过滤路由器来实现我们设计的网。要用包过滤路由器来实现我们设计的安全规则，唯一的方法是通过安全规则，唯一的方法是通过屏蔽子网屏蔽子网上上的包过滤路由器。只有处在这种位置上的的包过滤路由器。只有处在这种位置上的包过滤路由器才能通过查看包的源地址和包过滤路由器才能通过查看包的源地址和目的地址目的地址，从而辨认出这个包到底是来自从而辨认出这个

43、包到底是来自于内部网还是来自于外部网。于内部网还是来自于外部网。 这种网络体系结构的主要好处在于这种网络体系结构的主要好处在于, ,黑黑客要想接近网络客要想接近网络, ,必须破坏三个分离的设备必须破坏三个分离的设备, ,而且不被发现。再一个好处是由于所有的出而且不被发现。再一个好处是由于所有的出去和进来的信息包直接到达屏蔽子网去和进来的信息包直接到达屏蔽子网, ,而不而不是你的网络是你的网络, ,内部网络有效地隐形于内部网络有效地隐形于InternetInternet。第三第三, ,由于这个路由信息包含在由于这个路由信息包含在网络中网络中, ,内部用户不能不穿过壁垒主机而访内部用户不能不穿过壁

44、垒主机而访问问InternetInternet。防火墙自身的安全性防火墙自身的安全性大多数人在选择防火墙时都将注意力大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支放在防火墙如何控制连接以及防火墙支持多少种服务上，但往往忽略一点，防持多少种服务上，但往往忽略一点，防火墙也是网络上的主机设备或软件系统，火墙也是网络上的主机设备或软件系统，也可能存在安全问题。防火墙如果不能也可能存在安全问题。防火墙如果不能确保自身安全，则防火墙的控制功能再确保自身安全，则防火墙的控制功能再强，也终究不能完全保护内部网络。强，也终究不能完全保护内部网络。 硬件问题硬件问题 当选择硬件时当选择硬件时

45、, ,只使用经测试过的常用只使用经测试过的常用的硬件的硬件, ,而不是那些边缘技术。这些新的技术而不是那些边缘技术。这些新的技术可以在生产环境中测试之后可以在生产环境中测试之后, ,通常会发现一些通常会发现一些安全漏洞。安全漏洞。 确定处理器运行多快和购买多少确定处理器运行多快和购买多少RAMRAM将将由壁垒主机的角色而定。由壁垒主机的角色而定。 还必须备份壁垒主机还必须备份壁垒主机, ,它应该配置有它它应该配置有它自己的磁带备份设备。自己的磁带备份设备。 操作系统操作系统 包过滤器常常运行在路由器上包过滤器常常运行在路由器上, ,它们它们具有包过滤器必须使用的专用的操作系统。具有包过滤器必须

46、使用的专用的操作系统。但是但是很多防火墙安装在一般的操作系统上，很多防火墙安装在一般的操作系统上，如如unix、NT系统。在防火墙主机上的执系统。在防火墙主机上的执行的除了防火墙软件外，还有其他程序、行的除了防火墙软件外，还有其他程序、系统核心，当防火墙上所执行的软件出现系统核心，当防火墙上所执行的软件出现安全漏洞时，防火墙本身也将受到威胁。安全漏洞时，防火墙本身也将受到威胁。 应该单独地并且在所有层次上保护每应该单独地并且在所有层次上保护每一台壁垒主机。一台壁垒主机。 还应该尽可能多的删除操作系统上的还应该尽可能多的删除操作系统上的应用程序。应用程序。 消除任何多余的服务、后台运行程序消除任

47、何多余的服务、后台运行程序或应用程序是建立一个安全的壁垒主机中或应用程序是建立一个安全的壁垒主机中最基本的步骤。最基本的步骤。 黑客提出的批评：黑客提出的批评：首先，对任何打成包的大型商用防首先，对任何打成包的大型商用防火墙，如果没有配置它的知识，那对你是火墙，如果没有配置它的知识，那对你是毫无用处的。同时，一个商用防火墙软件毫无用处的。同时，一个商用防火墙软件包又自己创建了风险。就像一个黑客指出包又自己创建了风险。就像一个黑客指出的：的：“两千个人在他们的站点上安装了两千个人在他们的站点上安装了“Super Firewall X ”，然后你和我坐了一然后你和我坐了一两个星期并闯进了两个星期并

48、闯进了“Super Firewall X ”嘿，我们一下就可攻击两千个站点嘿，我们一下就可攻击两千个站点”。 防火墙的关键技术防火墙的关键技术 防火墙技术发展到现在，其技术竞争的防火墙技术发展到现在，其技术竞争的焦点主要是在管理、功能、性能、抗攻击能焦点主要是在管理、功能、性能、抗攻击能力这四个方面：力这四个方面： 管理是关键管理是关键：用户要使用一个安全的防：用户要使用一个安全的防火墙系统，就需要实行一套安全的防火墙策火墙系统，就需要实行一套安全的防火墙策略，这就对防火墙的实际操作人员提出较高略，这就对防火墙的实际操作人员提出较高要求。由于不同防火墙在管理上存在差异。要求。由于不同防火墙在管

49、理上存在差异。因此，管理的难易程度可能造成管理员的错因此，管理的难易程度可能造成管理员的错误配置，使网络产生安全隐患，因为无法要误配置，使网络产生安全隐患，因为无法要求每个网络管理员都是网络安全专家，所以求每个网络管理员都是网络安全专家，所以管理是网络安全的关键。管理是网络安全的关键。功能是基础：功能是基础：防火墙所具有的功能越来越多，防火墙所具有的功能越来越多，但防火墙是否具有信息内容过滤但防火墙是否具有信息内容过滤 是选购防火是选购防火墙时需要着重考察的功能点墙时需要着重考察的功能点, 内容过滤能够实内容过滤能够实现对应用层内容的检测，提高网络的安全性现对应用层内容的检测，提高网络的安全性

50、, 内容过滤是在内容过滤是在http, ftp和和smtp等协议层根据过等协议层根据过滤条件对信息流进行控制。滤条件对信息流进行控制。Java Applet, JavaScript, ActiveX, Servlet, CGI, PHP, 电子电子邮件附加的邮件附加的DOC和和ZIP文件；文件；FTP下载和上载下载和上载文件的内容等都可能包含危险信息，如病毒文件的内容等都可能包含危险信息，如病毒, 非法的关键字非法的关键字, 非法操作命令等。因此对内容非法操作命令等。因此对内容进行过滤能有效地提高网络的安全性。进行过滤能有效地提高网络的安全性。 性能是中坚性能是中坚：防火墙是网络的单一接入设备