7.7防火墙建立实例.ppt

* 第7章 防 火 墙 技 术 7.7 防火墙建立实例 7.7.1 包过滤路由器的应用 包过滤路由器是最常用的因特网防火墙系统，该系统仅由部署在内部网和因特网之间的包过滤路由器构成，其作用是在网络间执行转发业务等典型的路由功能以及使用包过滤规则允许或拒绝业务流。包过滤规则的定义可使用内部网中的主机直接访问因特网，而对因特网中的主机访问内部网系统则加以限制，防火墙系统的这种外部姿态通常是拒绝每件未被特别许可的事情。 虽然这种防火墙系统有费用低廉，对用户透明等优点，但也有包过滤路由器所有的一切局限性，如过滤配置不合适，则易遭受攻击、 被允许的服务以隧道形式的攻击。因为允许数据包在外部系统和内部系统之间进行直接交换，所以系统可能遭受的攻击程序由主机总数以及包过滤路由器允许的业务流得到的服务总数决定，这意味着可直接从因特网访问的某一主机必须支持严格的用户认证，网络管理员必须定期对这种主机进行检查，看是否有被攻击的迹象。如果有一个包过滤路由器被渗透， 内部网中的每一系统都可能被破坏。 7.7.2 屏蔽主机防火墙的应用 屏蔽主机防火墙系统是由同时部署的包过滤路由器和堡垒主机构成， 如图7.50所示。由于这种防火墙系统实现了网络层安全（包过滤）和应用层安全（代理服务），因此它的安全登记比上一例更高，入侵者要想破坏内部网，首先必须渗透两个分开的系统。 图 7.50 屏蔽主机防火墙系统(单连接点堡垒主机) 该系统中，堡垒主机被配置在专用网中，而包过滤路由器则配置在因特网和堡垒主机之间，过滤规则的配置使得外部主机只能访问堡垒主机， 发往其它内部系统的业务流则全部被阻塞。由于内部主机和堡垒主机在同一网络上，机构的安全策略决定内部系统是被允许直接访问因特网，还是要求使用堡垒主机上的代理服务。通过配置路由器的过滤规则，使其仅接受发自于堡垒主机的内部业务流，这样就可以迫使内部用户使用代理服务器。 这种防火墙系统的优点之一是可将一个用于提供Web服务和ftp服务的公共信息服务器放在可供包过滤路由器和堡垒主机共享的地方。如果系统要求最强的安全性， 堡垒主机则运行代理服务，以要求内部用户和外部用户在和信息服务器通信之前， 访问堡垒主机。如果安全性要求稍低一些，则可对路由器进行配置以使其允许外部用户直接访问公共信息服务。 使用双连接点堡垒主机系统能构造更为安全的防火墙系统，如图7.51所示。双连接点堡垒主机有两个网络接口，但是该主机不能将业务流绕过代理服务而直接在两个接口间转发。如果允许外部用户能够直接访问信息服务器，则堡垒主机的拓扑结构将迫使外部用户发往内部网的业务流必须经过堡垒主机，以提供附加的安全性。 图 7.51 屏蔽主机防火墙系统(双连接点堡垒主机) 由于堡垒主机是可从因特网种子界访问的惟一的内部系统， 因此内部网所受到的来自于外部网的安全威胁主要集中在堡垒主机上。然而如果允许用户进入堡垒主机，用户可能容易地破坏堡垒主机，从而使可能的安全威胁扩展到整个内部网络。 所以必须保证堡垒主机的强度， 以防用户的渗透和进入。 7.7.3 屏蔽子网防火墙的应用 屏蔽子网防火墙系统用了两个包过滤路由器和一个堡垒主机， 如图7.52所示。由于它支持网络层和应用层的安全，而且还定义一个“非军事区”(DMZ， Demilitarized Zone)网络，因此它建立的是最安全的防火墙系统。网络管理者将堡垒主机、信息服务器、公用调制解调器、以及其它一些功用服务器都放在DMZ网络中。 DMZ网络很小，位于因特网和内部网之间，它的配置可以使因特网中的系统和内部网中的系统只能访问DMZ网络中有限数目的系统，且可禁止业务流穿过DMZ网络的直接传输。 图 7.52 屏蔽子网防火墙系统 对于从因特网进来的信息流，外部路由器可以防止其实施一般的外部攻击（如源IP地址欺骗攻击、源路由攻击等），且还管理因特网对DMZ网络的访问，它只允许外部系统访问堡垒主机（也可能还有信息服务器）。内部路由器提供第二层防线， 通过只接受来源于堡垒主机的业务流而管理DMZ对内部网络的访问。  对于发往因特网的业务流，内部路由器管理内部网对DMZ网络的访问，它只允许内部系统访问堡垒主机（也可能有信息服务器）。 外部路由器通过只接受由堡垒主机发往因特网的业务流，从而使得其上的过滤规则要求使用代理服务。 部署屏蔽子网防火墙系统有以下一些优点：  (1) 入侵者必须闯过三个分开的设备才能够渗透到内部网， 这三个设备是外部路由器、堡垒主机、内部路由器。  (2) 由