7.3防火墙体系结构.ppt

7.3 防火墙体系结构 ; 一般说来，防火墙置于内部可信网络和外部不可信网络之间。防火墙作为一个阻塞点来监视和抛弃应用层的网络流量（如图7.5所示）。防火墙也可以运行于网络层和传输层，它在此处检查接收和送出包的IP及TCP包头，并且丢弃一些包，这些包是基于已编程的包过滤器规则的。同时，防火墙是实施网络安全策略的主要工具，在许多情况下，需要身份验证、安全和增强保密技术来加强网络安全或实施网络安全策略的其它方面。 ;图7.5 防火墙操作;目前， 常见的防火墙体系结构有下列四种：  (1) 双宿主主机体系结构； (2) 堡垒主机过滤体系结构； (3) 过滤子网体系结构； (4) 应用层网关体系结构。 ;7.3.1 双宿主主机体系结构 在TCP/IP网络中，多宿主主机指具有多个网络接口的主机（如图7.6所示）。通常，每个网络接口都与网络互连。早期， 这种宿主主机也可以在网络段之间传送流量。网关过去是完成这些多宿主主机的路由功能， 今天， 路由器是用来完成路由功能，而网关则保留下来仅用于描述OSI模型层上相似的那部分功能。 ;图 7.6 典型多宿主主机 ; 1． 双宿主主机体系结构的防火墙应用模式 1） 一个路由功能被禁止的双宿主主机防火墙 一个路由功能被禁止的双宿主主机防火墙如图7.7所示。图中网络1上的主机A可以访问双宿主主机上的应用程序A。类似的，主机B可以访问双宿主主机上的应用程序B。 由于双宿主主机上的这两个应用程序可以共享数据。使得主机A和B通过双宿主主机上的数据共享来交换信息, 此时在双宿主主机上相连的两个网络段之间没有网络流量的交换。这就是此方法的优点。 ;图 7.7 双宿主主机 ; 2） 双宿主主机防火墙 双宿主主机可用于把一个内部网络从一个不可信的外部网络中分离出来（如图7.8所示）。 因为双宿主主机不能直接转发任何TCP/IP流量，所以它可以彻底阻塞内部和外部不可信网络间的任何IP流量。 ;图 7.8 作为防火墙的双宿主主机 ; 3） 具有应用程序转发进程的双宿主主机防火墙 Internet服务，如邮件和新闻等本质上都是存储转发服务。 WWW网也可以认为是存储和转发，如“caching”和“proxy”。 如果这些服务运行于双宿主主机上，它们将加以配置，用来在网络之间传送应用程序服务。如果应用程序的数据必须穿过防火墙，则应用程序转发进程被创建，并可以在双宿主主机上运行（如图7.9所示）。由此可见，应用程序转发进程是用于在两个互连的网络之间转发应用程序需求的特殊软件。 ;图 7.9 具有应用程序转发进程的双宿主主机; 4） 允许用户登录到双宿主主机防火墙 允许用户登录到双宿主主机，并且双宿主主机的外部网络接口访问外部服务（如图7.10 所示）。如果使用了应用程序转发器，那么应用程序的流量就不能穿过双宿主主机防火墙，除非应用程序转发器运行和配置在防火墙机器上，这是一种实施安全的策略，即“若没有明确允许，则就是被禁止”。如果用户被允许直接登陆到防火墙，那么防火墙的安全性就将受到危害， 这是因为双宿主主机防火墙是内部网络和外部网络相连的中心点。根据定义，双宿主主机防火墙处于危险区中，如果用户选择了较弱的密码，或者他的用户帐户密码泄漏，那么危险区可能延伸到内部网络，从而就失去了双宿主主机防火墙的作用。 ;图 7.10 标准用户登录到双宿主主机的不安全性简图 ; 如果适当地记录用户的登录，那么当安全破坏问题被发现后，就有可能对登录到防火墙上的非授权用户进行跟踪； 如果用户不允许直接登录到双宿主主机防火墙上，那么，任何企图登录的用户都被登记为一个警告的事件，即存在一种潜在的不安全性因素。 ; 5） 作为邮电转发器的双宿主主机防火墙 存储转发的应用实例是SMTP(邮件)。作为邮电转发器的双宿主主机防火墙（如图7.11所示），给出了已配置的双宿主主机在外部不可信网络和内部网络之间任意转发邮件消息的位置。 ;图 7.11 作为邮件转发器的双宿主主机 ;6） 作为新闻发送器的双宿主主机防火墙 ;7） 无配置的双宿主主机防火墙 ; 大多数防火墙是基于UNIX平台实施的，在一些UNIX实施中缺省的路由功能是允许的。因此，验证双宿主防火墙的路由功能是否被禁止就非常重要，如果没有禁止，就应该禁止它。 ; 2． 双宿主防火墙的不安全隐患的消除 如果一个入侵者获得了对双宿主主机直接登录访问的权力， 这将构成最大的威胁。登录验证应该通过双宿主主机的应用程序代理完成