《防火墙与因特网安全（三）》青少年教育丛书.pdfVIP

下载 第二部分 构建你自己的防火墙 第3章防防火墙网关 防火墙 (名词)：一个用于防止火势漫延的屏障隔离板。 —American Heritage Dictionary 3.1 防火墙的工作原理 到现在为止，我们非正式地使用了名词防火墙 ( f i r e w a l l )和网关( g a t e w a y ) 。现在我们将更 为准确地说明它们。一般来说，防火墙包括几个 过滤器 过滤器 不同的组成部分 (见图3 - 1 ) 。过滤器 ( f i l t e r ) (有时 也称屏蔽 )用于阻断一定类型的通信传输。网关 是一台或一组机器，它提供中继服务，以补偿过 滤器的影响。驻有网关的网络常被叫做非军事区 内部 网关 外部 (DeMilitarized Zone ，D M Z ) 。D M Z 中的网关有 时还由一个内部网关 (internal gataway) 协助工 作。一般情况下，两个网关通过内部过滤器到内 图3-1 防火墙规划 部的连接比外部网关到其他内部主机的连接更为 开放。就网络通信而言，两个过滤器或网关本身，都是可以省去的，详细情况随防火墙的变 化而变化。一般说来，外部过滤器可用来保护网关免受攻击，而内部过滤器用来应付一个网 关遭到破坏后所带来的后果，两个过滤器均可保护内部网络，使之免受攻击。一个暴露的网 关机器通常被叫做堡垒机 (bastion host) 。 我们将防火墙分成三种主要类别：数据包过滤 (packet filtering) 、电路网关 ( c i r c u i t g a t e w a y ) 以及应用网关(application gateway) 。通常情况下，可同时使用多个这样的防火墙。 如前所述，即使没有使用安全防火墙，邮件通常也是通过网关来进行路由的。 成本 防火墙并不是免费的，其成本包括： • 硬件购置。 • 硬件维护。 • 软件开发或购置。 • 软件更新费用。 • 管理机构的设置与培训。 • 运行管理及故障排除。 • 由于网关被破坏或者服务受阻碍带来的业务损失及使用不方便。 40使用第二部分 构建你自己的防火墙 下载 • 开放连接可能导致某些服务的丢失或工作不方便。 没有防火墙而造成的损失的费用也必须计算： • 处理停机事件(例如网关故障)所花费的精力，包括损失的业务机会。 • 法律费用和资助黑客行为的其他费用。 这些费用差别很大，具体情况取决于受保护场合的性质。现代计算机非常便宜，但是一 所大学可能并不认为值得购买专门的网关机器。对大学而言，学生的劳动可以使管理费用保 持在低水平。大学里的人们相信，开放对因特网的访问是创建开放社会的一部分。当然，我 们也已发现，探测我们的黑客中 9 0 %是来自这一开放社会的 (参见第 11章) 。大学里也有确实需 要保护的管理用计算机。一些学生有时间和动机去搜索工资单、校友、特别是成绩数据库等。 一个大公司，如果花费 3 0 ，0 0 0美元购置硬件后，管理层因此能保证公司秘密将不被泄露 的话，那么它认为是完全值得的。对于公司的老板来说，缺少某些服务固然遗憾，但却很必 要。公司的律师们会很快担心自己因为庇护黑客的行为而应承担的责任，虽然我们目前并未 见到这样的诉讼案件。更为微妙的是，公司的管理层对股东的失职是要负责的。无论什么原 因，就我们的经验，受到黑客攻击的公司已很快解决了这一难题。 3.2 防火墙的安放位置 传统的做法是，将防火墙安放在组织机构与外部世界之间。但是一个大的机构可能还需 要内部防火墙将安全域 (security domain ，也叫管理域(administrative domain)) 隔