第十一章节防火墙技术.ppt

11.3.3 屏蔽主机防火墙 屏蔽主机防火墙使用应用网关提供代理服务。其结构中提供安全保护的主机仅仅与内部网相连，还有一台单独的过滤路由器，该路由器强迫所有到达它的数据包发送到被其屏蔽的堡垒主机，并且只接受来自于堡垒主机的数据作为出去的数据，其结构如图11.5所示。该防火墙系统实现了网络层安全(包过滤)和应用层安全(代理服务)，所以其安全等级比包过滤防火墙要高。通常在路由器上设过滤规则，并使堡垒主机成为从外部网络可直接到达的主机。要访问内部系统或服务的外部系统都须与此主机相连。所以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。堡垒主机配置在内部网络上，而包过滤路由器则放置在内部网络和英特网之间。在路由器上进行规则配置，使得外部系统只能访问堡垒主机，去往内部系统上其它主机的信息全部被阻塞。由于内部主机与堡垒主机处于同一个网络，内部系统是否允许直接访问英特网，或者是要求使用堡垒主机上的代理服务来访问英特网由机构的安全策略来决定。对路由器的过滤规则进行配置，使得其只接受来自堡垒主机的内部数据包，就可以强制内部用户使用代理服务。 Internet 内部子网 堡垒主机 防火墙 路由器 图 11.5 屏蔽主机防火墙结构图 在采用屏蔽主机防火墙情况下，过滤路由器是否正确配置是这种防火墙安全与否的关键，过滤路由器的路由表应当受到严格的保护，否则如果路由表遭到破坏，则数据包就不会被路由到堡垒主机上，使堡垒主机被越过。 因为屏蔽主机这种体系结构有堡垒主机被绕过的可能，堡垒主机与其他内部主机之间没有任何保护网络安全的东西存在，一旦堡垒主机被攻破，内部网将完全暴露，所以还有下面另一种体系结构——屏蔽子网。 11.3.4 屏蔽子网防火墙 屏蔽子网防火墙系统用了两个包过滤路由器和一个堡垒主机。这个防火墙系统建立的是最安全的防火墙系统，因为在定义了“非军事区”网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机，信息服务器，Modem组，以及其它公用服务器放在“非军事区”网络中。“非军事区”网络很小，处于英特网和内部网络之间如图11.6所示。在一般情况下对“非军事区”配置成使用英特网和内部网络系统能够访问“非军事区”网络上数目有限的系统，而通过“非军事区”网络直接进行信息传输是严格禁止的。 对于进来的信息，外面的这个路由器用于防范通常的外部攻击（如源地址欺骗和源路由攻击），并管理英特网到“非军事区”网络的访问。它只允许外部系统访问堡垒主机（还可能有信息服务器）。里面的路由器提供第二层防御，只接受源于堡垒主机的数据包，负责的是管理“非军事区”到内部网络的访问。 对于去往英特网的数据包，里面的路由器管理内部网络到“非军事区”网络的访问。它允许内部系统只访问堡垒主机（还可能有信息服务器）。外面的路由器上的过滤规则要求使用代理服务（只接受来自堡垒主机的去往英特网的数据包）。 Internet 外部路由器 内部路由器 非军事区 堡垒主机 内部网络 图11.6 屏蔽子网防火墙结构图 内部路由器（又称阻塞路由器）位于内部网和“非军事区”之间，用于保护内部网不受“非军事区”和因特网的侵害，它执行了大部分的过滤工作。外部路由器的一个主要功能是保护“非军事区”上的主机，但这种保护不是很必要的，因为这主要是通过堡垒主机来进行安全保护的。外部路由器还可以防止部分IP欺骗，因为内部路由器分辨不出一个声称从“非军事区”来的数据包是否真的从“非军事区”来，而外部路由器很容易分辨出真伪。在堡垒主机上，可以运行各种各样的代理服务器。 堡垒主机是最容易受侵袭的，虽然堡垒主机很坚固，不易被入侵者控制，但万一堡垒主机被控制，如果采用了屏蔽子网体系结构，入侵者仍然不能直接侵袭内部网络，内部网络仍受到内部过滤路由器的保护。 如果没有“非军事区”，那么入侵者控制了堡垒主机后就可以监听整个内部网络的对话。如果把堡垒主机放在“非军事区”网络上，即使入侵者控制了堡垒主机，他所能侦听到的内容是有限的。即只能侦听到周边网络的数据，而不能侦听到内部网上的数据。内部网络上的数据包虽然在内部网上是广播式的，但内部过滤路由器会阻止这些数据包流入“非军事区”网络。 另外，根据不同的组合变化，防火墙的结构还有多堡垒主机结构、合并内外部路由器结构、合并堡垒主机和外部路由器结构、使用多外部路由器结构以及都参数网络结构等。 11.4 防火墙的关键技术 防火墙只是保护网络安全与保密的一种概念，并无严格的定义。防火墙的研究与开发正日新月异，各种新产品、新功能不断涌现。到目前为止，防火墙所涉及的关键技术包括：包过滤技术、代理技术、电路级网关技术、状态检查技术、地址翻译技术、加密技术、虚拟网技术、安全审计技术、安全内核技术、身份认证技术、负载平衡技术、内容安全技术等。其中有些技