第7章 网络安全基础精品.ppt

7.7.3 防火墙的基本结构 1.屏蔽路由器防火墙 屏蔽路由器是防火墙最基本的构件，它可以由专门的路由器实现，也可以用主机实现。路由器上安装基于IP层的报文过滤软件，实现报文过滤功能。 单纯由屏蔽路由器构成的防火墙的主要缺点是：不能对高层攻击进行隔离；不具有日志维护能力；难于发现被控制的路由器。 Internet 内部网络 屏蔽路由器 依据策略决定转发/阻止数据包 图7-17 屏蔽路由器 2. 双宿主机防火墙 以一台装有两块网卡的堡垒主机做防火墙，两块网卡分别与受保护网和外部网相连，堡垒主机上运行防火墙软件。如图7-18所示。 Internet 内部网络 双宿主机 图7-18 双宿主机结构 双宿主机防火墙支持系统日志、日志备份、远程日志等功能，具有高层攻击的防御能力；但如果堡垒机被攻击，使其只具有路由功能，则内网可以被自由访问。 3. 屏蔽主机防火墙 屏蔽主机防火墙以易于实现、安全性高、造价低而被广泛应用。它由一个与外网连接的分组过滤路由器和一个安装在内网上的堡垒主机构成防火墙。路由器上设立过滤规则，并使堡垒机成为外网唯一可以直达的主机，以确保内网不被未授权的外部用户访问。图7-19给出了屏蔽主机防火墙的逻辑构成。 这种结构的防火墙可以在协议高层和低层提供对内网的保护。重点是防止攻击者登录到堡垒机上。 Internet 内部网络 包过滤路由器 图7-19 屏蔽主机防火墙的逻辑结构 堡垒主机 （应用网关） 4. 屏蔽子网防火墙 这种结构是在内网与外网之间建立一个被隔离的子网，用两个分组过滤路由器将其与内、外网分开，子网称为屏蔽子网或非军事区（DMZ）。逻辑结构如图7-20所示。 这种结构包括两个分组过滤路由器和一个应用网关。这两个路由器中的一个专门检查进入内联网的分组，而另一个则检查出去的。使用两个局域网的原因就是使穿过防火墙的各种分组必须经过分组过滤路由器和应用网关的检查。 内部路由器 外部路由器 DMZ 内部网络 图7-20 屏蔽子网防火墙结构 堡垒主机 （应用网关） Internet 5. 其他防火墙结构 （1）一个堡垒机和一个非军事区结构 堡垒机采用双宿主机技术，分别与内网和DMZ连接。入侵者只有穿越分组过滤路由器和堡垒机才能进入内网。 非军事区上不连接其他站点，可以通过点到点连接代替。采用两个子网的目的在于增加企图通过地址分析来获取连接的难度，提高防火墙的安全性。当然，这也增加了内外网间合法传输的时延。 Internet 内部网络 双宿主机 图7-21 一个双宿主机和一个非军事区结构 DMZ 外部路由器 （2）两个堡垒机和两个非军事区 这种结构使用两台双宿主堡垒机，将网络划分成4个部分：内部网络、外部网络、内部非军事区和外部非军事区。如图7-22所示。 过滤路由器和外部堡垒机是外部DMZ上仅有的网络接口。主要承担外部入侵的分组过滤和高层网关的检测，隐藏内部网络的细节；内部堡垒机作为内部网关的主要任务则是防止内网敏感部位的暴露和信息外泄。 Internet 内部网络 外部堡垒机 图7-22 两堡垒机和两个非军事区结构 外部DMZ 外部路由器 内部DMZ 内部堡垒机 （3）两个堡垒机和一个非军事区 使用两台具有单一网络接口的堡垒机，加上一个内部过滤路由器作为阻塞器，内部路由器位于DMZ和内网之间。如图7-23所示。 这种结构的安全防护原理与屏蔽主机结构类似，但因采用双重保护措施，所以内部网络的安全性更高。 Internet 内部网络 图7-23 两个堡垒主机和一个非军事区结构 DMZ 外部路由器 内部路由器 外部堡垒主机 内部堡垒主机 7.7.4 攻击防火墙的主要手段 1. IP地址欺骗 突破防火墙系统最常用的方法是IP地址欺骗，它同时也是其他一系列攻击方法的基础。入侵者利用伪造的IP发送地址产生虚假的数据包，伪装成来自内部站分组。这种类型的攻击是非常危险的。只要系统发现发送地址在合法的范围之内，则它就把该分组按内部通信对待并让其通过。 2. TCP序号攻击 TCP序号攻击是绕过基于分组过滤方法的防火墙系统的最有效也是最危险的方法之一。利用互联网协议中的这种安全漏洞，可以使那些访问管理依赖于分析IP地址的安全系统上当。这种攻击基于在建立TCP连接时使用的三次握手序列号（three-step handshake seqence）实现对安全系统的入侵。 3. IP分段攻击 通常采用将数据分组分段的办法来支持网络给定的最大IP分组长度。因为只有第一个分段标有TCP端口号和分段顺序信息，而没有TCP端口号的分段是不能被滤除的。除了IP头之外，每个分组包含一个ID号和分组偏移量，用来清楚地识别各分段及其顺序。利用这一点，攻击者把它们的路由判决建立在TCP端口号的基础上，如果第一个分组没有分段顺序，则目标站抛弃到达的任何另外的分组