防火墙 ppt4第四章.pptVIP

第4章 防火墙体系结构 4.1 防火墙的体系结构 4.2 包过滤器 4.3 应用级网关 4.4 电路级网关 4.5 状态包检测（SPI） 4.6 实施方式 4.1 防火墙的体系结构 为了满足用户的更高要求，防火墙体系架构经历了从低性能的x86，PPC软件防火墙向高性能硬件防火墙的过渡。防火墙在经过几年繁荣的发展后，已经形成了多种类型的体系架构，并且这几种体系架构的设备并存互补，并不断进行发展升级。 1. 双重宿主主机体系结构 双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器，它能够从一个网络到另外一个网络发送IP数据包，然而双重宿主主机的防火墙体系结构禁止这种发送。 4.1 防火墙的体系结构 因此，IP数据包并不是从一个网络（如外部网络）直接发送到另一个网络（如内部网络）。外部网络能与双重宿主主机通信，内部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制，如图4-1所示。 2. 被屏蔽主机体系结构 双重宿主主机体系结构防火墙没有使用路由器，而被屏蔽主机体系结构防火墙则使用一个路由器把内部网络和外部网络隔离开，如图4-2所示。在这种体系结构中，主要的安全由数据包过滤提供（例如，数据包过滤用于防止人们绕过代理服务器直接相连）。 4.1 防火墙的体系结构 这种体系结构涉及到堡垒主机。堡垒主机是因特网上的主机能连接到的唯一的内部网络上的系统。任何外部的系统要访问内部的系统或服务都必须先连接到这台主机。因此，堡垒主机要保持更高等级的主机安全。 3. 被屏蔽子网体系结构 被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步地把内部网络和外部网络（通常是Internet）隔离开。被屏蔽子网体系结构的最简单的形式为两个屏蔽路由器，每一个都连接到周边网。 4.1 防火墙的体系结构 一个位于周边网与内部网络之间，另一个位于周边网与外部网络（通常为Internet）之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。为了侵入用这种体系结构构筑的内部网络，侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机，他将仍然必须通过内部路由器，如图4-3所示。 4.2 包过滤器 4.2.1 包过滤技术分类 在包过滤技术的发展中，出现过两种不同的技术，即静态包过滤和动态包过滤。包过滤技术作为防火墙的应用有三类。 一是路由设备在完成路由选择和数据转发之外，同时进行包过滤，这是目前较常用的方式。 二是在工作站上使用软件进行包过滤，这种方式价格较贵。 三是在一种称为屏蔽路由器的路由设备上启动包过滤功能。 4.2 包过滤器 防火墙对数据的过滤，首先是根据数据包中包头部分所包含的源IP地址、目的IP地址、协议类型（TCP包、UDP包、ICMP包）、源端口、目的端口及数据包传递方向等信息，判断是否符合安全规则，以此来确定该数据包是否允许通过。 1. 静态包过滤（Static packet filter） 静态包过滤（Static packet filter）技术是传统包过滤技术，它根据流经该设备的数据包地址信息决定是否允许该数据包通过，它判断的依据有（只考虑IP包）： ● 数据包协议类型：TCP，UDP，ICMP，IGMP等。 ● 源IP地址、目的IP地址。 4.2 包过滤器 ● 源端口、目的端口：FTP，HTTP，DNS等。 ● IP选项：源路由、记录路由等。 ● TCP选项：SYN，ACK，FIN，RST等。 ● 其他协议选项：ICMP ECHO，ICMP ECHO REPLY等。 ● 数据包流向：in（进）或out（出）。 ● 数据包流经网络接口。 4.2 包过滤器 2. 动态包过滤（Dynamic packet filter） 包过滤防火墙是基于路由器来实现的。它利用数据包的头信息（源IP地址、封装协议、端口号等）判定与过滤规则是否相匹配来决定舍取。建立这类防火墙应按如下步骤去做： ● 第1步，建立安全策略——写出所允许的和禁止的任务。 ● 第2步，将安全策略转化为数据包分组字段的逻辑表达式。 ● 第3步，用供货商提供的句法重写逻辑表达式并设置之。 4.2 包过滤器 4.2.2 包过滤器的工作层次 包过滤防火墙通常工作在OSI的三层及三层以下，由此可以看出，它可控的内容主要包括报文的源地址、报文的目标地址、服务类型，以及第二层数据链路层可控的MAC地址等。除此以外，随着包过滤防火墙的发展，部分OSI四层的内容也被包括进来，如报文的源端口和目的端口。 4.2 包过滤器 4.2.3 过滤器的工作原理 1. 使用过滤器 数据包过滤用在内部主机和外部主机之间，过滤系