9系统安全性.pptVIP

假设在某公司的网络(Intranet)中，有一个B类地址为, 该地址不允许Internet上的无关网络对它访问。但在该公司网中，有一个地址为的子网正在与某科研机构合作，这个科研机构网络的B类地址为，该公司只允许其内部的指定地址为、及地址为的三个子网，能访问上述的地址为的子网，但不允许上述三个子网去访问在中的其他子网。在图 9 - 17 中列出了上述的过滤规则集，其中的代表任何地址，规则E是最后的规则，仅当没有其它规则可满足时，才用此规则。 第96页/共111页 图 9 – 17 过滤规则集 第97页/共111页 图 9 – 18 利用过滤规则对数据进行检查 第98页/共111页 从图9 - 18 可以看出，当第一个数据包进入包过滤器时，由于该包是要访问公司网络中的1号子网，根据规则D而被拒绝；数据包2是要访问公司网中的6号子网，根据规则C而被允许访问；数据包3同样要访问6号子网，根据规则B也被允许访问；而数据包4根据规则D被拒绝；此外，第5个数据包的报文是来自于网络的，根据规则E也被拒绝。注意， 在利用过滤规则对数据包进行检查时，应按先A、B、C后D的次序， 依次用各规则进行检查，次序颠倒将会出现错误。 这是因为规则D和E本身是有前提的，只有在依次用A、B、 C规则检查之后，亦即先将135.79网络中的30、 32、 36号子网排除在外，再执行规则D检查(这时因为第4包中的源子网地址1.1是属于D规则中的其余子网的，因而是不被允许通行的)才不会出错。同样，也应当在执行A、B、C、D的检查之后， 再执行E规则。 第99页/共111页 2. 包过滤防火墙的优缺点 有效灵活。 (2) 简单易行。 防火墙机制本身存在固有的缺陷： 不能防止假冒。 (2) 只在网络层和传输层实现。 (3) 缺乏可审核性。 (4) 不能防止来自内部人员造成的威胁。 第100页/共111页 9.5.2 代理服务技术 1. 代理服务的基本原理 为了防止在Internet上的其他用户能直接获得Intranet中的信息， 在Intranet中设置了一个代理服务器，并将外部网(Internet)与内部网之间的连接分为两段，一段是从Internet上的主机引到代理服务器；另一段是由代理服务器连到内部网中的某一个主机(服务器)。每当有Internet的主机请求访问Intranet的某个应用服务器时，该请求总被送到代理服务器，并在其中通过安全检查后，再由代理服务器与内部网中的应用服务器建立链接。以后， 所有的Internet上的主机对内部网中应用服务器的访问，都被送到代理服务器，由后者去代替在Internet上的相应主机，对Intranet的应用服务器进行访问。这样就把Internet主机对Intranet应用服务器的访问，置于代理服务器的安全控制之下， 从而使访问者无法了解到Intranet的结构和运行情况。 第101页/共111页 2. 应用层网关的类型 代理服务技术是利用一个应用层网关作为代理服务器的。应用层网关可分三种类型： ① 双穴主机网关； ② 屏蔽主机网关； ③ 屏蔽子网网关。 这三种网关都要求有一台主机，通常称为“桥头堡主机”(Bastion Host)， 它起着防火墙的作用，也起着Internet与Intranet之间的隔离作用。 第102页/共111页 1) 双穴主机网关(Dual-Homed Gateway) 图 9 - 19(a)示出了双穴主机网关的结构。其中，桥头堡主机充当应用层网关。在主机中需要插入两块网卡，用于将主机连接到被保护网和Internet上。在主机上运行防火墙软件， 被保护网与Internet间的通信必须通过主机，因而可以将被保护网很好地屏蔽起来。Intranet可以通过桥头堡主机获得Internet提供的服务。这种应用层网关能有效地保护和屏蔽Intranet，且要求的硬件较少，因而是目前应用较多的一种防火墙；但桥头堡主机本身缺乏保护，容易受到攻击。 第103页/共111页 图 9 – 19 应用层网关 第104页/共111页 2) 屏蔽主机网关(Screened Host Gateway) 为了保护桥头堡主机而将它置入被保护网的范围中， 在被保护网与Internet之间设置一个屏蔽路由器(Screened Router)。 它不允许Internet对被保护网进行直接访问，只允许对桥头堡主机进行访问，屏蔽路由器也只接收来自桥头堡主机的数据。与前述的双穴主机网关类似，也在桥头堡主机上运行防火墙软件。图 9 - 19(b)示出了屏