网络安全技术与应用课件(完整版).ppt

7.2.2双宿主主机体系结构 双宿主主机网关是用一台装有两块网卡的堡垒主机的做防火墙，两块网卡各自与受保护网络和外部网络相连，如图7.3所示。 7.2.3屏蔽主机体系结构 屏蔽主机体系结构的防火墙也比较易于实现，且非常安全，其拓扑结构如图7.4所示。它将一个堡垒主机安装在内部网络上，使这个堡垒主机成为从外部网络唯一可直接到达的主机，并在屏蔽路由器上设立过滤规则，相当于将屏蔽路由器体系结构和双宿主主机体系结构进行了融合，采取了双重安全，可从网络级和应用级两个层面来保障内部网络的安全。 7.2.4屏蔽子网体系结构 屏蔽子网也称为DMZ（DeMilitarized Zone，非军事区），就是在内部网络和外部网络之间建立的一个隔离的子网，常通过两台包过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中，将两个包过滤路由器放在屏蔽子网的两端，内部网络和外部网络均可访问屏蔽子网，但禁止它们穿过屏蔽子网进行通信。有的屏蔽子网中还设有一个堡垒主机作为内部网络的唯一可访问点，支持终端交互或作为应用网关代理，如图7.5所示。 7.3 防火墙的关键技术 防火墙的关键技术包括包过滤技术、代理服务技术、电路层网关、状态检测技术、内容过滤技术和网络地址转换技术等。在构造防火墙时，很少采用单一的技术，一般是针对各种不同的问题，综合采用多种技术。 7.3.1 包过滤技术 路由器能够根据特定的协议标准，在其端口区分数据包和限制数据包的能力叫做包过滤（Packet Filtering）。包过滤按照设置好的过滤规则，对流入和流出网络的IP包进行检查，以决定是否允许其通过。 1.路由器与包过滤技术 由于内部网络与外部网络或Internet的连接多数都要使用路由器，因此，路由器成为内、外网通信的必经之处。人们常把包过滤功能放在路由器中实现，并把具有包过滤功能的路由器称作屏蔽路由器或筛选路由器，可以用这样一个具有包过滤功能的简单路由器充当防火墙，如果配置合理，这种防火墙可以在一定程度上保障内部网络的安全，屏蔽路由器体系结构的防火墙就是包过滤技术的一个典型应用。 2.包过滤规则的制定 包过滤技术工作在OSI参考模型的网络层，对应于TCP/IP参考模型的网际层。使用包过滤技术的防火墙也称为网络层防火墙。包过滤规则的制定以所收到的IP数据包的头部信息为基础，同时参考其所封装的TCP报文段或UDP数据报的首部信息，但不理会应用层数据。 使用包过滤技术进行包过滤时，必须同时使用数据包的头部信息和数据包的方向，共有三种情况： 找到一条相匹配的过滤规则，且该规则的动作为“允许”，则数据包根据路由表中的信息执行，即对该数据包实施“放行”操作； 找到一条相匹配的规则，且该规则的动作为“拒绝”，则丢弃这一数据包； 没有找到匹配的规则，由防火墙的缺省配置参数决定对该数据包是“放行”还是“丢弃”。 2.包过滤规则的制定 在实际中，制定防火墙的过滤规则时，既可以按照地址进行配置，也可以按照服务进行配置。不过单纯按地址或服务进行过滤存在粒度太粗、不能很好地满足过滤和安全要求等问题。因此，通常按照地址和服务结合的方法来制定过滤规则。 包过滤一般不能涵盖所有的情况，因此，需要有默认的过滤规则。一般的防火墙产品都有默认的过滤规则，默认状态下防火墙的过滤规则主要有两种：一种是没有明确允许的，一律拒绝；另一种是没有明确拒绝的，一律允许。前一种规则的安全强度较高，需要明确指出能够进入和离开网络的流量，否则拒绝一切流量通过。后一种规则的安全强度较低，需要明确指出要拒绝的流量，否则允许所有的流量通过。 3．制定包过滤规则应注意的问题 不允许进入内部网络的任何数据包的源地址是内部网络地址； 任何进入内部网络的数据包的目的地址必须是内部网络地址； 任何离开内部网络的数据包的必须把网络内部的地址作为源地址； 任何离开内部网络的数据包不能把内部网络地址作为目的地址； 任何进入或离开内部网络的数据包不能把一个私有地址（private address）或在RFC1918中的地址（/8.）作为源或目的地址； 阻塞任意源路由数据包或任何设置了IP选项的数据包； 阻塞保留地址、DHCP自动配置地址和多播地址。例如，/8、/16、/24、/4、/4等。 7.3.2 状态检测技术 包过滤技术只是根据IP包头部的相关信息来决定是否允许数据流的通过，而状态检测技术把属于同一连接的所有数据包看作一个数据流，通过构造连接状态表，并综合使用规则表与状态表，对表中的各个连接状态进行识别。可以说状态检测技术使用的是一种基于连接的状态检测机制。 要实现状态检测，防火墙必须能够读取、分析和利用通信信息、通信状态、应用状态以及操作信息等网络通信信息和状态。 1通信信息 这里所说的通信信息指TCP/IP协议栈各层的当前信息。状态检测防