防火墙技术教程.ppt

每个数据包都包含有特定信息的一组报头，其主要信息是：〔1〕IP协议类型〔TCP、UDP，ICMP等〕；〔2〕IP源地址；〔3〕IP目标地址；〔4〕IP选择域的内容；〔5〕TCP或UDP源端口号；〔6〕TCP或UDP目标端口号；〔7〕ICMP消息类型。 路由器也会得到一些在数据包头部信息种没有得到的关于数据包得其他信息。

过滤路由器放置在内部网络与因特网之间，作用为：〔l〕过滤路由器将担负更大的责任，它不但需要执行转发及确定转发的任务，而且它是唯一的保护系统；〔2〕如果平安保护失败〔或在侵袭下失败〕，内部的网络将被暴露；〔3〕简单的过滤路由器不能修改任务；〔4〕过滤路由器能容许或否认效劳，但它不能保护在 一个效劳之内的单独操作。如果一个效劳没有提供平安的操作要求，或者这个效劳由不平安的效劳器提供，数据包过滤路由器那么不能保护它。

代理的实现过程

2．主机过滤体系结构 在主机过滤体系结构中提供平安保护的主机仅仅与内部网相连。另外，主机过滤结构还有一台单独的路由器〔过滤路由器〕。在这种体系结构中，主要的平安由数据包过滤提供，其结构如右图所示。

3．子网过滤体系结构 子网过滤体系结构添加了额外的平安层到主机过滤体系结构中，即通过添加参数网络，更进一步地把内部网络与因特网隔离开。 子网过滤体系结构的最简单的形式为两个过滤路由器，每一个都连接到参数网，一个位于参数网与内部的网络之间，另一个位于参数网与外部网络之间。

〔2〕堡垒主机 在子网过滤结构中，我们将堡垒主机与参数网络相连，而这台主机是外部网效劳于内部网的主节点。它为内部网效劳的主要功能有：①它接收外来的电子邮件再分发给相应的站点；②它接收外来的FTP，并连到内部网的匿名FTP效劳器；③它接收外来的有关内部网站点的域名效劳。 向外的效劳功能可用以下方法来实施：①在内、外部路由器上建立包过滤，以便内部网的用户可直接操作外部效劳器；②在主机上建立代理效劳，在内部网的用户与外部的效劳器之间建立间接的连接。

〔4〕外部路由器 外部路由器既可保护参数网络又保护内部网。实际上，在外部路由器上仅做一小局部包过滤，它几乎让所有参数网络的外向请求通过，而外部路由器与内部路由器的包过滤规那么是根本上相同的。 外部路由器的包过滤主要是对参数网络上的主机提供保护。然而，一般情况下，因为参数网络上主机的平安主要通过主机平安机制加以保障，所以由外部路由器提供的很多保护并非必要。 外部路由器真正有效的任务就是阻断来自外部网上伪造源地址进来的任何数据包。这些数据包自称是来自内部网，而其实它是来自外部网。

2．低保密网络 试验网络比较危险，但它对整个内部网的平安构成的威胁还不是最大的。而许多内部网组织结构里面的资源本身就固有一些非平安因素。比方，校园网中那些包含学生公寓网点的局部就被认为是不平安的，单位企业网中的那些演示网局部、客户培训网局部和开放实验室网局部都被认为是平安性比较差的。但这些网又比纯粹的外部网与内部网其它局部的交互要多得多。这些网络称为低保密网。

8.2堡垒主机 8.2.1建立堡垒主机的一般原那么 1．最简化原那么 堡垒主机越简单，对它进行保护就越方便。堡垒主机提供的任何网络效劳都有可能在软件上存在缺陷或在配置上存在错误，而这些过失就可能使堡垒主机的平安保障出问题。因此，在堡垒主机上设置的效劳必须最少，同时对必须设置的效劳软件只能给予尽可能低的权限。 2．预防原那么

8.2堡垒主机

8.2堡垒主机 在大多数配置中，堡垒主机可与某些内部主机进行交互。比方，堡垒主机可传送电子邮件给内部主机的邮件效劳器，传送Usenet新闻给新闻效劳器，与内部域名效劳器协同工作等。这些内部主机其实是有效的次级堡垒主机，对它们就应像保护堡垒主机一样加以保护。我们可以在它们上面多放一些效劳，但对它们的配置必须遵循与堡垒主机一样的过程。

8.2堡垒主机

8.2堡垒主机 8.2.4堡垒主机提供的效劳 堡垒主机应当提供站点所需求的所有与因特网有关的效劳，同时还要经过包过滤提供内部网向外界的效劳。任何与外部网无关的效劳都不应放置在堡垒主机上。〔1〕无风险效劳，仅仅通过包过滤便可实施的效劳。〔2〕低风险效劳，在有些情况下这些效劳运行时有平安隐患，但加以一些平安控制措施便可消除平安问题。〔3〕高风险效劳，在使用这些效劳时无法彻底消除平安隐患；这类效劳一般应被禁用，特别需要时也只能放置在主机上使用。〔4〕禁用效劳，应被彻底禁止使用的效劳。

8.2堡垒主机 电子邮件〔SMTP〕是堡垒主机应提供的最根本的效劳，其它还应提供的效劳有： ①FTP，文件传输效劳； ②WAIS，基于关键字的信息浏览效劳； ③HTTP，超文本方式的信息浏览效劳； ④NNTP，Usenet新闻组效劳