网络管理与安全技术

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,网络管理与安全技术,第7章,防火墙,防火墙作为网络安全的一种防护手段得到了广泛的应用，已成为各企业网络中实施安全保护的核心，安全管理员可以通过其选择性地拒绝进出网络的数据流量，增强了对网络的保护作用 。,防火墙是位于两个信任程度不同的网络之间的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。,防火墙通常是运行在一台单独计算机之上的一个特别的服务软件，用来保护由许多台计算机组成的内部网络，可以识别并屏蔽非法请求，有效防止跨越权限的数据访问。防火墙可以是非常简单的过滤器，也可能是精心配置的网关。但都可用于监测并过滤所有内部网和外部网之间的信息交换。,防火墙保护着内部网络的敏感数据不被窃取和破坏，并记录内外通信的有关状态信息日志，如通信发生的时间和进行的操作等等。新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输，并对网络数据的流动实现有效地管理。,7.1,防火墙基本概念,防火墙示意图,UF3500/3100防火墙应用 三端口NAT模式,交换机,路由器,集线器,防火墙UF3500/3100,Mail服务器,PC,PC,FTP 服务器,7.1.1 防火墙技术发展状况,自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统后，防火墙技术得到了飞速的发展。许多公司推出了功能不同的防火墙系统产品。,第一代防火墙，又称为包过滤防火墙，其主要通过对数据包源地址、目的地址、端口号等参数来决定是否允许该数据包通过或进行转发，但这种防火墙很难抵御IP地址欺骗等攻击，而且审计功能很差。,第二代防火墙，也称代理服务器，它用来提供网络服务级的控制，起到外部网络向被保护的内部网络申请服务时中间转接作用，这种方法可以有效地防止对内部网络的直接攻击，安全性较高。,第三代防火墙有效地提高了防火墙的安全性，称为状态监控功能防火墙，它可以对每一层的数据包进行检测和监控。,第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。,第五代防火墙：1998年，NAI公司推出了一种自适应代理技术，可以称之为第五代防火墙。,7.1.1 防火墙技术发展状况,7.1.2,防火墙的任务,防火墙应能够确保满足以下四个目标 ：,1. 实现安全策略,防火墙的主要目的是强制执行人们所设计的安全策略。比如，安全策略中只需对E-mail服务器的SMTP流量作些限制，那么就要在防火墙中直接设置并执行这一策略。,防火墙一般实施两个基本设计策略之一 ：,n 凡是没有明确表示允许的就要被禁止；,n 凡是没有明确表示禁止的就要被允许。,2.,创建检查点,防火墙在内部网络和公网间建立一个检查点。,通过检查点防火墙设备可以监视、过滤和检查所有进来和出去的流量。,网络管理员可以在检查点上集中实现安全目的。,7.1.2,防火墙的任务,7.1.2,防火墙的任务,九运会信息网络系统已经受并成功地抵御了87万多次网络攻击,3. 记,录,录Internet活,动,动,防火墙可以,进,进行日志记,录,录，并且提,供,供警报功能,。,。通过在防,火,火墙上实现,日,日志服务，,安,安全管理员,可,可以监视所,有,有从外部网,或,或互联网的,访,访问。好的,日,日志策略是,实,实现网络安,全,全的有效工,具,具之一。防,火,火墙对于管,理,理员进行日,志,志存档提供,了,了更多的信,息,息。,7.1.2,防火墙的任,务,务,保护内部网,络,络,对于公网防,火,火墙隐藏了,内,内部系统的,一,一些信息以,增,增加其保密,性,性。当远程,节,节点探测内,部,部网络时，,其,其仅仅能看,到,到防火墙。,远,远程节点不,会,会知道内部,网,网络结构和,资,资源。防火,墙,墙以提高认,证,证功能和对,网,网络加密来,限,限制网络信,息,息的暴露，,并,并通过对所,有,有输入的流,量,量时行检查,，,，以限制从,外,外部发动的,攻,攻击。,7.2,防,防火墙技,术,术,目前大多数,防,防火墙都采,用,用几种技术,相,相结合的形,式,式来保护网,络,络不受恶意,的,的攻击，其,基,基本技术通,常,常分为两类,：,：,l,网络数据单,元,元过滤,l,网络服务代,理,理,7.2.1,数,数据包,过,过滤,数据包过滤,（,（Packet Filtering）技术,是,是在网络层,对,对数据包进,行,行分析、选,择,择，选择的,依,依据是系统,内,内设置的过,滤,滤逻辑，称,为,为访问控制,表,表（Access Control Table）。,通过检查数,据,据流中每一,个,个数据包的,源,源地址、目,的,的地址、所,用,用端口号、,协,协议状态等,因,因素，或它,们,们的组合来,确,确定是否允,许,许该数据包,通,通过。,7.2.1,数,数据包,过,过滤,包过滤技术,工,工作在OIS七层模型,的,的网络层上,并,并有两个功,能,能，即允许,和,和阻止；,如果检查数,据,据包所有的,条,条件都符合,规,规则，则允,许,许进行路由,；,；如果检查,到,到数据包的,条,条件不符合,规,规则，则阻,止,止通过并将,其,其丢弃。,包检查是对IP头和传,输,输层的头进,行,行过滤，一,般,般要检查下,面,面几项：,7.2.1,数,数,据,据包,过,过滤,l,源IP地,址,址,l,目的IP,地,地址,l,TCP/UDP源,端,端口,l,TCP/UDP目,的,的端,口,口,l,协议,类,类型,（,（TCP,包,包、UDP包,、,、ICMP包,）,）,l,TCP报,头,头中,的,的ACK,位,位,l,ICMP,消,消息,类,类型,7.2.1,数,数,据,据包,过,过滤,例如,：,：若,想,想禁,止,止从Internet,的,的远,程,程登,录,录到,内,内部,网,网设,备,备中,，,，则,需,需要,建,建立,一,一条,包,包过,滤,滤规,则,则。,因,因为Telnet,服,服务,是,是使,用,用TCP,协,协议,的,的23端,口,口，,则,则禁,止,止Telnet的,包,包过,滤,滤规,则,则,为,为：,规则,号,号,功,功,能,能,源,源IP地,址,址,目,目标IP,地,地址,源,源,端,端口,目,目,标,标端,口,口,协,协议,1Discard*23*TCP,2Discard*23TCP,上表,列,列出,的,的信,息,息是,路,路由,器,器丢,弃,弃所,有,有从TCP23端,口,口出,去,去和,进,进来,的,的数,据,据包,。,。其,它,它所,有,有的,数,数据,包,包都,允,允许,通,通过,。,。,例如,：,：,FTP,使用,TCP,的,20,和,21,端口,。,。如,果,果包,过,过滤,要,要禁,止,止所,有,有的,数,数据,包,包只,允,允许,特,特殊,的,的数,据,据包,通,通过,。,。,规则,号,号功能源,IP,地址,目,目,标,标,IP,地址,源,源,端,端口,目,目标,端,端口,协议,1Allow192.168.1.0*TCP,2Allow*192.168.1.020*TCP,第一,条,条是,允,允许,地,地址,为,为192.168.1.0,的,的网,段,段内,而,而其,源,源端,口,口和,目,目的,端,端口,为,为任,意,意的,主,主机,进,进行TCP的,会,会话,。,。,第二,条,条是,允,允许,端,端口,为,为20的,任,任何,远,远程IP,地,地址,都,都可,以,以连,接,接到192.168.10.0,的,的任,意,意端,口,口上,。,。,第二,条,条规,则,则不,能,能限,制,制目,标,标端,口,口是,因,因为,主,主动,的,的FTP,客,客户,端,端是,不,不使,用,用20端,口,口的,。,。当,一,一个,主,主动,的,的FTP,客,客户,端,端发,起,起一,个,个FTP,会,会话,时,时，,客,客户,端,端是,使,使用,动,动态,分,分配,的,的端,口,口号,。,。而,远,远程,的,的FTP,服,服务,器,器只,检,检查192.168.1.0这,个,个网,络,络内,端,端口,为,为20的,设,设备,。,。有,经,经验,的,的黑,客,客可,以,以利,用,用这,些,些规,则,则非,法,法访,问,问内,部,部网,络,络中,的,的任,何,何资,源,源。,所,所以,要,要对FTP包,过,过滤,的,的规,则,则加,以,以相,应,应修,改,改,7.2.1,数,数,据,据包,过,过滤,规则,号,号,功,功,能,能,源,源,IP,地址,目,目标,IP,地址,源,源,端,端口,目,目标,端,端口协议,1Allow192.168.1.0*21TCP,2Block*192.168.1.0201024TCP,3Allow*192.168.1.020*TCP,ACK=1,第一,条,条是,允,允许,网,网络,地,地址,为,为192.168.1.0,内,内的,任,任何,主,主机,与,与目,标,标地,址,址为,任,任意,且,且端,口,口为21,建,建立TCP的,会,会话,连,连接,。,。,第,二,二,条,条,是,是,阻,阻,止,止,任,任,何,何,源,源,端,端,口,口,为,为20,的,的,远,远,程,程IP,地,地,址,址,访,访,问,问,内,内,部,部,网,网,络,络,地,地,址,址,为,为192.168.1.0,且,且,端,端,口,口,小,小,于,于1024,的,的,任,任,意,意,主,主,机,机,。,。,第,三,三,条,条,规,规,则,则,是,是,允,允,许,许,源,源,端,端,口,口,为,为20,的,的,任,任,意,意,远,远,程,程,主,主,机,机,可,可,以,以,访,访,问,问192.168.1.0,网,网,络,络,内,内,主,主,机,机,任,任,意,意,端,端,口,口,。,。,这,这,些,些,规,规,则,则,的,的,应,应,用,用,是,是,按,按,照,照,顺,顺,序,序,执,执,行,行,的,的,。,。,第,第,三,三,条,条,看,看,上,上,去,去,好,好,像,像,是,是,矛,矛,盾,盾,的,的,。,。,如,如,果,果,任,任,何,何,包,包,违,违,反,反,第,第,二,二,条,条,规,规,则,则,，,，,它,它,会,会,被,被,立,立,刻,刻,丢,丢,弃,弃,掉,掉,，,，,第,第,三,三,条,条,规,规,则,则,不,不,会,会,执,执,行,行,。,。,但,但,第,第,三,三,条,条,规,规,则,则,仍,仍,然,然,需,需,要,要,是,是,因,因,为,为,包,包,过,过,滤,滤,对,对,所,所,有,有,进,进,来,来,和,和,出,出,去,去,的,的,流,流,量,量,进,进,行,行,过,过,滤,滤,直,直,到,到,遇,遇,到,到,特,特,定,定,的,的,允,允,许,许,规,规,则,则,。,。,7.2.1,数,数,据,据,包,包,过,过,滤,滤,包,过,过,滤,滤,防,防,火,火,墙,墙,的,的,优,优,点,点,速,度,度,快,快,、,、,逻,逻,辑,辑,简,简,单,单,、,、,成,成,本,本,低,低,、,、,易,易,于,于,安,安,装,装,和,和,使,使,用,用,，,，,网,网,络,络,性,性,能,能,和,和,透,透,明,明,度,度,好,好,。,。,它,它,通,通,常,常,安,安,装,装,在,在,路,路,由,由,器,器,上,上,，,，,因,因,内,内,部,部,网,网,络,络,与,与Internet,连,连,接,接,必,必,须,须,通,通,过,过,路,路,由,由,器,器,，,，,所,所,以,以,在,在,原,原,有,有,网,网,络,络,上,上,增,增,加,加,这,这,类,类,防,防,火,火,墙,墙,，,，,几,几,乎,乎,不,不,需,需,要,要,任,任,何,何,额,额,外,外,的,的,费,费,用,用,。,。,包,过,过,滤,滤,防,防,火,火,墙,墙,的,的,缺,缺,点,点,不,能,能,对,对,数,数,据,据,内,内,容,容,进,进,行,行,控,控,制,制,，,，,缺,缺,乏,乏,用,用,户,户,级,级,的,的,授,授,权,权,；,；,非,非,法,法,访,访,问,问,一,一,旦,旦,突,突,破,破,防,防,火,火,墙,墙,，,，,即,即,可,可,对,对,主,主,机,机,上,上,的,的,系,系,统,统,和,和,配,配,置,置,进,进,行,行,攻,攻,击,击,。,。,数,数,据,据,包,包,的,的,源,源,地,地,址,址,、,、,目,目,的,的,地,地,址,址,以,以,及,及IP,端,端,口,口,号,号,都,都,在,在,数,数,据,据,包,包,的,的,头,头,部,部,，,，,很,很,有,有,可,可,能,能,被,被,冒,冒,充,充,或,或,窃,窃,取,取,。,。,7.2.2,应,应,用,用,级,级,网,网,关,关,应,用,用,层,层,网,网,关,关,技,技,术,术,是,是,在,在,网,网,络,络,的,的,应,应,用,用,层,层,上,上,实,实,现,现,协,协,议,议,过,过,滤,滤,和,和,转,转,发,发,功,功,能,能,。,。,它,它,针,针,对,对,特,特,定,定,的,的,网,网,络,络,应,应,用,用,服,服,务,务,协,协,议,议,使,使,用,用,指,指,定,定,的,的,数,数,据,据,过,过,滤,滤,逻,逻,辑,辑,，,，,并,并,在,在,过,过,滤,滤,的,的,同,同,时,时,，,，,对,对,数,数,据,据,包,包,进,进,行,行,必,必,要,要,的,的,分,分,析,析,、,、,记,记,录,录,和,和,统,统,计,计,，,，,形,形,成,成,报,报,告,告,。,。,实,实,际,际,的,的,应,应,用,用,网,网,关,关,通,通,常,常,安,安,装,装,在,在,专,专,用,用,工,工,作,作,站,站,系,系,统,统,上,上,7.2.2,应,应,用,用,级,级,网,网,关,关,应,用,用,级,级,网,网,关,关,能,能,够,够,理,理,解,解,应,应,用,用,层,层,上,上,的,的,协,协,议,议,，,，,进,进,行,行,复,复,杂,杂,一,一,些,些,的,的,访,访,问,问,控,控,制,制,。,。,但,但,每,每,一,一,种,种,协,协,议,议,需,需,要,要,相,相,应,应,的,的,代,代,理,理,软,软,件,件,，,，,使,使,用,用,时,时,工,工,作,作,量,量,大,大,，,，,效,效,率,率,不,不,如,如,网,网,络,络,级,级,防,防,火,火,墙,墙,。,。,常,用,用,的,的,应,应,用,用,级,级,防,防,火,火,墙,墙,有,有,相,相,应,应,的,的,代,代,理,理,服,服,务,务,器,器,，,，,应,应,用,用,级,级,网,网,关,关,有,有,较,较,好,好,的,的,访,访,问,问,控,控,制,制,，,，,但,但,实,实,现,现,困,困,难,难,，,，,而,而,且,且,有,有,的,的,应,应,用,用,级,级,网,网,关,关,缺,缺,乏,乏,“,“,透,透,明,明,度,度,”,”,7.2.2,应,应,用,用级网,关,关,应用层,网,网关防,火,火墙和,数,数据包,过,过滤有,一,一个共,同,同的特,点,点，就,是,是它们,仅,仅仅依,靠,靠特定,的,的逻辑,来,来判断,是,是否允,许,许数据,包,包通过,。,。一旦,符,符合条,件,件，防,火,火墙内,外,外的计,算,算机系,统,统便可,以,以建立,直,直接联,系,系，外,部,部的用,户,户便有,可,可能直,接,接了解,到,到防火,墙,墙内部,的,的网络,结,结构和,运,运行状,态,态，这,大,大大增,加,加了非,法,法访问,和,和攻击,的,的机会,。,。,7.2.3,代,代,理,理服务,应用代,理,理服务,技,技术能,够,够将所,有,有跨越,防,防火墙,的,的网络,通,通信链,路,路分为,两,两段。,防火墙,内,内外计,算,算机系,统,统间应,用,用层的,连,连接是,由,由两个,代,代理服,务,务器之,间,间的连,接,接来实,现,现，外,部,部计算,机,机的网,络,络链路,只,只能到,达,达代理,服,服务器,，,，从而,起,起到隔,离,离防火,墙,墙内外,计,计算机,系,系统的,作,作用。,另外，,代,代理服,务,务器也,对,对过往,的,的数据,包,包进行,分,分析、,记,记录、,形,形成报,告,告，当,发,发现攻,击,击迹象,时,时会向,网,网络管,理,理员发,出,出警告,，,，并保,留,留攻击,痕,痕迹。,7.2.3,代,代,理,理服务,应用代,理,理服务,器,器对客,户,户端的,请,请求行,使,使“代,理,理”职,责,责。客,户,户端连,接,接到防,火,火墙并,发,发出请,求,求，然,后,后防火,墙,墙连接,到,到服务,器,器，并,代,代表这,个,个客户,端,端重复,这,这个请,求,求。返,回,回时数,据,据发送,到,到代理,服,服务器,，,，然后,再,再传送,给,给用户,，,，从而,确,确保内,部,部IP,地,地址和,口,口令不,在,在Internet,上,上出现,。,。,7.2.3,代,代,理,理服务,7.2.3,代,代,理,理服务,应用层,代,代理主,要,要的优,点,点：,支持用,户,户认证,并,并提供,详,详细的,注,注册信,息,息；,过滤规,则,则相对,于,于包过,滤,滤路由,器,器更容,易,易配置,和,和测试,；,；,可提供,详,详细的,日,日志和,安,安全审,计,计功能,；,；,可以隐,藏,藏内部,网,网的IP地址,以,以保护,内,内部主,机,机不受,外,外部主,机,机的进,攻,攻；,内部网,中,中的所,有,有主机,通,通过代,理,理可以,访,访问Internet。,应用层,代,代理也,有,有明显,的,的缺点,：,：,应用层,实,实现的,防,防火墙,会,会造成,执,执行速,度,度慢，,其,其性能,明,明显下,降,降；,每个应,用,用程序,都,都必须,有,有一个,代,代理服,务,务程序,来,来进行,安,安全控,制,制，并,随,随应用,升,升级面,升,升级。,其,其适应,性,性和连,接,接性都,是,是有限,的,的。,7.2.4,状,状态检,测,测,状态检测是,对,对包过滤功,能,能的扩展。,传统的包过,滤,滤在用动态,端,端口的协议,时,时，事先无,法,法知道哪些,端,端口需要打,开,开，就会将,所,所有可能用,到,到的端口打,开,开，而这会,给,给安全带来,不,不必要的隐,患,患。,状态检测将,通,通过检查应,用,用程序信息,来,来判断此端,口,口是否需要,临,临时打开，,并,并当传输结,束,束时，端口,马,马上恢复为,关,关闭状态。,7.2.4,状,状态检,测,测,状态检测防,火,火墙克服了,包,包过滤防火,墙,墙和应用代,理,理服务器的,局,局限性，不,要,要求每个被,访,访问的应用,都,都有代理。,状态检测模,块,块能够理解,并,并学习各种,协,协议和应用,，,，以支持各,种,种最新的应,用,用服务。,状态检测模,块,块截获、分,析,析并处理所,有,有试图通过,防,防火墙的数,据,据包，保证,网,网络的高度,安,安全和数据,完,完整。,网络和各种,应,应用的通信,状,状态动态存,储,储、更新到,动,动态状态表,中,中，结合预,定,定义好的规,则,则，实现安,全,全策略。,状态检测是,检,检查OSI,七,七层模型的,所,所有层，以,决,决定是否过,滤,滤，而不仅,仅,仅是对网络,层,层检测。,7.3,防,防火墙体,系,系结构及其,应,应用,防火墙体系,结,结构通常分,为,为四类：,l,屏蔽路由器,（,（,ScreeningRouter,）,l,屏蔽主机网,关,关,(ScreenedHostGateway),l,双穴主机网,关,关,(Dual-Homed Gateway),l,屏蔽子网,(ScreenedSubnet),7.,3.1,屏蔽路由器,屏蔽路由器,就,就是实施过,滤,滤的路由器,包过滤路由,器,器在网络之,间,间完成数据,包,包转发的普,通,通路由功能,，,，并利用包,过,过滤规则来,允,允许或拒绝,数,数据包。,通常过滤规,则,则定义为：,内,内部网络上,的,的主机可以,直,直接访问Internet，Internet上的主机,对,对内部网络,上,上的主机进,行,行访问是有,限,限制的，即,没,没有特别允,许,许的数据包,都,都拒绝。,7.,3.1,屏蔽路由器,INTERNET,包过滤路由器,内部网络,屏蔽路由器,7.,3.1,屏蔽路由器,优点是价格,低,低且易于使,用,用，,缺点,需要掌握TCP/IP,知,知识才能创,建,建相应的过,滤,滤规则，若,有,有配置错误,将,将会导致不,期,期望的流量,通,通过或拒绝,一,一些应接受,的,的流量。,包过滤路由,器,器不隐藏内,部,部网络的配,置,置，任何允,许,许访问屏蔽,路,路由器的用,户,户都可看到,网,网络的布局,和,和结构。,其监视和日,志,志功能较弱,，,，通常也没,有,有警报的功,能,能。这就意,味,味着网络管,理,理员要不断,地,地检查网络,以,以确定其是,否,否受到攻击,。,。防火墙一,旦,旦被攻陷后,很,很难发现攻,击,击者。,7.3.2,屏,屏蔽主,机,机网关,防火墙系统,采,采用了包过,滤,滤路由器和,堡,堡垒主机组,成,成的防火墙,。,。,提供的安全,等,等级比包过,滤,滤防火墙要,高,高，其实现,了,了网络层安,全,全（包过滤,）,）和应用层,安,安全（代理,服,服务）。,堡垒主机可,以,以通过网络,地,地址解析来,隐,隐藏内部网,络,络的配置信,息,息。,INTERNET,包过滤路由器,内部网络,屏蔽主机防火墙,信息服务器,堡垒主机,7.3.2,屏,屏蔽主,机,机网关,屏蔽主机防,火,火墙是针对,所,所有进出的,信,信息都要经,过,过堡垒主机,而,而设计的。,堡垒主机配,置,置在内部网,络,络上，而包,过,过滤路由器,则,则放置在内,部,部网络和Internet之间。,在路由器上,进,进行过滤规,则,则配置，使,得,得外部系统,只,只能访问堡,垒,垒主机，内,部,部系统的其,他,他主机的信,息,息全部被阻,塞,塞。确保了,内,内部网络不,受,受外部攻击,。,。,由于内部主,机,机与堡垒主,机,机处于同一,网,网络，安全,策,策略之一就,是,是决定是否,允,允许内部系,统,统直接访问Internet或使,用,用堡垒主机,上,上的代理服,务,务来访问Internet。,若要强制内,部,部用户使用,代,代理服务，,则,则可在路由,器,器配置过滤,规,规则时，让Internet只接,受,受来自堡垒,主,主机的内部,数,数据包。,7.3.2,屏,屏蔽主,机,机网关,该防火墙系,统,统的优点,内网的变化,不,不影响堡垒,主,主机和屏蔽,路,路由器的配,置,置。,可将提供公,开,开的信息服,务,务的服务器,放,放置在由包,过,过滤路由器,和,和堡垒主机,共,共用的网段,上,上。,如果要求有,特,特别高的安,全,全特性，可,让,让堡垒主机,运,运行代理服,务,务，使得内,部,部和外部用,户,户在与信息,服,服务器通信,之,之前，必须,先,先通过堡垒,主,主机。,如果安全等,级,级较低，则,可,可将路由器,配,配置成让外,部,部用户直接,访,访问公共的,信,信息服务器,。,。,7.3.2,屏,屏蔽主,机,机网关,与包过滤比,较,较，这种方,法,法的缺点是,：,：,增加了成本,并,并降低了性,能,能。因为堡,垒,垒主机处理,信,信息时，网,络,络经常需要,更,更多的时间,来,来对用户的,请,请求做出响,应,应。使用户,访,访问Internet,变,变得较慢。,如果堡垒主,机,机服务器作,为,为应用级网,关,关，内部客,户,户端必须被,配,配置成使用,应,应用网关服,务,务。,7.3.3,双,双宿主,机,机网关,用一台装有,两,两块网卡的,堡,堡垒主机做,防,防火墙，一,块,块与内网相,连,连，一块与,外,外部网相连,。,。堡垒主机,上,上运行着防,火,火墙软件，,可,可以转发应,用,用程序，提,供,供服务等。,这,这种防火墙,由,由于在内部,网,网络和外部,网,网络之间创,建,建了完全的,物,物理隔断，,增,增加了更有,效,效的安全性,。,。,INTERNET,包过滤路由,器,器,内部网络,双宿堡垒主,机,机防火墙,信息服务器,堡垒主机,7.3.3,双,双宿主,机,机网关,在单宿主堡,垒,垒主机结构,上,上，所有外,部,部的流量直,接,接转发到堡,垒,垒主机上执,行,行。黑客可,修,修改路由器,而,而不把数据,包,包转发给堡,垒,垒主机，这,样,样将会绕过,堡,堡垒主机且,直,直接进入到,内,内部网络中,。,。,双宿堡垒主,机,机有两个网,络,络接口，但,主,主机不能在,两,两个端口之,间,间直接转发,信,信息。这种,物,物理结构强,行,行让所有去,往,往内部网络,的,的信息经过,堡,堡垒主机。,7.3.3,双,双宿主,机,机网关,双宿主机网,关,关优于屏蔽,路,路由器的地,方,方是：,堡垒主机的,系,系统软件可,用,用于维护系,统,统日志、硬,件,件拷贝日志,或,或远程日志,。,。便于日后,的,的检查之用,。,。,由于堡垒主,机,机是唯一能,从,从Internet上,直,直接访问的,内,内部系统，,所,所以有可能,受,受到攻击的,主,主机就只有,堡,堡垒主机本,身,身。,对于入侵者,来,来说，允许,其,其注册到堡,垒,垒主机，就,可,可容易的破,坏,坏堡垒主机,而,而整个内部,网,网络受到攻,击,击的威胁。,因,因此，避免,被,被渗透和不,允,允许非法用,户,户注册对堡,垒,垒主机来说,是,是至关重要,的,的。,7.3.4,屏,屏蔽子,网,网,实施防火墙,最,最常见的方,法,法就是屏蔽,子,子网。在内,部,部网络和外,部,部网络之间,建,建立一个被,隔,隔离的子网,，,，称之为非,军,军事区DMZ。,其是用两台,分,分组过滤路,由,由器将这一,子,子网分别与,内,内部网络和,外,外部网络分,开,开，网络管,理,理员将堡垒,主,主机、信息,服,服务器以及,其,其他公用服,务,务器放在DMZ网络中,。,。,内部网络和,外,外部网络均,可,可访问被屏,蔽,蔽子网，但,禁,禁止其穿过,被,被屏蔽子网,直,直接通信。,屏,屏蔽子网中,的,的堡垒主机,作,作为唯一可,访,访问点，并,作,作为应用网,关,关代理。,INTERNET,包过滤路由器,内部网络,屏蔽子网防火墙,信息服务器,堡垒主机,包过滤路由器,7.3.4 屏,蔽,蔽子网,对于进来,的,的信息，,外,外面的路,由,由器用于,防,防范通常,的,的外部攻,击,击，并管,理,理Internet到DMZ网络的,访,访问。它,只,只允许外,部,部系统访,问,问堡垒主,机,机和信息,服,服务器,。,。,里面的路,由,由器提供,第,第二层防,御,御，只接,受,受源于堡,垒,垒主机的,数,数据包，,负,负责的是,管,管理DMZ到内部,网,网络的访,问,问。,对于出来,的,的信息，,里,里面的路,由,由器管理,内,内部网络,到,到DMZ,的,的访问。,它,它允许内,部,部系统只,访,访问堡垒,主,主机和信,息,息服务器,。,。,外面的路,由,由器上的,过,过滤规则,要,要求使用,代,代理服务,，,，即只接,受,受来自堡,垒,垒主机的,去,去往Internet的数,据,据包。,7.3.4 屏,蔽,蔽子网,屏蔽子网,防,防火墙系,统,统有以下,几,几个优点,：,：,入侵者必,须,须攻克三,个,个不同的,设,设备且不,被,被发现才,能,能侵袭内,部,部网络。,内部网络,对,对Internet来说是,不,不可见的,，,，因为所,有,有进出的,数,数据包都,会,会直接送,到,到DMZ,。,。并且只,有,有在DMZ网络上,选,选定的系,统,统才对Internet开,放,放。这使,黑,黑客想得,到,到内部系,统,统的信息,几,几乎不太,可,可能的。,由于内部,路,路由器只,向,向内部网,络,络通告DMZ的存,在,在，内部,网,网络上的,系,系统不能,直,直接通往Internet,，,，这样就,保,保证了内,部,部网络上,的,的用户必,须,须通过驻,留,留在堡垒,主,主机上的,代,代理服务,才,才能访问Internet,。,。这种配,置,置避免了,内,内部用户,绕,绕过内网,的,的安全机,制,制。,7.3.4 屏,蔽,蔽子网,外部路由,器,器直接将,数,数据引向DMZ网,络,络上所指,定,定的系统,，,，无必要,设,设置双宿,堡,堡垒主机,。,。,内部路由,器,器作为内,部,部网络与,公,公网之间,的,的防火墙,系,系统并支,持,持比双宿,堡,堡垒主机,更,更大的数,据,据包吞吐,量,量。,在DMZ,网,网络上可,以,以安装NAT于堡,垒,垒主机上,，,，从而避,免,免在内部,网,网络上重,新,新编址或,重,重新划分,子,子网。,在实际应,用,用中，具,体,体采用哪,一,一种防火,墙,墙主要取,决,决于网络,向,向用户提,供,供什么样,的,的服务及,网,网络所接,受,受的风险,等,等级。还,要,要取决于,经,经费和技,术,术人员的,技,技术及时,间,间等因素,。,。,7.4,防火墙的,类,类型,大,多,多,数,数,防,防,火,火,墙,墙,都,都,可,可,以,以,实,实,现,现,上,上,述,述,所,所,讨,讨,论,论,的,的,功,功,能,能,，,，,在,在,实,实,际,际,使,使,用,用,中,中,的,的,防,防,火,火,墙,墙,以,以,其,其,实,实,现,现,形,形,式,式,可,可,以,以,分,分,为,为,以,以,下,下,四,四,种,种,类,类,型,型,：,：,l,嵌,嵌,入,入,式,式,防,防,火,火,墙,墙,l,软,软,件,件,防,防,火,火,墙,墙,l,硬,硬,件,件,防,防,火,火,墙,墙,l,应,应,用,用,程,程,序,序,防,防,火,火,墙,墙,7.4.1,嵌,入,入,式,式,防,防,火,火,墙,墙,当,防,防,火,火,墙,墙,功,功,能,能,被,被,集,集,成,成,到,到,路,路,由,由,器,器,或,或,者,者,交,交,换,换,机,机,上,上,时,时,，,，,这,这,种,种,防,防,火,火,墙,墙,称,称,为,为,嵌,嵌,入,入,式,式,（,（,embedded,）,防,防,火,火,墙,墙,。,。,其,通,通,常,常,只,只,对,对,分,分,组,组,信,信,息,息,进,进,行,行,IP,级,的,的,检,检,查,查,，,，,可,可,获,获,得,得,较,较,高,高,的,的,性,性,能,能,，,，,易,易,于,于,实,实,现,现,并,并,有,有,较,较,好,好,的,的,性,性,价,价,比,比,。,。,7.4.2,软,件,件,防,防,火,火,墙,墙,软,件,件,防,防,火,火,墙,墙,又,又,分,分,有,有,两,两,种,种,类,类,型,型:,一,是,是,企,企,业,业,级,级,软,软,件,件,防,防,火,火,墙,墙,，,，,其,其,用,用,于,于,大,大,型,型,网,网,络,络,上,上,并,并,执,执,行,行,路,路,由,由,选,选,择,择,功,功,能,能,。,。,另,一,一,种,种,是,是SOHO(SmallOfficeHomeOffice),级,级,。,。,软,软,件,件,防,防,火,火,墙,墙,通,通,常,常,会,会,提,提,供,供,全,全,面,面,的,的,防,防,火,火,墙,墙,功,功,能,能.,基,于,于,服,服,务,务,器,器,的,的,防,防,火,火,墙,墙,实,实,际,际,上,上,是,是,在,在,操,操,作,作,系,系,统,统,之,之,上,上,运,运,行,行,的,的,应,应,用,用,程,程,序,序,。,。,其,其,系,系,统,统,平,平,台,台,有,有Unix,、,、Linux,以,以,及,及WindowsNT,、,、2000,、,、XP,和,和.NET,等,等,。,。,7.4.3,硬,件,件,防,防,火,火,墙,墙,因,为,为,硬,硬,件,件,路,路,由,由,器,器,也,也,要,要,使,使,用,用,软,软,件,件,，,，,所,所,以,以,将,将,硬,硬,件,件,防,防,火,火,墙,墙,又,又,称,称,为,为,设,设,备,备,防,防,火,火,墙,墙,。,。,其,其,设,设,计,计,成,成,一,一,种,种,总,总,体,体,系,系,统,统,，,，,不,不,需,需,要,要,复,复,杂,杂,的,的,安,安,装,装,或,或,配,配,置,置,就,就,可,可,以,以,提,提,供,供,防,防,火,火,墙,墙,功,功,能,能,。,。,硬,硬,件,件,防,防,火,火,墙,墙,与,与,软,软,件,件,防,防,火,火,墙,墙,相,相,似,似,，,，,可,可,以,以,针,针,对,对,企,企,业,业,应,应,用,用,市,市,场,场,来,来,设,设,计,计,，,，,也,也,可,可,以,以,针,针,对,对SOHO,环,环,境,境,。,。,基于设,备,备的防,火,火墙也,为,为集成,解,解决方,案,案，是,指,指运行,在,在专用,的,的硬件,和,和软件,上,上的防,火,火墙产,品,品。如CiscoPIX,防,防火墙,就,就属于,这,这种集,成,成设备,，,，其整,个,个系统,不,不能实,现,现除防,火,火墙之,外,外的其,他,他任何,功,功能，,并,并且也,没,没有硬,盘,盘或服,务,务器的,其,其他常,规,规组件,。,。由于,它,它的集,成,成性和,专,专用性,，,，其速,度,度、稳,定,定性和,安,安全性,方,方面都,比,比基于,服,服务器,的,的防火,墙,墙更好,。,。但基,于,于服务,器,器的防,火,火墙会,提,提供一,些,些额外,的,的配置,和,和支持,选,选项，,并,并且价,格,格比集,成,成解决,方,方案要,便,便宜。,7.4.4,应用程,序,序防火,墙,墙,应用程,序,序防火,墙,墙经常,是,是作为,现,现有硬,件,件或软,件,件防火,墙,墙的组,件,件实现,的,的。它,们,们的主,要,要目的,是,是提供,一,一种复,杂,杂的内,容,容过滤,层,层次，,用,用来对,应,应用层,传,传输的,数,数据进,行,行过滤,。,。,随着防,火,火墙功,能,能的提,高,高，对,于,于数据,的,的过滤,已,已经越,来,来越多,地,地集中,到,到了应,用,用层，,应,应用程,序,序防火,墙,墙的针,对,对性也,越,越来越,强,强。,7.4.5,选择防,火,火墙需,要,要综合,考,考虑的,问,问题,防火墙,管,管理的,难,难易度,一般企,业,业很少,以,以现有,的,的网络,设,设备直,接,接当作,防,防火墙,，,，如包,过,过滤可,直,直接放,在,在路由,器,器上，,但,但其并,不,不能达,到,到完全,的,的控制,。,。,设定工,作,作困难,、,、须要,具,具备完,整,整的知,识,识。,嵌入式,防,防火墙,不,不易排,错,错，是,一,一般企,业,业不愿,意,意使用,的,的主要,原,原因。,7.4.5,选择防,火,火墙需,要,要综合,考,考虑的,问,问题,2.,防,防火墙,自,自身的,安,安全性,大多数,人,人在选,择,择防火,墙,墙时都,将,将注意,力,力放在,防,防火墙,如,如何控,制,制连接,以,以及防,火,火墙支,持,持多少,种,种服务,，,，但往,往,往忽略,了,了一点,，,，防火,墙,墙也是,网,网络上,的,的主机,之,之一，,也,也可能,存,存在安,全,全问题,，,，防火,墙,墙如果,不,不能确,保,保自身,安,安全，,则,则防火,墙,墙的控,制,制功能,再,再强，,也,也终究,不,不能完,全,全保护,内,内部网,络,络。,在防火,墙,墙上除,了,了执行,防,防火墙,软,软件外,，,，所有,的,的程序,、,、系统,核,核心，,也,也大多,来,来自于,操,操作系,统,统本身,的,的原有,程,程序。,当防火,墙,墙所执,行,行的软,件,件出现,安,安全漏,洞,洞时，,防,防火墙,本,本身也,将,将受到,威,威胁。,此,此时，,任,任何的,防,防火墙,控,控制机,制,制都可,能,能失效,。,。,当黑客,取,取得了,防,防火墙,上,上的控,制,制权以,后,后，其,可,可为所,欲,欲为地,修,修改防,火,火墙上,的,的访问,规,规则，,进,进而侵,入,入更多,的,的系统,。,。因此,防,防火墙,自,自身应,有,有相当,高,高的安,全,全保护,。,。,7.4.5,选择防,火,火墙需,要,要综合,考,考虑的,问,问题,防火墙,应,应该是,企,企业整,体,体网络,的,的保护,者,者，并,能,能弥补,其,其它操,作,作系统,的,的不足,，,，使操,作,作系统,的,的安全,性,性不会,对,对企业,网,网络的,整,整体安,全,全造成,影,影响。,防火墙,应,应该能,够,够支持,多,多种平,台,台。,防火墙,应,应向使,用,用者提,供,供完整,的,的安全,检,检查功,能,能，但,防,防火墙,并,并不能,有,有效地,杜,杜绝所,有,有的恶,意,意封包,，,，想要,达,达到真,正,正的安,全,全仍然,需,需要内,部,部人员,不,不断记,录,录、改,进,进、追,踪,踪。,防火墙,不,不但应,该,该具备,包,包括检,查,查、认,证,证、警,告,告、记,录,录的功,能,能，并,且,且能够,为,为使用,者,者可能,遇,遇到的,困,困境，,事,事先提,出,出解决,方,方案，,如,如IP,不,不足形,成,成的IP转换,的,的问题,，,，信息,加,加密/,解,解密的,问,问题，,大,大企业,要,要求能,够,够透过Internet集,中,中管理,的,的问题,等,等，这,也,也是选,择,择防火,墙,墙时必,须,须考虑,的,的问题,。,。,没有一,个,个防火,墙,墙的设,计,计能够,适,适用于,所,所有的,环,环境，,所,所以建,议,议选择,防,防火墙,时,时，还,应,应根据,站,站点的,特,特点来,选,选择合,适,适的防,火,火墙。,演讲完,毕,毕，谢,谢,谢观看,！,！,