第10章防火墻技術(shù).

1、第10章防火墻技術(shù)10. 1防火墻的基本概念10.2防火墻的類型及主要技術(shù)10. 3防火墻的體系結(jié)構(gòu)10.4典型的防火墻產(chǎn)品10.5防火墻技術(shù)的發(fā)展趨勢本章學(xué)習(xí)目標(biāo)(1) 了解防火墻的定義、發(fā)展簡史、目的、功能、局限性及其發(fā)展動態(tài)和趨勢。(2)掌握包過濾防火墻、代理防火墻的工作原理、技術(shù)特點(diǎn)和實(shí)現(xiàn)方式；熟悉防火墻的常見體系結(jié)構(gòu)。10.1防火墻的基本概念 10. 1. 1 防火墻的概念 10. 1. 2 防火墻的功能 10. 1. 3 防火墻的局限性何謂防火墻防火墻的角色大門警衛(wèi)詹器器蠶確認(rèn)使用者身份10.1.1防火墻的概念防火墻是位于兩個信任程度不同的網(wǎng)絡(luò)之間（如企業(yè) 內(nèi)部網(wǎng)絡(luò)和Interne

2、t之間）的軟件或硬件設(shè)備的組合, 它對兩個網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過強(qiáng)制實(shí)施統(tǒng) 一的安全策略，防止對重要信息資源的非法存取和訪 問，達(dá)到保護(hù)系統(tǒng)安全的目的。防火墻是控制外部用 戶訪問內(nèi)部網(wǎng)絡(luò)的第一道關(guān)口。、企賽蕭路外部網(wǎng)滌綬路V圖101防火墻示意圖防火墻的設(shè)計思想就是在內(nèi)部、外部兩個網(wǎng)絡(luò)之間建 立一個具有安全控制機(jī)制的安全控制點(diǎn)，通過允許、 拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，來實(shí)現(xiàn)對內(nèi)部網(wǎng)服務(wù)和訪問的安全審計和控制。需要指出的是，防 火墻雖然可以在一定程度上保護(hù)內(nèi)部網(wǎng)的安全，但內(nèi)部網(wǎng)還應(yīng)有其他的安全保護(hù)措施，這是防火墻所不能代替的。10.1.2設(shè)置防火墻的功能 (1)集中化的安全管理，強(qiáng)化安

3、全策略由于Internet Ji每天都有上百萬人在那里收集信息、 交換信息，不可避免地會出現(xiàn)個別品德不良的人，或違 反規(guī)則的人，防火墻是為了防止不良現(xiàn)象發(fā)生的“交通 警察”，它執(zhí)行站點(diǎn)的安全策略，僅僅容許“認(rèn)可的” 和符合規(guī)則的請求通過。 (2)網(wǎng)絡(luò)日志及使用統(tǒng)計因為防火墻是所有進(jìn)出信息必須通路，所以防火墻 非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為 訪問的唯一點(diǎn)，防火墻能在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之 間進(jìn)行記錄，對網(wǎng)絡(luò)存取訪問進(jìn)行和統(tǒng)計。 (3)保護(hù)那些易受攻擊的服務(wù)防火墻能夠用來隔開網(wǎng)絡(luò)中一個網(wǎng)段與另一個網(wǎng)段。 這樣，能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡(luò)傳播。 (4)增強(qiáng)的保密用來封

4、鎖有關(guān)網(wǎng)點(diǎn)系統(tǒng)的DNS信息。因此，網(wǎng)點(diǎn)系統(tǒng) 名字和IP地址都不要提供給Internet, (5)實(shí)施安全策略防火墻是一個安全策略的檢查站，控制對特殊站點(diǎn)的 訪問。所有進(jìn)出的信息都必須通過防火墻，防火墻便成 為安全問題的檢查點(diǎn)，使可疑的訪問被拒絕于門外。10.1.3防火墻的局限性 (1)不能防范來自內(nèi)部惡意的知情者的攻擊防火墻不能防止專用網(wǎng)中內(nèi)部用戶對資源的攻擊。 它只是設(shè)在4角網(wǎng)和Internet之間：對其間殆信息進(jìn)行 干預(yù)的安全設(shè)施。防火墻可以禁止系統(tǒng)用戶經(jīng)過網(wǎng)絡(luò) 連接發(fā)送專有的信息，但用戶可以將數(shù)據(jù)復(fù)制到磁盤、 磁帶上，放在公文包中帶出去。 (2)不能防范不通過它的連接泊作然些墻 W火信網(wǎng)

5、到 吋防輸用不 卄揮傳果得 5快行如則 尸能選0 才它息述墻止防 火防過。 防能繞護(hù) 。不源保 用而資的m夠通墻 Ite能不火 (3)防火墻不能防范病毒一般防火墻不對專用網(wǎng)提供防護(hù)外部病毒的侵犯。 病或可以通過FTP或其它工具傳至專用網(wǎng)。如果要實(shí)現(xiàn) 這種防護(hù)，防火墻中應(yīng)設(shè)置檢測病毒的邏輯。 (4)不能防備全部的威脅防火墻被用來防備已知的威脅，如果是一個很好的 防火墻設(shè)計方案，可以防備新的威脅，但沒有一個防 去墻能旨動防御所肴的薪的成滋。10.1.4防火墻的發(fā)展簡史第一代防火墻：采用了包過濾(Packet Filter )技術(shù)。第二、三代防火墻：1989年，推出了電路層防火墻， 和應(yīng)用層防火墻的

6、初步結(jié)構(gòu)。第四代防火墻：1992年，開發(fā)出了基于動態(tài)包過濾技 術(shù)的第四代防火墻。第五代防火墻：1998年，NAI公司推出了一種自適應(yīng)代 理技術(shù)，可以稱之為第五代防火墻。動翹包囚濾自適應(yīng)代理代理包囚濾電踣層!1980*+199g2000L 1 ； I I ,丨I I I丨丨丨1_ L丄丨丨I防火墻技術(shù)的簡單發(fā)展歷史10.2防火墻的類型及主要技術(shù) 1從軟、硬件形式上分為:軟件防火墻硬件防火墻 芯片級防火墻 (1)軟件防火墻：運(yùn)行于特定的計算機(jī)上，這臺計算 機(jī)就是整個網(wǎng)絡(luò)的網(wǎng)關(guān)。 (2)硬件防火墻：基于PC架構(gòu)，在這些PC架構(gòu)計算機(jī) 上運(yùn)行一些經(jīng)過裁剪和簡化的操作系統(tǒng)。采用的依然 是別人的內(nèi)核，依然

7、會受到OS本身的安全性影響。 (3)芯片級防火墻：基于專門的硬件平臺，沒有操作 系統(tǒng)。轉(zhuǎn)悠的AS IC芯片使它們比其他類的防火墻速度 快，處理能力更強(qiáng)，性能更好。 2按防火墻的部署位置分類，防火墻可以分為: (1)邊界防火墻邊界防火墻是最為傳統(tǒng)的那種，它們位于內(nèi)外網(wǎng)的邊界，所 起的作用是對內(nèi)、外部網(wǎng)絡(luò)實(shí)施隔離，這類防火墻一般都是硬件 類型，價格較貴，性能較好。-(2)個人防火墻安裝于單臺主機(jī)中，防護(hù)的也只是單臺主機(jī)，通常為軟件防 火墻，價格最便宜，性能也最差。 (3)混合式防火墻就是“分布式防火墻”和“嵌入式防火墻”，它是一整套防 火墻系統(tǒng)，由若干軟件和硬件組件紐成，分布于內(nèi)、外部網(wǎng)絡(luò)邊 界和

8、內(nèi)部主機(jī)之間，既對內(nèi)外網(wǎng)之間的通信進(jìn)行過濾，又對網(wǎng)絡(luò) 內(nèi)部個主機(jī)之間的通信進(jìn)行過濾。性能最好，價格也最貴。 3從防火墻體系結(jié)構(gòu)上，可以分為包過濾防火墻和代 理服務(wù)器防火墻兩大類。 ( 1)包過濾防火墻：工作在OSI參考模型的網(wǎng)絡(luò)層和 傳輸層，它根據(jù)數(shù)據(jù)包頭源地址、目的地址、端口號 和協(xié)議類型等標(biāo)志確定是否允許通過。 (2)代理服務(wù)器防火墻：工作在OSI的應(yīng)用層，通過 對每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控 制應(yīng)用層數(shù)據(jù)流的作用。10.2.2包過濾技術(shù) 1.包過濾技術(shù)的工作原理包過濾防火墻技術(shù)是在網(wǎng)絡(luò)的出入口（如路由器）對 通過的數(shù)據(jù)包進(jìn)行檢查和選擇的，選擇的依據(jù)是系統(tǒng) 內(nèi)設(shè)置的過濾邏輯

9、（包過濾規(guī)則），稱為訪問控制表。 通過檢查數(shù)據(jù)流中毎個數(shù)據(jù)包的源地址、目的地址、 所用的端口號、協(xié)議狀態(tài)或它們的組合，來確定是否 允許該數(shù)據(jù)包通過。包過濾防火墻要遵循的一條基本原則是“最小特權(quán)原 則”，即明確允許管理員希望通過的那些數(shù)據(jù)包，禁 止其他的數(shù)據(jù)包。數(shù)據(jù)包過濾 路由as在網(wǎng)絡(luò)上傳輸?shù)拿總€數(shù)據(jù)包都可分為兩部分：數(shù)據(jù)部 分和包頭。包過濾器就是根據(jù)包頭信息來判斷該包是否符合網(wǎng)絡(luò) 管理員設(shè)定的規(guī)則表中的規(guī)則，以確定是否允許該數(shù) 據(jù)包通過。包過濾規(guī)則一般是基于部分或全部包頭信息的，如IP 協(xié)議類型、IP源地址、IP選擇域的內(nèi)容、TCP源端口號、 TCP目的端口號等。2 過濾路由器和普通路由器增

10、加了包過濾防火墻軟件、具備了過濾特性的路由 器叫做過濾路由器。普通路由器只簡單地查看每一個數(shù)據(jù)包的目的地址, 并選擇數(shù)據(jù)包發(fā)往目的地址的最佳路徑。在對數(shù)據(jù)包 做出路由決定時，普通路由器只依據(jù)包的目的地址引 導(dǎo)包，而過濾路由器將更嚴(yán)格地檢查數(shù)據(jù)包。除了決 定它是否發(fā)送數(shù)據(jù)包到達(dá)其目的地址外，過濾路由器 還決定數(shù)據(jù)包是否應(yīng)該發(fā)送。過濾路由器以包的目的地址、包的源地址和包的傳 輸協(xié)議為依據(jù)，確定允許或不允許某些包在網(wǎng)上傳輸。3 包過濾規(guī)則包過濾防火墻的過濾規(guī)則的主要描述形式有邏輯過濾規(guī)則表、文件過濾規(guī)則表和內(nèi)存過濾規(guī)則表。大多數(shù)包過濾系統(tǒng)判斷是否傳輸包時都不關(guān)心包的具體內(nèi)容，而是讓用戶進(jìn)行如下操作：

11、(1) 不允許用戶從外部網(wǎng)絡(luò)用TELNET登錄。(2) 允許任何用戶使用SMTP往內(nèi)部網(wǎng)發(fā)送電子郵件。(3) 只允許某臺機(jī)器通過NNTP (網(wǎng)絡(luò)新聞傳輸協(xié)議)往內(nèi)部網(wǎng) 絡(luò)發(fā)送新聞。但包過濾系統(tǒng)不同意進(jìn)行如下操作：(1)允許某用戶從外部網(wǎng)絡(luò)用TELNET登錄而不允許其他用戶進(jìn) 行這種操作。(2 )允許某用戶傳送一些文件而不允許該用戶傳送其他文件。4 包過濾防火墻的特點(diǎn)包過濾的優(yōu)點(diǎn)：不用改動應(yīng)用程序、一個過濾路由 器能協(xié)助保護(hù)整個網(wǎng)絡(luò)、凌攵據(jù)包過濾對用戶透明、過 濾路由器速度快、效率高。包過濾的缺點(diǎn)：不能徹底防止地址欺騙；一些應(yīng)用 協(xié)議不適合于數(shù)據(jù)包過濾；一些應(yīng)用協(xié)議不適合于數(shù) 據(jù)包過濾；正常的數(shù)

12、據(jù)包過濾路由器無法執(zhí)行某些安 全策略；安全性較差；數(shù)據(jù)包工具存在很多局限性。10.2.3代理服務(wù)技術(shù)i.代理服務(wù)技術(shù)的原理代理服務(wù)器型防火墻(Proxy Service Firewall )通 過在主機(jī)上運(yùn)行代理的服務(wù)程序，直接對特定的應(yīng)用 層進(jìn)行服務(wù)，因此也稱為應(yīng)用級網(wǎng)關(guān)。它擔(dān)任應(yīng)用級 通信量的中繼，其核心是運(yùn)行于防火墻主機(jī)上的代理 服務(wù)器進(jìn)程，代理網(wǎng)絡(luò)用戶完成TCP/IP功能，應(yīng)用網(wǎng) 關(guān)與ISO七層模型如下圖所示。內(nèi)部網(wǎng)絡(luò)Internet從內(nèi)部網(wǎng)用戶發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。代理服務(wù)器是指它代表客戶處理在服務(wù)器連接

13、請求的程序。代理 服務(wù)器通常運(yùn)行在兩個網(wǎng)絡(luò)之間，它對于客戶來說像是一臺真的服 務(wù)器，而對于外部網(wǎng)的服務(wù)器來說，它又似一臺客戶機(jī)。代理服務(wù)器并非將用戶的全部網(wǎng)絡(luò)請求都提交給Internet上的真正 服務(wù)器，而是依據(jù)安全規(guī)則和用戶的請求做出判斷，是否代理執(zhí)行 該誥求，有的請求可能被否決。、當(dāng)用戶提供了正確的用戶身份及認(rèn)譯信息后，代理服務(wù)器建立與 外Internet/!務(wù)器的連換，為鬲個適信點(diǎn)尢冒申城。代理服務(wù)器通常都擁有一個高速cache,這個cache存儲用戶頻繁 訪問的站點(diǎn)內(nèi)容（頁面）。2 代理服務(wù)器的實(shí)現(xiàn)代理服務(wù)技術(shù)控制對應(yīng)用程序約訪問，它能夠代替網(wǎng)絡(luò)用戶完成特定的TCP/IP功能。代理服務(wù)

14、器適用于特定 的互聯(lián)網(wǎng)服務(wù)，對每種不同的服務(wù)都應(yīng)用一個相應(yīng)的代 理。如代理HTTP、FTP、E-maik TELNET. WWW、 DNS、POP3、IRC等。代理服務(wù)器的實(shí)現(xiàn)方式有以下幾種：應(yīng)用代理服務(wù)器、回路級代理服務(wù)器、智能代理服務(wù) 器、隔離代理服務(wù)器、郵件轉(zhuǎn)發(fā)服務(wù)器。3 代理服務(wù)器特點(diǎn)代理服務(wù)器比分組過濾器更安全。這種防火墻能完全 控制網(wǎng)絡(luò)信息的交換、控制會話過程，具有靈活性和安全 性，但可能影響網(wǎng)絡(luò)的性能，對用戶不透明，且對每一種 服務(wù)器都要設(shè)計1個代理模塊，應(yīng)用層網(wǎng)關(guān)能讓網(wǎng)絡(luò)管理 員對服務(wù)進(jìn)行全面的控制。 在應(yīng)用層對所有進(jìn)入的通信量記錄日志和審計也很容 易。支持可靠的用戶認(rèn)證并提供

15、詳細(xì)的注冊信息； 用于應(yīng)用層的過濾規(guī)則相對于包過濾路由器來說更 容易配置和測試。缺點(diǎn)： 是每個連接上增加了額外的處理負(fù)載。從效果上看, 最終用戶之間存壓兩個串接爲(wèi)建接，網(wǎng)關(guān)處于串接點(diǎn), 網(wǎng)關(guān)必須在兩個方向上檢查和轉(zhuǎn)發(fā)所有通信量。要求 用戶改變自己的行為，或者在訪問代理服務(wù)的每個系 統(tǒng)上安裝特殊的軟件。 例如，透過應(yīng)用層網(wǎng)關(guān)Telnet訪問要求用戶通過二 步而不是一步來建立連接。不過，特殊的端系統(tǒng)軟件 可以讓用戶在Telnet命令中指定目標(biāo)主機(jī)而不是應(yīng)用 層網(wǎng)關(guān)來應(yīng)用層網(wǎng)關(guān)透明。10.2.4狀態(tài)檢測技術(shù) 1狀態(tài)檢測技術(shù)的工作原理 這是繼“包過濾”技術(shù)和“應(yīng)用代理”技術(shù)后發(fā)展的防火墻技 術(shù)，它是c

16、heckpoint技術(shù)公司率先提出，又稱動態(tài)包過濾”。 這種防火墻技術(shù)通過一種被稱為“狀態(tài)監(jiān)視”的模塊，在不影 響網(wǎng)絡(luò)安全正常工作的前提下采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通 信的各個層次實(shí)行監(jiān)測，并根據(jù)各種過濾規(guī)則作出安全決罠。 基于狀態(tài)檢測技術(shù)的防火墻不僅僅對數(shù)據(jù)包進(jìn)行檢測，還對控 制通信的基本因素狀態(tài)信息（狀態(tài)信息包括通信信息、通信狀態(tài)、 應(yīng)用狀態(tài)和信息操作性）進(jìn)行檢測。通過狀態(tài)檢測虛擬機(jī)維護(hù)一 個動態(tài)的狀態(tài)表，記錄所有的連接通信信息、通信狀態(tài)，以完成 對數(shù)據(jù)包的檢測和過濾。2 狀態(tài)檢測防火墻提供的額外服務(wù)狀態(tài)檢測防火墻可提供的額外服務(wù)有： (1)將某些類型的連接重定向到審核服務(wù)中去。如與專用

17、Web服務(wù)器的連接，在Web服務(wù)器連接被 允許之前，可能重定向到SecurlD服務(wù)器(使用一次性 口令)。 (2)拒絕攜帶某些數(shù)據(jù)的網(wǎng)絡(luò)通信。如拒絕攜帶帶有附加可執(zhí)行程序的傳入電子消息， 或包含AtiveX程序的Web頁面。3 通過狀態(tài)檢測防火墻的數(shù)據(jù)包類型跟蹤連接狀態(tài)的方式取決于包通過防火墻的類國： (1) TCP刃、。當(dāng)幺立起一個TCP連接時，通過的第一個包被標(biāo)有 包的SYN標(biāo)志。通常情況下，防火墻丟棄所有外部的連接企圖， 除罠已經(jīng)建立起某條特 定規(guī)則來處理它們。對內(nèi)部的連接試圖 連薊外部主機(jī)，防火墻注明連接包允許響應(yīng)及閻后再兩個系統(tǒng)之 間的包，直到連接結(jié)束個止。在這種方式下，傳入的包只有

18、 在 姿是響應(yīng)一個已建立的連接時，才會菽允許通過。 ( 2 ) UDP包。UDP包比TCP包簡單，因為它們不包含任何連接或 序列信息。它們只包含源地址、目的地址、校驗和攜帶的數(shù)據(jù)。 這種信息的缺乏使得防火墻確定包的合法性很困難，因為沒有 打開的連接可利用，以測試傳入的包是否應(yīng)被允許通過。可是， 如果防火墻跟蹤包的狀態(tài)，就可以確定。對傳入的包，若它所 使用的地址和UDP包攜帶的協(xié)議與傳出的連接請求匹配，該包就 被允許通過。和TCP包一樣，沒有傳入的UDP包會被允許通過，除 非它是響應(yīng)傳出的請求或已 經(jīng)建立了指定的規(guī)則來處理它。對 其他種類的包，情況和UDP包類似。防火墻仔細(xì)地跟蹤傳出的請 求，記

19、錄下所使用的地址、協(xié)議和包的類型，然后對照保存過的 信息核對傳入白勺包，以確保這些包是就.語求的。4 狀態(tài)檢測防火墻的特點(diǎn)和應(yīng)用狀態(tài)檢測防火墻結(jié)合了包過濾防火墻和代理防火墻的特 點(diǎn)。與包過濾防火墻一樣，它能夠在osi網(wǎng)絡(luò)層上通過IP地 址和端口號過濾進(jìn)出的數(shù)據(jù)包；它也像代理服務(wù)器防火墻那 樣，可以在OSI應(yīng)用層上檢查數(shù)據(jù)包內(nèi)容，查看這些內(nèi)容是 否符合公司網(wǎng)絡(luò)的安全規(guī)則。狀態(tài)/動態(tài)檢測防火墻唯一的缺點(diǎn)就是所有這些記錄、測 試和分析工作可能會造成網(wǎng)絡(luò)連接的某種遲滯，特別是在同 時有許多連接激活的時候，或者是有 大量的過濾網(wǎng)絡(luò)通信 的規(guī)則存在時?？墒?，硬件速度越快，這個問題就越不易察 覺，而且防火墻

20、的制造商一直致力于提高他們產(chǎn)品的速度。10.2.5自適應(yīng)代理技術(shù)新近推出的自適應(yīng)代理(Adaptive Proxy)防火墻 技術(shù)，本質(zhì)上也屬于代理服務(wù)技術(shù)，但它也結(jié)合了動 態(tài)包過濾(狀態(tài)檢測)技術(shù)。組成這種防火墻的基本要素有兩個：自適應(yīng)代理服 務(wù)器和動態(tài)包過濾器。它結(jié)合了代理服務(wù)防火墻的安 全性和包過濾防火墻的高速度等優(yōu)點(diǎn)，在保證安全性 的基礎(chǔ)上將代理服務(wù)器防火墻的性能提高10倍以上?？蛻魴C(jī)客戶機(jī)客戶機(jī)服務(wù)器10.3防火墻的體系結(jié)構(gòu)由于用戶的網(wǎng)絡(luò)安全需求和防范目的不同，在實(shí)現(xiàn)具體 的防火墻系統(tǒng)時，通過不同部署，可以形成下面四種不 同類型：包過濾防火墻雙穴主機(jī)結(jié)構(gòu)防火墻屏蔽主機(jī)防火墻屏蔽子網(wǎng)防火

21、墻103.1包過濾防火墻包過濾防火墻也稱作包過濾路由器，它是最基本、最簡單 的一種防火墻，可以再一般的路由器上實(shí)現(xiàn)，也可以在基 于主機(jī)的路由器上實(shí)現(xiàn)，如圖：III內(nèi)部網(wǎng)絡(luò) I如果在內(nèi)部網(wǎng)絡(luò)與外界之間已有一臺路由器，那么只需 簡單地加一包過濾軟件進(jìn)去，就可以實(shí)現(xiàn)網(wǎng)絡(luò)保護(hù)。過濾路由器允許被保護(hù)網(wǎng)絡(luò)的多臺主機(jī)與外部網(wǎng)絡(luò)比如 Internet網(wǎng)絡(luò)的多臺主機(jī)進(jìn)行直接通信，其危險性分布在 被保護(hù)網(wǎng)絡(luò)的全部主機(jī)以及允許訪問的各種服務(wù)類型上。它很少或沒有日志記錄能力，當(dāng)網(wǎng)絡(luò)被擊破時，幾乎無 法保留攻擊者的蹤跡，所以網(wǎng)絡(luò)管理員很難確認(rèn)系統(tǒng)是否 正在被入侵或已經(jīng)被入侵了。一旦該設(shè)備發(fā)生故障，就會 使網(wǎng)絡(luò)門戶大開，

22、而管理員甚至不知道。包過濾防火墻適 用于規(guī)模小的簡單網(wǎng)絡(luò)。10.3.2雙宿主機(jī)結(jié)構(gòu)防火墻雙宿主機(jī)體系結(jié)構(gòu)是多宿主機(jī)的一個特例，是連 接兩個網(wǎng)絡(luò)的計算機(jī)系統(tǒng)，是圍繞具有雙宿主的主機(jī) 計算機(jī)而構(gòu)筑的，這樣的主機(jī)可以充當(dāng)與這些接口相 連的網(wǎng)絡(luò)之間的路由器，并能夠從一個網(wǎng)絡(luò)到另一個 網(wǎng)絡(luò)發(fā)送ip數(shù)據(jù)包。然而，實(shí)現(xiàn)雙宿主機(jī)的作為防火 墻的雙宿主機(jī)體系結(jié)構(gòu)禁止這種發(fā)送I p數(shù)據(jù)包功能。雙宿主機(jī)體系結(jié)構(gòu)網(wǎng)路1應(yīng)用層a |應(yīng)用層B1爲(wèi)板11網(wǎng)爲(wèi)111網(wǎng)絡(luò)21 11主機(jī)B主機(jī)A網(wǎng)絡(luò)1上的主賭A可以訪雙宿主機(jī)哲的應(yīng)用程序A。類 似的，主機(jī)B以訪問雙宿主機(jī)上的應(yīng)用程序B。雙宿主 機(jī)上的這個兩個應(yīng)用程序甚至可以共享數(shù)

23、據(jù)來交換信 息是完全可能的，窮且，在雙孝主機(jī)上相連的兩個網(wǎng) 絡(luò)段之間沒有網(wǎng)絡(luò)流量的交換。雙宿主機(jī)網(wǎng)關(guān)是在堡壘主機(jī)中插裝兩人L：網(wǎng)絡(luò)口卡， 并在其上運(yùn)行服務(wù)器軟件，受保護(hù)網(wǎng)與Internet之間 不能直揮進(jìn)行通信，必須經(jīng)過壁壘主機(jī)，因此，不必 現(xiàn)實(shí)的列出保護(hù)網(wǎng)與外部網(wǎng)之間的路由，從而達(dá)到受 保護(hù)網(wǎng)除了看到壁壘主機(jī)之外，不凍看到其他任何系 統(tǒng)效果。因而，IP婁匕據(jù)分組從一個網(wǎng)絡(luò)（例如，Internet）并 不是直接發(fā)送到其它網(wǎng)絡(luò)（例如，內(nèi)部的、被保護(hù)的 網(wǎng)絡(luò)）。防火墻內(nèi)部的系統(tǒng)能與雙宿主機(jī)通信，同時 防火墻外部的系統(tǒng)（在Internet上）能與雙宿主機(jī)通信， 但是這些系統(tǒng)不能直接互相通信。它們之間

24、的IP通信 被完全阻止。雙宿主機(jī)的防火墻體系結(jié)構(gòu)很簡單，雙宿主機(jī)位于 兩者之間，并且被連接到Internet和內(nèi)部的網(wǎng)絡(luò)。如鹵 所示.雙宿主機(jī)是防火墻使 用的最基本配置，雙宿 主防火墻主機(jī)的重要性 是路由被禁；網(wǎng)段之間 唯一的路徑是通過應(yīng)用 層的功能。如果路由意 外地設(shè)有配置，且IP轉(zhuǎn) 發(fā)允許，那么雙宿主防 火墻的應(yīng)用層功能就可 能被越過。10.3.3屏蔽主機(jī)防火墻屏蔽主機(jī)體系結(jié)構(gòu)防火墻配置需要一個帶數(shù)據(jù)分組 過濾功能的路由器和一臺堡壘主機(jī)，如圖所示。在這種體系結(jié)構(gòu)中，防火墻系統(tǒng)提供的安全等級較高, 因為它實(shí)現(xiàn)了網(wǎng)絡(luò)層安全和應(yīng)用層安全。所以入侵者在 破壞內(nèi)部網(wǎng)絡(luò)安全之前，必須首先滲透兩種不同的安全 系統(tǒng)。使用一個單獨(dú)的路由器控制所有出入內(nèi)部網(wǎng)的訪問， 并將所有的請求傳