第05章 防火墻

1、第05章 防火墻主講人：李學明單 位：重慶大學計算機學院2013年1月目錄5.1、防火墻概述5.2、防火墻技術(shù)5.3、防火墻體系結(jié)構(gòu)5.4、防火墻安全策略5.5、防火墻應用實例5.1 防火墻概述1、什么是防火墻、什么是防火墻Firewall 在兩個信任程度不同的網(wǎng)絡(luò)之間設(shè)置的、用于加強訪問控制的軟硬件保護設(shè)施 防火墻是在兩個網(wǎng)絡(luò)之間執(zhí)行訪問控制安全策略的系統(tǒng)，它可以是軟件，也可以是硬件，或兩者并用2、防火墻的作用、防火墻的作用 （1）作為“控制點”，限制信息的進入或離開； （2）防止侵入者接近并破壞內(nèi)部網(wǎng)絡(luò)資源； （3）監(jiān)視、記錄、審查重要的業(yè)務流； （4）實施網(wǎng)絡(luò)地址轉(zhuǎn)換，緩解地址短缺矛盾。

2、 防火墻只允許已授權(quán)的業(yè)務流通過，而且本身也應抵抗?jié)B透攻擊。 建立防火墻必須全面考慮安全策略，否則形同虛設(shè)。3、好的防火墻系統(tǒng)應遵循的三大原則、好的防火墻系統(tǒng)應遵循的三大原則 （1）所有進出網(wǎng)絡(luò)的通信流都應該通過防火墻。 （2）所有穿過防火墻的通信流都必須有安全策略和計劃的確認和授權(quán)。 （3）理論上說，防火墻是穿不透的4 4、防火墻的局限性、防火墻的局限性 (1) 防火墻防外不防內(nèi) 防火墻可以禁止系統(tǒng)用戶經(jīng)過網(wǎng)絡(luò)連接發(fā)送專有的信息，但用戶可將數(shù)據(jù)復制到磁盤、磁帶上，放在公文包中帶出去。 如果入侵者已經(jīng)在防火墻內(nèi)部，防火墻是無能為力的。 內(nèi)部用戶偷竊數(shù)據(jù)，破壞硬件和軟件，并且巧妙地修改程序而不接

3、近防火墻。 對于來自知情者的威脅只能要求加強內(nèi)部管理，如主機安全和用戶教育、管理、制度等。(2) 不能防范繞過防火墻的攻擊 防火墻能夠有效地防止通過它進行傳輸信息，然而不能防止不通過它而傳輸?shù)男畔ⅰ?例如，如果站點允許對防火墻后面的內(nèi)部系統(tǒng)進行撥號訪問，那么防火墻絕對沒有辦法阻止入侵者進行撥號入侵。(3) 防火墻配置復雜，容易出現(xiàn)安全漏洞(4)防火墻往往只認機器(IP地址)不認人(用戶身份)，并且控制粒度較粗。(5) 防火墻不能防范病毒 防火墻不能防止感染了病毒的軟件或文件的傳輸。這只能在每臺主機上裝反病毒軟件。(6) 防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊。 當有些表面看來無害的數(shù)據(jù)被郵寄或復制到內(nèi)部

4、網(wǎng)主機上并被執(zhí)行而發(fā)起攻擊時，就會發(fā)生數(shù)據(jù)驅(qū)動攻擊。特別是隨著Java、JavaScript、ActiveX的應用，這一問題更加突出。(7)不能防備新的網(wǎng)絡(luò)安全問題。 防火墻是一種被動式的防護手段，它只能對現(xiàn)在已知的網(wǎng)絡(luò)威脅起作用代理動態(tài)包過濾1980包過濾19902000自適應代理第一代防火墻：基于路由器的防火墻 第二代防火墻：代理服務器（Proxy Server）第三代防火墻: 基于動態(tài)包過濾的防火墻 第四代防火墻：自適應防火墻 6、防火墻類別 防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點的不同而分為很多種類型，但總體來講可分為三大類(以技術(shù)來分) （1 1）包過濾技術(shù)）包過濾技術(shù) 作用在網(wǎng)絡(luò)層和傳

5、輸層，它根據(jù)分組包頭源地址，目的地址和端口號、協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過。 （2 2）應用代理）應用代理 也叫應用網(wǎng)關(guān)(Application Gateway),它作用在應用層，其特點是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對每種應用服務編制專門的代理程序，實現(xiàn)監(jiān)視和控制應用層通信流的作用。 (3) 電路中繼電路中繼(Circuit Relay) 也叫電路網(wǎng)關(guān)(Circuit Gateway)或TCP代理(TCP Proxy),其工作原理與應用代理類似，不同之處是該代理程序是專門為傳輸層的TCP協(xié)議編制的5.2 防火墻技術(shù)5.2.1 包過濾技術(shù)5.2.2 電路中繼5.2.3 應用代理5.2.

6、1 包過濾技術(shù)1、包過濾原理 數(shù)據(jù)包過濾技術(shù)，顧名思義是在網(wǎng)絡(luò)中適當?shù)奈恢脤?shù)據(jù)包實施有選擇的通過數(shù)據(jù)包實施有選擇的通過，選擇依據(jù)，即為系統(tǒng)內(nèi)設(shè)置的過濾規(guī)則(通常稱為訪問控制表Access Ccntrol List)，只有滿足過濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)至相應的網(wǎng)絡(luò)接口，其余數(shù)據(jù)包則被從數(shù)據(jù)流中刪除。 數(shù)據(jù)包過濾可以控制站點與站點、站點與網(wǎng)絡(luò)和網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的相互訪問，但不能控制傳輸?shù)臄?shù)據(jù)內(nèi)容。 包過濾模型包過濾模型IP1 物 理 層3 網(wǎng) 絡(luò) 層2 數(shù) 據(jù) 鏈 路 層TCPSessionApplication Data 與 過 濾 規(guī)則 匹 配 嗎 ？ 還 有 另 外的 規(guī) 則 嗎 ？ 轉(zhuǎn) 發(fā)

7、 包 嗎 ？審 計 /報 警發(fā) 送 NACK丟 棄 包結(jié) 束防 火 墻 檢 查 模 塊4 傳 輸 層5 會 話 層6 表 示 層7 應 用 層包過濾檢查模塊深入到系統(tǒng)的網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層之間。 因為數(shù)據(jù)鏈路層是事實上的網(wǎng)卡（NIC），網(wǎng)絡(luò)層是第一層協(xié)議堆棧，所以防火墻位于軟件層次的最底層，如下圖所示 通過檢查模塊，防火墻能攔截和檢查所有出站的數(shù)據(jù)。 防火墻檢查模塊首先驗證這個包是否符合過濾規(guī)則，不管是否符合過濾規(guī)則，防火墻一般要記錄數(shù)據(jù)包情況，不符合規(guī)則的包要進行報警或通知管理員。 對丟棄的數(shù)據(jù)包，防火墻可以給發(fā)方一個消息，也可以不給，這要取決于包過濾策略。 包檢查模塊能檢查包中的所有信息，一

8、般是網(wǎng)絡(luò)層的IP頭和傳輸層的頭。包過濾一般要檢查下面幾項： IP源地址；源地址； IP目標地址；目標地址； 協(xié)議類型（協(xié)議類型（TCP包、包、UDP包和包和ICMP包）；包）； TCP或或UDP的源端口；的源端口； TCP或或UDP的目標端口；的目標端口； ICMP消息類型；消息類型； TCP報頭中的報頭中的ACK位。位。版本號(4B) 報頭長度(4B) TOS(8B) 總長度031版本號 報頭長度 TOS 總長度 標識符 標志 分片偏移量 TTL 協(xié)議 首部校驗和信源IP地址目的IP地址 IP選項(若有) 填充數(shù)據(jù).48161924IP報文格式報文格式數(shù)據(jù)源端口目的端口報文長度校驗和。源端口

9、目的端口報文長度校驗和數(shù)據(jù)偽首都UDP報文格式報文格式2 2、包過濾實現(xiàn)過程、包過濾實現(xiàn)過程 通常包括下面三步：通常包括下面三步： （1）必須知道什么是應該和不應該被允許的，即必須制定一個安全策略。 （2）必須正式規(guī)定允許的包類型、包字段的邏輯表達。 （3）必須用防火墻支持的語法重寫表達式。 包過濾在本地端接收數(shù)據(jù)包時，一般不保留上下文，只根據(jù)目前數(shù)據(jù)包的內(nèi)容做決定。 包過濾可在進入、輸出時或這兩個時刻都進行。需要擬定一個要接受的設(shè)備和服務的清單，一個不接受的設(shè)備和服務的清單，組成訪問控制表。 3 3、 按地址過濾按地址過濾 下面是一個最簡單的數(shù)據(jù)包過濾方式，它按照源地址進行過濾。比如說，認為

10、網(wǎng)絡(luò)是一個危險的網(wǎng)絡(luò)，那么就可以用源地址過濾禁止內(nèi)部主機和該網(wǎng)絡(luò)進行通信。下表是根據(jù)上面的政策所制定的規(guī)則。規(guī)則規(guī)則方向方向源地址源地址目標地址目標地址動作動作A出內(nèi)部網(wǎng)絡(luò)拒絕B入內(nèi)部網(wǎng)絡(luò)拒絕4 4、 按服務過濾按服務過濾 假設(shè)安全策略是禁止外部主機訪問內(nèi)部的E-mail服務器（SMTP，端口25），允許內(nèi)部主機訪問外部主機，實現(xiàn)這種的過濾的訪問控制規(guī)則類似下表。 規(guī)則按從前到后的順序匹配，字段中的“*”代表任意值，沒有被過濾器規(guī)則明確允許的包將被拒絕。就是說，每一條規(guī)則集都跟隨一條含蓄的規(guī)則，就像下表中的規(guī)則C。這與一般原則是

11、一致的：沒有明確允許的就被禁止。規(guī)則規(guī)則方向方向動作動作源地址源地址源端口源端口目的地址目的地址目的端口目的端口注釋注釋A進拒絕M*E-mail25不信任B出允許*允許聯(lián)接C雙向拒絕*缺省狀態(tài)5 5、包過濾實例：、包過濾實例： 第一：假設(shè)內(nèi)部網(wǎng)絡(luò)為 第二：假設(shè)外部站點上有反動的BBS，故要阻止網(wǎng)絡(luò)中的用戶訪問該點的BBS；再假設(shè)這個站點的BBS服務是通過Telnet方式提供的，那么需要阻止到那個站點的出站Telnet服務，對于Internet的其他站點，允許內(nèi)部的網(wǎng)用戶通過Telnet方式訪問，但不允許其他站點以Telnet方式訪問內(nèi)部網(wǎng)絡(luò)。 第三

12、：為了由發(fā)電子郵件，允許SMTP出站入站服務，郵件服務器是IP地址為。 第四:對于WWW服務，允許內(nèi)部網(wǎng)用戶訪問Internet上任何網(wǎng)絡(luò)和站點，但只允許網(wǎng)絡(luò)號為的合作伙伴公司的網(wǎng)絡(luò)訪問內(nèi)部WWW服務器，內(nèi)部WWW服務器的IP地址為規(guī)則規(guī)則方向方向源地址源地址目標地址目標地址協(xié)議協(xié)議源端口源端口目標端口目標端口ACK設(shè)置設(shè)置動作動作A出TCP102323任意拒絕B入TCP231023是任意C出任意TCP102323任意允許

13、D入任意TCP231023是允許E出任意TCP102325任意允許F入任意TCP251023是允許G入任意TCP102325任意允許H出任意TCP251023任意允許I出任意TCP102380任意允許J入任意TCP801023是允許K入TCP102380任意允許L出TCP801023任意允許M雙向任意任意任意任意任意任意拒絕 在前面提到過規(guī)則的次序是十分重要的

14、，而且防火墻實施規(guī)則的特點是當找到匹配的規(guī)則后就不再向下應用其他的規(guī)則，至于規(guī)則B，實際上并非毫無用處，規(guī)則B用來限制站點 Telnet服務的返回包。試圖建立Telnet聯(lián)接時就會被阻塞，一般不會存在返回包，但高明的用戶也可能想出什么辦法使聯(lián)接成功，那時B規(guī)則也會有用，總之，有些冗余對安全是有好處的。 當用戶以Telnet方式訪問除之外的其他網(wǎng)絡(luò)、站點時，規(guī)則A、B不匹配，所以應用C、D規(guī)則，內(nèi)部主機被允許建立聯(lián)接，返回包也被允許入站。 規(guī)則M是默認項，它實現(xiàn)的準則是“沒有明確允許就表示禁止”，這個原則在前面的安全策略制定是提到過。6 6、包過濾特性

15、、包過濾特性 （1）IP包過濾特性 IP報文中，IPIP源地址、目的地址、源地址、目的地址、IPIP選項、協(xié)議類型、包總長及分選項、協(xié)議類型、包總長及分割偏移選項割偏移選項是經(jīng)常需要考慮的。 IP選項字段往往用來設(shè)置源路由信息，源路由是讓數(shù)據(jù)包到達目標主機的路由，但常被用來繞過安全檢查站點，從而造成數(shù)據(jù)包出現(xiàn)在出乎意料的路徑上。 IP分片字段用來確定數(shù)據(jù)包在傳輸過程中是否被重新分片。強大的防火墻應該考慮非第一個分片有可能泄露有用的信息，比如出站的NFS數(shù)據(jù)包幾乎肯定要分片，內(nèi)部網(wǎng)中的敏感數(shù)據(jù)經(jīng)過NFS傳輸可能泄露，因此防火墻要根據(jù)第一個分片的操作策略來決定是否轉(zhuǎn)發(fā)非第一個分段。IP分片也經(jīng)常用

16、來進行拒絕服務器攻擊。 （2 2） TCPTCP包過濾特性包過濾特性 TCPTCP是面向聯(lián)接的可靠傳輸協(xié)議。是面向聯(lián)接的可靠傳輸協(xié)議。TCPTCP協(xié)議通過對協(xié)議通過對錯誤的數(shù)據(jù)重傳來保證數(shù)據(jù)可靠到達，并且事先要建立錯誤的數(shù)據(jù)重傳來保證數(shù)據(jù)可靠到達，并且事先要建立起聯(lián)接才能傳輸。起聯(lián)接才能傳輸。 如果要阻止如果要阻止TCPTCP的聯(lián)接，僅阻止第一個聯(lián)接請求包的聯(lián)接，僅阻止第一個聯(lián)接請求包就夠了。因為沒有第一個數(shù)據(jù)包，接收端不會把之后的就夠了。因為沒有第一個數(shù)據(jù)包，接收端不會把之后的數(shù)據(jù)組裝成數(shù)據(jù)包，且不會建立起聯(lián)接。數(shù)據(jù)組裝成數(shù)據(jù)包，且不會建立起聯(lián)接。（3 3）UDPUDP UDP是一種無聯(lián)接的

17、協(xié)議。UDP不像TCP那樣可靠，發(fā)出去后，沒有應答。UDP數(shù)據(jù)包到通過MTU（最大傳輸單位）小的網(wǎng)絡(luò)需要分片，然后各片分別傳輸，任何一個片片丟失后，數(shù)據(jù)包就損壞了，而UDP沒有重傳機制。 UDP數(shù)據(jù)包中也有源端口和目標端口，但沒有ACK位，這就導致UDP過濾機制和TCP有所不同。 一些防火墻，如FireWall-1防火墻有動態(tài)數(shù)據(jù)包過濾的特點，就是說防火墻可以記住流出的UDP數(shù)據(jù)包，當一個UDP數(shù)據(jù)包要進入防火墻時，防火墻會看它是否和流出的UDP數(shù)據(jù)包相配，若相匹配則允許進入，否則阻塞該數(shù)據(jù)包。UDP動態(tài)數(shù)據(jù)包過濾動態(tài)數(shù)據(jù)包過濾服 務 器S P = 6 0 0 0S A = 2 2 0 . 1

18、 1 1 . 9 . 8D P = 5 3D A = 1 6 0 . 1 1 1 . 6 . 71 6 0 . 1 1 1 . 6 . 7客 戶 機D P = 6 0 0 0D A = 2 2 0 . 1 1 1 . 9 . 8S P = 5 3S A = 1 6 0 . 1 1 1 . 6 . 7D P = 4 0 5 0D A = 2 2 0 . 1 1 1 . 9 . 8S P = 5 3S A = 1 6 0 . 1 1 1 . 6 . 7 S P = 源 端 口 S A = 源 I P 地 址 D P = 目 標 端 口 D A = 目 標 I P 地 址輸 入 匹 配允 許 進 入

19、不 輸 入 匹 配不 允 許 進 入2 2 0 . 1 1 1 . 9 . 8 （4 4）ICMPICMP ICMP ICMP數(shù)據(jù)包用于主機之間、主機和路由器之間傳輸數(shù)據(jù)包用于主機之間、主機和路由器之間傳輸差錯與控制報文，差錯與控制報文， ICMPICMP數(shù)據(jù)包被封裝在數(shù)據(jù)包被封裝在IPIP數(shù)據(jù)包中。數(shù)據(jù)包中。 ICMPICMP用于用于IPIP狀態(tài)和控制消息的傳輸，狀態(tài)和控制消息的傳輸， ICMPICMP數(shù)據(jù)包數(shù)據(jù)包被封裝在被封裝在IPIP數(shù)據(jù)包中，就像數(shù)據(jù)包中，就像TCPTCP和和UDPUDP數(shù)據(jù)包一樣，可以數(shù)據(jù)包一樣，可以認為它是一種傳輸層協(xié)議。認為它是一種傳輸層協(xié)議。 與與TCPTCP和

20、和UDPUDP不同，不同，ICMPICMP消息沒有目的端口和源端消息沒有目的端口和源端口，取而代之的是消息類型代碼，許多過濾系統(tǒng)基于消口，取而代之的是消息類型代碼，許多過濾系統(tǒng)基于消息類型代碼來過濾息類型代碼來過濾ICMPICMP數(shù)據(jù)包。數(shù)據(jù)包。 比如當路由器禁止一個數(shù)據(jù)包通過，通常路由器將返回一個ICMP報文給發(fā)送主機。黑客如果攻擊內(nèi)部網(wǎng)，通過分析返回的ICMP報文的類型可以知道哪種類型的數(shù)據(jù)包被禁止，可以大致分析出防火墻采用的過濾規(guī)則。 所以防火墻應該禁止返回有用的ICMP報文，因為ICMP報文會泄露一些信息。 在決定包過濾防火墻是否返回ICMP錯誤代碼時，應考慮以下幾點： 1）防火墻應該

21、發(fā)送什么消息。 2）是否負擔得起生成和返回錯誤代碼的高額費用。 3）返回錯誤代碼能使得侵襲者得到很多你的數(shù)據(jù)包過濾信息。 4）什么錯誤代碼對你的步點有意義。 （5）源端口過濾的作用 在前面的例子中，過濾規(guī)則用到了源端口，而有些防火墻在過濾數(shù)據(jù)包時不考慮源端口，這是很危險的，給了入侵者可乘之機。假設(shè)路由器不支持檢查源端口，要實現(xiàn)收發(fā)電子郵件的功能，規(guī)則如下表所示。規(guī)則規(guī)則方向方向源地址源地址目標地址目標地址協(xié)議協(xié)議源端口源端口目標端口目標端口動作動作A入任意TCP/25拒絕B出任意TCP/1023任意C出任意TCP/25允許D入任

22、意TCP/1023允許 規(guī)則A、B不允許不允許入站的SMTP聯(lián)接。 規(guī)則C、D允許出站的SMTP聯(lián)接。 現(xiàn)在試想，如果一個人利用他的主機的端口號3020聯(lián)接到你的郵件服務器的X窗口服務（端口號為6000+n，n為客戶的個數(shù)），試圖侵襲你的郵件服務器，那會發(fā)生什么呢？ 規(guī)則和的組合將導致只要兩邊的端口號都大于1023，就會允許任意主機和你的郵件服務器之間的任何聯(lián)接，這就為入侵者攻入郵件服務器留下了缺口。 例如，入侵者可能會攻擊郵件服務器窗口服務，而窗口服務是很脆弱的，而且窗口服務的端口號也大于1023進攻進攻X窗口服務窗口服務 （

23、6）ACK位在數(shù)據(jù)包過濾中的作用 ACK位在數(shù)據(jù)包過濾中的作用是很關(guān)鍵的。規(guī)則規(guī)則方向方向源地址源地址目標地址目標地址協(xié)議協(xié)議源端口源端口目標端口目標端口ACK設(shè)置設(shè)置動作動作A出任意TCP102323任意允許B入任意TCP231023是允許 當黑客試圖以端口23建立入站聯(lián)接時，因為第一個請求包的ACK不被置位，所以該包會被禁止進入你的內(nèi)部網(wǎng)絡(luò)，第一個聯(lián)接請求包被拒絕后，聯(lián)接就很難建立起來了。SYN=1且ACK=0;則該報文是一個連接請求 如果入侵者把第一個數(shù)據(jù)包的ACK位置位，則該數(shù)據(jù)包可以通過防火墻，但目標主機會把這個數(shù)據(jù)包當作以往聯(lián)接中的一個數(shù)

24、據(jù)包，而不是試圖建立一個新的聯(lián)接。因為這個數(shù)據(jù)包不屬于目標主機所知的任何聯(lián)接（序列號不能匹配），所以它被拋棄掉，如此，黑客的陰謀還是不能得逞。 （7）數(shù)據(jù)包過濾的風險 數(shù)據(jù)包過濾是通過IP地址來做判斷的，但IP地址是很容易改變的，所以源地址欺騙用數(shù)據(jù)包過濾的方法不能查出來。 源地址欺騙的方式有兩種，下面將分別來講解這兩種源地址欺騙。 1）淹沒真實主機的源地址攻擊（IP地址欺騙） 2）“中間人”式源地址攻擊 2)與1）稍有不同，“中間人”式的欺騙會截獲目標主機返回給真實主機的數(shù)據(jù)包。在這種欺騙下攻擊主機可以與被攻擊主機進行完整的對話，入侵者也可以看到結(jié)果。包過濾技術(shù)的局限性包過濾技術(shù)的局限性1、

25、定義包過濾器的工作復雜, 要了解Internet各種服務、包頭格式和每個域查找的特定值。管理困難。2、通過路由器的數(shù)據(jù)包有可能被用于數(shù)據(jù)驅(qū)動攻擊3、過濾器數(shù)目增加，路由器吞吐量下降4、無法對流動的信息提供全面控制。不能理解上下文。5、一些應用協(xié)議不適合于包過濾，如：RPC、FTP等。6、日志能力較弱。不能報告誰企圖入侵。7、難以針對用戶實施安全策略。5.2.2 5.2.2 代理技術(shù)代理技術(shù) 1、基本思想 代理服務是針對包過濾存在的缺陷而引入的防火墻技術(shù)。 其特點是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。 （1）內(nèi)部鏈路 防火墻內(nèi)計算機系統(tǒng)之間的“鏈接”由代理服務器實現(xiàn) （2）外部鏈路 外部計算

26、機的網(wǎng)絡(luò)鏈路只能到達代理服務器。 從而起到了隔離防火墻內(nèi)外計算機系統(tǒng)的作用。 此外，代理服務器還對通過它的數(shù)據(jù)包進行分析、注冊登記，形成報告 ?？蛻舾杏X的連接實際連接實際連接代理服務的實現(xiàn)過程 2、代理防火墻類別 （1）應用層網(wǎng)關(guān) （2）電路網(wǎng)關(guān) 3 3、應用層網(wǎng)關(guān)、應用層網(wǎng)關(guān) 代理是企圖在應用層實現(xiàn)防火墻的功能，代理的主要特點是有狀態(tài)性。 代理能提供部分與傳輸有關(guān)的狀態(tài)，能完全提供與應用相關(guān)的狀態(tài)和部分傳輸方面的信息，代理也能處理和管理信息。應用層網(wǎng)關(guān)的基本原理應用層網(wǎng)關(guān)的基本原理應用層網(wǎng)關(guān)的內(nèi)部結(jié)構(gòu)應用層網(wǎng)關(guān)的內(nèi)部結(jié)構(gòu)安全策略安全策略 4 4、電路級網(wǎng)關(guān)、電路級網(wǎng)關(guān) 應用層代理為一種特定的

27、服務（如FTP和Telnet等）提供代理服務，代理服務器不但轉(zhuǎn)發(fā)流量而且對應用層協(xié)議做出解釋。電路級網(wǎng)關(guān)（Circuit Level Gateway）也是一種代理，但是只能是建立起一個回路，對數(shù)據(jù)包只起轉(zhuǎn)發(fā)的作用。電路級網(wǎng)關(guān)只依賴于TCP聯(lián)接，并不進行任何附加的包處理或過濾。 這種代理的優(yōu)點是它可以對各種不同的協(xié)議提供服務，但這種代理需要改進客戶程序。 這種網(wǎng)關(guān)對外像一個代理，而對內(nèi)則是一個過濾路由器 SocksSocks是一種非常強大的電路級網(wǎng)關(guān)防火墻，它只中繼是一種非常強大的電路級網(wǎng)關(guān)防火墻，它只中繼基于基于TCPTCP的數(shù)據(jù)包的數(shù)據(jù)包電路級網(wǎng)關(guān)電路級網(wǎng)關(guān)客戶機服務器IP網(wǎng)絡(luò)訪問TCP電路

28、級網(wǎng)關(guān)TCP端口號TCP端口號電路層網(wǎng)關(guān)入入出出內(nèi)部連接外部連接內(nèi)部主機外部主機5.2.3 5.2.3 地址翻譯技術(shù)地址翻譯技術(shù) 地址翻譯NAT(Network Address Translation) 就是將一個IP地址用另一個IP地址代替。 最初設(shè)計NAT的目的是為了增加在專用網(wǎng)絡(luò)中可使用的IP地址數(shù)，但是它有一個隱蔽的安全特性，如內(nèi)部主機隱蔽等，保證了網(wǎng)絡(luò)的一定安全。 地址翻譯主要用兩個方面： 1）網(wǎng)絡(luò)管理員希望隱藏內(nèi)部網(wǎng)絡(luò)的IP地址。這樣Internet上的主機無法判斷內(nèi)部網(wǎng)絡(luò)的情況。 2）內(nèi)部網(wǎng)絡(luò)的IP地址是無效的IP地址。這種情況主要是因為現(xiàn)在的IP地址不夠用，要申請到足夠多的合法

29、IP地址很難辦到，因此需要翻譯IP地址。 雖然應用層網(wǎng)關(guān)不能為基于TCP以外的應用很好的提供代理，但是地址翻譯可以提供一種透明的完善的解決方案。 網(wǎng)絡(luò)管理員可以決定哪些內(nèi)部的IP地址需要隱藏，哪些地址需要映射成為一個對Internet可見的IP地址。地址翻譯可以實現(xiàn)一種“單向路由”，這樣不存在從Internet到內(nèi)部網(wǎng)或主機的路由。 內(nèi)部地址是，防火墻網(wǎng)關(guān)對外地址是，可將內(nèi)網(wǎng)的地址都翻譯成出去 但這會遇到一個問題是，所有返回數(shù)據(jù)包的目的IP都是，防火墻如何識別它們，并送回內(nèi)部網(wǎng)的真實主機？ 解決辦法：

30、地址翻譯轉(zhuǎn)換表（有多種建立方法）地址翻譯可以有多種模式，主要有如下幾種。地址翻譯可以有多種模式，主要有如下幾種。 （1 1）靜態(tài)翻譯）靜態(tài)翻譯 （2 2）動態(tài)翻譯）動態(tài)翻譯 （3 3）端口轉(zhuǎn)換）端口轉(zhuǎn)換 （4 4）負載平衡翻譯）負載平衡翻譯 （5 5）網(wǎng)絡(luò)冗余翻譯）網(wǎng)絡(luò)冗余翻譯5.3 防火墻的體系結(jié)構(gòu)防火墻的體系結(jié)構(gòu)1 1、屏蔽路由器（、屏蔽路由器（Screened RouterScreened Router）2 2、雙宿主機網(wǎng)關(guān)；、雙宿主機網(wǎng)關(guān)； Dual Homed Host GatewayDual Homed Host Gateway3 3、屏蔽主機防火墻；、屏蔽主機防火墻； Scree

31、ned GatewayScreened Gateway4 4、屏蔽子網(wǎng)防火墻。、屏蔽子網(wǎng)防火墻。 Screened SubnetScreened Subnet1 1、屏蔽路由器、屏蔽路由器(Screened Router)(Screened Router)包過濾路由器： 路由 + 過濾 這是最簡單的防火墻。 缺點： (1) 日志少，難以判斷是否被入侵 (2) 規(guī)則表會隨著應用變得很復雜 (3) 單一的部件保護，脆弱2 2、雙宿主機網(wǎng)關(guān)、雙宿主機網(wǎng)關(guān)3.屏蔽主機防火墻屏蔽主機防火墻防火墻體系結(jié)構(gòu)堡壘主機的作用堡壘主機的作用堡壘主機上運行防火墻軟件代理服務(應用層網(wǎng)關(guān))。在建立雙宿主機時，應關(guān)閉操

32、作系統(tǒng)的路由功能(IP轉(zhuǎn)發(fā))，否則兩塊網(wǎng)卡間的通信會繞過代理服務器軟件。 優(yōu)點：與屏蔽路由器相比，提供日志以備檢查 缺點：雙宿主機易受攻擊4 4、屏蔽子網(wǎng)體系結(jié)構(gòu)、屏蔽子網(wǎng)體系結(jié)構(gòu)組成：一個包含堡壘主機的周邊子網(wǎng)、兩臺屏蔽路由器。屏蔽子網(wǎng)體系結(jié)構(gòu) 5.4 5.4 防火墻的應用舉例防火墻的應用舉例 1 1、WWWWWW和和HTTPHTTP WWW WWW服務是人們最常使用的服務是人們最常使用的InternetInternet服務，它的基本服務，它的基本協(xié)議是協(xié)議是HTTPHTTP。 瀏覽器用統(tǒng)一資源定位地址瀏覽器用統(tǒng)一資源定位地址URLURL來說明各種類型的鏈接。來說明各種類型的鏈接。統(tǒng)一資源定

33、位地址如下所示：統(tǒng)一資源定位地址如下所示： http:/http:/HTTPHTTP數(shù)據(jù)包的過濾特性和代理特性數(shù)據(jù)包的過濾特性和代理特性 一般情況下，允許一般情況下，允許HTTPHTTP的出站服務，因為網(wǎng)絡(luò)內(nèi)部的出站服務，因為網(wǎng)絡(luò)內(nèi)部用戶需要使用用戶需要使用WWWWWW服務來訪問服務來訪問InternetInternet，出站服務是，出站服務是信息來源的主要渠道。但對于入站的信息來源的主要渠道。但對于入站的HTTPHTTP聯(lián)接，一般聯(lián)接，一般不允許其通過。若確實想要提供不允許其通過。若確實想要提供WWWWWW服務，讓外人服務，讓外人了解你的公司，可以以犧牲主機的方式來運行了解你的公司，可以以犧

34、牲主機的方式來運行WWWWWW服務器。過濾規(guī)則如下表所示。服務器。過濾規(guī)則如下表所示。 規(guī)則規(guī)則指令指令源地址源地址目標地址目標地址源端口源端口目標端口目標端口協(xié)議協(xié)議ACK作用作用A出內(nèi)部Internet102380TCP/允許B入Internet內(nèi)部801023TCPyes允許 這兩條規(guī)則不但允許內(nèi)部用戶的這兩條規(guī)則不但允許內(nèi)部用戶的WWWWWW請求請求可以通過防火墻，而且允許可以通過防火墻，而且允許InternetInternet上上WWWWWW服務器的回復包也可以通過防火墻。至于是否服務器的回復包也可以通過防火墻。至于是否是回復包，則可從是回復包，則可從ACKACK位來判定。位來判定。

35、2、FTP服務服務 FTP用來把文件從一臺機器傳輸?shù)搅硪慌_機用來把文件從一臺機器傳輸?shù)搅硪慌_機器，器， FTP可傳輸任何類型的文件，如二進制文可傳輸任何類型的文件，如二進制文件、文本文件和多媒體文件等。匿名服務仍是件、文本文件和多媒體文件等。匿名服務仍是一種廣泛采用的服務，可以在很多匿名一種廣泛采用的服務，可以在很多匿名FTP站站點上下載免費軟件、游戲和圖片等。點上下載免費軟件、游戲和圖片等。FTPFTP的過程特性和過濾特性的過程特性和過濾特性 和和TelnetTelnet、SMTPSMTP不同，不同， FTPFTP需建立兩個聯(lián)接，一個是命令通需建立兩個聯(lián)接，一個是命令通道，另一個是數(shù)據(jù)通道，

36、這就帶來了它的過濾復雜性。道，另一個是數(shù)據(jù)通道，這就帶來了它的過濾復雜性。 FTPFTP有兩種聯(lián)接模式：正常模式和有兩種聯(lián)接模式：正常模式和PASVPASV模式。模式。 正常模式要求服務器啟動一個聯(lián)接用于數(shù)據(jù)傳輸，這不利于正常模式要求服務器啟動一個聯(lián)接用于數(shù)據(jù)傳輸，這不利于控制入站服務；控制入站服務；PASVPASV模式兩條聯(lián)接都由客戶啟動，這方便了模式兩條聯(lián)接都由客戶啟動，這方便了入站服務的控制。入站服務的控制。 一般情況下，若提供出站的一般情況下，若提供出站的FTPFTP服務，要采用正常模式，使服務，要采用正常模式，使用代理；若采用用代理；若采用PASVPASV模式，則只需經(jīng)過屏蔽路由器即

37、可。模式，則只需經(jīng)過屏蔽路由器即可。 下表所示的是PASV模式的FTP的過濾特性。服務器端的TCP端口號是21和一個大于1023的數(shù)，前者是命令通道端口，后者是數(shù)據(jù)通道端口。規(guī)則A和B是命令通道，C和D用于數(shù)據(jù)通道。規(guī)則規(guī)則指令指令源地址源地址目標地址目標地址源端口源端口目標端口目標端口協(xié)議協(xié)議ACKA出內(nèi)部Internet102321TCP/B入Internet內(nèi)部211023TCPyesC出內(nèi)部Internet10231023TCP/D入Internet內(nèi)部10231023TCPyes表： PASV模式的TFP的過濾特性 下表所示的是標準模式的FTP的過濾特性。服務器端的TCP端口號是21

38、和20，前者是命令通道端口，后者是數(shù)據(jù)通道端口。規(guī)則A和B是命令通道，C和D用于數(shù)據(jù)通道。規(guī)則規(guī)則指令指令源地址源地址目標地址目標地址源端口源端口目標端口目標端口協(xié)議協(xié)議ACKA出內(nèi)部Internet102321TCP/B入Internet內(nèi)部211023TCPyesC入Internet內(nèi)部102320TCP/D出內(nèi)部Internet201023TCPyes標準模式的FTP的過濾特性3、Telnet Telnet是一個很有用的工具，大多數(shù)操作系統(tǒng)都支是一個很有用的工具，大多數(shù)操作系統(tǒng)都支持持Telnet 服務。它可以用來文章服務。它可以用來文章BBS站點、調(diào)試郵件站點、調(diào)試郵件服務器或其他主機上的時間等。服務器或其他主機上的時間等。 Telnet最大的安全問題是最大的安全問題是Telnet訪問服務器的時候訪問服務器的時候口令的驗證大都是采用明文驗證。這樣用戶名和口令口令的驗證大都是采用明文驗證。這樣用戶名和口令在傳輸