防火墻技術(shù)介紹電子教案

1、防火墻技術(shù)介紹防火墻的發(fā)展簡史防火墻的發(fā)展簡史u第一代防火墻：采用了包過濾（第一代防火墻：采用了包過濾（Packet Filter）技術(shù)。）技術(shù)。u第二、三代防火墻：第二、三代防火墻：1989年，推出了電路層年，推出了電路層防火墻，和應(yīng)用層防火墻的初步結(jié)構(gòu)。防火墻，和應(yīng)用層防火墻的初步結(jié)構(gòu)。u第四代防火墻：第四代防火墻：1992年，開發(fā)出了基于動態(tài)年，開發(fā)出了基于動態(tài)包過濾技術(shù)的第四代防火墻。包過濾技術(shù)的第四代防火墻。u第五代防火墻：第五代防火墻：1998年，年，NAI公司推出了一公司推出了一種自適應(yīng)代理技術(shù)，可以稱之為第五代防火墻。種自適應(yīng)代理技術(shù)，可以稱之為第五代防火墻。圖圖 2防火墻技術(shù)

2、的簡單發(fā)展歷史防火墻技術(shù)的簡單發(fā)展歷史 返回本節(jié)設(shè)置防火墻的目的和功能設(shè)置防火墻的目的和功能u（1）防火墻是網(wǎng)絡(luò)安全的屏障）防火墻是網(wǎng)絡(luò)安全的屏障u（2）防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略）防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略u（3）對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計）對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計u（4）防止內(nèi)部信息的外泄）防止內(nèi)部信息的外泄返回本節(jié)防火墻的局限性防火墻的局限性u（1）防火墻防外不防內(nèi)。）防火墻防外不防內(nèi)。u（2）防火墻難于管理和配置，易造成安全漏）防火墻難于管理和配置，易造成安全漏洞。洞。u（3）很難為用戶在防火墻內(nèi)外提供一致的安）很難為用戶在防火墻內(nèi)外提供一致的安全策略。全策略。u（4）防火墻只實(shí)

3、現(xiàn)了粗粒度的訪問控制。）防火墻只實(shí)現(xiàn)了粗粒度的訪問控制。返回本節(jié)防火墻技術(shù)發(fā)展動態(tài)和趨勢防火墻技術(shù)發(fā)展動態(tài)和趨勢u（1）優(yōu)良的性能）優(yōu)良的性能u（2）可擴(kuò)展的結(jié)構(gòu)和功能）可擴(kuò)展的結(jié)構(gòu)和功能u（3）簡化的安裝與管理）簡化的安裝與管理u（4）主動過濾）主動過濾u（5）防病毒與防黑客）防病毒與防黑客返回本節(jié)防火墻的技術(shù)種類防火墻的技術(shù)種類u1包過濾防火墻包過濾防火墻u2代理防火墻代理防火墻u3狀態(tài)監(jiān)視器防火墻狀態(tài)監(jiān)視器防火墻u4復(fù)合式防火墻復(fù)合式防火墻防火墻技術(shù)防火墻技術(shù)包過濾防火墻包過濾防火墻u包過濾防火墻的工作原理包過濾防火墻的工作原理 采用這種技術(shù)的防火墻產(chǎn)品，通過在網(wǎng)絡(luò)中采用這種技術(shù)的防火墻

4、產(chǎn)品，通過在網(wǎng)絡(luò)中的適當(dāng)位置對數(shù)據(jù)包進(jìn)行過濾，根據(jù)檢查數(shù)據(jù)流的適當(dāng)位置對數(shù)據(jù)包進(jìn)行過濾，根據(jù)檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所有的中每個數(shù)據(jù)包的源地址、目的地址、所有的TCP端口號和端口號和TCP鏈路狀態(tài)等要素，然后依據(jù)一組預(yù)鏈路狀態(tài)等要素，然后依據(jù)一組預(yù)定義的規(guī)則，以允許合乎邏輯的數(shù)據(jù)包通過防火定義的規(guī)則，以允許合乎邏輯的數(shù)據(jù)包通過防火墻進(jìn)入到內(nèi)部網(wǎng)絡(luò)，而將不合乎邏輯的數(shù)據(jù)包加墻進(jìn)入到內(nèi)部網(wǎng)絡(luò)，而將不合乎邏輯的數(shù)據(jù)包加以刪除。以刪除。包過濾防火墻包過濾防火墻u（1）數(shù)據(jù)包過濾技術(shù)的發(fā)展：靜態(tài)包過濾、）數(shù)據(jù)包過濾技術(shù)的發(fā)展：靜態(tài)包過濾、動態(tài)包過濾。動態(tài)包過濾。 u（2）包過濾的優(yōu)點(diǎn)：

5、不用改動應(yīng)用程序、一）包過濾的優(yōu)點(diǎn)：不用改動應(yīng)用程序、一個過濾路由器能協(xié)助保護(hù)整個網(wǎng)絡(luò)、數(shù)據(jù)包過濾個過濾路由器能協(xié)助保護(hù)整個網(wǎng)絡(luò)、數(shù)據(jù)包過濾對用戶透明、過濾路由器速度快、效率高。對用戶透明、過濾路由器速度快、效率高。 u（3）包過濾的缺點(diǎn)：不能徹底防止地址欺騙；）包過濾的缺點(diǎn)：不能徹底防止地址欺騙；一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾（如一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾（如UDP協(xié)協(xié)議）；正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安議）；正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略；安全性較差全策略；安全性較差 ；數(shù)據(jù)包工具存在很多局?jǐn)?shù)據(jù)包工具存在很多局限性。限性。 圖3包過濾處理圖4靜態(tài)包過濾防火墻圖5動態(tài)包

6、過濾防火墻u（1）代理防火墻的原理：）代理防火墻的原理：代理防火墻運(yùn)行在兩個網(wǎng)絡(luò)之間，它對于客代理防火墻運(yùn)行在兩個網(wǎng)絡(luò)之間，它對于客戶來說像是一臺真的服務(wù)器一樣，而對于外界的戶來說像是一臺真的服務(wù)器一樣，而對于外界的服務(wù)器來說，它又是一臺客戶機(jī)。當(dāng)代理服務(wù)器服務(wù)器來說，它又是一臺客戶機(jī)。當(dāng)代理服務(wù)器接收到用戶的請求后，會檢查用戶請求的站點(diǎn)是接收到用戶的請求后，會檢查用戶請求的站點(diǎn)是否符合公司的要求，如果公司允許用戶訪問該站否符合公司的要求，如果公司允許用戶訪問該站點(diǎn)的話，代理服務(wù)器會像一個客戶一樣，去那個點(diǎn)的話，代理服務(wù)器會像一個客戶一樣，去那個站點(diǎn)取回所需信息再轉(zhuǎn)發(fā)給客戶。站點(diǎn)取回所需信息再

7、轉(zhuǎn)發(fā)給客戶。代理防火墻代理防火墻u代理技術(shù)的優(yōu)點(diǎn)代理技術(shù)的優(yōu)點(diǎn)1）代理易于配置。代理易于配置。 2）代理能生成各項(xiàng)記錄。代理能生成各項(xiàng)記錄。 3）代理能靈活、完全地控制進(jìn)出流量、內(nèi)容。）代理能靈活、完全地控制進(jìn)出流量、內(nèi)容。 4）代理能過濾數(shù)據(jù)內(nèi)容。代理能過濾數(shù)據(jù)內(nèi)容。 5）代理能為用戶提供透明的加密機(jī)制。）代理能為用戶提供透明的加密機(jī)制。6）代理可以方便地與其他安全手段集成。）代理可以方便地與其他安全手段集成。 u代理技術(shù)的缺點(diǎn)代理技術(shù)的缺點(diǎn)1）代理速度較路由器慢。）代理速度較路由器慢。2）代理對用戶不透明。代理對用戶不透明。 3）對于每項(xiàng)服務(wù)代理可能要求不同的服務(wù)器。）對于每項(xiàng)服務(wù)代理可能

8、要求不同的服務(wù)器。 4）代理服務(wù)不能保證免受所有協(xié)議弱點(diǎn)的限制。代理服務(wù)不能保證免受所有協(xié)議弱點(diǎn)的限制。 5）代理不能改進(jìn)底層協(xié)議的安全性。）代理不能改進(jìn)底層協(xié)議的安全性。 直實(shí)服務(wù)器外部 響應(yīng)轉(zhuǎn)發(fā)請求Internet代理客戶應(yīng)用層代理服務(wù)代理服務(wù)器應(yīng)用協(xié)議分析請求轉(zhuǎn)發(fā)響應(yīng)Intranet真實(shí)的客戶端代理的工作方式兩種防火墻技術(shù)兩種防火墻技術(shù) 返回本節(jié)狀態(tài)監(jiān)視器防火墻狀態(tài)監(jiān)視器防火墻（1） 狀態(tài)監(jiān)視器防火墻的工作原理狀態(tài)監(jiān)視器防火墻的工作原理 這種防火墻安全特性非常好，它采用了一這種防火墻安全特性非常好，它采用了一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎，稱之個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎，

9、稱之為檢測模塊。檢測模塊在不影響網(wǎng)絡(luò)正常工作的為檢測模塊。檢測模塊在不影響網(wǎng)絡(luò)正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測，抽取部分?jǐn)?shù)據(jù)，即狀態(tài)信息，并各層實(shí)施監(jiān)測，抽取部分?jǐn)?shù)據(jù)，即狀態(tài)信息，并動態(tài)地保存起來作為以后指定安全決策的參考。動態(tài)地保存起來作為以后指定安全決策的參考。（2） 狀態(tài)監(jiān)視器防火墻的優(yōu)缺點(diǎn)狀態(tài)監(jiān)視器防火墻的優(yōu)缺點(diǎn)狀態(tài)監(jiān)視器的優(yōu)點(diǎn)：狀態(tài)監(jiān)視器的優(yōu)點(diǎn)：u 檢測模塊支持多種協(xié)議和應(yīng)用程序，并可以很檢測模塊支持多種協(xié)議和應(yīng)用程序，并可以很容易地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。容易地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。u 它會監(jiān)測它會監(jiān)測RPC和

10、和UDP之類的端口信息，而包過之類的端口信息，而包過濾和代理網(wǎng)關(guān)都不支持此類端口。濾和代理網(wǎng)關(guān)都不支持此類端口。u 性能堅固性能堅固狀態(tài)監(jiān)視器的缺點(diǎn)：狀態(tài)監(jiān)視器的缺點(diǎn)：u 配置非常復(fù)雜。配置非常復(fù)雜。 會降低網(wǎng)絡(luò)的速度。會降低網(wǎng)絡(luò)的速度。4復(fù)合式防火墻復(fù)合式防火墻u常見是代理服務(wù)器和狀態(tài)分析技術(shù)的組合常見是代理服務(wù)器和狀態(tài)分析技術(shù)的組合u具有對一切連接嘗試進(jìn)行過濾的功能；具有對一切連接嘗試進(jìn)行過濾的功能；u提取和管理多種狀態(tài)信息的功能；提取和管理多種狀態(tài)信息的功能；u智能化做出安全控制和流量控制的決策；智能化做出安全控制和流量控制的決策；u提供高性能的服務(wù)和靈活的適應(yīng)性；提供高性能的服務(wù)和靈活

11、的適應(yīng)性；u具有網(wǎng)絡(luò)內(nèi)外完全透明的特性。具有網(wǎng)絡(luò)內(nèi)外完全透明的特性。防火墻的優(yōu)缺點(diǎn)防火墻的優(yōu)缺點(diǎn)u優(yōu)點(diǎn)：優(yōu)點(diǎn)：1、保護(hù)網(wǎng)絡(luò)中脆弱的服務(wù)、保護(hù)網(wǎng)絡(luò)中脆弱的服務(wù)2、實(shí)現(xiàn)網(wǎng)絡(luò)安全性監(jiān)視和實(shí)時報警、實(shí)現(xiàn)網(wǎng)絡(luò)安全性監(jiān)視和實(shí)時報警3、增強(qiáng)保密性和強(qiáng)化私有權(quán)、增強(qiáng)保密性和強(qiáng)化私有權(quán)4、實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換、實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換5、實(shí)現(xiàn)安全性失效和自動故障恢復(fù)、實(shí)現(xiàn)安全性失效和自動故障恢復(fù)u缺點(diǎn)：缺點(diǎn)：1、不能防范惡毒的知情者（內(nèi)網(wǎng)用戶和內(nèi)外串通）、不能防范惡毒的知情者（內(nèi)網(wǎng)用戶和內(nèi)外串通）2、不能防范不經(jīng)過它的連接、不能防范不經(jīng)過它的連接3、不能防備全部的威脅，特別是新產(chǎn)生的威脅、不能防備全部的威脅，特別是新產(chǎn)生的

12、威脅4、不能有效地防范病毒的攻擊、不能有效地防范病毒的攻擊現(xiàn)代防火墻的安全技術(shù)及實(shí)現(xiàn)方式現(xiàn)代防火墻的安全技術(shù)及實(shí)現(xiàn)方式第四代防火墻技術(shù)第四代防火墻技術(shù)u第四代防火墻，具有安全操作系統(tǒng)的防火墻產(chǎn)品。第四代防火墻，具有安全操作系統(tǒng)的防火墻產(chǎn)品。u1雙端口或三端口的結(jié)構(gòu)雙端口或三端口的結(jié)構(gòu)新一代防火墻產(chǎn)品具有兩個或三個獨(dú)立的網(wǎng)卡，內(nèi)外兩新一代防火墻產(chǎn)品具有兩個或三個獨(dú)立的網(wǎng)卡，內(nèi)外兩個網(wǎng)卡可不作個網(wǎng)卡可不作IP轉(zhuǎn)化而串接于內(nèi)部網(wǎng)與外部網(wǎng)之間，另一個轉(zhuǎn)化而串接于內(nèi)部網(wǎng)與外部網(wǎng)之間，另一個網(wǎng)卡可專用于對服務(wù)器的安全保護(hù)。網(wǎng)卡可專用于對服務(wù)器的安全保護(hù)。 u2透明的訪問方式透明的訪問方式以前的防火墻在訪問

13、方式上要么要求用戶作系統(tǒng)登錄，以前的防火墻在訪問方式上要么要求用戶作系統(tǒng)登錄，要么需要通過要么需要通過SOCKS等庫路徑修改客戶機(jī)的應(yīng)用。第四代等庫路徑修改客戶機(jī)的應(yīng)用。第四代防火墻利用了透明的代理系統(tǒng)技術(shù)，從而降低了系統(tǒng)登錄固防火墻利用了透明的代理系統(tǒng)技術(shù)，從而降低了系統(tǒng)登錄固有的安全風(fēng)險和出錯概率。有的安全風(fēng)險和出錯概率。 u3靈活的代理系統(tǒng)靈活的代理系統(tǒng)代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊。第四代防火墻采用了兩種代理機(jī)制，一種用于代軟件模塊。第四代防火墻采用了兩種代理機(jī)制，一種用于代理從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接，另一種用

14、于代理從外部網(wǎng)理從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接，另一種用于代理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)換（絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)）技術(shù)來解決，后者采用非保密的用戶定制代理或保密的代理系統(tǒng)來解決，后者采用非保密的用戶定制代理或保密的代理系統(tǒng)技術(shù)來解決。技術(shù)來解決。 u4多級的過濾技術(shù)多級的過濾技術(shù)為保證系統(tǒng)的安全性和防護(hù)水平，第四代防火墻采用了為保證系統(tǒng)的安全性和防護(hù)水平，第四代防火墻采用了三級過濾措施，并輔以鑒別手段。在分組過濾一級，能過濾三級過濾措施，并輔以鑒別手段。在分組過濾一級，能過濾掉所有的源路由分組和假冒的掉所有的源路由分組和假冒的IP源地址；在應(yīng)用

15、級網(wǎng)關(guān)一級，源地址；在應(yīng)用級網(wǎng)關(guān)一級，能利用能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測等各種網(wǎng)關(guān)，控制和監(jiān)測Internet提供提供的所用通用服務(wù)；在電路網(wǎng)關(guān)一級，實(shí)現(xiàn)內(nèi)部主機(jī)與外部站的所用通用服務(wù)；在電路網(wǎng)關(guān)一級，實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)的透明連接，并對服務(wù)的通行實(shí)行嚴(yán)格控制。點(diǎn)的透明連接，并對服務(wù)的通行實(shí)行嚴(yán)格控制。u5網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）第四代防火墻利用第四代防火墻利用NAT技術(shù)能透明地對所有內(nèi)部地址作技術(shù)能透明地對所有內(nèi)部地址作轉(zhuǎn)換，使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時允許轉(zhuǎn)換，使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時允許內(nèi)部網(wǎng)絡(luò)使用自己編的內(nèi)部網(wǎng)絡(luò)使用

16、自己編的IP地址和專用網(wǎng)絡(luò)，防火墻能詳盡記地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個主機(jī)的通信，確保每個分組送往正確的地址。錄每一個主機(jī)的通信，確保每個分組送往正確的地址。u6 Internet網(wǎng)關(guān)技術(shù)網(wǎng)關(guān)技術(shù)由于是直接串連在網(wǎng)絡(luò)之中，第四代防火墻必須支由于是直接串連在網(wǎng)絡(luò)之中，第四代防火墻必須支持用戶在持用戶在Internet互連的所有服務(wù)，同時還要防止與互連的所有服務(wù)，同時還要防止與Internet服務(wù)有關(guān)的安全漏洞。故它要能以多種安全的服務(wù)有關(guān)的安全漏洞。故它要能以多種安全的應(yīng)用服務(wù)器（包括應(yīng)用服務(wù)器（包括FTP、Finger、mail、Ident、News、WWW等）來實(shí)現(xiàn)網(wǎng)關(guān)功能。為確保

17、服務(wù)器的安全性，等）來實(shí)現(xiàn)網(wǎng)關(guān)功能。為確保服務(wù)器的安全性，對所有的文件和命令均要利用對所有的文件和命令均要利用“改變根系統(tǒng)調(diào)用改變根系統(tǒng)調(diào)用（chroot）”作物理上的隔離。作物理上的隔離。u7、安全服務(wù)器網(wǎng)絡(luò)（、安全服務(wù)器網(wǎng)絡(luò)（SSN）利用保護(hù)策略對服務(wù)器實(shí)施保護(hù)，利用網(wǎng)卡將對外利用保護(hù)策略對服務(wù)器實(shí)施保護(hù)，利用網(wǎng)卡將對外服務(wù)器作獨(dú)立網(wǎng)絡(luò)處理，與內(nèi)部網(wǎng)關(guān)安全隔離。服務(wù)器作獨(dú)立網(wǎng)絡(luò)處理，與內(nèi)部網(wǎng)關(guān)安全隔離。u8用戶鑒別與加密用戶鑒別與加密為了降低防火墻產(chǎn)品在為了降低防火墻產(chǎn)品在Telnet、FTP等服務(wù)和等服務(wù)和遠(yuǎn)程管理上的安全風(fēng)險，鑒別功能必不可少，第四遠(yuǎn)程管理上的安全風(fēng)險，鑒別功能必不可少

18、，第四代防火墻采用一次性使用的口令字系統(tǒng)來作為用戶代防火墻采用一次性使用的口令字系統(tǒng)來作為用戶的鑒別手段，并實(shí)現(xiàn)了對郵件的加密。的鑒別手段，并實(shí)現(xiàn)了對郵件的加密。 u9用戶定制服務(wù)用戶定制服務(wù)為滿足特定用戶的特定需求，第四代防火墻在為滿足特定用戶的特定需求，第四代防火墻在提供眾多服務(wù)的同時，還為用戶定制提供支持，這提供眾多服務(wù)的同時，還為用戶定制提供支持，這類選項(xiàng)有：通用類選項(xiàng)有：通用TCP，出站，出站UDP、FTP、SMTP等等類，如果某一用戶需要建立一個數(shù)據(jù)庫的代理，便類，如果某一用戶需要建立一個數(shù)據(jù)庫的代理，便可利用這些支持，方便設(shè)置?？衫眠@些支持，方便設(shè)置。 u10審計和告警審計和告

19、警第四代防火墻產(chǎn)品的審計和告警功能十分健第四代防火墻產(chǎn)品的審計和告警功能十分健全，日志文件包括：一般信息、內(nèi)核信息、核心全，日志文件包括：一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理日志、進(jìn)站代理、條件、管理日志、進(jìn)站代理、FTP代理、出站代代理、出站代理、郵件服務(wù)器、域名服務(wù)器等。告警功能會守理、郵件服務(wù)器、域名服務(wù)器等。告警功能會守住每一個住每一個TCP或或UDP探尋，并能以發(fā)出郵件、聲探尋，并能以發(fā)出郵件、聲響等多種方式報警。響等多

20、種方式報警。 防火墻的基本組成結(jié)構(gòu)防火墻的基本組成結(jié)構(gòu)u 1屏蔽路由器屏蔽路由器u 2雙宿堡壘主機(jī)雙宿堡壘主機(jī)u 3屏蔽主機(jī)防火墻屏蔽主機(jī)防火墻u 4屏蔽子網(wǎng)防火墻屏蔽子網(wǎng)防火墻 1屏蔽路由器屏蔽路由器u又稱包過濾路由器，在一般路由器的基礎(chǔ)上增又稱包過濾路由器，在一般路由器的基礎(chǔ)上增加了一些新的安全控制功能，是一個檢查通過它加了一些新的安全控制功能，是一個檢查通過它的數(shù)據(jù)包的路由器。的數(shù)據(jù)包的路由器。屏蔽路由器示意圖 2雙宿堡壘主機(jī)雙宿堡壘主機(jī)u又稱應(yīng)用型防火墻，在運(yùn)行防火墻軟件的堡壘又稱應(yīng)用型防火墻，在運(yùn)行防火墻軟件的堡壘主機(jī)上運(yùn)行代理服務(wù)器。主機(jī)上運(yùn)行代理服務(wù)器。雙宿堡壘主機(jī)示意圖3屏蔽主

21、機(jī)防火墻屏蔽主機(jī)防火墻u屏蔽主機(jī)防火墻由包過濾路由器和堡壘主機(jī)（屏蔽主機(jī)防火墻由包過濾路由器和堡壘主機(jī)（Bastion Host）組成，它所提供的安全性能要比包過濾防火墻系）組成，它所提供的安全性能要比包過濾防火墻系統(tǒng)要強(qiáng)，因?yàn)樗鼘?shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層統(tǒng)要強(qiáng)，因?yàn)樗鼘?shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層安全（代理服務(wù)）的結(jié)合。當(dāng)入侵者在破壞內(nèi)部網(wǎng)絡(luò)的安全（代理服務(wù)）的結(jié)合。當(dāng)入侵者在破壞內(nèi)部網(wǎng)絡(luò)的安全性之前，必須首先突破這兩種不同的安全系統(tǒng)。安全性之前，必須首先突破這兩種不同的安全系統(tǒng)。屏蔽主機(jī)網(wǎng)關(guān)示意圖u原理和實(shí)現(xiàn)過程原理和實(shí)現(xiàn)過程 ：堡壘主機(jī)位于內(nèi)部網(wǎng)絡(luò)上，而包過濾路由器堡壘主機(jī)位

22、于內(nèi)部網(wǎng)絡(luò)上，而包過濾路由器則放置在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。在路由器上則放置在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。在路由器上設(shè)置相應(yīng)的規(guī)則，使得外部系統(tǒng)只能訪問堡壘主設(shè)置相應(yīng)的規(guī)則，使得外部系統(tǒng)只能訪問堡壘主機(jī)。由于內(nèi)部主機(jī)與堡壘主機(jī)處于同一個網(wǎng)絡(luò)，機(jī)。由于內(nèi)部主機(jī)與堡壘主機(jī)處于同一個網(wǎng)絡(luò)，內(nèi)部系統(tǒng)是否允許直接訪問外部網(wǎng)絡(luò)，或者是要內(nèi)部系統(tǒng)是否允許直接訪問外部網(wǎng)絡(luò)，或者是要求使用堡壘主機(jī)上的代理服務(wù)來訪問外部網(wǎng)絡(luò)完求使用堡壘主機(jī)上的代理服務(wù)來訪問外部網(wǎng)絡(luò)完全由企業(yè)的安全策略來決定。對路由器的過濾規(guī)全由企業(yè)的安全策略來決定。對路由器的過濾規(guī)則進(jìn)行配置，使得其只接收來自堡壘主機(jī)的內(nèi)部則進(jìn)行配置，使得其只接收來自堡壘主機(jī)的內(nèi)部數(shù)據(jù)包，就可以強(qiáng)制內(nèi)部用戶使用代理服務(wù)，從數(shù)據(jù)包，就可以強(qiáng)制內(nèi)部用戶使用代理服務(wù)，從而加強(qiáng)內(nèi)部用戶對外部而加強(qiáng)內(nèi)部用戶對外部Internet訪問的管理。訪問的管理。 4屏蔽子網(wǎng)防火墻屏蔽子網(wǎng)防火墻u屏蔽子網(wǎng)防火墻利用兩臺屏蔽路由器把子網(wǎng)與內(nèi)外部屏蔽子網(wǎng)防火墻利用兩臺屏蔽路由器把