CISCO防火墻專題-防火墻技術

1、Evaluation Warning: The document was created with Spire.Doc for .NET.CISCO防火墻專題-防火墻技術摘要防火墻技術的核心思想是在不安全的網際網環(huán)境中構造一個相對安全的子網環(huán)境。本文介紹了防火墻技術的基本概念和系統結構，討論了實現cisco防火墻的兩種主要技術手段：一種是基于分組過濾技術(Packet filtering)，它的代表是在篩選路由器上實現的防火墻功能；一種是基于代理技術(Proxy)，它的代表是在應用層網關上實現的防火墻功能。一、cisco防火墻的概念與構成所謂cisco防火墻就是一個或一組網絡設備(計算機或路由

2、器等)，可用來在兩個或多個網絡間加強訪問控制。它的實現有好多種形式，有些實現還是很復雜的，但基本原理原理卻很簡單。你可以把它想象成一對開關， 一個開關用來阻止傳輸, 另一個開關用來允許傳輸。設立cisco防火墻的主要目的是保護一個網絡不受來自另一個網絡的攻擊。通常，被保護的網絡屬于我們自己，或者是我們負責管理的，而所要防備的網絡則是一個外部的網絡，該網絡是不可信賴的，因為可能有人會從該網絡上對我們的網絡發(fā)起攻擊，破壞網絡安全。對網絡的保護包括下列工作：拒絕未經授權的用戶訪問，阻止未經授權的用戶存取敏感數據，同時允許合法用戶不受妨礙地訪問網絡資源。不同的cisco防火墻側重點不同。從某種意義上來

3、說，cisco防火墻實際上代表了一個網絡的訪問原則。如果某個網絡決定設定cisco防火墻，那么首先需要由網絡決策人員及網絡專家共同決定本網絡的安全策略(security policy)，即確定那些類型的信息允許通過cisco防火墻，那些類型的信息不允許通過cisco防火墻。cisco防火墻的職責就是根據本單位的安全策略，對外部網絡與內部網絡交流的數據進行檢查，符合的予以放行，不符合的拒之門外。在設計cisco防火墻時，除了安全策略以外，還要確定cisco防火墻類型和拓撲結構。一般來說，cisco防火墻被設置在可信賴的內部網絡和不可信賴的外部網絡之間。cisco防火墻相當于一個控流器，可用來監(jiān)視

4、或拒絕應用層的通信業(yè)務， cisco防火墻也可以在網絡層和傳輸層運行，在這種情況下，cisco防火墻檢查進入和離去的報文分組的IP和TCP頭部，根據預先設計的報文分組過濾規(guī)則來拒絕或允許報文分組通過。cisco防火墻是用來實現一個組織機構的網絡安全措施的主要設備。在許多情況下需要采用驗證安全和增強私有性技術來加強網絡的安全或實現網絡方面的安全措施。本文主要介紹下列cisco防火墻的基本構件和技術：篩選路由器(screening router)、分組過濾(packet filtering)技術、雙宿主機(dual-homed host)、代理服務 (Proxy Service)、應用層網關(ap

5、plication level gateway)和堡壘主機(bastion host)。象篩選路由器這樣的能夠實現安全措施的路由器常常被稱為安全路由器或安全網關，而實現安全管理的應用層網關又稱為安全應用層網關。二、cissco防防火墻的的基本構構件和技技術 21篩選選路由器器 (SScreeeniing Rouuterr) 許許多路由由器產品品都具有有根據給給定規(guī)則則對報文文分組進進行篩選選的功能能，這些些規(guī)則包包括協議議的類型型、特定定協議類類型的源源地址和和目的地地址字段段以及作作為協議議一部分分的控制制字段。例例如在常常用的CCiscco路由由器上就就具有這這種對報報文分組組進行篩篩選的

6、功功能，這這種路由由器被稱稱為篩選選路由器器。最早早的Ciiscoo路由器器只能根根據IPP數據報報頭部內內容進行行過濾，而而目前的的產品還還可以根根據TCCP端口口及連接接建立的的情況進進行過濾濾, 而而且在過過濾語法法上也有有了一定定改進。篩選路由器提供了一種強有力的機制，可用于控制任何網絡段上的通信業(yè)務類型。而通過控制一個網絡段上的通信業(yè)務類型，篩選路由器可以控制該網絡段上網絡服務的類型，從而可以限制對網絡安全有害的服務。 篩選路由器可以根據協議類型和報文分組中有關協議字段的值來區(qū)別不同的網絡通信業(yè)務。路由器根據與協議相關的準則來區(qū)別和限制通過其端口的報文分組的能力被稱為報文分組過濾。因

7、此，篩選路由器又稱為分組過濾路由器。下面我們首先介紹應用篩選路由器時需要考慮的安全防線設置問題，以及篩選路由器與OSI模型的關系，分組過濾技術將在下一節(jié)討論。識別危險區(qū)域 根據1996年1月的統計，連入INTERNET的網絡大約為60,000個左右，主機總數則已超過900萬臺。由于INTERNET上有如此眾多的用戶，其中難免有少數居心不良的所謂“黑客”。這種情況就象遷入一個大城市時會遇到犯罪問題一樣。在大城市中，使用帶鎖的門來保護我們的居室是明智之舉。在這種環(huán)境下要求凡事要小心謹慎，因此當有人來敲我們的門時，應首先查看來人，再決定是否讓來人進入。如果來人看起來很危險(安全風險很高)，則不應讓其

8、進來。類似地，篩選路由器也通過查看進入的分組來決定它們當中是否有可能有害的分組。企業(yè)網絡中的邊界被稱為安全環(huán)形防線。由于在INTERNET上危險的“黑客”很多，確定一個危險區(qū)域是很有用的。這個危險區(qū)域就是指通過INTERNET可以直接訪問的所有具有TCP/IP功能的網絡。這里“具有TCP/IP功能”是指一臺主機支持TCP/IP協議和它所支持的上層協議?！爸苯釉L問”是指在INTERNET和企業(yè)網絡的主機之間沒有設置強有力的安全措施(沒有“鎖門”)。從我們自己的角度上看，INTERNET中的地區(qū)網、國家網和主干網都代表著一個危險區(qū)域，在危險區(qū)域內的主機對于外來攻擊的防范是很脆弱的。因此，我們當然希

9、望把自己的網絡和主機置于危險區(qū)域之外。然而，沒有相應的設備去攔截對自己網絡的攻擊，則危險區(qū)域將會延伸至自己的網絡上。篩選路由器就是這樣一種設備，它可以用來減小危險區(qū)域，從而使其不能滲透到我們網絡的安全防線之內。在我們的企業(yè)網絡中，可能不是所有的主機都具有TCP/IP功能。即使這樣，這些非TPC/IP主機也可能成為容易攻擊的，盡管從技術上說它們不屬于危險區(qū)域。如果一臺非TCP/IP主機與一臺TCP/IP主機相連，就會發(fā)生這種情況。入侵者可以使用一種TCP/IP主機和非TCP/IP主機都支持的協議來通過TCP/IP主機訪問非TCP/IP主機，例如：如果這兩臺主機都連在同一個以太網網段上，入侵者就可

10、以通過以太網協議去訪問非TCP/IP主機。篩選路由器本身不能夠消除危險區(qū)域，但它們可以極為有效地減小危險區(qū)域。篩選路由器和cisco防火墻與OSI模型的關系 按照與OSI模型的關系將篩選路由器和cisco防火墻進行比較。篩選路由器的功能相當于OSI模型的網絡層(IP協議)和傳輸層(TCP協議)。cisco防火墻常常被描述為網關，而網關應可以在OSI模型的所有七個層次上執(zhí)行處理功能。通常，網關在OSI模型的第七層(應用層)執(zhí)行處理功能。對于大多數cisco防火墻網關來說，也確實如此。cisco防火墻可以執(zhí)行分組過濾功能，因為cisco防火墻覆蓋了網絡層和傳輸層。某些廠商，可能是由于市場營銷策略，

11、模糊了篩選路由器和cisco防火墻之間的區(qū)別，將他們的篩選路由器產品稱為cisco防火墻產品。為了清晰起見，我們根據OSI模型對篩選路由器和cisco防火墻加以區(qū)別。有些時候，篩選路由器也被稱為分組過濾網關。使用“網關”這一術語來稱呼分組過濾設備可能有以下理由，即在傳輸層根據TCP標志執(zhí)行的過濾功能不屬于路由器的功能，因為路由器運行在OSI模型的網絡層。在網絡層以上運行的設備也被稱為網關。22分組過濾 (Packet Filtering) 技術 篩選路由器可以采用分組過濾功能以增強網絡的安全性。篩選功能也可以由許多商業(yè)cisco防火墻產品和一些類似于Karlbridge的基于純軟件的產品來實現

12、。但是，許多商業(yè)路由器產品都可以被編程以用來執(zhí)行分組過濾功能。許多路由器廠商，象Cisco、Bay Networks、3COM、DEC、IBM等，他們的路由器產品都可以用來通過編程實現分組過濾功能。分組過濾和網絡安全策略 分組過濾可以用來實現許多種網絡安全策略。網絡安全策略必須明確描述被保護的資源和服務的類型、重要程度和防范對象。通常，網絡安全策略主要用于防止外來的入侵，而不是監(jiān)控內部用戶。例如，阻止外來者入侵內部網絡，對一些敏感數據進行存取和破壞網絡服務是更為重要的。這種類型的網絡安全策略決定了篩選路由器將被置于何處，以及如何進行編程用來執(zhí)行分組過濾。良好的網絡安全的實現同時也應該使內部用戶

13、難以妨害網絡安全，但這通常不是網絡安全工作的重點。網絡安全策略的一個主要目標是向用戶提供透明的網絡服務機制。由于分組過濾執(zhí)行在OSI模型的網絡層和傳輸層，而不是在應用層，所以這種途徑通常比cisco防火墻產品提供更強的透明性。我們曾經提到cisco防火墻在OSI模型應用層上運行，在這個層次實現的安全措施通常都不夠透明。一個分組過濾的簡單模型 一個分組過濾裝置常被置于一個或幾個網段與其他網段之間。網段通常被分為內部網段和外部網段，外部網段將你的網絡連向外部網絡，例如INTERNET；內部網段用來連接一個單位或組織內部的主機和其它網絡資源。在分組過濾裝置的每一個端口都可以實施網絡安全策略，這種策略

14、描述通過該端口可存取的網絡服務的類型。如果同時有許多網段同該過濾裝置相連，則分組過濾裝置所實施的策略將變得很復雜。一般來說，在解決網絡安全問題時應該避免過于復雜的方案，其原因如下：難于維護，在配置過濾規(guī)則時容易發(fā)生錯誤，執(zhí)行復雜的方案將對設備的性能產生負作用。在許多實際情況下，一般都只采用簡單模型來實現網絡安全策略。在這個模型中只有兩個網段與過濾裝置相連，典型的情況是一個網段連向外部網絡，另一個連向內部網絡。通過分組過濾來限制請求被拒絕服務的網絡通信流。由于分組過濾規(guī)則的設計原則是有利于內部網絡連向外部網絡，所以在篩選路由器兩側所執(zhí)行的過濾規(guī)則是不同的。換句話說，分組過濾器是不對稱的。分組過濾

15、器的操作 當前，幾乎所有的分組過濾裝置(篩選路由器或分組過濾網關)都按如下方式操作：(1) 對于分組過濾裝置的有關端口必須設置分組過濾準則，也稱為分組過濾規(guī)則。(2) 當一個分組到達過濾端口時，將對該分組的頭部進行分析。大多數分組過濾裝置只檢查IP、TCP或UDP頭部內的字段。(3) 分組過濾規(guī)則按一定的順序存貯。當一個分組到達時，將按分組規(guī)則的存貯順序依次運用每條規(guī)則對分組進行檢查。(4) 如果一條規(guī)則阻塞傳遞或接收一個分組，則不允許該分組通過。(5) 如果一條規(guī)則允許傳遞或接收一個分組，則允許該分組通過。(6) 如果一個分組不滿足任何規(guī)則，則該分組被阻塞。從規(guī)則4和5，我們可以看到到將規(guī)則

16、按適當的順序排列是非常重要的。在配置分組過濾規(guī)則時一個常犯的錯誤就是將分組過濾規(guī)則按錯誤的順序排列。如果一個分組過濾規(guī)則排序有錯，我們就有可能拒絕進行某些合法的訪問，而又允許訪 問本想拒絕的服務。規(guī)則6遵循守以下原則：未被明確允許的就將被禁止。這是一個在設計安全可靠的網絡時應該遵循的失效安全原則。與之相對的是一種寬容的原則，即：沒有被明確禁止的就是允許的。如果采用后一種思想來設計分組過濾規(guī)則，就必須仔細考慮分組過濾規(guī)則沒有包括的每一種可能的情況來確保網絡的安全。當一個新的服務被加入到網絡中時，我們可以很容易地遇到沒有規(guī)則與之相匹配的情況。在這種情況下，不是先阻塞該服務，從而聽取用戶因為合法的服

17、務被阻塞而抱怨，然后再允許該服務，我們也可以以網絡安全風險為代價來允許用戶自由地訪問該服務，直到制定了相應的安全規(guī)則為止。23雙宿主機 (Dual-Homed Host) 在TCP/IP網絡中，術語多宿主機被用來描述一臺配有多個網絡接口的主機。通常，每一個網絡接口與一個網絡相連。在以前，這種多宿主機也可以用來在幾個不同的網段間進行尋徑，術語網關用來描述由多宿主機執(zhí)行的尋徑功能。但近年來人們一般用術語路由器來描述這種尋徑功能，而網關則用于描述相當于OSI模型上幾層中所進行的尋徑功能。如果在一臺多宿主機中尋徑功能被禁止了，則這個主機可以隔離與它相連的網絡之間的通信流量；然而與它相連的每一個網絡都可

18、以執(zhí)行由它所提供的網絡應用，如果這個應用允許的話，它們還可以共享數據.在雙宿主機cisco防火墻中禁止尋徑。 大多數cisco防火墻建立在運行UNIX的機器上。證實在雙宿主機cisco防火墻中的尋徑功能是否被禁止是非常重要的；如果該功能沒有被禁止，你必須知道如何去禁止它.為了在基于UNIX的雙宿主機中禁止進行尋徑，需要重新配置和編譯內核。在BSD UNIX系統中該過程如下所述。使用MAKE命令編譯UNIX系統內核。使用一個叫做CONFIG的命令來讀取內核配置文件并生成重建內核所需的文件。內核配置文件在/usr/sys/conf或 /usr/src/sys目錄下。在使用Intel硬件的BSDI

19、UNIX平臺上，配置文件在/usr/src/sys/i386/conf目錄下。為檢查你所使用的是哪一個內核配置文件，你可以對內核映像文件使用strings命令并查找操作系統的名字。例如：% strings /bsd | grep BSDBSDI $Id: if_pe.c, v 1.4 1993/02/21 20:35:01 karels Exp $BSDI $Id: if_petbl.c, v 1.2 1993/02/21 20:36:09 karels Exp $BSD/386(#)BSDI BSD/386 1.0 kernel #0: Wed Mar 24 17:23:44 MST 199

20、3polkhilltop.BSDI.COM:/home/hilltop/polk/sys.clean/compile/GENERIC最后一行說明當前的配置文件是GENERIC.進入配置文件目錄(/usr/src/sys/i386/conf)，將文件GENERIC復制到一個新的配置文件中，其名字應對新的配置有所啟發(fā)。例如，你可以將這個文件稱為FIREWALL或LOCAL。cd /usr/src/sys/i386/confcp GENERIC FIREWALL下一步，編輯文件FIREWALL中的選項參數IPFORWARDING，將其值改為- 1，代表“不轉發(fā)任何IP數據報”。這個變量的作用是設置內

21、核變量ipforwarding的值，從而禁止IP轉發(fā)。options IPFORWARDING=-1在某些其它的系統上，你看到的可能不是IPFORWARDING參數，而是：options GATEWAY為禁止IP分組的轉發(fā)，可以將一個#號放在這一行的起始處，將這句話注釋掉。#options GATEWAY同時，檢驗下列TCP/IP內核配置語句是否存在：options INET # Internet Protocol support is to be includedpseudo-device loop # The loop back device is to be defined ()pseu

22、do-device ehter # Generic Ethernet support such as ARP functionspseudo-device pty # pseudo teletypes for telnet /rlogin accessdevice we0 at isa? port 0 x280 # Could be different for your Ethernet interface運行CONFIG命令來建立LOCAL目錄，然后進入該目錄：config LOCALcd ././compile/LOCAL然后，運行MAKE命令來建立必要的相關部件和內核：make depe

23、ndmake將內核映像復制到根目錄下，然后重新啟動(reboot)：cp /bsd /bsd.oldcp bsd /bsdreboot現在，這臺主機可以用來作為雙宿主機cisco防火墻了。怎樣破壞雙宿主機cisco防火墻的安全 了解雙宿主機cisco防火墻的安全性是如何被破壞的是很有用的，因為這樣一來你就可以采取相應的措施來防止發(fā)生這種破壞。對安全最大的危脅是一個攻擊者掌握了直接登錄到雙宿主機的權限。登錄到一個雙宿主機上總是應該通過雙宿主機上的一個應用層代理進行。對從外部不可信任網絡進行登錄應該進行嚴格的身份驗證。如果外部用戶獲得了在雙宿主機上進行登錄的權利，那么內部網絡就容易遭到攻擊。這種攻

24、擊可以通過以下任何一種方式來進行：1）通過文件系統上寬松的許可權限制。2）通過內部網絡上由NFS安裝的卷。3）利用已經被破壞了的用戶帳號，通過在這類用戶的主目錄下的主機等價文件，如.rhosts，來訪問由Berkeley r*工具授權的服務。4）利用可能恢復的過分訪問權的網絡備份程序。5）通過使用沒有適當安全防范的用于管理的SHELL腳本。6）通過從沒有適當安全防范的過時軟件的修訂版和發(fā)行文檔來掌握系統的漏洞。7）通過安裝允許IP傳遞的老版本操作系統內核，或者安裝存在安全問題的老版本操作系統內核。 如果一臺雙宿主機失效了，則內部網絡將被置于外部攻擊之下，除非這個問題很快被查出并解決。在前面，我

25、們已經了解到UNIX內核變量ifrorwarding控制著是否允許進行IP路由選擇。如果一個攻擊者獲得了足夠的系統權限，則這個攻擊者就可以改變這個內核變量的值，從而允許IP轉發(fā)。在允許IP轉發(fā)后，cisco防火墻機制就會被旁路掉了.雙宿主機cisco防火墻上的服務 除了禁止IP轉發(fā)，你還應該從雙宿主機cisco防火墻中移走所有的影響到安全的程序、工具和服務，以免落入攻擊者的手中。下面是UNIX雙宿主機cisco防火墻的一部分有用的檢查點：1）移走程序開發(fā)工具：編譯器、鏈接器等。2）移走你不需要或不了解的具有 SUID和SGID權限的程序。如果系統不工作，你可以移回一些必要的基本程序。3）使用磁

26、盤分區(qū)，從而使在一個磁盤分區(qū)上發(fā)動的填滿所有磁盤空間的攻擊被限制在那個磁盤分區(qū)當中。4）刪去不需要的系統和專門帳號。5）刪去不需要的網絡服務，使用netstat -a來檢驗。編輯/etc/inetd.conf和/etc/services文件，刪除不需要的網絡服務定義。24代理服務和應用層網關 代理服務 (Proxy Service) 代理服務使用的的方法與分組過濾器不同，代理(Proxy)使用一個客戶程序(或許經過修改)，與特定的中間結點連接，然后中間結點與期望的服務器進行實際連接。與分組過濾器所不同的是， 使用這類cisco防火墻時外部網絡與內部網絡之間不存在直接連接。因此，即使cisco防

27、火墻發(fā)生了問題，外部網絡也無法與被保護的網絡連接。中間結點通常為雙宿主機。代理服務可提供詳細的日志記錄(log)及審計(audit)功能， 這大大提高了網絡的安全性，也為改進現有軟件的安全性能提供了可能性。代理服務器可運行在雙宿主機上，它是基于特定應用程序的。為了通過代理支持一個新的協議，必須修改代理以適應新協議。在一個稱為SOCKS的免費程序庫中包括了與許多標準系統調用基本兼容的代理版本，如SOCKS()、BIND()、CONNECT()等。在URL統一資源定位地址/pub/security/sock.cstc中可以得到該程序.代理服務通常由兩個部分構成： 代理服務器程序和客戶程序。相當多的

28、代理服務器要求使用固定的客戶程序。例如SOCKS要求適應SICKS的客戶程序。如果網絡管理員不能改變所有的代理服務器和客戶程序， 系統就不能正常工作。代理使網絡管理員有了更大的能力改善網絡的安全特性。然而，它也給軟件開發(fā)者、網絡系統員和最終用戶帶來了很大的不便，這就是使用代理的代價。也有一些標準的客戶程序可以利用代理服務器通過cisco防火墻運行，如mail、FTP和telnet等。即便如此，最終用戶也許還需要學習特定的步驟通過cisco防火墻進行通信。透明性對基于代理服務企的cisco防火墻顯然是一個大問題。即使是那些聲稱是透明性cisco防火墻的代理也期望應用程序使用特定的TCP或UDP端

29、口。假如一個節(jié)點在非標準端口上運行一個標準應用程序， 代理將不支持這個應用程序。許多cisco防火墻允許系統管理員運行兩個代理拷貝， 一個在標準端口運行，另一個在非標準端口運行，常用服務的最大數目取決于不同的cisco防火墻產品?；诖矸盏腸isco防火墻廠商正在開始解決這個問題?；诖淼漠a品開始改進成能夠設置常用服務和非標準端口。然而，只要應用程序需要升級，基于代理的用戶會發(fā)現他們必須發(fā)展新的代理。一個明顯的例子是許多的Web瀏覽器中加入了大量的安全措施。cisco防火墻的購買者應留心詢問cisco防火墻廠商他們的產品到底能處理哪些應用程序。另外, 基于代理服務器的cisco防火墻常常

30、會使網絡性能明顯下降。相當多的cisco防火墻不能處理高負載的網絡通信。應用層網關 應用層網關可以處理存儲轉發(fā)通信業(yè)務，也可以處理交互式通信業(yè)務。通過適當的程序設計，應用層網關可以理解在用戶應用層(OSI模型第七層)的通信業(yè)務。這樣便可以在用戶層或應用層提供訪問控制，并且可以用來對各種應用程序的使用情況維持一個智能性的日志文件。能夠記錄和控制所有進出通信業(yè)務，是采用應用層網關的主要優(yōu)點。在需要時，在網關本身中還可以增加額外的安全措施。對于所中轉的每種應用，應用層網關需要使用專用的程序代碼。由于有這種專用的程序代碼，應用層網關可以提供高可靠性的安全機制。每當一個新的需保護的應用加入網絡中時，必須

31、為其編制專門的程序代碼。正是如此，許多應用層網關只能提供有限的應用和服務功能.為了使用應用層網關，用戶或者在應用層網關上登錄請求，或者在本地機器上使用一個為該服務特別編制的程序代碼。每個針對特定應用的網關模塊都有自己的一套管理工具和命令語言.采用應用層網關的一個缺陷是必須為每一項應用編制專用程序。但從安全角度上看，這也是一個優(yōu)點，因為除非明確地提供了應用層網關，就不可能通過cisco防火墻。這也是在實踐“未被明確允許的就將被禁止”的原則。專用應用程序的作用是作為“代理”接收進入的請求，并按照一個訪問規(guī)則檢查表進行核查，檢查表中給出所允許的請求類型。在這種情況下，這個代理程序被稱為一個應用層服務

32、程序代理。當收到一個請求并證實該請求是允許的之后，代理程序將把該請求轉發(fā)給所要求的服務程序。因此，代理程序擔當著客戶機和服務器的雙重角色。它作為服務器接收外來請求，而在轉發(fā)請求時它又擔當客戶機。一旦會話已經建立起來，應用代理程序便作為中轉站在起動該應用的客戶機和服務器之間轉抄數據。因為在客戶機和服務器之間傳遞的所有數據均由應用層代理程序轉發(fā)，因此它完全控制著會話過程，并可按照需要進行詳細的記錄。在許多應用層網關中，代理程序是由一個單一的應用層模塊實現的。為了連接到一個應用層代理程序，許多應用層網關要求用戶在內部網絡的主機上運行一個專用的客戶方應用程序。另一種方法是使用TELNET命令并給出 可

33、提供代理的應用服務的端口號。例如：如果應用代理程序運行在主機上，其端口號為63，則可以使用下列命令：telnet 63在連接到代理服務所在的端口之后，你將會看到標識該應用代理的特定的提示符。這時，需要執(zhí)行專門配制命令來指定目的服務器。不管采用的是哪種途徑，用戶與標準服務之間的接口將會被改變。如果使用的是一個專用的客戶程序，則必須對該程序進行修改，使它總是連向代理程序所在的主機(即代理機)上，并告訴代理機你所要連接的目的地址。此后，代理機將與最終的目標地址相連并傳遞數據。一些代理服務程序模擬標準應用服務的工作方式，當用戶指定一個在不同網絡中的連接目標時，代理應用程序就將被調用.對于某一應用代理程

34、序，如果需使用專用的客戶機程序時，那么就必須在所有的要使用INTERNET的內部網絡主機上安裝一該專用客戶程序。當網絡的規(guī)模較大時，這將是一件困難的工作。如果你的一些用戶在使用DOS/WINDOWS或MACINTOSH客戶機，則通常沒有與這種客戶機應用程序相對應的代理程序。這時，如果你沒有相應客戶機應用程序的源碼（通常為在PC或MAC機上用的），你將無法修改這些程序。如果代理程序客戶機只能使用某一個應用層網關服務器，則當這個服務器關閉時，這個系統就很容易發(fā)生單點失效。如果一個客戶端代理可以由管理員指定連向另一個應用層網關，就可以避免單點失效錯誤.由于在配置代理程序的客戶機方面存在的諸多問題，一

35、些站點傾向于使用分組過濾技術來處理象FTP或TELNET等可由適當的過濾規(guī)則來保證安全的應用；而使用代理程序客戶機方式處理比較復雜的應用，如DNS、SMTP、NFS、HTTP和GOPHER等。當需要通過專用客戶機應用程序與代理服務器通信時，象CONNECT()這樣的一些標準系統調用必須被替換為相應的代理版本。這時，你必須將客戶機應用程序和這些代理版本的系統調用一起進行編譯和鏈接.代理服務程序應該設計為在未使用適當修改了的客戶機程序的情況下能夠提供“失效安全”(fail safe) 的運行模式。例如：當一個標準的客戶機應用程序被用來與代理服務器相連，那么這種通信應該被禁止，并且不能對cisco防

36、火墻或篩選路由器引起不希望的或不可預料的行為。另一種類型的應用層網關被稱為“線路網關”(circuit gateway)。在線路層網關中，分組的地址是一個應用層的用戶進程。線路網關用于在兩個通信端點之間中轉分組。線路網關只是在兩個端點之間復制字節(jié)。線路網關是建立應用層cisco防火墻的一種更靈活、更通用的途徑。線路網關中可能包括支持某些特定TCP/IP應用的程序代碼，但這通常是有限的。如果它能支持某些應用，則這些應用通常是一些TCP/IP的應用。在線路-線路網關(circuit-circuit gateway)中，可能需要安裝專門的客戶機軟件，而用戶可能需要與改變了的用戶界面打交道，或者改變他

37、們的工作習慣。在每一臺內部主機上安裝和配置專門的應用程序將是一件費時的工作，而對大型異構網絡來說很容易出錯，因為硬件平臺和操作系統不同。由于每個報文分組都將由在應用層運行的軟件進行處理，主機的性能將會受到影響。每個分組都將被所有的通信層次處理兩遍，并需要在用戶層上進行處理以及轉換工作環(huán)境。應用層網關(不論是堡壘主機還是雙宿主機)都暴露在網絡面前，因此可能需要采用其它手段來保護應用層網關主機，例如分組過濾技術。堡壘主機 (Bastion Host)及其應用。 堡壘主機指的是任何對網絡安全至關重要的cisco防火墻主機。堡壘主機是一個組織機構網絡安全的中心主機。因為堡壘主機對網絡安全至關重要，對它

38、必須進行完善的防御。這就是說，堡壘主機是由網絡管理員嚴密監(jiān)視的。堡壘主機軟件和系統的安全情況應該定期地進行審查。對訪問記錄應進行查看，以發(fā)現潛在的安全漏洞和對堡壘主機的試探性攻擊。雙宿主機是堡壘主機的一個實例，因為它們對網絡的安全至關重要。為了達到更高程度的安全性要求，有的廠商把基于分組過濾技術的方法和基于代理服務的方法結合起來，形成了新型的cisco防火墻產品。這種結合通常是以下面兩種方案之一實現的：有屏蔽主機(Screened Host)或有屏蔽子網(Screened Subnet)。在第一種方案中，一個分組過濾路由器與Internet相連，同時，一個堡壘主機安裝在內部網絡上。通常，在路由

39、器上設立過濾規(guī)則，使這個堡壘主機成為Internet上其他節(jié)點所能達到的唯一節(jié)點。這確保了內部網絡不受未被授權的外部用戶的攻擊。有屏蔽子網的方法是建立一個被隔離的子網，位于Internet和內部網絡之間，用兩臺分組過濾路由器將這一子網分別與Internet和內部網絡分開。在許多有屏蔽子網的實現中，兩個分組過濾路由器放在子網的兩端，在子網內構成一個禁止穿行區(qū)。即Internet和內部網絡均可訪問有屏蔽子網，但禁止它們穿過有屏蔽子網進行通信。象WWW和FTP這樣的Internet服務器一般就放在這種禁止穿行區(qū)中。堡壘主機的最簡單的設置方法因為堡壘主機是與外部不可信賴網絡的接口點，它們常常容易受到攻

40、擊。堡壘主機最簡單的設置，是作為外部網絡通信業(yè)務的第一個也是唯一的一個入口點。有屏蔽主機網關因為堡壘主機對內部網絡的安全是至關重要的，人們常常在外部不可信賴網絡和內部網絡之間增加另外一條防線。第一條防線通常由篩選路由器充當。圖9說明了以篩選路由器作為第一條防線的堡壘主機的一種應用方法。在這個例子中，只配置了堡壘主機的網絡接口，該接口與內部網絡相連。篩選路由器的一個端口與內部網絡相連，另一個端口與INTERNET相連。這種配置方式被稱為有屏蔽主機網關.對篩選路由器必須做如下配置，它應將從外部網絡收到的目的地為內部網絡的所有通信業(yè)務首先送到堡壘主機。在將信息轉發(fā)到堡壘主機之前，篩選路由器對收到的分組運行自己的過濾規(guī)則。只有通過了過濾規(guī)則的網絡信息才被送到堡壘主機，所有其它網絡信息將被拒絕進入。這種體系結構給予網絡安全更高的信心，進攻者必須首先穿過篩選路由器，如果設法穿過了篩選路由器，還必須對付堡壘主機.堡壘主機使用應用層功能來確定允許或拒絕來自或發(fā)向外部網絡的請求。如該請求通過了堡壘主機的嚴格審查，它將被作為進來的信息轉發(fā)到內部網絡上。對于通向外