網(wǎng)絡(luò)管理與安全技術(shù)課件_第1頁
網(wǎng)絡(luò)管理與安全技術(shù)課件_第2頁
網(wǎng)絡(luò)管理與安全技術(shù)課件_第3頁
網(wǎng)絡(luò)管理與安全技術(shù)課件_第4頁
網(wǎng)絡(luò)管理與安全技術(shù)課件_第5頁
已閱讀5頁,還剩99頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

網(wǎng)絡(luò)管理與安全技術(shù)網(wǎng)絡(luò)管理與安全技術(shù)1第7章防火墻防火墻作為網(wǎng)絡(luò)安全的一種防護(hù)手段得到了廣泛的應(yīng)用,已成為各企業(yè)網(wǎng)絡(luò)中實(shí)施安全保護(hù)的核心,安全管理員可以通過其選擇性地拒絕進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流量,增強(qiáng)了對網(wǎng)絡(luò)的保護(hù)作用。第7章防火墻防火墻作為網(wǎng)絡(luò)安全的一種防護(hù)手2防火墻是位于兩個信任程度不同的網(wǎng)絡(luò)之間的軟件或硬件設(shè)備的組合,它對兩個網(wǎng)絡(luò)之間的通信進(jìn)行控制,通過強(qiáng)制實(shí)施統(tǒng)一的安全策略,防止對重要信息資源的非法存取和訪問,以達(dá)到保護(hù)系統(tǒng)安全的目的。

防火墻通常是運(yùn)行在一臺單獨(dú)計(jì)算機(jī)之上的一個特別的服務(wù)軟件,用來保護(hù)由許多臺計(jì)算機(jī)組成的內(nèi)部網(wǎng)絡(luò),可以識別并屏蔽非法請求,有效防止跨越權(quán)限的數(shù)據(jù)訪問。防火墻可以是非常簡單的過濾器,也可能是精心配置的網(wǎng)關(guān)。但都可用于監(jiān)測并過濾所有內(nèi)部網(wǎng)和外部網(wǎng)之間的信息交換。防火墻保護(hù)著內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)不被竊取和破壞,并記錄內(nèi)外通信的有關(guān)狀態(tài)信息日志,如通信發(fā)生的時間和進(jìn)行的操作等等。新一代的防火墻甚至可以阻止內(nèi)部人員將敏感數(shù)據(jù)向外傳輸,并對網(wǎng)絡(luò)數(shù)據(jù)的流動實(shí)現(xiàn)有效地管理。7.1防火墻基本概念防火墻是位于兩個信任程度不同的網(wǎng)絡(luò)之間的軟件或硬件設(shè)備的組3防火墻示意圖防火墻示意圖4UF3500/3100防火墻應(yīng)用

三端口NAT模式交換機(jī)路由器集線器防火墻UF3500/3100WWW服務(wù)器Mail服務(wù)器PCPCFTP服務(wù)器UF3500/3100防火墻應(yīng)用

57.1.1防火墻技術(shù)發(fā)展?fàn)顩r

自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統(tǒng)后,防火墻技術(shù)得到了飛速的發(fā)展。許多公司推出了功能不同的防火墻系統(tǒng)產(chǎn)品。第一代防火墻,又稱為包過濾防火墻,其主要通過對數(shù)據(jù)包源地址、目的地址、端口號等參數(shù)來決定是否允許該數(shù)據(jù)包通過或進(jìn)行轉(zhuǎn)發(fā),但這種防火墻很難抵御IP地址欺騙等攻擊,而且審計(jì)功能很差。第二代防火墻,也稱代理服務(wù)器,它用來提供網(wǎng)絡(luò)服務(wù)級的控制,起到外部網(wǎng)絡(luò)向被保護(hù)的內(nèi)部網(wǎng)絡(luò)申請服務(wù)時中間轉(zhuǎn)接作用,這種方法可以有效地防止對內(nèi)部網(wǎng)絡(luò)的直接攻擊,安全性較高。第三代防火墻有效地提高了防火墻的安全性,稱為狀態(tài)監(jiān)控功能防火墻,它可以對每一層的數(shù)據(jù)包進(jìn)行檢測和監(jiān)控。7.1.1防火墻技術(shù)發(fā)展?fàn)顩r

自從1986年美國Dig6第四代防火墻:1992年,開發(fā)出了基于動態(tài)包過濾技術(shù)的第四代防火墻。第五代防火墻:1998年,NAI公司推出了一種自適應(yīng)代理技術(shù),可以稱之為第五代防火墻。7.1.1防火墻技術(shù)發(fā)展?fàn)顩r

第四代防火墻:1992年,開發(fā)出了基于動態(tài)包過濾技術(shù)的第四代77.1.2防火墻的任務(wù)

防火墻應(yīng)能夠確保滿足以下四個目標(biāo):1.實(shí)現(xiàn)安全策略防火墻的主要目的是強(qiáng)制執(zhí)行人們所設(shè)計(jì)的安全策略。比如,安全策略中只需對E-mail服務(wù)器的SMTP流量作些限制,那么就要在防火墻中直接設(shè)置并執(zhí)行這一策略。防火墻一般實(shí)施兩個基本設(shè)計(jì)策略之一:n

凡是沒有明確表示允許的就要被禁止;n

凡是沒有明確表示禁止的就要被允許。7.1.2防火墻的任務(wù)防火墻應(yīng)能夠確保滿足以下四個目標(biāo)82.創(chuàng)建檢查點(diǎn)

防火墻在內(nèi)部網(wǎng)絡(luò)和公網(wǎng)間建立一個檢查點(diǎn)。通過檢查點(diǎn)防火墻設(shè)備可以監(jiān)視、過濾和檢查所有進(jìn)來和出去的流量。網(wǎng)絡(luò)管理員可以在檢查點(diǎn)上集中實(shí)現(xiàn)安全目的。7.1.2防火墻的任務(wù)2.創(chuàng)建檢查點(diǎn)7.1.2防火墻的任務(wù)97.1.2防火墻的任務(wù)

九運(yùn)會信息網(wǎng)絡(luò)系統(tǒng)已經(jīng)受并成功地抵御了87萬多次網(wǎng)絡(luò)攻擊7.1.2防火墻的任務(wù)

10

3.記錄Internet活動防火墻可以進(jìn)行日志記錄,并且提供警報功能。通過在防火墻上實(shí)現(xiàn)日志服務(wù),安全管理員可以監(jiān)視所有從外部網(wǎng)或互聯(lián)網(wǎng)的訪問。好的日志策略是實(shí)現(xiàn)網(wǎng)絡(luò)安全的有效工具之一。防火墻對于管理員進(jìn)行日志存檔提供了更多的信息。3.記錄Internet活動117.1.2防火墻的任務(wù)保護(hù)內(nèi)部網(wǎng)絡(luò)對于公網(wǎng)防火墻隱藏了內(nèi)部系統(tǒng)的一些信息以增加其保密性。當(dāng)遠(yuǎn)程節(jié)點(diǎn)探測內(nèi)部網(wǎng)絡(luò)時,其僅僅能看到防火墻。遠(yuǎn)程節(jié)點(diǎn)不會知道內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和資源。防火墻以提高認(rèn)證功能和對網(wǎng)絡(luò)加密來限制網(wǎng)絡(luò)信息的暴露,并通過對所有輸入的流量時行檢查,以限制從外部發(fā)動的攻擊。7.1.2防火墻的任務(wù)保護(hù)內(nèi)部網(wǎng)絡(luò)127.2防火墻技術(shù)目前大多數(shù)防火墻都采用幾種技術(shù)相結(jié)合的形式來保護(hù)網(wǎng)絡(luò)不受惡意的攻擊,其基本技術(shù)通常分為兩類:l

網(wǎng)絡(luò)數(shù)據(jù)單元過濾l

網(wǎng)絡(luò)服務(wù)代理7.2防火墻技術(shù)目前大多數(shù)防火墻都采用幾種技術(shù)相結(jié)合137.2.1數(shù)據(jù)包過濾數(shù)據(jù)包過濾(PacketFiltering)技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行分析、選擇,選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯,稱為訪問控制表(AccessControlTable)。通過檢查數(shù)據(jù)流中每一個數(shù)據(jù)包的源地址、目的地址、所用端口號、協(xié)議狀態(tài)等因素,或它們的組合來確定是否允許該數(shù)據(jù)包通過。7.2.1數(shù)據(jù)包過濾數(shù)據(jù)包過濾(PacketFilte147.2.1數(shù)據(jù)包過濾包過濾技術(shù)工作在OIS七層模型的網(wǎng)絡(luò)層上并有兩個功能,即允許和阻止;如果檢查數(shù)據(jù)包所有的條件都符合規(guī)則,則允許進(jìn)行路由;如果檢查到數(shù)據(jù)包的條件不符合規(guī)則,則阻止通過并將其丟棄。包檢查是對IP頭和傳輸層的頭進(jìn)行過濾,一般要檢查下面幾項(xiàng):7.2.1數(shù)據(jù)包過濾包過濾技術(shù)工作在OIS七層模型的網(wǎng)絡(luò)157.2.1數(shù)據(jù)包過濾l

源IP地址l

目的IP地址l

TCP/UDP源端口l

TCP/UDP目的端口l

協(xié)議類型(TCP包、UDP包、ICMP包)l

TCP報頭中的ACK位l

ICMP消息類型7.2.1數(shù)據(jù)包過濾l

源IP地址167.2.1數(shù)據(jù)包過濾例如:若想禁止從Internet的遠(yuǎn)程登錄到內(nèi)部網(wǎng)設(shè)備中,則需要建立一條包過濾規(guī)則。因?yàn)門elnet服務(wù)是使用TCP協(xié)議的23端口,則禁止Telnet的包過濾規(guī)則為:規(guī)則號功能 源IP地址 目標(biāo)IP地址 源端口目標(biāo)端口 協(xié)議1 Discard * * 23 * TCP2 Discard * * * 23TCP

上表列出的信息是路由器丟棄所有從TCP23端口出去和進(jìn)來的數(shù)據(jù)包。其它所有的數(shù)據(jù)包都允許通過。7.2.1數(shù)據(jù)包過濾例如:若想禁止從Internet的遠(yuǎn)17例如:FTP使用TCP的20和21端口。如果包過濾要禁止所有的數(shù)據(jù)包只允許特殊的數(shù)據(jù)包通過。

規(guī)則號

功能

源IP地址目標(biāo)IP地址源端口目標(biāo)端口協(xié)議1Allow ***TCP2Allow * 20 * TCP第一條是允許地址為的網(wǎng)段內(nèi)而其源端口和目的端口為任意的主機(jī)進(jìn)行TCP的會話。第二條是允許端口為20的任何遠(yuǎn)程IP地址都可以連接到的任意端口上。第二條規(guī)則不能限制目標(biāo)端口是因?yàn)橹鲃拥腇TP客戶端是不使用20端口的。當(dāng)一個主動的FTP客戶端發(fā)起一個FTP會話時,客戶端是使用動態(tài)分配的端口號。而遠(yuǎn)程的FTP服務(wù)器只檢查這個網(wǎng)絡(luò)內(nèi)端口為20的設(shè)備。有經(jīng)驗(yàn)的黑客可以利用這些規(guī)則非法訪問內(nèi)部網(wǎng)絡(luò)中的任何資源。所以要對FTP包過濾的規(guī)則加以相應(yīng)修改例如:FTP使用TCP的20和21端口。如果包過濾要禁止所有187.2.1數(shù)據(jù)包過濾規(guī)則號功能源IP地址目標(biāo)IP地址源端口目標(biāo)端口

協(xié)議1 Allow * * 21 TCP2 Block * 20 <1024TCP3Allow * 20 * TCP ACK=1第一條是允許網(wǎng)絡(luò)地址為內(nèi)的任何主機(jī)與目標(biāo)地址為任意且端口為21建立TCP的會話連接。第二條是阻止任何源端口為20的遠(yuǎn)程IP地址訪問內(nèi)部網(wǎng)絡(luò)地址為且端口小于1024的任意主機(jī)。第三條規(guī)則是允許源端口為20的任意遠(yuǎn)程主機(jī)可以訪問網(wǎng)絡(luò)內(nèi)主機(jī)任意端口。這些規(guī)則的應(yīng)用是按照順序執(zhí)行的。第三條看上去好像是矛盾的。如果任何包違反第二條規(guī)則,它會被立刻丟棄掉,第三條規(guī)則不會執(zhí)行。但第三條規(guī)則仍然需要是因?yàn)榘^濾對所有進(jìn)來和出去的流量進(jìn)行過濾直到遇到特定的允許規(guī)則。7.2.1數(shù)據(jù)包過濾規(guī)則號功能源IP地址目197.2.1數(shù)據(jù)包過濾包過濾防火墻的優(yōu)點(diǎn)速度快、邏輯簡單、成本低、易于安裝和使用,網(wǎng)絡(luò)性能和透明度好。它通常安裝在路由器上,因內(nèi)部網(wǎng)絡(luò)與Internet連接必須通過路由器,所以在原有網(wǎng)絡(luò)上增加這類防火墻,幾乎不需要任何額外的費(fèi)用。包過濾防火墻的缺點(diǎn)不能對數(shù)據(jù)內(nèi)容進(jìn)行控制,缺乏用戶級的授權(quán);非法訪問一旦突破防火墻,即可對主機(jī)上的系統(tǒng)和配置進(jìn)行攻擊。數(shù)據(jù)包的源地址、目的地址以及IP端口號都在數(shù)據(jù)包的頭部,很有可能被冒充或竊取。7.2.1數(shù)據(jù)包過濾包過濾防火墻的優(yōu)點(diǎn)207.2.2應(yīng)用級網(wǎng)關(guān)應(yīng)用層網(wǎng)關(guān)技術(shù)是在網(wǎng)絡(luò)的應(yīng)用層上實(shí)現(xiàn)協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯,并在過濾的同時,對數(shù)據(jù)包進(jìn)行必要的分析、記錄和統(tǒng)計(jì),形成報告。實(shí)際的應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上7.2.2應(yīng)用級網(wǎng)關(guān)應(yīng)用層網(wǎng)關(guān)技術(shù)是在網(wǎng)絡(luò)的應(yīng)用層上217.2.2應(yīng)用級網(wǎng)關(guān)應(yīng)用級網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議,進(jìn)行復(fù)雜一些的訪問控制。但每一種協(xié)議需要相應(yīng)的代理軟件,使用時工作量大,效率不如網(wǎng)絡(luò)級防火墻。常用的應(yīng)用級防火墻有相應(yīng)的代理服務(wù)器,應(yīng)用級網(wǎng)關(guān)有較好的訪問控制,但實(shí)現(xiàn)困難,而且有的應(yīng)用級網(wǎng)關(guān)缺乏“透明度”7.2.2應(yīng)用級網(wǎng)關(guān)應(yīng)用級網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議,227.2.2應(yīng)用級網(wǎng)關(guān)應(yīng)用層網(wǎng)關(guān)防火墻和數(shù)據(jù)包過濾有一個共同的特點(diǎn),就是它們僅僅依靠特定的邏輯來判斷是否允許數(shù)據(jù)包通過。一旦符合條件,防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)便可以建立直接聯(lián)系,外部的用戶便有可能直接了解到防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài),這大大增加了非法訪問和攻擊的機(jī)會。7.2.2應(yīng)用級網(wǎng)關(guān)應(yīng)用層網(wǎng)關(guān)防火墻和數(shù)據(jù)包過濾有一個237.2.3代理服務(wù)應(yīng)用代理服務(wù)技術(shù)能夠?qū)⑺锌缭椒阑饓Φ木W(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的連接是由兩個代理服務(wù)器之間的連接來實(shí)現(xiàn),外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器,從而起到隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。另外,代理服務(wù)器也對過往的數(shù)據(jù)包進(jìn)行分析、記錄、形成報告,當(dāng)發(fā)現(xiàn)攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警告,并保留攻擊痕跡。7.2.3代理服務(wù)應(yīng)用代理服務(wù)技術(shù)能夠?qū)⑺锌缭椒阑?47.2.3代理服務(wù)應(yīng)用代理服務(wù)器對客戶端的請求行使“代理”職責(zé)。客戶端連接到防火墻并發(fā)出請求,然后防火墻連接到服務(wù)器,并代表這個客戶端重復(fù)這個請求。返回時數(shù)據(jù)發(fā)送到代理服務(wù)器,然后再傳送給用戶,從而確保內(nèi)部IP地址和口令不在Internet上出現(xiàn)。7.2.3代理服務(wù)應(yīng)用代理服務(wù)器對客戶端的請求行使“257.2.3代理服務(wù)代理技術(shù)與包過濾技術(shù)完全不同,包過濾技術(shù)是在網(wǎng)絡(luò)層攔截所有的信息流,代理技術(shù)是針對每一個特定應(yīng)用都有一個程序。根據(jù)其處理協(xié)議的不同,可分為FTP網(wǎng)關(guān)型、WWW網(wǎng)關(guān)型、Telnet網(wǎng)關(guān)型等防火墻,其優(yōu)點(diǎn)在于既能進(jìn)行安全控制,又可加速訪問,但實(shí)現(xiàn)起來比較困難,對于每一種服務(wù)協(xié)議必須設(shè)計(jì)一個代理軟件模式,以進(jìn)行安全控制。7.2.3代理服務(wù)代理技術(shù)與包過濾技術(shù)完全不同,包過濾267.2.3代理服務(wù)應(yīng)用層代理主要的優(yōu)點(diǎn):支持用戶認(rèn)證并提供詳細(xì)的注冊信息;過濾規(guī)則相對于包過濾路由器更容易配置和測試;

可提供詳細(xì)的日志和安全審計(jì)功能;可以隱藏內(nèi)部網(wǎng)的IP地址以保護(hù)內(nèi)部主機(jī)不受外部主機(jī)的進(jìn)攻;內(nèi)部網(wǎng)中的所有主機(jī)通過代理可以訪問Internet。應(yīng)用層代理也有明顯的缺點(diǎn):應(yīng)用層實(shí)現(xiàn)的防火墻會造成執(zhí)行速度慢,其性能明顯下降;每個應(yīng)用程序都必須有一個代理服務(wù)程序來進(jìn)行安全控制,并隨應(yīng)用升級面升級。其適應(yīng)性和連接性都是有限的。7.2.3代理服務(wù)應(yīng)用層代理主要的優(yōu)點(diǎn):277.2.4狀態(tài)檢測狀態(tài)檢測是對包過濾功能的擴(kuò)展。傳統(tǒng)的包過濾在用動態(tài)端口的協(xié)議時,事先無法知道哪些端口需要打開,就會將所有可能用到的端口打開,而這會給安全帶來不必要的隱患。狀態(tài)檢測將通過檢查應(yīng)用程序信息來判斷此端口是否需要臨時打開,并當(dāng)傳輸結(jié)束時,端口馬上恢復(fù)為關(guān)閉狀態(tài)。7.2.4狀態(tài)檢測狀態(tài)檢測是對包過濾功能的擴(kuò)展。287.2.4狀態(tài)檢測狀態(tài)檢測防火墻克服了包過濾防火墻和應(yīng)用代理服務(wù)器的局限性,不要求每個被訪問的應(yīng)用都有代理。狀態(tài)檢測模塊能夠理解并學(xué)習(xí)各種協(xié)議和應(yīng)用,以支持各種最新的應(yīng)用服務(wù)。狀態(tài)檢測模塊截獲、分析并處理所有試圖通過防火墻的數(shù)據(jù)包,保證網(wǎng)絡(luò)的高度安全和數(shù)據(jù)完整。網(wǎng)絡(luò)和各種應(yīng)用的通信狀態(tài)動態(tài)存儲、更新到動態(tài)狀態(tài)表中,結(jié)合預(yù)定義好的規(guī)則,實(shí)現(xiàn)安全策略。狀態(tài)檢測是檢查OSI七層模型的所有層,以決定是否過濾,而不僅僅是對網(wǎng)絡(luò)層檢測。7.2.4狀態(tài)檢測狀態(tài)檢測防火墻克服了包過濾防火墻和應(yīng)用297.3防火墻體系結(jié)構(gòu)及其應(yīng)用防火墻體系結(jié)構(gòu)通常分為四類:l

屏蔽路由器(ScreeningRouter)l

屏蔽主機(jī)網(wǎng)關(guān)(ScreenedHostGateway)l

雙穴主機(jī)網(wǎng)關(guān)(Dual-HomedGateway)l

屏蔽子網(wǎng)(ScreenedSubnet)7.3防火墻體系結(jié)構(gòu)及其應(yīng)用防火墻體系結(jié)構(gòu)通常分為四307.3.1屏蔽路由器

屏蔽路由器就是實(shí)施過濾的路由器包過濾路由器在網(wǎng)絡(luò)之間完成數(shù)據(jù)包轉(zhuǎn)發(fā)的普通路由功能,并利用包過濾規(guī)則來允許或拒絕數(shù)據(jù)包。通常過濾規(guī)則定義為:內(nèi)部網(wǎng)絡(luò)上的主機(jī)可以直接訪問Internet,Internet上的主機(jī)對內(nèi)部網(wǎng)絡(luò)上的主機(jī)進(jìn)行訪問是有限制的,即沒有特別允許的數(shù)據(jù)包都拒絕。7.3.1屏蔽路由器屏蔽路由器就是實(shí)施過濾的路由器317.3.1屏蔽路由器

INTERNET包過濾路由器內(nèi)部網(wǎng)絡(luò)屏蔽路由器7.3.1屏蔽路由器INTERNET包過濾路由器內(nèi)部網(wǎng)絡(luò)327.3.1屏蔽路由器

優(yōu)點(diǎn)是價格低且易于使用,缺點(diǎn)需要掌握TCP/IP知識才能創(chuàng)建相應(yīng)的過濾規(guī)則,若有配置錯誤將會導(dǎo)致不期望的流量通過或拒絕一些應(yīng)接受的流量。包過濾路由器不隱藏內(nèi)部網(wǎng)絡(luò)的配置,任何允許訪問屏蔽路由器的用戶都可看到網(wǎng)絡(luò)的布局和結(jié)構(gòu)。其監(jiān)視和日志功能較弱,通常也沒有警報的功能。這就意味著網(wǎng)絡(luò)管理員要不斷地檢查網(wǎng)絡(luò)以確定其是否受到攻擊。防火墻一旦被攻陷后很難發(fā)現(xiàn)攻擊者。7.3.1屏蔽路由器優(yōu)點(diǎn)是價格低且易于使用,337.3.2屏蔽主機(jī)網(wǎng)關(guān)防火墻系統(tǒng)采用了包過濾路由器和堡壘主機(jī)組成的防火墻。提供的安全等級比包過濾防火墻要高,其實(shí)現(xiàn)了網(wǎng)絡(luò)層安全(包過濾)和應(yīng)用層安全(代理服務(wù))。堡壘主機(jī)可以通過網(wǎng)絡(luò)地址解析來隱藏內(nèi)部網(wǎng)絡(luò)的配置信息。INTERNET包過濾路由器內(nèi)部網(wǎng)絡(luò)屏蔽主機(jī)防火墻信息服務(wù)器堡壘主機(jī)7.3.2屏蔽主機(jī)網(wǎng)關(guān)防火墻系統(tǒng)采用了包過濾路由器和堡347.3.2屏蔽主機(jī)網(wǎng)關(guān)屏蔽主機(jī)防火墻是針對所有進(jìn)出的信息都要經(jīng)過堡壘主機(jī)而設(shè)計(jì)的。堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上,而包過濾路由器則放置在內(nèi)部網(wǎng)絡(luò)和Internet之間。在路由器上進(jìn)行過濾規(guī)則配置,使得外部系統(tǒng)只能訪問堡壘主機(jī),內(nèi)部系統(tǒng)的其他主機(jī)的信息全部被阻塞。確保了內(nèi)部網(wǎng)絡(luò)不受外部攻擊。由于內(nèi)部主機(jī)與堡壘主機(jī)處于同一網(wǎng)絡(luò),安全策略之一就是決定是否允許內(nèi)部系統(tǒng)直接訪問Internet或使用堡壘主機(jī)上的代理服務(wù)來訪問Internet。若要強(qiáng)制內(nèi)部用戶使用代理服務(wù),則可在路由器配置過濾規(guī)則時,讓Internet只接受來自堡壘主機(jī)的內(nèi)部數(shù)據(jù)包。7.3.2屏蔽主機(jī)網(wǎng)關(guān)屏蔽主機(jī)防火墻是針對所有進(jìn)出的信息357.3.2屏蔽主機(jī)網(wǎng)關(guān)該防火墻系統(tǒng)的優(yōu)點(diǎn)內(nèi)網(wǎng)的變化不影響堡壘主機(jī)和屏蔽路由器的配置??蓪⑻峁┕_的信息服務(wù)的服務(wù)器放置在由包過濾路由器和堡壘主機(jī)共用的網(wǎng)段上。如果要求有特別高的安全特性,可讓堡壘主機(jī)運(yùn)行代理服務(wù),使得內(nèi)部和外部用戶在與信息服務(wù)器通信之前,必須先通過堡壘主機(jī)。如果安全等級較低,則可將路由器配置成讓外部用戶直接訪問公共的信息服務(wù)器。7.3.2屏蔽主機(jī)網(wǎng)關(guān)該防火墻系統(tǒng)的優(yōu)點(diǎn)367.3.2屏蔽主機(jī)網(wǎng)關(guān)與包過濾比較,這種方法的缺點(diǎn)是:增加了成本并降低了性能。因?yàn)楸局鳈C(jī)處理信息時,網(wǎng)絡(luò)經(jīng)常需要更多的時間來對用戶的請求做出響應(yīng)。使用戶訪問Internet變得較慢。如果堡壘主機(jī)服務(wù)器作為應(yīng)用級網(wǎng)關(guān),內(nèi)部客戶端必須被配置成使用應(yīng)用網(wǎng)關(guān)服務(wù)。7.3.2屏蔽主機(jī)網(wǎng)關(guān)與包過濾比較,這種方法的缺點(diǎn)是:377.3.3雙宿主機(jī)網(wǎng)關(guān)用一臺裝有兩塊網(wǎng)卡的堡壘主機(jī)做防火墻,一塊與內(nèi)網(wǎng)相連,一塊與外部網(wǎng)相連。堡壘主機(jī)上運(yùn)行著防火墻軟件,可以轉(zhuǎn)發(fā)應(yīng)用程序,提供服務(wù)等。這種防火墻由于在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間創(chuàng)建了完全的物理隔斷,增加了更有效的安全性。INTERNET包過濾路由器內(nèi)部網(wǎng)絡(luò)雙宿堡壘主機(jī)防火墻信息服務(wù)器堡壘主機(jī)7.3.3雙宿主機(jī)網(wǎng)關(guān)用一臺裝有兩塊網(wǎng)卡的堡壘主機(jī)做防387.3.3雙宿主機(jī)網(wǎng)關(guān)在單宿主堡壘主機(jī)結(jié)構(gòu)上,所有外部的流量直接轉(zhuǎn)發(fā)到堡壘主機(jī)上執(zhí)行。黑客可修改路由器而不把數(shù)據(jù)包轉(zhuǎn)發(fā)給堡壘主機(jī),這樣將會繞過堡壘主機(jī)且直接進(jìn)入到內(nèi)部網(wǎng)絡(luò)中。雙宿堡壘主機(jī)有兩個網(wǎng)絡(luò)接口,但主機(jī)不能在兩個端口之間直接轉(zhuǎn)發(fā)信息。這種物理結(jié)構(gòu)強(qiáng)行讓所有去往內(nèi)部網(wǎng)絡(luò)的信息經(jīng)過堡壘主機(jī)。7.3.3雙宿主機(jī)網(wǎng)關(guān)在單宿主堡壘主機(jī)結(jié)構(gòu)上,所有外部的397.3.3雙宿主機(jī)網(wǎng)關(guān)雙宿主機(jī)網(wǎng)關(guān)優(yōu)于屏蔽路由器的地方是:堡壘主機(jī)的系統(tǒng)軟件可用于維護(hù)系統(tǒng)日志、硬件拷貝日志或遠(yuǎn)程日志。便于日后的檢查之用。由于堡壘主機(jī)是唯一能從Internet上直接訪問的內(nèi)部系統(tǒng),所以有可能受到攻擊的主機(jī)就只有堡壘主機(jī)本身。對于入侵者來說,允許其注冊到堡壘主機(jī),就可容易的破壞堡壘主機(jī)而整個內(nèi)部網(wǎng)絡(luò)受到攻擊的威脅。因此,避免被滲透和不允許非法用戶注冊對堡壘主機(jī)來說是至關(guān)重要的。7.3.3雙宿主機(jī)網(wǎng)關(guān)雙宿主機(jī)網(wǎng)關(guān)優(yōu)于屏蔽路由器的地方是407.3.4屏蔽子網(wǎng)實(shí)施防火墻最常見的方法就是屏蔽子網(wǎng)。在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng),稱之為非軍事區(qū)DMZ。其是用兩臺分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開,網(wǎng)絡(luò)管理員將堡壘主機(jī)、信息服務(wù)器以及其他公用服務(wù)器放在DMZ網(wǎng)絡(luò)中。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問被屏蔽子網(wǎng),但禁止其穿過被屏蔽子網(wǎng)直接通信。屏蔽子網(wǎng)中的堡壘主機(jī)作為唯一可訪問點(diǎn),并作為應(yīng)用網(wǎng)關(guān)代理。INTERNET包過濾路由器內(nèi)部網(wǎng)絡(luò)屏蔽子網(wǎng)防火墻信息服務(wù)器堡壘主機(jī)包過濾路由器7.3.4屏蔽子網(wǎng)實(shí)施防火墻最常見的方法就是屏蔽子網(wǎng)。417.3.4屏蔽子網(wǎng)對于進(jìn)來的信息,外面的路由器用于防范通常的外部攻擊,并管理Internet到DMZ網(wǎng)絡(luò)的訪問。它只允許外部系統(tǒng)訪問堡壘主機(jī)和信息服務(wù)器。里面的路由器提供第二層防御,只接受源于堡壘主機(jī)的數(shù)據(jù)包,負(fù)責(zé)的是管理DMZ到內(nèi)部網(wǎng)絡(luò)的訪問。對于出來的信息,里面的路由器管理內(nèi)部網(wǎng)絡(luò)到DMZ的訪問。它允許內(nèi)部系統(tǒng)只訪問堡壘主機(jī)和信息服務(wù)器。外面的路由器上的過濾規(guī)則要求使用代理服務(wù),即只接受來自堡壘主機(jī)的去往Internet的數(shù)據(jù)包。7.3.4屏蔽子網(wǎng)對于進(jìn)來的信息,外面的路由器用于防范通427.3.4屏蔽子網(wǎng)屏蔽子網(wǎng)防火墻系統(tǒng)有以下幾個優(yōu)點(diǎn):

入侵者必須攻克三個不同的設(shè)備且不被發(fā)現(xiàn)才能侵襲內(nèi)部網(wǎng)絡(luò)。內(nèi)部網(wǎng)絡(luò)對Internet來說是不可見的,因?yàn)樗羞M(jìn)出的數(shù)據(jù)包都會直接送到DMZ。并且只有在DMZ網(wǎng)絡(luò)上選定的系統(tǒng)才對Internet開放。這使黑客想得到內(nèi)部系統(tǒng)的信息幾乎不太可能的。由于內(nèi)部路由器只向內(nèi)部網(wǎng)絡(luò)通告DMZ的存在,內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)不能直接通往Internet,這樣就保證了內(nèi)部網(wǎng)絡(luò)上的用戶必須通過駐留在堡壘主機(jī)上的代理服務(wù)才能訪問Internet。這種配置避免了內(nèi)部用戶繞過內(nèi)網(wǎng)的安全機(jī)制。7.3.4屏蔽子網(wǎng)屏蔽子網(wǎng)防火墻系統(tǒng)有以下幾個優(yōu)點(diǎn):437.3.4屏蔽子網(wǎng)

外部路由器直接將數(shù)據(jù)引向DMZ網(wǎng)絡(luò)上所指定的系統(tǒng),無必要設(shè)置雙宿堡壘主機(jī)。

內(nèi)部路由器作為內(nèi)部網(wǎng)絡(luò)與公網(wǎng)之間的防火墻系統(tǒng)并支持比雙宿堡壘主機(jī)更大的數(shù)據(jù)包吞吐量。在DMZ網(wǎng)絡(luò)上可以安裝NAT于堡壘主機(jī)上,從而避免在內(nèi)部網(wǎng)絡(luò)上重新編址或重新劃分子網(wǎng)。在實(shí)際應(yīng)用中,具體采用哪一種防火墻主要取決于網(wǎng)絡(luò)向用戶提供什么樣的服務(wù)及網(wǎng)絡(luò)所接受的風(fēng)險等級。還要取決于經(jīng)費(fèi)和技術(shù)人員的技術(shù)及時間等因素。7.3.4屏蔽子網(wǎng)

外部路由器直接將數(shù)據(jù)引向DMZ網(wǎng)絡(luò)447.4防火墻的類型

大多數(shù)防火墻都可以實(shí)現(xiàn)上述所討論的功能,在實(shí)際使用中的防火墻以其實(shí)現(xiàn)形式可以分為以下四種類型:l

嵌入式防火墻l

軟件防火墻l

硬件防火墻l

應(yīng)用程序防火墻7.4防火墻的類型大多數(shù)防火墻都可以實(shí)現(xiàn)上述所討論的45

7.4.1嵌入式防火墻

當(dāng)防火墻功能被集成到路由器或者交換機(jī)上時,這種防火墻稱為嵌入式(embedded)防火墻。其通常只對分組信息進(jìn)行IP級的檢查,可獲得較高的性能,易于實(shí)現(xiàn)并有較好的性價比。

7.4.1嵌入式防火墻當(dāng)防火墻功能被集成到路由器或者467.4.2軟件防火墻

軟件防火墻又分有兩種類型:一是企業(yè)級軟件防火墻,其用于大型網(wǎng)絡(luò)上并執(zhí)行路由選擇功能。另一種是SOHO(SmallOfficeHomeOffice)級。軟件防火墻通常會提供全面的防火墻功能.基于服務(wù)器的防火墻實(shí)際上是在操作系統(tǒng)之上運(yùn)行的應(yīng)用程序。其系統(tǒng)平臺有Unix、Linux以及WindowsNT、2000、XP和.NET等。7.4.2軟件防火墻軟件防火墻又分有兩種類型:477.4.3硬件防火墻

因?yàn)橛布酚善饕惨褂密浖詫⒂布阑饓τ址Q為設(shè)備防火墻。其設(shè)計(jì)成一種總體系統(tǒng),不需要復(fù)雜的安裝或配置就可以提供防火墻功能。硬件防火墻與軟件防火墻相似,可以針對企業(yè)應(yīng)用市場來設(shè)計(jì),也可以針對SOHO環(huán)境?;谠O(shè)備的防火墻也為集成解決方案,是指運(yùn)行在專用的硬件和軟件上的防火墻產(chǎn)品。如CiscoPIX防火墻就屬于這種集成設(shè)備,其整個系統(tǒng)不能實(shí)現(xiàn)除防火墻之外的其他任何功能,并且也沒有硬盤或服務(wù)器的其他常規(guī)組件。由于它的集成性和專用性,其速度、穩(wěn)定性和安全性方面都比基于服務(wù)器的防火墻更好。但基于服務(wù)器的防火墻會提供一些額外的配置和支持選項(xiàng),并且價格比集成解決方案要便宜。7.4.3硬件防火墻因?yàn)橛布酚善饕惨褂密浖?,所以?87.4.4應(yīng)用程序防火墻

應(yīng)用程序防火墻經(jīng)常是作為現(xiàn)有硬件或軟件防火墻的組件實(shí)現(xiàn)的。它們的主要目的是提供一種復(fù)雜的內(nèi)容過濾層次,用來對應(yīng)用層傳輸?shù)臄?shù)據(jù)進(jìn)行過濾。隨著防火墻功能的提高,對于數(shù)據(jù)的過濾已經(jīng)越來越多地集中到了應(yīng)用層,應(yīng)用程序防火墻的針對性也越來越強(qiáng)。7.4.4應(yīng)用程序防火墻應(yīng)用程序防火墻經(jīng)常是作為現(xiàn)有硬497.4.5選擇防火墻需要綜合考慮的問題

防火墻管理的難易度一般企業(yè)很少以現(xiàn)有的網(wǎng)絡(luò)設(shè)備直接當(dāng)作防火墻,如包過濾可直接放在路由器上,但其并不能達(dá)到完全的控制。設(shè)定工作困難、須要具備完整的知識。嵌入式防火墻不易排錯,是一般企業(yè)不愿意使用的主要原因。

7.4.5選擇防火墻需要綜合考慮的問題防火墻管理的難易度507.4.5選擇防火墻需要綜合考慮的問題2.防火墻自身的安全性大多數(shù)人在選擇防火墻時都將注意力放在防火墻如何控制連接以及防火墻支持多少種服務(wù),但往往忽略了一點(diǎn),防火墻也是網(wǎng)絡(luò)上的主機(jī)之一,也可能存在安全問題,防火墻如果不能確保自身安全,則防火墻的控制功能再強(qiáng),也終究不能完全保護(hù)內(nèi)部網(wǎng)絡(luò)。在防火墻上除了執(zhí)行防火墻軟件外,所有的程序、系統(tǒng)核心,也大多來自于操作系統(tǒng)本身的原有程序。當(dāng)防火墻所執(zhí)行的軟件出現(xiàn)安全漏洞時,防火墻本身也將受到威脅。此時,任何的防火墻控制機(jī)制都可能失效。當(dāng)黑客取得了防火墻上的控制權(quán)以后,其可為所欲為地修改防火墻上的訪問規(guī)則,進(jìn)而侵入更多的系統(tǒng)。因此防火墻自身應(yīng)有相當(dāng)高的安全保護(hù)。7.4.5選擇防火墻需要綜合考慮的問題2.防火墻自身的安全517.4.5選擇防火墻需要綜合考慮的問題防火墻應(yīng)該是企業(yè)整體網(wǎng)絡(luò)的保護(hù)者,并能彌補(bǔ)其它操作系統(tǒng)的不足,使操作系統(tǒng)的安全性不會對企業(yè)網(wǎng)絡(luò)的整體安全造成影響。防火墻應(yīng)該能夠支持多種平臺。防火墻應(yīng)向使用者提供完整的安全檢查功能,但防火墻并不能有效地杜絕所有的惡意封包,想要達(dá)到真正的安全仍然需要內(nèi)部人員不斷記錄、改進(jìn)、追蹤。防火墻不但應(yīng)該具備包括檢查、認(rèn)證、警告、記錄的功能,并且能夠?yàn)槭褂谜呖赡苡龅降睦Ь?,事先提出解決方案,如IP不足形成的IP轉(zhuǎn)換的問題,信息加密/解密的問題,大企業(yè)要求能夠透過Internet集中管理的問題等,這也是選擇防火墻時必須考慮的問題。沒有一個防火墻的設(shè)計(jì)能夠適用于所有的環(huán)境,所以建議選擇防火墻時,還應(yīng)根據(jù)站點(diǎn)的特點(diǎn)來選擇合適的防火墻。7.4.5選擇防火墻需要綜合考慮的問題防火墻應(yīng)該是企業(yè)整體52網(wǎng)絡(luò)管理與安全技術(shù)網(wǎng)絡(luò)管理與安全技術(shù)53第7章防火墻防火墻作為網(wǎng)絡(luò)安全的一種防護(hù)手段得到了廣泛的應(yīng)用,已成為各企業(yè)網(wǎng)絡(luò)中實(shí)施安全保護(hù)的核心,安全管理員可以通過其選擇性地拒絕進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流量,增強(qiáng)了對網(wǎng)絡(luò)的保護(hù)作用。第7章防火墻防火墻作為網(wǎng)絡(luò)安全的一種防護(hù)手54防火墻是位于兩個信任程度不同的網(wǎng)絡(luò)之間的軟件或硬件設(shè)備的組合,它對兩個網(wǎng)絡(luò)之間的通信進(jìn)行控制,通過強(qiáng)制實(shí)施統(tǒng)一的安全策略,防止對重要信息資源的非法存取和訪問,以達(dá)到保護(hù)系統(tǒng)安全的目的。

防火墻通常是運(yùn)行在一臺單獨(dú)計(jì)算機(jī)之上的一個特別的服務(wù)軟件,用來保護(hù)由許多臺計(jì)算機(jī)組成的內(nèi)部網(wǎng)絡(luò),可以識別并屏蔽非法請求,有效防止跨越權(quán)限的數(shù)據(jù)訪問。防火墻可以是非常簡單的過濾器,也可能是精心配置的網(wǎng)關(guān)。但都可用于監(jiān)測并過濾所有內(nèi)部網(wǎng)和外部網(wǎng)之間的信息交換。防火墻保護(hù)著內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)不被竊取和破壞,并記錄內(nèi)外通信的有關(guān)狀態(tài)信息日志,如通信發(fā)生的時間和進(jìn)行的操作等等。新一代的防火墻甚至可以阻止內(nèi)部人員將敏感數(shù)據(jù)向外傳輸,并對網(wǎng)絡(luò)數(shù)據(jù)的流動實(shí)現(xiàn)有效地管理。7.1防火墻基本概念防火墻是位于兩個信任程度不同的網(wǎng)絡(luò)之間的軟件或硬件設(shè)備的組55防火墻示意圖防火墻示意圖56UF3500/3100防火墻應(yīng)用

三端口NAT模式交換機(jī)路由器集線器防火墻UF3500/3100WWW服務(wù)器Mail服務(wù)器PCPCFTP服務(wù)器UF3500/3100防火墻應(yīng)用

577.1.1防火墻技術(shù)發(fā)展?fàn)顩r

自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統(tǒng)后,防火墻技術(shù)得到了飛速的發(fā)展。許多公司推出了功能不同的防火墻系統(tǒng)產(chǎn)品。第一代防火墻,又稱為包過濾防火墻,其主要通過對數(shù)據(jù)包源地址、目的地址、端口號等參數(shù)來決定是否允許該數(shù)據(jù)包通過或進(jìn)行轉(zhuǎn)發(fā),但這種防火墻很難抵御IP地址欺騙等攻擊,而且審計(jì)功能很差。第二代防火墻,也稱代理服務(wù)器,它用來提供網(wǎng)絡(luò)服務(wù)級的控制,起到外部網(wǎng)絡(luò)向被保護(hù)的內(nèi)部網(wǎng)絡(luò)申請服務(wù)時中間轉(zhuǎn)接作用,這種方法可以有效地防止對內(nèi)部網(wǎng)絡(luò)的直接攻擊,安全性較高。第三代防火墻有效地提高了防火墻的安全性,稱為狀態(tài)監(jiān)控功能防火墻,它可以對每一層的數(shù)據(jù)包進(jìn)行檢測和監(jiān)控。7.1.1防火墻技術(shù)發(fā)展?fàn)顩r

自從1986年美國Dig58第四代防火墻:1992年,開發(fā)出了基于動態(tài)包過濾技術(shù)的第四代防火墻。第五代防火墻:1998年,NAI公司推出了一種自適應(yīng)代理技術(shù),可以稱之為第五代防火墻。7.1.1防火墻技術(shù)發(fā)展?fàn)顩r

第四代防火墻:1992年,開發(fā)出了基于動態(tài)包過濾技術(shù)的第四代597.1.2防火墻的任務(wù)

防火墻應(yīng)能夠確保滿足以下四個目標(biāo):1.實(shí)現(xiàn)安全策略防火墻的主要目的是強(qiáng)制執(zhí)行人們所設(shè)計(jì)的安全策略。比如,安全策略中只需對E-mail服務(wù)器的SMTP流量作些限制,那么就要在防火墻中直接設(shè)置并執(zhí)行這一策略。防火墻一般實(shí)施兩個基本設(shè)計(jì)策略之一:n

凡是沒有明確表示允許的就要被禁止;n

凡是沒有明確表示禁止的就要被允許。7.1.2防火墻的任務(wù)防火墻應(yīng)能夠確保滿足以下四個目標(biāo)602.創(chuàng)建檢查點(diǎn)

防火墻在內(nèi)部網(wǎng)絡(luò)和公網(wǎng)間建立一個檢查點(diǎn)。通過檢查點(diǎn)防火墻設(shè)備可以監(jiān)視、過濾和檢查所有進(jìn)來和出去的流量。網(wǎng)絡(luò)管理員可以在檢查點(diǎn)上集中實(shí)現(xiàn)安全目的。7.1.2防火墻的任務(wù)2.創(chuàng)建檢查點(diǎn)7.1.2防火墻的任務(wù)617.1.2防火墻的任務(wù)

九運(yùn)會信息網(wǎng)絡(luò)系統(tǒng)已經(jīng)受并成功地抵御了87萬多次網(wǎng)絡(luò)攻擊7.1.2防火墻的任務(wù)

62

3.記錄Internet活動防火墻可以進(jìn)行日志記錄,并且提供警報功能。通過在防火墻上實(shí)現(xiàn)日志服務(wù),安全管理員可以監(jiān)視所有從外部網(wǎng)或互聯(lián)網(wǎng)的訪問。好的日志策略是實(shí)現(xiàn)網(wǎng)絡(luò)安全的有效工具之一。防火墻對于管理員進(jìn)行日志存檔提供了更多的信息。3.記錄Internet活動637.1.2防火墻的任務(wù)保護(hù)內(nèi)部網(wǎng)絡(luò)對于公網(wǎng)防火墻隱藏了內(nèi)部系統(tǒng)的一些信息以增加其保密性。當(dāng)遠(yuǎn)程節(jié)點(diǎn)探測內(nèi)部網(wǎng)絡(luò)時,其僅僅能看到防火墻。遠(yuǎn)程節(jié)點(diǎn)不會知道內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和資源。防火墻以提高認(rèn)證功能和對網(wǎng)絡(luò)加密來限制網(wǎng)絡(luò)信息的暴露,并通過對所有輸入的流量時行檢查,以限制從外部發(fā)動的攻擊。7.1.2防火墻的任務(wù)保護(hù)內(nèi)部網(wǎng)絡(luò)647.2防火墻技術(shù)目前大多數(shù)防火墻都采用幾種技術(shù)相結(jié)合的形式來保護(hù)網(wǎng)絡(luò)不受惡意的攻擊,其基本技術(shù)通常分為兩類:l

網(wǎng)絡(luò)數(shù)據(jù)單元過濾l

網(wǎng)絡(luò)服務(wù)代理7.2防火墻技術(shù)目前大多數(shù)防火墻都采用幾種技術(shù)相結(jié)合657.2.1數(shù)據(jù)包過濾數(shù)據(jù)包過濾(PacketFiltering)技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行分析、選擇,選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯,稱為訪問控制表(AccessControlTable)。通過檢查數(shù)據(jù)流中每一個數(shù)據(jù)包的源地址、目的地址、所用端口號、協(xié)議狀態(tài)等因素,或它們的組合來確定是否允許該數(shù)據(jù)包通過。7.2.1數(shù)據(jù)包過濾數(shù)據(jù)包過濾(PacketFilte667.2.1數(shù)據(jù)包過濾包過濾技術(shù)工作在OIS七層模型的網(wǎng)絡(luò)層上并有兩個功能,即允許和阻止;如果檢查數(shù)據(jù)包所有的條件都符合規(guī)則,則允許進(jìn)行路由;如果檢查到數(shù)據(jù)包的條件不符合規(guī)則,則阻止通過并將其丟棄。包檢查是對IP頭和傳輸層的頭進(jìn)行過濾,一般要檢查下面幾項(xiàng):7.2.1數(shù)據(jù)包過濾包過濾技術(shù)工作在OIS七層模型的網(wǎng)絡(luò)677.2.1數(shù)據(jù)包過濾l

源IP地址l

目的IP地址l

TCP/UDP源端口l

TCP/UDP目的端口l

協(xié)議類型(TCP包、UDP包、ICMP包)l

TCP報頭中的ACK位l

ICMP消息類型7.2.1數(shù)據(jù)包過濾l

源IP地址687.2.1數(shù)據(jù)包過濾例如:若想禁止從Internet的遠(yuǎn)程登錄到內(nèi)部網(wǎng)設(shè)備中,則需要建立一條包過濾規(guī)則。因?yàn)門elnet服務(wù)是使用TCP協(xié)議的23端口,則禁止Telnet的包過濾規(guī)則為:規(guī)則號功能 源IP地址 目標(biāo)IP地址 源端口目標(biāo)端口 協(xié)議1 Discard * * 23 * TCP2 Discard * * * 23TCP

上表列出的信息是路由器丟棄所有從TCP23端口出去和進(jìn)來的數(shù)據(jù)包。其它所有的數(shù)據(jù)包都允許通過。7.2.1數(shù)據(jù)包過濾例如:若想禁止從Internet的遠(yuǎn)69例如:FTP使用TCP的20和21端口。如果包過濾要禁止所有的數(shù)據(jù)包只允許特殊的數(shù)據(jù)包通過。

規(guī)則號

功能

源IP地址目標(biāo)IP地址源端口目標(biāo)端口協(xié)議1Allow ***TCP2Allow * 20 * TCP第一條是允許地址為的網(wǎng)段內(nèi)而其源端口和目的端口為任意的主機(jī)進(jìn)行TCP的會話。第二條是允許端口為20的任何遠(yuǎn)程IP地址都可以連接到的任意端口上。第二條規(guī)則不能限制目標(biāo)端口是因?yàn)橹鲃拥腇TP客戶端是不使用20端口的。當(dāng)一個主動的FTP客戶端發(fā)起一個FTP會話時,客戶端是使用動態(tài)分配的端口號。而遠(yuǎn)程的FTP服務(wù)器只檢查這個網(wǎng)絡(luò)內(nèi)端口為20的設(shè)備。有經(jīng)驗(yàn)的黑客可以利用這些規(guī)則非法訪問內(nèi)部網(wǎng)絡(luò)中的任何資源。所以要對FTP包過濾的規(guī)則加以相應(yīng)修改例如:FTP使用TCP的20和21端口。如果包過濾要禁止所有707.2.1數(shù)據(jù)包過濾規(guī)則號功能源IP地址目標(biāo)IP地址源端口目標(biāo)端口

協(xié)議1 Allow * * 21 TCP2 Block * 20 <1024TCP3Allow * 20 * TCP ACK=1第一條是允許網(wǎng)絡(luò)地址為內(nèi)的任何主機(jī)與目標(biāo)地址為任意且端口為21建立TCP的會話連接。第二條是阻止任何源端口為20的遠(yuǎn)程IP地址訪問內(nèi)部網(wǎng)絡(luò)地址為且端口小于1024的任意主機(jī)。第三條規(guī)則是允許源端口為20的任意遠(yuǎn)程主機(jī)可以訪問網(wǎng)絡(luò)內(nèi)主機(jī)任意端口。這些規(guī)則的應(yīng)用是按照順序執(zhí)行的。第三條看上去好像是矛盾的。如果任何包違反第二條規(guī)則,它會被立刻丟棄掉,第三條規(guī)則不會執(zhí)行。但第三條規(guī)則仍然需要是因?yàn)榘^濾對所有進(jìn)來和出去的流量進(jìn)行過濾直到遇到特定的允許規(guī)則。7.2.1數(shù)據(jù)包過濾規(guī)則號功能源IP地址目717.2.1數(shù)據(jù)包過濾包過濾防火墻的優(yōu)點(diǎn)速度快、邏輯簡單、成本低、易于安裝和使用,網(wǎng)絡(luò)性能和透明度好。它通常安裝在路由器上,因內(nèi)部網(wǎng)絡(luò)與Internet連接必須通過路由器,所以在原有網(wǎng)絡(luò)上增加這類防火墻,幾乎不需要任何額外的費(fèi)用。包過濾防火墻的缺點(diǎn)不能對數(shù)據(jù)內(nèi)容進(jìn)行控制,缺乏用戶級的授權(quán);非法訪問一旦突破防火墻,即可對主機(jī)上的系統(tǒng)和配置進(jìn)行攻擊。數(shù)據(jù)包的源地址、目的地址以及IP端口號都在數(shù)據(jù)包的頭部,很有可能被冒充或竊取。7.2.1數(shù)據(jù)包過濾包過濾防火墻的優(yōu)點(diǎn)727.2.2應(yīng)用級網(wǎng)關(guān)應(yīng)用層網(wǎng)關(guān)技術(shù)是在網(wǎng)絡(luò)的應(yīng)用層上實(shí)現(xiàn)協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯,并在過濾的同時,對數(shù)據(jù)包進(jìn)行必要的分析、記錄和統(tǒng)計(jì),形成報告。實(shí)際的應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上7.2.2應(yīng)用級網(wǎng)關(guān)應(yīng)用層網(wǎng)關(guān)技術(shù)是在網(wǎng)絡(luò)的應(yīng)用層上737.2.2應(yīng)用級網(wǎng)關(guān)應(yīng)用級網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議,進(jìn)行復(fù)雜一些的訪問控制。但每一種協(xié)議需要相應(yīng)的代理軟件,使用時工作量大,效率不如網(wǎng)絡(luò)級防火墻。常用的應(yīng)用級防火墻有相應(yīng)的代理服務(wù)器,應(yīng)用級網(wǎng)關(guān)有較好的訪問控制,但實(shí)現(xiàn)困難,而且有的應(yīng)用級網(wǎng)關(guān)缺乏“透明度”7.2.2應(yīng)用級網(wǎng)關(guān)應(yīng)用級網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議,747.2.2應(yīng)用級網(wǎng)關(guān)應(yīng)用層網(wǎng)關(guān)防火墻和數(shù)據(jù)包過濾有一個共同的特點(diǎn),就是它們僅僅依靠特定的邏輯來判斷是否允許數(shù)據(jù)包通過。一旦符合條件,防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)便可以建立直接聯(lián)系,外部的用戶便有可能直接了解到防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài),這大大增加了非法訪問和攻擊的機(jī)會。7.2.2應(yīng)用級網(wǎng)關(guān)應(yīng)用層網(wǎng)關(guān)防火墻和數(shù)據(jù)包過濾有一個757.2.3代理服務(wù)應(yīng)用代理服務(wù)技術(shù)能夠?qū)⑺锌缭椒阑饓Φ木W(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的連接是由兩個代理服務(wù)器之間的連接來實(shí)現(xiàn),外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器,從而起到隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。另外,代理服務(wù)器也對過往的數(shù)據(jù)包進(jìn)行分析、記錄、形成報告,當(dāng)發(fā)現(xiàn)攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警告,并保留攻擊痕跡。7.2.3代理服務(wù)應(yīng)用代理服務(wù)技術(shù)能夠?qū)⑺锌缭椒阑?67.2.3代理服務(wù)應(yīng)用代理服務(wù)器對客戶端的請求行使“代理”職責(zé)??蛻舳诉B接到防火墻并發(fā)出請求,然后防火墻連接到服務(wù)器,并代表這個客戶端重復(fù)這個請求。返回時數(shù)據(jù)發(fā)送到代理服務(wù)器,然后再傳送給用戶,從而確保內(nèi)部IP地址和口令不在Internet上出現(xiàn)。7.2.3代理服務(wù)應(yīng)用代理服務(wù)器對客戶端的請求行使“777.2.3代理服務(wù)代理技術(shù)與包過濾技術(shù)完全不同,包過濾技術(shù)是在網(wǎng)絡(luò)層攔截所有的信息流,代理技術(shù)是針對每一個特定應(yīng)用都有一個程序。根據(jù)其處理協(xié)議的不同,可分為FTP網(wǎng)關(guān)型、WWW網(wǎng)關(guān)型、Telnet網(wǎng)關(guān)型等防火墻,其優(yōu)點(diǎn)在于既能進(jìn)行安全控制,又可加速訪問,但實(shí)現(xiàn)起來比較困難,對于每一種服務(wù)協(xié)議必須設(shè)計(jì)一個代理軟件模式,以進(jìn)行安全控制。7.2.3代理服務(wù)代理技術(shù)與包過濾技術(shù)完全不同,包過濾787.2.3代理服務(wù)應(yīng)用層代理主要的優(yōu)點(diǎn):支持用戶認(rèn)證并提供詳細(xì)的注冊信息;過濾規(guī)則相對于包過濾路由器更容易配置和測試;

可提供詳細(xì)的日志和安全審計(jì)功能;可以隱藏內(nèi)部網(wǎng)的IP地址以保護(hù)內(nèi)部主機(jī)不受外部主機(jī)的進(jìn)攻;內(nèi)部網(wǎng)中的所有主機(jī)通過代理可以訪問Internet。應(yīng)用層代理也有明顯的缺點(diǎn):應(yīng)用層實(shí)現(xiàn)的防火墻會造成執(zhí)行速度慢,其性能明顯下降;每個應(yīng)用程序都必須有一個代理服務(wù)程序來進(jìn)行安全控制,并隨應(yīng)用升級面升級。其適應(yīng)性和連接性都是有限的。7.2.3代理服務(wù)應(yīng)用層代理主要的優(yōu)點(diǎn):797.2.4狀態(tài)檢測狀態(tài)檢測是對包過濾功能的擴(kuò)展。傳統(tǒng)的包過濾在用動態(tài)端口的協(xié)議時,事先無法知道哪些端口需要打開,就會將所有可能用到的端口打開,而這會給安全帶來不必要的隱患。狀態(tài)檢測將通過檢查應(yīng)用程序信息來判斷此端口是否需要臨時打開,并當(dāng)傳輸結(jié)束時,端口馬上恢復(fù)為關(guān)閉狀態(tài)。7.2.4狀態(tài)檢測狀態(tài)檢測是對包過濾功能的擴(kuò)展。807.2.4狀態(tài)檢測狀態(tài)檢測防火墻克服了包過濾防火墻和應(yīng)用代理服務(wù)器的局限性,不要求每個被訪問的應(yīng)用都有代理。狀態(tài)檢測模塊能夠理解并學(xué)習(xí)各種協(xié)議和應(yīng)用,以支持各種最新的應(yīng)用服務(wù)。狀態(tài)檢測模塊截獲、分析并處理所有試圖通過防火墻的數(shù)據(jù)包,保證網(wǎng)絡(luò)的高度安全和數(shù)據(jù)完整。網(wǎng)絡(luò)和各種應(yīng)用的通信狀態(tài)動態(tài)存儲、更新到動態(tài)狀態(tài)表中,結(jié)合預(yù)定義好的規(guī)則,實(shí)現(xiàn)安全策略。狀態(tài)檢測是檢查OSI七層模型的所有層,以決定是否過濾,而不僅僅是對網(wǎng)絡(luò)層檢測。7.2.4狀態(tài)檢測狀態(tài)檢測防火墻克服了包過濾防火墻和應(yīng)用817.3防火墻體系結(jié)構(gòu)及其應(yīng)用防火墻體系結(jié)構(gòu)通常分為四類:l

屏蔽路由器(ScreeningRouter)l

屏蔽主機(jī)網(wǎng)關(guān)(ScreenedHostGateway)l

雙穴主機(jī)網(wǎng)關(guān)(Dual-HomedGateway)l

屏蔽子網(wǎng)(ScreenedSubnet)7.3防火墻體系結(jié)構(gòu)及其應(yīng)用防火墻體系結(jié)構(gòu)通常分為四827.3.1屏蔽路由器

屏蔽路由器就是實(shí)施過濾的路由器包過濾路由器在網(wǎng)絡(luò)之間完成數(shù)據(jù)包轉(zhuǎn)發(fā)的普通路由功能,并利用包過濾規(guī)則來允許或拒絕數(shù)據(jù)包。通常過濾規(guī)則定義為:內(nèi)部網(wǎng)絡(luò)上的主機(jī)可以直接訪問Internet,Internet上的主機(jī)對內(nèi)部網(wǎng)絡(luò)上的主機(jī)進(jìn)行訪問是有限制的,即沒有特別允許的數(shù)據(jù)包都拒絕。7.3.1屏蔽路由器屏蔽路由器就是實(shí)施過濾的路由器837.3.1屏蔽路由器

INTERNET包過濾路由器內(nèi)部網(wǎng)絡(luò)屏蔽路由器7.3.1屏蔽路由器INTERNET包過濾路由器內(nèi)部網(wǎng)絡(luò)847.3.1屏蔽路由器

優(yōu)點(diǎn)是價格低且易于使用,缺點(diǎn)需要掌握TCP/IP知識才能創(chuàng)建相應(yīng)的過濾規(guī)則,若有配置錯誤將會導(dǎo)致不期望的流量通過或拒絕一些應(yīng)接受的流量。包過濾路由器不隱藏內(nèi)部網(wǎng)絡(luò)的配置,任何允許訪問屏蔽路由器的用戶都可看到網(wǎng)絡(luò)的布局和結(jié)構(gòu)。其監(jiān)視和日志功能較弱,通常也沒有警報的功能。這就意味著網(wǎng)絡(luò)管理員要不斷地檢查網(wǎng)絡(luò)以確定其是否受到攻擊。防火墻一旦被攻陷后很難發(fā)現(xiàn)攻擊者。7.3.1屏蔽路由器優(yōu)點(diǎn)是價格低且易于使用,857.3.2屏蔽主機(jī)網(wǎng)關(guān)防火墻系統(tǒng)采用了包過濾路由器和堡壘主機(jī)組成的防火墻。提供的安全等級比包過濾防火墻要高,其實(shí)現(xiàn)了網(wǎng)絡(luò)層安全(包過濾)和應(yīng)用層安全(代理服務(wù))。堡壘主機(jī)可以通過網(wǎng)絡(luò)地址解析來隱藏內(nèi)部網(wǎng)絡(luò)的配置信息。INTERNET包過濾路由器內(nèi)部網(wǎng)絡(luò)屏蔽主機(jī)防火墻信息服務(wù)器堡壘主機(jī)7.3.2屏蔽主機(jī)網(wǎng)關(guān)防火墻系統(tǒng)采用了包過濾路由器和堡867.3.2屏蔽主機(jī)網(wǎng)關(guān)屏蔽主機(jī)防火墻是針對所有進(jìn)出的信息都要經(jīng)過堡壘主機(jī)而設(shè)計(jì)的。堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上,而包過濾路由器則放置在內(nèi)部網(wǎng)絡(luò)和Internet之間。在路由器上進(jìn)行過濾規(guī)則配置,使得外部系統(tǒng)只能訪問堡壘主機(jī),內(nèi)部系統(tǒng)的其他主機(jī)的信息全部被阻塞。確保了內(nèi)部網(wǎng)絡(luò)不受外部攻擊。由于內(nèi)部主機(jī)與堡壘主機(jī)處于同一網(wǎng)絡(luò),安全策略之一就是決定是否允許內(nèi)部系統(tǒng)直接訪問Internet或使用堡壘主機(jī)上的代理服務(wù)來訪問Internet。若要強(qiáng)制內(nèi)部用戶使用代理服務(wù),則可在路由器配置過濾規(guī)則時,讓Internet只接受來自堡壘主機(jī)的內(nèi)部數(shù)據(jù)包。7.3.2屏蔽主機(jī)網(wǎng)關(guān)屏蔽主機(jī)防火墻是針對所有進(jìn)出的信息877.3.2屏蔽主機(jī)網(wǎng)關(guān)該防火墻系統(tǒng)的優(yōu)點(diǎn)內(nèi)網(wǎng)的變化不影響堡壘主機(jī)和屏蔽路由器的配置??蓪⑻峁┕_的信息服務(wù)的服務(wù)器放置在由包過濾路由器和堡壘主機(jī)共用的網(wǎng)段上。如果要求有特別高的安全特性,可讓堡壘主機(jī)運(yùn)行代理服務(wù),使得內(nèi)部和外部用戶在與信息服務(wù)器通信之前,必須先通過堡壘主機(jī)。如果安全等級較低,則可將路由器配置成讓外部用戶直接訪問公共的信息服務(wù)器。7.3.2屏蔽主機(jī)網(wǎng)關(guān)該防火墻系統(tǒng)的優(yōu)點(diǎn)887.3.2屏蔽主機(jī)網(wǎng)關(guān)與包過濾比較,這種方法的缺點(diǎn)是:增加了成本并降低了性能。因?yàn)楸局鳈C(jī)處理信息時,網(wǎng)絡(luò)經(jīng)常需要更多的時間來對用戶的請求做出響應(yīng)。使用戶訪問Internet變得較慢。如果堡壘主機(jī)服務(wù)器作為應(yīng)用級網(wǎng)關(guān),內(nèi)部客戶端必須被配置成使用應(yīng)用網(wǎng)關(guān)服務(wù)。7.3.2屏蔽主機(jī)網(wǎng)關(guān)與包過濾比較,這種方法的缺點(diǎn)是:897.3.3雙宿主機(jī)網(wǎng)關(guān)用一臺裝有兩塊網(wǎng)卡的堡壘主機(jī)做防火墻,一塊與內(nèi)網(wǎng)相連,一塊與外部網(wǎng)相連。堡壘主機(jī)上運(yùn)行著防火墻軟件,可以轉(zhuǎn)發(fā)應(yīng)用程序,提供服務(wù)等。這種防火墻由于在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間創(chuàng)建了完全的物理隔斷,增加了更有效的安全性。INTERNET包過濾路由器內(nèi)部網(wǎng)絡(luò)雙宿堡壘主機(jī)防火墻信息服務(wù)器堡壘主機(jī)7.3.3雙宿主機(jī)網(wǎng)關(guān)用一臺裝有兩塊網(wǎng)卡的堡壘主機(jī)做防907.3.3雙宿主機(jī)網(wǎng)關(guān)在單宿主堡壘主機(jī)結(jié)構(gòu)上,所有外部的流量直接轉(zhuǎn)發(fā)到堡壘主機(jī)上執(zhí)行。黑客可修改路由器而不把數(shù)據(jù)包轉(zhuǎn)發(fā)給堡壘主機(jī),這樣將會繞過堡壘主機(jī)且直接進(jìn)入到內(nèi)部網(wǎng)絡(luò)中。雙宿堡壘主機(jī)有兩個網(wǎng)絡(luò)接口,但主機(jī)不能在兩個端口之間直接轉(zhuǎn)發(fā)信息。這種物理結(jié)構(gòu)強(qiáng)行讓所有去往內(nèi)部網(wǎng)絡(luò)的信息經(jīng)過堡壘主機(jī)。7.3.3雙宿主機(jī)網(wǎng)關(guān)在單宿主堡壘主機(jī)結(jié)構(gòu)上,所有外部的917.3.3雙宿主機(jī)網(wǎng)關(guān)雙宿主機(jī)網(wǎng)關(guān)優(yōu)于屏蔽路由器的地方是:堡壘主機(jī)的系統(tǒng)軟件可用于維護(hù)系統(tǒng)日志、硬件拷貝日志或遠(yuǎn)程日志。便于日后的檢查之用。由于堡壘主機(jī)是唯一能從Internet上直接訪問的內(nèi)部系統(tǒng),所以有可能受到攻擊的主機(jī)就只有堡壘主機(jī)本身。對于入侵者來說,允許其注冊到堡壘主機(jī),就可容易的破壞堡壘主機(jī)而整個內(nèi)部網(wǎng)絡(luò)受到攻擊的威脅。因此,避免被滲透和不允許非法用戶注冊對堡壘主機(jī)來說是至關(guān)重要的。7.3.3雙宿主機(jī)網(wǎng)關(guān)雙宿主機(jī)網(wǎng)關(guān)優(yōu)于屏蔽路由器的地方是927.3.4屏蔽子網(wǎng)實(shí)施防火墻最常見的方法就是屏蔽子網(wǎng)。在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng),稱之為非軍事區(qū)DMZ。其是用兩臺分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開,網(wǎng)絡(luò)管理員將堡壘主機(jī)、信息服務(wù)器以及其他公用服務(wù)器放在DMZ網(wǎng)絡(luò)中。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問被屏蔽子網(wǎng),但禁止其穿過被屏蔽子網(wǎng)直接通信。屏蔽子網(wǎng)中的堡壘主機(jī)作為唯一可訪問點(diǎn),并作為應(yīng)用網(wǎng)關(guān)代理。INTERNET包過濾路由器內(nèi)部網(wǎng)絡(luò)屏蔽子網(wǎng)防火墻信息服務(wù)器堡壘主機(jī)包過濾路由器7.3.4屏蔽子網(wǎng)實(shí)施防火墻最常見的方法就是屏蔽子網(wǎng)。937.3.4屏蔽子網(wǎng)對于進(jìn)來的信息,外面的路由器用于防范通常的外部攻擊,并管理Internet到DMZ網(wǎng)絡(luò)的訪問。它只允許外部系統(tǒng)訪問堡壘主機(jī)和信息服務(wù)器。里面的路由器提供第二層防御,只接受源于堡壘主機(jī)的數(shù)據(jù)包,負(fù)責(zé)的是管理DMZ到內(nèi)部網(wǎng)絡(luò)的訪問。對于出來的信息,里面的路由器管理內(nèi)部網(wǎng)絡(luò)到DMZ的訪問。它允許內(nèi)部系統(tǒng)只訪問堡壘主機(jī)和信息服務(wù)器。外面的路由器上的過濾規(guī)則要求使用代理服務(wù),即只接受來自堡壘主機(jī)的去往Internet的數(shù)據(jù)包。7.3.4屏蔽子網(wǎng)對于進(jìn)來的信息,外面的路由器用于防范通947.3.4屏蔽子網(wǎng)屏蔽子網(wǎng)防火墻系統(tǒng)有以下幾個優(yōu)點(diǎn):

入侵者必須攻克三個不同的設(shè)備且不被發(fā)現(xiàn)才能侵襲內(nèi)部網(wǎng)絡(luò)。內(nèi)部網(wǎng)絡(luò)對Internet來說是不可見的,因?yàn)樗羞M(jìn)出的數(shù)據(jù)包都會直接送到DMZ。并且只有在DMZ網(wǎng)絡(luò)上選定的系統(tǒng)才對Internet開放。這使黑客想得到內(nèi)部系統(tǒng)的信息幾乎不太可能的。由于內(nèi)部路由器只向內(nèi)部網(wǎng)絡(luò)通告DMZ的存在,內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)不能直接通往Inter

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論