第9章防火墻技術(shù)

第9章防火墻技術(shù)9.1防火墻概述9.2防火墻的設(shè)計(jì)策略和安全策略9.3防火墻的體系結(jié)構(gòu)9.4防火墻的主要技術(shù)

9.1防火墻概述傳統(tǒng)防火墻的概念概念：防火墻本義是指人們房屋之間的一道墻，可以防止火災(zāi)發(fā)生時(shí)大火蔓延到其他的房屋。9.1.1防火墻的基本概念防火墻是在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行控制和安全策略的系統(tǒng)，它可以是軟件，也可以是硬件，或兩者并用。Internet兩個(gè)安全域之間通信流的唯一通道根據(jù)訪問(wèn)控制規(guī)則決定進(jìn)出網(wǎng)絡(luò)的行為內(nèi)部網(wǎng)9.1.2防火墻的作用與不足總的來(lái)說(shuō)，防火墻系統(tǒng)應(yīng)具有以下5個(gè)方面的特性。（1）內(nèi)部網(wǎng)和外部網(wǎng)之間的數(shù)據(jù)傳輸都必須經(jīng)過(guò)防火墻。（2）只有被授權(quán)的合法數(shù)據(jù)，即符合安全策略的數(shù)據(jù)，才可以通過(guò)防火墻，其他的數(shù)據(jù)將被防火墻丟棄。（3）防火墻本身不受各種攻擊的影響，否則，防火墻的保護(hù)功能將大大降低。（4）采用目前新的信息安全技術(shù)，如現(xiàn)代加密技術(shù)、一次口令系統(tǒng)、智能卡等增強(qiáng)防火墻的保護(hù)功能，為內(nèi)部網(wǎng)提供更好的保護(hù)。（5）人機(jī)界面良好。采用防火墻保護(hù)內(nèi)部網(wǎng)有以下優(yōu)點(diǎn)。（1）防火墻允許網(wǎng)絡(luò)管理員定義一個(gè)中心“扼制點(diǎn)”來(lái)防止非法用戶（如黑客和網(wǎng)絡(luò)破壞者等）進(jìn)入內(nèi)部網(wǎng)。（2）保護(hù)網(wǎng)絡(luò)中脆弱的服務(wù)。（3）在防火墻上可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報(bào)警。（4）可以集中安全性。（5）防火墻可以作為部署（網(wǎng)絡(luò)地址轉(zhuǎn)換NetworkAddressTranslator，NAT）的邏輯地址。（6）增強(qiáng)保密性和強(qiáng)化私有權(quán)。（7）防火墻是審計(jì)和記錄Internet使用量的一個(gè)最佳地方。（8）防火墻也可以成為向客戶發(fā)布信息的地點(diǎn)。防火墻有如下的缺陷和不足。（1）限制有用的網(wǎng)絡(luò)服務(wù)。

（2）無(wú)法防護(hù)內(nèi)部網(wǎng)用戶的攻擊。

（3）防火墻無(wú)法防范通過(guò)防火墻以外的其他途徑的攻擊。

（4）防火墻也不能完全防止傳送已感染病毒的軟件或文件。

（5）防火墻無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。（6）不能防備新的網(wǎng)絡(luò)安全問(wèn)題。圖9.1防火墻后門(mén)防火墻的分類從實(shí)現(xiàn)技術(shù)角度分類包過(guò)濾防火墻狀態(tài)檢測(cè)防火墻應(yīng)用網(wǎng)關(guān)防火墻代理防火墻從形態(tài)角度分類軟件防火墻運(yùn)行在一臺(tái)或多臺(tái)計(jì)算機(jī)之上的特別軟件硬件防火墻專門(mén)設(shè)計(jì)的網(wǎng)絡(luò)設(shè)備，安裝了防火墻軟件，本質(zhì)上還是軟件在進(jìn)行控制從保護(hù)對(duì)象角度分類InternetInternet網(wǎng)絡(luò)防火墻保護(hù)整個(gè)網(wǎng)絡(luò)單機(jī)/個(gè)人防火墻保護(hù)單臺(tái)主機(jī)9.2防火墻的設(shè)計(jì)策略和安全策略9.2.1防火墻的設(shè)計(jì)策略防火墻一般執(zhí)行以下兩種基本設(shè)計(jì)策略中的一種。（1）除非明確不允許，否則允許某種服務(wù)。（2）除非明確允許，否則將禁止某種服務(wù)。9.2.2防火墻的安全策略研制和開(kāi)發(fā)一個(gè)有效的防火墻，首先要設(shè)計(jì)和制定一個(gè)有效的安全策略。安全策略應(yīng)包含以下主要內(nèi)容：（1）用戶賬號(hào)策略； （2）用戶權(quán)限策略；（3）信任關(guān)系策略； （4）包過(guò)慮策略；（5）認(rèn)證策略； （6）簽名策略；（7）數(shù)據(jù)加密策略； （8）密鑰分配策略；（9）審計(jì)策略。1．用戶賬號(hào)策略2．用戶權(quán)限策略3．信任關(guān)系策略圖9.2單向信任關(guān)系

圖9.3雙向信任關(guān)系

圖9.4多重信任關(guān)系4．包過(guò)慮策略這里主要從以下幾個(gè)方面來(lái)討論包過(guò)濾策略：包過(guò)濾控制點(diǎn)；包過(guò)濾操作過(guò)程；包過(guò)濾規(guī)則；防止兩類不安全設(shè)計(jì)的措施；對(duì)特定協(xié)議包的過(guò)濾。5．認(rèn)證、簽名和數(shù)據(jù)加密策略6．密鑰分配策略7．審計(jì)策略審計(jì)是用來(lái)記錄如下事件：（1）哪個(gè)用戶訪問(wèn)哪個(gè)對(duì)象；（2）用戶的訪問(wèn)類型；（3）訪問(wèn)過(guò)程是否成功。9.3防火墻的體系結(jié)構(gòu)防火墻按體系結(jié)構(gòu)可以分為包過(guò)濾防火墻、屏蔽主機(jī)防火墻、屏蔽子網(wǎng)防火墻、多宿主主機(jī)防火墻和通過(guò)混合組合而衍生的其他結(jié)構(gòu)的防火墻。9.3.1包過(guò)濾型防火墻包過(guò)濾型防火墻的核心技術(shù)就是安全策略設(shè)計(jì)即包過(guò)濾算法的設(shè)計(jì)。圖9.5

包過(guò)濾型防火墻

包過(guò)濾型防火墻具有以下優(yōu)點(diǎn)。（1）處理包的速度比代理服務(wù)器快，過(guò)濾路由器為用戶提供了一種透明的服務(wù)，用戶不用改變客戶端程序或改變自己的行為。（2）實(shí)現(xiàn)包過(guò)濾幾乎不再需要費(fèi)用（或極少的費(fèi)用），因?yàn)檫@些特點(diǎn)都包含在標(biāo)準(zhǔn)的路由器軟件中。（3）包過(guò)濾路由器對(duì)用戶和應(yīng)用來(lái)講是透明的。包過(guò)濾型防火墻存在以下的缺點(diǎn)。（1）防火墻的維護(hù)比較困難，定義數(shù)據(jù)包過(guò)濾器會(huì)比較復(fù)雜，因?yàn)榫W(wǎng)絡(luò)管理員需要對(duì)各種Internet服務(wù)、包頭格式以及每個(gè)域的意義有非常深入的理解，才能將過(guò)濾規(guī)則集盡量定義得完善。（2）只能阻止一種類型的IP欺騙，即外部主機(jī)偽裝內(nèi)部主機(jī)的IP，對(duì)于外部主機(jī)偽裝其他可信任的外部主機(jī)的IP卻不可阻止。（3）任何直接經(jīng)過(guò)路由器的數(shù)據(jù)包都有被用做數(shù)據(jù)驅(qū)動(dòng)攻擊的潛在危險(xiǎn)。

（4）一些包過(guò)濾網(wǎng)關(guān)不支持有效的用戶認(rèn)證。（5）不可能提供有用的日志，或根本就不提供，這使用戶發(fā)覺(jué)網(wǎng)絡(luò)受攻擊的難度加大，也就談不上根據(jù)日志來(lái)進(jìn)行網(wǎng)絡(luò)的優(yōu)化、完善以及追查責(zé)任。（6）隨著過(guò)濾器數(shù)目的增加，路由器的吞吐量會(huì)下降。（7）IP包過(guò)濾器無(wú)法對(duì)網(wǎng)絡(luò)上流動(dòng)的信息提供全面的控制。（8）允許外部網(wǎng)絡(luò)直接連接到內(nèi)部網(wǎng)絡(luò)的主機(jī)上，易造成敏感數(shù)據(jù)的泄漏。包過(guò)濾路由器常見(jiàn)的攻擊有以下幾種。（1）源IP地址欺騙式攻擊。（2）源路由攻擊。（3）極小數(shù)據(jù)段式攻擊。9.3.2多宿主主機(jī)（多宿主網(wǎng)關(guān)）防火墻多宿主主機(jī)擁有多個(gè)網(wǎng)絡(luò)接口，每一個(gè)接口都連在物理上和邏輯上都分離的不同的網(wǎng)段上。每個(gè)不同的網(wǎng)絡(luò)接口分別連接不同的子網(wǎng)，不同子網(wǎng)之間的相互訪問(wèn)實(shí)施不同的訪問(wèn)控制策略。

圖9.6雙宿主機(jī)防火墻雙宿主主機(jī)防火墻采用主機(jī)取代路由器執(zhí)行安全控制功能，故類似于包過(guò)濾防火墻，雙宿主主機(jī)可以在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行尋徑。雙宿主主機(jī)防火墻的最大特點(diǎn)是IP層的通信被阻止，兩個(gè)網(wǎng)絡(luò)之間的通信可通過(guò)應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來(lái)完成，而不能直接通信。

圖9.7

應(yīng)用層數(shù)據(jù)共享

圖9.8運(yùn)行代理服務(wù)器的雙宿主機(jī)使用雙宿主主機(jī)作為防火墻，防火墻本身的安全性至關(guān)重要。圖9.9運(yùn)行代理服務(wù)器的雙宿主機(jī)9.3.3屏蔽主機(jī)型防火墻屏蔽主機(jī)型防火墻由堡壘主機(jī)和包過(guò)濾路由器組成，所有的外部主機(jī)與一個(gè)堡壘主機(jī)相連接而不讓它們與內(nèi)部主機(jī)直接相連。圖9.10

被屏蔽主機(jī)結(jié)構(gòu)

圖9.11

堡壘主機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)包

9.3.4屏蔽子網(wǎng)型防火墻圖9.12

被屏蔽子網(wǎng)防火墻系統(tǒng)（DMZ）

墻根據(jù)堡壘主機(jī)和包過(guò)濾器的各種組合，基于屏蔽子網(wǎng)的防火墻系統(tǒng)衍生出了一些派生結(jié)構(gòu)體系。（1）合并“非軍事區(qū)”的外部路由器和堡壘主機(jī)的結(jié)構(gòu)系統(tǒng)。圖9.13

使用合并外部路由器和堡壘主機(jī)體系結(jié)構(gòu)

（2）合并DMZ的內(nèi)部路由器和外部路由器結(jié)構(gòu)如圖9.14所示。圖9.14

使用合并內(nèi)部路由器和外部路由器的體系結(jié)構(gòu)

（3）使用多臺(tái)堡壘主機(jī)的體系結(jié)構(gòu)如圖9.15所示。

圖9.15

兩個(gè)堡壘主機(jī)和兩個(gè)“非軍事區(qū)”

圖9.16

犧牲主機(jī)結(jié)構(gòu)

（4）使用多臺(tái)外部路由器的體系結(jié)構(gòu)，如圖9.17所示。圖9.17

使用多臺(tái)外部路由器的體系結(jié)構(gòu)9.3.5堡壘主機(jī)堡壘主機(jī)是一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī)，是高度暴露于Internet中的，也是網(wǎng)絡(luò)中最容易受到侵害的主機(jī)。

構(gòu)筑堡壘主機(jī)的基本原則有以下兩條。（1）使堡壘主機(jī)盡可能簡(jiǎn)單（2）做好備份工作以防堡壘主機(jī)受損1．堡壘主機(jī)的主要結(jié)構(gòu)當(dāng)前堡壘主機(jī)主要采用以下3種結(jié)構(gòu)。（1）無(wú)路由雙宿主主機(jī)（2）犧牲主機(jī)（3）內(nèi)部堡壘主機(jī)2．堡壘主機(jī)的選擇（1）選擇主機(jī)時(shí)，應(yīng)選擇一個(gè)可以支持多個(gè)網(wǎng)絡(luò)接口同時(shí)處于活躍狀態(tài)，從而能夠向內(nèi)部網(wǎng)用戶提供多個(gè)網(wǎng)絡(luò)服務(wù)的機(jī)器。（2）建議用戶選擇較為熟悉的UNIX操作系統(tǒng)作為堡壘主機(jī)的操作系統(tǒng)。（3）選擇堡壘主機(jī)時(shí)，不需要功能過(guò)高、速度過(guò)快的機(jī)器，而是爭(zhēng)取做到物盡其用。但是應(yīng)使堡壘主機(jī)的內(nèi)存和硬盤(pán)足夠大，以保證足夠的信息交換空間。（4）在網(wǎng)絡(luò)上，堡壘主機(jī)應(yīng)位于DMZ內(nèi)沒(méi)有機(jī)密信息流或信息流不太敏感的部分。（5）在配置堡壘主機(jī)的網(wǎng)絡(luò)服務(wù)時(shí)，應(yīng)注意除了不得不提供的基本網(wǎng)絡(luò)服務(wù)（如SMTP，F(xiàn)TP，WAIS，HTTP，NNTP和Gopher）外，應(yīng)把那些內(nèi)部網(wǎng)不使用的服務(wù)統(tǒng)統(tǒng)關(guān)閉。而且應(yīng)盡量減少堡壘主機(jī)上的用戶賬戶數(shù)，如果有可能，應(yīng)禁止一切用戶賬戶。9.4防火墻的主要技術(shù)9.4.1數(shù)據(jù)包過(guò)濾技術(shù)數(shù)據(jù)包過(guò)濾技術(shù)是在網(wǎng)絡(luò)中的適當(dāng)位置對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)的技術(shù)。1．包過(guò)濾的模型

圖9.18

包過(guò)濾模型

包過(guò)濾一般要檢查下面幾項(xiàng)：（1）IP源地址；（2）IP目的地址；（3）協(xié)議類型（TCP包、UDP包和ICMP包）；（4）TCP或UDP的源端口；（5）TCP或UDP的目的端口；（6）ICMP消息類型；（7）TCP報(bào)頭中的ACK位。另外，TCP的序列號(hào)、確認(rèn)號(hào)，IP校驗(yàn)以及分段偏移也往往是要檢查的選項(xiàng)。2．?dāng)?shù)據(jù)包過(guò)濾特性（1）IP包過(guò)濾特性IP源路由選項(xiàng)包、分段包（2）TCP包過(guò)濾特性連接請(qǐng)求的ACK位的判斷（3）UDP包的過(guò)濾特性Sip,Sport,Dip,Dport（4）ICMP包的過(guò)濾特性圖9.19TCP的連接過(guò)程01圖9.21UDP動(dòng)態(tài)數(shù)據(jù)包過(guò)濾

在決定包過(guò)濾防火墻是否返回ICMP錯(cuò)誤代碼時(shí)，應(yīng)考慮以下幾點(diǎn)。①防火墻應(yīng)該發(fā)送什么消息。②是否負(fù)擔(dān)得起生成和返回錯(cuò)誤代碼的高額費(fèi)用。③返回錯(cuò)誤代碼能使得侵襲者得到很多有關(guān)你發(fā)送的數(shù)據(jù)包過(guò)濾信息。④什么錯(cuò)誤代碼對(duì)你的網(wǎng)站有意義。（5）RPC服務(wù)中的包過(guò)濾的特點(diǎn)圖9.22RPC的端口映射

（6）源端口過(guò)濾的作用

規(guī)則方向源地址目的地址協(xié)議源端口目的端口動(dòng)作A入任意5TCP/25允許B出5任意TCP/>1023允許C出5任意TCP/25允許D入任意5TCP/>1023允許表9.1 過(guò)濾規(guī)則示例圖9.23

進(jìn)攻X窗口服務(wù)

Any:30005:6001規(guī)則方向源地址目的地址協(xié)議源端口目的端口動(dòng)作A入任意5TCP/25允許B出5任意TCP/>1023允許C出5任意TCP/25允許D入任意5TCP/>1023允許源地址源端口協(xié)議目的地址目的端口any3000TCP530005:6001Any:3000規(guī)則方向源地址目的地址協(xié)議源端口目的端口動(dòng)作A入任意5TCP/25允許B出5任意TCP/>1023允許C出5任意TCP/25允許D入任意5TCP/>1023允許源地址源端口協(xié)議目的地址目的端口56001TCPany3000Any:30005:6001規(guī)則方向源地址目的地址協(xié)議源端口目的端口動(dòng)作A入任意5TCP>102325允許B出5任意TCP25>1023允許C出5任意TCP>102325允許D入任意5TCP25>1023允許（7）ACK位在數(shù)據(jù)包過(guò)濾中的作用表9.2 過(guò)濾規(guī)則示例規(guī)則方向源地址目的地址協(xié)議源端口目的端口ACK設(shè)置動(dòng)作A出5任意TCP>102323任意允許B入任意5TCP23>1023是允許圖9.24

用ACK位阻止欺騙

（8）包過(guò)濾技術(shù)的優(yōu)點(diǎn)①幫助保護(hù)整個(gè)網(wǎng)絡(luò)，減少暴露的風(fēng)險(xiǎn)；②對(duì)用戶完全透明，不需要對(duì)客戶端做任何改動(dòng)，也不需要對(duì)用戶做任何培訓(xùn)；③很多路由器可以作數(shù)據(jù)包過(guò)濾，因此不需要專門(mén)添加設(shè)備。包過(guò)濾最明顯的缺陷是即使是最基本的網(wǎng)絡(luò)服務(wù)和協(xié)議，它也不能提供足夠的安全保護(hù)，包過(guò)濾是不夠安全的。①包過(guò)濾規(guī)則難于配置。一旦配置，數(shù)據(jù)包過(guò)濾規(guī)則也難于檢驗(yàn)。②包過(guò)濾僅可以訪問(wèn)包頭信息中的有限信息。③包過(guò)濾是無(wú)狀態(tài)的，因?yàn)榘^(guò)濾不能保持與傳輸相關(guān)的狀態(tài)信息或與應(yīng)用相關(guān)的狀態(tài)信息。④包過(guò)濾對(duì)信息的處理能力非常有限。⑤一些協(xié)議不適合用數(shù)據(jù)包過(guò)濾，如基于RPC的應(yīng)用的“r”命令等。實(shí)例安全策略任何時(shí)間，內(nèi)網(wǎng)→郵件服務(wù)器：允許任何時(shí)間，內(nèi)網(wǎng)→web服務(wù)器：允許上班時(shí)間，內(nèi)網(wǎng)→FTP服務(wù)器：允許上班時(shí)間，內(nèi)網(wǎng)→Internet：允許任何時(shí)間，Internet→內(nèi)網(wǎng)：禁止任何時(shí)間，Internet→web服務(wù)器：允許任何時(shí)間，Internet→郵件服務(wù)器：允許任何時(shí)間，Internet→數(shù)據(jù)庫(kù)服務(wù)器：禁止任何時(shí)間，Interent→FTP服務(wù)器：允許其它：禁止邏輯表達(dá)式Sip=/24anddip=and(dport=25ordport=110),action=permitSip=anyanddip=/24,action=rejectSip=anyanddip=anddport=80,action=permitSip=anyanddip=anddport=1358,action=reject……Default=reject包過(guò)濾規(guī)則源地址源端口協(xié)議目的地址目的端口時(shí)間動(dòng)作/24ANYTCP25,110ANYPermitANYANYANY/24ANYANYRejectANYANYTCP1358ANYRejectANYANYTCP80ANYPermit/24ANYANYANYANYWORKPermitANYANYANYANYANYReject有新需求安全策略上班時(shí)間，內(nèi)網(wǎng)→數(shù)據(jù)庫(kù)服務(wù)器：允許邏輯表達(dá)式Sip=/24anddip=anddport=1358,action=permit新的規(guī)則源地址源端口協(xié)議目的地址目的端口時(shí)間動(dòng)作/24ANYTCP25,110ANYPermitANYANYANY/24ANYANYRejectANYANYTCP1358ANYRejectANYANYTCP80ANYPermit/24ANYANYANYANYWORKPermitANYANYANYANYANYReject源地址源端口協(xié)議目的地址目的端口時(shí)間動(dòng)作/24ANYTCP1358WORKPermit源地址源端口協(xié)議目的地址目的端口時(shí)間動(dòng)作/24ANYTCP1358WORKPermit包過(guò)濾代碼/*包合法性檢查*/staticintpacket_validity(structiphdr*iph){ if(ntohs(iph->tot_len)<(4*iph->ihl))returnPF_DROP; if(iph->ihl<5)returnPF_DROP; /*blockinvalidTCP,UDP,ICMPpacket*/ if(iph->protocol==IPPROTO_TCP) if(ntohs(iph->tot_len)<(iph->ihl*4+sizeof(structtcphdr)))returnPF_DROP; if(iph->protocol==IPPROTO_UDP) if(ntohs(iph->tot_len)<(iph->ihl*4+sizeof(structudphdr)))returnPF_DROP; if(iph->protocol==IPPROTO_ICMP) if(ntohs(iph->tot_len)<(iph->ihl*4+sizeof(structicmphdr)))returnPF_DROP; returnPF_ACCEPT;}/*重組分片包*/ if(iph->frag_off&htons(IP_MF|IP_OFFSET)){ skb=ip_defrag(skb);/*檢查報(bào)文與規(guī)則是否匹配*/staticintpf_match_rule(structsk_buff*skb,structpf_rule*rule){ for(rule=pf_rule_head;rule;rule=rule->next){ if(!pf_match_proto(iph->protocol,rule)) continue; if(!pf_match_ip(iph->saddr,iph->daddr,rule)) continue; if(!pf_match_port(ntohs(sport),ntohs(dport),rule)) continue; returnrule->action; } if!rulereturnPF_REJECT；}staticintpf_match_ip(intsrc,intdst,structpf_rule*rule){ if(((src&rule->smask)==(rule->saddr&rule->smask)) &&((dst&rule->dmask)==(rule->daddr&rule->dmask))) return1; return0;}staticintpf_match_port(intsrc,intdst,structpf_rule*rule){ if(rule->src_port_start||rule->src_port_end) if((src<rule->src_port_start)||(src>rule->src_port_end)) return0; if(rule->dst_port_start||rule->dst_port_end) if((dst<rule->dst_port_start)||(dst>rule->dst_port_end)) return0; return1;}staticintpf_match_proto(intproto,structpf_rule*rule){ if(rule->proto==0) return1; return(proto==rule->proto)?1:0;}包過(guò)濾模塊在內(nèi)核中的位置

Netfilter框架Packetfilter回顧剛才的實(shí)例規(guī)則可以解決所有的安全需求嗎？?jī)?nèi)網(wǎng)訪問(wèn)Internet時(shí)，Internet給內(nèi)網(wǎng)的應(yīng)答報(bào)文？?jī)?nèi)網(wǎng)訪問(wèn)DMZ的FTP服務(wù)器時(shí)，數(shù)據(jù)連接如何放行？……9.4.2代理技術(shù)代理技術(shù)也稱為應(yīng)用層網(wǎng)關(guān)技術(shù)，代理技術(shù)與包過(guò)濾技術(shù)完全不同，包過(guò)濾技術(shù)是在網(wǎng)絡(luò)層攔截所有的信息流，代理技術(shù)是針對(duì)每一個(gè)特定應(yīng)用都有的一個(gè)程序。1．應(yīng)用級(jí)代理應(yīng)用級(jí)代理有兩種情況，一種是內(nèi)部網(wǎng)通過(guò)代理訪問(wèn)外部網(wǎng)。另一種情況是，外部網(wǎng)通過(guò)代理訪問(wèn)內(nèi)部網(wǎng)。代理使得網(wǎng)絡(luò)管理員能夠?qū)崿F(xiàn)比包過(guò)濾路由器更嚴(yán)格的安全策略，它會(huì)對(duì)應(yīng)用程序的數(shù)據(jù)進(jìn)行校驗(yàn)以確保數(shù)據(jù)格式可以接受。

圖9.25Telnet代理服務(wù)圖9.26Internet客戶通過(guò)代理服務(wù)器訪問(wèn)內(nèi)部網(wǎng)主機(jī)提供代理應(yīng)用層網(wǎng)關(guān)主要有以下優(yōu)點(diǎn)。（1）應(yīng)用層網(wǎng)關(guān)有能力支持可靠的用戶認(rèn)證并提供詳細(xì)的注冊(cè)信息。（2）應(yīng)用層的過(guò)濾規(guī)則相對(duì)于包過(guò)濾路由器來(lái)說(shuō)更容易配置和測(cè)試。（3）代理工作在客戶機(jī)和真實(shí)服務(wù)器之間，完全控制會(huì)話，所以可以提供很詳細(xì)的日志和安全審計(jì)功能。（4）提供代理服務(wù)的防火墻可以被配置成惟一的可被外部看見(jiàn)的主機(jī)，這樣可以隱藏內(nèi)部網(wǎng)的IP地址，可以保護(hù)內(nèi)部主機(jī)免受外部網(wǎng)的進(jìn)攻。（5）通過(guò)代理訪問(wèn)Internet，可以解決合法的IP地址不夠用的問(wèn)題。然而，應(yīng)用層代理也有明顯的缺點(diǎn)，主要包括以下幾點(diǎn)。（1）有限的連接性。（2）有限的技術(shù)。應(yīng)用層網(wǎng)關(guān)不能為RPC、Talk和其他一些基于通用協(xié)議簇的服務(wù)提供代理。（3）性能。應(yīng)用層實(shí)現(xiàn)的防火墻會(huì)造成明顯的性能下降。（4）每個(gè)應(yīng)用程序都必須有一個(gè)代理服務(wù)程序來(lái)進(jìn)行安全控制，每一種應(yīng)用程序升級(jí)時(shí)，一般代理服務(wù)程序也要升級(jí)。（5）應(yīng)用層網(wǎng)關(guān)要求用戶改變自己的行為，或者在訪問(wèn)代理服務(wù)的每個(gè)系統(tǒng)上安裝特殊的軟件。（6）對(duì)用戶不透明。在一個(gè)要求用戶接口和用戶體系結(jié)構(gòu)友好易操作的今天，這種“不友好”性顯得不合時(shí)宜。（6）對(duì)用戶不透明。在一個(gè)要求用戶接口和用戶體系結(jié)構(gòu)友好易操作的今天，這種“不友好”性顯得不合時(shí)宜。圖9.27智能代理服務(wù)器2．電路級(jí)網(wǎng)關(guān)代理技術(shù)應(yīng)用層代理為一種特定的服務(wù)（如FTP和Telnet等）提供代理服務(wù)。

這種代理的優(yōu)點(diǎn)是它可以對(duì)各種不同的協(xié)議提供服務(wù)，但這種代理需要改進(jìn)客戶程序。

Socks是一種非常強(qiáng)大的電路級(jí)網(wǎng)關(guān)防火墻，它只中繼基于TCP的數(shù)據(jù)包圖9.28

電路級(jí)網(wǎng)關(guān)

圖9.29Socks服務(wù)器

9.4.3狀態(tài)檢查技術(shù)狀態(tài)檢查技術(shù)能在網(wǎng)絡(luò)層實(shí)現(xiàn)所有需要的防火墻能力，它既有包過(guò)濾機(jī)制的速度和靈活，也有應(yīng)用級(jí)網(wǎng)關(guān)安全的優(yōu)點(diǎn)，它是包過(guò)濾器和應(yīng)用級(jí)網(wǎng)關(guān)功能的折衷。圖9.30狀態(tài)包檢查的邏輯流程

防火墻的能力包過(guò)濾器代理狀態(tài)檢查傳輸?shù)男畔⒉糠植糠帜軅鬏敔顟B(tài)不能部分能應(yīng)用的狀態(tài)不能能能信息處理部分能能表9.3 防火墻技術(shù)比較表狀態(tài)檢查防火墻有如下的優(yōu)點(diǎn)。1．高安全性2．高效性3．伸縮性和易擴(kuò)展性4．針對(duì)性5．應(yīng)用范圍廣9.4.4地址翻譯技術(shù)地址翻譯（NetworkAddressTranslation，NAT）就是將一個(gè)IP地址用另一個(gè)IP地址代替。地址翻譯主要用在以下兩個(gè)方面。（1）網(wǎng)絡(luò)管理員希望隱藏內(nèi)部網(wǎng)絡(luò)的IP地址。

（2）內(nèi)部網(wǎng)絡(luò)的IP地址是無(wú)效的IP地址。

應(yīng)用層網(wǎng)關(guān)有如下的缺陷。（1）要為每一種應(yīng)用定制代理

（2）代理是不透明的

（3）應(yīng)用層網(wǎng)關(guān)不能為基于TCP以外的應(yīng)用提供很好的提供代理。地址翻譯可以提供一種透明而完善的解決方案。網(wǎng)絡(luò)管理員可以決定那些內(nèi)部的IP地址需要隱藏，哪些地址需要映射成為一個(gè)對(duì)Internet可見(jiàn)的IP地址。圖9.31

地址翻譯

圖9.32

將內(nèi)部地址翻譯成網(wǎng)關(guān)地址

地址翻譯可以有多種模式，主要有如下幾種。（1）靜態(tài)翻譯（2）動(dòng)態(tài)翻譯（3）端口轉(zhuǎn)換（4）負(fù)載平衡翻譯（5）網(wǎng)絡(luò)冗余翻譯9.4.5內(nèi)容檢查技術(shù) 內(nèi)容檢查技術(shù)提供對(duì)高層服務(wù)協(xié)議數(shù)據(jù)的監(jiān)控能力，確保用戶的安全。包括計(jì)算機(jī)病毒、惡意的JavaApplet和ActiveX的攻擊、惡意電子郵件及不健康網(wǎng)頁(yè)內(nèi)容的過(guò)濾防護(hù)。9.4.7其他防火墻技術(shù)除了上面介紹的防火墻技術(shù)外，一些新的技術(shù)正在防火墻產(chǎn)品中采用，主要有以下幾種。 1．加密技術(shù) 2．安全審計(jì) 3．安全內(nèi)核 4．身份認(rèn)證 5．負(fù)載平衡（LoadBalance）綜合比較綜合安全性網(wǎng)絡(luò)層保護(hù)應(yīng)用層保護(hù)應(yīng)用層透明整體性能處理對(duì)象包過(guò)濾技術(shù)狀態(tài)檢測(cè)技術(shù)應(yīng)用網(wǎng)關(guān)/代理單個(gè)包頭