防火墻與入侵防護(hù)系統(tǒng)

廣州大學(xué)1第9章防火墻與入侵防護(hù)系統(tǒng)9.1防火墻的必要性9.2防火墻特征9.3防火墻類型9.4防火墻的布置9.5防火墻的部署和配置9.6入侵防護(hù)系統(tǒng)9.7一個例子：一體化威脅管理產(chǎn)品廣州大學(xué)29.1防火墻的必要性Internet的安全風(fēng)險紛繁復(fù)雜的Internet網(wǎng)絡(luò)復(fù)雜用戶層次復(fù)雜情況瞬息變化企業(yè)網(wǎng)絡(luò)出于商業(yè)目的向公眾開放TCP/IP協(xié)議的自身弱點攻擊工具非常容易取得安全教育嚴(yán)重不足Internet上沒有人能免于攻擊政府企業(yè)個人防火墻的定義

從廣泛、宏觀的意義上說，防火墻是隔離在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一個防御系統(tǒng)。

AT&T的工程師WilliamCheswick和StevenBellovin給出了防火墻的明確定義，他們認(rèn)為防火墻是位于兩個網(wǎng)絡(luò)之間的一組構(gòu)件或一個系統(tǒng)，具有以下屬性：防火墻是不同網(wǎng)絡(luò)或者安全域之間信息流的唯一通道，所有雙向數(shù)據(jù)流必須經(jīng)過防火墻。只有經(jīng)過授權(quán)的合法數(shù)據(jù)，即防火墻安全策略允許的數(shù)據(jù)才可以通過防火墻。防火墻系統(tǒng)應(yīng)該具有很高的抗攻擊能力，其自身可以不受各種攻擊的影響。簡而言之，防火墻是位于兩個(或多個)網(wǎng)絡(luò)間，實施訪問控制策略的一個或一組組件集合。

廣州大學(xué)69.1防火墻的必要性防火墻構(gòu)筑了一道安全邊界隔離了內(nèi)部系統(tǒng)與外部網(wǎng)絡(luò)廣州大學(xué)79.2防火墻特征防火墻(Firewall)防火墻的基本設(shè)計目標(biāo)對于一個網(wǎng)絡(luò)來說，所有通過“內(nèi)部”和“外部”的網(wǎng)絡(luò)流量都要經(jīng)過防火墻通過一些安全策略，來保證只有經(jīng)過授權(quán)的流量才可以通過防火墻防火墻本身必須建立在安全操作系統(tǒng)的基礎(chǔ)上防火墻的控制能力服務(wù)控制，確定哪些服務(wù)可以被訪問方向控制，對于特定的服務(wù)，可以確定允許哪個方向能夠通過防火墻用戶控制，根據(jù)用戶來控制對服務(wù)的訪問行為控制，控制一個特定的服務(wù)的行為防火墻能為我們做什么強(qiáng)化網(wǎng)絡(luò)安全策略，提供集成功能

創(chuàng)建阻塞點12實現(xiàn)網(wǎng)絡(luò)隔離

3審計和記錄內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的活動

4自身具有非常強(qiáng)的抵御攻擊的能力

5防火墻能為我們做什么創(chuàng)建阻塞點1

根據(jù)美國國家安全局制定的《信息保障技術(shù)框架》，防火墻適用于網(wǎng)絡(luò)系統(tǒng)的邊界（networkboundary），屬于用戶內(nèi)部網(wǎng)絡(luò)邊界安全保護(hù)設(shè)備。所謂網(wǎng)絡(luò)邊界就是采用不同安全策略的兩個網(wǎng)絡(luò)連接位置。防火墻就是在網(wǎng)絡(luò)的外邊界或周邊，在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立的唯一一個安全控制檢查點，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計和控制。從而實現(xiàn)防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，禁止存在安全脆弱性的服務(wù)進(jìn)出網(wǎng)絡(luò)，并抵抗來自各種路線的攻擊，進(jìn)而提高被保護(hù)網(wǎng)絡(luò)的安全性，降低風(fēng)險。這樣一個檢查點被稱為阻塞點。這是防火墻所處網(wǎng)絡(luò)位置特性，同時也是一個前提。如果沒有這樣一個供監(jiān)視和控制信息的點，系統(tǒng)管理員要在大量的地方來進(jìn)行監(jiān)測。在某些文獻(xiàn)里，防火墻又被稱為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的單聯(lián)系點。需要注意的是，雖然存在著許多的多接入點網(wǎng)絡(luò)，但是每個出口也都要有防火墻設(shè)備，因此從邏輯上看，防火墻還是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的唯一聯(lián)系點。防火墻能為我們做什么強(qiáng)化網(wǎng)絡(luò)安全策略，提供集成功能

2

防火墻設(shè)備所處的位置，正好為系統(tǒng)提供了一個多種安全技術(shù)的集成支撐平臺。通過相應(yīng)的配置，可以將多種安全軟件，譬如口令檢查、加密、身份認(rèn)證、審計等，集中部署在防火墻上。與分散部署方案相比，防火墻的集中安全管理更經(jīng)濟(jì)、更加有效，簡化了系統(tǒng)管理人員的操作，從而強(qiáng)化了網(wǎng)絡(luò)安全策略的實行。防火墻能為我們做什么實現(xiàn)網(wǎng)絡(luò)隔離

3

防火墻將網(wǎng)絡(luò)劃分成內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩個不同的部分，因此網(wǎng)絡(luò)隔離就成為防火墻的基本功能。防火墻通過將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相互隔離來確保內(nèi)部網(wǎng)絡(luò)的安全，同時限制局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響，降低外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)一些統(tǒng)計數(shù)據(jù)的探測能力。限制來自外部網(wǎng)絡(luò)的訪問防火墻基礎(chǔ)功能之一就是限制信息包進(jìn)入網(wǎng)絡(luò)。防火墻針對每一個進(jìn)入內(nèi)部網(wǎng)絡(luò)的企圖都要根據(jù)依照安全策略制訂的規(guī)則進(jìn)行過濾，即授權(quán)檢查。如果該行為屬于系統(tǒng)許可的行為則予以放行，否則將拒絕該連接企圖。防火墻的這種功能實現(xiàn)了對系統(tǒng)資源的保護(hù)，防止了針對機(jī)密信息的泄漏、盜竊和破壞性為。限制網(wǎng)絡(luò)內(nèi)部未經(jīng)授權(quán)的訪問傳統(tǒng)防火墻難于覺察內(nèi)部的攻擊和破壞行為。現(xiàn)代防火墻則加強(qiáng)了對內(nèi)部訪問數(shù)據(jù)的監(jiān)控，主要表現(xiàn)就是一切都嚴(yán)格依照預(yù)先制訂的系統(tǒng)整體安全策略，限制內(nèi)部網(wǎng)絡(luò)未經(jīng)授權(quán)的訪問。防火墻能為我們做什么審計和記錄內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的活動

4

由于防火墻處在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相連接的阻塞點，所以它可以對所有涉及內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)存取與訪問的行為進(jìn)行監(jiān)控。當(dāng)防火墻發(fā)現(xiàn)可疑的行為時，可以進(jìn)行及時的報警，并提供網(wǎng)絡(luò)是否受到破壞以及攻擊的詳細(xì)信息。對于內(nèi)部用戶的誤操作防火墻也將進(jìn)行嚴(yán)格的監(jiān)控，預(yù)防內(nèi)部用戶的破壞行為。此外，防火墻還能進(jìn)行網(wǎng)絡(luò)使用情況的統(tǒng)計操做。以上提及的防火墻的操作和數(shù)據(jù)都將被詳細(xì)地記錄到日志文件（logfile）中并提交給網(wǎng)絡(luò)管理員進(jìn)行分析和審計。防火墻的日志文件既記錄正常的網(wǎng)絡(luò)訪問行為又記錄非正常的網(wǎng)絡(luò)行為。對日志文件的分析和審計可以使管理員清楚地了解防火墻的安全保護(hù)能力和運行情況；優(yōu)化防火墻，使其更加有效地工作；準(zhǔn)確地識別入侵者并采取行之有效的措施；及時地對非法行為及其造成的后果做出反應(yīng)；為網(wǎng)絡(luò)的優(yōu)化和建設(shè)提供必要的數(shù)據(jù)支撐。管理員需要關(guān)注的問題不是網(wǎng)絡(luò)是否會受到攻擊，而是網(wǎng)絡(luò)何時會受到攻擊。因此要求管理員要及時地響應(yīng)報警信息并經(jīng)常性地審查防火墻日志記錄。防火墻能為我們做什么自身具有非常強(qiáng)的抵御攻擊的能力

5

由于防火墻是一個關(guān)鍵點，所以其自身的安全性就顯得尤為重要。一旦防火墻失效，則內(nèi)部網(wǎng)絡(luò)將完全曝光于外部入侵者的目光之下，網(wǎng)絡(luò)的安全將受到嚴(yán)重的威脅！一般來說，防火墻是一臺安裝了安全操作系統(tǒng)且服務(wù)受限的堡壘主機(jī)。即防火墻自身的操作系統(tǒng)符合相應(yīng)的軟件安全級別；除了必要的功能外，防火墻不開設(shè)任何多余的端口。這些措施在相當(dāng)程度上增強(qiáng)了防火墻抵御攻擊的能力，但這種安全性也只是相對的。防火墻本身的一些局限性對于繞過防火墻的攻擊，它無能為力，例如，在防火墻內(nèi)部通過撥號出去防火墻不能防止內(nèi)部的攻擊，以及內(nèi)部人員與外部人員的聯(lián)合攻擊(比如，通過tunnel進(jìn)入)防火墻不能防止被病毒感染的程序或者文件、郵件等防火墻的性能要求9.3

防火墻的類型包過濾路由器狀態(tài)檢測防火墻應(yīng)用層網(wǎng)關(guān)電路級網(wǎng)關(guān)包過濾路由器基本的思想很簡單對于每個進(jìn)來的包，適用一組規(guī)則，然后決定轉(zhuǎn)發(fā)或者丟棄該包往往配置成雙向的如何過濾過濾的規(guī)則以IP和傳輸層的頭中的域(字段)為基礎(chǔ)，包括源和目標(biāo)IP地址、IP協(xié)議域、源和目標(biāo)端口號過濾器往往建立一組規(guī)則，根據(jù)IP包是否匹配規(guī)則中指定的條件來作出決定。如果匹配到一條規(guī)則，則根據(jù)此規(guī)則決定轉(zhuǎn)發(fā)或者丟棄如果所有規(guī)則都不匹配，則根據(jù)缺省策略數(shù)據(jù)包的過濾過濾的原理數(shù)據(jù)傳輸?shù)姆謱优c報頭的結(jié)構(gòu)物理鏈路層--Networkaccesslayer以太網(wǎng)，F(xiàn)DDI，ATM網(wǎng)絡(luò)層--InternetlayerIP傳輸層--TransportLayerTCPorUDP應(yīng)用層--ApplicationLayerFTP,Telnet,HTTP防火墻的過濾原理數(shù)據(jù)包的過濾ApplicationPresentationSessionTransportDataLinkPhysicalDataLinkPhysicalFirewallApplicationPresentationSessionTransportDataLinkPhysicalNetworkNetworkTransport物理層數(shù)據(jù)報頭的結(jié)構(gòu)物理報頭：以太網(wǎng)，F(xiàn)DDI，ATM等IP報頭結(jié)構(gòu)TCP數(shù)據(jù)報頭過濾對象針對IP協(xié)議的修改

針對IP協(xié)議的過濾操作將查看每個IP數(shù)據(jù)包的包頭，將包頭數(shù)據(jù)與規(guī)則集相比較，轉(zhuǎn)發(fā)規(guī)則集允許的數(shù)據(jù)包，拒絕規(guī)則集不允許的數(shù)據(jù)包。針對IP協(xié)議的過濾操作可以設(shè)定對源IP地址進(jìn)行過濾。對于包過濾技術(shù)來說，有效的辦法是只允許受信任的主機(jī)訪問網(wǎng)絡(luò)資源而拒絕一切不可信的主機(jī)的訪問。針對IP協(xié)議的過濾操作也可以設(shè)定對目的IP地址進(jìn)行過濾。這種安全過濾規(guī)則的設(shè)定多用于保護(hù)目的主機(jī)或網(wǎng)絡(luò)。過濾對象針對ICMP協(xié)議的過濾

2ICMP協(xié)議在完成網(wǎng)絡(luò)控制與管理操作的同時也會泄漏網(wǎng)絡(luò)中的一些重要信息，甚至被攻擊者利用做攻擊用戶網(wǎng)絡(luò)的武器：要設(shè)定過濾安全策略，阻止類型8回送請求ICMP協(xié)議報文進(jìn)出用戶網(wǎng)絡(luò)。防止內(nèi)網(wǎng)拓?fù)浣Y(jié)構(gòu)信息泄露。很多攻擊者會將大量類型8的ICMP協(xié)議報文發(fā)往用戶網(wǎng)絡(luò)，使得目標(biāo)主機(jī)疲于接收處理這些垃圾數(shù)據(jù)而不能提供正常的服務(wù)，最終造成目標(biāo)主機(jī)的崩潰。攻擊者可利用類型5路由重定向ICMP協(xié)議報文，采用中間人（maninthemiddle）攻擊的辦法，偽裝成預(yù)期的接收者截獲或篡改正常的數(shù)據(jù)包，也可以將數(shù)據(jù)包導(dǎo)向受其控制的未知網(wǎng)絡(luò)。攻擊者可利用類型3目的不可達(dá)ICMP協(xié)議報文探知用戶網(wǎng)絡(luò)的敏感信息。對于ICMP報文包過濾器要精心地進(jìn)行設(shè)置，拒絕所有可能會被攻擊者利用、對網(wǎng)絡(luò)進(jìn)行破壞的ICMP數(shù)據(jù)包。過濾對象針對TCP協(xié)議的過濾

針對TCP協(xié)議的過濾可設(shè)定對源或目的端口的過濾，又稱端口過濾、協(xié)議過濾。只要針對服務(wù)使用的知名端口號進(jìn)行規(guī)則的設(shè)置，就可以實現(xiàn)對特定服務(wù)的控制。另一種針對TCP協(xié)議的過濾是對標(biāo)志位過濾。最常用的就是針對SYN和ACK的過濾。在TCP協(xié)議的連接建立過程中，報文頭部的一些標(biāo)志位的變化是需要注意的：當(dāng)連接發(fā)起者發(fā)出連接請求時，請求報文SYN位為1而包括ACK位在內(nèi)的其它標(biāo)志位為0。該報文攜帶發(fā)起者自行選擇的一個通信初始序號。若接收者接受該請求，則返回連接應(yīng)答報文。該報文的SYN位和ACK位為1。該報文不但攜帶對發(fā)起者通信初始序號的確認(rèn)（加1），而且攜帶接收者自行選擇的另一個通信初始序號。若接收者拒絕該請求，則返回報文RST位要置1。連接發(fā)起者還需要對接收者自行選擇的通信初始序號進(jìn)行確認(rèn)，返回該值加1作為希望接收的下一個報文的序號。同時ACK位置1。除了在連接請求的過程中，其它時候SYN位始終為0。結(jié)合三次握手的過程，只要通過對SYN=1的報文進(jìn)行操作，就可實現(xiàn)對連接會話的控制——拒絕這類報文，就相當(dāng)于阻斷了通信連接的建立。這就是利用TCP協(xié)議標(biāo)志位進(jìn)行過濾規(guī)則設(shè)定的基本原理。過濾對象針對TCP協(xié)議的過濾

針對IP協(xié)議的過濾操作還要注意IP數(shù)據(jù)包的分片問題。攻擊者可以利用分片技術(shù)構(gòu)造特殊的數(shù)據(jù)包對網(wǎng)絡(luò)展開攻擊。例如Tinyfragment攻擊是指通過惡意操作，發(fā)送極小的分片來繞過包過濾系統(tǒng)或者入侵檢測系統(tǒng)的一種攻擊手段。

攻擊者通過惡意操作，可將TCP報頭(通常為20字節(jié))分布在2個分片中，這樣一來，目的端口號可以包含在第二個分片中。

對于包過濾設(shè)備或者入侵檢測系統(tǒng)來說，首先通過判斷目的端口號來采取允許/禁止措施。但是由于通過惡意分片使目的端口號位于第二個分片中，因此包過濾設(shè)備通過判斷第一個分片,決定后續(xù)的分片是否允許通過。但是這些分片在目標(biāo)主機(jī)上進(jìn)行重組之后將形成各種攻擊。通過這種方法可以迂回一些入侵檢測系統(tǒng)及一些安全過濾系統(tǒng)。目前一些智能的包過濾設(shè)備直接丟掉報頭中未包含端口信息的分片。

過濾對象針對UDP協(xié)議的過濾

UDP協(xié)議與TCP協(xié)議有很大的不同，因為它們采用的是不同的服務(wù)策略。TCP協(xié)議是面向連接的，相鄰報文之間具有著明顯的關(guān)系，數(shù)據(jù)流內(nèi)部也具有較強(qiáng)的相關(guān)性，因此過濾規(guī)則的制定比較容易；而UDP協(xié)議是基于無連接的服務(wù)的，一個UDP用戶數(shù)據(jù)報報文中攜帶了到達(dá)目的地所需的全部信息，不需要返回任何的確認(rèn)，報文之間的關(guān)系很難確定，因此很難制定相應(yīng)的過濾規(guī)則。究其根本原因是因為靜態(tài)包過濾技術(shù)只針對包本身進(jìn)行操作而不記錄通信過程的上下文，也就無法從獨立的UDP用戶數(shù)據(jù)報中得到必要的信息。對于UDP協(xié)議，只能是要么阻塞某個端口，要么聽之任之。多數(shù)人傾向于前一種方案，除非有很大的壓力要求允許進(jìn)行UDP傳輸。其實有效的解決辦法是采用動態(tài)包過濾技術(shù)/狀態(tài)檢測技術(shù)。安全缺省策略兩種基本策略，或缺省策略沒有被拒絕的流量都可以通過管理員必須針對每一種新出現(xiàn)的攻擊，制定新的規(guī)則沒有被允許的流量都要拒絕比較保守根據(jù)需要，逐漸開放包過濾路由器示意圖網(wǎng)絡(luò)層鏈路層物理層外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)包過濾防火墻在網(wǎng)絡(luò)層上進(jìn)行監(jiān)測并沒有考慮連接狀態(tài)信息通常在路由器上實現(xiàn)實際上是一種網(wǎng)絡(luò)的訪問控制機(jī)制優(yōu)點：實現(xiàn)簡單對用戶透明效率高缺點：正確制定規(guī)則并不容易不可能引入認(rèn)證機(jī)制包過濾防火墻的設(shè)置(1)從內(nèi)往外的telnet服務(wù)clientserver外部內(nèi)部往外包的特性(用戶操作信息)IP源是內(nèi)部地址目標(biāo)地址為serverTCP協(xié)議，目標(biāo)端口23源端口>1023連接的第一個包ACK=0，其他包ACK=1往內(nèi)包的特性(顯示信息)IP源是server目標(biāo)地址為內(nèi)部地址TCP協(xié)議，源端口23目標(biāo)端口>1023所有往內(nèi)的包都是ACK=1包過濾防火墻的設(shè)置(2)從外往內(nèi)的telnet服務(wù)clientserver內(nèi)部外部往內(nèi)包的特性(用戶操作信息)IP源是外部地址目標(biāo)地址為本地serverTCP協(xié)議，目標(biāo)端口23源端口>1023連接的第一個包ACK=0，其他包ACK=1往外包的特性(顯示信息)IP源是本地server目標(biāo)地址為外部地址TCP協(xié)議，源端口23目標(biāo)端口>1023所有往內(nèi)的包都是ACK=1針對telnet服務(wù)的防火墻規(guī)則*:第一個ACK=0,其他=1服務(wù)方向包方向源地址目標(biāo)地址包類型源端口目標(biāo)端口ACK往外外內(nèi)部外部TCP>102323*往外內(nèi)外部內(nèi)部TCP23>10231往內(nèi)外外部內(nèi)部TCP>102323*往內(nèi)內(nèi)內(nèi)部外部TCP23>10231PacketFilterRules針對包過濾防火墻的攻擊IP地址欺騙，例如，假冒內(nèi)部的IP地址對策：在外部接口上禁止內(nèi)部地址源路由攻擊，即由源指定路由對策：禁止這樣的選項小碎片攻擊，利用IP分片功能把TCP頭部切分到不同的分片中對策：丟棄分片太小的分片利用復(fù)雜協(xié)議和管理員的配置失誤進(jìn)入防火墻例如，利用ftp協(xié)議對內(nèi)部進(jìn)行探查包過濾技術(shù)的優(yōu)點

包過濾技術(shù)實現(xiàn)簡單、快速。經(jīng)典的解決方案只需要在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的路由器上安裝過濾模塊即可。包過濾技術(shù)的實現(xiàn)對用戶是透明的。用戶無需改變自己的網(wǎng)絡(luò)訪問行為模式，也不需要在主機(jī)上安裝任何的客戶端軟件，更不用進(jìn)行任何的培訓(xùn)。包過濾技術(shù)的檢查規(guī)則相對簡單，因此檢查操作耗時極短，執(zhí)行效率非常高，不會給用戶網(wǎng)絡(luò)的性能帶來不利的影響。包過濾技術(shù)存在的問題

包過濾技術(shù)過濾思想簡單，對信息的處理能力有限。只能訪問包頭中的部分信息，不能理解通信的上下文，因此不能提供更安全的網(wǎng)絡(luò)防護(hù)能力。當(dāng)過濾規(guī)則增多的時候，對于過濾規(guī)則的維護(hù)是一個非常困難的問題。不但要考慮過濾規(guī)則是否能夠完成安全過濾任務(wù)，還要考慮規(guī)則之間的關(guān)系防止沖突的發(fā)生。尤其是后一個問題是非常難于解決的。包過濾技術(shù)控制層次較低，不能實現(xiàn)用戶級控制。特別是不能實現(xiàn)對用戶合法身份的認(rèn)證以及對冒用的IP地址的確定。包過濾技術(shù)存在的問題

包過濾技術(shù)過濾思想簡單，對信息的處理能力有限。只能訪問包頭中的部分信息，不能理解通信的上下文，因此不能提供更安全的網(wǎng)絡(luò)防護(hù)能力。包過濾技術(shù)存在的問題黑客可以利用第二條規(guī)則的漏洞，在WWW服務(wù)器上偽造源端口為80的IP包，根據(jù)規(guī)則2，防火墻將不對來自www服務(wù)器，源端口為80，目的端口是任意的IP包作檢查，這樣黑客的惡意數(shù)據(jù)包就可以穿越防火墻到達(dá)內(nèi)部主機(jī)客戶端。在這種情況下，黑客可以通過WWW服務(wù)器來訪問客戶端上任意的Internet服務(wù)。規(guī)則1permit5protocoltcpportanytoport80規(guī)則2permit25.20.l77.5protocoltcpport80tol92.l68.26.55portany5WWW服務(wù)器狀態(tài)檢測防火墻reviewspacketheaderinformationbutalsokeepsinfoonTCPconnectionstypicallyhavelow,“known”portnoforserverandhigh,dynamicallyassignedclientportnosimplepacketfiltermustallowallreturnhighportnumberedpacketsbackinstatefulinspectionpacketfirewalltightensrulesforTCPtrafficusingadirectoryofTCPconnectionsonlyallowincomingtraffictohigh-numberedportsforpacketsmatchinganentryinthisdirectorymayalsotrackTCPseqnumbersaswell狀態(tài)檢測技術(shù)2

狀態(tài)的概念1狀態(tài)檢測技術(shù)基本原理4

狀態(tài)檢測技術(shù)的優(yōu)缺點3

深度狀態(tài)檢測本書的封面狀態(tài)檢測技術(shù)基本原理

狀態(tài)檢測技術(shù)根據(jù)連接的“狀態(tài)”進(jìn)行檢查。當(dāng)一個連接的初始數(shù)據(jù)報文到達(dá)執(zhí)行狀態(tài)檢測的防火墻時，首先要檢查該報文是否符合安全過濾規(guī)則的規(guī)定。如果該報文與規(guī)定相符合，則將該連接的信息記錄下來并自動添加一條允許該連接通過的過濾規(guī)則，然后向目的地轉(zhuǎn)發(fā)該報文。以后凡是屬于該連接的數(shù)據(jù)防火墻一律予以放行，包括從內(nèi)向外的和從外向內(nèi)的雙向數(shù)據(jù)流。在通信結(jié)束、釋放該連接以后，防火墻將自動地刪除關(guān)于該連接的過濾規(guī)則。動態(tài)過濾規(guī)則存儲在連接狀態(tài)表中并由防火墻維護(hù)。為了更好地為用戶提供網(wǎng)絡(luò)服務(wù)以及更精確地執(zhí)行安全過濾，狀態(tài)檢測技術(shù)往往需要察看網(wǎng)絡(luò)層和應(yīng)用層的信息，但主要還是在傳輸層上工作。狀態(tài)的概念TCP協(xié)議及狀態(tài)

1UDP協(xié)議及狀態(tài)

2ICMP協(xié)議及狀態(tài)

3狀態(tài)的概念TCP協(xié)議及狀態(tài)

1TCP協(xié)議是一個面向連接的協(xié)議，對于通信過程各個階段的狀態(tài)都有很明確的定義，并可以通過TCP協(xié)議的標(biāo)志位進(jìn)行跟蹤。

TCP協(xié)議共有11個狀態(tài)，這些狀態(tài)標(biāo)識由RFC793定義，分別為：CLOSED、LISTEN、SYN-SENT、SYN-RECEIVED、ESTABLISHED、FIN-WAIT-1、CLOSE-WAIT、FIN-WAIT-2、LAST-ACK、TIME-WAIT、CLOSING。以上述狀態(tài)為基礎(chǔ)，結(jié)合相應(yīng)的標(biāo)志位信息，再加上通信雙方的IP地址和端口號，即可很容易地建立TCP協(xié)議的狀態(tài)連接表項并進(jìn)行精確地跟蹤監(jiān)控。當(dāng)TCP連接結(jié)束后，應(yīng)從狀態(tài)連接表中刪除相關(guān)表項。為了防止無效表項長期存在于連接狀態(tài)表中給攻擊者提供進(jìn)行重放攻擊的機(jī)會，可以將連接建立階段的超時參數(shù)設(shè)置得較短，而連接維持階段的超時參數(shù)設(shè)置得較長。最后連接釋放階段的超時參數(shù)也要設(shè)置得較短。狀態(tài)的概念TCP協(xié)議及狀態(tài)

1狀態(tài)的概念狀態(tài)檢測的流程1

首先需要建立好規(guī)則，通常此時規(guī)則需要指明網(wǎng)絡(luò)連接的方向，即是進(jìn)還是出，然后在客戶端打開IE向某個網(wǎng)站請求WEB頁面，當(dāng)數(shù)據(jù)包到達(dá)防火墻時，狀態(tài)檢測引擎會檢測到這是一個發(fā)起連接的初始數(shù)據(jù)包(由SYN標(biāo)志)，然后就會把這個數(shù)據(jù)包中的信息與防火墻規(guī)則做比較，如果沒有相應(yīng)規(guī)則允許，防火墻就會拒絕這次連接。當(dāng)然在這里它會發(fā)現(xiàn)有一條規(guī)則允許訪問外部WEB服務(wù)，于是允許數(shù)據(jù)包外出并且在狀態(tài)表中新建一條會話，通常這條會話會包括此連接的源地址、源端口、目標(biāo)地址、目標(biāo)端口、連接時間等信息，對于TCP連接，它還應(yīng)該會包含序列號和標(biāo)志位等信息。當(dāng)后續(xù)數(shù)據(jù)包到達(dá)時，如果這個數(shù)據(jù)包不含SYN標(biāo)志，也就是說這個數(shù)據(jù)包不是發(fā)起一個新的連接時，狀態(tài)檢測引擎就會直接把它的信息與狀態(tài)表中的會話條目進(jìn)行比較，如果信息匹配，就直接允許數(shù)據(jù)包通過，這樣不再去接受規(guī)則的檢查，提高了效率，如果信息不匹配，數(shù)據(jù)包就會被丟棄或連接被拒絕，并且每個會話還有一個超時值，過了這個時間，相應(yīng)會話條目就會被從狀態(tài)表中刪除掉。狀態(tài)檢測的流程2500100036:80:3000TCPACKSYN目的地址源地址協(xié)議內(nèi)部網(wǎng)絡(luò)4匹配ACL和會話狀態(tài)會話狀態(tài)主機(jī)B36Internet32狀態(tài)檢查訪問控制列表原理圖11、當(dāng)一個內(nèi)部主機(jī)與一個外部主機(jī)建立連接時，首先發(fā)送一個TCPSYN包或UDP數(shù)據(jù)包，包含目的IP、端口號，源IP和端口號2、當(dāng)內(nèi)部主機(jī)發(fā)送的數(shù)據(jù)包通過狀態(tài)檢查包過濾防火墻時，防火墻將在他的狀態(tài)表中建立一條狀態(tài)信息規(guī)則，然后將數(shù)據(jù)包發(fā)送到外部網(wǎng)絡(luò)上3、外部主機(jī)返回請求響應(yīng)時，防火墻從狀態(tài)表中查找是否存在相應(yīng)規(guī)則4、如果尋找到匹配的狀態(tài)信息，就讓該數(shù)據(jù)包通過，否則數(shù)據(jù)包被放棄，因為它不是內(nèi)部的請求當(dāng)會話關(guān)閉或一段延遲后，防火墻就將相應(yīng)的狀態(tài)信息規(guī)則從狀態(tài)表中刪除，保證了放棄的連接不會在狀態(tài)表中留下漏洞TCP狀態(tài)檢測

所謂Tinyfragment攻擊是指通過惡意操作，發(fā)送極小的分片來繞過包過濾系統(tǒng)或者入侵檢測系統(tǒng)的一種攻擊手段。

。攻擊者通過惡意操作，可將TCP報頭(通常為20字節(jié))分布在2個分片中，這樣一來，目的端口號可以包含在第二個分片中。對于包過濾設(shè)備或者入侵檢測系統(tǒng)來說，首先通過判斷目的端口號來采取允許/禁止措施。但是由于通過惡意分片使目的端口號位于第二個分片中，因此包過濾設(shè)備通過判斷第一個分片,決定后續(xù)的分片是否允許通過。但是這些分片在目標(biāo)主機(jī)上進(jìn)行重組之后將形成各種攻擊。通過這種方法可以迂回一些入侵檢測系統(tǒng)及一些安全過濾系統(tǒng)。目前一些智能的包過濾設(shè)備直接丟掉報頭中未包含端口信息的分片。TCP協(xié)議及狀態(tài)

1狀態(tài)的概念UDP協(xié)議及狀態(tài)

2UDP協(xié)議與TCP協(xié)議有很大的不同，它是一種無連接的協(xié)議，其狀態(tài)很難進(jìn)行定義和跟蹤。通常的做法是將某個基于UDP協(xié)議的會話的所有數(shù)據(jù)報文看作是一條UDP連接，并在這個連接的基礎(chǔ)之上定義該會話的偽狀態(tài)信息。偽狀態(tài)信息主要由源IP地址、目的IP地址、源端口號以及目的端口號構(gòu)成。雙向的數(shù)據(jù)流源信息和目的信息正好相反。由于UDP協(xié)議是無連接的，所以無法定義連接的結(jié)束狀態(tài)，只能是設(shè)定一個不長的超時參數(shù)，在超時到來的時候從狀態(tài)連接表中刪除該UDP連接信息。此外，UDP協(xié)議對于通信中的錯誤無法進(jìn)行處理，需要通過ICMP協(xié)議報文傳遞差錯控制信息。這就要求狀態(tài)檢測機(jī)制必須能夠從ICMP報文中提取通信地址和端口等信息來確定它與UDP連接的關(guān)聯(lián)性，判斷它到底屬于哪一個UDP連接，然后再采取相應(yīng)的過濾措施。這種ICMP報文的狀態(tài)屬性通常被定義為RELATED。狀態(tài)的概念I(lǐng)CMP協(xié)議及狀態(tài)

3ICMP協(xié)議是無連接的協(xié)議，還具有單向性的特點。在ICMP協(xié)議的13種類型中，有4對類型的報文具有對稱的特性，即屬于請求/響應(yīng)的形式。這4對類型的ICMP報文分別是回送請求/回送應(yīng)答、信息請求/信息應(yīng)答、時間戳請求/時間戳回復(fù)和地址掩碼請求/地址掩碼回復(fù)。其它類型的報文都不是對稱的，而是由主機(jī)或節(jié)點設(shè)備直接發(fā)出的，無法預(yù)先確定報文的發(fā)出時間和地點。因此，ICMP協(xié)議的狀態(tài)和連接的定義要比UDP協(xié)議更難。

ICMP協(xié)議的狀態(tài)和連接的建立、維護(hù)與刪除與UDP協(xié)議類似。但是在建立的過程中不是簡單地只通過IP地址來判別連接屬性。ICMP協(xié)議的狀態(tài)和連接需要考慮ICMP報文的類型和代碼字段的含義，甚至還要提取ICMP報文的內(nèi)容來決定其到底與哪一個已有連接相關(guān)。其維護(hù)和刪除過程一是通過設(shè)定超時計時器來完成，二是按照部分類型的ICMP報文的對稱性來完成。當(dāng)屬于同一連接的ICMP報文完成請求——應(yīng)答過程后，即可將其從狀態(tài)連接表中刪除。

深度狀態(tài)檢測

深度狀態(tài)檢測技術(shù)能夠很好地實現(xiàn)對TCP協(xié)議的順序號進(jìn)行檢測的功能，通過對TCP報文的順序號字段的跟蹤監(jiān)測報文的變化，防止攻擊者利用已經(jīng)處理的報文的順序號進(jìn)行重放攻擊。對于FTP協(xié)議，深度狀態(tài)檢測機(jī)制可以深入到報文的應(yīng)用層部分來獲取FTP協(xié)議的命令參數(shù)，從而進(jìn)行狀態(tài)規(guī)則的配置。其中最主要的，F(xiàn)TP協(xié)議連接端口的選擇具有隨機(jī)的特點。深度狀態(tài)檢測機(jī)制可以分析應(yīng)用層的命令數(shù)據(jù)，找出其中的端口號等信息，從而精確地決定打開哪些端口。與FTP協(xié)議類似的協(xié)議由很多，譬如RTSP、H.323等。深度狀態(tài)檢測機(jī)制都可以對它們的連接建立報文的應(yīng)用層數(shù)據(jù)進(jìn)行分析來決定相關(guān)的轉(zhuǎn)發(fā)端口等信息，因此具有部分的應(yīng)用層信息過濾功能。狀態(tài)檢測技術(shù)的優(yōu)缺點優(yōu)點1缺點2狀態(tài)檢測技術(shù)的優(yōu)缺點優(yōu)點1

安全性比靜態(tài)包過濾技術(shù)高。狀態(tài)檢測機(jī)制可以區(qū)分連接的發(fā)起方與接收方；可以通過狀態(tài)分析阻斷更多的復(fù)雜攻擊行為；可以通過分析打開相應(yīng)的端口而不是“一刀切”，要么全打開要么全不打開。與靜態(tài)包過濾技術(shù)相比，提升了防火墻的性能。狀態(tài)檢測機(jī)制對連接的初始報文進(jìn)行詳細(xì)檢查，而對后續(xù)報文不需要進(jìn)行相同的動作，只需快速通過即可。狀態(tài)檢測技術(shù)的優(yōu)缺點缺點2

主要工作在網(wǎng)絡(luò)層和傳輸層，對報文的數(shù)據(jù)部分檢查很少，安全性還不夠高。檢查內(nèi)容多，對防火墻的性能提出了更高的要求。全狀態(tài)檢測(StatefulInspection)ApplicationPresentationSessionTransportDataLinkPhysicalDataLinkPhysicalApplicationPresentationSessionTransportDataLinkPhysicalNetworkNetworkNetworkPresentationSessionTransportEngineINSPECTApplicationDynamicStateTables代理技術(shù)2

代理技術(shù)的具體作用1

代理技術(shù)概述4

代理技術(shù)的優(yōu)缺點3

代理技術(shù)的種類本書的封面代理技術(shù)概述

代理代碼

2代理的執(zhí)行1代理技術(shù)與包過濾技術(shù)的安全性比較4代理服務(wù)器的部署與實現(xiàn)

3代理技術(shù)的具體應(yīng)用隱藏內(nèi)部主機(jī)

1

代理服務(wù)器的作用之一隱藏內(nèi)部網(wǎng)絡(luò)中的主機(jī)。由于有代理服務(wù)器的存在，所以外部主機(jī)無法直接連接到內(nèi)部主機(jī)。它只能看到代理服務(wù)器，因此只能連接到代理服務(wù)器上。這種特性是十分重要的，因為外部用戶無法進(jìn)行針對內(nèi)部網(wǎng)絡(luò)的探測，也就無法對內(nèi)部網(wǎng)絡(luò)上的主機(jī)發(fā)起攻擊。代理服務(wù)器在應(yīng)用層對數(shù)據(jù)包進(jìn)行更改，以自己的身份向目的地重新發(fā)出請求，徹底改變了數(shù)據(jù)包的訪問特性。代理技術(shù)概述代理的執(zhí)行1

代理的執(zhí)行分為兩種情況：一種情況是代理服務(wù)器監(jiān)聽來自內(nèi)部網(wǎng)絡(luò)的服務(wù)請求。當(dāng)請求到達(dá)代理服務(wù)器時按照安全策略對數(shù)據(jù)包中的首部和數(shù)據(jù)部分信息進(jìn)行檢查。通過檢查后，代理服務(wù)器將請求的源地址改成自己的地址再轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)的目標(biāo)主機(jī)上。外部主機(jī)收到的請求將顯示為來自代理服務(wù)器而不是源內(nèi)部主機(jī)。代理服務(wù)器在收到外部主機(jī)的應(yīng)答時，首先要按照安全策略檢查包的首部和數(shù)據(jù)部分的內(nèi)容是否符合安全要求。通過檢查后，代理服務(wù)器將數(shù)據(jù)包的目的地址改為內(nèi)部源主機(jī)的IP地址，然后將應(yīng)答數(shù)據(jù)轉(zhuǎn)發(fā)至該內(nèi)部源主機(jī)。另外一種情況是內(nèi)部主機(jī)只接收代理服務(wù)器轉(zhuǎn)發(fā)的信息而不接收任何外部地址主機(jī)發(fā)來的信息。這個時候外部主機(jī)只能將信息發(fā)送至代理服務(wù)器，由代理服務(wù)器轉(zhuǎn)發(fā)至內(nèi)部網(wǎng)絡(luò)，相當(dāng)于代理服務(wù)器對外部網(wǎng)絡(luò)執(zhí)行代理操作。具體來說，所有發(fā)往內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包都要經(jīng)過代理服務(wù)器的安全檢查，通過后將源IP地址改為代理服務(wù)器的IP地址，然后這些數(shù)據(jù)包才能被代理服務(wù)器轉(zhuǎn)發(fā)至內(nèi)部網(wǎng)絡(luò)中的目標(biāo)主機(jī)。代理服務(wù)器負(fù)責(zé)監(jiān)控整個的通信過程以保證通信過程的安全性。代理技術(shù)概述代理代碼2

代理服務(wù)器的作用之一隱藏內(nèi)部網(wǎng)絡(luò)中的主機(jī)。由于有代理服務(wù)器的存在，所以外部主機(jī)無法直接連接到內(nèi)部主機(jī)。它只能看到代理服務(wù)器，因此只能連接到代理服務(wù)器上。這種特性是十分重要的，因為外部用戶無法進(jìn)行針對內(nèi)部網(wǎng)絡(luò)的探測，也就無法對內(nèi)部網(wǎng)絡(luò)上的主機(jī)發(fā)起攻擊。代理服務(wù)器在應(yīng)用層對數(shù)據(jù)包進(jìn)行更改，以自己的身份向目的地重新發(fā)出請求，徹底改變了數(shù)據(jù)包的訪問特性。代理技術(shù)概述代理服務(wù)器的部署與實現(xiàn)

3

代理服務(wù)器通常安裝在堡壘主機(jī)或者雙宿主網(wǎng)關(guān)上。如果將代理服務(wù)器程序安裝在堡壘主機(jī)上，則可能采取不同的部署與實現(xiàn)結(jié)構(gòu)。比如說采用屏蔽主機(jī)或者屏蔽子網(wǎng)方案，將堡壘主機(jī)置于過濾路由器之后。這樣堡壘主機(jī)還可以獲得過濾路由器提供的、額外的保護(hù)。缺點則是如果過濾路由器被攻陷，則數(shù)據(jù)將旁路安裝代理服務(wù)器程序的堡壘主機(jī)，即代理服務(wù)器將不起作用。代理技術(shù)概述代理技術(shù)與包過濾技術(shù)的安全性比較

4

相對于包過濾技術(shù)而言，代理技術(shù)能夠為用戶提供更高的安全等級：代理服務(wù)器不僅掃描數(shù)據(jù)包頭部的各個字段，還要深入到包的內(nèi)部，理解數(shù)據(jù)包載荷部分內(nèi)容的含義。這可為安全檢測和日志記錄提供詳細(xì)的信息。包過濾技術(shù)采用的是基于包頭信息的過濾機(jī)制，很難與代理技術(shù)相提并論。對于外網(wǎng)來說，只能見到代理服務(wù)器而不能看見內(nèi)網(wǎng)；對于內(nèi)網(wǎng)來說，也只能看見代理服務(wù)器而看不見外網(wǎng)。實現(xiàn)了網(wǎng)絡(luò)隔離，降低了用戶網(wǎng)絡(luò)受到直接攻擊的風(fēng)險。而且對外網(wǎng)隱藏了內(nèi)網(wǎng)的結(jié)構(gòu)以及用戶，進(jìn)一步降低了用戶網(wǎng)絡(luò)遭受探測的風(fēng)險。而包過濾技術(shù)在網(wǎng)絡(luò)隔離和預(yù)防探測方面做的不是很好。包過濾技術(shù)通常由路由器實現(xiàn)。若過濾機(jī)制被破壞，則內(nèi)網(wǎng)將毫無遮攔地直接與外網(wǎng)接觸。將不可避免地出現(xiàn)網(wǎng)絡(luò)攻擊和信息泄露的現(xiàn)象。而代理服務(wù)器要是損壞的話，只能是內(nèi)網(wǎng)與外網(wǎng)的連接中斷，但無法出現(xiàn)網(wǎng)絡(luò)攻擊和信息泄漏的現(xiàn)象。從這個角度看，代理技術(shù)比包過濾技術(shù)安全。代理技術(shù)的具體應(yīng)用過濾內(nèi)容2隱藏內(nèi)部主機(jī)

1保障安全

4提高系統(tǒng)性能

3保護(hù)電子郵件

6阻斷URL

5信息重定向

8身份認(rèn)證

7代理技術(shù)的具體應(yīng)用隱藏內(nèi)部主機(jī)

1

代理服務(wù)器的作用之一隱藏內(nèi)部網(wǎng)絡(luò)中的主機(jī)。由于有代理服務(wù)器的存在，所以外部主機(jī)無法直接連接到內(nèi)部主機(jī)。它只能看到代理服務(wù)器，因此只能連接到代理服務(wù)器上。這種特性是十分重要的，因為外部用戶無法進(jìn)行針對內(nèi)部網(wǎng)絡(luò)的探測，也就無法對內(nèi)部網(wǎng)絡(luò)上的主機(jī)發(fā)起攻擊。代理服務(wù)器在應(yīng)用層對數(shù)據(jù)包進(jìn)行更改，以自己的身份向目的地重新發(fā)出請求，徹底改變了數(shù)據(jù)包的訪問特性。代理技術(shù)的具體應(yīng)用過濾內(nèi)容2

在應(yīng)用層進(jìn)行檢查的另一個重要的作用是可以掃描數(shù)據(jù)包的內(nèi)容。這些內(nèi)容可能包含敏感的或者被嚴(yán)格禁止流出用戶網(wǎng)絡(luò)的信息，以及一些容易引起安全威脅的數(shù)據(jù)。后者包括不安全的Javaapplet小程序、ActiveX控件以及電子郵件中的附件等等。而這些內(nèi)容是包過濾技術(shù)無法控制的。支持內(nèi)容的掃描是代理技術(shù)與其它安全技術(shù)的一個重要區(qū)別。代理技術(shù)的具體應(yīng)用提高系統(tǒng)性能

3

雖然從訪問控制的角度考慮，代理服務(wù)器因為執(zhí)行了很細(xì)致的過濾功能而加大了網(wǎng)絡(luò)訪問的延遲。但是它身處網(wǎng)絡(luò)服務(wù)的最高層，可以綜合利用緩存等多種手段優(yōu)化對網(wǎng)絡(luò)的訪問，由此還進(jìn)一步減少了因為網(wǎng)絡(luò)訪問產(chǎn)生的系統(tǒng)負(fù)載。因此，精心配置的代理技術(shù)可以提高系統(tǒng)的整體性能。代理技術(shù)的具體應(yīng)用保障安全

4

安全性的保障不僅僅指過濾功能的強(qiáng)大，還包括對過往數(shù)據(jù)日志的詳細(xì)分析和審計。這是因為從這些數(shù)據(jù)中能夠發(fā)現(xiàn)過濾功能難以發(fā)現(xiàn)的攻擊行為序列，可以及時地提醒管理人員采取必要的安全保護(hù)措施；還可以對網(wǎng)絡(luò)訪問量進(jìn)行統(tǒng)計進(jìn)而優(yōu)化網(wǎng)絡(luò)訪問的規(guī)則，為用戶提供更好的服務(wù)。代理技術(shù)處于網(wǎng)絡(luò)協(xié)議的最高層，可以為日志的分析和審計提供最詳盡的信息，由此提高了網(wǎng)絡(luò)的安全性。代理技術(shù)的具體應(yīng)用阻斷URL

5

在代理服務(wù)器上可以實現(xiàn)針對特定網(wǎng)址及其服務(wù)器的阻斷，以實現(xiàn)阻止內(nèi)部用戶瀏覽不符合組織或機(jī)構(gòu)安全策略的網(wǎng)站內(nèi)容。代理技術(shù)的具體應(yīng)用保護(hù)電子郵件

6

電子郵件系統(tǒng)是互聯(lián)網(wǎng)最重要的信息交互系統(tǒng)之一，但是它的開放性特點使得它非常脆弱，而且由于安全性較弱所以經(jīng)常被攻擊者做為網(wǎng)絡(luò)攻擊的重要途徑。代理服務(wù)器可以實現(xiàn)對重要的內(nèi)部郵件服務(wù)器的保護(hù)。通過郵件代理對郵件信息的重組與轉(zhuǎn)發(fā)，使得內(nèi)部郵件服務(wù)器不與外部網(wǎng)絡(luò)發(fā)生直接的聯(lián)系，從而達(dá)到保護(hù)的目的。代理技術(shù)的具體應(yīng)用身份認(rèn)證

7

代理技術(shù)能夠?qū)崿F(xiàn)包過濾技術(shù)無法實現(xiàn)的身份認(rèn)證功能。將身份認(rèn)證技術(shù)融合進(jìn)安全過濾功能中能夠大幅度提高用戶的安全性。支持身份認(rèn)證技術(shù)是現(xiàn)代防火墻的一個重要特征。具體的方式有傳統(tǒng)的用戶賬號/口令、基于密碼技術(shù)的挑戰(zhàn)/響應(yīng)等等。代理技術(shù)的具體應(yīng)用信息重定向

8

代理技術(shù)從本質(zhì)上是一種信息的重定向技術(shù)。這是因為它可以根據(jù)用戶網(wǎng)絡(luò)的安全需要改變數(shù)據(jù)包的源或目的地址，將數(shù)據(jù)包導(dǎo)引到符合系統(tǒng)需要的地方去。這在基于HTTP協(xié)議的多WWW服務(wù)器應(yīng)用領(lǐng)域中尤為重要。在這種環(huán)境下，代理服務(wù)器起到負(fù)載分配器和負(fù)載平衡器的作用。代理技術(shù)的種類應(yīng)用層網(wǎng)關(guān)1電路級網(wǎng)關(guān)2代理技術(shù)的種類應(yīng)用層網(wǎng)關(guān)1

應(yīng)用層網(wǎng)關(guān)能夠在應(yīng)用層截獲進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包，運行代理服務(wù)器程序來轉(zhuǎn)發(fā)信息。它能夠避免內(nèi)部主機(jī)與外部不可信網(wǎng)絡(luò)之間的直接連接。它僅接收、過濾和轉(zhuǎn)發(fā)特定服務(wù)的數(shù)據(jù)包。對于那些沒有在應(yīng)用層網(wǎng)關(guān)上安裝代理的服務(wù)來說，將無法進(jìn)行網(wǎng)絡(luò)訪問。它對數(shù)據(jù)包進(jìn)行深度過濾，檢查行為一直深入到網(wǎng)絡(luò)協(xié)議的應(yīng)用層。它的缺點是對每一種服務(wù)都要開發(fā)一種專用的代理代碼，實現(xiàn)麻煩，不及時，而且缺乏透明性。其優(yōu)點是配置簡單、安全性高、還能支持很多應(yīng)用。下圖為應(yīng)用層網(wǎng)關(guān)實現(xiàn)HTTP協(xié)議代理的示意圖：代理技術(shù)的種類電路級網(wǎng)關(guān)2

電路級網(wǎng)關(guān)工作在會話層?？勺鳛榉?wù)器接收并轉(zhuǎn)發(fā)外部請求，與內(nèi)部主機(jī)連接時則起代理客戶機(jī)的作用。它使用自己獨立的網(wǎng)絡(luò)協(xié)議棧完成TCP的連接而不使用操作系統(tǒng)的協(xié)議棧，因此可以監(jiān)視主機(jī)建立連接時的各種數(shù)據(jù)是否合乎邏輯、會話請求是否合法。一旦連接建立，則只負(fù)責(zé)數(shù)據(jù)的轉(zhuǎn)發(fā)而不進(jìn)行過濾。用戶需要改變自己的客戶端程序來建立與電路級網(wǎng)關(guān)的通信通道，只有這樣才能到達(dá)防火墻另一邊的服務(wù)器。下圖為電路級網(wǎng)關(guān)示意圖：應(yīng)用層網(wǎng)關(guān)也稱為代理服務(wù)器特點所有的連接都通過防火墻，防火墻作為網(wǎng)關(guān)在應(yīng)用層上實現(xiàn)可以監(jiān)視包的內(nèi)容可以實現(xiàn)基于用戶的認(rèn)證所有的應(yīng)用需要單獨實現(xiàn)可以提供理想的日志功能非常安全，但是開銷比較大應(yīng)用層網(wǎng)關(guān)的結(jié)構(gòu)示意圖應(yīng)用層網(wǎng)關(guān)的協(xié)議棧結(jié)構(gòu)HTTPFTPTelnetSmtp傳輸層網(wǎng)絡(luò)層鏈路層應(yīng)用層網(wǎng)關(guān)的優(yōu)缺點優(yōu)點允許用戶“直接”訪問Internet易于記錄日志缺點新的服務(wù)不能及時地被代理每個被代理的服務(wù)都要求專門的代理軟件客戶軟件需要修改，重新編譯或者配置有些服務(wù)要求建立直接連接，無法使用代理比如聊天服務(wù)、或者即時消息服務(wù)代理服務(wù)不能避免協(xié)議本身的缺陷或者限制應(yīng)用層網(wǎng)關(guān)實現(xiàn)編寫代理軟件代理軟件一方面是服務(wù)器軟件但是它所提供的服務(wù)可以是簡單的轉(zhuǎn)發(fā)功能另一方面也是客戶軟件對于外面真正的服務(wù)器來說，是客戶軟件針對每一個服務(wù)都需要編寫模塊或者單獨的程序?qū)崿F(xiàn)一個標(biāo)準(zhǔn)的框架，以容納各種不同類型的服務(wù)軟件實現(xiàn)的可擴(kuò)展性和可重用性客戶軟件軟件需要定制或者改寫對于最終用戶的透明性？協(xié)議對于應(yīng)用層網(wǎng)關(guān)的處理協(xié)議設(shè)計時考慮到中間代理的存在，特別是在考慮安全性，比如數(shù)據(jù)完整性的時候應(yīng)用層網(wǎng)關(guān)——代理服務(wù)器發(fā)展方向——智能代理不僅僅完成基本的代理訪問功能還可以實現(xiàn)其他的附加功能，比如對于內(nèi)容的自適應(yīng)剪裁增加計費功能提供數(shù)據(jù)緩沖服務(wù)兩個代理服務(wù)器的實現(xiàn)例子MSP–MicrosoftProxyServersquidMicrosoftProxyServer2.0一個功能強(qiáng)大的代理服務(wù)器提供常用的Internet服務(wù)除了基本的WebProxy，還有SocksProxy和WinsockProxy強(qiáng)大的cache和log功能對于軟硬件的要求比較低安裝管理簡單與NT/2000集成的認(rèn)證機(jī)制擴(kuò)展的一些功能反向proxy:proxy作為Internet上的一個Webserver反向hosting，以虛擬WebServer的方式為后面的WebServer獨立地發(fā)布到Internet上安全報警MicrosoftProxyServerv2管理示意圖squid關(guān)于squid是一個功能全面的WebProxyCache可以運行在各種UNIX版本上是一個自由軟件，而且源碼開放功能強(qiáng)大，除了http協(xié)議之外，還支持許多其它的協(xié)議，如ftp、ssl、DNS等代理服務(wù)管理和配置/usr/local/squid

/etc/squid.conf默認(rèn)端口3128一種使用方案Linux+Squid電路級網(wǎng)關(guān)電路級網(wǎng)關(guān)本質(zhì)上，也是一種代理服務(wù)器有狀態(tài)的包過濾器動態(tài)包過濾器狀態(tài)上下文環(huán)境流狀態(tài)認(rèn)證和授權(quán)方案例子：sockssocks專門設(shè)計用于防火墻在應(yīng)用層和傳輸層之間墊了一層Sockslib和socksserver不支持ICMPSocksv4和socksv5基于用戶的認(rèn)證方案對UDP的支持正在普及和流行可以參考有關(guān)的RFCsocks應(yīng)用傳輸層網(wǎng)絡(luò)層鏈路層clientSocksserverpolicyserverSocksv5在socksv4的基礎(chǔ)上發(fā)展起來Socksv4支持基于TCP的應(yīng)用穿越防火墻Socksv5增加了對于UDP協(xié)議的支持Socksv5增加了對于認(rèn)證方案的支持Socksv5支持IPv6地址Socks要求修改客戶程序，鏈接到sockslibrary，以便socksified首先連接到socksserver，然后再同目標(biāo)服務(wù)器連接對于UDP協(xié)議，首先同socksserver建立一個TCP連接，然后再傳送UDP數(shù)據(jù)TCP客戶的處理過程客戶首先與socksserver建立一個TCP連接，通常SOCKS端口為1080然后客戶與服務(wù)器協(xié)商認(rèn)證方案然后進(jìn)行認(rèn)證過程認(rèn)證完成之后客戶發(fā)出請求服務(wù)器送回應(yīng)答一旦服務(wù)器應(yīng)答指示成功，客戶就可以傳送數(shù)據(jù)了UDP客戶的處理過程請求命令為“UDPassociate”客戶->UDPrelayserver->目標(biāo)機(jī)器每一個UDP包包含一個UDP請求頭UDPpacket+-----+--------+-------+--------------+-------------+-----------+|RSV|FRAG|ATYP|DST.ADDR|DST.PORT|DATA|+-----+--------+-------+--------------+-------------+-----------+|2|1|1|Variable|2|Variable|+-----+--------+-------+--------------+-------------+-----------+FRAG:currentfragmentnumber電路層網(wǎng)關(guān)的優(yōu)缺點優(yōu)點效率高精細(xì)控制，可以在應(yīng)用層上授權(quán)為一般的應(yīng)用提供了一個框架缺點客戶程序需要修改動態(tài)鏈接庫？廣州大學(xué)929.4防火墻的布置防火墻的配置幾個概念堡壘主機(jī)(BastionHost)：對外部網(wǎng)絡(luò)暴露，同時也是內(nèi)部網(wǎng)絡(luò)用戶的主要連接點雙宿主主機(jī)(dual-homedhost)：至少有兩個網(wǎng)絡(luò)接口的通用計算機(jī)系統(tǒng)DMZ(DemilitarizedZone，非軍事區(qū)或者?；饏^(qū))：在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間增加的一個子網(wǎng)堡壘主機(jī)定義：堡壘主機(jī)由一臺計算機(jī)擔(dān)當(dāng)，并擁有兩塊或者多塊網(wǎng)卡分別連接各內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)。作用：隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，為內(nèi)部網(wǎng)絡(luò)設(shè)立一個檢查點，對所有進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行過濾，集中解決內(nèi)部網(wǎng)絡(luò)的安全問題。設(shè)計原則：最小服務(wù)原則、預(yù)防原則。類型：內(nèi)部堡壘主機(jī)、外部堡壘主機(jī)、犧牲主機(jī)。系統(tǒng)需求：強(qiáng)健性、可用性、可擴(kuò)展性、易用性。服務(wù)：堡壘主機(jī)一般要設(shè)置用戶網(wǎng)絡(luò)所需的網(wǎng)絡(luò)服務(wù)，并且還要設(shè)置對外提供的網(wǎng)絡(luò)服務(wù)。分為無風(fēng)險服務(wù)、低風(fēng)險服務(wù)、高風(fēng)險服務(wù)和禁用的服務(wù)4個級別。部署位置：堡壘主機(jī)的位置問題是事關(guān)堡壘主機(jī)和內(nèi)部網(wǎng)絡(luò)的安全性的重要問題。堡壘主機(jī)criticalstrongpointinnetworkhostsapplication/circuit-levelgatewayscommoncharacteristics:runssecureO/S,onlyessentialservicesmayrequireuserauthtoaccessproxyorhosteachproxycanrestrictfeatures,hostsaccessedeachproxysmall,simple,checkedforsecurityeachproxyisindependent,non-privilegedlimiteddiskuse,henceread-onlycode基于主機(jī)的防火墻usedt