《現(xiàn)代網(wǎng)絡(luò)技術(shù)》課件第12章

第12章網(wǎng)絡(luò)安全與防火墻技術(shù)12.1計(jì)算機(jī)網(wǎng)絡(luò)安全性問(wèn)題12.2網(wǎng)絡(luò)安全策略12.3網(wǎng)絡(luò)安全機(jī)制12.4網(wǎng)絡(luò)防火墻技術(shù)習(xí)題

12.1計(jì)算機(jī)網(wǎng)絡(luò)安全性問(wèn)題12.1.1網(wǎng)絡(luò)安全的基本概念從廣義上講，網(wǎng)絡(luò)安全是指確保網(wǎng)絡(luò)上的信息和資源不被非授權(quán)用戶(hù)所使用。為保證網(wǎng)絡(luò)的安全性，就必須對(duì)信息處理和數(shù)據(jù)存儲(chǔ)進(jìn)行物理安全保護(hù)。它包括：安全放置設(shè)備(即設(shè)備遠(yuǎn)離水、火、電磁輻射等惡劣環(huán)境)、物理訪問(wèn)控制(如指紋、口令、身份驗(yàn)證等)、數(shù)據(jù)加密控制等措施。這些措施對(duì)網(wǎng)絡(luò)安全和信息保護(hù)起著重要的作用。網(wǎng)絡(luò)安全強(qiáng)調(diào)的是數(shù)據(jù)信息的完整性(Integrity)、可用性(Availability)和保密性(ConfidentialityandPrivacy)。所謂完整性，是指保護(hù)信息不被非授權(quán)用戶(hù)修改或破壞?？捎眯允侵副苊饩芙^授權(quán)訪問(wèn)或拒絕服務(wù)。保密性是指保護(hù)信息不泄露給非授權(quán)用戶(hù)。12.1.2網(wǎng)絡(luò)安全的威脅因素網(wǎng)絡(luò)威脅是指安全性受到潛在破壞，計(jì)算機(jī)網(wǎng)絡(luò)所面臨的攻擊和威脅因素主要來(lái)自人為和非人為因素。非人為威脅因素主要是指自然災(zāi)害造成的不安全因素，如地震、水災(zāi)、火災(zāi)、戰(zhàn)爭(zhēng)等原因造成網(wǎng)絡(luò)中斷、數(shù)據(jù)破壞、數(shù)據(jù)丟失等。解決的辦法為軟硬件系統(tǒng)的選擇、機(jī)房的選址與設(shè)計(jì)、雙機(jī)熱備份、數(shù)據(jù)備份等。人為威脅因素往往是由威脅源(入侵者或入侵程序)利用系統(tǒng)資源組的脆弱環(huán)節(jié)進(jìn)行人為入侵而產(chǎn)生的。網(wǎng)絡(luò)安全攻擊的形式如圖12-1所示。圖12-1網(wǎng)絡(luò)安全攻擊的幾種形式中斷(Interruption)：以可用性作為攻擊目標(biāo)，它毀壞系統(tǒng)資源，切斷通信線路，造成文件系統(tǒng)不可用。截獲(Interception)：以保密性作為攻擊目標(biāo)，非授權(quán)用戶(hù)通過(guò)某種手段獲得對(duì)系統(tǒng)資源的訪問(wèn)，如竊聽(tīng)、非法拷貝等。修改(Modifucation)：以完整性作為攻擊目標(biāo)，非授權(quán)用戶(hù)不僅獲得對(duì)系統(tǒng)資源的訪問(wèn)，而且可對(duì)文件進(jìn)行篡改，如改變數(shù)據(jù)文件中的數(shù)據(jù)或修改網(wǎng)上傳輸?shù)男畔⒌?。偽?Fabrication)：以完整性作為攻擊目標(biāo)，非授權(quán)用戶(hù)將偽造的數(shù)據(jù)插入到正常系統(tǒng)中，如在網(wǎng)絡(luò)上散布一些虛假信息等。網(wǎng)絡(luò)安全攻擊又可分為主動(dòng)進(jìn)攻和被動(dòng)進(jìn)攻。被動(dòng)進(jìn)攻的主要目的是竊聽(tīng)和監(jiān)視信息的傳輸和存儲(chǔ)，攻擊者的目標(biāo)只是想獲得被傳輸?shù)男畔?。被?dòng)進(jìn)攻又可進(jìn)一步分為信息竊聽(tīng)和數(shù)據(jù)流分析。電話通話、電子郵件和文件傳輸中可能包含一些非常敏感和絕密的信息，人們希望這些信息不會(huì)泄露給其他人。盡管信息可通過(guò)加密來(lái)保護(hù)，但對(duì)手仍可以通過(guò)觀察數(shù)據(jù)流的模式、信息交換的頻率和長(zhǎng)度等，得知通信雙方的方位和身份，甚至猜測(cè)出通信的本質(zhì)內(nèi)容。被動(dòng)攻擊通常很難被檢測(cè)出來(lái)，因?yàn)樗桓淖償?shù)據(jù)，但預(yù)防這種攻擊的發(fā)生是可能的。對(duì)被動(dòng)攻擊通常采用以預(yù)防為主的手段，而不是檢測(cè)恢復(fù)手段。主動(dòng)攻擊通常修改數(shù)據(jù)流或創(chuàng)建一些虛假數(shù)據(jù)流。它包括偽造(如一個(gè)實(shí)體假冒成另一個(gè)實(shí)體)、重演(被動(dòng)截獲數(shù)據(jù)之后重發(fā))、修改(對(duì)合法數(shù)據(jù)進(jìn)行修改或重排)、拒絕服務(wù)(阻礙或禁止通信設(shè)施的正常使用或管理)。對(duì)于主動(dòng)進(jìn)攻，要絕對(duì)預(yù)防是非常困難的，因?yàn)檫@需要在所有時(shí)間內(nèi)對(duì)所有通信設(shè)施或路徑實(shí)行物理安全保護(hù)。但是，主動(dòng)進(jìn)攻通常可以采取有效的檢測(cè)和恢復(fù)手段進(jìn)行保護(hù)，由于檢測(cè)具有一定的威懾效果，從而對(duì)預(yù)防也能起到一定的作用。12.1.3網(wǎng)絡(luò)安全的評(píng)估標(biāo)準(zhǔn)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的評(píng)估，目前常用美國(guó)國(guó)防部計(jì)算機(jī)安全中心發(fā)布的“橘皮書(shū)”，即《可信計(jì)算系統(tǒng)評(píng)估標(biāo)準(zhǔn)》(TrustedComputerSystemEvaluationCriteria)。其評(píng)估標(biāo)準(zhǔn)主要基于系統(tǒng)安全策略的制定、系統(tǒng)使用狀態(tài)的可審計(jì)性及對(duì)安全策略的準(zhǔn)確解釋和實(shí)施的可靠性等方面的要求。在標(biāo)準(zhǔn)中，系統(tǒng)安全程度被分為A、B、C、D四類(lèi)，每一類(lèi)又分為若干等級(jí)，共八個(gè)等級(jí)，它們從低到高分別是D、C1、C2、B1、B2、B3、A1、A2。其中以D級(jí)系統(tǒng)的安全度最低，常見(jiàn)的無(wú)密碼保護(hù)的個(gè)人計(jì)算機(jī)系統(tǒng)即屬此類(lèi)，通常具有密碼保護(hù)的多用戶(hù)的工作站系統(tǒng)屬于C1級(jí)。一個(gè)網(wǎng)絡(luò)系統(tǒng)所能達(dá)到的最高安全等級(jí)不超過(guò)網(wǎng)絡(luò)上安全性能最低環(huán)節(jié)的安全等級(jí)。因而計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的實(shí)現(xiàn)具有更高的難度。12.2網(wǎng)絡(luò)安全策略計(jì)算機(jī)網(wǎng)絡(luò)的安全策略應(yīng)當(dāng)能夠提供以下的安全服務(wù)。

1．對(duì)象認(rèn)證(EntityAuthentication)安全認(rèn)證是防止主動(dòng)攻擊的重要防御措施，它對(duì)于開(kāi)放系統(tǒng)環(huán)境中的各種信息安全有重要的作用。認(rèn)證就是識(shí)別和證實(shí)。識(shí)別是指辨明一個(gè)對(duì)象的身份，證實(shí)是指證明該對(duì)象的身份就是其聲明的身份。OSI環(huán)境可提供對(duì)等實(shí)體認(rèn)證的安全服務(wù)和信源認(rèn)證的安全服務(wù)。

2．訪問(wèn)控制(AccessControl)訪問(wèn)控制安全是針對(duì)越權(quán)使用資源的防御措施。訪問(wèn)控制大體可分為自主訪問(wèn)控制和強(qiáng)制訪問(wèn)控制兩類(lèi)。其實(shí)現(xiàn)機(jī)制可以是基于訪問(wèn)控制屬性的訪問(wèn)控制表(或訪問(wèn)控制矩陣)，或基于“安全標(biāo)簽”、用戶(hù)分類(lèi)和資源分檔的多級(jí)訪問(wèn)控制等。

3．?dāng)?shù)據(jù)保密性(DataConfidentiality)數(shù)據(jù)保密性安全是針對(duì)信息泄漏的防御措施，它又分為信息保密、選擇數(shù)據(jù)段保密與業(yè)務(wù)流保密等。

4．?dāng)?shù)據(jù)完整性(DataIntegrity)數(shù)據(jù)完整性安全是針對(duì)非法篡改信息、文件和業(yè)務(wù)流而設(shè)置的防范措施，以保證資源的可獲得性，它又分為連接完整性、無(wú)連接完整性、選擇數(shù)據(jù)段有連接完整性與選擇數(shù)據(jù)段無(wú)連接完整性。

5．防抵賴(lài)(Non-repudiation)防抵賴(lài)安全是針對(duì)對(duì)方進(jìn)行抵賴(lài)的防范措施，可用來(lái)證實(shí)發(fā)生過(guò)的操作。它可分為對(duì)發(fā)送防抵賴(lài)、對(duì)遞交防抵賴(lài)與公證。12.3.1加密密碼學(xué)有著悠久而燦爛的歷史，經(jīng)典的密碼學(xué)是關(guān)于加密和解密的理論，主要用于保密通信。圖12-2為密碼技術(shù)中的加/解密模型，在模型中將被加密的信息稱(chēng)為明文(Plaintext)，明文經(jīng)過(guò)以密鑰(Key)為參數(shù)的函數(shù)轉(zhuǎn)換(即加密)得到的結(jié)果稱(chēng)為密文(Ciphertext)。密文在信道上傳輸，入侵者(Intruder)可能會(huì)從信道上獲得密文。由于竊密者不知道密鑰，因而不能輕易地破譯密文。有些入侵者僅僅監(jiān)聽(tīng)信道接收信息，將這種入侵者稱(chēng)為被動(dòng)入侵者；而有些入侵者不僅監(jiān)聽(tīng)信道接收信息，而且還要記錄信息并且修改信道中的信息，這樣的入侵者稱(chēng)為主動(dòng)入侵者。12.3網(wǎng)絡(luò)安全機(jī)制為了更好地說(shuō)明圖12-2的模型，用數(shù)學(xué)符號(hào)和表達(dá)式來(lái)表示相關(guān)的信息。C＝Ek(P)表示對(duì)明文P使用密鑰K(加密密鑰)進(jìn)行加密，獲得密文C。類(lèi)似地，P＝Dk(C)表示對(duì)密文C解密(解密密鑰也為K)得到明文P。需要注意的是，E和D是數(shù)學(xué)函數(shù)，而且兩者都有兩個(gè)參數(shù)，把其中的一個(gè)參數(shù)(密鑰)標(biāo)注為下標(biāo)，而不是變量，以便將它與待加/解密的信息相區(qū)別。我們將五元組(P，C，K，E，D)稱(chēng)為一個(gè)密碼體制。一個(gè)實(shí)用的密碼體制還要滿(mǎn)足以下兩點(diǎn)：

(1)對(duì)所有密鑰，加/解密算法必須迅速有效，常常需要實(shí)時(shí)使用。

(2)體制的安全性不依賴(lài)于算法的保密，只依賴(lài)于密鑰的保密。密碼學(xué)的一條基本原則是：必須假定破譯者知道一般的加密方法，也就是說(shuō)破譯者知道如圖12-2所示的一般加密方法的工作原理。而上述模型的保密性體現(xiàn)在密鑰上，為此在圖12-2的加/解密模型中必須引入密鑰。密鑰通常由一小串字符組成，與加密方法相比，密鑰可以按需頻繁更換。圖12-2加/解密模型由于加密算法是公開(kāi)的，因此對(duì)于圖12-2的模型，其真正的保密性取決于密鑰(加/解密密鑰)，而且密鑰的長(zhǎng)度就成為一個(gè)關(guān)鍵問(wèn)題。為了說(shuō)明這個(gè)問(wèn)題，看一個(gè)密碼鎖的例子。大家都知道，目前大部分密碼鎖是由一串?dāng)?shù)字組合而成的，即密碼鎖的加密算法是眾所周知的，但密碼(即密鑰)是保密的。一個(gè)兩位數(shù)(十進(jìn)制)的密碼意味著有100種可能性，一個(gè)3位數(shù)的密碼意味著有1000種可能性，而一個(gè)6位數(shù)的密碼則意味著有100萬(wàn)種可能性。密碼位數(shù)越長(zhǎng)，破譯者破譯密碼鎖的可能性越小。通過(guò)對(duì)密碼空間的窮盡搜索來(lái)破譯保密系統(tǒng)的困難程度與密碼長(zhǎng)度成指數(shù)關(guān)系。這里，密碼鎖的保密性由長(zhǎng)密鑰來(lái)保證。傳統(tǒng)加密技術(shù)將要傳輸?shù)男畔⒔?jīng)過(guò)一定的變換后再進(jìn)行發(fā)送，以達(dá)到保密的要求。傳統(tǒng)加密技術(shù)的保密性取決于破譯員的譯碼能力。為了增加保密性，必須經(jīng)常更換加密算法?，F(xiàn)代加密技術(shù)使用的算法非常復(fù)雜。這樣，即使破譯員得到了一大堆密文，也無(wú)從下手。下面討論兩種加密技術(shù)：秘密密鑰加密和公開(kāi)密鑰加密。

1．秘密密鑰加密傳統(tǒng)的加密技術(shù)是：發(fā)送方和接收方必須使用相同的密鑰，而且密鑰必須保密。這種加密方法稱(chēng)為秘密密鑰加密。它的原理是：發(fā)送方用該密鑰對(duì)待發(fā)數(shù)據(jù)進(jìn)行加密，然后加密數(shù)據(jù)傳送到接收方，接收方再用相同的密鑰對(duì)收到的加密數(shù)據(jù)進(jìn)行解密。這一過(guò)程表示成數(shù)學(xué)形式如下發(fā)送方使用的加密函數(shù)encrypt有兩個(gè)參數(shù)：密鑰K和待加密數(shù)據(jù)M，加密后的數(shù)據(jù)為E，則E為：

E＝encrypt(K，M)而接收方使用的解密函數(shù)decrypt進(jìn)行上述過(guò)程的逆運(yùn)算，就產(chǎn)生了原來(lái)的數(shù)據(jù)M，為：

M＝decrypt(K，E)數(shù)學(xué)上，decrypt和encrypt互為逆函數(shù)，有：

M＝decrypt(K，encrypt(K，M))

2．公開(kāi)密鑰加密很多加密方法中，密鑰必須是保密的。但有一種十分有趣的加密方法稱(chēng)為公開(kāi)密鑰加密。它給每個(gè)用戶(hù)分配兩把密鑰：一個(gè)是私有密鑰，是保密的；另一個(gè)是公開(kāi)密鑰，是眾所周知的。該方法的加密函數(shù)必須具備如下數(shù)學(xué)特性：用公開(kāi)密鑰加密的數(shù)據(jù)除了使用相應(yīng)的私有密鑰外很難被解密；同樣，用私有密鑰加密的數(shù)據(jù)除了使用相應(yīng)的公開(kāi)密鑰外也很難被解密。這種用兩把密鑰加密和解密的方法可以表示成如下的數(shù)學(xué)形式：假設(shè)M表示一段數(shù)據(jù)，pub-u1表示用戶(hù)U1的公開(kāi)密鑰，prv-u1表示用戶(hù)U1的私有密鑰，那么有：

M＝decrypt(pub-u1，encrypt(prv-u1，M))和 M＝decrypt(prv-u1，encrypt(pub-u1，M))這種方法是安全的，因?yàn)榧用芎徒饷艿暮瘮?shù)具有單向性質(zhì)。也就是說(shuō)，僅知道了公開(kāi)密鑰并不能偽造由相應(yīng)私有密鑰加密過(guò)的數(shù)據(jù)?？梢宰C明，公開(kāi)密鑰加密法能夠保證保密性。只要發(fā)送方使用接收方的公開(kāi)密鑰來(lái)加密待發(fā)數(shù)據(jù)，那么就只有接收方能夠讀懂該加密數(shù)據(jù)，因?yàn)榻饷鼙仨氁澜邮辗降乃接忻荑€。12.3.2鑒別鑒別(Authentication)是驗(yàn)證通信對(duì)象真實(shí)身份的技術(shù)。驗(yàn)證遠(yuǎn)端通信對(duì)象是否是一個(gè)惡意的入侵者是比較困難的，需要密碼學(xué)的復(fù)雜協(xié)議。與鑒別容易混淆的另一個(gè)概念是授權(quán)(Authorization)。事實(shí)上，鑒別關(guān)心的是通信的特定對(duì)象的真實(shí)身份是否是其自己宣稱(chēng)的身份，而授權(quán)關(guān)心的是允許此對(duì)象做什么。例如，一個(gè)客戶(hù)進(jìn)程向某個(gè)服務(wù)器發(fā)出請(qǐng)求，“我是管理員，我要?jiǎng)h除network.txt文件”。從文件服務(wù)器的觀點(diǎn)來(lái)看，有兩個(gè)問(wèn)題必須回答：

(1)客戶(hù)是否確實(shí)為管理員(鑒別)？

(2)允許管理員刪除network.txt文件嗎(授權(quán))？只有對(duì)上述兩個(gè)問(wèn)題都作出了肯定回答后，客戶(hù)的請(qǐng)求動(dòng)作才會(huì)執(zhí)行。而對(duì)于服務(wù)器來(lái)說(shuō)，鑒別是一個(gè)關(guān)鍵問(wèn)題。一旦服務(wù)器知道是誰(shuí)發(fā)出的請(qǐng)求，查看授權(quán)就成為一個(gè)查看本地授權(quán)表的問(wèn)題。目前在Internet中經(jīng)常使用的一種鑒別方式是使用IP地址鑒別。使用IP地址鑒別時(shí)，管理員要為服務(wù)器配置一個(gè)合法的源IP地址表，對(duì)于每個(gè)客戶(hù)發(fā)來(lái)的請(qǐng)求報(bào)文，服務(wù)器將檢查其源IP地址。服務(wù)器只接收那些來(lái)自已授權(quán)的客戶(hù)計(jì)算機(jī)(使用合法IP地址的機(jī)器)的請(qǐng)求。但這種源IP地址鑒別方式較差，原因在于它很容易被攻破。在Internet中，一個(gè)IP報(bào)文會(huì)穿越多個(gè)中間網(wǎng)絡(luò)和路由器，源IP地址表可能會(huì)在其中一個(gè)機(jī)器上遭到攻擊。例如，若一個(gè)假冒者控制了某個(gè)路由器R，而該路由器位于服務(wù)器和一個(gè)合法客戶(hù)之間。為了訪問(wèn)服務(wù)器，假冒者首先改變路由器R中的路由信息，之后，他便使用已授權(quán)的IP地址構(gòu)造一個(gè)合法的請(qǐng)求，服務(wù)器接收該請(qǐng)求并響應(yīng)該請(qǐng)求。當(dāng)服務(wù)器的響應(yīng)達(dá)到路由器R時(shí)，路由器R會(huì)將它沿著一個(gè)不正確的路由轉(zhuǎn)發(fā)給假冒者，從而使它被截獲?？蛻?hù)也會(huì)遇到和服務(wù)器同樣的問(wèn)題，因?yàn)榧倜罢咭部梢悦俺浞?wù)器。舉例來(lái)說(shuō)，假設(shè)某個(gè)客戶(hù)負(fù)責(zé)向一個(gè)遠(yuǎn)地電子郵件系統(tǒng)發(fā)送郵件，如果該郵件含有敏感信息的話，客戶(hù)就必須驗(yàn)證它是否在與一個(gè)假冒者進(jìn)行通信。使用秘密密鑰加密和公開(kāi)密鑰加密技術(shù)或其他技術(shù)都可以實(shí)現(xiàn)鑒別。鑒別協(xié)議比較復(fù)雜，有興趣者可參考其他書(shū)籍或資料。12.3.3數(shù)字簽名許多法律、財(cái)務(wù)以及公文的真實(shí)性和可靠性最終要根據(jù)是否有親筆簽名來(lái)確定，復(fù)印件是無(wú)效的。如果要用計(jì)算機(jī)報(bào)文代替紙墨文件的傳送，就必須找到解決親筆簽名問(wèn)題的辦法，這就是數(shù)字簽名(DigitalSignature)。設(shè)計(jì)一個(gè)數(shù)字簽名的方案是十分困難的。從根本上說(shuō)，需要這樣一個(gè)系統(tǒng)：一方通過(guò)該系統(tǒng)能依據(jù)如下條件向另一方發(fā)送自己的簽名文件：

(1)接收方能夠驗(yàn)證發(fā)送方對(duì)報(bào)文的簽名。

(2)發(fā)送方事后不能抵賴(lài)對(duì)報(bào)文的簽名。

(3)接收方自己不能偽造對(duì)報(bào)文的簽名。第(1)個(gè)條件是必須的。例如，當(dāng)一位客戶(hù)通過(guò)他的計(jì)算機(jī)向一家銀行訂購(gòu)了一噸黃金時(shí)，銀行的計(jì)算機(jī)需要證實(shí)發(fā)出訂購(gòu)請(qǐng)求的客戶(hù)確實(shí)是已經(jīng)付款的公司。第(2)個(gè)條件用于保護(hù)銀行不受欺騙。假如銀行為客戶(hù)買(mǎi)了這噸黃金，但金價(jià)隨后立即暴跌。不誠(chéng)實(shí)的客戶(hù)可能會(huì)宣稱(chēng)他從未發(fā)出過(guò)任何購(gòu)買(mǎi)黃金的訂單，而當(dāng)銀行在法庭上出示電子訂單時(shí)，該客戶(hù)完全可以賴(lài)賬。第(3)個(gè)條件用來(lái)在下述情況中保護(hù)客戶(hù)。如果金價(jià)暴漲，銀行偽造一條報(bào)文，說(shuō)客戶(hù)只要買(mǎi)一條黃金，而不是一噸黃金。有意思的是，如果采用雙重加密的話，就可以使數(shù)據(jù)同時(shí)具有身份可驗(yàn)證性和保密性。所謂雙重加密，是指首先用發(fā)送方的私有密鑰加密(數(shù)字簽名)，再用接收方的公開(kāi)密鑰對(duì)已簽名的數(shù)據(jù)再加密(保密通信)。其數(shù)學(xué)形式如下：

X＝encrypt(pub-u2，encrypt(prv-u1，M))其中：M表示原始數(shù)據(jù)，X表示雙重加密后的數(shù)據(jù)，prv-u1表示發(fā)送方U1的私有密鑰，

pub-u2表示接收方U2的公開(kāi)密鑰。在接收端，解密過(guò)程是加密過(guò)程的逆過(guò)程。首先，接收方U2用它的私有密鑰prv-u2解除外層加密，然后再用發(fā)送方U1的公開(kāi)密鑰pub-u1解除內(nèi)層加密。這一過(guò)程表示如下：

M＝decrypt(pub-ul，decrypt(prv-u2，X))經(jīng)過(guò)雙重加密的數(shù)據(jù)是保密的，因?yàn)橹挥兄付ǖ慕邮辗讲艙碛薪獬鈱蛹用芩璧慕饷苊荑€，即接收方的私有密鑰。同時(shí)該數(shù)據(jù)的身份一定是經(jīng)過(guò)驗(yàn)證的，因?yàn)橹挥邪l(fā)送方才擁有所需的加密密鑰，即發(fā)送方的私有密鑰。12.4網(wǎng)絡(luò)防火墻技術(shù)12.4.1防火墻的基本概念當(dāng)越來(lái)越多的用戶(hù)認(rèn)識(shí)到Internet能提供十分豐富的信息、多種有效的服務(wù)并具有巨大的發(fā)展?jié)摿?，他們?huì)毫無(wú)例外地考慮將本系統(tǒng)的內(nèi)聯(lián)網(wǎng)(Intranet)連入Internet，從而獲得Internet帶來(lái)的利益。過(guò)去，許多內(nèi)聯(lián)網(wǎng)獲得Internet訪問(wèn)的基本方法是將本系統(tǒng)現(xiàn)有的內(nèi)部網(wǎng)直接連入Internet，這樣內(nèi)部網(wǎng)中的每一臺(tái)主機(jī)都能獲得完全的Internet服務(wù)。這樣直接的網(wǎng)絡(luò)連接會(huì)給用戶(hù)帶來(lái)方便，但同時(shí)也給網(wǎng)絡(luò)入侵者帶來(lái)了方便。組織機(jī)構(gòu)的主機(jī)將毫無(wú)保護(hù)地暴露在Internet中，因此分布于全世界的任何一臺(tái)Internet主機(jī)都能夠直接訪問(wèn)到組織內(nèi)部的主機(jī)，從而帶來(lái)安全上極大的危險(xiǎn)性。入侵者的行動(dòng)很難被察覺(jué)，因此安全性問(wèn)題已經(jīng)成為各組織機(jī)構(gòu)連入Internet之前首先考慮的問(wèn)題之一。以防火墻為代表的被動(dòng)防衛(wèi)型安全保障技術(shù)已被證明是一種較有效的防止外部入侵的措施。防火墻類(lèi)似于建筑物中的防火墻，它防止外部網(wǎng)絡(luò)(主要指Internet)上的危險(xiǎn)黑客入侵內(nèi)部網(wǎng)絡(luò)(如圖12-3所示)。在具體實(shí)現(xiàn)過(guò)程中，防火墻就是一個(gè)或一組網(wǎng)絡(luò)設(shè)備(計(jì)算機(jī)或路由器等)，可用來(lái)在兩個(gè)或多個(gè)網(wǎng)絡(luò)間加強(qiáng)相互間的訪問(wèn)控制。因此，在內(nèi)聯(lián)網(wǎng)設(shè)立防火墻的主要目的是保護(hù)網(wǎng)絡(luò)系統(tǒng)不受來(lái)自外界網(wǎng)絡(luò)的攻擊。實(shí)質(zhì)上，要保護(hù)的是自己管理的內(nèi)部網(wǎng)絡(luò)，而要防備的則是一個(gè)外部的網(wǎng)絡(luò)。圖12-3防火墻示意圖對(duì)網(wǎng)絡(luò)系統(tǒng)的保護(hù)要做到：拒絕未授權(quán)的用戶(hù)訪問(wèn)，但同時(shí)又要保證合法用戶(hù)不受妨礙地訪問(wèn)網(wǎng)絡(luò)資源。不同的防火墻側(cè)重點(diǎn)不同。從某種意義上來(lái)說(shuō)，防火墻實(shí)際上代表了一個(gè)網(wǎng)絡(luò)的訪問(wèn)原則。如果某個(gè)網(wǎng)絡(luò)決定配置防火墻，那么首先需要由網(wǎng)絡(luò)決策人員及網(wǎng)絡(luò)專(zhuān)家共同決定網(wǎng)絡(luò)的安全策略，即確定哪些類(lèi)型的信息可被允許通過(guò)防火墻，哪些類(lèi)型的信息不允許通過(guò)防火墻。防火墻的職責(zé)就是根據(jù)本單位的安全策略，對(duì)外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)交流的數(shù)據(jù)進(jìn)行檢查，符合的允許通過(guò)，不符合的被拒絕。從廣義上說(shuō)，防火墻是一個(gè)用于Intranet與Internet之間的隔離系統(tǒng)或系統(tǒng)組(包括硬件和軟件)，它在兩個(gè)網(wǎng)絡(luò)之間實(shí)施相應(yīng)的訪問(wèn)控制策略。它置于兩個(gè)網(wǎng)絡(luò)之間，并且具有如下特性：●所有內(nèi)部對(duì)外部的通信都必須通過(guò)防火墻，反之亦然?！裰挥邪窗踩呗运x的授權(quán)，通信才允許通過(guò)?！穹阑饓Ρ旧硎强谷肭值??！穹阑饓梢杂涗泝?nèi)外網(wǎng)絡(luò)通信時(shí)所發(fā)生的一切?？傊?，防火墻是整個(gè)網(wǎng)絡(luò)的要塞點(diǎn)，是達(dá)到網(wǎng)絡(luò)安全目的的有效手段，它的存在限制了可能產(chǎn)生的網(wǎng)絡(luò)安全問(wèn)題，以免給整個(gè)網(wǎng)絡(luò)帶來(lái)災(zāi)難。12.4.2防火墻功能為了保證網(wǎng)絡(luò)安全性要求，防火墻必須具有以下功能：

(1)支持一定的安全策略。

(2)提供一定的訪問(wèn)和接入控制機(jī)制。

(3)容易擴(kuò)充、更改新的服務(wù)和安全策略。

(4)具有代理服務(wù)功能，包含先進(jìn)的鑒別技術(shù)。

(5)采用過(guò)濾技術(shù)，根據(jù)需求來(lái)允許或拒絕某些服務(wù)。

(6)防火墻的編程語(yǔ)言應(yīng)較靈活，具有友好的編程界面，并用具有較多的過(guò)濾屬性，包括源和目的IP地址、協(xié)議類(lèi)型、源和目的TCP/UDP端口以及進(jìn)入和輸出的接口地址。

(7)具有緩沖存儲(chǔ)的功能，以獲得高效快速訪問(wèn)。

(8)應(yīng)能接納對(duì)本地網(wǎng)的公共訪問(wèn)，本地網(wǎng)的公共信息服務(wù)由防火墻所保護(hù)，并能進(jìn)行增刪和擴(kuò)充。

(9)具有對(duì)撥號(hào)訪問(wèn)內(nèi)部網(wǎng)的集中處理和過(guò)濾能力。

(10)具有記錄和審計(jì)的功能，包括可以登記通信的業(yè)務(wù)和記錄可疑活動(dòng)的方法，便于檢查和審計(jì)。

(11)防火墻設(shè)備上所使用的操作系統(tǒng)和開(kāi)發(fā)工具都應(yīng)該具備一定等級(jí)的安全性。

(12)防火墻應(yīng)該是可檢驗(yàn)和可管理的。防火墻系統(tǒng)由一組硬件和軟件構(gòu)成，它的基本實(shí)現(xiàn)技術(shù)包括包過(guò)濾技術(shù)和代理服務(wù)技術(shù)。12.4.3包過(guò)濾技術(shù)包過(guò)濾技術(shù)是防火墻的一種最基本的實(shí)現(xiàn)技術(shù)，具有包過(guò)濾技術(shù)的裝置用來(lái)控制內(nèi)外網(wǎng)絡(luò)間數(shù)據(jù)流的流入和流出(如圖12-4所示)。在包過(guò)濾技術(shù)中對(duì)數(shù)據(jù)包的處理目前絕大部分基于TCP/IP協(xié)議平臺(tái)，其中包括網(wǎng)絡(luò)層的IP數(shù)據(jù)包、傳輸層的TCP和UDP數(shù)據(jù)包以及應(yīng)用層的FTP、Telnet和HTTP等應(yīng)用協(xié)議數(shù)據(jù)三部分內(nèi)容。圖12-4包過(guò)濾技術(shù)包過(guò)濾技術(shù)依靠以下三個(gè)基本依據(jù)來(lái)實(shí)現(xiàn)“允許或不允許”某些包通過(guò)防火墻：

(1)包的目的地址及目的端口。

(2)包的源地址及源端口。

(3)包的傳送協(xié)議。包過(guò)濾技術(shù)一般不能識(shí)別數(shù)據(jù)包中的文件信息和用戶(hù)信息。由于包過(guò)濾規(guī)則的設(shè)計(jì)原則是有利于內(nèi)部網(wǎng)連向外部網(wǎng)絡(luò)，所以在包過(guò)濾裝置兩側(cè)所執(zhí)行的過(guò)濾規(guī)則是不同的，即包過(guò)濾是不對(duì)稱(chēng)的。當(dāng)前，幾乎所有的包過(guò)濾裝置(包括屏蔽路由器或包過(guò)濾網(wǎng)關(guān))均按圖12-5所示的方式操作。圖12-5包過(guò)濾操作流程

(1)對(duì)于包過(guò)濾裝置的有關(guān)端口必須設(shè)置包過(guò)濾規(guī)則。

(2)當(dāng)一個(gè)包到達(dá)過(guò)濾端口時(shí)，將該包的頭部進(jìn)行分析。大多數(shù)包過(guò)濾裝置只檢查IP、TCP或UDP頭部?jī)?nèi)的字段。

(3)包過(guò)濾規(guī)則按一定的順序存儲(chǔ)。當(dāng)一個(gè)包到達(dá)時(shí)，應(yīng)用于該包的順序與包過(guò)濾規(guī)則順序相適應(yīng)。

(4)如果有一條規(guī)則阻塞該包傳輸或接收，則不允許該包通過(guò)。

(5)如果有一條規(guī)則允許包傳輸或接收，則允許該包通過(guò)。

(6)如果一個(gè)包不滿(mǎn)足(4)、(5)中任何一條規(guī)則，則該包可能被阻塞，也可能通過(guò)。根據(jù)原則1，即“未被明確允許的就將被禁止”原則，要阻塞該包；或者與之相對(duì)的原則2，即“沒(méi)有被明確禁止的就是被允許的”，則該包能通過(guò)。包過(guò)濾裝置對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)，在裝置內(nèi)設(shè)置過(guò)濾邏輯(或訪問(wèn)控制表)。通過(guò)檢查數(shù)據(jù)流中的每個(gè)數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目的地址、所用的TCP與UDP端口號(hào)、TCP鏈路狀態(tài)等因素或它們的組合來(lái)確定是否允許數(shù)據(jù)包通過(guò)。網(wǎng)絡(luò)管理員配置包過(guò)濾訪問(wèn)控制表的通行規(guī)則時(shí)，要先列出一個(gè)接受/禁止哪些網(wǎng)絡(luò)服務(wù)的清單，針對(duì)以下所列的IP包的各個(gè)域?qū)懞迷L問(wèn)控制表：

(1)禁止一切源路由尋徑的IP包通過(guò)。

(2)到達(dá)的IP包所來(lái)自的接口和所要轉(zhuǎn)發(fā)的接口。

(3)?IP包的源地址和目的地址。

(4)?IP包中TCP與UDP的源端口和目的端口。

(5)運(yùn)行的協(xié)議(TCP、UDP、ICMP等)和已建立起來(lái)的連接等。

(6)?IP包的選擇項(xiàng)。包過(guò)濾技術(shù)的優(yōu)點(diǎn)如下：

(1)具有包過(guò)濾技術(shù)的防火墻是一種比較簡(jiǎn)單的設(shè)備，并具有良好的網(wǎng)絡(luò)安全保障功能。

(2)這種防火墻技術(shù)對(duì)用戶(hù)是透明的，不需要用戶(hù)站上的軟件支持，也不要求客戶(hù)做特別的設(shè)置。

(3)包過(guò)濾的產(chǎn)品目前在市場(chǎng)上種類(lèi)繁多，比較容易選用和獲得，有些具有包過(guò)濾功能的軟件還能從Internet上免費(fèi)下載。包過(guò)濾技術(shù)的缺點(diǎn)如下：

(1)由于包過(guò)濾技術(shù)過(guò)濾的規(guī)則中無(wú)法包括用戶(hù)名，而僅僅是客戶(hù)機(jī)的IP地址，因此要過(guò)濾用戶(hù)名就不能使用包過(guò)濾技術(shù)。

(2)對(duì)于包中所包含的文件內(nèi)容無(wú)法過(guò)濾。

(3)對(duì)包過(guò)濾規(guī)則的配置和設(shè)置必須經(jīng)過(guò)一定培訓(xùn)的專(zhuān)業(yè)人員來(lái)進(jìn)行。

(4)每一種包過(guò)濾產(chǎn)品其功能都有一定局限性。

(5)由于包過(guò)濾往往遵循“未經(jīng)禁止的就允許通過(guò)”的規(guī)則，因此一些未禁止的包進(jìn)出網(wǎng)絡(luò)會(huì)造成對(duì)網(wǎng)絡(luò)安全的威脅。

(6)有些協(xié)議所使用的包過(guò)濾方式并不是很有效。12.4.4代理服務(wù)技術(shù)代理服務(wù)技術(shù)是防火墻技術(shù)中使用較多的技術(shù)，也是一種安全性能較高的技術(shù)。代理服務(wù)軟件運(yùn)行在一臺(tái)主機(jī)上構(gòu)成代理服務(wù)器。其主要功能之一就是用作防火墻。代理服務(wù)器實(shí)際上可看做是Internet上的一臺(tái)主機(jī)，內(nèi)部網(wǎng)上的客戶(hù)機(jī)欲訪問(wèn)Internet，為了內(nèi)部網(wǎng)自身的安全，客戶(hù)機(jī)首先訪問(wèn)作為防火墻的代理服務(wù)器，然后通過(guò)代理服務(wù)器運(yùn)行的代理服務(wù)程序，再去訪問(wèn)Internet上資源。代理服務(wù)器既作為內(nèi)部網(wǎng)客戶(hù)機(jī)所訪問(wèn)的服務(wù)器主機(jī)，又作為Internet資源的一臺(tái)客戶(hù)機(jī)(如圖12-6所示)。對(duì)內(nèi)部網(wǎng)上的用戶(hù)來(lái)說(shuō)，感覺(jué)似乎仍是直接訪問(wèn)Internet一樣。圖12-6代理服務(wù)器的位置對(duì)于不同的應(yīng)用，代理服務(wù)器上專(zhuān)門(mén)要開(kāi)發(fā)不同的應(yīng)用代理程序，如圖12-7所示。應(yīng)用代理程序由應(yīng)用代理的服務(wù)器和應(yīng)用代理的客戶(hù)機(jī)兩部分組成。而在內(nèi)部網(wǎng)的客戶(hù)機(jī)上也必須開(kāi)發(fā)相應(yīng)于應(yīng)用代理的客戶(hù)機(jī)程序。應(yīng)用代理程序?qū)⑺锌缭椒阑饓Φ木W(wǎng)絡(luò)通信鏈路分為兩段，防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間的應(yīng)用層連接由代理服務(wù)器來(lái)實(shí)現(xiàn)。代理服務(wù)器的服務(wù)器部分接收內(nèi)部用戶(hù)的請(qǐng)求，客戶(hù)機(jī)部分轉(zhuǎn)發(fā)請(qǐng)求到遠(yuǎn)程服務(wù)器上，并接收來(lái)自遠(yuǎn)程服務(wù)器的回答，再轉(zhuǎn)發(fā)回答給內(nèi)部用戶(hù)。同時(shí)，在數(shù)據(jù)轉(zhuǎn)發(fā)的過(guò)程中，代理服務(wù)器可以針對(duì)特定的應(yīng)用協(xié)議，對(duì)整個(gè)傳輸過(guò)程進(jìn)行控制。圖12-7防火墻代理服務(wù)器工作原理另一種使用代理服務(wù)軟件的防火墻在物理上并不隔離成內(nèi)外兩個(gè)網(wǎng)絡(luò)，如圖12-8所示。這種代理服務(wù)設(shè)備稱(chēng)為壁壘主機(jī)。具有代理服務(wù)的壁壘主機(jī)在邏輯上起著一個(gè)防火墻的作用。內(nèi)部網(wǎng)上客戶(hù)機(jī)的請(qǐng)求必須先通過(guò)內(nèi)部路由器進(jìn)入壁壘主機(jī)，然后壁壘主機(jī)經(jīng)外部路由器轉(zhuǎn)發(fā)客戶(hù)機(jī)請(qǐng)求至Internet應(yīng)用服務(wù)器。反之，從Internet上應(yīng)用服務(wù)器輸出的信息要到達(dá)內(nèi)部網(wǎng)的客戶(hù)機(jī)上也必須經(jīng)過(guò)壁壘主機(jī)的轉(zhuǎn)發(fā)。圖12-8具有代理服務(wù)的壁壘主機(jī)代理服務(wù)技術(shù)的防火墻優(yōu)點(diǎn)有：

(1)可以將內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)屏蔽起來(lái)，顯著地增強(qiáng)了網(wǎng)絡(luò)的安全性。

(2)應(yīng)用代理程序能理解所處理的應(yīng)用協(xié)議，能針對(duì)協(xié)議實(shí)現(xiàn)其特有的安全特性。

(3)應(yīng)用代理程序能用于實(shí)施完善的數(shù)據(jù)流監(jiān)控、過(guò)濾、記錄、報(bào)警等功能，為系統(tǒng)提供了強(qiáng)大的安全控制能力。代理服務(wù)技術(shù)的防火墻缺點(diǎn)如下：

(1)必須為每一個(gè)網(wǎng)絡(luò)應(yīng)用服務(wù)都專(zhuān)門(mén)設(shè)計(jì)、開(kāi)發(fā)相應(yīng)的應(yīng)用代理服務(wù)軟件，開(kāi)發(fā)的工作量大，而且對(duì)新協(xié)議，必須重新開(kāi)發(fā)相應(yīng)的應(yīng)用代理。

(2)應(yīng)用代理程序的使用，降低了透明性。

(3)由于在基于協(xié)議的應(yīng)用層工作，導(dǎo)致網(wǎng)絡(luò)性能下降。

(4)需要專(zhuān)用的硬件(服務(wù)器)來(lái)承擔(dān)。12.4.5防火墻系統(tǒng)基本組件

1.屏蔽路由器(ScreeningRouter)顧名思義，屏蔽路由器是根據(jù)安全的需要，對(duì)所有要通行的IP包進(jìn)行過(guò)濾和路由的一臺(tái)路由器(如圖12-9所示)。一般地，屏蔽路由器會(huì)允許內(nèi)部網(wǎng)絡(luò)的IP包發(fā)往Internet，而對(duì)從Internet網(wǎng)上來(lái)的IP包則要仔細(xì)檢查，根據(jù)路由器上的訪問(wèn)控制表(ACL)有選擇性地允許或阻止它們的通行。從安全策略上看，屏蔽路由器實(shí)行的是“允許所有未經(jīng)明確禁止的服務(wù)”。值得注意的是，屏蔽路由器不具備監(jiān)控和權(quán)限認(rèn)證功能，最多能做一些簡(jiǎn)單的流量的記錄，所以只能提供簡(jiǎn)單的、機(jī)械的安全防范工作。圖12-9屏蔽路由器防火墻

2.壁壘主機(jī)(BastionHost)壁壘主機(jī)是一臺(tái)普通的計(jì)算機(jī)，軟件上配置了代理服務(wù)程序，從而具備強(qiáng)大而完備的安全功能，它是內(nèi)部網(wǎng)絡(luò)Intranet與Internet之間的通信橋梁。如圖12-10所示。它中繼所有的網(wǎng)絡(luò)通信服務(wù)，并具有授權(quán)認(rèn)證、訪問(wèn)控制、日志記錄、審計(jì)報(bào)告和監(jiān)控等功能。

圖12-10壁壘主機(jī)防火墻壁壘主機(jī)是外界惟一可訪問(wèn)的內(nèi)部網(wǎng)絡(luò)站點(diǎn)，是整個(gè)網(wǎng)絡(luò)安全的關(guān)鍵點(diǎn)，在整個(gè)防火墻系統(tǒng)中起著至關(guān)重要的作用。壁壘主機(jī)應(yīng)配置盡量大的內(nèi)存和硬盤(pán)，刪除任何不必要的賬號(hào)，移走任何與安全功能無(wú)關(guān)的文件和可執(zhí)行程序，增強(qiáng)登錄監(jiān)視和日志記錄的能力。從安全策略上看，壁壘主機(jī)實(shí)行的是“禁止所有未經(jīng)明確允許的服務(wù)”。

3.應(yīng)用網(wǎng)關(guān)(ApplicationGateway)應(yīng)用網(wǎng)關(guān)在一臺(tái)雙目主機(jī)上運(yùn)行應(yīng)用網(wǎng)關(guān)代理服務(wù)程序(如圖12-11所示)。它代理某種Internet網(wǎng)絡(luò)服務(wù)并進(jìn)行安全檢查，每一個(gè)應(yīng)用網(wǎng)關(guān)代理服務(wù)程序都是為一種網(wǎng)絡(luò)應(yīng)用服務(wù)而定制的程序，如FTP代理、Telnet代理、SMTP代理等。應(yīng)用網(wǎng)關(guān)的體系結(jié)構(gòu)如圖12-12所示。它是建立在應(yīng)用層上的具有協(xié)議過(guò)濾和轉(zhuǎn)發(fā)功能的一種防火墻，系統(tǒng)地針對(duì)某一個(gè)(或多個(gè))應(yīng)用服務(wù)協(xié)議指定數(shù)據(jù)過(guò)濾邏輯，并同時(shí)對(duì)數(shù)據(jù)包分析的結(jié)果及采取的措施作登錄和統(tǒng)計(jì)并形成報(bào)告。應(yīng)用網(wǎng)關(guān)的安全策略與壁壘主機(jī)相同。圖12-11應(yīng)用網(wǎng)關(guān)防火墻圖12-12應(yīng)用網(wǎng)關(guān)體系結(jié)構(gòu)12.4.6防火墻系統(tǒng)結(jié)構(gòu)防火墻系統(tǒng)防火墻系統(tǒng)具有簡(jiǎn)單結(jié)構(gòu)和復(fù)合型結(jié)構(gòu)兩類(lèi)。簡(jiǎn)單結(jié)構(gòu)包括只使用屏蔽路由器或者作為代理服務(wù)器的雙目主機(jī)結(jié)構(gòu)；復(fù)合型結(jié)構(gòu)一般包括了屏蔽主機(jī)和屏蔽子網(wǎng)。復(fù)合型防火墻系統(tǒng)具有更高的安全性。

1．雙目主機(jī)結(jié)構(gòu)雙目主機(jī)結(jié)構(gòu)防火墻系統(tǒng)主要由一臺(tái)雙目主機(jī)構(gòu)成。雙目主機(jī)具有兩個(gè)網(wǎng)絡(luò)接口，它的位置位于內(nèi)部網(wǎng)絡(luò)Intranet與Internet的連接處，并運(yùn)行應(yīng)用代理程序，充當(dāng)內(nèi)、外部網(wǎng)絡(luò)之間的轉(zhuǎn)發(fā)器。雙目主機(jī)關(guān)閉了正常的IP路由功能，使來(lái)自一個(gè)網(wǎng)絡(luò)接口的IP包不能直接到達(dá)另一個(gè)網(wǎng)絡(luò)接口，內(nèi)部網(wǎng)絡(luò)與外部的通信完全由運(yùn)行于雙目主機(jī)上的防火墻應(yīng)用程序完成。雙目主機(jī)結(jié)構(gòu)防火墻系統(tǒng)如圖12-13所示。圖12-13雙目主機(jī)結(jié)構(gòu)雙目主機(jī)可以使用包過(guò)濾技術(shù)與應(yīng)用代理技術(shù)，并且在網(wǎng)絡(luò)結(jié)構(gòu)上簡(jiǎn)單明了，易于實(shí)現(xiàn)，成本低，能為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的通信提供較為完善的控制機(jī)制，如監(jiān)測(cè)、認(rèn)證、日志文件等。雙目主機(jī)對(duì)外屏蔽了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，使內(nèi)部網(wǎng)絡(luò)對(duì)外部看來(lái)是“不可視”的。雙目主機(jī)在配置原則上遵循“未被明確允許的服務(wù)將被禁止”原則，盡可能地為內(nèi)部用戶(hù)提供已知的必須的服務(wù)，如WWW、E-mail、FTP、Telent與News等。另外，雙目主機(jī)還可作為向外部提供信息服務(wù)的服務(wù)器，如WWW、FTP等。由于雙目主機(jī)是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)相互通信的橋梁，因此當(dāng)內(nèi)、外部網(wǎng)絡(luò)之間的通信量需求比較大時(shí)，雙目主機(jī)本身將成為通信的瓶頸。因此，雙目主機(jī)的硬件平臺(tái)應(yīng)當(dāng)盡可能地選用性能優(yōu)良的工作站。雙目主機(jī)結(jié)構(gòu)可以擴(kuò)展成多目主機(jī)結(jié)構(gòu)，從而隔離多個(gè)網(wǎng)絡(luò)。雙目主機(jī)結(jié)構(gòu)把整個(gè)網(wǎng)絡(luò)的安全性能全部寄托于其單個(gè)安全單元，而單個(gè)網(wǎng)絡(luò)安全單元在實(shí)際中往往是受攻擊的首選目標(biāo)。因此作為防火墻的主機(jī)，除了禁止IP轉(zhuǎn)發(fā)外，還應(yīng)該從主機(jī)中移走所有影響到安全的程序、工具和服務(wù)，以免成為攻擊者的目標(biāo)。如對(duì)于一個(gè)UNIX主機(jī)防火墻必須要：●移走程序開(kāi)發(fā)工具，如編譯器，鏈接器等?！褚谱卟恍枰虿涣私獾木哂蠸UID和SGID權(quán)限的程序?！袷褂么疟P(pán)分區(qū)，從而使對(duì)所有磁盤(pán)空間的攻擊只被限制在那個(gè)磁盤(pán)分區(qū)空間中?！駝h去不需要的系統(tǒng)和專(zhuān)門(mén)賬號(hào)?！駝h去不需要的網(wǎng)絡(luò)服務(wù)。

2．屏蔽主機(jī)結(jié)構(gòu)屏蔽主機(jī)結(jié)構(gòu)防火墻系統(tǒng)由屏蔽路由器與壁壘主機(jī)構(gòu)成，屏蔽路由器位于內(nèi)部網(wǎng)絡(luò)Intranet與Internet之間的連接處，而壁壘主機(jī)位于內(nèi)部網(wǎng)絡(luò)之上。這種結(jié)構(gòu)中，屏蔽路由器為系統(tǒng)提供主要的安全功能，壁壘主機(jī)則主要提供面向應(yīng)用的服務(wù)。屏蔽主機(jī)結(jié)構(gòu)防火墻系統(tǒng)如圖12-14所示。圖12-14雙目主機(jī)結(jié)構(gòu)防火墻系統(tǒng)屏蔽路由器使用包過(guò)濾技術(shù)，它只允許壁壘主機(jī)與外部網(wǎng)絡(luò)的通信，使壁壘主機(jī)成為Internet上其他節(jié)點(diǎn)所能到達(dá)的惟一節(jié)點(diǎn)，并同時(shí)根據(jù)設(shè)立的過(guò)濾規(guī)則進(jìn)行控制。對(duì)內(nèi)部網(wǎng)絡(luò)中其他主機(jī)直接對(duì)外的通信，屏蔽路由器將予以拒絕。而這些主機(jī)的對(duì)外通信必須通過(guò)壁壘主機(jī)來(lái)完成，即按照?qǐng)D中所示的方式完成通信。屏蔽主機(jī)結(jié)構(gòu)的防火墻體系結(jié)構(gòu)由圖12-15所示。

圖12-15屏蔽主機(jī)結(jié)構(gòu)的防火墻體系結(jié)構(gòu)此外，為保證上述固定的數(shù)據(jù)路徑不被更改，屏蔽路由器上應(yīng)當(dāng)采用靜態(tài)路由設(shè)置，并且路由器應(yīng)當(dāng)不接受ICMP、ARP等網(wǎng)絡(luò)協(xié)議，也不接受ICMPRedirect請(qǐng)求和ICMPUnreachable信息。對(duì)于路由器的遠(yuǎn)程登錄也應(yīng)當(dāng)取消或使用訪問(wèn)控制表加以控制。與前面的雙目主機(jī)類(lèi)似，壁壘主機(jī)運(yùn)行應(yīng)用代理服務(wù)程序，為內(nèi)部的主機(jī)提供代理服務(wù)。壁壘主機(jī)還可以向內(nèi)、外部網(wǎng)絡(luò)用戶(hù)提供面向應(yīng)用的大多數(shù)服務(wù)。屏蔽路由器利用其包過(guò)濾功能，使得內(nèi)、外網(wǎng)絡(luò)得到較好的隔離，但由于它充分暴露在Internet上，因此不應(yīng)被內(nèi)部網(wǎng)絡(luò)視為可靠的系統(tǒng)。

3．屏蔽子網(wǎng)結(jié)構(gòu)屏蔽子網(wǎng)結(jié)構(gòu)防火墻系統(tǒng)在屏蔽主機(jī)結(jié)構(gòu)的基礎(chǔ)上，增加了一個(gè)周邊防御網(wǎng)段，用以進(jìn)一步隔離內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)。屏蔽子網(wǎng)結(jié)構(gòu)的防火墻系統(tǒng)如圖12-16所示。圖12-16屏蔽子網(wǎng)結(jié)構(gòu)的防火墻系統(tǒng)周邊防御網(wǎng)段是位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的另一層安全網(wǎng)段，分別由內(nèi)、外兩個(gè)屏蔽路由器與它們相連。周邊防御網(wǎng)段所構(gòu)成的安全子網(wǎng)稱(chēng)為“非軍事區(qū)DMZ”(DemilitarizedZone)或“?；饏^(qū)”，又稱(chēng)“參數(shù)子網(wǎng)”。這一網(wǎng)段所受到的安全威脅不會(huì)影響到內(nèi)部網(wǎng)絡(luò)。跨越防火墻的數(shù)據(jù)流必須經(jīng)過(guò)外部屏蔽路由器、壁壘主機(jī)與內(nèi)部屏蔽路由器，在兩個(gè)路由器上都可以設(shè)置過(guò)濾規(guī)則，壁壘主機(jī)運(yùn)行應(yīng)用代理服務(wù)軟件。同時(shí)，企業(yè)對(duì)外的信息服務(wù)器(如WWW、FTP服務(wù)器等)可以放在DMZ內(nèi)。這種結(jié)構(gòu)的優(yōu)點(diǎn)在于，當(dāng)壁壘主機(jī)或企業(yè)對(duì)外的服務(wù)器受到安全威脅時(shí)，由于DMZ與內(nèi)部屏蔽路由器的隔離作用，使得內(nèi)部網(wǎng)絡(luò)的安全威脅盡可能地減少。一般情況下，將DMZ配置成如下?tīng)顟B(tài)：內(nèi)部網(wǎng)Intranet均能夠訪問(wèn)DMZ上的某些資源，但不能通過(guò)DMZ讓內(nèi)部網(wǎng)和Internet直接進(jìn)行信息傳輸。外部屏蔽路由器用于防范Internet上來(lái)的外部攻擊，并管理Internet到DMZ的訪問(wèn)(訪問(wèn)壁壘主機(jī)和信息服務(wù)器)。內(nèi)部屏蔽路由器只接收壁壘主機(jī)發(fā)出的數(shù)據(jù)包，并管理DMZ到內(nèi)部網(wǎng)絡(luò)的訪問(wèn)。對(duì)于內(nèi)部網(wǎng)去往Internet的數(shù)據(jù)包，內(nèi)部屏蔽路由器管理內(nèi)部網(wǎng)絡(luò)到DMZ的訪問(wèn)，它允許內(nèi)部網(wǎng)只能訪問(wèn)DMZ上的壁壘主機(jī)