【大学课件】信息安全技术----系讲9.doc

睡第九讲: 防火墙体系结构防火墙的体系结构有多种多样。当前，最主要的体系结构包括：包过滤、双宿网关、屏蔽主机、屏蔽子网、合并外部路由器和堡垒主机结构、合并内部路由器和堡垒主机结构、合并外部路由器和内部路由器的结构、两个堡垒主机和两个“非军事区”结构、牺牲主机结构、使用多台外部路由器的结构等。下面主要介绍前四种体系结构的防火墙。A: 包过滤型防火墙 包过滤型防火墙往往可以用一台过滤路由器来实现，对所接收的每个数据包做允许或拒绝的决定。此时，路由器审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。包头信息中包括IP源地址、IP目标端地址、内装协议（ICP、UDP、ICMP、或IP Tunnel）、TCP/UDP目标端口、ICMP消息类型、TCP包头中的ACK位。包的进入接口和出接口如果有匹配，并且规则允许该数据包通过，那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃。如果没有匹配规则，用户配置的缺省参数会决定是转发还是丢弃数据包。包过滤路由器使得路由器能够根据特定的服务允许或拒绝流动的数据，因为多数的服务收听者都在已知的TCP/UDP端口号上。例如，Telnet服务器在TCP的23号端口上监听远地连接，而SMTP服务器在TCP的25号端口上监听连接。为了阻塞所有进入的Telnet连接，路由器只需简单的丢弃所有TCP端口号等于23的数据包。为了将进来的Telnet连接限制到内部的数台机器上，路由器必须拒绝所有TCP端口号等于23并且目标IP地址不等于允许主机的IP地址的数据包。 包过滤路由器型防火墙的优点： 1：处理包的速度要比代理服务器快，过滤路由器为用户提供了一种透明的服务，用户不用改变客户端程序或改变自己的行为。 2：实现包过滤几乎不再需要费用（或极少的费用），因为这些特点都包含在标准的路由器软件中。由于英特网访问一般都是在WAN接口上提供，因此在流量适中并定义较少过滤器时对路由器的性能几乎没有影响。 3：包过滤路由器对用户和应用来讲是透明的，所以不必对用户进行特殊的培训和在每台主机上安装特定的软件。 包过滤路由器型防火墙的缺点： 1：防火墙的维护比较困难，定义数据包过滤器会比较复杂，因为网络管理员需要对各种英特网服务、包头格式、以及每个域的意义有非常深入的理解。 2：只能阻止一种类型的IP欺骗，即外部主机伪装内部主机的IP，对于外部主机伪装其他可信任的外部主机的IP却不可能阻止。 3：任何直接经过路由器的数据包都有被用做数据驱动式攻击的潜在危险。我们已经知道数据驱动式攻击从表面上来看是由路由器转发到内部主机上没有害处的数据。该数据包括了一些隐藏的指令，能够让主机修改访问控制和与安全有关的文件，使得入侵者能够获得对系统的访问权。 4：一些包过滤网关不支持有效的用户认证。因为IP地址是可以伪造的，因此如果没有基于用户的认证，仅通过IP地址来判断是不安全的。 5：不可能提供有用的日志，或根本就不提供。 6：随着过滤器数目的增加，路由器的吞吐量会下降。可以对路由器进行这样的优化抽取：每个数据包的目的IP地址，进行简单的路由表查询，然后将数据包转发到正确的接口上去传输。如果打开过滤功能，路由器不仅必须对每个数据包作出转发决定，还必须将所有的过滤器规则施用给每个数据包。这样就消耗CPU时间并影响系统的性能。 7：IP包过滤器可能无法对网络上流动的信息提供全面的控制。包过滤路由器能够允许或拒绝特定的服务，但是不能理解特定服务的上下文环境和数据。包过滤防火墙一般用在下列场合：l 机构是非集中化管理。l 机构没有强大的集中安全策略。l 网络的主机数非常少。l 主要依赖于主机安全来防止入侵，但是当主机数增加到一定的程度的时候，仅靠主机安全是不够的。l 没有使用DHCP这样的动态IP地址分配协议。B: 双宿网关防火墙 双宿网关防火墙又称为双重宿主主机防火墙。双宿网关是一种拥有两个连接到不同网络上的网络接口的防火墙。例如，一个网络接口连到外部的不可信任的网络上，另一个网络接口连接到内部的可信任的网络上。这种防火墙的最大特点是IP层的通信是被阻止的，两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。一般情况下，人们采用代理服务的方法，因为这种方法为用户提供了更为方便的访问手段。也可以通过应用层数据共享来实现对外网的访问。 双重宿主主机用两种方式来提供服务，一种是用户直接登录到双重宿主主机上来提供服务，另一种是在双重宿主主机上运行代理服务器。第一种方式需要在双重宿主主机上开许多帐号，这是很危险的。第一，用户帐号的存在会给入侵者提供相对容易的入侵通道，每一个帐号通常有一个可重复使用口令（即通常用的口令，和一次性口令相对），这样很容易被入侵者破解。破解密码可用的方法很多，有字典破解、强行搜索或通过网络窃听来获得。第二，如果双重宿主主机上有很多帐号，管理员维护起来是很费劲的；第三，支持用户帐号会降低机器本身的稳定性和可靠性；第四，因为用户的行为是不可预知的，如双重宿主主机上有很多用户帐户，这会给入侵检测带来很大的麻烦。代理的问题相对要少得多，而且一些服务本身的特点就是“存储转发”型的，如HTTP、SMTP和NNTP，这些服务很适合于进行代理。在双重宿主主机上，运行各种各样的代理服务器，当要访问外部站点时，必须先经过代服务器认证，然后才可以通过代理服务器访问因特网。双重宿主主机是唯一的隔开内部网和外部因特网之间的屏障，如果入侵者得到了双重宿主主机的访问权，内部网络就会被入侵，所以为了保证内部网的安全，双重宿主主机应具有强大的身份认证系统，才可以阻挡来自外部不可信网络的非法登录。 为了防止防火墙被入侵，在系统中，应尽量地减少防火墙上用户的帐户数目。使用双重宿主机应注意的是，首先要禁止网络层的路由功能。在UNIX内实现路由禁止必须重新配置和重建核心，除了要禁止IP转发，还应清除一些UNIX系统中的工具程序和服务。由于双宿主机是外部用户访问内部网络系统的中间转接点，所以它必须支持很多用户的访问，因此双宿主机的性能非常重要。C: 屏蔽主机防火墙屏蔽主机防火墙强迫所有的外部主机与一个堡垒主机相连接，而不让它们直接与内部主机相连。屏蔽主机防火墙包过滤路由器和堡垒主机组成。这个防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。所以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。堡垒主机配置在内部网络上，而包过滤路由器则放置在内部网络和英特网之间。在路由器上进行规则配置，使得外部系统只能访问堡垒主机，去往内部系统上其它主机的信息全部被阻塞。由于内部主机与堡垒主机处于同一个网络，内部系统是否允许直接访问英特网，或者是要求使用堡垒主机上的代理服务来访问英特网由机构的安全策略来决定。对路由器的过滤规则进行配置，使得其只接受来自堡垒主机的内部数据包，就可以强制内部用户使用代理服务。 在采用屏蔽主机防火墙情况下，过滤路由器是否正确配置是这种防火墙安全与否的关键，过滤路由器的路由表应当受到严格的保护，否则如果路由表遭到破坏，则数据包就不会被路由到堡垒主机上，使堡垒主机被越过。因为屏蔽主机这种体系结构有堡垒主机被绕过的可能，堡垒主机与其他内部主机之间没有任何保护网络安全的东西存在，一旦堡垒主机被攻破，内部网将完全暴露，所以还有下面另一种体系结构屏蔽子网。D: 屏蔽子网防火墙 屏蔽子网防火墙系统用了两个包过滤路由器和一个堡垒主机。这个防火墙系统建立的是最安全的防火墙系统，因为在定义了“非军事区”网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机，信息服务器，Modem组，以及其它公用服务器放在“非军事区”网络中。“非军事区”网络很小，处于英特网和内部网络之间。在一般情况下对“非军事区”配置成使用英特网和内部网络系统能够访问“非军事区”网络上数目有限的系统，而通过“非军事区”网络直接进行信息传输是严格禁止的。对于进来的信息，外面的这个路由器用于防范通常的外部攻击（如源地址欺骗和源路由攻击），并管理英特网到“非军事区”网络的访问。它只允许外部系统访问堡垒主机（还可能有信息服务器）。里面的路由器提供第二层防御，只接受源于堡垒主机的数据包，负责的是管理“非军事区”到内部网络的访问。对于去往英特网的数据包，里面的路由器管理内部网络到“非军事区”网络的访问。它允许内部系统只访问堡垒主机（还可能有信息服务器）。外面的路由器上的过滤规则要求使用代理服务（只接受来自堡垒主机的去往英特网的数据包）。内部路由器（又称阻塞路由器）位于内部网和“非军事区”之间，用于保护内部网不受“非军事区”和因特网的侵害，它执行了大部分的过滤工作。外部路由器的一个主要功能是保护“非军事区”上的主机，但这种保护不是很必要的，因为这主要是通过堡垒主机来进行安全保护的。外部路由器还可以防止部分IP欺骗，因为内部路由器分辨不出一个声称从“非军事区”来的数据包是否真的从“非军事区”来，而外部路由器很容易分辨出真伪。在堡垒主机上，可以运行各种各样的代理服务器。堡垒主机是最容易受侵袭的，虽然堡垒主机很坚固，不易被入侵者控制，但万一堡垒主机被控制，如果采用了屏蔽子网