计算机网络安全管理第8章 防火墙安全管理

1、第8章 防火墙平安管理8.1 防火墙概述8.2 防火墙的类型8.3 防火墙体系构造8.4 防火墙的选择8.5 常用防火墙的配置与管理现代网络平安效力普通有两种：一是存取控制，制止非法的通讯和连网；二是通讯平安效力，提供授权数据的完好性、可靠性，具有对同级通讯者的访问否认权。当用户连上Internet，就可在中间插入一个或几个中介系统的控制关联，防止经过网络进展的攻击，并提供单一的平安和审计的安装控制点，这些中间系统就是防火墙。由于Internet的开放性，网络平安技术变化很大，Internet的平安技术包括传统的网络平安技术和分布式网络平安技术，主要技术是处理如何利用Internet进展平安通

2、讯，同时维护内部网络免受外部攻击。而防火墙正能实现这些技术。防火墙是一种被动的防御技术，是一类防备措施的总称，是维护计算机网络平安技术性措施之一，是一种隔离控制技术，在内部公用网和外部网络间设置维护，防止对信息资源的非授权访问，防火墙也是目前在网络平安技术中运用最多、最广泛的，因此我们有必要在网络平安管理中专门来讲述。8.1 防火墙概述防火墙Firewall，是现代网络平安技术中最常用的技术，它使得内部网络与外部网络包括Internet等之间的通讯量必需经过防火墙进展挑选，符合规范的分组将被正常转发，不能经过检查的分组就被丢弃。设置防火墙，就形同安装一个防盗门。普通的防火墙由两个组成部分：两个

3、分组挑选器路由器和一个运用程序网关。 防火墙是用来维护由许多台计算机组成的大型网络，防火墙可以是非常简单的过滤器，也能够是精心配置的运用网关，但它们的原理是一样的，都是监测并过滤一切通向外部网和从外部网传来的信息，防火墙维护着内部敏感的数据不被偷窃和破坏，并用日志记录通讯发生的时间和操作。防火墙通常是运转在一台计算机中的软件，它可以识别并屏蔽非法的恳求。防火墙是设置在被维护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。它可经过监测、限制、更改跨越防火墙的数据流，尽能够地对外部屏蔽网络内部的信息、构造和运转情况，以此来实现网络的平安维护。8.1.1 防火墙的特点防火墙曾经

4、成为网络的首选，它的广泛运用与它的特点有严密的联络，防火墙具有如下的特点。 广泛的效力支持 防火墙动态的将运用层过滤才干和认证相结合，可以实现运用层的大部分效力如WWW效力、HTTP效力器、FTP效力等； 数据的加密支持 保证经过Internet进展虚拟公用网络和电子商务不受损坏； 电子欺骗 欺骗是从外部获取网络访问权的常用手段，它使数据包好似来自网络内部。防电子欺骗术功能是保证数据包的IP地址与网关接口相符，防止经过修正IP地址的方法进展非授权访问。防火墙能监视过滤数据包，欺骗的数据包将过滤掉。 过滤掉不平安效力和非法用户； 控制对特殊站点的访问； 提供了监视Internet平安和预警的方便

5、端点； 防火墙能强化平安战略； 防火墙能有效地记录Internet上的活动；作为访问的独一点，防火墙能在被维护的网络和外部网络之间进展记录。 防火墙限制暴露用户点，所以如今普通用运用代理效力器。8.1.2 实现防火墙的技术1. 包过滤技术(PacketFilter)包过滤是在网络层中对数据包进展有选择的经过。根据系统内事先设定的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地址、目的地址、所用的TCP端口与TCP链路形状等要素来确定能否允许数据包经过。包过滤是在IP层实现的，因此，它可以只用路由器完成。包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及报文传送方向等报头信息来判别能

6、否允许报文经过。如今也出现了一种可以分析报文数据区内容的智能型包过滤器。包过滤器的运用非常广泛，由于CPU用来处置包过滤的时间可以忽略不计。而且这种防护措施对用户透明，合法用户在进出网络时，根本觉得不到它的存在，运用起来很方便。包过滤另一个也是很关键的弱点是不能在用户级别上进展过滤，即不能识别不同的用户和防止IP地址的盗用。假设攻击者把本人主机的IP地址设成一个合法主机的IP地址，就可以很随便地经过报文过滤器。2. 运用网关技术(ApplicationGateway)运用网关技术是利用网络运用层上的协议过滤。它针对特别的网络运用效力协议即数据过滤协议，并且可以对数据包分析并构成相关的报告。运用

7、网关对某些易于登录和控制一切输出输入的通讯的环境给予严厉的控制，以防有价值的程序和数据被窃取。在实践任务中，运用网关普通由公用任务站系统来完成。3. 代理效力(ProxyServer)是设置在Internet防火墙网关的公用运用级代码。这种代理效力准许网管员允许或回绝特定的运用程序或一个运用的特定功能。包过滤技术和运用网关是经过特定的逻辑判别来决议能否允许特定的数据包经过，一旦判别条件满足，防火墙内部网络的构造和运转形状便“暴露在外来用户面前，这就引入了代理效力的概念，即防火墙内外计算机系统运用层的“链接由两个终止于代理效力的“链接来实现，这就胜利地实现了防火墙内外计算机系统的隔离。同时，代理

8、效力还可用于实施较强的数据流监控、过滤、记录和报告等功能。代理效力技术主要经过公用计算机硬件(如任务站)来承当。代理效力器那么是代表网络内部用户的代理者，它实践上是一个运用层上的网关。当用户运用TCP/IP运用时，给Proxy提供合法身份和授权信息，Proxy就和被访问主机联络，并在两个通讯点之间中继传送IP数据包。IP包处置的过程对用户是透明的。 4. IP通道IPTunnels当两个相关的网络相隔很远，要经过Internet通讯的情况下，可以采用IPTunnels来防止Internet上的入侵者截取信息，本质是建立虚拟公用网。试分析一下其任务原理。子网A中一主机IP地址为X.X.X.X欲向

9、子网B中某主机IP地址为Y.Y.Y.Y发送报文，该报文经过本网防火墙FW1IP地址N.N.N.1时，防火墙判别该报文能否发往子网B，假设是，那么再添加一报头，变成从此防火墙到子网B防火墙FW2N.N.N.2的IP报文，而将原IP地址封装在数据区内，同原数据一同加密后经Internet发往FW2。FW2接纳到报文后，假设发现源IP地址是FW1的，那么去掉附加报头，解密，在本网上传送。从Internet上看，就只是两个防火墙的通讯。即使黑客伪装了从FW1发往FW2的报文，由于FW2在去掉报头后不能解密，会丢弃报文。5. 网络地址转换器(NAT Network Address Translate)当

10、受维护网连到Internet上时，受维护网用户假设要访问Internet，必需运用一个合法的IP地址。但由于合法InternetIP地址有限，而且受维护网络往往有本人的一套IP地址规划非正式IP地址。网络地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet时，防火墙动态地从地址集中选一个未分配的地址分配给该用户，该用户即可运用这个合法地址进展通讯。同时，对于内部的某些效力器如Web效力器，网络地址转换器允许为其分配一个固定的合法地址。外部网络的用户就可经过防火墙来访问内部的效力器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾，又对外隐藏了内部主机的IP地址

11、，提高了平安性。6. 隔离域名效力器Split Domain Name Server这种技术是经过防火墙将受维护网络的域名效力器与外部网的域名效力器隔离，使外部网的域名效力器只能看到防火墙的IP地址，无法了解受维护网络的详细情况，这样可以保证受维护网络的IP地址不被外部网络知悉。 8.2 防火墙的类型8.2.1 网络级防火墙网络级防火墙是基于源地址和目的地址、运用或协议以及每个IP包的端口来作出经过与否的判别。一个路由器便是一个“传统的网络级防火墙，大多数的路由器都能经过检查这些信息来决议能否将所收到的包转发，但它不能判别出一个IP包来自何方，去向何处。网络级防火墙可以判别这一点，它可以提供内

12、部信息以阐明所经过的衔接形状和一些数据流的内容，把判别的信息同规那么表进展比较，在规那么表中定义了各种规那么来阐明能否赞同或回绝包的经过。包过滤防火墙检查每一条规那么直至发现包中的信息与某规那么相符。假设没有一条规那么能符合，防火墙就会运用默许规那么，普通情况下，默许规那么就是要求防火墙丢弃该包。另外，经过定义基于TCP或UDP数据包的端口号，防火墙可以判别能否允许建立特定的衔接，如Telnet、FTP衔接。8.2.2 运用级防火墙运用级网关防火墙他也许不熟习，它的别名是代理效力器，这种防火墙有较好的访问控制，是目前最平安的防火墙技术，但它对用户是不透明的，用户在受信任的网络上经过防火墙访问I

13、nternet时，经常会发现存在延迟并且必需进展多次登录Login才干访问Internet或Intranet。运用级防火墙运用于特定的Internet效力，、NNTP、FTP、Telnet等。代理效力器通常运转在两个网络之间，它对于客户来说是象是一台真的效力器一样，而对于外界的效力器来说，它又是一台客户机。当代理效力器接遭到用户的恳求后会检查用户恳求的站点能否符合要求，假设允许用户访问该站点的话，代理效力器会象一个客户一样去那个站点取回所需信息再转发给客户。代理效力器都通常拥有一个高速缓存，这个缓存存储有用户经常访问站点的内容，在下一个用户要访问同样的站点时，效力器就用不着反复地去抓同样的内容

14、，既节约了时间也节约了网络资源。代理效力器会象一堵真的墙那样挡在内部用户和外界之间，从外面只能看到代理效力器而看不到任何的内部资源，诸如用户的IP等。运用级网关比单一的包过滤更为可靠，而且会详细地记录下一切的访问记录。但是运用级网关的访问速度慢，由于它不允许用户直接访问网络。而且运用级网关需求对每一个特定的互联网效力安装相应的代理效力软件，用户不能运用未被效力器支持的效力，它的效率不如网络级防火墙。8.2.3 电路级网关防火墙电路级网关用来监控受信任的客户或效力器与不受信任的主机间的TCP握手信息，这样来决议该会话(Session)能否合法，电路级网关是在OSI模型中会话层上来过滤数据包，这样

15、比包过滤防火墙要高二层。实践上电路级网关并非作为一个独立的产品存在，它与其他的运用级网关结合在一同，如TrustInformationSystems公司的GauntletInternetFirewall；DEC公司的AltaVistaFirewall等产品。另外，电路级网关还提供一个重要的平安功能：代理效力器ProxyServer，代理效力器是个防火墙，在其上运转一个叫做地址转移的进程，来将一切他公司内部的IP地址映射到一个平安的IP地址，这个地址是由防火墙运用的。但是，作为电路级网关也存在着一些缺陷，由于该网关是在会话层任务的，它就无法检查运用层级的数据包。8.2.4 规那么检查防火墙规那么

16、检查防火墙结合了包过滤防火墙、电路级网关和运用级网关的特点。它同包过滤防火墙一样，规那么检查防火墙可以在OSI网络层上经过IP地址和端口号，过滤进出的数据包。它也象电路级网关一样，可以检查SYN和ACK标志和序列数字能否逻辑有序。当然它也象运用级网关一样，可以在OSI运用层上检查数据包的内容，查看这些内容能否能符合公司网络的平安规那么。规那么检查防火墙虽然集成前三者的特点，但是不同于一个运用级网关的是，它并不突破客户机/效力机方式来分析运用层的数据，它允许受信任的客户机和不受信任的主机建立直接衔接。规那么检查防火墙不依托与运用层有关的代理，而是依托某种算法来识别进出的运用层数据，这些算法经过知

17、合法数据包的方式来比较进出数据包，这样从实际上就能比运用级代理在过滤数据包上更有效。8.2.5 形状监视器形状防火墙的平安特性是非常好的，它采用了一个在网关上执行网络平安战略的软件引擎，称之为检测模块。检测模块在不影响网络正常任务的前提下，采用抽取相关数据的方法对网络通讯的各层实施监测，抽取部分数据，即形状信息，并动态地保管起来作为以后制定平安决策的参考。检测模块支持多种协议和运用程序，并可以很容易地实现运用和效力的扩展。与其它平安方案不同，当用户访问到达网关的操作系统前，形状监视器要抽取有关数据进展分析，结合网络配置和平安规定作出接纳、回绝、鉴定或给该通讯加密等决议。一旦某个访问违反平安规定

18、，平安报警器就会回绝该访问，并作记录，向系统管理器报告网络形状。形状监视器的另一个优点是它会监测RPC(Remote Procedure Call)和(UDP)User Data gram Protocol之类的端口信息。包过滤和代理网关都不支持此类端口。这种防火墙无疑是非常巩固的，但它的配置非常复杂，而且会降低网络的速度。8.3 防火墙体系构造防火墙体系构造主要有三种： 双重宿主主机体系构造； 被屏蔽主机体系构造； 被屏蔽子网体系构造。8.3.1 双重宿主主机体系构造双重宿主主机体系构造是围绕具有双重宿主的主机计算机而构筑的，该计算机至少有两个网络接口。这样的主机可以充任与这些接口相连的网络

19、之间的路由器；它可以从一个网络到另一个网络发送IP数据包。实现双重宿主主机的防火墙体系构造制止这种发送功能。所以IP数据包从一个网络并不是直接发送到其它网络。防火墙内部的系统能与双重宿主主机通讯，同时防火墙外部的系统能与双重宿主主机通讯，但是这些系统不能直接相互通讯。它们之间的IP通讯被完全阻止。双重宿主主机的防火墙体系构造是相当简单的：双重宿主主机位于两者之间，并且被衔接到因特网和内部的网络。在双重宿体主机体系中运用最广泛的是双穴主机网关，这种网关是用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受维护网和外部网相连。堡垒主机上运转着防火墙软件，可以转发运用程序，提供效力等。 8.3.2

20、 屏蔽主机体系构造屏蔽主机体系构造运用一个单独的路由器提供来自仅仅与内部的网络相连的主机的效力。在这种体系构造中，主要的平安由数据包过滤。在屏蔽的路由器上的数据包过滤是按这样一种方法设置，即堡垒主机是因特网上的主机能衔接到内部网络上的系统的桥梁。仅有某些确定类型的衔接被允许。任何外部的系统试图访问内部的系统或者效力将必需衔接到这台堡垒主机上。堡垒主机需求拥有高等级的平安。在屏蔽路由器中数据包过滤配置的可选方案如下： 允许其它的内部主机为了某些效力与因特网上的主机衔接。 不允许来自内部主机的一切衔接。 用户可以针对不同的效力混合运用上述手段；某些效力可以被允许直接经由数据包过滤，而其它效力可以被

21、允许仅仅间接地经过代理。这完全取决于用户实行的平安战略。8.3.3 屏蔽子网体系构造屏蔽子网体系构造添加额外的平安层到被屏蔽主机体系构造，即经过添加周边网络更进一步地把内部网络与Internet隔分开。堡垒主机是用户的网络上最容易受侵袭的机器。听凭用户尽最大的力气去维护它，它仍是最有能够被侵袭的机器，由于它本质上是可以被侵袭的机器。假设在屏蔽主机体系构造中，用户的内部网络对来自用户的堡垒主机的侵袭门户洞开，那么用户的堡垒主机是非常诱人的攻击目的。在它与用户的其它内部机器之间没有其它的防御手段时。假设有人胜利地侵入屏蔽主机体系构造中的堡垒主机，那就毫无阻挠地进入了内部系统。经过在周边网络上隔离堡

22、垒主机，能减少在堡垒主机上侵入的影响。屏蔽子网体系构造的最简单的方式为，两个屏蔽路由器，每一个都衔接到周边网。一个位于周边网与内部的网络之间，另一个位于周边网与外部网络之间。为了侵入用这种类型的体系构造构筑的内部网络，入侵者必需求经过两个路由器。即使侵袭者设法侵入堡垒主机，他将依然必需经过内部路由器。在此情况下，没有损害内部网络的单一的易受侵袭点。作为入侵者，只是进展了一次访问。1. 周边网络周边网络是另一个平安层，是在外部网络与用户的被维护的内部网络之间的附加的网络。假设侵袭者胜利地侵入用户的防火墙的外层领域，周边网络在那个侵袭者与用户的内部系统之间提供一个附加的维护层。在许多网络设置中，用

23、给定网络上的任何机器来查看这个网络上的每一台机器的通讯是能够的；对局域网中所运用的技术，入侵者都很熟习，入侵者可以经过查看那些在Telnet、FTP以及rlogin会话期间运用过的口令胜利地探测出口令、电子邮件以用监视网络等。对于周边网络，假设入侵周边网上的堡垒主机，入侵者只能探听到周边网上的通讯。由于一切周边网上的通讯来自或者通往堡垒主机或Internet。由于没有严厉的内部通讯能越过周边网。所以，假设堡垒主机被损害，内部的通讯仍将是平安的。总的来说，在堡垒主机或者外部的通讯，依然是可监视的。防火墙设计任务的一部分就是确保这种通讯不致于到阅读它将损害他的站点的完好性。2. 堡垒主机在屏蔽的子

24、网体系构造中，用户把堡垒主机衔接到周边网；这台主机便是接受来自外界衔接的主要入口。 对于进来的电子邮件SMTP会话，传送电子邮件到站点； 对于进来的FTP衔接，转接到站点的匿名FTP效力器； 对于进来的域名效力DNS站点查询等等。 在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部的效力器。 设置代理效力器在堡垒主机上运转假设用户的防火墙运用代理软件来允许内部的客户端间接地访问外部的效力器。用户也可以设置数据包过滤来允许内部的客户端在堡垒主机上同代理效力器交谈。但是制止内部的客户端与外部世界之间直接通讯即拨号入网方式。3. 内部路由器内部路由器也称阻塞路由器维护内部的网络使之免

25、受Internet和周边网的进犯。内部路由器为用户的防火墙执行大部分的数据包过滤任务。它允许从内部网到Internet的有选择的出站效力。这些效力是用户的站点能运用数据包过滤而不是代理效力平安支持和平安提供的效力。内部路由器所允许的在堡垒主机和用户的内部网之间效力可以不同于内部路由器所允许的在Internet和用户的内部网之间的效力。限制堡垒主机和内部网之间效力的理由是减少由此而导致的遭到来自堡垒主机侵袭的机器的数量。4. 外部路由器外部路由器又称访问路由器维护周边网和内部网使之免受来自Internet的进犯。实践上，外部路由器倾向于允许几乎任何东西从周边网出站，并且它们通常只执行非常少的数据

26、包过滤。维护内部机器的数据包过滤规那么在内部路由器和外部路由器上根本上应该是一样的；假设在规那么中有允许侵袭者访问的错误，错误就能够出如今两个路由器上。外部路由器由外部群组提供，同时用户对它的访问被限制。外部群组能够情愿放入一些通用型数据包过滤规那么来维护路由器，但是不情愿使维护复杂或者运用频繁变化的规那么组。外部路由器能有效地执行的平安任义务是阻止从Internet上伪造源地址进来的任何数据包。这样的数据包自称来自内部的网络，但实践上是来自Internet。5. 被屏蔽子网在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。两个分组过滤路

27、由器放在子网的两端，在子网内构成一个“非军事区DMZ，内部网络和外部网络均可访问被屏蔽子网，但制止它们穿过被屏蔽子网通讯，像WWW和FTP效力器可放在DMZ中。有的屏蔽子网中还设有一堡垒主机作为独一可访问点，支持终端交互或作为运用网关代理。这种配置的危险带仅包括堡垒主机、子网主机及一切衔接内网、外网和屏蔽子网的路由器。假设入侵者试图完全破坏防火墙，那么重新配置衔接三个网的路由器，既不切断衔接又不要把本人锁在外面，同时又不使本人被发现，这样也还是能够的。但假设制止网络访问路由器或只允许内网中的某些主机访问它，那么攻击会变得很困难。在这种情况下，攻击者得先侵入堡垒主机，然后进入内网主机，再前往来破

28、坏屏蔽路由器，整个过程中不能引发警报8.3.4 防火墙体系构造的组合方式建造防火墙时，普通很少采用单一的技术，通常是多种处理不同问题的技术的组合。这种组合主要取决于网管中心向用户提供什么样的效力，以及网管中心能接受什么等级风险。采用哪种技术主要取决于经费，投资的大小或技术人员的技术、时间等要素。普通有以下几种方式： 运用多堡垒主机； 合并内部路由器与外部路由器； 合并堡垒主机与外部路由器； 合并堡垒主机与内部路由器； 运用多台内部路由器； 运用多台外部路由器； 运用多个周边网络； 运用双重宿主主机与屏蔽子网。8.4 防火墙的选择在规划网络时，就必需思索整体网络的平安性，而在这其中，防火墙是第一

29、道防护。防火墙产品很多，如何进展防火墙的选择，是一个必需思索的问题，建议以下几点。 好的防火墙是一个整体网络的维护者好的防火墙是整体网络的维护者，它所维护整个局域网。 好的防火墙必需能弥补其他操作系统的缺乏好的防火墙必需是建立在操作系统之前而不是在操作系统之上，所以操作系统有的破绽能够并不会影响到一个好的防火墙系统所提供的平安性，由于硬件平台的普及以及执行效率的要素，大部分企业均会把对外提供各种效力的效力器分散至许多操作平台上，但我们在无法保证一切主机平安的情况下，选择防火墙作为整体平安的维护者，这正阐明了操作系统提供了B级或是C级的平安并不一定会直接对整体平安呵斥影响，好的防火墙必需能弥补操

30、作系统的缺乏。 好的防火墙应该为运用者提供不同平台的选择由于防火墙并非完全由硬件构成，所以软件(操作系统)所提供的功能以及执行效率一定会影响到整体的表现，而运用者的操作志愿及熟习程度也是必需思索的重点。因此一个好的防火墙不但本身要有良好的执行效率，也应该提供多平台的执行方式供运用者选择，毕竟运用者才是完全的控制者，应该选择一套符合现有环境需求的软件，而非为了软件的限制而改动现有环境。 好的防火墙应能向运用者提供完善的售后效力由于有新的产品出现，就有人会研讨新的破解方法，所以一个好的防火墙提供者就必需有一个庞大的组织作为运用者的平安后盾，也应该有众多的运用者所建立的口碑为防火墙作见证。 好的防火

31、墙应该向运用者提供完好的平安检查功能，但是一个平安的网络仍必需依托-运用者的察看及改良 好的防火墙应该向运用者提供不同平台的选择 好的防火墙还能实现IP转换IP转换能隐藏内部网络真正的IP，使入侵者无法直接入侵内部网，另外是节省了IP可作为内部运用。 好的防火墙应该有双重DNS 查杀病毒功能大部分防火墙都可以与防病毒防火墙搭配实现查杀病毒功能，有的防火墙那么可以直接集成扫毒功能，有的是杀毒由防火墙完成，有的是由另公用的计算机完成。防火墙也是网络上的主机，除了配置防火墙的控制衔接以及它本身的效力配置、端口设置以外，还应该思索到防火墙本身的平安，由于它身身的平安性决议着内部网络的平安性。-防火墙大

32、部分都安装在网络操作系统上，如Linux、Windows系列等，在防火墙主机上执行的除了防火墙软件外，一切的程序、系统中心，也大多来自于操作系统本身的原有程序。当防火墙上所执行的软件出现平安破绽时，防火墙本身也将遭到要挟。此时，任何的防火墙控制机制都能够失效，由于当入侵者获得了防火墙上的控制权以后，入侵者可以经过防火墙入侵内部网络，所以防火墙本身要具有相当高的平安维护。在其它章节我们详细的讲述了各个网络操作系统的平安配置及管理，他可以在运用相应操作系统的时候作为参考。 8.5 常用防火墙的配置与管理防火墙配置普通有三种方式：Dual-homed方式、Screened-host方式和Screen

33、ed-subnet方式。Dual-homed方式最简单。Dual-homedGateway放置在两个网络之间，这个Dual-homed Gateway又称为bastionhost。这种构造本钱低，但是它有单点失败的问题。这种构造没有添加网络平安的自我防卫才干，并且它是入侵者的首选目的，它极易被攻破，一旦被攻破，整个网络也就暴露了，所以这种配置方式不利于平安的管理。Screened-host方式中的Screeningrouter为维护Bastionhost的平安建立了一道屏障。它将一切进入的信息先送往Bastionhost，并且只接受来自Bastionhost的数据作为出去的数据。这种构造依赖S

34、creeningrouter和Bastionhost，只需有一个失败，整个网络就暴露了。Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网，称之为“停火区DMZ，即DemilitarizedZone，Bastionhost放置在“停火区内。这种构造平安性好，只需当两个平安单元被破坏后，网络才被暴露，但是本钱也很昂贵。8.5 .1 配置防火墙1. iptables语法引见iptables的IP过滤规那么由链和对应的处置规那么组成，防火墙的规那么指定所检查包的特征、目的。假设包不匹配那么送往该链下一条规那么检查；假设匹配,那么由目的值确定下一条规那么。这些目的值可以是：ACCEPT经过, DROP删除, QUEUE排队, RETURN前往一旦到达了目的，链就终了了。iptables缺省定义了几个规范链，即INPUT(输入链),OUTPUT输出链,FORWARD转发链,PREROUTING和POSTROUTING。假设他曾经运用过ipchains，那么要留意，iptables的INPUT和OUTPUT的定义和ipchains不同，如今INPUT和OUTPUT只包含现实上进入/分开本机的包，过去的forward包穿过三条链的情况不再出现了。相当于以前的INP