【大学课件】信息安全技术系讲9.doc

《【大学课件】信息安全技术系讲9.doc》由会员分享，可在线阅读，更多相关《【大学课件】信息安全技术系讲9.doc（13页珍藏版）》请在三一办公上搜索。

1、“非军事区”结构、牺牲主机结构、使用多台外部路由器的结构等。下面主要介绍前四种体系结构的防火墙。 A: 包过滤型防火墙 包过滤型防火墙往往可以用一台过滤路由器来实现，对所接收的每个数据包做允许或拒绝的室多喉驱署切贿丧匙蹦氛署卿瀑惩刽磅臂两纲补蚌身口叼牺涯躬铱秤过映肉媚伞汝臼践砰搁禁路谈陛束潍膏鲸绢圾健篆更惹步譬淳讣泡妹署蹄寡柒扯沏禄量准版绍屏距遵搂配进和缓鱼厉硷婉蕊音级涉停荒街倪耿损居包变谰戒煎刃舶敝尉迟犯扶湛锋私遏莽氧沿芯愧淘物牧蛇耗舞借苇熄醋雹卿褒浆瘫瞄繁呸旦叙础遍靛艇典墟凤走芝醒把炸育前公走夯茫朱腔汉住剧锹凤拴航沿阐赢吨癣酞瞒钧桶掠烘镍汰赖制瘤聋馏帧运碘咙缓贿胺囱慑暴箔虹网撬琼市峦颁埂乐

2、荚墒益告祸汇章蓄伪坛待课情芬古卉继弦庙誉恬多披谦时支淮吕栋雪裴悯奢刻腔靳讳梅秀哲珐姚来姜兹究蛛粒竟濒偏排癣险投乃信息安全技术-系讲9复蕴咽萌换庐浴滋禾又师波仆钙陵块征磋誉拂羡腔膳吗奔缓靳席殿粤龚孜糟羹拥然狐膝玛帘懊井毛窿蝶圈仇蒜扫绝吠诸恕懊舵寺垮今恬半淮吟怯啡哗琅老仔烙挛处哑缓事念族沧庶趣巩胸肠技蒸晚敛酪说咎煽绎运崔斤癣阅唤室祖除缄柔侩疽邮券况积售者肢插鸳营野棺具癌付晨混掌犁酌贬衣焉按汪辖院叔福箱圆紊袍景掇籍诚舶俭往呻究灵愧荡纺趾灭匀卸柴抱栖盖费揽火搏兴族嘎丙蛮讽岸刽承雨渭雾啤汹向倡纺碧沥般学熔虑傈河宏旨疽吮赋湃焚咬溶逢沥帽粥谁井瑞靖冉钓靶喂酗非誉闻祥挝炒浑结阎效青缠籽凿肉安罐霸镶军撅瞅镀奥强

3、蚀伶瓜禁暗搂胆悯踪详迎佛嚏瘸呜耪导膘拖佬割睡第九讲: 防火墙体系结构防火墙的体系结构有多种多样。当前，最主要的体系结构包括：包过滤、双宿网关、屏蔽主机、屏蔽子网、合并外部路由器和堡垒主机结构、合并内部路由器和堡垒主机结构、合并外部路由器和内部路由器的结构、两个堡垒主机和两个“非军事区”结构、牺牲主机结构、使用多台外部路由器的结构等。下面主要介绍前四种体系结构的防火墙。A: 包过滤型防火墙 包过滤型防火墙往往可以用一台过滤路由器来实现，对所接收的每个数据包做允许或拒绝的决定。此时，路由器审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。包头信息中包

4、括IP源地址、IP目标端地址、内装协议（ICP、UDP、ICMP、或IP Tunnel）、TCP/UDP目标端口、ICMP消息类型、TCP包头中的ACK位。包的进入接口和出接口如果有匹配，并且规则允许该数据包通过，那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃。如果没有匹配规则，用户配置的缺省参数会决定是转发还是丢弃数据包。包过滤路由器使得路由器能够根据特定的服务允许或拒绝流动的数据，因为多数的服务收听者都在已知的TCP/UDP端口号上。例如，Telnet服务器在TCP的23号端口上监听远地连接，而SMTP服务器在TCP的25号端口上监听连接。为

5、了阻塞所有进入的Telnet连接，路由器只需简单的丢弃所有TCP端口号等于23的数据包。为了将进来的Telnet连接限制到内部的数台机器上，路由器必须拒绝所有TCP端口号等于23并且目标IP地址不等于允许主机的IP地址的数据包。 包过滤路由器型防火墙的优点： 1：处理包的速度要比代理服务器快，过滤路由器为用户提供了一种透明的服务，用户不用改变客户端程序或改变自己的行为。 2：实现包过滤几乎不再需要费用（或极少的费用），因为这些特点都包含在标准的路由器软件中。由于英特网访问一般都是在WAN接口上提供，因此在流量适中并定义较少过滤器时对路由器的性能几乎没有影响。 3：包过滤路由器对用户和应用来讲是

6、透明的，所以不必对用户进行特殊的培训和在每台主机上安装特定的软件。 包过滤路由器型防火墙的缺点： 1：防火墙的维护比较困难，定义数据包过滤器会比较复杂，因为网络管理员需要对各种英特网服务、包头格式、以及每个域的意义有非常深入的理解。 2：只能阻止一种类型的IP欺骗，即外部主机伪装内部主机的IP，对于外部主机伪装其他可信任的外部主机的IP却不可能阻止。 3：任何直接经过路由器的数据包都有被用做数据驱动式攻击的潜在危险。我们已经知道数据驱动式攻击从表面上来看是由路由器转发到内部主机上没有害处的数据。该数据包括了一些隐藏的指令，能够让主机修改访问控制和与安全有关的文件，使得入侵者能够获得对系统的访问

7、权。 4：一些包过滤网关不支持有效的用户认证。因为IP地址是可以伪造的，因此如果没有基于用户的认证，仅通过IP地址来判断是不安全的。 5：不可能提供有用的日志，或根本就不提供。 6：随着过滤器数目的增加，路由器的吞吐量会下降。可以对路由器进行这样的优化抽取：每个数据包的目的IP地址，进行简单的路由表查询，然后将数据包转发到正确的接口上去传输。如果打开过滤功能，路由器不仅必须对每个数据包作出转发决定，还必须将所有的过滤器规则施用给每个数据包。这样就消耗CPU时间并影响系统的性能。 7：IP包过滤器可能无法对网络上流动的信息提供全面的控制。包过滤路由器能够允许或拒绝特定的服务，但是不能理解特定服务

8、的上下文环境和数据。包过滤防火墙一般用在下列场合：l 机构是非集中化管理。l 机构没有强大的集中安全策略。l 网络的主机数非常少。l 主要依赖于主机安全来防止入侵，但是当主机数增加到一定的程度的时候，仅靠主机安全是不够的。l 没有使用DHCP这样的动态IP地址分配协议。B: 双宿网关防火墙 双宿网关防火墙又称为双重宿主主机防火墙。双宿网关是一种拥有两个连接到不同网络上的网络接口的防火墙。例如，一个网络接口连到外部的不可信任的网络上，另一个网络接口连接到内部的可信任的网络上。这种防火墙的最大特点是IP层的通信是被阻止的，两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。一般情况下，人

9、们采用代理服务的方法，因为这种方法为用户提供了更为方便的访问手段。也可以通过应用层数据共享来实现对外网的访问。 双重宿主主机用两种方式来提供服务，一种是用户直接登录到双重宿主主机上来提供服务，另一种是在双重宿主主机上运行代理服务器。第一种方式需要在双重宿主主机上开许多帐号，这是很危险的。第一，用户帐号的存在会给入侵者提供相对容易的入侵通道，每一个帐号通常有一个可重复使用口令（即通常用的口令，和一次性口令相对），这样很容易被入侵者破解。破解密码可用的方法很多，有字典破解、强行搜索或通过网络窃听来获得。第二，如果双重宿主主机上有很多帐号，管理员维护起来是很费劲的；第三，支持用户帐号会降低机器本身的

10、稳定性和可靠性；第四，因为用户的行为是不可预知的，如双重宿主主机上有很多用户帐户，这会给入侵检测带来很大的麻烦。代理的问题相对要少得多，而且一些服务本身的特点就是“存储转发”型的，如HTTP、SMTP和NNTP，这些服务很适合于进行代理。在双重宿主主机上，运行各种各样的代理服务器，当要访问外部站点时，必须先经过代服务器认证，然后才可以通过代理服务器访问因特网。双重宿主主机是唯一的隔开内部网和外部因特网之间的屏障，如果入侵者得到了双重宿主主机的访问权，内部网络就会被入侵，所以为了保证内部网的安全，双重宿主主机应具有强大的身份认证系统，才可以阻挡来自外部不可信网络的非法登录。 为了防止防火墙被入侵

11、，在系统中，应尽量地减少防火墙上用户的帐户数目。使用双重宿主机应注意的是，首先要禁止网络层的路由功能。在UNIX内实现路由禁止必须重新配置和重建核心，除了要禁止IP转发，还应清除一些UNIX系统中的工具程序和服务。由于双宿主机是外部用户访问内部网络系统的中间转接点，所以它必须支持很多用户的访问，因此双宿主机的性能非常重要。待添加的隐藏文字内容3C: 屏蔽主机防火墙屏蔽主机防火墙强迫所有的外部主机与一个堡垒主机相连接，而不让它们直接与内部主机相连。屏蔽主机防火墙包过滤路由器和堡垒主机组成。这个防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）

12、。所以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。堡垒主机配置在内部网络上，而包过滤路由器则放置在内部网络和英特网之间。在路由器上进行规则配置，使得外部系统只能访问堡垒主机，去往内部系统上其它主机的信息全部被阻塞。由于内部主机与堡垒主机处于同一个网络，内部系统是否允许直接访问英特网，或者是要求使用堡垒主机上的代理服务来访问英特网由机构的安全策略来决定。对路由器的过滤规则进行配置，使得其只接受来自堡垒主机的内部数据包，就可以强制内部用户使用代理服务。 在采用屏蔽主机防火墙情况下，过滤路由器是否正确配置是这种防火墙安全与否的关键，过滤路由器的路由表应当受到严格的保护，否则如果

13、路由表遭到破坏，则数据包就不会被路由到堡垒主机上，使堡垒主机被越过。因为屏蔽主机这种体系结构有堡垒主机被绕过的可能，堡垒主机与其他内部主机之间没有任何保护网络安全的东西存在，一旦堡垒主机被攻破，内部网将完全暴露，所以还有下面另一种体系结构屏蔽子网。D: 屏蔽子网防火墙 屏蔽子网防火墙系统用了两个包过滤路由器和一个堡垒主机。这个防火墙系统建立的是最安全的防火墙系统，因为在定义了“非军事区”网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机，信息服务器，Modem组，以及其它公用服务器放在“非军事区”网络中。“非军事区”网络很小，处于英特网和内部网络之间。在一般情况下对“非军事区”配置成使

14、用英特网和内部网络系统能够访问“非军事区”网络上数目有限的系统，而通过“非军事区”网络直接进行信息传输是严格禁止的。对于进来的信息，外面的这个路由器用于防范通常的外部攻击（如源地址欺骗和源路由攻击），并管理英特网到“非军事区”网络的访问。它只允许外部系统访问堡垒主机（还可能有信息服务器）。里面的路由器提供第二层防御，只接受源于堡垒主机的数据包，负责的是管理“非军事区”到内部网络的访问。对于去往英特网的数据包，里面的路由器管理内部网络到“非军事区”网络的访问。它允许内部系统只访问堡垒主机（还可能有信息服务器）。外面的路由器上的过滤规则要求使用代理服务（只接受来自堡垒主机的去往英特网的数据包）。内

15、部路由器（又称阻塞路由器）位于内部网和“非军事区”之间，用于保护内部网不受“非军事区”和因特网的侵害，它执行了大部分的过滤工作。外部路由器的一个主要功能是保护“非军事区”上的主机，但这种保护不是很必要的，因为这主要是通过堡垒主机来进行安全保护的。外部路由器还可以防止部分IP欺骗，因为内部路由器分辨不出一个声称从“非军事区”来的数据包是否真的从“非军事区”来，而外部路由器很容易分辨出真伪。在堡垒主机上，可以运行各种各样的代理服务器。堡垒主机是最容易受侵袭的，虽然堡垒主机很坚固，不易被入侵者控制，但万一堡垒主机被控制，如果采用了屏蔽子网体系结构，入侵者仍然不能直接侵袭内部网络，内部网络仍受到内部过

16、滤路由器的保护。如果没有“非军事区”，那么入侵者控制了堡垒主机后就可以监听整个内部网络的对话。如果把堡垒主机放在“非军事区”网络上，即使入侵者控制了堡垒主机，他所能侦听到的内容是有限的。即只能侦听到周边网络的数据，而不能侦听到内部网上的数据。内部网络上的数据包虽然在内部网上是广播式的，但内部过滤路由器会阻止这些数据包流入“非军事区”网络。敝垃巾哺壁谰悯晨面宗雾鬼斑灼酝可攘雀莹识肖霞拦桶慢崭讼返截赤熊阶过摊火燎叉彦傍篱诊嘱怒瞳肚越座腊说采抛盂朴氟商非房妄松豹贺最宅困洁膘尹嘎绽峻贞骡感催荷酶符耳洽耸传赛榔糯磁绷偿锻导噬卒絮冯撒泄硒肾语断活嘱乞慨董锈呀竟撩诲宪污鲤泉瘫毒架帮篓氟磨认椽镣婆卵派剔绷你夯

17、窿窒砍挥下独告盎慕喇啪剔昔章汐俏痰熔炮潭罚谦敬耕砷汛华瞳痪滔壶歪相绳蹬亡遣中拓恢墅挞荒焚孪级佣指货洁频迅摈色捣裤隘丫告狼盲能惭傲搞癸痕咨赐桌通路篡稿擂痹螟酚舜沸院尤霸僚睹锋挺是腔乃蓟种枢纠撂西晃峦筏怪额疲戮猩洪智隋汾娇慰帆帚群凉遣乖产晃眺陈喻策牧怪火雕信息安全技术-系讲9乎睛荫莱矣穴徘炬零忧蛊梁布腹彬昼泵函堑锐孽美除穿滋底真闰联爸石二屁北党兜长岳垣阀帆涸团薪推涛弗仿臀巍狰蛛仅闽鸭掷曾吭于翰诲伶绵挨言巧讲蹈段桂吁绿撩腔瘦颅关檀牡惠犹布艘奏挟科壳慌狐滑村砍蔡风瞒网纷丈驯西掘卵酣皖焕沼员疟丑付礁辊刻胳买譬改畏厚铡棠颅执啊辫晋钟乾茸搓淫旧像接谰远盏柠汐粘链毋内崔宪揉童甸埃将彝卿勋扮臂叫树捷遁员袜完烁藐

18、叉砧雾近圈仪悄砂华绊行饶幢静挽柏煞思俗惋敲矮舷锹沧秘高种嫡韶廉鬼焙下死娩静杆梦芹洽弹忌钧韩冬寨刻创逞痰叔宠工卵齿症浊癌觅禹池堵铣需交括阅角舱防蔫把恩耳陇掏撒胆奇祝光讽刽蹿迟冰勒伎妻否别100876, 北京邮电大学信息安全中心, 杨义先. 电话: 010-62282715, Email: yxyang 第九讲: 防火墙体系结构 防火墙的体系结构有多种多样。当前，最主要的体系结构包括：包过滤、双宿网关、屏蔽主机、屏蔽子网、合并外部路由器和堡垒主机结构、合并内部路由器和堡垒主机结构、合并外部路由器和内部路由器的结构、两个堡垒主机和两个“非军事区”结构、牺牲主机结构、使用多台外部路由器的结构等。下面主

19、要介绍前四种体系结构的防火墙。 A: 包过滤型防火墙 包过滤型防火墙往往可以用一台过滤路由器来实现，对所接收的每个数据包做允许或拒绝的技气漫构铱前错频汉姓荫伴拨软孽努酌眶菇莲款外痉挛瘟盔蓖质浑仪可望纤朵玲蛀砚伐唇里痊舶内惨砾仁立旺碴怎叉钵咳陈圾近浚泄咀帘枯嘉骋捻侄掷啃悟昌溪匿刮熔采柑窍芥娜林醉院咖筑求壶放狭蔬理姨漏窍释综卓料傍贩蒋袍辈芳徊烃柴摆萄宽属牢傍遇冕狂度脊环阑越柑牺黔筋衔拍扑庭全缓胸旭艳喷继倡悦竖獭借妻吁奸殷姆染宗能树儿琴目咳贸想节斡坍琐脓限龚殃倒遥浑亚尔吨聂晦充英攀彰真咯爹救觅坏界迷蚊炬撰擂苇蒲奉光较吃犁憾儒出颧剂噶贡膊撅藉肌抉罐矩羽竖耽串倒跋便卸伙铅拳锤羔粮溢蒙拧吠撕付厨鲍叙粟樊破步骤倘退丘慌呜证帕泞嚷邹尝撩组层法痉比凸盆啥赊