信息安全技术----系讲9.doc

第九讲: 防火墙体系结构
防火墙的体系结构有多种多样。当前,最主要的体系结构包括:包过滤、双宿网关、屏蔽主机、屏蔽子网、合并外部路由器和堡垒主机结构、合并内部路由器和堡垒主机结构、合并外部路由器和内部路由器的结构、两个堡垒主机和两个“非军事区”结构、牺牲主机结构、使用多台外部路由器的结构等。下面主要介绍前四种体系结构的防火墙。
A: 包过滤型防火墙
包过滤型防火墙往往可以用一台过滤路由器来实现,对所接收的每个数据包做允许或拒绝的决定。此时,路由器审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。
包头信息中包括IP源地址、IP目标端F地址、内装协议(ICP、UDP、
ICMP、或IP Tunnel)、TCP/UDP目标端口、ICMP消息类型、TCP包头中的ACK位。包的进入接口和出接口如果有匹配,并且规则允许该数据包通过,那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包,那么该数据包就会被丢弃。如果没有匹配规则,用户配置的缺省参数会决定是转发还是丢弃数据包。
包过滤路由器使得路由器能够根据特定的服务允许或拒绝流动的数据,因为多数的服务收听者都在已知的TCP/UDP端口号上。例如,服务器在TCP的23号端口上监听远地连接,而SMTP服务器在TCP的25号端口上监听连接。连接,路由器只需简单的丢弃所有TCP端口号等于23的数据包。连接限制到内部的数台机器上,路由器必须拒绝所有TCP端口号等于23并且目标IP地址不等于允许主机的IP地址的数据包。
包过滤路由器型防火墙的优点:
1:处理包的速度要比代理服务器快,过滤路由器为用户提供了一种透明的服务,用户不用改变客户端程序或改变自己的行为。
2:实现包过滤几乎不再需要费用(或极少的费用),因为这些特点都包含在标准的路由器软件中。由于英特网访问一般都是在WAN接口上提供,因此在流量适中并定义较少过滤器时对路由器的性能几乎没有影响。
3:包过滤路由器对用户和应用来讲是透明的,所以不必对用户进行特殊的培训和在每台主机上安装特定的软件。
包过滤路由器型防火墙的缺点:
1:防火墙的维护比较困难,定义数据包过滤器会比较复杂,因为网络管理员需要对各种英特网服务、包头格式、以及每个域的意义有非常深入的理解。
2:只能阻止一种类型的IP欺骗,即外部主机伪装内部主机的IP,对于外部主机伪装其他可信任的外部主机的
IP却不可能阻止。
3:任何直接经过路由器的数据包都有被用做数据驱动式攻击的潜在危险。我们已经知道数据驱动式攻击从表面上来看是由路由器转发到内部主机上没有害处的数据。该数据包括了一些隐藏的指令,能够让主机修改访问控制和与安全有关的文件,使得入侵者能够获得对系统的访问权。
4:一些包过滤网关不支持有效的用户认证。因为IP地址是可以伪造的,因此如果没有基于用户的认证,仅通过IP地址来判断是不安全的。
5:不可能提供有用的日志,或根本就不提供。
6:随着过滤器数目的增加,路由器的吞吐量会下降。可以对路由器进行这样的优化抽取:每个数据包的目的IP地址,进行简单的路由表查询,然后将数据包转发到正确的接口上去传输。如果打开过滤功能,路由器不仅必须对每个数据包作出转发决定,还必须将所有的过滤器规则施用给每个数据包。这样就消耗
CPU时间并影响系统的性能。
7:IP包过滤器可能无法对网络上流动的信息提供全面的控制。包过滤路由器能够允许或拒绝特定的服务,但是不能理解特定服务的上下文环境和数据。
包过滤防火墙一般用在下列场合:
机构是非集中化管理。
机构没有强大的集中安全策略。
网络的主机数非常少。
主要依赖于主机安全来防止入侵,但是当主机数增加到一定的程度的时候,仅靠主机安全是不够的。
没有使用DHCP这样的动态IP地址分配协议。
B: 双宿网关防火墙
双宿网关防火墙又称为双重宿主主机防火墙。双宿网关是一种拥有两个连接到不同网络上的网络接口的防火墙。例如,一个网络接口连到外部的不可信任的网络上,另一个网络接口连接到内部的可信任的网络上。这种防火墙的最大特点是IP层的通信是被阻止的,两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。一般情况下,人们采用代理服务的方法,因为这种方法为用户提供了更为方便的访问手段。也可以通过应用层数据共享来实现对外网的访问。
双重宿主主机用两种方式来提供服务,一种是用户直接登录到双重宿主主机上来提供服务,另一种是在双重宿主主机上运行代理服务器。第一种方式需要在双重宿主主机上开许多帐号,这是很危险的。第一,用户帐号的存在会给入侵者提供相对容易的入侵通道,每一个帐号通常有一个可重复使用口令(即通常用的口令,和一次性口令相对