第5章 访问控制和防火墙la.ppt

5.5 防火墙的体系结构 屏蔽主机：被放置到屏蔽路由器后面网络上的主机称为屏蔽主机，该主机能被访问的程度取决于路由器的屏蔽规则。 屏蔽子网：位于屏蔽路由器后面的子网，子网能被访问的程度取决于路由器的屏蔽规则。 筛选路由式体系结构 这种体系结构极为简单，路由器作为内部网和外部网的唯一过滤设备，如下图所示。 双网主机式体系结构 这种体系结构有一主机专门被用作内部网和外部网的分界线。该主机里插有两块网卡，分别连接到两个网络。防火墙里面的系统可以与这台双网主机进行通信，防火墙外面的系统(Internet上的系统)也可以与这台双网主机进行通信，但防火墙两边的系统之间不能直接进行通信。另外，使用此结构，必须关闭双网主机上的路由分配功能，这样就不会通过软件把两个网络连接在一起了。 屏蔽主机式体系结构 此类型的防火墙强迫所有的外部主机与一个堡垒主机相连接，而不让它们直接与内部主机相连。下图中的屏蔽路由器实现了把所有外部到内部的连接都路由到了堡垒主机上。 堡垒主机位于内部网络，屏蔽路由器联接Internet和内部网络，构成防火墙的第一道防线。 （参见下页图7） 屏蔽路由器必须进行适当的配置，使所有外部到内部的连接都路由到了堡垒主机上，并且实现外部到内部的主动连接。 此类型防火墙的安全级别较高，因为它实现了网络层安全(屏蔽路由器——包过滤)和应用层安全(堡垒主机——代理服务)。入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。 即使入侵了内部网络，也必须和堡垒主机相竞争，而堡垒主机是安全性很高的机器，主机上没有任何入侵者可以利用的工具，不能作为黑客进一步入侵的基地。 此类型防火墙中屏蔽路由器的配置十分重要，如果路由表遭到破坏，则数据包不会路由到堡垒主机上，使堡垒主机被越过。 屏蔽子网(ScreenedSubNet)式体系结构 这种体系结构本质上与屏蔽主机体系结构一样，但是增加了一层保护体系——周边网络，而堡垒主机位于周边网络上，周边网络和内部网络被内部屏蔽路由器分开。 由前可知，当堡垒主机被入侵之后，整个内部网络就处于危险之中，堡垒主机是最易受侵袭的，虽然其很坚固，不易被入侵者控制，但万一被控制，仍有可能侵袭内部网络。如果采用了屏蔽子网(ScreenedSubNet)式体系结构，入侵者将不能直接侵袭内部网络，因为内部网络受到了内部屏蔽路由器的保护。 屏蔽子网式体系结构如下图所示。 非军事区（DMZ)网络 非军事区(DMZ）网络与防火墙体系结构非常相似。防火墙可以布置成非军事区(DMZ）。组织要提供让外部访问的服务器（如Web服务器或FTP服务器）时才需要用到非军事区（DMZ）。为此，防火墙至少有三个网络接口。一个接口连接内部专用网，一个连接外部公网（即Internet），一个连接公用服务器（构成非军事区（DMZ)网络），如图9.19所示。 这种模式的主要优点是可以限制非军事区(DMZ)中任何服务的访问。例如，如果惟一需要的服务是Web服务器，则可以将进出非军事区网络的通信流限制为HTTP与HTTPS协议（分别为端口80和443），过滤所有其他通信流。更重要的是，内部专用网并不直接连接非军事区，因此，即使敌人能攻进非军事区，内部专用网也是安全的，无法访问的。 5.6 防火墙的构筑原则 1.网络策略 影响Firewall系统设计、安装和使用的网络策略可分为2级，高级的网络策略定义允许和禁止服务以及如何使用服务，低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。 2.服务访问策略 服务访问策略集中在因特网访问服务以及外部网络访问（如拨入策略、SLIP/PPP连接等）。服务访问策略必须是可行的和合理的。可行的策略必须在阻止已知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是允许通过增强认证的用户在必要的情况下从因特网访问某些内部主机和服务；允许内部用户访问指定的因特网主机和服务。 3.防火墙设计策略 防火墙设计策略基于特定的Firewall,定义完成服务访问策略的规则。通常有2种基本的设计策略：允许任何服务除非被明确禁止；禁止任何服务除非被明确允许。第一种的特点是好用但不安全，第二种是安全但不好用，通常采用第二种类型的设计策略。而多数防火墙都在2种之间采取折衷。 4. 增强的认证 许多在因特网上发生的入侵事件源于脆弱的传统用户／口令机制。多年来，用户被告知使用难于猜测和破译的