防火墻第四章課件

第4章防火墻體系結(jié)構(gòu)4.1防火墻的體系結(jié)構(gòu)4.2包過(guò)濾器4.3應(yīng)用級(jí)網(wǎng)關(guān)4.4電路級(jí)網(wǎng)關(guān)4.5狀態(tài)包檢測(cè)（SPI）4.6實(shí)施方式第4章防火墻體系結(jié)構(gòu)4.1防火墻的體系結(jié)構(gòu)1為了滿足用戶的更高要求，防火墻體系架構(gòu)經(jīng)歷了從低性能的x86，PPC軟件防火墻向高性能硬件防火墻的過(guò)渡。防火墻在經(jīng)過(guò)幾年繁榮的發(fā)展后，已經(jīng)形成了多種類型的體系架構(gòu)，并且這幾種體系架構(gòu)的設(shè)備并存互補(bǔ)，并不斷進(jìn)行發(fā)展升級(jí)。1.雙重宿主主機(jī)體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)圍繞雙重宿主主機(jī)構(gòu)筑。雙重宿主主機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口。這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，它能夠從一個(gè)網(wǎng)絡(luò)到另外一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包，然而雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送。4.1防火墻的體系結(jié)構(gòu)下一頁(yè)返回為了滿足用戶的更高要求，防火墻體系架構(gòu)經(jīng)歷了從低性能的x862因此，IP數(shù)據(jù)包并不是從一個(gè)網(wǎng)絡(luò)（如外部網(wǎng)絡(luò)）直接發(fā)送到另一個(gè)網(wǎng)絡(luò)（如內(nèi)部網(wǎng)絡(luò)）。外部網(wǎng)絡(luò)能與雙重宿主主機(jī)通信，內(nèi)部網(wǎng)絡(luò)也能與雙重宿主主機(jī)通信。但是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信，它們之間的通信必須經(jīng)過(guò)雙重宿主主機(jī)的過(guò)濾和控制，如圖4-1所示。2.被屏蔽主機(jī)體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)防火墻沒(méi)有使用路由器，而被屏蔽主機(jī)體系結(jié)構(gòu)防火墻則使用一個(gè)路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開(kāi)，如圖4-2所示。在這種體系結(jié)構(gòu)中，主要的安全由數(shù)據(jù)包過(guò)濾提供（例如，數(shù)據(jù)包過(guò)濾用于防止人們繞過(guò)代理服務(wù)器直接相連）。4.1防火墻的體系結(jié)構(gòu)下一頁(yè)返回上一頁(yè)因此，IP數(shù)據(jù)包并不是從一個(gè)網(wǎng)絡(luò)（如外部網(wǎng)絡(luò)）直接發(fā)送到另一3這種體系結(jié)構(gòu)涉及到堡壘主機(jī)。堡壘主機(jī)是因特網(wǎng)上的主機(jī)能連接到的唯一的內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)。任何外部的系統(tǒng)要訪問(wèn)內(nèi)部的系統(tǒng)或服務(wù)都必須先連接到這臺(tái)主機(jī)。因此，堡壘主機(jī)要保持更高等級(jí)的主機(jī)安全。3.被屏蔽子網(wǎng)體系結(jié)構(gòu)被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)，即通過(guò)添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（通常是Internet）隔離開(kāi)。被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡(jiǎn)單的形式為兩個(gè)屏蔽路由器，每一個(gè)都連接到周邊網(wǎng)。4.1防火墻的體系結(jié)構(gòu)下一頁(yè)返回上一頁(yè)這種體系結(jié)構(gòu)涉及到堡壘主機(jī)。堡壘主機(jī)是因特網(wǎng)上的主機(jī)能連接到4一個(gè)位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間，另一個(gè)位于周邊網(wǎng)與外部網(wǎng)絡(luò)（通常為Internet）之間。這樣就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個(gè)“隔離帶”。為了侵入用這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，侵襲者必須通過(guò)兩個(gè)路由器。即使侵襲者侵入堡壘主機(jī)，他將仍然必須通過(guò)內(nèi)部路由器，如圖4-3所示。4.1防火墻的體系結(jié)構(gòu)返回上一頁(yè)一個(gè)位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間，另一個(gè)位于周邊網(wǎng)與外部網(wǎng)絡(luò)（通54.2.1包過(guò)濾技術(shù)分類在包過(guò)濾技術(shù)的發(fā)展中，出現(xiàn)過(guò)兩種不同的技術(shù)，即靜態(tài)包過(guò)濾和動(dòng)態(tài)包過(guò)濾。包過(guò)濾技術(shù)作為防火墻的應(yīng)用有三類。一是路由設(shè)備在完成路由選擇和數(shù)據(jù)轉(zhuǎn)發(fā)之外，同時(shí)進(jìn)行包過(guò)濾，這是目前較常用的方式。二是在工作站上使用軟件進(jìn)行包過(guò)濾，這種方式價(jià)格較貴。三是在一種稱為屏蔽路由器的路由設(shè)備上啟動(dòng)包過(guò)濾功能。4.2包過(guò)濾器下一頁(yè)返回4.2.1包過(guò)濾技術(shù)分類4.2包過(guò)濾器下一頁(yè)返回6防火墻對(duì)數(shù)據(jù)的過(guò)濾，首先是根據(jù)數(shù)據(jù)包中包頭部分所包含的源IP地址、目的IP地址、協(xié)議類型（TCP包、UDP包、ICMP包）、源端口、目的端口及數(shù)據(jù)包傳遞方向等信息，判斷是否符合安全規(guī)則，以此來(lái)確定該數(shù)據(jù)包是否允許通過(guò)。1.靜態(tài)包過(guò)濾（Staticpacketfilter）靜態(tài)包過(guò)濾（Staticpacketfilter）技術(shù)是傳統(tǒng)包過(guò)濾技術(shù)，它根據(jù)流經(jīng)該設(shè)備的數(shù)據(jù)包地址信息決定是否允許該數(shù)據(jù)包通過(guò)，它判斷的依據(jù)有（只考慮IP包）：●數(shù)據(jù)包協(xié)議類型：TCP，UDP，ICMP，IGMP等。●源IP地址、目的IP地址。4.2包過(guò)濾器下一頁(yè)返回上一頁(yè)防火墻對(duì)數(shù)據(jù)的過(guò)濾，首先是根據(jù)數(shù)據(jù)包中包頭部分所包含的源IP7●源端口、目的端口：FTP，HTTP，DNS等?！馡P選項(xiàng)：源路由、記錄路由等?！馮CP選項(xiàng)：SYN，ACK，F(xiàn)IN，RST等。●其他協(xié)議選項(xiàng)：ICMPECHO，ICMPECHOREPLY等。●數(shù)據(jù)包流向：in（進(jìn)）或out（出）。●數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)接口。4.2包過(guò)濾器下一頁(yè)返回上一頁(yè)●源端口、目的端口：FTP，HTTP，DNS等。4.282.動(dòng)態(tài)包過(guò)濾（Dynamicpacketfilter）包過(guò)濾防火墻是基于路由器來(lái)實(shí)現(xiàn)的。它利用數(shù)據(jù)包的頭信息（源IP地址、封裝協(xié)議、端口號(hào)等）判定與過(guò)濾規(guī)則是否相匹配來(lái)決定舍取。建立這類防火墻應(yīng)按如下步驟去做：●第1步，建立安全策略——寫出所允許的和禁止的任務(wù)?！竦?步，將安全策略轉(zhuǎn)化為數(shù)據(jù)包分組字段的邏輯表達(dá)式。●第3步，用供貨商提供的句法重寫邏輯表達(dá)式并設(shè)置之。4.2包過(guò)濾器下一頁(yè)返回上一頁(yè)2.動(dòng)態(tài)包過(guò)濾（Dynamicpacketfilter94.2.2包過(guò)濾器的工作層次包過(guò)濾防火墻通常工作在OSI的三層及三層以下，由此可以看出，它可控的內(nèi)容主要包括報(bào)文的源地址、報(bào)文的目標(biāo)地址、服務(wù)類型，以及第二層數(shù)據(jù)鏈路層可控的MAC地址等。除此以外，隨著包過(guò)濾防火墻的發(fā)展，部分OSI四層的內(nèi)容也被包括進(jìn)來(lái)，如報(bào)文的源端口和目的端口。4.2包過(guò)濾器下一頁(yè)返回上一頁(yè)4.2.2包過(guò)濾器的工作層次4.2包過(guò)濾器下一頁(yè)返回104.2.3過(guò)濾器的工作原理1.使用過(guò)濾器數(shù)據(jù)包過(guò)濾用在內(nèi)部主機(jī)和外部主機(jī)之間，過(guò)濾系統(tǒng)是一臺(tái)路由器或一臺(tái)主機(jī)。過(guò)濾系統(tǒng)根據(jù)過(guò)濾規(guī)則來(lái)決定是否讓數(shù)據(jù)包通過(guò)。用于過(guò)濾數(shù)據(jù)包的路由器被稱為過(guò)濾路由器。數(shù)據(jù)包過(guò)濾是通過(guò)對(duì)數(shù)據(jù)包的IP頭、TCP頭或UDP頭的檢查來(lái)實(shí)現(xiàn)的。在TCP/IP中，存在著一些標(biāo)準(zhǔn)的服務(wù)端口號(hào)，例如，HTTP的端口號(hào)為80。通過(guò)屏蔽特定的端口可以禁止特定的服務(wù)。4.2包過(guò)濾器下一頁(yè)返回上一頁(yè)4.2.3過(guò)濾器的工作原理4.2包過(guò)濾器下一頁(yè)返回上11包過(guò)濾系統(tǒng)可以阻塞內(nèi)部主機(jī)和外部主機(jī)或另外一個(gè)網(wǎng)絡(luò)之間的連接，例如，可以阻塞一些被視為是有敵意的或不可信的主機(jī)或網(wǎng)絡(luò)連接到內(nèi)部網(wǎng)絡(luò)中。2.過(guò)濾器的實(shí)現(xiàn)數(shù)據(jù)包過(guò)濾一般使用過(guò)濾路由器來(lái)實(shí)現(xiàn)，這種路由器與普通的路由器有所不同。普通的路由器只檢查數(shù)據(jù)包的目標(biāo)地址，并選擇一個(gè)達(dá)到目的地址的最佳路徑。它處理數(shù)據(jù)包是以目標(biāo)地址為基礎(chǔ)的，存在著兩種可能性：若路由器可以找到一個(gè)路徑到達(dá)目標(biāo)地址，4.2包過(guò)濾器下一頁(yè)返回上一頁(yè)包過(guò)濾系統(tǒng)可以阻塞內(nèi)部主機(jī)和外部主機(jī)或另外一個(gè)網(wǎng)絡(luò)之間的連接12則發(fā)送出去；若路由器不知道如何發(fā)送數(shù)據(jù)包，則通知數(shù)據(jù)包的發(fā)送者“數(shù)據(jù)包不可達(dá)”。過(guò)濾路由器會(huì)更加仔細(xì)地檢查數(shù)據(jù)包，除了決定是否有到達(dá)目標(biāo)地址的路徑外，還要決定是否應(yīng)該發(fā)送數(shù)據(jù)包。“應(yīng)該與否”是由路由器的過(guò)濾策略決定并強(qiáng)行執(zhí)行的。4.2.4包過(guò)濾的基本過(guò)程下面對(duì)包過(guò)濾過(guò)程做簡(jiǎn)單的敘述?！癜^(guò)濾規(guī)則必須被包過(guò)濾設(shè)備端口存儲(chǔ)起來(lái)?！癞?dāng)包到達(dá)端口時(shí)，對(duì)包報(bào)頭進(jìn)行語(yǔ)法分析。大多數(shù)包過(guò)濾設(shè)備只檢查IP，TCP或UDP報(bào)頭中的字段。4.2包過(guò)濾器下一頁(yè)返回上一頁(yè)則發(fā)送出去；若路由器不知道如何發(fā)送數(shù)據(jù)包，則通知數(shù)據(jù)包的發(fā)送13●包過(guò)濾規(guī)則以特殊的方式存儲(chǔ)。應(yīng)用于包的規(guī)則的順序與包過(guò)濾器規(guī)則存儲(chǔ)順序必須相同。●若一條規(guī)則阻止包傳輸或接收，則此包便不被允許?！袢粢粭l規(guī)則允許包傳輸或接收，則此包便可以被繼續(xù)處理。●若包不滿足任何一條規(guī)則，則此包便被阻塞。一個(gè)包過(guò)濾防火墻必須具備兩個(gè)端口，一個(gè)端口連接非信任網(wǎng)絡(luò)（如Internet），一個(gè)端口連接可信網(wǎng)絡(luò)（如內(nèi)部網(wǎng)絡(luò)）和一組規(guī)則組成。4.2包過(guò)濾器下一頁(yè)返回上一頁(yè)●包過(guò)濾規(guī)則以特殊的方式存儲(chǔ)。應(yīng)用于包的規(guī)則的順序與包過(guò)濾14防火墻配置的規(guī)則必須能對(duì)從一個(gè)非信任端口流向信任端口或是從信任端口流向非信任端口進(jìn)行控制處理，以此來(lái)決定是否讓信息流通過(guò)，如圖4-5所示。根據(jù)上圖將可以創(chuàng)建一個(gè)典型的網(wǎng)絡(luò)結(jié)構(gòu)，包括HTTP，DNS，SMTP，內(nèi)部網(wǎng)絡(luò)通過(guò)包過(guò)濾防火墻將其分為服務(wù)器區(qū)域和子網(wǎng)絡(luò)區(qū)域，包括Internet非信任網(wǎng)絡(luò)。4.2包過(guò)濾器返回上一頁(yè)防火墻配置的規(guī)則必須能對(duì)從一個(gè)非信任端口流向信任端口或是從信154.3.1應(yīng)用級(jí)網(wǎng)關(guān)的發(fā)展應(yīng)用級(jí)網(wǎng)關(guān)防火墻安裝在網(wǎng)絡(luò)應(yīng)用層上，它在應(yīng)用層上對(duì)信息進(jìn)行處理，是一種比包過(guò)濾防火墻更加安全的防火墻技術(shù)。防火墻要支持應(yīng)用程序，需要提供一個(gè)唯一的程序接受客戶端應(yīng)用程序的數(shù)據(jù)，并且作為中轉(zhuǎn)站將數(shù)據(jù)發(fā)往目標(biāo)服務(wù)器。應(yīng)用級(jí)網(wǎng)關(guān)對(duì)客戶來(lái)說(shuō)是一個(gè)服務(wù)器，對(duì)目標(biāo)服務(wù)器來(lái)說(shuō)是一個(gè)客戶端，所以它扮演著雙重角色。4.3應(yīng)用級(jí)網(wǎng)關(guān)下一頁(yè)返回4.3.1應(yīng)用級(jí)網(wǎng)關(guān)的發(fā)展4.3應(yīng)用級(jí)網(wǎng)關(guān)下一頁(yè)返回16應(yīng)用級(jí)網(wǎng)關(guān)使用軟件來(lái)轉(zhuǎn)發(fā)和過(guò)濾特定的應(yīng)用服務(wù)，如Telnet，F(xiàn)TP等服務(wù)的連接，這是一種代理服務(wù)。它只允許有代理的服務(wù)通過(guò)，也就是說(shuō)只有那些被認(rèn)為“可信賴的”服務(wù)才被允許通過(guò)防火墻。另外代理服務(wù)還可以過(guò)濾協(xié)議，如過(guò)濾FTP連接、拒絕使用FTP放置命令等。應(yīng)用級(jí)網(wǎng)關(guān)具有登記、日記、統(tǒng)計(jì)和報(bào)告功能，有很好的審計(jì)功能。還可以具有嚴(yán)格的用戶認(rèn)證功能。4.3應(yīng)用級(jí)網(wǎng)關(guān)下一頁(yè)返回上一頁(yè)應(yīng)用級(jí)網(wǎng)關(guān)使用軟件來(lái)轉(zhuǎn)發(fā)和過(guò)濾特定的應(yīng)用服務(wù)，如Telnet174.3.2應(yīng)用級(jí)網(wǎng)關(guān)的工作過(guò)程防火墻會(huì)對(duì)應(yīng)用程序的數(shù)據(jù)進(jìn)行校驗(yàn)以保證其格式可以接受，能夠過(guò)濾協(xié)議，進(jìn)行身份驗(yàn)證和記錄信息。其工作過(guò)程是：當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí)，首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器，由代理服務(wù)器根據(jù)這一請(qǐng)求向服務(wù)器請(qǐng)求數(shù)據(jù)，然后再由代理服務(wù)器將返回的數(shù)據(jù)轉(zhuǎn)給客戶機(jī)。4.3應(yīng)用級(jí)網(wǎng)關(guān)下一頁(yè)返回上一頁(yè)4.3.2應(yīng)用級(jí)網(wǎng)關(guān)的工作過(guò)程4.3應(yīng)用級(jí)網(wǎng)關(guān)下一頁(yè)184.3.3應(yīng)用級(jí)網(wǎng)關(guān)的優(yōu)缺點(diǎn)應(yīng)用級(jí)網(wǎng)關(guān)的安全性高，其不足是要為每種應(yīng)用提供專門的代理服務(wù)程序。應(yīng)用級(jí)網(wǎng)關(guān)有較好的訪問(wèn)控制，是目前最安全的防火墻技術(shù)，但實(shí)現(xiàn)困難，而且有的應(yīng)用級(jí)網(wǎng)關(guān)缺乏“透明度”。在實(shí)際使用中，用戶在受信任的網(wǎng)絡(luò)上通過(guò)防火墻訪問(wèn)Internet時(shí)，經(jīng)常會(huì)發(fā)現(xiàn)存在延遲并且必須進(jìn)行多次登錄（Login）才能訪問(wèn)Internet或Intranet。4.3應(yīng)用級(jí)網(wǎng)關(guān)下一頁(yè)返回上一頁(yè)4.3.3應(yīng)用級(jí)網(wǎng)關(guān)的優(yōu)缺點(diǎn)4.3應(yīng)用級(jí)網(wǎng)關(guān)下一頁(yè)返19應(yīng)用級(jí)網(wǎng)關(guān)也存在一些不足之處，首先它會(huì)使訪問(wèn)速度變慢，因?yàn)樗辉试S用戶直接訪問(wèn)網(wǎng)絡(luò)，而且應(yīng)用級(jí)網(wǎng)關(guān)需要對(duì)每一個(gè)特定的Internet服務(wù)安裝相應(yīng)的代理服務(wù)軟件，用戶不能使用未被服務(wù)器支持的服務(wù)，對(duì)每一類服務(wù)要使用特殊的客戶端軟件，尤其是，并非所有的Internet應(yīng)用軟件都可以使用代理服務(wù)器。4.3應(yīng)用級(jí)網(wǎng)關(guān)返回上一頁(yè)應(yīng)用級(jí)網(wǎng)關(guān)也存在一些不足之處，首先它會(huì)使訪問(wèn)速度變慢，因?yàn)樗?0電路級(jí)網(wǎng)關(guān)又稱線路級(jí)網(wǎng)關(guān)，它工作在會(huì)話層。它在兩個(gè)主機(jī)首次建立TCP連接時(shí)創(chuàng)立一個(gè)電子屏障。它作為服務(wù)器接收外來(lái)請(qǐng)求，轉(zhuǎn)發(fā)請(qǐng)求；與被保護(hù)的主機(jī)連接時(shí)則擔(dān)當(dāng)客戶機(jī)角色、起代理服務(wù)的作用。它監(jiān)視兩主機(jī)建立連接時(shí)的握手信息，如SYN，ACK和序列數(shù)據(jù)等是否合乎邏輯，判定該會(huì)話請(qǐng)求是否合法。一旦會(huì)話連接有效后，網(wǎng)關(guān)僅復(fù)制、傳遞數(shù)據(jù)，而不進(jìn)行過(guò)濾。電路級(jí)網(wǎng)關(guān)用來(lái)監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的TCP握手信息，這樣來(lái)決定該會(huì)話（Session）是否合法，電路級(jí)網(wǎng)關(guān)是在OSI模型中會(huì)話層上來(lái)過(guò)濾數(shù)據(jù)包，這樣比包過(guò)濾防火墻要高兩層。4.4電路級(jí)網(wǎng)關(guān)下一頁(yè)返回電路級(jí)網(wǎng)關(guān)又稱線路級(jí)網(wǎng)關(guān)，它工作在會(huì)話層。它在兩個(gè)主機(jī)首次建21它的主要技術(shù)特點(diǎn)是不允許直接建立端對(duì)端的連接，而是將跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段，通過(guò)代理服務(wù)器建立兩個(gè)TCP連接，如圖4-7所示?！翊矸?wù)是運(yùn)行在網(wǎng)絡(luò)主機(jī)上的一個(gè)軟件應(yīng)用程序，它就像外部網(wǎng)和內(nèi)部網(wǎng)之間的中間媒介，篩選進(jìn)出的數(shù)據(jù)。●運(yùn)行代理服務(wù)的網(wǎng)絡(luò)主機(jī)稱為代理服務(wù)器或網(wǎng)關(guān)?！駥?duì)于外部網(wǎng)絡(luò)，代理服務(wù)器相當(dāng)于內(nèi)部網(wǎng)絡(luò)的一臺(tái)服務(wù)器，實(shí)際上，它只是內(nèi)部網(wǎng)絡(luò)的一臺(tái)過(guò)濾設(shè)備。4.4電路級(jí)網(wǎng)關(guān)下一頁(yè)返回上一頁(yè)它的主要技術(shù)特點(diǎn)是不允許直接建立端對(duì)端的連接，而是將跨越防火22●代理服務(wù)器的安全性除了表現(xiàn)在它可以隔斷內(nèi)部和外部網(wǎng)絡(luò)的直接連接，還可以防止外部網(wǎng)絡(luò)發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)的地址。4.4.1電路級(jí)網(wǎng)關(guān)的工作過(guò)程電路級(jí)網(wǎng)關(guān)工作過(guò)程如下：●假定有一用戶正在試圖和目的URL進(jìn)行連接?！翊藭r(shí)，該用戶所使用的客戶應(yīng)用程序不是為這個(gè)URL發(fā)出的DNS請(qǐng)求，而是將請(qǐng)求發(fā)到地址已經(jīng)被解析的電路級(jí)網(wǎng)關(guān)（如代理服務(wù)器）的接口上?！袢粲行枰?，電路級(jí)網(wǎng)關(guān)提示用戶進(jìn)行身份認(rèn)證。4.4電路級(jí)網(wǎng)關(guān)下一頁(yè)返回上一頁(yè)●代理服務(wù)器的安全性除了表現(xiàn)在它可以隔斷內(nèi)部和外部網(wǎng)絡(luò)的直23●用戶通過(guò)身份認(rèn)證后，電路級(jí)網(wǎng)關(guān)為目的URL發(fā)出一個(gè)DNS請(qǐng)求，然后用自己的IP地址和目的IP地址建立一個(gè)連接?！耠娐芳?jí)網(wǎng)關(guān)然后把目的URL服務(wù)器的應(yīng)答轉(zhuǎn)給用戶。4.4.2電路級(jí)網(wǎng)關(guān)的缺點(diǎn)大多數(shù)的電路級(jí)網(wǎng)關(guān)都是基于TCP端口配置的，不是對(duì)每一個(gè)數(shù)據(jù)包進(jìn)行檢測(cè)，所以會(huì)出現(xiàn)一些漏洞。通常來(lái)說(shuō)，配置了電路級(jí)網(wǎng)關(guān)技術(shù)后向內(nèi)的連接都是禁止的。所以，有時(shí)訪問(wèn)資源的空間和范圍是有限的。4.4電路級(jí)網(wǎng)關(guān)返回上一頁(yè)●用戶通過(guò)身份認(rèn)證后，電路級(jí)網(wǎng)關(guān)為目的URL發(fā)出一個(gè)DNS24狀態(tài)包檢測(cè)防火墻是最新一代的防火墻技術(shù)，一般稱作第三代防火墻。這類防火墻檢查IP包的所有部分來(lái)判定是允許還是拒絕請(qǐng)求，是目前最先進(jìn)的網(wǎng)絡(luò)層防火墻。狀態(tài)包檢測(cè)技術(shù)檢查所有的OSI層，因此它提供的安全程度遠(yuǎn)高于包過(guò)濾防火墻。使用狀態(tài)包檢測(cè)（StatefullPacketInspection，SPI）的防火墻對(duì)每一個(gè)通過(guò)它的數(shù)據(jù)包都要進(jìn)行檢查，確定這些數(shù)據(jù)包是否屬于一個(gè)已經(jīng)通過(guò)防火墻并且正在進(jìn)行連接的會(huì)話，或者基于一組與包過(guò)濾規(guī)則相似的規(guī)則集對(duì)數(shù)據(jù)包進(jìn)行處理。4.5狀態(tài)包檢測(cè)（SPI）下一頁(yè)返回狀態(tài)包檢測(cè)防火墻是最新一代的防火墻技術(shù)，一般稱作第三代防火墻254.5.1SPI防火墻的工作過(guò)程狀態(tài)檢測(cè)包的邏輯流程如圖4-8所示。從圖4-8中可以看出狀態(tài)檢測(cè)技術(shù)防火墻的工作原理，數(shù)據(jù)包到達(dá)防火墻的接口，防火墻判斷數(shù)據(jù)是不是已經(jīng)在連接，如果是在連接就對(duì)數(shù)據(jù)包進(jìn)行特征檢測(cè)，并判斷策略是否讓防火墻內(nèi)容通過(guò)，如果可以通過(guò)的話就轉(zhuǎn)發(fā)到目的端口并記錄日志，否則就丟掉數(shù)據(jù)包。這是一個(gè)狀態(tài)檢測(cè)防火墻工作的過(guò)程。4.5狀態(tài)包檢測(cè)（SPI）下一頁(yè)返回上一頁(yè)4.5.1SPI防火墻的工作過(guò)程4.5狀態(tài)包檢測(cè)（S26具體描述如下：●SPI防火墻檢查數(shù)據(jù)包是否是一個(gè)已經(jīng)建立并且正在使用的通信流的一部分。SPI防火墻要維護(hù)一張連接表，其中包括源IP地址、目的IP地址、源端口號(hào)和目的端口號(hào)等信息，通過(guò)查詢正在使用的連接，判斷該數(shù)據(jù)包是否與表中某個(gè)連接相匹配?！袢绻阑饓Π袛?shù)據(jù)包使用的協(xié)議，就查看數(shù)據(jù)包的數(shù)據(jù)部分，根據(jù)其內(nèi)容決定是否轉(zhuǎn)發(fā)該數(shù)據(jù)包，防火墻對(duì)數(shù)據(jù)包檢查的內(nèi)容取決于數(shù)據(jù)包所使用的協(xié)議。●如果數(shù)據(jù)包和連接表的各項(xiàng)都不匹配，防火墻就會(huì)檢查數(shù)據(jù)包是否與其所配置的規(guī)則集匹配。4.5狀態(tài)包檢測(cè)（SPI）下一頁(yè)返回上一頁(yè)具體描述如下：4.5狀態(tài)包檢測(cè)（SPI）下一頁(yè)返回上一頁(yè)27●當(dāng)數(shù)據(jù)包通過(guò)源IP地址、源端口號(hào)、目的IP地址、目的端口號(hào)、使用的協(xié)議和數(shù)據(jù)內(nèi)容檢查后，防火墻就轉(zhuǎn)發(fā)該數(shù)據(jù)包，并在其連接表中為此次會(huì)話創(chuàng)建或者更新一個(gè)連接項(xiàng)。防火墻使用該連接項(xiàng)對(duì)返回的數(shù)據(jù)包進(jìn)行檢查?！穹阑饓νǔz測(cè)TCP包中的FIN位，或者使用計(jì)時(shí)器來(lái)決定何時(shí)從連接表中刪除某連接項(xiàng)。4.5狀態(tài)包檢測(cè)（SPI）下一頁(yè)返回上一頁(yè)●當(dāng)數(shù)據(jù)包通過(guò)源IP地址、源端口號(hào)、目的IP地址、目的端口284.5.2SPI在安全上的優(yōu)點(diǎn)SPI防火墻具有非常好的安全特性，它使用了一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件模塊，稱之為監(jiān)測(cè)引擎。監(jiān)測(cè)引擎在不影響網(wǎng)絡(luò)正常運(yùn)行的前提下，采用抽取有關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測(cè)，抽取狀態(tài)信息，并動(dòng)態(tài)地保存起來(lái)作為以后執(zhí)行安全策略的參考。監(jiān)測(cè)引擎支持多種協(xié)議和應(yīng)用程序，并可以很容易地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。與前兩種防火墻不同，當(dāng)用戶訪問(wèn)請(qǐng)求到達(dá)網(wǎng)關(guān)的操作系統(tǒng)前，狀態(tài)監(jiān)視器要抽取有關(guān)數(shù)據(jù)進(jìn)行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定做出接納、拒絕、身份認(rèn)證、報(bào)警或給該通信加密等處理動(dòng)作。4.5狀態(tài)包檢測(cè)（SPI）下一頁(yè)返回上一頁(yè)4.5.2SPI在安全上的優(yōu)點(diǎn)4.5狀態(tài)包檢測(cè)（SP29這種防火墻的優(yōu)點(diǎn)是一旦某個(gè)訪問(wèn)違反安全規(guī)定，就會(huì)拒絕該訪問(wèn)，并報(bào)告有關(guān)狀態(tài)做日志記錄。狀態(tài)監(jiān)測(cè)防火墻的另一個(gè)優(yōu)點(diǎn)是它會(huì)監(jiān)測(cè)無(wú)連接狀態(tài)的遠(yuǎn)程過(guò)程調(diào)用（RPC）和用戶數(shù)據(jù)報(bào)（UDP）之類的端口信息，而包過(guò)濾和應(yīng)用網(wǎng)關(guān)防火墻都不支持此類應(yīng)用。這種防火墻無(wú)疑是非常堅(jiān)固的。但是它會(huì)降低網(wǎng)絡(luò)的速度，而且配置也比較復(fù)雜。當(dāng)然，有關(guān)防火墻廠商已注意到這一問(wèn)題，有些防火墻產(chǎn)品的安全策略規(guī)則是通過(guò)面向?qū)ο蟮膱D形用戶界面（GUI）來(lái)定義以簡(jiǎn)化配置過(guò)程。4.5狀態(tài)包檢測(cè)（SPI）返回上一頁(yè)這種防火墻的優(yōu)點(diǎn)是一旦某個(gè)訪問(wèn)違反安全規(guī)定，就會(huì)拒絕該訪問(wèn)，304.6.1基于網(wǎng)絡(luò)主機(jī)的防火墻防火墻銷售商在現(xiàn)有的服務(wù)器硬件平臺(tái)上使用兩種方法來(lái)部署防火墻軟件。從嚴(yán)格意義上講，第一種部署方法只是一種應(yīng)用程序。這種部署防火墻的方法以用戶現(xiàn)有的平臺(tái)為基礎(chǔ)。典型的部署方法就是防火墻作為一個(gè)在商業(yè)操作系統(tǒng)之上運(yùn)行的應(yīng)用程序。雖然大多數(shù)的操作系統(tǒng)都至少支持一個(gè)防火墻應(yīng)用程序，但最常見(jiàn)的支持防火墻的操作系統(tǒng)還是WindowsNT/2000，SunSolaris和HPUX。這幾種操作系統(tǒng)都支持4種技術(shù)：包過(guò)濾、應(yīng)用級(jí)網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)、狀態(tài)包檢查（如本章前面所述）。4.6實(shí)施方式下一頁(yè)返回4.6.1基于網(wǎng)絡(luò)主機(jī)的防火墻4.6實(shí)施方式下一頁(yè)返31在操作系統(tǒng)上運(yùn)行防火墻的先決條件就是要保證操作系統(tǒng)本身是安全的。這一過(guò)程叫做操作系統(tǒng)的“加固”，它能夠?qū)θ魏伪┞队诓皇苄湃尉W(wǎng)絡(luò)前的系統(tǒng)進(jìn)行“加固”。雖然對(duì)每一種操作系統(tǒng)進(jìn)行“加固”超過(guò)了本書的講述范圍，但是在這個(gè)話題上還是有很多書可以參考的。正如本書前面所述，在所有情況下，防火墻主機(jī)都應(yīng)該遵循公司的標(biāo)準(zhǔn)和安全策略。這些文件包括對(duì)所有資源都有效的安全原則（例如最小優(yōu)先級(jí)的概念）。4.6實(shí)施方式下一頁(yè)返回上一頁(yè)在操作系統(tǒng)上運(yùn)行防火墻的先決條件就是要保證操作系統(tǒng)本身是安全324.6.2基于路由器的防火墻路由器通常可以再細(xì)分成為Internet連接設(shè)計(jì)的低端設(shè)備和高端傳統(tǒng)路由器。低端路由器提供了阻止和允許特定的IP地址和端口號(hào)的基本防火墻功能，以及使用NAT來(lái)隱藏內(nèi)部IP地址。它們經(jīng)常提供防火墻功能作為阻止來(lái)自Internet入侵的標(biāo)準(zhǔn)和最佳選擇，雖然它們不需要配置，但是進(jìn)行進(jìn)一步配置可以優(yōu)化它們。高端路由器可以配置為通過(guò)阻擋更顯而易見(jiàn)的入侵（如Ping）以及使用ACL實(shí)現(xiàn)其他IP地址和端口限制來(lái)限制訪問(wèn)。其他防火墻功能（在某些路由器中提供監(jiān)控狀態(tài)的數(shù)據(jù)包篩選）可能可用。4.6實(shí)施方式下一頁(yè)返回上一頁(yè)4.6.2基于路由器的防火墻4.6實(shí)施方式下一頁(yè)返回33在高端路由器中，防火墻功能與硬件防火墻設(shè)備的功能類似，但是成本更低，而且吞吐量也更低?？梢哉f(shuō)基于路由器的防火墻技術(shù)只是網(wǎng)絡(luò)安全的一種應(yīng)急措施，用這種權(quán)宜之計(jì)去對(duì)付黑客的攻擊是十分危險(xiǎn)的。但是，幾乎在所有的安全體系結(jié)構(gòu)中，路由器都是位于安全防護(hù)的第一線，而且經(jīng)?？梢源娣阑饓κ褂?，尤其是在小規(guī)模網(wǎng)絡(luò)中。小規(guī)模網(wǎng)絡(luò)安裝防火墻的原因就是價(jià)格問(wèn)題，由于網(wǎng)絡(luò)規(guī)模小，所以要設(shè)置一臺(tái)獨(dú)立的安全設(shè)備并且對(duì)其進(jìn)行獨(dú)立地管理顯得很不經(jīng)濟(jì)。4.6實(shí)施方式下一頁(yè)返回上一頁(yè)在高端路由器中，防火墻功能與硬件防火墻設(shè)備的功能類似，但是成344.6.3基于單個(gè)主機(jī)的防火墻這種防火墻通常是安裝在單個(gè)系統(tǒng)上的一種軟件，它只保護(hù)這個(gè)系統(tǒng)不受侵害。如果只有一兩臺(tái)主機(jī)連接到不受信任的網(wǎng)絡(luò)（如Internet）上的話，那么在主機(jī)上安裝這種防火墻就很經(jīng)濟(jì)。一般說(shuō)來(lái)，基于單個(gè)主機(jī)的防火墻適用于規(guī)模很小的辦公室或者家庭（SOHO），在這些地方一般只有一到五臺(tái)主機(jī)。在一個(gè)公司中，如果有成百上千或者成千上萬(wàn)的主機(jī)需要保護(hù)，這種基于單個(gè)主機(jī)的防火墻就不能提供任何集中式的管理和測(cè)量。在家庭網(wǎng)絡(luò)中，最終用戶所使用的基于單個(gè)主機(jī)的防火墻現(xiàn)在正由一些公司進(jìn)行標(biāo)準(zhǔn)化。4.6實(shí)施方式下一頁(yè)返回上一頁(yè)4.6.3基于單個(gè)主機(jī)的防火墻4.6實(shí)施方式下一頁(yè)返354.6.4硬件防火墻硬件防火墻是指把防火墻程序做到芯片里面，由硬件執(zhí)行這些功能，能減少CPU的負(fù)擔(dān)，使路由更穩(wěn)定。通常，硬件防火墻的性能要強(qiáng)于軟件防火墻，并且連接、使用比較方便。硬件防火墻采用專用的硬件設(shè)備，然后集成生產(chǎn)廠商的專用防火墻軟件。從功能上看，硬件防火墻內(nèi)建安全軟件，使用專屬或強(qiáng)化的操作系統(tǒng)，管理方便，更換容易，軟硬件搭配較固定。硬件防火墻效率高，解決了防火墻效率、性能之間的矛盾，可以達(dá)到線性。4.6實(shí)施方式下一頁(yè)返回上一頁(yè)4.6.4硬件防火墻4.6實(shí)施方式下一頁(yè)返回上一頁(yè)36一般來(lái)說(shuō)，硬件防火墻的例行檢查主要針對(duì)以下6方面的內(nèi)容。1.硬件防火墻的配置文件不管在安裝硬件防火墻的時(shí)候考慮得有多么的全面和嚴(yán)密，一旦硬件防火墻投入到實(shí)際使用環(huán)境中，情況隨時(shí)都在發(fā)生改變。硬件防火墻的規(guī)則總會(huì)不斷地變化和調(diào)整著，配置參數(shù)也會(huì)時(shí)常有所改變。作為網(wǎng)絡(luò)安全管理人員，最好能夠編寫一套修改防火墻配置和規(guī)則的安全策略，并嚴(yán)格實(shí)施。所涉及的硬件防火墻配置，最好能詳細(xì)到類似哪些流量被允許，哪些服務(wù)要用到代理這樣的細(xì)節(jié)。4.6實(shí)施方式下一頁(yè)返回上一頁(yè)一般來(lái)說(shuō)，硬件防火墻的例行檢查主要針對(duì)以下6方面的內(nèi)容。4.372.硬件防火墻的磁盤使用情況如果在硬件防火墻上保留日志記錄，那么檢查硬件防火墻的磁盤使用情況是一件很重要的事情。如果不保留日志記錄，那么檢查硬件防火墻的磁盤使用情況就變得更加重要了。保留日志記錄的情況下，磁盤占用量的異常增長(zhǎng)很可能表明日志清除過(guò)程存在問(wèn)題，這種情況相對(duì)來(lái)說(shuō)還好處理一些。在不保留日志的情況下，如果磁盤占用量異常增長(zhǎng)，則說(shuō)明硬件防火墻有可能是被人安裝了Rootkit工具，已經(jīng)被人攻破。4.6實(shí)施方式下一頁(yè)返回上一頁(yè)2.硬件防火墻的磁盤使用情況4.6實(shí)施方式下一頁(yè)返回上383.硬件防火墻的CPU負(fù)載和磁盤使用情況類似，CPU負(fù)載也是判斷硬件防火墻系統(tǒng)運(yùn)行是否正常的一個(gè)重要指標(biāo)。作為安全管理人員，必須了解硬件防火墻系統(tǒng)CPU負(fù)載的正常值是多少，過(guò)低的負(fù)載值不一定表示一切正常，但出現(xiàn)過(guò)高的負(fù)載值則說(shuō)明防火墻系統(tǒng)肯定出現(xiàn)問(wèn)題了。過(guò)高的CPU負(fù)載很可能是硬件防火墻遭到DoS攻擊或外部網(wǎng)絡(luò)連接斷開(kāi)等問(wèn)題造成的。4.6實(shí)施方式下一頁(yè)返回上一頁(yè)3.硬件防火墻的CPU負(fù)載4.6實(shí)施方式下一頁(yè)返回上一394.硬件防火墻系統(tǒng)的精靈程序每臺(tái)防火墻在正常運(yùn)行的情況下，都有一組精靈程序（Daemon），比如名字服務(wù)程序、系統(tǒng)日志程序、網(wǎng)絡(luò)分發(fā)程序或認(rèn)證程序等。在例行檢查中必須檢查這些程序是不是都在運(yùn)行，如果發(fā)現(xiàn)某些精靈程序沒(méi)有運(yùn)行，則需要進(jìn)一步檢查是什么原因?qū)е逻@些精靈程序不運(yùn)行，還有哪些精靈程序還在運(yùn)行中。4.6實(shí)施方式下一頁(yè)返回上一頁(yè)4.硬件防火墻系統(tǒng)的精靈程序4.6實(shí)施方式下一頁(yè)返回405.系統(tǒng)文件關(guān)鍵的系統(tǒng)文件的改變不外乎3種情況：管理人員有目的、有計(jì)劃地進(jìn)行的修改，比如計(jì)劃中的系統(tǒng)升級(jí)所造成的修改；管理人員偶爾對(duì)系統(tǒng)文件進(jìn)行的修改；攻擊者對(duì)文件的修改。經(jīng)常性地檢查系統(tǒng)文件，并查對(duì)系統(tǒng)文件修改記錄，可及時(shí)發(fā)現(xiàn)防火墻所遭到的攻擊。此外，還應(yīng)該強(qiáng)調(diào)一下，最好在硬件防火墻配置策略的修改中包含對(duì)系統(tǒng)文件修改的記錄。4.6實(shí)施方式下一頁(yè)返回上一頁(yè)5.系統(tǒng)文件4.6實(shí)施方式下一頁(yè)返回上一頁(yè)416.異常日志硬件防火墻日志記錄了所有允許或拒絕的通信的信息，是主要的硬件防火墻運(yùn)行狀況的信息來(lái)源。由于該日志的數(shù)據(jù)量龐大，所以，檢查異常日志通常應(yīng)該是一個(gè)自動(dòng)進(jìn)行的過(guò)程。當(dāng)然，什么樣的事件是異常事件，這需要由管理員來(lái)確定，只有管理員定義了異常事件并進(jìn)行記錄，硬件防火墻才會(huì)保留相應(yīng)的日志備查。4.6實(shí)施方式返回上一頁(yè)6.異常日志4.6實(shí)施方式返回上一頁(yè)42圖4-1雙重宿主主機(jī)體系結(jié)構(gòu)返回圖4-1雙重宿主主機(jī)體系結(jié)構(gòu)返回43圖4-2被屏蔽主機(jī)體系結(jié)構(gòu)返回圖4-2被屏蔽主機(jī)體系結(jié)構(gòu)返回44圖4-3被屏蔽子網(wǎng)體系結(jié)構(gòu)返回圖4-3被屏蔽子網(wǎng)體系結(jié)構(gòu)返回45圖4-5包過(guò)濾防火墻拓?fù)浣Y(jié)構(gòu)返回圖4-5包過(guò)濾防火墻拓?fù)浣Y(jié)構(gòu)返回46圖4-7電路級(jí)網(wǎng)關(guān)返回圖4-7電路級(jí)網(wǎng)關(guān)返回47圖4-8狀態(tài)檢測(cè)包的邏輯流程返回圖4-8狀態(tài)檢測(cè)包的邏輯流程返回48第4章防火墻體系結(jié)構(gòu)4.1防火墻的體系結(jié)構(gòu)4.2包過(guò)濾器4.3應(yīng)用級(jí)網(wǎng)關(guān)4.4電路級(jí)網(wǎng)關(guān)4.5狀態(tài)包檢測(cè)（SPI）4.6實(shí)施方式第4章防火墻體系結(jié)構(gòu)4.1防火墻的體系結(jié)構(gòu)49為了滿足用戶的更高要求，防火墻體系架構(gòu)經(jīng)歷了從低性能的x86，PPC軟件防火墻向高性能硬件防火墻的過(guò)渡。防火墻在經(jīng)過(guò)幾年繁榮的發(fā)展后，已經(jīng)形成了多種類型的體系架構(gòu)，并且這幾種體系架構(gòu)的設(shè)備并存互補(bǔ)，并不斷進(jìn)行發(fā)展升級(jí)。1.雙重宿主主機(jī)體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)圍繞雙重宿主主機(jī)構(gòu)筑。雙重宿主主機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口。這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，它能夠從一個(gè)網(wǎng)絡(luò)到另外一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包，然而雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送。4.1防火墻的體系結(jié)構(gòu)下一頁(yè)返回為了滿足用戶的更高要求，防火墻體系架構(gòu)經(jīng)歷了從低性能的x8650因此，IP數(shù)據(jù)包并不是從一個(gè)網(wǎng)絡(luò)（如外部網(wǎng)絡(luò)）直接發(fā)送到另一個(gè)網(wǎng)絡(luò)（如內(nèi)部網(wǎng)絡(luò)）。外部網(wǎng)絡(luò)能與雙重宿主主機(jī)通信，內(nèi)部網(wǎng)絡(luò)也能與雙重宿主主機(jī)通信。但是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信，它們之間的通信必須經(jīng)過(guò)雙重宿主主機(jī)的過(guò)濾和控制，如圖4-1所示。2.被屏蔽主機(jī)體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)防火墻沒(méi)有使用路由器，而被屏蔽主機(jī)體系結(jié)構(gòu)防火墻則使用一個(gè)路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開(kāi)，如圖4-2所示。在這種體系結(jié)構(gòu)中，主要的安全由數(shù)據(jù)包過(guò)濾提供（例如，數(shù)據(jù)包過(guò)濾用于防止人們繞過(guò)代理服務(wù)器直接相連）。4.1防火墻的體系結(jié)構(gòu)下一頁(yè)返回上一頁(yè)因此，IP數(shù)據(jù)包并不是從一個(gè)網(wǎng)絡(luò)（如外部網(wǎng)絡(luò)）直接發(fā)送到另一51這種體系結(jié)構(gòu)涉及到堡壘主機(jī)。堡壘主機(jī)是因特網(wǎng)上的主機(jī)能連接到的唯一的內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)。任何外部的系統(tǒng)要訪問(wèn)內(nèi)部的系統(tǒng)或服務(wù)都必須先連接到這臺(tái)主機(jī)。因此，堡壘主機(jī)要保持更高等級(jí)的主機(jī)安全。3.被屏蔽子網(wǎng)體系結(jié)構(gòu)被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)，即通過(guò)添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（通常是Internet）隔離開(kāi)。被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡(jiǎn)單的形式為兩個(gè)屏蔽路由器，每一個(gè)都連接到周邊網(wǎng)。4.1防火墻的體系結(jié)構(gòu)下一頁(yè)返回上一頁(yè)這種體系結(jié)構(gòu)涉及到堡壘主機(jī)。堡壘主機(jī)是因特網(wǎng)上的主機(jī)能連接到52一個(gè)位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間，另一個(gè)位于周邊網(wǎng)與外部網(wǎng)絡(luò)（通常為Internet）之間。這樣就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個(gè)“隔離帶”。為了侵入用這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，侵襲者必須通過(guò)兩個(gè)路由器。即使侵襲者侵入堡壘主機(jī)，他將仍然必須通過(guò)內(nèi)部路由器，如圖4-3所示。4.1防火墻的體系結(jié)構(gòu)返回上一頁(yè)一個(gè)位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間，另一個(gè)位于周邊網(wǎng)與外部網(wǎng)絡(luò)（通534.2.1包過(guò)濾技術(shù)分類在包過(guò)濾技術(shù)的發(fā)展中，出現(xiàn)過(guò)兩種不同的技術(shù)，即靜態(tài)包過(guò)濾和動(dòng)態(tài)包過(guò)濾。包過(guò)濾技術(shù)作為防火墻的應(yīng)用有三類。一是路由設(shè)備在完成路由選擇和數(shù)據(jù)轉(zhuǎn)發(fā)之外，同時(shí)進(jìn)行包過(guò)濾，這是目前較常用的方式。二是在工作站上使用軟件進(jìn)行包過(guò)濾，這種方式價(jià)格較貴。三是在一種稱為屏蔽路由器的路由設(shè)備上啟動(dòng)包過(guò)濾功能。4.2包過(guò)濾器下一頁(yè)返回4.2.1包過(guò)濾技術(shù)分類4.2包過(guò)濾器下一頁(yè)返回54防火墻對(duì)數(shù)據(jù)的過(guò)濾，首先是根據(jù)數(shù)據(jù)包中包頭部分所包含的源IP地址、目的IP地址、協(xié)議類型（TCP包、UDP包、ICMP包）、源端口、目的端口及數(shù)據(jù)包傳遞方向等信息，判斷是否符合安全規(guī)則，以此來(lái)確定該數(shù)據(jù)包是否允許通過(guò)。1.靜態(tài)包過(guò)濾（Staticpacketfilter）靜態(tài)包過(guò)濾（Staticpacketfilter）技術(shù)是傳統(tǒng)包過(guò)濾技術(shù)，它根據(jù)流經(jīng)該設(shè)備的數(shù)據(jù)包地址信息決定是否允許該數(shù)據(jù)包通過(guò)，它判斷的依據(jù)有（只考慮IP包）：●數(shù)據(jù)包協(xié)議類型：TCP，UDP，ICMP，IGMP等?！裨碔P地址、目的IP地址。4.2包過(guò)濾器下一頁(yè)返回上一頁(yè)防火墻對(duì)數(shù)據(jù)的過(guò)濾，首先是根據(jù)數(shù)據(jù)包中包頭部分所包含的源IP55●源端口、目的端口：FTP，HTTP，DNS等。●IP選項(xiàng)：源路由、記錄路由等?！馮CP選項(xiàng)：SYN，ACK，F(xiàn)IN，RST等。●其他協(xié)議選項(xiàng)：ICMPECHO，ICMPECHOREPLY等。●數(shù)據(jù)包流向：in（進(jìn)）或out（出）?！駭?shù)據(jù)包流經(jīng)網(wǎng)絡(luò)接口。4.2包過(guò)濾器下一頁(yè)返回上一頁(yè)●源端口、目的端口：FTP，HTTP，DNS等。4.2562.動(dòng)態(tài)包過(guò)濾（Dynamicpacketfilter）包過(guò)濾防火墻是基于路由器來(lái)實(shí)現(xiàn)的。它利用數(shù)據(jù)包的頭信息（源IP地址、封裝協(xié)議、端口號(hào)等）判定與過(guò)濾規(guī)則是否相匹配來(lái)決定舍取。建立這類防火墻應(yīng)按如下步驟去做：●第1步，建立安全策略——寫出所允許的和禁止的任務(wù)?！竦?步，將安全策略轉(zhuǎn)化為數(shù)據(jù)包分組字段的邏輯表達(dá)式。●第3步，用供貨商提供的句法重寫邏輯表達(dá)式并設(shè)置之。4.2包過(guò)濾器下一頁(yè)返回上一頁(yè)2.動(dòng)態(tài)包過(guò)濾（Dynamicpacketfilter574.2.2包過(guò)濾器的工作層次包過(guò)濾防火墻通常工作在OSI的三層及三層以下，由此可以看出，它可控的內(nèi)容主要包括報(bào)文的源地址、報(bào)文的目標(biāo)地址、服務(wù)類型，以及第二層數(shù)據(jù)鏈路層可控的MAC地址等。除此以外，隨著包過(guò)濾防火墻的發(fā)展，部分OSI四層的內(nèi)容也被包括進(jìn)來(lái)，如報(bào)文的源端口和目的端口。4.2包過(guò)濾器下一頁(yè)返回上一頁(yè)4.2.2包過(guò)濾器的工作層次4.2包過(guò)濾器下一頁(yè)返回584.2.3過(guò)濾器的工作原理1.使用過(guò)濾器數(shù)據(jù)包過(guò)濾用在內(nèi)部主機(jī)和外部主機(jī)之間，過(guò)濾系統(tǒng)是一臺(tái)路由器或一臺(tái)主機(jī)。過(guò)濾系統(tǒng)根據(jù)過(guò)濾規(guī)則來(lái)決定是否讓數(shù)據(jù)包通過(guò)。用于過(guò)濾數(shù)據(jù)包的路由器被稱為過(guò)濾路由器。數(shù)據(jù)包過(guò)濾是通過(guò)對(duì)數(shù)據(jù)包的IP頭、TCP頭或UDP頭的檢查來(lái)實(shí)現(xiàn)的。在TCP/IP中，存在著一些標(biāo)準(zhǔn)的服務(wù)端口號(hào)，例如，HTTP的端口號(hào)為80。通過(guò)屏蔽特定的端口可以禁止特定的服務(wù)。4.2包過(guò)濾器下一頁(yè)返回上一頁(yè)4.2.3過(guò)濾器的工作原理4.2包過(guò)濾器下一頁(yè)返回上59包過(guò)濾系統(tǒng)可以阻塞內(nèi)部主機(jī)和外部主機(jī)或另外一個(gè)網(wǎng)絡(luò)之間的連接，例如，可以阻塞一些被視為是有敵意的或不可信的主機(jī)或網(wǎng)絡(luò)連接到內(nèi)部網(wǎng)絡(luò)中。2.過(guò)濾器的實(shí)現(xiàn)數(shù)據(jù)包過(guò)濾一般使用過(guò)濾路由器來(lái)實(shí)現(xiàn)，這種路由器與普通的路由器有所不同。普通的路由器只檢查數(shù)據(jù)包的目標(biāo)地址，并選擇一個(gè)達(dá)到目的地址的最佳路徑。它處理數(shù)據(jù)包是以目標(biāo)地址為基礎(chǔ)的，存在著兩種可能性：若路由器可以找到一個(gè)路徑到達(dá)目標(biāo)地址，4.2包過(guò)濾器下一頁(yè)返回上一頁(yè)包過(guò)濾系統(tǒng)可以阻塞內(nèi)部主機(jī)和外部主機(jī)或另外一個(gè)網(wǎng)絡(luò)之間的連接60則發(fā)送出去；若路由器不知道如何發(fā)送數(shù)據(jù)包，則通知數(shù)據(jù)包的發(fā)送者“數(shù)據(jù)包不可達(dá)”。過(guò)濾路由器會(huì)更加仔細(xì)地檢查數(shù)據(jù)包，除了決定是否有到達(dá)目標(biāo)地址的路徑外，還要決定是否應(yīng)該發(fā)送數(shù)據(jù)包。“應(yīng)該與否”是由路由器的過(guò)濾策略決定并強(qiáng)行執(zhí)行的。4.2.4包過(guò)濾的基本過(guò)程下面對(duì)包過(guò)濾過(guò)程做簡(jiǎn)單的敘述?！癜^(guò)濾規(guī)則必須被包過(guò)濾設(shè)備端口存儲(chǔ)起來(lái)?！癞?dāng)包到達(dá)端口時(shí)，對(duì)包報(bào)頭進(jìn)行語(yǔ)法分析。大多數(shù)包過(guò)濾設(shè)備只檢查IP，TCP或UDP報(bào)頭中的字段。4.2包過(guò)濾器下一頁(yè)返回上一頁(yè)則發(fā)送出去；若路由器不知道如何發(fā)送數(shù)據(jù)包，則通知數(shù)據(jù)包的發(fā)送61●包過(guò)濾規(guī)則以特殊的方式存儲(chǔ)。應(yīng)用于包的規(guī)則的順序與包過(guò)濾器規(guī)則存儲(chǔ)順序必須相同?！袢粢粭l規(guī)則阻止包傳輸或接收，則此包便不被允許?！袢粢粭l規(guī)則允許包傳輸或接收，則此包便可以被繼續(xù)處理?！袢舭粷M足任何一條規(guī)則，則此包便被阻塞。一個(gè)包過(guò)濾防火墻必須具備兩個(gè)端口，一個(gè)端口連接非信任網(wǎng)絡(luò)（如Internet），一個(gè)端口連接可信網(wǎng)絡(luò)（如內(nèi)部網(wǎng)絡(luò)）和一組規(guī)則組成。4.2包過(guò)濾器下一頁(yè)返回上一頁(yè)●包過(guò)濾規(guī)則以特殊的方式存儲(chǔ)。應(yīng)用于包的規(guī)則的順序與包過(guò)濾62防火墻配置的規(guī)則必須能對(duì)從一個(gè)非信任端口流向信任端口或是從信任端口流向非信任端口進(jìn)行控制處理，以此來(lái)決定是否讓信息流通過(guò)，如圖4-5所示。根據(jù)上圖將可以創(chuàng)建一個(gè)典型的網(wǎng)絡(luò)結(jié)構(gòu)，包括HTTP，DNS，SMTP，內(nèi)部網(wǎng)絡(luò)通過(guò)包過(guò)濾防火墻將其分為服務(wù)器區(qū)域和子網(wǎng)絡(luò)區(qū)域，包括Internet非信任網(wǎng)絡(luò)。4.2包過(guò)濾器返回上一頁(yè)防火墻配置的規(guī)則必須能對(duì)從一個(gè)非信任端口流向信任端口或是從信634.3.1應(yīng)用級(jí)網(wǎng)關(guān)的發(fā)展應(yīng)用級(jí)網(wǎng)關(guān)防火墻安裝在網(wǎng)絡(luò)應(yīng)用層上，它在應(yīng)用層上對(duì)信息進(jìn)行處理，是一種比包過(guò)濾防火墻更加安全的防火墻技術(shù)。防火墻要支持應(yīng)用程序，需要提供一個(gè)唯一的程序接受客戶端應(yīng)用程序的數(shù)據(jù)，并且作為中轉(zhuǎn)站將數(shù)據(jù)發(fā)往目標(biāo)服務(wù)器。應(yīng)用級(jí)網(wǎng)關(guān)對(duì)客戶來(lái)說(shuō)是一個(gè)服務(wù)器，對(duì)目標(biāo)服務(wù)器來(lái)說(shuō)是一個(gè)客戶端，所以它扮演著雙重角色。4.3應(yīng)用級(jí)網(wǎng)關(guān)下一頁(yè)返回4.3.1應(yīng)用級(jí)網(wǎng)關(guān)的發(fā)展4.3應(yīng)用級(jí)網(wǎng)關(guān)下一頁(yè)返回64應(yīng)用級(jí)網(wǎng)關(guān)使用軟件來(lái)轉(zhuǎn)發(fā)和過(guò)濾特定的應(yīng)用服務(wù)，如Telnet，F(xiàn)TP等服務(wù)的連接，這是一種代理服務(wù)。它只允許有代理的服務(wù)通過(guò)，也就是說(shuō)只有那些被認(rèn)為“可信賴的”服務(wù)才被允許通過(guò)防火墻。另外代理服務(wù)還可以過(guò)濾協(xié)議，如過(guò)濾FTP連接、拒絕使用FTP放置命令等。應(yīng)用級(jí)網(wǎng)關(guān)具有登記、日記、統(tǒng)計(jì)和報(bào)告功能，有很好的審計(jì)功能。還可以具有嚴(yán)格的用戶認(rèn)證功能。4.3應(yīng)用級(jí)網(wǎng)關(guān)下一頁(yè)返回上一頁(yè)應(yīng)用級(jí)網(wǎng)關(guān)使用軟件來(lái)轉(zhuǎn)發(fā)和過(guò)濾特定的應(yīng)用服務(wù)，如Telnet654.3.2應(yīng)用級(jí)網(wǎng)關(guān)的工作過(guò)程防火墻會(huì)對(duì)應(yīng)用程序的數(shù)據(jù)進(jìn)行校驗(yàn)以保證其格式可以接受，能夠過(guò)濾協(xié)議，進(jìn)行身份驗(yàn)證和記錄信息。其工作過(guò)程是：當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí)，首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器，由代理服務(wù)器根據(jù)這一請(qǐng)求向服務(wù)器請(qǐng)求數(shù)據(jù)，然后再由代理服務(wù)器將返回的數(shù)據(jù)轉(zhuǎn)給客戶機(jī)。4.3應(yīng)用級(jí)網(wǎng)關(guān)下一頁(yè)返回上一頁(yè)4.3.2應(yīng)用級(jí)網(wǎng)關(guān)的工作過(guò)程4.3應(yīng)用級(jí)網(wǎng)關(guān)下一頁(yè)664.3.3應(yīng)用級(jí)網(wǎng)關(guān)的優(yōu)缺點(diǎn)應(yīng)用級(jí)網(wǎng)關(guān)的安全性高，其不足是要為每種應(yīng)用提供專門的代理服務(wù)程序。應(yīng)用級(jí)網(wǎng)關(guān)有較好的訪問(wèn)控制，是目前最安全的防火墻技術(shù)，但實(shí)現(xiàn)困難，而且有的應(yīng)用級(jí)網(wǎng)關(guān)缺乏“透明度”。在實(shí)際使用中，用戶在受信任的網(wǎng)絡(luò)上通過(guò)防火墻訪問(wèn)Internet時(shí)，經(jīng)常會(huì)發(fā)現(xiàn)存在延遲并且必須進(jìn)行多次登錄（Login）才能訪問(wèn)Internet或Intranet。4.3應(yīng)用級(jí)網(wǎng)關(guān)下一頁(yè)返回上一頁(yè)4.3.3應(yīng)用級(jí)網(wǎng)關(guān)的優(yōu)缺點(diǎn)4.3應(yīng)用級(jí)網(wǎng)關(guān)下一頁(yè)返67應(yīng)用級(jí)網(wǎng)關(guān)也存在一些不足之處，首先它會(huì)使訪問(wèn)速度變慢，因?yàn)樗辉试S用戶直接訪問(wèn)網(wǎng)絡(luò)，而且應(yīng)用級(jí)網(wǎng)關(guān)需要對(duì)每一個(gè)特定的Internet服務(wù)安裝相應(yīng)的代理服務(wù)軟件，用戶不能使用未被服務(wù)器支持的服務(wù)，對(duì)每一類服務(wù)要使用特殊的客戶端軟件，尤其是，并非所有的Internet應(yīng)用軟件都可以使用代理服務(wù)器。4.3應(yīng)用級(jí)網(wǎng)關(guān)返回上一頁(yè)應(yīng)用級(jí)網(wǎng)關(guān)也存在一些不足之處，首先它會(huì)使訪問(wèn)速度變慢，因?yàn)樗?8電路級(jí)網(wǎng)關(guān)又稱線路級(jí)網(wǎng)關(guān)，它工作在會(huì)話層。它在兩個(gè)主機(jī)首次建立TCP連接時(shí)創(chuàng)立一個(gè)電子屏障。它作為服務(wù)器接收外來(lái)請(qǐng)求，轉(zhuǎn)發(fā)請(qǐng)求；與被保護(hù)的主機(jī)連接時(shí)則擔(dān)當(dāng)客戶機(jī)角色、起代理服務(wù)的作用。它監(jiān)視兩主機(jī)建立連接時(shí)的握手信息，如SYN，ACK和序列數(shù)據(jù)等是否合乎邏輯，判定該會(huì)話請(qǐng)求是否合法。一旦會(huì)話連接有效后，網(wǎng)關(guān)僅復(fù)制、傳遞數(shù)據(jù)，而不進(jìn)行過(guò)濾。電路級(jí)網(wǎng)關(guān)用來(lái)監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的TCP握手信息，這樣來(lái)決定該會(huì)話（Session）是否合法，電路級(jí)網(wǎng)關(guān)是在OSI模型中會(huì)話層上來(lái)過(guò)濾數(shù)據(jù)包，這樣比包過(guò)濾防火墻要高兩層。4.4電路級(jí)網(wǎng)關(guān)下一頁(yè)返回電路級(jí)網(wǎng)關(guān)又稱線路級(jí)網(wǎng)關(guān)，它工作在會(huì)話層。它在兩個(gè)主機(jī)首次建69它的主要技術(shù)特點(diǎn)是不允許直接建立端對(duì)端的連接，而是將跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段，通過(guò)代理服務(wù)器建立兩個(gè)TCP連接，如圖4-7所示?！翊矸?wù)是運(yùn)行在網(wǎng)絡(luò)主機(jī)上的一個(gè)軟件應(yīng)用程序，它就像外部網(wǎng)和內(nèi)部網(wǎng)之間的中間媒介，篩選進(jìn)出的數(shù)據(jù)?！襁\(yùn)行代理服務(wù)的網(wǎng)絡(luò)主機(jī)稱為代理服務(wù)器或網(wǎng)關(guān)?！駥?duì)于外部網(wǎng)絡(luò)，代理服務(wù)器相當(dāng)于內(nèi)部網(wǎng)絡(luò)的一臺(tái)服務(wù)器，實(shí)際上，它只是內(nèi)部網(wǎng)絡(luò)的一臺(tái)過(guò)濾設(shè)備。4.4電路級(jí)網(wǎng)關(guān)下一頁(yè)返回上一頁(yè)它的主要技術(shù)特點(diǎn)是不允許直接建立端對(duì)端的連接，而是將跨越防火70●代理服務(wù)器的安全性除了表現(xiàn)在它可以隔斷內(nèi)部和外部網(wǎng)絡(luò)的直接連接，還可以防止外部網(wǎng)絡(luò)發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)的地址。4.4.1電路級(jí)網(wǎng)關(guān)的工作過(guò)程電路級(jí)網(wǎng)關(guān)工作過(guò)程如下：●假定有一用戶正在試圖和目的URL進(jìn)行連接?！翊藭r(shí)，該用戶所使用的客戶應(yīng)用程序不是為這個(gè)URL發(fā)出的DNS請(qǐng)求，而是將請(qǐng)求發(fā)到地址已經(jīng)被解析的電路級(jí)網(wǎng)關(guān)（如代理服務(wù)器）的接口上?！袢粲行枰?，電路級(jí)網(wǎng)關(guān)提示用戶進(jìn)行身份認(rèn)證。4.4電路級(jí)網(wǎng)關(guān)下一頁(yè)返回上一頁(yè)●代理服務(wù)器的安全性除了表現(xiàn)在它可以隔斷內(nèi)部和外部網(wǎng)絡(luò)的直71●用戶通過(guò)身份認(rèn)證后，電路級(jí)網(wǎng)關(guān)為目的URL發(fā)出一個(gè)DNS請(qǐng)求，然后用自己的IP地址和目的IP地址建立一個(gè)連接。●電路級(jí)網(wǎng)關(guān)然后把目的URL服務(wù)器的應(yīng)答轉(zhuǎn)給用戶。4.4.2電路級(jí)網(wǎng)關(guān)的缺點(diǎn)大多數(shù)的電路級(jí)網(wǎng)關(guān)都是基于TCP端口配置的，不是對(duì)每一個(gè)數(shù)據(jù)包進(jìn)行檢測(cè)，所以會(huì)出現(xiàn)一些漏洞。通常來(lái)說(shuō)，配置了電路級(jí)網(wǎng)關(guān)技術(shù)后向內(nèi)的連接都是禁止的。所以，有時(shí)訪問(wèn)資源的空間和范圍是有限的。4.4電路級(jí)網(wǎng)關(guān)返回上一頁(yè)●用戶通過(guò)身份認(rèn)證后，電路級(jí)網(wǎng)關(guān)為目的URL發(fā)出一個(gè)DNS72狀態(tài)包檢測(cè)防火墻是最新一代的防火墻技術(shù)，一般稱作第三代防火墻。這類防火墻檢查IP包的所有部分來(lái)判定是允許還是拒絕請(qǐng)求，是目前最先進(jìn)的網(wǎng)絡(luò)層防火墻。狀態(tài)包檢測(cè)技術(shù)檢查所有的OSI層，因此它提供的安全程度遠(yuǎn)高于包過(guò)濾防火墻。使用狀態(tài)包檢測(cè)（StatefullPacketInspection，SPI）的防火墻對(duì)每一個(gè)通過(guò)它的數(shù)據(jù)包都要進(jìn)行檢查，確定這些數(shù)據(jù)包是否屬于一個(gè)已經(jīng)通過(guò)防火墻并且正在進(jìn)行連接的會(huì)話，或者基于一組與包過(guò)濾規(guī)則相似的規(guī)則集對(duì)數(shù)據(jù)包進(jìn)行處理。4.5狀態(tài)包檢測(cè)（SPI）下一頁(yè)返回狀態(tài)包檢測(cè)防火墻是最新一代的防火墻技術(shù)，一般稱作第三代防火墻734.5.1SPI防火墻的工作過(guò)程狀態(tài)檢測(cè)包的邏輯流程如圖4-8所示。從圖4-8中可以看出狀態(tài)檢測(cè)技術(shù)防火墻的工作原理，數(shù)據(jù)包到達(dá)防火墻的接口，防火墻判斷數(shù)據(jù)是不是已經(jīng)在連接，如果是在連接就對(duì)數(shù)據(jù)包進(jìn)行特征檢測(cè)，并判斷策略是否讓防火墻內(nèi)容通過(guò)，如果可以通過(guò)的話就轉(zhuǎn)發(fā)到目的端口并記錄日志，否則就丟掉數(shù)據(jù)包。這是一個(gè)狀態(tài)檢測(cè)防火墻工作的過(guò)程。4.5狀態(tài)包檢測(cè)（SPI）下一頁(yè)返回上一頁(yè)4.5.1SPI防火墻的工作過(guò)程4.5狀態(tài)包檢測(cè)（S74具體描述如下：●SPI防火墻檢查數(shù)據(jù)包是否是一個(gè)已經(jīng)建立并且正在使用的通信流的一部分。SPI防火墻要維護(hù)一張連接表，其中包括源IP地址、目的IP地址、源端口號(hào)和目的端口號(hào)等信息，通過(guò)查詢正在使用的連接，判斷該數(shù)據(jù)包是否與表中某個(gè)連接相匹配?！袢绻阑饓Π袛?shù)據(jù)包使用的協(xié)議，就查看數(shù)據(jù)包的數(shù)據(jù)部分，根據(jù)其內(nèi)容決定是否轉(zhuǎn)發(fā)該數(shù)據(jù)包，防火墻對(duì)數(shù)據(jù)包檢查的內(nèi)容取決于數(shù)據(jù)包所使用的協(xié)議?！袢绻麛?shù)據(jù)包和連接表的各項(xiàng)都不匹配，防火墻就會(huì)檢查數(shù)據(jù)包是否與其所配置的規(guī)則集匹配。4.5狀態(tài)包檢測(cè)（SPI）下一頁(yè)返回上一頁(yè)具體描述如下：4.5狀態(tài)包檢測(cè)（SPI）下一頁(yè)返回上一頁(yè)75●當(dāng)數(shù)據(jù)包通過(guò)源IP地址、源端口號(hào)、目的IP地址、目的端口號(hào)、使用的協(xié)議和數(shù)據(jù)內(nèi)容檢查后，防火墻就轉(zhuǎn)發(fā)該數(shù)據(jù)包，并在其連接表中為此次會(huì)話創(chuàng)建或者更新一個(gè)連接項(xiàng)。防火墻使用該連接項(xiàng)對(duì)返回的數(shù)據(jù)包進(jìn)行檢查。●防火墻通常檢測(cè)TCP包中的FIN位，或者使用計(jì)時(shí)器來(lái)決定何時(shí)從連接表中刪除某連接項(xiàng)。4.5狀態(tài)包檢測(cè)（SPI）下一頁(yè)返回上一頁(yè)●當(dāng)數(shù)據(jù)包通過(guò)源IP地址、源端口號(hào)、目的IP地址、目的端口764.5.2SPI在安全上的優(yōu)點(diǎn)SPI防火墻具有非常好的安全特性，它使用了一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件模塊，稱之為監(jiān)測(cè)引擎。監(jiān)測(cè)引擎在不影響網(wǎng)絡(luò)正常運(yùn)行的前提下，采用抽取有關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測(cè)，抽取狀態(tài)信息，并動(dòng)態(tài)地保存起來(lái)作為以后執(zhí)行安全策略的參考。監(jiān)測(cè)引擎支持多種協(xié)議和應(yīng)用程序，并可以很容易地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。與前兩種防火墻不同，當(dāng)用戶訪問(wèn)請(qǐng)求到達(dá)網(wǎng)關(guān)的操作系統(tǒng)前，狀態(tài)監(jiān)視器要抽取有關(guān)數(shù)據(jù)進(jìn)行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定做出接納、拒絕、身份認(rèn)證、報(bào)警或給該通信加密等處理動(dòng)作。4.5狀態(tài)包檢測(cè)（SPI）下一頁(yè)返回上一頁(yè)4.5.2SPI在安全上的優(yōu)點(diǎn)4.5狀態(tài)包檢測(cè)（SP77這種防火墻的優(yōu)點(diǎn)是一旦某個(gè)訪問(wèn)違反安全規(guī)定，就會(huì)拒絕該訪問(wèn)，并報(bào)告有關(guān)狀態(tài)做日志記錄。狀態(tài)監(jiān)測(cè)防火墻的另一個(gè)優(yōu)點(diǎn)是它會(huì)監(jiān)測(cè)無(wú)連接狀態(tài)的遠(yuǎn)程過(guò)程調(diào)用（RPC）和用戶數(shù)據(jù)報(bào)（UDP）之類的端口信息，而包過(guò)濾和應(yīng)用網(wǎng)關(guān)防火墻都不支持此類應(yīng)用。這種防火墻無(wú)疑是非常堅(jiān)固的。但是它會(huì)降低網(wǎng)絡(luò)的速度，而且配置也比較復(fù)雜。當(dāng)然，有關(guān)防火墻廠商已注意到這一問(wèn)題，有些防火墻產(chǎn)品的安全策略規(guī)則是通過(guò)面向?qū)ο蟮膱D形用戶界面（GUI）來(lái)定義以簡(jiǎn)化配置過(guò)程。4.5狀態(tài)包檢測(cè)（SPI）返回上一頁(yè)這種防火墻的優(yōu)點(diǎn)是一旦某個(gè)訪問(wèn)違反安全規(guī)定，就會(huì)拒絕該訪問(wèn)，784.6.1基于網(wǎng)絡(luò)主機(jī)的防火墻防火墻銷售商在現(xiàn)有的服務(wù)器硬件平臺(tái)上使用兩種方法來(lái)部署防火墻軟件。從嚴(yán)格意義上講，第一種部署方法只是一種應(yīng)用程序。這種部署防火墻的方法以用戶現(xiàn)有的平臺(tái)為基礎(chǔ)。典型的部署方法就是防火墻作為一個(gè)在商業(yè)操作系統(tǒng)之上運(yùn)行的應(yīng)用程序。雖然大多數(shù)的操作系統(tǒng)都至少支持一個(gè)防火墻應(yīng)用程序，但最常見(jiàn)的支持防火墻的操作系統(tǒng)還是WindowsNT/2000，SunSolaris和HPUX。這幾種操作系統(tǒng)都支持4種技術(shù)：包過(guò)濾、應(yīng)用級(jí)網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)、狀態(tài)包檢查（如本章前面所述）。4.6實(shí)施方式下一頁(yè)返回4.6.1基于網(wǎng)絡(luò)主機(jī)的防火墻4.6實(shí)施方式下一頁(yè)返79在操作系統(tǒng)上運(yùn)行防火墻的先決條件就是要保證操作系統(tǒng)本身是安全的。這一過(guò)程叫做操作系統(tǒng)的“加固”，它能夠?qū)θ魏伪┞队诓皇苄湃尉W(wǎng)絡(luò)前的系統(tǒng)進(jìn)行“加固”。雖然對(duì)每一種操作系統(tǒng)進(jìn)行“加固”超過(guò)了本書的講述范圍，但是在這個(gè)話題上還是有很多書可以參考的。正如本書前面所述，在所有情況下，防火墻主機(jī)都應(yīng)該遵循公司的標(biāo)準(zhǔn)和安全策略。這些文件包括對(duì)所有資源都有效的安全原則（例如最小優(yōu)先級(jí)的概念）。4.6實(shí)施方式下一頁(yè)返回上一頁(yè)在操作系統(tǒng)上運(yùn)行防火墻的先決條件就是要保證操作系統(tǒng)本身是安全804.6.2基于路由器的防火墻路由器通?？梢栽偌?xì)分成為Internet連接設(shè)計(jì)的低端設(shè)備和高端傳統(tǒng)路由器。低端路由器提供了阻止和允許特定的IP地址和端口號(hào)的基本防火墻功能，以及使用NAT來(lái)隱藏內(nèi)部IP地址。它們經(jīng)常提供防火墻功能作為阻止來(lái)自Internet入侵的標(biāo)準(zhǔn)和最佳選擇，雖然它們不需要配置，但是進(jìn)行進(jìn)一步配置可以優(yōu)化它們。高端路由器可以配置為通過(guò)阻擋更顯而易見(jiàn)的入侵（如Ping）以及使用ACL實(shí)現(xiàn)其他IP地址和端口限制來(lái)限制訪問(wèn)。其他防火墻功能（在某些路由器中提供監(jiān)控狀態(tài)的數(shù)據(jù)包篩選）可能可用。4.6實(shí)施方式下一頁(yè)返回上一頁(yè)4.6.2基于路由器的防火墻4.6實(shí)施方式下一頁(yè)返回81在高端路由器中，防火墻功能與硬件防火墻設(shè)備的功能類似，但是成本更低，而且吞吐量也更低。可以說(shuō)基于路由器的防火墻技術(shù)只是網(wǎng)絡(luò)安全的一種應(yīng)急措施，用這種權(quán)宜之計(jì)去對(duì)付黑客的攻擊是十分危險(xiǎn)的。但是，幾乎在所有的安全體系結(jié)構(gòu)中，路由器都是位于安全防護(hù)的第一線，而且經(jīng)?？梢源娣阑饓κ褂?，尤其是在小規(guī)模網(wǎng)絡(luò)中。小規(guī)模網(wǎng)絡(luò)安裝防火墻的原因就是價(jià)格問(wèn)題，由于網(wǎng)絡(luò)規(guī)模小，所以要設(shè)置一臺(tái)獨(dú)立的安全設(shè)備并且對(duì)其進(jìn)行獨(dú)立地管理顯得很不經(jīng)濟(jì)。4.6實(shí)施方式下一頁(yè)返回上一頁(yè)在高端路由器中，防火墻功能與硬件防火墻設(shè)備的功能類似，但是成824.6.3基于單個(gè)主機(jī)的防火墻這種防火墻通常是安裝在單個(gè)系統(tǒng)上的一種軟件，它只保