《防火墻》PPT完整版

第4章防火墻重點和難點防火墻的主要功能、類別和相關安全標準防火的設計原理掌握防火墻的設計原理應用防火墻的典型案例防火墻的使用方法、目的及其存在的缺陷了解防火墻的基本概念、功能特點、主要作用及分類防火墻的安全標準4.1概述

防火墻〔Firewall〕是位于兩個或多個網(wǎng)絡間實施網(wǎng)絡間訪問控制的一組組件的集合.這組組件包括：主機系統(tǒng)、路由器、網(wǎng)絡安全策略和用于網(wǎng)絡安全控制與管理的軟硬件系統(tǒng)等.并且需要滿足以下三個條件：1〕網(wǎng)絡內(nèi)部和外部之間的所有數(shù)據(jù)流必須經(jīng)過防火墻；2〕只有符合安全策略的數(shù)據(jù)流才能通過防火墻；3〕防火墻自身具有高可靠性,應對滲透免疫.4.1.1什么是防火墻防火墻是提供信息安全服務、實現(xiàn)網(wǎng)絡和信息安全的基礎設施之一,一般安裝在被保護區(qū)域的邊界處,如圖4.1所示.在圖中,被保護區(qū)域與Internet網(wǎng)之間的防火墻可以有效控制區(qū)域內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的訪問和數(shù)據(jù)傳輸,進而達到保護區(qū)域內(nèi)部信息安全的目的,同時,通過防火墻的檢查控制可以過濾掉很多非法信息.Internet防火墻DMZ圖4.1Internet上的防火墻4.1.2使用防火墻的主要目的使用防火墻的主要目的包括以下兩個方面：1〕嚴格限制進入被保護區(qū)域的訪問,防止外部入侵和信息污染；例如,對來自外部網(wǎng)絡的各種訪問進行訪問控制、信息過濾等.2〕嚴格限制離開被保護區(qū)域的信息,防止信息泄漏；例如,對來訪者在保護區(qū)域內(nèi)的各種活動進行審計跟蹤、檢查需要離開被保護區(qū)域的信息資源等.4.1.3防火墻的功能1．包過濾包過濾是防火墻所要實現(xiàn)的最基本功能,它可將不符合要求的包過濾掉.靜態(tài)包過濾只是在網(wǎng)絡層上對包的地址、端口等信息進行判定控制,而動態(tài)包過濾是在所有通信層上對包的狀態(tài)進行檢測分析,判斷包是否符合安全要求.動態(tài)包過濾技術(shù)支持多種協(xié)議和應用程序,易擴展、易實現(xiàn).2．審計和報警機制審計是一種重要的安全措施,用以監(jiān)控通信行為和完善安全策略,檢查安全漏洞和錯誤配置,并對入侵者起到一定的威懾作用.報警機制是在通信違反相關策略以后,以多種方式如聲音、郵件、、手機短信息及時報告給管理人員.3．遠程管理目前防火墻的遠程管理主要使用三種技術(shù).一是基于Web界面的管理方式；二是GUI界面的管理方式；三是基于命令行的CLI管理方式.這三種技術(shù)各有其優(yōu)點,前兩種均采用可視化管理界面來完成對防火墻的配置、管理和監(jiān)控操作.Web管理方式提供了簡單的管理界面,適合那些功能不是很多的防火墻的管理工作.而GUI管理方式能提供豐富的管理界面,適合對防火墻進行復雜的配置,管理多臺防火墻,同時支持豐富的審計和日志的功能.4．NAT絕大多數(shù)防火墻都具有網(wǎng)絡地址轉(zhuǎn)換〔NAT〕功能.目前防火墻一般采用雙向NAT,即：SNAT和DNAT.SNAT用于對內(nèi)部網(wǎng)絡地址進行轉(zhuǎn)換,對外部網(wǎng)絡隱藏內(nèi)部網(wǎng)絡的結(jié)構(gòu),使得對內(nèi)部的攻擊更加困難；并可以節(jié)省IP資源,有利于降低成本.DNAT主要用于實現(xiàn)外網(wǎng)主機對內(nèi)網(wǎng)和DMZ區(qū)主機的訪問.

5．代理

目前代理主要有如下幾種實現(xiàn)方式：

1〕透明代理〔Transparent

proxy〕：透明代理實質(zhì)上屬于DNAT的一種,它主要指內(nèi)網(wǎng)主機需要訪問外網(wǎng)主機時,不需要做任何設置,完全意識不到防火墻的存在而完成內(nèi)外網(wǎng)的通信.其原理是防火墻截取內(nèi)網(wǎng)主機與外網(wǎng)通信,由防火墻本身完成與外網(wǎng)主機通信,然后把結(jié)果傳給內(nèi)網(wǎng)主機,在這個過程中,無論內(nèi)網(wǎng)主機還是外網(wǎng)主機都意識不到它們在和防火墻通信.2〕傳統(tǒng)代理：傳統(tǒng)代理工作原理與透明代理相似,所不同的是它需要在客戶端設置代理服務器,并由該服務器實現(xiàn)內(nèi)網(wǎng)與外網(wǎng)間的通信.6．MAC與IP地址的綁定把MAC地址與IP地址綁定在一起,主要用于防止那些受到控制〔不允許訪問外網(wǎng)〕的內(nèi)部用戶通過更換IP地址來訪問外網(wǎng).7．流量控制〔帶寬管理〕和統(tǒng)計分析、流量計費

流量控制可以分為基于IP地址的控制和基于用戶的控制.基于IP地址的控制是對通過防火墻各個網(wǎng)絡接口的流量進行控制,基于用戶的控制是通過用戶登錄來控制每個用戶的流量,從而防止某些應用或用戶占用過多的資源.流量統(tǒng)計是建立在流量控制基礎之上的.一般防火墻通過對基于IP、服務、時間、協(xié)議等進行統(tǒng)計,并可以與管理界面實現(xiàn)掛接,實時或者以統(tǒng)計報表的形式輸出結(jié)果.流量計費從而也是非常容易實現(xiàn)的.

8．VPN

在以往的網(wǎng)絡安全產(chǎn)品中,VPN是一個單獨產(chǎn)品,現(xiàn)在大多數(shù)廠商把VPN與防火墻捆綁在一起,進一步增強和擴展了防火墻的功能,這也是一種產(chǎn)品整合的趨勢.

4.1.4防火墻的作用及分類1．防火墻的主要作用在計算機網(wǎng)絡中,增加防火墻設備的投入可以提高內(nèi)部網(wǎng)絡的安全性能,這些安全性主要表現(xiàn)在以下幾個方面：1〕防止來自被保護區(qū)域外部的攻擊.2〕防止信息外泄和屏蔽有害信息.3〕集中安全管理.4〕安全審計和告警.5〕增強保密性和強化私有權(quán)；6〕訪問控制和其他安全作用等.2．防火墻的分類根據(jù)防火墻的應用與發(fā)展可將其分為五種類型：包過濾防火墻、電路層防火墻、應用層防火墻、動態(tài)包過濾防火墻和自適應代理防火墻.根據(jù)防火墻所采用的技術(shù)特點可將其分為三種類型:包過濾技術(shù)防火墻、代理技術(shù)防火墻和混合技術(shù)防火墻.包過濾技術(shù)和代理技術(shù)原理分別如下：〔1〕包過濾防火墻包過濾防火墻又稱分組過濾路由器,或網(wǎng)絡級防火墻,它工作在網(wǎng)絡層上,如圖4.2〔a〕所示.數(shù)據(jù)包從源發(fā)地發(fā)出并需要穿過防火墻時,一般通過檢查單個包的源地址、目的地址、所封裝的協(xié)議〔TCP、UDP等〕、端口、ICMP包的類型、輸入/輸出接口等信息來決定是否允許此數(shù)據(jù)包穿過防火墻.有時還需要進一步檢查數(shù)據(jù)包中的路由選擇表、特定的IP選項、校驗特殊的IP分段參數(shù)等以防止發(fā)生電子欺騙攻擊.包過濾的處理方式分靜態(tài)包過濾和動態(tài)包過濾兩種,參見圖4.2〔b〕、〔c〕.靜態(tài)包過濾只是在網(wǎng)絡層上對當前數(shù)據(jù)包進行過濾處理；而動態(tài)包過濾則是利用狀態(tài)表在所有通信層上對當前數(shù)據(jù)包進行過濾處理,判斷該數(shù)據(jù)包是否符合安全要求.〔b〕靜態(tài)包過濾〔c〕動態(tài)包過濾狀態(tài)表包過濾〔a〕包過濾原理包過濾的主要優(yōu)點：不用改動應用程序；一個過濾路由器能協(xié)助保護整個網(wǎng)絡；數(shù)據(jù)包過濾對用戶透明；過濾路由器速度快、效率高.包過濾的主要缺點：不能徹底防止地址欺騙；某些應用協(xié)議不適合于數(shù)據(jù)包過濾；正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略；數(shù)據(jù)包工具存在很多局限性.圖4.2包過濾防火墻原理通常,路由器便是一個"傳統(tǒng)"的包過濾防火墻,這種防火墻是基于源地址和目的地址、應用或協(xié)議以及每個IP包的端口作出是否允許通過的判斷的,而大多數(shù)路由器僅是通過這些信息來決定是否轉(zhuǎn)發(fā)包,它不能判斷出一個IP包來自何方,將去向何方.包過濾防火墻使用所有規(guī)則對包中的信息進行逐個檢查,只要被檢查的包能滿足所要求的幾項規(guī)則即可,如果沒有一條規(guī)則能符合,防火墻就使用默認規(guī)則,要求丟棄該包.其次,通過定義基于TCP或UDP數(shù)據(jù)包的端口號,防火墻能判斷是否允許建立特定的連接,如TELNET、FTP連接.專門的防火墻系統(tǒng)一般在包過濾基礎上增加了某些功能,如狀態(tài)檢測等.〔2〕代理防火墻代理防火墻又稱網(wǎng)關,它是通過編制的專門軟件〔代理軟件〕來弄清用戶應用層的信息流量,并能在用戶層和應用協(xié)議層間提供訪問控制；而且還可用來保持一個所有應用程序使用的記錄.

代理防火墻工作在應用層或會話層上,使用代理軟件來完成對數(shù)據(jù)報的檢測判斷,最后決定其能否穿過防火墻.這種代理軟件主要由代理服務器、客戶代理和協(xié)議分析三個部分構(gòu)成.代理防火墻的工作原理如圖4.3所示.代理防火墻分應用層代理和電路層代理兩種.應用層代理防火墻〔稱應用層網(wǎng)關〕工作在應用層上,主要保存Internet上那些最常用和最近訪問過的內(nèi)容.應用層代理增強了網(wǎng)絡安全性,并為用戶提供方便快捷的訪問,其工作原理如圖4.4所示.電路層代理防火墻〔稱電路層網(wǎng)關〕工作在會話層上,主要實現(xiàn)兩個通信節(jié)點間的包轉(zhuǎn)換任務,并將包提交給應用層進行處理,其工作原理如圖4.5所示.協(xié)議分析代理服務器客戶代理應用層網(wǎng)關電路層網(wǎng)關TCPSocketTCPSocket圖4.3代理防火墻的工作原理圖4.4應用層網(wǎng)關防火墻

圖4.5電路層網(wǎng)關防火墻代理技術(shù)的優(yōu)點：易于配置和生成各項記錄；能靈活控制進出流量和過濾數(shù)據(jù)內(nèi)容；能為用戶提供透明的加密機制；可以靈活集成各種安全手段.代理技術(shù)的缺點：與路由器相比其速度較慢；對用戶的透明度不高；不同的服務代理需要不同的服務器支持,并且不能保證免受各種協(xié)議弱點的限制；不能保證底層協(xié)議的安全性.〔3〕兩類防火墻技術(shù)的比較根據(jù)包過濾和代理技術(shù)的原理,兩類防火墻技術(shù)對比見表4.1.比較包過濾防火墻代理防火墻優(yōu)點價格較低；系統(tǒng)開銷少，處理速度較快內(nèi)置安全的Proxy應用程序，并將數(shù)據(jù)包進行安全化處理；不允許數(shù)據(jù)包穿過防火墻，能較好地禁止數(shù)據(jù)驅(qū)動式攻擊缺點系統(tǒng)配置較復雜，容易造成配置缺陷，從而產(chǎn)生漏洞；由于僅對數(shù)據(jù)包進行包過濾處理，而不對數(shù)據(jù)包進行安全化處理，所以允許數(shù)據(jù)包直接穿過防火墻，無法禁止數(shù)據(jù)驅(qū)動式攻擊；不能理解網(wǎng)絡的其他協(xié)議層信息系統(tǒng)開銷大，處理速度較慢；對用戶的透明度低，不能確保底層協(xié)議的安全性表4.1包過濾防火墻與代理防火墻的優(yōu)缺點對比4.1.5防火墻的安全標準防火墻是一種用于網(wǎng)絡安全保護的專用設備,其設計和使用必須遵照有關的安全準則.在國內(nèi),防火墻設備必須符合國家制定的相關標準,必須通過安全部門的安全技術(shù)檢驗和相關認證才能有效使用.1．關于防火墻的國家標準2．有關安全產(chǎn)品檢驗和銷售方面的規(guī)定4.2防火墻設計原理

在防火墻安全策略中,應包括安全目標、防火墻設備選購、配置和設計等主要內(nèi)容.1．防火墻設備選購策略選購防火墻需要考慮防火墻的安全性、高效性、實用性和可管理性問題,同時,還應考慮防火墻設備的完善性和及時的售后服務體系.〔1〕了解防火墻的基本性能防火墻設備其基本性能一般應包括如下內(nèi)容：1〕防火墻能嚴格執(zhí)行所配置的安全策略,并能靈活改變所需的安全策略.4.2.1防火墻的安全策略2〕防火墻除具備基本的鑒別功能外,還應支持多種先進技術(shù),如包過濾技術(shù)、加密技術(shù)、身份識別與驗證、信息的保密性保護、信息的完整性校驗、系統(tǒng)的訪問控制機制和授權(quán)管理等技術(shù).3〕防火墻過濾語言應該具有靈活性,支持多種過濾屬性,如源和目的IP地址、協(xié)議類型、源和目的TCP/UDP端口以及入出接口等.4〕防火墻應包含集中化的SMTP訪問能力,以簡化本地與遠程系統(tǒng)的SMTP連接,實現(xiàn)本地E-mail集中處理,還應具備集中處理和過濾拔號訪問的能力.5〕安全操作系統(tǒng)是防火墻設備的一個組成部分,當使用其他安全工具時,要保證防火墻主機的完整性,而且安全操作系統(tǒng)應能整體安裝.防火墻及操作系統(tǒng)應該可更新,并能用簡易的方法解決系統(tǒng)故障等.〔2〕制定和理解防火墻的安全政策選購防火墻前,應認真制定和理解安全政策,要事先考慮把防火墻放在網(wǎng)絡系統(tǒng)的哪一個位置上,才能滿足網(wǎng)絡安全需求,才能確定選購防火墻時所能接受的風險水平.選購防火墻必須是切合實際,既要考慮滿足整個網(wǎng)絡系統(tǒng)的安全要求,又要考慮網(wǎng)絡安全措施的可行性.無論如何考慮,最終選購的防火墻設備應能將網(wǎng)絡風險水平降到可接受的程度,而且是以較小的代價換來的.〔3〕防火墻的經(jīng)濟性關于經(jīng)濟性問題,除價格因素外,還應考慮管理費用、維護費用以及耗材費用等因素.按照購買或?qū)崿F(xiàn)防火墻需要的經(jīng)費來度量所提出的解決方案是十分重要的.在滿足安全性、實用性的基礎上考慮經(jīng)濟性問題是切合實際的.〔4〕防火墻的完善性和售后服務體系防火墻不是一般的網(wǎng)絡設備,也不是隨意買賣的產(chǎn)品,因此,必須選購經(jīng)國家安全部門檢測通過的設備2．配置策略在制訂防火墻的配置策略時,首先要根據(jù)安全目標要求全面列出策略要點,然后認真分析和配置,通常需要考慮：〔1〕哪些服務是允許的、哪些是被禁止的和如何使用服務；〔2〕如何限制和過濾網(wǎng)絡安全策略中指定的服務,才能達到網(wǎng)絡安全的目標.另外,防火墻系統(tǒng)環(huán)境配置也是防火墻配置策略中的一個重要環(huán)節(jié).依據(jù)網(wǎng)絡安全目標,防火墻系統(tǒng)環(huán)境配置需要考慮：1〕取消危險的系統(tǒng)調(diào)用；2〕限制命令的執(zhí)行權(quán)限；3〕取消IP的轉(zhuǎn)發(fā)功能；4〕檢查每個分組的接口；5〕采用復雜的隨機連接序號；6〕駐留分組過濾模塊；7〕取消動態(tài)路由功能；8〕采用多個安全內(nèi)核等可能導致安全問題發(fā)生的內(nèi)容.3．服務訪問策略防火墻的一般服務訪問策略是：嚴格限制或禁止外部用戶對網(wǎng)絡的訪問,特殊情況下,可通過強認證方式允許外部用戶訪問某些內(nèi)部主機和服務；嚴格限制內(nèi)部用戶對外部網(wǎng)絡的訪問,必要時,嚴格控制訪問所規(guī)定的外部主機和服務.4．防火墻設計策略通常有三種設計策略,第一種：安全策略中明確禁止的服務一律關閉,其余服務全部開放；第二種：安全策略中明確允許的服務一律開放,其余服務全部關閉；第三種：安全策略中有明確規(guī)定的服務一律按規(guī)定執(zhí)行,其余服務均酌情考慮.4.2.2防火墻的體系結(jié)構(gòu)1．雙宿/多宿主機模式這種模式是在堡壘主機上配置兩塊或兩塊以上的網(wǎng)卡實現(xiàn)的.其中,一塊網(wǎng)卡用于外部網(wǎng)絡,而其余網(wǎng)卡則用于內(nèi)部網(wǎng)絡,并通過代理服務系統(tǒng)來實現(xiàn)防火墻的各種功能.其網(wǎng)絡拓樸結(jié)構(gòu)如圖4.6所示.2．屏蔽主機模式這種模式是在雙宿/多宿主機模式的基礎上增加外部過濾路由設備實現(xiàn)的.堡壘主機通過一個外部過濾路由器與外部網(wǎng)絡進行連接,再通過代理服務系統(tǒng)將外部過濾路由器傳來的信息與內(nèi)部網(wǎng)絡聯(lián)系在一起,從而起到保護內(nèi)部網(wǎng)絡的作用.其網(wǎng)絡拓樸結(jié)構(gòu)如圖4.7所示.圖4.6雙宿/多宿主機模式堡壘主機外部網(wǎng)絡圖4.7屏蔽主機模式堡壘主機外部網(wǎng)絡R3．屏蔽子網(wǎng)模式這種模式是在屏蔽主機模式的基礎上增加內(nèi)部過濾路由設備實現(xiàn)的.堡壘主機使用兩個過濾路由器,分別與內(nèi)部網(wǎng)絡和外部網(wǎng)絡連接,再通過代理服務系統(tǒng)處理經(jīng)過過濾路由器的信息.其網(wǎng)絡拓樸結(jié)構(gòu)如圖4.8所示.堡壘主機外部網(wǎng)絡RR外部過濾路由內(nèi)部過濾路由圖4.8屏蔽子網(wǎng)模式4.2.3應用防火墻的典型案例1．網(wǎng)絡安全解決方案在眾多的網(wǎng)絡安全解決方案中,使用防火墻技術(shù)的典型拓樸結(jié)構(gòu)有以下兩種形式,分別如圖4.9和圖4.10所示.InternetR防火墻DMZWINSDHCP專線MailServerWebServerDNSServerRR專線專線總部第二分部第一分部代理服務器三層交換機圖4.9典型網(wǎng)絡安全解決方案之一Internet各種專用網(wǎng)RRPSTN撥號用戶VPN通道DDN專線VPN通道各種網(wǎng)絡服務圖4.10典型網(wǎng)絡安全解決方案之二撥號訪問服務器在網(wǎng)絡安全解決方案一中,防火墻是主要的安全防護設備,把它放在連接外網(wǎng)的路由器后,再把整個企業(yè)的Web服務器、郵件服務器mailServer、域名服務器放在DMZ區(qū),就能有效保護這些服務器的安全,同時,能夠嚴格控制外部網(wǎng)絡對內(nèi)部企業(yè)網(wǎng)絡的訪問.采用方案一實現(xiàn)網(wǎng)絡安全防護的具體措施如下：1〕由防火墻實現(xiàn)NAT功能,限制企業(yè)內(nèi)部的代理服務器執(zhí)行NAT功能,只允許代理服務器去外網(wǎng)訪問,企業(yè)內(nèi)部所有VLAN之間通過內(nèi)部的三層交換機實現(xiàn)互訪,企業(yè)內(nèi)部的其他用戶只能通過代理服務器上網(wǎng)訪問,可根據(jù)安全需要直接在三層交換機上進行訪問控制.在三層交換機上指定代理服務器為其缺省路由,同時,在代理服務器上指明防火墻的內(nèi)網(wǎng)IP地址為其缺省網(wǎng)關.2〕把Web服務器、郵件服務器、電子郵件服務器和域名服務器放到DMZ區(qū),并設置安全策略允許內(nèi)部網(wǎng)和外部網(wǎng)的所有機器訪問DMZ區(qū).3〕在防火墻上設置到企業(yè)內(nèi)部各子網(wǎng)的靜態(tài)路由以保證企業(yè)內(nèi)部各子網(wǎng)都能通過防火墻連接到internet.4〕如果企業(yè)總部需要通過專線與其他分部安全連接時,也需要在防火墻上增加靜態(tài)路由以保證各分部與總部的Web服務器和郵件服務器間的聯(lián)系.在網(wǎng)絡安全解決方案二中,一臺防火墻設備將企業(yè)內(nèi)部各種專用網(wǎng)絡與外部網(wǎng)絡安全隔離,并允許內(nèi)部網(wǎng)絡的所有用戶訪問外部網(wǎng)絡.對于企業(yè)內(nèi)部各種專用網(wǎng)中的用戶,允許其通過DDN專線訪問Internet；對于企業(yè)許可的撥號用戶,允許其通過撥號VPN并經(jīng)嚴格訪問控制后可獲取企業(yè)內(nèi)部網(wǎng)中的各種服務資源,還可以通過防火墻與企業(yè)內(nèi)部各專用網(wǎng)中的用戶進行加密通信.2．網(wǎng)絡安全配置方案為了實現(xiàn)網(wǎng)絡安全解決方案,還需要進一步落實安全策略,制定網(wǎng)絡安全配置方案,例如：假設某企業(yè)采用一個防火墻后的網(wǎng)絡解決方案為：1〕建立DMZ網(wǎng)絡,把郵件服務器、流媒體服務器等放入該區(qū),并將該區(qū)中的服務器映射到外網(wǎng)地址上以供Internet網(wǎng)絡用戶訪問；2〕禁止Internet網(wǎng)絡用戶訪問企業(yè)內(nèi)部網(wǎng)；3〕允許企業(yè)內(nèi)部網(wǎng)絡用戶通過地址轉(zhuǎn)換方式<NAT>訪問Internet網(wǎng)絡；4〕允許撥號用戶通過撥號訪問服務器訪問企業(yè)內(nèi)部網(wǎng).根據(jù)上述解決方案,可為該網(wǎng)絡制定如圖4.11所示的安全配置方案.R郵件服務器<>DNS<>鏡像服務器<>流媒體服務器<>InternetPSTN~DMZ圖4.11網(wǎng)絡安全配置方案舉例撥號訪問服務器3．某校信息安全實驗室解決方案圖4.12是某校為解決網(wǎng)絡安全技術(shù)實踐而建立的基于防火墻體系的實驗室解決方案.該方案通過四臺堡壘主機〔每臺主機帶四塊網(wǎng)卡〕將3個內(nèi)網(wǎng)和1個外網(wǎng)互連成一個安全網(wǎng)絡.內(nèi)網(wǎng)中的任何一臺主機都可以訪問外網(wǎng)資源,任意兩臺主機都可以相互訪問.內(nèi)網(wǎng)到外網(wǎng)的訪問,以及兩個內(nèi)網(wǎng)間的互訪等都是通過代理技術(shù)實現(xiàn)的.外網(wǎng)2134圖4.12某校信息安全實驗室解決方案從圖4.12可以看出,數(shù)據(jù)包從一個網(wǎng)絡到另一個網(wǎng)絡〔包括到外網(wǎng)〕必須經(jīng)過兩臺堡壘主機的嚴密監(jiān)控才可能實現(xiàn),這樣就可以通過靈活配置兩臺堡壘主機的功能來實現(xiàn)較復雜的網(wǎng)絡安全技術(shù),以滿足實踐教學的需要.圖4.12所示的解決方案與圖4.9所示的解決方案十分類似,區(qū)別在于一個是面向企業(yè)應用,另一個是面向教學實踐,另外,圖4.12中的4個堡壘主機間是直連的.4．網(wǎng)站托管主機網(wǎng)絡安全方案一個企業(yè)為了擁有自己的Internet服務平臺,如屬于自己的Web、Email和FTP服務器等,除了自己投資創(chuàng)建外,還可以選擇服務器托管方案.相比之下,服務器托管方案既方便快捷、又經(jīng)濟實用.目前,服務器托管方案主要有兩種形式,"整機托管"和"虛擬主機".當企業(yè)選擇托管方式建立網(wǎng)站后,網(wǎng)站安全問題是不容忽視的,關于網(wǎng)站托管主機的安全問題涉及內(nèi)容較多,例如管理問題、法律問題、經(jīng)濟問題、技術(shù)問題等.在圖4.13所示的方案中,由于托管主機都具有合法IP地址,所以無須進行地址轉(zhuǎn)換,故直接將防火墻配置為透明模式,這種模式可以有效防止基于IP的攻擊.防火墻的非信任端與路由器相連,而信任端則與交換機相連,并且將所托管的主機也連接到該交換機上.配置防火墻時可重點考慮以下內(nèi)容：1〕嚴格配置安全策略2〕設置完整的日志記錄并實時監(jiān)控網(wǎng)絡流量及時發(fā)現(xiàn)和屏蔽惡意訪問.3〕采取多重過濾措施,保證服務器的安全.R網(wǎng)站托管主機Internet圖4.13網(wǎng)站托管主機網(wǎng)絡安全方案WebDNSEmail防火墻遠程控制管理4.2.4防火墻的缺陷防火墻作為網(wǎng)絡邊界上的主要安全設備,并不是堅不可摧的,據(jù)有關資料報道,防火墻被攻破的概率已接近