3. 屏蔽子网体系结构
屏蔽子网体系结构添加
步地把内部网络与Internet
| 额外的安全层到被屏蔽主机体系
隔离开。
| 结构,即通过添加周边网络更进一
---|---|---
为什么这样做?由它们
用户尽最大的力气去保护它
器。如果在屏蔽主机体系结
么用户的堡垒主机是非常诱
段时(除了它们可能有的主
体系结构中的堡垒主机,那
| 的性质决定。堡垒主机是用户的
,它仍是最有可能被侵袭的机器
构中,用户的内部网络对来自用
人的攻击目标。在它与用户的其
机安全之外,这通常是非常少的
就毫无阻挡地进入了内部系统。
| 网络上最容易受侵袭的机器。任凭
,因为它本质上是能够被侵袭的机
户的堡垒主机的侵袭门户洞开,那
它内部机器之间没有其它的防御手
)。如果有人成功地侵入屏蔽主机
---|---|---
通过在周边网络上隔离
者一些访问的机会,但不是
| 堡垒主机,能减少在堡垒主机上
全部。
| 侵入的影响。可以说,它只给入侵
---|---|---
屏蔽子网体系结构的最简单的形式为
于周边网与内部的网络之间,另一个位于
如图4所示。为了侵入用这种类型的体系
。即使侵袭者设法侵入堡垒主机,他将仍
网络的单一的易受侵袭点。作为入侵者,
火墙的可能配置。
| ,两个屏蔽路由器,每一个都连接到周边网。一个位
周边网与外部网络之间(通常为Internet),其结构
结构构筑的内部网络,侵袭者必须要通过两个路由器
然必须通过内部路由器。在此情况下,没有损害内部
只是进行了一次访问。图4显示屏蔽子网体系结构防
---|---
图4 屏蔽子网体系结构
对图4的要点说明如下:
(1)周边网络
周边网络是另一个安全层,是在外部
如果侵袭者成功地侵入用户的防火墙的外
间提供一个附加的保护层。
| 网络与用户的被保护的内部网络之间的附加的网络。
层领域,周边网络在那个侵袭者与用户的内部系统之
---|---
对于周边网络的作用,
看这个网络上的每一台机器
太网是当今使用最广泛的局
。探听者可以通过查看那些
令。即使口令没被攻破,探
的电子邮件等等;探听者能
| 举例说明如下。在许多网络设置
的通信是可能的,对大多数以太
域网技术);对若干其它成熟的
在Telnet、FTP以及rlogin会话
听者仍然能偷看或访问他人的敏
完全监视何人在使用网络。
| 中,用给定网络上的任何机器来查
网为基础的网络确实如此(而且以
技术,诸如令牌环和FDDI也是如此
期间使用过的口令成功地探测出口
感文件的内容,或阅读他们感兴趣
---|---|---
对于周边网络,如果某人侵入周边网
所有周边网上的通信来自或者通往堡垒主
| 上的堡垒主机,他仅能探听到周边网上的通信。因为
机或Internet。
---|---
因为没有严格的内部通
能越过周边网。所以,如果
| 信(即在两台内部主机之间的通
堡垒主机被损害,内部的通信仍
| 信,这通常是敏感的或者专有的)
将是安全的。
---|---|---
一般来说,来往于堡垒
一部分就是确保这种通信不
| 主机,或者外部世界的通信,仍
致于机密到阅读它将损害你的站
| 然是可监视的。防火墙设计工作的
点的完整性。
---|---|---
(2)堡垒主机
在屏蔽的子网体系结构
接的主要入口。例如:
| 中,用户把堡垒主机连接到周边
| 网;这台主机便是接受来自外界连
---|---|---
1对于进来的电子邮件(SMTP)会话,传送电子邮件到站点;
2对于进来的FTP连接,转接到站点的匿名FTP服务器;
3对于进来的域名服务(DNS)站点查询等等。
另一方面,其出站服务(从内部的客
:
| 户端到在Internet上的服务器)按如下任一方法处理
---|---
1在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器。
2设置代理服务器在堡垒主机上运行
户端间接地访问外部的服务器。用户也可
同代理服务器交谈,反之亦然。但是禁止
方式)。
| (如果用户的防火墙使用代理软件)来允许内部的客
以设置数据包过滤来允许内部的客户端在堡垒主机上
内部的客户端与外部世界之间直接通信(即拨号入网
---|---
(3)内部路由器
内部路由器(在有关防
Internet和周边网的侵犯。
| 火墙著作中有时被称为阻塞路由
| 器)保护内部的网络使之免受
---|---|---
内部路由器为用户的防
有选择的出站服务。这些服
提供的服务。
| 火墙执行大部分的数据包过滤工
务是用户的站点能使用数据包过
| 作。它允许从内部网到Internet的
滤而不是代理服务安全支持和安全
---|---|---
内部路由器所允许的在堡垒主机(在
路由器所允许的在Internet和用户的内部
由是减少由此而导致的受到来自堡垒主机
| 周边网上)和用户的内部网之间服务可以不同于内部
网之间的服务。限制堡垒主机和内部网之间服务的理
侵袭的机器的数量。
---|---
(4)外部路由器
在理论上,外部路由器
网使之免受来自Internet的
,并且它们通常只执行非常
外部路由器上基本上应该是
在两个路由器上。
| (在有关防火墙著作中有时被称
侵犯。实际上,外部路由器倾向
少的数据包过滤。保护内部机器
一样的;如果在规则中有允许侵
| 为访问路由器)保护周边网和内部
于允许几乎任何东西从周边网出站
的数据包过滤规则在内部路由器和
袭者访问的错误,错误就可能出现
---|---|---
一般,外部路由器由外
问被限制。外部群组可能愿
护复杂或者使用频繁变化的
| 部群组提供(例如,用户的Inte
意放入一些通用型数据包过滤规
规则组。
| rnet供应商),同时用户对它的访
则来维护路由器,但是不愿意使维
---|---|---
外部路由器实际上需要做什么呢?外
何地方不容易做的任务)是:阻止从Inte
自称来自内部的网络,但实际上是来自In
| 部路由器能有效地执行的安全任务之一(通常别的任
rnet上伪造源地址进来的任何数据包。这样的数据包
ternet。
---|---
三、 防火墙体系结构的组合形式
建造防火墙时,一般很
组合主要取决于网管中心向
哪种技术主要取决于经费,
:
| 少采用单一的技术,通常是多种
用户提供什么样的服务,以及网
投资的大小或技术人员的技术、
| 解决不同问题的技术的组合。这种
管中心能接受什么等级风险。采用
时间等因素。一般有以下几种形式
---|---|---
1使用多堡垒主机;
2合并内部路由器与外部路由器;
3合并堡垒主机与外部路由器;
4合并堡垒主机与内部路由器;
5使用多台内部路由器;
6使用多台外部路由器;
7使用多个周边网络;
8使用双重宿主主机与屏蔽子网。
四、内部防火墙
在本文的大部分讨论中,都假定建立
有时为了某些原因,我们还需要对内部网
。因此,有时我们需要在同一结构的两个
间再建立防火墙(也被称为内部防火墙)
| 防火墙的目的在于保护内部网免受外部网的侵扰。但
的部分站点再加以保护以免受内部的其它站点的侵袭
部分之间,或者在同一内部网的两个不同组织结构之
。
---|---
因为网络中每一个用户
一样,所以我们可以将网络
开,人事档案部分与办公管
部防火墙。
| 所需要的服务和信息经常是不一
组织结构的一部分与其余站点隔
理分开等。许多用于建立外部防
| 样的,它们对安全保障的要求也不
离。例如,财务部分与其它部分分
火墙的工具与技术也可用于建立内
---|---|---
五、 防火墙的未来发展趋势
目前,防火墙技术已经
理服务技术和其它一些新技
序本身就支持代理服务方式
SOCKS这样的软件在运行编
| 引起了人们的注意,随着新技术
术的防火墙正向我们走来。越来
。比如,许多WWW客户服务软件
译时也支持类代理服务。
| 的发展,混合使用包过滤技术、代
越多的客户端和服务器端的应用程
包就具有代理能力。而许多象
---|---|---
包过滤系统向着更具柔性和多功能的
Firewall-1、 Karl Brige/Karl Broute
过滤规则可由路由器灵活、快速的来设置
创立一个临时的包过滤规则,允许其对应
批系统已开始进入市场。例如,Border网
Gauntlet 3.0产品从外部向内看起来像是
而由内部向外看像一个包过滤系统(内部
大量内部网的外向连接请求的计帐系统和
Karl Bridge/Karl Brouter产品拓展了包
展。这比传统的包过滤要精细得多。
| 方向发展。比如动态包过滤系统,在CheckPoint
r以及 Morning Star Secure Connect router中的包
。一个输出的UDP数据包可以引起对应的允许应答UDP
的UDP包进入内部网。 被称为“第三代”产品的第一
络技术公司的Border产品和Truest信息系统公司的
代理服务(任何外部服务请求都来自于同一主机),
用户认为他们直接与外部网交互)。这些产品通过对
包的批次修改对防火墙的内外提供相关的伪像。
过滤的范围,它对应用层上的包过滤和授权进行了扩
---|---
目前,人们正在设计新
建立与运行产生深刻的影响
更新式的网络技术如帧中继
从而防止信息流在传输中途
| 的IP协议(也被称为IP version
。同时,目前大多数网络上的机
,异步传输模式(ATM)可将数
被泄露。
| 6)。IP协议的变化将对防火墙的
器的信息流都有可能被偷看到,但
据包源地址直接发送给目的地址,
---|---|---