Internet防火墻技術及安全策略

摘要：

本文討論了當前常見的各種防火墻技術的特點，及其適用范圍；然后討論了防火墻設置安全策略，及這些策略的優缺點。

索引：

Internet防火墻
Internet防火墻技術
Internet防火墻的好處
Internet防火墻的限制
Internet黑客的工具箱
信息收集
安全弱點的探測系統
訪問受保護系統
基本的防火墻設計
防火墻的姿態
機構的安全策略
防火墻系統的組成
構件：包過濾路由器
與服務相關的過濾
與服務無過的過濾
包過濾路由器的優點
包過濾路由器的缺點
構件：應用層網關
堡壘主機（Bastion host）
實例：Telnet Proxy
應用層網關的優點
應用層網關的缺點
構件：電路層網關
防火墻實例1：包過濾路由器
防火墻實例2：屏蔽主機防火墻
防火墻實例3：DMZ或屏蔽子網防火墻
總結
參考文獻

--------------------------------------------------------------------------------

---- 當一個機構將其內部網絡與Internet連接之后，私有網的內部數據和網絡設施暴露給Internet上的黑客時，網絡管理員越來越關心網絡的安全。為了提供所需級別的保護，機構需要有安全策略來防止非法用戶訪問內部網絡上的資源和非法向外傳遞內部信息。即使一個機構沒有連接到Internet上，它也需要建立內部的安全策略來管理用戶對部分網絡的訪問并對敏感或秘密數據提供保護。

Internet防火墻
---- Internet防火墻是這樣的系統（或一組系統），它能增強機構內部網絡的安全性。防火墻系統決定了那些內部服務可以被外界訪問；外界的那些人可以訪問內部的那些可以訪問的服務，以及那些外部服務可以被內部人員訪問。要使一個防火墻有效，所有來自和去往Internet的信息都必須經過防火墻，接受防火墻的檢查（圖1）。防火墻必須只允許授權的數據通過，并且防火墻本身也必須能夠免于滲透。但不幸的是，防火墻系統一旦被攻擊者突破或迂回，就不能提供任何的保護了。
　
圖1安全策略建立的防御范圍 

---- 應給予特別注意的是，Internet防火墻不僅僅是路由器、堡壘主機、或任何提供網絡安全的設備的組合，它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構的信息資源。這種安全策略應包括在出版的安全指南中，告訴用戶們他們應有的責任，公司規定的網絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措施，以及雇員培訓等。所有有可能受到網絡攻擊的地方都必須以同樣安全級別加以保護。僅設立防火墻系統，而沒有全面的安全策略，那么防火墻就形同虛設。

Internet防火墻技術
防火墻有兩種：一種是硬件的，一種軟件的。

代理技術
可以采用軟件方式保護內部網絡不受外來用戶的攻擊。在Web主機上或單獨一臺計算機上運行一類軟件，監測、偵聽來自網絡上的信息，對訪問內部網的數據起到過濾作用，從而保護內部網免受破壞。這類軟件中，最常用的是代理服務器軟件。

在代理方式下，私有網絡的數據包從來不能直接進入互聯網，而是需要經過代理的處理。同樣，外部網的數據也不能直接進入私有網，而是要經過代理處理以后才能到達私有網，因此在代理上就可以進行訪問控制，地址轉換等功能。下圖是是用代理服務器的工作示意圖：

 

代理服務器的配置有多種方式，最常用的方式是在一臺計算機中使用兩塊網絡接口卡（NIC），一個與內部網相連，一個與INTERNET相連，兩個接口卡具有不同的IP地址。其中與INTERNET相連的接口卡IP地址必須是有效的IP地址，在INTERNET上唯一。與內部網相連的接口卡可以分配一個自由的IP地址，如10.x.y.z，192.168.x.y，如圖： 

 

之后，根據代理服務器的內部地址（如192.168.0.1）給局域網的每臺計算機分配一個唯一的IP地址，如192.168.0.2，192.168.0.3，……,并做相應的設置。這樣，當用戶訪問Internet時，其請求就被送到192.168.0.1網卡上，代理服務器將以有效的IP地址210.44.64.101向INTERNET請求服務，收到回答后再傳給192.168.0.1，然后將結果傳送到用戶工作站。

目前，代理服務器軟件有很多，如Netscape Suit Proxy，MS Proxy，Wingate，squid等。這些代理服務器不僅能起到防火墻的作用，而且還可以加速局域網用戶對INTERNET的訪問，因為代理服務器有一個大的緩沖器，將每次瀏覽的網頁都保存起來，在下一次訪問該頁時就直接從緩沖器里調出

綜上所述代理服務器(Proxy Server)主要功能有：

　　1.設置用戶驗證和記帳功能，可按用戶進行記帳，沒有登記的用戶無權通過代理服務器訪問Internet網。并對用戶的訪問時間、訪問地點、信息流量進行統計。

　　2.對用戶進行分級管理，設置不同用戶的訪問權限，對外界或內部的Internet地址進行過濾，設置不同的訪問權限。

　　3.增加緩沖器(Cache)，提高訪問速度，對經常訪問的地址創建緩沖區，大大提高熱門站點的訪問效率。通常代理服務器都設置一個較大的硬盤緩沖區(可能高達幾個GB或更大)，當有外界的信息通過時，同時也將其保存到緩沖區中，當其他用戶再訪問相同的信息時，則直接由緩沖區中取出信息，傳給用戶，以提高訪問速度。

　　4.連接Internet與Intranet充當FireWall(防火墻)：因為所有內部網的用戶通過代理服務器訪問外界時，只映射為一個IP地址，所以外界不能直接訪問到內部網；同時可以設置IP地址過濾，限制內部網對外部的訪問權限。

　　5.節省IP開銷：所有的數據經過代理時都被代理所改寫(NAT)，將源地址改寫為自己的ip地址，所以所有的所有用戶只占用一個真實IP，一方面可以節省ip開銷，降低網絡的維護成本，另一個方面可以隱藏內部網的拓撲結構，增強安全性。 

從代理技術上講，一般具有以下兩種代理：傳統代理和透明代理。

傳統代理

傳統代理工作方式下，內部網絡和外部網絡之間的唯一連接是代理服務器，客戶端要在瀏覽器中設置代理服務器的地址和端口號，客戶瀏覽器在發出連接請求以前，會自動察看瀏覽器設置的代理地址及代理端口，若設置了代理端口和代理地址，則將連接請求發送給指定的代理服務器的指定端口。在這種方式的一個明顯特點是客戶機在連接以前的dns查詢也由代理服務器去做。解析DNS的過程是根據代理服務器設置的dns查詢順序進行的。


若代理服務器使用的是linux環境下的代理服務器，并且查詢順序設置為先查找/etc/hosts，然后找DNS數據庫。在這種情況下的管理員就可以根據需要設定客戶訪問某個外部地址時，其實是訪問本地某個服務器。要實現該功能，管理員只需要在/etc/hosts中設定要代換的外部地址的指定匹配。例如管理員在/etc/hosts中設置了192.168.0.3 www.sohu.com則客戶在訪問sohu時，其實訪問的是本地的192.168.0.3的機器。

例如: 從私有網絡中訪問因特網上的 web.

　　私有網絡地址為192.168.1.*, 其中 客戶機 是 192.168.1.100, 防火墻機器網卡是 192.168.1.1.
　　web 代理 (eg. "squid") 被安裝在防火墻機器上并配置端口為 8080.
　　私有網絡上運行的 Netscape 設置防火墻機器 8080 作為代理.
　　私有網絡的 DNS 無須設置.
　　防火墻機器上的 DNS 必須設置.
　　私有網絡上的機器不設置默認路由(別名網關).
　　客戶機 機器上的 Netscape 訪問 http://slashdot.org.

　　Netscape 使用 客戶機 機器的端口 1050 連接防火墻機器的端口 8080. 請求 "http://slashdot.org". 頁面.
　　代理去查找名字 "slashdot.org", 并得到地址 207.218.152.131. 它與那個地址建立一個連接(使用防火墻機器外部接口的端口 1025 ), 并向 web 服務器 (port 80) 索取頁面.
　　當它從 web 服務器得到頁面后, 它把數據復制到與 Netscape 建立的連接.
　　Netscape 提交此頁面.
　　從 slashdot.org@# 來看, 連接是從 1.2.3.4 (防火墻機器的撥號接口)的端口 1025 到 207.218.152.131(slashdot.org) 的端口 80. 從 客戶機 的角度來看, 連接是從 192.168.1.100 (客戶機)的端口1050到192.168.1.1(防火墻機器的乙太網卡)的端口8080.


透明代理技術

透明代理技術中的透明是指客戶端感覺不到代理的存在，不需要在瀏覽器中設置任何代理，客戶只需要設置缺省網關，客戶的訪問外部網絡的數據包被發送到缺省網關，而這時缺省網關運行有一個代理服務器，數據實際上被被重定向到代理服務器的代理端口（如8080），即由本地代理服務器向外請求所需 數據然后拷貝給客戶端。理論上透明代理可以對任何協議通用, 目前能實現的主要有:DNS, sendmail relay, 和 HTTP. 

但是在這種情況下客戶端必須正確設置DNS服務器。因為現在瀏覽器不設置任何代理。則DNS查詢必須由browser來解析，也就是要由客戶端必須在TCP/IP中設置的正確的DNS服務器，其完成dns解析。

例如: 從私有網絡上訪問因特網上的 web 站點.
私有網絡地址為192.168.1.*, 其中 客戶機 是 192.168.1.100, 防火墻機器網卡是 192.168.1.1.
　　透明web 代理 (我相信有 "squid"的補丁程序工作于此種方式, 或試試 "transproxy") 被安裝在防火墻機器上并配置端口為 8080.
　　核心使用 ipchains 把與防火墻端口80的連接重定向到代理服務.
私有網上的 Netscape 被配置為直接連接方式.
　　私有網絡的 DNS 需要設置(你需要在防火墻機器上運行DNS代理服務).
　　防火墻機器上的 DNS 必須設置.
　　私有網絡上機器的默認路由(別名網關)指向防火墻機器.
　　客戶機機器上的 Netscape 訪問 http://slashdot.org.

　　1.Netscape通過查找"slashdot.org", 得到它的地址為207.218.152. 131. 然后它使用端口1050與此地址建立一個連接, 并向 web 站點索取頁面.
　　當包由 客戶機 (port 1050) 通過防火墻送往 slashdot.org (port 80) 時, 它們重定向到代理服務重定的8080端口. 透明代理使用端口1025與 207.218.152.131的端口80(這是原始包發往的地址)建立一個連接.
　　當代理服務收到從 web 站點傳來的頁面后, 通過已經建立的連接把它復制給 Netscape.
　　Netscape 顯示此頁面.
　　從 slashdot.org 的角度來看,連接是由 1.2.3.4 (防火墻的撥號連接 IP 地址)的端口 1025 到 207.218.152.131 的端口 80. 從 客戶機 的角度來看，連接是從 192.168.1.100 (客戶機) 端口 1050 連接到 207.218.152.131 (slashdot.org)的端口 80, 但是, 它實際是在與透明代理服務器對話.


軟件ip偽裝技術
此方案中, 包不經特殊處理不會直接在私有網絡和到因特網直接傳輸。私有網絡中的IP地址應遵循RFC1597中為私有網絡分配的.(象 10.*.*.*, 172.16.*.* 或192.168.*.*)。這里核心的偽裝服務重寫經過防火墻的包, 所以包看起來就象從防火墻自身發出的. 然后偽裝服務器重寫返回的包使他們看起來是發往原來的申請者.
　　需要因特網訪問的所有服務必須安裝在作為防火墻的機器上.(看下面的 有限的因特網服務).
　　例如: 從私有網絡上訪問因特網上的 web 站點.
　　私有網絡地址為192.168.1.*, 其中一臺客戶的地址是192.168.1.100, 防火墻機器網卡是 192.168.1.1.
　　防火墻設置為實現對從私有網絡中來的任何發往因特網上某主機80端口的包進行偽裝。
　　私有網上的客戶機被配置為直接連接方式。私有網絡機器的 DNS 必須正確設置。
　　私有網絡上機器的默認路由(網關)設定為指向防火墻機器.
　　客戶機機器上的 Netscape 訪問 http://slashdot.org.


1.Netscape通過查找"slashdot.org", 得到它的地址為 207.218.152.131. 然后它使用端口1050與此地址建立一個連接, 并向 web 站點索取頁面.
　　當包由 客戶機 (port 1050) 通過防火墻送往 slashdot.org (port 80) 時, 它們被重寫為由PPP地址發出, 端口是 65000. 防火墻有合法的IP地址, 所以從 www.slashdot.com 返回的包可以找到正確的返回路徑.
　　當包從 slashdot.org (端口 80)來到 firewall.littlecorp.com (端口 65000)后, 它們被重寫為發向 客戶機, 端口 1050. 這是偽裝的真正奧妙: 它可以記住它重寫后發出去的包, 當此包的回復包返回來時改寫它們, 再發給私有網絡中的訪問者.
　　Netscape 顯示此頁面.
　　從 slashdot.org 的角度來看,連接是由 1.2.3.4 (防火墻的撥號連接 IP 地址)的端口 65000 到 207.218.152.131 的端口 80. 從 客戶機 的角度來看，連接是從 192.168.1.100 (客戶機) 端口 1050 連接到 207.218.152.131 (slashdot.org)的端口 80.

端口轉發
端口轉發技術指園區網的各種信息服務器，如：www，dns，email等都被放置在內部網絡中，且其地址為內部地址，如：192.168.0.1。而在DNS中這些服務器的地址指向防火墻。而當外部需要訪問這些服務器時，防火墻進行了特定的設置，其會轉發這個數據包包到內部特定的，而當內部服務器生成回復包朝外發出經過防火墻時，包被重寫。

具體過程如下： 在防火墻上設置端口轉發規則，指定所有到防火墻外部地址194.160.1.1的TCP連接， 且目的端口為80的所有連接，重定向到內部機器192.168.11.2的端口80。假定任意一外部 連接進來的主機IP為 163.158.1.2。 則源和目的地址及端口號分別為 Source: 163.158.1.2/7890 Dest: 194.160.1.1/80 被轉發到內部主機，重寫目的地址部分 Source: 163.158.1.2/7890 Dest: 192.168.11.2/80 由內部主機回復后的包為： Source: 192.168.11.2/80 Dest: 163.158.1.2/7890 再經過防火墻時源地址被重寫 Source 194.160.1.1/80 Dest: 163.158.1.2/7890。

反向代理技術
反向代理和端口轉發類似，區別在于反向代理工作在應用層，而端口轉發工作在ip層。

各種代理方式的作用：

1. IP偽裝,Squid傳統代理和透明代理適合讓局域網上無真實IP地址的用戶訪問Internet. 2. Apache反向代理，plug-gw通用代理,端口轉發適合讓外部用戶訪問局域網內無真實IP 地址的服務器。

Internet防火墻的好處
---- Internet防火墻負責管理Internet和機構內部網絡之間的訪問（圖2）。在沒有防火墻時，內部網絡上的每個節點都暴露給Internet上的其它主機，極易受到攻擊。這就意味著內部網絡的安全性要由每一個主機的堅固程度來決定，并且安全性等同于其中最弱的系統。

圖2 Internet防火墻的好處 

集中的網絡安全

可作為中心“扼制點”

產生安全報警

監視并記錄Internet的使用

NAT的理想位置

WWW和FTP服務器的理想位置
---- Internet防火墻允許網絡管理員定義一個中心“扼制點”來防止非法用戶，如黑客、網絡破壞者等進入內部網絡。禁止存在安全脆弱性的服務進出網絡，并抗擊來自各種路線的攻擊。Internet防火墻能夠簡化安全管理，網絡安全性是在防火墻系統上得到加固，而不是分布在內部網絡的所有主機上。
---- 在防火墻上可以很方便的監視網絡的安全性，并產生報警。應該注意的是：對一個內部網絡已經連接到Internet上的機構來說，重要的問題并不是網絡是否會受到攻擊，而是何時會受到攻擊。網絡管理員必須審計并記錄所有通過防火墻的重要信息。如果網絡管理員不能及時響應報警并審查常規記錄，防火墻就形同虛設。在這種情況下，網絡管理員永遠不會知道防火墻是否受到攻擊。

---- 過去的幾年里，Internet經歷了地址空間的危機，使得IP地址越來越少。這意味著想進入Internet的機構可能申請不到足夠的IP地址來滿足其內部網絡上用戶的需要。Internet防火墻可以作為部署NAT(Network Address Translator，網絡地址變換）的邏輯地址。因此防火墻可以用來緩解地址空間短缺的問題，并消除機構在變換ISP時帶來的重新編址的麻煩。

---- Internet防火墻是審計和記錄Internet使用量的一個最佳地方。網絡管理員可以在此向管理部門提供Internet連接的費用情況，查出潛在的帶寬瓶頸的位置，并能夠根據機構的核算模式提供部門級的記費。

---- Internet防火墻也可以成為向客戶發布信息的地點。Internet防火墻作為部署WWW服務器和FTP服務器的地點非常理想。還可以對防火墻進行配置，允許Internet訪問上述服務，而禁止外部對受保護的內部網絡上其它系統的訪問。

---- 也許會有人說，部署防火墻會產生單一失效點。但應該強調的是，即使到Internet的連接失效，內部網絡仍舊可以工作，只是不能訪問Internet而已。如果存在多個訪問點，每個點都可能受到攻擊，網絡管理員必須在每個點設置防火墻并經常監視。

Internet防火墻的限制
---- Internet防火墻無法防范通過防火墻以外的其它途徑的攻擊。例如，在一個被保護的網絡上有一個沒有限制的撥出存在，內部網絡上的用戶就可以直接通過SLIP或PPP連接進入Internet。聰明的用戶可能會對需要附加認證的代理服務器感到厭煩，因而向ISP購買直接的SLIP或PPP連接，從而試圖繞過由精心構造的防火墻系統提供的安全系統。這就為從后門攻擊創造了極大的可能（圖3）。網絡上的用戶們必須了解這種類型的連接對于一個有全面的安全保護系統來說是絕對不允許的。
　
圖3 繞過防火墻系統的連接 

---- Internet防火墻也不能防止來自內部變節者和不經心的用戶們帶來的威脅。防火墻無法禁止變節者或公司內部存在的間諜將敏感數據拷貝到軟盤或PCMCIA卡上，并將其帶出公司。防火墻也不能防范這樣的攻擊：偽裝成超級用戶或詐稱新雇員，從而勸說沒有防范心理的用戶公開口令或授予其臨時的網絡訪問權限。所以必須對雇員們進行教育，讓它們了解網絡攻擊的各種類型，并懂得保護自己的用戶口令和周期性變換口令的必要性。

---- Internet防火墻也不能防止傳送已感染病毒得軟件或文件。這是因為病毒的類型太多，操作系統也有多種，編碼與壓縮二進制文件的方法也各不相同。所以不能期望Internet防火墻去對每一個文件進行掃描，查出潛在的病毒。對病毒特別關心的機構應在每個桌面部署防病毒軟件，防止病毒從軟盤或其它來源進入網絡系統。

---- 最后一點是，防火墻無法防范數據驅動型的攻擊。數據驅動型的攻擊從表面上看是無害的數據被郵寄或拷貝到Internet主機上。但一旦執行就開成攻擊。例如，一個數據型攻擊可能導致主機修改與安全相關的文件，使得入侵者很容易獲得對系統的訪問權。后面我們將會看到，在堡壘主機上部署代理服務器是禁止從外部直接產生網絡連接的最佳方式，并能減少數據驅動型攻擊的威脅。

黑客的工具箱
---- 要描述一個典型的黑客的攻擊是很，因為入侵者們的技術水平和經驗差異很大，各自的動機也不盡相同。某些黑客只是為了挑戰，有一些是為了給別人找麻煩，還有一些是以圖利為目的而獲取機密數據。
信息收集
---- 一般來講，突破的第一步是各種形式的信息收集。信息懼收集的目的是構造目標機構網絡的數據庫并收集駐留在網絡上的各個主機的有關信息。黑客可以使用下面幾種工具來收集這些信息：
SNMP協議，用來查閱非安全路由器的路由表，從而了解目標機構網絡拓撲的內部細節。

TraceRoute程序能夠得出到達目標主機所要經過的網絡數和路由器數。

Whois協議是一種信息服務，能夠提供有關所有DNS域和負責各個域的系統管理員數據。不過這些數據常常是過時的。

DNS服務器可以訪問主機的IP地址表和它們對應的主機名。

Finger協議能夠提供特定主機上用戶們的詳細信息（注冊名、電話號碼、最后一次注冊的時間等）

Ping實用程序可以用來確定一個指定的主機的位置并確定其是否可達。把這個簡單的工具用在掃描程序中，可以Ping網絡上每個可能的主機地址，從而可以構造出實際駐留在網絡上的主機的清單。

安全弱點的探測系統
---- 收集到目標機構的網絡信息之后，黑客會探測每個主機以尋求一個安全上的弱點。有幾種工具可能被黑客用來自動掃描駐留在網絡上的主機：
由于已經知道的服務脆弱性較少，水平高的黑客能夠寫出短小的程序來試圖連接到目標主機上特定的服務端口上。而程序的輸出則是支持可攻擊的服務的主機清單。

有幾種公開的工具，如ISS(Internet Security Scanner, Internet安全掃描程序），SATAN(Security Analysis Tool for Auditing Networks，審計網絡用的安全分析工具），可以對整個域或子網進行掃描并尋找安全上的漏洞。這些程序能夠針對不同系統的脆弱性確定其弱點。入侵者利用掃描收集來的信息去獲得對目標系統的非法訪問權。
---- 聰明的網絡管理員能夠在其網絡內部使用這些工具來發現潛藏的安全弱點并確定那個主機需要用新的軟件補?。≒atches）進行升級。

訪問受保護系統
---- 入侵者使用主機探測的結果對目標系統進行攻擊。獲得對受保護系統的訪問權后，黑客可以有多種選擇：
入侵者可能試圖毀掉攻擊的痕跡，并在受損害的系統上建立一個新的安全漏洞或后門，以便在原始攻擊被發現后可以繼續訪問這個系統。

入侵者可能會安全包探測器，其包括特洛伊馬程序，用來窺探所在系統的活動，收集Telnet和FTP的帳戶名和口令。黑客用這些信息可以將攻擊擴展到其它機器。

入侵者可能會發現對受損系統有信任的主機。這樣黑客就可以利用某個主機的這種弱點，并將攻擊在整個機構網絡上艙上展開。

如果黑客能夠在受損系統上獲得特權訪問權限，他，或她就可以讀取郵件，搜索私人文件，盜取私人文件，毀掉或毀壞重要數據。

基本的防火墻設計

---- 在設計Internet防火墻時，網絡管理員必須做出幾個決定：

防火墻的姿態（Stance）

機構的整體安全政策

防火墻的經濟費用

防火墻系統的組件或構件
防火墻的姿態
---- 防火墻的姿態從根本上闡述了一個機構對安全的看法。Internet防火墻可能會扮演兩種截然相反的姿態：
拒絕沒有特別允許的任何事情。這種姿態假定防火墻應該阻塞所有的信息，而每一種所期望的服務或應用都是實現在case-by-case的基礎上。這是一個受推薦的方案。其建立的是一個非常安全的環境，因為只有審慎選擇的服務才被支持。當然這種方案也有缺點，就是不易使用，因為限制了提供給用戶們的選擇范圍。
　

允許沒有特別拒絕的任何事情。這種姿態假定防火墻應該轉發所有的信息，任何可能存在危害的服務都應在case-by-case的基礎上關掉。這種方案建立的是一個非常靈活的環境，能提供給用戶更多的服務。缺點是，由于將易使用這個特點放在了安全性的前面，網絡管理員處于不斷的響應當中，因此，隨著網絡規模的增大，很難保證網絡的安全。


機構的安全策略

---- 如前所述，Internet防火墻并不是獨立的－－它是機構總體安全策略的一部分。機構總體安全策略定義了安全防御的方方面面。為確保成功，機構必須知道其所有保護的是什么。安全策略必須建立在精心進行的安全分析、風險評估以及商業需求分析基礎之上。如果機構沒有詳盡的安全策略，無論如何精心構建的防火墻都會被繞過去，從而整個內部網絡都暴露在攻擊面下。
---- 機構能夠負擔起什么樣的防火墻？簡單的包過濾防火墻的費用最低，因為機構至少需要一個路由器才能連入Internet，并且包過濾功能包括在標準的路由器配置中。商業的防火墻系統提供了附加的安全功能，而費用在＄4,000到＄30,000之間，具體價格要看系統的復雜性和要保護的系統的數量。如果一個機構有自己的專業人員，也可以構建自己的防火墻系統，但是仍舊有開發時間和部署防火墻系統等的費用問題。還有，防火墻系統需要管理，一般性的維護、軟件升級、安全上的補漏、事故處理等，這些都要產生費用。 

圖4 包過濾路由器


防火墻系統的組成
---- 在確定了防火墻的姿態、安全策略、以及預算問題之后，就能夠確定防火墻系統的特定組件。典型的防火墻有一個或多個構件組成：


包過濾路由器

應用層網關（或代理服務器）

電路層網關
---- 在后面我們將討論每一種構件，并描述其如何一起構成一個有效的防火墻系統。
構件：包過濾路由器
---- 包過濾路由器（圖4）對所接收的每個數據包做允許拒絕的決定。路由器審查每個數據報以便確定其是否與某一條包過濾規則匹配。過濾規則基于可以提供給IP轉發過程的包頭信息。包頭信息中包括IP源地址、IP目標端Ｆ地址、內裝協（ICP、UDP、ICMP、或IP Tunnel）、TCP/UDP目標端口、ICMP消息類型、包的進入接口和出接口如果有匹配并且規則允許該數據包，那么該數據包就會按照路由表中的信息被轉發。如果匹配并且規則拒絕該數據包，那么該數據包就會被丟棄。如果沒有匹配規則，用戶配置的缺省參數會決定是轉發還是丟棄數據包。

與服務相關的過濾
---- 包過濾路由器使得路由器能夠根據特定的服務允許或拒絕流動的數據，因為多數的服務收聽者都在已知的TCP/UDP端口號上。例如，Telnet服務器在TCP的23號端口上監聽遠地連接，而SMTP服務器在TCP的25號端口上監聽人連接。為了阻塞所有進入的Telnet連接，路由器只需簡單的丟棄所有TCP端口號等于23的數據包。為了將進來的Telnet連接限制到內部的數臺機器上，路由器必須拒絕所有TCP端口號等于23并且目標IP地址不等于允許主機的IP地址的數據包。
---- 一些典型的過濾規則包括：

允許進入的Telne會話與指定的內部主機連接

允許進入的FTP會話與指定的內部主機連接

允許所有外出的Telne會話

允許所有外出的FTP會話

拒絕所有來自特定的外部主機的數據包

與服務無關的過濾
---- 有幾種類型的攻擊很難使用基本的包頭信息來識別，因為這幾種攻擊是與服務無關的?？梢詫β酚善髋渲靡员惴乐惯@幾種類型的攻擊。但是它們很難指定，因為過濾規則需要附加的信息，并且這些信息只能通過審查路由表和特定的IP選項、檢查特定段的內容等等才能學習到。下面是這幾種攻擊類型的例子：
---- 源IP地址欺騙式攻擊（Sowrce IP Address Spoofing Attacks）。這種類型的攻擊的特點是入侵者從外部傳輸一個假裝是來自內部主機的數據包，即數據包中所包含的IP地址為內部網絡上的IP地址。入侵者希望借助于一個假的源IP地址就能滲透到一個只使用了源地址安全功能的系統中。在這樣的系統中，來自內部的信任主機的數據包被接受，而來自其它主機的數據包全部被丟棄。對于源IP地址欺騙式攻擊，可以利用丟棄所有來自路由器外部端口的使用內部源地址的數據包的方法來挫敗。

---- 源路由攻擊（Source Rowing Attacks）。這種類型的攻擊的特點是源站點指定了數據包在Internet中所走的路線。這種類型的攻擊是為了旁路安全措施并導致數據包循著一個對方不可預料的路徑到達目的地。只需簡單的丟棄所有包含源路由選項的數據包即可防范這種類型的攻擊。

---- 極小數據段式攻擊（Tiny Fragment Attacks）。這種類型的攻擊的特點是入侵者使用了IP分段的特性，創建極小的分段并強行將TCP頭信息分成多個數據包段。這種攻擊是為了繞過用戶定義的過濾規則。黑客寄希望于過濾器路由器只檢查第一個分段而允許其余的分段通過。對于這種類型的攻擊，只要丟棄協議類型為TCP，IP FragmentOffset等于1的數據包就可安然無恙。

包過濾路由器的優點
---- 已部署的防火墻系統多數只使用了包過濾器路由器。除了花費時間去規劃過濾器和配置路由器之外，實現包過濾幾乎不再需要費用（或極少的費用），因為這些特點都包含在標準的路由器軟件中。由于Internet訪問一般都是在WAN接口上提供，因此在流量適中并定義較少過濾器時對路由器的性能幾乎沒有影響。另外，包過濾路由器對用戶和應用來講是透明的，所以不必對用戶進行特殊的培訓和在每臺主機上安裝特定的軟件。

包過濾路由器的缺點
---- 定義數據包過濾器會比較復雜，因為網絡管理員需要對各種Internet服務、包頭格式、以及每個域的意義有非常深入的理解。如果必須支持非常復雜的過濾，過濾規則集合會非常的大和復雜，因而難于管理和理解。另外，在路由器上進行規則配置之后，幾乎沒有什么工具可以用來難過濾規則的正確性，因此會成為一個脆弱點。
---- 任何直接經過路由器的數據包都有被用做數據驅動式攻擊的潛在危險。我們已經知道數據驅動式攻擊從表面上來看是由路由器轉發到內部主機上沒有害處的數據。該數據包括了一些隱藏的指令，能夠讓主機修改訪問控制和與安全有關的文件，使得入侵者能夠獲得對系統的訪問權。

---- 一般來說，隨著過濾器數目的增加，路由器的吞吐量會下降?？梢詫β酚善鬟M行這樣的優化抽取每個數據包的目的IP地址，進行簡單的路由表查詢，然后將數據包轉發到正確的接口上去傳輸。如果打開過濾功能，路由器不僅必須對每個數據包作出轉發決定，還必須將所有的過濾器規則施用給每個數據包。這樣就消耗了CPU時間并影響系統的性能。

---- IP包過濾器可能無法對網絡上流動的信息提供全面的控制。包過濾路由器能夠允許或拒絕特定的服務，但是不能理解特定服務的上下文環境/數據。例如，網絡管理員可能需要在應用層過濾信息以便將訪問限制在可用的FTP或Telnet命令的子集之內，或者阻塞郵件的進入及特定話題的新聞進入。這種控制最好在高層由代理服務和應用層網關來完成。

構件：應用層網關
---- 應用層網關使得網絡管理員能夠實現比包過濾路由器更嚴格的安全策略。應用層網關不用依賴包過濾工具來管理Internet服務在防火墻系統中的進出，而是采用為每種所需服務而安裝在網關上特殊代碼（代理服務）的方式來管理Internet服務。如果網絡管理員沒有為某種應用安裝代理編碼，那么該項服務就不支持并不能通過防火墻系統來轉發。同時，代理編碼可以配置成只支持網絡管理員認為必須的部分功能。
---- 這樣增強的安全帶來了附加的費用：購買網關硬件平臺、代理服務應用、配置網關所需的時間和知識、提供給用戶的服務水平的下降、由于缺少透明性而導致缺少友好性的系統。同以往一樣，仍要求網絡管理員在機構安全需要和系統的易于使用性方面作出平衡。允許用戶訪問代理服務是很重要的，但是用戶是絕對不允許注冊到應用層網關中的。假如允許用戶注冊到防火墻系統中，防火墻系統的安全就會受到威脅，因為入侵者可能會在暗地里進行某些損害防火墻有效性運動作。例如，入侵者獲取Root權限，安裝特洛伊馬來截取口令，并修改防火墻的安全配置文件。

堡壘主機（Bastion host）
---- 與包過濾路由器（其允許數據包在內部系統和外部系統之間直接流入和流出）不同，應用層網關允許信息在系統之間流動，但不允許直接交換數據包。允許在內部系統和外部系統之間直接交換數據包的主要危險是駐留在受保護網絡系統上的主機應用避免任何由所允許服務帶來的威脅。
---- 一個應用層網關常常被稱做“堡壘主機”（Bastion Host）。因為它是一個專門的系統，有特殊的裝備，并能抵御攻擊。有幾種特點是專門設計給堡壘主機來提供安全性的：

堡壘主機的硬件執行一個安全版本的操作系統。例如，如果堡壘主機是一個UNIX平臺，那么它執行UNIX操作系統的安全版本，其經過了特殊的設計，避免了操作系統的脆弱點，保證防火墻的完整性。
　

只有網絡管理員認為必需的服務才能安裝在堡壘主機上。原因是如果一個服務沒有安裝，它就不能受到攻擊。一般來說，在堡壘主機上安裝有限的代理服務，如Telnet，DNS，FTP，SMTP以及用戶認證等。
　

用戶在訪問代理服務之前堡壘主機可能要求附加認證。比如說，堡壘主機是一個安裝嚴格認證的理想位置。在這里，智能卡認證機制產生一個唯一的訪問代碼。另外每種代理可能在授予用戶訪問權之前進行其自己的授權。
　

對代理進行配置，使得其只支持標準應用的命令集合的子集。如果代理應用不支持標準的命令，那么很簡單，被認證的用戶沒有使用該命令的權限。
　

對代理進行配置，使得其只允許對特定主機的訪問。這表明，有限的命令/功能只能施用于內部網絡上有限數量的主機。
　

每個代理都通過登記所有的信息、每一次連接、以及每次連接的持續時間來維持一個詳細的審計信息。審計記錄是發現和終止入侵者攻擊的一個基本工具。
　

每個代理都是一個簡短的程序，專門為網絡安全目的而設計。因此可以對代理應用的源程序代碼進行檢查，以確定其是否有紕漏和安全上的漏洞。比如說，典型的UNIX郵件應用可能包括20,000行代碼，而郵件代理只有不到1,000行的程序。
　

在堡壘主機上每個代理都與所有其它代理無關。如果任何代理的工作產生問題，或在將來發現脆弱性，只需簡單的卸出，不會影響其它代理的工作。并且，如果一些用戶要求支持新的應用，網絡管理員可以輕而易舉的在堡壘主機上安裝所需應用。
　

代理除了讀取初始化配置文件之外，一般不進行磁盤操作。這使得入侵者很難在堡壘主機上安裝特洛伊馬程序或其它的危險文件。
　

每個代理在堡壘主機上都以非特權用戶的身份運行在其自己的并且是安全的目錄中。

實例：Telnet Proxy
---- 圖5說明了堡壘主機上的Telnet代理的操作。在這個例子中，外部的客戶要Telnet到內部由應用層網關保護的服務器。

圖5Telnet代理 



---- 這個Telnet代理永遠不會允許遠地用戶注冊到內部服務器或直接訪問內部服務器。外部的客戶Telnet到堡壘主機，其用一次性口令技術認證該用戶。在經過認證之后，外部的客戶獲得了Telnet代理用戶接口的訪問權。這個Telnet代理只允許部分Telnet命令可以使用，并決定了內部的那些主機可以提供給Telnet來訪問。外部客戶指定目標主機，然后Telnet代理建立一個其自己到內部服務器的連接，并替外部客戶轉發命令。外部客戶認為Telnet代理是一個真正的內部服務器，而內部服務器也把Telnet代理看作是外部客戶。

---- 圖6顯示的是在建立到內部服務器的連接時在外部客戶終端上的輸出。請注意，該客戶并沒有注冊到堡壘主機上，該用戶由堡壘主機認證，并在允許與Telnet代理通信之前受到挑戰。通過挑戰之后，代理服務器給出了可以使用的命令集合和可以提供約外部客戶的目標主機。


Outside-Host > telnet bastionhost
Username:John Smith
Challenge Number "237936"
Challenge Response:723456
Trying 200.43.67.17...
Connecting to bastionhost
Escape character is @#^]@#
bastionhost telnet proxy (version 1.4) ready:
bh-telnet>help
Valid commands are:

Connect hostname
help/?
quit/exit

bh-telnet>connect insidehost
SunOS UNIX (insidehost)

login:John Smith
Password:######
Last login:Wednesday Dec 13 11:17:15
Welcome
Inside-Host


圖6 Telnet“會話”在終端上的顯示
---- 認證可以基于用戶所知道的東西（如口令）或用戶物理上所擁有的東西（如智能卡）。這兩種技術都面臨被偷竊，但是使用兩種方法的組合可以增加用戶認證的正確性。在Telnet這個例子中，代理發出一個挑戰，而用戶借助于智能卡獲得對挑戰的回答。典型情況下，用戶可以通過輸入他的PIN來解鎖智能卡，而該卡根據共享的“秘密”加密密鑰和其內部時鐘，返回一個加密的數值給用戶用來回答挑戰。

應用層網關的優點
---- 部署應用層網關有許多優點。應用層網關能夠讓網絡管理員對服務進行全面的控制，因為代理應用限制了命令集并決定那些內部主機可以被該服務訪問。同時網絡管理員可以完全控制提供那些服務，因為沒有特定服務的代理就表示該服務不提供。應用層網關有能力支持可靠的用戶認證并提供詳細的注冊信息。另外，用于應用層的過濾規則相對于包過濾路由器來說更容易配置和測試。

應用層網關的缺點
---- 應用層網關的最大缺點是要求用戶改變自己的行為，或者在訪問代理服務的每個系統上安裝特殊的軟件。比如，透過應用層網關Telnet訪問要求用戶通過兩步而不是一步來建立連接。不過，特殊的端系統軟件可以讓用戶在Telnet命令中指定目標主機而不是應用層網關來使應用層網關透明。

構件：電路層網關
---- 電路層網關是一個特殊的功能，可以由應用層網關來完成。電路層網關只依賴于TCP連接，并不進行任何附加的包處理或過濾。
---- 圖7說明了通過進行的Telnet連接的操作。電路層網關簡單地中繼Telnet連接，并不做任何審查，過濾或Telnet協議管理。電路層網關就向電線一樣，只是在內部連接和外部連接之間來回拷貝字節。但是由于連接似乎是起源于防火墻，其隱藏了受保護網絡的有關信息。 

圖7電路層網關


---- 電路層網關常用于向外連接，這時網絡管理員對其內部用戶是信任的。它們的優點是堡壘主機可以被設置成混合網關，對于人連接支持應用層或代理服務，而對于外連接支持電路層功能。這樣使得防火墻系統對于要訪問Internet服務的內部用戶來說使用起來很方便，同時又能提供保護內部網絡免于外部攻擊的防火墻功能。

防火墻實例1：包過濾路由器
---- 最常見的防火墻是放在Internet和內部網絡之間的包過濾路由器（圖8）。包過濾路由器在網絡之間完成數據包轉發的普通路由功能，并利用包過濾規則來允許或拒絕數據包。一般情況下，是這樣來定義過濾規則的：內部網絡上的主機可以直接訪問Internet，Internet上的主機對內部網絡上的主機進行訪問是有限制的。這種類型的防火墻系統的外部姿態是對沒有特別允許的數據包都拒絕。 

圖8包過濾路由器防火墻


---- 盡管這種防火墻系統有價格低和易于使用的優點，但同時也有缺點，如配置不當的路由器可能受到攻擊，以及利用將攻擊包裹在允許服務和系統內進行攻擊等。由于允許在內部和外部系統之間直接交換數據包，那么攻擊面可能會擴展到所有主機和路由器所允許的全部服務上。這就意味著可以從Internet上直接訪問的主機要支持復雜的用戶認證，并且網絡管理員要不斷地檢查網絡以確定網絡是否受到攻擊。另外，如果有一個包過濾路由器被滲透，內部網絡上的所有系統都可能會受到損害。

防火墻實例2：屏蔽主機防火墻
---- 這第二個防火墻系統采用了包過濾路由器和堡壘主機組成（圖9）。這個防火墻系統提供的安全等級比上一個例子中的防火墻系統要高，因為它實現了網絡層安全（包過濾）和應用層安全（代理服務）。所以入侵者在破壞內部網絡的安全性之前，必須首先滲透兩種不同的安全系統。

 

圖9屏蔽主機防火墻（單宿堡壘主機） 

---- 對于這種防火墻系統，堡壘主機配置在內部網絡上，而包過濾路由器則放置在內部網絡和Internet之間。在路由器上進行規則配置，使得外部系統只能訪問堡壘主機，去往內部系統上其它主機的信息全部被阻塞。由于內部主機與堡壘主機處于同一個網絡，內部系統是否允許直接訪問Internet，或者是要求使用堡壘主機上的代理服務來訪問Internet由機構的安全策略來決定。對路由器的過濾規則進行配置，使得其只接受來自堡壘主機的內部數據包，就可以強制內部用戶使用代理服務。

---- 這種防火墻系統的優點之一是提供公開的信息服務的服務器，如Web，FTP等，可以放置在由包過濾路由器和堡壘主機共用的網段上。如果要求有特別高的安全特性，可以讓堡壘主機運行代理服務，使得內部和外部用戶在與信息服務器通信之前，必須先訪問堡壘主機。如果較低的安全等級已經足夠，則將路由器配置讓外部用戶直接去訪問公共的信息服務器。

---- 用雙宿堡壘主機甚至可以構造更加安全的防火墻系統（圖10）。雙宿堡壘主機有兩個網絡接口，但是主機在兩個端口之間直接轉發信息的功能（其能旁路代理服務）被關掉了。這種物理結構強行將讓所有去往內部網絡的信息經過堡壘主機，并且在外部用戶被授予直接訪問信息服務器的權利時，提供附加的安全性。

 

圖10屏蔽防火墻系統（雙宿堡壘主機）
---- 由于堡壘主機是唯一能從Internet上直接訪問的內部系統，所以有可能受到攻擊的主機就只有堡壘主機本身。但是，如果允許用戶注冊到堡壘主機，那么整個內部網絡上的主機都會受到攻擊的威脅。這是因為，對于入侵者來說，如果允許注冊，破壞堡壘主機相對比較容易。牢固可靠，避免被滲透和不允許用戶注冊對堡壘主機來說是至關重要的。

防火墻實例3：DMZ或屏蔽子網防火墻
---- 最后這個防火墻系統的實例采用了兩個包過濾路由器和一個堡壘主機（圖11）。這個防火墻系統建立的是最安全的防火墻系統，因為在定義了“非軍事區”（DMZ）網絡后，它支持網絡層和應用層安全功能。網絡管理員將堡壘主機，信息服務器，Modem組，以及其它公用服務器放在DMZ網絡中。DMZ網絡很小，處于Internet和內部網絡之間。在一般情況下對DMZ配置成使用Internet和內部網絡系統能夠訪問DMZ網絡上數目有限的系統，而通過DMZ網絡直接進行信息傳輸是嚴格禁止的。

圖11屏子網防火墻系統 

---- 對于進來的信息，外面的這個路由器用于防范通常的外部攻擊（如源地址欺騙和源路由攻擊），并管理Internet到DMZ網絡的訪問。它只允許外部系統訪問堡壘主機（還可能有信息服務器）。里面的這個路由器提供第二層防御，只接受源于堡壘主機的數據包，負責的是管理DMZ到內部網絡的訪問。

---- 對于去往Internet的數據包，里面的路由器管理內部網絡到DMZ網絡的訪問。它允許內部系統只訪問堡壘主機（還可能有信息服務器）。外面的路由器上的過濾規則要求使用代理服務（只接受來自堡壘主機的去往Internet的數據包）。

---- 部署屏蔽子網防火墻系統有如下幾個特別的好處：

入侵者必須突破3個不同的設備（夫法探測）才能侵襲內部網絡：外部路由器，堡壘主機，還有內部路由器。

由于外部路由器只能向Internet通告DMZ網絡的存在，Internet上的系統不需要有路由器與內部網絡相對。這樣網絡管理員就可以保證內部網絡是“不可見”的，并且只有在DMZ網絡上選定的系統才對Internet開放（通過路由表和DNS信息交換）。

由于內部路由器只向內部網絡通告DMZ網絡的存在，內部網絡上的系統不能直接通往Internet，這樣就保證了內部網絡上的用戶必須通過駐留在堡壘主機上的代理服務才能訪問Internet。

包過濾路由器直接將數據引向DMZ網絡上所指定的系統，消除了堡壘主機雙宿的必要。

內部路由器在作為內部網絡和Internet之間最后的防火墻系統時，能夠支持比雙宿堡壘主機更大的數據包吞吐量。

由于DMZ網絡是一個與內部網絡不同的網絡，NAT（網絡地址變換）可以安裝在堡壘主機上，從而避免在內部網絡上重新編址或重新劃分子網。

總結

---- 設計和部署Internet防火墻從來就沒有唯一的正確答案。各個機構的網絡安全決定可能會受到許多因素的影響，諸如安全策略、職員的技術背景、費用、以及估計可能受到的攻擊等等。本文著重于構建Internet防火墻的諸多問題，包括它們的優缺點，構件，以及防火墻系統拓撲結構的實例。由于與Internet連接的好處很可能大于其費用支持，因此網絡管理員應充分了解其危險，并采取適當的預防措施，保證網絡有其必要的安全性。

參考文獻
IPCHAINS-HOWTO
3COM技術白皮書
傳統代理，透明代理，plug-gw，Apache反向代理，IP偽裝,端口轉發@#

原文轉自：http://www.kjueaiud.com