6.3防火墙的体系结构

数据包过滤也允许堡垒主机开放可以允许的连接 （什么是“可允许”将由用户的站点的安全策略决 定）到外部世界．在屏蔽的路由器中数据包过滤配 置可以按下列方式之一执行． （１）允许其他的内部主机为了某些服务与因特网 上的主机连接（即允许那些已经由数据包过滤的服 务． （２）不允许来自内部主机的所有连接（强迫那些主 机经由堡垒主机使用代理服务）．
用户可以针对不同的服务混合使用这些手段，某些 服务可以被允许直接由数据包过滤，而其他服务可 以被允许间接地经过代理．这完全取决于用户实行 的安全策略． 因为这种体系结构允许数据包从因特网向内部网络 的移动，所有它的涉及比没有外部数据包能达到内 部网络的双重宿主主机体系结构似乎是更冒风险。 实际上，双重宿主主机体系结构在防备数据包从外 部网络传过内部网络时容易产生失败，不大可能防 备黑客侵袭。
然而，比较其他体系结构，这种体系结构也 有一些特点，主要是如果侵袭着没有办法侵 入堡垒主机，而且在堡垒主机和其余的内部 主机之间没有任何保护网络安全的东西存在 的情况下，路由器统一出现一个单点失效。 如果路由器被损害，则整个网络对侵袭着是 开放的。
6.3.3 屏蔽子网体系结构
屏蔽子网体系结构，也叫被屏蔽子网体系结构，将 额外的安全层添加到被屏蔽主机体系结构，即通过 添加周边网络更进一步地把内部网络和外部网络(通 常是Internet)隔离开。
内网
防火墙
对外服务器 DMZ
防火墙
外 网
图 采用非军事化区域的防火墙体系结构
其他防火墙体系结构还包括筛选路由器、堡垒机、
多堡垒主机、使用多台内部路由器、使用双重宿主主
机与屏蔽子网等类型，如图所示。
中心 内部服务器区 中心 服务器 服务器 邮件服务器 服务器防火墙
外部服务器区
公众服务网 Internet
机结构能提供更好的安全保护，同时操作也更加简便。
在屏蔽的路由器上的数据包过滤是按这样一 种方法设置的：堡垒主机是因特网上的主机 连接到内部网络系统的桥梁，例如，传送电 子邮件。 即使这样，也仅有某些确定类型的连接被允 许。任何外部的系统试图访问内部的系统或 服务将这些连接到这台堡垒主机上。因此堡 垒主机需要拥有高等级的安全。
思 考 题
(1) 防火墙有哪些局限性? (2) 常见的防火墙系统有哪几种？比较它们的优缺点。 (3) 简述包过滤防火墙的工作原理及特点。 (4) 写出构建防火墙系统的步骤。
6. 5
防 火 墙产品的 配 置实例与应用解决方案
6.5.1 天融信防火墙的应用实例 网络卫士系列防火墙是天融信在多年的防火墙开发和应用实践及 广大用户宝贵建议的基础上，基于对网络安全的深刻理解，并融合 网络科技的最新成果，采用独特的安全架构和多项具有自主知识产 权的安全技术，经过近两年的开发完成的最新一代防火墙产品。 网络卫士系列防火墙产品一般包括防火墙硬件产品和防火墙“集 中管理器”软件。其专用管理软件可运行于Windows环境下。 网络卫士系列防火墙至少有三个标准端口，即一个接外网 （Internet)，一个接内网，一个接DMZ区，在DMZ区中有网络服务 器。安装防火墙所要达到的效果是：内网区的计算机可以任意访问 外网，可以访问DMZ中指定的网络服务器，Internet和DMZ的计算机 不能访问内网，Internet可以访问DMZ中的服务器。
优点：安全级别最高。
缺点：成本高，配置复杂。
6.3.5 防火墙体系结构的组合
建造防火墙时，一般很少采用Байду номын сангаас一的技术， 通常是多种解决不同问题的技术的组合。这 种组合主要取决于网管中心向用户提供什么 样的服务，以及网管中心能接收什么等级的 风险。采用哪种技术主要取决于经费、投资 的大小或技术人员的技术、时间等因素。
（4）外部路由器 理论上保护周边网络和内部网络使 之免受来自Internet的侵犯。实际上外部路由器倾向于 允许几乎任何东西从周边出站，并且它们通常执行非 常少的数据包过滤。
屏蔽子网过滤结构是在屏蔽主机通信结构中增 加了一层周边网络的安全机制，使内部网络和 外部网络有两层隔离带。周边网络隔离堡垒主 机与内部网，减轻攻击者攻破堡垒主机时对内 部网络的冲击力。攻击者即使攻破了堡垒主机， 也不能侦听到内部网络的信息，不能对内部网 络直接操作。
双重宿主主机的防火墙系统结构是相当简单的，双重宿主 主机位于两者之间，并且被连接到因特网和内部的网络， 如图。
6.3.2 屏蔽主机体系结构
双重宿主主机体系结构提供来自多个网络相连的 主机的服务，而屏蔽主机体系结构使用一个单独 的路由器提供来自仅仅与内部的网络相联的主机 的服务。在这种体系结构中，主要的安全由数据 包过滤提供。如图：
6.4 防火墙系统的构建
构建一个完善的防火墙系统一般按如下的步骤进行： (1) 制定安全策略。 安全策略是对访问如何控制的高层指南。安全策略定 义了哪些行为被允许，哪些不被允许。每个组织都会有一 些基本的安全策略，主要包括计算机使用策略、公司资源 的保护策略、内部通信策略、远程外部访问控制策略和资 料保护策略。
一般有以下几种形式： （1）使用多堡垒主机 （2）合并内部路由器与外部路由器 （3）合并堡垒主机与外部路由器 （4）合并堡垒主机与内部路由器 （5）使用多台内部路由器 （6）使用多台外部路由器 （7）使用多个周边网络 （8）使用双重宿主主机与屏蔽子网。
复合型防火墙
由于对更高安全性的要求，常把基于包过滤的 方法与基于应用代理的方法结合起来，形成复合 型防火墙产品。这种结合通常是以下两种方案。
（3）内部路由器 也被称为阻塞路由器，它保护内部的网络 使之免受Internet和周边网络的侵犯。 内部路由器为用户的防火墙执行大部分的数据包过滤工 作，允许从内部网络到外部网络有选择的出站服务。 内部路由器所允许的堡垒主机和用户的内部网之间的服 务可以不同于内部路由器所允许在外部网和用户的内部 网之间的服务。限制堡垒主机的理由是减少由此而导致 的受到来自堡垒主机侵袭的机器的数量。
基于屏蔽子网的防火墙结构的特点
应用代理位于被屏蔽子网中，内部网络向外公开的服务 器也放在被屏蔽子网中，外部网络只能访问被屏蔽子网， 不能直接进入内部网络。 两个包过滤路由器的功能和配置是不同的，包过滤路由 器A的作用是过滤外部网络对被屏蔽子网的访问。包过滤 路由器B的作用是过滤被屏蔽子网对内部网络的访问。所 有外部网络经由被屏蔽子网对内部网络的访问，都必须 经过代理服务器的检查和认证。
该体系结构的最简单形式为：两个屏蔽路由器，每 一个都连接到周边网，一个位于周边网与内部网络 之间，另一个位于周边网与外部网络之间。这样在 内部网络与外部网络之间形成了一个“隔离带”。 为了侵入用这种体系结构构筑的内部网络，侵袭者 必须通过两个路由器。
（1）周边网络 周边网络是一个安全层，是在外部
在这种结构中，堡垒主机位于内部网络。一般情况下，过
滤路由器可按如下规则进行配置：
* 允许其他内部主机为某些类型的服务请求与外部网络建 立直接连接。 * 任何外部网(或Internet)的主机只能与内部网络的堡垒 主机建立连接。
* 任何外部系统对内部网络的操作都必须经过堡垒主机。
同时，堡垒主机本身要求要有较全面的安全保护。
互联网防火墙 防火墙 内部用户区 省电子政务外 网平台 拨号市局 互联区 市局
某市政府网络和多防火墙部署拓扑图
(3) 制定规则顺序 为每个防火墙制定访问规则和次序是具体化安全 策略的过程。这种具体化需要把相应的控制策略转化
为一条条针对地址、端口、协议等的限制规则。另外，
很多防火墙是以顺序方式检查数据包的，当发现一条 匹配规则时，就停止检查并应用响应规则。因此，制 定规则集时应特别注意规则的次序，不同的次序放置 可能会完全改变防火墙对数据包的控制效果。
的主要内容。
(2) 设计安全体系结构。
根据业务和安全控制的需要，合理规划内部网络 的拓扑结构、合理划分安全区域、恰当地部署防火墙， 是安全体系结构设计的主要内容。 强化内外网隔离，设立所谓非军事化区域(DMZ)， 把信息服务器以及其他公用服务器放在DMZ网络中是 目前很多机构采用的防火墙体系结构，如图所示。
6.3 防火墙的体系结构
1
双重宿主主机体系结构
2 3
屏蔽主机体系结构
基于代理型防火墙结构
4
屏蔽子网体系结构
6.3.1 双重宿主主机体系结构
基于双重宿主主机结构是最基本的防火墙系统结构。该 体系结构是围绕具有双重宿主的主机计算机而构筑的， 该计算机至少有两个网络接口。 这样的主机可以充当与这些接口相连的网络之间的路由 器，它能够从一个网络到另一个网络发送IP数据包，但 是，双重宿主主机防火墙体系结构禁止这种功能。 IP数据包从一个网络并不是直接发送到其他网络，经过 一个安全检查模块检查后，如果是合法的，则转发到另 一块网卡上，以实现网络的正常通信；如果不合法，则 阻止通信。这样，内外网络直接的IP数据流完全在双宿 主主机的控制之中。
确保内部用户合理、合法使用外部Internet服务和 外界Internet用户合法使用单位的对外网络服务，同时 又能防止这些用户的恶意行为，是防火墙系统构建中
制定安全策略的总体要求。哪些内部用户在什么时段
能够访问Internet的哪些资源，哪些外部用户在什么时
段能够使用单位对外提供的哪些服务是安全策略包含
屏蔽主机防火墙体系结构：在该结构中，分组过滤 路由器或防火墙与Internet相连，同时一个堡垒机安 装在内部网络，通过在分组过滤路由器或防火墙上 过滤规则的设置，使堡垒机成为Internet上其他节点 所能到达的唯一节点，这确保了内部网络不受未授 权外部用户的攻击。
屏蔽子网防火墙体系结构：堡垒机放在一个子网内， 形成非军事化区，两个分组过滤路由器放在这一子 网的两端，使这一子网与Internet及内部网络分离。 在屏蔽子网防火墙体系结构中，堡垒主机和分组过 滤路由器共同构成了整个防火墙的安全基础。
网络与用户的被保护的内部网络之间的附加网络。 如果侵袭着成功地侵入用户的防火墙的外层领域， 周边网络在侵袭着与用户的内部系统之间提供一 个附加的保护层。
（2）堡垒主机 在屏蔽子网体系结构中，用户把堡垒主机 连接到周边网，这台主机既是接收来自外界连接的主要 入口。对于出站服务可以按照如下任一方式进行。 在外部和内部的路由器上设置数据包过滤来允许内部的 客户端直接访问外部的服务器； 设置代理服务器在堡垒主机上允许来允许内部的客户端 间接地访问外部的服务器。用户也可以设置数据包过滤 来允许内部的客户端在堡垒主机上同代理服务器交谈。 反之亦然，但是禁止内部的客户端与外部之间直接通信。
(4) 落实规则集。 本步骤需要根据所采用防火墙的管理工具的特点， 对防火墙进行具体的配置，把上述第(3)步制定的规则 逐条转化为相关配置命令。另外，在配置时需要了解 防火墙的默认设置情况。 (5) 测试与修正。 防火墙系统在安装与配置完毕之后应测试其是否 正常工作，测试方法包括配置测试、端口检查、在线 检测和日志审核。另外，网络环境变化时应重新对防 火墙系统进行配置和测试，周期性测试能确保系统正 常稳定地工作，及时消除系统隐患。
由于这种结构允许包从外部网络直接传送到内部网，因此
这种结构的安全控制看起来似乎比双重宿主主机结构差。在双
重宿主主机结构中，外部网络的包理论上不可能直接抵达内部 网。 但实际上，应用双重宿主主机结构防护数据包从外部网 络进入内部网络也很容易失败，并且这种失败是随机的，所以
无法有效地预先防范。一般来说，屏蔽主机型结构比双宿主主
1.安装防火墙管理器软件。 管理器软件一般安装在单独的管理主机上，管理主机通常位于管理中 心网络的网管主机上，管理中心为内部防火区的子集，同时管理主 机或管理中心与其他安全区域相比有更严格的访问安全策略。（详 见P155） 2.管理网络卫士防火墙 网络管理员可以通过多种方式管理网络卫士防火墙。管理港式包括本 地管理和远程管理，本地管理即通过Console口登录防火墙进行管理； 远程管理包括使用防火墙集中管理器，或通过Telnet及SSH等多种方 式登录防火墙进行配置管理. （1） 使用Console口登录防火墙。具体方法见P155-157 (2)使用防火墙集中管理器。具体方法见P157-158 3.防火墙的一些策略配置 （1）定义网络区域。（2）定义网络对象。（3）配置访问策略 （4）通信策略。