1.2 防火墻的體系結構

1.2.1 防火墻系統的構成

防火墻由一個或多個構件組成，這些構件有：

● 包過濾型路由器；

● 應用層網關（或代理服務器）。

根據構成，現有的防火墻主要分為包過濾型、代理服務器型、復合型，以及其他類型。包過濾型防火墻通常安裝在路由器上，大多數路由器都提供了包過濾的功能。包過濾在網絡層進行，以IP包信息為基礎，對IP源地址、目標地址、協議類型、端口號等進行篩選。代理服務器型防火墻通常由兩部分構成，即服務器端程序和客戶端程序?？蛻舳顺绦蚺c中間節點連接，中間節點再與提供服務的服務器實際連接。復合型防火墻將包過濾和代理服務兩種方法結合起來，形成新的防火墻，由堡壘主機提供代理服務。

1.包過濾型路由器

包過濾型路由器對所接收的每個數據包做允許或拒絕的決定。路由器審查每個數據報以便確定其是否與某一條包過濾規則相匹配。過濾規則基于可以提供給IP轉發過程的包頭信息。包頭信息中包括IP源地址、IP目標端地址、封裝協議（ICP、UDP、ICMP或IP Tunnel）、TCP/UDP目標端口、ICMP消息類型、包的進入接口和輸出接口。如果可以匹配并且規則允許該數據包，那么該數據包就會按照路由表中的信息被轉發。如果匹配但是規則拒絕該數據包，那么該數據包就會被丟棄。如果沒有相匹配的規則，用戶配置的默認參數會決定是轉發還是丟棄數據包。

1）與服務相關的過濾

包過濾型路由器使得路由器能夠根據特定的服務允許或拒絕流動的數據，因為多數的服務提供者都在已知的TCP/UDP端口號上監聽請求包的到來。例如，Telnet服務器進程監聽在TCP的23號端口，SMTP服務器進程監聽在TCP的25號端口。為了阻塞所有進入的Telnet連接，路由器只需簡單地丟棄所有TCP端口號等于23的數據包即可。為了將進來的Telnet連接限制到內部的數臺機器上，路由器必須拒絕所有TCP端口號等于23并且目標IP地址不等于允許主機的IP地址的數據包。

一些常用的典型包過濾規則包括：允許進入的Telnet會話與指定的內部主機連接；允許進入的FTP會話與指定的內部主機連接；允許所有外出的Telnet會話；允許所有外出的FTP會話；拒絕所有來自特定的外部主機的數據包；等等。

2）與服務無關的過濾

有幾種類型的攻擊很難使用基本的包頭信息來識別，因為這幾種攻擊是與服務無關的。它們很難被指定，因為過濾規則需要附加的信息只能通過審查路由表和特定的IP選項，或檢查特定段的內容等才能得到。但是，可以對路由器進行配置，以防止這幾種類型的攻擊。下面是這幾種攻擊類型的例子：

● 源IP地址欺騙式攻擊（Source IP Address Spoofing Attacks）

源IP地址欺騙式攻擊的特點是入侵者從外部傳輸一個假裝是來自內部主機的數據包，即數據包中所包含的IP地址為內部網絡上的IP地址。入侵者希望借助于一個假的源IP地址滲透到一個只使用了源地址安全功能的系統中。在這樣的系統中，來自內部信任主機的數據包被接受，而來自其他主機的數據包全部被丟棄。對于源IP地址欺騙式攻擊，可以利用丟棄所有來自路由器外部端口的使用內部源地址的數據包的方法來挫敗。

● 源路由攻擊（Source Rowing Attacks）

源路由攻擊的特點是源站點指定了數據包在Internet中所走的路線。這種類型的攻擊是為了旁路安全措施并導致數據包循著一個對方不可預料的路徑到達目的地。只需簡單地丟棄所有包含源路由選項的數據包即可防范這種類型的攻擊。

● 極小數據段式攻擊（Tiny Fragment Attacks）

極小數據段式攻擊的特點是入侵者使用了IP分段的特性，創建極小的分段并強行將TCP包頭信息分成多個數據包段。這種攻擊是為了繞過用戶定義的過濾規則。黑客寄希望于過濾器路由器只檢查第一個分段而允許其余的分段通過。對于這種類型的攻擊，只要丟棄協議類型為TCP、IP Fragment Offset等于1的數據包就可安然無恙。

2.應用層網關

應用層網關使得網絡管理員能夠實現比包過濾型路由器更嚴格的安全策略。應用層網關不用依賴包過濾工具來管理Internet服務在防火墻系統中的進出，而是采用為每種所需服務安裝在網關上特殊代碼（代理服務）的方式。

如果網絡管理員沒有為某種應用安裝代理編碼，那么該項服務就不被支持而不能通過防火墻系統。同時，代理編碼可以配置成為只支持網絡管理員認為必需的部分功能。

這樣增強的安全帶來了附加的費用：購買網關硬件平臺、代理服務應用、配置網關所需的時間和知識。提供給用戶的服務水平的下降，由于缺少透明性而導致缺少友好性的系統。同以往一樣，仍要求網絡管理員在機構安全需要和系統的易于使用性方面做出平衡。允許用戶訪問代理服務是很重要的，但是用戶是絕對不允許注冊到應用層網關中的。假如允許用戶注冊到防火墻系統中，防火墻系統的安全就會受到威脅，因為入侵者可能會在暗地里進行某些損害防火墻有效性的動作。例如，入侵者獲取Root權限，安裝特洛伊木馬來截取口令，并修改防火墻的安全配置文件。

與包過濾型路由器（允許數據包在內部系統與外部系統之間直接流入和流出）不同，應用層網關允許信息在系統之間流動，但不允許直接交換數據包。允許在內部系統和外部系統之間直接交換數據包的主要危險是駐留在受保護網絡系統中的主機應用避免任何由所允許的服務帶來的威脅。一個應用層網關常常被稱做“堡壘主機”（Bastion Host）。因為它是一個專門的系統，有特殊的裝備，并能抵御攻擊。

堡壘主機的硬件執行一個安全版本的操作系統。例如，如果堡壘主機是一個UNIX平臺，那么它執行UNIX操作系統的安全版本，其經過了特殊的設計，避免了操作系統的脆弱點，保證防火墻的完整性。

只有網絡管理員認為必需的服務才能安裝在堡壘主機上。原因是如果一個服務沒有安裝，它就不能受到攻擊。一般來說，在堡壘主機上安裝有限的代理服務，如Telnet、DNS、FTP、SMTP及用戶認證等。

用戶在訪問代理服務之前，堡壘主機可能要求附加認證。比如，堡壘主機是一個安裝嚴格認證的理想位置。在這里，智能卡認證機制產生一個唯一的訪問代碼。另外，每種代理可能在授予用戶訪問權之前進行其自己的授權。

對代理進行配置，使得其只支持標準應用的命令集合的子集。如果代理應用不支持標準的命令，那么很簡單，被認證的用戶沒有使用該命令的權限。對代理進行配置，使得其只允許對特定主機的訪問。這表明，有限的命令/功能只能適用于內部網絡中有限數量的主機。每個代理都通過登記所有的信息、每一次連接，以及每次連接的持續時間來維持一個詳細的審計信息。審計記錄是發現和終止入侵者攻擊的一個基本工具。

每個代理都是一個簡短的程序，專門為網絡安全目的而設計。因此可以對代理應用的源程序代碼進行檢查，以確定其是否有紕漏及安全上的漏洞。在堡壘主機上每個代理都與所有其他代理無關。如果任何代理的工作產生問題，或在將來發現脆弱性，只需簡單地卸載，不會影響其他代理的工作。并且，如果一些用戶要求支持新的應用，網絡管理員可以輕而易舉地在堡壘主機上安裝所需的應用。

代理除了讀取初始化配置文件之外，一般不進行磁盤操作。這使得入侵者很難在堡壘主機上安裝特洛伊木馬程序或其他危險文件。每個代理在堡壘主機上都以非特權用戶的身份運行在其自己的并且是安全的目錄中。

1.2.2 防火墻的類型與實現

目前，防火墻的類型主要有包過濾型防火墻、雙宿主主機防火墻、屏蔽主機防火墻和屏蔽子網防火墻。

1.包過濾型防火墻

包過濾型防火墻也稱包（分組）過濾型路由器，是最基本、最簡單的一種防火墻，位于內部網絡與外部網絡之間。內部網絡的所有出入都必須通過包過濾型路由器，包過濾型路由器審查每個數據包，根據過濾規則決定允許或拒絕數據包。

包過濾型防火墻可以在一般的路由器上實現，也可以在基于主機的路由器上實現，其配置如圖1-1所示。除具有路由器功能外，再裝上分組過濾軟件，利用分組過濾規則完成基本的防火墻功能。

1）包過濾型路由器的優點

容易實現，所需費用少，如果被保護網絡與外界之間已經有一個獨立的路由器，那么只需簡單地加一個分組過濾軟件便可保護整個網絡。

包過濾型路由器，除了要花費時間去規劃過濾器和配置路由器之外，實現包過濾幾乎不再需要費用（或極少的費用），因為這些都包含在標準的路由器軟件中。

由于Internet訪問一般都是在WAN接口上提供，因此在流量適中并定義較少過濾器時對路由器的性能幾乎沒有影響。另外，分組過濾在網絡層實現，不要求改動應用程序，也不要求用戶學習任何新的東西，用戶感覺不到過濾服務器的存在，因而使用方便。

2）包過濾型路由器的缺點

定義數據包過濾器會比較復雜，因為網絡管理員需要對各種Internet服務、包頭格式，以及每個域的意義有非常深入的理解。如果必須支持非常復雜的過濾，過濾規則集合會非常大及復雜，因而難以管理和理解。另外，在路由器上進行規則配置之后，幾乎沒有什么工具可以用來檢驗過濾規則的正確性，因此會成為一個脆弱點。

任何直接經過路由器的數據包都有被用做數據驅動式攻擊的潛在危險。已經知道數據驅動式攻擊從表面上來看是由路由器轉發到內部主機上沒有害處的數據，該數據包括了一些隱藏的指令，能夠讓主機修改訪問控制和與安全有關的文件，使得入侵者能夠獲得對系統的訪問權。

一般來說，隨著過濾器數目的增加，路由器的吞吐量會下降?？梢詫β酚善鬟M行這樣的優化抽取每個數據包的目標IP地址，進行簡單的路由表查詢，然后將數據包轉發到正確的接口上去傳輸。如果打開過濾功能，路由器不僅必須對每個數據包做出轉發決定，還必須將所有的過濾器規則施用給每個數據包。這樣就消耗了CPU時間并影響系統的性能。

IP包過濾器可能無法對網絡上流動的信息提供全面的控制。包過濾路由器能夠允許或拒絕特定的服務，但是不能理解特定服務的上下文環境/數據。例如，網絡管理員可能需要在應用層過濾信息以便將訪問限制在可用的FTP或Telnet命令的子集之內，或者阻塞郵件的進入及特定話題的新聞進入。這種控制最好在高層由代理服務和應用層網關來完成。

2.雙宿主主機防火墻

這種防火墻系統由一種特殊的主機來實現，這臺主機擁有兩個不同的網絡接口，一端接外部網絡，另一端接需要保護的內部網絡，并運行代理服務器軟件，故被稱為雙宿主主機防火墻，如圖1-2所示。它不使用包過濾規則，而是在外部網絡和被保護的內部網絡之間設置一個網關，隔斷IP層之間的直接傳輸。兩個網絡中的主機不能直接通信，兩個網絡之間的通信通過應用層數據共享或應用層代理服務來實現。

1）雙宿主主機防火墻的優點

雙宿主主機防火墻將受保護網絡與外界完全隔離，由于域名系統DNS的信息不會通過受保護系統傳到外界，所以站點系統的名字和IP地址對Internet是隱蔽的。

由于雙宿主主機防火墻本身是一臺主機，可以使其具有多種功能。另外，代理服務器提供日志記錄，有助于發現入侵記錄。

2）雙宿主主機防火墻的缺點

代理服務器必須為每種應用專門設計，所有的服務依賴于網關提供，在某些要求靈活的場合不太適用。

如果防火墻只采用雙宿主主機一個部件，一旦該部件出現問題，將使網絡安全受到危害。如果重新安裝操作系統而忘記關掉路由器，將失去安全性。

3.屏蔽主機防火墻

屏蔽主機防火墻由一臺包過濾型路由器和一臺堡壘主機組成，如圖1-3所示。在這種結構下，堡壘主機配置在內部網絡上，包過濾型路由器則放置在內部網絡和外部網絡之間。外部網絡的主機只能訪問該堡壘主機，而不能直接訪問內部網絡的其他主機。內部網絡在向外通信時，必須先到堡壘主機，由該堡壘主機決定是否允許訪問外部網絡。這樣堡壘主機成為內部網絡與外部網絡通信的唯一通道。

在內部網絡和外部網絡之間建立了兩道安全屏障，既實現了網絡層安全，又實現了應用層安全。來自Internet的所有通信都直接到包過濾型路由器，它根據所設置的規則過濾這些通信。在多數情況下與應用網關之外機器的通信都將被拒絕。網關的代理服務器軟件用自己的規則，將被允許的通信傳送到受保護的網絡上。在這種情況下，應用網關只有一塊網絡接口卡，因此它不是雙宿主網關。

1）屏蔽主機網關防火墻的優點

屏蔽主機網關比雙宿主網關更靈活。屏蔽主機網關可以設置成為使包過濾型路由器將某些通信直接傳到Intranet的站點，而不是傳到應用網關。

屏蔽主機網關中的包過濾型路由器的規則比單獨的包過濾型路由器防火墻要簡單，這是因為多數的通信將直接到應用網關。

主機屏蔽網關具有雙重保護，安全性更高的特點。

2）屏蔽主機網關防火墻的缺點

屏蔽主機網關要求對兩個部件認真配置以便能協同工作，系統的靈活性可能會因為走捷徑而破壞安全。

即使包過濾型路由器的規則較簡單，配置防火墻的工作也會很復雜。一旦堡壘主機被攻破，內部網絡將完全暴露。

4.屏蔽子網防火墻

屏蔽子網防火墻是在屏蔽主機網關防火墻的配置上加上另一個包過濾型路由器，如圖1-4所示。堡壘主機位于兩個包過濾型路由器之間，是整個防御體系的核心，可被認為是應用層網關，可以運行各種代理服務程序，對于出站服務不一定要求所有的服務都經過堡壘主機代理，但對于入站服務應要求所有服務都通過堡壘主機。

在屏蔽主機網關防火墻中，堡壘主機最易受到攻擊，而且內部網對堡壘主機是完全公開的，入侵者只要破壞了這一層的保護，那么入侵也就成功了。屏蔽子網防火墻就是在被屏蔽主機結構中再增加一臺路由器的安全機制，這臺路由器的意義就在于它能夠在內部網和外部網之間構筑出一個安全子網，該子網又被稱為非軍事區（DMZ），從而使得內部網與外部網之間有兩層隔斷。用子網來隔離堡壘主機與內部網，就能減輕入侵者沖開堡壘主機后給內部網帶來的沖擊力。

1）屏蔽子網防火墻的優點

提供多層保護，一個入侵者必須通過兩個包過濾型路由器和一個應用網關，是目前最為安全的防火墻系統，它可以對數據服務進行更為靈活的控制。

2）屏蔽子網防火墻的缺點

屏蔽子網防火墻要求的設備和軟件模塊最多，整個系統的配置所需費用高且復雜，適合大、中型企業，以及對安全性要求高的單位。