防火墙的部署与实现在具体的实现过程中，防火墙往往不只是一台单一的设备 或者装到某一台主机上的软件系统，而是多台（套）设备 或软件的组合。不同的组合方式体现了系统不同的安全要求，也决定了系 统将采取不同的安全策略和实施办法。防火墙的部署和实现结构可以说是组织或机构安全的实现 基础，对于系统的整体安全来说具有重要的意义。防火墙的部署与实现过滤路由器 堡垒主机 多重宿主主机 屏蔽主机 屏蔽子网 其他结构过滤路由器定义：放在内部网络和外部网络之间，具有数据过滤功能的路由器。功能：按照预定义的过滤规则，允许授权数据通过，拒绝非授权数据通过。与普通路由器的区别：普通路由器是重要的网络数据传输和转发设备。通常具有若干个接口，每个接口都有独立的 IP地址。过滤路由器也起到和普通路由器一样的数据转发作用，但一般来说，过滤路由器只有两种接 口，甚至只有两个接口。不但要根据目的地址决定转发的接口，还要根据过滤规则决定是否允许转 发该数据包。优点：快速、透明、实现容易。 过滤路由器可以高速的转发数据包，使得防火墙不会成为系统访问的性能瓶颈，这是其他类 型防火墙很难赶超的优势。用户只需要付出很小的代价甚至不需要任何代价即可获得相当安全的服务，这比单独购买独 立的防火墙产品具有更大的成本优势。用户不需要改变客户端的程序或者改变自己的行为模式，也不必对用户进行特殊的培训或者 再每台主机上安装特定的软件。用户感觉不到防火墙对用户数据包的检查。用户只需要购买相应的防火墙模块，插入路由器机箱的扩展槽即可完成部署。过滤路由器缺点：配置复杂，维护困难；过滤规则应该包括对所有可能的节点、所有可用的服务的限制条件。但是在实际 使用过程中这是不可能做到的任何管理员都无法精确的预先确定内联网络用户的行 为。因此，只能在开始使用防火墙的时候制定基础的和已经明确的过滤规则，在后续的 使用过程中根据需要逐步添加。只针对数据包本身进行检测，只能检测出部分攻击行为；主要工作在网络层，这决定了它的主要过滤功能是针对传输层一下的信息单元头 部各个字段的。无法防范数据驱动式攻击；只能简单地判断IP地址，而无法进行用户级的身份认证和鉴别；随着过滤规则的增加，路由器的吞吐量将会下降；无法对数据流进行全面地控制，不能理解特定服务的上下文环境和数据。过滤路由器过滤规则过滤规则的主要字段：源地址 发送者的IP地址；源端口号 发送者的端口号；目的地址 接收者的IP地址；目的端口号 接收者的端口号；协议标志 数据使用协议；过滤方式 过滤路由器对符合上述字段的数据包采取的动作，要 么是“允许”，即允许数据包通过过滤路由器转发；要么是“拒绝” ，即拒绝数据包通过过滤路由器转发。过滤路由器过滤路由器的过滤规则一般遵循“拒绝访问一切未经特许的服务”， 即默认状态下，一切网络访问都是被禁止的，允许访问的规则只能后 续逐步的添加到系统中。在执行过程中则遵循“第一条匹配规则适用 ”的原则，即对每个数据包，过滤路由器都将从第一条规则开始顺序 的检索，直到找到第一条匹配规则为止。过滤路由器序号源地址源端口号目的地址目的端口号协议动作1*. *. *. *11.22.12.123*Deny2*. *. *. *192.168.0.680TCPPermit防火墙过滤规则过滤路由器过滤规则具有顺序敏感的特性，即不同顺序的规则执行的结果是不同 的，这就带来了规则的冲突问题。规则冲突：两个或两个以上的规则匹配同一个数据包、或者一个规则 永远都无法匹配任何通过该过滤路由器的包。包括无用冲突 符合某一条过滤规则中指定的源和目的网络的数据包根本不会 通过该过滤路由器屏蔽冲突 当排在过滤规则表后面的一条过滤规则能匹配的所有数据包也 被排在过滤规则表前面的一条过滤规则匹配的时候，后面的这条过滤规则 永远无法得到执行，原因是两个规则之间存在包含关系，解决方法是将子 集规则排在过滤规则表的前面过滤路由器泛化冲突 一个排序在前的过滤规则能匹配的所有数据包也能被一个排序 在后的过滤规则匹配关联冲突 如果动作不同的过滤规则之间存在交叉的部分，即存在关联关 系，那么允许集和拒绝集之间就会有重叠冗余冲突 一条过滤规则能匹配的数据包也能匹配另一条过滤规则，并且 两条过滤规则采取的动作是相同的堡垒主机定义：堡垒主机由一台计算机担当，并拥有两块或者多块网卡分别连接 各内部网络和外部网络。作用：隔离内部网络和外部网络，为内部网络设立一个检查点，对所有 进出内部网络的数据包进行过滤，集中解决内部网络的安全问题。堡垒主机设计原则：最小服务原则 在堡垒主机上运行并提供网络服务的各种软件不可能没有缺陷， 而这些缺陷就是入侵者侵入堡垒主机的通道，因此，必须采用最小服务原则，尽可能地 减少堡垒主机提供的服务，而且对于必须设置的服务，只能授予尽可能低的权限，才能 保证堡垒主机的安全性。预防原则 用户必须加强与堡垒主机的联系，对堡垒主机的安全情况进行持续不 断地监测；仔细分析堡垒主机的日志，及时地对攻击行为作出响应。同时还要做最坏的 准备，努力做到即使堡垒主机背破坏了，内联网络的安全也会得到保障。为此需要仔细 观察堡垒主机提供的服务，根据这些服务的内容确定其服务的可信度和权限，保证让内 联网络主机只有在堡垒主机正常工作时才能信任堡垒主机。堡垒主机类型：内部堡垒主机 专用于向内联网络主机提供服务的内部服务器。它与内联网络的 某些主机进行交互以转发信息。在这种类型的堡垒主机上一般会启用较多的服务，并且 通常会开放许多的端口来满足应用程序的需求。外部堡垒主机 又称无路由多宿主主机，有多个网络接口，但这些接口间没有直 接的信息交换。它可以作为公开的网络服务器，也可以作为一台单独的防火墙，或者作 为一个更复杂的防火墙的一部分。作为公开的网络服务器使用时，不转发任何请求，只 提供该服务必需的端口。同样，作为防火墙使用时，也必须关闭堡垒主机的路由转发功 能。牺牲主机 一般用于向外联网络提供服务，它上面没有任何需要保护的信息，也 不与任何入侵者意图攻击的内部主机相连接，而且只提供最低限度的服务。当用户不能 确定特定服务需要什么安全特性的时候，或者要使用某种特殊的服务，而现有的防火墙 技术难以保障安全性的时候，可以将这些服务配置在牺牲主机上。堡垒主机系统需求：强健性 堡垒主机可以长期稳定地无故障运行，堡垒主机具有足 够的安全性，用户网络的安全性可以完全依赖于堡垒主机；可用性 堡垒主机不应该发生任何停机故障。用户可以通过热备 份等冗余容错措施来保障堡垒主机持续可用；可扩展性 堡垒主机可以根据用户的需求进行适当的剪裁，能够 满足用户网络不断变化的需要；易用性 堡垒主机应该是易配置的，监控和维护操作也应该是简 单、灵活的。 堡垒主机对软硬件性能的具体需求内存堡垒主机必须有效地运行多种网络服务，并且对多个服务请求作 出快速的响应，只有这样，堡垒主机才能不成为系统的瓶颈。外存一般不需要很大地外部存储器，但为了承担更多地应用级服务， 则必须有一定的存储空间。系统速度系统整体的速度。操作系统具有高度限制性的基础软件平台，并且具有高度的可靠性、高度 的安全性、灵活的可扩展性以及成熟性几个重要的特点。堡垒主机对软硬件性能的具体需求服务 堡垒主机一般要设置用户网络所需的网络服务，并且还要设置对外提供的网络服 务。分为无风险服务、低风险服务、高风险服务和禁用的服务4个级别。无风险服务 可以直接实施；低风险服务 某些情况下可能存在安全隐患，但只需施加一些控制策略即可消 除，这类服务只能由堡垒主机提供；高风险服务 在使用时会产生无法彻底消除地安全隐患，一般应该被禁用，即 使要启动这类服务也不能将其放置在堡垒主机上；禁用的服务 具有较高的安全隐患，会给用户网络带来很大的危险，应该禁止 使用。堡垒主机上只能配置必要的服务，其他一切非必要服务都应该关闭，防止 这些服务未知的漏洞成为攻击堡垒主机的秘密通道。堡垒主机部署位置：堡垒主机的位置问题是事关堡垒主机和内部网 络的安全性的重要问题。物理位置 安全性较好且环境参数符合相应国际、国内标准的 房间里如果攻击者和堡垒主机有物理上的接触，其入侵的方法就是网络安 全人员所不能控制的堡垒主机往往配置了用户网络与外联网络互联互通地重要服务。如 果受到损害则用户网络将会与外联网络完全断开。网络位置 不适合放置在内联网络中，比较适合放置在周边 网络（有时称为参数网络）中，周边网络实际上是内联网络 和外联网络之间的一个隔离缓冲网络。 多重宿主主机采用一台堡垒主机作为连接内联网络和外联网络的通道。具体做法是在这台堡垒主机上安全多块网卡，每一块网卡都连接不同 的内联子网和外联网络，信息的交换通过应用层数据共享或者应用层 代理服务实现，而网络层直接的信息交换是被绝对禁止的。堡垒主机上需要安装访问控制软件，用以实现对交换信息的过滤和控 制功能。采用应用层数据共享技术的双宿主主机防火墙采用应用层代理服务器技术的双宿主网关防火墙多重宿主主机l 双宿主主机防火墙实际上就是一台具有安全控制功能的双网卡堡垒主机。两块网卡中的一块负责连 接内部网络，另一块负责连接外部网络。l 内网主机可登录双宿主主机，使用其提供的网络服务，而双宿主主机负责维护用户账户数据库。 外网主机也可使用双宿主主机提供的某些网络服务。若网络服务被安全策略允许，则内部用户和外 部用户就可通过共享缓存共享数据以实现信息交换，但绝对不允许内部用户与外部用户直接进行连 接。l双宿主主机防火墙的优点是：易于实现网络安全策略、成本较低。l双宿主主机防火墙的缺点是：用户帐户不安全；用户账户数据库管理维护困难；用户账户数据的频 繁存取资源耗费大，降低了系统的稳定性和可靠性；允许用户登录到防火墙主机上威胁到防火墙系 统的安全。下图为双宿主主机防火墙的示意图：多重宿主主机l 双宿主网关无需用户登录至防火墙主机，而是在防火墙上安装各种代理服务器。内网主机要访问外 网时，只需将请求发送至相应的代理服务器，通过过滤规则的检测并获得允许后，再由代理服务器 代为转发至外网指定主机。而外网主机所有对内网的请求都由代理服务接收并处理，规则允许的外 部连接由相应的代理服务器转发至内网目标主机，规则不允许的外部连接则被拒绝。l 双宿主网关防火墙的优点是：无用户账户数据库，管理难度小、系统风险低；代理服务器技术使 得防火墙提供的服务具有良好的可扩展性；屏蔽了内网主机，阻止了信息的泄露。l 双宿主网关防火墙的缺点是：存在单失效点，防火墙配置复杂；防火墙主机本身的性能是影响系 统整体性能的瓶颈；灵活性较差。下图为双宿主网关防火墙的示意图：屏蔽主机 屏蔽主机防火墙实际上结合了两种不同类型的防火墙：过滤路由器实现的是 包过滤防火墙的功能，而堡垒主机实现的是代理防火墙的功能。屏蔽主机系统构成一台过滤路由器和一台堡垒主机构成。其中，过滤路由 器被部署在内联网络和外联网络交界的位置上。而堡垒 主机与其他内联网络的主机一样与过滤路由器相连接。 工作原理过滤路由器的路由表是定制的，将所有外联网络对内联 网络的请求都定向到堡垒主机处，而堡垒主机上运行着 各种网络服务的代理服务器组件。屏蔽主机内联网络对外联网络发起的连接有不同的处理方法：1 除了堡垒主机的请求之外，过滤路由器阻塞所有内联网络 到外联网络的访问请求，过滤路由器将这些请求全部重定向 到堡垒主机上，而堡垒主机上的代理服务器组件负责这些请 求访问权限的判定，如果过滤规则允许，则相应地代理服务 器组件将该访问请求转发至过滤路由器，再由过滤路由器转 发至外联网络的目的主机。2 根据安全策略，过滤路由器允许某些特定的主机或者某些 特定的服务请求无需经过堡垒主机上的代理服务器的处理， 可以直接通过过滤路由器访问外联网络，而其他的主机和服 务请求则必须经过堡垒主机上的代理服务器处理，获得授权 以后才能访问外联网络。屏蔽主机安全性操作包过滤防火墙代理防火墙 优点能提供比单纯的过滤路由器和多重宿主主机