???? 博主 libin9iOak帶您 Go to New World.???
?? 個(gè)人主頁(yè)——libin9iOak的博客??
?? 《面試題大全》 文章圖文并茂??生動(dòng)形象??簡(jiǎn)單易學(xué)！歡迎大家來(lái)踩踩~??
?? 《IDEA開發(fā)秘籍》學(xué)會(huì)IDEA常用操作，工作效率翻倍~??
???? 希望本文能夠給您帶來(lái)一定的幫助??文章粗淺，敬請(qǐng)批評(píng)指正！????

訪問(wèn)控制技術(shù)

9.1 防火墻基本概念

接下來(lái)我們來(lái)學(xué)習(xí)防火墻。

首先看防火墻的基本概念，防火墻是網(wǎng)絡(luò)安全的老三樣之一，還包括入侵檢測(cè)、防病毒。防火墻可以是一個(gè)硬件的設(shè)備，也可以是一個(gè)軟件。防火墻在很多的安全防護(hù)的產(chǎn)品當(dāng)中占的比重是比較大的。防火墻是古代人們?cè)诜课葜g修建的一座高墻，防止火災(zāi)發(fā)生的時(shí)候，這個(gè)火災(zāi)從一個(gè)房屋蔓延到別的房屋，起到一個(gè)隔絕火勢(shì)的作用。

在信息網(wǎng)絡(luò)當(dāng)中，防火墻是一個(gè)高級(jí)的網(wǎng)絡(luò)訪問(wèn)控制的設(shè)備，是由一系列的部件組成的這樣一個(gè)設(shè)備，它的位置是位于不同的網(wǎng)絡(luò)安全域之間，通常是在網(wǎng)絡(luò)的邊界，這個(gè)實(shí)現(xiàn)了把可信的內(nèi)部網(wǎng)絡(luò)與不可信的外部網(wǎng)絡(luò)進(jìn)行了隔絕。

我們?cè)賮?lái)看防火墻的功能，防火墻是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間唯一的通道，在這個(gè)唯一的通道關(guān)卡這個(gè)地方就可以執(zhí)行訪問(wèn)控制策略，防火墻可以監(jiān)視和記錄，以及允許或者拒絕進(jìn)入網(wǎng)絡(luò)的訪問(wèn)行為或者流量。只有經(jīng)過(guò)授權(quán)的網(wǎng)絡(luò)行為或者網(wǎng)絡(luò)流量才能夠通過(guò)防火墻，防火墻它的目的就是防止外部網(wǎng)絡(luò)的用戶以非法的手段進(jìn)入到內(nèi)部網(wǎng)絡(luò)，訪問(wèn)我們內(nèi)部的資源，同時(shí)也可以阻斷內(nèi)部的資源敏感信息流入到外部網(wǎng)絡(luò)，從而保護(hù)內(nèi)部的網(wǎng)絡(luò)操作環(huán)境。防火墻就可以類比成現(xiàn)實(shí)當(dāng)中的門禁。

9.2 防火墻的發(fā)展歷程和技術(shù)

接下來(lái)我們來(lái)看防火墻的發(fā)展歷程與它的技術(shù)。

防火墻的發(fā)展歷程大概經(jīng)過(guò)了5代。第一代是包過(guò)濾防火墻，是在20世紀(jì)80年代依附于路由器，隨著網(wǎng)絡(luò)安全的重要性和性能要求的提高逐漸就發(fā)展出了獨(dú)立結(jié)構(gòu)的功能的這個(gè)防火墻設(shè)備。第二代電路層防火墻是在1989年由貝爾實(shí)驗(yàn)室的Dave和Howard他們倆提出的。第三代就是應(yīng)用層防火墻，是在20世紀(jì)90年代初推出的，又叫做代理防火墻。第4代狀態(tài)檢測(cè)防火墻，是1992年USCA信息學(xué)院的Bob Bradenndon，基于動(dòng)態(tài)包過(guò)濾技術(shù)開發(fā)的。在94年的時(shí)候，以色列的checkpoint公司進(jìn)行了商業(yè)化，推出了商業(yè)化的產(chǎn)品。第5代是自適應(yīng)的代理防火墻，是1998年由NAI公司推出。

防火墻的技術(shù)主要分為如下這么4類，一類是包過(guò)濾技術(shù)，一類是電路級(jí)網(wǎng)關(guān)狀態(tài)，此外還有應(yīng)用代理防火墻，狀態(tài)檢測(cè)防火墻。

我們?cè)賮?lái)看防火墻的部署層次，不同類型的防火墻，在OSI參考模型以及TCPIP模型當(dāng)中，它的部署位置是不一樣的。應(yīng)用代理防火墻自然就部署在應(yīng)用層，而這個(gè)電路網(wǎng)關(guān)部署在會(huì)話層，然后包過(guò)濾防火墻就部署在網(wǎng)絡(luò)層。

9.3 包過(guò)濾防火墻

首先我們來(lái)看包過(guò)濾防火墻。包過(guò)濾防火墻工作在網(wǎng)絡(luò)層，它檢查每一個(gè)經(jīng)過(guò)的數(shù)據(jù)包它的頭部信息，然后依據(jù)一套預(yù)設(shè)的規(guī)則決定丟棄或者放行該數(shù)據(jù)包。檢查的包頭信息包括IP包頭的IP地址、協(xié)議類型、IP選項(xiàng)以及TCP/UDP的頭部信息當(dāng)中的端口號(hào)，基于規(guī)則匹配的方法來(lái)檢查數(shù)據(jù)包，包過(guò)濾防火墻可以在標(biāo)準(zhǔn)的路由器上面以及專門的防火墻設(shè)備上面執(zhí)行。

如下是我們包過(guò)濾防火墻的判據(jù)，就是決定一個(gè)包是否丟棄或者放行它的判斷依據(jù)。

這個(gè)判斷依據(jù)主要就是剛才我們提到的包頭信息，包括IP包頭的信息和TCP/UDP包頭的信息，具體第一個(gè)就是IP地址，就是檢查這個(gè)數(shù)據(jù)包從何而來(lái)，要發(fā)往何處，主要依據(jù)數(shù)據(jù)包的原IP地址以及目的IP地址，這個(gè)協(xié)議就是IP包包頭當(dāng)中的協(xié)議字段，然后通過(guò)這個(gè)來(lái)判斷這個(gè)IP包頭的上層協(xié)議的類型是這個(gè) TCP的還是UDP的。然后是 ICMP的報(bào)文類型，通過(guò)前面的學(xué)習(xí)，我們知道很多網(wǎng)絡(luò)掃描的數(shù)據(jù)包包括一些攻擊的包?？赡軙?huì)偽裝成ICMP的數(shù)據(jù)包。這個(gè)時(shí)候通過(guò)包過(guò)濾檢查ICMP報(bào)文類型，我們就可以去阻止這樣一些網(wǎng)絡(luò)刺探的企圖。下一個(gè)是IP選項(xiàng)，同樣前面的學(xué)習(xí)當(dāng)中我們也介紹了，有些攻擊是基于 IP報(bào)頭的IP選項(xiàng)字段來(lái)進(jìn)行設(shè)置的，比如說(shuō)這個(gè) IP原路由或者IP分片等等。這個(gè)時(shí)候我們就可以通過(guò)讓包過(guò)濾防火墻去檢查IP選項(xiàng)的相應(yīng)字段，比如說(shuō)不允許分片，我們檢查到IP包包含了分片的選項(xiàng)，就可以把這些包給凈值。下一項(xiàng)就是TCP/UDP的端口，可以通過(guò)TCP/UDP的端口限定特定服務(wù)的訪問(wèn)，以及抵抗端口掃描和拒絕服務(wù)攻擊。下一項(xiàng)是TCP的標(biāo)志位ACK等等。通過(guò)這一項(xiàng)的檢查，我們就可以判斷一個(gè)連接它的建立情況是否合法。

我們?cè)賮?lái)看包過(guò)濾防火墻的配置，包過(guò)濾防火墻主要就是要制定一個(gè)安全的策略，根據(jù)剛才看到的判據(jù)，我們來(lái)確定哪些服務(wù)是允許的，而哪些服務(wù)應(yīng)該被拒絕？哪些類型的包，哪些類型的包字段以及地址是允許的，而另外一些是不允許的，然后將這個(gè)安全的策略轉(zhuǎn)換成包過(guò)濾的規(guī)則。

接下來(lái)我們看一下包過(guò)濾的規(guī)則。包過(guò)濾的規(guī)則是以表格形式來(lái)組織的，又稱為訪問(wèn)控制列表，它是以某種次序排列的條件和動(dòng)作的序列。

下面有一個(gè)私立表格，這個(gè)就是一個(gè)包過(guò)濾的規(guī)則表，這個(gè)表格當(dāng)中的前邊的若干列都是規(guī)則的條件，而最后一列行為就是規(guī)則的動(dòng)作序列，也就是說(shuō)前面的條件是用來(lái)匹配數(shù)據(jù)包的，如果說(shuō)某一個(gè)數(shù)據(jù)包匹配了，某一條規(guī)則命中了，這個(gè)時(shí)候針對(duì)這個(gè)數(shù)據(jù)包采取的動(dòng)作序列，或者說(shuō)采取的行為，就是由最后一列行為來(lái)決定的。

我們可以看一下這個(gè)表當(dāng)中總共有5條規(guī)則。

我們首先來(lái)看規(guī)則a,規(guī)則a指定了一個(gè)202打頭的源IP地址，然后目的地址是內(nèi)部網(wǎng)絡(luò)，也就是目的IP是內(nèi)部的一個(gè)網(wǎng)絡(luò)IP地址，然后接下來(lái)協(xié)議源端口目的、端口、碼字位都是所有最后行為是拒絕，這條規(guī)則的意義就是說(shuō)一個(gè)數(shù)據(jù)包如果它來(lái)自于語(yǔ)言IP地址202.110.8.0，它到內(nèi)部網(wǎng)絡(luò)，不管它是采用什么樣的協(xié)議，什么樣的源端口、目的、端口、碼字位，都會(huì)把這個(gè)數(shù)據(jù)包拒絕。這個(gè)實(shí)際上是一條黑名單規(guī)則，也就是說(shuō)我們把這個(gè)原IP地址202點(diǎn)110.8.0加入了黑名單，凡是來(lái)自于這個(gè)黑名單這個(gè) IP地址的數(shù)據(jù)包，我們不管它是要到內(nèi)部網(wǎng)絡(luò)當(dāng)中的哪一個(gè)IP，采用什么協(xié)議什么端口，都把它給拒絕，都把它丟棄。第二條也就是說(shuō)內(nèi)部網(wǎng)絡(luò)的主機(jī)，不管哪臺(tái)主機(jī)采用什么協(xié)議什么端口，凡是你要到達(dá)這個(gè)202.110.80，這個(gè)IP地址的數(shù)據(jù)包，都不允許，都不讓你出去。然后第三條規(guī)則c它的原地址是一個(gè)內(nèi)部網(wǎng)絡(luò)的地址，目的地址是一個(gè)外部網(wǎng)絡(luò)地址，協(xié)議是TCP的，然后這個(gè)源端口是任意的，而這個(gè)目的端口是80，碼子位是任意的。這條規(guī)則就是允許內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)發(fā)起一個(gè)TCP的針對(duì)80端口的這樣一種訪問(wèn)請(qǐng)求，而80端口通常綁定到web上面，所以這一條實(shí)際上就是防火墻允許從內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)發(fā)起一個(gè) web的請(qǐng)求，也就是通常允許內(nèi)部用戶去訪問(wèn)外部的一個(gè)網(wǎng)站，去發(fā)起一個(gè)請(qǐng)求。接下來(lái)第4條規(guī)則d實(shí)際上是對(duì)剛才第3條規(guī)則c的一個(gè)回應(yīng)，也就是說(shuō)內(nèi)部的用戶，你發(fā)起一個(gè)外部的外部訪問(wèn)請(qǐng)求之后，外部的網(wǎng)站對(duì)應(yīng)答也要是被允許的，那這樣的話才能夠完成一次訪問(wèn)。所以第4條規(guī)則就是允許外部地址向內(nèi)部地址進(jìn)行一個(gè)應(yīng)答，進(jìn)行一個(gè)TCP80端口的應(yīng)答。最后一條規(guī)則，前面的條件全部都是所有最后是拒絕。最后一條規(guī)則就是如果不滿足上面4條規(guī)則當(dāng)中的任何一條，就把它全部拒絕?？偟膩?lái)看，這樣一個(gè)規(guī)則表，它就是將其中的202.110.80這個(gè)IP地址拉黑了放到了黑名單，同時(shí)允許由內(nèi)部發(fā)起的向外部的web服務(wù)器的一個(gè)訪問(wèn)請(qǐng)求，其他所有的通信都是被阻斷的。然后就應(yīng)用包過(guò)濾規(guī)則表，然后來(lái)對(duì)這個(gè)包進(jìn)行一個(gè)檢查。首先應(yīng)用第一條包過(guò)濾規(guī)則，來(lái)檢查一下這條規(guī)則是否匹配當(dāng)前這個(gè)數(shù)據(jù)包，如果命中的話，我們看一下是否允許傳輸，如果允許傳輸?shù)脑?，我們就把這個(gè)包通過(guò)。然后如果不允許傳輸，我們看一下這個(gè)包是否應(yīng)該被阻斷，如果是被阻斷的話，就把這個(gè)包給阻塞就是丟棄。否則的話就這個(gè)包既沒(méi)有被允許也沒(méi)有被阻斷的話，就要來(lái)看一下當(dāng)前是否是最后一條規(guī)則，如果不是的話，就繼續(xù)重復(fù)應(yīng)用下一個(gè)包裹的規(guī)則，

然后再對(duì)這個(gè)包進(jìn)行匹配，檢查是否允許還是阻斷。

我們?cè)賮?lái)看一下規(guī)則制定的一些注意事項(xiàng)。第一個(gè)就是協(xié)議的雙向性，就是很多網(wǎng)絡(luò)協(xié)議它是代表了通信雙方的交互，包含了兩個(gè)方向，像剛才看到的web訪問(wèn)實(shí)際上會(huì)有一個(gè)請(qǐng)求的一個(gè)方向，還有一個(gè)應(yīng)答的方向，這兩個(gè)方向是相向而行的，通常就是一方請(qǐng)求，而另外一方應(yīng)答，我們?cè)谥贫ㄒ?guī)則的時(shí)候就要注意我們要允許請(qǐng)求，如果我們?cè)试S一方發(fā)送請(qǐng)求出去的話，這個(gè)時(shí)候另一方返回的應(yīng)答，也應(yīng)該設(shè)置相應(yīng)的規(guī)則，讓他通過(guò)。

第二個(gè)是向內(nèi)和向外，防火墻在網(wǎng)絡(luò)邊界這個(gè)地方就自然把網(wǎng)絡(luò)分成內(nèi)部和外部，那這個(gè)時(shí)候向內(nèi)和向外就是兩個(gè)方向，這個(gè)時(shí)候要準(zhǔn)確的理解，因?yàn)橥ǔ７阑饓λ且粋€(gè)單向控制的這樣一個(gè)設(shè)備，往往是一個(gè)嚴(yán)進(jìn)寬出的這樣一種策略。

另外還要注意這個(gè)默認(rèn)允許與默認(rèn)拒絕，默認(rèn)拒絕就是沒(méi)有明確的允許就應(yīng)該被拒絕，這個(gè)是一個(gè)最小的特權(quán)原則的一個(gè)體現(xiàn)。像剛才看到，這個(gè)包過(guò)濾規(guī)則的事例當(dāng)中，最后一條規(guī)則就是默認(rèn)拒絕，沒(méi)有命中所有的允許通過(guò)的規(guī)則，就把你的數(shù)據(jù)包給攔截下來(lái)，默認(rèn)允許就是沒(méi)有明確的被拒絕，被攔截的數(shù)據(jù)包就應(yīng)該是允許的，就是讓他通過(guò)這個(gè)規(guī)則它就沒(méi)有體現(xiàn)最小特權(quán)。

從安全的角度來(lái)講，使用這個(gè)體現(xiàn)了最小特權(quán)原則的默認(rèn)拒絕規(guī)則，更合適更安全。

接下來(lái)我們來(lái)看一下包過(guò)濾的優(yōu)點(diǎn)，包過(guò)濾的優(yōu)點(diǎn)一方面就是不改動(dòng)應(yīng)用程序，它對(duì)用戶來(lái)說(shuō)是透明的，設(shè)置這樣一個(gè)包過(guò)濾規(guī)則，并不要求應(yīng)用程序或者通信的用戶任何的設(shè)置，他甚至是感知不到這個(gè)包過(guò)濾防火墻的存在的。第二條就是包過(guò)濾可以在路由器上面來(lái)實(shí)現(xiàn)。通過(guò)添加一個(gè)包過(guò)濾的規(guī)則表，就可以讓路由器具備防火墻的功能，從而協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò)。所以說(shuō)早期的包過(guò)濾防火墻都是在路由器上面來(lái)實(shí)施的原因。然后包過(guò)濾防火墻它的另外一個(gè)優(yōu)點(diǎn)就是速度快效率高，因?yàn)樗鼨z查每一個(gè)包過(guò)濾規(guī)則可以快速的進(jìn)行匹配和操作。

有優(yōu)點(diǎn)就自然有缺點(diǎn)。我們看一下包過(guò)濾防火墻它的缺點(diǎn)。一個(gè)缺點(diǎn)就是維護(hù)困難，包過(guò)濾防火墻，它的核心就是規(guī)則表，要正確的制定規(guī)則表是比較困難的，特別是規(guī)則表，它的規(guī)模它的條數(shù)越來(lái)越多，規(guī)模增大之后，它變得越來(lái)越復(fù)雜，難以測(cè)試，要通過(guò)構(gòu)造數(shù)據(jù)包，然后來(lái)準(zhǔn)確的命中規(guī)則表當(dāng)中每一條規(guī)則加以測(cè)試是很困難的。所以規(guī)則表它的結(jié)構(gòu)出現(xiàn)漏洞的可能性也會(huì)增大。包過(guò)濾防火墻它的第二個(gè)缺點(diǎn)是安全性低，當(dāng)包過(guò)濾防火墻發(fā)生了故障或者配置存在錯(cuò)誤的時(shí)候，容易讓數(shù)據(jù)包直接通過(guò)。我們剛才看到包過(guò)濾的規(guī)則表，它的順序是非常關(guān)鍵的，如果一條如果一個(gè)數(shù)據(jù)包本來(lái)應(yīng)該被一條規(guī)則給阻止的，結(jié)果這個(gè)時(shí)候由于這個(gè)規(guī)則表的順序設(shè)置不正確，錯(cuò)誤的把一條允許數(shù)據(jù)包通過(guò)的規(guī)則，然后把它放到了前面那這個(gè)時(shí)候這個(gè)本應(yīng)該被攔截的數(shù)據(jù)包就會(huì)被放過(guò)去。包過(guò)濾防火墻，它基于IP地址IP字段的很多信息來(lái)進(jìn)行這個(gè)匹配，決定數(shù)據(jù)包是允許還是通過(guò)，但是它本身不能防止IP欺騙。比如我們剛才看到的那個(gè)包過(guò)濾規(guī)則，示例表當(dāng)中的一條規(guī)則是把這個(gè)202.110.8.0這個(gè)IP地址列入到了黑名單。這個(gè)時(shí)候如果攻擊者它采用IP欺騙的方式，它的IP地址本來(lái)是這個(gè)IP，他把它修改為了另外一個(gè)IP的話，它就可以躲過(guò)這個(gè)黑名單的攔截。

包過(guò)濾防火墻，它不能根據(jù)狀態(tài)信息進(jìn)行控制。剛才看到包過(guò)濾的規(guī)則表，它實(shí)際上是一個(gè)靜態(tài)的規(guī)則表，它不能反映一些動(dòng)態(tài)的狀況進(jìn)行動(dòng)態(tài)的跟蹤和控制。

另外，包過(guò)濾防火墻它是工作在網(wǎng)絡(luò)層，并且要檢查部分傳輸層的信息，并且還要檢查部分傳輸成TCP/UDP。另外包過(guò)濾，防火墻工作在網(wǎng)絡(luò)層同時(shí)要部分檢查傳輸成TCP/UDP 的包頭信息，它就不能處理更上層的信息，所以就無(wú)法對(duì)網(wǎng)絡(luò)上面流動(dòng)的信息提供全面的控制。它只檢查報(bào)文的頭部字段對(duì)更高層的協(xié)議，例如應(yīng)用層上面的協(xié)議不具備理解能力。包過(guò)濾防火墻它無(wú)法執(zhí)行某些安全的策略，不支持有效的用戶認(rèn)證，因?yàn)樗幵诰W(wǎng)絡(luò)層，它是不能對(duì)網(wǎng)絡(luò)上層的用戶提供這個(gè)識(shí)別的。

9.4 應(yīng)用代理防火墻

接下來(lái)我們來(lái)介紹應(yīng)用代理防火墻。

應(yīng)用代理防火墻工作站應(yīng)用層，又叫做應(yīng)用層網(wǎng)關(guān)，它使用這個(gè)代理技術(shù)，所謂代理技術(shù)代理二字，意義就是代替辦理代為辦理的意思，它與包過(guò)濾技術(shù)完全不同，完全的阻隔網(wǎng)絡(luò)通信，它在通信的兩端，通常是客戶端和服務(wù)器之間起到一個(gè)中轉(zhuǎn)和代辦的作用。應(yīng)用代理防火墻它需要理解應(yīng)用協(xié)議和應(yīng)用的上下文信息，然后代理用戶與遠(yuǎn)端的服務(wù)器進(jìn)行連接，具體而言，它需要接收分析客戶的這個(gè)服務(wù)請(qǐng)求。如果這個(gè)請(qǐng)求是經(jīng)過(guò)授權(quán)的被允許的，就代理用戶去取得他所需要訪問(wèn)的信息或者資源，然后再將這個(gè)取得的信息和資源，然后轉(zhuǎn)發(fā)到客戶端。這個(gè)時(shí)候內(nèi)外網(wǎng)之間，用戶和服務(wù)器之間，它不再直接通信，而通過(guò)代理服務(wù)器進(jìn)行中轉(zhuǎn)通信，這個(gè)可以類比我們生活當(dāng)中使用的代購(gòu)、外賣和中介，這些機(jī)構(gòu)，然后將客戶與商家進(jìn)行了隔離?；ヂ?lián)網(wǎng)應(yīng)用層的應(yīng)用有很多，應(yīng)用代理服務(wù)器就需要為每一種應(yīng)用服務(wù)，編制專門的代理程序，然后對(duì)應(yīng)用程序它的數(shù)據(jù)進(jìn)行檢查，實(shí)現(xiàn)比包過(guò)濾防火墻更嚴(yán)格的安全策略。應(yīng)用代理防火墻使用代理服務(wù)器來(lái)完成工作。我們?cè)谑褂糜?jì)算機(jī)和使用網(wǎng)絡(luò)的時(shí)候，有時(shí)候也會(huì)用到這個(gè)代理服務(wù)器，比如打開internet選項(xiàng)，然后選擇連接這個(gè)頁(yè)面，然后在這個(gè)頁(yè)面的下方選擇局域網(wǎng)設(shè)置，在這里頭我們就可以看到可以設(shè)置代理服務(wù)器的地方，可以設(shè)一個(gè)代理服務(wù)器的地址和這個(gè)相應(yīng)的端口。通過(guò)這個(gè)頁(yè)面我們可以設(shè)置不同類型的代理服務(wù)器，有代理這個(gè) HTTP的，有代理FTP的，還有代理Gopher的等等不同應(yīng)用的這個(gè)代理服務(wù)器，這個(gè)代理服務(wù)器通常是早期網(wǎng)絡(luò)可能是由一個(gè)一個(gè)的局域網(wǎng)構(gòu)成，而有些局網(wǎng)可能不具備連接互聯(lián)網(wǎng)的這個(gè)通道，這個(gè)時(shí)候可以選擇設(shè)置代理服務(wù)器，這些代理服務(wù)器它是連接到了internet的，這個(gè)時(shí)候就可以通過(guò)代理服務(wù)器接入互聯(lián)網(wǎng)實(shí)現(xiàn)聯(lián)網(wǎng)。

接下來(lái)我們來(lái)看一下代理服務(wù)器它的工作原理。

如圖所示，代理服務(wù)器位于客戶機(jī)與服務(wù)器之間，然后阻斷它們之間的直接通信，然后這個(gè)代理服務(wù)器從內(nèi)部網(wǎng)絡(luò)接受并且分析客戶端它的應(yīng)用請(qǐng)求。如果這個(gè)請(qǐng)求是被授權(quán)的是安全的，這個(gè)時(shí)候代理服務(wù)器就代表客戶端與外部真實(shí)的服務(wù)器進(jìn)行通信，實(shí)際上就是把這個(gè)客戶端的這個(gè)訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給真實(shí)的服務(wù)器，真實(shí)服務(wù)器接受這個(gè)請(qǐng)求之后，它就會(huì)進(jìn)行相應(yīng)的響應(yīng)，那這個(gè)時(shí)候代理服務(wù)器再把這個(gè)服務(wù)器的響應(yīng)接收回來(lái)，然后進(jìn)行相應(yīng)的安全檢查，然后再轉(zhuǎn)發(fā)給客戶機(jī)。這里代理服務(wù)器它的工作就類比一個(gè)中間商，在客戶機(jī)與服務(wù)器之間起到一個(gè)中轉(zhuǎn)代理的作用。這個(gè)代理服務(wù)器最流行的方式就是雙宿主網(wǎng)關(guān)的方式，這個(gè)宿主實(shí)際上就代表網(wǎng)絡(luò)的接口，雙宿主網(wǎng)關(guān)就是這樣一個(gè)代理服務(wù)器，然后起到一個(gè)網(wǎng)關(guān)的作用，它有兩個(gè)網(wǎng)絡(luò)接口，一個(gè)網(wǎng)絡(luò)接口面向客戶機(jī)，然后它起到一個(gè)代理服務(wù)器的作用，它代表的是外部的服務(wù)器與客戶機(jī)進(jìn)行交互，另外一端就面向真實(shí)的服務(wù)器，它又起到一個(gè)代理客戶機(jī)的作用，代替客戶機(jī)與真實(shí)服務(wù)器進(jìn)行交互。

接下來(lái)我們來(lái)看一下代理服務(wù)器的主要功能。一個(gè)就是剛才我們提到的充當(dāng)防火墻，限制內(nèi)外網(wǎng)間的這個(gè)直接相互訪問(wèn)，實(shí)施訪問(wèn)控制的策略。第二個(gè)就是可以節(jié)省IP開銷。知道IPV4這個(gè)IP地址是非常緊俏的，特別我國(guó)分到的合法的外部的IP地址非常有限，使用代理服務(wù)器，對(duì)外就可以只有一個(gè)合法的外部IP地址，然后內(nèi)部使用這個(gè)內(nèi)部的地址，然后通過(guò)代理服務(wù)器實(shí)現(xiàn)內(nèi)部地址跟外部地址之間的一個(gè)映射，這樣的話就不需要租用過(guò)多的IP地址，實(shí)現(xiàn)IP地址的這個(gè)節(jié)約。然后第三個(gè)就是可以提高訪問(wèn)速度，就是當(dāng)客戶本身的帶寬較小的時(shí)候，可以通過(guò)接入帶寬較大的代理服務(wù)器實(shí)現(xiàn)與目標(biāo)主機(jī)的連接，從而提高訪問(wèn)速度。另外就是代理緩沖，代理很多，它具有一個(gè)比較大的緩沖區(qū)，它可以把用戶經(jīng)常訪問(wèn)的一些資源，比如說(shuō)網(wǎng)頁(yè)或者數(shù)據(jù)緩存起來(lái)。當(dāng)用戶來(lái)訪問(wèn)服務(wù)器的時(shí)候，如果他要訪問(wèn)的資源或者數(shù)據(jù)在本身的緩沖當(dāng)中，那這樣的話也可以起到一個(gè)提高網(wǎng)絡(luò)訪問(wèn)速度的作用。

這里我們通過(guò)下圖來(lái)說(shuō)明一下代理防火墻它的工作模型。

下圖當(dāng)中我們可以看到有一個(gè)局域網(wǎng)，局域網(wǎng)當(dāng)中包含了若干臺(tái)的主機(jī)，客戶機(jī)，然后通過(guò)互聯(lián)網(wǎng)連接了一個(gè)公共服務(wù)器，有若干的服務(wù)器，這個(gè)時(shí)候在這兩者之間有局域網(wǎng)網(wǎng)關(guān)，還有就是代理防火墻，這個(gè)時(shí)候客戶機(jī)如果要訪問(wèn)公共服務(wù)器，它就會(huì)向服務(wù)器發(fā)起一個(gè)請(qǐng)求，這個(gè)請(qǐng)求會(huì)被位于網(wǎng)絡(luò)邊界的代理防火墻給截?cái)?，然后代理防火墻就檢查這個(gè)客戶機(jī)他的請(qǐng)求是否是安全的，是否是被允許的。如果這個(gè)請(qǐng)求是被允許的是安全的，這個(gè)時(shí)候代理防火墻就重新產(chǎn)生一個(gè)這個(gè)訪問(wèn)請(qǐng)求，然后把它發(fā)送給公共服務(wù)器，然后公共服務(wù)器對(duì)這個(gè)請(qǐng)求進(jìn)行的響應(yīng)，又被代理防火墻接受過(guò)來(lái)，然后再來(lái)進(jìn)行相應(yīng)的安全檢查，把一些可能不安全的一些不健康的內(nèi)容可以做一些過(guò)濾，施加一些安全的規(guī)則或者策略在里頭，然后將這個(gè)經(jīng)過(guò)處理的過(guò)濾的這些響應(yīng)，再把它返回給客戶機(jī)，返回給用戶。

接下來(lái)我們來(lái)看一下代理服務(wù)器如何利用緩存來(lái)提高用戶的訪問(wèn)速度。

這里有一張圖，有一個(gè)遠(yuǎn)程計(jì)算機(jī)，然后要訪問(wèn)有一臺(tái)遠(yuǎn)程計(jì)算機(jī)，要通過(guò)internet訪問(wèn)遠(yuǎn)端的一個(gè)web服務(wù)器，這個(gè)web服務(wù)器它的前端是一個(gè)代理服務(wù)器，這個(gè)時(shí)候遠(yuǎn)程計(jì)算機(jī)遠(yuǎn)程的客戶機(jī)來(lái)訪問(wèn)這個(gè) web服務(wù)器的時(shí)候，他的訪問(wèn)請(qǐng)求就會(huì)先經(jīng)過(guò)代理服務(wù)器，而這個(gè)代理服務(wù)器有一個(gè)比較大的緩存，這個(gè)緩存會(huì)將很多用戶頻繁訪問(wèn)的一些資源，比如說(shuō)網(wǎng)頁(yè)它會(huì)把它緩存起來(lái)，這個(gè)時(shí)候當(dāng)用戶的訪問(wèn)請(qǐng)求到了代理服務(wù)器之后，代理服務(wù)器會(huì)分析用戶的訪問(wèn)請(qǐng)求，查看客戶要訪問(wèn)的資源是否在他的緩存里面，如果在代理服務(wù)器的緩存里面，代理服務(wù)器就可以直接從它的緩存當(dāng)中把用戶需要訪問(wèn)的資源數(shù)據(jù)返回給用戶，從而可以實(shí)現(xiàn)一個(gè)快速的響應(yīng)。如果這個(gè)緩存當(dāng)中沒(méi)有用戶要訪問(wèn)和請(qǐng)求的資源，也就是說(shuō)這個(gè)緩存沒(méi)有命中，這個(gè)時(shí)候代理服務(wù)器再把用戶的這個(gè)訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)到真正的web服務(wù)器，然后再去取這個(gè)外部服務(wù)器上的資源反饋給用戶。

接下來(lái)我們來(lái)看一下代理服務(wù)器它的配置與實(shí)現(xiàn)。

代理服務(wù)器位于內(nèi)外網(wǎng)絡(luò)之間，通常部署成一個(gè)雙數(shù)組的網(wǎng)關(guān)，雙數(shù)組就會(huì)有兩個(gè)網(wǎng)絡(luò)接口，通俗而言就是有兩個(gè)網(wǎng)卡，一個(gè)網(wǎng)卡對(duì)外連接到互聯(lián)網(wǎng)internet，一個(gè)對(duì)內(nèi)就連接到內(nèi)部的網(wǎng)絡(luò)，通常這樣一個(gè)結(jié)構(gòu)叫做堡壘主機(jī)結(jié)構(gòu)，也就是代理服務(wù)器工作在內(nèi)外網(wǎng)之間形成一個(gè)攻防的堡壘。

接下來(lái)我們來(lái)分析一下代理技術(shù)它的優(yōu)缺點(diǎn)。

首先看優(yōu)點(diǎn)。代理技術(shù)代理防火墻工作在應(yīng)用層，它必須要理解應(yīng)用層的具體內(nèi)容，它就能夠過(guò)濾數(shù)據(jù)內(nèi)容，因?yàn)樗梢岳斫鈹?shù)據(jù)，所以就可以實(shí)時(shí)過(guò)濾。第二就是它可以完全的控制會(huì)話，安全性比包過(guò)濾防護(hù)墻要高。另外由于可以完整的控制會(huì)話，它就可以提供詳細(xì)的日志和安全審計(jì)功能。然后另外代理技術(shù)可以方便的與其他的安全手段集成，包括認(rèn)證加密，然后代理技術(shù)，然后代理防火墻可被配置成唯一的可被外部看見的主機(jī)，從而防止對(duì)外網(wǎng)暴露內(nèi)網(wǎng)的結(jié)構(gòu)。最后，代理技術(shù)可以解決IP地址不夠用的問(wèn)題。

我們?cè)賮?lái)看缺點(diǎn)，代理技術(shù)的一個(gè)缺點(diǎn)就是難于配置，因?yàn)榇硇枰槍?duì)每個(gè)應(yīng)用單獨(dú)來(lái)開發(fā)代理進(jìn)程，這個(gè)就要求理解每項(xiàng)應(yīng)用協(xié)議它的弱點(diǎn)，并且合理的配置安全策略，

這個(gè)工作量是比較大的，配置比較繁瑣，難以理解，就容易出現(xiàn)這個(gè)配置錯(cuò)誤，最終影響這個(gè)安全防護(hù)能力。第二個(gè)缺點(diǎn)是處理速度慢，代理技術(shù)它位于客戶機(jī)與服務(wù)器之間，完全的阻斷了兩者的直接連接，一個(gè)連接改為兩個(gè)連接，勢(shì)必造成網(wǎng)絡(luò)延遲的增加和這個(gè)網(wǎng)絡(luò)通信開銷的增加。

第二就是每個(gè)應(yīng)用會(huì)話都需要開一個(gè)單獨(dú)的代理進(jìn)程，處理延遲就會(huì)增大，能夠處理的會(huì)話和連接性是有限的。

第三個(gè)缺點(diǎn)是對(duì)用戶是不透明的，因?yàn)樵趹?yīng)用層要對(duì)每個(gè)應(yīng)用要開發(fā)獨(dú)立的這個(gè)代理進(jìn)程，可能有些還需要我們用戶來(lái)進(jìn)行相應(yīng)的配置，比如配置代理服務(wù)器的這個(gè)地址端口等等，對(duì)用戶不透明就會(huì)帶來(lái)一定的開銷，降低用戶效率。然后第4點(diǎn)就是代理服務(wù)，他不能保證免受所有協(xié)議弱點(diǎn)的限制。還有代理技術(shù)，它是工作在應(yīng)用層，這個(gè)時(shí)候它對(duì)底層協(xié)議的安全性就沒(méi)有改善，不能改進(jìn)底層協(xié)議的安全性。

9.5 電路級(jí)網(wǎng)關(guān)

接下來(lái)我們來(lái)看電路級(jí)網(wǎng)關(guān)。

電路級(jí)網(wǎng)關(guān)是工作在會(huì)話層或者傳輸層，監(jiān)控內(nèi)外主機(jī)之間的TCP握手信息，決定這個(gè)會(huì)話是否是合法的，具體而言，它就是接收客戶端的TCP連接請(qǐng)求，然后代理客戶端與服務(wù)端完成這個(gè)三次握手，完成網(wǎng)絡(luò)連接。進(jìn)一步他檢查雙方的SOCKS和序列數(shù)據(jù)是否合邏輯，來(lái)判斷這個(gè) TCP的連接請(qǐng)求是否是合法的，合法就幫助通信的雙方建立連接，如果不合法就丟棄。一旦這個(gè)連接建立好了之后，它就僅在客戶與服務(wù)器之間進(jìn)行中轉(zhuǎn)數(shù)據(jù)，也就是轉(zhuǎn)發(fā)，也就是復(fù)制和傳遞這個(gè)數(shù)據(jù)，而不進(jìn)行其他的過(guò)濾。使用這個(gè)Socks，協(xié)議的電路稱網(wǎng)關(guān)是最流行的，叫做Socks代理，Socks代理又叫做通用代理服務(wù)器，有時(shí)候又叫做透明代理服務(wù)器，它跟我們前面介紹的應(yīng)用層代理不一樣，由于工作的層次不一樣，他工作在更下層，它只簡(jiǎn)單的傳輸數(shù)據(jù)，而不關(guān)心它是何種應(yīng)用協(xié)議，比其他應(yīng)用代理要快得多，通常綁定在1080端口上面。我們可以通過(guò)前面介紹的在internet選項(xiàng)當(dāng)中，在設(shè)置代理服務(wù)器的這個(gè)頁(yè)面當(dāng)中，我們可以Socks代理的設(shè)置，上面幾種就是針對(duì)應(yīng)用層的不同的協(xié)議提供的代理服務(wù)，而這個(gè)Socks代理就是在會(huì)話層或者傳輸層提供的這個(gè)通用代理服務(wù)器，一旦在這個(gè)地方設(shè)置了代理服務(wù)的話，它就可以被上層的各種不同的應(yīng)用所共享。剛才看到電路級(jí)網(wǎng)關(guān)只在TCP建立連接的過(guò)程當(dāng)中發(fā)揮作用，它的安全性相對(duì)較弱，常用于向外的連接，因?yàn)榉阑饓ν菆?zhí)行一個(gè)嚴(yán)進(jìn)寬出的策略，就是對(duì)進(jìn)入到網(wǎng)絡(luò)內(nèi)部的流量進(jìn)行嚴(yán)格的管控，但是對(duì)出去的流量不嚴(yán)格的控制。

我們前面介紹的雙宿主主機(jī)的堡壘主機(jī)可以設(shè)置成為混合網(wǎng)關(guān)，對(duì)外出的連接可以采用電路層的網(wǎng)關(guān)，方便內(nèi)部用戶去訪問(wèn)internet的服務(wù)。然后對(duì)進(jìn)入網(wǎng)絡(luò)內(nèi)部的這個(gè)連接，采用應(yīng)用層的網(wǎng)關(guān)，然后提供保護(hù)內(nèi)部網(wǎng)絡(luò)免于受到外部攻擊的這個(gè)應(yīng)用代理服務(wù)器的防火墻功能。網(wǎng)絡(luò)地址轉(zhuǎn)換也是電動(dòng)車網(wǎng)關(guān)常常提供的一個(gè)功能。這個(gè)網(wǎng)絡(luò)地址轉(zhuǎn)換就是將內(nèi)部網(wǎng)絡(luò)的主機(jī)地址，然后轉(zhuǎn)換為某一個(gè)固定的或者某個(gè)范圍內(nèi)的外部合法IP地址。這樣的話一方面可以節(jié)省IP地址，另一方面可以使外部網(wǎng)絡(luò)的主機(jī)攻擊者沒(méi)有辦法探測(cè)到內(nèi)部網(wǎng)絡(luò)的這個(gè)結(jié)構(gòu)和這個(gè)主機(jī)。

這個(gè)網(wǎng)絡(luò)地址的轉(zhuǎn)換有幾種類型。

一種就是靜態(tài)的網(wǎng)絡(luò)地址轉(zhuǎn)換，靜態(tài)的網(wǎng)絡(luò)地址轉(zhuǎn)換是將內(nèi)部的CUIP地址轉(zhuǎn)換為外部的公有IP地址，一對(duì)一的轉(zhuǎn)換，固定的轉(zhuǎn)換。

第二種是動(dòng)態(tài)地址轉(zhuǎn)換，就是將內(nèi)部的IP地址隨機(jī)的轉(zhuǎn)換為多個(gè)合法的外部IP地址當(dāng)中的一個(gè)。

第三類是端口轉(zhuǎn)換，內(nèi)部所有的主機(jī)對(duì)外共享一個(gè)外部的合法IP地址，這個(gè)時(shí)候內(nèi)部IP地址加上它的源端口，就可以把它映射到這個(gè)外部的合法IP地址，它的大于1024的這個(gè)端口上面去，因?yàn)檫@個(gè)小于1024的端口是一些公共的固定的這個(gè)端口，已經(jīng)綁定到一些合法的服務(wù)上了，所以通常會(huì)把它映射到大于1024的端口上面。

9.6 狀態(tài)檢測(cè)防火墻

下面我們來(lái)介紹狀態(tài)檢測(cè)防火墻，狀態(tài)檢測(cè)防火墻采用狀態(tài)檢測(cè)，包過(guò)濾技術(shù)，它是基于連接狀態(tài)的一種檢測(cè)機(jī)制，它在包過(guò)濾的同時(shí)檢查數(shù)據(jù)包之間的關(guān)聯(lián)性，將同一個(gè)連接的所有數(shù)據(jù)包作為一個(gè)整體的數(shù)據(jù)流看待，包括從連接的發(fā)起到結(jié)束的這樣一個(gè)全過(guò)程，然后構(gòu)成連接狀態(tài)表。它要檢查包括鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層的各種信息，結(jié)合包過(guò)濾規(guī)則表和狀態(tài)表，決定一個(gè)包是否允許通過(guò)。狀態(tài)檢測(cè)防火墻它的核心就是動(dòng)態(tài)的連接狀態(tài)表，它的數(shù)據(jù)或者說(shuō)它的表象，一個(gè)就是以前的通信信息，也就是當(dāng)前已經(jīng)建立好的TCP連接，

然后另外就是相關(guān)應(yīng)用程序的信息，這種技術(shù)支持多種協(xié)議和應(yīng)用可以方便的實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。

這里有一張圖是TCP的狀態(tài)轉(zhuǎn)換圖，從這張圖當(dāng)中我們可以看到，TCP從這個(gè)三次握手開始到這個(gè)連接建立的數(shù)據(jù)傳輸狀態(tài)，以及這個(gè)連接的關(guān)閉過(guò)程，各個(gè)狀態(tài)以及狀態(tài)之間的轉(zhuǎn)換的過(guò)程。狀態(tài)檢測(cè)防火墻就是通過(guò)狀態(tài)連接表去反映TCP的狀態(tài)以及狀態(tài)之間的改變。如果屬于合法的TCP狀態(tài)或者TCP連接，我們就允許它通過(guò)，如果不合法的話，我們就把它拒絕。

這里我們對(duì)比一下包過(guò)濾規(guī)則跟狀態(tài)檢測(cè)規(guī)則，上面就是包過(guò)率規(guī)則，包過(guò)率規(guī)則前面介紹過(guò)分成了兩個(gè)部分，每一條規(guī)則前面是條件，后面是這個(gè)條件的相應(yīng)的操作。下面是一個(gè)示例的狀態(tài)檢測(cè)規(guī)則表，有三條規(guī)則，第一條規(guī)則就是數(shù)據(jù)包是先前連接的一部分，也就是當(dāng)前這個(gè)數(shù)據(jù)包在之前已經(jīng)建立好連接了，這個(gè)數(shù)據(jù)包是它的一部分，那這個(gè)時(shí)候這個(gè)數(shù)據(jù)包就是一個(gè)合法的數(shù)據(jù)包，相應(yīng)的行為就是允許的，允許通過(guò)。第二條就是先前有出站的數(shù)據(jù)包，當(dāng)前這個(gè)數(shù)據(jù)包就是對(duì)先前出站的數(shù)據(jù)包的一個(gè)應(yīng)答，這個(gè)數(shù)據(jù)包也應(yīng)該是被允許的。第三條就是其他就是不滿足前兩條規(guī)則，就是其他的數(shù)據(jù)包，這些數(shù)據(jù)包就是被拒絕的不合法，這里是一個(gè)狀態(tài)表的示例，這個(gè)就根據(jù)剛才的狀態(tài)檢測(cè)規(guī)則，然后來(lái)形成的一個(gè)狀態(tài)表，這個(gè)狀態(tài)表當(dāng)中就包含了當(dāng)前已經(jīng)建立好的若干個(gè)TCP連接，每一條就是一個(gè)連接。這個(gè)狀態(tài)表會(huì)隨著網(wǎng)絡(luò)通信，然后逐漸的變得龐大，會(huì)記錄很多已經(jīng)當(dāng)前建立好的連接。當(dāng)這個(gè)狀態(tài)表比較大的時(shí)候，可以使用哈希算法來(lái)進(jìn)行快速的搜索。

接下來(lái)我們看一下狀態(tài)檢測(cè)防火墻它的工作過(guò)程。

首先在TCP連接建立之前，這個(gè)狀態(tài)表是空的，當(dāng)前還沒(méi)有連接，這個(gè)時(shí)候就使用普通包過(guò)濾的規(guī)則來(lái)進(jìn)行一個(gè)安全檢查。一旦連接建立成功了，我們就可以把這個(gè)連接添加到連接狀態(tài)表當(dāng)中，然后有了連接狀態(tài)表當(dāng)中有了相應(yīng)的表象，就可以使用這個(gè)連接狀態(tài)表去匹配當(dāng)前我們經(jīng)過(guò)的數(shù)據(jù)包進(jìn)行這個(gè)狀態(tài)的檢查。

接下來(lái)我們同樣分析一下狀態(tài)檢測(cè)防火墻它的優(yōu)缺點(diǎn)，優(yōu)點(diǎn)就是它的安全強(qiáng)度更高，配置比較靈活，然后應(yīng)用范圍也更廣。它的缺點(diǎn)是它主要檢測(cè)數(shù)據(jù)包的第3第4層的信息，沒(méi)有辦法徹底的識(shí)別數(shù)據(jù)包當(dāng)中的大量的垃圾郵件，廣告以及木馬程序。因?yàn)樗幌駪?yīng)用代理防火墻，可以完整的理解應(yīng)用層上面的信息，然后另外它也不能滿足用戶對(duì)安全性的不斷的要求。所以后面所以在狀態(tài)檢測(cè)防火墻之后，又有更深度的包檢測(cè)防火墻技術(shù)被提出來(lái)。

9.7 防火墻的局限性

剛才我們介紹了防火墻的幾種實(shí)現(xiàn)技術(shù)，接下來(lái)我們來(lái)總結(jié)分析一下防火墻的局限性。

首先就是防火墻可能被繞開,的防火墻工作在網(wǎng)絡(luò)的邊界，在內(nèi)部的網(wǎng)絡(luò)，通過(guò)撥號(hào)等等這樣一些方式，這個(gè)時(shí)候防火墻就可以被繞開，一旦防火墻被繞開之后，防火墻就不能起到一個(gè)安全控制的作用。第二是防火墻不能防范內(nèi)部攻擊，因?yàn)樗ぷ髟诰W(wǎng)絡(luò)邊界，就好比校園的保安，他工作在校門入口這個(gè)地方，它對(duì)校園內(nèi)部，宿舍，教室發(fā)生的一些安全事件，它是無(wú)能為力的，防火墻也是一樣的，無(wú)法防止內(nèi)部的人員，比如說(shuō)將這個(gè)敏感數(shù)據(jù)拷貝到U盤上面，或者在內(nèi)部進(jìn)行一些攻擊行為。第三是不能防范沒(méi)有安全意識(shí)的管理員，授予某些入侵者臨時(shí)網(wǎng)絡(luò)訪問(wèn)權(quán)限。防火墻嚴(yán)格根據(jù)這個(gè)安全的規(guī)則策略來(lái)工作，然后如果管理員授予了入侵者臨時(shí)的權(quán)限，這個(gè)時(shí)候這些入侵者的行為他是經(jīng)過(guò)授權(quán)的，在防火墻看來(lái)就是合法的，然后就是防火墻不能防止傳送被病毒感染的程序文件或者郵件，因?yàn)榉阑饓λ粚?duì)文件進(jìn)行掃描，防火墻它工作在網(wǎng)絡(luò)的出入口，它容易成為網(wǎng)絡(luò)的性能瓶頸，容易造成單點(diǎn)失效。防火墻嚴(yán)格的基于既有的這個(gè)規(guī)則，它不能防范這個(gè)新的一些安全問(wèn)題。

9.8 防火墻的體系結(jié)構(gòu)

接下來(lái)我們來(lái)介紹一下防火墻的體系結(jié)構(gòu)，防火墻的主要體系結(jié)構(gòu)包括了如下的4類，屏蔽路由器，、雙重宿主體系結(jié)構(gòu)、屏蔽主機(jī)體系結(jié)構(gòu)和屏蔽子網(wǎng)體系結(jié)構(gòu)。

首先我們來(lái)看這個(gè)屏蔽路由器結(jié)構(gòu)，這個(gè)屏蔽路由器這個(gè)體系結(jié)構(gòu)就是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，部署一個(gè)簡(jiǎn)單的包過(guò)濾防火墻，通常是在路由器上面添加一個(gè)包過(guò)濾規(guī)則表，就構(gòu)成了這樣一個(gè)體系結(jié)構(gòu)。

第二種是雙重宿主主機(jī)體系結(jié)構(gòu)，就是在內(nèi)外網(wǎng)之間，然后部署一個(gè)雙重?cái)?shù)組的這樣一個(gè)防火墻，這就構(gòu)成了一個(gè)堡壘主機(jī)，有兩個(gè)網(wǎng)絡(luò)接口，一個(gè)對(duì)內(nèi)一個(gè)對(duì)外，這個(gè)堡壘主機(jī)通常采用應(yīng)用代理的這個(gè)技術(shù)，它可以維護(hù)系統(tǒng)日志和遠(yuǎn)程的日志，當(dāng)然這個(gè)堡壘主機(jī)它的安全性就受限于這個(gè)堡壘主機(jī)了，堡壘組建的任何的安全缺陷都會(huì)影響到防火墻的安全性，要保衛(wèi)前面的屏蔽路由器就比保衛(wèi)堡壘主機(jī)要容易實(shí)現(xiàn)。一旦攻擊者侵入或者攻破了堡壘主機(jī)，這個(gè)時(shí)候這個(gè)堡壘主機(jī)就起不到它的安全作用了。所以后來(lái)就產(chǎn)生了屏蔽主機(jī)的這樣一種體系結(jié)構(gòu)。屏蔽主機(jī)就是在剛才的堡壘主機(jī)的前面，再部署一個(gè)路由器，充當(dāng)包過(guò)濾防火墻，形成了兩重的防火墻體系結(jié)構(gòu)。

接下來(lái)我們介紹屏蔽子網(wǎng)體系結(jié)構(gòu)。屏蔽子網(wǎng)體系結(jié)構(gòu)在堡壘主機(jī)的前后，分別部署了一個(gè)包裹力防火墻，一個(gè)對(duì)外一個(gè)對(duì)內(nèi)，在堡壘主機(jī)邊上就形成了一個(gè)受保護(hù)的子網(wǎng)、DMZ區(qū)，這個(gè)區(qū)域通常會(huì)放置一些需要與外界頻繁交互的服務(wù)器，比如說(shuō)郵件服務(wù)器，web服務(wù)器，通過(guò)將這些服務(wù)器放到這個(gè)區(qū)域，可以實(shí)現(xiàn)與內(nèi)部的局域網(wǎng)當(dāng)中的主機(jī)之間一個(gè)隔離，這些頻繁與外界交互的服務(wù)器，把一些安全風(fēng)險(xiǎn)引入到內(nèi)部局往來(lái)。

9.9 防火墻部署案例

我們來(lái)介紹幾個(gè)典型的防火墻部署案例。

第一個(gè)案例是一個(gè)中型的企業(yè)，這個(gè)部署方案就是剛才看到的典型的屏蔽子網(wǎng)的體系結(jié)構(gòu)，防火墻后端連接這個(gè)內(nèi)部網(wǎng)絡(luò)的是一個(gè)帶路由模塊的三層交換機(jī)，通過(guò)內(nèi)部網(wǎng)絡(luò)，又把它分成了幾個(gè)虛擬的子網(wǎng)，然后在防火墻的外面是一個(gè)路由器，通過(guò)SP互聯(lián)網(wǎng)服務(wù)提供商接入到互聯(lián)網(wǎng)internet，然后在防火墻的邊上是DMZ區(qū)，一個(gè)專門的虛擬的子網(wǎng)，然后部署了web服務(wù)器，郵件服務(wù)器跟數(shù)據(jù)庫(kù)服務(wù)器。接下來(lái)我們來(lái)看一下一個(gè)規(guī)模更大的移動(dòng)公司的案例，移動(dòng)公司在很多省市都有它自己的網(wǎng)絡(luò)，這里我們看一個(gè)某移動(dòng)公司在某一個(gè)省的網(wǎng)絡(luò)情況，首先它會(huì)有一個(gè)省中心，然后在一些重要的地市會(huì)有它的這個(gè)相應(yīng)的中心一個(gè)網(wǎng)絡(luò)，這些省中心以及地市的中心通過(guò)廣域網(wǎng)連接起來(lái)，這個(gè)省中心和其他地市的這個(gè)中心都采用這個(gè)屏蔽子網(wǎng)的這個(gè)體系結(jié)構(gòu)，只是這個(gè)防火墻它采用了雙擊的結(jié)構(gòu)，因?yàn)槲覀兦懊嬷v過(guò)防火墻容易成為一個(gè)性能的瓶頸或者單點(diǎn)失效的這樣一個(gè)點(diǎn)，所以采用雙機(jī)結(jié)構(gòu)就可以進(jìn)行互為備份。

就學(xué)校的校門一樣，如果這個(gè)校門它的流量太大了，它的安全檢查它的通行效率比較低的時(shí)候，這個(gè)時(shí)候就可以設(shè)置多道校門，然后護(hù)衛(wèi)備份，就可以疏散這個(gè)流量，緩解這個(gè)性能瓶頸和單點(diǎn)失效的問(wèn)題。

我們?cè)賮?lái)看一個(gè)外資公司的案例，這個(gè)公司總部與這個(gè)公司總部與分支機(jī)構(gòu)以及分支機(jī)構(gòu)之間要進(jìn)行一個(gè)安全的或者保密的通信，就可以利用防火墻來(lái)架設(shè)這個(gè) VPN，實(shí)現(xiàn)這個(gè)安全的保密的通信。同時(shí)遠(yuǎn)程的客戶也可以通過(guò)VPN接入到網(wǎng)絡(luò)當(dāng)中，與公司的總部或者分支機(jī)構(gòu)進(jìn)行這個(gè)安全的通信。

原創(chuàng)聲明

=======

作者： [ libin9iOak ]

本文為原創(chuàng)文章，版權(quán)歸作者所有。未經(jīng)許可，禁止轉(zhuǎn)載、復(fù)制或引用。

作者保證信息真實(shí)可靠，但不對(duì)準(zhǔn)確性和完整性承擔(dān)責(zé)任。

未經(jīng)許可，禁止商業(yè)用途。

如有疑問(wèn)或建議，請(qǐng)聯(lián)系作者。

感謝您的支持與尊重。

點(diǎn)擊下方名片，加入IT技術(shù)核心學(xué)習(xí)團(tuán)隊(duì)。一起探索科技的未來(lái)，共同成長(zhǎng)。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-509686.html

到了這里，關(guān)于《計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全》 第九章 訪問(wèn)控制技術(shù)的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！