13.防火墙体系结构包过滤型防火墙(PackageFilteringFirewall)双宿/多宿主机防火墙(Dual-Homed/Multi-HomedHostFirewall)屏蔽主机防火墙(ScreenedHostFirewall)屏蔽子网防火墙(ScreenedSubnetFirewall)其它防火墙结构23.1包过滤型防火墙包过滤型防火墙,往往可以用一台过滤路由器(ScreenedRouter)来实现,对所接收的每个数据包做允许/拒绝的决定包过滤型防火墙一般作用在网络层,故也称网络层防火墙或IP过滤器Internet内部网3查找对应的控制策略根据策略决定如何处理该数据包数据包3.1包过滤型防火墙数据包拆开数据包数据TCP报头IP报头分组过滤判断信息企业内部网UDPDiscardHostCHostBTCPPassHostCHostADestinationProtocolPermitSource包过滤规则HostCHostA43.1包过滤型防火墙路由器审查每个数据包,确定其是否与某一条包过滤规则匹配过滤规则基于可以提供给IP转发过程的包头信息,包头信息中包括:源IP地址、目标IP地址协议类型(TCP、UDP、ICMP等等)TCP/UDP源端口、目标端口ICMP消息类型TCP包头中的ACK位等53.1包过滤型防火墙对到达包过滤防火墙的数据包:规则允许该数据包通过,那么该数据包就会按照路由表中的信息被转发规则拒绝该数据包,那么该数据包就会被丢弃如果没有匹配规则,根据系统的设计策略(缺省禁止/缺省允许)决定是转发还是丢弃数据包63.1包过滤型防火墙举例:阻塞所有进入的Telnet连接路由器只需简单地丢弃所有TCP端口号等于23的数据包将进来的Telnet连接限制到内部的数台机器上路由器必须拒绝所有TCP端口号等于23并且目标IP地址不等于允许主机的IP地址的数据包73.1包过滤型防火墙优点:处理数据包的速度比较快(与代理服务器相比)在流量适中并定义较少过滤规则时,路由器的性能几乎不受影响实现包过滤几乎不再需要费用标准的路由器软件包含数据包过滤功能包过滤路由器对用户和应用来讲是透明的不必对用户进行特殊的培训不必在每台主机上安装特定的软件用户不用改变客户端程序或改变自己的行为83.1包过滤型防火墙缺点:包过滤防火墙的维护比较困难定义数据包过滤器比较复杂,网络管理员需要对各种Internet服务、包头格式、以及每个域的意义有非常深入的理解只能阻止一种类型的IP欺骗即外部主机伪装内部主机的IP,对于外部主机伪装其他可信任的外部主机的IP不能阻止任何直接经过路由器的数据包都有被用做数据驱动式攻击的潜在危险数据驱动式攻击:表面上无害的数据被邮寄或拷贝到内部主机上,但其中包含了一些隐藏的指令,一旦执行能够让主机修改访问控制和与安全有关的文件,使得入侵者能够获得对系统的访问权93.1包过滤型防火墙缺点:一些包过滤路由器不支持有效的用户认证因为IP地址是可以伪造的,因此如果没有基于用户的认证,仅通过IP地址来判断是不安全的不能提供有用的日志,或根本不提供日志随着过滤器数目的增加,路由器的吞吐量会下降IP包过滤器可能无法对网络上流动的信息提供全面的控制包过滤路由器能够允许或拒绝特定的服务,但是不能理解特定服务的上下文环境和数据103.1包过滤型防火墙应用场合机构是非集中化管理机构没有强大的集中安全策略网络的主机数非常少主要依赖于主机安全来防止入侵,但是当主机数增加到一定的程度的时候,仅靠主机安全是不够的没有使用DHCP这样的动态IP地址分配协议113.2双宿/多宿主机防火墙双宿/多宿主机:有两个或多个网络接口的计算机系统,可以连接多个网络,实现多个网络之间的访问控制双宿/多宿主机防火墙:用双宿/多宿主机实现防火墙的功能应用层代理网络接口网络接口外部网内部网123.2双宿/多宿主机防火墙特点:IP层通信被阻止双宿主机内外的网络均可与双宿主机实时通信内外网络之间不可直接通信,内外部网络之间的IP数据流被双宿主机完全切断上图:网络层路由功能未被禁止,数据包绕过防火墙应用层代理网络接口网络接口外部网内部网网络层路由133.2双宿/多宿主机防火墙两个网络之间的通信方式:应用层数据共享,用户直接登录应用层代理服务,在双宿主机上运行代理服务器应用层数据共享...
