第9章防火墙技术

第9章防火墙技术内容摘要：

构筑堡垒主机的基本原则有以下两条。 （ 1） 使堡垒主机尽可能简单 （ 2） 做好备份工作以防堡垒主机受损 1．堡垒主机的主要结构 当前堡垒主机主要采用以下 3种结构。 （ 1）无路由双宿主主机 （ 2）牺牲主机 （ 3）内部堡垒主机 2．堡垒主机的选择 （ 1）选择主机时，应选择一个可以支持多个网络接口同时处于活跃状态，从而能够向内部网用户提供多个网络服务的机器。 （ 2）建议用户选择较为熟悉的 UNIX操作系统作为堡垒主机的操作系统。 （ 3）选择堡垒主机时，不需要功能过高、速度过快的机器，而是争取做到物尽其用。 但是应使堡垒主机的内存和硬盘足够大，以保证足够的信息交换空间。 （ 4）在网络上，堡垒主机应位于 DMZ内没有机密信息流或信息流不太敏感的部分。 （ 5）在配置堡垒主机的网络服务时，应注意除了不得不提供的基本网络服务（如 SMTP， FTP， WAIS， HTTP， NNTP和 Gopher）外，应把那些内部网不使用的服务统统关闭。 而且应尽量减少堡垒主机上的用户账户数，如果有可能，应禁止一切用户账户。 防火墙的主要技术 数据包过滤技术 数据包过滤技术是在网络中的适当位置对数据包实施有选择的通过的技术。 1． 包过滤的模型 图 包过滤模型 包过滤一般要检查下面几项： （ 1） IP源地址； （ 2） IP目的地址； （ 3） 协议类型 （ TCP包 、 UDP包和 ICMP包 ） ； （ 4） TCP或 UDP的源端口； （ 5） TCP或 UDP的目的端口； （ 6） ICMP消息类型； （ 7） TCP报头中的 ACK位。 另外 ， TCP的序列号 、 确认号 ， IP校验以及分段偏移也往往是要检查的选项。 2． 数据包过滤特性 （ 1） IP包过滤特性 （ 2） TCP包过滤特性 （ 3） UDP包的过滤特性 （ 4） ICMP包的过滤特性 图 TCP的连接过程 图 UDP动态数据包过滤 在决定包过滤防火墙是否返回 ICMP错误代码时，应考虑以下几点。 ① 防火墙应该发送什么消息。 ② 是否负担得起生成和返回错误代码的高额费用。 ③ 返回错误代码能使得侵袭者得到很多有关你发送的数据包过滤信息。 ④ 什么错误代码对你的网站有意义。 （ 5） RPC服务中的包过滤的特点 图 RPC的端口映射 （ 6）源端口过滤的作用 规 则 方 向 源 地 址 目的地址 协 议 源 端 口 目的端口 动 作 A 入 任意 TCP / 25 拒绝 B 出 任意 TCP / 1023 任意 C 出 任意 TCP / 25 允许 D 入 任意 TCP / 1023 允许 表 过滤规则示例 图 进攻 X窗口服务 （ 7） ACK位在数据包过滤中的作用 表 过滤规则示例 规则 方向 源地址 目的地址 协议 源端口 目的端口 ACK设置 动作 A 出 任意 TCP 1023 23 任意 允许 B 入 任意 TCP 23 1023 是 允许 图 用 ACK位阻止欺骗 （ 8）包过滤技术的优点 ① 帮助保护整个网络，减少暴露的风险； ② 对用户完全透明，不需要对客户端做任何改动，也不需要对用户做任何培训； ③ 很多路由器可以作数据包过滤，因此不需要专门添加设备。