发信人: HPVC()
整理人: ding(1999-12-13 18:57:02), 站内信件
|
(三)防火墙的构成(续3)
3.4 应用网关
为了克服与包过滤路由器相关联的某些弱点,防火墙需要使用应用软件来转发和过
滤Telnet和Ftp等服务的连接。这样一种应用叫做代理服务,而运行代理服务软件的主系
统叫做应用网关。应用网关和包过滤路由器可以组合在一起使用,以获得高于单独使用
的安全性和灵活性。
作为一个例子,请考虑一个用包过滤路由器封锁所有输入Telnet 和Ftp 连接的网点
。路由器允许Telnet和Ftp包只通过一个主系统,即Telnet/Ftp应用网关,然后再连接到
目的主系统,过程如下:
1. 用户首先把Telnet连接到应用网关,并输入内部主系统的名字;
2. 网关检验用户的源IP地址,并根据任何合适的访问准则接受或拒绝;
3. 用户可能需要证明自己的身份(可使用一次性口令装置);
4. 代理服务软件在网关和内部主系统之间建立Telnet连接;
5. 于是,代理服务软件在两个连接之间传送数据;
6. 应用网关记录连接情况。
这一例子指出了使用代理服务软件的几个好处。第一,代理服务软件只允许有代理
的服务通过。换句话说,如果应用网关包含Telnet和Ftp的代理软件,则只有Ftp和Teln-
-et被允许进入受保护的子网,而其它所有服务都完全被封锁住。对有些网点来说,这种
程度的安全性是很重要的,因为它保证,只有那些被认为“可信赖的”服务才被允许通
过防火墙。它还防止其他不可靠的服务不会背着防火墙管理人员实施。
使用代理服务的另一好处是可以过滤协议。例如,有些防火墙可以过滤FTP连接,并
拒绝使用FTP 协议中的 put 命令。如果人们要保证用户不能写到匿名FTP服务器软件,
则这一点是很有用的。
___________
__________ 1 |应 | 2 __________
| 目的 |------------->| 用 |------------->| 源 |
| 主系统 |<-------------| 网 |<-------------| 主系统 |
|________| 4 | 关 | 3 |________|
|_________|
应用网关和代理服务软件实施的虚拟连接
应用网关有三种基本的原型,分别适用于不同的网络规模。
* 双穴主机网关(Dual-Homed Gateway)
* 屏蔽主机网关(Screened Host Gateway)
* 屏蔽子网网关(Screened Subnet Gateway)
这三种原型有一个共同的特点,就是都需要一台主机(如上面所述一样),通常称为
桥头堡主机(Bastion Host) 。该主机充当应用程序转发者、通信登记者以及服务提供者
的角色。因此,保护该主机的安全性是至关重要的,建立防火墙时,应将较多的注意力
放在该主机上。
* 双穴主机网关
该原型的结构如图一所示。
__________
__________ | | ___________
|Internet |___________|Bastion | |Protected |
|_________| | Host |___________|Network |
|________| |__________|
Running Firewall Software
& Routing disable
图一 双穴主机网关
其中,桥头堡主机充当网关,因此,需要在此主机中装两块网卡,并在其上运行
防火墙软件。受保护网与Internet之间不能直接进行通信,必须经过桥头堡主机,因此
,不必显示地列出受保护网与不受保护网之间的路由,从而达到受保护网除了看到桥头堡
主机之外,不能看到其他任何系统的效果。同时,桥头堡主机不转发TCP/IP包,网络中
的所有服务都必须由此主机的相应代理程序支持。
由于双穴主机网关容易安装,所需的硬件设备也较少,且容易验证其正确性,因
此,这是一种使用较多的纺火墙。
双穴主机网关最致命的弱点是:一旦防火墙被破坏,桥头堡主机实际上就变成了
一台没有寻径功能的路由器,一个有经验的攻击者就能使它寻径,从而使受保护网完全
开放并受到攻击。例如,在基于Unix的双穴主机网关中,通常是先修改一个名叫IPfor-
-warding的内核变量,来禁止桥头堡主机的寻径能力,非法攻击者只要能获得网关上的
系统特权,就能修改此变量,使桥头堡主机恢复寻径能力,以进行攻击。
* 屏蔽主机网关
该原型的结构如图二所示。
___________________
____________ 1 Permitted | __________ |
| |—————————————|——|Bastion | |
| | 2 Blocked | | Host | |
| Internet |———————×—————| |________| |
| |3 router packet screening | |
|__________|———□—————————| Protected |
| Network |
|_________________|
图 二
屏蔽主机网关
( Bastion Host Running Firewall software )
其中,桥头堡主机在受保护网中,将带有包屏蔽功能的路由器置于保护网和Inter-
-net之间,它不允许Internet对保护网的直接访问,只允许对受保护网中桥头堡主机的访
问。与双穴网关类似,桥头堡主机运行防火墙软件。
屏蔽主机网关是一种很灵活的防火墙,它可以有选择地允许那些值得信任的应用程
序通过路由器。但它不像双穴网关,只需注意桥头堡主机的安全性即可,它必须考虑两
方面的安全性,即桥头堡主机和路由器。如果路由器中的访问控制列表允许某些服务能
够通过路由器,则防火墙管理员不仅要管理桥头堡主机中的访问控制表,还要管理路由
器中的访问控制列表,并使它们互相协调。当路由器允许通过的服务数量逐渐增多时,
验证防火墙的正确性就会变得越来越困难。
* 屏蔽子网网关
该原型的结构如图三所示。
__________
_____|Bastion | Running
| | Host | Firewall Software
| |________|
|
____________ ________ |
| Internet |____|Router|____|
| | |______| | ________ ___________
|__________| |________|Router|_______|Protected|
Packet |______| | Network |
Screening |_________|
图 三 屏蔽子网网关
其中,一个小型的独立网络放在受保护网与Internet之间,对这个网络的访问受到
路由器中屏蔽规则的保护。因此,屏蔽子网中的主机是唯一一个受保护网和Internet都
能访问到的系统。
从理论上来说,这也是一种双穴网关的方法,只是将其应用到了网络上。防火墙被
破坏后,它会出现与双穴主机网关同样的问题。不同的是,在双穴主机网关中只需配置
桥头堡主机的寻径功能,而在屏蔽子网网关中则需配置三个网络(受保护网、屏蔽子网
和Internet)之间的寻径功能,即先要闯入桥头堡主机,再进入受保护网中的某台主机,
然后返回包屏蔽路由器,分别进行配置。这对攻击者来说显然是极其困难的。另外,由
于Internet很难直接与受保护网进行通信,因此,防火墙管理员不需指出受保护网到In-
-ternet之间的路由。这对于保护大型网络来说是一种很好的方法。
应用网关的一个缺点是,就Telnet 等客户机--服务器协议来说,需要采取两个
步骤来连接输入信息或输出信息。有些应用网关需要经过修改的客户机,这一点既可看
作是缺点,也可看作是优点,视修改的客户机是否更加容易使用防火墙而定。Telnet应
用网关不一定需要经过修改的Telnet客户机,但是,它需要修改用户行为:用户必须连
接到防火墙(但不记录),而不是直接连接到主系统。但是,经过修改的Telnet客户机可
以使防火墙透明,因为它允许用户用Telnet命令规定目的系统(不是防火墙)。防火墙起
着通向目的系统通道的作用,从而拦截连接,再按需完成其他步骤,如查询一次性口令
。用户行为仍然是相同的,但其代价是每个系统需要一个经过修改的客户机。
除了Telnet 外,应用网关一般用于Ftp 和电子邮件,同时也用于XWindows和其他
某些服务。有些Ftp应用网关包括拒绝特定主系统的put 和get 命令的能力。例如,一个
已同内部系统(如匿名Ftp服务器)建立Ftp对话(通过Ftp应用网关)的外部用户,可能试图
把文件上装到服务器。应用网关可以过滤Ftp协议,并拒绝把所有puts命令发送给匿名Ftp
服务器;这将保证没有文件能上装到服务器,而且所提供的确信程度要高于只依赖由设
置正确的匿名Ftp服务器进行的文件许可。
电子邮件应用网关可集中收集电子邮件,并把它分发给内部主系统和用户。对外部
用户来说,所有内部用户都拥有电子邮件地址,其格式为:user@emailhost 其中,emai-
-lhost是电子邮件网关的名字。网关会接受外部用户的邮件,然后按需把邮件转发到其
他内部系统。从内部系统发送电子邮件的用户可以从其主系统直接发送电子邮件,否则
在内部系统名字只有受保护的子网知道的情况下,邮件会发送给应用网关,然后应用网
关着把邮件转发给目的主系统。有些电子邮件网关使用更加安全的sendmail程序版本来
接收电子邮件。
(全文完)
--
※ 来源:·广州网易 BBS bbs.nease.net·[FROM: 202.96.185.1]
|
|