发信人: y2kant(流野)
整理人: williamlong(2002-05-26 13:13:59), 站内信件
|
3. 屏 蔽 子 网 体 系 结 构
屏 蔽 子 网 体 系 结 构 添 加 额 外 的 安 全 层 到 被 屏 蔽 主 机 体 系 结 构, 即 通 过 添 加 周 边 网 络 更 进 一 步 地 把 内 部 网 络 与 Internet 隔 离 开。
为 什 么 这 样 做 ? 由 它 们 的 性 质 决 定。 堡 垒 主 机 是 用 户 的 网 络 上 最 容 易 受 侵 袭 的 机 器。 任 凭 用 户 尽 最 大 的 力 气 去 保 护 它, 它 仍 是 最 有 可 能 被 侵 袭 的 机 器, 因 为 它 本 质 上 是 能 够 被 侵 袭 的 机 器。 如 果 在 屏 蔽 主 机 体 系 结 构 中, 用 户 的 内 部 网 络 对 来 自 用 户 的 堡 垒 主 机 的 侵 袭 门 户 洞 开, 那 么 用 户 的 堡 垒 主 机 是 非 常 诱 人 的 攻 击 目 标。 在 它 与 用 户 的 其 它 内 部 机 器 之 间 没 有 其 它 的 防 御 手 段 时( 除 了 它 们 可 能 有 的 主 机 安 全 之 外, 这 通 常 是 非 常 少 的)。 如 果 有 人 成 功 地 侵 入 屏 蔽 主 机 体 系 结 构 中 的 堡 垒 主 机, 那 就 毫 无 阻 挡 地 进 入 了 内 部 系 统。
通 过 在 周 边 网 络 上 隔 离 堡 垒 主 机, 能 减 少 在 堡 垒 主 机 上 侵 入 的 影 响。 可 以 说, 它 只 给 入 侵 者 一 些 访 问 的 机 会, 但 不 是 全 部。 屏 蔽 子 网 体 系 结 构 的 最 简 单 的 形 式 为, 两 个 屏 蔽 路 由 器, 每 一 个 都 连 接 到 周 边 网。 一 个 位 于 周 边 网 与 内 部 的 网 络 之 间, 另 一 个 位 于 周 边 网 与 外 部 网 络 之 间( 通 常 为Internet)。 为 了 侵 入 用 这 种 类 型 的 体 系 结 构 构 筑 的 内 部 网 络, 侵 袭 者 必 须 要 通 过 两 个 路 由 器。 即 使 侵 袭 者 设 法 侵 入 堡 垒 主 机, 他 将 仍 然 必 须 通 过 内 部 路 由 器。 在 此 情 况 下, 没 有 损 害 内 部 网 络 的 单 一 的 易 受 侵 袭 点。 作 为 入 侵 者, 只 是 进 行 了 一 次 访 问。要 点 说 明 如 下:
(1) 周 边 网 络
周 边 网 络 是 另 一 个 安 全 层, 是 在 外 部 网 络 与 用 户 的 被 保 护 的 内 部 网 络 之 间 的 附 加 的 网 络。 如 果 侵 袭 者 成 功 地 侵 入 用 户 的 防 火 墙 的 外 层 领 域, 周 边 网 络 在 那 个 侵 袭 者 与 用 户 的 内 部 系 统 之 间 提 供 一 个 附 加 的 保 护 层。
对 于 周 边 网 络 的 作 用, 举 例 说 明 如 下。 在 许 多 网 络 设 置 中, 用 给 定 网 络 上 的 任 何 机 器 来 查 看 这 个 网 络 上 的 每 一 台 机 器 的 通 信 是 可 能 的, 对 大 多 数 以 太 网 为 基 础 的 网 络 确 实 如 此( 而 且 以 太 网 是 当 今 使 用 最 广 泛 的 局 域 网 技 术); 对 若 干 其 它 成 熟 的 技 术, 诸 如 令 牌 环 和 FDDI 也 是 如 此。 探 听 者 可 以 通 过 查 看 那 些 在 Telnet、FTP 以 及 rlogin 会 话 期 间 使 用 过 的 口 令 成 功 地 探 测 出 口 令。 即 使 口 令 没 被 攻 破, 探 听 者 仍 然 能 偷 看 或 访 问 他 人 的 敏 感 文 件 的 内 容, 或 阅 读 他 们 感 兴 趣 的 电 子 邮 件 等 等; 探 听 者 能 完 全 监 视 何 人 在 使 用 网 络。
对 于 周 边 网 络, 如 果 某 人 侵 入 周 边 网 上 的 堡 垒 主 机, 他 仅 能 探 听 到 周 边 网 上 的 通 信。 因 为 所 有 周 边 网 上 的 通 信 来 自 或 者 通 往 堡 垒 主 机 或 Internet。
因 为 没 有 严 格 的 内 部 通 信( 即 在 两 台 内 部 主 机 之 间 的 通 信, 这 通 常 是 敏 感 的 或 者 专 有 的) 能 越 过 周 边 网。 所 以, 如 果 堡 垒 主 机 被 损 害, 内 部 的 通 信 仍 将 是 安 全 的。
一 般 来 说, 来 往 于 堡 垒 主 机, 或 者 外 部 世 界 的 通 信, 仍 然 是 可 监 视 的。 防 火 墙 设 计 工 作 的 一 部 分 就 是 确 保 这 种 通 信 不 致 于 机 密 到 阅 读 它 将 损 害 你 的 站 点 的 完 整 性。
(2) 堡 垒 主 机
在 屏 蔽 的 子 网 体 系 结 构 中, 用 户 把 堡 垒 主 机 连 接 到 周 边 网; 这 台 主 机 便 是 接 受 来 自 外 界 连 接 的 主 要 入 口。 例 如:
1 对 于 进 来 的 电 子 邮 件(SMTP) 会 话, 传 送 电 子 邮 件 到 站 点;
2 对 于 进 来 的 FTP 连 接, 转 接 到 站 点 的 匿 名 FTP 服 务 器;
3 对 于 进 来 的 域 名 服 务(DNS) 站 点 查 询 等 等。 另 一 方 面, 其 出 站 服 务( 从 内 部 的 客 户 端 到 在 Internet 上 的 服 务 器) 按 如 下 任 一 方 法 处 理:
1 在 外 部 和 内 部 的 路 由 器 上 设 置 数 据 包 过 滤 来 允 许 内 部 的 客 户 端 直 接 访 问 外 部 的 服 务 器。
2 设 置 代 理 服 务 器 在 堡 垒 主 机 上 运 行( 如 果 用 户 的 防 火 墙 使 用 代 理 软 件) 来 允 许 内 部 的 客 户 端 间 接 地 访 问 外 部 的 服 务 器。 用 户 也 可 以 设 置 数 据 包 过 滤 来 允 许 内 部 的 客 户 端 在 堡 垒 主 机 上 同 代 理 服 务 器 交 谈, 反 之 亦 然。 但 是 禁 止 内 部 的 客 户 端 与 外 部 世 界 之 间 直 接 通 信( 即 拨 号 入 网 方 式)。
(3) 内 部 路 由 器
内 部 路 由 器( 在 有 关 防 火 墙 著 作 中 有 时 被 称 为 阻 塞 路 由 器) 保 护 内 部 的 网 络 使 之 免 受 Internet 和 周 边 网 的 侵 犯。
内 部 路 由 器 为 用 户 的 防 火 墙 执 行 大 部 分 的 数 据 包 过 滤 工 作。 它 允 许 从 内 部 网 到 Internet 的 有 选 择 的 出 站 服 务。 这 些 服 务 是 用 户 的 站 点 能 使 用 数 据 包 过 滤 而 不 是 代 理 服 务 安 全 支 持 和 安 全 提 供 的 服 务。
内 部 路 由 器 所 允 许 的 在 堡 垒 主 机( 在 周 边 网 上) 和 用 户 的 内 部 网 之 间 服 务 可 以 不 同 于 内 部 路 由 器 所 允 许 的 在 Internet 和 用 户 的 内 部 网 之 间 的 服 务。 限 制 堡 垒 主 机 和 内 部 网 之 间 服 务 的 理 由 是 减 少 由 此 而 导 致 的 受 到 来 自 堡 垒 主 机 侵 袭 的 机 器 的 数 量。
(4) 外 部 路 由 器
在 理 论 上, 外 部 路 由 器( 在 有 关 防 火 墙 著 作 中 有 时 被 称 为 访 问 路 由 器) 保 护 周 边 网 和 内 部 网 使 之 免 受 来 自Internet 的 侵 犯。 实 际 上, 外 部 路 由 器 倾 向 于 允 许 几 乎 任 何 东 西 从 周 边 网 出 站, 并 且 它 们 通 常 只 执 行 非 常 少 的 数 据 包 过 滤。 保 护 内 部 机 器 的 数 据 包 过 滤 规 则 在 内 部 路 由 器 和 外 部 路 由 器 上 基 本 上 应 该 是 一 样 的; 如 果 在 规 则 中 有 允 许 侵 袭 者 访 问 的 错 误, 错 误 就 可 能 出 现 在 两 个 路 由 器 上。
一 般, 外 部 路 由 器 由 外 部 群 组 提 供( 例 如, 用 户 的Internet 供 应 商), 同 时 用 户 对 它 的 访 问 被 限 制。 外 部 群 组 可 能 愿 意 放 入 一 些 通 用 型 数 据 包 过 滤 规 则 来 维 护 路 由 器, 但 是 不 愿 意 使 维 护 复 杂 或 者 使 用 频 繁 变 化 的 规 则 组。
外 部 路 由 器 实 际 上 需 要 做 什 么 呢 ? 外 部 路 由 器 能 有 效 地 执 行 的 安 全 任 务 之 一( 通 常 别 的 任 何 地 方 不 容 易 做 的 任 务) 是: 阻 止 从 Internet 上 伪 造 源 地 址 进 来 的 任 何 数 据 包。 这 样 的 数 据 包 自 称 来 自 内 部 的 网 络, 但 实 际 上 是 来 自 Internet。
三、 防 火 墙 体 系 结 构 的 组 合 形 式
建 造 防 火 墙 时, 一 般 很 少 采 用 单 一 的 技 术, 通 常 是 多 种 解 决 不 同 问 题 的 技 术 的 组 合。 这 种 组 合 主 要 取 决 于 网 管 中 心 向 用 户 提 供 什 么 样 的 服 务, 以 及 网 管 中 心 能 接 受 什 么 等 级 风 险。 采 用 哪 种 技 术 主 要 取 决 于 经 费, 投 资 的 大 小 或 技 术 人 员 的 技 术、 时 间 等 因 素。 一 般 有 以 下 几 种 形 式:
1 使 用 多 堡 垒 主 机;
2 合 并 内 部 路 由 器 与 外 部 路 由 器;
3 合 并 堡 垒 主 机 与 外 部 路 由 器;
4 合 并 堡 垒 主 机 与 内 部 路 由 器;
5 使 用 多 台 内 部 路 由 器;
6 使 用 多 台 外 部 路 由 器;
7 使 用 多 个 周 边 网 络;
8 使 用 双 重 宿 主 主 机 与 屏 蔽 子 网。
----
孔子云:“何‘流’之有!”
其实,我也不想叫“流野”,只是叫的人多了,也就变成了“流”。
<img src=http://uh1.gz.163.com photo?name=y2kant alt=大家好!!多多关照!> |
|