防火牆要用代理技術
代理與代理技術
代理 (proxy),就是幫別人獲得某項服務的人或機構。
例如,保險代理、法務代理
代理技術 (proxy services),某個應用爲另外一個應用獲得某項服務。
例如,用戶A可以委託主機B幫助它從外部下載某個文件或訪問某
個網站。
代理服務器( Proxy ) :提供代理服務的服務器稱之爲代理服務器
也叫應用代理防火牆
應用代理代理 (Application proxies) :在應用層提供
應用 代理技術是通過具有訪問應用,使得不具備訪問權限的用戶可以訪問網絡服務一種代理服務技術。
例如,用戶A本身不具備訪問外部FTP服務的權限
但一個主機B不僅具備訪問外部FTP的權限,而且還提供代理服務 基於應用代理技術,用戶A可以藉助於主機B的幫助而獲得外部FTP服務的訪問權限
優點
- 應用代理技術提供更高層次的安全性
- 易於審計
- 有助於提高訪問速度
- 具備細粒度的過濾檢測
- 隱蔽性較強
缺點
- 處理開銷大
- 擴展性弱
- 使用不便
防護牆三種結構*堡壘主機結構
堡壘主機(Bastion Host)是一種被強化的可以防禦網絡攻擊的計算機
- 從網絡拓撲結構來看,堡壘主機一般均被暴露於互聯網上
- 作爲外部網絡通信進入內部網絡的一個檢查點
- 從網絡拓撲結構來看,防火牆和包過慮路由器均可以被看作堡壘主機。
堡壘主機的要求
堡壘主機的安全加固
- 關閉所有不必要的服務、協議、程序和網絡端口
- 必須啓用安全審計功能,以便記錄所有安全事件的日誌
- 堡壘主機和內部主機之間不能共享任何信任信息
堡壘主機結構的防火牆系統
堡壘主機結構也叫分組過濾防火牆結構、包過濾防火牆結構(Package Filtering Firewall)
- 是通過分組過濾技術來實現防火牆系統的一個方法
- 一般來說,分組過濾防火牆系統是一個帶有路由功能的防火牆或一個起防火牆作用的分組過濾路由器
![在這裏插入圖片描述]()
優點:
(1)成本低
由於只需要一臺具備包過濾的路由器或一臺能夠執行包過濾
的防火牆,因此價格低廉。
(2)管理簡單
結構簡單,不需要複雜的配置,易於管理和維護。
缺點
(1)安全性低
如果包過濾路由器是唯一的安全設備,那麼黑客們將非常容易地攻破系統,在局域網裏爲所欲爲。
(2)過濾規則簡單
只能通過網絡層信息來進行過濾,無法提供複雜的過濾規則。此外,隨着過濾規則數目的增加,防火牆本身的性能會受到影響。
(3)缺少審計和報警機制
大多數過濾器中缺少審計和報警機制。
(4)隱蔽性差
採用這種結構的防火牆系統,內部網絡的IP地址並沒有被隱藏起來,並且它不具備監測,跟蹤和記錄的功能。
屏蔽主機結構防火牆系統的概念
屏 蔽 主 機 結 構 防 火 牆 也 叫 單 宿 主 堡 壘 主 機 防 火 牆(Single-Homed Host Firewall)
- 單 宿主堡壘主機(Single-Homed Bastion Host)是只有一個網
絡接口的堡壘主機 - 一般來說,單宿主堡壘主機通常採用應用代理技術
![在這裏插入圖片描述]()
屏蔽主機結構防火牆系統的數據處理
- 外部數據入站:
包過濾路由器收到外部數據後,要麼直接丟棄,要麼轉發到堡壘主機上
堡壘主機通過對接收到的數據進行安全檢查,並按照既定的安排策
略對數據包進行處理 - 內部數據出站:
對於外出數據來說,某些網絡數據(如HTTP)可以不經過堡壘主機而直接發送給包過濾路由器
對於需要進行嚴格控制的其他數據(如FTP、TELNET等)則通過配置所有內部客戶端,將這些外出數據發送給堡壘主機進行代理訪問![在這裏插入圖片描述]()
![在這裏插入圖片描述]()
優點
- 成本比較低
- 安全性較高
- 對內部網絡有一定的隱蔽性
缺點
- 路由器是安全瓶頸
- 缺少防範內部欺騙的能力
屏蔽子網防火牆系統
概念
屏蔽子網防火牆(Screened Subnet Firewall)結構用了兩個包過濾路由器和一個堡壘主機
這種方法是在內部Intranet和外部Internet之間建立一個被隔離的子網
“非軍事區”(DMZ,Demilitarized Zone),需要保護的服務(如WEB、DNS等)以及堡壘主機放在該子網中。
用兩個包過濾路由器將這一子網分別與Intranet和Internet分開
外部包過濾路由器:
執行包過濾功能
將數據包轉發到堡壘主機
內部 屏蔽路由器:
屏蔽內部網絡
過濾內部數據
轉發內部數據到堡壘主機
優點:
安全性高
靈活性強好
隱蔽性好
缺點:
成本高
配置複雜