包過濾技術雖然簡單但是安全性不高,狀態監測技術安全性較高,但是又需要更多的資源用於計算。上面兩種都無法針對具體的應用提供安全的保護。
應用代理技術就可以針對具體的應用提供安全的保護。
防火牆代理技術
(1)代理與代理技術
-
代理 (proxy)
就是幫別人獲得某項服務的人或機構。 例如,保險代理、法務代理等。 -
代理技術(proxy services)
幫助某個應用爲另外一個應用獲得某項服務。 例如,用戶A可以委託主機B幫助它從外部下載某個文件或訪問某
個網站。 -
代理服務器(Proxy)
提供代理服務的服務器稱之爲代理服務器, 也叫應用代理防火牆,它可以讓某些沒有權限的用戶擁有權限。
(2)應用代理技術
應用代理代理 (Application proxies) 是在應用層提供代理服務的代理應用代理技術是通過具有訪問應用,使得不具備訪問權限的用戶可以訪問網絡服務一種代理服務技術。
例如,用戶A本身不具備訪問外部FTP服務的權限,但有一個主機B不僅具備訪問外部FTP的權限,而且還提供代理服務,那麼基於應用代理技術,用戶A可以藉助於主機B的幫助而獲得外部FTP服務的訪問權限。
應用代理技術是工作在應用層的,也就是說其需要對應用層的數據包進行分析才覺得這個數據包能否通過防火牆
(3)應用代理的執行過程
當內部用戶需要訪問外部服務時,如果沒有相應的權限,就需要藉助應用代理服務器,將信息發送到外部,如果外部迴應內部也要通過代理服務器進行。在這個過程中,內部用戶訪問外部用戶,看似是透明的,但是所有的應用信息是通過應用代理的轉換來實現的.
(4)應用代理技術的優缺點
- 應用代理技術的優點
1、應用代理技術提供更高層次的安全性
2、易於審計
3、有助於提高訪問速度
4、具備細粒度的過濾檢測
5、隱蔽性較 - 應用代理技術的缺點
1、處理開銷大
2、擴展性弱
3、使用不便
堡壘主機防火牆系統
防火牆的體系結構,也就是如何去部署防火牆,包含堡壘主機結構,屏蔽主機結構和屏蔽子網結構。
(1)堡壘主機結構
- 堡壘主機(Bastion Host)
是一種被強化的可以防禦網絡,是一種特殊的計算機,其本身的安全性比較高,可以有效的防範外部攻擊者的攻擊,從拓撲結構來看,堡壘主機往往暴露在外部,直接面對着外部攻擊者攻擊的計算機
從網絡拓撲結構來看,堡壘主機一般均被暴露於互聯,所以就成爲了一個檢查所有外部流量的,安全的,外部網絡通信進入內部網絡的一個檢查點,防火牆和包過慮路由器均可以被看作堡壘主機。
(2)堡壘主機安全性的要求
自身必須具有比較高的安全性,提高安全性的方法有
- 關閉所有不必要的服務、協議、程序和網絡端口
- 必須啓用安全審計功能,以便記錄所有安全事件的日誌
- 堡壘主機和內部主機之間不能共享任何信任信息
堡壘主機所使用的的技術往往是包過濾技術,所以堡壘主機防火牆也稱之爲包過濾防火牆 、分組過濾防火牆。所以我們可以使用帶路由功能的防火牆或者起到防火牆作用的分組過濾路由器組成一個分組過濾防火牆系統
(3)堡壘主機防火牆拓撲圖
堡壘主機位於內部網絡與外部網絡之間,充當連接內部網絡和外部網絡的角色。
(4)優缺點
- 優點
1、成本低
由於只需要一臺具備包過濾的路由器或一臺能夠執行包過濾的防火牆,因此價格低廉。
2、管理簡單
結構簡單,不需要複雜的配置,易於管理和維護。 - 缺點
1、安全性低
如果包過濾路由器是唯一的安全設備,那麼黑客們將非常容易地攻
破系統,在局域網裏爲所欲爲。
2、過濾規則簡單
只能通過網絡層信息來進行過濾,無法提供複雜的過濾規則。此外,隨着過濾規則數目的增加,防火牆本身的性能會受到影響。
3、缺少審計和報警機制
大多數過濾器中缺少審計和報警機制。
4、隱蔽性差
採用這種結構的防火牆系統,內部網絡的IP地址並沒有被隱藏起來,並且它不具備監測,跟蹤和記錄的功能。
屏蔽主機結構防火牆的系統
堡壘主機防火牆,成本低但是使用範圍非常有限,堡壘主機會成爲整個系統的瓶頸。屏蔽主機結構防火牆也叫單宿主堡主機防火牆(Single-Homed Host Firewall)
單宿主堡壘主機是隻有一個網絡接口的堡壘主機,由於只有一個網絡接口,這個主機無法連接內部網絡和外部網絡,要藉助與防火牆之間的協同工作才能完成防火牆的功能,單宿主堡壘主機通常採用應用代理技術。
(1)拓撲圖
從圖中可以看出,堡壘主機位於內部網絡,路由器連接着內部和外部網絡。所以外部的數據需要通過路由器來進行轉發,由堡壘主機進行接收,其根據防火牆的規則來決定該數據包是放行還是丟棄。
內部網絡向外部網絡發送的數據也需要經過路由器轉發到堡壘主機,再根據防火牆過濾規則來決定這個數據包是否可以到達外部網絡。其他不需要防火牆保護的數據,可以直接通過路由器轉發來完成。可以看出,在這樣的一個系統中是由路由器和防火牆共同組成的一個防火牆系統。
(2)屏蔽主機結構防火牆系統的數據處理
上面也有提到過,總的來說:
- 外部數據入站:
包過濾路由器收到外部數據後,要麼直接丟棄,要麼轉發到堡壘主
機上
堡壘主機通過對接收到的數據進行安全檢查,並按照既定的安排策
略對數據包進行處理 - 內部數據出站
對於外出數據來說,某些網絡數據(如HTTP)可以不經過堡壘主機
而直接發送給包過濾路由器。
對於需要進行嚴格控制的其他數據(如FTP、TELNET等)則通過配置
所有內部客戶端,將這些外出數據發送給堡壘主機進行代理訪問。
可見,路由器路由規則的正確性,對於保障屏蔽主機防火牆的功能的正確性十分重要。如果路由器的路由規則配置正確,所有受保護的安全數據就可以轉發到堡壘主機上
可以看出,凡是發送到內部的數據,都會經過路由器轉發到堡壘主機上,即所有內網的數據都可以受到保護。
如果路由表不正確,外部網絡流量有可能不會轉發到堡壘主機上
如上圖,路由器的路由規則中,由於要發送到內部網的數據由於轉發到了非堡壘主機,那麼整個內部網絡的數據都無法得到保護
(3)優缺點
- 優點:
1、成本比較低
2、安全性較高
3、 對內部網絡有一定的隱蔽性 - 缺點:
1、路由器是安全瓶頸
2、缺少防範內部欺騙的能力
屏蔽子網防火牆系統
前面的屏蔽主機結構系統的安全性比較高,路由器成爲了整個的瓶頸且無法防止內部用戶的網絡攻擊行爲。屏蔽子網防火牆可以在一定程度上對內部的數據流進行檢查,也可以對外部的數據流進行檢查,也可以避免路由器成爲瓶頸。
(1)屏蔽子網防火牆
屏蔽子網防火牆(Screened Subnet Firewall)結構用了兩個包過濾路由器和一個堡壘主機 。
一個路由器連接外部網絡,一個路由器連接內部網絡,這種方法是在內部Intranet和外部Internet之間建立一個被隔離的子網。稱之爲“非軍事區”(DMZ,Demilitarized Zone)。
非軍事區的功能是將需要保護的服務(如WEB、DNS等)以及堡壘主機放在該子網中。用兩個包過濾路由器將這一子網分別與Intranet和Internet分開。
(2)系統的執行過程
屏蔽子網結構的防火牆由外部路由器、內部路由器和堡壘主機協調工作來提供安全保護功能。它的執行過程比較複雜,需要連接兩個路由器之間協同工作纔可以完成防火牆的功能。
外部路由器連接外部網絡,內部路由器連接內部網絡,而中間就是屏蔽子網區,用於存放堡壘主機以及安全保護的應用。
外部數據到達外部路由器時候,由外部路由器轉發到堡壘主機,然後根據防火牆規則來實現對數據包的處理。
當用戶要訪問外部網絡的時候,內部網絡訪問內部的路由器,再轉發到堡壘主機,然後堡壘主機根據相應的訪問控制規則來實現對數據包的處理。
所以兩個路由器和堡壘主機需要協同工作才能完成有關功能。
(3)路由器的功能
-
外部包過濾路由器:
1、執行包過濾功能
2、將數據包轉發到堡壘主機 -
內部屏蔽路由器:
1、屏蔽內部網絡
2、過濾內部數據
3、轉發內部數據到堡壘主機
(4)優缺點
-
優點:
1、安全性高
2、靈活性強好
3、隱蔽性好 -
缺點
1、成本高
2、配置複雜