防火墙系列连载之二—防火墙的作用

　　3. 屏蔽子网体系结构

　　屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络与Internet隔离开。

　　为什么这样做？由它们的性质决定。堡垒主机是用户的网络上最容易受侵袭的机器。任凭用户尽最大的力气去保护它，它仍是最有可能被侵袭的机器，因为它本质上是能够被侵袭的机器。如果在屏蔽主机体系结构中，用户的内部网络对来自用户的堡垒主机的侵袭门户洞开，那么用户的堡垒主机是非常诱人的攻击目标。在它与用户的其它内部机器之间没有其它的防御手段时（除了它们可能有的主机安全之外，这通常是非常少的）。如果有人成功地侵入屏蔽主机体系结构中的堡垒主机，那就毫无阻挡地进入了内部系统。

　　通过在周边网络上隔离堡垒主机，能减少在堡垒主机上侵入的影响。可以说，它只给入侵者一些访问的机会，但不是全部。

　　屏蔽子网体系结构的最简单的形式为，两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部的网络之间，另一个位于周边网与外部网络之间（通常为Internet），其结构如图4所示。为了侵入用这种类型的体系结构构筑的内部网络，侵袭者必须要通过两个路由器。即使侵袭者设法侵入堡垒主机，他将仍然必须通过内部路由器。在此情况下，没有损害内部网络的单一的易受侵袭点。作为入侵者，只是进行了一次访问。图4显示屏蔽子网体系结构防火墙的可能配置。　　

　　图4 屏蔽子网体系结构　

　　对图4的要点说明如下：

　　（1）周边网络

　　周边网络是另一个安全层,是在外部网络与用户的被保护的内部网络之间的附加的网络。如果侵袭者成功地侵入用户的防火墙的外层领域，周边网络在那个侵袭者与用户的内部系统之间提供一个附加的保护层。

　　对于周边网络的作用，举例说明如下。在许多网络设置中，用给定网络上的任何机器来查看这个网络上的每一台机器的通信是可能的，对大多数以太网为基础的网络确实如此（而且以太网是当今使用最广泛的局域网技术）；对若干其它成熟的技术，诸如令牌环和FDDI也是如此。探听者可以通过查看那些在Telnet、FTP以及rlogin会话期间使用过的口令成功地探测出口令。即使口令没被攻破，探听者仍然能偷看或访问他人的敏感文件的内容，或阅读他们感兴趣的电子邮件等等；探听者能完全监视何人在使用网络。

　　对于周边网络，如果某人侵入周边网上的堡垒主机，他仅能探听到周边网上的通信。因为所有周边网上的通信来自或者通往堡垒主机或Internet。

　　因为没有严格的内部通信(即在两台内部主机之间的通信，这通常是敏感的或者专有的) 能越过周边网。所以，如果堡垒主机被损害，内部的通信仍将是安全的。

　　一般来说，来往于堡垒主机，或者外部世界的通信，仍然是可监视的。防火墙设计工作的一部分就是确保这种通信不致于机密到阅读它将损害你的站点的完整性。

　　（2）堡垒主机

　　在屏蔽的子网体系结构中，用户把堡垒主机连接到周边网；这台主机便是接受来自外界连接的主要入口。例如：

　　1对于进来的电子邮件（SMTP）会话，传送电子邮件到站点；

　　2对于进来的FTP连接，转接到站点的匿名FTP服务器；

　　3对于进来的域名服务（DNS）站点查询等等。

　　另一方面，其出站服务（从内部的客户端到在Internet上的服务器）按如下任一方法处理：

　　1在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器。

　　2设置代理服务器在堡垒主机上运行（如果用户的防火墙使用代理软件）来允许内部的客户端间接地访问外部的服务器。用户也可以设置数据包过滤来允许内部的客户端在堡垒主机上同代理服务器交谈，反之亦然。但是禁止内部的客户端与外部世界之间直接通信（即拨号入网方式）。

　　（3）内部路由器

　　内部路由器（在有关防火墙著作中有时被称为阻塞路由器）保护内部的网络使之免受Internet和周边网的侵犯。

　　内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网到Internet的有选择的出站服务。这些服务是用户的站点能使用数据包过滤而不是代理服务安全支持和安全提供的服务。

　　内部路由器所允许的在堡垒主机（在周边网上）和用户的内部网之间服务可以不同于内部路由器所允许的在Internet和用户的内部网之间的服务。限制堡垒主机和内部网之间服务的理由是减少由此而导致的受到来自堡垒主机侵袭的机器的数量。

　　（4）外部路由器

　　在理论上，外部路由器（在有关防火墙著作中有时被称为访问路由器）保护周边网和内部网使之免受来自Internet的侵犯。实际上，外部路由器倾向于允许几乎任何东西从周边网出站，并且它们通常只执行非常少的数据包过滤。保护内部机器的数据包过滤规则在内部路由器和外部路由器上基本上应该是一样的；如果在规则中有允许侵袭者访问的错误，错误就可能出现在两个路由器上。

　　一般，外部路由器由外部群组提供（例如，用户的Internet供应商），同时用户对它的访问被限制。外部群组可能愿意放入一些通用型数据包过滤规则来维护路由器，但是不愿意使维护复杂或者使用频繁变化的规则组。

　　外部路由器实际上需要做什么呢？外部路由器能有效地执行的安全任务之一（通常别的任何地方不容易做的任务）是：阻止从Internet上伪造源地址进来的任何数据包。这样的数据包自称来自内部的网络，但实际上是来自Internet。　　

　　三、 防火墙体系结构的组合形式

　　建造防火墙时，一般很少采用单一的技术，通常是多种解决不同问题的技术的组合。这种组合主要取决于网管中心向用户提供什么样的服务，以及网管中心能接受什么等级风险。采用哪种技术主要取决于经费，投资的大小或技术人员的技术、时间等因素。一般有以下几种形式：

　　1使用多堡垒主机；

　　2合并内部路由器与外部路由器；

　　3合并堡垒主机与外部路由器；

　　4合并堡垒主机与内部路由器；

　　5使用多台内部路由器；

　　6使用多台外部路由器；

　　7使用多个周边网络；

　　8使用双重宿主主机与屏蔽子网。　　

　　四、内部防火墙

　　在本文的大部分讨论中,都假定建立防火墙的目的在于保护内部网免受外部网的侵扰。但有时为了某些原因，我们还需要对内部网的部分站点再加以保护以免受内部的其它站点的侵袭。因此，有时我们需要在同一结构的两个部分之间，或者在同一内部网的两个不同组织结构之间再建立防火墙（也被称为内部防火墙）。

　　因为网络中每一个用户所需要的服务和信息经常是不一样的，它们对安全保障的要求也不一样，所以我们可以将网络组织结构的一部分与其余站点隔离。例如，财务部分与其它部分分开，人事档案部分与办公管理分开等。许多用于建立外部防火墙的工具与技术也可用于建立内部防火墙。　　

　　五、 防火墙的未来发展趋势

　　目前，防火墙技术已经引起了人们的注意，随着新技术的发展，混合使用包过滤技术、代理服务技术和其它一些新技术的防火墙正向我们走来。越来越多的客户端和服务器端的应用程序本身就支持代理服务方式。比如，许多WWW客户服务软件包就具有代理能力。而许多象SOCKS这样的软件在运行编译时也支持类代理服务。

　　包过滤系统向着更具柔性和多功能的方向发展。比如动态包过滤系统，在CheckPoint Firewall－1、 Karl Brige/Karl Brouter以及 Morning Star Secure Connect router中的包过滤规则可由路由器灵活、快速的来设置。一个输出的UDP数据包可以引起对应的允许应答UDP创立一个临时的包过滤规则，允许其对应的UDP包进入内部网。 被称为“第三代”产品的第一批系统已开始进入市场。例如，Border网络技术公司的Border产品和Truest信息系统公司的Gauntlet 3.0产品从外部向内看起来像是代理服务（任何外部服务请求都来自于同一主机），而由内部向外看像一个包过滤系统（内部用户认为他们直接与外部网交互）。这些产品通过对大量内部网的外向连接请求的计帐系统和包的批次修改对防火墙的内外提供相关的伪像。 Karl Bridge/Karl Brouter产品拓展了包过滤的范围，它对应用层上的包过滤和授权进行了扩展。这比传统的包过滤要精细得多。

　　目前，人们正在设计新的IP协议（也被称为IP version 6）。IP协议的变化将对防火墙的建立与运行产生深刻的影响。同时，目前大多数网络上的机器的信息流都有可能被偷看到，但更新式的网络技术如帧中继，异步传输模式（ATM）可将数据包源地址直接发送给目的地址，从而防止信息流在传输中途被泄露。