主机放火墙综合体系结构介绍

防火墙体系结构

堡垒主机

1、 什么是堡垒主机

堡垒主机是内部网在Internet上代表。能够把它比方成一幢建筑物大厅。外来人员进入大厅后并不能够立即上楼或进入电梯但她能够在大厅内自由漫步也能够索取部分信息至于她能索取到什么信息或是否能索取到信息由大楼安全规则而定。像建筑物大厅一样堡垒主机对潜在入侵者是公开。堡垒主机是任何外来者不管她是好友还是敌人全部可连接。连接它防火墙内系统可对外操作外部网可获取防火墙内服务。

堡垒主机是一个被强化能够防御进攻计算机被暴露于因特网之上作为进入内部网络一个检验点checkpoint 以达成把整个网络安全问题集中在某个主机上处理正因为这个原因防火墙建造者和防火墙管理者应尽力给其保护尤其是在防火墙安装和初始化过程中应给予仔细保护。

即使在这一章中及其它部分讨论中全部假设防火墙结构中只有一台堡垒主机但在实际防火墙结构中可能有几台堡垒主机至于在堡垒主机中用几台堡垒主机应由各内部网要求和资源状态决定。但每一台堡垒主机设置全部是依据相同规则用相同技术来建立。

堡垒主机常常和其它防火墙技术一起利用于防火墙结构中。本章大多数内容将讨论堡垒主机建立而不管它是被用于基于包过滤、代理服务还是两种技术兼用防火墙结构中在本节中介绍建立堡垒主机步骤和标准也适适用于保护其它主机。

2、 建立堡垒主机通常标准

设计和建立堡垒主机基础标准有二条最简化标准和预防标准。

1最简化标准。堡垒主机越简单对它进行保护就越方便。堡垒主机提供任何网络服务全部有可能在软件上存在缺点或在配置上存在错误。而这些差错就可能使堡垒主机安全保障出问题。在构建堡垒主机时应该提供尽可能少网络服务。每一个网络服务全部可能存在软件缺点或配置错误而任何缺点全部是潜在安全威胁。所以在满足基础需求条件下在堡垒主机上配置服务必需最少 同时对必需设置服务给尽可能低权限。

2预防标准。尽管已对堡垒主机严加保护但还有可能被入侵者破坏。对此你得有所准备。只有充足对最坏情况加以准备并设计好对策才可有备无患。对网络其它部分施加保护时也应考虑到“堡垒主机被攻破怎么办” 。我们强调这一点原因很简单就是因为堡垒主机是外部网最易接触机器因为外部网和内部网无直接连接所以堡垒主机是试图破坏内部系统入侵者首先攻击到机器。要尽可能保障堡垒主机不被破坏但同时又得时刻提防“它一旦被攻破怎么办” 。

一旦堡垒主机被破坏我们还得尽力让内部网仍处于安全保障之中。要做到这一点必需让内部网只有在堡垒主机正常工作时才信任堡垒主机。我们要仔细观察堡垒主机提供给内部网服务并依据这些服务主机内容确定这些服务可信度及拥有权限。

另外还有很多方法可用来加强内部网安全性。 比如能够在内部网主机上操作控制机制设置口令、判别设备等 或在内部网和堡垒主机间设置包过滤。

3、特殊堡垒主机

大多数堡垒主机均是子网过滤上过滤主机或其它提供安全服务主机另外还有多个在配置上类似、但又有尤其功效堡垒主机。

无路由双宿主主机

无路由双宿主主机有多个网络接口但这些接口间没有信息流。这种主机本身就可作为一个防火墙也能够作为一个更复杂防火墙结构一部分。无路由双宿主主机大部分配置类似于堡垒主机但我们后面将讨论到须确保它没有路由功效。假如某台无路由双宿主主机就是一个防火墙配置上要考虑得较为周到 同时小心地运行堡垒主机上例行程序。牺牲主机

有些有户可能想用部分不管使用代理服务还是包过滤全部难以保障安全网络服务或部分对其安全性没有把握服务。针对这种情况使用牺牲主机就很有效。牺牲主机是一个在上面没有任何需要保护信息主机同时它又不和任何入侵者想利用主机相连。用户只有在为使用某种特殊服务时才用到它。

牺牲主机除了可让用户随意登录外其配置基础上和通常堡垒主机一样。用户总是期望在堡垒主机上存有尽可能多服务和程序。但出于安全性考虑我们不可随意满足用户要求也不能让用户在牺牲主机上进行任何操作不然会使用户越来越信任牺牲主机而违反设置牺牲主机初衷。牺牲主机关键特点是它易于被管理 即使被侵袭也无碍内部网安全。内部堡垒主机

在大多数配置中堡垒主机可和一些内部主机进行交互。 比如堡垒主机可传送电子邮件给内部主机邮件服务器、传送Usenet新闻给新闻服务器、和内部域名服务器协调工作等。这些内部主机其实是有效次级堡垒主机对它们就应像保护堡垒主机一样加以保护。能够在它们上面多放部分服务但对它们配置必需遵照和堡垒主机一样过程。

堡垒主机选择

1堡垒主机操作系统选择

应该选较为熟悉系统作为堡垒主机操作系统。一个配置好堡垒主机是一个含有高度限制性操作环境软件平台所以对它深入开发和完善最好应在和其它机器上完成后再移植。这么做也为在开发时和内部网其它外设和机器交换信息时提供了方便。

选择主机时应该选择一个可支持有若干个接口同时处于活跃状态、而且能可靠地提供一系列内部网用户所需要Internet服务机器。假如站点内全部是部分MS-DOS、 Windows、 Macintosh系统那么在这些内部网站点软件平台上很多工具软件如代理服务、包过滤或其它提供SMTP、 DNS服务工具软件将不能运行我们应该选择和诸如UNIX、 Windows NT或其它系统作为堡垒主机软件平台。

2堡垒主机速度选择

作为堡垒主机计算机并不要求有很高速度。实际上选择功效并不十分强大机器作为堡垒主机反而愈加好除了经费问题外选择机器只要物尽其用即可 因为在堡垒主机上提供服务运算量并不很大。对它运算速度要求关键由它内部网和外部网速度确定。 网络在56KB/S甚至5.544MB/S速度下处理电子邮件、DNS、 FTP和代理服务并不占用很多CPU资源。但如若在堡垒主机上运行含有压缩/解压功效软件如NNTP和搜索服务如WWW或有可能同时这几十个用户提供代理服务那就需要更高速机器了。假如我们站点在Internet上很受欢迎对外服务也很多那就需要较快机器来当堡垒主机。针对这种情况也可使用多堡垒主机结构。在Internet上提供多个连接服务大企业通常全部有若干台大型高速堡垒主机。

不用功效过高机器充当堡垒主机理由以下

低级机器对入侵者吸引力要小部分。入侵者常常以侵入高级机为荣。

如若堡垒主机被破坏低级堡垒主机对入侵者深入侵入内部网提供帮助要小部分。因为它编译较慢运行部分有利于入侵破密码程序也较慢所以这些原因会使入侵者侵入内部网爱好减小。

对于内部网用户为讲使用低级机器作为堡垒主机也可降低她们损坏堡垒主机爱好。假如使用一台高速堡垒主机会将大量时间花费在等候内部网用户往外慢速连接这是一个浪费。再则假如堡垒主机速度很快 内部网用户会利用这台机器高性能做部分其它工作而在有用户运行程序堡垒主机再进行安全控制就较为困难。在堡垒主机上闲置功效本身就是安全隐患。

3怎样配置堡垒主机硬件

因为我们总是期望堡垒主机含有高可靠性所以在选择堡垒主机及它外围设备时应慎选新产品另外还期望堡垒主机含有高兼容性所以也不可选太旧产品以至于它配件难于找到。在不追求纯粹高CPU性能同时我们要求它最少能支持同时处理多个网际连接能力。这个要求使得堡垒主机内存要大并配置有足够交换空间。另外假如在堡垒主机上要运行代理服务还需要有较大磁盘空间作为存放缓冲。 以下是部分相关磁盘和磁带机配置提议

堡垒主机应单独配置一台例行磁带机。因为操作系统和进行文件比较需要堡垒主机还需一台CD-ROM。堡垒主机应加装一个磁盘以作维护用。堡垒主机开启磁盘应可方便拆卸并安装于其它机器方便于维护。

以上几点表明堡垒主机应使用和其它主机相同型号磁盘比如堡垒主机不应该是整个站点内唯一使用IPI磁盘机器。 同时堡垒主机是一个网络服务器极少有用户去看它屏幕所以它不需要支持更多显示功效。甚至能够用一台哑终端作为它控制台显示器。若堡垒主机含有很好图形功效那会驱使用户出于非网络安全控制目标去使用堡垒主机从而对系统本身安全性产生不好影响。

4、 堡垒主机物理位置

位置要安全

以下理由要求堡垒主机必需安置在较为安全物理位置

如若入侵者和堡垒主机有物理接触她就有很多我们无法控制方法来攻破堡垒主机。

堡垒主机提供了很多内部网和Internet功效性连接假如它被损或被盗那整个站点和外部网就会脱离或完全中止。

对堡垒主机要细心保护 以免发生不测应把它放在通风良好、温湿度较为恒定房间并最好配置有空调和不间断电源。

堡垒主机在网络上位置

堡垒主机应被放置在没有机密信息流网络上最好放置在一个单独网络上。大多数以太网和令牌网接口全部可工作在混合模式在这种模式下该接口

可捕捉到和该接口连接网络上全部数据包而不是仅仅是发给那些发给该接口所在机器地址数据包。其它类型网络接口如FDDI就不能捕捉到接口所连接网上全部数据包但依据不一样网络结构它们能常常捕捉到部分并非发往该接口全部主机数据包。

接口这种功效在对网络进行测试、分析和单步调试时很有效但这也为入侵者偷看她所在网段上全部信息流提供了便利。这些信息流中包含有FTP、 Telnet、 rlogin、邮件、 NFS操作等。假如堡垒主机被侵入不应该让侵入堡垒主机入侵者能够方便地看到上述这些信息流。

处理以上问题方法是将堡垒主机放置在边界网络上而不放在内部网。正如前面讨论那样边界网络是内部网和外部网络间一层安全控制机制边界网络和内部网是由网桥或路由器隔离 网部网上信息流对边界网络来讲是不可见。处于边界网络上堡垒主机只可看到在Internet和边界网络来往信息流即使这些信息流有可能比较敏感但其敏感程度要比内部网信息流小得多。

即使无法将堡垒主机放置在边界网络上也应该将它放置在信息流不太敏感网络上。比如我们能够将它接在10-baseT集线器上、以太网交换机上或ATM网上。假如这么因为在堡垒主机和内部网间无其它保护方法我们应对堡垒主机运行加以尤其关注。

5、 堡垒主机提供服务选择

堡垒主机能够提供站点全部和Internet相关服务 同时还要经过包过滤

提供内部网向外界服务。任何和外部网无关服务全部不应放置在堡垒主机上如在堡垒主机上就不应放置内部主机开启服务软件。我们将能够由堡垒主机提供服务分成四个等级

无风险服务仅仅经过包过滤便可实施服务。

低风险服务在有些情况下这些服务运行时有安全隐患但加以部分安全控制方法便可清除安全问题这类服务只能由堡垒主机来提供。

高风险服务在使用这些服务时无法根本消除安全隐患这类服务通常应被禁用。尤其需要时也只能在牺牲主机上使用。

禁用服务应被根本严禁使用服务。

电子邮件是堡垒主机应提供最基础服务其它还应提供服务有FTP、 HTTP、 NNTP、 WAIS、 Gopher等服务。为了支持以上这些服务堡垒主机还应有域名服务DNS。另外还要由它提供其它相关站点和主机零碎信息。

来自于Internet入侵者能够利用很多内部网上服务来破坏堡垒主机。所以应该将内部网上那些不用服务全部关闭。

6、堡垒主机用户账户管理

在堡垒主机上严禁使用用户帐户假如有可能话在堡垒主机上应严禁使用一切用户帐户即不准用户使用堡垒主机。这么会给堡垒主机带来最大安全保障。这是因为

帐户系统本身就较易被攻破。

帐户系统支撑软件通常也较易被攻被。

用户在堡垒主机上操作可能会无意破坏堡垒主机安全机制。

增加检测攻击难度。

用户帐户为有意破坏堡垒主机入侵者提供了方便之门。每一个用户帐户口令全部可能被入侵者破译或捕捉。假如有若干用户口令被入侵者用上述手段获取那对内部网来讲就是灾难。

堡垒主机上为支持帐户系统运行就必需在堡垒主机上运行部分基础服务软件如打印服务、当地邮件发送服务等 。这些基础软件缺点及对这些软件配置上错误又会给入侵者提供另一个方便之门。

无用户帐户堡垒主机运行部分已知软件 同时也不可能在堡垒主机上发生用户碰撞。这么堡垒主机可靠性和稳定性很好。

用户在堡垒主机上运行软件时会常常无意地破坏堡垒主机安全机制。如她们会选择部分较易被破译口令或在堡垒主机上运行部分没有安全保障服务而她们无非是想让她们程序运行愈加快部分。假如堡垒主机上没有用户那就较易分辨堡垒主机是否在正常状态下运行。为了便于观察堡垒主机运行我们期望堡垒主机运行在没有用户程序干扰可估计模式下。

假如在堡垒主机上必需要有用户帐户那也要让用户数尽可能少而且要在严密监控下将用户帐户逐一加入。

7、 建立堡垒主机

我们在前面介绍了堡垒主机应完成工作而建立堡垒主机则应遵照以下步骤

给堡垒主机一个安全运行环境。

关闭机器上全部没有须要服务软件。

安装或修改必需服务软件。

依据最终需要重新配置机器。

检验机器上安全保障机制。

将堡垒主机连入网络。

在进行最终一步之前必需确保机器和Internet是相互隔离。假如内部网还未和Internet相连那我们应将堡垒主机完全配置好后方可和内部网和Internet相连假如我们在一个和Internet相连内部网上建立防火墙那就应该将堡垒主机配置成和内部网无连接单独机器。假如在配置堡垒主机时被入侵那这个堡垒主机就可能由内部网防卫机制变成内部网入侵机制。

8、 堡垒主机小结

本节介绍了在防火墙体系结构中最为关键部分堡垒主机堡垒主机能够独立地组成一个防火墙系统也能够作为复杂防火墙 系统中一个组件。本节从它基础概念开始介绍了构建堡垒主机两个标准、它在网络中存放位置及建立堡垒主机时需要考虑多个内容而且在网络中怎样确保堡垒主机正常运行等。双宿主主机结构防火墙

防火墙系统由一台装有两张网卡堡垒主机组成。两张网卡分别和外部网和内部受保护网相连。堡垒主机上运行防火墙软件能够转发数据提供服务等。堡垒主机将预防在外部网络和内部系统之间建立任何直接连接能够确保数据包不能直接从外部网络抵达内部网络反之亦然。

双宿主主机防火墙体系结构是围绕着最少含有两个网络接口双宿主主机而组成。双宿主主机在内外部网络之间并和内外部网络相连。如上图所表示。该计算机含有两个接口并含有以下特点

两个端口之间不能进行直接IP数据包转发

防火墙内部系统能够和双宿主主机进行通信 同时防火墙 外部系统也能够和双宿主主机进行通信但二者之间不能直接进行通信。

这种体系结构优点系结构很简单易于实现而且含有高度安全性能够完全阻止内部网络和外部网络通信。

这种主机还能够充当和这台相连若干网络之间路由器。它能将一个网络IP数据包在无安全控制下传输给另外一个网络。不过在将一台双宿主主机安装到防火墙结构中时首先要使双宿主主机这种路由功效失效。从一个外部网络比如Internet来数据包不能无条件地传输给另外一个网络如内部网络 。双宿主主机内外网络均可和双宿主主机实施通信但内外网络方间不可直接通信 内外部网络之间IP数据流被双宿主主机完全切断。

双宿主主机能够提供很高程序网络控制。假如安全规则不许可数据包在内外部网之间直传而又发觉内部网外有一个对应外部数据源这就说明系统安全机制有问题了。在有些情况下假如一个申请者数据类型和外部网提供某种服务不相符合时双宿主主机能够否决申请者要求和外部网络连接。一样情况下用包过滤系统要做到这种控制是很困难。

双重宿主主机实现方案有两种

用户直接登录到双重宿主主机

经过代理服务来实现。

双宿主主机只有用代理服务方法或让用户直接注册到双宿主主机上才能提供安全控制服务但在堡垒主机上设置用户帐户会产生很大安全问题。另外这种结构要求用户每次全部必需在双宿主主机上注册这么会使用户感到使用不方便。采取代理服务它安全性很好堡垒主机还能维护系统日志或远程日志。不过可能对于一些网络服务无法找到代理并不能完全根据要求提供全部安全服务 同时堡垒主机是入侵者致力攻击目标一旦被攻破防火墙就完全失效了。

屏蔽主机结构防火墙

双宿主主机结构是由一台同时连接在内外部网络双宿主主机提供安全保障而屏蔽主机过滤结构则不一样在屏蔽主机过滤结构提供安全保护主机仅仅和内部网相连另外主机过滤还有一台单独过滤路由器。包过滤路由器避免用户直接和代理服务器相连。上图显示了一个屏蔽主机过滤结构例子。

这种结构堡垒主机在内部网络而过滤路由器按以下规则过滤数据包任何外部网Internet主机全部只能和内部网堡垒主机建立连接甚至只有提供一些类型服务外部网主机才被许可和堡垒主机建立连接。任何外部系统对内部网络操作全部必需经过堡垒主机同时堡垒主机本身就要求有较全方面安全维护。包过滤系统也许可堡垒主机和外部网进行部分“能够接收即符合站点安全规则 ”连接。

过滤路由器可按以下规则之一进行配置

许可其它内部主机非堡垒主机为一些类型服务请求和外部网建立直接连接。不许可全部来自内部主机直接连接。

当然你能够对于不一样服务请求混合使用这些配置有些服务请求能够被许可直接进行包过滤而有些必需代理后才可进行包过滤这关键是由所需要安全规则确定。

因为这种结构许可包从外部网络直接传给内部网所以这种结构安全控制看起来似乎比双宿主主机结构差。而在双宿主主机结构中外部包理论上不可能直接抵达内部网。但实际上双宿主主机结构也会犯错而让外部网包直接抵达内部网这种错误产生是随机故无法在预先确定安全规则中加以防范 。另外在一台路由器上施加保护 比在一台主机上施加保护轻易多。通常来讲屏蔽主机过滤结构比双宿主主机结构能提供愈加好安全保护 同时也更具可操作性。

当然 同其它结构相比这种结构防火墙也有部分缺点一个关键缺点是只要入侵者设法经过了堡垒主机那么对入侵者来讲整个内部网和堡垒主机之间就再也没有任何阻碍。路由器保护也会有如此缺点 即若入侵者闯过路由器那么整个内部网便会完全暴露在入侵者面前正因为如此屏蔽子网结构防火墙变得越来越受欢迎。

屏蔽子网结构防火墙

屏蔽子网结构就是在屏蔽主机结构中再增加一层边界网络安全机制使得内部网和外部网之间有二层隔断。

在屏蔽主机结构中堡垒主机最易受到攻击尽管对它能够最大程度地加以保护因为它是入侵者首先能攻击到机器所以它仍然是最可能受到入侵主机。在屏蔽主机结构中 内部网络对堡垒主机是完全公开所以堡垒主机成了诱人攻击目标。

用边界网络来隔离堡垒主机和内部网就能减轻入侵者在攻破堡垒主机后而给内部网冲击力。入侵者即使攻破堡垒主机也不可能对内部网进行任意操作而只可能进行部分操作。

在最简单屏蔽子网结构中有二台全部和边界网络相连过滤路由器一台在边界网络和内部网络之间而另一台在边界网络和外部网之间在这种结构下入侵者要攻击到内部网必需经过二台路由器安全控制即使入侵者经过了堡垒主机她还必需经过内部路由器才能抵达内部网这么整个网络安全机制就不会因一点攻破而全部瘫痪。

有些站点还可用多层边界网络加以保护低可靠性保护由外层边界网络提供高可靠性保护由内层边界网络提供。在这种结构下入侵者冲开了外层边界网络后必需再破坏更为精巧内部边界网络才可抵达内部网。不过在多层边界网络结构中每层之间使用包过滤系统许可相同信息可经过任意一屋那么另加多层边界网络也就不会起作用了。

下面讨论一个在这种结构中所采取组件。

1、边界网络

边界网络是在内外部网之间另加一层安全保护网络层。假如入侵者成功地闯过外层保护网抵达防火墙边界网络就能在入侵者和内部网之间再提供一层保护。

在很多诸如Ethernet、令牌网、 FDDI等网络结构中 网络上任意一台机器全部能够观察到其它机器信息出入情况监听者仍能经过监听用户使用Telnet、 FTP等操作成功地窃取口令。即使口令不被泄露监听者仍能得到用户操作敏感文件内容。

假如入侵者仅仅侵入到边界网络堡垒主机她只能偷看到这层网络信息流而看不到内部网信息而这层网络信息流仅从边界网络往来于外部网或从边界网络往来于堡垒主机。因为没有内部主机间互传关键和敏感信息在边界网络中流动所以即使堡垒主机受到损害也不会让入侵者损害到内部网信息流。

显而易见往来于堡垒主机和外部网信息流还是可见所以在设计防火墙就是确保上述信息流暴露不会牵连到整个内部网络安全。

2、堡垒主机

在屏蔽子网结构中我们将堡垒主机和边界网络相连而这台主机是外部网服务于内部网关键节点。它为内部网服务关键功效有

它接收外来电子邮件SMTP再分发给对应站点

它接收外来FTP并将它连到内部网络匿名FTP服务器

它接收外来相关内部网站点域名服务。

这台主机向外服务功效可用以下方法来实施

在内、外部路由器上建立包过滤方便内部网用户可直接操作外部服务器。

在主机上建立代理服务在内部网用户和外部服务器之间建立间接连接。也能够在设置包过滤后许可内部网用户和主机代理服务进行交互但严禁内部网用户和外部网直接通信。

堡垒主机在何种类型服务请求下包过滤才许可它主动连到外部网或许可外部网申请连到它上面则完全由完全机制确定。

不管它是在为一些协议如FTP或HTTP运行特定代理服务软件还是为自代理协议如SMTP运行标准服务软件堡垒主机做关键工作还是为内外部服务请求进行代理。

3、 内部路由器

内部路由器关键功效是保护内部网络免受来自外部网和参数网络侵扰。内部路由器完成防火墙大部分包过滤工作它许可一些站点包过滤系统认为符合安全规则服务在内外部网之间互传各站点对各类服务安全确定规则是不一样 。依据各站点需要和安全规则可许可服务是以下这些外向服务中若干种如Telnet 、 FTP、 WAIS、 Gopher或其它服务。

内部路由器能够这么设定使边界网络上堡垒主机和内部网之间传输多种服务和内部网和外部网之间传输多种服务不完全相同。限制部分服务在内部网和堡垒主机之间互传目标是降低在堡垒主机被侵入后而受到入侵内部网主机数目如 SMTP、 DNS等。还能对这些服务作深入限定 限定它们只能在提供一些服务主机和内部网站点之间互传。比如对于SMTP就能够限定站点只能和堡垒主机或内部网邮件服务器通信。对其它能够从堡垒主机上申请连接主机就更得加以仔细保护。因为这些主机将是入侵者撞开堡垒主机保护后首先能攻击到机器。

4、外部路由器

理论上外部路由器既保护边界网络又保护内部网。实际上在外部路由器上仅做一小部分包过滤它几乎让全部边界网络外向请求经过而外部路由器和内部路由器包过滤规则是基础上相同也就是说假如完全规则上存在问题那些入侵者可用一样方法经过内、外部路由器。

因为外部路由器通常是由外界如Internet服务代应商提供所以你对外部路由器可做操作是受限制。 ISP通常仅会在该路由器上设置部分一般包过滤而不会专为你设置尤其包过滤或为你更换包过滤系统所以对于安全保障而言你不能像依靠于你内部路由器一样依靠地外部路由器有时ISP甚至会因更换外部路由器而忘记再设置包过滤。

外部路由器包过滤关键是对边界网络上主机提供保护然而通常情况下因为边界网络上主机安全关键经过主机安全机制加以保障所以由外部路由器提供很多保护并非必需。

另外还能将内部路由器安全准则加到外部路由器安全规则中这些规则能够预防不安全信息流在内部网主机和外部网之间互传。为了支持代理服务只要是内部站点和堡垒主机间交互协议 内部路由器就准许经过。一样只要协议来自堡垒主机外部路由器就准许它经过并抵达外部网。即使外部路由器这些规则相当于另加了一层安全机制但这一层安全机制能阻断包在理论上并不存在 因为它们早已被内部路由器阻断了如若存在这么包则说明不是内部路由器出了故障就是已经有未知主机侵入了边界网络。所