翻译:中国科学技术大学信息安全专业老师 决定扩展对雇员数据的安全策略,并且要求这样的数据从来不被送到在人事部门以外的结 点。阻塞所有离开人事部门子网的通信不是一个选择方案,所以必须引入新的机制来实行这 种安全策略。从安全的角度来说,对LAN内的所有结点进行升级保护也许是一个不错的主 意,但这不是很实际的情况 定义我们用防火墙( firewal)作为代表保护内部网络边界的任何安全系统的通用名 堡垒主机( bastion host)是一个具有坚固安全性的计算机系统,因为它要暴露给外部世界 防火墙与 Internet安全密切联系在一起。当你考虑使用一种认证协议的时候,你必须知 道你的用户是谁。当你想要向外延伸到 Internet上的未知世界去见到不断增长的用户群时 这种必须知道你的用户是谁的假设就不适当了。如果你想对未知的用户提供受控制的访问, 你能做什么呢?远程用户来自的地址或者请求的服务可能决定了你的访问控制决策。因此, 防火墙的典型任务是: 基于发送者或者接收者地址的访问控制: 基于请求的服务的访问控制 隐藏内部网络,例如,拓扑结构、地址、来自外部的通信量 在接收的文件中进行病毒检测:这一点已经紧紧地和通过 e-mail传播的宏病毒联系 在了一起 基于通信源的认证; 做 Internet活动日志。 由防火墙使用的两种基本机制是报文分组过滤和代理服务器。 134.l报文分组过滤 网络协议把报文分组从源地址发送到目的地址。关于报文分组的有关信息包含在它的头 标中。头标可以包含源地址、目的地址以及报文分组所属应用协议的一些指示信息。例如, TCP端口号23标识了一个 Telnet报文分组。可以基于下述的信息进行报文分组过滤: 源地址:源地址可以很容易被伪造,所以它的有效性是有限的:建议你阻止从 Internet 到达的、用内部IP地址作为源地址出现的报文分组。 目的地址:一个典型的例子就是在图13.16中的筛选路由器( screening router),它仅 仅发送报文分组到堡垒主机。 ·协议:你可以使用TCP端口号和所属协议的基础上过滤报文分组。例如,你可以允 许FTP,但阻塞 Telnet 连接:网络层过滤(有状态检査)使报文分组与一个连接发生联系,这样可以辨别报 文分组。例如,可以区分开内部FTP请求响应的FTP包和来自 Internet连接的FTP包。 1342代理服务器 让我们围绕着FTP例子来讨论。内部网络的一个客户想要访问在 Internet上的FTP服 务器。安全策略可能仅仅允许有限的一组用户使用FTP,而且可能禁止用户去下载被认为是 有攻击行为的资料。报文分组过滤支持允许FTP而阻止 Telnet连接的策略,但是在这里, 报文分组过滤策略根本不起任何作用。另外,当允许对外部的FTP服务器访问时,客户的 网络地址也暴露了。对于潜在的攻击者来说,这些信息可能是有用的。 为了实现基于用户身份的策略和隐藏关于内部网络的信息,可以使用代理服务器。代理 服务器是另外一个受控调用( controlled invocation)的实例。代理服务器截获客户的请求, 并且根据它的安全规则来决定这个请求是否允许。如果允许的话,这个请求才传给真正的服 第9页共12页 创建时间:2003-11翻译：中国科学技术大学信息安全专业老师 第 9 页 共 12 页 创建时间：2003-11 决定扩展对雇员数据的安全策略，并且要求这样的数据从来不被送到在人事部门以外的结 点。阻塞所有离开人事部门子网的通信不是一个选择方案，所以必须引入新的机制来实行这 种安全策略。从安全的角度来说，对 LAN 内的所有结点进行升级保护也许是一个不错的主 意，但这不是很实际的情况。 定义 我们用防火墙（firewall）作为代表保护内部网络边界的任何安全系统的通用名。 堡垒主机（bastion host）是一个具有坚固安全性的计算机系统，因为它要暴露给外部世界。 防火墙与 Internet 安全密切联系在一起。当你考虑使用一种认证协议的时候，你必须知 道你的用户是谁。当你想要向外延伸到 Internet 上的未知世界去见到不断增长的用户群时， 这种必须知道你的用户是谁的假设就不适当了。如果你想对未知的用户提供受控制的访问， 你能做什么呢？远程用户来自的地址或者请求的服务可能决定了你的访问控制决策。因此， 防火墙的典型任务是： ·基于发送者或者接收者地址的访问控制； ·基于请求的服务的访问控制； ·隐藏内部网络，例如，拓扑结构、地址、来自外部的通信量； ·在接收的文件中进行病毒检测：这一点已经紧紧地和通过 e-mail 传播的宏病毒联系 在了一起。 ·基于通信源的认证； ·做 Internet 活动日志。 由防火墙使用的两种基本机制是报文分组过滤和代理服务器。 13.4.1 报文分组过滤 网络协议把报文分组从源地址发送到目的地址。关于报文分组的有关信息包含在它的头 标中。头标可以包含源地址、目的地址以及报文分组所属应用协议的一些指示信息。例如， TCP 端口号 23 标识了一个 Telnet 报文分组。可以基于下述的信息进行报文分组过滤： ·源地址：源地址可以很容易被伪造，所以它的有效性是有限的；建议你阻止从 Internet 到达的、用内部 IP 地址作为源地址出现的报文分组。 ·目的地址：一个典型的例子就是在图 13.16 中的筛选路由器（screening router），它仅 仅发送报文分组到堡垒主机。 ·协议：你可以使用 TCP 端口号和所属协议的基础上过滤报文分组。例如，你可以允 许 FTP，但阻塞 Telnet。 ·连接：网络层过滤（有状态检查）使报文分组与一个连接发生联系，这样可以辨别报 文分组。例如，可以区分开内部 FTP 请求响应的 FTP 包和来自 Internet 连接的 FTP 包。 13.4.2 代理服务器 让我们围绕着 FTP 例子来讨论。内部网络的一个客户想要访问在 Internet 上的 FTP 服 务器。安全策略可能仅仅允许有限的一组用户使用 FTP，而且可能禁止用户去下载被认为是 有攻击行为的资料。报文分组过滤支持允许 FTP 而阻止 Telnet 连接的策略，但是在这里， 报文分组过滤策略根本不起任何作用。另外，当允许对外部的 FTP 服务器访问时，客户的 网络地址也暴露了。对于潜在的攻击者来说，这些信息可能是有用的。 为了实现基于用户身份的策略和隐藏关于内部网络的信息，可以使用代理服务器。代理 服务器是另外一个受控调用（controlled invocation）的实例。代理服务器截获客户的请求， 并且根据它的安全规则来决定这个请求是否允许。如果允许的话，这个请求才传给真正的服