翻译:中国科学技术大学信息安全专业老师 务。代理服务器是外部可以看见的唯一实体,它对内部的用户来说是透明的。代理服务器可 以应用协议特定的访问规则,执行基于用户身份和报文分组内容的访问控制,如要执行的特 殊指令。例如,代理可以允许通过FTP的get(下载)请求,但是阻止FTP的put(上传) 请求。用户不必登录到防火墙,所以不必维护用户的帐户。与应用有关的事件可以记录下来。 当然,对于每一个你需要保护的服务都需要一个代理服务器。随着 Internet提供的 Internet 服务项目不断增加,这种方法不具有很好的可扩展性。 相同的原理可用于任何的协议层。如果你想要保护一个特殊的应用层协议,你可以重新 装配在防火墙相应协议中交换的消息(和会话),使用应用特定的安全检测,然后与指定的 服务通信。对于复杂协议来说,这样的策略仍可能产生不受欢迎的性能开销。 134.3双宿主主机防火墙 双宿主主机(dual- homed host)是一台具有两个网络接口的机器。这样的防火墙不只是 简单地在 Internet和内部网络之间路由报文分组,它还要根据它的安全规则处理这些报文分 组。双宿主主机是“全内置”防火墙(' all in one' firewal):它能够提供报文分组过滤和代 理服务。在内部网络的客户可以通过使用防火墙上的代理服务器或者直接登录到防火墙来访 问在 Internet上的服务。 1344筛选主机防火墙 双宿主主机常常通过改写Unix系统而建立。图13.15中的防火墙则是一个直接面对外 部世界的相当复杂的系统。如果你不是太放心那样的情况,你可以分离防火墙所实现的一些 功能,并且通过具有受限功能的更强壮的系统连接到 Internet 图13.15双宿主主机防火墙 图13.16中的防火墙被称作筛选主机防火墙( screened host firewall)8,它由实施报文 分组过滤和提供与 Internet接口的筛选路由器以及内部网络的堡垒主机组成。筛选路由器将 所有允许进入的通信发送到堡垒主机,在这儿,在报文分组被转发到内部网络中的结点前, 可以进行进一步的访问控制决策,并且只接收来自堡垒主机的内部报文分组 把报文分组过滤从防火墙实现的其他任务分离开来可以产生不太复杂的路由器,这样, 路由器和防火墙都有了更好的性能,因为硬件可以用来优化路由任务和更高程度的安全性保 证。基于这种理解,筛选主机防火墙比双宿主主机8具有更高安全性的断言可以认为是有 道理的。另一方面,你可能会抱怨它的高安全保证仅仅适用于有限的功能度( functionality) 而且必须由代理服务器提供更多相关的可选软件( features) 134.5筛选子网防火墙 筛选子网防火墙( screened subnet firewall)组合了前面两种方法的特性,如图13.17所 示。一个周边网络( peripheral network),也称作非军事区( demilitarized zone,DMZ),被 放置在内部网络和 Internet之间。筛选路由器位于 Internet和周边网络之间。在这里,高安 全保证是所希望的,仅仅报文分组过滤对于应付外部用户来说是足够了。在外围网和内部网 之间的双宿主主机防火墙可以提供较少的安全保障,但可以应用更复杂的策略来管理内部用 周边网络是用于非敏感主机的合适场所,非敏感主机应该能访问外部世界,像Web服 务器。外部用户浏览你的Web网页根本不需要进入内部网络,并且如果你真正关心你的声 誉,你可以把服务器中的数据存储在不可写的介质上,比如 CD-ROM。 第10页共12页 创建时间:2003-11翻译：中国科学技术大学信息安全专业老师 第 10 页 共 12 页 创建时间：2003-11 务。代理服务器是外部可以看见的唯一实体，它对内部的用户来说是透明的。代理服务器可 以应用协议特定的访问规则，执行基于用户身份和报文分组内容的访问控制，如要执行的特 殊指令。例如，代理可以允许通过 FTP 的 get（下载）请求，但是阻止 FTP 的 put（上传） 请求。用户不必登录到防火墙，所以不必维护用户的帐户。与应用有关的事件可以记录下来。 当然，对于每一个你需要保护的服务都需要一个代理服务器。随着 Internet 提供的 Internet 服务项目不断增加，这种方法不具有很好的可扩展性。 相同的原理可用于任何的协议层。如果你想要保护一个特殊的应用层协议，你可以重新 装配在防火墙相应协议中交换的消息（和会话），使用应用特定的安全检测，然后与指定的 服务通信。对于复杂协议来说，这样的策略仍可能产生不受欢迎的性能开销。 13.4.3 双宿主主机防火墙 双宿主主机（dual-homed host）是一台具有两个网络接口的机器。这样的防火墙不只是 简单地在 Internet 和内部网络之间路由报文分组，它还要根据它的安全规则处理这些报文分 组。双宿主主机是“全内置”防火墙（all in one firewall）；它能够提供报文分组过滤和代 理服务。在内部网络的客户可以通过使用防火墙上的代理服务器或者直接登录到防火墙来访 问在 Internet 上的服务。 13.4.4 筛选主机防火墙 双宿主主机常常通过改写 Unix 系统而建立。图 13.15 中的防火墙则是一个直接面对外 部世界的相当复杂的系统。如果你不是太放心那样的情况，你可以分离防火墙所实现的一些 功能，并且通过具有受限功能的更强壮的系统连接到 Internet。 图 13.15 双宿主主机防火墙 图 13.16 中的防火墙被称作筛选主机防火墙（screened host firewall）[28]，它由实施报文 分组过滤和提供与 Internet 接口的筛选路由器以及内部网络的堡垒主机组成。筛选路由器将 所有允许进入的通信发送到堡垒主机，在这儿，在报文分组被转发到内部网络中的结点前， 可以进行进一步的访问控制决策，并且只接收来自堡垒主机的内部报文分组。 把报文分组过滤从防火墙实现的其他任务分离开来可以产生不太复杂的路由器，这样， 路由器和防火墙都有了更好的性能，因为硬件可以用来优化路由任务和更高程度的安全性保 证。基于这种理解，筛选主机防火墙比双宿主主机[28]具有更高安全性的断言可以认为是有 道理的。另一方面，你可能会抱怨它的高安全保证仅仅适用于有限的功能度（functionality）， 而且必须由代理服务器提供更多相关的可选软件（features）。 13.4.5 筛选子网防火墙 筛选子网防火墙（screened subnet firewall）组合了前面两种方法的特性，如图 13.17 所 示。一个周边网络（peripheral network），也称作非军事区（demilitarized zone，DMZ），被 放置在内部网络和 Internet 之间。筛选路由器位于 Internet 和周边网络之间。在这里，高安 全保证是所希望的，仅仅报文分组过滤对于应付外部用户来说是足够了。在外围网和内部网 之间的双宿主主机防火墙可以提供较少的安全保障，但可以应用更复杂的策略来管理内部用 户。 周边网络是用于非敏感主机的合适场所，非敏感主机应该能访问外部世界，像 Web 服 务器。外部用户浏览你的 Web 网页根本不需要进入内部网络，并且如果你真正关心你的声 誉，你可以把服务器中的数据存储在不可写的介质上，比如 CD-ROM