网络安全技术-网络隔离技术

防火墙要用代理技术

代理与代理技术

代理 (proxy)，就是帮别人获得某项服务的人或机构。
例如，保险代理、法务代理
代理技术 (proxy services)，某个应用为另外一个应用获得某项服务。
例如，用户A可以委托主机B帮助它从外部下载某个文件或访问某
个网站。
代理服务器（ Proxy ） ：提供代理服务的服务器称之为代理服务器
也叫应用代理防火墙

应用代理代理 (Application proxies) ：在应用层提供
应用 代理技术是通过具有访问应用，使得不具备访问权限的用户可以访问网络服务一种代理服务技术。
例如，用户A本身不具备访问外部FTP服务的权限
但一个主机B不仅具备访问外部FTP的权限，而且还提供代理服务 基于应用代理技术，用户A可以借助于主机B的帮助而获得外部FTP服务的访问权限

优点

• 应用代理技术提供更高层次的安全性
• 易于审计
• 有助于提高访问速度
• 具备细粒度的过滤检测
• 隐蔽性较强

缺点

• 处理开销大
• 扩展性弱
• 使用不便

防护墙三种结构*堡垒主机结构

堡垒主机（Bastion Host）是一种被强化的可以防御网络攻击的计算机

• 从网络拓扑结构来看，堡垒主机一般均被暴露于互联网上
• 作为外部网络通信进入内部网络的一个检查点
• 从网络拓扑结构来看，防火墙和包过虑路由器均可以被看作堡垒主机。

堡垒主机的要求

堡垒主机的安全加固

• 关闭所有不必要的服务、协议、程序和网络端口
• 必须启用安全审计功能，以便记录所有安全事件的日志
• 堡垒主机和内部主机之间不能共享任何信任信息

堡垒主机结构的防火墙系统

堡垒主机结构也叫分组过滤防火墙结构、包过滤防火墙结构（Package Filtering Firewall）

• 是通过分组过滤技术来实现防火墙系统的一个方法
• 一般来说，分组过滤防火墙系统是一个带有路由功能的防火墙或一个起防火墙作用的分组过滤路由器
  
  优点：
  （1）成本低
  由于只需要一台具备包过滤的路由器或一台能够执行包过滤
  的防火墙，因此价格低廉。
  （2）管理简单
  结构简单，不需要复杂的配置，易于管理和维护。

缺点
（1）安全性低
如果包过滤路由器是唯一的安全设备，那么黑客们将非常容易地攻破系统，在局域网里为所欲为。
（2）过滤规则简单
只能通过网络层信息来进行过滤，无法提供复杂的过滤规则。此外，随着过滤规则数目的增加，防火墙本身的性能会受到影响。
（3）缺少审计和报警机制
大多数过滤器中缺少审计和报警机制。
（4）隐蔽性差
采用这种结构的防火墙系统，内部网络的IP地址并没有被隐藏起来，并且它不具备监测，跟踪和记录的功能。

屏蔽主机结构防火墙系统的概念

屏 蔽 主 机 结 构 防 火 墙 也 叫 单 宿 主 堡 垒 主 机 防 火 墙（Single-Homed Host Firewall）

• 单 宿主堡垒主机（Single-Homed Bastion Host）是只有一个网
  络接口的堡垒主机
• 一般来说，单宿主堡垒主机通常采用应用代理技术
  

屏蔽主机结构防火墙系统的数据处理

• 外部数据入站：
   包过滤路由器收到外部数据后，要么直接丢弃，要么转发到堡垒主机上
   堡垒主机通过对接收到的数据进行安全检查，并按照既定的安排策
  略对数据包进行处理
• 内部数据出站：
   对于外出数据来说，某些网络数据（如HTTP）可以不经过堡垒主机而直接发送给包过滤路由器
   对于需要进行严格控制的其他数据（如FTP、TELNET等）则通过配置所有内部客户端，将这些外出数据发送给堡垒主机进行代理访问

优点

• 成本比较低
• 安全性较高
• 对内部网络有一定的隐蔽性

缺点

• 路由器是安全瓶颈
• 缺少防范内部欺骗的能力

屏蔽子网防火墙系统

概念
屏蔽子网防火墙（Screened Subnet Firewall）结构用了两个包过滤路由器和一个堡垒主机
 这种方法是在内部Intranet和外部Internet之间建立一个被隔离的子网
 “非军事区”(DMZ，Demilitarized Zone)，需要保护的服务（如WEB、DNS等）以及堡垒主机放在该子网中。
 用两个包过滤路由器将这一子网分别与Intranet和Internet分开

外部包过滤路由器：
 执行包过滤功能
 将数据包转发到堡垒主机

内部 屏蔽路由器：
 屏蔽内部网络
 过滤内部数据
 转发内部数据到堡垒主机

优点：
安全性高
灵活性强好
隐蔽性好

缺点：
成本高
配置复杂