论文部分内容阅读
应用层网关(或代理服务器)是指处理代表内部客户的外部服务器的程序。代理客户与应用层网关对话,它们将核实客户请求,中继到真实的服务器上,并将答复中继客户。应用层网关在外部网络向内部网络申请服务时发挥了中间转接作用。内部网络只接受应用层网关提出的服务请求,拒绝外部网络其他节点的直接请求。当外部网络向内部网络的某个节点申请某种服务,先由应用层网关接收,然后根据其服务类型、服务内容、被服务对象及其他因素,决定是否接受此服务。如果接受,则由代理服务器向内部网络转发这项请求,并把结果反馈给申请者;否则就拒绝其请求。
应用层网关不依赖包过滤工具来管理Internet服务在防火墙系统中的进出,采用为每种所需服务在网关上安装特殊代码(代理服务)的方式来管理Internet服务。这种方式的优点在于既能进行安全控制,又可以加速访问,安全性好;但实现比较困难,对于每一种服务协议必须设计一个代理软件模块,以进行安全控制,透明性比较差。
与包过滤路由器(允许数据包在内部系统和外部系统之间直接流入和流出)不同,应用层网关允许信息在系统之间流动,但不允许直接交换数据包。不允许在内部系统和外部系统之间直接交换数据包的主要原因是为了保证驻留在受保护网络系统上的主机避免任何由所允许服务带来的威胁。
一个应用层网关常常被称做“堡垒主机”(Bastion Host)。因为它是一个专门的系统,有特殊的装备,并能抵御攻击。
电路层网关是一个特殊的功能,可以由应用层网关来完成。电路层网关只依赖于TCP连接,并不进行任何附加的包处理或过滤。图3说明了通过电路层网关进行的Telnet连接的操作。电路层网关简单地中继Telnet连接,并不做任何审查、过滤或Telnet协议管理。电路层网关就向电线一样,只是在内部连接和外部连接之间来回拷贝字节。但是由于连接似乎是起源于防火墙,其隐藏了受保护网络的有关信息。
电路层网关常用于向外连接,这时网络管理员对其内部用户是信任的。它们的优点是堡垒主机可以被设置成混合网关,对于内连接支持应用层或代理服务,而对于外连接支持电路层功能。这样使得防火墙系统对于要访问Internet服务的内部用户来说使用起来很方便,同时又能提供保护内部网络免于外部攻击的防火墙功能。
几种常见的防火墙
1.包过滤路由器:是最常见的防火墙。它是放在Internet和内部网络之间的包过滤路由器。包过滤路由器在网络之间完成数据包转发的普通路由功能,并利用包过滤规则来允许或拒绝数据包。一般情况下,内部网络上的主机可以直接访问Internet,Internet上的主机对内部网络上的主机进行访问是有限制的。这种类型的防火墙系统的外部姿态是对没有特别允许的数据包都拒绝。
尽管这种防火墙系统有价格低和易于使用的优点,但同时也有缺点,如配置不当的路由器可能受到攻击,以及利用将攻击包裹在允许的服务和系统内进行攻击等。由于允许在内部和外部系统之间直接交换数据包,那么攻击面可能会扩展到所有主机和路由器所允许的全部服务上。这就意味着可以从Internet上直接访问的主机要支持复杂的用户认证,并且网络管理员要不断地检查网络以确定网络是否受到攻击。另外,如果有一个包过滤路由器被渗透,内部网络上的所有系统都可能会受到损害。
2.屏蔽主机防火墙(Screened Host Gateway):系统由包过滤路由器和堡垒主机组成。这个防火墙系统提供的安全等级比上一个例子中的防火墙系统要高,因为它实现了网络层安全(包过滤)和应用层安全(代理服务)。所以入侵者在破坏内部网络的安全性之前,必须首先渗透两种不同的安全系统。
对于这种防火墙系统,堡垒主机配置在内部网络上,而包过滤路由器则放置在内部网络和Internet之间。在路由器上进行规则配置,使得外部系统只能访问堡垒主机,去往内部系统上其它主机的信息全部被阻塞。内部系统是直接访问Internet,还是要求使用堡垒主机上的代理服务来访问Internet由机构的安全策略来决定。对路由器的过滤规则进行配置,使得其只接受来自堡垒主机的内部数据包,就可以强制内部用户使用代理服务。
屏蔽主机防火墙系统的优点之一是可以把提供公开信息服务(如Web,FTP)的服务器放置在由包过滤路由器和堡垒主机共用的网段上。如果有特别高的安全需求,可以让堡垒主机运行代理服务,使得内部和外部用户在与信息服务器通信之前,必须先访问堡垒主机。如果较低的安全等级已经足够,则将路由器配置成让外部用户直接去访问公共的信息服务器的方式。
用双宿堡垒主机(Dual Home Gateway)甚至可以构造更加安全的防火墙系统。双宿堡垒主机有两个网络接口,但是主机在两个端口之间直接转发信息的功能(其能旁路代理服务)被关掉了。这种物理结构强行将让所有去往内部网络的信息经过堡垒主机,并且在外部用户被授予直接访问信息服务器的权利时,提供附加的安全性。
由于堡垒主机是唯一能从Internet上直接访问的内部系统,所以有可能受到攻击的主机就只有堡垒主机本身。但是,如果允许用户注册到堡垒主机,那么整个内部网络上的主机都会受到攻击的威胁。这是因为,对于入侵者来说,如果允许注册,破坏堡垒主机相对比较容易。牢固可靠,避免被渗透和不允许用户注册对堡垒主机来说是至关重要的。
3.DMZ或屏蔽子网防火墙(Screened Subnet Gateway):采用了两个包过滤路由器和一个堡垒主机(图6)。这个防火墙系统建立的是最安全的防火墙系统,因为在定义了“非军事区”(DMZ)网络后,它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组以及其它公用服务器放在DMZ网络中。DMZ网络很小,处于Internet和内部网络之间。在一般情况下对DMZ配置成使用Internet和内部网络系统能够访问DMZ网络上数目有限的系统,而通过DMZ网络直接进行信息传输是严格禁止的。
图6屏子网防火墙系统
对于进来的信息,外面的这个路由器用于防范通常的外部攻击(如源地址欺骗和源路由攻击),并管理Internet到DMZ网络的访问。它只允许外部系统访问堡垒主机(还可能有信息服务器)。里面的这个路由器提供第二层防御,只接受源于堡垒主机的数据包,负责的是管理DMZ到内部网络的访问。
对于去往Internet的数据包,里面的路由器管理内部网络到DMZ网络的访问。它允许内部系统只访问堡垒主机(还可能有信息服务器)。外面的路由器上的过滤规则要求使用代理服务(只接受来自堡垒主机的去往Internet的数据包)。
部署屏蔽子网防火墙系统有如下几个特别的好处:
* 入侵者必须突破3个不同的设备(夫法探测)才能侵袭内部网络:外部路由器,堡垒主机,还有内部路由器。
* 由于外部路由器只能向Internet通告DMZ网络的存在,Internet上的系统不需要有路由器与内部网络相连。这样网络管理员就可以保证内部网络是“不可见”的,并且只有在DMZ网络上选定的系统才对Internet开放(通过路由表和DNS信息交换)。
* 由于内部路由器只向内部网络通告DMZ网络的存在,内部网络上的系统不能直接通往Internet,这样就保证了内部网络上的用户必须通过驻留在堡垒主机上的代理服务才能访问Internet。
* 包过滤路由器直接将数据引向DMZ网络上所指定的系统,消除了堡垒主机双宿的必要。
* 内部路由器在作为内部网络和Internet之间最后的防火墙系统时,能够支持比双宿堡垒主机更大的数据包吞吐量。
* 由于DMZ网络是一个与内部网络不同的网络,NAT(网络地址变换)可以安装在堡垒主机上,从而避免在内部网络上重新编址或重新划分子网。
小结
防火墙技术是保障电子商务安全的重要保证。防火墙系统不是简单的硬件和软件的结合,它更是维护和管理的结合。任何防火墙技术都必然存在着这样那样的问题和漏洞,已经配置了防火墙系统的任何网络系统都不是万无一失的,因此,随着电子商务的普及和发展,Internet防火墙技术也必定会有也应该有新的突破。
应用层网关不依赖包过滤工具来管理Internet服务在防火墙系统中的进出,采用为每种所需服务在网关上安装特殊代码(代理服务)的方式来管理Internet服务。这种方式的优点在于既能进行安全控制,又可以加速访问,安全性好;但实现比较困难,对于每一种服务协议必须设计一个代理软件模块,以进行安全控制,透明性比较差。
与包过滤路由器(允许数据包在内部系统和外部系统之间直接流入和流出)不同,应用层网关允许信息在系统之间流动,但不允许直接交换数据包。不允许在内部系统和外部系统之间直接交换数据包的主要原因是为了保证驻留在受保护网络系统上的主机避免任何由所允许服务带来的威胁。
一个应用层网关常常被称做“堡垒主机”(Bastion Host)。因为它是一个专门的系统,有特殊的装备,并能抵御攻击。
电路层网关是一个特殊的功能,可以由应用层网关来完成。电路层网关只依赖于TCP连接,并不进行任何附加的包处理或过滤。图3说明了通过电路层网关进行的Telnet连接的操作。电路层网关简单地中继Telnet连接,并不做任何审查、过滤或Telnet协议管理。电路层网关就向电线一样,只是在内部连接和外部连接之间来回拷贝字节。但是由于连接似乎是起源于防火墙,其隐藏了受保护网络的有关信息。
电路层网关常用于向外连接,这时网络管理员对其内部用户是信任的。它们的优点是堡垒主机可以被设置成混合网关,对于内连接支持应用层或代理服务,而对于外连接支持电路层功能。这样使得防火墙系统对于要访问Internet服务的内部用户来说使用起来很方便,同时又能提供保护内部网络免于外部攻击的防火墙功能。
几种常见的防火墙
1.包过滤路由器:是最常见的防火墙。它是放在Internet和内部网络之间的包过滤路由器。包过滤路由器在网络之间完成数据包转发的普通路由功能,并利用包过滤规则来允许或拒绝数据包。一般情况下,内部网络上的主机可以直接访问Internet,Internet上的主机对内部网络上的主机进行访问是有限制的。这种类型的防火墙系统的外部姿态是对没有特别允许的数据包都拒绝。
尽管这种防火墙系统有价格低和易于使用的优点,但同时也有缺点,如配置不当的路由器可能受到攻击,以及利用将攻击包裹在允许的服务和系统内进行攻击等。由于允许在内部和外部系统之间直接交换数据包,那么攻击面可能会扩展到所有主机和路由器所允许的全部服务上。这就意味着可以从Internet上直接访问的主机要支持复杂的用户认证,并且网络管理员要不断地检查网络以确定网络是否受到攻击。另外,如果有一个包过滤路由器被渗透,内部网络上的所有系统都可能会受到损害。
2.屏蔽主机防火墙(Screened Host Gateway):系统由包过滤路由器和堡垒主机组成。这个防火墙系统提供的安全等级比上一个例子中的防火墙系统要高,因为它实现了网络层安全(包过滤)和应用层安全(代理服务)。所以入侵者在破坏内部网络的安全性之前,必须首先渗透两种不同的安全系统。
对于这种防火墙系统,堡垒主机配置在内部网络上,而包过滤路由器则放置在内部网络和Internet之间。在路由器上进行规则配置,使得外部系统只能访问堡垒主机,去往内部系统上其它主机的信息全部被阻塞。内部系统是直接访问Internet,还是要求使用堡垒主机上的代理服务来访问Internet由机构的安全策略来决定。对路由器的过滤规则进行配置,使得其只接受来自堡垒主机的内部数据包,就可以强制内部用户使用代理服务。
屏蔽主机防火墙系统的优点之一是可以把提供公开信息服务(如Web,FTP)的服务器放置在由包过滤路由器和堡垒主机共用的网段上。如果有特别高的安全需求,可以让堡垒主机运行代理服务,使得内部和外部用户在与信息服务器通信之前,必须先访问堡垒主机。如果较低的安全等级已经足够,则将路由器配置成让外部用户直接去访问公共的信息服务器的方式。
用双宿堡垒主机(Dual Home Gateway)甚至可以构造更加安全的防火墙系统。双宿堡垒主机有两个网络接口,但是主机在两个端口之间直接转发信息的功能(其能旁路代理服务)被关掉了。这种物理结构强行将让所有去往内部网络的信息经过堡垒主机,并且在外部用户被授予直接访问信息服务器的权利时,提供附加的安全性。
由于堡垒主机是唯一能从Internet上直接访问的内部系统,所以有可能受到攻击的主机就只有堡垒主机本身。但是,如果允许用户注册到堡垒主机,那么整个内部网络上的主机都会受到攻击的威胁。这是因为,对于入侵者来说,如果允许注册,破坏堡垒主机相对比较容易。牢固可靠,避免被渗透和不允许用户注册对堡垒主机来说是至关重要的。
3.DMZ或屏蔽子网防火墙(Screened Subnet Gateway):采用了两个包过滤路由器和一个堡垒主机(图6)。这个防火墙系统建立的是最安全的防火墙系统,因为在定义了“非军事区”(DMZ)网络后,它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组以及其它公用服务器放在DMZ网络中。DMZ网络很小,处于Internet和内部网络之间。在一般情况下对DMZ配置成使用Internet和内部网络系统能够访问DMZ网络上数目有限的系统,而通过DMZ网络直接进行信息传输是严格禁止的。
图6屏子网防火墙系统
对于进来的信息,外面的这个路由器用于防范通常的外部攻击(如源地址欺骗和源路由攻击),并管理Internet到DMZ网络的访问。它只允许外部系统访问堡垒主机(还可能有信息服务器)。里面的这个路由器提供第二层防御,只接受源于堡垒主机的数据包,负责的是管理DMZ到内部网络的访问。
对于去往Internet的数据包,里面的路由器管理内部网络到DMZ网络的访问。它允许内部系统只访问堡垒主机(还可能有信息服务器)。外面的路由器上的过滤规则要求使用代理服务(只接受来自堡垒主机的去往Internet的数据包)。
部署屏蔽子网防火墙系统有如下几个特别的好处:
* 入侵者必须突破3个不同的设备(夫法探测)才能侵袭内部网络:外部路由器,堡垒主机,还有内部路由器。
* 由于外部路由器只能向Internet通告DMZ网络的存在,Internet上的系统不需要有路由器与内部网络相连。这样网络管理员就可以保证内部网络是“不可见”的,并且只有在DMZ网络上选定的系统才对Internet开放(通过路由表和DNS信息交换)。
* 由于内部路由器只向内部网络通告DMZ网络的存在,内部网络上的系统不能直接通往Internet,这样就保证了内部网络上的用户必须通过驻留在堡垒主机上的代理服务才能访问Internet。
* 包过滤路由器直接将数据引向DMZ网络上所指定的系统,消除了堡垒主机双宿的必要。
* 内部路由器在作为内部网络和Internet之间最后的防火墙系统时,能够支持比双宿堡垒主机更大的数据包吞吐量。
* 由于DMZ网络是一个与内部网络不同的网络,NAT(网络地址变换)可以安装在堡垒主机上,从而避免在内部网络上重新编址或重新划分子网。
小结
防火墙技术是保障电子商务安全的重要保证。防火墙系统不是简单的硬件和软件的结合,它更是维护和管理的结合。任何防火墙技术都必然存在着这样那样的问题和漏洞,已经配置了防火墙系统的任何网络系统都不是万无一失的,因此,随着电子商务的普及和发展,Internet防火墙技术也必定会有也应该有新的突破。