防火墙技术及应用（二）

  包过滤技术虽然简单但是安全性不高，状态监测技术安全性较高，但是又需要更多的资源用于计算。上面两种都无法针对具体的应用提供安全的保护。
  应用代理技术就可以针对具体的应用提供安全的保护。

防火墙代理技术

（1）代理与代理技术

• 代理 (proxy)
    就是帮别人获得某项服务的人或机构。 例如，保险代理、法务代理等。

• 代理技术(proxy services)
    帮助某个应用为另外一个应用获得某项服务。 例如，用户A可以委托主机B帮助它从外部下载某个文件或访问某
  个网站。

• 代理服务器（Proxy）
    提供代理服务的服务器称之为代理服务器， 也叫应用代理防火墙，它可以让某些没有权限的用户拥有权限。

（2）应用代理技术
  应用代理代理 (Application proxies) 是在应用层提供代理服务的代理应用代理技术是通过具有访问应用，使得不具备访问权限的用户可以访问网络服务一种代理服务技术。
  例如，用户A本身不具备访问外部FTP服务的权限，但有一个主机B不仅具备访问外部FTP的权限，而且还提供代理服务，那么基于应用代理技术，用户A可以借助于主机B的帮助而获得外部FTP服务的访问权限。
  应用代理技术是工作在应用层的，也就是说其需要对应用层的数据包进行分析才觉得这个数据包能否通过防火墙

（3）应用代理的执行过程

  当内部用户需要访问外部服务时，如果没有相应的权限，就需要借助应用代理服务器，将信息发送到外部，如果外部回应内部也要通过代理服务器进行。在这个过程中，内部用户访问外部用户，看似是透明的，但是所有的应用信息是通过应用代理的转换来实现的.

（4）应用代理技术的优缺点

• 应用代理技术的优点
  1、应用代理技术提供更高层次的安全性
  2、易于审计
  3、有助于提高访问速度
  4、具备细粒度的过滤检测
  5、隐蔽性较
• 应用代理技术的缺点
  1、处理开销大
  2、扩展性弱
  3、使用不便

堡垒主机防火墙系统

  防火墙的体系结构，也就是如何去部署防火墙，包含堡垒主机结构，屏蔽主机结构和屏蔽子网结构。

（1）堡垒主机结构

• 堡垒主机（Bastion Host）
    是一种被强化的可以防御网络，是一种特殊的计算机，其本身的安全性比较高，可以有效的防范外部攻击者的攻击，从拓扑结构来看，堡垒主机往往暴露在外部，直接面对着外部攻击者攻击的计算机
    从网络拓扑结构来看，堡垒主机一般均被暴露于互联，所以就成为了一个检查所有外部流量的，安全的，外部网络通信进入内部网络的一个检查点，防火墙和包过虑路由器均可以被看作堡垒主机。

（2）堡垒主机安全性的要求
  自身必须具有比较高的安全性，提高安全性的方法有

• 关闭所有不必要的服务、协议、程序和网络端口
• 必须启用安全审计功能，以便记录所有安全事件的日志
• 堡垒主机和内部主机之间不能共享任何信任信息

  堡垒主机所使用的的技术往往是包过滤技术，所以堡垒主机防火墙也称之为包过滤防火墙 、分组过滤防火墙。所以我们可以使用带路由功能的防火墙或者起到防火墙作用的分组过滤路由器组成一个分组过滤防火墙系统

（3）堡垒主机防火墙拓扑图

  堡垒主机位于内部网络与外部网络之间，充当连接内部网络和外部网络的角色。

（4）优缺点

• 优点
  1、成本低
    由于只需要一台具备包过滤的路由器或一台能够执行包过滤的防火墙，因此价格低廉。
  2、管理简单
    结构简单，不需要复杂的配置，易于管理和维护。
• 缺点
  1、安全性低
    如果包过滤路由器是唯一的安全设备，那么黑客们将非常容易地攻
  破系统，在局域网里为所欲为。
  2、过滤规则简单
    只能通过网络层信息来进行过滤，无法提供复杂的过滤规则。此外，随着过滤规则数目的增加，防火墙本身的性能会受到影响。
  3、缺少审计和报警机制
    大多数过滤器中缺少审计和报警机制。
  4、隐蔽性差
    采用这种结构的防火墙系统，内部网络的IP地址并没有被隐藏起来，并且它不具备监测，跟踪和记录的功能。

屏蔽主机结构防火墙的系统

  堡垒主机防火墙，成本低但是使用范围非常有限，堡垒主机会成为整个系统的瓶颈。屏蔽主机结构防火墙也叫单宿主堡主机防火墙（Single-Homed Host Firewall）
  单宿主堡垒主机是只有一个网络接口的堡垒主机，由于只有一个网络接口，这个主机无法连接内部网络和外部网络，要借助与防火墙之间的协同工作才能完成防火墙的功能，单宿主堡垒主机通常采用应用代理技术。

（1）拓扑图

  从图中可以看出，堡垒主机位于内部网络，路由器连接着内部和外部网络。所以外部的数据需要通过路由器来进行转发，由堡垒主机进行接收，其根据防火墙的规则来决定该数据包是放行还是丢弃。
  内部网络向外部网络发送的数据也需要经过路由器转发到堡垒主机，再根据防火墙过滤规则来决定这个数据包是否可以到达外部网络。其他不需要防火墙保护的数据，可以直接通过路由器转发来完成。可以看出，在这样的一个系统中是由路由器和防火墙共同组成的一个防火墙系统。

（2）屏蔽主机结构防火墙系统的数据处理
  上面也有提到过，总的来说：

• 外部数据入站：
    包过滤路由器收到外部数据后，要么直接丢弃，要么转发到堡垒主
  机上
    堡垒主机通过对接收到的数据进行安全检查，并按照既定的安排策
  略对数据包进行处理
• 内部数据出站
    对于外出数据来说，某些网络数据（如HTTP）可以不经过堡垒主机
  而直接发送给包过滤路由器。
    对于需要进行严格控制的其他数据（如FTP、TELNET等）则通过配置
  所有内部客户端，将这些外出数据发送给堡垒主机进行代理访问。

  可见，路由器路由规则的正确性，对于保障屏蔽主机防火墙的功能的正确性十分重要。如果路由器的路由规则配置正确，所有受保护的安全数据就可以转发到堡垒主机上

  可以看出，凡是发送到内部的数据，都会经过路由器转发到堡垒主机上，即所有内网的数据都可以受到保护。
  如果路由表不正确，外部网络流量有可能不会转发到堡垒主机上

  如上图，路由器的路由规则中，由于要发送到内部网的数据由于转发到了非堡垒主机，那么整个内部网络的数据都无法得到保护

优缺点

• 优点：
  1、成本比较低
  2、安全性较高
  3、 对内部网络有一定的隐蔽性
• 缺点：
  1、路由器是安全瓶颈
  2、缺少防范内部欺骗的能力