计算机基础训练 - 图文

第2章 信息安全积极防御概述

屏蔽主机体系

如图3-4所示，堡垒主机位于内部网络上，在屏蔽的路由器上的数据包过滤规则是使从外网来的数据必须要经过堡垒主机，而去往其他主机上的信息将全部被阻断（其实有某些确定类型的与堡垒主机的连接被允许），这是他最大的特点。

该体系结构和双宿主主机体系结构差不多，但是安全性能方面却有很大差距，屏蔽主机体系中堡垒主机是外部网络唯一可到达的内部主机，所以危险被限制在了堡垒主机和屏蔽路由器上。当然了，若是黑客若是通过某种手段登录到了网关上面，那么内部网络也会受到威胁，这样就和双宿主主机差不多了。

网关的控制是由安装在上面的软件所决定的，如上文中所述屏蔽主机系统由应用网关和堡垒主机组成，何为应用网关，应用网关是将一个网络与另一个网络进行相互连通，提供特定应用的网际间设备，应用网关必须能实现相应的应用协议。网关就是路由器的IP，其他电脑必须要和网关一个IP段才能访问路由器，比如说路由器的IP是192.168.0.1（这

12

第2章 信息安全积极防御概述

个就是网关）也是进路由器必须的地址，其他的主机也必须是192.168.0.X（2—254之间任意一个数字）这样才能访问路由器也就是说这样才能上网，电脑上的网关地址就要填写192.168.0.1

屏蔽子网体系结构

正如前面所述，在屏蔽主机体系结构中，入侵者如果攻破了堡垒主机那么内网将毫无安全可言，于是我们想到了多添加一个路由器，这样在入侵者攻破堡垒主机的时候还要面对一个内部路由器，内网的安全将不在是完全依赖堡垒主机，这系统结构如图3-5所示

屏蔽子网体系

3.2.2 防火墙的配置原则

人们在组建防火墙的时候为了追求安全性能一般不会是单一的，也就是说不会只用一个堡垒主机，一个路由等等，人们通常是将多台堡垒主机，多台内外路由器组合起来，因为从技术角度来说要满足安全的要求，需要采用全面的。多层次的深层防御战略体系才能实现系统的真正安全，在单一的防御措施下，系统的安全是难以保障的。深层次的意思就

13

第2章 信息安全积极防御概述

是说，在防火墙的配置过程中应该全面的，整体的考虑真个网络的安全体系，努力做到能够使各个设备的配置能够互相配合，相互加强，从更深层次上防御整个系统，具体的操作就是防火墙的部署要集英特网边界防火墙，部门边界防火墙和主机防火墙于一体的层次防御，换个角度，我们将入侵监测，网络加密，病毒查杀等多种安全措施结合在一个多层安全体系中，以增加系统防御能力。

还有一个配置原则就是简洁原则，在能保证系统安全的前提下，防火墙一定要简单实用，因为越简单越不容易出错，更容易理解和使用，对其的管理也比较容易。 3.3 防火墙的局限性

防火墙虽然是保护网络的效果很明显，但是它的局限性也很明显

防火墙不能防范绕过防火墙进行通信。比如说当内部的网络使用调制解调和因特网直接相连了，绕过了防火墙，这就是一个潜在的隐患

防火墙不能中断受到病毒感染的文件的传输。

防火墙不能防止数据驱动式的攻击。有一类数据虽然看上去无害，但当他到了主机上被执行时就会发生数据驱动攻击，防火墙对此无能为力

防火墙是保护内部不受外部攻击，对来自于内部的攻击保护不力

防火墙的控制灵活性很差，对报文的过滤只有允许和不允许两种方式，显然显示生活中要复杂的多。

正因为防火墙总有各自的缺陷，它存在的重点也是保护网络边界的传输，所以为了不影响网络性能不能再设计时盲目扩展防火墙。另外，有一个注意点就是防火墙的设置必须与网络路由的配置结合起来，以保证防火墙是处在路由的阻塞点上，安全域内不应该存在备份的迂回路由，否则它仍然可能绕过防火墙的控制。

NSTI③就在一份报告中列出了如下问题：

14

第2章 信息安全积极防御概述

许多信息服务协议，在防火墙策略下工作的并不好 多媒体信息传输包，没有内容监测，存在潜在的威胁 下载的软件不能保证对抗计算机病毒 防火墙可能构成潜在的信息处理瓶颈

若是所有的安全性均依靠在防火墙上，犹如吧所有的鸡蛋放在了一个篮子里。 该报告还指出：由于存在其他问题，对于本地网络的保护必须要综合使用防火墙和其他安全工具和技术，值得我们欣慰的是防火墙在网络安全方面起的作用正在减少，更多的全面的安全产品正在不断的涌现，或许在不就的将来，防火墙就会被功能模块化之后嵌入到主机，PC终端等和操作系统内核中去了。

15