谈防火墙及防火墙的渗透技术

务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾，又对外隐藏了内部主机的IP地址，提高了安全性。

6、隔离域名服务器（Split Domain Name Server ）

这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离，使外部网的域名服务器只能看到防火墙的IP地址，无法了解受保护网络的具体情况，这样可以保证受保护网络的IP地址不被外部网络知悉。

7、邮件技术（Mail Forwarding）

当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的IP地址和域名时，从外部网络发来的邮件，就只能送到防火墙上。这时防火墙对邮件进行检查，只有当发送邮件的源主机是被允许通过的，防火墙才对邮件的目的地址进行转换，送到内部的邮件服务器，由其进行转发。

应用网关是检查所有应用层的信息包，并将检查的内容信息放入决策过程，这样安全性有所提高。然而，它们是通过打破客户机/服务器模式实现的，每一个客户机/服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。另外，每一个代理需要一个不同的应用进程，或一个后台运行的服务程序，这样如果有一个新的应用就必须添加对此应用的服务程序，否则不能使用该种服务，可伸缩性差。 基于这种工作机制，应用网关防火墙有以下缺陷：

连接限制：每一个服务需要自己的代理，所以可提供的服务数和伸缩性受到限制；

技术限制：应用网关不能为UDP、RPC及普通协议族的其他服务提供代理；

性能：实现应用网关防火墙牺牲了一些系统性能。

防火墙基础知识介绍

防火墙是一种功能，它使得内部网络和外部网络或Internet互相隔离，以此来保护内部网络或主机。简单的防火墙可以由Router,3 Layer Switch的ACL（access control list）来充当，也可以用一台主机，甚至是一个子网来实现。复杂的可以购买专门的硬件防火墙或软件防火墙来实现。

防火墙的功能有：
1、过滤掉不安全服务和非法用户
2、控制对特殊站点的访问
3、提供监视Internet安全和预警的方便端点

防火墙并不是万能的，也有很多防火墙无能为力的地方：
1、防火墙防不住绕过防火墙的攻击。比如，防火墙不限制从内部网络到外部网络的连接，那么，一些内部用户可能形成一个直接通往Internet的连接，从而绕过防火墙，造成一个潜在的backdoor.恶意的外部用户直接连接到内部用户的机器上，以这个内部用户的机器为跳板，发起绕过防火墙的不受限制的攻击。
2、防火墙不是防毒墙，不能拦截带病毒的数据在网络之间传播。
3、防火墙对数据驱动式攻击也无能为力。

因此，我们不能过分依赖防火墙。网络的安全是一个整体，并不是有某一样特别出色的配置。网络安全遵循的是“木桶原则”。

一般防火墙具备以下特点：

1、广泛的服务支持：通过将动态的、应用层的过滤能力和认证相结合，可实现WWW浏览器、HTTP服务器、 FTP等；

2、对私有数据的加密支持：保证通过Internet进行虚拟私人网络和商务活动不受损坏；

3、客户端认证只允许指定的用户访问内部网络或选择服务：企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分；

4、反欺骗：欺骗是从外部获取网络访问权的常用手段，它使数据包好似来自网络内部。防火墙能监视这样的数据包并能扔掉它们；

5、C/S模式和跨平台支持：能使运行在一平台的管理模块控制运行在另一平台的监视模块。

防火墙的体系结构及组合形式

1、屏蔽路由器（Screening Router）

这是防火墙最基本的构件。它可以由厂家专门生产的路由器实现，也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。路由器上可以装基于IP层的报文过滤软件，实现报文过滤功能。许多路由器本身带有报文过滤配置选项，但一般比较简单。

单纯由屏蔽路由器构成的防火墙的危险带包括路由器本身及路由器允许访问的主机。它的缺点是一旦被攻陷后很难发现，而且不能识别不同的用户。

2、双宿主机网关（Dual Homed Gateway）

任何拥有多个接口卡的系统都被称为多宿的，双宿主机网关是用一台装有两块网卡的主机做防火墙。两块网卡各自与受保护网和外部网相连。主机上运行着防火墙软件，可以转发应用程序，提供服务等。

双宿主机网关优于屏蔽路由器的地方是：堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。这对于日后的检查很有用。但这不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。

双宿主机网关的一个致命弱点是：一旦入侵者侵入堡垒主机并使其只具有路由功能，则任何网上用户均可以随便访问内网。

3、被屏