SSH：UNIX-SECURE-SHELL工具8.pdfVIP

下载 第8章 Secure Shell与防火墙 本章内容如下： • 防火墙的定义 • 防火墙与Secure Shell • 高级配置 当使用T C P / I P应用程序时，你可能希望搞清楚它们是如何与防火墙发生作用的。随着对 防火墙需求的增强及 Secure Shell 的使用,本章将介绍把这两种技术结合起来后的种种奇妙之 处。当然，本章也会介绍防火墙的定义、防火墙的不同类型以及防火墙的各种不同结构。 8.1 防火墙的定义 通常情况下，只要一谈到网络安全，就会想到“防火墙”。对那些网络专家们来说，防火 墙只是网络安全的一小部分。那么，什么是防火墙呢？防火墙是一个可信任网络与不可信任 网络之间的阻隔，用来保护内部网络不受到 I n t e r n e t 的侵害。它定义了什么是可信任传输，什 么是不可信任的传输。现在的问题是 , 防火墙的销售商们说防火墙可以允许任何类型的信息传 输，却没有提供网络可能遭受攻击的警告。 注意 在大多数的防火墙示图中，不可信任的网络通常就是 I n t e r n e t 。随着防火墙结构 的日益复杂，系统管理员们必须设计他们的网站并用防火墙来划分内部网。 许多防火墙会允许你发送你想发送的任何信息流，这包括 N F S 、伯克利服务、X ，以及进 入Secure Shell 的任何信息。如果愿意，你可以将上述这些不能保证安全的信息转发通过 Secure Shell ，于是就不必担心系统会遭受攻击。 许多来自自由软件站点的监测器和信息黑客在 I n t e r n e t上同样会起作用。尽管你已经使用 了防火墙将你的网络与不可信任的网络分隔开来，你还是必须清醒地意识到在使用 Te l n e t时还 有人会读到你的文本或截获有用的信息。因为信息流量是未经加密的，所以你的系统对那些 防火墙所不能阻止的攻击依然是开放的。 表8 - 1显示了防火墙不能防止的典型攻击。 表8-1 防火墙不能防范的攻击 攻 击 原 因 密码监测 清晰的文本信息会被攻击者读取 恶意的内部用户 设计时就没考虑他们会滥用网络服务 病毒 通过一个受信任的端口进入系统 开放端口被淹没(拒绝服务D o s ) 设计时就没考虑会发生这样的滥用 8.1.1 防火墙的类型 防火墙通常有三种类型：包过滤器，从本质上说它是一台路由器；应用程序网关，通常 122开始第四部分开Secure Shell的高级使用 下载 是带一个路由表的代理服务器；状态检查器 ,这是应用程序网关与包过滤器的混合。 1. 包过滤器 包过滤器是一台用来过滤网络发送或接受传输的路由器。这台路由器可以 (也可以不)使用 路由协议，例如R I P 、I G R P 、O S P F或E I G R P ，它们的作用都是用来判断哪些信息可以从网络 发出或进入该网络。一般情况下 ,它们只做几件事 :检查I P地址和端口，以及确定数据包是否以 正确的方式通过网络，然后再决定是发送还是接受数据包。 对照O S I模型，路由器起着第三层的防火墙角色—检查I P地址和端口。能通过配置而起 作用的其他检查是：源路由、协议类型及已建立的连接。即使传输不是由正确的应用程序发 送出来的，只要包与允许的 I P地址和端口相匹配，也不会产生任何问题。图 8 - 1显示了一个包 过滤器是如何在可信任网络与不可信任网络之间工作的。 允许进入的端口80 允许发送的端口80 允许进入的端口22