1．1防火墻概論

1、防火墻,一、 防火墻概論,一般說(shuō)來(lái)，防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全策略控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。,安裝防火墻以前的網(wǎng)絡(luò),安裝防火墻后的網(wǎng)絡(luò),,在邏輯上，防火墻既是一個(gè)分離器，一個(gè)限制器，它也是一個(gè)分析器，它有效地

2、監(jiān)控了內(nèi)部網(wǎng)和Internet之問(wèn)的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。從具體實(shí)現(xiàn)上來(lái)看，防火墻是一個(gè)獨(dú)立的進(jìn)程或一組緊密聯(lián)系的進(jìn)程，運(yùn)行于路由器或服務(wù)器上，控制經(jīng)過(guò)它們的網(wǎng)絡(luò)應(yīng)用服務(wù)及傳輸?shù)臄?shù)據(jù)。安全、管理、速度是防火墻的三大要素。,防火墻的優(yōu)點(diǎn),防火墻是網(wǎng)絡(luò)安全的屏障控制對(duì)主機(jī)系統(tǒng)的訪問(wèn)監(jiān)控和審計(jì)網(wǎng)絡(luò)訪問(wèn)防止內(nèi)部信息的外泄部署NAT機(jī)制,防火墻的弱點(diǎn),防火墻不能防范來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊 防火墻不能防范不經(jīng)由防火墻的攻擊 防火

3、墻不能防范感染了病毒的軟件或文件的傳輸 防火墻不能防范數(shù)據(jù)驅(qū)動(dòng)式攻擊 防火墻不能防范利用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議中的缺陷進(jìn)行的攻擊 防火墻不能防范利用服務(wù)器系統(tǒng)漏洞進(jìn)行的攻擊 防火墻不能防范新的網(wǎng)絡(luò)安全問(wèn)題 防火墻限制了有用的網(wǎng)絡(luò)服務(wù),防火墻的后門,二、防火墻技術(shù),防火墻技術(shù)是一種綜合技術(shù)，主要包括：包過(guò)濾技術(shù)、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)和代理技術(shù)。,包過(guò)濾技術(shù),包過(guò)濾原理 包過(guò)濾是最早應(yīng)用到防火墻當(dāng)中的技術(shù)之一。它針對(duì)網(wǎng)絡(luò)

4、數(shù)據(jù)包由信息頭和數(shù)據(jù)信息兩部分組成這一特點(diǎn)而設(shè)計(jì)。防火墻通過(guò)對(duì)信息頭的檢測(cè)就可以決定是否將數(shù)據(jù)包發(fā)往目的地址，從而達(dá)到對(duì)進(jìn)入和流出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行監(jiān)測(cè)和限制的目的。,包過(guò)濾技術(shù),IP頭格式,TCP頭格式,包過(guò)濾技術(shù),包過(guò)濾模型 包過(guò)濾防火墻的核心是包檢查模塊。包檢查模塊深入到操作系統(tǒng)的核心，在操作系統(tǒng)或路由器轉(zhuǎn)發(fā)包之前攔截所有的數(shù)據(jù)包。當(dāng)把包過(guò)濾防火墻安裝在網(wǎng)關(guān)上之后，包過(guò)濾檢查模塊深入到系統(tǒng)的傳輸層和網(wǎng)絡(luò)層之間，

5、即TCP層和IP層之間，在操作系統(tǒng)或路由器的TCP層對(duì)IP包處理以前對(duì)IP包進(jìn)行處理。,包過(guò)濾技術(shù),,包過(guò)濾技術(shù),包過(guò)濾技術(shù) 數(shù)據(jù)包過(guò)濾功能的實(shí)現(xiàn)依賴于包過(guò)濾規(guī)則，有時(shí)人們也稱之為訪問(wèn)控制列表(ACL，Access Control List)。只有滿足訪問(wèn)控制列表的數(shù)據(jù)才被轉(zhuǎn)發(fā)，其余數(shù)據(jù)則被從數(shù)據(jù)流中刪除。為了保證所有流人和流出網(wǎng)絡(luò)的數(shù)據(jù)包都被監(jiān)控和檢測(cè)，包過(guò)濾器必須放置在網(wǎng)絡(luò)單點(diǎn)訪問(wèn)點(diǎn)的位置。,包過(guò)濾技術(shù),1．

6、配置訪問(wèn)控制列表(配置包過(guò)濾防火墻策略)從本質(zhì)上講，一個(gè)包過(guò)濾防火墻由一個(gè)臟端口、一個(gè)凈端口和一組訪問(wèn)控制列表規(guī)則組成。 訪問(wèn)控制列表通過(guò)控制在防火墻的接口上轉(zhuǎn)發(fā)還是阻斷數(shù)據(jù)包分組來(lái)過(guò)濾網(wǎng)絡(luò)數(shù)據(jù)流，防火墻檢查每一個(gè)數(shù)據(jù)分組，并根據(jù)訪問(wèn)控制列表規(guī)則對(duì)數(shù)據(jù)分組進(jìn)行操作,包過(guò)濾技術(shù),,包過(guò)濾策略實(shí)例,包過(guò)濾技術(shù),訪問(wèn)控制列表的配置有兩種方式： 限制策略：接受受信任的IP包，拒絕其他所有IP包 寬松策略：拒絕不受信任的IP包，接受其

7、他所有IP包,包過(guò)濾技術(shù),2．動(dòng)態(tài)訪問(wèn)控制列表(動(dòng)態(tài)包過(guò)濾技術(shù))當(dāng)配置了動(dòng)態(tài)訪問(wèn)控制列表，可以實(shí)現(xiàn)指定用戶的IP數(shù)據(jù)流臨時(shí)通過(guò)防火墻時(shí)，進(jìn)行會(huì)話連接。當(dāng)動(dòng)態(tài)訪問(wèn)控制列表被觸發(fā)后，動(dòng)態(tài)訪問(wèn)控制列表重新配置接口上的已有的訪問(wèn)控制列表，允許指定的用戶訪問(wèn)指定的IP地址。在會(huì)話結(jié)束后，將接口配置恢復(fù)到原來(lái)的狀態(tài)。動(dòng)態(tài)包過(guò)濾技術(shù)一般結(jié)合身份認(rèn)證機(jī)制進(jìn)行實(shí)現(xiàn)。,包過(guò)濾技術(shù),,動(dòng)態(tài)訪問(wèn)控制列表工作原理圖,包過(guò)濾技術(shù),第一步，用戶打開發(fā)起一個(gè)到防火

8、墻的Telnet會(huì)話，該防火墻已經(jīng)配置了動(dòng)態(tài)訪問(wèn)控制列表。第二步，防火墻接收到Telnet數(shù)據(jù)包分組后，打開Telnet會(huì)話，提示用戶輸入認(rèn)證信息(例如，用戶名和口令)并對(duì)用戶身份進(jìn)行驗(yàn)證。只有用戶通過(guò)身份驗(yàn)證后，用戶才能通過(guò)防火墻訪問(wèn)內(nèi)部網(wǎng)絡(luò)，身份驗(yàn)證也可由其他安全認(rèn)證服務(wù)器來(lái)完成(例如，RADIUS服務(wù)器等)。第三步，通過(guò)身份認(rèn)證后，用戶退出Telnet會(huì)話，防火墻訪問(wèn)控制列表內(nèi)創(chuàng)建一個(gè)臨時(shí)條目。根據(jù)配置，該臨時(shí)條目可以限制用戶

9、臨時(shí)訪問(wèn)的網(wǎng)絡(luò)范圍。第四步，用戶通過(guò)防火墻交換數(shù)據(jù)。第五步，超過(guò)預(yù)設(shè)定超時(shí)時(shí)間(Timeout)后，防火墻將刪除這個(gè)臨時(shí)訪問(wèn)控制列表規(guī)則，系統(tǒng)管理員也可以手動(dòng)刪除它。,包過(guò)濾技術(shù),3．狀態(tài)包檢查(SPI，Stateful Packet Inspection)技術(shù)狀態(tài)包檢查技術(shù)又稱為反射訪問(wèn)控制列表技術(shù)。反射訪問(wèn)控制列表能夠動(dòng)態(tài)建立訪問(wèn)控制列表?xiàng)l目，在這些臨時(shí)條目中不僅包含必要的包過(guò)濾信息，還包含了網(wǎng)絡(luò)會(huì)話的狀態(tài)信息。這些臨時(shí)條目在

10、新會(huì)話開始(如內(nèi)部主機(jī)向外部主機(jī)發(fā)起連接請(qǐng)求)時(shí)創(chuàng)建，并在會(huì)話結(jié)束時(shí)被刪除。,,,狀態(tài)檢測(cè)包過(guò)濾技術(shù)防火墻的工作邏輯流程圖,包過(guò)濾技術(shù),,狀態(tài)檢查訪問(wèn)控制列表工作原理圖,包過(guò)濾技術(shù)優(yōu)缺點(diǎn),包過(guò)濾技術(shù)的優(yōu)點(diǎn)：幫助保護(hù)整個(gè)網(wǎng)絡(luò)，減少暴露的風(fēng)險(xiǎn)；對(duì)用戶完全透明，不需要對(duì)客戶端做任何改動(dòng)，也不需要對(duì)用戶做任何培訓(xùn)；很多路由器可以作數(shù)據(jù)包過(guò)濾，因此不需要專門添加設(shè)備。在應(yīng)用中依然存在著以下問(wèn)題 ： 訪問(wèn)控制列表的配置和維護(hù)困難 包過(guò)濾

11、防火墻難以詳細(xì)了解主機(jī)之間的會(huì)話關(guān)系 基于網(wǎng)絡(luò)層和傳輸層實(shí)現(xiàn)的包過(guò)濾防火墻難以實(shí)現(xiàn)對(duì)應(yīng)用層服務(wù)的過(guò)濾,網(wǎng)絡(luò)地址翻譯技術(shù),NAT(Network Address Translation，網(wǎng)絡(luò)地址翻譯)的最初設(shè)計(jì)目的是用來(lái)增加私有組織的可用地址空間和解決將現(xiàn)有的私有TCP／IP網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)上的IP地址編號(hào)問(wèn)題。,網(wǎng)絡(luò)地址翻譯技術(shù),私有IP地址只能作為內(nèi)部網(wǎng)絡(luò)號(hào)，不在互聯(lián)網(wǎng)主干網(wǎng)上使用。網(wǎng)絡(luò)地址翻譯技術(shù)通過(guò)地址映射保證了使用私有IP地址

12、的內(nèi)部主機(jī)或網(wǎng)絡(luò)能夠連接到公用網(wǎng)絡(luò)。NAT網(wǎng)關(guān)被安放在網(wǎng)絡(luò)末端區(qū)域(內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的邊界點(diǎn)上)，并且在源自內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包發(fā)送到外部網(wǎng)絡(luò)之前把數(shù)據(jù)包的源地址轉(zhuǎn)換為惟一的IP地址。,網(wǎng)絡(luò)地址翻譯技術(shù),靜態(tài)網(wǎng)絡(luò)地址翻譯技術(shù)NAT網(wǎng)關(guān)位于內(nèi)部和外部網(wǎng)絡(luò)接口卡之間，只有在內(nèi)部和外部網(wǎng)絡(luò)接口之間傳輸?shù)臄?shù)據(jù)包才進(jìn)行轉(zhuǎn)換。如果網(wǎng)絡(luò)地址翻譯技術(shù)完全依賴于手工指定內(nèi)部局部地址和內(nèi)部全局地址之間映射關(guān)系來(lái)運(yùn)行，我們稱之為靜態(tài)網(wǎng)絡(luò)地址翻譯技術(shù),,

13、,靜態(tài)網(wǎng)絡(luò)地址翻譯 地址轉(zhuǎn)換原理圖,第一步，在防火墻手工建立靜態(tài)NAT映射表。第二步，網(wǎng)絡(luò)內(nèi)部主機(jī)建立一條到外部主機(jī)的會(huì)話連接。如圖2—7所示，主機(jī)10．1．1．1發(fā)送數(shù)據(jù)包到主機(jī)B。第三步，防火墻從內(nèi)部網(wǎng)絡(luò)接收到一個(gè)數(shù)據(jù)包時(shí)檢查NAT映射表：如果已為該地址配置了靜態(tài)地址轉(zhuǎn)換，防火墻使用內(nèi)部全局地址，并轉(zhuǎn)發(fā)該數(shù)據(jù)包。如圖2—7所示，防火墻使用202．168．2．2來(lái)替換內(nèi)部局部地址10．1．1．1；否則，防火墻不對(duì)內(nèi)部地址進(jìn)行任何轉(zhuǎn)

14、換，直接將數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或丟棄。第四步，外部主機(jī)收到數(shù)據(jù)包后進(jìn)行應(yīng)答。如圖2—7所示，主機(jī)B將收到來(lái)自202．168．2．2的數(shù)據(jù)包(已經(jīng)經(jīng)過(guò)NAT轉(zhuǎn)換后)，并進(jìn)行應(yīng)答。第五步，當(dāng)防火墻接收到來(lái)自外部網(wǎng)絡(luò)的數(shù)據(jù)包時(shí)，防火墻檢查NAT映射表：如果NAT映射表中存在匹配項(xiàng)，則使用內(nèi)部局部地址替換數(shù)據(jù)包的目的IP地址，并將數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡(luò)主機(jī)。如圖2—7所示，防火墻使用10．1．1．1替換202．168．2．2，并進(jìn)行轉(zhuǎn)發(fā)；如果NAT

15、映射表中不存在匹配項(xiàng)，則拒絕數(shù)據(jù)包。對(duì)于每個(gè)數(shù)據(jù)包，防火墻都將執(zhí)行第二步到第五步的操作。,網(wǎng)絡(luò)地址翻譯技術(shù),動(dòng)態(tài)網(wǎng)絡(luò)地址翻譯技術(shù) 如果NAT映射表由防火墻動(dòng)態(tài)建立，對(duì)網(wǎng)絡(luò)管理員和用戶透明，我們稱之為動(dòng)態(tài)網(wǎng)絡(luò)地址翻譯技術(shù)。 網(wǎng)絡(luò)地址翻譯技術(shù)允許將多個(gè)內(nèi)部IP地址映射成為一個(gè)外部IP地址。從本質(zhì)上講網(wǎng)絡(luò)地址映射并不是簡(jiǎn)單的IP地址之間的映射，而是網(wǎng)絡(luò)套接字映射，網(wǎng)絡(luò)套接字由IP地址和端口號(hào)共同組成。當(dāng)多個(gè)不同的內(nèi)部局部地址映射到同一

16、個(gè)內(nèi)部全局地址時(shí)，可以使用不同端口號(hào)來(lái)區(qū)分它們,網(wǎng)絡(luò)地址翻譯技術(shù),,動(dòng)態(tài)網(wǎng)絡(luò)地址翻譯地址轉(zhuǎn)換原理圖,網(wǎng)絡(luò)地址翻譯技術(shù),第一步，網(wǎng)絡(luò)內(nèi)部主機(jī)建立到外部主機(jī)的會(huì)話連接。如圖2—8所示，主機(jī)10．1．1．1訪問(wèn)外部主機(jī)B：64．21．7．3。第二步，防火墻接收到來(lái)自某內(nèi)部主機(jī)的數(shù)據(jù)包時(shí)檢查NAT映射表：如果還沒(méi)有為該內(nèi)部主機(jī)建立地址轉(zhuǎn)換映射項(xiàng)，防火墻會(huì)決定對(duì)該地址進(jìn)行轉(zhuǎn)換。如圖所示，防火墻收到來(lái)自10．1．1．1的第一個(gè)數(shù)據(jù)包時(shí)，建立：10

17、．1．1．1：2492一一202．168．2．2：2492，并記錄會(huì)話狀態(tài)。 如果已經(jīng)有其他地址轉(zhuǎn)換映射存在，那么防火墻將使用該記錄進(jìn)行地址轉(zhuǎn)換，并記錄會(huì)話狀態(tài)信息。第三步，防火墻進(jìn)行地址轉(zhuǎn)換后轉(zhuǎn)發(fā)數(shù)據(jù)包。第四步，外部主機(jī)收到訪問(wèn)信息，并進(jìn)行應(yīng)答。第五步，當(dāng)防火墻接收到來(lái)自外部網(wǎng)絡(luò)的數(shù)據(jù)包，檢查NAT映射表查詢匹配項(xiàng)：如果NAT映射表中存在地址映射和會(huì)話狀態(tài)匹配的選項(xiàng)時(shí)，轉(zhuǎn)發(fā)數(shù)據(jù)包，如圖2—8所示；否則，拒絕數(shù)據(jù)包。對(duì)于

18、每個(gè)數(shù)據(jù)包，防火墻都將執(zhí)行第二步到第五步的操作。,網(wǎng)絡(luò)地址翻譯技術(shù),網(wǎng)絡(luò)地址翻譯技術(shù)實(shí)現(xiàn)負(fù)載均衡網(wǎng)絡(luò)地址翻譯技術(shù)不僅僅具有隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的作用，同時(shí)可以用于網(wǎng)絡(luò)負(fù)載均衡,網(wǎng)絡(luò)地址翻譯技術(shù),,網(wǎng)絡(luò)地址翻譯實(shí)現(xiàn)TCP負(fù)載均衡原理圖,第一步，外部?jī)?nèi)部主機(jī)建立到內(nèi)部服務(wù)器的會(huì)話連接。如圖2—9所示，外部主機(jī)B建立到內(nèi)部網(wǎng)絡(luò)虛擬www服務(wù)器202．168．2．1：80的一個(gè)會(huì)話連接。 第二步，防火墻從主機(jī)10．1．1．1接收到這個(gè)連接

19、請(qǐng)求，為其建立一個(gè)新的地址轉(zhuǎn)換映射，為該內(nèi)部全局IP地址202．168．2．1分配一個(gè)真實(shí)內(nèi)部主機(jī)地址(例如，10．1．1．1)。 第三步，防火墻用所選的真實(shí)內(nèi)部主機(jī)地址替換原目的地址，并轉(zhuǎn)發(fā)該數(shù)據(jù)包。 第四步，內(nèi)部主機(jī)10．1．1．1接收到該數(shù)據(jù)包，并做出應(yīng)答。 第五步，防火墻接收到應(yīng)答數(shù)據(jù)包，用內(nèi)部局部地址及端口號(hào)和外部地址及端口號(hào)從NAT映射表中查找出對(duì)應(yīng)的內(nèi)部全局地址(虛擬主機(jī)地址)和端口號(hào)。然后將源地址

20、轉(zhuǎn)換成虛擬主機(jī)地址，并轉(zhuǎn)發(fā)該數(shù)據(jù)包。,網(wǎng)絡(luò)地址翻譯技術(shù),網(wǎng)絡(luò)地址翻譯技術(shù)本身依然存在一些問(wèn)題難以解決： 一些應(yīng)用層協(xié)議的工作特點(diǎn)導(dǎo)致了它們無(wú)法使用網(wǎng)絡(luò)地址翻譯技術(shù) 靜態(tài)和動(dòng)態(tài)網(wǎng)絡(luò)地址映射安全問(wèn)題 對(duì)內(nèi)部主機(jī)的引誘和特洛伊木馬攻擊 狀態(tài)表超時(shí)問(wèn)題,網(wǎng)絡(luò)代理技術(shù),網(wǎng)絡(luò)代理技術(shù)---應(yīng)用層代理包過(guò)濾技術(shù)在網(wǎng)絡(luò)層實(shí)現(xiàn)數(shù)據(jù)包的攔截、分析和過(guò)濾等應(yīng)用。代理(Proxy)技術(shù)針對(duì)每一個(gè)特定應(yīng)用進(jìn)行實(shí)現(xiàn)，在應(yīng)用層實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)流保護(hù)功能，代理的

21、主要特點(diǎn)是具有狀態(tài)性。代理能夠提供部分與傳輸有關(guān)的狀態(tài)，能完全提供與應(yīng)用相關(guān)的狀態(tài)部分傳輸信息，代理也能夠處理和管理信息。,網(wǎng)絡(luò)代理技術(shù),Telnet代理服務(wù),網(wǎng)絡(luò)代理技術(shù),應(yīng)用層代理服務(wù)器起到了內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)的中間轉(zhuǎn)接作用對(duì)外部網(wǎng)來(lái)說(shuō)，外部網(wǎng)所見到的只是代理服務(wù)器，因?yàn)樗盏降恼?qǐng)求都是從代理服務(wù)器來(lái)的，對(duì)內(nèi)部網(wǎng)來(lái)說(shuō)，客戶機(jī)所能直接訪問(wèn)的只是代理服務(wù)器，它的請(qǐng)求首先是發(fā)給了代理服務(wù)器。,網(wǎng)絡(luò)代理技術(shù),外部網(wǎng)絡(luò)主機(jī)通過(guò)應(yīng)用

22、層代理訪問(wèn)內(nèi)部網(wǎng)絡(luò)主機(jī)，內(nèi)部網(wǎng)絡(luò)主機(jī)只接受應(yīng)用層代理提出的服務(wù)請(qǐng)求，拒絕外部網(wǎng)絡(luò)節(jié)點(diǎn)的直接請(qǐng)求,網(wǎng)絡(luò)代理技術(shù),,INTERNET客戶通過(guò)應(yīng)用層代理訪問(wèn)內(nèi)部網(wǎng)絡(luò)主機(jī),網(wǎng)絡(luò)代理技術(shù),在具體應(yīng)用中，應(yīng)用層代理往往通過(guò)一臺(tái)雙宿主機(jī)或堡壘主機(jī)進(jìn)行實(shí)現(xiàn)，應(yīng)用層代理允許用戶訪問(wèn)，但是不應(yīng)該允許用戶注冊(cè)到應(yīng)用層代理主機(jī)上。 應(yīng)用層代理一般只向單個(gè)主機(jī)或一部分主機(jī)提供網(wǎng)絡(luò)服務(wù)，而不是向所有的主機(jī)提供此服務(wù) 針對(duì)不同服務(wù)的代理功能需要開發(fā)不同的代理服務(wù)

23、程序，對(duì)于一些服務(wù)可以容易或自動(dòng)提供代理，對(duì)于這些服務(wù)可以通過(guò)對(duì)正常服務(wù)器的配置來(lái)設(shè)置代理。,應(yīng)用層代理技術(shù)的優(yōu)缺點(diǎn)分析 應(yīng)用層代理的主要優(yōu)點(diǎn) 應(yīng)用層代理有能力支持可靠的用戶認(rèn)證并提供詳細(xì)的注冊(cè)信息；用于應(yīng)用層的過(guò)濾規(guī)則相對(duì)于包過(guò)濾路由器來(lái)說(shuō)更容易配置和測(cè)試；應(yīng)用層代理工作在客戶機(jī)和真實(shí)服務(wù)器之間，可以完全控制網(wǎng)絡(luò)會(huì)話，所以可以提供很詳細(xì)的日志和安全審計(jì)功能；提供代理服務(wù)的防火墻可以被配置成惟一的可被外部看見的主機(jī)，這樣可以

24、隱藏內(nèi)部網(wǎng)的IP地址，可以保護(hù)內(nèi)部主機(jī)免受外部主機(jī)的進(jìn)攻；通過(guò)代理訪問(wèn)Internet可以解決合法的IP地址不夠用的問(wèn)題，因?yàn)镮nternet所見到只是代理服務(wù)器的地址，內(nèi)部IP通過(guò)代理可以訪問(wèn)Intenet。,網(wǎng)絡(luò)代理技術(shù),2．應(yīng)用層代理的缺點(diǎn) 有限的連接性 有限的技術(shù) 應(yīng)用層實(shí)現(xiàn)的防火墻會(huì)造成明顯的性能下降； 每個(gè)應(yīng)用程序都必須有一個(gè)代理服務(wù)程序來(lái)進(jìn)行安全控制，每一種應(yīng)用升級(jí)時(shí)，相應(yīng)代理服務(wù)程序也要升級(jí)，維護(hù)相對(duì)復(fù)雜；

25、應(yīng)用層代理要求用戶改變自己的行為，或者在訪問(wèn)代理服務(wù)的每個(gè)系統(tǒng)上安裝特殊的軟件。 應(yīng)用層代理對(duì)操作系統(tǒng)和應(yīng)用層的漏洞也是脆弱的，,網(wǎng)絡(luò)代理技術(shù),電路級(jí)代理 應(yīng)用層代理為一種特定的服務(wù)(如FTP，Telnet等)提供代理服務(wù)，它不但轉(zhuǎn)發(fā)流量而且對(duì)應(yīng)用層協(xié)議做出解釋。而電路級(jí)代理(通常也稱為電路級(jí)網(wǎng)關(guān))也是一種代理，但是只是建立起一個(gè)回路，對(duì)數(shù)據(jù)包只起轉(zhuǎn)發(fā)的作用。電路級(jí)網(wǎng)關(guān)依賴于TCP連接，并不進(jìn)行任何附加的包處理或過(guò)濾。,網(wǎng)絡(luò)代理技

26、術(shù),在電路級(jí)網(wǎng)關(guān)中，數(shù)據(jù)包被提交給應(yīng)用層來(lái)處理。電路級(jí)網(wǎng)關(guān)只用來(lái)在兩個(gè)通信終點(diǎn)之間轉(zhuǎn)接數(shù)據(jù)包，只是將簡(jiǎn)單的字節(jié)回來(lái)復(fù)制，由于連接似乎是起源于防火墻，其隱藏了受保護(hù)網(wǎng)絡(luò)的有關(guān)信息 電路級(jí)網(wǎng)關(guān)對(duì)外像一個(gè)代理，而對(duì)內(nèi)則是一個(gè)過(guò)濾路由器,網(wǎng)絡(luò)代理技術(shù),,電路級(jí)網(wǎng)關(guān)工作原理示意圖,網(wǎng)絡(luò)代理技術(shù),SOCKS代理技術(shù) SOCKS協(xié)議是一個(gè)電路級(jí)網(wǎng)關(guān)的標(biāo)準(zhǔn)，它在1991年是由Koblas等提出，IETF也建立了SOCKS標(biāo)準(zhǔn)。SOCKS協(xié)議可以通

27、過(guò)中繼TCP數(shù)據(jù)包實(shí)現(xiàn)功能強(qiáng)大的電路級(jí)網(wǎng)關(guān)防火墻，而對(duì)應(yīng)用層不需要作任何改變。,網(wǎng)絡(luò)代理技術(shù),,SOCKS服務(wù)器的工作原理圖,網(wǎng)絡(luò)代理技術(shù),SOCKS代理可以使那些運(yùn)行在防火墻后面的主機(jī)能夠充分地訪問(wèn)Internet，而無(wú)須內(nèi)部主機(jī)直接與外部主機(jī)建立連接；可以實(shí)現(xiàn)管理員明確地控制一個(gè)組織內(nèi)部如何與Intetnet通{信；可以實(shí)現(xiàn)在特定的主機(jī)上提供特定的服務(wù)；可以禁止對(duì)Intenet上的某些主機(jī)的訪問(wèn)；可以實(shí)現(xiàn)詳細(xì)的日志記錄。,網(wǎng)絡(luò)代理技

28、術(shù),SOCKS代理主要由兩部分組成： SOCKS服務(wù)程序：這是一個(gè)可以直接同Intenet和內(nèi)部網(wǎng)絡(luò)通信的程序； SOCKS客戶程序：這是一個(gè)經(jīng)過(guò)修改的Internet客戶程序。它將使運(yùn)行客戶程序的{主機(jī)同運(yùn)行服務(wù)程序的主機(jī)通信，而不是直接與Intenet通信。,三、防火墻的基本結(jié)構(gòu),1、屏蔽路由器2、雙宿主機(jī)防火墻 3、屏蔽主機(jī)防火墻4、屏蔽子網(wǎng)防火墻5、其他的防火墻結(jié)構(gòu),屏蔽路由器,屏蔽路由器作為內(nèi)外連接的惟一通

29、道，要求所有的報(bào)文都必須在此通過(guò)檢查,雙宿主機(jī)防火墻,這種配置是用一臺(tái)裝有兩塊網(wǎng)卡的堡壘主機(jī)做防火墻。兩塊網(wǎng)卡分別與受保護(hù)網(wǎng)和外部網(wǎng)相連。堡壘主機(jī)上運(yùn)行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等,屏蔽主機(jī)防火墻,屏蔽主機(jī)防火墻易于實(shí)現(xiàn)也很安全，因此應(yīng)用廣泛。,屏蔽子網(wǎng)防火墻,這種方法是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)，用兩臺(tái)分組過(guò)濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。在很多實(shí)現(xiàn)中，兩個(gè)分組過(guò)濾路由器放在子網(wǎng)的兩端，

30、在子網(wǎng)內(nèi)構(gòu)成一個(gè)非軍事區(qū)(DMZ)。,其他的防火墻結(jié)構(gòu),一個(gè)堡壘主機(jī)和一個(gè)非軍事區(qū),,兩個(gè)堡壘主機(jī)和兩個(gè)非軍事區(qū),,兩個(gè)堡壘主機(jī)和一個(gè)非軍事區(qū),,典型的防火墻結(jié)構(gòu),練習(xí)題,1．包過(guò)濾防火墻適合應(yīng)用的場(chǎng)合有( )。A．機(jī)構(gòu)是集中化的管理 B．網(wǎng)絡(luò)主機(jī)數(shù)比較少C．機(jī)構(gòu)有強(qiáng)大的集中安全策略 D．使用了DHCP這樣的動(dòng)態(tài)IP地址分配協(xié)議2．?dāng)?shù)據(jù)包不屬于包過(guò)濾一般需要檢查的部分是( )。A．IP源地址和目的地址

31、 B．源端口和目的端口C．協(xié)議類型 D．TCP序列號(hào)3．包過(guò)濾的優(yōu)點(diǎn)不包括( )。A．處理包的數(shù)據(jù)比代理服務(wù)器快 B．不需要額外費(fèi)用C．對(duì)用戶是透明的 D．包過(guò)濾防火墻易于維護(hù),4．關(guān)于狀態(tài)檢查技術(shù)，說(shuō)法錯(cuò)誤的是( )。A．跟蹤流經(jīng)防火墻的所有通信信息B．采用一個(gè)“監(jiān)測(cè)模塊”執(zhí)行網(wǎng)絡(luò)安全策略C．對(duì)通信連接的狀態(tài)進(jìn)行跟蹤與分析D．狀態(tài)檢查防火墻工作在協(xié)議的最底層，所以不能有效地監(jiān)測(cè)應(yīng)用層的數(shù)據(jù)

32、5．狀態(tài)檢查防火墻的優(yōu)點(diǎn)不包括( )。A．高安全性 B．高效性C．可伸縮性和易擴(kuò)展性 D．易配置性6．關(guān)于網(wǎng)絡(luò)地址翻譯技術(shù)的說(shuō)法，錯(cuò)誤的是( )。A．只能進(jìn)行一對(duì)一的網(wǎng)絡(luò)地址翻譯B．解決IP地址空間不足問(wèn)題C．向外界隱藏內(nèi)部網(wǎng)結(jié)構(gòu) D．有多種地址翻譯模式,7．網(wǎng)絡(luò)地址翻譯的模式不包括( )。A．靜態(tài)翻譯 B．動(dòng)態(tài)翻譯C．負(fù)載平衡翻譯 D．隨機(jī)地址翻譯8．關(guān)于代理技術(shù)的說(shuō)法，

33、錯(cuò)誤的是( )。A．代理技術(shù)又稱為應(yīng)用層網(wǎng)關(guān)技術(shù)B．代理技術(shù)針對(duì)每一個(gè)特定應(yīng)用都有一個(gè)程序C．代理是企圖在網(wǎng)絡(luò)層實(shí)現(xiàn)防火墻的功能D．代理也能處理和管理信息9．關(guān)于代理技術(shù)的特點(diǎn)的說(shuō)法，錯(cuò)誤的是( )。A．速度比包過(guò)濾防火墻要快得多B．對(duì)每一類應(yīng)用，都需要一個(gè)專門的代理C．靈活性不夠D．代理能理解應(yīng)用協(xié)議，可以實(shí)施更細(xì)粒度的訪問(wèn)控制10．關(guān)于代理技術(shù)優(yōu)點(diǎn)的說(shuō)法，錯(cuò)誤的是( )。A．易于配置，界面友好