防火墙与入侵检测(二)防火墙的关键技术.pptVIP

代理技术概述 代理代码 代理技术是通过在代理服务器上安装特殊的代理代码来实现的。对于不同的应用层服务需要有不同的代理代码。防火墙管理员可以通过配置不同的代理代码来控制代理服务器提供的代理服务种类。代理程序的实现可以只有服务器端代码，也可以同时拥有服务器端和客户端代码。服务器端代理代码的部署一般需要特定的软件。对于客户端代理代码的部署有两种方式： 一种是在用户主机上安装特制的客户端代理服务程序。该软件将通过与特定的服务器端代理程序相连接为用户提供网络访问服务。 另外一种是重新设置用户的网络访问过程。需要客户先以标准的网络访问方式登录到代理服务器上，再由代理服务器与目标服务器相连。 代理技术概述 代理服务器的部署和实现 代理服务器通常安装在堡垒主机或者双宿主网关上。 如果将代理服务器程序安装在堡垒主机上，则可能采取不同的部署与实现结构。比如说采用屏蔽主机或者屏蔽子网方案，将堡垒主机置于过滤路由器之后。这样堡垒主机还可以获得过滤路由器提供的、额外的保护。缺点则是如果过滤路由器被攻陷，则数据将旁路安装代理服务器程序的堡垒主机，即代理服务器将不起作用。 代理技术概述 代理技术与包过滤技术的安全性比较 相对于包过滤技术而言，代理技术能够为用户提供更高的安全等级： 代理服务器不仅扫描数据包头部的各个字段，还要深入到包的内部，理解数据包载荷部分内容的含义。这可为安全检测和日志记录提供详细的信息。包过滤技术采用的是基于包头信息的过滤机制，很难与代理技术相提并论。 对于外网来说，只能见到代理服务器而不能看见内网；对于内网来说，也只能看见代理服务器而看不见外网。实现了网络隔离，降低了用户网络受到直接攻击的风险。而且对外网隐藏了内网的结构以及用户，进一步降低了用户网络遭受探测的风险。而包过滤技术在网络隔离和预防探测方面做的不是很好。 包过滤技术通常由路由器实现。若过滤机制被破坏，则内网将毫无遮拦地直接与外网接触。将不可避免地出现网络攻击和信息泄露的现象。而代理服务器要是损坏的话，只能是内网与外网的连接中断，但无法出现网络攻击和信息泄漏的现象。从这个角度看，代理技术比包过滤技术安全。 代理技术具体作用 隐藏内部主机 代理服务器的作用之一隐藏内部网络中的主机。由于有代理服务器的存在，所以外部主机无法直接连接到内部主机。它只能看到代理服务器，因此只能连接到代理服务器上。这种特性是十分重要的，因为外部用户无法进行针对内部网络的探测，也就无法对内部网络上的主机发起攻击。代理服务器在应用层对数据包进行更改，以自己的身份向目的地重新发出请求，彻底改变了数据包的访问特性。 代理技术具体作用 过滤内容 在应用层进行检查的另一个重要的作用是可以扫描数据包的内容。这些内容可能包含敏感的或者被严格禁止流出用户网络的信息，以及一些容易引起安全威胁的数据。后者包括不安全的Java applet小程序、Active X控件以及电子邮件中的附件等等。而这些内容是包过滤技术无法控制的。支持内容的扫描是代理技术与其它安全技术的一个重要区别。 提高系统性能 虽然从访问控制的角度考虑，代理服务器因为执行了很细致的过滤功能而加大了网络访问的延迟。但是它身处网络服务的最高层，可以综合利用缓存等多种手段优化对网络的访问，由此还进一步减少了因为网络访问产生的系统负载。因此，精心配置的代理技术可以提高系统的整体性能。 代理技术具体作用 保障安全 安全性的保障不仅仅指过滤功能的强大，还包括对过往数据日志的详细分析和审计。这是因为从这些数据中能够发现过滤功能难以发现的攻击行为序列，可以及时地提醒管理人员采取必要的安全保护措施；还可以对网络访问量进行统计进而优化网络访问的规则，为用户提供更好的服务。代理技术处于网络协议的最高层，可以为日志的分析和审计提供最详尽的信息，由此提高了网络的安全性。 阻断URL 在代理服务器上可以实现针对特定网址及其服务器的阻断，以实现阻止内部用户浏览不符合组织或机构安全策略的网站内容。 代理技术具体作用 保护电子邮件 电子邮件系统是互联网最重要的信息交互系统之一，但是它的开放性特点使得它非常脆弱，而且由于安全性较弱所以经常被攻击者做为网络攻击的重要途径。代理服务器可以实现对重要的内部邮件服务器的保护。通过邮件代理对邮件信息的重组与转发，使得内部邮件服务器不与外部网络发生直接的联系，从而达到保护的目的。 身份认证 代理技术能够实现包过滤技术无法实现的身份认证功能。将身份认证技术融合进安全过滤功能中能够大幅度提高用户的安全性。支持身份认证技术是现代防火墙的一个重要特征。具体的方式有传统的用户账号/口令、基于密码技术的挑战/响应等等。 信息重定向 代理技术从本质上是一种信息的重定向技术。这是因为它可以根据用户网络的安全需要改变数据包的