第12章防火墙(免费阅读).pptVIP

3、代理服务器（4）应用层代理的优点 应用层代理能够让网络管理员对服务进行全面的控制，因为代理应用限制了命令集并决定哪些内部主机可以被该服务访问。 网络管理员可以完全控制提供那些服务，因为没有特定服务的代理就表示该服务不提供。 防火墙可以被配置成唯一的可被外部看见的主机，这样可以保护内部主机免受外部主机的进攻。 应用层代理有能力支持可靠的用户认证并提供详细的注册信息。另外，用于应用层的过滤规则相对于包过滤防火墙来说更容易配置和测试。 代理工作在客户机和真实服务器之间，完全控制会话，所以可以提供很详细的日志和安全审计功能。 4、全状态检查（1） 状态检测技术：在包过滤的同时，检察数据包之间的关联性，数据包中动态变化的状态码。 监测引擎：一个在网关上执行网络安全策略的软件模块 。 监测引擎采用抽取有关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态地保存起来作为以后执行安全策略的参考。 当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。 4、全状态检查（2）状态检测的优缺点 优点： 一旦某个访问违反安全规定，就会拒绝该访问，并报告有关状态作日志记录。 它会监测无连接状态的远程过程调用（RPC）和用户数据报（UDP）之类的端口信息。 缺点： 降低网络速度 配置比较复杂 三、