防火墙技术(第二十讲).doc

四川警安职业学院标准教案纸 课程名称 防火墙技术（第二十讲） 任课教师 陈 平 授课时间 地点 多媒体 授课班级 07级 人数 32人 教学目标 掌握应用级网关防火墙技术的特点及工作过程 掌握电路级网关防火墙技术的特点及工作过程 掌握SPI防火墙技术的特点及工作过程 掌握防火墙实施的几种方式 教学重点 应用级网关防火墙技术 电路级网关防火墙技术 防火墙实施的方式 教学难点 SPI防火墙技术的特点及工作过程 教学时数 2节 教学方法 讲授法、演示法、实践操作法 教学手段 多媒体教学 教学内容： 第4章 防火墙体系结构（二） 4.3 应用级网关 4.3.1 应用级网关的发展 应用级网关防火墙安装在网络应用层上，它在应用层上对信息进行处理，是一种比包过滤防火墙更加安全的防火墙技术。防火墙要支持应用程序，需要提供一个唯一的程序接受客户端应用程序的数据，并且作为中转站将数据发往目标服务器。应用级网关对客户来说是一个服务器，对目标服务器来说是一个客户端，所以它扮演着双重角色。 应用级网关使用软件来转发和过滤特定的应用服务，如Telnet，FTP等服务的连接，这是一种代理服务。它只允许有代理的服务通过，也就是说只有那些被认为“可信赖的”服务才被允许通过防火墙。另外代理服务还可以过滤协议，如过滤FTP连接、拒绝使用FTP放置命令等。应用级网关具有登记、日记、统计和报告功能，有很好的审计功能。还可以具有严格的用户认证功能。 4.3.2 应用级网关的工作过程 防火墙会对应用程序的数据进行校验以保证其格式可以接受，能够过滤协议，进行身份验证和记录信息。其工作过程是：当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，由代理服务器根据这一请求向服务器请求数据，然后再由代理服务器将返回的数据转给客户机。 4.3.3 应用级网关的优缺点 应用级网关的安全性高，其不足是要为每种应用提供专门的代理服务程序。 应用级网关有较好的访问控制，是目前最安全的防火墙技术，但实现困难，而且有的应用级网关缺乏“透明度”。在实际使用中，用户在受信任的网络上通过防火墙访问Internet时，经常会发现存在延迟并且必须进行多次登录（Login）才能访问Internet或Intranet。 应用级网关也存在一些不足之处，首先它会使访问速度变慢，因为它不允许用户直接访问网络，而且应用级网关需要对每一个特定的Internet服务安装相应的代理服务软件，用户不能使用未被服务器支持的服务，对每一类服务要使用特殊的客户端软件，尤其是，并非所有的Internet应用软件都可以使用代理服务器。 电路级网关又称线路级网关，它工作在会话层。它在两个主机首次建立TCP连接时创立一个电子屏障。它作为服务器接收外来请求，转发请求；与被保护的主机连接时则担当客户机角色、起代理服务的作用。它监视两主机建立连接时的握手信息，如SYN，ACK和序列数据等是否合乎逻辑，判定该会话请求是否合法。一旦会话连接有效后，网关仅复制、传递数据，而不进行过滤。 电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息，这样来决定该会话（Session）是否合法，电路级网关是在OSI模型中会话层上来过滤数据包，这样比包过滤防火墙要高两层。 4.4 电路级网关 它的主要技术特点是不允许直接建立端对端的连接，而是将跨越防火墙的网络通信链路分为两段，通过代理服务器建立两个TCP连接，如图4-7所示。 ● 代理服务是运行在网络主机上的一个软件应用程序，它就像外部网和内部网之间的中间媒介，筛选进出的数据。 ● 运行代理服务的网络主机称为代理服务器或网关。 ● 对于外部网络，代理服务器相当于内部网络的一台服务器，实际上，它只是内部网络的一台过滤设备。 ● 代理服务器的安全性除了表现在它可以隔断内部和外部网络的直接连接，还可以防止外部网络发现内部网络的地址。 4.4.1 电路级网关的工作过程 电路级网关工作过程如下： ● 假定有一用户正在试图和目的URL进行连接。 ● 此时，该用户所使用的客户应用程序不是为这个URL发出的DNS请求，而是将请求发到地址已经被解析的电路级网关（如代理服务器）的接口上。 ● 若有需要，电路级网关提示用户进行身份认证。 ● 用户通过身份认证后，电路级网关为目的URL发出一个DNS请求，然后用自己的IP地址和目的IP地址建立一个连接。 ● 电路级网关然后把目的URL服务器的应答转给用户。 4.4.2 电路级网关的缺点 大多数的电路级网关都是基于TCP端口配置的，不是对每一个数据包进行检测，所以会出现一些漏洞。通常来说，配置了电路级网关技术后向内的连接都是禁止的。所以，有时访问资源的空间和范围是有限的。 4.5 状态包检测（SPI） 状态包检测防火