第6章计算机网络安全.pptVIP

6.6.2－包过滤防火墙 通过在网络中的适当位置对数据包进行过滤 根据检查数据流中每个数据包的源地址、目的地址、所有的TCP端口号和TCP链路状态等要素 依据一组预定义的规则，以允许合乎逻辑的数据包通过防火墙进入到内部网络 将不合乎逻辑的数据包加以删除。 6.6.2－代理服务器防火墙 代理服务器运行在两个网络之间 它对于客户来说像是一台真的服务器一样，而对于外界的服务器来说，它又是一台客户机。 当代理服务器接收到用户的请求后，会检查用户请求的站点是否符合公司的要求，如果公司允许用户访问该站点的话，代理服务器会像一个客户一样，去那个站点取回所需信息再转发给客户 6.6.2－状态监视器防火墙 采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。 检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后指定安全决策的参考。 6.6.3 防火墙产品选购策略和使用 Checkpoint Firewall（美国老牌） NetScreen（完全基于硬件） 天融信网络卫士 东大阿尔派网眼（适用于交换路由双环境） 清华紫光UnisFirewall（定位于大型ISP） 6.6.4 防火墙技术的发展方向 未来的防火墙应该既有高安全性又有高效率。 重新设计技术架构，比如在包过滤中引入鉴别授权机制