第5章防火墙技术技巧.ppt

应用层代理防火墙的优点和缺点 应用层代理防火墙能够检查应用层、传输层和网络层的协议，对数据包的检测能力比较强，因而安全性高。但缺点也非常突出，主要有： （1）难于实现。每一种服务都需要有相应的代理软件，而不同的网络应用服务，其安全问题各不相同，分析困难，因此难于实现。 （2）处理速度慢。由于需要检查数据包的TCP/IP报头和数据，并转发信息，所以速度较慢。当用户对网络的吞吐量要求比较高时，防火墙就会成为内、外部网络之间的瓶颈。 （3）对用户不透明。客户端访问安装有代理防火墙的网络时，需要改动或安装特定的客户端软件，这无疑给用户增加了不透明度。 5.3.3 复合型防火墙 由于包过滤技术的处理速度快，而且实现方便，但没有审计功能，过滤规则不好设计，安全性较差；而代理技术能够方便地实现访问控制，安全性好，但却需要针对每一个应用服务都设计一个代理，因而难于实现。在实际应用时，可以将这两种技术结合起来使用。 复合型防火墙也称为自适应代理防火墙，是一种将代理服务器防火墙的安全性和包过滤防火墙的高效率等优点结合起来的防火墙，在保证安全性的同时，将防火墙的性能提高了数倍。它一般由自适应代理服务器和动态包过滤器组成，在内、外部网络的主机开始通信之前，初始的安全性检查仍在应用层进行，而一旦用户的身份通过了认证，其后的通信数据就可以通过速度较快的网络层进行传输。 5.4 个人防火墙技术 5.4.1 个人防火墙概述 个人防火墙是一种能够保护个人计算机的软件防火墙产品，它可以直接运行在用户的计算机上，检查所有进出防火墙的数据包，根据预先定义的安全规则决定是拦截还是允许数据包通过，从而为主机提供网络安全保护。 与传统防火墙信任内网而防御外网的策略不同，个人防火墙以个人主机为保护对象，其设计理念是除个人主机以外的任何用户访问都是不可信任的，都需要进行过滤。因此，可以针对该主机上运行的具体应用和对外提供的服务设置针对性很强的安全策略。 5.4.2 个人防火墙的主要功能 个人防火墙在网络中的地位非常重要，其功能主要表现在以下几个方面。 1.IP数据包过滤 2.安全规则的修订 3.对特定网络攻击数据包进行拦截 4.应用程序网络访问监控 5.快速切断网络的功能 6.日志记录 7.网络攻击的报警 5.4.3 个人防火墙的主要技术 个人防火墙是在企业级防火墙的基础上发展起来的，除了在规则设置、防火墙的管理等方面进行了简化，从而使得不具备防火墙专业技术的用户也能够很容易地安装和使用防火墙，其采用的核心技术基本上与企业级防火墙相同，主要有以下几种。 1.基于应用层网关技术 典型的个人防火墙一般都属于应用层网关型防火墙，它利用代理技术检测用户应用程序的运行情况，并根据用户制定的安全策略来判断是否允许某个应用程序通过。例如，当用户运行一个具有FTP功能的程序时，防火墙允许其具有上传文件和浏览的功能，但不允许随意删除文件。 由于应用代理技术可以检查并理解包的内容而不仅仅是包的TCP/IP首部，因此对于恶意的程序，只要用户的安全策略制定得合适，是可以加以防范的。 2.数据包过滤 个人防火墙监视并检查所有进出防火墙的数据包，并根据用户设定的过滤规则进行过滤。若用户设定某一IP地址为恶意地址的话，以后所有来自于这个IP地址的数据包都会被防火墙屏蔽掉。 3.端口“隐蔽” 通常，黑客在使用端口扫描技术对某一主机的端口进行扫描时，不论对方的端口是关闭还是开放，黑客都可以根据目标主机端口的反应来了解端口的开放情况。 为了暴露尽可能少的系统信息，可以将端口设置成不论端口是否开放，都不返回或返回相同的信息，这样黑客就无法判断端口是否开放。 4.基于IP地址和端口的安全规则 用户可以通过设置基于IP或端口的限制来拒绝或允许某些服务，如FTP服务、Web浏览服务等。 5.VPN技术 对于通过VPN连入公司内部网络的远程用户而言，一旦其计算机被黑客入侵，就极有可能暴露公司的内部网络，从而为黑客进入公司内部网络提供了方便。所以有必要将Internet协议安全性（Internet protocol security，IPSec）技术内置在个人防火墙中，并和企业级的防火墙相配合，以提高VPN的安全性。 5.4.4 个人防火墙的现状及发展 （1）速度更快。随着网络的发展，网速越来越快，因此防火墙的运算速度也应提高。 （2）更加智能化。个人防火墙将不仅仅是静态防御，进行数据包的检查，而应该以更高的智能去分析网络数据，从而对网络上的信息进行分析，以便能迅速对攻击作出相应的处理。 （3）功能更加完善。不仅仅是对数据包首部进行过滤，还要对数据包的内容过滤，并将逐步具备病毒过滤功能；采用更加友好的图形化管理界面，并具备强大的审计功能和自动日志分析功能。 5.5 防火墙的应用实例 5.5.1 瑞星防火墙的