第八章 网络信息安全 西财课件.ppt

　 二、应用代理防火墙 2．代理服务 代理服务是具有访问互联网能力的主机作为那些无权访问互联网主机的代理，这样使得一些不能访问互联网的主机通过代理服务也可以完成访问互联网的工作。 第二节　防火墙的分类 二、应用代理防火墙 3. 代理服务的工作方法 代理服务的工作细节对每一种服务器都是不同的，一些服务已自动地提供了代理，对于这些服务可以通过对正常服务器的配置来设置代理。但对于大多数服务来说，代理服务在服务器上要求运行特殊的代理服务器软件。 第二节　防火墙的分类 在客户端可以有以下两种方法: 3. 代理服务的工作方法 二、应用代理防火墙 (1)定制客户软件。采用这种方法，软件必须知道当用户提出请求时怎样与代替真实服务器的代理服务器进行连接，并且告诉代理服务器如何与真实服务器连接。 第二节　防火墙的分类 (2)定制客户过程。采用这种方法时，用户使用标准的客户软件与代理服务器连接，并通知代理服务器与真实服务器连接，以此来代替与真实服务器的连接。 二、应用代理防火墙 3. 代理服务的工作方法 第二节　防火墙的分类 　 二、应用代理防火墙 4. 代理服务器的使用 代理服务器有一些特殊类型，主要表现为应用级与回路级代理、公共与专用代理服务器和智能代理服务器。 （1）应用级与回路级代理 应用级代理是已知代理服务为哪个应用提供的代理，它能了解并解释应用协议中的命令；而回路级代理在客户端与服务器之间不解释应用协议中的命令就建立了连接回路。 （2）公共与专用代理服务器 一个专用服务器只适用于单个协议，而一个公共代理服务器则适用多个协议。实际上专用代理服务器是应用级的，而公共代理服务器是属于回路级的。 （3）智能代理服务器 如果一个代理服务器不仅能处理转发请求，同时还能够做其他许多事情的话，这样的代理服务器就称为智能代理服务器。对于一个专用的应用级代理来说很容易升级到智能代理服务器，但对一个回路级的代理来说则比较困难。 第二节　防火墙的分类 三、 复合型防火墙 1．传统防火墙分析 　 基于网络地址转换（network address translator, NAT）的复合型防火墙系统，它融合了代理技术的高性能和包过滤技术高效性的优点。 第二节　防火墙的分类 三、 复合型防火墙 2．设计思想 　 集中访问控制技术是在服务请求时由网关负责鉴别，一旦鉴别成功，其后的报文交互都直接通过TCP/IP层的过滤规则，无需象应用层代理那样逐个报文转发，这就实现了与代理方式同样的安全水平而处理量大幅下降，性能随即得到大大提高。另一方面，NAT技术通过在网关上对进出IP包源与目的地址的转换，实现过滤规则的动态化。 第二节　防火墙的分类 三、 复合型防火墙 3．系统设计 基于Web的防火墙管理系统 集中访问控制模块 临时访问端口表 认证访问控制系统 网络安全监控系统 NAT模块 内部网 内部网 图8.5 基于NAT的复合型防火墙系统总体结构模型 图8.5给出了基于NAT的复合型防火墙系统的总体结构模型，由五大模块组成。 第二节　防火墙的分类 三、 复合型防火墙 3．系统设计 NAT模块依据一定的规则，对所有出入的数据包进行源与目的地址识别，并将由内向外的数据包中源地址替换成一个真实地址，而将由外向内的数据包中的目的地址替换成相应的虚拟地址 第二节　防火墙的分类 三、 复合型防火墙 集中访问控制（CAC）模块负责响应所有指定的由外向内的服务访问，通知认证访问控制系统实施安全鉴别，为合法用户建立相应的连接，并将这一连接的相关信息传递给NAT模块，保证在后续的报文传输时直接转发而无需控制模块干预。 3．系统设计 第二节　防火墙的分类 三、 复合型防火墙 临时访问端口表及连接控制（TLTC）模块通过监视外向型连接的端口数据动态维护一张临时端口表，记录所有由内向外的连接的源与目的端口信息，根据此表及预先配置好的协议集由连接控制模块决定哪些连接是允许的而哪些是不允许的，即根据所制定的规则（安全政策）禁止相应的由外向内发起的连接，以防止攻击者利用网关允许的由内向外的访问协议类型做反向的连接访问。 3．系统设计 第二节　防火墙的分类 三、 复合型防火墙 认证与访问控制系统是防火墙系统的关键环节，它按照网络安全策略负责对通过防火墙的用户实施用户的身份鉴别和对网络信息资源的访问控制，保证合法用户正常访问和禁止非法用户访问。 3．系统设计 第二节　防火墙的分类 三、 复合型防火墙 　 网络监控系统负责截取到达防火墙网关的所有数据包，对信息包报头和内容进行分析，检测是否