第4章防火墙技术讲义.pptVIP

4.3.1．包过滤防火墙 包过滤操作一般都是在选择路由的同时在网络层对数据包进行选择或过滤（通常是对从Internet进入到内部网络的包进行过滤）。 选择的依据是系统内设置的过滤逻辑，被称为访问控制表（Access Control Table）或规则表。 规则表指定允许哪些类型的数据包可以流入或流出内部网络，例如：只接收来自某些指定的IP地址的数据包或者内部网络的数据包可以流向某些指定的端口等；哪些类型的数据包的传输应该被拦截。 4.3.1．包过滤防火墙 防火墙的IP包过滤规则以IP包信息为基础，对IP包源地址、目标地址、传输方向、分包、IP包封装协议（TCP/UDP/ICMP/IP Tunnel）、TCP/UDP目标端口号等进行筛选、过滤。 通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。 4.3.1．包过滤防火墙 包过滤技术分两类： 静态包过滤 动态包过滤 静态包过滤 一般防火墙的包过滤的过滤规则是在启动时配置好的，只有系统管理员才可以修改，是静态存在的，称为静态规则。利用静态包过滤规则建立的防火墙就叫静态包过滤防火墙。 动态包过滤 采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。即采用了基于连接状态的检查和动态设置包过滤规则的方法，将属于同一连接的所有包作为一个整体的数据流看待，通过规则表与连接状态表的共同配合进行检查。 动态包过滤 动态过滤规则技术避免了静态包过滤的问题，使防火墙弥补了许多不安全的隐患，在最大程度上降低了黑客攻击的成功率，从而大大提高了系统的性能和安全性。 包过滤防火墙的优点 不用改动应用程序。包过滤不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。 一个过滤路由器能协助保护整个网络。 数据包过滤对用户透明。数据包过滤是在IP层实现的，Internet根本感觉不到它的存在；包过滤不要求任何自定义软件或者客户机配置；它也不要求用户任何特殊的训练或者操作，使用起来很方便。 过滤路由器速度快、效率高。较Proxy而言，过滤路由器只检查报头相应的字段，一般不查看数据包的内容，而且某些核心部分是由专用硬件实现的，故其转发速度快、效率较高。 包过滤的缺点 不能彻底防止地址欺骗（伪造IP地址）。所以，包过滤的主要弱点是不能在用户级别上进行过滤，即不能识别不同的用户和防止IP地址的盗用。 一些应用协议不适合于数据包过滤。如RPC、FTP。 正常的数据包过滤路由器无法执行某些安全策略。如数据包的报头信息只能说明数据包来自什么主机，而不知是什么用户；只知数据包发送到什么端口，而不知是发到什么应用程序。 包过滤的缺点 安全性较差。过滤判别的只有网络层和传输层的有限信息；过滤规则的数目是有限制的；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；大多数过滤器中缺少审计和报警机制，通常它没有用户的使用记录，这样，管理员就不能从访问记录中发现黑客的攻击记录。 数据包工具存在很多局限性。如数据包过滤规则难以配置，管理方式和用户界面较差；对安全管理人员素质要求高；建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。 4.3.2．代理技术 代理技术：为所谓代理服务器，是指代表客户处理在服务器连接请求的程序。 当代理服务器得到一个客户的连接意图时，它将核实客户请求，并用特定的安全化的Proxy应用程序来处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处理后，将答复交给发出请求的最终客户。 4.3.2．代理技术 代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内、外部网络的作用，所以有叫代理防火墙。代理防火墙工作于应用层，且针对特定的应用层协议。代理防火墙通过编程来弄清用户应用层的流量，并能在用户层和应用协议层间提供访问控制；而且，还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。 代理服务器（Proxy Server）作为内部网络客户端的服务器，拦截住所有要求，也向客户端转发响应。代理客户（Proxy Client）负责代表内部客户端向外部服务器发出请求，当然也向代理服务器转发响应。 4.3.2．代理技术 代理技术一般有两种： 应用级代理技术 电路级网关代理技术。 应用层网关型防火墙 应用层网关（Application Level Gateways）防火墙是传统代理型防火墙，它的核心技术就是代理服务器技术，它是基于软件的，通常安装在专用工作站系统上。 这