防火墙第2章第3次课.pptVIP

2.3.2状态的概念 ICMP及状态 ICMP协议的状态和连接的建立、维护与删除与UDP协议类似。 但是在建立的过程中不是简单地只通过IP地址来判别连接属性。ICMP协议的状态和连接需要考虑ICMP报文的类型和代码字段的含义，甚至还要提取ICMP报文的内容来决定其到底与哪一个已有连接相关。 其维护和删除过程 一是通过设定超时计时器来完成 二是按照部分类型的ICMP报文的对称性来完成。当属于同一连接的ICMP报文完成请求——应答过程后，即可将其从状态连接表中删除。 2.3.3深度状态检测 深度状态检测技术能够很好地实现对TCP协议的顺序号进行检测的功能。 通过对TCP报文的顺序号字段的跟踪监测报文的变化，防止攻击者利用已经处理的报文的顺序号进行重放攻击。 2.3.3深度状态检测 对于FTP协议操作。 深度状态检测机制可以深入到报文的应用层部分来获取FTP协议的命令参数，从而进行状态规则的配置。 其中最主要的，FTP协议连接端口的选择具有随机的特点。深度状态检测机制可以分析应用层的命令数据，找出其中的端口号等信息，从而精确地决定打开哪些端口。 与FTP协议类似的协议由很多，譬如RTSP、H.323等。深度状态检测机制都可以对它们的连接建立报文的应用层数据进行分析来决定相关的转发端口等信息。 因此具有部分的应用层信息过滤功能。 状态检测技术的优、缺点 优点 安全性比静态包过滤技术高。 状态检测机制可以区分连接的发起方与接收方； 可以通过状态分析阻断更多的复杂攻击行为； 可以通过分析打开相应的端口而不是“一刀切”：要么全打开要么全不打开。 与静态包过滤技术相比，提升了防火墙的性能。 状态检测机制对连接的初始报文进行详细检查，而对后续报文不需要进行相同的动作，只需快速通过即可。 状态检测技术的优、缺点 缺点 主要工作在网络层和传输层，对报文的数据部分检查很少，安全性还不够高。 检查内容多，对防火墙的性能提出了更高的要求。 2.4代理技术 代理技术概述 代理技术具体作用 代理技术种类 代理技术优缺点 应用代理 想从内部网访问外部的服务器？我帮你发请求吧。 链路 网络 传输 应用 链路 网络 传输 链路 网络 传输 应用 链路 网络 传输 内网主机 外网主机 防火墙 应用 应用 2.4.1代理技术概述 代理的执行 一种情况是代理服务器监听来自内部网络的服务请求。 当请求到达代理服务器时按照安全策略对数据包中的首部和数据部分信息进行检查。 通过检查后，代理服务器将请求的源地址改成自己的地址再转发到外部网络的目标主机上。 外部主机收到的请求将显示为来自代理服务器而不是源内部主机。 代理服务器在收到外部主机的应答时，首先要按照安全策略检查包的首部和数据部分的内容是否符合安全要求。通过检查后，代理服务器将数据包的目的地址改为内部源主机的IP地址，然后将应答数据转发至该内部源主机。 2.4.1代理技术概述 代理的执行 另外一种情况是内部主机只接收代理服务器转发的信息而不接收任何外部地址主机发来的信息。 这个时候外部主机只能将信息发送至代理服务器，由代理服务器转发至内部网络，相当于代理服务器对外部网络执行代理操作。 具体来说，所有发往内部网络的数据包都要经过代理服务器的安全检查，通过后将源IP地址改为代理服务器的IP地址，然后这些数据包才能被代理服务器转发至内部网络中的目标主机。 代理服务器负责监控整个的通信过程以保证通信过程的安全性。 2.4.1代理技术概述 2.代理代码 代理技术是通过在代理服务器上安装特殊的代理代码来实现的。 对于不同的应用层服务需要有不同的代理代码。 防火墙管理员可以通过配置不同的代理代码来控制代理服务器提供的代理服务种类。 代理程序的实现可以只有服务器端代码，也可以同时拥有服务器端和客户端代码。器相连。 2.4.1代理技术概述 2.代理代码 代理技术是通过在代理服务器上安装特殊的代理代码来实现的。 代理程序的实现可以只有服务器端代码，也可以同时拥有服务器端和客户端代码。服务器端代理代码的部署一般需要特定的软件。对于客户端代理代码的部署有两种方式： 一种是在用户主机上安装特制的客户端代理服务程序。该软件将通过与特定的服务器端代理程序相连接为用户提供网络访问服务。 另外一种是重新设置用户的网络访问过程。需要客户先以标准的网络访问方式登录到代理服务器上，再由代理服务器与目标服务器相连。 2.4.1代理技术概述 3.代理服务器的部署和实现 代理服务器通常安装在堡垒主机或者双宿主网关上。 如果将代理服务器程序安装在堡垒主机上，则可能采取不同的部署与实现结构。比如说采用屏蔽主机或者屏蔽子网方案，将堡垒主机置于过滤路由器之后。 这样堡垒主机还可以获得过滤路由器提供的、额外的保护。缺点则