第10章防火墙与虚拟专用网.ppt

第10章 防火墙与虚拟专用网 VPN隧道技术 防火墙的局限性 基于OSI模型分层的VPN类型 VPN的应用 VPN的基本要求 虚拟专用网类型 虚拟专用网VPN 屏蔽型防火墙 防火墙体系结构 代理服务器型防火墙 防火墙硬件结构 防火墙特性 防火墙属性 防火墙概述 本章小结和复习思考题 防火墙的功能 ::目录:: 电子商务安全 10.2.2代理服务器型防火墙 2）代理服务器（proxy server）工作原理 代理服务器是介于浏览器和Web服务器之间的一台服务器，有了它之后，浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求，请求信号会先送到代理服务器，由代理服务器来取回浏览器所需要的信息并传送给浏览器，而且，大部分代理服务器都具有缓冲的功能，就好像一个大的Cache，具有很大的存储空间，它不断将新取得数据储存到它本机的存储器上，如果浏览器所请求的数据在它本机的存储器上已经存在而且是最新的，那么它就不重新从Web服务器取数据，而直接将存储器上的数据传送给用户的浏览器，这样就能显著提高浏览速度和效率（速度会随着代理服务器地理位置的不同以及网络传输情况而改变），因为使用代理服务器上网可以隐藏自己的真实IP地址，所以这从根本上解决了端口扫描等恶意攻击的发生，此时的代理服务器已经变成了一个强大的防火墙。 第10章 防火墙与虚拟专用网 VPN隧道技术 防火墙的局限性 基于OSI模型分层的VPN类型 VPN的应用 VPN的基本要求 虚拟专用网类型 虚拟专用网VPN 屏蔽型防火墙 防火墙体系结构 代理服务器型防火墙 防火墙硬件结构 防火墙特性 防火墙属性 防火墙概述 本章小结和复习思考题 防火墙的功能 ::目录:: 电子商务安全 10.2.2代理服务器型防火墙 代理服务器实现过程如图10—6所示。 第10章 防火墙与虚拟专用网 VPN隧道技术 防火墙的局限性 基于OSI模型分层的VPN类型 VPN的应用 VPN的基本要求 虚拟专用网类型 虚拟专用网VPN 屏蔽型防火墙 防火墙体系结构 代理服务器型防火墙 防火墙硬件结构 防火墙特性 防火墙属性 防火墙概述 本章小结和复习思考题 防火墙的功能 ::目录:: 电子商务安全 10.2.2代理服务器型防火墙 代理服务器技术分类： 由图10—6可以看出内部网络与外部网络进行通信时，通信发起方首先与代理服务器建立连接，然后代理服务器另外建立到目标主机的连接，通信双方通过代理进行间接连接、通信，不允许端到端的直接连接。各种网络应用服务也是通过代理提供，由此达到访问控制的目的。 第10章 防火墙与虚拟专用网 VPN隧道技术 防火墙的局限性 基于OSI模型分层的VPN类型 VPN的应用 VPN的基本要求 虚拟专用网类型 虚拟专用网VPN 屏蔽型防火墙 防火墙体系结构 代理服务器型防火墙 防火墙硬件结构 防火墙特性 防火墙属性 防火墙概述 本章小结和复习思考题 防火墙的功能 ::目录:: 电子商务安全 10.2.2代理服务器型防火墙 3）代理服务器技术 （1）应用层代理。应用层代理工作在TCP/IP模型的应用层上，也称做应用级网关（application gateway）。如图10—7（A）所示。 其工作原理为： 1.当接收到用户方连接请求后，应用代理协议检查用户的源IP和目的IP地址，并根据过滤规则决定是否允许该请求连接。 2.如果允许该连接请求，进行用户身份识别。否则，阻断该连接请求。 第10章 防火墙与虚拟专用网 VPN隧道技术 防火墙的局限性 基于OSI模型分层的VPN类型 VPN的应用 VPN的基本要求 虚拟专用网类型 虚拟专用网VPN 屏蔽型防火墙 防火墙体系结构 代理服务器型防火墙 防火墙硬件结构 防火墙特性 防火墙属性 防火墙概述 本章小结和复习思考题 防火墙的功能 ::目录:: 电子商务安全 10.2.2代理服务器型防火墙 3.通过身份识别后，应用代理建立该连接请求的连接，并将这次的连接记录在日志内。 4.当一方关闭连接后，应用代理协议关闭对应的另一方连接，并将本次连接记录在日志内。 应用代理服务器一般运行在具有两个网络接口的双宿主机的防火墙上，两个网络接口分别连接内、外网络，并且禁止IP转发，切断内外网络之间直接的IP通信，由代理服务器按照一定的安全策略提供互联网连接和服务。 应用层代理只能用于支持代理的应用层协议，提供的控制最多，但不灵活，需要有相应的协议支持。如果协议不支持代理（如SMTP和POP），那么就只能在应用层以下代理，也即传输层代理。如图10—7（B）所示。 第10章 防火墙与虚拟专用网 VPN隧道技术 防火墙的局限性 基于OSI模型分层的VPN类型 VPN的应用 VPN的基本要求 虚拟专用