第十章节防火墙.ppt

NAT Sample (PAT) NAT (MAP IP) 虚拟IP 路由模式 防火墙技术 ? 防火墙的实现与防范技术 包过滤 地址翻译 应用层代理 电路层代理 状态检查 ? ? ? ? 代理服务器 代理服务是运行在防火墙主机上的专门的应用程序或者服务器程 序。不允许通信直接经过外部网和内部网。 将所有跨越防火墙的网络通信链路分为两段。 防火墙内外计算机系统间应用层的“ 链接”，由两个代理服务器上 的“ 链接”来实现 外部计算机的网络链路只能到达代理服务器，从而起到了隔离防 火墙内外计算机系统的作用。 代理服务器示意图 代理服务器 Telnet代理服务器 数 据 包 数 据 包 数 包 代理服务器 控制策略 查找对 安全网域 应的控 制策略 根据策略决定如何 处理该数据包 Host Host C D 拆开数据包 据 数据包 数据包 数据包 ?IP报 头 ?TCP报 头 ?数据 分组过滤判断 信息 应用代理可以对数据包的数据区进行分析 ，并以此判断数据是否允许通过 应用代理判断 信息 代理服务的分类 ? 代理服务分类：代理服务可分为应用级代理与电 路级代理： ? 应用级代理是已知代理服务向哪一种应用服务提 供的代理，它在应用协议中理解并解释命令。应 用级代理的优点为它能解释应用协议从而获得更 多的信息，缺点为只适用于单一协议。 ? 电路级代理是在客户和服务器之间不解释应用协 议即建立回路。电路级代理的优点在于它能对各 种不同的协议提供服务，缺点在于它对因代理而 发生的情况几乎不加控制。 应用层代理的优点 ? 应用层代理能够让网络管理员对服务进行全面的控制， 因为代理应用限制了命令集并决定哪些内部主机可以被 该服务访问。 ? 网络管理员可以完全控制提供那些服务，因为没有特定 服务的代理就表示该服务不提供。 ? 防火墙可以被配置成唯一的可被外部看见的主机，这样 可以保护内部主机免受外部主机的进攻。 ? 应用层代理有能力支持可靠的用户认证并提供详细的注 册信息。另外，用于应用层的过滤规则相对于包过滤防 火墙来说更容易配置和测试。 ? 代理工作在客户机和真实服务器之间，完全控制会话， 所以可以提供很详细的日志和安全审计功能。 应用层代理的缺点 ? 应用层代理的最大缺点是要求用户改变自己的行为， 或者在访问代理服务的每个系统上安装特殊的软件。 ?比如，透过应用层代理Telnet访问要求用户通过两步而不是一 步来建立连接。不过，特殊的端系统软件可以让用户在Telnet 命令中指定目标主机而不是应用层代理来使应用层代理透明。 ? 每个应用程序都必须有一个代理服务程序来进行安全 控制，每一种应用升级时，一般代理服务程序也要升级。 ? ? 应用层代理终究是一个应用程序，它的效率比NAT 低 防火墙技术 ? 防火墙的实现与防范技术 包过滤 地址翻译 应用层代理 电路层代理 状态检查 ? ? ? ? 全状态检查 状态检测技术：在包过滤的同时，检察数据包之间的关联性，数 据包中动态变化的状态码。 监测引擎：一个在网关上执行网络安全策略的软件模块 。 监测引擎采用抽取有关数据的方法对网络通信的各层实施监测， 抽取状态信息，并动态地保存起来作为以后执行安全策略的参考。 当用户访问请求到达网关的操作系统前，状态监视器要抽取有关 数据进行分析，结合网络配置和安全规定作出接纳、拒绝、身份 认证、报警或给该通信加密等处理动作。 状态检测示意图 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 监测引擎 应用层 表示层 会话层 传输层 网络层 数据链路层 物理 层 数 据 包 数 据 包 数 据 包 控制策略 查找对应的 控制策略 根据策略决 定如何处理 该数据包 安全网域 Host C Host D 拆开数 据包 数据包 数据包 数据包 ?IP报 头 ?IP报 头 ?IP报 头 ?TCP报 头 ?TCP报 头 ?TCP报 头 ?数据1 ?数据2 ?数据3 状态检测 状态检测可以结合前后数据包里的数据信息 进行综合分析决定是否允许该包通过 状态检测的优缺点 ? 优点： 一旦某个访问违反安全规定，就会拒绝该访问， 并报告有关状态作日志记录。 它会监测无连接状态的远程过程调用（RPC） 和用户数据报（UDP）之类的端口信息。 ? 缺点： 降低网络速度 配置比