防火墙技术PPT 教程.pptVIP

8.4 代理服务 8.4.5 用于因特网服务的代理特性 因特网上的主要服务功能有电子邮件E-mail．简单邮件传输协议SMTP、邮局协议POP、文件传输FTP、远程登录Telnet、存储转发协议NNTP、万维网WWW、域名服务DNS等。 1．电子邮件（E-mail） （1）一个服务器，用来向外部主机发送邮件或从外部主机接收邮件。 （2）发信代理，用于将邮件正确地放入本地主机邮箱中。 （3）用户代理，用于让收信人阅读邮件并编排出站邮件。 * 8.4 代理服务 2．简单邮件传输协议（SMTP）的代理特点 因为SMTP是一个存储转发协议，所以它特别适合于进行代理。由于任何一个SMTP服务器都有可能为其它站点进行邮件转发，因而很少将它设置成一个单独的代理。大多数站点将输入的SMTP连接到一台安全运行SMTP服务的堡垒主机上，该堡垒主机就是一个代理。 3．邮局协议（POP）的代理特点 邮局协议（POP）对于代理系统来说是非常简单的，因为它采用单个连接。内置的支持代理的POP客户程序还很少，主要原因是POP多用于局域网，而很少用于因特网。 * 8.4 代理服务 4．文件传输FTP 在开始使用一个FTP连接时，客户程序首先为自己分配两个大于1023的TCP端口，它使用第一个端口作为命令通道端口与服务器连接，然后发出端口命令，告诉服务器它的第二个作为数据通道的端口号，这样服务器就能打开数据通道了。大多数FTP服务器（特别是那些用在因特网上的主要匿名FTP站点）和许多FTP客户程序都支持一种允许客户程序打开命令通道和数据通道来连接到FTP服务器的方式，这种方式被称为“反向方式”。 在使用反向方式时，一个FTP客户程序需要分配两个TCP端口供其使用。它使用第一个TCP端口与FTP服务器连接，但客户程序通过反向方式命令代替原来的端口命令来告诉服务器客户程序的第二个TCP端口。 * 8.4 代理服务 这样就能使服务器为本身的数据通道分配第二个TCP端口，并通知客户程序所分配的那个端口号。这时，客户程序就从它的数据通道的端口连接到服务器刚才通知它的那个端口上。 5．远程登录（Telnet） 代理系统能够很好地支持Telnet。 6．存储转发协议（NNTP） NNTP是一个存储转发的协议，有能力进行自己的代理。它作为一个简单的单个连接协议很容易实现代理。 * 8.4 代理服务 7．万维网（WWW） 各种HTTP客户程序（如Netscape Navigator或因特网Explorer等）都支持代理的方案。 8．域名服务（DNS） DNS具有这样的结构：可以使服务器充当客户程序的代理。利用DNS能够转发自身的特点，可以使一个DNS服务器成为另一个DNS服务器的代理。在真正的实现时，大多数情况可以修改DNS库来使用修改的客户程序代理。在不支持动态连接的机器上，使用DNS的修改客户程序的代理需要重新编译网络中使用的每个程序。 * 8.5 选择防火墙的原则 设计和选用防火墙首先要明确哪些数据是必须保护的，这些数据的被侵入会导致什么样的后果及网络不同区域需要什么等级的安全级别。不管采用原始设计还是使用现成的防火墙产品，对于防火墙的安全标准，首先需根据安全级别确定。其次，设计或选用防火墙必须与网络接口匹配，要防止你所能想到的威胁。防火墙可以是软件或硬件模块，并能集成于网桥、网关和路由器等设备之中。 * 8.5 选择防火墙的原则 1．防火墙自身的安全性 大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务上，但往往忽略一点，防火墙也是网络上的主机设备，也可能存在安全问题。防火墙如果不能确保自身安全，则防火墙的控制功能再强，也终究不能完全保护内部网络。 2．考虑特殊的需求 （1）IP地址转换（IP Address Translation） 进行IP地址转换有两个好处：其一是隐藏内部网络真正的IP，这可以使黑客无法直接攻击内部网络，也是要强调防火墙自身安全性问题的主要原因；另一个好处是可以让内部用户使用保留的IP，这对许多IP不足的企业是有益的。 * 8.5 选择防火墙的原则 （2）双重 DNS 当内部网络使用没有注册的IP地址，或是防火墙进行IP转换时，DNS也必须经过转换。因为，同样的一个主机在内部的IP与给予外界的IP将会不同，有的防火墙会提供双重DNS有的则必须在不同主机上各安装一个DNS。 （3）虚拟企业网络（VPN） VPN可以在防火墙与防火墙或移动的Client间对所有网络传输的内容加密，建立一个虚拟通道，让两者间感觉是在同一个网络上，可以安全且不受拘束地互相存取。 * 8.5 选择防火墙的原则 （4）病毒扫描功能 大部分防火墙