防火墙安全评估准则方法技巧.pptVIP

第12章 防火墙安全评估准则 ;防火墙安全评估准则; 目前市场上销售的防火墙都具备用户认证功能，但传统的防火墙的用户认证技术尚存在如下不足： 在应用代理（网关）一级的认证技术必须与应用服务相关，也就是必须针对不同的应用（如HTTP,FTP等）进行定制。如果用户有一种新的应用服务需要进行认证，则必须开发相对应的认证模块嵌进去;此外，当用户使用不同的网络服务时，需要分别进行认证，即存在多次认证的问题，使用户使用不便，因此，当存在大量的应用时，防火墙具有较大的局限性。 包过滤功能与应用代理功能的网络性能相差非常大。当用户需要用户认证模块，而用户认证模块必须在应用代理基础上实现时，会极大地影响网络性能。因此，当用户在强调网络性能的情况下需要用户认证功能时，防火墙受到较大的限制。 在对用户做计费统计时，如果在应用网关一级做统计，往往只能对某些特定的网络服务类型来做统计，而不能统计该用户使用的所有服务的流量以及时间，这样，统计的准确性和有效性将大打折扣。 针对上述用户认证技术存在的不足，防火墙新增了网络层用户认证功能，以解决用户应用上存在的问题。 防火墙的网络层用户认证系统，解决了在应用代理一级做认证存在的只能为有限的服务提供认证功能、包处理的效率低和计费（流量或时间）的局限性。它采用在链路层和网络层的用户认证技