第5章防火墙技术汇编..pptVIP

（四）?禁用HTTP代理登录 (1) QQ使用8080端口。 没有允许规则的协议就不能外出，比如我们不创建允许TCP?8080端口开放的协议规则，这样QQ就不能使用那些端口为8080的HTTP代理服务器。 (2)QQ使用80端口的代理服务器。 我们不可能不允许对80端口的访问。使用HTTP代理服务的数据包有一个很明显的特征就是通常都会使用connect方法，这样只要禁止使用connect方法的HTTP协议数据包通过就行了，要检查HTTP数据包，此时就需要应用程序过滤器来工作了，在ISA?Server?2004中已经有了相应的Web?filter，你可以配置Block掉使用connect方法的HTTP数据包，方法是： (１) 右击相应规则，选择“configure?HTTP”； (２) 切换到“Methods”标签，选择“Block?specified?methods(allow?all?others)”项，然后点击“Add”按钮；  (3)在窗口的“method”中输入connect即可。如图。 5.3.3 目的端口映射 5.3.4 防Flood攻击 Hacker ICMP Flood UDP Flood TCP Flood 目标网络 基于数据流的防范 基于数据包的防范 当源主机在1秒内发起的连接数达到门限值时，在该秒内的剩余时段和下一秒中，丢弃该源主机发起的同类连接 当源主机在1秒内发出的数据包达到门限值时，在该秒内的剩余时段和下一秒中，丢弃该源主机发出的同类数据 5.4.1 入侵检测概述 入侵检测（Intrusion Detection ）：对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性 入侵行为能够被迅速检测出来并驱逐出去 进行入侵检测的软件与硬件的组合便是入侵检测系统（IDS， Intrusion Detection System ） 5.4 入侵检测技术 异常检测模型：首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。 误用检测模型：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。 5.4.2 入侵检测系统分类 * 产品上市越快企业获利越多。德国的经验是，产品比竞争对 手晚一年上市，则必定无利可图。 * 产品上市越快企业获利越多。德国的经验是，产品比竞争对 手晚一年上市，则必定无利可图。 2. 应用代理防火墙 代理服务器工作原理 应用代理型防火墙(Application Proxy) 是工作在OSI的最高层，即应用层。 2. 应用代理防火墙 应用代理防火墙的优点： 理解应用的具体内容; 防止对外网暴露内网; 安全性比包过滤防火墙高; 应用代理防火墙的缺点： 相对而言,速度较低; 每一种应用都需要特定的代理; 5.2.3 防火墙的体系结构 防火墙的体系结构一般有以下几种: 1）双重宿主主机体系结构。 2）屏蔽主机体系结构。 3）屏蔽子网体系结构。 1、 双宿/多宿主机体系结构 双宿/多宿主机：有两个或多个网络接口的计算机系统，可以连接多个网络，实现多个网络之间的访问控制 双宿/多宿主机防火墙：用双宿/多宿主机实现防火墙的功能 5.2.3 防火墙的体系结构 2.屏蔽主机体系结构 专门设置一个过滤路由器，把所有外部到内部的连接都路由到堡垒主机上，强迫所有的外部主机与一个堡垒主机相连，而不让它们直接与内部主机相连 屏蔽主机体系结构防火墙使用一个路由器把内部网络和外部网络隔离开，堡垒主机是 Internet 上的主机能连接到的惟一的内部网络上的系统。任何外部的系统要访问内部的系统或服务都必须先连接到这台主机。 同样内部网也只有堡垒主机可以连接 Internet。 3 屏蔽子网体系结构 本质上同屏蔽主机防火墙一样，但增加了一层保护体系——非军事区(DMZ)。堡垒主机位于非军事区上，非军事区和内部网络被内部屏蔽路由器分开 5.3 防火墙应用举例 5.3.1 ISA Server 2004的安装 5.3.1 ISA Server 2004的安装 2）ISA Server 2004的安装界面 5.3.1 ISA Server 2004的安装 3）选择典型安装 5.3.1 ISA Server 2004的安装 4）指定内部网络地址 5.3.1 ISA Server 2004的安装 4）指定内部网络地址 5.3.1 ISA S