网络安全P126.pptVIP

小 结 网络管理 网络安全 *密码学 防火墙 代理服务 网络病毒的防治 /sundae_meng * * * * * 包过滤的优点 简单、易于实现、对用户透明、路由器免费提供此功能。 仅用一个放置在内部网与因特网边界上的包过滤路由器就可保护整个内部网络。 /sundae_meng 包过滤的缺点 编制逻辑上严密无漏洞的包过滤规则比较困难，对编制好的规则进行测试维护也较麻烦。 维护复杂的包过滤规则也是一件很麻烦的事情 包过滤规则的判别会降低路由器的转发速度 对包中的应用数据无法过滤 它总是假定包头部信息是合法有效的。 以上这些缺点使得包过滤技术通常不单独使用，而是作为其他安全技术的一种补充。 /sundae_meng 包过滤规则 在配置包过滤路由器时，首先要确定哪些服务允许通过而哪些服务应被拒绝，并将这些规定翻译成有关的包过滤规则（在路由器中，包过滤规则又被称为访问控制表（Access List））。 下面给出将有关服务翻译成包过滤规则时非常重要的几个概念。 协议的双向性 “往内”与“往外”的含义 “默认允许”与“默认拒绝” /sundae_meng 包过滤处理流程 /sundae_meng 包过滤规则设计示例 假设网络策略安全规则确定：从外部主机发来的因特网邮件由特定网关“Mail-GW”接收，并且要拒绝从不信任的主机“CREE-PHOST”发来的数据流。在这个例子中，SMTP使用的网络安全策略必须翻译成包过滤规则。为便于理解，把网络安全规则翻译成下列中文形式： [过滤器规则1]：不相信从CREE-PHOST来的连接。 [过滤器规则2]：允许与邮件网关Mail-GW的连接。 /sundae_meng 以上规则被编成如下表的形式。其中星号（*）表明它可以匹配该列的任何值。 这些规则应用的顺序与它们在表中的顺序相同。如果一个包不与任何规则匹配，它就会遭到拒绝。 序号 动作 内部主机 内 外部主机 外 说明 1 阻塞 * * Cree-phost * 阻塞来自Cree-phost的流量 2 允许 Mail-GW 25 * * 允许邮件网关Mail-GW的连接 3 允许 * * * 25 允许输出SMTP至远程邮件网关 /sundae_meng 状态监测型防火墙 采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。 采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。 /sundae_meng 应用代理型防火墙 应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。 代理服务就是指定一台有访问因特网能力的主机作为网络中客户端的代理去与因特网中的主机进行通信。 /sundae_meng 代理服务器的工作 代理服务器判断从客户端来的请求并决定哪些请求允许传送而哪些应被拒绝。当某个请求被允许时，代理服务器就代表客户与真正的服务器进行交谈，并将从客户端来的请求传送给真实服务器，将真实服务器的回答传送给客户。 /sundae_meng 代理的工作过程 /sundae_meng 代理型防火墙版本 第一代：应用网关型代理防火 第二代：自适应代理防火墙。 /sundae_meng 代理类型防火墙优缺点 优点： 安全 避免了入侵者使用数据驱动类型的攻击方式入侵内部网 缺点： 速度相对比较慢 /sundae_meng 代理服务器特殊类型 应用级与电路级代理 公共与专用代理服务器 智能代理服务器 /sundae_meng 防火墙的应用 因特网应用的代理特点 选择防火墙的原则 /sundae_meng 电子邮件（E-mail）的代理特点 一个服务器，用来向外部主机发送邮件或从外部主机接收邮件。 发信代理，用于将邮件正确地放入本地主机邮箱中。 用户代理，用于让收信人阅读邮件并编排出站邮件。 /sundae_meng 简单邮件传输协议（SMTP）的代理特点 由于任何一个SMTP服务器都有可能为其它站点进行邮件转发，因而很少将它设置成一个单独的代理。大多数站点将输入的SMTP连接到一台安全运行SMTP服务的堡垒主机上，该堡垒主机就是一个代理。 /sundae_meng 邮局协议（POP）的代理特点 邮局协议（POP）对于代理系统来说非常简单，因为它采用单个连接。内置的支持代理的POP客户程序还很少，主要原因是POP多用于局域网，而很少用于因特网。 /sundae_meng 文件传输FTP 两个端口 反向方式 /sundae_meng 远程登录（Telnet）、存储转发协议（NNTP）、超文本传输协议（HTTP）都可以很好的支持代理的方案。 /sundae_me