ch4-防火墙技术.pptVIP

传统代理型防火墙； 核心技术就是代理服务器技术； 基于软件实现，通常安装在专用工作站系统上； 参与到一个TCP连接的全过程； 在网络应用层上建立协议过滤和转发功能； 优点就是安全，是内部网与外部网的隔离点； 最大缺点就是速度相对比较慢。 应用层网关型防火墙 电路层网关防火墙 通过电路层网关中继TCP连接 一般采用自适应代理技术 有两个基本要素： 自适应代理服务器（Adaptive Proxy Server） 动态包过滤器（Dynamic Packet Filter） 电路层网关防火墙 代理技术的优点 （1）代理易于配置 （2）代理能生成各项记录 （3）代理能灵活、完全地控制进出流量、内容 （4）代理能过滤数据内容 （5）代理能为用户提供透明的加密机制 （6）代理可以方便地与其他安全手段集成 代理技术的缺点: （1）代理速度较路由器慢； （2）代理对用户不透明； （3）对于每项服务代理可能要求不同的服务器； （4）代理服务不能保证免受所有协议弱点的限制； （5）代理不能改进底层协议的安全性。 4.3.3 状态检测技术 基于状态检测技术的防火墙是由Check Point软件技术有限公司率先提出的，也称为动态包过滤防火墙。基于状态检测技术的防火墙通过一个在网关处执行网络安全策略的检测引擎而获得非常好的安全特性。 检测引擎维护一个动态的状态信息表并对后续的数据包进行检查，一旦发现某个连接的参数有意外变化，则立即将其终止。 状态检测技术的工作原理 状态检测防火墙监视和跟踪每一个有效连接的状态，并根据这些信息决定是否允许网络数据包通过防火墙。 状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。 状态检测防火墙可提供的额外服务 状态检测防火墙可提供的额外服务如下： 将某些类型的连接重定向到审核服务中去。例如，到专用Web服务器的连接，在Web服务器连接被允许之前，可能被发到审核服务器（用一次性口令来使用）。 拒绝携带某些数据的网络通信，如带有附加可执行程序的传入电子消息，或包含ActiveX程序的Web页面。 状态检测技术跟踪连接状态的方式 （1）TCP包 通常情况下，防火墙丢弃所有外部的连接企图，除非已经建立起某条特定规则来处理它们。对内部主机试图连到外部主机的数据包，防火墙标记该连接包，允许响应及随后在两个系统之间的数据包通过，直到连接结束为止。在这种方式下，传入的包只有在它是响应一个已建立的连接时，才会被允许通过。 （2）UDP包 对传入的包，若它所使用的地址和UDP包携带的协议与传出的连接请求匹配，该包就被允许通过。传入的UDP包不允许通过，除非它是响应传出的请求或已经建立了指定的规则来处理它。防火墙仔细地跟踪传出的请求，记录下所使用的地址、协议和包的类型，然后对照保存过的信息核对传入的包，以确保这些包是被请求的。 对其他种类的包，情况和UDP包类似。 状态检测技术的特点 状态检测防火墙结合了包过滤防火墙和代理服务器防火墙的长处，能够根据协议、端口，以及源地址、目的地址的具体情况决定数据包是否允许通过。 状态检测防火墙具有如下优点： （1）高安全性 （2）高效性 （3）可伸缩性和易扩展性 （4）应用范围广 状态检测防火墙的不足主要体现在对大量状态信息的处理过程可能会造成网络连接的迟滞。 4.3.4 NAT技术 网络地址转换（Network Address Translation，NAT），它是一个Internet工程任务组（Internet Engineering Task Force, IETF）的标准，允许一个整体机构以一个公用IP地址出现在互联网上。顾名思义，它是一种把内部私有IP地址翻译成合法网络IP地址的技术。 NAT技术的工作原理 NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通信时，就在网关处将内部地址替换成公用地址，从而在外部公网上正常使用，NAT可以使多台计算机共享互联网连接，这一功能很好地解决了公共IP地址紧缺的问题。 NAT屏蔽了内部网络，所有内部网络计算机对于公共网络来说是不可见的，而内部网络计算机用户通常不会意识到NAT的存在。 NAT技术的类型 NAT有三种类型： 静态NAT（Static NAT） 动态地址NAT（Pooled NAT） 网络地址端口转换NAPT（Port-Level NAT）。 NAT技术的特点 NAT技术的优点： 所有内部的IP地址对外面来说是隐蔽的。 可以使整个内部网络共享一个IP地址。 可以启用基本的包过滤防火墙安全机制。 4.4 防火墙的安全防护技术 从设计到配置再到维护都做得很好的防火墙几乎是