第12章防火墙-精品·公开课件.ppt

3、代理服务器（4）应用层代理的优点 应用层代理能够让网络管理员对服务进行全面的控制，因为代理应用限制了命令集并决定哪些内部主机可以被该服务访问。 网络管理员可以完全控制提供那些服务，因为没有特定服务的代理就表示该服务不提供。 防火墙可以被配置成唯一的可被外部看见的主机，这样可以保护内部主机免受外部主机的进攻。 应用层代理有能力支持可靠的用户认证并提供详细的注册信息。另外，用于应用层的过滤规则相对于包过滤防火墙来说更容易配置和测试。 代理工作在客户机和真实服务器之间，完全控制会话，所以可以提供很详细的日志和安全审计功能。 4、全状态检查（1） 状态检测技术：在包过滤的同时，检察数据包之间的关联性，数据包中动态变化的状态码。 监测引擎：一个在网关上执行网络安全策略的软件模块 。 监测引擎采用抽取有关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态地保存起来作为以后执行安全策略的参考。 当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。 4、全状态检查（2）状态检测的优缺点 优点： 一旦某个访问违反安全规定，就会拒绝该访问，并报告有关状态作日志记录。 它会监测无连接状态的远程过程调用（RPC）和用户数据报（UDP）之类的端口信息。 缺点： 降低网络速度 配置比较复杂 三、防火墙体系结构 1、双重宿主主机体系结构 2、屏蔽主机体系结构 3、屏蔽子网体系结构 4、其它的防火墙结构 1、双重宿主主机体系结构（1） 双重宿主主机体系结构是围绕双重宿主主机构筑的。 双重宿主主机至少有两个网络接口，它位于内部网络和外部网络之间，这样的主机可以充当与这些接口相连的网络之间的路由器，它能从一个网络接收IP数据包并将之发往另一网络。然而实现双重宿主主机的防火墙体系结构禁止这种发送功能，完全阻止了内外网络之间的IP通信。 两个网络之间的通信可通过应用层数据共享和应用层代理服务的方法实现。一般情况下采用代理服务的方法。 Internet 防火墙 双重宿主主机 内部网络 …… 双重宿主主机体系结构 1、双重宿主主机体系结构（2） 1、双重宿主主机体系结构（3） 双重宿主主机的特性： 安全至关重要（唯一通道），其用户口令控制安全是关键。 必须支持很多用户的访问（中转站），其性能非常重要。 缺点：双重宿主主机是隔开内外网络的唯一屏障，一旦它被入侵，内部网络便向入侵者敞开大门。 2、屏蔽主机体系结构（1） 屏蔽主机体系结构由防火墙和内部网络的堡垒主机承担安全责任。一般这种防火墙较简单，可能就是简单的路由器。 典型构成：包过滤路由器＋堡垒主机。 包过滤路由器配置在内部网和外部网之间，保证外部系统对内部网络的操作只能经过堡垒主机。 堡垒主机配置在内部网络上，是外部网络主机连接到内部网络主机的桥梁，它需要拥有高等级的安全。 2、屏蔽主机体系结构（2） 屏蔽路由器可按如下规则之一进行配置： 允许内部主机为了某些服务请求与外部网上的主机建立直接连接（即允许那些经过过滤的服务）。 不允许所有来自外部主机的直接连接。 安全性更高，双重保护：实现了网络层安全（包过滤）和应用层安全（代理服务）。 缺点：过滤路由器能否正确配置是安全与否的关键。如果路由器被损害，堡垒主机将被穿过，整个网络对侵袭者是开放的。 …… 因特网 2、屏蔽主机体系结构（3） 3、屏蔽子网体系结构（1） 屏蔽子网体系结构在本质上与屏蔽主机体系结构一样，但添加了额外的一层保护体系——周边网络。堡垒主机位于周边网络上，周边网络和内部网络被内部路由器分开。 原因：堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机，能减少在堡垒主机被侵入的影响。 Internet 周边网络 内部网络 …… 外部路由器 堡垒主机 内部路由器 屏蔽子网体系结构 3、屏蔽子网体系结构（2） 3、屏蔽子网体系结构（3） 周边网络是一个防护层，在其上可放置一些信息服务器，它们是牺牲主机，可能会受到攻击，因此又被称为非军事区（DMZ）。 周边网络的作用：即使堡垒主机被入侵者控制，它仍可消除对内部网的侦听。例: netxray等的工作原理。 3、屏蔽子网体系结构（4） 堡垒主机 堡垒主机位于周边网络，是整个防御体系的核心。 堡垒主机可被认为是应用层网关，可以运行各种代理服务程序。 对于出站服务不一定要求所有的服务经过堡垒主机代理，但对于入站服务应要求所有服务都通过堡垒主机。 3、屏蔽子网体系结构（5） 外部路由器（访问路由器） 作用：保护周边网络和内部网络不受外部网络的侵犯。 它把入站的数据包路由到堡垒主机。 防止部分IP欺骗，它可分辨出数据包是否真正来自周边网络，而内部路由器不可。 内部路由器（阻塞路由器