第五章防火墙原与设计.pptVIP

在路由器上实现包过滤，则费用非常小。 在流量适中并定义较少过滤器时，对路由器的性能几乎没有影响 包过滤路由器对用户和应用来讲是透明的，易于维护。 定义数据包过滤器会比较复杂。 任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险。 随着过滤器数目的增加，路由器的吞吐量会下降。 包过滤器可能无法对网络上流动的信息提供全面的控制。 对于采用动态分配端口的服务。 通常包过滤器只按规则丢弃数据包，而不使用记录和用户报告，不具备审计功能，使得管理员不能从访问记录中发现黑客的攻击记录。 代理服务是运行在防火墙主机上的专门的应用程序，它位于内部网络上的用户和外部网上的服务之间，内部用户和外部网服务彼此不能直接通信，只能分别与代理打交道。代理负责接收外部网服务请求，再把它们转发到具体的服务中。 代理服务防火墙可以配置成允许来自内部网络的任何连接，它也可以配置成要求用户认证后才建立连接，为安全性提供了额外的保证，使得从内部发动攻击的可能性大大减少。 例如，一个公司决定将一个Telnet服务器作为主机，以使得远程的管理员能够对其执行某些特定的操作。它代理一个连接过程如下： 1．有一个用户通过23端口Telnet到这个代理服务器上。屏蔽设备检测这个连接的源IP地址是否在允许的源地址列表中。如果在的话，就对该连接进行下一步的处理；如果不在的话，则拒绝该次连接。 2．提示用户进行身份验证。 3．在通过了身份验证后，系统就会提示用户给用户一个系统菜单来允许用户连接到目的主机。 4．用户选择要连接的系统。 5．如果有要求，系统会提示用户再输入另外的身份验证信息。 在硬件结构上，代理服务器可采用双宿堡垒主机、屏蔽主机、屏蔽子网三种体系结构，运行防火墙软件的主机称为堡垒主机，它的作用是转发应用、提供服务、监督通信。 1、双宿主机 2、屏蔽主机 3、屏蔽子网结构 在软件结构上，代理服务器工作在应用层上，应用网关系统对网络用户运行的各个应用都使用特殊目的代码，需要特殊的应用软件。 因特网上的主要服务功能有以下几种： 1、电子邮件 电子邮件系统由三个部分组成： 一个服务器，用来向外部主机发送邮件或从外部主机接收邮件。 发信代理，用于将邮件正确地放入本地主机邮箱中。 用户代理，用于让收信人阅读邮件并编排出站邮件。 电子邮件由于各种不同原因，每一部分都是脆弱的、易于被侵入的。 2、简单邮件传输协议（SMTP）代理 因为SMTP是一个存储转发协议，所以它特别适合于进行代理。 3、邮局协议（POP）的代理 邮局协议（POP）对于代理系统来说是非常简单的，因为它采用单个连接。 4、文件传输FTP FTP用来从一台机器传送文件到另一台机器上。使用FTP可以传送任何类型的文件， 有两种类型的FTP访问，即有名FTP和匿名FTP。 FTP使用两个独立的FTP连接，一个在服务器和客户程序之间传递命令和结果（通常称为命令通道）；另一个用来传送真实的文件和目录列表（通常称为数据通道）。 5、远程登录（Telnet） 代理系统能够很好地支持Telnet。 6、存储转发协议（NNTP） NNTP是一个存储转发的协议，有能力进行自己的代理。它作为一个简单的单个连接协议很容易实现代理。 7、万维网（WWW） 各种HTTP客户程序（如 Netscape Navigator或因特网 Explorer等）都支持代理方案。 8、域名服务（DNS） DNS具有这样的结构：可以使服务器充当客户程序的代理。利用DNS能够转发自身的特点，可以使一个DNS服务器成为另一个DNS服务器的代理。 电路层网关的运行方式与代理服务器相似，它把数据包提交给应用层过滤，并只依赖于TCP的连接。它遵循SOCKS 协议，即电路层网关的标准。它是在网络的传输层实施访问策略，是在内部网和外部网之间建立一个虚拟电路进行通信。 电路层网关的工作过程如下： 1．假设有一个用户正在试图和一个目的URL进行连接。 2．该用户所使用的客户应用程序是将请求发到地址已被解析的代理服务器的内部接口上。 3．如果需要身份验证的话，网关就会提示用户进行身份验证。 4．如果用户通过了身份验证的话，代理服务器就会执行一些另外的任务，然后代理服务器为目的URL发出一个DNS请求，接着它再用自己的源IP地址和目的IP地址建立一个连接。 5．代理服务器将Web服务器上的应答转发给客户。 状态检测技术是包过滤技术的延伸，使用各种状态表（state tables）来追踪活跃的TCP会话。由用户定义的访问控制列表（ACL）决定允许建立哪些会话（session），只有与活跃会话相关联的数据才能穿过防火墙。 状态检测技术防火墙的工作过程如下： 1．防火墙