计算机系统安全课件 第8章 防火墙技术.pptVIP

3．服务访问策略 允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务；允许内部用户访问指定的Internet主机和服务。 4．防火墙设计策略 允许任何服务除非被明确禁止；禁止任何服务除非被明确允许。第一种的特点是好用但不安全，第二种是安全但不好用，通常采用第二种类型的设计策略。而多数防火墙都在两种之间采取折衷。 返回本节 Windows 2000下防火墙及NAT的实现 通过网络地址转换把内部地址转换成统一的外部地址，避免了使用代理服务所引起的账号安全问题和代理服务端口被利用的危险。同时为了避免各种代理服务端口探测和其他各种常用服务端口的探测，可以启用Microsoft Proxy Server的动态包过滤功能和IP分段过滤，达到端口隐形的效果。 返回本节 案例环境 假定有一台Web服务器（WWW），地址为0，其完整域名为：，对应解析的IP地址为0，，在其上装有两块网卡，命名为本地连接1和本地连接2，它们的IP地址分别为：和。 Windows 2000 NAT网络地址转换的实现 （1）路由和远程访问服务 （2）网络地址转换的实现:静态路由、网络地址转换、地址和特殊端口、IP地址欺骗过滤。 地址和特殊端口配置 内部地址欺骗过滤配置 外部地址欺骗过滤配置 MS Proxy Server动态包过滤和反向代理 Proxy Server功能的配置界面如图所示。 （1）MS Proxy Server动态过滤记录文件的详细说明如表所示。 （2）MS Proxy Server动态包过滤的实现如下表所示。 　Proxy Server功能的配置界面 一条记录条目的说明 　动态包过滤规则 返回本节 1．什么是防火墙？它的基本功能是什么？ 2．防火墙的基本类型有哪几种？试比较包过滤技术和代理服务技术的区别。 3．防火墙的基本体系结构有哪几种？试分析它们各自的构成原理和优缺点。 4．将堡垒主机与内部路由器合并，为什么会损害防火墙系统的安全性？试分析使用多个内部路由器会引发什么问题。 5．为什么要使用联合防火墙？ 6．防火墙有哪些局限性？ 7．怎样选择合适的防火墙？ （2）透明性是其优点。在用户端用户感觉是直接与外部服务器连接，而在服务器端外部服务器是之间面对代理服务器上的用户的。 如果内外部主机之间能够通过其他通信链路直接互相通信的话，用户可能绕过代理服务器，起不到保护作用。 返回本节 代理服务器依据一定的安全规则来评测代理客户的网络服务请求，然后决定是支持还是否决该请求。 在一些代理服务系统中，用户只需要设置一定的普通客户的特定工作步骤而不用再安装客户端的代理服务程序。 代理服务是一种软件防火墙的解决方案，不是防火墙的完整结构。 返回本节 常用代理服务器软件SYGATE，WINGATE 演示() 只要局域网内有一台机器能够上网，其他机器就可以通过这台机器上安装的CCProxy来代理共享上网，最大程度的减少了硬件费用和上网费用。只需要在服务器上CCProxy代理服务器软件里进行帐号设置，就可以方便的管理客户端代理上网的权限。在提高员工工作效率和企业信息安全管理方面，CCProxy充当了重要的角色。 在线代理（等） 翻墙：我们直接或者通过一定的手段浏览境外的网页。 翻墙软件： 一些外国网站由于一些特殊的原因往往被屏蔽掉了，我们不能通过通用浏览器打开，这就需要一些特定的软件来打开，使我们能够正常浏览境外的网页，大家可以使用网页代理直接去浏览。 3．多种技术的混合使用 在实际应用中要根据提供给客户的服务种类和安全保护级别，分析由此产生的各类问题，然后混合使用多种技术方可保障网络安全。 返回本节 1．多级的过滤技术 (1) 分组过滤一级，能过滤掉所有非法的源路由（Source Router）分组和IP源地址； (2) 应用网关一级，能利用FTP、SMTP等各种网关，控制和检测Internet提供的所有通用服务； (3) 电路网关一级，实现内部主机与外部站点的透明连接，并对服务进行严格的控制。 返回本节 2．审计和报警机制 审计是一种重要的安全措施，用以监控通信行为和完善安全策略，检查安全漏洞和错误配置，并对入侵者起到一定的威慑作用。 报警机制是在通信违反相关策略以后，以多种方式如声音、邮件、电话、手机短信息等形式及时报告给管理人员。 3．网络地址转换NAT（Network Address Translation） (1) 可解决地址与外网的IP地址相互转换； (2) 解决IP地址空间不足的问题。 使用NAT以后，可以使用很少的外部实地址，而内部可以采用大量的虚地址（如10.X.X.X），从而减缓了IP地址紧张