网络安全+第4讲+防火墙.pptVIP

4、代理服务 代理服务分类：代理服务可分为应用级代理与电路级代理： 应用级代理针对每一个应用都有一个程序，它在应用协议中理解并解释命令。应用级代理的优点为它能解释应用协议从而获得更多的信息，缺点为只适用于单一协议。 电路级代理是在客户和服务器之间不解释应用协议即建立回路。电路级代理的优点在于它能对各种不同的协议提供服务，缺点在于它对因代理而发生的情况几乎不加控制。 第三十页，共六十五页。 4、应用级代理proxy (1) 代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。不允许直接在外部网和内部网之间建立通信。 将所有跨越防火墙的网络通信链路分为两段。 防火墙内外计算机系统间应用层的“ 链接”，由两个终止代理服务器上的“ 链接”来实现 外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。 代理企图在应用层实现防火墙的功能，代理的主要特点就是有状态性。 第三十一页，共六十五页。 第三十二页，共六十五页。 第三十三页，共六十五页。 4、应用级代理proxy (2) Telnet代理服务器 第三十四页，共六十五页。 4、应用级代理proxy (4) ）应用层代理的优点 应用层代理能够让网络管理员对服务进行全面的控制，因为代理应用限制了命令集并决定哪些内部主机可以被该服务访问。 网络管理员可以完全控制提供那些服务，因为没有特定服务的代理就表示该服务不提供。 第三十五页，共六十五页。 防火墙可以被配置成唯一的可被外部看见的主机，这样可以保护内部主机免受外部主机的进攻。 应用层代理有能力支持可靠的用户认证并提供详细的注册信息。另外，用于应用层的过滤规则相对于包过滤防火墙来说更容易配置和测试。 代理工作在客户机和真实服务器之间，完全控制会话，所以可以提供很详细的日志和安全审计功能。 第三十六页，共六十五页。 应用层代理的最大缺点是要求用户改变自己的行为，或者在访问代理服务的每个系统上安装特殊的软件。比如，透过应用层代理Telnet访问要求用户通过两步而不是一步来建立连接。不过，特殊的端系统软件可以让用户在Telnet命令中指定目标主机而不是应用层代理来使应用层代理透明。 每个应用程序都必须有一个代理服务程序来进行安全控制，每一种应用升级时，一般代理服务程序也要升级。 4、应用级代理proxy (5)应用层代理的缺点 第三十七页，共六十五页。 4、电路级代理 （1） 电路级网关不允许端到端的TCP连接。网关建立两个TCP连接，一个是在网关本身和内部主机上的一个TCP用户之间，一个是在网关和外部主机上的一个TCP用户之间。一旦两个连接建立起来，网关从一个连接向另一个连接转发TCP报文段，而不检查其内容。 第三十八页，共六十五页。 4、电路级代理 （2） 电路级网关的典型应用场合是系统管理员信任内部用户的情况。网关可以配置成在进入连接上支持应用级代理服务，为输出连接支持电路级功能。在这种配置中，网关可能为了禁止功能而导致检查进入的应用数据的处理开支，但不会导致输出数据上的处理开支。 第三十九页，共六十五页。 5、状态检测技术（1） 状态检测的特点是监测一个有效连接的状态，在抓获信息包后对其进行分析并将数据包的状态信息与前一时刻的状态进行比较，在此基础上决定是否允许该数据包通过或丢弃。 第四十页，共六十五页。 5、全状态检查（2）状态检测的优缺点 优点： 一旦某个访问违反安全规定，就会拒绝该访问，并报告有关状态作日志记录。 具有一定的智能化 缺点： 降低网络速度 配置比较复杂 不能根据实际传输的数据内容进行判断 第四十一页，共六十五页。 三、防火墙体系结构 1、双重宿主主机体系结构 2、屏蔽主机体系结构 3、屏蔽子网体系结构 4、其它的防火墙结构 第四十二页，共六十五页。 1、双重宿主主机体系结构（1） 双重宿主主机体系结构是围绕双重宿主主机构筑的。 双重宿主主机至少有两个网络接口，它位于内部网络和外部网络之间，这样的主机可以充当与这些接口相连的网络之间的路由器，它能从一个网络接收IP数据包并将之发往另一网络。然而实现双重宿主主机的防火墙体系结构禁止这种发送功能，完全阻止了内外网络之间的IP通信。 第四十三页，共六十五页。 双重宿主主机可以有两种方式提供服务，一种是用户直接登录到双重宿主主机上，另外一种是在双重宿主主机上运行代理服务器。 前一种情况，由于需要在在双重宿主主机上开设很多账号，管理起来很麻烦，而且也很危险。 第四十四页，共六十五页。 Internet 防火墙 双重宿主主机 内部网络 …… 双重宿主主机体系结构 第四十五页，共六十五页。 1、双重宿主主机体系结构（2） 双重宿主主机的特性：