网络安全原理与应用（第三版）课件 第6章 防火墙.ppt

*****中介*2．代理的优点（1）代理易于配置。因为代理是一个软件，所以它比过滤路由器容易配置，配置界面十分友好。如果代理实现得好，对配置协议要求较低，从而避免配置错误。（2）代理能生成各项记录。因代理在应用层检查各项数据，所以可以按一定准则，让代理生成各项日志、记录。这些日志、记录对于流量分析、安全检验是十分重要和宝贵的。（3）代理能灵活、完全地控制进出信息。通过采取一定的措施，按照一定的规则，通过借助代理可以实现一整套的安全策略，控制进出的信息。（4）代理能过滤数据内容。可以把一些过滤规则应用于代理，让它在应用层实现过滤功能。*3．代理的缺点（1）代理速度比路由器慢。路由器只是简单察看包头信息，不作详细分析、记录。而代理工作于应用层，要检查数据包的内容，按特定的应用协议对数据包内容进行审查、扫描，并进行代理（转发请求或响应），故其速度比路由器慢。（2）代理对用户不透明。许多代理要求客户端作相应改动或定制，这给用户增加了不透明度。为内部网络的每一台主机安装和配置特定的客户端软件既耗费时间，又容易出错。（3）对于每项服务，代理可能要求不同的服务器。可能需要为每项协议设置一个不同的代理服务器，挑选、安装和配置所有这些不同的服务器的工作量很大。（4）代理服务通常要求对客户或过程进行限制。除了一些为代理而设的服务，代理服务器要求对客户或过程进行限制，每一种限制都有不足之处，人们无法按他们自己的步骤工作。由于这些限制，代理应用就不能像非代理应用运行得那样好，相比之下要缺少一些灵活性。（5）代理服务受协议弱点的限制。每个应用层协议，都或多或少存在一些安全问题，对于一个代理服务器来说，要彻底避免这些安全隐患几乎是不可能的，除非关掉这些服务。（6）代理不能改进底层协议的安全性。因为代理工作于应用层，所以它不能改善底层通信协议的安全性。*中介**中介*状态检测（StatefulInspection）防火墙评估网络流量的状态或上下文。通过检查源和目的地址、应用程序使用情况、来源以及当前数据包与同一会话的先前数据包之间的关系，状态检测防火墙能为授权用户和活动授予更广泛的访问权限，并主动监视和阻止未经授权的用户和活动，被称为第三代防火墙。在基于状态检测防火墙中有两张表：规则表和状态表（即会话表）。规则表包括源地址、目的地址、源端口、目的端口、协议类型、数据流向等信息。状态表包括源地址、目的地址、源端口、目的端口、协议类型、本次连接状态、TCP包序列号、该次连接超时值、连接以通过数据包个数等信息。7.2.3状态检测技术7.2.3状态检测技术状态检测防火墙的工作过程：是否匹配状态表的会话规则表是否允许通过数据包解析数据包转发数据包丢弃建立新的状态表项是是否否7.2.3状态检测技术7.2.4统一威胁管理（UTM）统一威胁管理(UTM)是指将多种安全功能或服务整合到网络上的单一设备中。包括反病毒、内容过滤、电子邮件过滤、网页过滤、反垃圾邮件等。UTM使组织可以将其IT安全服务整合到一台设备中，通过单一管理平台监控所有威胁和安全相关活动，可以更全面了解安全所有要素，简化网络保护。7.2.4统一威胁管理（UTM）反病毒：监控网络，检测并阻止病毒损害系统或与系统连接的设备。反恶意软件：UTM可以预先配置为检测已知恶意软件，UTM还可以使用启发式分析来检测新型恶意软件威胁防火墙：同时检查进出网络的数据，确定是否存网络安全威胁，并限制威胁的传播。入侵防御：分析数据包，查找已知的威胁模式，阻止攻击；记录恶意事件。虚拟专用网络：在公用网络上建立加密的通道，虚拟专用网络，避免自己的数据被别人看到。网页过滤：阻止用户的浏览器加载某此网站的页面预防数据丢失:检测并防御数据泄露和数据窃取攻击7.2.4统一威胁管理（UTM）UTM的优点灵活性和适应性：可以自由部署多种安全技术；自动更新可应对网络环境中的最新威胁集中式集成和管理：同一个管理控制台整合并控制一切，可以同时监控会影响多个网络组件的多种威胁性价比高：减少了组织保护网络所需的设备数量，减少人力成本和设备成本有利于提高对网络安全威胁的认识：可以更好地管理高级持续性威胁(APT)以及网络环境中的其他新型风险。7.2.5下一代防火墙（NGFW）涵盖了防火墙（FW）、入侵检测系统（IDS）、入侵防御系统（IPS）、杀毒软件（AV）、Web应用防火墙（WAF）的功能。与UTM相比，NGFW增加的web应用防护功能，功能更全；采用并行处理机制，效率更高NGFW的性能更强，管理更高效。NGFW包括传统的数据数据包过滤、状态检查、VPN流量识别，除此之外，NGFW还使