网络安全培训课程图文.ppt

**防火墙的主要技术代理服务技术代理服务代理（Proxy）服务技术又称为应用层网关（Applicationgateway)技术，是运行于内部网络与外部网络之间的主机（堡垒主机）之上的一种应用。当用户需要访问代理服务器另一侧主机时，对符合安全规则的连接，代理服务器会代替主机响应，并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后，内部主机同外部主机之间的通信将通过代理程序将相应连接映射来实现。代理服务技术主要优点：代理放火墙的最大好处是透明性。对用户来说，代理服务器提供了一个“用户正在与目标服务器直接打交道”的假象；对目标服务器来说，代理服务器提供了一个“目标服务器正在与用户的主机系统直接打交道”的假象。由于代理机制完全阻断了内部网络与外部网络的直接联系，保证了内部网络拓扑结构等重要信息被限制在代理网关内侧，不会外泄，从而减少了黑客攻击时所需的必要信息。通过代理访问Internet可以隐藏真实IP地址，同时解决合法IP地址不够用的问题。因为Internet见到的只是代理服务器的地址，内部不合法的IP地址可以通过代理访问Internet.用于应用层的过滤规则相对于包过滤路由器来说更容易配置和测试。应用层网关有能力支持可靠的拥护认证并提供详细的注册信息。代理工作在客户机和真实服务器之间，可提供很详细的日志和安全审记功能。代理服务技术的不足：有限的连接：某种代理服务器只能用于某种特定的服务，如FTP服务器提供FTP服务，Telnet服务器提供Telnet服务，所以能提供的服务和可伸缩性是有限的。所以代理服务器主要应用于安防要求较高但网络流量不太大的环境。有限的技术：代理服务器不能为RPC,Talk和其他一些基于通用协议族的服务提供代理。有限的性能：处理性能远不及状态检测高。有限的应用：代理服务器的应用也受到诸多限制。首先是当一项新的应用加入时，如果代理服务程序不予支持，则此应用不能使用。解决的方法之一是自行编制特定服务的代理服务程序，但工作量大，而且技术水平要求很高，一般的应用单位无法完成。**防火墙的用途（优点）利用防火墙保护内部网主要有以下优点：控制对网点的访问和封锁网点信息的泄露防火墙可看作检查点，所有进出的信息都必须穿过它，为网络安全起把关作用，有效地挡住外来的攻击，对进出的数据进行监视，只允许授权的通信通过。保护网络中脆弱的服务。能限制被保护子网的泄露为防止影响一个网段的问题穿过整个网络传播，防火墙可隔离网络的一个网段和另一个网段，从而限制了局部网络安全问题对整个网络的影响。利用防火墙保护内部网主要有以下优点：具有审计作用防火墙能有效地记录Internert网的活动，因为所有传输的信息都必须穿过防火墙，防火墙能帮助记录有关内部网和外部网的互访信息和入侵者的任何企图。能强制安全策略Internet网上的许多服务是不安全的，防火墙是这些服务的“交通警察“，它执行站点的安全策略，仅仅允许”认可“和符合规则的服务通过。此外，防火墙还具有其他优点，如监视网络的安全并产生报警保密性，强化私有权提供加密和解密及便于网络实施密钥管理的能力。**防火墙的弱点虽然网络防火墙在网络安全中起着不可替代的作用，但它不是万能的，有其自身的弱点，主要表现在：防火墙不能防备病毒虽然防火墙扫描所有通过的信息，但扫描多半是针对源与目标地址以及断口号，而并非数据细节，有太多类型的病毒和太多种方法可使病毒在数据中隐藏，防火墙在病毒的防范上是不适用的。防火墙对不通过它的连接无能为力虽然防火墙能有效的控制所有通过它的信息，但对从网络后门及调制解调器拨入的访问则无能为力。防火墙不能防备内部人员的攻击目前防火墙只提供对外部网络用户攻击的防护，对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性。所以如果入侵者来自防火墙的内部，防火墙则无能为力。防火墙限制有用的网络服务防火墙为了提高被保护网络的安全性，限制或关闭了很多有用但存在安全缺陷的网络服务。由于多数网络服务在设计之初根本没有考虑安全性，所以都存在安全问题。防火墙限制这些网络服务等于从一个极端走向了另一个极端。防火墙不能防备新的网络安全问题防火墙是一种被动式的防护手段，只能对现在已知的网络威胁起作用。随着网络攻击手段的不断更新和新的网络应用的出现，不可能靠一次性的防火墙设置来解决永