9章防火墙技术.pptVIP

采用防火墙保护内部网有以下优点。 （1）防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户（如黑客和网络破坏者等）进入内部网。 （2）保护网络中脆弱的服务。 （3）在防火墙上可以很方便地监视网络的安全性，并产生报警。 （4）可以集中安全性。 （5）防火墙可以作为部署（网络地址转换Network Address Translator，NAT）的逻辑地址。 （6）增强必威体育官网网址性和强化私有权。 （7）防火墙是审计和记录Internet使用量的一个最佳地方。 （8）防火墙也可以成为向客户发布信息的地点。 1．用户账号策略 2．用户权限策略 3．信任关系策略 4．包过虑策略 这里主要从以下几个方面来讨论包过滤策略： ? 包过滤控制点； ? 包过滤操作过程； ? 包过滤规则； ? 防止两类不安全设计的措施； ? 对特定协议包的过滤。 （1）包过滤控制点 （2）包过滤操作过程 （3）包过滤规则 （4）防止两类不安全设计的措施 （5）对特定协议包的过滤 5．认证、签名和数据加密策略 6．密钥分配策略 7．审计策略 审计是用来记录如下事件： （1）哪个用户访问哪个对象； （2）用户的访问类型； （3）访问过程是否成功。 2．堡垒主机的选择 （1）选择主机时，应选择一个可以支持多个网络接口同时处于活跃状态，从而能够向内部网用户提供多个网络服务的机器。 （2）建议用户选择较为熟悉的UNIX操作系统作为堡垒主机的操作系统。 （3）选择堡垒主机时，不需要功能过高、速度过快的机器，而是争取做到物尽其用。但是应使堡垒主机的内存和硬盘足够大，以保证足够的信息交换空间。 （4）在网络上，堡垒主机应位于DMZ内没有机密信息流或信息流不太敏感的部分。 （5）在配置堡垒主机的网络服务时，应注意除了不得不提供的基本网络服务（如SMTP，FTP，WAIS，HTTP，NNTP和Gopher）外，应把那些内部网不使用的服务统统关闭。而且应尽量减少堡垒主机上的用户账户数，如果有可能，应禁止一切用户账户。 2．VPN的主要安全协议 SOCK v5、IPSec、PPTP和L2TP四种协议是用在VPN中的几种主要协议。 （1）SOCK v5协议 当SOCK协议同SSL协议配合使用，可作为建立高度安全的VPN的基础。SOCK协议的优势在访问控制，因此适合用于安全性较高的VPN。 9.4.7 其他防火墙技术 除了上面介绍的防火墙技术外，一些新的技术正在防火墙产品中采用，主要有以下几种。 1．加密技术 2．安全审计 3．安全内核 4．身份认证 5．负载平衡（Load Balance） 图9.28 电路级网关 图9.29 Socks服务器 9.4.3 状态检查技术 状态检查技术能在网络层实现所有需要的防火墙能力，它既有包过滤机制的速度和灵活，也有应用级网关安全的优点，它是包过滤器和应用级网关功能的折衷。 图9.30 状态包检查的逻辑流程 ? 能 能 部分 信息处理 能 能 不能 应用的状态 能 部分 不能 传输状态 能 部分 部分 传输的信息 状 态 检 查 代 理 包 过 滤 器 防火墙的能力 表9.3 防火墙技术比较表 状态检查防火墙有如下的优点。 1．高安全性 2．高效性 3．伸缩性和易扩展性 4．针对性 5．应用范围广 9.4.4 地址翻译技术 地址翻译（Network Address Translation，NAT）就是将一个IP地址用另一个IP地址代替。地址翻译主要用在以下两个方面。 （1）网络管理员希望隐藏内部网络的IP地址。 （2）内部网络的IP地址是无效的IP地址。 应用层网关有如下的缺陷。 （1）要为每一种应用定制代理 （2）代理是不透明的 （3）应用层网关不能为基于TCP以外的应用提供很好的提供代理。 地址翻译可以提供一种透明而完善的解决方案。网络管理员可以决定那些内部的IP地址需要隐藏，哪些地址需要映射成为一个对Internet可见的IP地址。 图9.31 地址翻译 图9.32 将内部地址翻译成网关地址 地址翻译可以有多种模式，主要有如下几种。 （1）静态翻译 （2）动态翻译 （3）端口转换 （4）负载平衡翻译 （5）网络冗余翻译 9.4.5 内容检查技术 内容检查技术提供对高层服务协议数据的监控能力，确保用户的安全。包括计算机病毒、恶意的Java Applet和ActiveX的攻击、恶意电子邮件及不健康网页内容的过滤防护。 9.4.6 VPN技术 虚拟专用网被定义为通过一个公共网络（Internet）建立的一个临时的和安全的连接，是一条穿过混乱的公用网络的安全与稳定的隧道，它是对企业内部网的扩展，如图9.35所示。