07网络信息安全技术第7章.ppt

为了使用应用层网关，用户必须登录到应用程序网关的机器上，或者在每一台将使用特定服务的主机上实施指定的代理应用程序服务。每一个应用程序的网关模块应具有自己的一套管理工具和命令语言。  应用层网关的缺点是，用户经常为每个应用程序而写程序。 但是从安全角度来看，这也是一个优点，因为无法进入防火墙， 除非能提供非常明确的应用层网关。 用户的应用程序相当于一个代理，它不仅能接收进来的呼叫而且还能对呼叫进行检查，以防备任何类型请求的访问被允许。 这个事件中的代理是一个应用程序服务器代理。接收呼叫， 并且验证任何呼叫允许后，代理就把它转发给请求服务器。 因此，代理既是服务器又是客户机（如图7.33所示），它在接收进入的请求时是作为服务器，在转发请求时是作为客户机。会话建立后， 应用程序代理作为一个转接， 在一初始化应用程序的客户机和服务器之间拷贝数据。因为在客户机和服务器之间的所有数据都由应用程序代理拦截，所以它对会话拥有全部的控制，并详尽的处理记录。图7.33显示了作为客户机和服务器的代理。在众多的实现中，这是一个单应用程序模块的实现方法。 图 7.33 作为客户机和服务器的代理 为了与代理应用程序连接，许多应用层网关要求用户在内部机器上运行客户机应用程序。另外，用户可以用Telnet命令指定代理应用程序服务可用的端口。例如，代理主机上， 在端口63处， 用户可以用下面的命令： telnet 63 在用户与代理服务器运行的端口建立连接后，将会看到一个特殊的提示符，它用来标识代理应用程序，用户也可以运行定制命令到指定的目的服务器。不管使用哪种方法，标准应用程序的用户接口都会改变。如果使用用户客户机，那么客户机通常会被修改，以便它能与代理机器相连并且通知代理机器连接的位置。 这样，代理机器就可连接到最远目的端并转发数据。 2．巡回网关（如图7.34所示） 图 7.34 应用程序巡回网关 巡回网关是建立在应用程序网关的一个更加灵活的方法。 在巡回网关中，包被提交给用户应用层处理。巡回网关用来在两个通信的终点之间转包。巡回网关简单地在两个终点之间来回拷贝字节。  巡回网关存在的问题是：  (1) 在巡回网关中，可能需要安装特殊应用的客户机软件， 用户可能需要一个可变用户接口来相互协调。由于硬件平台和操作系统都存在差异，因此为异构网络的每一台主机安装和配置特定的应用程序既耗费时间， 又容易出错。 (2) 因为每一包都通过运行 于应用层的软件来处理，所以主机的工作受到影响。 每个包被所有的通信层处理两次，并且需要用户层处理和上下文转换。应用层网关（堡垒主机或双宿主主机）对网络层是暴露的，一般采用其它方法加以处理，如包过滤，可以用来保护应用程序网关主机。 7.4 防火墙的构成 7.4.1 防火墙的类型及构成 1. 常见的防火墙 最常见的防火墙是按照它的基本概念工作的逻辑设备， 用于在公共网上保护个人网络。  配置一堵防火墙是很简单的， 步骤如下：  (1) 选择一台具有路由能力的PC； (2) 加上两块网卡， 例如以太网或串行卡等；  (3) 禁止IP转发； (4) 打开一个网卡通向Internet；  (5) 打开另一个网卡通向内部网。  防火墙的设计类型有好几种，但大体可分为两类：网络级防火墙和应用级防火墙。它们采用不同的方式提供相同的功能。 任何一种都能适合站点防火墙的保护需要。 而现在有些防火墙产品具有双重特效，因此应该选择最适合当前配置的防火墙类型来构建防火墙。 2. 网络级防火墙 这一类型的防火墙，通常使用简单的路由器，采用包过滤技术，检查个人的IP包并决定允许或不允许基于资源的服务、 目的地址以及使用端口来构建。  ? 必威体育精装版式的防火墙较之前身更为复杂，它能监控通过防火墙的连接状态等等。这是一类快速且透明的防火墙，易于实现， 且性价比最佳。  图7.35是一个隔离式主机防火墙的应用，它是最流行的网络级防火墙之一。 在该种设计中，路由器在网络级上运行， 控制所有出入内部网的访问， 并将所有的请求传送给堡垒主机。  尽管上述例子提供了良好的安全性， 但仍需创建一个安全的子网来安置Web服务器。图7.36所示的隔离式子网防火墙就是这种设想的实例。 ? 注意，以上两个例子都是假定Web服