信息安全_第3章.ppt

四、数据包过滤 3、包过滤防火墙的优缺点及适用范围 缺点 有些安全规则是难以用包过滤规则来实现的。 包过滤防火墙系统本身的缺陷对系统的安全性的影响要远远超过代理服务对系统的安全性的影响。 包过滤防火墙对于外部主机伪装其他可信任的外部主机IP的IP欺骗不能阻止。 包过滤防火墙的维护比较困难，在机器中配置包过滤规则比较困难，对包过滤规则设置的测试也很麻烦。 包过滤防火墙不可能提供有用的日志，或根本就不提供。 在包过滤防火墙体系中，任何直接经过路由器的数据包都有被用做数据驱动式攻击的潜在危险。 IP包过滤器可能无法对网络上流动的信息提供全面的控制。 随着过滤器数目的增加，路由器的吞吐量会下降。 四、数据包过滤 3、包过滤防火墙的优缺点及适用范围 适用范围 包过滤路由器型防火墙适用于采用非集中化管理的机构。这种机构没有强大的集中安全策略，且内部网络中的主机数量非常少。包过滤路由器型防火墙策略主要依赖于主机安全来防止入侵，但是当主机数增加到一定程度的时候，仅靠主机安全就不能满足安全需求了。另外，采用这种防火墙的内部网络中通常没有使用DHCP这样的动态IP地址分配协议。 五、代理服务器和应用级防火墙 代理服务器（Proxy Server）很像我们生活中常常提及的代理商，它是指那些自己不能执行某种操作的计算机，通过另一台服务器来执行该操作的服务器。普通的因特网访问是一个典型的客户机与服务器结构：用户利用计算机上的客户端程序，如浏览器发出请求，远端WWW服务器程序响应请求并提供相应的数据。而Proxy处于客户机与服务器之间，对于服务器来说，Proxy是客户机，Proxy提出请求，服务器响应；对于客户机来说，Proxy是服务器，它接受客户机的请求，并将服务器上传来的数据转给客户机。因此Proxy Server的中文名称就是代理服务器。代理服务器是伴随着Internet应运而生的网络服务技术，它可以实现网络的安全过滤、流量控制、用户管理等功能，因此它既是一种网络防火墙技术，同时也可以解决许多单位连接Internet引起IP地址不足的问题。 五、代理服务器和应用级防火墙 1、代理服务器的工作方式 2、代理服务器的目标 3、代理服务软件的安装及注意事项 六、常用防火墙简介 1、Tcp Wrapper 2、Firewall-1 3、Cisco PIX 4、AXENT Raptor 5、NAI Gauntlet 七、防火墙配置实例 八、代理服务器设置实例 * 信息安全应用教程 第3章 防 火 墙 重点内容 防火墙的概念 防火墙的目的和功能 各种防火墙技术的分类 防火墙的配置原则 包和包过滤 第3章 防 火 墙 重点内容 包过滤的方法 设置特殊过滤规则的方法 代理服务器的概念及工作方式 代理服务器软件安装和使用的方法 常用的防火墙产品 一、防火墙技术基础（1） 1、防火墙技术概述 防火墙所处的位置 一、防火墙技术基础（2） 防火墙并不是一道真正的墙，所谓的“防火墙”，是一种特殊的访问控制设施，是一道介于内部网络和Internet之间的安全屏障。防火墙的基本功能是根据各种网络安全策略的要求对未经授权的访问和数据传递进行筛选和屏蔽，它保护着内部网络数据的安全。从逻辑上讲防火墙既是一个分析器又是一个限制器，它要求所有进出内部网络的数据流都必须通过安全策略和安全计划的确认与授权，并在逻辑上实现内外网络的分离，从而保证了内部网络的安全。防火墙既可以是一组硬件，也可以是一组软件，还可以是软件和硬件的组合。 防火墙所处的位置 一、防火墙技术基础（3） 使用防火墙的目的在于实现安全访问控制，因此按照OSI/RM模型，防火墙可以在OSI/RM七层中的五层设置。 防火墙与OSI/RM 一、防火墙技术基础（4） 2、防火墙的功能 过滤不安全的数据 控制不安全的服务和访问 网络连接的日志记录及使用统计 防止内部信息的外泄 强化网络安全性 一、防火墙技术基础（5） 3、防火墙应用技术分类 网络层防火墙 网络层防火墙也称为包过滤防火墙，它工作在TCP/IP协议的第二层，即网络层。这种防火墙一般是通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过。网络层防火墙通常使用简单的路由器，对每个IP包进行检查，根据包的源地址、目标地址、封装协议和端口号等，来决定是否允许此数据包通过，这种类型的防火墙以路由器为基础，采用了一种被称为数据包过滤的技术。 一、防火墙技术基础（6） 3、防火墙应用技术分类 应用代理防火墙 应用代理的防火墙主要工作在应用层，它实际上是一个网关，因此这种防火墙往往又被称为