网络安全-天津大学计算机科学与技术学院.PPT

7.4.3 防火墙的类型(续) 应用代理 应用代理网关(application proxy gateway) (亦称堡垒主机，bastion host)是一种防火墙，能模拟应用软件的(正常)效果，使应用软件仅接受正常的活动请求。也就是，对内部，看起来好像是外部(目的)连接；对外部，按内部的响应方式进行响应。 应用代理运行伪应用软件。比如，发送邮件，代理网关在中间介入了协议交换，使整个系统看起来就像目的方在与位于防火墙外部的发送方的真实通信。这样，处于中间的代理就有机会过滤邮件传输，以保证只有可接受的邮件协议命令送达目的地。 7.4.3 防火墙的类型(续) 可对防火墙上的代理进行裁减以适应特殊要求(比如要求记录访问细节)，甚至能把与内部功能相异的部分呈现给普通的用户接口。假设内部网络有多种类型的操作系统，每种操作系统均不能通过挑战-响应支持强鉴别。代理可以要求强鉴别(姓名、口令和挑战-响应)，并执行挑战-响应协议，然后以特定内部主机操作系统要求的格式传递简单的姓名和口令等鉴别细节。 代理与屏蔽路由器的区别在于：代理面向应用软件解析协议流，根据协议内部可见的内容而不是仅仅根据头部数据来控制穿越防火墙的行为。 7.4.3 防火墙的类型(续) 7.33 防火墙代理的动作 7.4.3 防火墙的类型(续) 门卫 像代理防火墙一样，它接收协议数据单元并解析它们，然后使用相同或不同的协议数据单元传递相同的或经过修改的数据。门卫能提供的控制程度仅限于一些可计算的内容。门卫和代理防火墙极为相似，二者的区别有时很模糊。 7.4.3 防火墙的类型(续) 门卫的活动是相当精密复杂的，看过以下示例就能明白： (1) 某大学想要限制学生使用电子邮件，要求在最近若干天中的消息数或电子邮件字符数不能超过某个上限。 (2) 某学校想让学生能够访问万维网，但由于其连接速度慢，故只允许他们在下载图像时仅能下载有限的种类。 (3) 某图书馆想使某些文献可以被访问，但考虑到支持合理使用版权的问题，仅允许用户检索文献中开始的部分内容，超出的部分要求用户付费，并将费用转交给作者。 (4) 某公司想允许员工以FTP方式获取文件。但为防止病毒入侵，需要对所有传入的文件进行病毒扫描。 # 由于门卫实现的安全策略比代理复杂，所以门卫的代码相应更复杂，因此更容易出错。 7.4.4 个人防火墙 个人防火墙(personal firewall)是一种应用程序，运行在工作站上，用来隔离不希望的、来自网络的通信量。个人防火墙是常规防火墙功能的补充，可以针对单个主机设置可接受的数据类型，或者在用数字用户专线(Digital Subscriber Line)或线缆调制解调器连接因特网时，用来弥补常规防火墙中缺少的过滤规则。个人防火墙过滤单个工作站的通信量。 已有商业个人防火墙，如Symantec公司的Norton个人防火墙、McAfee个人防火墙和Zone实验室的Zone Alarm(现所属为Check Point)。 7.4.4 个人防火墙(续) 个人防火墙经过配置后可以实施一些安全策略，也产生访问日志。把病毒扫描器和个人防火墙结合在一起使用不但有效，而且效率高。例如，个人防火墙会将所有进入的电子邮件定位到病毒扫描器，在那里可以对每个已经到达了目的主机但未打开的附件进行检查。 个人防火墙运行在它所要保护的计算机上，能对不在网络防火墙保护范围内的客户提供合理的保护。 7.4.5 几种类型防火墙的比较 表 7.6 几种类型防火墙比较 包过滤器 状态审查 应用代理 门卫 个人防火墙 最简单 较复杂 更复杂 最复杂 与包过滤器相似 只看见地址和服 务协议类型 能看见地址和 数据 看见包的全部数 据部分 看见通信的全部 文本 看见包的全部数 据部分 审计困难 可能审计 能审计 能审计 能审计，并通常 实现了审计活动 基于接连规则的 过滤 基于通过包的 信息过滤—— 头部或数据段 基于代理的行为 过滤 基于信息内容的 解释过滤 基于单个包中的 信息(使用头部 或数据)过滤 复杂的寻址规则 使得配置困难 通常预先配置 以检测攻击信 号 简单的代理可以 代替复杂的寻址 规则 门卫的复杂功能 会限制保证 通常以“拒绝所 有入站”模式开 始，不断添加信 任地址 7.4.6 防火墙配置举例 图7.34 带有屏蔽路由器的防火墙 图7.35 在分离 LAN中的防火墙 7.4.6 防火墙配置举例(续) 屏蔽路由器和代理防火墙双配置。代理防火墙根据其代理规则过滤通信量。如果屏蔽路由器遭到破坏，也只有到代理防火墙的通信量是可见的，而受保护的内部LAN上的敏感信息仍然不可见。 图7.36 具