【正文】 建立時(shí)進(jìn)行控制和判斷 ，監(jiān)視兩主機(jī)建立連接時(shí)的握手信息，如 SYN、 ACK等標(biāo)志和序列號(hào)等是否合乎邏輯n 一旦連接建立后僅復(fù)制、傳遞數(shù)據(jù)，而不再進(jìn)行過(guò)濾 。n 實(shí)現(xiàn)狀態(tài)檢測(cè)最重要的是 實(shí)現(xiàn)連接跟蹤功能n 需要為不同的通信協(xié)議開(kāi)發(fā)單獨(dú)的連接跟蹤模塊。n 對(duì)于隨后的數(shù)據(jù)包，就將包信息和狀態(tài)監(jiān)測(cè)表中所記錄的連接內(nèi)容進(jìn)行比較n 如果該包是某會(huì)話的一部分，并且狀態(tài)正確，則接受該數(shù)據(jù)包。 對(duì) TCP協(xié)議的狀態(tài)檢測(cè)（續(xù)）n 對(duì) TCP協(xié)議，有如下結(jié)論：n TCP連接是有狀態(tài)的，連接進(jìn)入到不同的階段有不同的狀態(tài)n TCP連接狀態(tài)的轉(zhuǎn)換是有一定順序的，不能任意改變n TCP連接過(guò)程中客戶端和服務(wù)端的可能狀態(tài)是有區(qū)別的n 如客戶端不可能進(jìn)入到 Listen狀態(tài)n 對(duì)于 TCP包中的標(biāo)志，有些標(biāo)志是不可能同時(shí)存在的n 如 SYN不能和 FIN、 RST、 PSH同時(shí)存在n 根據(jù)這些原則，防火墻就可以判斷出連接雙方目前處于何種狀態(tài)，一旦發(fā)現(xiàn)數(shù)據(jù)包和狀態(tài)不符，就可以認(rèn)為該數(shù)據(jù)包狀態(tài)異常，從而拒絕n 另外這種方式對(duì)于一些端口掃描工具，也能很好對(duì)抗。n 而對(duì)于狀態(tài)檢測(cè)防火墻，則能夠進(jìn)一步分析主連接中的內(nèi)容信息， 識(shí)別出所協(xié)商的子連接的端口而在防火墻上將其動(dòng)態(tài)打開(kāi)，連接結(jié)束時(shí)自動(dòng)關(guān)閉 ，充分保證系統(tǒng)的安全。n 在雙重宿主主機(jī)體系結(jié)構(gòu)中，外部網(wǎng)絡(luò)能與雙重宿主主機(jī)通信，內(nèi)部網(wǎng)絡(luò)也能與雙重宿主主機(jī)通信，但是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信，它們之間的通信 必須經(jīng)過(guò)雙重宿主主機(jī)的過(guò)濾和控制 。n 此外， 這種體系結(jié)構(gòu)包括堡壘主機(jī)n 堡壘主機(jī) 是 Inter上的主機(jī)能連接到的唯一的內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)，任何外部的系統(tǒng)要訪問(wèn)內(nèi)部的系統(tǒng)或服務(wù)都必須先連接到這臺(tái)主機(jī)。n 周邊網(wǎng)絡(luò)是一個(gè)被隔離的獨(dú)立子網(wǎng)，充當(dāng)了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的緩沖區(qū)，在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個(gè) “隔離帶 ”，即 “非軍事區(qū) ”（ DeMilitarized Zone, DMZ）。n 由于外部路由器只向 Inter通告 DMZ網(wǎng)絡(luò)的存在，Inter上的系統(tǒng)沒(méi)有路由器與內(nèi)部網(wǎng)絡(luò)相通， 這樣網(wǎng)絡(luò)管理員就可以保證內(nèi)部網(wǎng)絡(luò)是 “不可見(jiàn) ”的 。n 構(gòu)建堡壘主機(jī)的要點(diǎn)如下：n 選擇合適的操作系統(tǒng)，關(guān)閉不需要的服務(wù)和功能；n 確定堡壘主機(jī)的安裝位置，最好處于一個(gè)獨(dú)立的網(wǎng)絡(luò)中，如 DMZ；n 確定堡壘主機(jī)提供的服務(wù)；n 保護(hù)堡壘主機(jī)產(chǎn)生的系統(tǒng)日志；n 監(jiān)測(cè)和備份堡壘主機(jī)的數(shù)據(jù)。n 從入侵檢測(cè)單個(gè)產(chǎn)品來(lái)看，在提前預(yù)警方面存在著先天的不足，且精確定位和全局管理方面還有很大的空間。UTM的功能n UTM設(shè)備應(yīng)該具備的基本功能包括： 網(wǎng)絡(luò)防火墻 、 網(wǎng)絡(luò)入侵檢測(cè) 和 網(wǎng)關(guān)防病毒n 這幾項(xiàng)功能并不一定要同時(shí)都得到使用，但它們應(yīng)該是 UTM設(shè)備自身固有的功能。n CCP還可探測(cè)其它各種威脅，包括不良 Web內(nèi)容、垃圾郵件、間諜軟件和網(wǎng)絡(luò)釣魚(yú)欺騙。UTM的典型技術(shù)（續(xù)）n 定制的操作系統(tǒng)（ OS）n 專用的強(qiáng)化安全的 OS提供精簡(jiǎn)的、高性能防火墻和內(nèi)容安全檢測(cè)平臺(tái)。 通過(guò)硬件與軟件的結(jié)合，加上智能型檢測(cè)方法，識(shí)別的效率得以提高。UTM的主要優(yōu)勢(shì)n 能夠防御混合型攻擊n 降低了復(fù)雜性n 避免了軟件安裝工作和服務(wù)器的增加n 減少了維護(hù)量n 應(yīng)用的靈活性n 集中的安全日志管理n 整合帶來(lái)成本降低UTM主要存在的問(wèn)題n 性能： 由于 UTM自身的檢測(cè)是多方面的，而且這些檢測(cè)結(jié)果還要用于阻斷 /通行的判斷，因此，目前 UTM設(shè)備的 HA能力普遍要弱于防火墻和路由器。小結(jié)n 防火墻概述n 防火墻的主要技術(shù)n 防火墻的體系結(jié)構(gòu)n 網(wǎng)絡(luò)安全的新技術(shù)： UTMn 主要參考書(shū)n 《 網(wǎng)絡(luò)安全 》 （第 2版），胡道元，閔京華編著n 《 密碼編碼學(xué)與網(wǎng)絡(luò)安全 原理與實(shí)踐 》 （第四版），William Stallings 著n 《 防火墻與因特網(wǎng)安全 》 ， William ，戴宗坤 等譯 作業(yè)謝謝觀看 /歡迎下載BY FAITH I MEAN A VISION OF GOOD ONE CHERISHES AND THE ENTHUSIASM THAT PUSHES ONE TO SEEK ITS FULFILLMENT REGARDLESS OF OBSTACLES. BY FAITH I BY FAITH。n 安全性： UTM將所有的安全功能置于一臺(tái)設(shè)備之內(nèi)，使得 UTM可能會(huì)成為網(wǎng)絡(luò)中的單點(diǎn)故障；而一旦 UTM被成功侵入或突破，整個(gè)網(wǎng)絡(luò)也將被完全暴露在打擊之下。n DTPS將防病毒、 IDS、 IPS和防火墻等各種安全模塊無(wú)縫集成在一起，將其中的攻擊信息相互關(guān)聯(lián)和共享，以識(shí)別可疑的惡意流量特征。UTM的典型技術(shù)（續(xù)）n 緊密型模式識(shí)別語(yǔ)言 (CPRL)n 緊密型模式識(shí)別語(yǔ)言（ Compact Patten Recognition Language, 簡(jiǎn)稱 CPRL）是針對(duì)完全的內(nèi)容防護(hù)中大量計(jì)算程式所需求的加速而設(shè)計(jì)的。它是為提供千兆級(jí)實(shí)時(shí)的應(yīng)用層安全服務(wù)的平臺(tái)，它是專門為網(wǎng)絡(luò)骨干和邊界上高性能內(nèi)容處理設(shè)計(jì)的體系結(jié)構(gòu)所必不可少的。UTM的功能（續(xù)）UTM的典型技術(shù)n 完全性內(nèi)容保護(hù)（ CCP）n 完全性內(nèi)容保護(hù) (Complete Content Protection, 簡(jiǎn)稱CCP)提供對(duì) OSI網(wǎng)絡(luò)模型所有層次上的網(wǎng)絡(luò)威脅的實(shí)時(shí)保護(hù)。典型的網(wǎng)絡(luò)安全部署示意圖UTM定義n UTM： Unified Threat Management（統(tǒng)一威脅管理）n IDC對(duì) UTM安全設(shè)備的定義是：由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備，它主要提供一項(xiàng)或多項(xiàng)安全功能。五、網(wǎng)絡(luò)安全的新技術(shù) — UTMn 隨著網(wǎng)絡(luò)的日益發(fā)展和繁多的應(yīng)用軟件的不斷更新，使得 “復(fù)雜性 ”已成為企業(yè) IT管理部門工作的代名詞。n 由于 DMZ網(wǎng)絡(luò)是一個(gè)與內(nèi)部網(wǎng)絡(luò)不同的網(wǎng)絡(luò)， NAT（網(wǎng)絡(luò)地址變換）可以安裝在堡壘主機(jī)上，從而避免在內(nèi)部網(wǎng)絡(luò)上重新編址或重新劃分子網(wǎng)。n 為了侵入用這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，入侵者必須通過(guò)兩個(gè)路由器n 即使入侵者侵入堡壘主機(jī)，它將仍然必須通過(guò)內(nèi)部路由器。被屏蔽主機(jī)體系結(jié)構(gòu)（續(xù)）n 在屏蔽的路由器中數(shù)據(jù)包過(guò)濾配置可以按下列方案之一設(shè)置：n 允許其它的內(nèi)部主機(jī)為了某些服務(wù)開(kāi)放到 Inter上的主機(jī)連接（允許那些經(jīng)由數(shù)據(jù)包過(guò)濾的服務(wù)）；n 不允許來(lái)自內(nèi)部主機(jī)的所有連接（強(qiáng)迫那些主機(jī)經(jīng)由堡壘主機(jī)使用代理服務(wù)）；n 對(duì)于內(nèi)部用戶對(duì)外部網(wǎng)絡(luò)的訪問(wèn)，可以強(qiáng)制其經(jīng)過(guò)堡壘主機(jī)，也可以讓其直接經(jīng)過(guò)屏蔽路由器出去，針對(duì)不同的應(yīng)用采用不同的安全策略。雙重宿主主機(jī)體系結(jié)構(gòu)示意圖被屏蔽主機(jī)體系結(jié)構(gòu)n 雙重宿主主機(jī)體系結(jié)構(gòu)防火墻沒(méi)有使用路由器，而被屏蔽主機(jī)體系結(jié)構(gòu)防火墻則 使用一個(gè)路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開(kāi) 。n 如對(duì)于 UDP協(xié)議，一方發(fā)出 UDP包后（如DNS請(qǐng)求），防火墻會(huì)將從目的地址和目的端口返回的，到達(dá)源地址和源端口的包作為狀態(tài)相關(guān)的包而允許通過(guò)n 這樣同樣可以避免靜態(tài)的開(kāi)放所有端口三、防火墻體系結(jié)構(gòu)n 雙重宿主主機(jī)（ Dualhomed Host）體系結(jié)構(gòu)n 被屏蔽主機(jī)（ Screened Host