【正文】 （ 1） SOCK v5協(xié)議 當(dāng) SOCK協(xié)議同 SSL協(xié)議配合使用，可作為建立高度安全的 VPN的基礎(chǔ)。 （ 1）要為每一種應(yīng)用定制代理 （ 2）代理是不透明的 （ 3）應(yīng)用層網(wǎng)關(guān)不能為基于 TCP以外的應(yīng)用提供很好的提供代理。應(yīng)用層實(shí)現(xiàn)的防火墻會(huì)造成明顯的性能下降。 ⑤ 一些協(xié)議不適合用數(shù)據(jù)包過濾，如基于 RPC的應(yīng)用的“ r”命令等。而且應(yīng)盡量減少堡壘主機(jī)上的用戶賬戶數(shù)，如果有可能，應(yīng)禁止一切用戶賬戶。 圖 應(yīng)用層數(shù)據(jù)共享 圖 運(yùn)行代理服務(wù)器的雙宿主機(jī) 使用雙宿主主機(jī)作為防火墻，防火墻本身的安全性至關(guān)重要。 （ 1）防火墻的維護(hù)比較困難，定義數(shù)據(jù)包過濾器會(huì)比較復(fù)雜，因?yàn)榫W(wǎng)絡(luò)管理員需要對(duì)各種 Inter服務(wù)、包頭格式以及每個(gè)域的意義有非常深入的理解，才能將過濾規(guī)則集盡量定義得完善。 （ 5） 防火墻無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊 。 （ 4）采用目前新的信息安全技術(shù)，如現(xiàn)代加密技術(shù)、一次口令系統(tǒng)、智能卡等增強(qiáng)防火墻的保護(hù)功能，為內(nèi)部網(wǎng)提供更好的保護(hù)。 （ 3）在防火墻上可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報(bào)警。 防火墻的安全策略 研制和開發(fā)一個(gè)有效的防火墻，首先要設(shè)計(jì)和制定一個(gè)有效的安全策略。 （ 6） 隨著過濾器數(shù)目的增加 ， 路由器的吞吐量會(huì)下降 。 圖 使用合并內(nèi)部路由器和外部路由器的體系結(jié)構(gòu) （ 3）使用多臺(tái)堡壘主機(jī)的體系結(jié)構(gòu)如圖 。 ① 防火墻應(yīng)該發(fā)送什么消息。 圖 Tel代理服務(wù) 圖 Inter客戶通過代理服務(wù)器訪問內(nèi)部網(wǎng)主機(jī) 提供代理應(yīng)用層網(wǎng)關(guān)主要有以下優(yōu)點(diǎn) 。 （ 6）對(duì)用戶不透明。包括計(jì)算機(jī)病毒、惡意的Java Applet和 ActiveX的攻擊、惡意電子郵件及不健康網(wǎng)頁內(nèi)容的過濾防護(hù)。 ③ 加密，用加密 IP地址和數(shù)據(jù)以保證私有性。 1．虛擬專用網(wǎng)的分類及用途 下面分 3種情況說明 VPN的用途。 1．高安全性 2． 高效性 3． 伸縮性和易擴(kuò)展性 4． 針對(duì)性 5． 應(yīng)用范圍廣 地址翻譯技術(shù) 地址翻譯（ Network Address Translation，NAT）就是將一個(gè) IP地址用另一個(gè) IP地址代替。 然而，應(yīng)用層代理也有明顯的缺點(diǎn)，主要包括以下幾點(diǎn)。 ① 包過濾規(guī)則難于配置。 （ 2）建議用戶選擇較為熟悉的 UNIX操作系統(tǒng)作為堡壘主機(jī)的操作系統(tǒng)。 （ 3） 極小數(shù)據(jù)段式攻擊 。 圖 包過濾型防火墻 包過濾型防火墻具有以下優(yōu)點(diǎn) 。 防火墻有如下的缺陷和不足。第 9章 防火墻技術(shù) 防火墻概述 防火墻的設(shè)計(jì)策略和安全策略 防火墻的體系結(jié) 防火墻的主要技術(shù) 防火墻的基本概念 防火墻是在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行控制和安全策略的系統(tǒng)，它可以是軟件，也可以是硬件，或兩者并用。 （ 8）防火墻也可以成為向客戶發(fā)布信息的地點(diǎn)。 包過濾型防火墻 包過濾型防火墻的核心技術(shù)就是安全策略設(shè)計(jì)即包過濾算法的設(shè)計(jì)。 （ 2） 源路由攻擊 。 （ 1）無路由雙宿主主機(jī) （ 2）犧牲主機(jī) （ 3）內(nèi)部堡壘主機(jī) 2．堡壘主機(jī)的選擇 （ 1）選擇主機(jī)時(shí)，應(yīng)選擇一個(gè)可以支持多個(gè)網(wǎng)絡(luò)接口同時(shí)處于活躍狀態(tài)，從而能夠向內(nèi)部網(wǎng)用戶提供多個(gè)網(wǎng)絡(luò)服務(wù)的機(jī)器。 包過濾最明顯的缺陷是即使是最基本的網(wǎng)絡(luò)服務(wù)和協(xié)議，它也不能提供足夠的安全保護(hù)，包過濾是不夠安全的。 （ 5） 通過代理訪問 Inter， 可以解決合法的IP地址不夠用的問題 。 圖