【正文】 過濾路由器的優(yōu)點(diǎn) 包過濾技術(shù) 實(shí)現(xiàn)包過濾幾乎不再需要費(fèi)用 。 它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議 ，如：超文本傳輸協(xié)議 (HTTP)、 遠(yuǎn)程文件傳輸協(xié)議 (FTP)等 ， 使用指定的數(shù)據(jù)過濾規(guī)則 。 1) 屏蔽主機(jī)防火墻體系結(jié)構(gòu)：在該結(jié)構(gòu)中 ，包過濾路由器或防火墻與 Inter相連 ， 同時(shí)一個(gè)堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò) ， 通過在包過濾路由器或防火墻上過濾規(guī)則的設(shè)置 ， 使堡壘機(jī)成為 Inter上其它節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn) ， 這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊 。 在列表的左邊為該規(guī)則是否有效的標(biāo)志 ， 標(biāo)記為鉤表示改規(guī)則有效 ， 否則表示無效 。 53 代理服務(wù)的優(yōu)點(diǎn) 代理服務(wù) 1）易于配置 軟件實(shí)現(xiàn)，界面友好 2）日志記錄，便于分析 3）靈活控制進(jìn)出流量、內(nèi)容 (who、 what、 where 、when) 例如，可以過濾協(xié)議。 45 代理服務(wù)技術(shù) 代理服務(wù) 該 技術(shù)它能夠?qū)⑺锌缭椒阑饓Φ木W(wǎng)絡(luò)通信鏈路分為兩段。 可以通過舍棄所有包含這類源路由選項(xiàng)的信息包方式 ， 來挫敗這類攻擊 。 外部路由器安全任務(wù)之一是：阻止從 Inter上偽造源地址進(jìn)來的任何數(shù)據(jù)包 。 因?yàn)樗兄苓吘W(wǎng)上的通信來自或者通往堡壘主機(jī)或Inter。 14 允許 拒絕 防火墻設(shè)計(jì)政策 防火墻一般實(shí)施兩個(gè)基本設(shè)計(jì)方針之一 : 1. “ 沒有明確允許的都是被禁止的 ” ， 即拒絕一切未予特許的東西 。 如果入侵者已經(jīng)在防火墻內(nèi)部 ， 防火墻是無能為力的 。 建立防火墻必須全面考慮安全策略 ， 否則形同虛設(shè) 。 外部用戶只需要經(jīng)過一次認(rèn)證即可訪問內(nèi)部網(wǎng) 。 當(dāng)有些表面看來無害的數(shù)據(jù)被郵寄或復(fù)制到內(nèi)部網(wǎng)主機(jī)上并被執(zhí)行而發(fā)起攻擊時(shí) ， 就會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)攻擊 。 實(shí)施策略：針對(duì)不同的服務(wù)，選擇其中的一種或兩種保護(hù)措施。 內(nèi)部路由器為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過濾工作 。 38 包過濾的依據(jù) 包過濾技術(shù) IP 源地址 IP目的地址 封裝協(xié)議 (TCP、 UDP、 或 IP Tunnel) TCP/UDP源端口 TCP/UDP目的端口 ICMP包類型 TCP報(bào)頭的 ACK位 包輸入接口和包輸出接口 39 依賴于服務(wù)的過濾 包過濾技術(shù) 多數(shù)服務(wù)對(duì)應(yīng)特定的端口 ， 例： Tel、 SMTP、 POP3分別為 2 2 110。 管理困難 。電路網(wǎng)關(guān)在兩個(gè)通信端點(diǎn)之間復(fù)制字節(jié)。 可以非常靈活的設(shè)計(jì)合適自己使用的規(guī)則 。 通過合理的設(shè)置規(guī)則就可以把有害的數(shù)據(jù)包擋在你的機(jī)器之外 。 電路網(wǎng)關(guān)適于限制內(nèi)部網(wǎng)對(duì)外部的訪問，但不能實(shí)施協(xié)議過濾。 不能理解上下文 。 典型的過濾規(guī)則有以下幾種： .只允許進(jìn)來的 Tel會(huì)話連接到指定的一些內(nèi)部主機(jī) .只允許進(jìn)來的 FTP會(huì)話連接到指定的一些內(nèi)部主機(jī) .允許所有出去的 Tel 會(huì)話 . 允許所有出去的 FTP 會(huì)話 .拒絕從某些指定的外部網(wǎng)絡(luò)進(jìn)來的所有信息 40 獨(dú)立于服務(wù)的過濾 有些類型的攻擊很難用基本包頭信息加以鑒別 ， 因?yàn)楠?dú)立于服務(wù) 。這些服務(wù)是用戶使用數(shù)據(jù)包過濾而不是通過代理服務(wù)提供 。 23 屏蔽子網(wǎng)體系結(jié)構(gòu) 24 防火墻體系結(jié)構(gòu) 屏蔽子網(wǎng)防火墻中 ， 添加周邊網(wǎng)絡(luò)進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與 Inter隔離開 。 11 五、防火墻的特點(diǎn) 一、防火墻概述 廣泛的服務(wù)支持：通過將動(dòng)態(tài)的 、 應(yīng)用層的過濾能力和認(rèn)證相結(jié)合 ， 可實(shí)現(xiàn) WWW瀏覽器 、HTTP服務(wù)器 、 FTP等； 對(duì)私有數(shù)據(jù)的加密支持：保證通過 Inter進(jìn)行虛擬私人網(wǎng)絡(luò)和商務(wù)活動(dòng)的安全； 客戶端認(rèn)證：只允許指定的用戶訪問內(nèi)部網(wǎng)絡(luò)或選擇服務(wù)：企業(yè)本地網(wǎng)與分支機(jī)構(gòu) 、 商業(yè)伙伴和移動(dòng)用戶間安全通信的附加部分； 12 五、防火墻的特點(diǎn) 一、防火墻概述 反欺騙：欺騙是從外部獲取網(wǎng)絡(luò)訪問權(quán)的常用手段 ， 它使數(shù)據(jù)包好似來自網(wǎng)絡(luò)內(nèi)部 。 7 一、防火墻概述 、 強(qiáng)化私有權(quán) 使用防火墻系統(tǒng) ， 站點(diǎn)可以防止 finger 以及 DNS域名服務(wù) 。 3 一、防火墻的用途 一、防火墻概述 1） 作為 “ 扼制點(diǎn) ” ， 限制信息的進(jìn)入或離開； 2） 防止侵入者接近并破壞你的內(nèi)部設(shè)施； 3） 監(jiān)視 、 記錄 、 審查重要的業(yè)務(wù)流； 4） 實(shí)施網(wǎng)絡(luò)地址轉(zhuǎn)換 ， 緩解地址短缺矛盾 。 網(wǎng)絡(luò)使用率統(tǒng)計(jì)數(shù)字可作為網(wǎng)絡(luò)需求研究和風(fēng)險(xiǎn)分析的依據(jù)；收集有關(guān)網(wǎng)絡(luò)試探的證據(jù) ， 可確定防火墻上的控制措施是否得當(dāng) ， 能否抵御試探和攻擊 。 一個(gè)典型的政策可以不允許從 Inter訪問網(wǎng)點(diǎn) ， 但要允許從網(wǎng)點(diǎn)訪問 Inter。 1） 周邊網(wǎng)絡(luò) ：非軍事化區(qū) 、 停火區(qū) （ DMZ） 周邊網(wǎng)絡(luò)是另一個(gè)安全層 ,是在外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間的附加的網(wǎng)絡(luò) 。 29 防火墻體系結(jié)構(gòu)