【文章內(nèi)容簡(jiǎn)介】 應(yīng)用層，且針對(duì)特定的應(yīng)用層協(xié)議。代理防火墻通過(guò)編程來(lái)弄清用戶應(yīng)用層的流量，并能在用戶層和應(yīng)用協(xié)議層提供訪問(wèn)控制。而且，還可用來(lái)保持一個(gè)所有應(yīng)用程序使用的記錄。記錄和控制所有進(jìn)出流量的能力是應(yīng)用層網(wǎng)關(guān)的主要優(yōu)點(diǎn)之一。 包過(guò)濾和應(yīng)用網(wǎng)關(guān)防火墻有一個(gè)共同的特點(diǎn)，就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過(guò)。一旦滿足邏輯，則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系，防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)，這有利于實(shí)施非法訪問(wèn)和攻擊。 應(yīng)用代理與套接字代理 電路層網(wǎng)關(guān)（ Circuit Gateway） 電路層網(wǎng)關(guān)是另一種類型的代理技術(shù) 。 在電路層網(wǎng)關(guān)中，包被提交用戶應(yīng)用層處理。電路層網(wǎng)關(guān)用來(lái)在兩個(gè)通信的終點(diǎn)之間轉(zhuǎn)換包 。 電路級(jí)網(wǎng)關(guān)用來(lái)監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的 TCP握手信息 ,這樣來(lái)決定該會(huì)話(Session) 是否合法 ,電路級(jí)網(wǎng)關(guān)是在 OSI模型中會(huì)話層上來(lái)過(guò)濾數(shù)據(jù)包 ,這樣比包過(guò)濾防火墻要高兩層。 它是針對(duì)數(shù)據(jù)包過(guò)濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的 “ 鏈接 ” ，由兩個(gè)終止代理服務(wù)器上的 “ 鏈接 ”來(lái)實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用，并隱藏了內(nèi)部地址，提高了安全性 電路層網(wǎng)關(guān)型防火墻 內(nèi)部網(wǎng) FTP服務(wù)器 WWW服務(wù)器 防火墻 Inter 路由器 防火墻 電路層網(wǎng)關(guān) TCP TCP IP IP NI NI 進(jìn) 出 代理的工作方式 虛擬專用網(wǎng)（ VPN， Virtual Private Network） 傳統(tǒng)的 VAN（ ValueAdded NetWork,增值網(wǎng)）不能滿足企業(yè)的需要。據(jù)估算，如果企業(yè)放棄租用專線而采用 VPN， 其整個(gè)網(wǎng)絡(luò)的成本可節(jié)約 21%45%，至于那些以電話撥號(hào)方式連網(wǎng)存取數(shù)據(jù)的公司，采用 VPN則可以節(jié)約通訊成本50%80%。 虛擬專用網(wǎng)（ VPN， Virtual Private Network）： 利用公共網(wǎng)絡(luò)來(lái)構(gòu)建的專用網(wǎng)絡(luò)稱為虛擬專用網(wǎng)，用于構(gòu)建 VPN的公共網(wǎng)絡(luò)包括 Inter、 幀中繼、 ATM等 在公共網(wǎng)絡(luò)上組建的 VPN象企業(yè)現(xiàn)有的 VAN一樣提供安全性、可靠性和可管理性等 虛擬專用網(wǎng) 虛擬專用網(wǎng)特點(diǎn) 安全保障 :所有的 VPN均應(yīng)保證通過(guò)公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性 服務(wù)質(zhì)量保證（ QoS） :VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對(duì)服務(wù)質(zhì)量保證的要求差別較大 可擴(kuò)充性和靈活性 :VPN必須能夠支持通過(guò)Intra和 Extra的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)，支持多種類型的傳輸媒介 可管理性 :從用戶角度和運(yùn)營(yíng)商角度應(yīng)可方便地進(jìn)行管理、維護(hù) 帶有虛擬專用網(wǎng)的防火墻 VPN VPN機(jī)制 在防火墻之間進(jìn)行加密 存取與控制機(jī)能 防止在流入輸出時(shí)進(jìn)行 帶有虛擬專用網(wǎng)的防火墻（續(xù)） 內(nèi)部網(wǎng) FTP服務(wù)器 WWW服務(wù)器 防火墻 外部 內(nèi)部 1 2 Inter 路由器 防火墻 內(nèi)部網(wǎng) FTP 服務(wù)器 WWW 服務(wù)器 防火墻 路由器 防火墻 ＶＰＮ解決方案的核心技術(shù) 隧道技術(shù)是 VPN的基本技術(shù)，類似于點(diǎn)對(duì)點(diǎn)連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過(guò)這條隧道傳輸。它利用一種網(wǎng)絡(luò)傳輸協(xié)議，將其他協(xié)議產(chǎn)生的數(shù)據(jù)報(bào)文封裝在它自己的報(bào)文中，在網(wǎng)絡(luò)中傳輸。 隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。 ＶＰＮ解決方案的核心技術(shù) （續(xù)） 第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到 PPP中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。 在已 有的 端 端隧道協(xié)議（ PPTP）、 第二層隧道協(xié)議（ L2TP） 和第二層轉(zhuǎn)發(fā)協(xié)議（ L2F） 等隧道解決方案中，以 ＰＰＴＰ 協(xié)議和Ｌ 2Ｆ協(xié)議最為成熟。 ＶＰＮ解決方案的核心技術(shù) （續(xù)） 第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。 第三層隧道協(xié)議有 VTP、 IPSec等。 IPSec（ IP Security） 是由一組 RFC文檔組成，定義了一個(gè)系統(tǒng)來(lái)提供安全協(xié)議選擇、安全算法，確定服務(wù)所使用密鑰等服務(wù)，從而在 IP層提供安全保障。它由三個(gè)協(xié)議組成：確認(rèn)頭（ AH）、 封裝安全有效負(fù)載（ ESP）、 Inter密鑰交換（ IKE） 防火墻的優(yōu)點(diǎn)與限制 優(yōu)點(diǎn)： — 保護(hù)那些易受攻擊的服務(wù) — 控制對(duì)特殊站點(diǎn)的訪問(wèn) — 集中化的安全管理 — 對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行記錄和統(tǒng)計(jì) 防火墻不能對(duì)付的安全威脅 — 來(lái)自內(nèi)部的攻擊 — 直接的 Inter數(shù)據(jù)流（如果內(nèi)域網(wǎng)中有些資源繞過(guò)防火墻直接與 Inter連接，則得不到防火墻的保護(hù)） — 病毒防護(hù)（病毒可以通過(guò) FTP或其他工具傳入） 基于防火墻的網(wǎng)絡(luò)安全體系結(jié)構(gòu) （ 1） 基于防火墻的網(wǎng)絡(luò)安全體系結(jié)構(gòu) （ 2） 基于防火墻的網(wǎng)絡(luò)安全體系結(jié)構(gòu)由篩選路由器，堡壘模型和雙導(dǎo)向網(wǎng)關(guān)組成 篩選路由器： 在專用 IP網(wǎng)絡(luò)和 Inter之間插入一個(gè)路由器將它們分離開 ， 路由器負(fù)責(zé)過(guò)濾所有通過(guò)的 IP數(shù)據(jù)包并被成為篩選過(guò)濾器 堡壘主機(jī)是放置在安全和非安全網(wǎng)絡(luò)之間的機(jī)器 通過(guò)過(guò)濾的方法保護(hù)雙導(dǎo)向網(wǎng)關(guān)免受外部的攻擊 目錄服務(wù) 目錄是用于安全的認(rèn)證和授權(quán) 一個(gè)目錄服務(wù)簡(jiǎn)單地講是信息的存儲(chǔ)庫(kù) 目錄服務(wù)使用開放的，標(biāo)準(zhǔn)的 APIs， 提供了保存，修改，刪除，和獲取信息的能力 常用的基于標(biāo)準(zhǔn)的目錄結(jié)構(gòu) 基于標(biāo)準(zhǔn)的 LDAP的客戶端和服務(wù)器端 公共目錄模式：一個(gè)公共的目錄模式允許不同的應(yīng)用程序共享相同的對(duì)象集合（例如用戶，地址等）以便每個(gè)人或資源的信息不會(huì)在網(wǎng)絡(luò)中生成或儲(chǔ)存多次 元目錄 ：元目錄提供了不同應(yīng)用程序存儲(chǔ)在目錄中的信息的公共管理基礎(chǔ) 基于標(biāo)準(zhǔn)的 LDAP的客戶端和服務(wù)器端 元目錄 加密技術(shù) 密碼學(xué)：密碼編碼學(xué)、密碼分析學(xué) 密文（ CypherText）： 加密后的形式 C=E(P) 明文（ Plaintext）： 消息的初始形式 P=D(C) 密碼系統(tǒng)滿足： P=D(E(P)) 需要密鑰的加密算法，記為： C=E(K,P),即密文消息同時(shí)依賴于初始明文和密鑰的值。實(shí)際上， E是一組加密算法，而密鑰則用于選擇其中特定的一個(gè)算法 無(wú)鑰密碼：不需要使用密鑰的密碼 。 單鑰密碼：加密與解密的密鑰相同 。 雙鑰密碼：加密與解密的密鑰不同 明文 P 加密算法 E 加密密鑰 Ke 解密密鑰 Kd 解密算法 D 明文 P 密文 C 單鑰 (對(duì)稱密鑰、秘密密鑰 )加密算法 對(duì)信息的加密、解迷密使用相同的密鑰 C=E(P, K), P=D(C, K) 代表： DES、 3DES、 和 IDEA 優(yōu)點(diǎn)：簡(jiǎn)單、速度快 問(wèn)題： 密鑰的分發(fā) 密鑰的管理 單鑰加密、解密過(guò)程 DES加密算法的背景 發(fā)明人：美國(guó) IBM公司 W. Tuchman 和 C. Meyer 19711972年研制成功。 基礎(chǔ)