【文章內(nèi)容簡介】 應用層，且針對特定的應用層協(xié)議。代理防火墻通過編程來弄清用戶應用層的流量，并能在用戶層和應用協(xié)議層提供訪問控制。而且，還可用來保持一個所有應用程序使用的記錄。記錄和控制所有進出流量的能力是應用層網(wǎng)關(guān)的主要優(yōu)點之一。 包過濾和應用網(wǎng)關(guān)防火墻有一個共同的特點，就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過。一旦滿足邏輯，則防火墻內(nèi)外的計算機系統(tǒng)建立直接聯(lián)系，防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運行狀態(tài)，這有利于實施非法訪問和攻擊。 應用代理與套接字代理 電路層網(wǎng)關(guān)（ Circuit Gateway） 電路層網(wǎng)關(guān)是另一種類型的代理技術(shù) 。 在電路層網(wǎng)關(guān)中，包被提交用戶應用層處理。電路層網(wǎng)關(guān)用來在兩個通信的終點之間轉(zhuǎn)換包 。 電路級網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務器與不受信任的主機間的 TCP握手信息 ,這樣來決定該會話(Session) 是否合法 ,電路級網(wǎng)關(guān)是在 OSI模型中會話層上來過濾數(shù)據(jù)包 ,這樣比包過濾防火墻要高兩層。 它是針對數(shù)據(jù)包過濾和應用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù)，其特點是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計算機系統(tǒng)間應用層的 “ 鏈接 ” ，由兩個終止代理服務器上的 “ 鏈接 ”來實現(xiàn)，外部計算機的網(wǎng)絡(luò)鏈路只能到達代理服務器，從而起到了隔離防火墻內(nèi)外計算機系統(tǒng)的作用，并隱藏了內(nèi)部地址，提高了安全性 電路層網(wǎng)關(guān)型防火墻 內(nèi)部網(wǎng) FTP服務器 WWW服務器 防火墻 Inter 路由器 防火墻 電路層網(wǎng)關(guān) TCP TCP IP IP NI NI 進 出 代理的工作方式 虛擬專用網(wǎng)（ VPN， Virtual Private Network） 傳統(tǒng)的 VAN（ ValueAdded NetWork,增值網(wǎng)）不能滿足企業(yè)的需要。據(jù)估算，如果企業(yè)放棄租用專線而采用 VPN， 其整個網(wǎng)絡(luò)的成本可節(jié)約 21%45%，至于那些以電話撥號方式連網(wǎng)存取數(shù)據(jù)的公司，采用 VPN則可以節(jié)約通訊成本50%80%。 虛擬專用網(wǎng)（ VPN， Virtual Private Network）： 利用公共網(wǎng)絡(luò)來構(gòu)建的專用網(wǎng)絡(luò)稱為虛擬專用網(wǎng)，用于構(gòu)建 VPN的公共網(wǎng)絡(luò)包括 Inter、 幀中繼、 ATM等 在公共網(wǎng)絡(luò)上組建的 VPN象企業(yè)現(xiàn)有的 VAN一樣提供安全性、可靠性和可管理性等 虛擬專用網(wǎng) 虛擬專用網(wǎng)特點 安全保障 :所有的 VPN均應保證通過公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的專用性和安全性 服務質(zhì)量保證（ QoS） :VPN網(wǎng)應當為企業(yè)數(shù)據(jù)提供不同等級的服務質(zhì)量保證。不同的用戶和業(yè)務對服務質(zhì)量保證的要求差別較大 可擴充性和靈活性 :VPN必須能夠支持通過Intra和 Extra的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點，支持多種類型的傳輸媒介 可管理性 :從用戶角度和運營商角度應可方便地進行管理、維護 帶有虛擬專用網(wǎng)的防火墻 VPN VPN機制 在防火墻之間進行加密 存取與控制機能 防止在流入輸出時進行 帶有虛擬專用網(wǎng)的防火墻（續(xù)） 內(nèi)部網(wǎng) FTP服務器 WWW服務器 防火墻 外部 內(nèi)部 1 2 Inter 路由器 防火墻 內(nèi)部網(wǎng) FTP 服務器 WWW 服務器 防火墻 路由器 防火墻 ＶＰＮ解決方案的核心技術(shù) 隧道技術(shù)是 VPN的基本技術(shù)，類似于點對點連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。它利用一種網(wǎng)絡(luò)傳輸協(xié)議，將其他協(xié)議產(chǎn)生的數(shù)據(jù)報文封裝在它自己的報文中，在網(wǎng)絡(luò)中傳輸。 隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。 ＶＰＮ解決方案的核心技術(shù) （續(xù)） 第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到 PPP中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進行傳輸。 在已 有的 端 端隧道協(xié)議（ PPTP）、 第二層隧道協(xié)議（ L2TP） 和第二層轉(zhuǎn)發(fā)協(xié)議（ L2F） 等隧道解決方案中，以 ＰＰＴＰ 協(xié)議和Ｌ 2Ｆ協(xié)議最為成熟。 ＶＰＮ解決方案的核心技術(shù) （續(xù)） 第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進行傳輸。 第三層隧道協(xié)議有 VTP、 IPSec等。 IPSec（ IP Security） 是由一組 RFC文檔組成，定義了一個系統(tǒng)來提供安全協(xié)議選擇、安全算法，確定服務所使用密鑰等服務，從而在 IP層提供安全保障。它由三個協(xié)議組成：確認頭（ AH）、 封裝安全有效負載（ ESP）、 Inter密鑰交換（ IKE） 防火墻的優(yōu)點與限制 優(yōu)點： — 保護那些易受攻擊的服務 — 控制對特殊站點的訪問 — 集中化的安全管理 — 對網(wǎng)絡(luò)訪問進行記錄和統(tǒng)計 防火墻不能對付的安全威脅 — 來自內(nèi)部的攻擊 — 直接的 Inter數(shù)據(jù)流（如果內(nèi)域網(wǎng)中有些資源繞過防火墻直接與 Inter連接，則得不到防火墻的保護） — 病毒防護（病毒可以通過 FTP或其他工具傳入） 基于防火墻的網(wǎng)絡(luò)安全體系結(jié)構(gòu) （ 1） 基于防火墻的網(wǎng)絡(luò)安全體系結(jié)構(gòu) （ 2） 基于防火墻的網(wǎng)絡(luò)安全體系結(jié)構(gòu)由篩選路由器，堡壘模型和雙導向網(wǎng)關(guān)組成 篩選路由器： 在專用 IP網(wǎng)絡(luò)和 Inter之間插入一個路由器將它們分離開 ， 路由器負責過濾所有通過的 IP數(shù)據(jù)包并被成為篩選過濾器 堡壘主機是放置在安全和非安全網(wǎng)絡(luò)之間的機器 通過過濾的方法保護雙導向網(wǎng)關(guān)免受外部的攻擊 目錄服務 目錄是用于安全的認證和授權(quán) 一個目錄服務簡單地講是信息的存儲庫 目錄服務使用開放的，標準的 APIs， 提供了保存，修改，刪除，和獲取信息的能力 常用的基于標準的目錄結(jié)構(gòu) 基于標準的 LDAP的客戶端和服務器端 公共目錄模式：一個公共的目錄模式允許不同的應用程序共享相同的對象集合（例如用戶，地址等）以便每個人或資源的信息不會在網(wǎng)絡(luò)中生成或儲存多次 元目錄 ：元目錄提供了不同應用程序存儲在目錄中的信息的公共管理基礎(chǔ) 基于標準的 LDAP的客戶端和服務器端 元目錄 加密技術(shù) 密碼學：密碼編碼學、密碼分析學 密文（ CypherText）： 加密后的形式 C=E(P) 明文（ Plaintext）： 消息的初始形式 P=D(C) 密碼系統(tǒng)滿足： P=D(E(P)) 需要密鑰的加密算法，記為： C=E(K,P),即密文消息同時依賴于初始明文和密鑰的值。實際上， E是一組加密算法，而密鑰則用于選擇其中特定的一個算法 無鑰密碼：不需要使用密鑰的密碼 。 單鑰密碼：加密與解密的密鑰相同 。 雙鑰密碼：加密與解密的密鑰不同 明文 P 加密算法 E 加密密鑰 Ke 解密密鑰 Kd 解密算法 D 明文 P 密文 C 單鑰 (對稱密鑰、秘密密鑰 )加密算法 對信息的加密、解迷密使用相同的密鑰 C=E(P, K), P=D(C, K) 代表： DES、 3DES、 和 IDEA 優(yōu)點：簡單、速度快 問題： 密鑰的分發(fā) 密鑰的管理 單鑰加密、解密過程 DES加密算法的背景 發(fā)明人：美國 IBM公司 W. Tuchman 和 C. Meyer 19711972年研制成功。 基礎(chǔ)