【文章內(nèi)容簡介】 應用級網(wǎng)關(guān)的概念 多歸屬主機（網(wǎng)關(guān)）：多個網(wǎng)絡接口卡 典型的多歸屬主機結(jié)構(gòu) 50第 9章 網(wǎng)絡安全和網(wǎng)絡管理技術(shù)College of automation應用級網(wǎng)關(guān)雙歸屬主機可以用于網(wǎng)絡安全與網(wǎng)絡服務的代理在應用層過濾進出內(nèi)部網(wǎng)絡特定服務的用戶請求與響應51第 9章 網(wǎng)絡安全和網(wǎng)絡管理技術(shù)College of automation應用代理應用級網(wǎng)關(guān)：在應用層 “轉(zhuǎn)發(fā) ”合法的應用請求應用代理：隔離了用戶主機與被訪問服務器之間的數(shù)據(jù)包交換通道52第 9章 網(wǎng)絡安全和網(wǎng)絡管理技術(shù)College of automation一、代理服務器的工作機制 代理服務器的使用A B C二、代理服務器存在的理由 局域局內(nèi)沒有與外網(wǎng)相連的機器通過內(nèi)網(wǎng)的代理服務器連接到 外網(wǎng) 為了獲得更大的速度，通過頻寬較大的 proxy與目標主機連接同一地區(qū)未互聯(lián)的不同網(wǎng)絡通過代理建立連接 可以免費訪問因特網(wǎng) 53第 9章 網(wǎng)絡安全和網(wǎng)絡管理技術(shù)College of automation三、誰架設(shè)了代理服務器是大型機關(guān)、企業(yè)事業(yè)、教育機構(gòu) ISP 四、 局域網(wǎng)連接共享實現(xiàn)代理 (配置最簡單 )54第 9章 網(wǎng)絡安全和網(wǎng)絡管理技術(shù)College of automationWinRoute共享代理上網(wǎng)詳解 （ 網(wǎng)上有更詳細的幫助文件 ）㈠主要功能 DNS緩存和轉(zhuǎn)發(fā) DNS域名查詢信息可以端口映射實現(xiàn)反向代理功能，讓外部訪問受 NAT保護的內(nèi)部網(wǎng)絡所提供的一些功能55第 9章 網(wǎng)絡安全和網(wǎng)絡管理技術(shù)College of automation它具有路由器的尋徑功能，讓局域網(wǎng)里的多臺計算機使用同一個 IP地址訪問因特網(wǎng)，還能自動保護內(nèi)部網(wǎng)絡不受到外部的攻擊該軟件支持基于 IP地址的過濾和限制，提供限制可訪問的 URL的安全功能５、利用該軟件提供的 DHCP服務器功能，可以動態(tài)分配局域網(wǎng)上的計算機的 TCP/IP地址。６、為保證安全，用戶可以通過該軟件定義一個過濾規(guī)則，對經(jīng)過代理服務器的數(shù)據(jù)信息進行過濾 ７、它能提供代理服務器功能，并且可以設(shè)置緩存這樣就可以大幅度提高游覽的速度。 (這個功能是非常有用的 ) ８、它還可以作為電子郵件服務器來使用，利用它來接受和發(fā)送電子郵件。（基本不用） 56第 9章 網(wǎng)絡安全和網(wǎng)絡管理技術(shù)College of automation㈡ winroute的安裝安裝前：在安裝 ，必須要求所在的機器應既能連接到因特網(wǎng)又能被局域網(wǎng)內(nèi)的機器訪問 安裝：到站點下載后，雙擊 “ ” 進行安裝，安裝完后不要重新啟動57第 9章 網(wǎng)絡安全和網(wǎng)絡管理技術(shù)College of automation漢化：雙擊 “ ” 彈出如下窗口，選擇 winroute的安裝路徑，漢化成中文，重新啟動即可使用初始化設(shè)置：右鍵點擊任務欄上的 winroute圖標，選啟動參數(shù)設(shè)置，彈出如下如圖所示的窗口，點選所需的選項58第 9章 網(wǎng)絡安全和網(wǎng)絡管理技術(shù)College of automation㈢參數(shù)設(shè)置登錄：右鍵點擊 任務欄上的 winroute圖標，選 winroute管理，彈出如左圖所示的界面，新安裝的 winroute4。 1的 admin用戶密碼是沒有你可以直接按確定就可以了。 改變管理員密碼：單擊 “ 設(shè)置 ”—— 賬號，在右圖所示的窗口中點擊 “ 編輯 ” 按鈕，改變 Admin的密碼59第 9章 網(wǎng)絡安全和網(wǎng)絡管理技術(shù)College of automation撥號設(shè)置：因現(xiàn)在基本是寬帶，用時可參考教材雙網(wǎng)卡設(shè)置：在網(wǎng)絡屬性中對兩塊網(wǎng)卡的 Tcp/ip屬性進行設(shè)置網(wǎng)卡 1： ip地址 掩碼： 網(wǎng)關(guān)： Dns: 網(wǎng)卡 1直接與 inter相連網(wǎng)卡 2： ip地址 掩碼： 網(wǎng)關(guān)： 空 Dns: 網(wǎng)卡 2與內(nèi)部局域網(wǎng)相連60第 9章 網(wǎng)絡安全和網(wǎng)絡管理技術(shù)College of automation接口表設(shè)置：設(shè)置 —— 接口表，如左圖所示，為了啟用地址轉(zhuǎn)換功能，需打開連接外網(wǎng)網(wǎng)卡的 NAT功能。選中下面的網(wǎng)卡，點屬性，彈出右圖，選中上面的復選框。是否對本機進行特殊處理61第 9章 網(wǎng)絡安全和網(wǎng)絡管理技術(shù)College of automation代理服務器設(shè)置：設(shè)置 —— 代理服務器本機的代理端口本機上一級代理的 IP地址和端口62第 9章 網(wǎng)絡安全和網(wǎng)絡管理技術(shù)College of automation在訪問界面中可設(shè)置使用代理的情況下，限制用戶對外網(wǎng)的訪問比如：所有用戶都可訪問 *.*.只有 imacbl和 yyyhan可以訪問 *.*網(wǎng)址63第 9章 網(wǎng)絡安全和網(wǎng)絡管理技術(shù)College of automation DHCP服務器設(shè)置：設(shè)置 —— DHCP服務器，彈出左圖所示窗口，查看已有的租用，可點擊 “ 新建范圍 ” 彈出右圖所示窗口，添加新的租用范圍：比如：添加 IP： 掩碼 ： DNS : 網(wǎng)關(guān) ： (連接局域網(wǎng)網(wǎng)卡的 IP地址 )64第 9章 網(wǎng)絡安全和網(wǎng)絡管理技術(shù)College of automation在上頁左圖中點擊 “ 添加租用 ” ，可彈出下圖，可以為一些機器保留固定的 IP地址在上頁左圖中點擊 “編輯 ”，可對已有的一此設(shè)置進行修改65第 9章 網(wǎng)絡安全和網(wǎng)絡管理技術(shù)College of automation DNS服務器設(shè)置 —— DNS服務器，啟用 DNS轉(zhuǎn)發(fā)66第 9章 網(wǎng)絡安全和網(wǎng)絡管理技術(shù)College of automation㈣ winroute的高級設(shè)置數(shù)據(jù)包過濾器：如圖所示打開數(shù)據(jù)包過濾器67第 9章 網(wǎng)絡安全和網(wǎng)絡管理技術(shù)College of automation數(shù)據(jù)包過濾器配置舉例，如下的配置將強制除 所有局域網(wǎng)計算機必須通過代理對外界的 WEB服務器進行訪問可直接對外進行訪問可直接對外進行訪問所有的計算機不允許對外界的 80端口（即 WEB） 進行訪問選擇對內(nèi)的網(wǎng)卡進行配置68第 9章 網(wǎng)絡安全和網(wǎng)絡管理技術(shù)College of automation端口映射：對 web訪問轉(zhuǎn)向內(nèi)網(wǎng)中 對代理機器 FTP的訪問轉(zhuǎn)向內(nèi)網(wǎng)中 對 web訪問轉(zhuǎn)向內(nèi)網(wǎng)中 類似上述描述：3389端口為 WIN2K的終端服務4899端口為下節(jié)課要講的遠程控制軟件所用44333為 WINROUTE的遠程管理所用端口69第 9章 網(wǎng)絡安全和網(wǎng)絡管理技術(shù)College of automation遠程管理 :A、 設(shè)置 —— 高級 —— 遠程管理，如圖 1B、 設(shè)置 —— 高級 —— 端口映射，如圖 2C、 將 ，執(zhí)行后，再圖 3的 winroute主機處輸入被管理的 Winroute主機 IP地址選中這一條必須加上70第 9章 網(wǎng)絡安全和網(wǎng)絡管理技術(shù)College of automation防火墻的系統(tǒng)結(jié)構(gòu) 堡壘主機的概念 一個雙歸屬主機作為應用級網(wǎng)關(guān)可以起到防火墻作用；處于防火墻關(guān)鍵部位、運行應用級網(wǎng)關(guān)軟件的計算機系統(tǒng)叫做堡壘主機。需要注意的問題可靠的操作系統(tǒng)；刪除不必要的服務和應用軟件，保留必需的服務；安裝代理軟件；配置資源保護、用戶身份鑒別與訪問控制，設(shè)置審計與日志功能；設(shè)計堡壘主機防攻擊方法，以及破壞后的應急方案。71第 9章 網(wǎng)絡安全和網(wǎng)絡管理技術(shù)College of automation典型防火墻系統(tǒng)系統(tǒng)結(jié)構(gòu)分析 采用一個過濾路由器與一個堡壘主機 組成的 SB1防火墻 系統(tǒng)結(jié)構(gòu) 72第 9章 網(wǎng)絡安全和網(wǎng)絡管理技術(shù)College of automation包過濾路由器的轉(zhuǎn)發(fā)過程 73第 9章 網(wǎng)絡安全和網(wǎng)絡管理技術(shù)College of automationSB1配置的防火墻系統(tǒng)中數(shù)據(jù)傳輸過程 74第 9章