【文章內(nèi)容簡介】 應(yīng)用級網(wǎng)關(guān)的概念 多歸屬主機(jī)（網(wǎng)關(guān)）：多個(gè)網(wǎng)絡(luò)接口卡 典型的多歸屬主機(jī)結(jié)構(gòu) 50第 9章 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)College of automation應(yīng)用級網(wǎng)關(guān)雙歸屬主機(jī)可以用于網(wǎng)絡(luò)安全與網(wǎng)絡(luò)服務(wù)的代理在應(yīng)用層過濾進(jìn)出內(nèi)部網(wǎng)絡(luò)特定服務(wù)的用戶請求與響應(yīng)51第 9章 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)College of automation應(yīng)用代理應(yīng)用級網(wǎng)關(guān)：在應(yīng)用層 “轉(zhuǎn)發(fā) ”合法的應(yīng)用請求應(yīng)用代理：隔離了用戶主機(jī)與被訪問服務(wù)器之間的數(shù)據(jù)包交換通道52第 9章 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)College of automation一、代理服務(wù)器的工作機(jī)制 代理服務(wù)器的使用A B C二、代理服務(wù)器存在的理由 局域局內(nèi)沒有與外網(wǎng)相連的機(jī)器通過內(nèi)網(wǎng)的代理服務(wù)器連接到 外網(wǎng) 為了獲得更大的速度，通過頻寬較大的 proxy與目標(biāo)主機(jī)連接同一地區(qū)未互聯(lián)的不同網(wǎng)絡(luò)通過代理建立連接 可以免費(fèi)訪問因特網(wǎng) 53第 9章 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)College of automation三、誰架設(shè)了代理服務(wù)器是大型機(jī)關(guān)、企業(yè)事業(yè)、教育機(jī)構(gòu) ISP 四、 局域網(wǎng)連接共享實(shí)現(xiàn)代理 (配置最簡單 )54第 9章 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)College of automationWinRoute共享代理上網(wǎng)詳解 （ 網(wǎng)上有更詳細(xì)的幫助文件 ）㈠主要功能 DNS緩存和轉(zhuǎn)發(fā) DNS域名查詢信息可以端口映射實(shí)現(xiàn)反向代理功能，讓外部訪問受 NAT保護(hù)的內(nèi)部網(wǎng)絡(luò)所提供的一些功能55第 9章 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)College of automation它具有路由器的尋徑功能，讓局域網(wǎng)里的多臺計(jì)算機(jī)使用同一個(gè) IP地址訪問因特網(wǎng)，還能自動保護(hù)內(nèi)部網(wǎng)絡(luò)不受到外部的攻擊該軟件支持基于 IP地址的過濾和限制，提供限制可訪問的 URL的安全功能５、利用該軟件提供的 DHCP服務(wù)器功能，可以動態(tài)分配局域網(wǎng)上的計(jì)算機(jī)的 TCP/IP地址。６、為保證安全，用戶可以通過該軟件定義一個(gè)過濾規(guī)則，對經(jīng)過代理服務(wù)器的數(shù)據(jù)信息進(jìn)行過濾 ７、它能提供代理服務(wù)器功能，并且可以設(shè)置緩存這樣就可以大幅度提高游覽的速度。 (這個(gè)功能是非常有用的 ) ８、它還可以作為電子郵件服務(wù)器來使用，利用它來接受和發(fā)送電子郵件。（基本不用） 56第 9章 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)College of automation㈡ winroute的安裝安裝前：在安裝 ，必須要求所在的機(jī)器應(yīng)既能連接到因特網(wǎng)又能被局域網(wǎng)內(nèi)的機(jī)器訪問 安裝：到站點(diǎn)下載后，雙擊 “ ” 進(jìn)行安裝，安裝完后不要重新啟動57第 9章 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)College of automation漢化：雙擊 “ ” 彈出如下窗口，選擇 winroute的安裝路徑，漢化成中文，重新啟動即可使用初始化設(shè)置：右鍵點(diǎn)擊任務(wù)欄上的 winroute圖標(biāo)，選啟動參數(shù)設(shè)置，彈出如下如圖所示的窗口，點(diǎn)選所需的選項(xiàng)58第 9章 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)College of automation㈢參數(shù)設(shè)置登錄：右鍵點(diǎn)擊 任務(wù)欄上的 winroute圖標(biāo)，選 winroute管理，彈出如左圖所示的界面，新安裝的 winroute4。 1的 admin用戶密碼是沒有你可以直接按確定就可以了。 改變管理員密碼：單擊 “ 設(shè)置 ”—— 賬號，在右圖所示的窗口中點(diǎn)擊 “ 編輯 ” 按鈕，改變 Admin的密碼59第 9章 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)College of automation撥號設(shè)置：因現(xiàn)在基本是寬帶，用時(shí)可參考教材雙網(wǎng)卡設(shè)置：在網(wǎng)絡(luò)屬性中對兩塊網(wǎng)卡的 Tcp/ip屬性進(jìn)行設(shè)置網(wǎng)卡 1： ip地址 掩碼： 網(wǎng)關(guān)： Dns: 網(wǎng)卡 1直接與 inter相連網(wǎng)卡 2： ip地址 掩碼： 網(wǎng)關(guān)： 空 Dns: 網(wǎng)卡 2與內(nèi)部局域網(wǎng)相連60第 9章 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)College of automation接口表設(shè)置：設(shè)置 —— 接口表，如左圖所示，為了啟用地址轉(zhuǎn)換功能，需打開連接外網(wǎng)網(wǎng)卡的 NAT功能。選中下面的網(wǎng)卡，點(diǎn)屬性，彈出右圖，選中上面的復(fù)選框。是否對本機(jī)進(jìn)行特殊處理61第 9章 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)College of automation代理服務(wù)器設(shè)置：設(shè)置 —— 代理服務(wù)器本機(jī)的代理端口本機(jī)上一級代理的 IP地址和端口62第 9章 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)College of automation在訪問界面中可設(shè)置使用代理的情況下，限制用戶對外網(wǎng)的訪問比如：所有用戶都可訪問 *.*.只有 imacbl和 yyyhan可以訪問 *.*網(wǎng)址63第 9章 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)College of automation DHCP服務(wù)器設(shè)置：設(shè)置 —— DHCP服務(wù)器，彈出左圖所示窗口，查看已有的租用，可點(diǎn)擊 “ 新建范圍 ” 彈出右圖所示窗口，添加新的租用范圍：比如：添加 IP： 掩碼 ： DNS : 網(wǎng)關(guān) ： (連接局域網(wǎng)網(wǎng)卡的 IP地址 )64第 9章 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)College of automation在上頁左圖中點(diǎn)擊 “ 添加租用 ” ，可彈出下圖，可以為一些機(jī)器保留固定的 IP地址在上頁左圖中點(diǎn)擊 “編輯 ”，可對已有的一此設(shè)置進(jìn)行修改65第 9章 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)College of automation DNS服務(wù)器設(shè)置 —— DNS服務(wù)器，啟用 DNS轉(zhuǎn)發(fā)66第 9章 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)College of automation㈣ winroute的高級設(shè)置數(shù)據(jù)包過濾器：如圖所示打開數(shù)據(jù)包過濾器67第 9章 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)College of automation數(shù)據(jù)包過濾器配置舉例，如下的配置將強(qiáng)制除 所有局域網(wǎng)計(jì)算機(jī)必須通過代理對外界的 WEB服務(wù)器進(jìn)行訪問可直接對外進(jìn)行訪問可直接對外進(jìn)行訪問所有的計(jì)算機(jī)不允許對外界的 80端口（即 WEB） 進(jìn)行訪問選擇對內(nèi)的網(wǎng)卡進(jìn)行配置68第 9章 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)College of automation端口映射：對 web訪問轉(zhuǎn)向內(nèi)網(wǎng)中 對代理機(jī)器 FTP的訪問轉(zhuǎn)向內(nèi)網(wǎng)中 對 web訪問轉(zhuǎn)向內(nèi)網(wǎng)中 類似上述描述：3389端口為 WIN2K的終端服務(wù)4899端口為下節(jié)課要講的遠(yuǎn)程控制軟件所用44333為 WINROUTE的遠(yuǎn)程管理所用端口69第 9章 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)College of automation遠(yuǎn)程管理 :A、 設(shè)置 —— 高級 —— 遠(yuǎn)程管理，如圖 1B、 設(shè)置 —— 高級 —— 端口映射，如圖 2C、 將 ，執(zhí)行后，再圖 3的 winroute主機(jī)處輸入被管理的 Winroute主機(jī) IP地址選中這一條必須加上70第 9章 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)College of automation防火墻的系統(tǒng)結(jié)構(gòu) 堡壘主機(jī)的概念 一個(gè)雙歸屬主機(jī)作為應(yīng)用級網(wǎng)關(guān)可以起到防火墻作用；處于防火墻關(guān)鍵部位、運(yùn)行應(yīng)用級網(wǎng)關(guān)軟件的計(jì)算機(jī)系統(tǒng)叫做堡壘主機(jī)。需要注意的問題可靠的操作系統(tǒng)；刪除不必要的服務(wù)和應(yīng)用軟件，保留必需的服務(wù)；安裝代理軟件；配置資源保護(hù)、用戶身份鑒別與訪問控制，設(shè)置審計(jì)與日志功能；設(shè)計(jì)堡壘主機(jī)防攻擊方法，以及破壞后的應(yīng)急方案。71第 9章 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)College of automation典型防火墻系統(tǒng)系統(tǒng)結(jié)構(gòu)分析 采用一個(gè)過濾路由器與一個(gè)堡壘主機(jī) 組成的 SB1防火墻 系統(tǒng)結(jié)構(gòu) 72第 9章 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)College of automation包過濾路由器的轉(zhuǎn)發(fā)過程 73第 9章 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)College of automationSB1配置的防火墻系統(tǒng)中數(shù)據(jù)傳輸過程 74第 9章