【正文】 它安全手段集成，認(rèn)證、加密59代理技術(shù)的缺點 ? 代理速度較路由器慢? 代理對用戶不透明? 對于每項服務(wù)代理可能要求不同的服務(wù)器? 代理服務(wù)通常要求對客戶、過程之一或兩者進(jìn)行限制? 代理服務(wù)不能保證免受所有協(xié)議弱點的限制? 代理不能改進(jìn)底層協(xié)議的安全性2022/11/5Copyright169。5455代理服務(wù)器數(shù)據(jù)包的重構(gòu)過程 56在 Windows系統(tǒng)下的 IE瀏覽器的配置 57代理服務(wù)器例子 ? （ 3）使用二級代理? 瀏覽 WEB： HTTP客戶端 (IE) —— 代理服務(wù)器(HTTP Proxy) —— 二級代理服務(wù)器 (HTTP Proxy或 SOCKS5 Proxy) —— HTTP服務(wù)器。? （ 2）僅使用一級代理? 瀏覽 WEB： HTTP客戶端 (IE) —— 代理服務(wù)器(HTTP Proxy) —— HTTP服務(wù)器。52代理服務(wù)器工作模型 53代理服務(wù)器例子 ? （ 1）不使用代理，正常上網(wǎng)的流程? 瀏覽 WEB： HTTP客戶端 (IE) —— HTTP服務(wù)器。類似于網(wǎng)絡(luò)緩存。電子科技大學(xué)計算機學(xué)院 51代理服務(wù)器的主要功能? 提高訪問速度：? 本身帶寬較小，通過帶寬較大的 proxy與目標(biāo)主機連接。這樣，局域網(wǎng)內(nèi)沒有與外網(wǎng)相連的眾多機器就可以通過內(nèi)網(wǎng)的一臺代理服務(wù)器連接到外網(wǎng)，大大減少費用。電子科技大學(xué)計算機學(xué)院 50代理服務(wù)器的主要功能? 連接 Inter與 Intra 充當(dāng)防火墻? 因為所有內(nèi)部網(wǎng)的用戶通過代理服務(wù)器訪問外界時，只映射為一個IP地址， 所以外界不能直接訪問到內(nèi)部網(wǎng) ；? 同時可以設(shè)置 IP地址過濾， 限制內(nèi)部網(wǎng)對外部 的訪問權(quán)限；? 另外，兩個沒有互聯(lián)的內(nèi)部網(wǎng)，也可以通過 第三方的代理服務(wù)器 進(jìn)行互聯(lián)來交換信息。2022/11/5Copyright169。電子科技大學(xué)計算機學(xué)院 48代理服務(wù)器的適用環(huán)境? 代理服務(wù)器適用于特定的 Inter服務(wù)，如 HTTP、 FTP等。? 網(wǎng)絡(luò)地址轉(zhuǎn)換（ NAT， Network Address Translation），有時也稱為 IP偽裝。2022/11/5Copyright169。意思是一臺網(wǎng)絡(luò)主機將內(nèi)部網(wǎng)絡(luò)主機的包進(jìn)行修改 ,這樣 ,它們就能夠通過 Inter發(fā)出了。 應(yīng)用代理型防火墻2022/11/539應(yīng)用層網(wǎng)關(guān)及 HTTP代理應(yīng)用層網(wǎng)關(guān)內(nèi)部連接外部主機 TelFTP內(nèi)部主機…HTTP外部連接2022/11/5Copyright169。如果協(xié)議不支持代理（如 SMTP和 POP），那就只能在應(yīng)用層以下代理。電子科技大學(xué)計算機學(xué)院 37應(yīng)用層代理? 其物理位置與包過濾路由器一樣，邏輯位置在應(yīng)用層上， 針對特定的應(yīng)用層協(xié)議，如超文本傳輸(HTTP)，文件傳輸 (FTP)等等。? Applicationlayer proxies，也稱做應(yīng)用層網(wǎng)關(guān)，又稱雙宿主網(wǎng)關(guān)，是到目前為止 ,最流行的代理方式。電子科技大學(xué)計算機學(xué)院 36應(yīng)用層代理? 代理服務(wù)器從內(nèi)部網(wǎng)絡(luò)客戶端接受請求。2022/11/5Copyright169。代理服務(wù)器位于網(wǎng)絡(luò)和 Inter之間，接收、分析服務(wù)請求，并在允許的情況下對其進(jìn)行轉(zhuǎn)發(fā)。代理防火墻332022/11/5Copyright169。? 保留、 DHCP自動配置和多播地址也需要被阻塞。32建議過濾規(guī)則? 任何進(jìn)入或離開內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包不能把一個私有地址（ private address）或在RFC1918中 ）的地址作為源或目的地址。? 任何離開內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包必須把網(wǎng)絡(luò)內(nèi)部的地址作為源地址。電子科技大學(xué)計算機學(xué)院 30路由器與包過濾防火墻? 有了路由器，還需要包過濾防火墻嗎？? 路由器審計，性能，附加安全功能較差? 可能需要購買加強安全功能的版本，如 CISCO公司的路由器? 對硬件要求較高31建議過濾規(guī)則? 任何進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包不能把網(wǎng)絡(luò)內(nèi)部的地址作為源地址。包過濾只能工作在有黑白分明安全策略的網(wǎng)絡(luò)環(huán)境中。電子科技大學(xué)計算機學(xué)院 29包過濾的缺點? 規(guī)則表隨著應(yīng)用的深化會很快變得很大而且復(fù)雜，這樣不僅規(guī)則難以測試，而且規(guī)則結(jié)構(gòu)出現(xiàn)漏洞的可能性也會增加。? 分組過濾在網(wǎng)絡(luò)層實現(xiàn)，不要求改動應(yīng)用程序，對用戶透明，用戶感覺不到過濾服務(wù)器的存在，因而使用方便。2022/11/5Copyright169。 網(wǎng)絡(luò)的安全策略中的有兩種方法：默認(rèn)拒絕（沒有明確地被允許就應(yīng)被拒絕）與默認(rèn)允許（沒有明確地被拒絕就應(yīng)被允許）。 在我們制定包過濾規(guī)則時，必須準(zhǔn)確理解 “ 往內(nèi) ” 與 “ 往外 ” 的包和 “ 往內(nèi) ”與 “ 往外 ” 的服務(wù)這幾個詞的語義。2022/11/5Copyright169。 協(xié)議總是雙向的，協(xié)議包括一方發(fā)送一個請求而另一方返回一個應(yīng)答。2022/11/5Copyright169。電子科技大學(xué)計算機學(xué)院 25包過濾防火墻的配置首先 要確定哪些服務(wù)允許通過而哪些服務(wù)應(yīng)被拒絕，并將這些規(guī)定 翻譯 成有關(guān)的包過濾規(guī)則。電子科技大學(xué)計算機學(xué)院 24分組過濾規(guī)則示例? 一個可靠的分組過濾防火墻依賴于規(guī)則集，表中列出了幾條典型的規(guī)則集。沒辦法，簡單包過濾只能這樣。即只考慮一個連接的第一個數(shù)據(jù)包。電子科技大學(xué)計算機學(xué)院 22包過濾操作流程圖2022/11/5Copyright169。TCP/UDP端口過濾 對 TCP/UDP端口進(jìn)行過濾 ,可以限定對特定服務(wù)的訪問 ,以及抵抗端口掃描和拒絕訪問攻擊。IP選項過濾 大多數(shù) ICMP報文會向外泄露一些內(nèi)部網(wǎng)絡(luò)信息，必須根據(jù)報文類型來進(jìn)行流量過濾。IP分段過濾 大部分選項用來用來設(shè)置安全和路由信息，可用來攻擊網(wǎng)絡(luò)。 2022/11/5包過濾（續(xù)）數(shù)據(jù)包過濾特性IP地址過濾 信任環(huán)境下 IP地址可以作為身份認(rèn)證的依據(jù)，并通過對 IP地址的過濾進(jìn)行訪問控制。使用一些規(guī)則來確定是否轉(zhuǎn)發(fā)或丟棄數(shù)據(jù)包。2022/11/5 Copyright169。電子科技大學(xué)計算機學(xué)院 1