【正文】 術(shù)來解決 ， 后者采用非保密的用戶定制代理或保密的代理系統(tǒng)技術(shù)來解決 。 新一代防火墻的主要技術(shù) LOGO 86 ?靈活的代理系統(tǒng) ： 代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊 。 ?透明的訪問方式： 以前的防火墻在訪問方式上或者要求用戶進(jìn)行系統(tǒng)登錄 ， 或者要求用戶安裝防火墻的客戶端軟件 。 2. 會(huì)降低網(wǎng)絡(luò)的速度 。 3. 性能堅(jiān)固 。 防火墻的分類 LOGO 78 LOGO 79 LOGO 80 LOGO 81 ? 狀態(tài)監(jiān)測(cè)防火墻的優(yōu)點(diǎn) 1. 監(jiān)測(cè)模塊支持多種協(xié)議和應(yīng)用程序 ， 并可以很容易地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充 。 據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì) ， 在針對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊中 ， 有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部 。 監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的 、 實(shí)時(shí)的監(jiān)測(cè) ， 在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上 ， 監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入 。 檢測(cè)模塊在不影響網(wǎng)絡(luò)正常工作的前提下 ， 采用抽取相關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測(cè) ，抽取部分?jǐn)?shù)據(jù) ， 即狀態(tài)信息 ， 并動(dòng)態(tài)地保存起來作為以后指定安全決策的參考 。 而這些方面 ， 對(duì)于一個(gè)網(wǎng)絡(luò)的健壯性是相當(dāng)重要的 。 因?yàn)榇砉ぷ饔赥CP/IP之上 ， 屬于應(yīng)用層 ， 所以它就不能改善底層通信協(xié)議的能力 。 每個(gè)應(yīng)用層協(xié)議 ， 都或多或少存在一些安全問題 ， 對(duì)于一個(gè)代理服務(wù)器來說 ， 要徹底避免這些安全隱患幾乎是不可能的 ， 除非關(guān)掉這些服務(wù) 。 防火墻的分類 LOGO 74 5. 代理服務(wù)不能保證免受所有協(xié)議弱點(diǎn)的限制 。 挑選 、 安裝和配置所有這些不同的服務(wù)器也可能是一項(xiàng)較大的工作 。 防火墻的分類 LOGO 73 3. 對(duì)于每項(xiàng)服務(wù)代理可能要求不同的服務(wù)器 。 許多代理要求客戶端作相應(yīng)改動(dòng)或安裝定制客戶端軟件 ， 這給用戶增加了不透明度 。 而代理工作于應(yīng)用層 ， 要檢查數(shù)據(jù)包的內(nèi)容 ， 按特定的應(yīng)用協(xié)議 (如 HTTP)進(jìn)行審查 、 掃描數(shù)據(jù)包內(nèi)容 ， 并進(jìn)行代理 (轉(zhuǎn)發(fā)請(qǐng)求或響應(yīng) )， 故其速度較慢 。 防火墻的分類 LOGO 72 ? 代理技術(shù)的缺點(diǎn) 1. 代理速度較包過濾慢 。如果把代理與這些手段聯(lián)合使用，將大大增加網(wǎng)絡(luò)安全性。 6. 代理可以方便地與其他安全手段集成。 這點(diǎn)在虛擬專用網(wǎng)中特別重要 。 防火墻的分類 LOGO 71 5. 代理能為用戶提供透明的加密機(jī)制 。 4. 代理能過濾數(shù)據(jù)內(nèi)容 。 防火墻的分類 LOGO 70 3. 代理能靈活 、 完全地控制進(jìn)出流量和內(nèi)容 。 這些日志 、 記錄對(duì)于流量分析和安全檢驗(yàn)是十分重要和寶貴的 。 2. 代理能生成各項(xiàng)記錄 。 因?yàn)榇硎且粋€(gè)軟件 ， 所以它較包過濾更易配置 ， 配置界面十分友好 。 這樣使得防火墻系統(tǒng)對(duì)于要訪問 Inter服務(wù)的內(nèi)部用戶來說使用起來很方便 ， 由于連接似乎是起源于防火墻 ， 因而可以隱藏受保護(hù)網(wǎng)絡(luò)的有關(guān)信息 ， 又能提供保護(hù)內(nèi)部網(wǎng)絡(luò)免于外部攻擊的防火墻功能 。 防火墻的分類 LOGO 66 ? 電路層網(wǎng)關(guān)常用于向外連接 ， 這時(shí)網(wǎng)絡(luò)管理員對(duì)其內(nèi)部用戶是信任的 。 防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的 “ 鏈接 ” ， 由兩個(gè)終止代理服務(wù)器上的 “ 鏈接 ” 來實(shí)現(xiàn) ， 外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器 ， 從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用 。 只有懂得如何與該電路網(wǎng)關(guān)通信的客戶機(jī)才能到達(dá)防火墻另一邊的服務(wù)器 。 它監(jiān)視兩主機(jī)建立連接時(shí)的握手信息是否合乎邏輯 ，信號(hào)有效后網(wǎng)關(guān)僅復(fù)制 、 傳遞數(shù)據(jù) ， 而不進(jìn)行過濾 。 在兩主機(jī)首次建立TCP連接時(shí)創(chuàng)立一個(gè)電子屏障 。 電路層網(wǎng)關(guān)用來在兩個(gè)通信的終點(diǎn)之間轉(zhuǎn)換包 。 防火墻的分類 LOGO 63 ?電路層網(wǎng)關(guān)防火墻：另一種類型的代理技術(shù)稱為電路層網(wǎng)關(guān)或 TCP通道 。 另外 ， 應(yīng)用層網(wǎng)關(guān)安全性較好 ， 支持強(qiáng)用戶認(rèn)證 、 提供詳細(xì)的日志信息以及較包過濾更易于配置和測(cè)試的過濾規(guī)則 。 防火墻的分類 LOGO 62 ? 應(yīng)用層網(wǎng)關(guān)的好處在于代理服務(wù)限制了命令集合和內(nèi)部主機(jī)支持的服務(wù) 。 對(duì)應(yīng)用服務(wù)的訪問都是通過訪問相應(yīng)的代理服務(wù)實(shí)現(xiàn)的 ， 而不允許用戶直接登錄到應(yīng)用層網(wǎng)關(guān) 。 LOGO Tel代理服務(wù) LOGO Inter客戶通過代理服務(wù)器訪問內(nèi)部網(wǎng)主機(jī) LOGO 60 ? 但是應(yīng)用級(jí)網(wǎng)關(guān)也存在一些不足之處 ， 首先它會(huì)使訪問速度變慢 ， 因?yàn)樗辉试S用戶直接訪問網(wǎng)絡(luò) ， 而且應(yīng)用級(jí)網(wǎng)關(guān)需要對(duì)每一個(gè)特定的互聯(lián)網(wǎng)服務(wù)安裝相應(yīng)的代理服務(wù)軟件 ， 用戶不能使用未被服務(wù)器支持的服務(wù) ， 對(duì)每一類服務(wù)要使用特殊的客戶端軟件 ， 并且不是所有的互聯(lián)網(wǎng)應(yīng)用軟件都可以使用代理服務(wù)器 。另一種情況是，外部網(wǎng)通過代理訪問內(nèi)部網(wǎng)。應(yīng)用級(jí)網(wǎng)關(guān)比單一的包過濾更為可靠，而且會(huì)詳細(xì)地記錄所有的訪問狀態(tài)信息。它的核心技術(shù)就是代理服務(wù)器技術(shù)，它是基于軟件的，通常安裝在專用的服務(wù)器或工作站系統(tǒng)上。 防火墻的分類 LOGO 55 真 實(shí) 服 務(wù) 器外部 響應(yīng)轉(zhuǎn) 發(fā) 請(qǐng) 求應(yīng) 用 層 代 理 服 務(wù)代 理 服 務(wù) 器請(qǐng)求轉(zhuǎn) 發(fā) 響 應(yīng)I真 實(shí) 的客 戶 端應(yīng) 用 協(xié) 議分析代 理 客 戶I n t e r n e tI n t r a n e t代理的工作方式 防火墻的分類 LOGO 56 ?應(yīng)用層網(wǎng)關(guān)型防火墻 (應(yīng)用級(jí)代理 ) ? 應(yīng)用層網(wǎng)關(guān)防火墻也就是傳統(tǒng)的代理型防火墻。 防火墻的分類 LOGO 54 ? 代理服務(wù)器通常運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間 ， 它對(duì)于客戶來說像是一臺(tái)服務(wù)器 ， 而對(duì)于外界的服務(wù)器來說 ， 它又是一臺(tái)客戶機(jī) 。 當(dāng)代理服務(wù)器接收到用戶對(duì)某站點(diǎn)的訪問請(qǐng)求后會(huì)檢查該請(qǐng)求是否符合規(guī)則 ， 如果規(guī)則允許用戶訪問該站點(diǎn)的話 ， 代理服務(wù)器會(huì)像一個(gè)客戶一樣去那個(gè)站點(diǎn)取回所需信息再轉(zhuǎn)發(fā)給客戶 。 代理防火墻一般是運(yùn)行代理服務(wù)器的主機(jī) 。 ? 代理防火墻通過編程來弄清用戶應(yīng)用層的流量 ，并能在用戶層和應(yīng)用協(xié)議層提供訪問控制 。 在實(shí)際應(yīng)用中 ， 現(xiàn)在很少把包過濾技術(shù)當(dāng)作單獨(dú)的安全解決方案 ， 而是把它與其他防火墻技術(shù)揉合在一起使用 。 如數(shù)據(jù)包過濾規(guī)則難以配置 、 過濾規(guī)則冗長而復(fù)雜不易理解和管理 、 規(guī)則的正確性測(cè)試?yán)щy 、 隨過濾數(shù)目的增加防火墻性能下降 、沒有用戶的使用記錄以及無黑客的攻擊記錄 。 例如 ， 對(duì)于數(shù)據(jù)包的來源 ， 包過濾防火墻只能限制主機(jī)而不能限制用戶；對(duì)于數(shù)據(jù)包的去向 ， 包過濾防火墻不能通過端口號(hào)對(duì)高級(jí)協(xié)議強(qiáng)行限制 。 防火墻的分類 LOGO 50 ? 無法執(zhí)行某些安全策略 。 ? 一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾 。 即使按 MAC地址進(jìn)行綁定 ， 也是不可信的 。 而 IP地址的偽造是很容易 、 很普遍的 。 防火墻的分類 LOGO 49 ? 包過濾防火墻的缺點(diǎn) ? 不能徹底防止地址欺騙 。 ? 價(jià)格較低 。 防火墻的分類 LOGO 48 ? 速度快 、 效率高 。 當(dāng)數(shù)據(jù)包過濾防火墻決定讓數(shù)據(jù)包通過時(shí) ， 它與普通路由器沒什么區(qū)別 。 ? 數(shù)據(jù)包過濾對(duì)用戶透明 。 LOGO （ 5） RPC服務(wù)中的包過濾的特點(diǎn) RPC的端口映射 LOGO （ 6）源端口過濾的作用 規(guī) 則 方 向 源 地 址 目的地址 協(xié) 議 源 端 口 目的端口 動(dòng) 作 A 入 任意 TCP / 25 拒絕 B 出 任意 TCP / 1023 任意 C 出 任意 TCP / 25 允許 D 入 任意 TCP / 1023 允許 LOGO （ 7） ACK位在數(shù)據(jù)包過濾中的作用 過濾規(guī)則示例 規(guī)則 方向 源地址 目的地址 協(xié)議 源端口 目的端口 ACK設(shè)置 動(dòng)作 A 出 任意 TCP 1023 23 任意 允許 B 入 任意 TCP 23 1023 是 允許 LOGO 用 ACK位阻止欺騙 LOGO 47 ? 包過濾防火墻的優(yōu)點(diǎn) ? 一個(gè)包過濾防火墻能協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò) 。 ③ 返回錯(cuò)誤代碼能使得侵襲者得到很多有關(guān)你發(fā)送的數(shù)據(jù)包過濾信息。 ① 防火墻應(yīng)該發(fā)送什么消息。第三條規(guī)則：任何主機(jī)的 20端口訪問主機(jī) 1024的端口，如果基于 TCP協(xié)議的數(shù)據(jù)包都禁止通過。 LOGO ? 一個(gè)可靠的分組過濾防火墻依賴于規(guī)則集 ? 第一條規(guī)則：主機(jī) ，基于 TCP協(xié)議的數(shù)據(jù)包都允許通過。 防火墻的分類 LOGO 包過濾模型 LOGO 包過濾一般要檢查下面幾項(xiàng)： （ 1） IP源地址； （ 2） IP目的地址； （ 3） 協(xié)議類型 （ TCP包 、 UDP包和 ICMP包 ） ； （ 4） TCP或 UDP的源端口； （ 5） TCP或 UDP的目的端口； （ 6） ICMP消息類型； （ 7） TCP報(bào)頭中的 ACK位 。 防火墻的分類 LOGO 36 ? 有些防火墻采用了基于連接狀態(tài)的檢查 ， 將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待 ， 通過規(guī)則表與連接狀態(tài)表的共同配合進(jìn)行檢查 ， 稱為動(dòng)態(tài)過濾規(guī)則 。防火墻的 IP包過濾，主要是根據(jù)一個(gè)有固定排序的規(guī)則鏈過濾，其中的每個(gè)規(guī)則包含著 IP地址、端口、傳輸方向、分包、協(xié)議等多項(xiàng)內(nèi)容。 包過濾這個(gè)操作可以在路由器上進(jìn)行 ，也可以在網(wǎng)橋 ， 甚至在一個(gè)單獨(dú)的主機(jī)上進(jìn)行 。 網(wǎng)絡(luò)上的數(shù)據(jù)都是以 “ 包 ” 為單位進(jìn)行傳輸?shù)?， 數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包 ， 每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息 ， 如數(shù)據(jù)的 IP源地址 、 IP目標(biāo)地址 、 封裝協(xié)議 (TCP 、 UDP 、 ICMP 等 ) 、TCP/UDP源端口和目標(biāo)端口等 。 防火墻的分類 LOGO 34 ? 包過濾防火墻 ? 包過濾 （ Packet Filtering） 是第一代防火墻技術(shù) 。目前使用芯片級(jí)防火墻技術(shù)成為實(shí)現(xiàn)千兆防火墻的主要選擇 。 專用硬件和軟件的結(jié)合提供了線速處理 、 深層次信息包檢查 、 堅(jiān)固的加密 、 復(fù)雜內(nèi)容和行為掃描功能的優(yōu)化等 ， 不會(huì)在網(wǎng)絡(luò)流量的處理上出現(xiàn)瓶頸 。 芯片級(jí)防火墻不存在這個(gè)問題 ， 自身有很好的安全保護(hù) ， 所以較其他類型的防火墻安全性高一些 。 防火墻的分類 LOGO 31 ? 軟件防火墻和硬件防火墻的安全性很大程度上決定于操作系統(tǒng)自身的安全性 。 防火墻的分類 LOGO 30 ?三種類型防火墻比較 ? 由于軟件防火墻和硬件防火墻的結(jié)構(gòu)是運(yùn)行于一定的操作系統(tǒng)之上 ， 就決定了它的功能是可以隨著客戶的實(shí)際需要而做相應(yīng)調(diào)整的 ， 這一點(diǎn)比較靈活 。 防火墻的分類 LOGO 29 ? 芯片級(jí)防火墻：基于專門的硬件平臺(tái) ， 核心部分就是 ASIC芯片 ， 所有的功能都集成做在芯片上 。 目前市場(chǎng)上大多數(shù)防火墻都是這種所謂的硬件防火墻 ， 它們都基于 PC架構(gòu) ， 就是說 ， 它們和普通的家庭用的 PC沒有太大區(qū)別 。 LOGO 28 ? 硬件防火墻：這里說的硬件防火墻是針對(duì)芯片級(jí)防火墻來說的 。 ? 軟件防火墻：網(wǎng)絡(luò)版的軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上 ， 它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持 ， 一般來說這臺(tái)計(jì)算機(jī)就是整個(gè)內(nèi)部網(wǎng)絡(luò)的網(wǎng)關(guān) 。 LOGO