【正文】 同樣的內(nèi)容，既節(jié)約了時間也節(jié)約了網(wǎng)絡(luò)資源。代理服務(wù)器通常運行在兩個網(wǎng)絡(luò)之間，它對于客戶來說是象是一臺真的服務(wù)器一樣，而對于外界的服務(wù)器來說，它又是一臺客戶機。 應(yīng)用級防火墻 應(yīng)用級網(wǎng)關(guān)防火墻你也許不熟悉，它的別名是代理服務(wù)器，這種防火墻有較好的訪問控制，是目前最安全的防火墻技術(shù)，但它對用戶是不透明的，用戶在受信任的網(wǎng)絡(luò)上通過防火墻訪問 Inter時，經(jīng)常會發(fā)現(xiàn)存在延遲并且必須進行多次登錄（ Login）才能訪問 Inter或 Intra。另外，通過定義基于 TCP或 UDP數(shù)據(jù)包的端口號，防火墻能夠判斷是否允許建立特定的連接，如 Tel、 FTP連接。包過濾防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。一個路由器便是一個“傳統(tǒng)”的網(wǎng)絡(luò)級防火墻，大多數(shù)的路由器都能通過檢查這些信息來決定是否將所收到的包轉(zhuǎn)發(fā)，但它不能判斷出一個 IP包來自何方，去向何處。 167。這種技術(shù)既緩解了少量的 IP地址和大量的主機之間的矛盾，又對外隱藏了內(nèi)部主機的 IP地址，提高了安全性。同時，對于內(nèi)部的某些服務(wù)器如 Web服務(wù)器，網(wǎng)絡(luò)地址轉(zhuǎn)換器允許為其分配一個固定的合法地址。網(wǎng)絡(luò)地址轉(zhuǎn)換器就是在防火墻上裝一個合法 IP地址集。 5. 網(wǎng)絡(luò)地址轉(zhuǎn)換器 (NAT Network Address Translate) 當受保護網(wǎng)連到 Inter上時，受保護網(wǎng)用戶若要訪問 Inter，必須使用一個合法的 IP地址。從 Inter上看，就只是兩個防火墻的通信。 子網(wǎng) A中一主機（ IP地址為 ）欲向子網(wǎng) B中某主機（ IP地址為 ）發(fā)送報文，該報文經(jīng)過本網(wǎng)防火墻FW1（ IP地址 ）時，防火墻判斷該報文是否發(fā)往子網(wǎng) B，若是，則再增加一報頭，變成從此防火墻到子網(wǎng) B防火墻 FW2（ ）的 IP報文，而將原 IP地址封裝在數(shù)據(jù)區(qū)內(nèi)，同原數(shù)據(jù)一起加密后經(jīng) Inter發(fā)往 FW2。 4. IP通道（ IPTunnels） 當兩個相關(guān)的網(wǎng)絡(luò)相隔很遠，要通過 Inter通信的情況下，可以采用IPTunnels來防止 Inter上的入侵者截取信息，實質(zhì)是建立虛擬專用網(wǎng)。當用戶使用 TCP/IP應(yīng)用時，給 Proxy提供合法身份和授權(quán)信息， Proxy就和被訪問主機聯(lián)系，并在兩個通信點之間中繼傳遞 IP數(shù)據(jù)包。代理服務(wù)技術(shù)主要通過專用計算機硬件 (如工作站)來承擔。包過濾技術(shù)和應(yīng)用網(wǎng)關(guān)是通過特定的邏輯判斷來決定是否允許特定的數(shù)據(jù)包通過，一旦判斷條件滿足，防火墻內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)和運行狀態(tài)便“暴露”在外來用戶面前，這就引入了代理服務(wù)的概念，即防火墻內(nèi)外計算機系統(tǒng)應(yīng)用層的“鏈接”由兩個終止于代理服務(wù)的“鏈接”來實現(xiàn)，這就成功地實現(xiàn)了防火墻內(nèi)外計算機系統(tǒng)的隔離。 3. 代理服務(wù) (ProxyServer) 是設(shè)置在 Inter防火墻網(wǎng)關(guān)的專用應(yīng)用級代碼。應(yīng)用網(wǎng)關(guān)對某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴格的控制，以防有價值的程序和數(shù)據(jù)被竊取。 2. 應(yīng)用網(wǎng)關(guān)技術(shù) (ApplicationGateway) 應(yīng)用網(wǎng)關(guān)技術(shù)是利用網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過濾。包過濾另一個也是很關(guān)鍵的弱點是不能在用戶級別上進行過濾，即不能識別不同的用戶和防止 IP地址的盜用。包過濾器的應(yīng)用非常廣泛，因為 CPU用來處理包過濾的時間可以忽略不計。包過濾根據(jù)包的源 IP地址、目的 IP地址、源端口、目的端口及報文傳遞方向等報頭信息來判斷是否允許報文通過。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯，檢查數(shù)據(jù)流中每個數(shù)據(jù)包后，根據(jù)數(shù)據(jù)包的源地址、目的地址、所用的 TCP端口與 TCP鏈路狀態(tài)等因素來確定是否允許數(shù)據(jù)包通過。 防火墻的特點 167。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況，以此來實現(xiàn)網(wǎng)絡(luò)的安全保護。防火墻通常是運行在一臺計算機中的軟件，它可以識別并屏蔽非法的請求。一般的防火墻由兩個組成部分：兩個分組篩選器（路由器）和一個應(yīng)用程序網(wǎng)關(guān)。 防火墻概述 防火墻（ Firewall），是現(xiàn)代網(wǎng)絡(luò)安全技術(shù)中最常用的技術(shù)，它使得內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)（包括 Inter等）之間的通信量必須經(jīng)過防火墻進行篩選，符合標準的分組將被正常轉(zhuǎn)發(fā)，不能通過檢查的分組就被丟棄。 防火墻是一種被動的防御技術(shù)，是一類防范措施的總稱，是保護計算機網(wǎng)絡(luò)安全技術(shù)性措施之一，是一種隔離控制技術(shù)，在內(nèi)部專用網(wǎng)和外部網(wǎng)絡(luò)間設(shè)置保護，防止對信息資源的非授權(quán)訪問，防火墻也是目前在網(wǎng)絡(luò)安全技術(shù)中使用最多、最廣泛的，因此我們有必要在網(wǎng)絡(luò)安全管理中專門來講述。由于 Inter的開放性，網(wǎng)絡(luò)安全技術(shù)變化很大， Inter的安全技術(shù)包括傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)和分布式網(wǎng)絡(luò)安全技術(shù)，主要技術(shù)是解決如何利用 Inter進行安全通信，同時保護內(nèi)部網(wǎng)絡(luò)免受外部攻擊。第 8章 防火墻安全管理 防火墻概述 防火墻的類型 防火墻體系結(jié)構(gòu) 防火墻的選擇 常用防火墻的配置與管理 現(xiàn)代網(wǎng)絡(luò)安全服務(wù)一般有兩種：一是存取控制，禁止非法的通信和連網(wǎng)；二是通信安全服務(wù)，提供授權(quán)數(shù)據(jù)的完整性、可靠性，具有對同級通信者的訪問否定權(quán)。當用戶連上 Inter，就可在中間插入一個或幾個中介系統(tǒng)的控制關(guān)聯(lián)，防止通過網(wǎng)絡(luò)進行的攻擊，并提供單一的安全和審計的安裝控制點，這些中間系統(tǒng)就是防火墻。而防火墻正能實現(xiàn)這些技術(shù)。 167。設(shè)置防火墻，就形同裝置一個防盜門。 防火墻是用來保護由許多臺計算機組成的大型網(wǎng)絡(luò)，防火墻可以是非常簡單的過濾器，也可能是精心配置的應(yīng)用網(wǎng)關(guān)，但它們的原理是一樣的，都是監(jiān)測并過濾所有通向外部網(wǎng)和從外部網(wǎng)傳來的信息，防火墻保護著內(nèi)部敏感的數(shù)據(jù)不被偷竊和破壞，并用日志記錄通信發(fā)生的時間和操作。 防火墻是設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。 167。 實現(xiàn)防火墻的技術(shù) 1. 包過濾技術(shù) (PacketFilter) 包過濾是在網(wǎng)絡(luò)層中對數(shù)據(jù)包進行有選擇的通過。 包過濾是在 IP層實現(xiàn)的，因此，它可以只用路由器完成。現(xiàn)在也出現(xiàn)了一種可以分析報文數(shù)據(jù)區(qū)內(nèi)容的智能型包過濾器。而且這種防護措施對用戶透明，合法用戶在進出網(wǎng)絡(luò)時，根本感覺不到它的存在，使用起來很方便。如果攻擊者把自