【教学课件】第9章防火墙技术.ppt

《【教学课件】第9章防火墙技术.ppt》由会员分享，可在线阅读，更多相关《【教学课件】第9章防火墙技术.ppt（84页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、第第9 9章章 防火墙技术防火墙技术9.1 9.1 防火墙概述防火墙概述 9.2 9.2 防火墙的设计策略和安全策略防火墙的设计策略和安全策略9.3 9.3 防火墙的体系结防火墙的体系结9.4 9.4 防火墙的主要技术防火墙的主要技术9.1.1 防火墙的基本概念防火墙的基本概念 防火墙是在两个网络之间执行控制和安全策略防火墙是在两个网络之间执行控制和安全策略的系统，它可以是软件，也可以是硬件，或两者并的系统，它可以是软件，也可以是硬件，或两者并用。用。9.19.1防火防火墙概述概述 9.1.2 防火墙的作用与不足防火墙的作用与不足 总的来说，防火墙系统应具有以下总的来说，防火墙系统应具有以下5

2、个方面的特个方面的特性。性。（1）内部网和外部网之间的数据传输都必须经过防）内部网和外部网之间的数据传输都必须经过防火墙。火墙。（2）只有被授权的合法数据，即符合安全策略的数）只有被授权的合法数据，即符合安全策略的数据，才可以通过防火墙，其他的数据将被防火墙丢据，才可以通过防火墙，其他的数据将被防火墙丢弃。弃。（3）防火墙本身不受各种攻击的影响，否则，防）防火墙本身不受各种攻击的影响，否则，防火墙的保护功能将大大降低。火墙的保护功能将大大降低。（4）采用目前新的信息安全技术，如现代加密技）采用目前新的信息安全技术，如现代加密技术、一次口令系统、智能卡等增强防火墙的保护术、一次口令系统、智能卡等

3、增强防火墙的保护功能，为内部网提供更好的保护。功能，为内部网提供更好的保护。（5）人机界面良好。）人机界面良好。采用防火墙保护内部网有以下优点。采用防火墙保护内部网有以下优点。（1 1）防火墙允许网络管理员定义一个中心）防火墙允许网络管理员定义一个中心“扼制点扼制点”来防止非法用户（如黑客和网络破坏者等）进入内来防止非法用户（如黑客和网络破坏者等）进入内部网。部网。（2 2）保护网络中脆弱的服务。）保护网络中脆弱的服务。（3 3）在防火墙上可以很方便地监视网络的安全性，并）在防火墙上可以很方便地监视网络的安全性，并产生报警。产生报警。（4 4）可以集中安全性。）可以集中安全性。（5 5）防火墙

4、可以作为部署（网络地址转换）防火墙可以作为部署（网络地址转换Network Network Address TranslatorAddress Translator，NATNAT）的逻辑地址。）的逻辑地址。（6 6）增强保密性和强化私有权。）增强保密性和强化私有权。（7 7）防火墙是审计和记录）防火墙是审计和记录InternetInternet使用量的一个最佳使用量的一个最佳地方。地方。（8 8）防火墙也可以成为向客户发布信息的地点。）防火墙也可以成为向客户发布信息的地点。防火墙有如下的缺陷和不足。防火墙有如下的缺陷和不足。（1）限制有用的网络服务。）限制有用的网络服务。（2）无法防护内部网用

5、户的攻击。）无法防护内部网用户的攻击。（3）防火墙无法防范通过防火墙以外的其他途径的）防火墙无法防范通过防火墙以外的其他途径的攻击。攻击。（4）防火墙也不能完全防止传送已感染病毒的软件）防火墙也不能完全防止传送已感染病毒的软件或文件。或文件。（5）防火墙无法防范数据驱动型的攻击。）防火墙无法防范数据驱动型的攻击。（6）不能防备新的网络安全问题。）不能防备新的网络安全问题。图图9.1 防火墙后门防火墙后门9.29.2防火防火墙的的设计策略和安全策略策略和安全策略9.2.1 防火墙的设计策略防火墙的设计策略 防火墙一般执行以下两种基本设计策略中的防火墙一般执行以下两种基本设计策略中的一种。一种。（

6、1）除非明确不允许，否则允许某种服务。）除非明确不允许，否则允许某种服务。（2）除非明确允许，否则将禁止某种服务。）除非明确允许，否则将禁止某种服务。9.2.2 防火墙的安全策略防火墙的安全策略 研制和开发一个有效的防火墙，首先要设计和研制和开发一个有效的防火墙，首先要设计和制定一个有效的安全策略。安全策略应包含以下主制定一个有效的安全策略。安全策略应包含以下主要内容：要内容：（1 1）用户账号策略；）用户账号策略；（2 2）用户权限策略；）用户权限策略；（3 3）信任关系策略；）信任关系策略；（4 4）包过虑策略；）包过虑策略；（5 5）认证策略；）认证策略；（6 6）签名策略；）签名策略；

7、（7 7）数据加密策略；）数据加密策略；（8 8）密钥分配策略；）密钥分配策略；（9 9）审计策略。）审计策略。1用户账号策略用户账号策略2用户权限策略用户权限策略3信任关系策略信任关系策略图图9.2 单向信任关系单向信任关系 图图9.3 双向信任关系双向信任关系 图图9.4 多重信任关系多重信任关系4包过虑策略包过虑策略这里主要从以下几个方面来讨论包过滤策略：这里主要从以下几个方面来讨论包过滤策略：包过滤控制点；包过滤控制点；包过滤操作过程；包过滤操作过程；包过滤规则；包过滤规则；防止两类不安全设计的措施；防止两类不安全设计的措施；对特定协议包的过滤。对特定协议包的过滤。（1）包过滤控制点）

8、包过滤控制点（2）包过滤操作过程）包过滤操作过程（3）包过滤规则）包过滤规则（4）防止两类不安全设计的措施）防止两类不安全设计的措施（5）对特定协议包的过滤）对特定协议包的过滤5认证、签名和数据加密策略认证、签名和数据加密策略6密钥分配策略密钥分配策略7审计策略审计策略审计是用来记录如下事件：审计是用来记录如下事件：（1）哪个用户访问哪个对象；）哪个用户访问哪个对象；（2）用户的访问类型；）用户的访问类型；（3）访问过程是否成功。）访问过程是否成功。9.39.3防火防火墙的体系的体系结构构 防火墙按体系结构可以分为包过滤防火墙、屏防火墙按体系结构可以分为包过滤防火墙、屏蔽主机防火墙、屏蔽子网防

9、火墙、多宿主主机防火蔽主机防火墙、屏蔽子网防火墙、多宿主主机防火墙和通过混合组合而衍生的其他结构的防火墙。墙和通过混合组合而衍生的其他结构的防火墙。9.3.1 包过滤型防火墙包过滤型防火墙 包过滤型防火墙的核心技术就是安全策略设计包过滤型防火墙的核心技术就是安全策略设计即包过滤算法的设计。即包过滤算法的设计。图图9.59.5 包过滤型防火墙包过滤型防火墙包过滤型防火墙具有以下优点。包过滤型防火墙具有以下优点。（1 1）处处理理包包的的速速度度比比代代理理服服务务器器快快，过过滤滤路路由由器器为为用用户户提提供供了了一一种种透透明明的的服服务务，用用户户不不用用改改变客户端程序或改变自己的行为。

10、变客户端程序或改变自己的行为。（2 2）实实现现包包过过滤滤几几乎乎不不再再需需要要费费用用（或或极极少少的的费费用用），因因为为这这些些特特点点都都包包含含在在标标准准的的路路由由器器软件中。软件中。（3 3）包包过过滤滤路路由由器器对对用用户户和和应应用用来来讲讲是是透透明明的。的。包过滤型防火墙存在以下的缺点。包过滤型防火墙存在以下的缺点。（1 1）防火墙的维护比较困难，定义数据包过滤器）防火墙的维护比较困难，定义数据包过滤器会比较复杂，因为网络管理员需要对各种会比较复杂，因为网络管理员需要对各种InternetInternet服务、包头格式以及每个域的意义有非常深入的理服务、包头格式以

11、及每个域的意义有非常深入的理解，才能将过滤规则集尽量定义得完善。解，才能将过滤规则集尽量定义得完善。（2 2）只能阻止一种类型的）只能阻止一种类型的IPIP欺骗，即外部主机伪欺骗，即外部主机伪装内部主机的装内部主机的IPIP，对于外部主机伪装其他可信任的，对于外部主机伪装其他可信任的外部主机的外部主机的IPIP却不可阻止。却不可阻止。（3 3）任何直接经过路由器的数据包都有被用做数）任何直接经过路由器的数据包都有被用做数据驱动攻击的潜在危险。据驱动攻击的潜在危险。（4 4）一些包过滤网关不支持有效的用户认证。）一些包过滤网关不支持有效的用户认证。（5 5）不不可可能能提提供供有有用用的的日日志

12、志，或或根根本本就就不不提提供供，这这使使用用户户发发觉觉网网络络受受攻攻击击的的难难度度加加大大，也也就就谈谈不不上上根根据据日日志志来来进进行行网网络络的的优优化化、完完善善以以及及追追查查责责任。任。（6 6）随随着着过过滤滤器器数数目目的的增增加加，路路由由器器的的吞吞吐吐量量会下降。会下降。（7 7）IPIP包包过过滤滤器器无无法法对对网网络络上上流流动动的的信信息息提提供供全面的控制。全面的控制。（8 8）允允许许外外部部网网络络直直接接连连接接到到内内部部网网络络的的主主机机上，易造成敏感数据的泄漏。上，易造成敏感数据的泄漏。包过滤路由器常见的攻击有以下几种。包过滤路由器常见的攻

13、击有以下几种。（1）源）源IP地址欺骗式攻击。地址欺骗式攻击。（2 2）源路由攻击。）源路由攻击。（3 3）极小数据段式攻击。）极小数据段式攻击。9.3.2 多宿主主机（多宿主网关）防火墙多宿主主机（多宿主网关）防火墙 多宿主主机拥有多个网络接口，每一个多宿主主机拥有多个网络接口，每一个接口都连在物理上和逻辑上都分离的不同的接口都连在物理上和逻辑上都分离的不同的网段上。每个不同的网络接口分别连接不同网段上。每个不同的网络接口分别连接不同的子网，不同子网之间的相互访问实施不同的子网，不同子网之间的相互访问实施不同的访问控制策略。的访问控制策略。图图9.69.6 双宿主机防火墙双宿主机防火墙 双宿

14、主主机防火墙采用主机取代路由器执双宿主主机防火墙采用主机取代路由器执行安全控制功能，故类似于包过滤防火墙，双行安全控制功能，故类似于包过滤防火墙，双宿主主机可以在内部网络和外部网络之间进行宿主主机可以在内部网络和外部网络之间进行寻径。寻径。双宿主主机防火墙的最大特点是双宿主主机防火墙的最大特点是IPIP层的通层的通信被阻止，两个网络之间的通信可通过应用层信被阻止，两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成，而不能直数据共享或应用层代理服务来完成，而不能直接通信。接通信。图图9.79.7 应用层数据共享应用层数据共享图图9.89.8 运行代理服务器的双宿主机运行代理服务器的双宿

15、主机 使用双宿主主机作为防火墙，防火墙本身使用双宿主主机作为防火墙，防火墙本身的安全性至关重要。的安全性至关重要。图图9.9 运行代理服务器的双宿主机运行代理服务器的双宿主机9.3.3 屏蔽主机型防火墙屏蔽主机型防火墙 屏蔽主机型防火墙由堡垒主机和包过滤路由屏蔽主机型防火墙由堡垒主机和包过滤路由器组成，所有的外部主机与一个堡垒主机相连接器组成，所有的外部主机与一个堡垒主机相连接而不让它们与内部主机直接相连。而不让它们与内部主机直接相连。图图9.109.10 被屏蔽主机结构被屏蔽主机结构 图图9.119.11 堡垒主机转发数据包堡垒主机转发数据包 9.3.4 屏蔽子网型防火屏蔽子网型防火图图9.

16、129.12 被屏蔽子网防火墙系统（被屏蔽子网防火墙系统（DMZDMZ）墙墙根据堡垒主机和包过滤器的各种组合，基于屏根据堡垒主机和包过滤器的各种组合，基于屏蔽子网的防火墙系统衍生出了一些派生结构体系。蔽子网的防火墙系统衍生出了一些派生结构体系。（1）合并）合并“非军事区非军事区”的外部路由器和堡垒主机的的外部路由器和堡垒主机的结构系统。结构系统。图图9.139.13 使用合并外部路由器和堡垒主机体系结构使用合并外部路由器和堡垒主机体系结构（2 2）合并）合并DMZDMZ的内部路由器和外部路由器结构如图的内部路由器和外部路由器结构如图9.149.14所示。所示。图图9.149.14 使用合并内部

17、路由器和外部路由器的体系结构使用合并内部路由器和外部路由器的体系结构（3 3）使用多台堡垒主机的体系结构如图）使用多台堡垒主机的体系结构如图9.159.15所示。所示。图9.15两个堡垒主机和两个“非军事区”图9.16牺牲主机结构（4 4）使用多台外部路由器的体系结构，如图）使用多台外部路由器的体系结构，如图9.179.17所示。所示。图9.17使用多台外部路由器的体系结构9.3.5 堡垒主机堡垒主机 堡垒主机是一种被强化的可以防御进攻的计算堡垒主机是一种被强化的可以防御进攻的计算机，是高度暴露于机，是高度暴露于Internet中的，也是网络中最容中的，也是网络中最容易受到侵害的主机。易受到侵

18、害的主机。构筑堡垒主机的基本原则有以下两条。构筑堡垒主机的基本原则有以下两条。（1）使堡垒主机尽可能简单）使堡垒主机尽可能简单（2）做好备份工作以防堡垒主机受损）做好备份工作以防堡垒主机受损1堡堡垒主机的主要主机的主要结构构当前堡垒主机主要采用以下当前堡垒主机主要采用以下3种结构。种结构。（1）无路由双宿主主机）无路由双宿主主机（2）牺牲主机）牺牲主机（3）内部堡垒主机）内部堡垒主机2堡垒主机的选择堡垒主机的选择（1）选择主机时，应选择一个可以支持多个网络接口同时处）选择主机时，应选择一个可以支持多个网络接口同时处于活跃状态，从而能够向内部网用户提供多个网络服务的机于活跃状态，从而能够向内部网

19、用户提供多个网络服务的机器。器。（2）建议用户选择较为熟悉的）建议用户选择较为熟悉的UNIX操作系统作为堡垒主机的操作系统作为堡垒主机的操作系统。操作系统。（3）选择堡垒主机时，不需要功能过高、速度过快的机器，）选择堡垒主机时，不需要功能过高、速度过快的机器，而是争取做到物尽其用。但是应使堡垒主机的内存和硬盘足而是争取做到物尽其用。但是应使堡垒主机的内存和硬盘足够大，以保证足够的信息交换空间。够大，以保证足够的信息交换空间。（4）在网络上，堡垒主机应位于）在网络上，堡垒主机应位于DMZ内没有机密信息流或信内没有机密信息流或信息流不太敏感的部分。息流不太敏感的部分。（5）在配置堡垒主机的网络服务

20、时，应注意除了不得不提供）在配置堡垒主机的网络服务时，应注意除了不得不提供的基本网络服务（如的基本网络服务（如SMTP，FTP，WAIS，HTTP，NNTP和和Gopher）外，应把那些内部网不使用的服务统统关闭。）外，应把那些内部网不使用的服务统统关闭。而且应尽量减少堡垒主机上的用户账户数，如果有可能，应而且应尽量减少堡垒主机上的用户账户数，如果有可能，应禁止一切用户账户。禁止一切用户账户。9.49.4防火防火墙的主要技的主要技术9.4.1 数据包过滤技术数据包过滤技术 数据包过滤技术是在网络中的适当位置对数据数据包过滤技术是在网络中的适当位置对数据包实施有选择的通过的技术。包实施有选择的通

21、过的技术。1 1包过滤的模型包过滤的模型 图图9.189.18 包过滤模型包过滤模型包过滤一般要检查下面几项：包过滤一般要检查下面几项：（1 1）IPIP源地址；源地址；（2 2）IPIP目的地址；目的地址；（3 3）协议类型（）协议类型（TCPTCP包、包、UDPUDP包和包和ICMPICMP包）；包）；（4 4）TCPTCP或或UDPUDP的源端口；的源端口；（5 5）TCPTCP或或UDPUDP的目的端口；的目的端口；（6 6）ICMPICMP消息类型；消息类型；（7 7）TCPTCP报头中的报头中的ACKACK位。位。另另外外，TCPTCP的的序序列列号号、确确认认号号，IPIP校校验

22、验以以及及分分段段偏移也往往是要检查的选项。偏移也往往是要检查的选项。2数据包数据包过滤特性特性（1 1）IPIP包过滤特性包过滤特性（2）TCP包过滤特性包过滤特性（3）UDP包的过滤特性包的过滤特性（4）ICMP包的过滤特性包的过滤特性图图9.19 TCP的连接过程的连接过程图9.21UDP动态数据包过滤 在决定包过滤防火墙是否返回在决定包过滤防火墙是否返回ICMP错误代码时错误代码时，应考虑以下几点。，应考虑以下几点。防火墙应该发送什么消息。防火墙应该发送什么消息。是否负担得起生成和返回错误代码的高额费用。是否负担得起生成和返回错误代码的高额费用。返回错误代码能使得侵袭者得到很多有关你发

23、送返回错误代码能使得侵袭者得到很多有关你发送的数据包过滤信息。的数据包过滤信息。什么错误代码对你的网站有意义。什么错误代码对你的网站有意义。（5）RPC服务中的包过滤的特点服务中的包过滤的特点图9.22RPC的端口映射（6）源端口过滤的作用）源端口过滤的作用规规 则则方方 向向源源 地地 址址目的地址目的地址协协 议议源源 端端 口口目的端口目的端口动动 作作A入入任意任意172.46.23.45172.46.23.45TCP/25拒拒绝绝B出出172.46.23.45172.46.23.45任意任意TCP/1023任意任意C出出172.46.23.45172.46.23.45任意任意TCP/

24、25允允许许D入入任意任意172.46.23.45172.46.23.45TCP/1023允允许许表表9.1过滤规则示例过滤规则示例图图9.239.23 进攻进攻X X窗口服务窗口服务（7）ACK位在数据包过滤中的作用位在数据包过滤中的作用表9.2 过滤规则示例规则规则方向方向源地址源地址目的地址目的地址协议协议源端口源端口目的端口目的端口ACK设设置置动动作作A出出172.46.23.45任意任意TCP102323任意任意允允许许B入入任意任意172.46.23.45TCP231023是是允允许许图图9.249.24 用用ACKACK位阻止欺骗位阻止欺骗（8）包过滤技术的优点）包过滤技术的优

25、点 帮助保护整个网络，减少暴露的风险；帮助保护整个网络，减少暴露的风险；对用户完全透明，不需要对客户端做任何改动，对用户完全透明，不需要对客户端做任何改动，也不需要对用户做任何培训；也不需要对用户做任何培训；很多路由器可以作数据包过滤，因此不需要专门很多路由器可以作数据包过滤，因此不需要专门添加设备。添加设备。包过滤最明显的缺陷是即使是最基本的网络包过滤最明显的缺陷是即使是最基本的网络服务和协议，它也不能提供足够的安全保护，包服务和协议，它也不能提供足够的安全保护，包过滤是不够安全的。过滤是不够安全的。包过滤规则难于配置。一旦配置，数据包过滤包过滤规则难于配置。一旦配置，数据包过滤规则也难于检

26、验。规则也难于检验。包过滤仅可以访问包头信息中的有限信息。包过滤仅可以访问包头信息中的有限信息。包过滤是无状态的，因为包过滤不能保持与传包过滤是无状态的，因为包过滤不能保持与传输相关的状态信息或与应用相关的状态信息。输相关的状态信息或与应用相关的状态信息。包过滤对信息的处理能力非常有限。包过滤对信息的处理能力非常有限。一些协议不适合用数据包过滤，如基于一些协议不适合用数据包过滤，如基于RPC的的应用的应用的“r”命令等。命令等。9.4.2 代理技术代理技术 代理技术也称为应用层网关技术，代理技术与代理技术也称为应用层网关技术，代理技术与包过滤技术完全不同，包过滤技术是在网络层拦截包过滤技术完全

27、不同，包过滤技术是在网络层拦截所有的信息流，代理技术是针对每一个特定应用都所有的信息流，代理技术是针对每一个特定应用都有的一个程序。有的一个程序。1 1应用用级代理代理 应用级代理有两种情况，一种是内部网通过代应用级代理有两种情况，一种是内部网通过代理访问外部网。另一种情况是，外部网通过代理访理访问外部网。另一种情况是，外部网通过代理访问内部网。问内部网。代理使得网络管理员能够实现比包过滤路由器代理使得网络管理员能够实现比包过滤路由器更严格的安全策略，它会对应用程序的数据进行校更严格的安全策略，它会对应用程序的数据进行校验以确保数据格式可以接受。验以确保数据格式可以接受。图图9.25 Teln

28、et代理服务代理服务图图9.26 Internet客户通过代理服务器访问内部网主机客户通过代理服务器访问内部网主机 提供代理应用层网关主要有以下优点。提供代理应用层网关主要有以下优点。（1 1）应应用用层层网网关关有有能能力力支支持持可可靠靠的的用用户户认认证证并并提供详细的注册信息。提供详细的注册信息。（2 2）应应用用层层的的过过滤滤规规则则相相对对于于包包过过滤滤路路由由器器来来说更容易配置和测试。说更容易配置和测试。（3 3）代代理理工工作作在在客客户户机机和和真真实实服服务务器器之之间间，完完全全控控制制会会话话，所所以以可可以以提提供供很很详详细细的的日日志志和和安安全全审计功能。

29、审计功能。（4 4）提提供供代代理理服服务务的的防防火火墙墙可可以以被被配配置置成成惟惟一一的的可可被被外外部部看看见见的的主主机机，这这样样可可以以隐隐藏藏内内部部网网的的IPIP地址，可以保护内部主机免受外部网的进攻。地址，可以保护内部主机免受外部网的进攻。（5 5）通通过过代代理理访访问问InternetInternet，可可以以解解决决合合法法的的IPIP地址不够用的问题。地址不够用的问题。然而，应用层代理也有明显的缺点，主要包括以然而，应用层代理也有明显的缺点，主要包括以下几点。下几点。（1 1）有限的连接性。）有限的连接性。（2 2）有限的技术。应用层网关不能为）有限的技术。应用层

30、网关不能为RPCRPC、TalkTalk和其和其他一些基于通用协议簇的服务提供代理。他一些基于通用协议簇的服务提供代理。（3 3）性能。应用层实现的防火墙会造成明显的性能）性能。应用层实现的防火墙会造成明显的性能下降。下降。（4 4）每个应用程序都必须有一个代理服务程序来进）每个应用程序都必须有一个代理服务程序来进行安全控制，每一种应用程序升级时，一般代理服行安全控制，每一种应用程序升级时，一般代理服务程序也要升级。务程序也要升级。（5 5）应用层网关要求用户改变自己的行为，或者在）应用层网关要求用户改变自己的行为，或者在访问代理服务的每个系统上安装特殊的软件。（访问代理服务的每个系统上安装特

31、殊的软件。（6 6）对用户不透明。在一个要求用户接口和用户体系结对用户不透明。在一个要求用户接口和用户体系结构友好易操作的今天，这种构友好易操作的今天，这种“不友好不友好”性显得不合性显得不合时宜。时宜。（6）对用户不透明。在一个要求用户接口和用户体）对用户不透明。在一个要求用户接口和用户体系结构友好易操作的今天，这种系结构友好易操作的今天，这种“不友好不友好”性显得性显得不合时宜。不合时宜。图图9.27 智能代理服务器智能代理服务器2电路路级网关代理技网关代理技术 应用层代理为一种特定的服务（如应用层代理为一种特定的服务（如FTP和和Telnet等）提供代理服务。等）提供代理服务。这种代理的

32、优点是它可以对各种不同的协议提这种代理的优点是它可以对各种不同的协议提供服务，但这种代理需要改进客户程序。供服务，但这种代理需要改进客户程序。Socks是一种非常强大的电路级网关防火墙，它是一种非常强大的电路级网关防火墙，它只中继基于只中继基于TCP的数据包的数据包图图9.289.28 电路级网关电路级网关图图9.299.29 Socks服务器服务器9.4.3 状态检查技术状态检查技术 状态检查技术能在网络层实现所有需要的防火状态检查技术能在网络层实现所有需要的防火墙能力，它既有包过滤机制的速度和灵活，也有应墙能力，它既有包过滤机制的速度和灵活，也有应用级网关安全的优点，它是包过滤器和应用级网

33、关用级网关安全的优点，它是包过滤器和应用级网关功能的折衷。功能的折衷。图图9.30 状态包检查的逻辑流程状态包检查的逻辑流程防火防火墙墙的能力的能力包包 过过 滤滤 器器代代 理理状状 态态 检检 查查传输传输的信息的信息部分部分部分部分能能传输传输状状态态不能不能部分部分能能应应用的状用的状态态不能不能能能能能信息信息处处理理部分部分能能能能表表9.3防火墙技术比较表防火墙技术比较表状态检查防火墙有如下的优点。状态检查防火墙有如下的优点。1高安全性高安全性2高效性高效性3伸伸缩性和易性和易扩展性展性4针对性性5应用范用范围广广9.4.4 地址翻译技术地址翻译技术 地址翻译（地址翻译（Netw

34、ork Address Translation，NAT）就是将一个）就是将一个IP地址用另一个地址用另一个IP地址代替。地址代替。地址翻译主要用在以下两个方面。地址翻译主要用在以下两个方面。（1）网络管理员希望隐藏内部网络的）网络管理员希望隐藏内部网络的IP地址。地址。（2）内部网络的）内部网络的IP地址是无效的地址是无效的IP地址。地址。应用层网关有如下的缺陷。应用层网关有如下的缺陷。（1）要为每一种应用定制代理）要为每一种应用定制代理（2）代理是不透明的）代理是不透明的（3）应用层网关不能为基于）应用层网关不能为基于TCP以外的应用提供很以外的应用提供很好的提供代理。好的提供代理。地址翻译

35、可以提供一种透明而完善的解决方案。地址翻译可以提供一种透明而完善的解决方案。网络管理员可以决定那些内部的网络管理员可以决定那些内部的IP地址需要隐藏，哪地址需要隐藏，哪些地址需要映射成为一个对些地址需要映射成为一个对Internet可见的可见的IP地址。地址。图图9.319.31 地址翻译地址翻译图图9.329.32 将内部地址翻译成网关地址将内部地址翻译成网关地址地址翻译可以有多种模式，主要有如下几种。地址翻译可以有多种模式，主要有如下几种。（1 1）静态翻译）静态翻译（2）动态翻译）动态翻译（3）端口转换）端口转换（4）负载平衡翻译）负载平衡翻译（5）网络冗余翻译）网络冗余翻译9.4.5

36、内容检查技术内容检查技术内容检查技术提供对高层服务协议数据的监控内容检查技术提供对高层服务协议数据的监控能力，确保用户的安全。包括计算机病毒、恶意的能力，确保用户的安全。包括计算机病毒、恶意的Java Applet和和ActiveX的攻击、恶意电子邮件及不健的攻击、恶意电子邮件及不健康网页内容的过滤防护。康网页内容的过滤防护。9.4.6 VPN技术技术 虚虚 拟拟 专专 用用 网网 被被 定定 义义 为为 通通 过过 一一 个个 公公 共共 网网 络络（Internet）建建立立的的一一个个临临时时的的和和安安全全的的连连接接，是是一一条条穿穿过过混混乱乱的的公公用用网网络络的的安安全全与与稳

37、稳定定的的隧隧道道，它它是是对对企业内部网的扩展，如图企业内部网的扩展，如图9.35所示。所示。图图9.359.35 VPN模型模型不管怎样，一个不管怎样，一个VPN至少应该能提供如下功能。至少应该能提供如下功能。（1）加密数据，以保证通过公网传输的信息即使）加密数据，以保证通过公网传输的信息即使被他人截获也不会泄漏。被他人截获也不会泄漏。（2）信息认证和身分认证，保证信息的完整性、）信息认证和身分认证，保证信息的完整性、合法性，并能鉴别用户的身份。合法性，并能鉴别用户的身份。（3）提供访问控制，不同的用户有不同的访问权）提供访问控制，不同的用户有不同的访问权限。限。1虚虚拟专用网的分用网的分

38、类及用途及用途下面分下面分3种情况说明种情况说明VPN的用途。的用途。在公司总部和它的分支机构之间建立在公司总部和它的分支机构之间建立VPN，称为，称为“内部网内部网VPN”。在公司总部和远地雇员或旅行之中的雇员之间建在公司总部和远地雇员或旅行之中的雇员之间建立立VPN，称为，称为“远程访问远程访问VPN”。在公司与商业伙伴、顾客、供应商和投资者之间在公司与商业伙伴、顾客、供应商和投资者之间建立建立VPN，称为，称为“外联网外联网VPN”。（1）内部网）内部网VPN图图9.36 内部网内部网VPN（2）远程访问）远程访问VPN图图9.37 远程访问远程访问VPN（3）外联网）外联网VPN图图9

39、.38 外联网外联网VPN2VPN的主要安全协议的主要安全协议 SOCK v5、IPSec、PPTP和和L2TP四种协四种协议是用在议是用在VPN中的几种主要协议。中的几种主要协议。（1）SOCK v5协议协议 当当SOCK协议同协议同SSL协议配合使用，可作为协议配合使用，可作为建立高度安全的建立高度安全的VPN的基础。的基础。SOCK协议的协议的优势在访问控制，因此适合用于安全性较高优势在访问控制，因此适合用于安全性较高的的VPN。（2）IPSecIPSec用密码技术从三个方面来保证数据的安用密码技术从三个方面来保证数据的安全。全。认证，用于对主机和端点进行身份鉴别。认证，用于对主机和端点

40、进行身份鉴别。完整性检查，用于保证数据在通过网络传输完整性检查，用于保证数据在通过网络传输时没有被修改。时没有被修改。加密，用加密加密，用加密IP地址和数据以保证私有性。地址和数据以保证私有性。（3）PPTP/L2TP表表9.4 OSI模型相应层次的安全技术和所用安全协议模型相应层次的安全技术和所用安全协议OSI七七层层模型模型安安 全全 技技 术术安安 全全 协协 议议应应用用层层表示表示层层应应用代理用代理会会话层话层传输层传输层会会话层话层代理代理SOCK v5网网络层络层数据数据链链路路层层物理物理层层包包过滤过滤IPSecPPTP/L2TP9.4.7 其他防火墙技术其他防火墙技术除了上面介绍的防火墙技术外，一些新的技术除了上面介绍的防火墙技术外，一些新的技术正在防火墙产品中采用，主要有以下几种。正在防火墙产品中采用，主要有以下几种。1加密技术加密技术2安全审计安全审计3安全内核安全内核4身份认证身份认证5负载平衡（负载平衡（Load Balance）