廣州大學1第9章防火墻與入侵防護系統(tǒng)9.1防火墻的必要性9.2防火墻特征9.3防火墻類型9.4防火墻的布置9.5防火墻的部署和配置9.6入侵防護系統(tǒng)9.7一個例子：一體化威脅管理產(chǎn)品廣州大學29.1防火墻的必要性Internet的安全風險紛繁復雜的Internet網(wǎng)絡復雜用戶層次復雜情況瞬息變化企業(yè)網(wǎng)絡出于商業(yè)目的向公眾開放TCP/IP協(xié)議的自身弱點攻擊工具非常容易取得安全教育嚴重不足Internet上沒有人能免于攻擊政府企業(yè)個人防火墻的定義

從廣泛、宏觀的意義上說，防火墻是隔離在內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的一個防御系統(tǒng)。

AT&T的工程師WilliamCheswick和StevenBellovin給出了防火墻的明確定義，他們認為防火墻是位于兩個網(wǎng)絡之間的一組構(gòu)件或一個系統(tǒng)，具有以下屬性：防火墻是不同網(wǎng)絡或者安全域之間信息流的唯一通道，所有雙向數(shù)據(jù)流必須經(jīng)過防火墻。只有經(jīng)過授權(quán)的合法數(shù)據(jù)，即防火墻安全策略允許的數(shù)據(jù)才可以通過防火墻。防火墻系統(tǒng)應該具有很高的抗攻擊能力，其自身可以不受各種攻擊的影響。簡而言之，防火墻是位于兩個(或多個)網(wǎng)絡間，實施訪問控制策略的一個或一組組件集合。

廣州大學69.1防火墻的必要性防火墻構(gòu)筑了一道安全邊界隔離了內(nèi)部系統(tǒng)與外部網(wǎng)絡廣州大學79.2防火墻特征防火墻(Firewall)防火墻的基本設計目標對于一個網(wǎng)絡來說，所有通過“內(nèi)部”和“外部”的網(wǎng)絡流量都要經(jīng)過防火墻通過一些安全策略，來保證只有經(jīng)過授權(quán)的流量才可以通過防火墻防火墻本身必須建立在安全操作系統(tǒng)的基礎上防火墻的控制能力服務控制，確定哪些服務可以被訪問方向控制，對于特定的服務，可以確定允許哪個方向能夠通過防火墻用戶控制，根據(jù)用戶來控制對服務的訪問行為控制，控制一個特定的服務的行為防火墻能為我們做什么強化網(wǎng)絡安全策略，提供集成功能

創(chuàng)建阻塞點12實現(xiàn)網(wǎng)絡隔離

3審計和記錄內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的活動

4自身具有非常強的抵御攻擊的能力

5防火墻能為我們做什么創(chuàng)建阻塞點1

根據(jù)美國國家安全局制定的《信息保障技術(shù)框架》，防火墻適用于網(wǎng)絡系統(tǒng)的邊界（networkboundary），屬于用戶內(nèi)部網(wǎng)絡邊界安全保護設備。所謂網(wǎng)絡邊界就是采用不同安全策略的兩個網(wǎng)絡連接位置。防火墻就是在網(wǎng)絡的外邊界或周邊，在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間建立的唯一一個安全控制檢查點，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進、出內(nèi)部網(wǎng)絡的服務和訪問的審計和控制。從而實現(xiàn)防止非法用戶進入內(nèi)部網(wǎng)絡，禁止存在安全脆弱性的服務進出網(wǎng)絡，并抵抗來自各種路線的攻擊，進而提高被保護網(wǎng)絡的安全性，降低風險。這樣一個檢查點被稱為阻塞點。這是防火墻所處網(wǎng)絡位置特性，同時也是一個前提。如果沒有這樣一個供監(jiān)視和控制信息的點，系統(tǒng)管理員要在大量的地方來進行監(jiān)測。在某些文獻里，防火墻又被稱為內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的單聯(lián)系點。需要注意的是，雖然存在著許多的多接入點網(wǎng)絡，但是每個出口也都要有防火墻設備，因此從邏輯上看，防火墻還是內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的唯一聯(lián)系點。防火墻能為我們做什么強化網(wǎng)絡安全策略，提供集成功能

2

防火墻設備所處的位置，正好為系統(tǒng)提供了一個多種安全技術(shù)的集成支撐平臺。通過相應的配置，可以將多種安全軟件，譬如口令檢查、加密、身份認證、審計等，集中部署在防火墻上。與分散部署方案相比，防火墻的集中安全管理更經(jīng)濟、更加有效，簡化了系統(tǒng)管理人員的操作，從而強化了網(wǎng)絡安全策略的實行。防火墻能為我們做什么實現(xiàn)網(wǎng)絡隔離

3

防火墻將網(wǎng)絡劃分成內(nèi)部網(wǎng)絡和外部網(wǎng)絡兩個不同的部分，因此網(wǎng)絡隔離就成為防火墻的基本功能。防火墻通過將內(nèi)部網(wǎng)絡和外部網(wǎng)絡相互隔離來確保內(nèi)部網(wǎng)絡的安全，同時限制局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響，降低外部網(wǎng)絡對內(nèi)部網(wǎng)絡一些統(tǒng)計數(shù)據(jù)的探測能力。限制來自外部網(wǎng)絡的訪問防火墻基礎功能之一就是限制信息包進入網(wǎng)絡。防火墻針對每一個進入內(nèi)部網(wǎng)絡的企圖都要根據(jù)依照安全策略制訂的規(guī)則進行過濾，即授權(quán)檢查。如果該行為屬于系統(tǒng)許可的行為則予以放行，否則將拒絕該連接企圖。防火墻的這種功能實現(xiàn)了對系統(tǒng)資源的保護，防止了針對機密信息的泄漏、盜竊和破壞性為。限制網(wǎng)絡內(nèi)部未經(jīng)授權(quán)的訪問傳統(tǒng)防火墻難于覺察內(nèi)部的攻擊和破壞行為?，F(xiàn)代防火墻則加強了對內(nèi)部訪問數(shù)據(jù)的監(jiān)控，主要表現(xiàn)就是一切都嚴格依照預先制訂的系統(tǒng)整體安全策略，限制內(nèi)部網(wǎng)絡未經(jīng)授權(quán)的訪問。防火墻能為我們做什么審計和記錄內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的活動

4

由于防火墻處在內(nèi)部網(wǎng)絡和外部網(wǎng)絡相連接的阻塞點，所以它可以對所有涉及內(nèi)部網(wǎng)絡和外部網(wǎng)絡存取與訪問的行為進行監(jiān)控。當防火墻發(fā)現(xiàn)可疑的行為時，可以進行及時的報警，并提供網(wǎng)絡是否受到破壞以及攻擊的詳細信息。對于內(nèi)部用戶的誤操作防火墻也將進行嚴格的監(jiān)控，預防內(nèi)部用戶的破壞行為。此外，防火墻還能進行網(wǎng)絡使用情況的統(tǒng)計操做。以上提及的防火墻的操作和數(shù)據(jù)都將被詳細地記錄到日志文件（logfile）中并提交給網(wǎng)絡管理員進行分析和審計。防火墻的日志文件既記錄正常的網(wǎng)絡訪問行為又記錄非正常的網(wǎng)絡行為。對日志文件的分析和審計可以使管理員清楚地了解防火墻的安全保護能力和運行情況；優(yōu)化防火墻，使其更加有效地工作；準確地識別入侵者并采取行之有效的措施；及時地對非法行為及其造成的后果做出反應；為網(wǎng)絡的優(yōu)化和建設提供必要的數(shù)據(jù)支撐。管理員需要關注的問題不是網(wǎng)絡是否會受到攻擊，而是網(wǎng)絡何時會受到攻擊。因此要求管理員要及時地響應報警信息并經(jīng)常性地審查防火墻日志記錄。防火墻能為我們做什么自身具有非常強的抵御攻擊的能力

5

由于防火墻是一個關鍵點，所以其自身的安全性就顯得尤為重要。一旦防火墻失效，則內(nèi)部網(wǎng)絡將完全曝光于外部入侵者的目光之下，網(wǎng)絡的安全將受到嚴重的威脅！一般來說，防火墻是一臺安裝了安全操作系統(tǒng)且服務受限的堡壘主機。即防火墻自身的操作系統(tǒng)符合相應的軟件安全級別；除了必要的功能外，防火墻不開設任何多余的端口。這些措施在相當程度上增強了防火墻抵御攻擊的能力，但這種安全性也只是相對的。防火墻本身的一些局限性對于繞過防火墻的攻擊，它無能為力，例如，在防火墻內(nèi)部通過撥號出去防火墻不能防止內(nèi)部的攻擊，以及內(nèi)部人員與外部人員的聯(lián)合攻擊(比如，通過tunnel進入)防火墻不能防止被病毒感染的程序或者文件、郵件等防火墻的性能要求9.3

防火墻的類型包過濾路由器狀態(tài)檢測防火墻應用層網(wǎng)關電路級網(wǎng)關包過濾路由器基本的思想很簡單對于每個進來的包，適用一組規(guī)則，然后決定轉(zhuǎn)發(fā)或者丟棄該包往往配置成雙向的如何過濾過濾的規(guī)則以IP和傳輸層的頭中的域(字段)為基礎，包括源和目標IP地址、IP協(xié)議域、源和目標端口號過濾器往往建立一組規(guī)則，根據(jù)IP包是否匹配規(guī)則中指定的條件來作出決定。如果匹配到一條規(guī)則，則根據(jù)此規(guī)則決定轉(zhuǎn)發(fā)或者丟棄如果所有規(guī)則都不匹配，則根據(jù)缺省策略數(shù)據(jù)包的過濾過濾的原理數(shù)據(jù)傳輸?shù)姆謱优c報頭的結(jié)構(gòu)物理鏈路層--Networkaccesslayer以太網(wǎng)，F(xiàn)DDI，ATM網(wǎng)絡層--InternetlayerIP傳輸層--TransportLayerTCPorUDP應用層--ApplicationLayerFTP,Telnet,HTTP防火墻的過濾原理數(shù)據(jù)包的過濾ApplicationPresentationSessionTransportDataLinkPhysicalDataLinkPhysicalFirewallApplicationPresentationSessionTransportDataLinkPhysicalNetworkNetworkTransport物理層數(shù)據(jù)報頭的結(jié)構(gòu)物理報頭：以太網(wǎng)，F(xiàn)DDI，ATM等IP報頭結(jié)構(gòu)TCP數(shù)據(jù)報頭過濾對象針對IP協(xié)議的修改

針對IP協(xié)議的過濾操作將查看每個IP數(shù)據(jù)包的包頭，將包頭數(shù)據(jù)與規(guī)則集相比較，轉(zhuǎn)發(fā)規(guī)則集允許的數(shù)據(jù)包，拒絕規(guī)則集不允許的數(shù)據(jù)包。針對IP協(xié)議的過濾操作可以設定對源IP地址進行過濾。對于包過濾技術(shù)來說，有效的辦法是只允許受信任的主機訪問網(wǎng)絡資源而拒絕一切不可信的主機的訪問。針對IP協(xié)議的過濾操作也可以設定對目的IP地址進行過濾。這種安全過濾規(guī)則的設定多用于保護目的主機或網(wǎng)絡。過濾對象針對ICMP協(xié)議的過濾

2ICMP協(xié)議在完成網(wǎng)絡控制與管理操作的同時也會泄漏網(wǎng)絡中的一些重要信息，甚至被攻擊者利用做攻擊用戶網(wǎng)絡的武器：要設定過濾安全策略，阻止類型8回送請求ICMP協(xié)議報文進出用戶網(wǎng)絡。防止內(nèi)網(wǎng)拓撲結(jié)構(gòu)信息泄露。很多攻擊者會將大量類型8的ICMP協(xié)議報文發(fā)往用戶網(wǎng)絡，使得目標主機疲于接收處理這些垃圾數(shù)據(jù)而不能提供正常的服務，最終造成目標主機的崩潰。攻擊者可利用類型5路由重定向ICMP協(xié)議報文，采用中間人（maninthemiddle）攻擊的辦法，偽裝成預期的接收者截獲或篡改正常的數(shù)據(jù)包，也可以將數(shù)據(jù)包導向受其控制的未知網(wǎng)絡。攻擊者可利用類型3目的不可達ICMP協(xié)議報文探知用戶網(wǎng)絡的敏感信息。對于ICMP報文包過濾器要精心地進行設置，拒絕所有可能會被攻擊者利用、對網(wǎng)絡進行破壞的ICMP數(shù)據(jù)包。過濾對象針對TCP協(xié)議的過濾

針對TCP協(xié)議的過濾可設定對源或目的端口的過濾，又稱端口過濾、協(xié)議過濾。只要針對服務使用的知名端口號進行規(guī)則的設置，就可以實現(xiàn)對特定服務的控制。另一種針對TCP協(xié)議的過濾是對標志位過濾。最常用的就是針對SYN和ACK的過濾。在TCP協(xié)議的連接建立過程中，報文頭部的一些標志位的變化是需要注意的：當連接發(fā)起者發(fā)出連接請求時，請求報文SYN位為1而包括ACK位在內(nèi)的其它標志位為0。該報文攜帶發(fā)起者自行選擇的一個通信初始序號。若接收者接受該請求，則返回連接應答報文。該報文的SYN位和ACK位為1。該報文不但攜帶對發(fā)起者通信初始序號的確認（加1），而且攜帶接收者自行選擇的另一個通信初始序號。若接收者拒絕該請求，則返回報文RST位要置1。連接發(fā)起者還需要對接收者自行選擇的通信初始序號進行確認，返回該值加1作為希望接收的下一個報文的序號。同時ACK位置1。除了在連接請求的過程中，其它時候SYN位始終為0。結(jié)合三次握手的過程，只要通過對SYN=1的報文進行操作，就可實現(xiàn)對連接會話的控制——拒絕這類報文，就相當于阻斷了通信連接的建立。這就是利用TCP協(xié)議標志位進行過濾規(guī)則設定的基本原理。過濾對象針對TCP協(xié)議的過濾

針對IP協(xié)議的過濾操作還要注意IP數(shù)據(jù)包的分片問題。攻擊者可以利用分片技術(shù)構(gòu)造特殊的數(shù)據(jù)包對網(wǎng)絡展開攻擊。例如Tinyfragment攻擊是指通過惡意操作，發(fā)送極小的分片來繞過包過濾系統(tǒng)或者入侵檢測系統(tǒng)的一種攻擊手段。

攻擊者通過惡意操作，可將TCP報頭(通常為20字節(jié))分布在2個分片中，這樣一來，目的端口號可以包含在第二個分片中。

對于包過濾設備或者入侵檢測系統(tǒng)來說，首先通過判斷目的端口號來采取允許/禁止措施。但是由于通過惡意分片使目的端口號位于第二個分片中，因此包過濾設備通過判斷第一個分片,決定后續(xù)的分片是否允許通過。但是這些分片在目標主機上進行重組之后將形成各種攻擊。通過這種方法可以迂回一些入侵檢測系統(tǒng)及一些安全過濾系統(tǒng)。目前一些智能的包過濾設備直接丟掉報頭中未包含端口信息的分片。

過濾對象針對UDP協(xié)議的過濾

UDP協(xié)議與TCP協(xié)議有很大的不同，因為它們采用的是不同的服務策略。TCP協(xié)議是面向連接的，相鄰報文之間具有著明顯的關系，數(shù)據(jù)流內(nèi)部也具有較強的相關性，因此過濾規(guī)則的制定比較容易；而UDP協(xié)議是基于無連接的服務的，一個UDP用戶數(shù)據(jù)報報文中攜帶了到達目的地所需的全部信息，不需要返回任何的確認，報文之間的關系很難確定，因此很難制定相應的過濾規(guī)則。究其根本原因是因為靜態(tài)包過濾技術(shù)只針對包本身進行操作而不記錄通信過程的上下文，也就無法從獨立的UDP用戶數(shù)據(jù)報中得到必要的信息。對于UDP協(xié)議，只能是要么阻塞某個端口，要么聽之任之。多數(shù)人傾向于前一種方案，除非有很大的壓力要求允許進行UDP傳輸。其實有效的解決辦法是采用動態(tài)包過濾技術(shù)/狀態(tài)檢測技術(shù)。安全缺省策略兩種基本策略，或缺省策略沒有被拒絕的流量都可以通過管理員必須針對每一種新出現(xiàn)的攻擊，制定新的規(guī)則沒有被允許的流量都要拒絕比較保守根據(jù)需要，逐漸開放包過濾路由器示意圖網(wǎng)絡層鏈路層物理層外部網(wǎng)絡內(nèi)部網(wǎng)絡包過濾防火墻在網(wǎng)絡層上進行監(jiān)測并沒有考慮連接狀態(tài)信息通常在路由器上實現(xiàn)實際上是一種網(wǎng)絡的訪問控制機制優(yōu)點：實現(xiàn)簡單對用戶透明效率高缺點：正確制定規(guī)則并不容易不可能引入認證機制包過濾防火墻的設置(1)從內(nèi)往外的telnet服務clientserver外部內(nèi)部往外包的特性(用戶操作信息)IP源是內(nèi)部地址目標地址為serverTCP協(xié)議，目標端口23源端口>1023連接的第一個包ACK=0，其他包ACK=1往內(nèi)包的特性(顯示信息)IP源是server目標地址為內(nèi)部地址TCP協(xié)議，源端口23目標端口>1023所有往內(nèi)的包都是ACK=1包過濾防火墻的設置(2)從外往內(nèi)的telnet服務clientserver內(nèi)部外部往內(nèi)包的特性(用戶操作信息)IP源是外部地址目標地址為本地serverTCP協(xié)議，目標端口23源端口>1023連接的第一個包ACK=0，其他包ACK=1往外包的特性(顯示信息)IP源是本地server目標地址為外部地址TCP協(xié)議，源端口23目標端口>1023所有往內(nèi)的包都是ACK=1針對telnet服務的防火墻規(guī)則*:第一個ACK=0,其他=1服務方向包方向源地址目標地址包類型源端口目標端口ACK往外外內(nèi)部外部TCP>102323*往外內(nèi)外部內(nèi)部TCP23>10231往內(nèi)外外部內(nèi)部TCP>102323*往內(nèi)內(nèi)內(nèi)部外部TCP23>10231PacketFilterRules針對包過濾防火墻的攻擊IP地址欺騙，例如，假冒內(nèi)部的IP地址對策：在外部接口上禁止內(nèi)部地址源路由攻擊，即由源指定路由對策：禁止這樣的選項小碎片攻擊，利用IP分片功能把TCP頭部切分到不同的分片中對策：丟棄分片太小的分片利用復雜協(xié)議和管理員的配置失誤進入防火墻例如，利用ftp協(xié)議對內(nèi)部進行探查包過濾技術(shù)的優(yōu)點

包過濾技術(shù)實現(xiàn)簡單、快速。經(jīng)典的解決方案只需要在內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的路由器上安裝過濾模塊即可。包過濾技術(shù)的實現(xiàn)對用戶是透明的。用戶無需改變自己的網(wǎng)絡訪問行為模式，也不需要在主機上安裝任何的客戶端軟件，更不用進行任何的培訓。包過濾技術(shù)的檢查規(guī)則相對簡單，因此檢查操作耗時極短，執(zhí)行效率非常高，不會給用戶網(wǎng)絡的性能帶來不利的影響。包過濾技術(shù)存在的問題

包過濾技術(shù)過濾思想簡單，對信息的處理能力有限。只能訪問包頭中的部分信息，不能理解通信的上下文，因此不能提供更安全的網(wǎng)絡防護能力。當過濾規(guī)則增多的時候，對于過濾規(guī)則的維護是一個非常困難的問題。不但要考慮過濾規(guī)則是否能夠完成安全過濾任務，還要考慮規(guī)則之間的關系防止沖突的發(fā)生。尤其是后一個問題是非常難于解決的。包過濾技術(shù)控制層次較低，不能實現(xiàn)用戶級控制。特別是不能實現(xiàn)對用戶合法身份的認證以及對冒用的IP地址的確定。包過濾技術(shù)存在的問題

包過濾技術(shù)過濾思想簡單，對信息的處理能力有限。只能訪問包頭中的部分信息，不能理解通信的上下文，因此不能提供更安全的網(wǎng)絡防護能力。包過濾技術(shù)存在的問題黑客可以利用第二條規(guī)則的漏洞，在WWW服務器上偽造源端口為80的IP包，根據(jù)規(guī)則2，防火墻將不對來自www服務器，源端口為80，目的端口是任意的IP包作檢查，這樣黑客的惡意數(shù)據(jù)包就可以穿越防火墻到達內(nèi)部主機客戶端。在這種情況下，黑客可以通過WWW服務器來訪問客戶端上任意的Internet服務。規(guī)則1permit5protocoltcpportanytoport80規(guī)則2permit25.20.l77.5protocoltcpport80tol92.l68.26.55portany5WWW服務器狀態(tài)檢測防火墻reviewspacketheaderinformationbutalsokeepsinfoonTCPconnectionstypicallyhavelow,“known”portnoforserverandhigh,dynamicallyassignedclientportnosimplepacketfiltermustallowallreturnhighportnumberedpacketsbackinstatefulinspectionpacketfirewalltightensrulesforTCPtrafficusingadirectoryofTCPconnectionsonlyallowincomingtraffictohigh-numberedportsforpacketsmatchinganentryinthisdirectorymayalsotrackTCPseqnumbersaswell狀態(tài)檢測技術(shù)2

狀態(tài)的概念1狀態(tài)檢測技術(shù)基本原理4

狀態(tài)檢測技術(shù)的優(yōu)缺點3

深度狀態(tài)檢測本書的封面狀態(tài)檢測技術(shù)基本原理

狀態(tài)檢測技術(shù)根據(jù)連接的“狀態(tài)”進行檢查。當一個連接的初始數(shù)據(jù)報文到達執(zhí)行狀態(tài)檢測的防火墻時，首先要檢查該報文是否符合安全過濾規(guī)則的規(guī)定。如果該報文與規(guī)定相符合，則將該連接的信息記錄下來并自動添加一條允許該連接通過的過濾規(guī)則，然后向目的地轉(zhuǎn)發(fā)該報文。以后凡是屬于該連接的數(shù)據(jù)防火墻一律予以放行，包括從內(nèi)向外的和從外向內(nèi)的雙向數(shù)據(jù)流。在通信結(jié)束、釋放該連接以后，防火墻將自動地刪除關于該連接的過濾規(guī)則。動態(tài)過濾規(guī)則存儲在連接狀態(tài)表中并由防火墻維護。為了更好地為用戶提供網(wǎng)絡服務以及更精確地執(zhí)行安全過濾，狀態(tài)檢測技術(shù)往往需要察看網(wǎng)絡層和應用層的信息，但主要還是在傳輸層上工作。狀態(tài)的概念TCP協(xié)議及狀態(tài)

1UDP協(xié)議及狀態(tài)

2ICMP協(xié)議及狀態(tài)

3狀態(tài)的概念TCP協(xié)議及狀態(tài)

1TCP協(xié)議是一個面向連接的協(xié)議，對于通信過程各個階段的狀態(tài)都有很明確的定義，并可以通過TCP協(xié)議的標志位進行跟蹤。

TCP協(xié)議共有11個狀態(tài)，這些狀態(tài)標識由RFC793定義，分別為：CLOSED、LISTEN、SYN-SENT、SYN-RECEIVED、ESTABLISHED、FIN-WAIT-1、CLOSE-WAIT、FIN-WAIT-2、LAST-ACK、TIME-WAIT、CLOSING。以上述狀態(tài)為基礎，結(jié)合相應的標志位信息，再加上通信雙方的IP地址和端口號，即可很容易地建立TCP協(xié)議的狀態(tài)連接表項并進行精確地跟蹤監(jiān)控。當TCP連接結(jié)束后，應從狀態(tài)連接表中刪除相關表項。為了防止無效表項長期存在于連接狀態(tài)表中給攻擊者提供進行重放攻擊的機會，可以將連接建立階段的超時參數(shù)設置得較短，而連接維持階段的超時參數(shù)設置得較長。最后連接釋放階段的超時參數(shù)也要設置得較短。狀態(tài)的概念TCP協(xié)議及狀態(tài)

1狀態(tài)的概念狀態(tài)檢測的流程1

首先需要建立好規(guī)則，通常此時規(guī)則需要指明網(wǎng)絡連接的方向，即是進還是出，然后在客戶端打開IE向某個網(wǎng)站請求WEB頁面，當數(shù)據(jù)包到達防火墻時，狀態(tài)檢測引擎會檢測到這是一個發(fā)起連接的初始數(shù)據(jù)包(由SYN標志)，然后就會把這個數(shù)據(jù)包中的信息與防火墻規(guī)則做比較，如果沒有相應規(guī)則允許，防火墻就會拒絕這次連接。當然在這里它會發(fā)現(xiàn)有一條規(guī)則允許訪問外部WEB服務，于是允許數(shù)據(jù)包外出并且在狀態(tài)表中新建一條會話，通常這條會話會包括此連接的源地址、源端口、目標地址、目標端口、連接時間等信息，對于TCP連接，它還應該會包含序列號和標志位等信息。當后續(xù)數(shù)據(jù)包到達時，如果這個數(shù)據(jù)包不含SYN標志，也就是說這個數(shù)據(jù)包不是發(fā)起一個新的連接時，狀態(tài)檢測引擎就會直接把它的信息與狀態(tài)表中的會話條目進行比較，如果信息匹配，就直接允許數(shù)據(jù)包通過，這樣不再去接受規(guī)則的檢查，提高了效率，如果信息不匹配，數(shù)據(jù)包就會被丟棄或連接被拒絕，并且每個會話還有一個超時值，過了這個時間，相應會話條目就會被從狀態(tài)表中刪除掉。狀態(tài)檢測的流程2500100036:80:3000TCPACKSYN目的地址源地址協(xié)議內(nèi)部網(wǎng)絡4匹配ACL和會話狀態(tài)會話狀態(tài)主機B36Internet32狀態(tài)檢查訪問控制列表原理圖11、當一個內(nèi)部主機與一個外部主機建立連接時，首先發(fā)送一個TCPSYN包或UDP數(shù)據(jù)包，包含目的IP、端口號，源IP和端口號2、當內(nèi)部主機發(fā)送的數(shù)據(jù)包通過狀態(tài)檢查包過濾防火墻時，防火墻將在他的狀態(tài)表中建立一條狀態(tài)信息規(guī)則，然后將數(shù)據(jù)包發(fā)送到外部網(wǎng)絡上3、外部主機返回請求響應時，防火墻從狀態(tài)表中查找是否存在相應規(guī)則4、如果尋找到匹配的狀態(tài)信息，就讓該數(shù)據(jù)包通過，否則數(shù)據(jù)包被放棄，因為它不是內(nèi)部的請求當會話關閉或一段延遲后，防火墻就將相應的狀態(tài)信息規(guī)則從狀態(tài)表中刪除，保證了放棄的連接不會在狀態(tài)表中留下漏洞TCP狀態(tài)檢測

所謂Tinyfragment攻擊是指通過惡意操作，發(fā)送極小的分片來繞過包過濾系統(tǒng)或者入侵檢測系統(tǒng)的一種攻擊手段。

。攻擊者通過惡意操作，可將TCP報頭(通常為20字節(jié))分布在2個分片中，這樣一來，目的端口號可以包含在第二個分片中。對于包過濾設備或者入侵檢測系統(tǒng)來說，首先通過判斷目的端口號來采取允許/禁止措施。但是由于通過惡意分片使目的端口號位于第二個分片中，因此包過濾設備通過判斷第一個分片,決定后續(xù)的分片是否允許通過。但是這些分片在目標主機上進行重組之后將形成各種攻擊。通過這種方法可以迂回一些入侵檢測系統(tǒng)及一些安全過濾系統(tǒng)。目前一些智能的包過濾設備直接丟掉報頭中未包含端口信息的分片。TCP協(xié)議及狀態(tài)

1狀態(tài)的概念UDP協(xié)議及狀態(tài)

2UDP協(xié)議與TCP協(xié)議有很大的不同，它是一種無連接的協(xié)議，其狀態(tài)很難進行定義和跟蹤。通常的做法是將某個基于UDP協(xié)議的會話的所有數(shù)據(jù)報文看作是一條UDP連接，并在這個連接的基礎之上定義該會話的偽狀態(tài)信息。偽狀態(tài)信息主要由源IP地址、目的IP地址、源端口號以及目的端口號構(gòu)成。雙向的數(shù)據(jù)流源信息和目的信息正好相反。由于UDP協(xié)議是無連接的，所以無法定義連接的結(jié)束狀態(tài)，只能是設定一個不長的超時參數(shù)，在超時到來的時候從狀態(tài)連接表中刪除該UDP連接信息。此外，UDP協(xié)議對于通信中的錯誤無法進行處理，需要通過ICMP協(xié)議報文傳遞差錯控制信息。這就要求狀態(tài)檢測機制必須能夠從ICMP報文中提取通信地址和端口等信息來確定它與UDP連接的關聯(lián)性，判斷它到底屬于哪一個UDP連接，然后再采取相應的過濾措施。這種ICMP報文的狀態(tài)屬性通常被定義為RELATED。狀態(tài)的概念ICMP協(xié)議及狀態(tài)

3ICMP協(xié)議是無連接的協(xié)議，還具有單向性的特點。在ICMP協(xié)議的13種類型中，有4對類型的報文具有對稱的特性，即屬于請求/響應的形式。這4對類型的ICMP報文分別是回送請求/回送應答、信息請求/信息應答、時間戳請求/時間戳回復和地址掩碼請求/地址掩碼回復。其它類型的報文都不是對稱的，而是由主機或節(jié)點設備直接發(fā)出的，無法預先確定報文的發(fā)出時間和地點。因此，ICMP協(xié)議的狀態(tài)和連接的定義要比UDP協(xié)議更難。

ICMP協(xié)議的狀態(tài)和連接的建立、維護與刪除與UDP協(xié)議類似。但是在建立的過程中不是簡單地只通過IP地址來判別連接屬性。ICMP協(xié)議的狀態(tài)和連接需要考慮ICMP報文的類型和代碼字段的含義，甚至還要提取ICMP報文的內(nèi)容來決定其到底與哪一個已有連接相關。其維護和刪除過程一是通過設定超時計時器來完成，二是按照部分類型的ICMP報文的對稱性來完成。當屬于同一連接的ICMP報文完成請求——應答過程后，即可將其從狀態(tài)連接表中刪除。

深度狀態(tài)檢測

深度狀態(tài)檢測技術(shù)能夠很好地實現(xiàn)對TCP協(xié)議的順序號進行檢測的功能，通過對TCP報文的順序號字段的跟蹤監(jiān)測報文的變化，防止攻擊者利用已經(jīng)處理的報文的順序號進行重放攻擊。對于FTP協(xié)議，深度狀態(tài)檢測機制可以深入到報文的應用層部分來獲取FTP協(xié)議的命令參數(shù)，從而進行狀態(tài)規(guī)則的配置。其中最主要的，F(xiàn)TP協(xié)議連接端口的選擇具有隨機的特點。深度狀態(tài)檢測機制可以分析應用層的命令數(shù)據(jù)，找出其中的端口號等信息，從而精確地決定打開哪些端口。與FTP協(xié)議類似的協(xié)議由很多，譬如RTSP、H.323等。深度狀態(tài)檢測機制都可以對它們的連接建立報文的應用層數(shù)據(jù)進行分析來決定相關的轉(zhuǎn)發(fā)端口等信息，因此具有部分的應用層信息過濾功能。狀態(tài)檢測技術(shù)的優(yōu)缺點優(yōu)點1缺點2狀態(tài)檢測技術(shù)的優(yōu)缺點優(yōu)點1

安全性比靜態(tài)包過濾技術(shù)高。狀態(tài)檢測機制可以區(qū)分連接的發(fā)起方與接收方；可以通過狀態(tài)分析阻斷更多的復雜攻擊行為；可以通過分析打開相應的端口而不是“一刀切”，要么全打開要么全不打開。與靜態(tài)包過濾技術(shù)相比，提升了防火墻的性能。狀態(tài)檢測機制對連接的初始報文進行詳細檢查，而對后續(xù)報文不需要進行相同的動作，只需快速通過即可。狀態(tài)檢測技術(shù)的優(yōu)缺點缺點2

主要工作在網(wǎng)絡層和傳輸層，對報文的數(shù)據(jù)部分檢查很少，安全性還不夠高。檢查內(nèi)容多，對防火墻的性能提出了更高的要求。全狀態(tài)檢測(StatefulInspection)ApplicationPresentationSessionTransportDataLinkPhysicalDataLinkPhysicalApplicationPresentationSessionTransportDataLinkPhysicalNetworkNetworkNetworkPresentationSessionTransportEngineINSPECTApplicationDynamicStateTables代理技術(shù)2

代理技術(shù)的具體作用1

代理技術(shù)概述4

代理技術(shù)的優(yōu)缺點3

代理技術(shù)的種類本書的封面代理技術(shù)概述

代理代碼

2代理的執(zhí)行1代理技術(shù)與包過濾技術(shù)的安全性比較4代理服務器的部署與實現(xiàn)

3代理技術(shù)的具體應用隱藏內(nèi)部主機

1

代理服務器的作用之一隱藏內(nèi)部網(wǎng)絡中的主機。由于有代理服務器的存在，所以外部主機無法直接連接到內(nèi)部主機。它只能看到代理服務器，因此只能連接到代理服務器上。這種特性是十分重要的，因為外部用戶無法進行針對內(nèi)部網(wǎng)絡的探測，也就無法對內(nèi)部網(wǎng)絡上的主機發(fā)起攻擊。代理服務器在應用層對數(shù)據(jù)包進行更改，以自己的身份向目的地重新發(fā)出請求，徹底改變了數(shù)據(jù)包的訪問特性。代理技術(shù)概述代理的執(zhí)行1

代理的執(zhí)行分為兩種情況：一種情況是代理服務器監(jiān)聽來自內(nèi)部網(wǎng)絡的服務請求。當請求到達代理服務器時按照安全策略對數(shù)據(jù)包中的首部和數(shù)據(jù)部分信息進行檢查。通過檢查后，代理服務器將請求的源地址改成自己的地址再轉(zhuǎn)發(fā)到外部網(wǎng)絡的目標主機上。外部主機收到的請求將顯示為來自代理服務器而不是源內(nèi)部主機。代理服務器在收到外部主機的應答時，首先要按照安全策略檢查包的首部和數(shù)據(jù)部分的內(nèi)容是否符合安全要求。通過檢查后，代理服務器將數(shù)據(jù)包的目的地址改為內(nèi)部源主機的IP地址，然后將應答數(shù)據(jù)轉(zhuǎn)發(fā)至該內(nèi)部源主機。另外一種情況是內(nèi)部主機只接收代理服務器轉(zhuǎn)發(fā)的信息而不接收任何外部地址主機發(fā)來的信息。這個時候外部主機只能將信息發(fā)送至代理服務器，由代理服務器轉(zhuǎn)發(fā)至內(nèi)部網(wǎng)絡，相當于代理服務器對外部網(wǎng)絡執(zhí)行代理操作。具體來說，所有發(fā)往內(nèi)部網(wǎng)絡的數(shù)據(jù)包都要經(jīng)過代理服務器的安全檢查，通過后將源IP地址改為代理服務器的IP地址，然后這些數(shù)據(jù)包才能被代理服務器轉(zhuǎn)發(fā)至內(nèi)部網(wǎng)絡中的目標主機。代理服務器負責監(jiān)控整個的通信過程以保證通信過程的安全性。代理技術(shù)概述代理代碼2

代理服務器的作用之一隱藏內(nèi)部網(wǎng)絡中的主機。由于有代理服務器的存在，所以外部主機無法直接連接到內(nèi)部主機。它只能看到代理服務器，因此只能連接到代理服務器上。這種特性是十分重要的，因為外部用戶無法進行針對內(nèi)部網(wǎng)絡的探測，也就無法對內(nèi)部網(wǎng)絡上的主機發(fā)起攻擊。代理服務器在應用層對數(shù)據(jù)包進行更改，以自己的身份向目的地重新發(fā)出請求，徹底改變了數(shù)據(jù)包的訪問特性。代理技術(shù)概述代理服務器的部署與實現(xiàn)

3

代理服務器通常安裝在堡壘主機或者雙宿主網(wǎng)關上。如果將代理服務器程序安裝在堡壘主機上，則可能采取不同的部署與實現(xiàn)結(jié)構(gòu)。比如說采用屏蔽主機或者屏蔽子網(wǎng)方案，將堡壘主機置于過濾路由器之后。這樣堡壘主機還可以獲得過濾路由器提供的、額外的保護。缺點則是如果過濾路由器被攻陷，則數(shù)據(jù)將旁路安裝代理服務器程序的堡壘主機，即代理服務器將不起作用。代理技術(shù)概述代理技術(shù)與包過濾技術(shù)的安全性比較

4

相對于包過濾技術(shù)而言，代理技術(shù)能夠為用戶提供更高的安全等級：代理服務器不僅掃描數(shù)據(jù)包頭部的各個字段，還要深入到包的內(nèi)部，理解數(shù)據(jù)包載荷部分內(nèi)容的含義。這可為安全檢測和日志記錄提供詳細的信息。包過濾技術(shù)采用的是基于包頭信息的過濾機制，很難與代理技術(shù)相提并論。對于外網(wǎng)來說，只能見到代理服務器而不能看見內(nèi)網(wǎng)；對于內(nèi)網(wǎng)來說，也只能看見代理服務器而看不見外網(wǎng)。實現(xiàn)了網(wǎng)絡隔離，降低了用戶網(wǎng)絡受到直接攻擊的風險。而且對外網(wǎng)隱藏了內(nèi)網(wǎng)的結(jié)構(gòu)以及用戶，進一步降低了用戶網(wǎng)絡遭受探測的風險。而包過濾技術(shù)在網(wǎng)絡隔離和預防探測方面做的不是很好。包過濾技術(shù)通常由路由器實現(xiàn)。若過濾機制被破壞，則內(nèi)網(wǎng)將毫無遮攔地直接與外網(wǎng)接觸。將不可避免地出現(xiàn)網(wǎng)絡攻擊和信息泄露的現(xiàn)象。而代理服務器要是損壞的話，只能是內(nèi)網(wǎng)與外網(wǎng)的連接中斷，但無法出現(xiàn)網(wǎng)絡攻擊和信息泄漏的現(xiàn)象。從這個角度看，代理技術(shù)比包過濾技術(shù)安全。代理技術(shù)的具體應用過濾內(nèi)容2隱藏內(nèi)部主機

1保障安全

4提高系統(tǒng)性能

3保護電子郵件

6阻斷URL

5信息重定向

8身份認證

7代理技術(shù)的具體應用隱藏內(nèi)部主機

1

代理服務器的作用之一隱藏內(nèi)部網(wǎng)絡中的主機。由于有代理服務器的存在，所以外部主機無法直接連接到內(nèi)部主機。它只能看到代理服務器，因此只能連接到代理服務器上。這種特性是十分重要的，因為外部用戶無法進行針對內(nèi)部網(wǎng)絡的探測，也就無法對內(nèi)部網(wǎng)絡上的主機發(fā)起攻擊。代理服務器在應用層對數(shù)據(jù)包進行更改，以自己的身份向目的地重新發(fā)出請求，徹底改變了數(shù)據(jù)包的訪問特性。代理技術(shù)的具體應用過濾內(nèi)容2

在應用層進行檢查的另一個重要的作用是可以掃描數(shù)據(jù)包的內(nèi)容。這些內(nèi)容可能包含敏感的或者被嚴格禁止流出用戶網(wǎng)絡的信息，以及一些容易引起安全威脅的數(shù)據(jù)。后者包括不安全的Javaapplet小程序、ActiveX控件以及電子郵件中的附件等等。而這些內(nèi)容是包過濾技術(shù)無法控制的。支持內(nèi)容的掃描是代理技術(shù)與其它安全技術(shù)的一個重要區(qū)別。代理技術(shù)的具體應用提高系統(tǒng)性能

3

雖然從訪問控制的角度考慮，代理服務器因為執(zhí)行了很細致的過濾功能而加大了網(wǎng)絡訪問的延遲。但是它身處網(wǎng)絡服務的最高層，可以綜合利用緩存等多種手段優(yōu)化對網(wǎng)絡的訪問，由此還進一步減少了因為網(wǎng)絡訪問產(chǎn)生的系統(tǒng)負載。因此，精心配置的代理技術(shù)可以提高系統(tǒng)的整體性能。代理技術(shù)的具體應用保障安全

4

安全性的保障不僅僅指過濾功能的強大，還包括對過往數(shù)據(jù)日志的詳細分析和審計。這是因為從這些數(shù)據(jù)中能夠發(fā)現(xiàn)過濾功能難以發(fā)現(xiàn)的攻擊行為序列，可以及時地提醒管理人員采取必要的安全保護措施；還可以對網(wǎng)絡訪問量進行統(tǒng)計進而優(yōu)化網(wǎng)絡訪問的規(guī)則，為用戶提供更好的服務。代理技術(shù)處于網(wǎng)絡協(xié)議的最高層，可以為日志的分析和審計提供最詳盡的信息，由此提高了網(wǎng)絡的安全性。代理技術(shù)的具體應用阻斷URL

5

在代理服務器上可以實現(xiàn)針對特定網(wǎng)址及其服務器的阻斷，以實現(xiàn)阻止內(nèi)部用戶瀏覽不符合組織或機構(gòu)安全策略的網(wǎng)站內(nèi)容。代理技術(shù)的具體應用保護電子郵件

6

電子郵件系統(tǒng)是互聯(lián)網(wǎng)最重要的信息交互系統(tǒng)之一，但是它的開放性特點使得它非常脆弱，而且由于安全性較弱所以經(jīng)常被攻擊者做為網(wǎng)絡攻擊的重要途徑。代理服務器可以實現(xiàn)對重要的內(nèi)部郵件服務器的保護。通過郵件代理對郵件信息的重組與轉(zhuǎn)發(fā)，使得內(nèi)部郵件服務器不與外部網(wǎng)絡發(fā)生直接的聯(lián)系，從而達到保護的目的。代理技術(shù)的具體應用身份認證

7

代理技術(shù)能夠?qū)崿F(xiàn)包過濾技術(shù)無法實現(xiàn)的身份認證功能。將身份認證技術(shù)融合進安全過濾功能中能夠大幅度提高用戶的安全性。支持身份認證技術(shù)是現(xiàn)代防火墻的一個重要特征。具體的方式有傳統(tǒng)的用戶賬號/口令、基于密碼技術(shù)的挑戰(zhàn)/響應等等。代理技術(shù)的具體應用信息重定向

8

代理技術(shù)從本質(zhì)上是一種信息的重定向技術(shù)。這是因為它可以根據(jù)用戶網(wǎng)絡的安全需要改變數(shù)據(jù)包的源或目的地址，將數(shù)據(jù)包導引到符合系統(tǒng)需要的地方去。這在基于HTTP協(xié)議的多WWW服務器應用領域中尤為重要。在這種環(huán)境下，代理服務器起到負載分配器和負載平衡器的作用。代理技術(shù)的種類應用層網(wǎng)關1電路級網(wǎng)關2代理技術(shù)的種類應用層網(wǎng)關1

應用層網(wǎng)關能夠在應用層截獲進出內(nèi)部網(wǎng)絡的數(shù)據(jù)包，運行代理服務器程序來轉(zhuǎn)發(fā)信息。它能夠避免內(nèi)部主機與外部不可信網(wǎng)絡之間的直接連接。它僅接收、過濾和轉(zhuǎn)發(fā)特定服務的數(shù)據(jù)包。對于那些沒有在應用層網(wǎng)關上安裝代理的服務來說，將無法進行網(wǎng)絡訪問。它對數(shù)據(jù)包進行深度過濾，檢查行為一直深入到網(wǎng)絡協(xié)議的應用層。它的缺點是對每一種服務都要開發(fā)一種專用的代理代碼，實現(xiàn)麻煩，不及時，而且缺乏透明性。其優(yōu)點是配置簡單、安全性高、還能支持很多應用。下圖為應用層網(wǎng)關實現(xiàn)HTTP協(xié)議代理的示意圖：代理技術(shù)的種類電路級網(wǎng)關2

電路級網(wǎng)關工作在會話層?？勺鳛榉掌鹘邮詹⑥D(zhuǎn)發(fā)外部請求，與內(nèi)部主機連接時則起代理客戶機的作用。它使用自己獨立的網(wǎng)絡協(xié)議棧完成TCP的連接而不使用操作系統(tǒng)的協(xié)議棧，因此可以監(jiān)視主機建立連接時的各種數(shù)據(jù)是否合乎邏輯、會話請求是否合法。一旦連接建立，則只負責數(shù)據(jù)的轉(zhuǎn)發(fā)而不進行過濾。用戶需要改變自己的客戶端程序來建立與電路級網(wǎng)關的通信通道，只有這樣才能到達防火墻另一邊的服務器。下圖為電路級網(wǎng)關示意圖：應用層網(wǎng)關也稱為代理服務器特點所有的連接都通過防火墻，防火墻作為網(wǎng)關在應用層上實現(xiàn)可以監(jiān)視包的內(nèi)容可以實現(xiàn)基于用戶的認證所有的應用需要單獨實現(xiàn)可以提供理想的日志功能非常安全，但是開銷比較大應用層網(wǎng)關的結(jié)構(gòu)示意圖應用層網(wǎng)關的協(xié)議棧結(jié)構(gòu)HTTPFTPTelnetSmtp傳輸層網(wǎng)絡層鏈路層應用層網(wǎng)關的優(yōu)缺點優(yōu)點允許用戶“直接”訪問Internet易于記錄日志缺點新的服務不能及時地被代理每個被代理的服務都要求專門的代理軟件客戶軟件需要修改，重新編譯或者配置有些服務要求建立直接連接，無法使用代理比如聊天服務、或者即時消息服務代理服務不能避免協(xié)議本身的缺陷或者限制應用層網(wǎng)關實現(xiàn)編寫代理軟件代理軟件一方面是服務器軟件但是它所提供的服務可以是簡單的轉(zhuǎn)發(fā)功能另一方面也是客戶軟件對于外面真正的服務器來說，是客戶軟件針對每一個服務都需要編寫模塊或者單獨的程序?qū)崿F(xiàn)一個標準的框架，以容納各種不同類型的服務軟件實現(xiàn)的可擴展性和可重用性客戶軟件軟件需要定制或者改寫對于最終用戶的透明性？協(xié)議對于應用層網(wǎng)關的處理協(xié)議設計時考慮到中間代理的存在，特別是在考慮安全性，比如數(shù)據(jù)完整性的時候應用層網(wǎng)關——代理服務器發(fā)展方向——智能代理不僅僅完成基本的代理訪問功能還可以實現(xiàn)其他的附加功能，比如對于內(nèi)容的自適應剪裁增加計費功能提供數(shù)據(jù)緩沖服務兩個代理服務器的實現(xiàn)例子MSP–MicrosoftProxyServersquidMicrosoftProxyServer2.0一個功能強大的代理服務器提供常用的Internet服務除了基本的WebProxy，還有SocksProxy和WinsockProxy強大的cache和log功能對于軟硬件的要求比較低安裝管理簡單與NT/2000集成的認證機制擴展的一些功能反向proxy:proxy作為Internet上的一個Webserver反向hosting，以虛擬WebServer的方式為后面的WebServer獨立地發(fā)布到Internet上安全報警MicrosoftProxyServerv2管理示意圖squid關于squid是一個功能全面的WebProxyCache可以運行在各種UNIX版本上是一個自由軟件，而且源碼開放功能強大，除了http協(xié)議之外，還支持許多其它的協(xié)議，如ftp、ssl、DNS等代理服務管理和配置/usr/local/squid

/etc/squid.conf默認端口3128一種使用方案Linux+Squid電路級網(wǎng)關電路級網(wǎng)關本質(zhì)上，也是一種代理服務器有狀態(tài)的包過濾器動態(tài)包過濾器狀態(tài)上下文環(huán)境流狀態(tài)認證和授權(quán)方案例子：sockssocks專門設計用于防火墻在應用層和傳輸層之間墊了一層Sockslib和socksserver不支持ICMPSocksv4和socksv5基于用戶的認證方案對UDP的支持正在普及和流行可以參考有關的RFCsocks應用傳輸層網(wǎng)絡層鏈路層clientSocksserverpolicyserverSocksv5在socksv4的基礎上發(fā)展起來Socksv4支持基于TCP的應用穿越防火墻Socksv5增加了對于UDP協(xié)議的支持Socksv5增加了對于認證方案的支持Socksv5支持IPv6地址Socks要求修改客戶程序，鏈接到sockslibrary，以便socksified首先連接到socksserver，然后再同目標服務器連接對于UDP協(xié)議，首先同socksserver建立一個TCP連接，然后再傳送UDP數(shù)據(jù)TCP客戶的處理過程客戶首先與socksserver建立一個TCP連接，通常SOCKS端口為1080然后客戶與服務器協(xié)商認證方案然后進行認證過程認證完成之后客戶發(fā)出請求服務器送回應答一旦服務器應答指示成功，客戶就可以傳送數(shù)據(jù)了UDP客戶的處理過程請求命令為“UDPassociate”客戶->UDPrelayserver->目標機器每一個UDP包包含一個UDP請求頭UDPpacket+-----+--------+-------+--------------+-------------+-----------+|RSV|FRAG|ATYP|DST.ADDR|DST.PORT|DATA|+-----+--------+-------+--------------+-------------+-----------+|2|1|1|Variable|2|Variable|+-----+--------+-------+--------------+-------------+-----------+FRAG:currentfragmentnumber電路層網(wǎng)關的優(yōu)缺點優(yōu)點效率高精細控制，可以在應用層上授權(quán)為一般的應用提供了一個框架缺點客戶程序需要修改動態(tài)鏈接庫？廣州大學929.4防火墻的布置防火墻的配置幾個概念堡壘主機(BastionHost)：對外部網(wǎng)絡暴露，同時也是內(nèi)部網(wǎng)絡用戶的主要連接點雙宿主主機(dual-homedhost)：至少有兩個網(wǎng)絡接口的通用計算機系統(tǒng)DMZ(DemilitarizedZone，非軍事區(qū)或者?；饏^(qū))：在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間增加的一個子網(wǎng)堡壘主機定義：堡壘主機由一臺計算機擔當，并擁有兩塊或者多塊網(wǎng)卡分別連接各內(nèi)部網(wǎng)絡和外部網(wǎng)絡。作用：隔離內(nèi)部網(wǎng)絡和外部網(wǎng)絡，為內(nèi)部網(wǎng)絡設立一個檢查點，對所有進出內(nèi)部網(wǎng)絡的數(shù)據(jù)包進行過濾，集中解決內(nèi)部網(wǎng)絡的安全問題。設計原則：最小服務原則、預防原則。類型：內(nèi)部堡壘主機、外部堡壘主機、犧牲主機。系統(tǒng)需求：強健性、可用性、可擴展性、易用性。服務：堡壘主機一般要設置用戶網(wǎng)絡所需的網(wǎng)絡服務，并且還要設置對外提供的網(wǎng)絡服務。分為無風險服務、低風險服務、高風險服務和禁用的服務4個級別。部署位置：堡壘主機的位置問題是事關堡壘主機和內(nèi)部網(wǎng)絡的安全性的重要問題。堡壘主機criticalstrongpointinnetworkhostsapplication/circuit-levelgatewayscommoncharacteristics:runssecureO/S,onlyessentialservicesmayrequireuserauthtoaccessproxyorhosteachproxycanrestrictfeatures,hostsaccessedeachproxysmall,simple,checkedforsecurityeachproxyisindependent,non-privilegedlimiteddiskuse,henceread-onlycode基于主機的防火墻usedt