計(jì)算機(jī)系統(tǒng)平安第九章防火墻1.一、防火墻概述

什么是防火墻(Firewall)？防火墻：在兩個(gè)信任程度不同的網(wǎng)絡(luò)之間設(shè)置的、用于加強(qiáng)訪問控制的軟硬件保護(hù)設(shè)施。2.一、防火墻的用途一、防火墻概述1〕作為“扼制點(diǎn)〞，限制信息的進(jìn)入或離開；2〕防止侵入者接近并破壞你的內(nèi)部設(shè)施；3〕監(jiān)視、記錄、審查重要的業(yè)務(wù)流；4〕實(shí)施網(wǎng)絡(luò)地址轉(zhuǎn)換，緩解地址短缺矛盾。防火墻只允許已授權(quán)的業(yè)務(wù)流通過，而且本身也應(yīng)抵抗?jié)B透攻擊。建立防火墻必須全面考慮平安策略，否那么形同虛設(shè)。3.二、好的防火墻系統(tǒng)一、防火墻概述1〕內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過防火墻；2〕只有防火墻系統(tǒng)中平安策略允許的數(shù)據(jù)可以通過防火墻；3〕防火墻本身不受各種攻擊的影響。4.三、防火墻的優(yōu)點(diǎn)一、防火墻概述

1.防止易受攻擊的效勞通過過濾不平安的效勞來降低子網(wǎng)上主系統(tǒng)的風(fēng)險(xiǎn)?？梢越鼓承┮资芄舻男?如NFS)進(jìn)入或離開受保護(hù)的子網(wǎng)。可以防護(hù)基于路由選擇的攻擊，如源路由選擇和企圖通過ICMP改向把發(fā)送路徑轉(zhuǎn)向遭致?lián)p害的網(wǎng)點(diǎn)。5.一、防火墻概述2.控制訪問網(wǎng)點(diǎn)系統(tǒng)可以提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機(jī)(MailServer和WebServer)，同時(shí)禁止訪問另外的主機(jī)。3.集中平安性防火墻定義的平安規(guī)那么可用于整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無須在內(nèi)部網(wǎng)每臺機(jī)器上分別設(shè)立平安策略?？梢远x不同的認(rèn)證方法，而不需要在每臺機(jī)器上分別安裝特定的認(rèn)證軟件。外部用戶只需要經(jīng)過一次認(rèn)證即可訪問內(nèi)部網(wǎng)。例如對于密碼口令系統(tǒng)或其他的身份認(rèn)證軟件等，放在防火墻系統(tǒng)中更是優(yōu)于放在每個(gè)Internet能訪問的機(jī)器上。6.一、防火墻概述4.增強(qiáng)的保密、強(qiáng)化私有權(quán)使用防火墻系統(tǒng)，站點(diǎn)可以防止finger以及DNS域名效勞。Finger能列出當(dāng)前用戶，上次登錄時(shí)間，以及是否讀過郵件等。5.有關(guān)網(wǎng)絡(luò)使用、濫用的記錄和統(tǒng)計(jì)防火墻可以記錄各次訪問，并提供有關(guān)網(wǎng)絡(luò)使用率等有價(jià)值的統(tǒng)計(jì)數(shù)字。網(wǎng)絡(luò)使用率統(tǒng)計(jì)數(shù)字可作為網(wǎng)絡(luò)需求研究和風(fēng)險(xiǎn)分析的依據(jù)；收集有關(guān)網(wǎng)絡(luò)試探的證據(jù)，可確定防火墻上的控制措施是否得當(dāng)，能否抵御試探和攻擊。7.四、防火墻的局限性一、防火墻概述1〕防火墻防外不防內(nèi)防火墻可以禁止系統(tǒng)用戶經(jīng)過網(wǎng)絡(luò)連接發(fā)送專有的信息，但用戶可以將數(shù)據(jù)復(fù)制到磁盤、磁帶上，放在公文包中帶出去。如果入侵者已經(jīng)在防火墻內(nèi)部，防火墻是無能為力的。內(nèi)部用戶偷竊數(shù)據(jù)，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻。對于來自知情者的威脅只能要求加強(qiáng)內(nèi)部管理，如主機(jī)平安和用戶教育、管理、制度等。8.一、防火墻概述2〕不能防范繞過防火墻的攻擊防火墻能夠有效地防止通過它進(jìn)行傳輸信息，然而不能防止不通過它而傳輸?shù)男畔?。例如，如果站點(diǎn)允許對防火墻后面的內(nèi)部系統(tǒng)進(jìn)行撥號訪問，那么防火墻絕對沒有方法阻止入侵者進(jìn)行撥號入侵。3〕防火墻配置復(fù)雜，容易出現(xiàn)平安漏洞4〕防火墻往往只認(rèn)機(jī)器〔IP地址〕不認(rèn)人〔用戶身份〕，并且控制粒度較粗。9.一、防火墻概述5〕防火墻不能防范病毒防火墻不能防止感染了病毒的軟件或文件的傳輸。這只能在每臺主機(jī)上裝反病毒軟件。6〕防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。當(dāng)有些外表看來無害的數(shù)據(jù)被郵寄或復(fù)制到內(nèi)部網(wǎng)主機(jī)上并被執(zhí)行而發(fā)起攻擊時(shí)，就會發(fā)生數(shù)據(jù)驅(qū)動(dòng)攻擊。特別是隨著Java、JavaScript、ActiveX的應(yīng)用，這一問題更加突出。10.五、防火墻的特點(diǎn)一、防火墻概述1、廣泛的效勞支持：通過將動(dòng)態(tài)的、應(yīng)用層的過濾能力和認(rèn)證相結(jié)合，可實(shí)現(xiàn)WWW瀏覽器、HTTP效勞器、FTP等；2、對私有數(shù)據(jù)的加密支持：保證通過Internet進(jìn)行虛擬私人網(wǎng)絡(luò)和商務(wù)活動(dòng)的平安；3、客戶端認(rèn)證：只允許指定的用戶訪問內(nèi)部網(wǎng)絡(luò)或選擇效勞：企業(yè)本地網(wǎng)與分支機(jī)構(gòu)、商業(yè)伙伴和移動(dòng)用戶間平安通信的附加局部；11.五、防火墻的特點(diǎn)一、防火墻概述4、反欺騙：欺騙是從外部獲取網(wǎng)絡(luò)訪問權(quán)的常用手段，它使數(shù)據(jù)包好似來自網(wǎng)絡(luò)內(nèi)部。防火墻能監(jiān)視這樣的數(shù)據(jù)包并能扔掉它們；5、C/S模式和跨平臺支持：能使運(yùn)行在一平臺的管理模塊控制運(yùn)行在另一平臺的監(jiān)視模塊。

12.1、效勞訪問政策二、網(wǎng)絡(luò)政策

效勞訪問政策是整個(gè)機(jī)構(gòu)信息平安政策的延伸，既要可靠又要切合實(shí)際。一個(gè)典型的政策可以不允許從Internet訪問網(wǎng)點(diǎn)，但要允許從網(wǎng)點(diǎn)訪問Internet。另一個(gè)典型政策是允許從Internet進(jìn)行某些訪問，但是或許只許可訪問經(jīng)過選擇的系統(tǒng)，如Web效勞器和電子郵件效勞器。13.允許拒絕2、防火墻設(shè)計(jì)政策

防火墻一般實(shí)施兩個(gè)根本設(shè)計(jì)方針之一:1.“沒有明確允許的都是被禁止的〞，即拒絕一切未予特許的東西。2.“沒有明確禁止的都是被允許的〞；也即是允許一切未被特別拒絕的東西允許拒絕14.六、防火墻的體系結(jié)構(gòu)1〕屏蔽路由器〔ScreenedRouter〕2〕雙宿主機(jī)網(wǎng)關(guān)；DualHomedHostGateway3〕屏蔽主機(jī)防火墻；ScreenedGateway4〕屏蔽子網(wǎng)防火墻。ScreenedSubnet15.1.屏蔽路由器〔ScreenedRouter〕包過濾路由器：路由+過濾這是最簡單的防火墻。缺點(diǎn)：日志沒有或很少，難以判斷是否被入侵規(guī)那么表會隨著應(yīng)用變得很復(fù)雜單一的部件保護(hù)，脆弱16.2.雙宿主機(jī)網(wǎng)關(guān)防火墻體系結(jié)構(gòu)

17.防火墻體系結(jié)構(gòu)

用一臺裝有兩塊網(wǎng)卡的計(jì)算機(jī)作為堡壘主機(jī)〔Bastionhost〕，兩塊網(wǎng)卡分別與內(nèi)部網(wǎng)和外部網(wǎng)〔或屏蔽路由器〕相連，每塊網(wǎng)卡有各自的IP地址。堡壘主機(jī)上運(yùn)行防火墻軟件——代理效勞〔應(yīng)用層網(wǎng)關(guān)〕。在建立雙宿主機(jī)時(shí)，應(yīng)關(guān)閉操作系統(tǒng)的路由功能〔IP轉(zhuǎn)發(fā)〕，否那么兩塊網(wǎng)卡間的通信會繞過代理效勞器軟件。優(yōu)點(diǎn)：與屏蔽路由器相比，提供日志以備檢查缺點(diǎn)：雙宿主機(jī)易受攻擊18.3.屏蔽主機(jī)防火墻防火墻體系結(jié)構(gòu)19.屏蔽主機(jī)體系結(jié)構(gòu)

20.防火墻體系結(jié)構(gòu)由屏蔽路由器和應(yīng)用網(wǎng)關(guān)組成。兩道屏障：網(wǎng)絡(luò)層的包過濾；應(yīng)用層代理效勞注：與雙宿主機(jī)網(wǎng)關(guān)不同，這里的應(yīng)用網(wǎng)關(guān)只有一塊網(wǎng)卡。優(yōu)點(diǎn)：雙重保護(hù)，平安性更高。實(shí)施策略：針對不同的效勞，選擇其中的一種或兩種保護(hù)措施。21.4.屏蔽子網(wǎng)體系結(jié)構(gòu)防火墻體系結(jié)構(gòu)組成：一個(gè)包含堡壘主機(jī)的周邊子網(wǎng)、兩臺屏蔽路由器。22.屏蔽子網(wǎng)體系結(jié)構(gòu)

23.防火墻體系結(jié)構(gòu)屏蔽子網(wǎng)防火墻中，添加周邊網(wǎng)絡(luò)進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與Internet隔離開。通過在周邊網(wǎng)絡(luò)上隔離堡壘主機(jī)，能減少在堡壘主機(jī)上侵入的影響。要想侵入用這種類型的體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，侵襲者必須通過外部路由器，堡壘主機(jī)，內(nèi)部路由器三道關(guān)口。1〕周邊網(wǎng)絡(luò)：非軍事化區(qū)、?；饏^(qū)〔DMZ〕周邊網(wǎng)絡(luò)是另一個(gè)平安層,是在外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間的附加的網(wǎng)絡(luò)。24.防火墻體系結(jié)構(gòu)周邊網(wǎng)絡(luò)的作用對于周邊網(wǎng)絡(luò)，如果某人侵入周邊網(wǎng)上的堡壘主機(jī)，他僅能探聽到周邊網(wǎng)上的通信。因?yàn)樗兄苓吘W(wǎng)上的通信來自或者通往堡壘主機(jī)或Internet。因?yàn)闆]有嚴(yán)格的內(nèi)部通信(即在兩臺內(nèi)部主機(jī)之間的通信，這通常是敏感的或者專有的)能越過周邊網(wǎng)。所以，如果堡壘主機(jī)被損害，內(nèi)部的通信仍將是平安的。25.防火墻體系結(jié)構(gòu)2〕堡壘主機(jī)接受來自外界連接的主要入口：1對于進(jìn)來的電子郵件〔SMTP〕會話，傳送電子郵件到站點(diǎn)；2對于進(jìn)來的FTP連接，轉(zhuǎn)接到站點(diǎn)的匿名FTP效勞器；3對于進(jìn)來的域名效勞〔DNS〕站點(diǎn)查詢等。26.防火墻體系結(jié)構(gòu)出站效勞按如下任一方法處理：1.在外部和內(nèi)部的路由器上設(shè)置數(shù)據(jù)包過濾來允許內(nèi)部的客戶端直接訪問外部的效勞器。2.設(shè)置代理效勞器在堡壘主機(jī)上運(yùn)行〔如果用戶的防火墻使用代理軟件〕來允許內(nèi)部的客戶端間接地訪問外部的效勞器。用戶也可以設(shè)置數(shù)據(jù)包過濾來允許內(nèi)部的客戶端在堡壘主機(jī)上同代理效勞器交談。但是禁止內(nèi)部的客戶端與外部世界之間直接通信(如撥號上網(wǎng))。27.防火墻體系結(jié)構(gòu)3〕內(nèi)部路由器內(nèi)部路由器〔阻塞路由器〕：保護(hù)內(nèi)部的網(wǎng)絡(luò)使之免受Internet和周邊子網(wǎng)的侵犯。內(nèi)部路由器為用戶的防火墻執(zhí)行大局部的數(shù)據(jù)包過濾工作。它允許從內(nèi)部網(wǎng)到Internet的有選擇的出站效勞。這些效勞是用戶使用數(shù)據(jù)包過濾而不是通過代理效勞提供。內(nèi)部路由器所允許的在周邊網(wǎng)和內(nèi)部網(wǎng)之間效勞可不同于內(nèi)部路由器所允許的在外部和內(nèi)部網(wǎng)之間的效勞。限制堡壘主機(jī)與內(nèi)部網(wǎng)之間的通信可減少堡壘機(jī)被攻破時(shí)對內(nèi)部網(wǎng)的危害。28.防火墻體系結(jié)構(gòu)4〕外部路由器在理論上，外部路由器保護(hù)周邊網(wǎng)和內(nèi)部網(wǎng)使之免受來自Internet的侵犯。實(shí)際上，外部路由器傾向于允許幾乎任何東西從周邊網(wǎng)出站，并且它們通常只執(zhí)行非常少的數(shù)據(jù)包過濾。外部路由器平安任務(wù)之一是：阻止從Internet上偽造源地址進(jìn)來的任何數(shù)據(jù)包。29.內(nèi)部防火墻問題

防火墻體系結(jié)構(gòu)在大局部討論中,都假定建立防火墻的目的在于保護(hù)內(nèi)部網(wǎng)免受外部網(wǎng)的侵?jǐn)_。但有時(shí)為了某些原因，我們還需要對內(nèi)部網(wǎng)的局部站點(diǎn)再加以保護(hù)以免受內(nèi)部的其它站點(diǎn)的侵襲。因此，有時(shí)我們需要在同一結(jié)構(gòu)的兩個(gè)局部之間，或者在同一內(nèi)部網(wǎng)的兩個(gè)不同組織結(jié)構(gòu)之間再建立防火墻〔也被稱為內(nèi)部防火墻〕。30.復(fù)合型防火墻

復(fù)合型防火墻

采用哪種形式的防火墻取決于經(jīng)費(fèi)、技術(shù)、時(shí)間等。應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層包過濾應(yīng)用網(wǎng)關(guān)電路網(wǎng)關(guān)31.包過濾技術(shù)

包過濾技術(shù)32.包過濾技術(shù)的原理包過濾技術(shù)在路由器上參加IPFiltering功能，這樣的路由器就成為ScreeningRouter。Router逐一審查每個(gè)數(shù)據(jù)包以判定它是否與其它包過濾規(guī)那么相匹配(只檢查包頭，不理會包內(nèi)的正文信息)。如果找到一個(gè)匹配，且規(guī)那么允許這包，這個(gè)包那么根據(jù)路由表中的信息前行；如果找到一個(gè)匹配，且規(guī)那么允許拒絕此包，這一包那么被舍棄；如果無匹配規(guī)那么，一個(gè)用戶配置的缺省參數(shù)將決定此包是前行還是被舍棄。33.IPv4包過濾技術(shù)版本號Version(4bit)報(bào)頭長IHL(4bit)

效勞類型

ServiceType(8bit)分組總長度TotalLength(16bit)標(biāo)識Identification(16bit)標(biāo)志Flags(3bit)片偏移FragmentOffset(13bit)生存時(shí)間TimetoLive(8bit)傳輸層協(xié)議Protocol(8bit)頭部校驗(yàn)和

HeaderChecksum(16bit)源IP地址SourceAddress(32bit)宿IP地址DestinationAddress(32bit)可選項(xiàng)Option有效負(fù)載Payload〔0或多個(gè)字節(jié)〕20bytes048161931填充域padding34.ICMP報(bào)文包過濾技術(shù)ICMP報(bào)文的一般格式Data過失信息出錯(cuò)IP數(shù)據(jù)報(bào)的頭+64個(gè)字節(jié)數(shù)據(jù)類型Type(8bit)代碼Code(8bit)

檢驗(yàn)和Checksum(16bit)不同類型和代碼有不同的內(nèi)容Data081631ICMPheaderICMPdataIPheaderIPdata封裝35.TCP頭部包過濾技術(shù)源端口SourcePort(16bit)宿端口DestinationPort(16bit)序列號SequenceNumber(32bit)確認(rèn)號AcknowledgmentNumber(32bit)DataOffset(4bit)Reserved(6bit)URGACKPSHRSTSYNFIN窗口大小Window

size(16bit)校驗(yàn)和Checksum(16bit)緊急指針UrgentPointer(16bit)選項(xiàng)

Options(0或多個(gè)32bit字)數(shù)據(jù)Data(可選)36.UDP頭部包過濾技術(shù)UDP源端口UDP宿端口UDP長度UDP校驗(yàn)和16bit16bit最小值為8全“0〞：不選；全“1〞：校驗(yàn)和為0。37.包過濾的依據(jù)包過濾技術(shù)IP源地址IP目的地址封裝協(xié)議(TCP、UDP、或IPTunnel)TCP/UDP源端口TCP/UDP目的端口ICMP包類型TCP報(bào)頭的ACK位包輸入接口和包輸出接口38.依賴于效勞的過濾包過濾技術(shù)多數(shù)效勞對應(yīng)特定的端口，例：Telnet、SMTP、POP3分別為23、25、110。如要封鎖輸入Telnet、SMTP的連接，那么Router丟棄端口值為23和25的所有數(shù)據(jù)包。典型的過濾規(guī)那么有以下幾種：.只允許進(jìn)來的Telnet會話連接到指定的一些內(nèi)部主機(jī).只允許進(jìn)來的FTP會話連接到指定的一些內(nèi)部主機(jī).允許所有出去的Telnet會話.允許所有出去的FTP會話.拒絕從某些指定的外部網(wǎng)絡(luò)進(jìn)來的所有信息39.獨(dú)立于效勞的過濾有些類型的攻擊很難用根本包頭信息加以鑒別，因?yàn)楠?dú)立于效勞。要防止這類攻擊，需要在過濾規(guī)那么中考慮其它信息，如：路由表、特定的IP選項(xiàng)、特定的片段偏移等。不依賴于效勞的攻擊有三類：1〕源IP地址欺騙攻擊入侵者從偽裝成源自一臺內(nèi)部主機(jī)的一個(gè)外部地點(diǎn)傳送一些信息包；這些信息包似乎像包含了一個(gè)內(nèi)部系統(tǒng)的源IP地址。如果這些信息包到達(dá)Router的外部接口，那么舍棄每個(gè)含有這個(gè)源IP地址的信息包，就可以挫敗這種源欺騙攻擊。40.包過濾技術(shù)2〕源路由攻擊攻擊者為信息包指定一個(gè)穿越Internet的路由，這類攻擊企圖繞過平安措施，并使信息包沿一條意外(疏漏)的路徑到達(dá)目的地?？梢酝ㄟ^舍棄所有包含這類源路由選項(xiàng)的信息包方式，來挫敗這類攻擊。3〕殘片攻擊入侵者利用IP分段特性生成一個(gè)極小的片斷并將TCP報(bào)頭信息肢解成一個(gè)別離的信息包片斷，使數(shù)據(jù)包繞過用戶定義的過濾規(guī)那么。黑客希望過濾路由器只檢查第一分段，而允許其它分段通過。通過舍棄所有協(xié)議類型為TCP、IP報(bào)頭中FragmentOffset=1的數(shù)據(jù)包，即可挫敗殘片的攻擊。41.推薦的過濾規(guī)那么任何進(jìn)入內(nèi)網(wǎng)的數(shù)據(jù)包不能將內(nèi)部地址作為源地址任何進(jìn)入內(nèi)網(wǎng)的數(shù)據(jù)包必須將內(nèi)部地址作為目標(biāo)地址任何離開內(nèi)網(wǎng)的數(shù)據(jù)包必須將內(nèi)部地址作為源地址任何離開內(nèi)網(wǎng)的數(shù)據(jù)包不能將內(nèi)部地址作為目標(biāo)地址任何進(jìn)入或離開內(nèi)網(wǎng)的數(shù)據(jù)包不能把一個(gè)私有地址或者/8作為源或目標(biāo)地址保存、DHCP自動(dòng)配置和多播地址也要被阻塞：/8/16/24/4/442.包過濾路由器的優(yōu)點(diǎn)包過濾技術(shù)1、實(shí)現(xiàn)包過濾幾乎不再需要費(fèi)用。這些特點(diǎn)都包含再標(biāo)準(zhǔn)的路由器軟件中。絕大多數(shù)Internet防火墻系統(tǒng)只用一個(gè)包過濾路由器.2、執(zhí)行PACKETFILTER所用的時(shí)間很少或幾乎不需要什么時(shí)間。因?yàn)镮nternet訪問一般被提供給一個(gè)WAN接口。如果通信負(fù)載適中且定義的過濾很少的話,那么對路由性能沒有多大影響.3、包過濾路由器對終端用戶和應(yīng)用程序是透明的,因此不需要專門的用戶培訓(xùn)或在每主機(jī)上設(shè)置特別的軟件.43.包過濾路由器的局限性包過濾技術(shù)1、定義包過濾器的工作復(fù)雜,要了解Internet各種效勞、包頭格式和每個(gè)域查找的特定值。管理困難。2、通過路由器的數(shù)據(jù)包有可能被用于數(shù)據(jù)驅(qū)動(dòng)攻擊3、過濾器數(shù)目增加，路由器吞吐量下降4、無法對流動(dòng)的信息提供全面控制。不能理解上下文。5、一些應(yīng)用協(xié)議不適合于包過濾，如：RPC、FTP等。6、日志能力較弱。不能報(bào)告誰企圖入侵。7、難以針對用戶實(shí)施平安策略。44.代理效勞技術(shù)代理效勞該技術(shù)它能夠?qū)⑺锌缭椒阑饓Φ木W(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的連接，由兩個(gè)代理效勞器之間的連接來實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理效勞器，從而起到隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。此外，代理效勞器也對過往的數(shù)據(jù)包進(jìn)行分析、記錄、形成報(bào)告，當(dāng)發(fā)現(xiàn)攻擊跡象時(shí)會向網(wǎng)絡(luò)管理員發(fā)出警告，并保存攻擊痕跡。45.代理效勞技術(shù)代理效勞46.應(yīng)用層網(wǎng)關(guān)

應(yīng)用網(wǎng)關(guān)應(yīng)用層網(wǎng)關(guān)〔ApplicationLevelGateways〕技術(shù)是在網(wǎng)絡(luò)的應(yīng)用層上實(shí)現(xiàn)協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對特定的網(wǎng)絡(luò)應(yīng)用效勞協(xié)議，如：超文本傳輸協(xié)議(HTTP)、遠(yuǎn)程文件傳輸協(xié)議(FTP)等，使用指定的數(shù)據(jù)過濾規(guī)那么。并在過濾的同時(shí)，對數(shù)據(jù)包進(jìn)行必要的分析、記錄和統(tǒng)計(jì)，形成報(bào)告。記錄和控制所有進(jìn)出流量是應(yīng)用層網(wǎng)關(guān)的一個(gè)主要優(yōu)點(diǎn)。47.應(yīng)用層上的過濾應(yīng)用網(wǎng)關(guān)48.應(yīng)用層網(wǎng)關(guān)49.電路層網(wǎng)關(guān)(CircuitGateway)電路網(wǎng)關(guān)工作在OSI的會話層。分組地址是一個(gè)應(yīng)用層的用戶進(jìn)程。電路網(wǎng)關(guān)在兩個(gè)通信端點(diǎn)之間復(fù)制字節(jié)。電路網(wǎng)關(guān)包含有支持某些TCP/IP應(yīng)用的程序代碼，但通常是有限的。電路網(wǎng)關(guān)適于限制內(nèi)部網(wǎng)對外部的訪問，但不能實(shí)施協(xié)議過濾。從電路網(wǎng)關(guān)出來的連接好象都是從防火墻產(chǎn)生的，故可以隱藏內(nèi)部網(wǎng)絡(luò)信息。電路網(wǎng)關(guān)與包過濾相似，但比包過濾高兩層，平安性更好。50.電路層網(wǎng)關(guān)51.一個(gè)例子代理效勞用包過濾路由器封鎖所有輸入Telnet和Ftp連接的網(wǎng)點(diǎn)。路由器允許Telnet和Ftp包只通過一個(gè)主系統(tǒng)，即Telnet/Ftp應(yīng)用網(wǎng)關(guān)，然后再連接到目的主系統(tǒng)：用戶首先把Telnet連接到應(yīng)用網(wǎng)關(guān)，并輸入內(nèi)部主系統(tǒng)名字；網(wǎng)關(guān)檢驗(yàn)用戶的源IP地址，并根據(jù)訪問準(zhǔn)那么接受或拒絕；用戶可能需要證明自己的身份〔可使用一次性口令裝置〕；代理效勞軟件在網(wǎng)關(guān)和內(nèi)部主系統(tǒng)之間建立Telnet連接；代理效勞軟件在兩個(gè)連接之間傳送數(shù)據(jù)；應(yīng)用網(wǎng)關(guān)記錄連接情況。52.代理效勞的優(yōu)點(diǎn)代理效勞1〕易于配置軟件實(shí)現(xiàn)，界面友好2〕日志記錄，便于分析3〕靈活控制進(jìn)出流量、內(nèi)容(who、what、where、when)例如，可以過濾協(xié)議。為防止用戶向匿名FTP效勞器寫數(shù)據(jù)，可拒絕使用FTP協(xié)議中的put命令；能過濾數(shù)據(jù)內(nèi)容：文本過濾、圖像過濾、病毒掃描等。4〕為用戶提供透明的加密機(jī)制VPN5〕便于與其它平安手段集成認(rèn)證授權(quán)加密TLS協(xié)議53.代理效勞的缺點(diǎn)速度慢：檢查內(nèi)容；轉(zhuǎn)發(fā)/響應(yīng)代理對用戶不透明對客戶端要定制軟件或改動(dòng)；如何跨平臺；代理效勞難以讓可戶非常滿意不能改進(jìn)底層協(xié)議的平安IP欺騙SYN泛濫拒絕效勞攻擊有可能受到協(xié)議漏洞的威脅54.包過濾與代理的結(jié)合代理效勞為提高平安性，將包過濾方法與應(yīng)用代理的方法結(jié)合起來，形成復(fù)合型防火墻產(chǎn)品。有兩種方案。1)屏蔽主機(jī)防火墻體系結(jié)構(gòu)：在該結(jié)構(gòu)中，包過濾路由器或防火墻與Internet相連，同時(shí)一個(gè)堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過在包過濾路由器或防火墻上過濾規(guī)那么的設(shè)置，使堡壘機(jī)成為Internet上其它節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn)，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。55.代理效勞2)屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機(jī)放在一個(gè)子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個(gè)包過濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)別離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘主機(jī)和包過濾路由器共同構(gòu)成了整個(gè)防火墻的平安根底。代理效勞器及防火墻軟件包：WingateMicrosoftProxyServer56.用戶眼中的代理代理效勞免費(fèi)代理出現(xiàn)原因：系統(tǒng)漏洞；管理員設(shè)置的