第13章 防火墙与入侵防御技术
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
张凌龄认为,防火墙是流量数据的一个识别线,据此企业可以看到网络的使用情况,比如有多少用户以及应用使用情况。“把 这个技术再往前推进一步,增加数据的累积和搜集,增强不同事件的关联分析,这样就可以发现很多网络潜在的危机。”
她进一步指出,下一代智能防火墙将变成一个对网络进行动态管控的平台,通过给网络环境和用户行为打分,将使得防火墙更 加“智能”,并在网络管控当中起到非常重要的作用。
13.1.1 防火墙的特征与功能
• 防火墙采用的安全策略有如下两个基本准则:
(1)一切未被允许的访问是禁止的。基于该原则,防火墙要封锁所有的信息流,然后对希望开 放的服务逐步开放,这是一种非常实用的方法,可以形成一个十分安全的环境,但其安全性是以 牺牲用户使用的方便为代价的,用户所能使用的服务范围受到较大的限制。 (2)一切未被禁止的访问是允许的。基于该准则,防火墙开放所有的信息流,然后逐项屏蔽有 害的服务。这种方法构成了一种灵活的应用环境,但很难提供可靠的安全保护,特别是当保护的 网络范围增大时。
3、防火墙和IPS在网络中的部署位置不合适
防止DDoS攻击的设备必须位于网络安全防范的最前线,但是防火墙和IPS部署在靠近被保护服务器的位置,并不是作为第一道防线使用,这将导致DDoS攻击成功入侵数据中心。
毫无疑问,日益泛滥的DoS及DDoS攻击以及攻击趋势的复杂化已经从根本上改变了当前的安全环境。企业急需适时调整自己的安全架构以有效应对不断增多的DoS攻击,同时所 部署的安全工具也必须不断升级更新与时俱进。尽管防火墙和IPS在保护网络安全方面仍然发挥着重要的作用,但是当前复杂的攻击威胁亟需一个全面的网络安全解决方案,在保护网 络层和应用层的同时,能够有效地区分合法流量与非法流量,以保证企业网络和业务的正常运行。
第13章 防火墙与入侵防御技术
• 13.1 防火墙概述 • 13.2 个人防火墙配置 • 13.3 企业级防火墙配置 • 13.4 IDS与IPS • 13.5 Snort安装与配置 • 13.6 IPS部署与配置
案例一:网络防火墙将智能化
2013年6月23日消息,网络安全厂商山石网科昨天发布新一代智能防火墙产品HILLSTONE T5060,产品主要面向政府、高校、 金融和大中型企业,适用于互联网出口和服务器前端,新款产品强调了“智能”功能。山石网科市场副总裁张凌龄在产品发布现场 表示,防火墙未来将会发展成为一个对流量数据进行智能监控的平台。
• 搭建安全体系结构 • 制定规则次序 • 落实规则集
• 一个典型的防火墙的规则集合包含以下十二个方面:
(1)切断默认(2)允许内部出网 (3)添加锁定(4)丢弃不匹配的数据包(5)丢弃并不记录(6)允许DNS访问(7) 允许邮件访问(8)允许WEB访问(9)阻塞DMZ(10)允许内部的POP访问(11)强化DMZ的规则(12)允许管理员 访问
• 防火墙一般具有以下的基本功能:
(1)防火墙定义单个的阻塞点,过滤进、出网络的数据,管理进、出网络的访问行为,同时简化了安 全管理。 (2)监视安全相关事件并实现审计和告警。 (3)防火墙提供一些与安全无关的INTERNET功能平台,这些功能包括网络地址转换(NAT)以及审计 和记录INTERNET使用日志的网络管理功能; (4)防火墙可以用作IPsec的平台,如可以被用来实现虚拟专用网(VPN)。
• 广义地说,防火墙是一种获取安全性的方法,它有助于实施一个比较广泛的安全性政策, 以确定是否允许提供服务和访问
• 在逻辑上,防火墙是一个分离器、一个限制器、也可以是一个分析器,它有效地监控了内 部网和INTERNET之间的任何活动,保证了内部网络的安全。逻辑图如图13-1所示
外部网络(不可信网络)
图13-9 检测到非法进程
13.2.2 Windows7防火墙配置
1、点击“计算机”->“控制面板”->“Windows防火墙”,打开Windows7防火墙配置 主界面,如图13-10所示
图13-10 Windows7防火墙配置主界面
13.2.2 Windows7防火墙配置
2、点击 “打开和关闭Windows防火墙”菜单,如图13-11所示,私有网络和公用网络的 配置是完全分开的,可以在此处打开或者关闭防火墙功能。
答案很简单,防火墙与IPS最初并不是为了应对DDoS攻击而设计的。防火墙和IPS的设计目的是检测并阻止单一实体在某个时间发起的入侵行为,而非为了探测那些被百万次发送 的貌似合法数据包的组合行为。为了更好说明这一观点,接下来的说明可以解释防火墙和IPS在有效阻止DDoS攻击时的种种缺陷。
1、防火墙和IPS是状态监测设备
增加了负荷,使用时工作量大,效率不如网络级防火墙
外部连接
TELNET
内部连接
FБайду номын сангаасP
SMTP
HTTP
图13-3 应用级网关逻辑图
电路级网关
• 电路级网关用来监控受信任的客户或服务器与不受信任的主机之问的TCP握手信息,不允 许端到端的TCP连接。相反,网关建立了两个TCP连接,一个是在网关本身和内部主机上 的一个TCP用户之间,一个是在网关和外部主机上的一个TCP用户之间。一旦两个连接建 立起来,网关直接从一个连接向另一个连接转发TCP报文段,而不检查其内容。电路级网 关工作在OSI模型的会话层,安全功能体现在决定哪个连接是允许的,如图13-4所示
13.1.2 防火墙的类型
• 防火墙的分类方法较多,按其实现技术主要分为四大类:网络级防火墙、应用级网关、电 路级网关和规则检查防火墙
网络级防火墙
• 网络级防火墙也叫分组过滤路由器,如图13-2所示,工作在OSI模型的网络层,采用包过 滤技术,对每个进入的IP数据包分组使用一个规则集合,这些规则基于与IP或TCP首部中 字段的匹配,包括源端和日的端IP地址、IP协议字段、TCP或UDP端口号,决定是否转发 此包或者丢弃。如果与任何规则都不匹配则采用默认规则,一般情况下默认规则就是要求 防火墙丢弃该包。网络级防火墙简洁,速度快,费用低,并且对用户透明,缺点是对网络 更高协议层的信息无理解能力
1、天网防火墙安装 2、设置保护规则
设置保护规则
(1)单击天网防火墙主界面上的“IP规则管理”菜单,如图13-8所示,可以很方便地自定 义IP规则 (2)一旦处于保护电脑状态后,如果有非法的木马进程出现,防火墙就会给出警告信息, 如图13-9所示,这时可以选择“禁止”,除非确定该进程是合法的
图13-8 设定IP规则
图13-11 打开或关闭防火墙
13.2.2 Windows7防火墙配置
3、点击“还原默认设置”菜单,Windows7会删除所有的网络防火墙配置项目,恢复到初 始状态。例如,关闭的防火墙功能会自动开启,设置的允许程序列表会全部删除掉添加的规 则。 4、点击 “允许程序或功能通过Windows防火墙”菜单,如图13-12所示,在这里可以设 置防火墙允许的程序列表或基本服务
山石网科产品副总裁王钟认为,下一代智能防火墙是基于风险的安全解决方案,通过持续监控、收集和分析流量及可用性数据, 主动查找可能影响网络运行的异常行为与潜在网络问题。
山石网科市场副总裁张凌龄指出,随着网络攻击方式越来越复杂,对攻击行为的特征提取已经很难具有普遍性。这实际上也意 味着,以攻击特征库为核心的防火墙防范技术已经出现一定瓶颈。
案例二:解决DDoS攻击不能完全依赖IPS
在过去的2012年,发生了很多起DoS和DDoS攻击事件,RADWARE紧急响应团队于2013年年初发布的一份年度安全报告详细描述了这些攻击事件,并且在报告中指出,在33%的 DoS和DDoS攻击事件中,防火墙和IPS设备变成了主要的瓶颈设备。
为何防火墙与IPS不能有效应对DDoS攻击?
思考
1、防火墙的智能化是指什么?下一代防火墙应该具备哪些特征? 2、结合案例二分析防火墙与IPS无法完全阻挡DDoS攻击的原因,从该案例中你得到了什么 启发?
13.1 防火墙概述
• 13.1.1 防火墙的特征与功能 • 13.1.2 防火墙的类型 • 13.1.3 创建防火墙步骤
13.1.1 防火墙的特征与功能
图13-12 设置防火墙允许的程序和功能
13.2.2 Windows7防火墙配置
如果需要添加其它应用程序的许可规则,可以点击“允许运行另一程序”按钮打开添加程序 对话框 5、点击 “高级设置”菜单,如图13-15所示,几乎所有的防火墙功能都可以在这个高级设 置里完成,包括入站出站规则、连接安全规则、防火墙监控功能等
外部连接
OUT
IN
OUT
IN
内部连接
OUT
IN
图13-4 电路级网关逻辑图
规则检查防火墙
• 该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点,它依靠某种算法来识别 进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包,因而比应用 级代理更有效。它是较安全的一种防火墙,目前市场上流行的防火墙产品大多属于这一类, 它的缺点是对硬件要求高,且价格昂贵
防火墙产品通常是企业保证网络安全的措施之一,通过核心的过滤技术,对已知的危险进行防范。但随着企业对网络安全要求 的提高,提前防范风险已经成为一种趋势,也就是要求防火墙在危险真正发生前就要有所预警,具备“智能”功能。
基于这样的需求,山石网科的新一代智能防火墙就将主动检测技术与最新数据分析技术相结合,可以在安全威胁发生之前提示 用户网络中存在的安全风险,同时给出优化建议。
• 及时更新注释 • 做好审计工作
13.2 个人防火墙配置
• 13.2.1 天网防火墙配置 • 13.2.2 Windows7防火墙配置
13.2.1 天网防火墙配置
• 天网防火墙专为小型办公室/机构的安全需要而设计,功能全面,集高安全性及高可用性 于一身,使用简单灵活,能够有效防御来自互联网的各种攻击,保障内部网络服务的正常 运行。
13.1.3 创建防火墙步骤
• 成功创建一个防火墙系统一般需要六个步骤:
• 制定安全策略
• 安全策略一般由管理人员制定,它包含以下三方面内容:
(1)内部员工访问因特网不受限制。 (2)因特网用户有权访问公司的WEB服务器和EMAIL服务器。 (3)任何进入公用内部网络的数据必须经过安全认证和加密。
作为状态监测设备,防火墙和IPS可以跟踪检查所有连接,并将其存储在连接表里。每个数据包都与连接表相匹配,以确认该数据包是通过已经建立的合法连接进行传输的。
一个典型的连接表可以存储成千上万个活动连接,足以满足正常的网络访问活动。但是, DDoS攻击每秒可能会发送数千个数据包。作为企业网络中处理流量的窗口设备,防火墙 或IPS将会在连接表中为每一个恶意数据包创建一个新连接表项,这会导致连接表空间被快速耗尽。一旦连接表达到其最大容量,就不再允许打开新的连接,最终会阻止合法用户建立 连接。
2、防火墙和IPS不能区分恶意用户和合法用户
诸如HTTP洪水等诸多DDoS攻击是由数百万个合法会话构成的。每个会话本身都是合法的,防火墙和IPS无法将其标记为威胁。这主要是因为防火墙和IPS不具有对数百万并发会 话的行为进行全面观察与分析的能力,只能对单个会话进行检测,这就削弱了防火墙或IPS对由数百万个合法请求构成的攻击的识别能力。
过滤路由器
因特网
内部网
图13-2 网络级防火墙逻辑图
应用级网关
• 应用级网关也叫代理服务器, 工作在OSI模型的应用层。它担任应用级通信量的中继,用 户使用TCP/IP应用程序与网关通信,如图13-3所示。当用户访问远程主机时,网关会要 求用户提供一个合法的用户ID和鉴别信息,之后网关联系上远程主机的应用程序,并在两 个断点之间转送包含了应用数据的TCP报文段。应用级网关能够理解应用层上的协议,能 够做复杂一些的访问控制并做精细的记录日志和审计。缺点是对每一个连接做额外的处理
内部网络(可信网络)
防火墙
图13-1 防火墙的逻辑图
13.1.1 防火墙的特征与功能
• 保证内部网络安全的防火墙系统必须具备以下的特征:
(1)所有从内部到外部和从外部到内部的通信量都必须经过防火墙。 (2)只有被认可的通信量通过本地安全策略进行定义后才允许传递,不同类型的安全策略通过使用不 同类型的防火墙来实现。 (3)防火墙必须通过服务控制、方向控制、用户控制和行为控制四种通用技术来控制访问和执行站点 的安全策略
她进一步指出,下一代智能防火墙将变成一个对网络进行动态管控的平台,通过给网络环境和用户行为打分,将使得防火墙更 加“智能”,并在网络管控当中起到非常重要的作用。
13.1.1 防火墙的特征与功能
• 防火墙采用的安全策略有如下两个基本准则:
(1)一切未被允许的访问是禁止的。基于该原则,防火墙要封锁所有的信息流,然后对希望开 放的服务逐步开放,这是一种非常实用的方法,可以形成一个十分安全的环境,但其安全性是以 牺牲用户使用的方便为代价的,用户所能使用的服务范围受到较大的限制。 (2)一切未被禁止的访问是允许的。基于该准则,防火墙开放所有的信息流,然后逐项屏蔽有 害的服务。这种方法构成了一种灵活的应用环境,但很难提供可靠的安全保护,特别是当保护的 网络范围增大时。
3、防火墙和IPS在网络中的部署位置不合适
防止DDoS攻击的设备必须位于网络安全防范的最前线,但是防火墙和IPS部署在靠近被保护服务器的位置,并不是作为第一道防线使用,这将导致DDoS攻击成功入侵数据中心。
毫无疑问,日益泛滥的DoS及DDoS攻击以及攻击趋势的复杂化已经从根本上改变了当前的安全环境。企业急需适时调整自己的安全架构以有效应对不断增多的DoS攻击,同时所 部署的安全工具也必须不断升级更新与时俱进。尽管防火墙和IPS在保护网络安全方面仍然发挥着重要的作用,但是当前复杂的攻击威胁亟需一个全面的网络安全解决方案,在保护网 络层和应用层的同时,能够有效地区分合法流量与非法流量,以保证企业网络和业务的正常运行。
第13章 防火墙与入侵防御技术
• 13.1 防火墙概述 • 13.2 个人防火墙配置 • 13.3 企业级防火墙配置 • 13.4 IDS与IPS • 13.5 Snort安装与配置 • 13.6 IPS部署与配置
案例一:网络防火墙将智能化
2013年6月23日消息,网络安全厂商山石网科昨天发布新一代智能防火墙产品HILLSTONE T5060,产品主要面向政府、高校、 金融和大中型企业,适用于互联网出口和服务器前端,新款产品强调了“智能”功能。山石网科市场副总裁张凌龄在产品发布现场 表示,防火墙未来将会发展成为一个对流量数据进行智能监控的平台。
• 搭建安全体系结构 • 制定规则次序 • 落实规则集
• 一个典型的防火墙的规则集合包含以下十二个方面:
(1)切断默认(2)允许内部出网 (3)添加锁定(4)丢弃不匹配的数据包(5)丢弃并不记录(6)允许DNS访问(7) 允许邮件访问(8)允许WEB访问(9)阻塞DMZ(10)允许内部的POP访问(11)强化DMZ的规则(12)允许管理员 访问
• 防火墙一般具有以下的基本功能:
(1)防火墙定义单个的阻塞点,过滤进、出网络的数据,管理进、出网络的访问行为,同时简化了安 全管理。 (2)监视安全相关事件并实现审计和告警。 (3)防火墙提供一些与安全无关的INTERNET功能平台,这些功能包括网络地址转换(NAT)以及审计 和记录INTERNET使用日志的网络管理功能; (4)防火墙可以用作IPsec的平台,如可以被用来实现虚拟专用网(VPN)。
• 广义地说,防火墙是一种获取安全性的方法,它有助于实施一个比较广泛的安全性政策, 以确定是否允许提供服务和访问
• 在逻辑上,防火墙是一个分离器、一个限制器、也可以是一个分析器,它有效地监控了内 部网和INTERNET之间的任何活动,保证了内部网络的安全。逻辑图如图13-1所示
外部网络(不可信网络)
图13-9 检测到非法进程
13.2.2 Windows7防火墙配置
1、点击“计算机”->“控制面板”->“Windows防火墙”,打开Windows7防火墙配置 主界面,如图13-10所示
图13-10 Windows7防火墙配置主界面
13.2.2 Windows7防火墙配置
2、点击 “打开和关闭Windows防火墙”菜单,如图13-11所示,私有网络和公用网络的 配置是完全分开的,可以在此处打开或者关闭防火墙功能。
答案很简单,防火墙与IPS最初并不是为了应对DDoS攻击而设计的。防火墙和IPS的设计目的是检测并阻止单一实体在某个时间发起的入侵行为,而非为了探测那些被百万次发送 的貌似合法数据包的组合行为。为了更好说明这一观点,接下来的说明可以解释防火墙和IPS在有效阻止DDoS攻击时的种种缺陷。
1、防火墙和IPS是状态监测设备
增加了负荷,使用时工作量大,效率不如网络级防火墙
外部连接
TELNET
内部连接
FБайду номын сангаасP
SMTP
HTTP
图13-3 应用级网关逻辑图
电路级网关
• 电路级网关用来监控受信任的客户或服务器与不受信任的主机之问的TCP握手信息,不允 许端到端的TCP连接。相反,网关建立了两个TCP连接,一个是在网关本身和内部主机上 的一个TCP用户之间,一个是在网关和外部主机上的一个TCP用户之间。一旦两个连接建 立起来,网关直接从一个连接向另一个连接转发TCP报文段,而不检查其内容。电路级网 关工作在OSI模型的会话层,安全功能体现在决定哪个连接是允许的,如图13-4所示
13.1.2 防火墙的类型
• 防火墙的分类方法较多,按其实现技术主要分为四大类:网络级防火墙、应用级网关、电 路级网关和规则检查防火墙
网络级防火墙
• 网络级防火墙也叫分组过滤路由器,如图13-2所示,工作在OSI模型的网络层,采用包过 滤技术,对每个进入的IP数据包分组使用一个规则集合,这些规则基于与IP或TCP首部中 字段的匹配,包括源端和日的端IP地址、IP协议字段、TCP或UDP端口号,决定是否转发 此包或者丢弃。如果与任何规则都不匹配则采用默认规则,一般情况下默认规则就是要求 防火墙丢弃该包。网络级防火墙简洁,速度快,费用低,并且对用户透明,缺点是对网络 更高协议层的信息无理解能力
1、天网防火墙安装 2、设置保护规则
设置保护规则
(1)单击天网防火墙主界面上的“IP规则管理”菜单,如图13-8所示,可以很方便地自定 义IP规则 (2)一旦处于保护电脑状态后,如果有非法的木马进程出现,防火墙就会给出警告信息, 如图13-9所示,这时可以选择“禁止”,除非确定该进程是合法的
图13-8 设定IP规则
图13-11 打开或关闭防火墙
13.2.2 Windows7防火墙配置
3、点击“还原默认设置”菜单,Windows7会删除所有的网络防火墙配置项目,恢复到初 始状态。例如,关闭的防火墙功能会自动开启,设置的允许程序列表会全部删除掉添加的规 则。 4、点击 “允许程序或功能通过Windows防火墙”菜单,如图13-12所示,在这里可以设 置防火墙允许的程序列表或基本服务
山石网科产品副总裁王钟认为,下一代智能防火墙是基于风险的安全解决方案,通过持续监控、收集和分析流量及可用性数据, 主动查找可能影响网络运行的异常行为与潜在网络问题。
山石网科市场副总裁张凌龄指出,随着网络攻击方式越来越复杂,对攻击行为的特征提取已经很难具有普遍性。这实际上也意 味着,以攻击特征库为核心的防火墙防范技术已经出现一定瓶颈。
案例二:解决DDoS攻击不能完全依赖IPS
在过去的2012年,发生了很多起DoS和DDoS攻击事件,RADWARE紧急响应团队于2013年年初发布的一份年度安全报告详细描述了这些攻击事件,并且在报告中指出,在33%的 DoS和DDoS攻击事件中,防火墙和IPS设备变成了主要的瓶颈设备。
为何防火墙与IPS不能有效应对DDoS攻击?
思考
1、防火墙的智能化是指什么?下一代防火墙应该具备哪些特征? 2、结合案例二分析防火墙与IPS无法完全阻挡DDoS攻击的原因,从该案例中你得到了什么 启发?
13.1 防火墙概述
• 13.1.1 防火墙的特征与功能 • 13.1.2 防火墙的类型 • 13.1.3 创建防火墙步骤
13.1.1 防火墙的特征与功能
图13-12 设置防火墙允许的程序和功能
13.2.2 Windows7防火墙配置
如果需要添加其它应用程序的许可规则,可以点击“允许运行另一程序”按钮打开添加程序 对话框 5、点击 “高级设置”菜单,如图13-15所示,几乎所有的防火墙功能都可以在这个高级设 置里完成,包括入站出站规则、连接安全规则、防火墙监控功能等
外部连接
OUT
IN
OUT
IN
内部连接
OUT
IN
图13-4 电路级网关逻辑图
规则检查防火墙
• 该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点,它依靠某种算法来识别 进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包,因而比应用 级代理更有效。它是较安全的一种防火墙,目前市场上流行的防火墙产品大多属于这一类, 它的缺点是对硬件要求高,且价格昂贵
防火墙产品通常是企业保证网络安全的措施之一,通过核心的过滤技术,对已知的危险进行防范。但随着企业对网络安全要求 的提高,提前防范风险已经成为一种趋势,也就是要求防火墙在危险真正发生前就要有所预警,具备“智能”功能。
基于这样的需求,山石网科的新一代智能防火墙就将主动检测技术与最新数据分析技术相结合,可以在安全威胁发生之前提示 用户网络中存在的安全风险,同时给出优化建议。
• 及时更新注释 • 做好审计工作
13.2 个人防火墙配置
• 13.2.1 天网防火墙配置 • 13.2.2 Windows7防火墙配置
13.2.1 天网防火墙配置
• 天网防火墙专为小型办公室/机构的安全需要而设计,功能全面,集高安全性及高可用性 于一身,使用简单灵活,能够有效防御来自互联网的各种攻击,保障内部网络服务的正常 运行。
13.1.3 创建防火墙步骤
• 成功创建一个防火墙系统一般需要六个步骤:
• 制定安全策略
• 安全策略一般由管理人员制定,它包含以下三方面内容:
(1)内部员工访问因特网不受限制。 (2)因特网用户有权访问公司的WEB服务器和EMAIL服务器。 (3)任何进入公用内部网络的数据必须经过安全认证和加密。
作为状态监测设备,防火墙和IPS可以跟踪检查所有连接,并将其存储在连接表里。每个数据包都与连接表相匹配,以确认该数据包是通过已经建立的合法连接进行传输的。
一个典型的连接表可以存储成千上万个活动连接,足以满足正常的网络访问活动。但是, DDoS攻击每秒可能会发送数千个数据包。作为企业网络中处理流量的窗口设备,防火墙 或IPS将会在连接表中为每一个恶意数据包创建一个新连接表项,这会导致连接表空间被快速耗尽。一旦连接表达到其最大容量,就不再允许打开新的连接,最终会阻止合法用户建立 连接。
2、防火墙和IPS不能区分恶意用户和合法用户
诸如HTTP洪水等诸多DDoS攻击是由数百万个合法会话构成的。每个会话本身都是合法的,防火墙和IPS无法将其标记为威胁。这主要是因为防火墙和IPS不具有对数百万并发会 话的行为进行全面观察与分析的能力,只能对单个会话进行检测,这就削弱了防火墙或IPS对由数百万个合法请求构成的攻击的识别能力。
过滤路由器
因特网
内部网
图13-2 网络级防火墙逻辑图
应用级网关
• 应用级网关也叫代理服务器, 工作在OSI模型的应用层。它担任应用级通信量的中继,用 户使用TCP/IP应用程序与网关通信,如图13-3所示。当用户访问远程主机时,网关会要 求用户提供一个合法的用户ID和鉴别信息,之后网关联系上远程主机的应用程序,并在两 个断点之间转送包含了应用数据的TCP报文段。应用级网关能够理解应用层上的协议,能 够做复杂一些的访问控制并做精细的记录日志和审计。缺点是对每一个连接做额外的处理
内部网络(可信网络)
防火墙
图13-1 防火墙的逻辑图
13.1.1 防火墙的特征与功能
• 保证内部网络安全的防火墙系统必须具备以下的特征:
(1)所有从内部到外部和从外部到内部的通信量都必须经过防火墙。 (2)只有被认可的通信量通过本地安全策略进行定义后才允许传递,不同类型的安全策略通过使用不 同类型的防火墙来实现。 (3)防火墙必须通过服务控制、方向控制、用户控制和行为控制四种通用技术来控制访问和执行站点 的安全策略