第 10 章 防火墙和代理服务器的应用

问题二:连如INTERNET的接入方式 1,永久性的连入INTERNET,固定连接 比如:专线,ETHERNET,光缆
2,拨号连接入INTERNET ADSL,MODEM,ISDN等
二,防火墙介绍 在安全与不安全之间形成一道屏障,对所有经过的数据 进行检测,分析,限制操作,对访问用户身份进行验证 目的就是确保受保护区域内的网络安全.
第十四章 将INTRANET连入 连入 INTERNET网络 网络
INTERNET是一个全球互联公共网络. INTRANET则是利用INTERNET技术所组建的内部 专用网络. 安全问题 私有 连接技术
公共
问题一:INTERNET与INTRANET应如何连接 私有与公共网络互联需要考虑安全,效率,共享等因素 1,通过路由器 路由器提供路由功能,内网需采用合法的公用地址. 如:校园网,ISP供应商网络 2,通过防火墙 防火墙起到是一个安全检查的作用,允许或拒绝通过.
�
(1)静态包滤级 对每个数据包的包头与某一条包过滤规则相比对,拒绝 或丢弃. 例如:可以允许用户进行HTTP访问,拒绝FTP访问. (2)动态包过滤 根据实际需要,为特定的应用打开所需端口,在通信 结束时可自Байду номын сангаас关闭,降低了暴露端口的数量,提供了 更高的安全性.
问题:静态包过滤和动态包过滤的区别? 动态包过滤只能控制TCP/UDP协议的应用程序,而 静态包过滤能控制所有的IP协议(TCP/UDP,ICMP).
(3)屏蔽子网,非军事区DMZ 它建立了一个内网与外网想隔离的一个子网. 在这个子网中安装了应用服务器,用于发布公共服务. 内部主机通过DMZ中的代理主机来上INTERNET,而在 INTERNET中的外部主机只能访问到DMZ中用来发布公 用信息的服务器,内网是无法访问的.
三宿主主机网关,见图14.9
1,防火墙的功能: 过滤不安全的服务和非法用户 控制对特殊站点的访问 监视网络访问,提供安全预警
当然,对于有些情况下防火墙也是无能为力的,如: 内部攻击,病毒文件的传递等等.
根据不同的网络,不同的防范要求所形成的防范对策, 不同的连接方式和功能上对防火墙的要求也都不一样, 所以还需要了解防火墙的类型. 2,防火墙的类型,保护网络的方法各不一样 包过滤型防火墙 属于网络级,分静态和动态包过滤.
缺点:是基于低层的检测,不能了理解网络层以上的 高层网络协议.
电路网关型 工作在会话层,建立了两条TCP连接,并不进行任何 附加的包处理或过滤.它也不允许内部主机与外部之间 进行直接的TCP连接,需要通过电路网关中继. 中继 电 路 网 关
内部
外网
应用网关 相当于代理服务器,工作在应用级的防火墙. 状态检测,包检测
防火墙应工作在网络层以上,层次越低,安全性越差 ,兼容性越好,系统开销越小,如包过滤;反之,层 次越高,安全性越好,系统开销越大,如应用网关
3,常见的防火墙 (1)双宿主机网关(堡垒主机) 如图14.5,一台主机,两块网卡,一边连内网,一边 连入外网. 该主机上安装有防火墙软件或代理服务.
主机网关是重点
(2)屏蔽主机网关 分单宿堡垒(单网卡), 双宿堡垒主机(双网卡) 见图14.6 ,单宿主 在路由器上设定过滤规则,使堡垒主机成为INTERNET 唯一可以访问的主机,而内部的客户机通过屏蔽主机 和路由器来访问INTERNET. 双宿主,两块网卡,他其实是提供了代理服务,将包过 滤与代理服务相结合,比单宿主更安全.
3,使用代理服务器 INTRANET和INTERNET不能直接通信,而是采用代理 的方式互联.要求INTRANET有合法的私有IP地址.
4,通过NAT服务器 NAT是地址转换服务器,作用是将INTRANET的私有 IP地址,转换之后才与INTERNET进行通信. 也被称为转换路由器
在实际应用当中,有很多情况都是将这几种连接方式 组合使用,以实现更加安全,可靠快速的通信环境. 如:路由器互联,加入防火墙和NAT地址转换.