计算机原理 “总线的概念和结构形态”的相关知识《网络安全》辅导资料五主 题：第三章 网络防火墙（第 2 节 3-6 部分，第 3 部分）第三章 网络防火墙这周我们将学习第三章《网络防火墙》第 2 节 3-6 部分，第 3 部分，这部分重点介绍应用网关，代理服务，复合型防火墙，防火墙新技术，防火墙的局限性，下面整理出的知识点供同学们学习。第二节 防火墙的原理及实现技术3、应用网关原理及技术 应用网关是包过滤最极端的反面。包过滤实现的是对所有穿过网络层数据的通用保护，而应用网关在每个需要保护的主机上放置高度专用的应用软件，它防止了包过滤的缺陷。 应用层网关是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。 应用网关的一个例子是病毒扫描器（1）应用网关的原理与逻辑位置应用网关的原理与逻辑位置 应用网关与包过滤有很大的不同，并不是简单地用一张表来控制是否允许包通过。  它是运行一个接受连接的程序。在确认连接前要求用户输入口令，以进行严格的用户认证，然后向用户提示所连接的主机的有关信息。它向用户保证了所连接对象的真实性，是安全可信的。这样就可以进行基于用户的访问控制，如限制连接时间、连接的主机和使用的服务等。所以应用层网关更严格，安全性更好。  一般来说，防火墙的逻辑位置越高，其安全性就越好。（2）应用网关的物理形式 应用网关在物理上的形式表现为桥头堡服务器，或叫桥头堡主机(Bason Host) 。 它的安全设计原则和特点如下：操作系统是特别设计的，产品具有安全认证。 必要的服务才会放到桥头堡主机上。 连接之后，服务访问还需进一步认证。 网络管理员要定期检查访问记录、安全状态和试探性攻击等。 应用网关的工作过程（了解） 应用网关的特点信息的隐蔽性强，除网关主机名外，内部的主机名得到了保护。 健全的身份认证和记账功能，更安全有效。 系统开销小，有关的软、硬件只安装在网关上即可。 简化了过滤规则，路由器要做的仅仅是允许到应用网关的通信，而拒绝其他的通信请求。缺点：• 早期的应用网关也是根据特定的过滤规则来工作的，而“过滤规则”的制定是一项非常复杂的工作。引入了代理服务后得到了改善。 • 服务性和灵活性有所降低，它的每个应用和服务都要求有特定的软件支持。 • 瓶颈问题 应用网关的主要类型• 双宿(穴)主机网关(Dual Homed Gateway) • 屏蔽主机网关(Screened Host Gateway) • 屏蔽子网网关(Screened Subnet Gateway) 运行防火墙软件的主机称为堡垒主机或称桥头堡主机(Bason Host)，它的作用是转发应用、提供服务、监督通信。1）双宿(穴)主机网关 双穴主机网关是在堡垒主机中插装两块网络接口卡，并在其上运行代理服务器软件，受保护网与 Internet 之间不能直接进行通信，必须经过堡垒主机。  不必显式地列出受保护网与外部网之间的路由，从而使受保护网除了看到堡垒主机之外，不能 看到其他任何系统，反之也一样。  最关键是堡垒主机不转发 TCP/IP 通信报文，网络中的所有服务都必须由此主机的相应代理程序来支持。  堡垒主机在网上是公开出现的，相当于一个防御工事，即使受到攻击，但其内部网络是安全的。 2）屏蔽主机网关屏蔽主机网关仅提供连接到内部网上的主机服务，也就是说，堡垒主机位于内部网络上，而在内、外部网络之间加有一个包（分组）过滤路由器作为隔离防火墙。堡垒主机是内部网络上唯一的系统，Internet 上的主机只能与这个系统连接。任何试图访问内部系统或提供服务的外部系统都必须与此主机相连。这样，内、外部网络的连接必须经过路由器中的访问控制列表和堡垒主机中的访问控制列表来实现，相当于要通过两道关口，这样就增加了网络的灵活性和安全性。堡垒主机要求有很高的安全性，系统维护难度较大。3）屏蔽子网网关采用包过滤路由器防火墙来孤立这个子网。这样被保护网络和外部网络虽都可以访问子网主机，但跨过子网的直接访问是被严格禁止的。子网中的主机是唯一能被内、外部网络访问到的系统。4、代理服务技术 代理服务(Proxy Service)也称 TCP 通道(TCP Tunnels)，也有人将它归于应用级网关一类。 它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的链接，由两个代理服务器上的链接来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。代理型防火墙 代理的核心思想就是要形成一个隔离两个网络的中间“结点” ，把内部网络的结构和状态等对外屏蔽起来。为了实现隔离，通常在代理服务器上运行一个叫做“网络地址转换 (NAT)”的进程。它是将内部网络的所有 IP 地址映射到一个“安全”的 IP 地址，这个地址是防火墙专用的。对于外部网 络的用户，只能知道网关的 IP 地址，这样就起到了隔离的作用。 NAT 映射所谓 NAT 其实就是 Network Address TRouternslaon 的缩写。当内部的计算机要与外部 internet 网络进行通信时，具有 NAT 功能的设备传出数据包，源 IP 地址(专用地址) 被映射到 ISP 分配的公用地址，并且 TCP/UDP 端口号也会被映射到不同的 TCP/UDP 端口号。对于到 NAT 协议的传入数据包，目标公用 IP 地址被映射到源内部专用地址，并且 TCP/UDP 端口号被重新映射回源 TCP/UDP 端口号NAT 方法还有一个作用就是解决 IPv4 地址即将耗尽的问题。5、复合型防火墙所谓复合型防火墙就是指使用了两种以上的防火墙技术构成的防火墙。 现在的防火墙产品大多属于复合型防火墙。即所谓的第四代防火墙，通常指综合了包过滤、状态检测、透明代理等复合型防火墙，更先进的是，把防病毒、内容过滤整合到防火墙里，包括 VPN、IDS功能。6、防火墙新技术• 状态检测技术 • 安全操作系统 • 自适应代理技术 • 实时侵入监测系统1）状态检测技术状态检测技术是防火墙近几年才应用的新技术。传统的包过滤防火墙只是通过检测 IP 包头的相关信息来决定数据流的通过还是拒绝， 而状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。 因此，与传统包过滤防火墙的静态过滤规则表相比，它具有更好的灵活性和安全性 。 状态检测技术举例 端口简介 公认端口 注册端口 动态和/或私有端口 状态检测防火墙读取、分析和利用了全面的网络通信信息和状态，包括：通信信息通信状态应用状态操作信息2）安全操作系统以前的网络防火墙是一种应用软件，是建立在通用操作系统上的。而现代防火墙是具有安全操作系统的防火墙，或者说现代防火墙本身就是一个操作系统。 安全操作系统集成了实现包过滤、应用网关、电路层网关的功能，并具有加密与鉴别等功能，透明性更好，免去了复杂的配置和使用 现代防火墙的主要特性1. 双端口或三端口的结构 2. 透明访问方式 3. 灵活的代理系统 4. 多级过滤技术（多重过滤） 5. 网络地址转换技术（NAT） 6. Internet 网关技术 7. 安全服务器网络（SSN） 8. 用户鉴别与加密 9. 用户定制服务 10. 审计和报警3）自适应代理技术代理技术与包过滤不同，它直接和应用服务程序打交道。它不会让数据包直接通过，而是自己接收了数据包，代理是处在 Applicaon Layer 的地位，通过一种代理技术参与到一个 TCP 连接的全过程，所以它能够理解应用层上的协议，进行复杂的访问控制，并做精细的注册和稽查。组成这种类型防火墙的基本要素有两个：自适应代理服务器与动态包过滤器。4）实时侵入监测系统传统防火墙在使用的过程中暴露出以下的不足和弱点： 第一，传统的防火墙在工作时，就像戒备森严的公司大厦虽有保安的巡逻守护，却低档不住乔装的员工甚至家贼的偷袭一样，因为入侵者可以伪造数据绕过防火墙或者找到防火墙后面可能敞开的后门。第二，防火墙完全不能防止来自网络内部的袭击，通过调查发现，将近 65%的攻击都将来自于内部，对于那些对企业心怀不满或卧底的员工来说，防火墙形同虚设； 第三，由于防火墙性能上的限制，通常它不具备实时监控入侵的能力，而这一点，对于目前层出不穷的攻击技术来说是至关重要的。 第四，防火墙对于病毒的侵袭也是束手无策。正因为如此，那些认为在 Internet 入口处设置防火墙系统就足以保护企业网络安全的想法是不切实际的。 入侵检测系统 IDS 就是对网络或操作系统上的可疑行为做出策略反应，及时切断入侵源的连接、记录、并通过各种途径通知网络管理员或报警，最大幅度地保障系统安全，是防火墙的合理补充，帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高信息安全基础结构的完整性，被认为是防火墙之后的第二道安全闸门。 入侵检测系统的分类 按照其数据来源可以分为三类： 基于主机的入侵检测系统基于网络的入侵检测系统采用上述两种数据来源的分布式的入侵检测系统 按照采用的方法可以分为三类 基于行为的入侵检测系统 基于模型推理的入侵检测系统采用两者混合检测的入侵检测系统 按照时间又可以分为两类 实时入侵检测系统事后入侵检测系统第三节 防火墙的局限性1、防火墙可以为你解决大多数的安全问题。但是必须清醒地认识到，任何屏障都不是绝对安全的，防火墙也不例外。其局限性如下： • 防火墙不能防范不经过或绕过防火墙的攻击。 • 普通的防火墙难以阻止有病毒的软件或文件的传输。 • 防火墙不能防止数据驱动方式的攻击。 • 难以避免来自内部的攻击。 • 无双向的身份认证，给伪造服务器提供了可能。• 访问控制的力度较粗，难以针对具体文件进行控制。 • 防火墙是一种潜在的瓶颈。 • 安全控制太集中，可靠性降低。 本周要求掌握的内容如下：本周的内容比较多，主要掌握应用网关，代理服务，复合型防火墙的原理，防火墙新技术和防火墙的局限性 练习：1. 判断题：一般来说，防火墙的逻辑位置越高，其安全性就越好。()2. 判断题：NAT 技术能够解决 Ipv4 耗尽问题()3. 问答题：应用网关的物理形式答：应用网关在物理上的形式表现为桥头堡服务器，或叫桥头堡主机4. 防火墙新技术有几种。• 状态检测技术 • 安全操作系统 • 自适应代理技术 • 实时侵入监测系统5. 防火墙之后的第二道安全闸门是什么 入侵检测系统 IDS 就是对网络或操作系统上的可疑行为做出策略反应，及时切断入侵源的连接、记录、并通过各种途径通知网络管理员或报警，最大幅度地保障系统安全，是防火墙的合理补充，帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高信息安全基础结构的完整性，被认为是防火墙之后的第二道安全闸门。