第八章防火墙技术

第八章防火墙技术内容摘要：

防火墙技术 18 1. 状态监视器防火墙的工作原理 这种防火墙安全特性非常好 ， 它采用了一个在网关上执行网络安全策略的软件引擎 ， 称之为检测模块。 检测模块在不影响网络正常工作的前提下 ， 采用抽取相关数据的方法对网络通信的各层实施监测 ， 抽取部分数据 ， 即状态信息 ， 并动态地保存起来作为以后指定安全决策的参考。 2020年 11月 4日星期三4时 25分 24秒 防火墙技术 19 2. 状态监视器防火墙的优缺点 状态监视器的优点： （ 1） 检测模块支持多种协议和应用程序 ， 并可以很容易地实现应用和服务的扩充。 （ 2） 它会监测 RPC和 UDP之类的端口信息 ， 而包过滤和代理网关都不支持此类端口。 （ 3） 性能坚固 状态监视器的缺点： （ 1） 配置非常复杂。 （ 2） 会降低网络的速度。 2020年 11月 4日星期三4时 25分 24秒 防火墙技术 20 第三节 防火墙配置  服务器置于防火墙之内  服务器置于防火墙之外  服务器置于防火墙之上 2020年 11月 4日星期三4时 25分 24秒 防火墙技术 21 内部网 Web 服务器 防火墙 Inter 服务器置于防火墙之内 如图所示，将 Web服务器装在防火墙内的好处是它得到了安全保护，不容易被黑客闯入。 2020年 11月 4日星期三4时 25分 24秒 防火墙技术 22 内部网 Web 服务器 防火墙 Inter 如图所示，为保证内部网络的安全，将 Web服务器完全置于防火墙之外是比较合适的。 在这种模式中， Web服务器不受保护，但内部网则处于保护之下。 服务器置于防火墙之外 2020年 11月 4日星期三4时 25分 24秒 防火墙技术 23 服务器置于防火墙之上 内部网 Web 防火墙和 服务器 Inter 如图所示，有些管理者试图在防火墙机器上运行 Web服务器，以此增强Web站点的安全性。 2020年 11月 4日星期三4时 25分 24秒 防火墙技术 24 第四节 防火墙系统  屏蔽主机 （ Screened Host） 防火墙  屏蔽子网 （ Screened Sub） 防火墙 2020年 11月 4日星期三4时 25分 24秒 防火墙技术 25 屏蔽主机（ Screened Host）防火墙 屏蔽主机防火墙由包过滤路由器和堡垒主机（ Bastion Host）组成，它所提供的安全性能要比包过滤防火墙系统要强，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）的结合。 当入侵者在破坏内部网络的安全性之前，必须首先突破这两种不同的安全系统。 2020年 11月 4日星期三4时 25分 24秒 防火墙技术 26 屏蔽主机防火墙的原理和实现过程 ： 堡垒主机位于内部网络上，而包过滤路由器则放置在内部网络和外部网络之间。 在路由器上设置相应的规则，使得外部系统只能访问堡垒主机。 由于内部主机与堡垒主机处于同一个网络，内部系统是否允许直接访问外部网络，或者是要求使用堡垒主机上的代理服务来访问外部网络完。