防火墙技术3.ppt

企业上网 面 临 的 安 全 问 题之一: 内部网与互联网的有效隔离 解答: 防火墙;防火墙的定义：是在两个网络之间执行访问控制策略的一组硬件和软件系统，其目的是保护本地网络的通信安全。 防火墙的保护功能：防火墙对内部网络的保护是双向的。从入的方向上，它阻止外面网络对本地网络的非法访问和入侵；从出的方向上，它控制本地网络对外部不良网络进行访问或者是未经允许的数据输出，防止内部信息的泄露。 堡垒主机：典型的防火墙建立在一个服务器或主机的机器上，也称为“堡垒主机”，它是一个多边协议路由器。这个堡垒主机连接两个网络，一边与内部网相连，另一边与因特网相连。 ;防火墙;6.1.2 防火墙的作用;6.1.3防火墙类型及体系结构;　双重宿主主机体系结构示意图;主机过滤体系示意图;子网过滤防火墙示意图;6.1.4 防火墙的形式;6.1.5 防火墙的局限性;6.2 包过滤技术;2、包过滤的工作过程 包过滤技术可以允许或不允许某些包在网络上传递，它依据以下的判据： （1）将包的目的地址作为判据； （2）将包的源地址作为判据； （3）将包的传送协议作为判据。 ;3、包过滤器操作 几乎所有的包过滤设备（过滤路由器或包过滤网关）都按照如下方式工作： （1）包过滤标准必须由包过滤设备端口存储起来，这些包过滤标准叫包过滤规则。 （2）当包到达端口时，对包的报头进行语法分析，大多数包过滤设备只检查IP、TCP或UDP报头中的字段，不检查包体的内容。 （3）包过滤器规则以特殊的方式存储。 （4）如果一条规则阻止包传输或接收，此包便不被允许通过。 （5）如果一条规则允许包传输或接收，该包可以继续处理。 （6）如果一个包不满足任何一条规则，该包被阻塞。;6.2.2包过滤的基本原则;6.2.3 包过滤技术特点;一、因特网协议IP数据包的格式 IP数据包包含以下字段： （1）版本 （2）IP报头长度 （3）服务类型 （4）总长度 （5）标识 （6）标志 （7）段位移 （8）生命期 （9）协议 （10）头校验和 （11）源地址 （12）目的地址 （13）选项 （14）数据;二、传输控制协议TCP数据包的格式 TCP数据包包含以下字段： （1）源端口和目的端口 （2）序列号 （3）确认号 （4）数据偏移 （5）保留 （6）标志 （7）窗口 （8）校验和 （9）紧急指针 （10）选项 （11）数据;6.2.5 地址过滤;6.2.7 内容过滤;与内容安全密切相关的现实威胁包括： （1）日益猖獗的通过Email快速传播的网络病毒。 （2）嵌在Web网页中的恶意移动代码，诸如恶意的Java Applet、JavaScript/VBScript、ActiveX等等。 （3）内部网络访问不适当内容的外部网站。 （4）浪费带宽的垃圾邮件和可能发生的通过Email泄漏商业秘密的情况。 ;2、内容安全的实现方法 一般情况下我们采用关键字扫描技术对网络内容进行过滤，并与内容重现、访问控制相结合。这样的人机交互能够保证内容过滤更加实际有效。 扫描过滤的方法： （1）文本内容过滤 （2）脚本过滤 （3）移动代码过滤;6.3.1代理的概念;代理的工作方式;6.3.2 代理服务的特点;6.3.3 代理服务的工作过程;未使用代理服务器 ;使用代理服务器 ;6.3.4 代理服务器结构;6.3.5 因特网中的代理服务;3、邮局协议（POP）的代理 邮局协议（POP）对于代理系统来说是非常简单的，因为它采用单个连接。 4、文件传输FTP FTP用来从一台机器传送文件到另一台机器上。使用FTP可以传送任何类型的文件， 有两种类型的FTP访问，即有名FTP和匿名FTP。 FTP使用两个独立的FTP连接，一个在服务器和客户程序之间传递命令和结果（通常称为命令通道）；另一个用来传送真实的文件和目录列表（通常称为数据通道）。 5、远程登录（Telnet） 代理系统能够很好地支持Telnet。;6、存储转发协议（NNTP） NNTP是一个存储转发的协议，有能力进行自己的代理。它作为一个简单的单个连接协议很容易实现代理。 7、万维网（WWW） 各种HTTP客户程序（如 Netscape Navigator或因特网 Explorer等）都支持代理方案。 8、域名服务（DNS） DNS具有这样的结构：可以使服务器充当客户程序的代理。利用DNS能够转发自身的特点，可以使一个DNS服务器成为另一个DNS服务器的代理。;6.4.1 选