網(wǎng)絡(luò)安全理論與實(shí)踐-教案-第3章防火墻(共14頁(yè))

1、精選優(yōu)質(zhì)文檔-傾情為你奉上金陵科技學(xué)院教案【教學(xué)單元首頁(yè)】第 1 次課 授課學(xué)時(shí) 4 教案完成時(shí)間： 2018.2 章、節(jié)第3講 防火墻技術(shù)主要內(nèi)容防火墻概述防火墻的類型和結(jié)構(gòu)靜態(tài)包過(guò)濾防火墻動(dòng)態(tài)包過(guò)濾防火墻 電路級(jí)網(wǎng)關(guān)應(yīng)用級(jí)網(wǎng)關(guān)狀態(tài)檢測(cè)防火墻 切換代理空氣隙防火墻目的與要求掌握防火墻基本知識(shí)；了解防火墻體系結(jié)構(gòu)，包括包過(guò)濾型、雙宿主主機(jī)型、屏蔽子網(wǎng)型等；理解防火墻的關(guān)鍵技術(shù)，如包過(guò)濾、堡壘主機(jī)、NAT技術(shù)等；了解防火墻的相關(guān)安全標(biāo)準(zhǔn)；理解分布式防火墻產(chǎn)生的由來(lái)、發(fā)展歷程以及關(guān)鍵技術(shù)。重點(diǎn)與難點(diǎn)重點(diǎn)：掌握防火墻基本知識(shí)；理解防火墻的關(guān)鍵技術(shù)，如包過(guò)濾、堡壘主機(jī)、NAT技術(shù)等；理解分布式防火墻產(chǎn)

2、生的由來(lái)、發(fā)展歷程以及關(guān)鍵技術(shù)。難點(diǎn)：理解防火墻的關(guān)鍵技術(shù)，如包過(guò)濾、堡壘主機(jī)、NAT技術(shù)等；教學(xué)方法與手段 課堂教學(xué)，多媒體課件與板書相結(jié)合授 課 內(nèi) 容內(nèi) 容備 注 防火墻概述 防火墻是由軟件和硬件組成的系統(tǒng)，它處于安全的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間，根據(jù)由系統(tǒng)管理員設(shè)置的訪問(wèn)控制規(guī)則，對(duì)數(shù)據(jù)流進(jìn)行過(guò)濾。 在邏輯上，防火墻是一個(gè)分離器、限制器、分析器，能有效地監(jiān)控內(nèi)部網(wǎng)與Internet之間的任何活動(dòng)，保證內(nèi)部網(wǎng)絡(luò)的安全。 防火墻對(duì)數(shù)據(jù)流的處理方式：防火墻是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、丟棄)出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。 允許數(shù)

3、據(jù)流通過(guò)。 拒絕數(shù)據(jù)流通過(guò)，并向發(fā)送者回復(fù)一條消息，提示發(fā)送者該數(shù)據(jù)流已被拒絕。 將數(shù)據(jù)流丟棄，不對(duì)這些數(shù)據(jù)包進(jìn)行任何處理，也不會(huì)向發(fā)送者發(fā)送任何提示信息。 防火墻須滿足的要求防火墻是Internet安全的最基本組成部分，但對(duì)于內(nèi)部攻擊以及繞過(guò)防火墻的連接卻無(wú)能為力。防火墻不是一臺(tái)普通的主機(jī)，它自身的安全性要比普通主機(jī)更高。那些與防火墻功能實(shí)現(xiàn)不相關(guān)但又可能帶來(lái)安全威脅的網(wǎng)絡(luò)服務(wù)和應(yīng)用程序，都應(yīng)當(dāng)剝離出去。 前提：所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流都必須經(jīng)過(guò)防火墻 基本功能：只允許經(jīng)過(guò)授權(quán)的數(shù)據(jù)流通過(guò)防火墻。 先決條件：防火墻自身對(duì)入侵是免疫的。 防火墻示意與組成 過(guò)濾器：阻斷數(shù)據(jù)傳輸 外部過(guò)濾器：保護(hù)網(wǎng)關(guān)

4、免受侵害 內(nèi)部過(guò)濾器：防備因網(wǎng)關(guān)被攻擊而造成的傷害 網(wǎng)關(guān)：提供中繼服務(wù)的一臺(tái)或多臺(tái)機(jī)器 堡壘主機(jī)：暴露在外面的網(wǎng)關(guān)主機(jī) DMZ：網(wǎng)關(guān)所在的網(wǎng)絡(luò)稱為“非軍事區(qū)”堡壘主機(jī)在防火墻體系結(jié)構(gòu)中起著至關(guān)重要的作用，它專門用來(lái)?yè)敉斯粜袨?。網(wǎng)絡(luò)防御的第一步，是尋找堡壘主機(jī)的最佳位置，堡壘主機(jī)為內(nèi)網(wǎng)和外網(wǎng)之間的所有通道提供一個(gè)阻塞點(diǎn)。沒(méi)有堡壘主機(jī)，就不能連接外網(wǎng)，同樣，外網(wǎng)也不能訪問(wèn)內(nèi)網(wǎng)。如果通過(guò)堡壘主機(jī)來(lái)集中網(wǎng)絡(luò)權(quán)限，就可以輕松地配置軟件來(lái)保護(hù)網(wǎng)絡(luò)。 防火墻本質(zhì)：一種能夠限制網(wǎng)絡(luò)訪問(wèn)的設(shè)備或軟件 防火墻的類型和設(shè)計(jì)結(jié)構(gòu)：防火墻分類：包過(guò)濾防火墻，電路級(jí)網(wǎng)關(guān)防火，墻應(yīng)用級(jí)網(wǎng)關(guān)防火墻。防火墻設(shè)計(jì)結(jié)構(gòu)：靜態(tài)包過(guò)

5、濾，動(dòng)態(tài)包過(guò)濾，電路級(jí)網(wǎng)關(guān) OSI模型與防火墻類型的關(guān)系防火墻工作于OSI模型的層次越高，能提供的安全保護(hù)等級(jí)就越高。 網(wǎng)絡(luò)地址轉(zhuǎn)換NATNAT的優(yōu)點(diǎn)：隱藏內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，提升網(wǎng)絡(luò)安全性，解決地址緊缺的問(wèn)題。NAT的分類： 根據(jù)NAT的實(shí)現(xiàn)方式對(duì)NAT進(jìn)行分類：靜態(tài)NAT，動(dòng)態(tài)AT，端口地址轉(zhuǎn)換動(dòng)態(tài)NAT：可用的Internet IP地址限定在一個(gè)范圍內(nèi)。靜態(tài)NAT：在進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)，內(nèi)部網(wǎng)絡(luò)地址與外部的Internet IP地址是一一對(duì)應(yīng)的關(guān)系。 根據(jù)數(shù)據(jù)流進(jìn)行分類：源NAT，目標(biāo)NAT源NAT：當(dāng)內(nèi)部用戶使用專用地址訪問(wèn)Internet時(shí)，必須將IP頭部中的數(shù)據(jù)源地址轉(zhuǎn)換成合法的I

6、nternet地址。目標(biāo)NAT：必須將數(shù)據(jù)包中的目的地址轉(zhuǎn)換成服務(wù)器的專用地址，使合法的Internet IP地址與內(nèi)部網(wǎng)絡(luò)（防火墻后面）中服務(wù)器的專用地址相對(duì)應(yīng)。NAT轉(zhuǎn)換過(guò)程在外部數(shù)據(jù)包進(jìn)入內(nèi)部網(wǎng)絡(luò)之前，其目的地址字段應(yīng)包含NAT路由器的外部地址。因此，對(duì)于所有輸入數(shù)據(jù)包，NAT路由器必須采用最終目標(biāo)主機(jī)的IP地址替換數(shù)據(jù)包的目的地址。在內(nèi)部數(shù)據(jù)包離開內(nèi)部網(wǎng)絡(luò)之前，其源地址字段應(yīng)包含NAT路由器的外部地址因此，對(duì)于所有輸出的數(shù)據(jù)包，NAT路由器用其外部地址替換數(shù)據(jù)包的源地址。NAT轉(zhuǎn)換過(guò)程實(shí)例1：對(duì)于輸出數(shù)據(jù)包，NAT的工作很簡(jiǎn)單：NAT路由器只需用NAT的外部地址來(lái)替換數(shù)據(jù)包中的源地址（

7、內(nèi)部主機(jī)地址）對(duì)于輸入數(shù)據(jù)包，NAT如何知道該將數(shù)據(jù)包發(fā)給內(nèi)網(wǎng)中的哪一臺(tái)主機(jī)呢？NAT路由器需要維護(hù)一個(gè)轉(zhuǎn)換表，該表將內(nèi)部主機(jī)的地址映射到外部目標(biāo)主機(jī)的地址。一旦某個(gè)內(nèi)部主機(jī)發(fā)送一個(gè)數(shù)據(jù)包給外部主機(jī)，NAT路由器在此轉(zhuǎn)換表中增加一個(gè)條目。一旦從外部主機(jī)返回了一個(gè)響應(yīng)，NAT路由器便查詢轉(zhuǎn)換表，決定將此響應(yīng)數(shù)據(jù)包發(fā)給內(nèi)網(wǎng)中的哪臺(tái)主機(jī)。NAT轉(zhuǎn)換過(guò)程實(shí)例2：如果有多個(gè)內(nèi)部主機(jī)同時(shí)與外網(wǎng)的同一臺(tái)主機(jī)通信，NAT路由器如何確定應(yīng)該將響應(yīng)包發(fā)給哪一臺(tái)內(nèi)部主機(jī)呢？需要修改NAT轉(zhuǎn)換表，添加幾列新的參數(shù)。 防火墻的體系結(jié)構(gòu) 雙宿主主機(jī)體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主的主機(jī)計(jì)算機(jī)而構(gòu)筑的，該計(jì)算

8、機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口，其中一些接口連接到一段網(wǎng)絡(luò)，另一些接口連接另一網(wǎng)段，這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，它能夠從一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。 屏蔽主機(jī)體系結(jié)構(gòu)屏蔽主機(jī)體系結(jié)構(gòu)如圖所示，防火墻沒(méi)有使用路由器，但能提供來(lái)自于多個(gè)網(wǎng)絡(luò)相連的主機(jī)的服務(wù)，而屏蔽主機(jī)體系結(jié)構(gòu)使用一個(gè)單獨(dú)的路由器，提供來(lái)自僅僅與內(nèi)部的網(wǎng)絡(luò)相連的主機(jī)的服務(wù)。在這種體系結(jié)構(gòu)中，主要的安全由數(shù)據(jù)包過(guò)濾提供。在這種體系結(jié)構(gòu)中，主要的安全由數(shù)據(jù)包過(guò)濾提供(例如，數(shù)據(jù)包過(guò)濾用于防止人們繞過(guò)代理服務(wù)器直接相連)。數(shù)據(jù)包過(guò)濾也允許堡壘主機(jī)開放可允許的連接(什么是可允許，將由用戶站點(diǎn)的安全策略決定)到外部世界。

9、在屏蔽的路由器中，數(shù)據(jù)包過(guò)濾配置可以按下列之一執(zhí)行： 允許其他的內(nèi)部主機(jī)為了某些服務(wù)與因特網(wǎng)上的主機(jī)連接，即允許那些已經(jīng)由數(shù)據(jù)包過(guò)濾的服務(wù)。 不允許來(lái)自內(nèi)部主機(jī)的所有連接(強(qiáng)迫那些主機(jī)經(jīng)由堡壘主機(jī)使用代理服務(wù))。用戶可以針對(duì)不同的服務(wù)混合使用這些手段，某些服務(wù)可以被允許直接經(jīng)由數(shù)據(jù)包過(guò)濾，而其他服務(wù)可以被允許僅僅間接地經(jīng)過(guò)代理。這完全取決于用戶實(shí)行的安全策略。 屏蔽子網(wǎng)體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)(如圖11-5所示)添加額外的安全層到屏蔽主機(jī)體系結(jié)構(gòu)，即通過(guò)添加周邊網(wǎng)絡(luò)，更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)(通常是Internet)隔離開。下面將對(duì)上面提到的幾個(gè)名詞進(jìn)行說(shuō)明，具體如下。1. 內(nèi)部路由器2

10、. 外部路由器3. 周邊網(wǎng)絡(luò)（DMZ） 防火墻體系結(jié)構(gòu)的組合形式在構(gòu)造防火墻體系時(shí)，一般很少使用單一的技術(shù)，通常都是多種解決方案的組合。這種組合主要取決于網(wǎng)管中心向用戶提供什么服務(wù)，以及網(wǎng)管中心能接受什么等級(jí)的風(fēng)險(xiǎn)。還要看投資經(jīng)費(fèi)、技術(shù)人員的水平和時(shí)間等問(wèn)題。一般包括以下幾種形式：使用多個(gè)堡壘主機(jī)。合并內(nèi)部路由器和外部路由器。合并堡壘主機(jī)和外部路由器。合并堡壘主機(jī)和內(nèi)部路由器。使用多個(gè)內(nèi)部路由器。使用多個(gè)外部路由器。使用多個(gè)周邊網(wǎng)絡(luò)。使用雙宿主主機(jī)與屏蔽子網(wǎng)。 防火墻的技術(shù) 靜態(tài)包過(guò)濾防火墻靜態(tài)包過(guò)濾防火墻實(shí)現(xiàn)三個(gè)功能：ü 接收每個(gè)到達(dá)的數(shù)據(jù)包。ü 對(duì)數(shù)據(jù)包采用過(guò)濾規(guī)則，對(duì)

11、數(shù)據(jù)包的IP頭和傳輸字段內(nèi)容進(jìn)行檢查。ü 如果沒(méi)有規(guī)則與數(shù)據(jù)包頭信息匹配，則對(duì)數(shù)據(jù)包施加默認(rèn)規(guī)則。默認(rèn)規(guī)則：1.容易使用；2.安全第一。ü 容易使用：“允許一切”，沒(méi)有明確拒絕則通過(guò)ü 安全第一：“拒絕一切”，沒(méi)有明確通過(guò)則拒絕靜態(tài)包過(guò)濾防火墻是最原始的防火墻，靜態(tài)數(shù)據(jù)包過(guò)濾發(fā)生在網(wǎng)絡(luò)層上。對(duì)于靜態(tài)包過(guò)濾防火墻來(lái)說(shuō)，決定接收還是拒絕一個(gè)數(shù)據(jù)包，取決于對(duì)數(shù)據(jù)包中IP頭和協(xié)議頭等特定域的檢查和判定。靜態(tài)包過(guò)濾防火墻實(shí)例包過(guò)濾器的工作原理：ü 過(guò)濾內(nèi)容：源地址、目的地址、源端口、目的端口、應(yīng)用或協(xié)議ü 若符合規(guī)則，則丟棄數(shù)據(jù)包. 如果包過(guò)濾器沒(méi)有發(fā)現(xiàn)

12、一個(gè)規(guī)則與該數(shù)據(jù)包匹配，那么它將對(duì)其施加一個(gè)默認(rèn)規(guī)則。ü 過(guò)濾位置:可以在網(wǎng)絡(luò)入口處過(guò)濾,也可在網(wǎng)絡(luò)出口處過(guò)濾,在入口和出口同時(shí)對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾。ü 訪問(wèn)控制策略:網(wǎng)管員預(yù)先編寫一個(gè)訪問(wèn)控制列表,明確規(guī)定哪些主機(jī)或服務(wù)可接受，哪些主機(jī)或服務(wù)不可接受。訪問(wèn)控制列表（訪問(wèn)控制規(guī)則庫(kù)）防火墻按照一定的次序描述規(guī)則庫(kù)，直接到包過(guò)濾器發(fā)現(xiàn)一個(gè)特定域滿足包過(guò)濾規(guī)則的特定要求時(shí)，才對(duì)數(shù)據(jù)包做出“接收”或“丟棄”的判決。包過(guò)濾器防火墻的配置1.管理員必須明確企業(yè)網(wǎng)絡(luò)的安全策略2.必須用邏輯表達(dá)式清楚地表述數(shù)據(jù)包的類型3.必須用設(shè)備提供商可支持的語(yǔ)法重寫這些表達(dá)式靜態(tài)包過(guò)濾防火墻優(yōu)缺點(diǎn)

13、52; 優(yōu)點(diǎn)：對(duì)網(wǎng)絡(luò)性能影響較小，成本較低。ü 缺點(diǎn)： 安全性較低，缺少狀態(tài)感知能力，容易遭受IP欺騙攻擊，創(chuàng)建訪問(wèn)控制規(guī)則比較困難。 動(dòng)態(tài)包過(guò)濾防火墻具有狀態(tài)感知能力典型的動(dòng)態(tài)包過(guò)濾 防火墻工作在網(wǎng)絡(luò)層先進(jìn)的動(dòng)態(tài)包過(guò)濾防火墻工作在傳輸層 動(dòng)態(tài)包過(guò)濾防火墻的工作原理：ü 工作在傳輸層ü 過(guò)濾內(nèi)容：源地址、目的地址、源端口、目的端口、應(yīng)用或協(xié)議數(shù)據(jù)包過(guò)濾與普通包過(guò)濾防火墻非常相似。不同點(diǎn)：對(duì)外出數(shù)據(jù)包進(jìn)行身份記錄，便于下次讓具有相同連接的數(shù)據(jù)包通過(guò)。動(dòng)態(tài)包過(guò)濾防火墻需要對(duì)已建連接和規(guī)則表進(jìn)行動(dòng)態(tài)維護(hù)，因此是動(dòng)態(tài)的和有狀態(tài)的。典型的動(dòng)態(tài)包過(guò)濾防火墻能夠感覺到新建連接與

14、已建連接之間的差別。 動(dòng)態(tài)包過(guò)濾防火墻優(yōu)缺點(diǎn)優(yōu)點(diǎn)：采用SMP技術(shù)時(shí)，對(duì)網(wǎng)絡(luò)性能的影響非常小，安全性優(yōu)于靜態(tài)包過(guò)濾防火墻。“狀態(tài)感知”能力使其性能得到了顯著提高。如果不考慮操作系統(tǒng)成本，成本會(huì)很低。缺點(diǎn)：僅工作于網(wǎng)絡(luò)層，僅檢查IP頭和TCP頭。沒(méi)過(guò)濾數(shù)據(jù)包的凈荷部分，仍具有較低的安全性。容易遭受IP欺騙攻擊。難于創(chuàng)建規(guī)則，管理員必須要考慮規(guī)則的先后次序。難于創(chuàng)建規(guī)則，管理員必須要考慮規(guī)則的先后次序。 電路級(jí)網(wǎng)關(guān)電路級(jí)網(wǎng)關(guān)通常作為代理服務(wù)器的一部分在應(yīng)用代理類型的電路級(jí)網(wǎng)關(guān)又稱做線路級(jí)網(wǎng)關(guān)，當(dāng)兩個(gè)主機(jī)首次建立TCP連接時(shí)，電路級(jí)網(wǎng)關(guān)在兩個(gè)主機(jī)之間建立一道屏障來(lái)自Internet的請(qǐng)求，作為服務(wù)器接

15、收外來(lái)請(qǐng)求并轉(zhuǎn)發(fā)。內(nèi)部主機(jī)請(qǐng)求訪問(wèn)Internet，擔(dān)當(dāng)代理服務(wù)器。電路級(jí)網(wǎng)關(guān)工作時(shí)，IP數(shù)據(jù)包不會(huì)實(shí)現(xiàn)端到端的流動(dòng)。工作于會(huì)話層與包過(guò)濾的區(qū)別：除了進(jìn)行基本的包過(guò)濾檢查外，還要增加對(duì)連接建立過(guò)程中的握手信息SYN、ACK及序列號(hào)合法性的驗(yàn)證。檢查內(nèi)容：源地址、目的地址、應(yīng)用或協(xié)議、源端口號(hào)、目的端口號(hào)、握手信息及序列號(hào)。電路級(jí)網(wǎng)關(guān)所過(guò)濾的內(nèi)容：電路級(jí)網(wǎng)關(guān)的工作原理：在轉(zhuǎn)發(fā)一個(gè)數(shù)據(jù)包之前，首先將數(shù)據(jù)包的IP頭和TCP頭與由管理員定義的規(guī)則表相比較。如果會(huì)話合法，包過(guò)濾器就開始逐條掃描規(guī)則，直到發(fā)現(xiàn)一條與數(shù)據(jù)包中的有關(guān)信息一致。電路級(jí)網(wǎng)關(guān)在其自身與遠(yuǎn)程主機(jī)之間建立一個(gè)新連接，這一切對(duì)內(nèi)網(wǎng)中用戶都

16、是完全透明的。SOCKS連接 SOCKS由David和Michelle Koblas設(shè)計(jì)并開發(fā) 是現(xiàn)在已得到廣泛應(yīng)用的電路級(jí)網(wǎng)關(guān)（SSL） 事實(shí)上，SOCKS是一種網(wǎng)絡(luò)代理協(xié)議優(yōu)點(diǎn)：性能比包過(guò)濾防火墻稍差，但是比應(yīng)用代理防火墻好。切斷了外部網(wǎng)絡(luò)到防火墻后的服務(wù)器直接連接。比靜態(tài)或動(dòng)態(tài)包過(guò)濾防火墻具有更高的安全性。缺點(diǎn)：具有一些固有缺陷，例如，電路級(jí)網(wǎng)關(guān)不能對(duì)數(shù)據(jù)凈荷進(jìn)行檢測(cè)，無(wú)法抵御應(yīng)用層攻擊等。僅提供一定程度的安全性。當(dāng)增加新的內(nèi)部程序或資源時(shí)，往往需要對(duì)許多電路級(jí)網(wǎng)關(guān)的代碼進(jìn)行修改。 應(yīng)用級(jí)網(wǎng)關(guān)只能過(guò)濾特定服務(wù)的數(shù)據(jù)流必須為特定的應(yīng)用服務(wù)編寫特定的代理程序，被稱為“服務(wù)代理”，在網(wǎng)關(guān)內(nèi)部分

17、別扮演客戶機(jī)代理和服務(wù)器代理的角色。當(dāng)各種類型的應(yīng)用服務(wù)通過(guò)網(wǎng)關(guān)時(shí)，必須經(jīng)過(guò)客戶機(jī)代理和服務(wù)器代理的過(guò)濾。應(yīng)用級(jí)網(wǎng)關(guān)的工作層次必針對(duì)每個(gè)服務(wù)運(yùn)行一個(gè)代理。對(duì)數(shù)據(jù)包進(jìn)行逐個(gè)檢查和過(guò)濾。采用“強(qiáng)應(yīng)用代理”。當(dāng)前最安全的防火墻結(jié)構(gòu)之一。代理對(duì)整個(gè)數(shù)據(jù)包進(jìn)行檢查，因此能在應(yīng)用層上對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾。應(yīng)用代理程序與電路級(jí)網(wǎng)關(guān)有兩個(gè)重要區(qū)別：代理是針對(duì)應(yīng)用的。代理對(duì)整個(gè)數(shù)據(jù)包進(jìn)行檢查，因此能在OSI模型的應(yīng)用層上對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾。提高了應(yīng)用級(jí)網(wǎng)關(guān)的安全等級(jí)。不是對(duì)用戶的整個(gè)數(shù)據(jù)包進(jìn)行復(fù)制，而是在防火墻內(nèi)部創(chuàng)建一個(gè)全新的空數(shù)據(jù)包。將那些可接收的命令或數(shù)據(jù)，從防火墻外部的原始數(shù)據(jù)包中復(fù)制到防火墻內(nèi)新建的數(shù)據(jù)包中

18、，然后將此新數(shù)據(jù)包發(fā)送給防火墻后面受保護(hù)的服務(wù)器。能夠降低種類隱通道攻擊帶來(lái)的風(fēng)險(xiǎn)。優(yōu)點(diǎn)：在已有的安全模型中安全性較高 （最高層，檢查整個(gè)數(shù)據(jù)包）。具有強(qiáng)大的認(rèn)證功能。具有超強(qiáng)的日志功能。規(guī)則配置比較簡(jiǎn)單（自動(dòng)創(chuàng)建包過(guò)濾規(guī)則）。缺點(diǎn)：靈活性很差，對(duì)每一種應(yīng)用都需要設(shè)置一個(gè)代理。配置煩瑣，增加了管理員的工作量。性能不高，有可能成為網(wǎng)絡(luò)的瓶頸。 狀態(tài)檢測(cè)防火墻應(yīng)用狀態(tài)：能夠理解并學(xué)習(xí)各種協(xié)議和應(yīng)用，以支持各種最新的應(yīng)用；能從應(yīng)用程序中收集狀態(tài)信息并存入狀態(tài)表中，以供其他應(yīng)用或協(xié)議做檢測(cè)策略。操作信息：狀態(tài)監(jiān)測(cè)技術(shù)采用強(qiáng)大的面向?qū)ο蟮姆椒?。通信信息：防火墻的檢測(cè)模塊位于操作系統(tǒng)的內(nèi)核，在網(wǎng)絡(luò)層之下，

19、能在數(shù)據(jù)包到達(dá)網(wǎng)關(guān)操作系統(tǒng)之前對(duì)它們進(jìn)行分析。通信狀態(tài)：狀態(tài)檢測(cè)防火墻在狀態(tài)表中保存以前的通信信息，記錄從受保護(hù)網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包的狀態(tài)信息。優(yōu)點(diǎn)：具備動(dòng)態(tài)包過(guò)濾所有優(yōu)點(diǎn)，同時(shí)具有更高的安全性。沒(méi)有打破客戶/服務(wù)器模型。提供集成的動(dòng)態(tài)包過(guò)濾功能。運(yùn)行速度更快。缺點(diǎn)：采用單線程進(jìn)程，對(duì)防火墻性能產(chǎn)生很大影響。沒(méi)有打破客戶/服務(wù)器結(jié)構(gòu)，會(huì)產(chǎn)生不可接受的安全風(fēng)險(xiǎn)不能滿足對(duì)高并發(fā)連接數(shù)量的要求。僅能提供較低水平的安全性。 切換代理切換代理首先起電路級(jí)代理的作用，以驗(yàn)證RFC建議的三步握手。再切換到動(dòng)態(tài)包過(guò)濾的工作模式下。優(yōu)點(diǎn)：與傳統(tǒng)電路級(jí)網(wǎng)關(guān)相比，對(duì)網(wǎng)絡(luò)性能造成影響要小。由于對(duì)三步握手進(jìn)行了驗(yàn)證，降低了IP欺騙的風(fēng)險(xiǎn)。缺點(diǎn)：它不是一個(gè)電路級(jí)網(wǎng)關(guān)。它仍然具有動(dòng)態(tài)包過(guò)濾器遺留的許多缺陷。由于沒(méi)檢查數(shù)據(jù)包的凈荷部分，因此具有較低的安全性。難于創(chuàng)建規(guī)則（受先后次序的影響）。其安全性不及傳統(tǒng)的電路級(jí)網(wǎng)關(guān)。 空氣隙防火墻外部客戶機(jī)與防火墻之間的連接數(shù)據(jù)被寫入一個(gè)具有SCSI接口的高速硬盤。內(nèi)部的連接再?gòu)脑揝CSI硬盤中讀取數(shù)據(jù)。防火墻切斷了客戶機(jī)到服務(wù)器的直接連接，并且對(duì)硬盤數(shù)據(jù)的讀/寫操作都是獨(dú)立進(jìn)行的。優(yōu)點(diǎn)：切斷了與防火墻后面服務(wù)器的直接連