網(wǎng)路安全管理及防火墻

第五章

網(wǎng)路安全管理及防火牆

摘要本章探討網(wǎng)際網(wǎng)路的安全問題，包括安全的作業(yè)系統(tǒng)、IP與電子郵件等主題。並介紹網(wǎng)路防火牆的基本概念與安全防火牆的組成元件，說明封包過濾器（PacketFilter）和應(yīng)用閘道（ApplicationGateway）等技術(shù)。1/10/20232目錄5.1網(wǎng)際網(wǎng)路安全5.2安全的作業(yè)系統(tǒng)5.3安全的IP5.4安全的電子郵件5.5安全的網(wǎng)際網(wǎng)路服務(wù)5.6防火牆5.7代理服務(wù)的建置5.8防火牆的代價(jià)5.9建立安全的防火牆1/10/202335.1網(wǎng)際網(wǎng)路安全連結(jié)上網(wǎng)際網(wǎng)路對(duì)資訊的存取有無數(shù)的優(yōu)點(diǎn)，但是對(duì)於低安全考量的主機(jī)，冒然連上網(wǎng)際網(wǎng)路就不一定是好處了，將未妥善保護(hù)的私有網(wǎng)路暴露於公眾網(wǎng)路上，所引發(fā)的安全威脅是難以預(yù)測(cè)的。

1/10/202345.1.1

TCP/IP通訊協(xié)定1/10/20235Cont..一、應(yīng)用層（ApplicationLayer）

是一些高層協(xié)定組成，直接支援使用者溝通介面，或者提供應(yīng)用程式間溝通的協(xié)定。二、傳輸層（TransportLayer）由傳輸控制協(xié)定（TransmissionControlProtocol，簡(jiǎn)稱TCP）、使用者資料流協(xié)定（UserDatagramProtocol，簡(jiǎn)稱UDP）組成，提供主機(jī)間的資料傳送服務(wù)，並且確定資料已被送達(dá)並接收。TCP：此協(xié)定適用於可信賴及無錯(cuò)誤的傳輸環(huán)境，應(yīng)用彼此之間的訊息傳送。

UDP：是一種非連結(jié)(Connectionless)協(xié)定，在沒有額外的流量控制、可靠性(Reliability)及錯(cuò)誤回復(fù)的考量下，允許基本的資料交換。

1/10/20236Cont..三、網(wǎng)際層（InternetLayer）

網(wǎng)際層由網(wǎng)際網(wǎng)路協(xié)定（InternetProtocol，簡(jiǎn)稱IP）和網(wǎng)際網(wǎng)路控制訊息協(xié)定（InternetControlMessageProtocol，簡(jiǎn)稱ICMP）組成，負(fù)責(zé)安排資料封包的傳送，讓每一個(gè)封包都能順利傳送到達(dá)目的端主機(jī)。

四、網(wǎng)路介面層（NetworkInterfaceLayer）網(wǎng)路介面層負(fù)責(zé)提供實(shí)質(zhì)網(wǎng)路媒體的驅(qū)動(dòng)程式，定義如何使用網(wǎng)路實(shí)體來傳送資料。1/10/202375.1.2利用TCP/IP傳送訊息TCP負(fù)責(zé)將訊息切割成適合傳送的小塊資料包（Datagram），在遠(yuǎn)端主機(jī)重新按順序組合起資料包，並且要負(fù)責(zé)重送遺失的資料包。

IP負(fù)責(zé)為資料包找到一條可達(dá)接收端主機(jī)的適當(dāng)路徑。

1/10/20238一、TCP資料頭格式1/10/20239二、IP資料頭格式1/10/202310三、Ethernet資料頭頭格式式12/29/2022115.1.3網(wǎng)際網(wǎng)路服服務(wù)與協(xié)定定SMTP：：簡(jiǎn)易電子郵郵件傳輸協(xié)協(xié)定，用於於電子郵件件的發(fā)送和和接收。TELNET：遠(yuǎn)端(Remote)登入?yún)f(xié)協(xié)定，用於於連接並登登入遠(yuǎn)端主主機(jī)系統(tǒng)，，讓使用者者可由遠(yuǎn)端端登入網(wǎng)路路的主機(jī)，，使用其資資源。FTP：檔案?jìng)鬏攨f(xié)協(xié)定，用來來處理網(wǎng)路路上檔案的的傳送和儲(chǔ)儲(chǔ)存，使用用者透過FTP可在網(wǎng)路上上的兩部主主機(jī)間進(jìn)行行檔案?jìng)鬏斴敗?2/29/202212Cont..DNS：網(wǎng)域名稱伺伺服器，提提供給TELNET、FTP與其它服服務(wù)使用，，將主機(jī)名名稱轉(zhuǎn)換成成IP位址址。SNMP：：簡(jiǎn)易網(wǎng)路管管理協(xié)定，，使用者透透過SNMP可管理理網(wǎng)路上的的主機(jī)系統(tǒng)統(tǒng)。12/29/202213Cont..12/29/2022145.1.4網(wǎng)際網(wǎng)路路安全架架構(gòu)12/29/2022155.2安全的作作業(yè)系統(tǒng)統(tǒng)本節(jié)將探探討作業(yè)業(yè)系統(tǒng)（（OperatingSystem）在網(wǎng)路路安全中中扮演的的角色及及其重要要性。網(wǎng)網(wǎng)路安全全是植基基於安全全的作業(yè)業(yè)系統(tǒng)上上，不安安全的作作業(yè)系統(tǒng)統(tǒng)可能將將系統(tǒng)內(nèi)內(nèi)部的資資源暴露露給侵入入者，或或提供蓄蓄意破壞壞者入侵侵的管道道。任何何用來保保護(hù)網(wǎng)路路安全的的方法，，多少都都會(huì)用到到作業(yè)系系統(tǒng)提供供的各種種服務(wù)。12/29/2022165.2.1美國(guó)受信賴電電腦系統(tǒng)評(píng)量量標(biāo)準(zhǔn)TCSEC將電腦系統(tǒng)的的安全性由高高而低劃分為為A、B、C、D四大等級(jí)，並並且較高等級(jí)級(jí)的安全範(fàn)疇疇涵蓋較低等等級(jí)的安全範(fàn)範(fàn)疇，每一等等級(jí)的系統(tǒng)有有不同的安全全條件、基準(zhǔn)準(zhǔn)、規(guī)則必須須要滿足。12/29/202217評(píng)量基準(zhǔn)TCSEC的的評(píng)量基準(zhǔn)分分成四大類：：安全性策略（（SecurityPolicy）：帳戶辨識(shí)記錄錄能力（Accountability）：可靠度（Assurance）：說明文件（Documentation）：12/29/202218安全等級(jí)TCSEC將電腦系統(tǒng)的的安全性由高高而低劃分為為A、B、C、D四大等級(jí)：Ａ等級(jí)：可驗(yàn)驗(yàn)證之保護(hù)(VerifiedProtection)。Ｂ等級(jí)：強(qiáng)制制式保護(hù)(MandatoryProtection)。Ｃ等級(jí)：自定定式保護(hù)(DiscretionaryProtection)。Ｄ等級(jí)：最低低保護(hù)(MinimalProtection)。12/29/2022195.2.2歐洲資訊技技術(shù)安全評(píng)評(píng)量標(biāo)準(zhǔn)歐洲共同體體在1991年出版資訊訊技術(shù)安全全評(píng)量標(biāo)準(zhǔn)準(zhǔn)（InformationTechnologySecurityEvaluationCriteria，簡(jiǎn)稱ITSEC）ITSEC也規(guī)範(fàn)七個(gè)個(gè)安全等級(jí)級(jí)，大致分分別對(duì)應(yīng)到到TCSEC的七個(gè)等級(jí)級(jí)（A、B3、B2、B1、C2、C1及D）。12/29/2022205.3安全的IP從網(wǎng)路安全全的觀點(diǎn)來來考量，IP協(xié)定並不保保證資料封封包的來源源位址的確確實(shí)性，因因?yàn)閬碓次晃恢房赡芤岩言趥鬏斶^過程中被路路徑上的中中間節(jié)點(diǎn)篡篡改，或者者原始主機(jī)機(jī)並未填入入正確的IP位址。常見的攻擊擊方式是：：企圖攻擊擊的主機(jī)可可能冒用某某一合法主主機(jī)的位址址來傳輸資資料，藉以以誤導(dǎo)目的的地主機(jī)。。這類型的的攻擊稱為為來源位址址欺騙攻擊擊（SourceAddressSpoofingAttack））。12/29/202221Cont..IP層層的的網(wǎng)網(wǎng)路路安安全全技技術(shù)術(shù)，，包包括括IPAH(AuthenticationHeader)及及IPESP(EncapsulatingSecurePayload)等等方方法法。。IPAH：：確保保資資料料的的真真確確性性（（Integrity）和和鑑鑑別別（（Authentication），，但但無無法法作作到到資資料料保保密密。。IPESP：：可確確保保資資料料的的隱隱密密性性（（Confidentiality）、、真真確確性性和和鑑鑑別別性性。。12/29/2022225.3.1安全全聯(lián)聯(lián)合合（（SecurityAssociation）安全全聯(lián)聯(lián)合合負(fù)負(fù)責(zé)責(zé)協(xié)協(xié)調(diào)調(diào)兩兩個(gè)個(gè)通通訊訊實(shí)實(shí)體體之之間間所所使使用用的的安安全全機(jī)機(jī)制制，，每每一一安安全全聯(lián)聯(lián)合合會(huì)會(huì)有有一一個(gè)個(gè)安安全全參參數(shù)數(shù)索索引引（（SecureParameterIndex，簡(jiǎn)簡(jiǎn)稱稱SPI）與與目目的的地地位位址址，，可可用用來來識(shí)識(shí)別別其其唯唯一一性性。。12/29/202223Cont..一般而言言，安全全聯(lián)合包包括下列列重要資資訊。用來提供供IPAH鑑鑑別的鑑鑑別演算算法與模模式，以以及鑑別別演算法法的金鑰鑰。用來提供供IPESP的加密密演算法法、模式式與加密密金鑰，，以及與與加密演演算法有有關(guān)的相相關(guān)資訊訊。金鑰與安安全聯(lián)合合的生命命週期。。安全聯(lián)合合的來源源位址。。隱密性資資料的敏敏感程度度（極機(jī)機(jī)密、機(jī)機(jī)密、非非機(jī)密等等）。12/29/2022245.3.2IPAH方法IPAH方法讓兩兩個(gè)或多多個(gè)支援援IPAH的主機(jī)與與閘道（（Gateway）之間的的安全有有保障。。在此閘閘道是指指介於可可信賴的的私有網(wǎng)網(wǎng)路與不不可信賴賴的公眾眾網(wǎng)路之之間的設(shè)設(shè)備及軟軟體，用用來提供供通訊的的管道。。雖然IPAH可確保保資料的的真確性性並提供供鑑別，，但卻無無法作到到資料保保密。12/29/2022255.3.3IPESP方法IPESP方法可可確保保資料料的隱隱密性性，並並可選選擇附附加資資料真真確性性與資資料鑑鑑別性性等更更功能能。如圖6.4所示IPESP技術(shù)是是將大大部份份的ESP資料加加密，，然後後在加加密過過的資資料前前加上上一明明文的的資料料頭I，此資資料頭頭I是用來來決定定資料料封包包在網(wǎng)網(wǎng)路上上的傳傳遞路路徑。。12/29/202226Cont..12/29/202227Cont..一般IPESP協(xié)協(xié)定的運(yùn)作作可分成兩兩種模式：：隧道式（Tunnel-mode）運(yùn)輸式（Transport-mode）12/29/2022285.4安全的電子子郵件電子郵件是是網(wǎng)際網(wǎng)路路最普遍的的應(yīng)用之一一，為了確確保通訊安安全，電子子郵件應(yīng)用用應(yīng)考量保保護(hù)其內(nèi)容容的安全性性與提供訊訊息鑑別的的功能。12/29/2022295.4.1電子郵件的的安全需求求一般電子郵郵件的安全全必須考量量下列的安安全需求：：隱密性（Confidentiality）資料來源鑑鑑別（DataOriginAuthentication）訊息真確性性（MessageIntegrity）不可否認(rèn)性性（Nonrepudiation））12/29/2022305.4.2PEM郵件技術(shù)PEM是一種種應(yīng)用廣泛的的電子郵件安安全防護(hù)標(biāo)準(zhǔn)準(zhǔn)，規(guī)範(fàn)訊息息來源鑑別、、真確性與加解密的過程程，一般與簡(jiǎn)易電子郵件件傳輸協(xié)定（（SMTP）結(jié)結(jié)合使用。12/29/202231Cont..(訊息型式式)因應(yīng)各種電子子郵件的安全全需求，PEM採(cǎi)用訊息真確性查查核（MessageIntegrityCheck，簡(jiǎn)稱）技術(shù)術(shù)並提供三種不同同的訊息型式：MIC-Clear：MIC-Only：MIC-Encrypted：12/29/202232Cont..PEM訊息處理包括括下列四個(gè)步步驟：標(biāo)準(zhǔn)化（Canonicalization）訊息真確性及及數(shù)位簽章，，PEM規(guī)範(fàn)範(fàn)使用RSA與MD2或或MD5作為為訊息真確性性的演算法。。加密；採(cǎi)用CBC模式的DES加密演算法。。傳送編碼，PEM將訊息轉(zhuǎn)換成成6位元的文字編編碼模式，此此種編碼和SMTP的標(biāo)準(zhǔn)化格式式相容。12/29/202233Cont..(訊息傳送步驟驟)PEM訊息處處理包括下列列四個(gè)步驟：：標(biāo)準(zhǔn)化（Canonicalization）訊息真確性及及數(shù)位簽章PEM規(guī)範(fàn)使使用RSA與與MD2或MD5作為訊訊息真確性的的演算法。加密：採(cǎi)用CBC模式的DES加密演算法。。傳送編碼PEM將訊息轉(zhuǎn)換成成6位元的文字編編碼模式，此此種編碼和SMTP的標(biāo)準(zhǔn)化格式式相容。12/29/202234Cont..(接收PEM訊息)接收PEM訊訊息時(shí)的處理理步驟如下：：編碼轉(zhuǎn)換檢查訊息型式式，如果訊息息型式是MIC-Encrypted（或MIC-Only）則先將將6位元的編編碼轉(zhuǎn)換成8位元的密文文（或標(biāo)準(zhǔn)格格式的明文））。解密如果訊息型式式是MIC-Encrypted則將加密的訊訊息解密。訊息真確性及及來源的鑑別訊息真確性及及來源的鑑別。若訊息型式式是MIC-Clear或MIC-Only，則使用MIC與數(shù)位簽章演演算法，進(jìn)行行訊息來源鑑別別及真確性檢查。。格式轉(zhuǎn)換將訊息格式轉(zhuǎn)轉(zhuǎn)換成與收方方主機(jī)相容的的格式。12/29/202235Cont..12/29/2022365.4.3PGP郵件件技技術(shù)術(shù)PGP是是1991年年P(guān)hilipZimmermann設(shè)設(shè)計(jì)計(jì)，，以以公公開開金金鑰鑰演演算算法法為為基基礎(chǔ)礎(chǔ)所所發(fā)發(fā)展展出出來來的的電電子子郵郵件件傳傳送送工工具具。。此方方法法結(jié)結(jié)合合傳傳統(tǒng)統(tǒng)對(duì)對(duì)稱稱式式與與公公開開金金鑰鑰密密碼碼演演算算法法，，應(yīng)應(yīng)用用下下列列技技術(shù)術(shù)提提供供電電子子郵郵件件安安全全服服務(wù)務(wù)。。12/29/202237Cont..隱密密性性：：採(cǎi)用用CBC模模式式的的IDEA加加密密演演算算法法將將要要傳傳送送的的資資料料加加密密，，在在此此IDEA金金鑰鑰長(zhǎng)長(zhǎng)度度是是128位位元元。。金鑰鑰管管理理：應(yīng)用用RSA長(zhǎng)長(zhǎng)度度384、、512或或1024位位元元的的金金鑰鑰管管理理技技術(shù)術(shù)，，來來對(duì)對(duì)隨隨機(jī)機(jī)選選取取的的交交談?wù)劷鸾痂€鑰（（SessionKey））加加密密。。訊息息真真確確性性及及數(shù)數(shù)位位簽簽章章：：PGP使使用用RSA與與MD5作作為為判判斷斷訊訊息息真真確確與與鑑鑑別別安安全全的的演演算算法法。。壓縮縮：：訊息息在在加加密密前前先先用用ZIP2.0壓壓縮縮，，可可減減少少資資料料量量和和明明文文資資料料的的重重複複性性（（Redundancies）），，以以提提高高破破密密的的困困難難度度。。12/29/2022385.5安全的的網(wǎng)際際網(wǎng)路路服務(wù)務(wù)網(wǎng)際網(wǎng)網(wǎng)路服服務(wù)與與應(yīng)用用軟體體的安安全，，可透透過呼呼叫通通用安安全服服務(wù)之之應(yīng)用用程式式介面面（GenericSecurityServiceApplicationProgramInterface，簡(jiǎn)稱稱GSSAPI）所提提供的的服務(wù)務(wù)來達(dá)達(dá)到安安全需需求。。12/29/202239Cont..GSSAPI的概念念1993被提出出來的的，GSSAPI是一般般用途途的應(yīng)應(yīng)用介介面，，網(wǎng)際際服務(wù)務(wù)或應(yīng)應(yīng)用軟軟體可可透過過GSSAPI呼叫安安全服服務(wù)，，然後後GSSAPI將應(yīng)用用軟體體的安安全需需求交交由底底層的的服務(wù)務(wù)程式式負(fù)責(zé)責(zé)處理理及回回應(yīng)，，最後後GSSAPI再將處處理結(jié)結(jié)果傳傳回。。12/29/202240Cont..GSSAPI的使用GSSAPI的使用方式式描述於圖圖6.6，假設(shè)位於於客戶端的的應(yīng)用程式式C欲將訊息加加密傳送給給伺服器端端的應(yīng)用程程式S，可由下列列步驟完成成：12/29/202241Cont..12/29/202242Cont..Step1：客戶端的應(yīng)應(yīng)用程式C透過GSSAPI發(fā)出訊息息加密的需需求，呼叫叫客戶端主主機(jī)所對(duì)應(yīng)應(yīng)的加密程程式處理。。Step2：安全服務(wù)程程式回傳加加密的訊息息給應(yīng)用程程式C。Step3：應(yīng)用程式C將加密的的訊息傳送送給伺服器器端的應(yīng)用用程式S。。Step4：伺服器端的的應(yīng)用程式式S透過GSSAPI發(fā)出訊訊息解密的的需求，呼呼叫伺服器器端主機(jī)所所對(duì)應(yīng)的解解密程式處處理。Step5：安全服務(wù)程程式進(jìn)行訊訊息解密，，並將明文文訊息回傳傳給應(yīng)用程程式S。12/29/2022435.6防火牆防火牆是是用來加加強(qiáng)兩個(gè)個(gè)網(wǎng)路間間存取控控制的安安全機(jī)制制，它負(fù)負(fù)責(zé)檢查查所有通通過兩網(wǎng)網(wǎng)路間的的資料流流，並且且只允許許已授權(quán)權(quán)的資料料流通過過，藉由由防火牆牆的隔離離，以減減少系統(tǒng)統(tǒng)受到侵侵入而造造成內(nèi)部部資源受受到損害害的風(fēng)險(xiǎn)險(xiǎn)。12/29/2022445.6.1為何需要要防火牆牆系統(tǒng)IP層的的通訊安安全可經(jīng)經(jīng)由安全全的IP來達(dá)到到，而使使用者之之間的通通訊也可可透過安安全的電電子郵件件技術(shù)來來保障。。但是這這些技術(shù)術(shù)皆無法法使私有有網(wǎng)路內(nèi)內(nèi)部的資資源免於於來自網(wǎng)網(wǎng)際網(wǎng)路路的威脅脅，除非非將私有有網(wǎng)路與與網(wǎng)際網(wǎng)網(wǎng)路完成成隔絕，，兩者之之間互不不通訊，，才能確確保安全全。12/29/202245Cont..當(dāng)私有網(wǎng)路想想要加入網(wǎng)際際網(wǎng)路時(shí)，必必須考量以下下風(fēng)險(xiǎn)：資訊的保全：：資源的使用：：信譽(yù)的維持：：建置防火牆的的目的，就是是要在私有網(wǎng)網(wǎng)路與網(wǎng)際網(wǎng)網(wǎng)路之間建立立一個(gè)安全的的通訊管道，，在內(nèi)部資源源的存取可控控制與掌握的的情況下，讓讓網(wǎng)內(nèi)用戶也也可以方便地地使用網(wǎng)際網(wǎng)網(wǎng)路所提供的的服務(wù)。12/29/202246Cont..如圖6.7所所示，防火牆牆的使用是在在私有網(wǎng)路（（可信賴的安安全網(wǎng)路）和和網(wǎng)際網(wǎng)路（（不可靠的網(wǎng)網(wǎng)路環(huán)境）之之間建立一道道安全屏障，，以阻隔外來來電腦駭客的的侵?jǐn)_，而內(nèi)內(nèi)部人士仍然然可以對(duì)外取取得整體的服服務(wù)。12/29/202247Cont..12/29/202248Cont..一般防防火牆牆是主主要由由下列列的元元件組組成：：網(wǎng)路策策略（（NetworkPolicy）進(jìn)階的的鑑別別機(jī)制制（AdvanceAuthenticationMechanisms）封包過過濾（（PacketFiltering）應(yīng)用閘閘道（（ApplicationGateways）12/29/2022495.6.2網(wǎng)路策策略網(wǎng)路策策略會(huì)會(huì)直接接影響響到防防火牆牆系統(tǒng)統(tǒng)的設(shè)設(shè)計(jì)、、安置置及使使用，，此策策略大大致上上可分分成兩兩個(gè)層層次：：服務(wù)存存取策策略（（高階階策略略）防火牆牆設(shè)計(jì)計(jì)策略略（低低階策策略））12/29/202250服務(wù)存存取策策略服務(wù)存存取策策略著著眼於於如何何避免免網(wǎng)際際網(wǎng)路路的安安全威威脅與與駭客客的入入侵，，在基基於確確保內(nèi)內(nèi)部網(wǎng)網(wǎng)路安安全的的前提提下，，規(guī)範(fàn)範(fàn)適當(dāng)當(dāng)?shù)拇娲嫒〔卟呗?，，以提提供安安全的的網(wǎng)際際服務(wù)務(wù)。12/29/202251防火牆設(shè)設(shè)計(jì)策略略一般的防防火牆的的實(shí)作，，採(cǎi)用下下列兩種種設(shè)計(jì)策策略之一一：除非明確確地不允允許之外外準(zhǔn)許任任何服務(wù)務(wù)。內(nèi)定定允許所所有的服服務(wù)皆可可進(jìn)入內(nèi)內(nèi)部網(wǎng)路路，只排排除存取取策略被被標(biāo)示為為不允許許的服務(wù)務(wù)。除非明確確地準(zhǔn)許許之外拒拒絕任何何服務(wù)。。內(nèi)定拒拒絕所有有進(jìn)入內(nèi)內(nèi)部網(wǎng)路路的服務(wù)務(wù)，只允允許存取取策略被被標(biāo)示為為允許的的服務(wù)。。12/29/2022525.6.3進(jìn)階的鑑鑑別機(jī)制制在設(shè)計(jì)防防火牆時(shí)時(shí)可藉由由進(jìn)階鑑鑑別測(cè)定定的使用用，對(duì)防防火牆的的交通作作初步的的過濾，，來加強(qiáng)強(qiáng)防火牆牆的安全全，以及及解決部部分服務(wù)務(wù)策略實(shí)實(shí)作的問問題。12/29/202253Cont..如圖6.8所示，，若使使用具具備進(jìn)進(jìn)階鑑鑑別機(jī)機(jī)制的的防火火牆系系統(tǒng)，，則所所有的的網(wǎng)路路交通通如FTP或TELNET應(yīng)用，，必需需先通通過經(jīng)經(jīng)鑑別別過濾濾，才才可直直接進(jìn)進(jìn)入內(nèi)內(nèi)部網(wǎng)網(wǎng)路。。12/29/2022545.6.4封包過過濾12/29/202255Cont..建構(gòu)防火牆牆時(shí)，就可可利用這欄欄位如IP位址、埠號(hào)號(hào)以及應(yīng)用用的類型來來規(guī)範(fàn)網(wǎng)路路的存取。。防火牆需需檢查IP封包資料頭頭的欄位內(nèi)內(nèi)容，視其其是否滿足足管理者所所訂的存取取規(guī)則，來來決定封包包的放行與與否。藉由此種防防火牆的使使用，可以以限制封包包的來源、、目的地以以及可經(jīng)過過的管道。。12/29/202256Cont..封包濾器就就是利用過過濾封包的的方式來減減少可能的的危害，雖雖然封包濾濾器可用來來隔絕外界界的攻擊，，不過它無無法抵擋來來自內(nèi)部的的可能攻擊擊。12/29/2022575.6.5應(yīng)用用閘閘道道防火火牆牆採(cǎi)採(cǎi)用用封封包包過過濾濾的的最最大大優(yōu)優(yōu)點(diǎn)點(diǎn)是是速速度度快快、、建建置置成成本本低低並並具具有有完完全全通通透透性性(Transparency)。為了了補(bǔ)補(bǔ)強(qiáng)強(qiáng)封封包包過過濾濾器器的的弱弱點(diǎn)點(diǎn)，，防防火火牆牆必必須須在在IP層使使用用軟軟體體應(yīng)應(yīng)用用（（SoftwareApplications）對(duì)對(duì)網(wǎng)網(wǎng)路路交交通通（（服服務(wù)務(wù)要要求求））進(jìn)進(jìn)行行攔攔路路檢檢查查，，通通常常透透過過代代理理（（Proxy）服服務(wù)務(wù)來來實(shí)實(shí)現(xiàn)現(xiàn)，，代代理理伺伺服服器器（（ProxyServer）負(fù)負(fù)責(zé)責(zé)服服務(wù)務(wù)連連結(jié)結(jié)的的過過濾濾，，以以及及資資料料的的轉(zhuǎn)轉(zhuǎn)送送。。所有有進(jìn)進(jìn)出出私私有有網(wǎng)網(wǎng)路路的的交交通通都都必必須須行行經(jīng)經(jīng)代代理理伺伺服服器器，，而而執(zhí)執(zhí)行行這這類類程程式式的的主主機(jī)機(jī)稱稱為為應(yīng)應(yīng)用用閘閘道道（（ApplicationGateway）。。12/29/202258Cont..12/29/202259Cont..當(dāng)一個(gè)用戶企企圖連結(jié)進(jìn)入入此一私有網(wǎng)網(wǎng)路時(shí)，必須須先連結(jié)上應(yīng)應(yīng)用閘道，然然後再到目的的端主機(jī)，其其步驟如下：：歩驟1：用戶戶先TELNET上應(yīng)用用閘道，並輸輸入想要登入入的網(wǎng)內(nèi)主機(jī)機(jī)名稱。步驟2：應(yīng)用用閘道根據(jù)存存取規(guī)則檢查查用戶來源的的IP位址，，決定接受或或拒絕此連結(jié)結(jié)。步驟3：對(duì)用用戶的身份作作進(jìn)一步的身身份鑑別（如如用一次的通通行碼系統(tǒng)））。步驟4：代理理伺服器建立立應(yīng)用閘道與與網(wǎng)內(nèi)主機(jī)之之間的TELNET連結(jié)結(jié)。步驟5：代理理伺服器在此此兩連結(jié)之間間轉(zhuǎn)送資料。。步驟6：應(yīng)用閘道記記錄連結(jié)的相相關(guān)資訊。12/29/202260Cont..12/29/202261Cont..使用應(yīng)用閘道道來阻隔服務(wù)務(wù)，不讓它們們的網(wǎng)路交通通直接進(jìn)入網(wǎng)網(wǎng)內(nèi)主機(jī)的優(yōu)優(yōu)點(diǎn)：資訊隱藏（InformationHiding）強(qiáng)固的鑑別（（RobustAuthentication）成本效益高（（Cost-effectiveness）較少複雜的過過濾條件（Less-complexFilteringRules）12/29/2022625.7代理服服務(wù)的的建置置通常