網(wǎng)絡(luò)安全技術(shù)及應(yīng)用 第5版 賈鐵軍 應(yīng)用實(shí)踐題

網(wǎng)絡(luò)安全技術(shù)與實(shí)踐網(wǎng)絡(luò)安全技術(shù)及應(yīng)用/實(shí)踐教程應(yīng)用實(shí)踐題第1章網(wǎng)絡(luò)安全基礎(chǔ)(1)安裝、配置構(gòu)建虛擬局域網(wǎng)（上機(jī)完成）：下載并安裝一種虛擬機(jī)軟件，配置虛擬機(jī)并構(gòu)建虛擬局域網(wǎng)。(2)下載并安裝一種網(wǎng)絡(luò)安全檢測(cè)軟件，對(duì)校園網(wǎng)安全檢測(cè)并簡(jiǎn)要分析。(3)通過(guò)調(diào)研及參考資料，寫(xiě)出一份有關(guān)網(wǎng)絡(luò)安全威脅的具體分析資料。(4)通過(guò)調(diào)研及借鑒資料，寫(xiě)出一份分析網(wǎng)絡(luò)安全問(wèn)題的報(bào)告。解釋下列網(wǎng)絡(luò)信息安全的要素：（5）舉例說(shuō)明保密性、完整性、可用性第2章網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)(1)利用抓包工具，分析IP頭的結(jié)構(gòu)(2)利用抓包工具，分析TCP頭的結(jié)構(gòu)，并分析TCP的三次握手過(guò)程。(3)假定同一子網(wǎng)的兩臺(tái)主機(jī)，其中一臺(tái)運(yùn)行了sniffit。利用sniffit捕獲Telnet到對(duì)方7號(hào)端口echo服務(wù)的包。(4)配置一臺(tái)簡(jiǎn)單的VPN服務(wù)器（5）VPN使用的主要技術(shù)。1）隧道（封裝）技術(shù)是目前實(shí)現(xiàn)不同VPN用戶業(yè)務(wù)區(qū)分的基本方式。一個(gè)VPN可抽象為一個(gè)沒(méi)有自環(huán)的連通圖，每個(gè)頂點(diǎn)代表一個(gè)VPN端點(diǎn)（用戶數(shù)據(jù)進(jìn)入或離開(kāi)VPN的設(shè)備端口），相鄰頂點(diǎn)之間的邊表示連結(jié)這兩對(duì)應(yīng)端點(diǎn)的邏輯通道，即隧道。隧道以疊加在IP主干網(wǎng)上的方式運(yùn)行。需安全傳輸?shù)臄?shù)據(jù)分組經(jīng)一定的封裝處理，從信源的一個(gè)VPN端點(diǎn)進(jìn)入VPN，經(jīng)相關(guān)隧道穿越VPN（物理上穿越不安全的互聯(lián)網(wǎng)），到達(dá)信宿的另一個(gè)VPN端點(diǎn)，再經(jīng)過(guò)相應(yīng)解封裝處理，便得到原始數(shù)據(jù)。（不僅指定傳送的路徑，在中轉(zhuǎn)節(jié)點(diǎn)也不會(huì)解析原始數(shù)據(jù)）2）當(dāng)用戶數(shù)據(jù)需要跨越多個(gè)運(yùn)營(yíng)商的網(wǎng)絡(luò)時(shí)，在連接兩個(gè)獨(dú)立網(wǎng)絡(luò)的節(jié)點(diǎn)該用戶的數(shù)據(jù)分組需要被解封裝和再次封裝，可能會(huì)造成數(shù)據(jù)泄露，這就需要用到加密技術(shù)和密鑰管理技術(shù)。目前主要的密鑰交換和管理標(biāo)準(zhǔn)有SKIP和ISAKMP（安全聯(lián)盟和密鑰管理協(xié)議）。3）對(duì)于支持遠(yuǎn)程接入或動(dòng)態(tài)建立隧道的VPN，在隧道建立之前需要確認(rèn)訪問(wèn)者身份，是否可以建立要求的隧道，若可以，系統(tǒng)還需根據(jù)訪問(wèn)者身份實(shí)施資源訪問(wèn)控制。這需要訪問(wèn)者與設(shè)備的身份認(rèn)證技術(shù)和訪問(wèn)控制技術(shù)。（6）TCP/IP協(xié)議的網(wǎng)絡(luò)安全體系結(jié)構(gòu)的基礎(chǔ)框架由于OSI參考模型與TCP/IP參考模型之間存在對(duì)應(yīng)關(guān)系，因此可根據(jù)GB/T9387.2-1995的安全體系框架，將各種安全機(jī)制和安全服務(wù)映射到TCP/IP的協(xié)議集中，從而形成一個(gè)基于TCP/IP協(xié)議層次的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。第3章網(wǎng)絡(luò)安全體系及管理（1）調(diào)研一個(gè)網(wǎng)絡(luò)中心，了解并寫(xiě)出實(shí)體安全的具體要求。（2）查看一臺(tái)計(jì)算機(jī)的網(wǎng)絡(luò)安全管理設(shè)置情況，如果不合適進(jìn)行調(diào)整。（3）利用一種網(wǎng)絡(luò)安全管理工具，對(duì)網(wǎng)絡(luò)安全性進(jìn)行實(shí)際檢測(cè)并分析。（4）調(diào)研一個(gè)企事業(yè)單位，了解計(jì)算機(jī)網(wǎng)絡(luò)安全管理的基本原則與工作規(guī)范情況。（5）結(jié)合實(shí)際論述如何貫徹落實(shí)機(jī)房的各項(xiàng)安全管理規(guī)章制度。第4章密碼和加密技術(shù)（1）已知RSA算法中，素?cái)?shù)p=5,q=7,模數(shù)n=35,公開(kāi)密鑰e=5,密文c=10，求明文。試用手工完成RSA公開(kāi)密鑰密碼體制算法加密運(yùn)算。（2）利用對(duì)稱加密算法對(duì)“123456789”進(jìn)行加密，并進(jìn)行解密。（上機(jī)完成）（3）已知密文C=abacnuaiotettgfksr，且知其是使用替代密碼方法加密。請(qǐng)用程序分析出其明文和密鑰。（4）通過(guò)調(diào)研及借鑒資料，寫(xiě)出一份分析密碼學(xué)與網(wǎng)絡(luò)安全管理的研究報(bào)告。（5）愷撒密碼加密運(yùn)算公式為c=m+kmod26，密鑰可以是0至25內(nèi)的任何一個(gè)確定的數(shù)，試用程序?qū)崿F(xiàn)算法，要求可靈活設(shè)置密鑰。（6）為什么PGP在加密明文之前先壓縮它？PGP內(nèi)核使用Pkzip算法來(lái)壓縮加密前的明文。一方面對(duì)電子郵件而言，壓縮后加密再經(jīng)過(guò)7位編碼密文有可能比明文更短，這就節(jié)省了網(wǎng)絡(luò)傳輸?shù)臅r(shí)間。另一方面，經(jīng)過(guò)壓縮的明文，實(shí)際上相當(dāng)于多經(jīng)過(guò)了一次變換，信息更加雜亂無(wú)章，能更強(qiáng)地抵御攻擊。（7）基于X.509數(shù)字證書(shū)在PKI中的作用X.509數(shù)字證書(shū)是各實(shí)體在網(wǎng)絡(luò)中的身份證明，它證書(shū)了實(shí)體所聲明的身份與其公鑰的匹配關(guān)系。從公鑰管理的機(jī)制講，數(shù)字證書(shū)是非對(duì)稱密碼體制中密鑰管理的媒介。即在非對(duì)稱密碼體制中，公鑰的分發(fā)、傳送是通過(guò)數(shù)字證書(shū)來(lái)實(shí)現(xiàn)的。通過(guò)數(shù)字證書(shū)，可以提供身份的認(rèn)證與識(shí)別，完整性、保密性和不可否認(rèn)等安全服務(wù)。（8）實(shí)施PKI的過(guò)程中產(chǎn)生了哪些問(wèn)題，如何解決？首先是實(shí)施的問(wèn)題，PKI定義了嚴(yán)格的操作協(xié)議和信任層次關(guān)系。任何向CA申請(qǐng)數(shù)字證書(shū)的人必須經(jīng)過(guò)線下(offline)的身份驗(yàn)證(通常由RA完成)，這種身份驗(yàn)證工作很難擴(kuò)展到整個(gè)Internet范圍，因此，現(xiàn)今構(gòu)建的PKI系統(tǒng)都局限在一定范圍內(nèi)，這造成了PKI系統(tǒng)擴(kuò)展問(wèn)題。由于不同PKI系統(tǒng)都定義了各自的信任策略，在進(jìn)行互相認(rèn)證的時(shí)候，為了避免由于信任策略不同而產(chǎn)生的問(wèn)題，普遍的做法是忽略信任策略。這樣，本質(zhì)上是管理Internet上的信任關(guān)系的PKI就僅僅起到身份驗(yàn)證的作用了。提出用PMI解決。第5章黑客攻防與檢測(cè)防御(1)利用一種端口掃描工具軟件，練習(xí)對(duì)網(wǎng)絡(luò)端口進(jìn)行掃描，檢查安全漏洞和隱患。(2)調(diào)查一個(gè)網(wǎng)站的網(wǎng)絡(luò)防范配置情況。(3)使用X-Scan對(duì)服務(wù)器進(jìn)行評(píng)估。（上機(jī)操作）(4)安裝配置和使用綠盟科技“冰之眼”。（上機(jī)操作）(5)通過(guò)調(diào)研及參考資料，寫(xiě)出一篇黑客攻擊原因與預(yù)防的研究報(bào)告。（6）常見(jiàn)的黑客攻擊過(guò)程。1）目標(biāo)探測(cè)和信息攫取先確定攻擊日標(biāo)并收集目標(biāo)系統(tǒng)的相關(guān)信息。一般先大量收集網(wǎng)上主機(jī)的信息，然后根據(jù)各系統(tǒng)的安全性強(qiáng)弱確定最后的目標(biāo)。①踩點(diǎn)（Footprinting）。黑客必須盡可能收集目標(biāo)系統(tǒng)安全狀況的各種信息。Whois數(shù)據(jù)庫(kù)查詢可以獲得很多關(guān)于目標(biāo)系統(tǒng)的注冊(cè)信息，DNS查詢(用Windows/UNIX上提供的nslookup命令客戶端)也可令黑客獲得關(guān)于目標(biāo)系統(tǒng)域名、IP地址、DNS務(wù)器、郵件服務(wù)器等有用信息。此外還可以用traceroute工具獲得一些網(wǎng)絡(luò)拓?fù)浜吐酚尚畔ⅰ＂趻呙瑁⊿canning）。在掃描階段，我們將使用各種工具和技巧(如Ping掃射、端口掃描以及操作系統(tǒng)檢測(cè)等)確定哪些系統(tǒng)存活著、它們?cè)诒O(jiān)聽(tīng)哪些端口(以此來(lái)判斷它們?cè)谔峁┠男┓?wù))，甚至更進(jìn)一步地獲知它們運(yùn)行的是什么操作系統(tǒng)。③查點(diǎn)（Enumeration）。從系統(tǒng)中抽取有效賬號(hào)或?qū)С鲑Y源名的過(guò)程稱為查點(diǎn)，這些信息很可能成為目標(biāo)系統(tǒng)的禍根。比如說(shuō)，一旦查點(diǎn)查出一個(gè)有效用戶名或共享資源，攻擊者猜出對(duì)應(yīng)的密碼或利用與資源共享協(xié)議關(guān)聯(lián)的某些脆弱點(diǎn)通常就只是一個(gè)時(shí)間問(wèn)題了。查點(diǎn)技巧差不多都是特定于操作系統(tǒng)的，因此要求使用前面步驟匯集的信息。2）獲得訪問(wèn)權(quán)（GainingAccess）。通過(guò)密碼竊聽(tīng)、共享文件的野蠻攻擊、攫取密碼文件并破解或緩沖區(qū)溢出攻擊等來(lái)獲得系統(tǒng)的訪問(wèn)權(quán)限。3）特權(quán)提升（EscalatingPrivilege）。在獲得一般賬戶后，黑客經(jīng)常會(huì)試圖獲得更高的權(quán)限，比如獲得系統(tǒng)管理員權(quán)限。通常可以采用密碼破解(如用L0phtcrack破解NT的SAM文件)、利用已知的漏洞或脆弱點(diǎn)等技術(shù)。4）竊取（Stealing）。對(duì)敏感數(shù)據(jù)進(jìn)行篡改、添加、刪除及復(fù)制（如Windows系統(tǒng)的注冊(cè)表、UNIX的rhost文件等）。5）掩蓋蹤跡（CoveringTracks）。此時(shí)最重要就隱藏自己蹤跡，以防被管理員發(fā)覺(jué)，比如清除日志記錄、使用rootkits等工具。6）創(chuàng)建后門(mén)（CreatingBookdoor）。在系統(tǒng)的不同部分布置陷阱和后門(mén)，以便入侵者在以后仍能從容獲得特權(quán)訪問(wèn)。（7）IDS及其基本功能入侵檢測(cè)系統(tǒng)IDS，它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門(mén)。1）監(jiān)測(cè)并分析用戶和系統(tǒng)的活動(dòng)，查找非法用戶和合法用戶的越權(quán)操作；2）核查系統(tǒng)配置和漏洞并提示管理員修補(bǔ)漏洞；3）評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；4）識(shí)別已知的攻擊行為，統(tǒng)計(jì)分析異常行為；5）操作系統(tǒng)日志管理，并識(shí)別違反安全策略的用戶活動(dòng)等第6章身份認(rèn)證與訪問(wèn)控制（1）練習(xí)Windows的審計(jì)系統(tǒng)的功能和實(shí)現(xiàn)。（2）查看WindowsServer2008安全事件的記錄日志，并進(jìn)行分析。（3）查看個(gè)人數(shù)字憑證的申請(qǐng)、頒發(fā)和使用過(guò)程，用軟件和上網(wǎng)練習(xí)演示個(gè)人數(shù)字簽名和認(rèn)證過(guò)程。(4)通過(guò)調(diào)研及借鑒資料，寫(xiě)出一份分析網(wǎng)絡(luò)安全問(wèn)題的報(bào)告。（5）訪問(wèn)控制表ACL有什么優(yōu)缺點(diǎn)？ACL的優(yōu)點(diǎn)：表述直觀、易于理解，比較容易查出對(duì)某一特定資源擁有訪問(wèn)權(quán)限的所有用戶，有效地實(shí)施授權(quán)管理。ACL應(yīng)用到規(guī)模大的企業(yè)內(nèi)部網(wǎng)時(shí)，有問(wèn)題：1）網(wǎng)絡(luò)資源很多，ACL需要設(shè)定大量的表項(xiàng)，而且修改起來(lái)比較困難，實(shí)現(xiàn)整個(gè)組織范圍內(nèi)一致的控制政策也比較困難。2）單純使用ACL，不易實(shí)現(xiàn)最小權(quán)限原則及復(fù)雜的安全政策。（6）有哪幾種訪問(wèn)控制策略？三種不同的訪問(wèn)控制策略：自主訪問(wèn)控制（DAC）、強(qiáng)制訪問(wèn)控制（MAC）和基于角色的訪問(wèn)控制（RBAC），前兩種屬于傳統(tǒng)的訪問(wèn)控制策略，而RBAC是90年代后期出現(xiàn)的，有很大的優(yōu)勢(shì)，所以發(fā)展很快。每種策略并非是絕對(duì)互斥的，我們可以把幾種策略綜合起來(lái)應(yīng)用從而獲得更好、更安全的系統(tǒng)保護(hù)——多重的訪問(wèn)控制策略。第7章操作系統(tǒng)與站點(diǎn)安全(1)在Linux系統(tǒng)下對(duì)比SUID在設(shè)置前后對(duì)系統(tǒng)安全的影響。(2)對(duì)windowsserver2012進(jìn)行配置使其禁用Ctrl+Alt+Del。(3)嘗試恢復(fù)從硬盤(pán)上刪除的文件，并分析其中恢復(fù)的原因。（4）在用戶端，防范垃圾郵件有如下方式：1）不隨便公開(kāi)自己的電子郵件地址，防止其被收入垃圾郵件的發(fā)送地址列表。因?yàn)橛泻芏嘬浖梢宰詣?dòng)收集這些新聞組文章或者論壇中出現(xiàn)過(guò)的電子郵件地址。一旦被收入這些垃圾郵件的地址列表中，一些不懷好意的收集者將出售這些電子郵件地址牟利，然后，很不幸地，這個(gè)地址將可能源源不斷地收到各種垃圾郵件。2）盡量采用轉(zhuǎn)發(fā)的方式收信，避免直接使用ISP提供的信箱。申請(qǐng)一個(gè)轉(zhuǎn)發(fā)信箱地址，結(jié)合垃圾郵件過(guò)濾，然后再轉(zhuǎn)發(fā)到自己的真實(shí)信箱。實(shí)踐證明，這的確是一個(gè)非常有效的方法。只有結(jié)合使用地址過(guò)濾和字符串特征過(guò)濾才能取得最好的過(guò)濾效果。不要回復(fù)垃圾郵件，這是一個(gè)誘人進(jìn)一步上當(dāng)?shù)幕ㄕ小＃?）在服務(wù)器端和用戶端各有哪些方式防范垃圾郵件？在服務(wù)器端，應(yīng)該設(shè)置發(fā)信人身份認(rèn)證，以防止自己的郵件服務(wù)器被選做垃圾郵件的傳遞者。現(xiàn)在包括不少國(guó)內(nèi)知名電子郵件提供者在內(nèi)的諸多郵件服務(wù)器被國(guó)外的拒絕垃圾郵件組織列為垃圾郵件來(lái)源。結(jié)果是：所有來(lái)自該服務(wù)器的郵件全部被拒收!第8章數(shù)據(jù)庫(kù)與數(shù)據(jù)防護(hù)技術(shù)(1)在SQLServer2022中進(jìn)行用戶密碼的設(shè)置，體現(xiàn)出密碼的安全策略。(2)通過(guò)實(shí)例說(shuō)明SQLServer2012中如何實(shí)現(xiàn)透明加密。第9章計(jì)算機(jī)病毒及惡意軟件防范（1）下載一種殺毒軟件，安裝設(shè)置后查毒，如有病毒，進(jìn)行殺毒操作。（2）搜索至少兩種木馬，了解其發(fā)作癥狀以及清除辦法。（3）計(jì)算機(jī)病毒基本防范措施。計(jì)算機(jī)病毒防范，是指通過(guò)建立合理的計(jì)算機(jī)病毒防范體系和制度，及時(shí)發(fā)現(xiàn)計(jì)算機(jī)病毒侵入，并采取有效的手段阻止計(jì)算機(jī)病毒的傳播和破壞，恢復(fù)受影響的計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)。計(jì)算機(jī)病毒利用讀寫(xiě)文件能進(jìn)行感染，利用駐留內(nèi)存、截取中斷向量等方式能進(jìn)行傳染和破壞。預(yù)防計(jì)算機(jī)病毒就是要監(jiān)視、跟蹤系統(tǒng)內(nèi)類似的操作，提供對(duì)系統(tǒng)的保護(hù)，最大限度地避免各種計(jì)算機(jī)病毒的傳染破壞。（4）病毒的特征代碼和作用病毒的特征代碼是病毒程序編制者用來(lái)識(shí)別自己編寫(xiě)程序的唯一代碼串。因此檢測(cè)病毒程序可利用病毒的特征代碼來(lái)檢測(cè)病毒，以防止病毒程序感染。（5）網(wǎng)絡(luò)蠕蟲(chóng)及其傳播途徑網(wǎng)絡(luò)蠕蟲(chóng)是一種可以通過(guò)網(wǎng)絡(luò)（永久連接網(wǎng)絡(luò)或撥號(hào)網(wǎng)絡(luò)）進(jìn)行自身復(fù)制的病毒程序。一旦在系統(tǒng)中激活，蠕蟲(chóng)可以表現(xiàn)得象計(jì)算機(jī)病毒或細(xì)菌。可以向系統(tǒng)注入特洛伊木馬程序，或者進(jìn)行任何次數(shù)的破壞或毀滅行動(dòng)。普通計(jì)算機(jī)病毒需要在計(jì)算機(jī)的硬件或文件系統(tǒng)中繁殖，而典型的蠕蟲(chóng)程序會(huì)在內(nèi)存中維持一個(gè)活動(dòng)副本。蠕蟲(chóng)是一個(gè)獨(dú)立運(yùn)行的程序，自身不改變其他的程序，但可以攜帶一個(gè)改變其他程序功能的病毒。第10章防火墻技術(shù)（1）Linux防火墻配置（上機(jī)完成）假定一個(gè)內(nèi)部網(wǎng)絡(luò)通過(guò)一個(gè)Linux防火墻接入外部網(wǎng)絡(luò)，要求實(shí)現(xiàn)兩點(diǎn)要求：①Linux防火墻通過(guò)NAT屏蔽內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，讓內(nèi)網(wǎng)可以訪問(wèn)外網(wǎng)②限制內(nèi)網(wǎng)用戶只能通過(guò)80端口訪問(wèn)外網(wǎng)的WWW服務(wù)器，而外網(wǎng)不能向內(nèi)網(wǎng)發(fā)送任何連接請(qǐng)求。具體實(shí)現(xiàn)中，可以使用三臺(tái)計(jì)算機(jī)完成實(shí)驗(yàn)要求。其中一臺(tái)作為L(zhǎng)inux防火墻，一臺(tái)作為內(nèi)網(wǎng)計(jì)算機(jī)模擬整個(gè)內(nèi)部網(wǎng)絡(luò)，一臺(tái)作為外網(wǎng)計(jì)算機(jī)模擬外部網(wǎng)絡(luò)。（2）目前個(gè)人防火墻有很多種，除了天網(wǎng)防火墻外，還有AgnitumOutpostFirewall、ZoneAarmFirewall、NormanPersonalFirewall、JeticoPersonalFirewall、F-Secure、ComodoFirewall、瑞星個(gè)人防火墻、江民防火墻、卡巴斯基全功能安全軟件、風(fēng)云防火墻、諾頓NortonInternetSecurity，下載這些軟件，使用X-Scan進(jìn)行綜合掃描，使用lxia公司出品的Qcheck軟件進(jìn)行性能測(cè)試，并將結(jié)果記錄下來(lái)，比較這些防火墻的優(yōu)缺點(diǎn)。（3）包過(guò)濾防火墻的過(guò)濾原理包過(guò)濾防火墻也稱分組過(guò)濾路由器，又叫網(wǎng)絡(luò)層防火墻，因?yàn)樗枪ぷ髟诰W(wǎng)絡(luò)層。路由器便是一個(gè)網(wǎng)絡(luò)層防火墻，因?yàn)榘^(guò)濾是路由器的固有屬性。它一般是通過(guò)檢查單個(gè)包的地址、協(xié)議、端口等信息來(lái)決定是否允許此數(shù)據(jù)包通過(guò)，有靜態(tài)和動(dòng)態(tài)兩種過(guò)濾方式。這種防火墻可以提供內(nèi)部信息以說(shuō)明所通過(guò)的連接狀態(tài)和一些數(shù)據(jù)流的內(nèi)容，把判斷的信息同規(guī)則表進(jìn)行比較，在規(guī)則表中定義了各種規(guī)則來(lái)表明是否同意或拒絕包的通過(guò)。包過(guò)濾防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒(méi)有一條規(guī)則能符合，防火墻就會(huì)使用默認(rèn)規(guī)則（丟棄該包）。在制定數(shù)據(jù)包過(guò)濾規(guī)則時(shí)，一定要注意數(shù)據(jù)包是雙向的。（4）狀態(tài)檢測(cè)防火墻的原理，相對(duì)包過(guò)濾防火墻的優(yōu)點(diǎn)狀態(tài)檢測(cè)又稱動(dòng)態(tài)包過(guò)濾，所以狀態(tài)檢測(cè)防火墻又稱動(dòng)態(tài)防火墻，最早由CheckPoint提出。狀態(tài)檢測(cè)是一種相當(dāng)于4、5層的過(guò)濾技術(shù)，既提供了比包過(guò)濾防火墻更高的安全性和更靈活的處理，也避免了應(yīng)用層網(wǎng)關(guān)的速度降低問(wèn)題。要實(shí)現(xiàn)狀態(tài)檢測(cè)防火墻，最重要的是實(shí)現(xiàn)連接的跟蹤功能，并且根據(jù)需要可動(dòng)態(tài)地在過(guò)濾規(guī)則中增加或更新條目。防火墻應(yīng)當(dāng)包含關(guān)于包最近已經(jīng)通過(guò)它的“狀態(tài)信息”，以決定是否讓來(lái)自Internet的包通過(guò)或丟棄。（5）應(yīng)用層網(wǎng)關(guān)的工作過(guò)程及優(yōu)缺點(diǎn)主要工作在應(yīng)用層，又稱為應(yīng)用層防火墻。它檢查進(jìn)出的數(shù)據(jù)包，通過(guò)自身復(fù)制傳遞數(shù)據(jù)，防止在受信主機(jī)與非受信主機(jī)間直接建立聯(lián)系。應(yīng)用層網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議，能夠做復(fù)雜的訪問(wèn)控制，并做精細(xì)的注冊(cè)和審核?；竟ぷ鬟^(guò)程是：當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí)，首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。常用的應(yīng)用層網(wǎng)關(guān)已有相應(yīng)的代理服務(wù)軟件，如HTTP、SMTP、FTP、Telnet等，但是對(duì)于新開(kāi)發(fā)的應(yīng)用，尚沒(méi)有相應(yīng)的代理服務(wù)，它們將通過(guò)網(wǎng)絡(luò)層防火墻和一般的代理服務(wù)。應(yīng)用層網(wǎng)關(guān)有較好的訪問(wèn)控制能力，是目前最安全的防火墻技術(shù)。能夠提供內(nèi)容過(guò)濾、用戶認(rèn)證、頁(yè)面緩存和NAT等功能。但實(shí)現(xiàn)麻煩，有的應(yīng)用層網(wǎng)關(guān)缺乏“透明度”。應(yīng)用層網(wǎng)關(guān)每一種協(xié)議需要相應(yīng)的代理軟件，使用時(shí)工作量大，效率明顯不如網(wǎng)絡(luò)層防火墻。（6）代理服務(wù)器優(yōu)缺點(diǎn)代理服務(wù)技術(shù)的優(yōu)點(diǎn)是：隱蔽內(nèi)部網(wǎng)絡(luò)拓?fù)湫畔ⅲ痪W(wǎng)關(guān)理解應(yīng)用協(xié)議，可以實(shí)施更細(xì)粒度的訪問(wèn)控制；較強(qiáng)的數(shù)據(jù)流監(jiān)控和報(bào)告功能。（主機(jī)認(rèn)證和用戶認(rèn)證）缺點(diǎn)是對(duì)每一類應(yīng)用都需要一個(gè)專門(mén)的代理，靈活性不夠；每一種網(wǎng)絡(luò)應(yīng)用服務(wù)的安全問(wèn)題各不相同，分析困難，因此實(shí)現(xiàn)困難。速度慢。（7）靜態(tài)包過(guò)濾和動(dòng)態(tài)包過(guò)濾區(qū)別靜態(tài)包過(guò)濾在遇到利用動(dòng)態(tài)端口的協(xié)議時(shí)會(huì)發(fā)生困難，如FTP，防火墻事先無(wú)法知道哪些端口需要打開(kāi)，就需要將所有可