包过滤规则表的例子 表8-1包过滤的实例 处理 内部主机 端口 外部主机 端口 说明 阻塞 米 SPIGOT 米 这些人不被信任 通过 OUR-GW 25 与内部主机的SMTP端口有连接 处理 内部主机 端口 外部主机 端口 说明 B 阻塞 米 默认 处理 内部主机 端口 外部主机 端口 说明 通过 25 与外部主机的SMTP端口有连接 ·A:允许进入防火墙内部的邮件通过(端口25专门供SMTP进 入内部使用),但是只能发往一台特定的网关主机,从特定 的外部主机SPIGOT发来的邮件将被阻塞。 ·B:默认策略。实际应用中,所有的规则表都把默认策略当作 最后的规则。 ·C:这个规则表规定内部的每一台主机可以向外部发送邮件。 一个目的端口为25的TCP包将被路由到目的机器上的SMTP服 务器。 信息安全导论08 17
包过滤规则表的例子 信息安全导论08 17 • A:允许进入防火墙内部的邮件通过(端口25专门供SMTP进 入内部使用),但是只能发往一台特定的网关主机,从特定 的外部主机SPIGOT发来的邮件将被阻塞。 • B:默认策略。实际应用中,所有的规则表都把默认策略当作 最后的规则。 • C:这个规则表规定内部的每一台主机都可以向外部发送邮件。 一个目的端口为25的TCP包将被路由到目的机器上的SMTP服 务器。 表8-1包过滤的实例
2)包过滤防火墙的优点 ()一个过滤器能协助保护整个网络。如果仅有一个包过 滤路由器连接内部与外部网路,不论内部网络的大小和 内部拓扑结构如何,通过该路由器进行数据包过滤,就 可在网络安全保护上取得较好的效果。 ·(2)包过滤用户对用户透明。数据包过滤不要求任何自定 义软件或客户机配置,也不要求用户任何特殊的训练或 操作。 ·(3)过滤路由器速度快、效率高。过滤路由器只检查包头 相应的字段,一般不查看数据包的内容,而且某些核心 部分是由专用硬件实现的,故其转发速度快、效率较高。 (④)技术通用、廉价、有效。大多数路由器都提供包过滤 功能,不用再增加更多的硬件和软件,因此其价格低廉, 能很大程度地满足企业的安全要求,其应用行之有效。 ·此外,包过滤防火墙还易于安装、使用和维护。 信息安全导论08 18
2) 包过滤防火墙的优点 • (1) 一个过滤器能协助保护整个网络。如果仅有一个包过 滤路由器连接内部与外部网路,不论内部网络的大小和 内部拓扑结构如何,通过该路由器进行数据包过滤,就 可在网络安全保护上取得较好的效果。 • (2)包过滤用户对用户透明。数据包过滤不要求任何自定 义软件或客户机配置,也不要求用户任何特殊的训练或 操作。 • (3)过滤路由器速度快、效率高。过滤路由器只检查包头 相应的字段,一般不查看数据包的内容,而且某些核心 部分是由专用硬件实现的,故其转发速度快、效率较高。 • (4)技术通用、廉价、有效。大多数路由器都提供包过滤 功能,不用再增加更多的硬件和软件,因此其价格低廉, 能很大程度地满足企业的安全要求,其应用行之有效。 • 此外,包过滤防火墙还易于安装、使用和维护。 信息安全导论08 18
3)包过滤防火墙的缺点 (1)安全性较差。防火墙过滤的只有网络层和传输层的有 限消息,因而各种安全要求不可能充分满足。 ·(2)由于防火墙可用的信息有限,它所提供的日志功能也 十分有限。 (3)无法执行某些安全策略。包过滤路由器上的信息不能 完全满足人们对安全策略的需求。 (4)这种防火墙通常容易受到利用TCPP规定和协议栈漏 洞的攻击,例如网络层地址欺骗。 ·(⑤)在这种防火墙做出安全控制决定时,起作用的只是少 数几个因素,包过滤器防火墙对由于不恰当的设置而导 致的安全威肋显得十分脆弱。 在实际应用中,很少把这种包过滤技术作为单独的解决 方案,而是把它与其他防火墙技术组合在一起使用。 信息安全导论08 19
3)包过滤防火墙的缺点 • (1)安全性较差。防火墙过滤的只有网络层和传输层的有 限消息,因而各种安全要求不可能充分满足。 • (2)由于防火墙可用的信息有限,它所提供的日志功能也 十分有限。 • (3)无法执行某些安全策略。包过滤路由器上的信息不能 完全满足人们对安全策略的需求。 • (4)这种防火墙通常容易受到利用TCP/IP规定和协议栈漏 洞的攻击,例如网络层地址欺骗。 • (5)在这种防火墙做出安全控制决定时,起作用的只是少 数几个因素,包过滤器防火墙对由于不恰当的设置而导 致的安全威胁显得十分脆弱。 • 在实际应用中,很少把这种包过滤技术作为单独的解决 方案,而是把它与其他防火墙技术组合在一起使用。 信息安全导论08 19
2.代理服务技术 1)代理服务技术原理 。 代理服务器防火墙又称应用层网关、应用层防火墙,它 工作在OSI模型的应用层,掌握着应用系统中可用作安 全决策的全部信息。 代理服务技术的核心是运行于防火墙主机上的代理服务 器程序,这些代理服务器程序直接对特定的应用层进行 服务。 ·代理服务器防火墙完全阻隔了网络通信流,通过对每种 应用服务编制专门的代理服务程序,实现监视和控制应 用层通信流的作用。从内部网用户发出的数据包经过这 样的防火墙处理后,就像是源于防火墙外部网卡一样, 从而可以达到隐藏内部网结构的作用。 ·其技术原理如图8-2所示。 信息安全导论08 20
2.代理服务技术 1)代理服务技术原理 • 代理服务器防火墙又称应用层网关、应用层防火墙,它 工作在OSI模型的应用层,掌握着应用系统中可用作安 全决策的全部信息。 • 代理服务技术的核心是运行于防火墙主机上的代理服务 器程序,这些代理服务器程序直接对特定的应用层进行 服务。 • 代理服务器防火墙完全阻隔了网络通信流,通过对每种 应用服务编制专门的代理服务程序,实现监视和控制应 用层通信流的作用。从内部网用户发出的数据包经过这 样的防火墙处理后,就像是源于防火墙外部网卡一样, 从而可以达到隐藏内部网结构的作用。 • 其技术原理如图8-2所示。 信息安全导论08 20
代理服务技术 外部连接 内部连接 TELNET FTP SMTP HTTP 外部主机 内部主机 图8-2代理服务技术 ·代理服务器通常运行在两个网络之间,在某种意义上,可以把这种防火 墙看作一个翻译器,由它负责外部网络和内部网络之间的通信。 代理服务技术能够记录通过它的一些信息,如什么用户在什么时间访问 过什么站点等,这些信息可以帮助网络管理员识别网络间谍。 ·代理服务可以实现用户认证、详细日志、审计跟踪和数据加密等功能, 并实现对具体协议及应用的过滤,如阻塞JavaScript。 信息安全导论08 21
代理服务技术 信息安全导论08 21 • 代理服务器通常运行在两个网络之间,在某种意义上,可以把这种防火 墙看作一个翻译器,由它负责外部网络和内部网络之间的通信。 • 代理服务技术能够记录通过它的一些信息,如什么用户在什么时间访问 过什么站点等,这些信息可以帮助网络管理员识别网络间谍。 • 代理服务可以实现用户认证、详细日志、审计跟踪和数据加密等功能, 并实现对具体协议及应用的过滤,如阻塞JavaScript。 图8-2 代理服务技术