4状态包过滤技术 (1)在链路层、网络层和会话层检查通信信息, 以了解流量的路径和想要得到的活动类型。要检 查会话的全部过程,以证实状态的连续性 (2)需要检查应用层和表示层的状态,以证实确 认行为的连续性、使用的是被授权服务和加密活 由于所有的包过滤路由器决策过滤时没有任何状 态信息,因而它无法支持大量的安全策略
4 状态包过滤技术 • (1)在链路层、网络层和会话层检查通信信息, 以了解流量的路径和想要得到的活动类型。要检 查会话的全部过程,以证实状态的连续性。 • (2)需要检查应用层和表示层的状态,以证实确 认行为的连续性、使用的是被授权服务和加密活 动。 • 由于所有的包过滤路由器决策过滤时没有任何状 态信息,因而它无法支持大量的安全策略
5多级过滤技术 防火墙采用了分组过滤、应用代理与电路 网关等三级过滤措施。其中分组一级过滤 功能可以过滤掉所有的非法源路由分组和IP 源地址;通过应用服务代理功能,可以利 用FTP、SMTP、WWW、 TELNET等各种服 务代理,监控 Internet提供的常用服务;在 电路网关一级,实现内部主机与外部站点 的透明连接,并对服务进行严格的控制
5 多级过滤技术 • 防火墙采用了分组过滤、应用代理与电路 网关等三级过滤措施。其中分组一级过滤 功能可以过滤掉所有的非法源路由分组和IP 源地址;通过应用服务代理功能,可以利 用FTP、SMTP、WWW、TELNET等各种服 务代理,监控Internet提供的常用服务;在 电路网关一级,实现内部主机与外部站点 的透明连接,并对服务进行严格的控制
6网络地址转换(NAT) 本功能可以在外部网的I地址与内部网P地 址之间建立一对多的双向映射关系,这 功能的作用有两个:一是可以对外部隐瞒 内部网的结构和各站点的P地址,增加了外 部入侵者的攻击难度;二是可以减少 组织对大量 Internet实P地址的需求,使用 NAT功能后,只需少量的外部实地址,就可 以满足内部网对大量IP地址的需求
6 网络地址转换(NAT) • 本功能可以在外部网的IP地址与内部网IP地 址之间建立一对多的双向映射关系,这一 功能的作用有两个:一是可以对外部隐瞒 内部网的结构和各站点的IP地址,增加了外 部入侵者的攻击难度;二是可以减少一个 组织对大量Internet实IP地址的需求,使用 NAT功能后,只需少量的外部实地址,就可 以满足内部网对大量IP地址的需求
7、支持DMZ网络 对DMZ上的主机既可以单独管理,也可以 在防火墙内设置成从内部网络站点通过FTP 或 TELNET进行管理。DMZ与外部网之间 有防火墙(或路由器内的包过滤功能)保 护,与内部网之间也有防火墙保护。即使 DMZ被攻破,内部网仍能得到防火墙的保 护
7、支持DMZ网络 • 对DMZ上的主机既可以单独管理,也可以 在防火墙内设置成从内部网络站点通过FTP 或TELNET进行管理。DMZ与外部网之间 有防火墙(或路由器内的包过滤功能)保 护,与内部网之间也有防火墙保护。即使 DMZ被攻破,内部网仍能得到防火墙的保 护
8用户鉴别与加密 防火墙也需要专门的管理员进行管理与配 置。为了降低FTP和 TELNET等服务和远程 管理操作中的风险,防火墙一般都应该采 用一次性口令机制作为对用户身份的鉴别 的手段,管理者与防火墙系统之间传递的 管理信息也是被加密的,以防止被窃听
8 用户鉴别与加密 • 防火墙也需要专门的管理员进行管理与配 置。为了降低FTP和TELNET等服务和远程 管理操作中的风险,防火墙一般都应该采 用一次性口令机制作为对用户身份的鉴别 的手段,管理者与防火墙系统之间传递的 管理信息也是被加密的,以防止被窃听