第6章网络安全.ppt

《第6章网络安全.ppt》由会员分享，可在线阅读，更多相关《第6章网络安全.ppt（97页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、第6章网络安全 Still waters run deep.流静水深流静水深,人静心深人静心深 Where there is life,there is hope。有生命必有希望。有生命必有希望主主要要内内容容第一节第一节网络安全概述网络安全概述第二节第二节威胁网络安全的因素威胁网络安全的因素第三节第三节网络遭受攻击的形式网络遭受攻击的形式第四节第四节网络安全防范措施网络安全防范措施第五节第五节网络安全解决方案网络安全解决方案第六节第六节防火墙实用技术防火墙实用技术第七节第七节MS Proxy ServerMS Proxy Server的安全的安全第八节第八节Windows NTWindows

2、 NT中的中的WebWeb安全安全第一节第一节网络安全概述网络安全概述主主要要内内容容网络安全的含义网络安全的含义网络安全的标准网络安全的标准网络安全的特征网络安全的特征网络安全的结构层次网络安全的结构层次主要的网络安全威胁主要的网络安全威胁6.1.1 6.1.1 网络安全的含义网络安全的含义网网络络安安全全就就其其本本质质而而言言是是网网络络上上的的信信息息安安全全。从从广广义义上上讲讲，凡凡是是涉涉及及到到网网络络上上信信息息的的保保密密性性、完完整整性性、可可用用性性、真真实实性性和和可可控控性性的的相相关关技技术术和和理理论，都是网络安全的研究领域。论，都是网络安全的研究领域。网网络络

3、安安全全是是指指网网络络系系统统的的硬硬件件、软软件件及及其其系系统统中中的的数数据据受受到到保保护护，不不受受偶偶然然的的或或者者恶恶意意的的原原因因而而遭遭到到破破坏坏、更更改改、泄泄露露，系系统统连连续续可可靠靠正正常常的的运运行，网络服务不中断。行，网络服务不中断。6.1.2 6.1.2 网络安全的标准网络安全的标准1运运行行系系统统安安全全，即即保保证证信信息息处处理理及及传传输输系统的安全。系统的安全。2网络上系统信息的安全：包括口令鉴别、网络上系统信息的安全：包括口令鉴别、权限控制、病毒防治等。权限控制、病毒防治等。3网网络络上上信信息息传传播播的的安安全全，即即信信息息传传播播

4、后后的的安安全全，包包括括信信息息过过滤滤等等。侧侧重重于于非非法法信息的传播。信息的传播。4网网络络上上信信息息内内容容的的安安全全：侧侧重重于于信信息息的的保密性、真实性和完整性。保密性、真实性和完整性。6.1.3 6.1.3 网络安全的特征网络安全的特征网络安全应具有以下四个方面的特征：网络安全应具有以下四个方面的特征：l l保保密密性性：指指信信息息不不泄泄露露给给非非授授权权的的用用户户、实体或过程，或供其利用的特性。实体或过程，或供其利用的特性。l l完完整整性性：指指数数据据未未经经授授权权不不能能进进行行改改变变的的特特性性，即即信信息息在在存存储储和和传传输输过过程程中中保保

5、持持不不被被修修改改、不不被被破坏和丢失的特性。破坏和丢失的特性。l l可可用用性性：指指可可被被实实休休访访问问并并按按需需求求使使用用的的特特性性，即即当当需需要要时时应应能能存存取取所所需需的的信信息息。网网络络环环境境下下拒拒绝绝服服务务、破破坏坏网网络络和和有有关关系系统统的的正正常常运运行行等等都都属属于于对对可可用用性性的攻击。的攻击。l l可可控控性性：指指对对信信息息的的传传播播即即内内容容具具有有控控制制能力。能力。6.1.5 6.1.5 主要的网络安全威胁主要的网络安全威胁 1网络安全威胁的表现形式网络安全威胁的表现形式l l自然灾害、意外事故。l计算机犯罪。l人为行为，

6、例如使用不当，安全意识差等。l“黑客”行为，由于黑客的入侵或侵扰。l内部泄密。l外部泄密。l信息丢失。l电子谍报，例如信息流量分析、信息窃取等。l信息战。l网络协议中的缺陷。6.1.5 6.1.5 主要的网络安全威胁主要的网络安全威胁l l 假冒合法用户l非授权访问l干扰系统的正常运行l破坏数据完整l传播病毒l l窃听l重传l伪造l篡改l服务封锁攻击l行为否认2网络安全威胁的特征网络安全威胁的特征第二节第二节威胁网络安全的因素威胁网络安全的因素主主要要内内容容内部因素内部因素各种外部威胁各种外部威胁病毒简介病毒简介6.2.1 6.2.1 内部因素内部因素1操作系统的脆弱性：操作系统的脆弱性：a

7、 a、体系结构本身就是不安全的一种因素、体系结构本身就是不安全的一种因素 b b、可以创建进行又是一个不安全的因素、可以创建进行又是一个不安全的因素 c c、远程过程调用服务（、远程过程调用服务（RPCRPC）以及它所安排的）以及它所安排的无口令入口也是黑客的一个通道无口令入口也是黑客的一个通道2计算机系统的脆弱性计算机系统的脆弱性：主要来自于操作系统主要来自于操作系统的不安全性和通信协议的不安全性的不安全性和通信协议的不安全性3协议安全的脆弱性协议安全的脆弱性：网络中使用的：网络中使用的TCP/IP协协议以及议以及FTP、E-mail、NFS等都包含着影响网络等都包含着影响网络安全的因素。安

8、全的因素。安全的因素。黑客经常采用安全的因素。黑客经常采用SOCK、TCP预测或预测或使用远程访问使用远程访问(RPC)进行直接扫描等方法对防火墙进行直接扫描等方法对防火墙进行攻击。进行攻击。4数据库管理系统安全的脆弱性数据库管理系统安全的脆弱性：它必须与操作：它必须与操作系统的安全配套，可见它是一个先天足儿。系统的安全配套，可见它是一个先天足儿。5人为因素人为因素：缺少安全管理员，特别是高素质：缺少安全管理员，特别是高素质的网络管理员。缺少安全管理规范，缺少安全检的网络管理员。缺少安全管理规范，缺少安全检查、测试，缺少安全监控等因素。查、测试，缺少安全监控等因素。6.2.2 6.2.2 各种

9、外部威胁各种外部威胁1物物理理威威胁胁：指指用用于于保保护护计计算算机机硬硬件件和和存存储储介介质质的的装装置置和和工工作作程程序序。常常见见物物理理安安全全有有偷偷窃窃、废废物物搜搜寻寻和和间间谍谍活活动等。它是计算机安全的最重要方面。动等。它是计算机安全的最重要方面。2网络威胁：网络威胁：（1）电子窃听 （2）拨号的安全问题 （3）冒名顶替现象3身身份份鉴鉴别别：是是计计算算机机判判断断一一种种是是否否有有权权使使用用它它的的过过程程。目目前前的的监监别别一一般般是是以以口口令令形形式式的的，但但是是它它十十分分脆脆弱弱，却却实实现现简简单单，所以仍被广泛使用。所以仍被广泛使用。a、口令圈

10、套，、口令圈套，b、密码字典、密码字典4病毒感染病毒感染5系系统统漏漏洞洞：也也被被称称为为陷陷阱阱，它它通通常常是是由由操操作作系系统统的的开开发发者者有有意意设设置置的的，这这样样它它们们就就能能够够在在用用户户失失去去了了对对系系统统的的所所有有访访问问权权时时仍仍能能进进入入系系统统。TCP/IP中中存存在在的的很很多多的安全漏洞的安全漏洞病毒简介病毒简介病毒是一种暗中侵入计算机并且能够自主生存的可执行程序。多数病毒程序都有如下共同的组成部分：复制部分、破坏性代码、用于进行条件判断以确定何时执行破坏性代码。（1）病毒的分类）病毒的分类 文件病毒、引导病毒、混合型病毒、异形病毒、宏病毒（

11、2 2）病毒的传播方式）病毒的传播方式病毒一旦进入系统以后，通常用以下两种方式传播：l 通过磁盘的关键区域：主要感染工作站。l 通过可执行文件：主要感染服务器。（3 3）病毒的工作方式）病毒的工作方式 变异、触发、破坏 病毒简介病毒简介（6）网络病毒的特点）网络病毒的特点 传染方式多、传染速度快、清除难度大、破坏性强、激发形式多样、潜在性（7）常见的网络病毒）常见的网络病毒 电子邮件病毒、Java程序病毒、ActiveX病毒、网页病毒（8）网络对病毒的敏感性）网络对病毒的敏感性 对文件病毒的敏感性、对引导病毒的敏感性、对宏病毒的敏感性 病毒简介病毒简介（9 9）网络计算机病毒的防治）网络计算机

12、病毒的防治第一，加强网络管理人员的网络安全意识，对内部网与外界进行的数据交换进行有效的控制和管理，同时坚决抵制盗版软件；第二，以网为本，多层防御，有选择地加载保护计算机网络安全的网络防病毒产品。（1010）防毒、杀毒软件的选择）防毒、杀毒软件的选择 选购防毒软件，需要注意的指标包括：扫描速度、正确识别率、误报率、技术支持水平、升级的难易程度、可管理性和警示手段等 目前常见网络病毒及处理冲击波（冲击波（Worm.Blaster）病毒）病毒病毒介绍：该病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机，找到后就利用DCOMRPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会

13、被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。病毒发作现象：系统资源被大量占用，有时会弹出RPC服务终止的对话框，并且系统反复重启,不能收发邮件、不能正常复制文件、无法正常浏览网页，复制粘贴等操作受到严重影响，DNS和IIS服务遭到非法拒绝等。病毒详细说明：1.病毒运行时会将自身复制到window目录下，并命名为：msblast.exe。2.病毒运行时会在系统中建立一个名为：“BILLY”的互斥量，目的是病毒只保证在内

14、存中有一份病毒体，为了避免用户发现。目前常见网络病毒及处理目前常见网络病毒及处理3.病毒运行时会在内存中建立一个名为：“msblast.exe”的进程，该进程就是活的病毒体。4.病毒会修改注册表，在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中添加以下键值：windowsautoupdate=msblast.exe，以便每次启动系统时，病毒都会运行。5.病毒体内隐藏有一段文本信息：IjustwanttosayLOVEYOUSAN!billygateswhydoyoumakethispossible?Stopmakingm

15、oneyandfixyoursoftware!6.病毒会以20秒为间隔，每20秒检测一次网络状态，当网络可用时，病毒会在本地的UDP/69端口上建立一个tftp服务器，并启动一个攻击传播线程，不断地随机生成攻击地址，进行攻击，另外该病毒攻击时，会首先搜索子网的IP地址，以便就近攻击。7.当病毒扫描到计算机后，就会向目标计算机的TCP/135端口发送攻击数据。8.当病毒攻击成功后，便会监听目标计算机的TCP/4444端口作为后门，并绑定cmd.exe。然后蠕虫会连接到这个端口，发送tftp命令，回连到发起进攻的主机，将msblast.exe传到目标计算机上并运行。9.当病毒攻击失败时，可能会造成

16、没有打补丁的Windows系统RPC服务崩溃，WindowsXP系统可能会自动重启计算机。该蠕虫不能成功攻击WindowsServer2003，但是可以造成WindowsServer2003系统的RPC服务崩溃，默认情况下是系统反复重启。10.病毒检测到当前系统月份是8月之后或者日期是15日之后，就会向微软的更新站点发动拒绝服务攻击，使微软网站的更新站点无法为用户提供服务。手工清除方案：一、DOS环境下清除该病毒：1.当用户中招出现以上现象后，用DOS系统启动盘启动进入DOS环境下，进入C盘的操作系统目录.CDC:windows(或CDc:winnt)2.查找目录中的“msblast.exe”

17、病毒文件。dirmsblast.exe/s/p3.找到后进入病毒所在的子目录，然后直接将该病毒文件删除。Delmsblast.exe目前常见网络病毒及处理二、在安全模式下清除病毒如果用户手头没有DOS启动盘，还有一个方法，就是启动系统后进入安全模式，然后搜索C盘，查找msblast.exe文件，找到后直接将该文件删除，然后再次正常启动计算机即可。给系统打补丁方案：当用户手工清除了病毒体后，应上网下载相应的补丁程序，用户可以先进入微软网站，下载相应的系统补丁，给系统打上补丁。目前常见网络病毒及处理目前常见网络病毒及处理“硬盘杀手”病毒“硬盘杀手”病毒的破坏力全面超越CIH病毒：它利用网络漏洞和共

18、享目录进行网络感染，传播能力也远远超过CIH!运行时会首先将自己复制到系统目录下，然后修改注册表进行自启动。病毒会通过9X系统的漏洞和共享文件夹进行疯狂网络传播，即使网络共享文件夹有共享密码，病毒也能传染。如果是NT系列系统，则病毒会通过共享文件夹感染网络。病毒会获取当前时间，如果病毒已经运行两天，则病毒会在C盘下写入病毒文件，此文件会改写硬盘分区表，当系统重启时，会出现病毒信息，并将硬盘上所有数据都破坏掉。1、由于该病毒在局域网内发播速度极快，所以局域网用户最好使用网络版杀毒软件，并进行全网查杀。2、检查注册表项HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindo

19、wsCurrentVersionRun是否存在键值mqbkup或者mqbkupdbs，如果存在请删除此键值。3、如果用户的机器操作系统是Windows9X，请用户打开Windows系统目录下的Win.ini文件，删除run=c:windowsmqbkup.exe所在的行。4、在程序任务列表中删除mqbkup.exe。5、如果系统已经重新启动，请立即关闭机器，切断电源，以免硬盘数据进一步丢失。特洛伊Win32.Revcuss.H破坏性：中04年11月15病毒特性：Win32.Revcuss.H是尝试盗取用户网络银行信息的特洛伊。这个变体病毒针对英国的几个金融机构，它是大小为27，136字节的Wi

20、n32可执行文件。感染方式：运行时，Win32.Revcuss.H把自己拷贝到：%System%userhandler.exe%Windows%winuser.exe病毒修改注册键值来确保每次系统运行时都执行userhandler.exe：HKLMSoftwareMicrosoftWindowsCurrentVersionRunUserHandler=%System%userhandler.exe目前常见网络病毒及处理危害：盗取敏感信息最初，运行时，Revcuss利用系统Inter资源管理器PHP文件发送请求：vb-puterpaul.co.uk用这个IP地址：67.15.72.14病毒会隐藏

21、它的特性，并创建新的Desktop，名称是Default000。它阻止的所有资源管理器有下列标题：AbbeyankingBarclaysIbank.TransfertoanotherorganisationCreatewelcometosmilebanking一旦建立，它使用下列地址核对用户的银行帐户：https:/ibank.barclays.co.uk/fp/.https:/membershipdetailsbelowhttps:/cukehb2.cd.citibank.co.uk/HomeBankingSecure/Pers/StartSession.asphttps:/ 6.3.1 6

22、.3.1 服务封服务封-锁攻击锁攻击服务封锁攻击是指一个用户占有大量的共享资源，服务封锁攻击是指一个用户占有大量的共享资源，使系统没有剩余的资源给其他用户再提供服务的一使系统没有剩余的资源给其他用户再提供服务的一种攻击方式。服务封锁攻击的结果是降低系统资源种攻击方式。服务封锁攻击的结果是降低系统资源的可用性，这些资源可以是的可用性，这些资源可以是CPU时间、磁盘空间、时间、磁盘空间、MODEM、打印机，甚至是系统管理员的时间。、打印机，甚至是系统管理员的时间。服务封锁攻击是针对服务封锁攻击是针对IPIP的核心进行的。的核心进行的。服务封锁攻击的方式很多服务封锁攻击的方式很多 6.3.2 6.3

23、.2 电子邮件攻击电子邮件攻击现在的电子邮件攻击主要表现如下形式：现在的电子邮件攻击主要表现如下形式：l l窃取、篡改数据窃取、篡改数据l l伪造邮件伪造邮件l l服务封锁服务封锁l l病毒病毒6.3.3 6.3.3 缓冲区溢出攻击缓冲区溢出攻击缓冲区是内存中存放数据的地方。在程序试图将数据放到机器内存中的某一个位置的时候，如果没有足够的空间就会引发缓冲区溢出。攻击者可以设置一个超过限缓冲区长度的字符串，然后植入缓冲区，向一个空间有限的缓冲区植入超长字符串可能会出现两个结果，一是过长的字符串覆盖了相邻的存储单元，引起程序运行失败，严重时可导致系统崩溃；另一个结果就是利用这种漏洞可以执行任意指令

24、，甚至可以取得系统超级权限6.3.4 6.3.4 网络监听攻击网络监听攻击在网络中，当信息进行传播的时候，可以利用某种工具，将网络接口设置在监听的模式，从而截获网络中正在传播的信息，然后进行攻击。第四节第四节网络安全防范措施网络安全防范措施 6.4.1 6.4.1 物理安全防范物理安全防范1、电梯和楼梯不可直接进入机房。、电梯和楼梯不可直接进入机房。2、要有足够照明，防止非法进入的设备、要有足够照明，防止非法进入的设备3、外部容易进出口处要设置栅栏或者监控设备及报警系、外部容易进出口处要设置栅栏或者监控设备及报警系统。统。4、供电系统要独立、供电系统要独立5、微机室、微机室100m内不得有危险

25、设施（易燃易爆物品等）内不得有危险设施（易燃易爆物品等）6、设备要加锁或是胶粘等、设备要加锁或是胶粘等7、防静电、防尘、放火、防水措施（地线、隔离墙等）、防静电、防尘、放火、防水措施（地线、隔离墙等）6.4.2网络安全的常规防护措施1采用备份来避免损失2帮助用户自助3预防引导病毒4预防文件病毒5将访问控制加到PC机6防止无意的信息披露7使用服务器安全8使用网络操作系统的安全功能9阻止局外人攻击10不要促成过早的硬件故障11为灾难准备硬件12学习数据恢复的基本知识13制定安全恢复策略返回本节返回本节6.4.3网络安全控制措施1物理访问控制2逻辑访问控制3组织方面的控制4人事控制5操作控制6应用程

26、序开发控制7工作站控制8服务器控制9数据传输保护返回本节返回本节6.4.5网络安全实施过程中需要注意的一些问题1网络安全分级应以风险为依据2有效防止部件被毁坏或丢失可以得到最佳收益3安全概念确定在设计早期4完善规则5注重经济效益规则6对安全防护措施进行综合集成7尽量减少与外部的联系8一致性与平等原则9可以接受的基本原则10时刻关注技术进步返回本节返回本节第五节第五节网络安全解决方案网络安全解决方案 6.5.1网络信息安全模型网络信息安全模型1政策、法律、法规政策、法律、法规2增强的用户认证增强的用户认证3授权授权4加密加密5审计与监控审计与监控6.5.2安全策略设计依据安全策略设计依据制订网络

27、安全策略时应考虑如下因素：制订网络安全策略时应考虑如下因素：l l 对对于于内内部部用用户户和和外外部部用用户户分分别别提提供供哪哪些些服务程序。服务程序。l l初初始始投投资资额额和和后后续续投投资资额额（新新的的硬硬件件、软件及工作人员）。软件及工作人员）。l l方便程度和服务效率的平衡。方便程度和服务效率的平衡。l l复杂程度和安全等级的平衡。复杂程度和安全等级的平衡。l l网络性能。网络性能。6.5.3网络安全解决方案网络安全解决方案1信息包筛选信息包筛选2应用网关应用网关3加密与确认加密与确认6.5.4网络安全技术措施网络安全技术措施（1）物物理理层层的的安安全全防防护护：主主要要通

28、通过过制制定定物物理理层层的的管管理理规规范范和和措措施施来提供安全解决方案。来提供安全解决方案。（2）链链路路层层的的安安全全防防护护：主主要要是是利利用用链链路路加加密密措措施施对对数数据据进进行行加加密保护。它加密所有用户数据并在目的结点完成解密。密保护。它加密所有用户数据并在目的结点完成解密。（3）网网络络层层的的安安全全防防护护：网网络络层层主主要要采采用用防防火火墙墙作作为为安安全全防防护护手手段段，实实现现初初级级安安全全防防护护。也也可可以以根根据据一一些些安安全全协协议议实实施施加加密密保保护。还可进行入侵检测。护。还可进行入侵检测。（4）传传输输层层的的安安全全防防护护：传

29、传输输层层处处于于通通信信子子网网和和资资源源子子网网之之间间，起起着着承承上上启启下下的的作作用用。传传输输层层应应支支持持对对等等实实体体认认证证服服务务、访访问问控控制制服服务务、数数据据保保密密服服务务、数数据据完完整整性性服服务务、数数据据源源点点认认证证服务。服务。（5）应应用用层层的的安安全全防防护护：可可以以实实施施强强大大的的基基于于用用户户的的身身份份认认证证，还可加强数据的备份和恢复环节。还可加强数据的备份和恢复环节。6.5.4网络安全技术措施网络安全技术措施在实际的安全设计中，往往综合采用下列技术措施：在实际的安全设计中，往往综合采用下列技术措施：1 1身份验证身份验证

30、2访问授权（访问授权（Authorization）3实时侵入检测技术实时侵入检测技术4网络分段网络分段5选择集线器选择集线器6VLAN技术技术7VPN技术技术8防火墙技术防火墙技术6.5.5网络安全的评估网络安全的评估网网络络系系统统的的安安全全措措施施应应实实现现如如下目标：下目标：l对存取的控制；l保持系统和数据的完整；l能够对系统进行恢复和对数据进行备份。第六节第六节防火墙实用技术防火墙实用技术防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施6.

31、6.1防火墙技术概述防火墙技术概述 1防火墙的组成部分防火墙的组成部分包过滤器、链路级网关和应用级网关或代理服务器。典型的防火墙如图所示。6.6.1防火墙技术概述防火墙技术概述 2防火墙的作用防火墙的作用弥补网络服务的脆弱性、控制对网络的存取、集中的安全管理、网络使用情况的记录及统计3防火墙的局限性防火墙的局限性绕过防火墙的攻击、来自内部变节者和不经心的用户带来的威胁、变节者或公司内部存在的间谍将数据拷贝到软盘、传送已感染病毒的软件或文件。4基本防火墙壁设计基本防火墙壁设计在设计防火墙时必须确定：防火墙的行为准则、机构的安全策略、费用、系统的组件或构件。防火墙有两种相反的行为准则：拒绝没有特别

32、允许的任何服务l允许没有特别拒绝的任何服务6.6.2防火墙的类型防火墙的类型1包过滤防火墙包过滤防火墙如图所示：6.6.2防火墙的类型防火墙的类型2代理防火墙代理防火墙 由代理服务器和过滤路由器组成，它将过滤器和软件代理技术结合在一起。3双宿主机防火墙双宿主机防火墙 该防火墙是用主机来执行安全管制功能。一台双宿主机配置有多个网卡，分别连接不同的网络。6.6.3防火墙的配置防火墙的配置 1包过滤路由器包过滤路由器 2双宿主网关双宿主网关双宿主网关仅用一个代理服务器（如图所示），代理服务器就是安装于双宿主机的代理服务器软件。6.6.3防火墙的配置防火墙的配置 3主机过滤防火墙主机过滤防火墙主机过滤

33、防火墙由分组过滤路由器和应用网关组成（如图所示）。6.6.3防火墙的配置防火墙的配置 4子网过滤防火墙子网过滤防火墙 在主机过滤配置上再加一个路由器，形成一个被称为非军事区的子网（如图所示），这个子网还可能被用于信息服务器和其他要求严格控制的系统，形成三道防火线。（1）代理防火墙的原理：代理防火墙通过编程来弄清用户应用层的流量，并能在用户层和应用协议层间提供访问控制；而且，还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。代理防火墙的工作原理如图所示。6.6.4代理防火墙（2）应用层网关型防火墙：主要保存Internet上那些最常用和最近访问过的内

34、容：在Web上，代理首先试图在本地寻找数据，如果没有，再到远程服务器上去查找。为用户提供了更快的访问速度，并且提高了网络安全性。应用层网关的工作原理如图上所示。应用层网关防火墙最突出的优点就是安全，缺点就是速度相对比较慢。（3）电路层网关防火墙在电路层网关中，包被提交用户应用层处理。电路层网关用来在两个通信的终点之间转换包，如图左所示。电路层网关防火墙的工作原理如图右所示电路层网关防火墙的特点是将所有跨越防火墙的网络通信链路分为两段。代理防火墙（4）代理技术的优点1）代理易于配置。2）代理能生成各项记录。3）代理能灵活、完全地控制进出流量、内容。4）代理能过滤数据内容。5）代理能为用户提供透明

35、的加密机制。6）代理可以方便地与其他安全手段集成。代理防火墙（5）代理技术的缺点1）代理速度较路由器慢。2）代理对用户不透明。3）对于每项服务代理可能要求不同的服务器。4）代理服务不能保证免受所有协议弱点的限制。5）代理不能改进底层协议的安全性。表表9.1两种防火墙技术两种防火墙技术 6.6.5两种防火墙技术的对比6.6.6防火墙的主要技术及实现方式1双端口或三端口的结构2透明的访问方式3灵活的代理系统4多级的过滤技术5网络地址转换技术（NAT）6网络状态监视器7Internet网关技术8安全服务器网络（SSN）9用户鉴别与加密10用户定制服务11审计和告警12应用网关代理13回路级代理服务器

36、14代管服务器15IP通道（IPTunnels）16隔离域名服务器（SplitDomainNameSever）17邮件转发技术（MailForwarding）6.6.7Windows2000环境下防火墙及NAT的实现1实现方法通过网络地址转换把内部地址转换成统一的外部地址，避免了使用代理服务所引起的账号安全问题和代理服务端口被利用的危险。同时为了避免各种代理服务端口探测和其他各种常用服务端口的探测，可以启用MicrosoftProxyServer的动态包过滤功能和IP分段过滤，达到端口隐形的效果。动态包过滤规则动态包过滤规则2案例环境假定有一台Web服务器（WWW），地址为 10.1.0.20

37、，其 完 整 域 名 为：，对应解析的IP地址为192.168.0.10，在其上装有两块网卡，命名为本地连接1和本地连接2，它们的IP地址分别为：10.1.0.1和192.168.0.9。3MSWindows2000NAT网络地址转换的实现（1）路由和远程访问服务（2）网络地址转换的实现:静态路由、网络地址转换、地址和特殊端口、IP地址欺骗过滤。地址和特殊端口配置内部地址欺骗过滤配置内部地址欺骗过滤配置外部地址欺骗过滤配置外部地址欺骗过滤配置4MSProxyServer动态包过滤和反向代理ProxyServer功能的配置界面如图所示。（1）MSProxyServer动态过滤记录文件的详细说明如

38、表所示。（2）MSProxyServer动态包过滤的实现如表所示。ProxyServer功能的配置界面一条记录条目的说明第七节第七节MS Proxy ServerMS Proxy Server的安全的安全 6.7.1代理服务器代理服务器的工作过程的工作过程 l代理服务器拦截网络内部用户发往Internet服务器的请求。l它把自己的地址作为源地址，对请求重新打包，然后把请求发给目标Web服务器。l当Web服务器返回一个响应时，这个响应将被发送给代理服务器。l代理服务器确认这个响应是正确的，然后，再转发给内部用户。6.7.2代理服务器用作防火墙代理服务器用作防火墙 如图所示：理论课程到此结束谢谢使用！