2.代理技术 代理技术,称为应用层网关技术,针对每一个特定应用都有一个程序。 代理是企图在应用层实现防火墙的功能。包括: ■提供部分与传输有关的状态 提供与应用相关的状态和部分传输方面的信息, 处理和管理信息。 发送请求 转发请求 客户 网关 服务器 转发响应 一请求响应
2. 代理技术 ◼ 代理技术,称为应用层网关技术,针对每一个特定应用都有一个程序。 ◼ 代理是企图在应用层实现防火墙的功能。包括: ◼ 提供部分与传输有关的状态 ◼ 提供与应用相关的状态和部分传输方面的信息, ◼ 处理和管理信息
3.状态检测技术 状态检测技术是防火墙近几年才应用的新技术 传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通 过还是拒绝 状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接 的所有包作为二个整体的数据流看待,构成连接状态表,通过规则表与 状卷表的共同配合,对表中的各不连接状卷因素加以识别。 ■基于状态检测技术的防火墙 ■数据包进行检测 对控制通信的基本状态信息(包括通信信息、,通信状态、应用状态和 信息操作性)迸行检测,以完成对数据包的检测和过滤
3. 状态检测技术 ◼ 状态检测技术是防火墙近几年才应用的新技术 ◼ 传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通 过还是拒绝 ◼ 状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接 的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与 状态表的共同配合,对表中的各个连接状态因素加以识别。 ◼ 基于状态检测技术的防火墙 ◼ 数据包进行检测 ◼ 对控制通信的基本状态信息(包括通信信息、通信状态、应用状态和 信息操作性)进行检测,以完成对数据包的检测和过滤
4.网络地址翻泽技术 NAT(Network Address Translation,网络地址 翻译) 私有IP地址只能作为内部网络号,不能在互联网主干 网使用。NAT可通过地址映射将其连接到公共网络。 解决IP地址短缺问题。 ■增加私有组织的可用地址空间 解决将现有的私有TCP/IP网络连接到互联网上的IP 地址编号问题
4. 网络地址翻译技术 ◼ NAT(Network Address Translation,网络地址 翻译) ➢ 私有IP地址只能作为内部网络号,不能在互联网主干 网使用。NAT可通过地址映射将其连接到公共网络。 解决IP地址短缺问题。 ◼ 增加私有组织的可用地址空间 ◼ 解决将现有的私有TCP/IP网络连接到互联网上的IP 地址编号问题
7.1.3防火墙的体系结构 在防火墙和网络的配置上,有以下四种典型结构: ■双宿/多宿主机模式 ■屏蔽主机模式 ■屏蔽子网模式 一些混合结构模式
7.1.3 防火墙的体系结构 ◼ 在防火墙和网络的配置上,有以下四种典型结构: ◼ 双宿/多宿主机模式 ◼ 屏蔽主机模式 ◼ 屏蔽子网模式 ◼ 一些混合结构模式
堡垒玉机 堡垒主机是指在极其关键的位置上用于安全 防御的某个系统。 堡垒主机起到一个“牺牲主机”的角色。如 果攻击者要攻击你的网络,那么他们只能攻 击到这台主机。 从网络安全上来看,堡垒主机是防火墙管理 员认为最强壮的系统。 ■堡垒主机可作为代理服务器的平台
堡垒主机 ◼ 堡垒主机是指在极其关键的位置上用于安全 防御的某个系统。 ◼ 堡垒主机起到一个“牺牲主机”的角色。如 果攻击者要攻击你的网络,那么他们只能攻 击到这台主机。 ◼ 从网络安全上来看,堡垒主机是防火墙管理 员认为最强壮的系统。 ◼ 堡垒主机可作为代理服务器的平台