防火墙和代理服务器的应用

第十四章将INTRANET连入INTERNET网络INTERNET是一个全球互联公共网络。INTRANET则是利用INTERNET技术所组建的内部专用网络。私有公共安全问题连接技术问题一：INTERNET与INTRANET应如何连接私有与公共网络互联需要考虑安全、效率、共享等因素1、通过路由器路由器提供路由功能，内网需采用合法的公用地址。如：校园网、ISP供应商网络2、通过防火墙防火墙起到是一个安全检查的作用，允许或拒绝通过。进行直接的TCP连接，需要通过电路网关中继。相当于代理服务器，工作在应用级的防火墙。NAT是地址转换服务器，作用是将INTRANET的私有NAT是地址转换服务器，作用是将INTRANET的私有组合使用，以实现更加安全、可靠快速的通信环境。1、永久性的连入INTERNET，固定连接INTRANET则是利用INTERNET技术所组建的内部INTERNET是一个全球互联公共网络。问题一：INTERNET与INTRANET应如何连接INTRANET则是利用INTERNET技术所组建的内部IP地址，转换之后才与INTERNET进行通信。目的就是确保受保护区域内的网络安全。INTERNET网络在这个子网中安装了应用服务器，用于发布公共服务。进行直接的TCP连接，需要通过电路网关中继。该主机上安装有防火墙软件或代理服务。3、使用代理服务器INTRANET和INTERNET不能直接通信，而是采用代理的方式互联。要求INTRANET有合法的私有IP地址。4、通过NAT服务器NAT是地址转换服务器，作用是将INTRANET的私有IP地址，转换之后才与INTERNET进行通信。也被称为转换路由器在实际应用当中，有很多情况都是将这几种连接方式组合使用，以实现更加安全、可靠快速的通信环境。如：路由器互联、加入防火墙和NAT地址转换。问题二：连如INTERNET的接入方式1、永久性的连入INTERNET，固定连接比如：专线、ETHERNET、光缆2、拨号连接入INTERNETADSL、MODEM、ISDN等二、防火墙介绍在安全与不安全之间形成一道屏障，对所有经过的数据进行检测、分析、限制操作，对访问用户身份进行验证目的就是确保受保护区域内的网络安全。1、防火墙的功能：过滤不安全的服务和非法用户控制对特殊站点的访问监视网络访问，提供安全预警当然，对于有些情况下防火墙也是无能为力的，如：内部攻击、病毒文件的传递等等。根据不同的网络，不同的防范要求所形成的防范对策，不同的连接方式和功能上对防火墙的要求也都不一样，所以还需要了解防火墙的类型。2、防火墙的类型，保护网络的方法各不一样包过滤型防火墙属于网络级，分静态和动态包过滤。（1）静态包滤级对每个数据包的包头与某一条包过滤规则相比对，拒绝或丢弃。例如：可以允许用户进行HTTP访问，拒绝FTP访问。（2）动态包过滤根据实际需要，为特定的应用打开所需端口，在通信结束时可自动关闭，降低了暴露端口的数量，提供了更高的安全性。问题：静态包过滤和动态包过滤的区别？动态包过滤只能控制TCP/UDP协议的应用程序，而静态包过滤能控制所有的IP协议（TCP/UDP，ICMP）。缺点：是基于低层的检测，不能了理解网络层以上的高层网络协议。目的就是确保受保护区域内的网络安全。过滤不安全的服务和非法用户进行直接的TCP连接，需要通过电路网关中继。在这个子网中安装了应用服务器，用于发布公共服务。相当于代理服务器，工作在应用级的防火墙。内部攻击、病毒文件的传递等等。根据实际需要，为特定的应用打开所需端口，在通信INTRANET则是利用INTERNET技术所组建的内部在安全与不安全之间形成一道屏障，对所有经过的数据动态包过滤只能控制TCP/UDP协议的应用程序，而分单宿堡垒（单网卡）、双宿堡垒主机（双网卡）NAT是地址转换服务器，作用是将INTRANET的私有问题：静态包过滤和动态包过滤的区别？NAT是地址转换服务器，作用是将INTRANET的私有问题一：INTERNET与INTRANET应如何连接，兼容性越好，系统开销越小，如包过滤；IP地址，转换之后才与INTERNET进行通信。电路网关型工作在会话层，建立了两条TCP连接，并不进行任何附加的包处理或过滤。它也不允许内部主机与外部之间进行直接的TCP连接，需要通过电路网关中继。内部外网电路网关中继应用网关相当于代理服务器，工作在应用级的防火墙。状态检测，包检测防火墙应工作在网络层以上，层次越低，安全性越差，兼容性越好，系统开销越小，如包过滤；反之，层次越高，安全性越好，系统开销越大，如应用网关3、常见的防火墙（1）双宿主机网关（堡垒主机）如图14.5，一台主机、两块网卡、一边连内网、一边连入外网。该主机上安装有防火墙软件或代理服务。主机网关是重点INTERNET中的外部主机只能访问到DMZ中用来发布公相当于代理服务器，工作在应用级的防火墙。2、防火墙的类型，保护网络的方法各不一样在安全与不安全之间形成一道屏障，对所有经过的数据INTERNET中的外部主机只能访问到DMZ中用来发布公结束时可自动关闭，降低了暴露端口的数量，提供了在路由器上设定过滤规则，使堡垒主机成为INTERNET对每个数据包的包头与某一条包过滤规则相比对，拒绝私有与公共网络互联需要考虑安全、效率、共享等因素该主机上安装有防火墙软件或代理服务。INTRANET则是利用INTERNET技术所组建的内部静态包过滤能控制所有的IP协议（TCP/UDP，ICMP）。5，一台主机、两块网卡、一边连内网、一边（2）屏蔽主机网关分单宿堡垒（单网卡）、双宿堡垒主机（双网卡）见图14.6，单宿主在路由器上设定过滤规则，使堡垒主机成为INTERNET唯一可以访问的主机，而内部的客户机通过屏蔽主机和路由器来访问INTERNET。双宿主，两块网卡，他其实是提供了代理服务，将包过滤与代理服务相结合，比单宿主更安全。