19_网络安全技术及应用(第七章)_20117317494511320.pptVIP

2. 防火墙的发展 第一代防火墙：第一代防火墙技术几乎与路由器同时出现，主要基于包过滤技术（Packet Filter），是依附于路由器的包过滤功能实现的防火墙。 第二代防火墙：1989年，贝尔实验室的Dave Presotto和Howard Trickey最早推出了第二代防火墙，即电路层防火墙。 第三代防火墙：到20世纪90年代初，开始推出第三代防火墙，即应用层防火墙（或者叫做代理防火墙）。 第四代防火墙：到1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic Packet Filter）技术的的第四代防火墙。 第五代防火墙：到了1998年，NAI公司推出了一种自适应代理（Adaptive Proxy）技术，可以称之为第五代防火墙。 3.防火墙的发展趋势 高安全性和高效率 对数据包的全方位检查 分布式防火墙技术 建立与部署适用于IP V6协议下的防火墙体系架构 7.2.1包过滤防火墙技术 包过滤(Packet Filter)是所有防火墙中最核心的功能，与代理服务器技术相比，其优势是传输信息时不占用网络带宽。包过滤路由器在网络上的物理位置和逻辑位置如图7-2和图7-3所示。包过滤型防火墙根据一组过滤规则集合，逐个检查IP数据包，确定是否允许该数据包通过。 图7-3 包过滤路由器的逻辑位置 两类包过滤防火墙技术 包过滤防火墙技术根据所使用的过滤方法又具体可分为：简单包过滤技术和状态检测包过滤技术。 1. 简单包过滤技术 也称作称静态包过滤。简单包过滤防火墙在检查数据包报头时，只是根据定义好的过滤规则集来检查所有进出防火墙的数据包报头信息，并根据检查结果允许或者拒绝数据包，并不关心服务器和客户机之间的连接状态。 2. 状态检测包过滤技术 也称动态包过滤，是包过滤器和应用级网关的一种折衷方案。该技术具有包过滤机制的高速和灵活性，也有应用级网关的应用层安全的优点。状态检测包过滤防火墙除了有一个过滤规则集外，还要跟踪通过自身的每一个连接，提取有关的通信和应用程序的状态信息，构成当前连接的状态列表。 7.2.2代理服务防火墙技术 代理服务（Proxy Service）是指运行于内部网络与外网之间的主机(堡垒主机)上的一种应用。当用户需要访问代理服务器另一侧主机时，代理服务器对于符合安全规则的连接，会代替主机响应访问请求，并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后，内部主机同外部主机之间的通信将通过代理程序的相应连接映射来实现。代理既是客户端（Client），也是服务器端（Server）。代理服务防火墙的工作原理如图7-4。 图7-4应用代理防火墙的原理图 代理服务防火墙主要包含以下三类： 1.电路级网关 也称线路级网关，工作在会话层，在两主机首次建立TCP连接时建立通信屏障。它作为服务器接收外来请求，转发请求；与被保护的主机连接时则扮演客户机角色、起到代理服务的作用。它监视两主机建立连接时的握手信息，如SYN，ACK和序列数据等是否合乎逻辑，然后由网关复制、传递数据，而不进行数据包过滤。电路级网关中特殊的客户程序只在初次连接时进行安全协商控制，此后则不再参与内外网之间的通信控制。 2. 应用级网关 应用级网关使用软件来转发和过滤特定的应用服务，如TELNET，FTP服务等。这也是一种代理服务，只允许被认为是可信的服务通过防火墙。此外，代理服务也可以过滤协议，如过滤FTP连接、拒绝使用FTP命令等。 3.自适应代理 自适应代理(Adaptive Proxy) 技术结合了代理服务器防火墙的安全性和包过滤防火墙的高速度等优点。组成自适应代理防火墙的基本要素有两个：自适应代理服务器(Adaptive Proxy Server)与动态包过滤器。在自适应代理防火墙中，初始的安全检查仍在应用层中进行，保证实现传统防火墙的最大安全性。而一旦可信任身份得到认证，建立了安全通道，随后的数据包就可以重新定向到网络层。这种技术能够在确保安全性的基础上提高代理服务器防火墙的性能。 2. 按照体系结构分类 （1）个人防火墙 安装在计算机系统里的软件防火墙，该软件检查到达防火墙两端的所有数据包，无论是进入还是发出，从而决定该拦截数据包还是允许其通过。 （2）分布式防火墙 分布式防火墙负责对网络边界、各子网和网络内部各结点之间的安全防护。分布式防火墙是一个完整的系统，而不是单一的产品。 7.3.1 双宿主主机结构 双宿主主机防火墙体