所谓代理服务器，是指代表内网用户向外网服务器进行 连接请求的服务程序。 代理服务器运行在两个网络之间，它对于客户机来说像 是一台真的服务器，而对于外网的服务器来说，它又是 一台客户机。 代理服务器的基本工作过程是：当客户机需要使用外网 服务器上的数据时，首先将请求发给代理服务器，代理 服务器再根据这一请求向服务器索取数据，然后再由代 理服务器将数据传输给客户机。
8.2.1 包过滤技术
包过滤防火墙的发展阶段

第一代：静态包过滤防火墙 第二代：动态包过滤（Dynamic Packet Filter）防火墙 第三代：全状态检测（Stateful Inspection）防火墙 第四代：深度包检测（Deep Packet Inspection）防火墙
8.2.2 代理技术
8.4.1 分布式防火墙
分布式防火墙的优势

增强的系统安全性 提高了系统性能 系统的扩展性 应用更为广泛，支持VPN通信
8.4.2 嵌入式防火墙


目前分布式防火墙主要是以软件形式出现的，也有一些网 络设备开发商（如3COM、CISCO等）开发生产了硬件分布 式防火墙，做成PCI卡或PCMCIA卡的形式，将分布式防火 墙技术集成在硬件上（一般可以兼有网卡的功能），通常 称之为嵌入式防火墙。 嵌入式防火墙的代表产品是3Com公司的3Com 10/100安全 服务器网卡（3Com 10/100 Secure Server NIC）、3Com 10/100安全网卡（3Com 10/100 Secure NIC）以及3Com公 司嵌入式防火墙策略服务器（3Com Embedded Firewall Policy Server）。
8.2.2 代理技术
代理的优点

代理易于配置 代理能生成各项记录 代理能灵活、完全地控制进出信息 代理能过滤数据内容
8.2.2 代理技术
代理的缺点：

代理速度比路由器慢 代理对用户不透明 对于每项服务，代理可能要求不同的服务器 代理服务通常要求对客户或过程进行限制 代理服务受协议弱点的限制 代理不能改进底层协议的安全性
8.4 内部防火墙

8.4.1 分布式防火墙（Distributed Firewall） 8.4.2 嵌入式防火墙（Embedded Firewall） 8.4.3 个人防火墙
8.4.1 分布式防火墙




分布式防火墙是一种全新的防火墙概念，是比较完善 的一种防火墙技术，它是在边界防火墙的基础上开发 的，目前主要以软件形式出现。 分布式防火墙是一种主机驻留式的安全系统，用以保 护内部网络免受非法入侵的破坏。 分布式防火墙把Internet和内部网络均视为“不友好 的”，对所有的信息流进行过滤与限制，无论是来自 Internet，还是来自内部网络。 它们对个人计算机进行保护的方式如同边界防火墙对 整个网络进行保护一样。
8.3.2 屏蔽主机结构
屏蔽主机结构
Internet
路由器 防火墙 内部网
......
工作站 堡垒主机 工作站 工作站
8.3.3 屏蔽子网结构


屏蔽子网结构（Screened Subnet），它是在 屏蔽主机结构的基础上添加额外的安全层，即 通过添加周边网络（即屏蔽子网）更进一步地 把内部网络与外部网络隔离开。 屏蔽子网结构包含外部和内部两个路由器。两 个屏蔽路由器放在子网的两端，在子网内构成 一个“非军事区”DMZ。
8.2.1 包过滤技术
包过滤防火墙具有明显的优点：

一个屏蔽路由器能保护整个网络 包过滤对用户透明 屏蔽路由器速度快、效率高
8.2.1 包过滤技术
包过滤防火墙的缺点：


它没有用户的使用记录，这样就不能从访问记录中 发现黑客的攻击记录 没有一定的经验，是不可能将过滤规则配置得完美 不能在用户级别上进行过滤，只能认为内部用户是 可信任的、外部用户是可疑的
8.4.3 个人防火墙


个人防火墙是安装在个人计算机里的一段程序，把个 人计算机和Internet分隔开。 它检查进出防火墙的所有数据包，决定该拦截这个包 还是将其放行。 在不妨碍正常上网浏览的同时，阻止Internet上的其 他用户对个人计算机进行的非法访问。
8.5 防火墙产品介绍

8.1.3 防火墙的优、缺点
1．优点 防火墙是加强网络安全的一种有效手段， 它有以下优点：


防火墙能强化安全策略； 防火墙能有效地记录Internet上的活动； 防火墙是一个安全策略的检查站。
8.1.3 防火墙的优、缺点
2．缺点 有人认为只要安装了防火墙，所有的安全问题就 会迎刃而解。但事实上，防火墙并不是万能的，安装 了防火墙的系统仍然存在着安全隐患。以下是防火墙 的一些缺点：
防火墙安全策略 一个防火墙应该使用以下两种基本策略中的一种:

除非明确允许，否则就禁止 除非明确禁止，否则就允许
8.1.2 防火墙的作用
防火墙的基本功能
从总体上看，防火墙应具有以下基本功能： 可以限制未授权用户进入内部网络，过滤掉不安全服务 和非法用户； 防止入侵者接近内部网络的防御设施，对网络攻击进行 检测和告警； 限制内部用户访问特殊站点； 记录通过防火墙的信息内容和活动，监视Internet安全 提供方便。
8.4.1 分布式防火墙
分布式防火墙体系结构
分布式防火墙包含以下三个部分： 网络防火墙（Network Firewall） 主机防火墙（Host Firewall） 中心管理（Central Management）
8.4.1 分布式防火墙
分布式防火墙的主要特点

主机驻留 嵌入操作系统内核 类似于个人防火墙 适用于服务器托管
网络安全与管理
第8章 防火墙技术
本章学习目标

防火墙及相关概念 包过滤与代理 防火墙的体系结构 分布式防火墙与嵌入式防火墙
8.1 防火墙概述


8.1.1 相关概念 8.1.2 防火墙的作用 8.1.3 防火墙的优、缺点
8.1.1 相关概念
防火墙的概念 防火墙（Firewall）是指隔离在内部网络与外部网络之间的一 道防御系统，它能挡住来自外部网络的攻击和入侵，保障着内 部网络的安全。
8.5.1 FireWall-1 8.5.2 天网防火墙
8.5.1 FireWall-1
Check Point公司的系列防火墙产品可用于各种平 台上，其中Firewall-1是最为流行、市场占有率最高的 一种。据IDC的最近统计，FireWall-1防火墙在市场占 有率上已超过32%，《财富》排名前100的大企业里近 80%选用了FireWall-1防火墙。
Internet
防火墙
内部网
......
工作站 服务器 工作站 工作站
8.1.1 相关概念
其它概念:

外部网络（外网） 内部网络（内网） 非军事化区（DMZ） 包过滤 代理服务器 状态检测技术 虚拟专用网（VPN） 漏洞 数据驱动攻击 IP地址欺骗
8.1.1 相关概念
8.5.2 天网防火墙
广州众达天网技术有限公司开发的天网防火墙系 列产品功能全面，具有较高的性能。该系列产品提供 有强大的访问控制、身份认证、网络地址转换（NAT）、 数据过滤、虚拟专用网（VPN）、流量控制、虚拟网桥 等功能。
8.3.3 屏蔽子网结构
屏蔽子网结构
Internet
外部路由器
堡垒主机
周边网
内部路由器
防火墙 内部网
......
工作站 服务器 工作站 工作站
8.3.4 防火墙的组合结构
建造防火墙时，一般很少采用单一的结构，通常 是多种结构的组合。一般有以下几种形式：




使用多堡垒主机； 合并内部路由器与外部路由器； 合并堡垒主机与外部路由器； 合并堡垒主机与内部路由器； 使用多台内部路由器； 使用多台外部路由器； 使用多个周边网络； 使用双重宿主主机与屏蔽子网。


8.3 防火墙体系结构

8.3.1 8.3.2 8.3.3 8.3.4
双重宿主主机结构 屏蔽主机结构 屏蔽子网结构 防火墙的组合结构
8.3.1 双重宿主主机结构
双重宿主主机结构是围绕双宿主机来构筑的。 双宿主机（Dual-homed host），又称堡垒主机 （Bastion host），是一台至少配有两个网络接 口的主机，它可以充当与这些接口相连的网络 之间的路由器，在网络之间发送数据包。 一般情况下双宿主机的路由功能是被禁止的， 这样可以隔离内部网络与外部网络之间的直接 通信，从而达到保护内部网络的作用。
8.3.1 双重宿主主机结构
双重宿主主机结构
Internet
双重宿主主机
内 部网
......
工作站 工作站 工作站
服务器
8.3.2 屏蔽主机结构




屏蔽主机结构（Screened Host Gateway），又称主机过 滤结构。 屏蔽主机结构需要配备一台堡垒主机和一个有过滤功能 的屏蔽路由器； 屏蔽路由器连接外部网络，堡垒主机安装在内部网络上； 通常在路由器上设立过滤规则，并使这个堡垒主机成为 从外部网络唯一可直接到达的主机； 入侵者要想入侵内部网络，必须过屏蔽路由器和堡垒主 机两道屏障，所以屏蔽主机结构比双重宿主主机结构具 有更好的安全性和可用性。

不能防范恶意的内部用户； 不能防范不通过防火墙的连接； 不能防范全部的威胁； 防火墙不能防范病毒；
8.2 防火墙技术分类



8.2.1 包过滤技术 8.2.2 代理技术 8.2.3 防火墙技术的发展趋势