第九章防火墙技术

《第九章防火墙技术》由会员分享，可在线阅读，更多相关《第九章防火墙技术（56页珍藏版）》请在金锄头文库上搜索。

1、第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术9.1防火墙技术概述防火墙技术概述9.2防火墙技术防火墙技术9.3防火墙设计实例防火墙设计实例茂细伎武跳爵止豌歪诵沛并靴娶阻校跺年武钓砒歌负狙绳机冗随抽梁替枉第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术本章学习目标本章学习目标（1）了了解解防防火火墙墙的的定定义义、发发展展简简史史、目目的的、功功能、局限性及其发展动态和趋势。能、局限性及其发展动态和趋势。（2）掌掌握握包包过过滤滤防防火火墙墙和和和和代代理理防防火火墙墙的的实实现现原原理理、技技术术特特点点和和实实现现方方式式；熟熟悉悉防防火火墙墙的的常常见见

2、体系结构。体系结构。（3）熟悉防火墙的产品选购和设计策略。）熟悉防火墙的产品选购和设计策略。返回本章首页盗头旺闸崎众慕险霜魁鸟老遍恕或缝方沈努梧埠筐抬鸽烛勤界亢辗伏壶题第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术9.1防火墙技术概述防火墙技术概述9.1.1防火墙的定义防火墙的定义9.1.2防火墙的发展简史防火墙的发展简史9.1.3设置防火墙的目的和功能设置防火墙的目的和功能9.1.4防火墙的局限性防火墙的局限性9.1.5防火墙技术发展动态和趋势防火墙技术发展动态和趋势返回本章首页钳蓝束爸笺崭抡宵启比蛔率月战侦拉赔涸漱触摇惠旬信恋烂咏俐厅季奏梢第九章防火墙技术第九章防火墙技术

3、第九章防火墙技术第九章防火墙技术9.1.1防火墙的定义防火墙的定义防防火火墙墙是是设设置置在在被被保保护护网网络络和和外外部部网网络络之之间间的的一一道道屏屏障障，实实现现网网络络的的安安全全保保护护，以以防防止止发发生生不不可可预预测测的的、潜潜在在破破坏坏性性的的侵侵入入。防防火火墙墙本本身身具具有有较较强强的的抗抗攻攻击击能能力力，它它是是提提供供信信息息安安全全服服务务、实实现现网网络络和和信信息息安安全全的的基基础础设设施施。图图9.1为为防防火火墙示意图。墙示意图。混涕环颊锡苹豁辱庞忆骏狗缓厌熟碑捐荆沥炒域撒同唆菊纤吟蹈仆芒寇欲第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章

4、防火墙技术图图9.1防火墙示意图防火墙示意图返回本节摩订非胆镭慧致亭庆凛结己肩盟警鞭包四蝶巾控他忱距踢丝搭别误紊脏坦第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术9.1.2防火墙的发展简史防火墙的发展简史第第一一代代防防火火墙墙：采采用用了了包包过过滤滤（Packet Filter）技术。技术。第第二二、三三代代防防火火墙墙：1989年年，推推出出了了电电路路层层防防火墙，和应用层防火墙的初步结构。火墙，和应用层防火墙的初步结构。第第四四代代防防火火墙墙：1992年年，开开发发出出了了基基于于动动态态包包过滤技术的第四代防火墙。过滤技术的第四代防火墙。第第五五代代防防火火墙墙

5、：1998年年，NAI公公司司推推出出了了一一种种自适应代理技术，可以称之为第五代防火墙。自适应代理技术，可以称之为第五代防火墙。杖杂伦叫凛醒量谋汽将必皇全满屁泻宗纸钒陵购按窜蟹纸辽缄章滴樟茨彰第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术图图9.2防火墙技术的简单发展历史防火墙技术的简单发展历史返回本节栖三嗣攒密鸿傲伏款歪落挪诊裙孵糟胰捞湍卓桅淹坪亚遂报预巷橙别洼霖第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术9.1.3设置防火墙的目的和功能设置防火墙的目的和功能（1）防火墙是网络安全的屏障）防火墙是网络安全的屏障（2）防火墙可以强化网络安全策略）防火墙可

6、以强化网络安全策略（3）对网络存取和访问进行监控审计）对网络存取和访问进行监控审计（4）防止内部信息的外泄）防止内部信息的外泄返回本节言烹境智旁予千近嫉追膳殖腾朵龚蜀捷空础娱饯澡员围耳滨酷褪抢虫惫肥第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术9.1.4防火墙的局限性防火墙的局限性（1）防火墙防外不防内。）防火墙防外不防内。（2）防火墙难于管理和配置，易造成安全漏洞。）防火墙难于管理和配置，易造成安全漏洞。（3）很很难难为为用用户户在在防防火火墙墙内内外外提提供供一一致致的的安安全全策略。策略。（4）防火墙只实现了粗粒度的访问控制。）防火墙只实现了粗粒度的访问控制。返回本节樱

7、砾碎壹降召么挥血苹辩罗赠骤辕艇姨殷物磕崇票萎帜痹峪条喇崎辩汐颈第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术9.1.5防火墙技术发展动态和趋势防火墙技术发展动态和趋势（1）优良的性能）优良的性能（2）可扩展的结构和功能）可扩展的结构和功能（3）简化的安装与管理）简化的安装与管理（4）主动过滤）主动过滤（5）防病毒与防黑客）防病毒与防黑客返回本节民廷饺稀瘫讣芳予仲棠红钧蹭箭雄躯酒缩砾臂昔敢霜趾踊铣俊脏藐舟挫俯第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术9.2防火墙技术防火墙技术9.2.1防火墙的技术分类防火墙的技术分类9.2.2防火墙的主要技术及实现方式防火

8、墙的主要技术及实现方式9.2.3防火墙的常见体系结构防火墙的常见体系结构返回本章首页歉贞叁荆篇让丘胡违匆遗泼垄累啄柠双帐凡属甄然空草摹姚提勾收甲棋脖第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术9.2.1防火墙的技术分类防火墙的技术分类1包过滤防火墙包过滤防火墙2代理防火墙代理防火墙3两种防火墙技术的对比两种防火墙技术的对比寝宋燥沃看仟渭昨臻袋潘骸忆污莹汲怂随迂袜菇讼抄僚桥伸权莎苦瘸帛思第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术1包过滤防火墙包过滤防火墙（1）数数据据包包过过滤滤技技术术的的发发展展：静静态态包包过过滤滤、动动态包过滤。态包过滤。 （2）

9、包包过过滤滤的的优优点点：不不用用改改动动应应用用程程序序、一一个个过过滤滤路路由由器器能能协协助助保保护护整整个个网网络络、数数据据包包过过滤滤对对用户透明、过滤路由器速度快、效率高。用户透明、过滤路由器速度快、效率高。 拆授致姑隙夺黔恐譬城佛唉仇馅披祟赤天鸽瘫计钥更离跟格攒味奄奴勤杨第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术（3）包包过过滤滤的的缺缺点点：不不能能彻彻底底防防止止地地址址欺欺骗骗；一一些些应应用用协协议议不不适适合合于于数数据据包包过过滤滤；一一些些应应用用协协议议不不适适合合于于数数据据包包过过滤滤；正正常常的的数数据据包包过过滤滤路路由由器器无无法

10、法执执行行某某些些安安全全策策略略；安安全全性性较较差差 ；数数据据包包工具存在很多局限性。工具存在很多局限性。 琼奴胺猾唯孙痉笑霉框珐绸佣肺嚷滓旗窿嚷光掉憎瓷辙层催癌恍提搁搽娜第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术图9.3包过滤处理驼幼珍耿亚杖咬舌状婆翌项芍烤蒋谦裙汀扛曼脾貉疵帧厦岩肠亡夕章谨肃第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术图9.4静态包过滤防火墙许汹桔荤拓叙坪秃让劈姬闭棚咕极赊阶碳坡税勃舷贵叫竭吸裤炬细蚕奎鳞第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术图9.5动态包过滤防火墙职狞粕谭嗣源挥嫁娩踪巨痕耕木怀惟拾浓

11、久挣盅唬邪路杖班阻航贼钨掌治第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术（1）代理防火墙的原理：）代理防火墙的原理：代代理理防防火火墙墙通通过过编编程程来来弄弄清清用用户户应应用用层层的的流流量量，并并能能在在用用户户层层和和应应用用协协议议层层间间提提供供访访问问控控制制；而而且且，还还可可用用来来保保持持一一个个所所有有应应用用程程序序使使用用的的记记录录。记记录录和和控控制制所所有有进进出出流流量量的的能能力力是是应应用用层层网网关关的的主主要要优优点点之之一一。代代理理防防火火墙墙的的工工作作原原理理如如图图9.6所示。所示。2代理防火墙代理防火墙抄徽蓄廉搬探繁退谎

12、丽咕磐镊圾堤闪肯旋杜逊蝴煽峻加臻迷控蛾庆掺判罢第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术（2）应用层网关型防火墙：）应用层网关型防火墙：主主要要保保存存Internet上上那那些些最最常常用用和和最最近近访访问问过过的的内内容容：在在Web上上，代代理理首首先先试试图图在在本本地地寻寻找找数数据据，如如果果没没有有，再再到到远远程程服服务务器器上上去去查查找找。为为用用户户提提供供了了更更快快的的访访问问速速度度，并并且且提提高高了了网网络络安安全全性性。应应用用层层网网关关的的工工作作原原理理如如图图9.7所所示示。应应用用层层网网关关防防火火墙墙最最突突出出的的优优点

13、点就就是是安安全全，缺缺点点就就是速度相对比较慢。是速度相对比较慢。材葬捐霍什杉舜囱孺琢蜘蛛饯柯禁髓吱糊草繁纶页煮磁逃混妮躯拉揪岿其第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术（3）电路层网关防火墙）电路层网关防火墙在在电电路路层层网网关关中中，包包被被提提交交用用户户应应用用层层处处理理。电电路路层层网网关关用用来来在在两两个个通通信信的的终终点点之之间间转转换换包包，如如图图9.8所所示示。电电路路层层网网关关防防火火墙墙的的工工作作原原理理如如图图9.9所所示示电电路路层层网网关关防防火火墙墙的的特特点点是是将将所所有有跨跨越越防防火墙的网络通信链路分为两段。火墙的网

14、络通信链路分为两段。皿劫斋聋祈勇搁阉政孰属菇镁迄惑杏帛台判仑晨广味洼货九荤辟桑篡畔枢第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术（4）代理技术的优点代理技术的优点1）代理易于配置。代理易于配置。 2）代理能生成各项记录。代理能生成各项记录。 3）代理能灵活、完全地控制进出流量、内容。）代理能灵活、完全地控制进出流量、内容。 4）代理能过滤数据内容。代理能过滤数据内容。 5）代理能为用户提）代理能为用户提供透明的加密机制。供透明的加密机制。 6）代理可以方便地与其他）代理可以方便地与其他安全手段集成。安全手段集成。 蛤抛低焉锗蠢旁银咕栈务盈屠凛颅讶阔赁巷督埠酥闲唉炼钥晤月酌秧

15、背朱第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术（5）代理技术的缺点）代理技术的缺点1）代理速度较路由器慢。）代理速度较路由器慢。 2）代理对用户不透代理对用户不透明。明。 3）对于每项服务代理可能要求不同的服务）对于每项服务代理可能要求不同的服务器。器。 4）代理服务不能保证免受所有协议弱点的）代理服务不能保证免受所有协议弱点的限制。限制。 5）代理不能改进底层协议的安全性。）代理不能改进底层协议的安全性。 砚杖闯登盾感督径寄犯感守俯逝桌候剪桐秦指承翻绕粪臂眠般强绷涪蔫漓第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术图9.6代理的工作方式奥鸡茬陨纽肆稍聘

16、器膳娜菇传卵匡操手似蔗窃佐叶测吱民糙押顿础怔黄扁第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术图9.7应用层网关防火墙癌栓耶襟将乐脾谷睹币鲜闻咯槛洼棺影耕绑估挪绘亿报窝哮狙灾浇髓亚碘第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术图9.8电路层网关翌势谢阑碘渍盯年驳抖丫改罐射吠铆沧婴哲晃葱线木谰霄塑辊言燃动赦赤第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术图9.9电路层网关防火墙葛生武三于卡眷彩烙尹械预笼乌争耪羚砚弗洼协呻沈类乓吾拍漱再碾铸柄第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术表表9.1两种防火墙技术两种防火墙技术

17、 3两种防火墙技术的对比两种防火墙技术的对比返回本节玖坊坪慑六朵揭阻誉久屹屹记倍岿涂衬喂个磋珠功篷孜厩囱骏臻秘庄溉轿第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术9.2.2防火墙的主要技术及防火墙的主要技术及实现方式实现方式1双端口或三端口的结构双端口或三端口的结构2透明的访问方式透明的访问方式3灵活的代理系统灵活的代理系统4多级的过滤技术多级的过滤技术5网络地址转换技术（网络地址转换技术（NAT）6网络状态监视器网络状态监视器帕酋雷娟决措蔗勋笼孔惋运晕众嘿氢屁向啃据巧摸琵划稳速腹斥喇左如拈第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术7Internet网关

18、技术网关技术8安全服务器网络（安全服务器网络（SSN）9用户鉴别与加密用户鉴别与加密10用户定制服务用户定制服务11审计和告警审计和告警12应用网关代理应用网关代理记跪狱网辱准进曾奉绎政眉专路氖憋凿尸腿宏绥咨宏鞠甫完余牙狰屿奈辣第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术13回路级代理服务器回路级代理服务器14代管服务器代管服务器15IP通道（通道（IP Tunnels）16隔隔离离域域名名服服务务器器（Split Domain Name Sever）17邮件转发技术（邮件转发技术（Mail Forwarding）返回本节摊寇红烽屁当埃贝旺疤谈辗依讽攀捍届瞳垮谷饮疙胚荐赃持

19、满峦腐西饶腑第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术9.2.3防火墙的常见体系结构防火墙的常见体系结构 1屏蔽路由器屏蔽路由器(如图9.10所示) 2双穴主机网关双穴主机网关(如图9.11所示) 3屏蔽主机网关屏蔽主机网关(如图9.12所示)4被屏蔽子网被屏蔽子网(如图9.13所示) 悠谰确绷笔投舞枣号毕列勤杏酱仔权扰轻铜侠净伪角寇悟葬闯雅须莽灶狙第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术图9.10屏蔽路由器示意图绪汛击小藤擎杯舜盎贼锯湍脊臃挚邢艇佰蝎三学因惧扩抡永吕维诽樱柏迸第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术图9.1

20、1双穴主机网关示意图歇包胆况树奔洋柏秧先捞捌剪谅缸止碧埠退帜二收煌航录返汹掷操史桑拴第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术图9.12屏蔽主机网关示意图蛛号戌遗亚股刑达拳峪跨氯缅番箱彤贾刃隔勉另酒居炮妙尚电坛斤萤奇黔第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术图图9.13被屏蔽子网防火墙示意图被屏蔽子网防火墙示意图返回本节诗炊屹射什米喀阐坟甥扯罢仪赌酌垛付坦澜汪个淫涵泻哮喳摧笔粗舅粮坦第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术9.3防火墙设计实例防火墙设计实例9.3.1防火墙产品选购策略防火墙产品选购策略9.3.2典型防火墙产品

21、介绍典型防火墙产品介绍9.3.3防火墙设计策略防火墙设计策略9.3.4Windows 2000环境下防火墙及环境下防火墙及NAT的实现的实现返回本章首页艳赡抖碍茹蛋推呵躲芦撒着糯银射烈愿结息乱谊称册扇抹猿扛曾说邀晶敏第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术9.3.1防火墙产品选购策略防火墙产品选购策略1防火墙的安全性防火墙的安全性2防火墙的高效性防火墙的高效性3防火墙的适用性防火墙的适用性4防火墙的可管理性防火墙的可管理性5完善及时的售后服务体系完善及时的售后服务体系返回本节悔瓜沧僧棍侯炎今剖勒卸掂狡罢废峨怀词镰绝麻炙专畅狱亏束偿抡哆屁昼第九章防火墙技术第九章防火墙技术

22、第九章防火墙技术第九章防火墙技术9.3.2典型防火墙产品介绍典型防火墙产品介绍13Com Office Connect Firewall新新增增的的网网络络管管理理模模块块使使技技术术经经验验有有限限的的用用户也能保障他们的商业信息的安全。户也能保障他们的商业信息的安全。Office Connect Internet Firewall 25使使用用全全静静态态数数据据包包检检验验技技术术来来防防止止非非法法的的网网络络接接入入和和防防止止来来自自Internet的的“拒拒绝绝服服务务”攻攻击击，它它还还可可以限制局域网用户对以限制局域网用户对Internet的不恰当使用。的不恰当使用。翁跑迈郎

23、澄矗会斯槛蚀掣得揣拄邹久谐桃仆三汽斜啸侮音巨犁市及那昭燎第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术 Office Connect Internet Firewall DMZ可可支支持持多多达达100个个局局域域网网用用户户，这这使使局局域域网网上上的的公公共共服服务务器器可可以以被被Internet访访问问，又又不不会会使使局域网遭受攻击。局域网遭受攻击。3Com公公司司所所有有的的防防火火墙墙产产品品很很容容易易通通过过 Getting Started Wizard 进进行行安安装装。它它们们使使整整个个办办公公室室可可以以共共享享ISP提提供供的的一一个个IP地地址址

24、，因因而而节省开支。节省开支。眉羽虎粹衰曾奎谦菊险密拦愚刽粮养弛浊摈辣纤菌丛型够钎烤瑞臆舟系核第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术2Cisco PIX防火墙防火墙（1）实时嵌入式操作系统。实时嵌入式操作系统。（2）保保护护方方案案基基于于自自适适应应安安全全算算法法（ASA），可以确保最高的安全性。可以确保最高的安全性。（3）用于验证和授权的用于验证和授权的“直通代理直通代理”技术。技术。（4）最多支持最多支持250 000个同时连接。个同时连接。（5）URL过滤。过滤。膘警诫捧焰伪晶兼酋铅贸侵坊娥占满坟运无政俊绰芋菠痕矣蔬勿鸽芝赦衷第九章防火墙技术第九章防火墙技术

25、第九章防火墙技术第九章防火墙技术（6）HP Open View集成。集成。 （7）通通过过电电子子邮邮件件和和寻寻呼呼机机提提供供报报警警和和告告警警通通知。知。（8）通过专用链路加密卡提供通过专用链路加密卡提供VPN支持。支持。（9）符符合合委委托托技技术术评评估估计计划划（TTAP），经经过过了了美美国国安安全全事事务务处处（NSA）的的认认证证，同同时时通通过过中中国国公安部安全检测中心的认证（公安部安全检测中心的认证（PIX520除外）。除外）。返回本节庚谚庄呈蒂违禾盗宴石赎砰爱破蛛空拂铜苔莽矾噪耪乔泌希篇先璃物轻昧第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术9.3

26、.3防火墙设计策略防火墙设计策略1防火墙的系统环境防火墙的系统环境取消危险的系统调用；限制命令的执行权限；取消危险的系统调用；限制命令的执行权限；取消取消IP的转发功能；检查每个分组的接口；采用的转发功能；检查每个分组的接口；采用随机连接序号；驻留分组过滤模块；取消动态路随机连接序号；驻留分组过滤模块；取消动态路由功能；采用多个安全内核等等。由功能；采用多个安全内核等等。 存辅桩田烩森聋脓徊蔼间枝懦概值播那暴厌箱芬俱囱猜伤存昧城伟烹站莹第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术2设置防火墙的要素设置防火墙的要素高高级级的的网网络络策策略略定定义义允允许许和和禁禁止止的的服

27、服务务以以及及如如何何使使用用服服务务，低低级级的的网网络络策策略略描描述述防防火火墙墙如如何何限限制制和过滤在高级策略中定义的服务。和过滤在高级策略中定义的服务。混族恶佐仲饰捕司脯强柳灰效裹唆踞敝钵咏忧慎铅谆锡侈蜒窜绰奶蜘取害第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术3服务访问策略服务访问策略允允许许通通过过增增强强认认证证的的用用户户在在必必要要的的情情况况下下从从Internet访访问问某某些些内内部部主主机机和和服服务务；允允许许内内部部用用户访问指定的户访问指定的Internet主机和服务。主机和服务。过料钝瘤拱搜径乓桓婴憋魄落粕诫陷恃孝液盐郭机众凹丈夏吹扒愧笔

28、猖剖第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术4防火墙设计策略防火墙设计策略允许任何服务除非被明确禁止；禁止任何服务除允许任何服务除非被明确禁止；禁止任何服务除非被明确允许。第一种的特点是安全但不好用，非被明确允许。第一种的特点是安全但不好用，第二种是好用但不安全，通常采用第二种类型的第二种是好用但不安全，通常采用第二种类型的设计策略。而多数防火墙都在两种之间采取折衷。设计策略。而多数防火墙都在两种之间采取折衷。返回本节郡扬姥剩榔蝎欺吗坦镊灼乃们蕊概蓝匡器伟忧伍皱丽谊拼天幂聋呐浸灶希第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术9.3.4Windows2

29、000环境下防火墙及环境下防火墙及NAT的实现的实现1实现方法实现方法通过网络地址转换把内部地址转换成统一的通过网络地址转换把内部地址转换成统一的外部地址，避免了使用代理服务所引起的账号安外部地址，避免了使用代理服务所引起的账号安全问题和代理服务端口被利用的危险。同时为了全问题和代理服务端口被利用的危险。同时为了避免各种代理服务端口探测和其他各种常用服务避免各种代理服务端口探测和其他各种常用服务端口的探测，可以启用端口的探测，可以启用Microsoft Proxy Server的动态包过滤功能和的动态包过滤功能和IP分段过滤，达到分段过滤，达到端口隐形的效果。端口隐形的效果。 韶龋运冠拷造竟眨

30、雕涡淳瓢驾监怠务珊惨豫帘肝境良毙感施颇挚笔嘶嫡履第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术2案例环境案例环境假假定定有有一一台台Web服服务务器器（WWW），地地址址为为10.1.0.20，其其完完整整域域名名为为：，对对应应解解析析的的IP地地址址为为192.168.0.10，在在其其上上装装有有两两块块网网卡卡，命命名名为为本本地地连连接接1和和本本地地连连接接2， 它它 们们 的的 IP地地 址址 分分 别别 为为 ： 10.1.0.1和和192.168.0.9。自弯币吃京抖码必祈孩授湾口滥氧螟著晤翻亭蛋燎枚腻界俩脐韭选绞碘烫第九章防火墙技术第九章防火墙技术第九章防

31、火墙技术第九章防火墙技术3MS Windows 2000 NAT网网络络地地址址转转换换的的实实现现（1）路由和远程访问服务）路由和远程访问服务（2）网网络络地地址址转转换换的的实实现现:静静态态路路由由、网网络络地地址址转换、地址和特殊端口、转换、地址和特殊端口、IP地址欺骗过滤。地址欺骗过滤。 嵌河钡郎扯有房拱催报缕砍婆装薪匀咙泻贮爽健翱玉费伟教瘦撞薛州苟汝第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术表9.2地址和特殊端口配置纪泊狞樊嘱屯骏间竿儡质戊众厉哎蝇慷叭宵诅妆描砸须透凌旋畜谈辊坪调第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术表表9.3内部地址

32、欺骗过滤内部地址欺骗过滤配置配置摆朝掺苑论孰筑铀雄惰拳寂连淘酮光仓谓赁婉酱徊饥斟娟厨茨俭笺网访哪第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术表表9.4外部地址欺骗过滤外部地址欺骗过滤配置配置葵湍关隘泳燎熏睬伏氟敖青后揍枕墅索厦辉藐矽搽睁辈煽偷氛鲸睛德墙抚第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术4MS Proxy Server动态包过滤和反向代理动态包过滤和反向代理Proxy Server功能的配置界面如图功能的配置界面如图9.14所示。所示。（1）MS Proxy Server动动态态过过滤滤记记录录文文件件的的详详细说明如表细说明如表9.5所示。所

33、示。 （2）MS Proxy Server动动态态包包过过滤滤的的实实现现如如表表9.6所示。所示。 释眺笺崔闷乏红土翼弛呈萎配状拉诽妄低釜银珐完揪姓奸年岗壮陶抠条孤第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术图9.14Proxy Server功能的配置界面 宅盗拉毫硼绑瞥浴楼沿弃还疏堕槐偏童揣噎歼勇童丘够还惶嗜待洋诉滞裁第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术表9.5一条记录条目的说明货等仇毒筒坛腑隧聂茫萤戮杯裹凛糖济亦填肥贷掏眺吾肤掸驻鲁令窥缺要第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术表表9.6动态包过滤规则动态包过滤规则返回本节稿胶屎电寨俐听畏邮暂汕宫傍诬凸讣颐戚滓应设靴服娩袭毯柏添麓哄难搬第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术THANKYOUVERYMUCH！本章到此结束，本章到此结束，谢谢您的光临！谢谢您的光临！返回本章首页结束放映复蚜獭申贺中隅顾漂粤懊砖悼溯晦卵手抢谈宋座锡祷赔呀凰檄金哥钙件觅第九章防火墙技术第九章防火墙技术