网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　包过滤防火墙可以按照IP地址来禁止未授权者的访问。但是它不适合单位用来控制内部人员访问外界的网络。代理服务是设置在Internet防火墙网关上的应用，是在网管员允许下或拒绝的特定的应用程度或者特定服务，同时，还可应用于实施较强的数据流监控、过滤、记录和报告等功能。一般情况下可应用于特定的互联网服务，如超文本传输(HTTP)、远程文件传输(FTP)等。代理服务器通常拥有高速缓存，缓存中存有用户经常访问站点的内容，在下一个用户要访问同样的站点时，服务器就用不着重复地去下载同样的内容，既节约了时间也节约了网络资源。

　　应用级网关技术可对网络上任一层的数据包进行检查并经过身份认证，符合安全策略规则的通过，否则将被丢弃。允许通过的数据包由网关复制并传递，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，如限制用户访问的主机、访问时间及访问的方式等。通常是需在防火墙主机上安装相应服务器软件来实现以上功能的。 应用级网关的工作原理图如图2所示。

图2

5

　　应用级网关技术的主要优点是：可以提供用户级的身份认证、日志记录和帐号管理。其缺点关系到这样一个事实；因需对每一类应用都需要一个专门的代理，要想提供全面的安全保证，就要对每一项服务都建立对应的应用层网关，显然其灵活性不够，严重制约了新应用的采纳。

　　实现应用程序网关的防火墙产品有：商业版防火墙产品、商业版代理(cache)服务器、开放资源软件，如TIS FWTK(Firewall toolkit)、Apache、Squid软件等。

　　5、电路级网关

　　电路级网关防火墙属于第三代防火墙技术，其初步结构是于1989年由贝尔实验室的Dave Presotto和Howard Trickey提出的。电路级防火墙是通过监控受信任的客户或服务器与不受信任的主机间的TCP握手信息来决定该会话是否合法的。电路级网关是在OSI网络参考模型的会话层过滤数据包，这样比包过滤防火墙要高两层。另外，电路级网关还提供一个重要的安全功能，即可可使用网络地址转移(NAT)功能将所有内部网络IP地址映射到一个”安全“的公网IP地址，这个地址是由防火墙使用的。

　　电路级网关的应用原理与应用级网关相同，网关的作用就是接收客户端连接请求，根据客户的地址及所请求端口，将该连接重定向到指定的服务器地址及端口上，代理客户端完成网络连接，然后在客户和服务器间中转数据。它的优点就是通用性强、对客户端应用完全透明，但在转发前需同客户端交换连接信息，所以需对客户端应用作适当修改。

　　6.非军事化区(DMZ)

　　DMZ位于企业内部网络和外部网络之间的小网络区域，它是为内部网络放置一些必须公开的服务器设施而划分的，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡，就是这个DMZ区域。风网络结构如图3所示。

图3

6

　　7、 透明模式/透明代理

　　顾名思义，透明模式首要的特点需要对用户透明的(Transparent)，即用户意识不到防火墙的存在。要想实现透明模式，防火墙必须在没有IP地址的情况下工作，不需要对其设置IP地址，用户也不知道防火墙的IP地址。

　　采用透明模式的防火墙是采用无IP方式运行，防火墙就可以直接安装和放置到网络中使用，用户将不必重新设定和修改路由，如交换机一样不需要设置IP地址。
　
　　透明模式的防火墙就好像是一台网桥(非透明的防火墙好像一台路由器)，网络设备(包括主机、路由器、工作站等)和所有计算机的设置(包括IP地址和网关)无须改变，同时解析所有通过它的数据包，既增加了网络的安全性，又降低了用户管理的复杂程度。