changyou畅游-防火墙内容摘要:
• 小碎片攻击,利用 IP分片功能把 TCP头部切分到不同的分片中 – 对策:丢弃分片太小的分片 • 利用复杂协议和管理员的配置失误进入防火墙 – 例如,利用 ftp协议对内部进行探查 应用层网关 • 也称为代理服务器 • 特点 – 所有的连接都通过防火墙,防火墙作为网关 – 在应用层上实现 – 可以监视包的内容 – 可以实现基于用户的认证 – 所有的应用需要单独实现 – 可以提供理想的日志功能 – 非常安全,但是开销比较大 应用层网关 • 应用代理 ( Application Proxy) 是运行在防火墙上的一种服务器程序,防火墙主机可以是一个具有两个网络接口的双重宿主主机,也可以是一个堡垒主机。 代理服务器被放置在内部服务器和外部服务器之间,用于转接内外主机之间的通信,它可以根据安全策略来决定是否为用户进行代理服务。 防火墙服务器工作站台式PC 打印机服务器数据包安全区域数据包服务器控制策略查找对应的策略 数据IP报头 TCP报头分组过滤判断拆开数据包应用代理分析数据应用层网关的结构和 协议栈 示意图 HTTP FTP Tel Smtp 传输层 网络层 链路层 应用层网关的优缺点 • 优点 – 允许用户 “ 直接 ” 访问 Inter – 易于记录日志 • 缺点 – 新的服务不能及时地被代理 – 每个被代理的服务都要求专门的代理软件 – 客户软件需要修改,重新编译或者配置 – 有些服务要求建立直接连接,无法使用代理 • 比如聊天服务、或者即时消息服务 – 代理服务不能避免协议本身的缺陷或者限制 应用层网关实现 • 编写代理软件 – 代理软件一方面是服务器软件 • 但是它所提供的服务可以是简单的转发功能 – 另一方面也是客户软件 • 对于外面真正的服务器来说,是客户软件 – 针对每一个服务都需要编写模块或者单独的程序 – 实现一个标准的框架,以容纳各种不同类型的服务 • 软件实现的可扩展性和可重用性 • 客户软件 – 软件需要定制或者改写 – 对于最终用户的透明性。 • 协议对于应用层网关的处理 – 协议设计时考虑到中间代理的存在,特别是在考虑安全性,比如数据完整性的时候 应用层网关 —代理服务器 • 发展方向 —— 智能代理 – 不仅仅完成基本的代理访问功能 – 还可以实现其他的附加功能,。阅读剩余 0%
本站所有文章资讯、展示的图片素材等内容均为注册用户上传(部分报媒/平媒内容转载自网络合作媒体),仅供学习参考。
用户通过本站上传、发布的任何内容的知识产权归属用户或原始著作权人所有。如有侵犯您的版权,请联系我们反馈本站将在三个工作日内改正。