前述基于密码的安全机制不能有效解决以下安全问题：

        ·用户入侵：

                利用系统漏洞进行未授权登录；

                授权用户非法获取更高级别权限等。

        ·软件入侵：

                通过网络传播病毒、蠕虫和特洛伊木马。

                拒绝服务攻击等。

解决方法：

        ·防火墙：控制进出网络边界的分组。

        ·入侵检测：深度分析与检测进入的分组，发现疑似入侵行为。

目录

1  防火墙

防火墙在互连网络中的位置

两类防火墙技术

1.分组过滤路由器

2.应用网关

---

1  防火墙

·防火墙 (firewall) ：

        一种访问控制技术，通过严格控制进出网络边界的分组，禁止任何不必要的通信，从而减少潜在入侵的发生，尽可能降低这类安全威胁所带来的安全风险。

·防火墙是一种特殊编程的路由器，安装在一个网点和网络的其余部分之间，目的是实施访问控制策略。

·访问控制策略由使用防火墙的单位自行制定。

防火墙在互连网络中的位置

一般把防火墙里面的网络称为“可信的网络”(trusted network) ，把防火墙外面的网络称为“不可信的网络”(untrusted network)。

两类防火墙技术

1.分组过滤路由器

·具有分组过滤功能的路由器。根据过滤规则对进出内部网络的分组进行过滤（转发或者丢弃）。

·过滤规则：基于分组的网络层或运输层首部信息，例如：源/目的IP地址、源/目的端口、协议类型（TCP 或 UDP），等等。

·无状态的：独立地处理每一个分组。

·有状态的：跟踪每个连接或会话的通信状态，根据状态信息决定是否转发分组。

·优点：简单高效，对用户透明。

·缺点：不能对高层数据进行过滤。例如：不能禁止某个用户对某个特定应用进行某个特定的操作，不能支持应用层用户鉴别等。

2.应用网关

·也称为代理服务器 (proxy server) 对报文进行中继，实现基于应用层数据的过滤和高层用户鉴别。

·所有进出网络的应用程序报文都必须通过应用网关。

·应用网关在应用层打开报文，查看请求是否合法。

        -如果合法，应用网关以客户进程的身份将请求报文转发给原始服务器。

        -如果不合法，则丢弃报文。

·缺点：

        -每种应用都需要一个不同的应用网关。

        -在应用层转发和处理报文，处理负担较重。

        -对应用程序不透明，需要在应用程序客户端配置应用网关地址。

欢迎一起学习~