本系列文章包含：

• 【網(wǎng)絡(luò)安全】防火墻知識(shí)點(diǎn)全面圖解（一）
• 【網(wǎng)絡(luò)安全】防火墻知識(shí)點(diǎn)全面圖解（二）
• 【網(wǎng)絡(luò)安全】防火墻知識(shí)點(diǎn)全面圖解（三）

21、路由器的訪問控制列表是什么樣的？

通常一個(gè)規(guī)則是由多條 訪問控制列表 組成，一條訪問控制列表也叫做一個(gè) 表項(xiàng)。一個(gè)表項(xiàng)由對(duì)象（object）、行為（action）、選型（option）這 $3$ 個(gè)元素組成。

舉個(gè)栗子：思科 標(biāo)準(zhǔn)訪問控制列表，表項(xiàng)只允許源 IP 地址作為對(duì)象，而行為是在允許（permit）和拒絕（deny）之間二選一。當(dāng)滿足條件時(shí)，也就是觸發(fā)對(duì)象時(shí)，選項(xiàng)可以指定 “記錄日志” 或 “表項(xiàng)有效時(shí)間” 等操作。如果使用了有效時(shí)間選項(xiàng)，就可以設(shè)置一個(gè)只有公司上班時(shí)間為對(duì)象的表項(xiàng)。

擴(kuò)展訪問控制列表，對(duì)象就不僅僅是 IP 地址，還可以是 IP 協(xié)議號(hào)、源 IP 地址、目的 IP 地址、ToS 數(shù)據(jù)域、ICMP 類型、ICMP 消息、源 TCP/UDP 端口號(hào)、目的 TCP/UDP 端口號(hào)、TCP 會(huì)話是否已經(jīng)建立等。

舉個(gè)栗子：允許 IP 地址是 10.1.1.2 的客戶端向 IP 地址是 172.16.1.1 的服務(wù)器進(jìn)行 Telnet 連接，Telnet 的 TCP 端口是 23，訪問控制列表如下：

access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet

22、防火墻的安全策略是什么樣的？

對(duì)比路由器的訪問控制列表，防火墻的安全策略最大的不同點(diǎn)是對(duì)象，防火墻以 區(qū)域 作為對(duì)象，還可以以應(yīng)用程序名稱和用戶名稱等信息作為對(duì)象。

舉個(gè)栗子：在上表的安全策略中，192.168.2.1 從信任區(qū)域向不信任區(qū)域的 80 端口通信時(shí)，防火墻首先執(zhí)行第 $1$ 條安全策略，發(fā)現(xiàn)源地址不匹配，不執(zhí)行 Allow。接著執(zhí)行第 $2$ 條安全策略，發(fā)現(xiàn)地址和端口匹配，執(zhí)行 Deny，也就是拒絕通信。防火墻的安全策略從上往下依次執(zhí)行的行為，也叫做安全策略查找（policy lookup）。

Any 表示任何值都與策略匹配。如果是安全策略中，出現(xiàn)未定義的通信，比如從信任區(qū)到 DMZ 區(qū)域的通信，防火墻默認(rèn)執(zhí)行拒絕，這個(gè)策略叫做 “默認(rèn)拒絕”（implicit deny）。

如果需要在防火墻沒有匹配的情況下，執(zhí)行 Allow，可以在安全策略的最后一行設(shè)置對(duì)象為 Any，行為為 Allow 的策略。

當(dāng)然，防火墻的安全策略是會(huì)有上限，上限由產(chǎn)品規(guī)格決定。而且當(dāng)表項(xiàng)越多時(shí)，設(shè)備性能也會(huì)隨之下降。

23、什么是內(nèi)容安全策略？

防火墻不僅能夠基于區(qū)域、IP 地址、端口號(hào)、應(yīng)用程序等設(shè)置安全策略，還可以使用 內(nèi)容安全策略 進(jìn)行通信控制。內(nèi)容安全策略包括 反病毒、IPS（入侵防御系統(tǒng)）、URL 過濾、DLP（數(shù)據(jù)泄露防護(hù)）等基于內(nèi)容的安全機(jī)制，能夠攔截非法通信和避免不必要的通信流量。還可以對(duì)這些通信不進(jìn)行攔截，而是記錄到告警日志中后放行。

安全設(shè)備的默認(rèn)設(shè)置是攔截嚴(yán)重程度高的攻擊，嚴(yán)重程度低的攻擊只記錄到告警日志中。當(dāng)然，嚴(yán)重程度的高低可以自定義，也可以修改設(shè)置為攔截嚴(yán)重程度低的攻擊。

反病毒和 IPS 可能會(huì)出現(xiàn)誤判，誤判分為 假陽性錯(cuò)誤 和 假陰性錯(cuò)誤 兩種。

• 假陽性錯(cuò)誤 是沒有攻擊行為或病毒入侵，但是被判定為攻擊行為或病毒入侵，并記錄到日志中，或把通信攔截。這類錯(cuò)誤，用戶容易察覺。
• 假陰性錯(cuò)誤 是存在攻擊行為，卻判定沒有攻擊行為，而允許通信，也沒有記錄到日志中，無法察覺到嚴(yán)重后果。只有 PC 上安裝反病毒軟件或防火墻軟件，才能找到?jīng)]有被識(shí)別的攻擊行為。這種錯(cuò)誤一般是由于數(shù)字簽名本身不存在，或誤認(rèn)為數(shù)字簽名存在而導(dǎo)致的檢測(cè)失敗。

24、什么是 NAT ？

私有 IP 地址只能在內(nèi)部網(wǎng)絡(luò)通信，如果要訪問外部網(wǎng)絡(luò)（互聯(lián)網(wǎng)），可以通過路由器或防火墻把私有 IP 地址轉(zhuǎn)換為公網(wǎng) IP 地址，這個(gè)過程叫做 NAT（Network Address Translator）。

NAT 以前是路由器的功能，后來位于網(wǎng)絡(luò)邊界的防火墻也常常使用這個(gè)功能。路由器和防火墻等運(yùn)行 NAT 功能后，也叫做 網(wǎng)關(guān)（gateway）。

一、靜態(tài) NAT

靜態(tài) NAT（Static NAT）是指 NAT 轉(zhuǎn)換前的地址和 NAT 轉(zhuǎn)換后的地址是一對(duì)一的對(duì)應(yīng)關(guān)系，通常是一個(gè)私網(wǎng)地址對(duì)應(yīng)一個(gè)公網(wǎng)地址，手動(dòng)將對(duì)應(yīng)信息配置到網(wǎng)關(guān)中。

二、動(dòng)態(tài) NAT

動(dòng)態(tài) NAT（Dynamic NAT）是在網(wǎng)關(guān)配置一個(gè) IP 地址池（IP address pool），地址池里面包含多個(gè) IP 地址。在 NAT 建立會(huì)話時(shí)，在地址池內(nèi)的 IP 地址按順序分配一個(gè)轉(zhuǎn)換后的 IP 地址。由于地址范圍能夠手動(dòng)進(jìn)行設(shè)置和更改，因此這種方式應(yīng)用的比較多。

雖然和靜態(tài) NAT 有點(diǎn)類似，私有地址和公網(wǎng)地址是一對(duì)一的映射關(guān)系，但不是指定的 NAT 轉(zhuǎn)換后地址，而是動(dòng)態(tài)分配的、在 IP 地址池中排序靠前的有效地址。

三、源 NAT

源 NAT（Source NAT）是對(duì)發(fā)送方的源 IP 地址進(jìn)行 NAT 轉(zhuǎn)換。在公司內(nèi)部網(wǎng)絡(luò)的客戶端，要訪問互聯(lián)網(wǎng)的服務(wù)器，客戶端的私有地址作為發(fā)送源，把數(shù)據(jù)發(fā)送到網(wǎng)關(guān)時(shí)，必須將私有 IP 地址轉(zhuǎn)換成公網(wǎng) IP 地址才行。

要和互聯(lián)網(wǎng)上的服務(wù)器進(jìn)行通信，必須使用公網(wǎng) IP 地址，但是 IPv4 地址有限，無法為每臺(tái)客戶端都分配一個(gè)公網(wǎng)地址。大部分情況下，源 NAT 能夠通過動(dòng)態(tài) NAT 方式節(jié)約公網(wǎng)地址資源。在網(wǎng)關(guān)上設(shè)置地址池，或在網(wǎng)關(guān)的接口使用 NAPT ，可以實(shí)現(xiàn)私有網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)的功能。

外部網(wǎng)絡(luò)只能看到公網(wǎng)地址信息，源 NAT 能夠隱藏客戶端實(shí)際使用的 IP 地址，從而降低受到外部網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。

四、目的 NAT

目的 NAT（Destination NAT）是接收到的目的 IP 地址進(jìn)行 NAT 轉(zhuǎn)換。

互聯(lián)網(wǎng)的客戶端，想要通過網(wǎng)關(guān)訪問內(nèi)部網(wǎng)絡(luò)的服務(wù)器時(shí)，由于公司內(nèi)部服務(wù)器使用內(nèi)網(wǎng)地址，無法直接從互聯(lián)網(wǎng)訪問到，需要進(jìn)行目的 NAT 。網(wǎng)關(guān)作為內(nèi)部服務(wù)器的代理，把服務(wù)器的內(nèi)網(wǎng)地址映射到公網(wǎng)地址，收到外網(wǎng)客戶端訪問公網(wǎng)地址時(shí)，網(wǎng)關(guān)將報(bào)文的目的地址轉(zhuǎn)換為內(nèi)部服務(wù)器的私有地址，完成路由和訪問。公司內(nèi)的服務(wù)器通常放置在 DMZ 區(qū)域中，能夠?qū)ν獠烤W(wǎng)絡(luò)屏蔽內(nèi)部服務(wù)器的地址，從而避免內(nèi)部網(wǎng)絡(luò)受到攻擊。

五、NAPT

當(dāng)有大量的內(nèi)網(wǎng)客戶端要跟外網(wǎng)通信，而公網(wǎng)地址只有一個(gè)或者少量時(shí)，網(wǎng)關(guān)無法完成私有地址和公網(wǎng)地址的一對(duì)一的分配。

這時(shí)，網(wǎng)關(guān)需要結(jié)合 TCP 或 UDP 端口號(hào)，完成多個(gè)私有地址映射成一個(gè)公網(wǎng)地址的轉(zhuǎn)換，這種轉(zhuǎn)換方式叫做 NAPT（Network Address Port Translation，網(wǎng)絡(luò)地址端口轉(zhuǎn)換）。

25、什么是 VPN ？

VPN，全稱是 Virtual Private Network，也就是 虛擬私有網(wǎng)絡(luò)。VPN 是使用電信運(yùn)營商提供的公共網(wǎng)絡(luò)，搭建內(nèi)部網(wǎng)絡(luò)的技術(shù)。

內(nèi)部網(wǎng)絡(luò)的財(cái)務(wù)、人事等數(shù)據(jù)，對(duì)外而言是屬于機(jī)密信息，必須在內(nèi)部封閉的傳輸數(shù)據(jù)。如果只有一個(gè)辦公場(chǎng)所，可以通過 LAN 搭建內(nèi)網(wǎng)。但如果北京和上海都有分支機(jī)構(gòu)時(shí)，就需要在不同的辦公場(chǎng)所之間搭建內(nèi)網(wǎng)。電信運(yùn)營商有 專線服務(wù)，可以完成不同地域的內(nèi)網(wǎng)搭建。專線是單獨(dú)使用的線路，不用擔(dān)心數(shù)據(jù)被竊聽，通信質(zhì)量也能得到保證，但是專線費(fèi)用昂貴。

還有 ADSL 這種互聯(lián)網(wǎng)接入服務(wù)，雖然屬于共享類型網(wǎng)絡(luò)，但是價(jià)格低廉，搭建內(nèi)網(wǎng)有成本優(yōu)勢(shì)。路由器、防火墻、VPN 設(shè)備都支持 IPsec-VPN 功能，在各個(gè)分支機(jī)構(gòu)內(nèi)，使用這些設(shè)備建立 IPsec 隧道，完成 VPN 的搭建。

26、VPN 有哪幾種網(wǎng)絡(luò)拓?fù)洌?/h2>

常見的 VPN 網(wǎng)絡(luò)拓?fù)溆?點(diǎn)對(duì)點(diǎn) VPN、中心型 VPN、遠(yuǎn)程接入 VPN。

一、點(diǎn)對(duì)點(diǎn) VPN

點(diǎn)對(duì)點(diǎn) VPN（site-to-site VPN）是通過 IPsec 隧道連接兩個(gè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。網(wǎng)絡(luò)的網(wǎng)關(guān)，通常是路由器或防火墻等網(wǎng)絡(luò)設(shè)備，在兩個(gè)網(wǎng)絡(luò)間，使用點(diǎn)對(duì)點(diǎn)的拓?fù)浣Y(jié)構(gòu)，建立 IPsec 隧道。

這里的網(wǎng)絡(luò)，是指不在同一個(gè)局域網(wǎng)的網(wǎng)絡(luò)，比如：成都機(jī)構(gòu)或廣州總部的任意一個(gè)站點(diǎn)。因?yàn)槭钦军c(diǎn)（site）之間的連接，所以叫做點(diǎn)對(duì)點(diǎn) VPN 。

二、中心型 VPN

中心型 VPN（hub and spoke VPN）是星型拓?fù)浣Y(jié)構(gòu)，也就是一個(gè)中心站點(diǎn)的設(shè)備，連接多個(gè)遠(yuǎn)程站點(diǎn)的設(shè)備，形成的網(wǎng)絡(luò)結(jié)構(gòu)。中心站點(diǎn)（center site）位于總部的網(wǎng)絡(luò)，也就是數(shù)據(jù)中心，成為整個(gè)結(jié)構(gòu)的核心站點(diǎn)。一般是電信供應(yīng)商提供的 VPN 業(yè)務(wù)，以電信供應(yīng)商的基礎(chǔ)設(shè)施為中心站點(diǎn)，通過 VPN 連接其它站點(diǎn)。

三、遠(yuǎn)程接入 VPN

在家里，或出差在外時(shí)，通過互聯(lián)網(wǎng)使用 PC 上的軟件，與公司的 VPN 設(shè)備建立 IPsec 隧道，能夠訪問公司內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，叫做 遠(yuǎn)程接入 VPN。

遠(yuǎn)程接入的 IPsec-VPN 需要在 PC 上安裝 VPN 客戶端軟件，而 SSL-VPN 是通過 Web 瀏覽器，使用 SSL 連接到公司的 VPN ，通過 SSL（HTTPS）和公司的內(nèi)部網(wǎng)絡(luò)進(jìn)行連接。

27、IPsec VPN 有哪些專用名詞？

• SA（Security Association）：IPsec 通信時(shí)建立的邏輯連接。

• ESP（Encapsulating Security Payloads）：原始報(bào)文使用 DES / 3DES / AES 中的任意一種算法進(jìn)行加密，通過 HMAC 確定數(shù)據(jù)是否被篡改，使用的 IP 協(xié)議號(hào)是 $50$。

• AH（Authentication Header）：根據(jù) HMAC 信息確定報(bào)文是否被篡改的認(rèn)證協(xié)議。不對(duì)報(bào)文做加密處理，使用的 IP 協(xié)議號(hào)是 $51$。

• IKE（Internet Key Exchange）：IPsec 協(xié)議用來交換 key 信息的協(xié)議，也叫做 ISAKMP/Oakley。在 ISAKMP 協(xié)議上實(shí)現(xiàn) Oakley 的 key 交換過程。使用的是 UDP 端口號(hào) $500$。分為階段一和階段二進(jìn)行處理。

• HMAC（Keyed-Hashing for Message Authentication code）：用來驗(yàn)證信息是否被篡改的一種 MAC（Message Authentication code），也就是消息認(rèn)證碼，通過散列函數(shù)與密鑰信息的組合計(jì)算得出，其中散列函數(shù)使用的算法一般是 MD5 或 SHA-1。

• SPI（Security Pointer Index）：表示 SA 的編號(hào)，$32$ 比特。在對(duì)報(bào)文加密時(shí)，用這個(gè)值表示使用了什么加密算法和密鑰信息。

• NAT traversal：通過 ESP 加密的報(bào)文，由于沒有 TCP / UDP 頭部，因此無法使用 NAPT?？梢允褂?NAT traversal 技術(shù)，給 ESP 加密后的報(bào)文添加 UDP 頭部，從而在 NAPT 環(huán)境下進(jìn)行 IPsec 通信。一般使用 $500$ 或 $4500$ 的端口號(hào)。

• IPsec-VPN 連接：在建立 IPsec 隧道時(shí)，發(fā)起協(xié)商的叫做發(fā)起方（initiator），另一方叫做應(yīng)答方（responder）。發(fā)送方是最先發(fā)出通過 IPsec 隧道報(bào)文的設(shè)備。

• 更新 key（rekey） ：IPsec 隧道建立后，每過一段時(shí)間，或經(jīng)過一定量的數(shù)據(jù)，就會(huì)進(jìn)行 rekey 操作。VPN 設(shè)備有修改 rekey 時(shí)間的功能。

28、點(diǎn)對(duì)點(diǎn) VPN 的處理過程是什么樣的？

舉個(gè)栗子：網(wǎng)絡(luò) A 與網(wǎng)絡(luò) B 通過 IPsec 隧道連接時(shí)，網(wǎng)絡(luò) A 的 PC1 想和網(wǎng)絡(luò) B 的 PC2 進(jìn)行通信。

PC1 發(fā)送請(qǐng)求，到達(dá)網(wǎng)絡(luò) A 的網(wǎng)關(guān)，也就是 VPN 設(shè)備 A ，這時(shí)的報(bào)文還未加密，是明文狀態(tài)。VPN 設(shè)備 A 對(duì)報(bào)文進(jìn)行加密，并添加 ESP 頭部和在隧道中使用的 IP 頭部（叫做外層 IP 地址），再通過 IPsec 隧道發(fā)送出去。

網(wǎng)絡(luò) B 的 VPN 設(shè)備 B 通過 IPsec 隧道收到加密的報(bào)文，會(huì)檢查 ESP 頭部和 AH 頭部。如果 ESP 序列號(hào)不正確，VPN 設(shè)備 B 就會(huì)認(rèn)為是重放攻擊，并輸出錯(cuò)誤信息，SPI 值不正確，會(huì)輸出 “Bad SPI” 的錯(cuò)誤通知信息。

如果加密報(bào)文正常，就進(jìn)行解密操作，去除外部 IP 、ESP 、AH 等頭部，并對(duì)原來 IP 頭部的目的地址進(jìn)行路由，從而到達(dá) PC2 。

PC2 向 PC1 回復(fù)消息時(shí)，由 VPN 設(shè)備 B 進(jìn)行加密處理，由 VPN 設(shè)備 A 進(jìn)行解密處理。

中心型 VPN 的遠(yuǎn)程站點(diǎn)客戶端和中央站點(diǎn)服務(wù)器的 VPN 通信也是這種處理流程。

29、遠(yuǎn)程站點(diǎn)之間的通信過程是什么樣的？

舉個(gè)栗子：遠(yuǎn)程站點(diǎn) A 、遠(yuǎn)程站點(diǎn) B 和中央站點(diǎn) VPN 設(shè)備 C 。A 的 PC1 和 B 的 PC2 進(jìn)行通信。

報(bào)文通過 VPN 設(shè)備 A 和 VPN 設(shè)備 C 的 IPsec 隧道，再經(jīng)過 VPN 設(shè)備 C 和 VPN 設(shè)備 B 的 IPsec 隧道，最終到達(dá) PC2 。

如果中央站點(diǎn)是路由器或 VPN 設(shè)備，一般只會(huì)解密、加密和路由選擇處理。如果中央站點(diǎn)是防火墻，就會(huì)在報(bào)文解密后進(jìn)行檢查，只對(duì)安全的報(bào)文進(jìn)行加密，然后再向遠(yuǎn)程站點(diǎn)發(fā)送。

30、什么是基于策略的 VPN ？

路由器和 VPN 設(shè)備通常使用基于策略的 VPN 。基于策略的 VPN 是指根據(jù)策略（訪問控制列表）控制經(jīng)過 IPsec 隧道的流量，這樣即使路徑發(fā)生變化，也不會(huì)對(duì) IPsec 通信造成影響。

基于策略的 VPN 需要設(shè)置 IPsec 策略和 proxyID 信息。proxyID 指定 IPsec 隧道傳輸報(bào)文的本地網(wǎng)絡(luò)和遠(yuǎn)程網(wǎng)絡(luò)。

舉個(gè)栗子：站點(diǎn) A 和站點(diǎn) B 使用點(diǎn)對(duì)點(diǎn) VPN 組成網(wǎng)絡(luò)，其中站點(diǎn) A 網(wǎng)絡(luò)是 192.168.1.0/24 和 192.168.2.0/24，站點(diǎn) B 網(wǎng)絡(luò)是 192.168.3.0/24 和 192.168.4.0/24。如果只有 192.168.1.0/24 和 192.168.3.0/24 進(jìn)行加密通信，那么在站點(diǎn) A 的 VPN 設(shè)備設(shè)置本地 proxyID 為 192.168.1.0/24，遠(yuǎn)程 proxyID 為 192.168.3.0/24。在站點(diǎn) B 的 VPN 設(shè)備設(shè)置本地 proxyID 為 192.168.3.0/24，遠(yuǎn)程 proxyID 為 192.168.1.0/24。

31、什么是基于路由的 VPN ？

基于路由的 VPN 通常是防火墻產(chǎn)品使用的 VPN 類型。防火墻會(huì)對(duì) IPsec 報(bào)文進(jìn)行精確的控制。

在基于路由的 VPN 中，IPsec 隧道是使用的虛擬接口，又叫做隧道接口（tunnel interface），流量通過這個(gè)接口進(jìn)入 IPsec 隧道。如果有流量需要在 IPsec 隧道內(nèi)傳輸，可以設(shè)置路由選擇，轉(zhuǎn)發(fā)到隧道接口就行。

基于策略的 VPN 使用策略來控制 IPsec 通信的流量，而基于路由的 VPN 通過隧道接口的路由信息來控制 IPsec 通信的流量。所以在進(jìn)行 IPsec 通信時(shí)，可以和處理普通報(bào)文一樣，通過策略定義報(bào)文過濾和防火墻處理等。

32、什么是階段 1 ？

在 IPsec 通信中，為了建立加密隧道的 SA ，需要在設(shè)備之間使用 IKE 協(xié)議完成密鑰的交換。

為了提高安全性，IKE 協(xié)議分為階段 1 和階段 2 兩個(gè)部分。IKE 階段 1 是完成鑒別和保護(hù) SA 通信的雙方，同時(shí)生成階段 2 需要的公有密鑰，建立 IKE SA 等工作。

33、什么是階段 2 ？

IKE 階段 2 負(fù)責(zé)生成 IPsec 通信使用的密鑰，并建立 IPsec SA 。

34、什么是 SSL-VPN ？

SSL-VPN 是通過瀏覽器使用 HTTPS（HTTP over SSL）進(jìn)行 Web 訪問的遠(yuǎn)程接入 VPN 。

如果要使用 IPsec-VPN ，需要在 PC 上安裝專用的客戶端軟件。這個(gè)客戶端軟件不一定支持 Mac OS 、手機(jī)等操作系統(tǒng)。同時(shí) IPsec-VPN 連接過程，可能會(huì)因?yàn)榉阑饓^濾了 IPsec-VPN 的協(xié)議號(hào)或 NAT traversal 的端口號(hào)，而導(dǎo)致連接失敗。

SSL-VPN 就方便很多，只要設(shè)備帶有瀏覽器，就能夠通過反向代理的方式完成 VPN 的連接。而且防火墻幾乎不會(huì)攔截，因?yàn)槭褂玫氖?HTTPS 的 $443$ 端口，讓 VPN 遠(yuǎn)程連接擺脫了操作系統(tǒng)和連接方式的限制。

IPsec-VPN 是在網(wǎng)絡(luò)層實(shí)現(xiàn)的，能夠完成傳輸層 TCP 和 UDP 的加密和隧道傳輸處理。而 SSL-VPN 是在會(huì)話層實(shí)現(xiàn)的，基于 TCP 的 $443$ 端口運(yùn)行。只有特定的幾種 TCP 能夠使用反向代理和端口轉(zhuǎn)發(fā)方式，而 ICMP 和 UDP 等傳輸層通信，只能選擇隧道方式。

35、什么是反向代理？

反向代理，又叫做 無客戶端 SSL-VPN。SSL-VPN 的終端在 $443$ 端口號(hào)上，通過 HTTPS 完成解密工作后，轉(zhuǎn)換為 $80$ 端口號(hào)的 HTTP 通信，與內(nèi)部網(wǎng)絡(luò)上的 Web 服務(wù)器進(jìn)行交互。這種方式只有使用 $80$ 端口號(hào)、通過瀏覽器訪問 Web 的應(yīng)用程序才能使用。

在內(nèi)部客戶端訪問互聯(lián)網(wǎng)時(shí)，進(jìn)行中繼的代理服務(wù)器，叫做 轉(zhuǎn)發(fā)代理服務(wù)器。如果訪問方向相反，也就是在互聯(lián)網(wǎng)上的客戶端訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器時(shí)，進(jìn)行中繼的代理服務(wù)器叫做 反向代理服務(wù)器（reverse proxy）。

36、什么是端口轉(zhuǎn)發(fā)？

端口轉(zhuǎn)發(fā)，又叫做 瘦客戶端 SSL-VPN。使用 ActiveX 或 Java applet 等瀏覽器插件來創(chuàng)建 PC 和服務(wù)器的 SSL 隧道。用戶只要登錄 Web 門戶（SSL-VPN 網(wǎng)關(guān)），并完成認(rèn)證，就能夠下載相關(guān)插件。用戶能夠使用公司內(nèi)網(wǎng)服務(wù)器上的特定應(yīng)用程序，也能夠使用端口固定且無需瀏覽器支持的 TCP 應(yīng)用程序，比如 E-mail 。有些產(chǎn)品還能夠支持端口號(hào)變動(dòng)的應(yīng)用和 UDP 應(yīng)用程序等。

37、什么是隧道？

隧道方式 是使用 SSL-VPN 客戶端軟件的方式。和 IPsec-VPN 一樣，支持網(wǎng)絡(luò)層以上協(xié)議的隧道傳輸。

用戶通過瀏覽器訪問 SSL-VPN 設(shè)備，并完成認(rèn)證，就可以下載應(yīng)用程序，并安裝在用戶的 PC 上。接下來就是通過客戶端軟件建立 PC 和 SSL-VPN 設(shè)備的隧道。由于使用了客戶端軟件，還是會(huì)不可避免的受到操作系統(tǒng)的限制。

38、什么是主機(jī)檢查？

支持主機(jī)檢查（Host Checker）功能的 SSL-VPN ，在客戶端與 SSL-VPN 設(shè)備連接時(shí)，能夠?qū)B接的客戶端主機(jī)進(jìn)行檢查，檢查信息如下表。

如果主機(jī)檢查結(jié)果 OK，就允許客戶端的 SSL-VPN 連接，就能夠從外部網(wǎng)絡(luò)訪問公司內(nèi)網(wǎng)。如果結(jié)果是 NO，就拒絕客戶端的 SSL-VPN 連接，或只能進(jìn)行軟件升級(jí)等特定范圍的訪問操作。文章來源地址http://www.zghlxwxcb.cn/news/detail-667876.html

到了這里，關(guān)于【網(wǎng)絡(luò)安全】防火墻知識(shí)點(diǎn)全面圖解（二）的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！