防火墻基礎(chǔ)

1、浙江金融職業(yè)學(xué)院,第八章 防火墻基礎(chǔ),浙江金融職業(yè)學(xué)院,項(xiàng)目 包過濾,目的1. 通過實(shí)驗(yàn)，了解普通包過濾的基本概念和原理，如方向、協(xié)議、端口、源地址、目的地址等等，掌握常用服務(wù)所對(duì)應(yīng)的協(xié)議和端口。2. 會(huì)在防火墻中的配置普通包過濾的方法，學(xué)會(huì)判斷規(guī)則是否生效。任務(wù)1. ping命令傳輸數(shù)據(jù)包的過濾；2. 局域網(wǎng)數(shù)據(jù)傳輸數(shù)據(jù)包過濾；,浙江金融職業(yè)學(xué)院,相關(guān)知識(shí),防火墻的概念防火墻的分類防火墻主要技術(shù),浙江金融職業(yè)

2、學(xué)院,,0、引言　一、什么是防火墻 二、防火墻能做什么？（防火墻的五大功能 ） 三、防火墻分類四 、防火墻的體系結(jié)構(gòu)五、小資料 ：防火墻的發(fā)展簡史,浙江金融職業(yè)學(xué)院,,Internet 的發(fā)展給政府機(jī)構(gòu)、企事業(yè)單位帶來了革命性的改革和開放。他們正努力通過利用 Internet 來提高辦事效率和市場反應(yīng)速度，以便更具競爭力。通過 Internet ，人們可以從異地取回重要數(shù)據(jù)，同時(shí)又要面對(duì) Internet 開放帶來的數(shù)據(jù)安

3、全的新挑戰(zhàn)和新危險(xiǎn)：各種用戶的安全訪問；以及保護(hù)機(jī)密信息不受黑客和工業(yè)間諜的入侵。因此，重要的系統(tǒng)必須加筑安全的 " 戰(zhàn)壕 " ，而這個(gè) " 戰(zhàn)壕 " 就是防火墻。安全管理員的目的是選擇性地拒絕進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流量，防火墻現(xiàn)在已成為各企業(yè)網(wǎng)絡(luò)中實(shí)施安全保護(hù)的核心。,浙江金融職業(yè)學(xué)院,,防火最初的設(shè)計(jì)思想是對(duì)內(nèi)部網(wǎng)絡(luò)總是信任的，而對(duì)外部網(wǎng)絡(luò)卻總是不信任的，所以最初的防火墻是只對(duì)外部進(jìn)來的通信進(jìn)行過濾，

4、而對(duì)內(nèi)部網(wǎng)絡(luò)用戶發(fā)出的通信不作限制。 ----------單向?qū)ㄐ阅壳暗姆阑饓υ谶^濾機(jī)制上有所改變，不僅對(duì)外部網(wǎng)絡(luò)發(fā)出的通信連接要進(jìn)行過濾，對(duì)內(nèi)部網(wǎng)絡(luò)用戶發(fā)出的部分連接請(qǐng)求和數(shù)據(jù)包同樣需要過濾，但防火墻仍只對(duì)符合安全策略的通信通過，也可以說具有“單向?qū)ā毙浴?浙江金融職業(yè)學(xué)院,,本義是指古代構(gòu)筑和使用木制結(jié)構(gòu)房屋的時(shí)侯，為防止火災(zāi)的發(fā)生和蔓延，人們將堅(jiān)固的石塊堆砌在房屋周圍作為屏障，這種防護(hù)構(gòu)筑物就被稱之為“防火墻”,浙江金融職業(yè)

5、學(xué)院,一 ．什么是防火墻？,防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如：可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)網(wǎng)絡(luò)系統(tǒng)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。,浙江金融職業(yè)學(xué)院,,它具有以下三個(gè)方面的基本要求：內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻只有

6、符合安全策略的數(shù)據(jù)流才能通過防火墻 防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力,浙江金融職業(yè)學(xué)院,,在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和 Internet 之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。,防火墻邏輯位置示意圖,浙江金融職業(yè)學(xué)院,二 ．防火墻能做什么？,1、 實(shí)現(xiàn)一個(gè)網(wǎng)絡(luò)的安全策略 -----防火墻是網(wǎng)絡(luò)安全的屏障一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾

7、不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如 IP 選項(xiàng)中的源路由攻擊和 ICMP 重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。,浙江金融職業(yè)學(xué)院,,通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理

8、更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。,浙江金融職業(yè)學(xué)院,,2、創(chuàng)建一個(gè)阻塞點(diǎn)-----對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控： 防火墻在一個(gè)系統(tǒng)私有網(wǎng)絡(luò)和分網(wǎng)間建立一個(gè)檢查點(diǎn)。這種實(shí)現(xiàn)要求所有的流量都要通過這個(gè)檢查點(diǎn)。一旦這些檢查點(diǎn)清楚地建立，防火墻設(shè)備就可以監(jiān)視，過濾所有進(jìn)來和出去的流量。網(wǎng)絡(luò)安全產(chǎn)業(yè)稱這些檢查點(diǎn)為阻塞點(diǎn)。通過強(qiáng)制所有進(jìn)出流量都通過這些檢查點(diǎn)，網(wǎng)絡(luò)管理員

9、可以集中在較少的地方來實(shí)現(xiàn)安全目的。,浙江金融職業(yè)學(xué)院,,如果沒有這樣一個(gè)供監(jiān)視利控制信息的點(diǎn)，系統(tǒng)或安全管理員則要在大量的地方來進(jìn)行監(jiān)測。檢查點(diǎn)的另一個(gè)名字叫做網(wǎng)絡(luò)邊界。,浙江金融職業(yè)學(xué)院,,3、記錄Internet活動(dòng)----對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行審計(jì)：防火墻還能夠強(qiáng)制日志記錄，并且提供警報(bào)功能。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)

10、行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。,浙江金融職業(yè)學(xué)院,,通過在防火墻上實(shí)現(xiàn)日志服務(wù)，安全管理員可以監(jiān)視所有從外部網(wǎng)或互聯(lián)網(wǎng)的訪問。好的日志策略是實(shí)現(xiàn)適當(dāng)網(wǎng)絡(luò)安全的有效工具之一。防火墻對(duì)于管理員進(jìn)行日志存檔提供了更多的信息。,浙江金融職業(yè)學(xué)院,,4、限制網(wǎng)絡(luò)暴露 -----防止內(nèi)部信息的外泄：防火墻在你的網(wǎng)絡(luò)周圍創(chuàng)建了一個(gè)保護(hù)的邊界。并且對(duì)于公網(wǎng)隱藏了你內(nèi)部系統(tǒng)的—些信息以增加保密性。當(dāng)遠(yuǎn)程節(jié)點(diǎn)偵測你的網(wǎng)絡(luò)時(shí)，他們僅

11、僅能看到防火墻。遠(yuǎn)程設(shè)備將不會(huì)知道你內(nèi)部網(wǎng)絡(luò)的布局以及都有些什么。防火墻提高認(rèn)證功能和對(duì)網(wǎng)絡(luò)加密來限制網(wǎng)絡(luò)信息的暴露。通過對(duì)所能進(jìn)來的流量時(shí)行源檢查，以限制從外部發(fā)動(dòng)的攻擊。,浙江金融職業(yè)學(xué)院,,或者：防火墻的五大功能 　　1）．允許網(wǎng)絡(luò)管理員定義一個(gè)中心點(diǎn)來防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)。 2）．可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性，并報(bào)警。 　　3）．可以作為部署NAT（Network Address Translation，網(wǎng)

12、絡(luò)地址變換）的地點(diǎn)，利用NAT技術(shù)，將有限的IP地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部的IP地址對(duì)應(yīng)起來，用來緩解地址空間短缺的問題。,浙江金融職業(yè)學(xué)院,,4）．是審計(jì)和記錄Internet使用費(fèi)用的一個(gè)最佳地點(diǎn)。網(wǎng)絡(luò)管理員可以在此向管理部門提供Internet連接的費(fèi)用情況，查出潛在的帶寬瓶頸位置，并能夠依據(jù)本機(jī)構(gòu)的核算模式提供部門級(jí)的計(jì)費(fèi)。 5）．可以連接到一個(gè)單獨(dú)的網(wǎng)段上，從物理上和內(nèi)部網(wǎng)段隔開，并在此部署WWW服務(wù)器和FTP服務(wù)器，將其作

13、為向外部發(fā)布內(nèi)部信息的地點(diǎn)。從技術(shù)角度來講，就是所謂的停火區(qū)（DMZ）。,浙江金融職業(yè)學(xué)院,,防火墻的不足之處：P178（1）（2）（3）（4）（5）,浙江金融職業(yè)學(xué)院,三、防火墻的分類,1. 從防火墻的軟、硬件形式分：軟件防火墻、硬件防火墻。 2. 從防火墻技術(shù)來分： “包過濾型”，“應(yīng)用代理型” 3. 從防火墻結(jié)構(gòu)分：單一主機(jī)防火墻、路由器集成式防火墻、分布式防火墻 4. 按防火墻的應(yīng)用部署位置分：邊界

14、防火墻、個(gè)人防火墻、混合防火墻三大類。,浙江金融職業(yè)學(xué)院,四、　防火墻技術(shù)的兩大分類,防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同而分為很多種類型，但總體來講可分為二大類：包過濾、應(yīng)用代理。包過濾防火墻 以以色列的Checkpoint防火墻和 Cisco公司的PIX防火墻為代表代理防火墻（應(yīng)用層網(wǎng)關(guān)防火墻） 以美國NAI公司的Gauntlet防火墻為代表。,浙江金融職業(yè)學(xué)院,,包過濾（ Pack

15、et filtering ）：作用在網(wǎng)絡(luò)層，它根據(jù)分組包頭源地址，目的地址和端口號(hào)、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。,浙江金融職業(yè)學(xué)院,,應(yīng)用代理（ Application Proxy ）：也叫應(yīng)用網(wǎng)關(guān)（ Application Gateway ） , 它作用在應(yīng)用層，其特點(diǎn)是完全 " 阻隔 " 了網(wǎng)絡(luò)通信流，通過對(duì)每種應(yīng)用服務(wù)

16、編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實(shí)現(xiàn)。,浙江金融職業(yè)學(xué)院,,1．包過濾第一代：靜態(tài)包過濾 這種類型的防火墻根據(jù)定義好的過濾規(guī)則審查每個(gè)數(shù)據(jù)包，以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數(shù)據(jù)包的報(bào)頭信息進(jìn)行制訂。報(bào)頭信息中包括IP源地址、IP目標(biāo)地址、傳輸協(xié)議(TCP、UDP、ICMP等等)、TCP/UDP目標(biāo)端口、ICMP消息類型等。包過濾類型的防火墻要遵循的一條基本原則

17、是“最小特權(quán)原則”，即明確允許那些管理員希望通過的數(shù)據(jù)包，禁止其他的數(shù)據(jù)包。,浙江金融職業(yè)學(xué)院,,浙江金融職業(yè)學(xué)院,,第二代：動(dòng)態(tài)包過濾這種類型的防火墻采用動(dòng)態(tài)設(shè)置包過濾規(guī)則的方法，避免了靜態(tài)包過濾所具有的問題。這種技術(shù)后來發(fā)展成為所謂包狀態(tài)監(jiān)測（Stateful Inspection）技術(shù)。采用這種技術(shù)的防火墻對(duì)通過其建立的每一個(gè)連接都進(jìn)行跟蹤，并且根據(jù)需要可動(dòng)態(tài)地在過濾規(guī)則中增加或更改。,浙江金融職業(yè)學(xué)院,,圖2 動(dòng)態(tài)包過濾防火墻

18、,浙江金融職業(yè)學(xué)院,,2． 代理防火墻 第一代：代理防火墻 代理防火墻也叫應(yīng)用層網(wǎng)關(guān)（Application Gateway）防火墻。這種防火墻通過一種代理（Proxy）技術(shù)參與到一個(gè)TCP連接的全過程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。這種類型的防火墻被網(wǎng)絡(luò)安全專家和媒體公認(rèn)為是最安全的防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)。,浙江金融職業(yè)學(xué)院,,所謂代理服

19、務(wù)器，是指代表客戶處理在服務(wù)器連接請(qǐng)求的程序。當(dāng)代理服務(wù)器得到一個(gè)客戶的連接意圖時(shí)，它們將核實(shí)客戶請(qǐng)求，并經(jīng)過特定的安全化的Proxy應(yīng)用程序處理連接請(qǐng)求，將處理后的請(qǐng)求傳遞到真實(shí)的服務(wù)器上，然后接受服務(wù)器應(yīng)答，并做進(jìn)一步處理后，將答復(fù)交給發(fā)出請(qǐng)求的最終客戶。代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)發(fā)揮了中間轉(zhuǎn)接的作用。,浙江金融職業(yè)學(xué)院,,代理類型防火墻的最突出的優(yōu)點(diǎn)就是安全。由于每一個(gè)內(nèi)外網(wǎng)絡(luò)之間的連接都要通過Proxy的介入和轉(zhuǎn)換

20、，通過專門為特定的服務(wù)如Http編寫的安全化的應(yīng)用程序進(jìn)行處理，然后由防火墻本身提交請(qǐng)求和應(yīng)答，沒有給內(nèi)外網(wǎng)絡(luò)的計(jì)算機(jī)以任何直接會(huì)話的機(jī)會(huì)，從而避免了入侵者使用數(shù)據(jù)驅(qū)動(dòng)類型的攻擊方式入侵內(nèi)部網(wǎng)。包過濾類型的防火墻是很難徹底避免這一漏洞的,浙江金融職業(yè)學(xué)院,,圖3 傳統(tǒng)代理型防火墻,浙江金融職業(yè)學(xué)院,,代理防火墻的最大缺點(diǎn)就是速度相對(duì)比較慢，當(dāng)用戶對(duì)內(nèi)外網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí)，（比如要求達(dá)到75-100Mbps時(shí)）代理防火墻就會(huì)成為

21、內(nèi)外網(wǎng)絡(luò)之間的瓶頸。所幸的是，目前用戶接入Internet的速度一般都遠(yuǎn)低于這個(gè)數(shù)字。在現(xiàn)實(shí)環(huán)境中，要考慮使用包過濾類型防火墻來滿足速度要求的情況，大部分是高速網(wǎng)（ATM或千兆位以太網(wǎng)等）之間的防火墻。,浙江金融職業(yè)學(xué)院,,第二代：自適應(yīng)代理防火墻 自適應(yīng)代理技術(shù)（Adaptive proxy）是最近在商業(yè)應(yīng)用防火墻中實(shí)現(xiàn)的一種革命性的技術(shù)。它可以結(jié)合代理類型防火墻的安全性和包過濾防火墻的高速度等優(yōu)點(diǎn)，在毫不損失安全性的基礎(chǔ)之上將代理

22、型防火墻的性能提高10倍以上。組成這種類型防火墻的基本要素有兩個(gè)：自適應(yīng)代理服務(wù)器（Adaptive Proxy Server）與動(dòng)態(tài)包過濾器（Dynamic Packet filter）。,浙江金融職業(yè)學(xué)院,,圖4 自適應(yīng)代理防火墻,浙江金融職業(yè)學(xué)院,,在自適應(yīng)代理與動(dòng)態(tài)包過濾器之間存在一個(gè)控制通道。在對(duì)防火墻進(jìn)行配置時(shí)，用戶僅僅將所需要的服務(wù)類型、安全級(jí)別等信息通過相應(yīng)Proxy的管理界面進(jìn)行設(shè)置就可以了。然后，自適應(yīng)代理就可以根據(jù)

23、用戶的配置信息，決定是使用代理服務(wù)從應(yīng)用層代理請(qǐng)求還是從網(wǎng)絡(luò)層轉(zhuǎn)發(fā)包。如果是后者，它將動(dòng)態(tài)地通知包過濾器增減過濾規(guī)則，滿足用戶對(duì)速度和安全性的雙重要求。,浙江金融職業(yè)學(xué)院,,兩種防火墻技術(shù)的對(duì)比　　包過濾防火墻 優(yōu)點(diǎn) ：　 價(jià)格較低 ， 　　 性能開銷小，處理速度較快 缺點(diǎn) 　　定義復(fù)雜，容易出現(xiàn)因配置不當(dāng)帶來問題 　　允許數(shù)據(jù)包直接通過，容易造成數(shù)據(jù)驅(qū)動(dòng)式攻擊的潛在危險(xiǎn),浙江金融職業(yè)學(xué)院,,代理

24、防火墻 　　內(nèi)置了專門為了提高安全性而編制的Proxy應(yīng)用程序，能夠透徹地理解相關(guān)服務(wù)的命令，對(duì)來往的數(shù)據(jù)包進(jìn)行安全化處理 　　速度較慢，不太適用于高速網(wǎng)之間的應(yīng)用,浙江金融職業(yè)學(xué)院,,復(fù)合型防火墻 　　由于對(duì)更高安全性的要求，常把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來，形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。,浙江金融職業(yè)學(xué)院,,屏蔽主機(jī)防火墻體系結(jié)構(gòu)：P180在該結(jié)構(gòu)中，包過濾路由器或防火墻與 Inter

25、net 相連，同時(shí)一個(gè)堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過在包過濾路由器或防火墻上過濾規(guī)則的設(shè)置，使堡壘機(jī)成為 Internet 上其它節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn)，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。,浙江金融職業(yè)學(xué)院,,屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：P182堡壘機(jī)放在一個(gè)子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個(gè)包過濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與 Internet 及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘主機(jī)和包過濾路由器共同構(gòu)成了整個(gè)防火墻

26、的安全基礎(chǔ)。,浙江金融職業(yè)學(xué)院,四、防火墻的體系結(jié)構(gòu),（1）雙重宿主主機(jī)體系結(jié)構(gòu)。圍繞具有雙重宿主功能的主機(jī)而構(gòu)筑的。（2）屏蔽主機(jī)體系結(jié)構(gòu)。使用一個(gè)單獨(dú)的路由器來提供內(nèi)部網(wǎng)絡(luò)主機(jī)之間的服務(wù)。（3）蔽子網(wǎng)體系結(jié)構(gòu)。在屏蔽主機(jī)體系結(jié)構(gòu)的基礎(chǔ)上添加額外的安全層，它通過添加周邊網(wǎng)絡(luò)把內(nèi)部網(wǎng)絡(luò)更進(jìn)一步地與因特網(wǎng)隔離開。,浙江金融職業(yè)學(xué)院,五 、 小資料 ：　防火墻的發(fā)展史,第一代防火墻 　　第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)，采用了包過

27、濾（Packet filter）技術(shù)。下圖表示了防火墻技術(shù)的簡單發(fā)展歷史。,浙江金融職業(yè)學(xué)院,,又稱包過濾防火墻，主要通過對(duì)數(shù)據(jù)包源地址、日的地址、端口號(hào)等參數(shù)來決定是否允許該數(shù)據(jù)包通過，對(duì)其進(jìn)轉(zhuǎn)發(fā)，但這種防火墻很難抵御IP地址欺騙等攻擊，而且審計(jì)功能很差。,浙江金融職業(yè)學(xué)院,,第二、三代防火墻 　　1989年，貝爾實(shí)驗(yàn)室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火

28、墻——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。第二代防火墻，也稱代理服務(wù)器，它用來提供網(wǎng)絡(luò)服務(wù)級(jí)的控制，起到外部網(wǎng)絡(luò)向被保護(hù)的內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用，這種方法可以有效地防止對(duì)內(nèi)部網(wǎng)絡(luò)的直接攻擊，安全性較高。,浙江金融職業(yè)學(xué)院,,第三代防火墻有效地提高了防火墻的安全性，稱為狀態(tài)監(jiān)控功能防火墻，它可以對(duì)每一層的數(shù)據(jù)包進(jìn)行檢測和監(jiān)控。,浙江金融職業(yè)學(xué)院,,第四代防火墻 1992年，USC信息科學(xué)院的BobBraden開發(fā)出了基

29、于動(dòng)態(tài)包過濾（Dynamic packet filter）技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視（Stateful inspection）技術(shù)。1994年，以色列的CheckPoint公司開發(fā)出了第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品。 它可以抵御目前常見的網(wǎng)絡(luò)攻擊手段，如IP地址欺騙、特洛伊木馬攻擊、Internet蠕蟲、口令探尋攻擊、郵件攻擊等等。,浙江金融職業(yè)學(xué)院,,第五代防火墻 　　1998年，NAI公司推出了一種自適