計(jì)算機(jī)信息技術(shù)與安全課件第6章

1、授課教師：石元泉,計(jì)算機(jī)信息安全技術(shù),第六章 防火墻工作原理及應(yīng)用,了解防火墻的基本概念、發(fā)展簡史、目的、功能、局限性及其發(fā)展動(dòng)態(tài)和趨勢;了解防火墻的不同分類方法;掌握包過濾技術(shù)的基本原理、技術(shù)特點(diǎn)和實(shí)現(xiàn)方式，了解包過濾技術(shù)的優(yōu)、缺點(diǎn);掌握代理服務(wù)技術(shù)、應(yīng)用層網(wǎng)關(guān)防火墻和電路級(jí)網(wǎng)關(guān)防火墻的基本原理、技術(shù)特點(diǎn)和實(shí)現(xiàn)方式，了解代理服務(wù)技術(shù)的優(yōu)、缺點(diǎn);,本章學(xué)習(xí)要求,了解狀態(tài)檢測技術(shù)和自適應(yīng)代理技術(shù)的基本原理和技術(shù)特點(diǎn);掌握屏蔽路由

2、器體系結(jié)構(gòu)、雙重宿主主機(jī)體系結(jié)構(gòu)、屏蔽主機(jī)體系結(jié)構(gòu)和屏蔽子網(wǎng)體系結(jié)構(gòu)等4種防火墻體系結(jié)構(gòu)的基本組成;了解多種組合體系結(jié)構(gòu)的基本組成;熟悉防火墻的產(chǎn)品選購和設(shè)計(jì)策略;了解個(gè)人版防火墻的特點(diǎn)，了解瑞星個(gè)人版防火墻的操作方法。,本章學(xué)習(xí)要求,第六章 防火墻工作原理及應(yīng)用,6.1 防火墻概述 6.2 防火墻技術(shù) 6.3 防火墻的體系結(jié)構(gòu) 6.4 防火墻選型與產(chǎn)品簡介 6.5 個(gè)人防火墻實(shí)例簡介,主要內(nèi)容,,第六章 防火墻工作原

3、理及應(yīng)用,6.1 防火墻概述,6.1.1 防火墻的基本概念防火墻：通常是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障;是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)網(wǎng)絡(luò)安全策略控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力;是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)和核心控制設(shè)備，能夠有效地監(jiān)控內(nèi)部網(wǎng)和互聯(lián)網(wǎng)之間的任何活動(dòng)，防止發(fā)生不可預(yù)測的、潛在破

4、壞性的侵入，從而保證內(nèi)部網(wǎng)絡(luò)的安全;已經(jīng)成為世界上用得最多的網(wǎng)絡(luò)安全產(chǎn)品之一。,6.1 防火墻概述,防火墻布局圖：,圖6-1 網(wǎng)絡(luò)防火墻,6.1 防火墻概述,防火墻工作原理,圖6-2 防火墻工作原理,6.1 防火墻概述,防火墻具有以下5項(xiàng)基本功能。 過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)。管理進(jìn)出網(wǎng)絡(luò)的訪問行為。封堵某些禁止的業(yè)務(wù)。記錄通過防火墻的信息內(nèi)容和活動(dòng)。對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測和報(bào)警。,,,6.1.2 防火墻的發(fā)展簡史,第一代防火墻

5、 1983年，第一代防火墻幾乎與路由器同時(shí)出現(xiàn)，采用了包過濾（Packet Filter）技術(shù)。第二代防火墻 1989年，貝爾實(shí)驗(yàn)室的Dave Presotto和Howard Trickey推出了第二代防火墻(電路級(jí)防火墻)，并提出了應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。第三代防火墻 1992年，美國南加州大學(xué)(USC) 的Bob Braden開發(fā)出基于動(dòng)態(tài)包過濾（Dynamic Packe

6、t Filter）技術(shù)的第三代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視（State Fulinspection）技術(shù)；同時(shí)，以色列的Check Point公司于1994年開發(fā)出第一個(gè)基于這種技術(shù)的商業(yè)化產(chǎn)品。,6.1 防火墻概述,,,6.1.2 防火墻的發(fā)展簡史,第四代防火墻 防火墻技術(shù)和產(chǎn)品隨著網(wǎng)絡(luò)攻擊和安全防護(hù)手段的發(fā)展而演進(jìn)，到1997年初，具有安全操作系統(tǒng)的防火墻產(chǎn)品面世，使防火墻技術(shù)步入了第四代。第五代防火墻

7、 1998年，美國網(wǎng)絡(luò)聯(lián)盟(NAI)公司推出一種自適應(yīng)代理（Adaptive Proxy）技術(shù)，并在其產(chǎn)品Gauntlet Firewall for NT中得以實(shí)現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。,6.1 防火墻概述,,6.1.3 設(shè)置防火墻的目的和功能,目的：限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)；過濾掉不安全的服務(wù)和非法用戶；防止入侵者接近用戶的防御設(shè)施；限定人們訪問特殊站點(diǎn)；為監(jiān)視局域網(wǎng)安全提供方

8、便。功能:控制對(duì)受保護(hù)網(wǎng)絡(luò)的非法訪問，通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)，另一方面對(duì)內(nèi)屏蔽外部危險(xiǎn)站點(diǎn)，用以防范外對(duì)內(nèi)、內(nèi)對(duì)外的非法訪問。,6.1 防火墻概述,6.1 防火墻概述,防火墻功能主要表現(xiàn)在以下4個(gè)方面：防火墻是網(wǎng)絡(luò)安全的屏障 防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略 對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì) 防止內(nèi)部信息的外泄防火墻支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。,6.

9、1 防火墻概述,不能防范不經(jīng)由防火墻的攻擊；不能防止感染了病毒的軟件或文件的傳輸；不能防止數(shù)據(jù)驅(qū)動(dòng)型攻擊；不能防范惡意的內(nèi)部人員入侵；▲不能防范不斷更新的攻擊方式；難于管理和配置，易造成安全漏洞；很難為用戶在防火墻內(nèi)外提供一致的安全策略。 防火墻不能解決所有網(wǎng)絡(luò)安全問題，它只是網(wǎng)絡(luò)安全策略中的一個(gè)組成部分,6.1.4 防火墻的局限性,,,6.1.5 防火墻技術(shù)的發(fā)展動(dòng)態(tài)和趨勢 防火墻產(chǎn)品正向以下趨勢發(fā)展：優(yōu)

10、良的性能；可擴(kuò)展的結(jié)構(gòu)和功能；簡化的安裝與管理；主動(dòng)過濾；防病毒與防黑客。防火墻技術(shù)下一步的走向和選擇，也可能會(huì)包含以下幾個(gè)方面：,6.1 防火墻概述,6.1 防火墻概述,6.1.5 防火墻技術(shù)的發(fā)展動(dòng)態(tài)和趨勢 防火墻將從目前對(duì)子網(wǎng)或內(nèi)部網(wǎng)絡(luò)管理的方式向遠(yuǎn)程上網(wǎng)集中管理的方式發(fā)展。過濾深度不斷加強(qiáng)，從目前的地址、服務(wù)過濾，發(fā)展到URL（頁面）過濾、關(guān)鍵字過濾和對(duì)ActiveX、Java小應(yīng)用程序等的過濾，并逐漸有病毒

11、清除功能。利用防火墻建立專用網(wǎng)VPN是較長一段時(shí)間的主流，IP的加密需求越來越強(qiáng)，安全協(xié)議的開發(fā)是一大熱點(diǎn)。對(duì)網(wǎng)絡(luò)攻擊的檢測和報(bào)警將成為防火墻的重要功能。安全管理工具不斷完善，特別是可疑活動(dòng)的日志分析工具等將成為防火墻產(chǎn)品中的一部分 未來防火墻技術(shù)會(huì)全面考慮網(wǎng)絡(luò)的安全、操作系統(tǒng)的安全、應(yīng)用程序的安全、用戶的安全、數(shù)據(jù)的安全等5個(gè)方面,,,,6.2 防火墻技術(shù),6.2.1 防火墻的分類 基于實(shí)現(xiàn)方法分類軟件防火墻、硬

12、件防火墻和專用防火墻等；基于防火墻技術(shù)原理分類 包過濾防火墻、代理服務(wù)器防火墻、狀態(tài)檢測防火墻和自適應(yīng)防火墻等；基于防火墻硬件環(huán)境分類 基于路由器、基于主機(jī)等；基于防火墻的功能分類E-mail防火墻、病毒防火墻和個(gè)人防火墻等；,,,,1．基本原理包過濾是防火墻為系統(tǒng)提供安全保障的主要技術(shù)，可在網(wǎng)絡(luò)層對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行有選擇的控制與操作；包過濾操作一般都是在選擇路由的同時(shí)，在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇或過濾；選擇的依據(jù)是

13、系統(tǒng)內(nèi)設(shè)置的過濾邏輯（訪問控制表），并指定哪些類型的數(shù)據(jù)包可以流入或流出內(nèi)部網(wǎng)絡(luò)；過濾規(guī)則一般以IP數(shù)據(jù)包信息為基礎(chǔ)，對(duì)IP數(shù)據(jù)包的源/目的地址、傳輸方向、分包、IP數(shù)據(jù)包封裝協(xié)議、TCP/UDP目標(biāo)端口號(hào)等進(jìn)行篩選和過濾。,6.2.2 包過濾技術(shù),6.2 防火墻技術(shù),,,,,圖6-3 包過濾防火墻工作原理,需遵循的一條基本原則就是“最小特權(quán)原則”，即明確允許管理員希望通過的那些數(shù)據(jù)包，禁止其他的數(shù)據(jù)包。,6.2 防火墻技術(shù),,,

14、2．包過濾技術(shù)的優(yōu)點(diǎn)不用改動(dòng)應(yīng)用程序；一個(gè)過濾路由器能協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò) ；數(shù)據(jù)包過濾對(duì)用戶透明 ；過濾路由器速度快、效率高。包過濾技術(shù)是一種通用、廉價(jià)、有效的安全手段,6.2 防火墻技術(shù),,,3．包過濾技術(shù)的缺點(diǎn) 安全性較差 一些應(yīng)用協(xié)議不適用 正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略 不能徹底防止地址欺騙 數(shù)據(jù)包工具存在很多局限性 它是第一代防火墻技術(shù)，本身存在較多缺陷，不能提供較高的安全性

15、。在實(shí)際應(yīng)用中，很少把包過濾技術(shù)當(dāng)作單獨(dú)的安全解決方案，通常是把它與應(yīng)用網(wǎng)關(guān)配合使用或與其他防火墻技術(shù)揉合在一起使用，共同組成防火墻系統(tǒng)。,6.2 防火墻技術(shù),,,,6.2.3 代理服務(wù)技術(shù)代理防火墻模式提供了十分先進(jìn)的安全控制機(jī)制，它通過在協(xié)議棧的最高層（應(yīng)用層）檢查每一個(gè)包來提供足夠的應(yīng)用級(jí)連接信息。代理防火墻工作于應(yīng)用層，且針對(duì)特定的應(yīng)用層協(xié)議，通過代理可以實(shí)現(xiàn)比包過濾更嚴(yán)格的安全策略。代理防火墻分為應(yīng)用層網(wǎng)關(guān)和電路級(jí)網(wǎng)

16、關(guān)兩類。,,6.2 防火墻技術(shù),,,,1．基本原理代理服務(wù)器：是運(yùn)行在防火墻主機(jī)上的一些特定的應(yīng)用程序或者服務(wù)程序，它們代表客戶在服務(wù)器端進(jìn)行連接請(qǐng)求。當(dāng)代理服務(wù)器收到一個(gè)客戶的連接請(qǐng)求時(shí)，它將核實(shí)客戶請(qǐng)求，并用特定的安全化的代理應(yīng)用程序來處理連接請(qǐng)求，并將處理后的請(qǐng)求傳遞到真實(shí)的服務(wù)器上，然后接收服務(wù)器應(yīng)答，并作進(jìn)一步處理后，將答復(fù)交給發(fā)出請(qǐng)求的最終客戶。代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)發(fā)揮了中間轉(zhuǎn)接和隔離內(nèi)、外部網(wǎng)

17、絡(luò)的作用，所以又稱為代理防火墻。,,6.2 防火墻技術(shù),,,,,,圖6-4 代理防火墻的應(yīng)用層數(shù)據(jù)控制及傳輸過程,,6.2 防火墻技術(shù),,,,代理防火墻最突出的特點(diǎn)：將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個(gè)代理服務(wù)器上的“鏈接”來實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。代理防火墻在發(fā)現(xiàn)被攻擊的跡象時(shí)，將向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊現(xiàn)場。

18、在代理服務(wù)中，內(nèi)部各站點(diǎn)之間的連接被切斷了，代理服務(wù)在幕后操縱著各站點(diǎn)間的連接。,,6.2 防火墻技術(shù),,,,2．應(yīng)用層網(wǎng)關(guān)防火墻 （1）工作原理應(yīng)用層網(wǎng)關(guān)防火墻是傳統(tǒng)代理型防火墻，在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時(shí)對(duì)數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì)，形成報(bào)告。其核心技術(shù)就是代理服務(wù)器技術(shù)，是基于軟件的，通常安裝在專用工作站系統(tǒng)上。這種防火墻

19、通過代理技術(shù)參與到一個(gè)TCP連接的全過程，并在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能，即：應(yīng)用層網(wǎng)關(guān)。,,6.2 防火墻技術(shù),,,,,圖6-5 應(yīng)用網(wǎng)關(guān)防火墻實(shí)現(xiàn)原理,,,6.2 防火墻技術(shù),,,,（2）優(yōu)點(diǎn)應(yīng)用層網(wǎng)關(guān)防火墻最突出的優(yōu)點(diǎn)就是安全，這種類型的防火墻被網(wǎng)絡(luò)安全專家和媒體公認(rèn)為是最安全的防火墻。 （3）缺點(diǎn)代理防火墻的最大缺點(diǎn)就是速度相對(duì)比較慢，當(dāng)用戶對(duì)內(nèi)外網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí)，代理防火墻就會(huì)成為內(nèi)外網(wǎng)絡(luò)之間

20、的瓶頸。,,6.2 防火墻技術(shù),,,,3．電路級(jí)網(wǎng)關(guān)防火墻電路級(jí)網(wǎng)關(guān)（ /TCP通道）防火墻：數(shù)據(jù)包被提交給用戶的應(yīng)用層進(jìn)行處理，電路級(jí)網(wǎng)關(guān)用來在兩個(gè)通信的終點(diǎn)之間轉(zhuǎn)換數(shù)據(jù)包。電路級(jí)網(wǎng)關(guān)通過在TCP 3次握手建立連接的過程中，檢查雙方的SYN、ACK和序列號(hào)是否符合邏輯，來判斷該請(qǐng)求的會(huì)話是否合法。一旦網(wǎng)關(guān)認(rèn)為會(huì)話是合法的，就為雙方建立連接，并維護(hù)一張合法會(huì)話連接表，當(dāng)會(huì)話信息與表中的條目匹配時(shí)才允許數(shù)據(jù)通過，會(huì)話結(jié)束后，表中的條

21、目就被刪除。,6.2 防火墻技術(shù),,,,,,圖6-6 電路級(jí)網(wǎng)關(guān)防火墻,,,6.2 防火墻技術(shù),,,,,,圖6-7 電路級(jí)網(wǎng)關(guān)防火墻工作原理,,,6.2 防火墻技術(shù),,,,4．代理服務(wù)技術(shù)的優(yōu)點(diǎn) 代理易于配置代理能生成各項(xiàng)記錄代理能靈活、完全地控制進(jìn)出流量、內(nèi)容代理能過濾數(shù)據(jù)內(nèi)容代理能為用戶提供透明的加密機(jī)制代理可以方便地與其他安全手段集成,,6.2 防火墻技術(shù),,,,5．代理服務(wù)技術(shù)的缺點(diǎn) 代理速度較路由器慢 代理

22、對(duì)用戶不透明 對(duì)于每項(xiàng)服務(wù)代理可能要求不同的服務(wù)器 代理服務(wù)不能保證免受所有協(xié)議弱點(diǎn)的限制 代理不能改進(jìn)底層協(xié)議的安全性,,6.2 防火墻技術(shù),,,,6．兩種防火墻技術(shù)的對(duì)比,,6.2 防火墻技術(shù),,,,6．兩種防火墻技術(shù)的對(duì)比代理服務(wù)器對(duì)整個(gè)IP數(shù)據(jù)包的數(shù)據(jù)進(jìn)行掃描，能夠比包過濾器提供更詳細(xì)的日志文件。如果數(shù)據(jù)包和包過濾規(guī)則匹配，就允許數(shù)據(jù)包通過防火墻；而代理服務(wù)器要用新的源IP地址重建數(shù)據(jù)包，這樣對(duì)外隱藏了內(nèi)部用戶。

23、使用代理服務(wù)器，意味著在Internet上必須有一個(gè)服務(wù)器，且內(nèi)部主機(jī)不能直接與外部主機(jī)相連，因此帶有惡意攻擊的外部數(shù)據(jù)包也就不能到達(dá)內(nèi)部主機(jī)。對(duì)網(wǎng)絡(luò)通信而言，如果包過濾器由于某種原因不能工作，可能出現(xiàn)的結(jié)果是所有的數(shù)據(jù)包都能到達(dá)內(nèi)部網(wǎng)；而如果代理服務(wù)器由于某種原因不能工作，整個(gè)網(wǎng)絡(luò)通信將被終止。,,6.2 防火墻技術(shù),,,,6.2.4 狀態(tài)檢測技術(shù)狀態(tài)包檢測防火墻：在網(wǎng)絡(luò)層攔截輸入包，并利用足夠的企圖連接的狀態(tài)信息作出決策（

24、通過對(duì)高層的信息進(jìn)行某種形式的邏輯或數(shù)學(xué)運(yùn)算）。狀態(tài)包檢測模式增加了更多的包和包之間的安全上下文檢查，以達(dá)到與應(yīng)用級(jí)代理防火墻相類似的安全性能。,,6.2 防火墻技術(shù),圖6-8 狀態(tài)包檢測防火墻,6.2 防火墻技術(shù),安全決策所需的相關(guān)狀態(tài)信息在操作系統(tǒng)內(nèi)核的私有檢測模塊中進(jìn)行檢測，然后保留在評(píng)價(jià)后續(xù)連接企圖的動(dòng)態(tài)狀態(tài)表（庫）中；被檢查通過的包發(fā)往防火墻內(nèi)部，允許直接連接內(nèi)部、外部主機(jī)系統(tǒng)； 狀態(tài)包檢測防火墻工作在協(xié)議棧的較低層，

25、通過防火墻的所有數(shù)據(jù)包都在低層進(jìn)行處理，無需協(xié)議棧的上層來處理任何數(shù)據(jù)包；狀態(tài)包檢測防火墻不依靠與應(yīng)用有關(guān)的代理，而是依靠某種算法來識(shí)別進(jìn)出的應(yīng)用層數(shù)據(jù)。,,,,6.2.5 自適應(yīng)代理技術(shù)自適應(yīng)代理技術(shù)將前幾代防火墻的優(yōu)點(diǎn)合成到一個(gè)單一的完整系統(tǒng)中并使它們的弱點(diǎn)縮減到最小；組成這種類型防火墻的基本要素有兩個(gè)：自適應(yīng)代理服務(wù)器與動(dòng)態(tài)包過濾器。在自適應(yīng)代理與動(dòng)態(tài)包過濾器之間存在一個(gè)控制通道。在對(duì)防火墻進(jìn)行配置時(shí)，用戶僅僅將所需要的

26、服務(wù)類型、安全級(jí)別等信息通過相應(yīng)代理的管理界面進(jìn)行設(shè)置就可以了。然后，自適應(yīng)代理就可以根據(jù)用戶的配置信息，決定是使用代理服務(wù)從應(yīng)用層代理請(qǐng)求或是從網(wǎng)絡(luò)層轉(zhuǎn)發(fā)數(shù)據(jù)包。,,6.2 防火墻技術(shù),,,,,,6.3 防火墻的體系結(jié)構(gòu),6.3.1 屏蔽路由器 屏蔽路由器（Screening Router，SR）又稱為包過濾路由器，是最簡單也是最常見的防火墻。屏蔽路由器作為內(nèi)外連接的唯一通道，要求所有的報(bào)文都必須在此通過檢查；

27、它除了具有路由功能外，還可安裝包過濾軟件，利用包過濾規(guī)則完成基本的防火墻功能。屏蔽路由器可以由廠家專門生產(chǎn)的路由器實(shí)現(xiàn)，也可以用主機(jī)來實(shí)現(xiàn)。,,,,,,,,,圖6-9 屏蔽路由器體系結(jié)構(gòu),,6.3 防火墻的體系結(jié)構(gòu),,,,,,缺點(diǎn)： （1）沒有或有很少的日志記錄能力，因此網(wǎng)絡(luò)管理員很難確定系統(tǒng)是否正在被入侵或已經(jīng)被入侵了。 （2）規(guī)則表隨著應(yīng)用的不斷深化，將會(huì)很快變得很大而且復(fù)雜。 （3）這種防火

28、墻的最大弱點(diǎn)是依靠一個(gè)單一的部件來保護(hù)系統(tǒng)，一旦部件出現(xiàn)問題，會(huì)使網(wǎng)絡(luò)的大門敞開，而用戶可能還不知道。,6.3 防火墻的體系結(jié)構(gòu),,,,,,6.3.2 雙重宿主主機(jī)體系結(jié)構(gòu) 雙重宿主主機(jī)（Dual Homed Host，DHH） 體系結(jié)構(gòu)是圍繞具有雙重宿主的堡壘主機(jī)構(gòu)筑的，該堡壘主機(jī)至少有兩塊網(wǎng)卡。使用應(yīng)用代理網(wǎng)關(guān)作為雙重宿主主機(jī)；該體系結(jié)構(gòu)對(duì)外屏蔽了內(nèi)部網(wǎng)絡(luò)信息，且IP數(shù)據(jù)包并不是直接從一個(gè)網(wǎng)絡(luò)（例如因特網(wǎng)）發(fā)送

29、到其他網(wǎng)絡(luò)（例如內(nèi)部的、被保護(hù)的網(wǎng)絡(luò)）的。,6.3 防火墻的體系結(jié)構(gòu),,,,,,,,,圖6-10 雙重宿主主機(jī)體系結(jié)構(gòu),,,6.3 防火墻的體系結(jié)構(gòu),,,,,,優(yōu)點(diǎn)：堡壘主機(jī)的系統(tǒng)軟件可用于維護(hù)系統(tǒng)日志、硬件復(fù)制日志或遠(yuǎn)程日志。這對(duì)于日后的檢查很有用，但尚不足以幫助網(wǎng)絡(luò)管理者確認(rèn)內(nèi)部網(wǎng)中哪些主機(jī)可能已被黑客入侵。弱點(diǎn)：對(duì)內(nèi)部網(wǎng)絡(luò)對(duì)外的網(wǎng)絡(luò)訪問控制過于嚴(yán)格，只能允許訪問應(yīng)用代理所支持的一些網(wǎng)絡(luò)應(yīng)用協(xié)議；一旦入侵者侵入堡壘主機(jī)并使

30、其只具有路由功能，則任何網(wǎng)上用戶均可以隨意訪問內(nèi)部網(wǎng)。,6.3 防火墻的體系結(jié)構(gòu),,,,,,6.3.3 屏蔽主機(jī)體系結(jié)構(gòu) 屏蔽主機(jī)網(wǎng)關(guān)（Screened Gateway，SG） 由屏蔽路由器和應(yīng)用網(wǎng)關(guān)組成，屏蔽路由器的作用是包過濾，應(yīng)用網(wǎng)關(guān)的作用是代理服務(wù)，即在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立了兩道安全屏障，既實(shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過濾），又實(shí)現(xiàn)了應(yīng)用層安全（代理服務(wù)）。 它具有雙重保護(hù)，比雙重宿主主機(jī)網(wǎng)關(guān)防火墻更

31、靈活，安全性更高；但由于要求對(duì)兩個(gè)部件進(jìn)行配置以便能協(xié)同工作，所以防火墻的配置工作很復(fù)雜。,6.3 防火墻的體系結(jié)構(gòu),,,,,,,,,圖6-11 屏蔽主機(jī)體系結(jié)構(gòu),,,6.3 防火墻的體系結(jié)構(gòu),,,,,,6.3 防火墻的體系結(jié)構(gòu),6.3.4 屏蔽子網(wǎng)體系結(jié)構(gòu) 屏蔽子網(wǎng)（Screened Subnet，SS） 防火墻是在屏蔽主機(jī)網(wǎng)關(guān)防火墻的基礎(chǔ)上再加一個(gè)路由器，兩個(gè)屏蔽路由器分別放在子網(wǎng)的兩端，形成一個(gè)被稱為隔離區(qū)或非

32、軍事區(qū)（Demilitarized Zone，DMZ）的子網(wǎng)，即在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)。 內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問被屏蔽子網(wǎng)，但禁止它們穿過被屏蔽子網(wǎng)進(jìn)行通信，像WWW和 FTP服務(wù)器等對(duì)外提供服務(wù)的服務(wù)器可放在DMZ中。有的屏蔽子網(wǎng)中還設(shè)有一臺(tái)堡壘主機(jī)作為唯一可訪問點(diǎn)，支持終端交互或作為應(yīng)用網(wǎng)關(guān)代理。,,,,,,,,,圖6-12 屏蔽子網(wǎng)體系結(jié)構(gòu),,,,6.3 防火墻的體系結(jié)構(gòu),,,,,,,,

33、,圖6-13 雙壘主機(jī)的屏蔽子網(wǎng)體系結(jié)構(gòu),,,,6.3.5 組合體系結(jié)構(gòu) 1．多堡壘主機(jī),,使用如圖6-13所示的多堡壘主機(jī)，可以改善網(wǎng)絡(luò)安全性能、引入冗余度以及隔離數(shù)據(jù)和服務(wù)器。,6.3 防火墻的體系結(jié)構(gòu),,,,,,,,,圖6-14 單個(gè)路由器的屏蔽子網(wǎng)體系結(jié)構(gòu),,,,2．合并內(nèi)部路由器和外部路由器,,其優(yōu)點(diǎn)是節(jié)約了路由器的開支，最主要的缺點(diǎn)是黑客只要攻破該路由器就可以進(jìn)入內(nèi)部網(wǎng)絡(luò)。,,6.3 防火墻的體系結(jié)構(gòu),,,,,,,,

34、,圖6-15 堡壘主機(jī)充當(dāng)外部路由器,,,,3．合并堡壘主機(jī)和外部路由器,,使用一個(gè)配有雙網(wǎng)卡的主機(jī)，既做堡壘主機(jī)又充當(dāng)外部路由器。在這種體系結(jié)構(gòu)中，堡壘主機(jī)沒有外部路由器的保護(hù)，直接暴露給了Internet，安全性不好。 該方案的唯一保護(hù)是堡壘主機(jī)自己提供的包過濾功能。,,,6.3 防火墻的體系結(jié)構(gòu),,,,,,,,,圖6-16 堡壘主機(jī)充當(dāng)內(nèi)部路由器,,,,4．合并堡壘主機(jī)和內(nèi)部路由器,,使用一個(gè)配有雙網(wǎng)卡的主機(jī)，既

35、做堡壘主機(jī)又充當(dāng)內(nèi)部路由器。此時(shí)，堡壘主機(jī)與內(nèi)部網(wǎng)通信，以便轉(zhuǎn)發(fā)從外部網(wǎng)獲得的信息。,,,,6.3 防火墻的體系結(jié)構(gòu),,,,,,,,圖6-17 多臺(tái)外部路由器的屏蔽子網(wǎng)過濾體系結(jié)構(gòu),,,,5．使用多臺(tái)外部路由器,,當(dāng)有兩臺(tái)外部路由器時(shí)，黑客攻入任一個(gè)路由器的機(jī)會(huì)就增加了一倍，多臺(tái)亦然。,,,,6.3 防火墻的體系結(jié)構(gòu),,,,,,,,,圖6-18 雙DMZ的屏蔽子網(wǎng)體系結(jié)構(gòu),,,,6．使用多個(gè)周邊網(wǎng)絡(luò),,優(yōu)點(diǎn)：提高了網(wǎng)絡(luò)冗余度，在數(shù)據(jù)

36、傳輸中將不同的網(wǎng)絡(luò)隔離開，增加了數(shù)據(jù)的保密性。缺點(diǎn)：存在多個(gè)路由器，它們都是進(jìn)入內(nèi)部網(wǎng)的通道。如果不能嚴(yán)格地監(jiān)控和管理這些路由器，就會(huì)給入侵者提供更多的機(jī)會(huì)。,,,,,,6.3 防火墻的體系結(jié)構(gòu),,,,,,6.4 防火墻選型與產(chǎn)品簡介,6.4.1 防火墻產(chǎn)品選購策略 首先，用戶需要了解一個(gè)防火墻系統(tǒng)應(yīng)具備的基本功能，這是用戶選擇防火墻產(chǎn)品的依據(jù)和前提；其次，選購防火墻時(shí)主要應(yīng)該考慮安全性、高效性、適用性、可管理性和

37、售后服務(wù)體系等因素。 1．防火墻的安全性 防火墻自身的安全性也很重要。防火墻也是網(wǎng)絡(luò)上的主機(jī)之一，也可能存在安全問題，當(dāng)防火墻主機(jī)上所運(yùn)行的軟件出現(xiàn)安全漏洞時(shí)，防火墻本身也將受到威脅，此時(shí)任何的防火墻控制機(jī)制都可能失效。,,,,,,6.4 防火墻選型與產(chǎn)品簡介,2．防火墻的高效性 用戶的需求是選購何種性能防火墻的決定因素。用戶常見的需求可能包括： （1）網(wǎng)絡(luò)地址轉(zhuǎn)換功能NAT

38、 （2）雙重域名服務(wù)DNS （3）虛擬專用網(wǎng)絡(luò)VPN （4）殺毒功能 （5）特殊控制需求,,,,,,6.4 防火墻選型與產(chǎn)品簡介,3．防火墻的適用性 適用性是指量力而行。 另外，還應(yīng)該考慮用戶自身的因素。例如： （1）用戶網(wǎng)絡(luò)受威脅的程度。 （2）若入侵者闖入網(wǎng)絡(luò)，或由于硬件、軟件失效，將要受到的潛在損失。 （3）其他已經(jīng)用來保護(hù)網(wǎng)絡(luò)及其資源的

39、安全措施。 （4）希望能從Internet得到的服務(wù)以及可以同時(shí)通過防火墻的用戶數(shù)目。 （5）站點(diǎn)是否有經(jīng)驗(yàn)豐富的管理員。 （6）今后可能的要求，例如要求增加通過防火墻的網(wǎng)絡(luò)活動(dòng)或要求新的Internet服務(wù)等。,,,,,,6.4 防火墻選型與產(chǎn)品簡介,4．防火墻的可管理性 防火墻的管理是對(duì)安全性的一個(gè)補(bǔ)充。 對(duì)管理的評(píng)估，可以從以下3個(gè)方面進(jìn)行。 （1）遠(yuǎn)程管理

40、 （2）訪問控制規(guī)則的配置界面應(yīng)該直觀、使用簡單 （3）日志文件不僅能幫助用戶追查攻擊者的蹤跡，還可以記錄流量。 因此，最好選擇擁有界面友好、易于編程的IP過濾語言及便于維護(hù)管理的防火墻。,,,,,,6.4 防火墻選型與產(chǎn)品簡介,5．完善、及時(shí)的售后服務(wù)體系 目前沒有任何一個(gè)防火墻的設(shè)計(jì)能夠適用于所有的環(huán)境，所以用戶在選購防火墻時(shí)不要把防火墻的等級(jí)看得過重，而應(yīng)根據(jù)網(wǎng)絡(luò)站點(diǎn)的特點(diǎn)來選擇合適的防火墻，

41、能夠滿足安全要求即可，不要盲目追求高性能。 防火墻不是解決所有網(wǎng)絡(luò)安全問題的萬能藥方，而只是網(wǎng)絡(luò)安全策略中的一個(gè)組成部分，這是用戶在決定購買防火墻產(chǎn)品之前就應(yīng)該明確的問題。,,6.4 防火墻選型與產(chǎn)品簡介,6.4.2 典型防火墻產(chǎn)品介紹 一個(gè)成功的防火墻產(chǎn)品應(yīng)該具有以下基本功能：（1）防火墻的設(shè)計(jì)策略應(yīng)遵循安全防范的基本原則——“除非明確允許，否則就應(yīng)該禁止”。（2）防火墻本身支持安全策略，而不是

42、添加上去的。（3）若組織機(jī)構(gòu)的安全策略發(fā)生改變，可以加入新的服務(wù)。（4）有先進(jìn)的認(rèn)證手段或有掛鉤程序，可以安裝先進(jìn)的認(rèn)證方法。（5）如果需要，可運(yùn)用過濾技術(shù)允許和禁止服務(wù)。（6）可以使用FTP和Telnet等服務(wù)代理，以便先進(jìn)的認(rèn)證手段可以被安裝和運(yùn)行在防火墻上。（7）擁有界面友好、易于編程的IP過濾語言，并可以根據(jù)數(shù)據(jù)包的性質(zhì)進(jìn)行包過濾。,,,,,6.4 防火墻選型與產(chǎn)品簡介,6.4.2 典型防火墻產(chǎn)品介紹從實(shí)力和市場地

43、位來分:國外防火墻廠家：比較著名的是Juniper（NetScreen），Cisco(ASA)，CheckPoint(FW)等。它們共同的特點(diǎn)就是自身擁有雄厚的開發(fā)實(shí)力，產(chǎn)品線比較齊全，有比較完善的銷售渠道和技術(shù)支持體系，它們的主要客戶包括電信、金融等高端用戶群。國內(nèi)一線廠家：包括天融信、安氏、聯(lián)想、東軟等。它們的主要客戶包括政府、企業(yè)等用戶群。國內(nèi)二線廠家：這里包含了許多廠商：方正、億陽、東方龍馬、中網(wǎng)、天網(wǎng)、網(wǎng)威、得實(shí)、華依等

44、等，這些廠商的共同特點(diǎn)就是有一定的研發(fā)實(shí)力和知名度，但在產(chǎn)品解決方案、銷售網(wǎng)絡(luò)和售后支持等方面相比起上兩類廠商還有很多不足。,,,,,6.4 防火墻選型與產(chǎn)品簡介,6.4.2 典型防火墻產(chǎn)品介紹從防火墻的性能上分：SOHO級(jí)產(chǎn)品的并發(fā)連接數(shù)小于1萬；百兆級(jí)產(chǎn)品的并發(fā)連接數(shù)中小于五、六萬的屬于低端，在五六萬到十五萬左右的屬于中端，十五萬以上的屬于高端；千兆產(chǎn)品的并發(fā)連接數(shù)應(yīng)該在25萬以上。這些防火墻產(chǎn)品相應(yīng)的成交價(jià)格范圍：

45、SOHO在1萬以內(nèi)；百兆低端產(chǎn)品在兩萬以內(nèi)，百兆中端產(chǎn)品在兩萬到五萬之內(nèi)，百兆高端在五萬到九萬之間；千兆產(chǎn)品由于配置的區(qū)別價(jià)格都在10萬60萬不等。,,,,,6.4 防火墻選型與產(chǎn)品簡介,6.4.2 典型防火墻產(chǎn)品介紹,2010年第一季度國內(nèi)主流防火墻品牌市場占有率,,,,,6.4 防火墻選型與產(chǎn)品簡介,6.4.2 典型防火墻產(chǎn)品介紹,,,,,,6.4 防火墻選型與產(chǎn)品簡介,1．3Com Office Connect Firewa

46、ll 其產(chǎn)品特性如下： （1）新增的網(wǎng)絡(luò)管理模塊使技術(shù)經(jīng)驗(yàn)有限的用戶也能保障其商業(yè)信息的安全。 （2）Office Connect Internet Firewall使用全靜態(tài)數(shù)據(jù)包檢驗(yàn)技術(shù)來防止非法的網(wǎng)絡(luò)接入和防止來自Internet的“拒絕服務(wù)”攻擊，它還可以限制局域網(wǎng)用戶對(duì)Internet的不恰當(dāng)使用。 （3）Office Connect Internet Firewall DMZ可支持多達(dá)1

47、00個(gè)局域網(wǎng)用戶，整個(gè)辦公室可以共享ISP提供的一個(gè)IP地址，從而節(jié)省開支；局域網(wǎng)上的公共服務(wù)器既可以被Internet訪問，又不會(huì)使局域網(wǎng)遭受攻擊。 （4）3Com公司所有的防火墻產(chǎn)品很容易通過Getting Started Wizard進(jìn)行安裝，使用方便。,,,,,,6.4 防火墻選型與產(chǎn)品簡介,2．Cisco PIX防火墻 Cisco防火墻與眾不同的特點(diǎn)是基于硬件。 （1）實(shí)時(shí)嵌入式操作系

48、統(tǒng)。 （2）保護(hù)方案基于自適應(yīng)安全算法ASA，可以確保最高的安全性。 （3）用于驗(yàn)證和授權(quán)的“直通代理”技術(shù)。 （4）最多支持250000個(gè)同時(shí)連接。 （5）URL過濾。 （6）HP Open View集成。 （7）通過電子郵件和尋呼機(jī)提供報(bào)警。 （8）通過專用鏈路加密卡提供VPN支持。 （9）符合委托技術(shù)評(píng)估計(jì)劃TTAP，經(jīng)過了美國安全事務(wù)

49、處NSA的認(rèn)證，同時(shí)通過了中國公安部安全檢測中心的認(rèn)證（PIX520除外）。,,,,,,6.4 防火墻選型與產(chǎn)品簡介,3．Check Point FireWall-1 Check Point成名的部分原因歸功于其安全性開放式平臺(tái)（Open Platform for Security，OPSEC）。OPSEC聯(lián)盟成立于1997年，Check Point當(dāng)時(shí)的想法是向用戶提供完整的、能夠在多廠商之間進(jìn)行緊密集成的網(wǎng)絡(luò)安全

50、解決方案。目前世界上許多著名的大公司，例如IBM、HP、Cisco、3Com、BAY Networks等，都已經(jīng)成為OPSEC的成員，而其合作伙伴超過了 300個(gè)。 FireWall-1是Check Point眾多網(wǎng)絡(luò)安全產(chǎn)品中最重要的之一，也是業(yè)界領(lǐng)先的企業(yè)級(jí)安全性套件。它集成了訪問控制、用戶認(rèn)證、NAT、VPN、內(nèi)容安全性、審計(jì)和報(bào)告等特性。OPSEC框架為FireWall-1和許多第三方安全應(yīng)用提供了集

51、成能力和企業(yè)級(jí)管理能力。,,,,,,6.4 防火墻選型與產(chǎn)品簡介,4．AXENT Raptor Raptor是最優(yōu)秀的代理型防火墻之一。其界面易讀、易操作，在實(shí)時(shí)日志方面，僅次于FireWall-1。Raptor的優(yōu)勢在于其代理的深度和廣度。它提供對(duì)多種操作系統(tǒng)服務(wù)器的保護(hù)，還具有SQL*NET代理功能，可控制對(duì)Oracle數(shù)據(jù)庫的訪問。Raptor在SMTP方面做得很好，而且它是唯一可防止緩存溢出的防火墻。另外，它還

52、可以代理網(wǎng)絡(luò)新聞傳輸協(xié)議NNTP和網(wǎng)絡(luò)時(shí)間協(xié)議NTP。,,,,,,6.4 防火墻選型與產(chǎn)品簡介,5．CyberGuard Firewall CyberGuard Firewall是由CyberGuard公司開發(fā)的，其主要結(jié)構(gòu)是基于CX/SX多層式安全操作系統(tǒng)的，操作簡單，很容易上手。CyberGuard Firewall與其他防火墻產(chǎn)品不同的地方在于，它提供一種可以安裝在防火墻上的加密卡。通過加密卡，可以進(jìn)行硬件加

53、密，這對(duì)于整體性能有顯著的提高。另外，還支持網(wǎng)絡(luò)地址轉(zhuǎn)換、Sock、分布式DNS等。,,,,,,6.4 防火墻選型與產(chǎn)品簡介,6．東軟NetEye 于1991年在東北大學(xué)創(chuàng)立的東軟集團(tuán)是中國領(lǐng)先的軟件與解決方案提供商。東軟NetEye防火墻基于專門的硬件平臺(tái)，使用專有的ASIC芯片和專有的操作系統(tǒng)，基于狀態(tài)包過濾的“流過濾”體系結(jié)構(gòu)。圍繞流過濾平臺(tái)，東軟構(gòu)建了網(wǎng)絡(luò)安全響應(yīng)小組、應(yīng)用升級(jí)包開發(fā)小組、網(wǎng)絡(luò)安全實(shí)驗(yàn)室，不

54、僅帶給用戶高性能的應(yīng)用層保護(hù)，還包括新應(yīng)用的及時(shí)支持、特殊應(yīng)用的定制開發(fā)、安全攻擊事件的及時(shí)響應(yīng)等。,,,,,,6.4 防火墻選型與產(chǎn)品簡介,6.4.3 防火墻選型舉例 1．小型辦公和家用網(wǎng)絡(luò) 小型、家庭辦公和家用網(wǎng)絡(luò)（Small Office Home Office，SOHO）要管理的用戶和機(jī)器比較少，而且只需要訪問極少量的Internet服務(wù)，例如電子郵件、Web以及有時(shí)需要的流媒體。在這種情形下，簡

55、單的數(shù)據(jù)包過濾防火墻就足夠了?，F(xiàn)在大部分SOHO路由器都具有防火墻、VPN、地址映射、端口映射、DHCP服務(wù)、自動(dòng)撥號(hào)、支持虛擬服務(wù)器以及支持動(dòng)態(tài)DNS等功能。 華為Quidway R1600，清華同方TFB-104R+、Linksys、Netgear、D-Link，3Com等公司出品的寬帶路由器，WatchGuard的Firebox SOHO，Symantec的Norton Personal Firewall、NetSc

56、reen以及SonicWall SOHO完全適用于這種環(huán)境；Cisco和Check Point也提供小型辦公室版本的PIX和FireWall-1，不過價(jià)格要高一點(diǎn)。,,,,,,6.4 防火墻選型與產(chǎn)品簡介,2．中小型企業(yè)網(wǎng)絡(luò) 中小型企業(yè)以及遠(yuǎn)程辦公環(huán)境需要提供Web服務(wù)、電子郵件、流媒體以及文件傳輸和終端訪問。防火墻較多考慮高容量、高速度、低延遲、高可靠性以及防火墻本身的健壯性，并且開始支持雙機(jī)熱備份。 東

57、軟NetEye、WatchGuard Firebox和SonicWall等產(chǎn)品比較適合這種場合。 3．大型網(wǎng)絡(luò) 大型企業(yè)、校園網(wǎng)和服務(wù)提供商面對(duì)的是復(fù)雜的大型環(huán)境，擁有眾多用戶并提供諸多復(fù)雜服務(wù)。有些服務(wù)看似簡單，但實(shí)際上需要防火墻開放多個(gè)端口服務(wù)。例如，VoIP和NetMeeting，這兩種服務(wù)都需要為25種以上的不同服務(wù)開放端口。因此在復(fù)雜的大型環(huán)境中，應(yīng)該使用支持集中式防火墻管理和配置功能的防火墻。例如

58、，Cisco PIX、Check Point FireWall-1和NetScreen等。,,,,,,6.5 個(gè)人防火墻實(shí)例簡介,6.5.1 個(gè)人防火墻 1．個(gè)人防火墻的概念 所謂個(gè)人防火墻，就是指一種能夠保護(hù)個(gè)人計(jì)算機(jī)系統(tǒng)安全、可以直接在用戶計(jì)算機(jī)操作系統(tǒng)上運(yùn)行的軟件。它是應(yīng)用程序級(jí)的，使用與狀態(tài)檢測防火墻相同的方式來保護(hù)計(jì)算機(jī)免受攻擊。通常這些防火墻安裝在計(jì)算機(jī)網(wǎng)絡(luò)接口的較低級(jí)別上，使它們可以監(jiān)視通過

59、網(wǎng)卡的所有網(wǎng)絡(luò)通信。,,,,,,6.5 個(gè)人防火墻實(shí)例簡介,2．個(gè)人防火墻的優(yōu)點(diǎn) （1）增加了保護(hù)功能 （2）易于配置 （3）廉價(jià) 3．個(gè)人防火墻的缺點(diǎn) （1）接口通信受限 （2）集中管理比較困難 （3）性能限制,,,,,,6.5 個(gè)人防火墻實(shí)例簡介,6.5.2 瑞星個(gè)人版防火墻 瑞星個(gè)人防火墻是由瑞星軟件公司開發(fā)的，供個(gè)人計(jì)算機(jī)使用的網(wǎng)絡(luò)安全

60、防護(hù)工具。它可以保護(hù)網(wǎng)絡(luò)安全，使網(wǎng)絡(luò)免受黑客攻擊。 它采用先進(jìn)的監(jiān)測技術(shù)，能夠有效地監(jiān)控網(wǎng)絡(luò)連接；利用內(nèi)置的、細(xì)化的規(guī)則設(shè)置，使網(wǎng)絡(luò)保護(hù)更加智能；同時(shí)，它具有游戲防盜、應(yīng)用程序保護(hù)等高級(jí)功能，可為個(gè)人計(jì)算機(jī)提供全面的安全保護(hù)；并且，通過過濾不安全的網(wǎng)絡(luò)訪問服務(wù)，極大地提高了用戶計(jì)算機(jī)的上網(wǎng)安全性，比較徹底地阻擋了黑客攻擊、木馬程序等網(wǎng)絡(luò)威脅，保護(hù)上網(wǎng)賬號(hào)、QQ密碼、網(wǎng)游賬號(hào)等信息不被竊取。,,,,,,6.5 個(gè)人防火墻實(shí)例

61、簡介,1．瑞星個(gè)人防火墻的安裝 2．瑞星個(gè)人防火墻的卸載 3．瑞星個(gè)人防火墻的使用與設(shè)置 4．選項(xiàng)卡介紹 5．瑞星個(gè)人防火墻的升級(jí),小結(jié),,,,,,防火墻通常是指設(shè)置在不同網(wǎng)絡(luò)（例如可信任的內(nèi)部網(wǎng)絡(luò)和不可信的外部網(wǎng)絡(luò)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是一種必不可少的安全增長點(diǎn)，是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，也是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)網(wǎng)絡(luò)安全策略控制（

62、允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)和核心控制設(shè)備，能夠有效地監(jiān)控內(nèi)部網(wǎng)和互聯(lián)網(wǎng)之間的任何活動(dòng)，防止發(fā)生不可預(yù)測的、潛在破壞性的侵入，從而保證內(nèi)部網(wǎng)絡(luò)的安全。 防火墻的功能主要體現(xiàn)在：它是網(wǎng)絡(luò)安全的屏障、可以強(qiáng)化網(wǎng)絡(luò)安全策略、對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)以及防止內(nèi)部信息的外泄4方面。,小結(jié),,,,,,防火墻也有其局限性，它不是解決所有網(wǎng)絡(luò)安全問題的

63、萬能藥方，而只是網(wǎng)絡(luò)安全策略中的一個(gè)組成部分。 防火墻有多種不同的分類方法：根據(jù)采用的技術(shù)不同，可分為包過濾防火墻和代理服務(wù)器防火墻；按照應(yīng)用對(duì)象的不同，可分為企業(yè)級(jí)防火墻與個(gè)人防火墻；依據(jù)實(shí)現(xiàn)的方法不同，又可分為軟件防火墻、硬件防火墻和專用防火墻。 包過濾是防火墻為系統(tǒng)提供安全保障的主要技術(shù)，它依據(jù)系統(tǒng)內(nèi)設(shè)置的訪問控制表，在網(wǎng)絡(luò)層對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行有選擇的控制與操作。包過濾操作一般都是在選擇路由的同時(shí)，

64、在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇或過濾。 包過濾防火墻邏輯簡單、價(jià)格便宜、易于安裝和使用、網(wǎng)絡(luò)性能和透明性好，通常安裝在路由器上，而路由器是內(nèi)部網(wǎng)絡(luò)與Internet連接必不可少的設(shè)備，因此在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費(fèi)用。,小結(jié),,,,,,包過濾的缺點(diǎn)是安全性較差、一些應(yīng)用協(xié)議不適用包過濾防火墻、正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略、不能徹底防止地址欺騙和數(shù)據(jù)包工具存在很多局限性等。 代

65、理服務(wù)器是運(yùn)行在防火墻主機(jī)上的一些特定的應(yīng)用程序或者服務(wù)程序，它們代表客戶在服務(wù)器端進(jìn)行連接請(qǐng)求。當(dāng)代理服務(wù)器收到一個(gè)客戶的連接請(qǐng)求時(shí)，它將核實(shí)客戶請(qǐng)求，并用特定的安全化的代理應(yīng)用程序來處理連接請(qǐng)求，并將處理后的請(qǐng)求傳遞到真實(shí)的服務(wù)器上，然后接收服務(wù)器應(yīng)答，并作進(jìn)一步處理后，將答復(fù)交給發(fā)出請(qǐng)求的最終客戶。代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)發(fā)揮了中間轉(zhuǎn)接和隔離內(nèi)、外部網(wǎng)絡(luò)的作用，所以又稱為代理防火墻。 代理（Proxy

66、）防火墻分為應(yīng)用層網(wǎng)關(guān)和電路級(jí)網(wǎng)關(guān)兩類。,小結(jié),,,,,,應(yīng)用層網(wǎng)關(guān)（Application Level Gateways）防火墻是傳統(tǒng)代理型防火墻，在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時(shí)對(duì)數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì)，形成報(bào)告。 應(yīng)用層網(wǎng)關(guān)防火墻最突出的優(yōu)點(diǎn)就是安全，最大缺點(diǎn)就是速度相對(duì)比較慢。 電路級(jí)網(wǎng)關(guān)是建立應(yīng)用層網(wǎng)關(guān)的一種更加靈活

67、的方法，是針對(duì)包過濾和應(yīng)用層網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)。電路級(jí)網(wǎng)關(guān)通過在TCP 3次握手建立連接的過程中，檢查雙方的SYN、ASK和序列號(hào)是否符合邏輯，來判斷該請(qǐng)求的會(huì)話是否合法。一旦網(wǎng)關(guān)認(rèn)為會(huì)話是合法的，就為雙方建立連接，并維護(hù)一張合法會(huì)話連接表，當(dāng)會(huì)話信息與表中的條目匹配時(shí)才允許數(shù)據(jù)通過，會(huì)話結(jié)束后，表中的條目就被刪除。,小結(jié),,,,,,代理技術(shù)具有代理易于配置、代理能生成各項(xiàng)記錄、代理能靈活并且完全地控制進(jìn)出流量和內(nèi)容、

68、代理能過濾數(shù)據(jù)內(nèi)容、代理能為用戶提供透明的加密機(jī)制、代理可以方便地與其他安全手段集成等優(yōu)點(diǎn)。 代理技術(shù)具有代理速度較路由器慢、代理對(duì)用戶不透明、對(duì)于每項(xiàng)服務(wù)代理可能要求不同的服務(wù)器、代理服務(wù)不能保證免受所有協(xié)議弱點(diǎn)的限制和代理不能改進(jìn)底層協(xié)議的安全性等缺點(diǎn)。 單純的包過濾技術(shù)簡單地查看每一個(gè)單一的輸入包信息，而狀態(tài)包檢測模式則增加了更多的包和包之間的安全上下文檢查，以達(dá)到與應(yīng)用級(jí)代理防火墻相類似的安全性能。狀