《網絡安全鄭萬波網絡安全5》由會員分享，可在線閱讀，更多相關《網絡安全鄭萬波網絡安全5（151頁珍藏版）》請在裝配圖網上搜索。

1、LOGO第第 5 講講LOGO2LOGO3v 防火墻定義防火墻定義 防火墻的本義原是指房屋之間修建的可以防止火災發(fā)防火墻的本義原是指房屋之間修建的可以防止火災發(fā)生時蔓延到別的房屋的墻。多數防火墻里都有一個重生時蔓延到別的房屋的墻。多數防火墻里都有一個重要的門，允許人們進入或離開房屋。即：防火墻在提要的門，允許人們進入或離開房屋。即：防火墻在提供增強安全性的同時允許必要的訪問。供增強安全性的同時允許必要的訪問。計算機網絡安全中的防火墻（計算機網絡安全中的防火墻（Firewall）指位于不同）指位于不同網絡安全域之間的軟件和硬件設備的一系列部件的組網絡安全域之間的軟件和硬件設備的一系列部件的組合合

2、,做為不同網絡安全域之間通信流的唯一通道，根做為不同網絡安全域之間通信流的唯一通道，根據用戶的有關安全策略控制進出不同網絡安全域的訪據用戶的有關安全策略控制進出不同網絡安全域的訪問。問。LOGO網絡安全 第7講 保密通信（一）v 防火墻定義防火墻定義 William Cheswick和和Steve Beilovin（1994）：防火墻是放置在）：防火墻是放置在兩個網絡之間的一組組件，這組組件共同具有下列性質：兩個網絡之間的一組組件，這組組件共同具有下列性質：只允許本地安全策略授權的通信信息通過只允許本地安全策略授權的通信信息通過 雙向通信信息必須通過防火墻雙向通信信息必須通過防火墻 防火墻本身

3、不會影響信息的流通防火墻本身不會影響信息的流通 防火墻是位于兩個信任程度不同的網絡之間（如企業(yè)內部網絡和Internet之間）的軟件或硬件設備的組合，它對兩個網絡之間的通信進行控制，通過強制實施統(tǒng)一的安全策略，防止對重要信息資源的非法存取和訪問以達到保護系統(tǒng)安全的目的。傳統(tǒng)防火墻概念特指網絡層實現LOGO5防火墻系統(tǒng)模型防火墻系統(tǒng)模型 DMZ即隔離區(qū)，也稱非軍事化區(qū)。它是為了解決安裝防火墻后外部網絡不能訪問即隔離區(qū)，也稱非軍事化區(qū)。它是為了解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題，而設立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這內部網絡服務器的問題，而設立的一個非安全系統(tǒng)與安全系統(tǒng)

4、之間的緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內部網絡和外部網絡之間的小網絡區(qū)域內，在這個小網絡區(qū)域個緩沖區(qū)位于企業(yè)內部網絡和外部網絡之間的小網絡區(qū)域內，在這個小網絡區(qū)域內可以放置一些必須公開的服務器設施，如內可以放置一些必須公開的服務器設施，如Web服務器、服務器、FTP服務器和論壇等。服務器和論壇等。LOGO6LOGO7v 防火墻本身必須具有很強的抗攻擊能力，以確保其自身的防火墻本身必須具有很強的抗攻擊能力，以確保其自身的安全性。簡單的防火墻可以只用路由器實現，復雜的可以安全性。簡單的防火墻可以只用路由器實現，復雜的可以用主機、專用硬件設備及軟件甚至一個子網來實現。用主機、專用硬件設備及軟件甚至一個子網

5、來實現。通常意義上講的硬防火墻為硬件防火墻，它是通過專用硬件和專通常意義上講的硬防火墻為硬件防火墻，它是通過專用硬件和專用軟件的結合來達到隔離內、外部網絡的目的，價格較貴，但效用軟件的結合來達到隔離內、外部網絡的目的，價格較貴，但效果較好，一般小型企業(yè)和個人很難實現。果較好，一般小型企業(yè)和個人很難實現。軟件防火墻是通過軟件的方式來達到，價格便宜，但這類防火墻軟件防火墻是通過軟件的方式來達到，價格便宜，但這類防火墻只能通過一定的規(guī)則來達到限制一些非法用戶訪問內部網的目的。只能通過一定的規(guī)則來達到限制一些非法用戶訪問內部網的目的。防火墻安裝和投入使用后，要想充分發(fā)揮它的安全防護作用，必防火墻安裝和

6、投入使用后，要想充分發(fā)揮它的安全防護作用，必須對它進行跟蹤和動態(tài)維護，并及時對防火墻進行更新。須對它進行跟蹤和動態(tài)維護，并及時對防火墻進行更新。LOGO8v防火墻的目的和功能防火墻的目的和功能 防火墻負責管理風險區(qū)域網絡和安全區(qū)域網絡防火墻負責管理風險區(qū)域網絡和安全區(qū)域網絡之間的訪問。在沒有防火墻時，內部網絡上的之間的訪問。在沒有防火墻時，內部網絡上的每個節(jié)點都暴露給風險區(qū)域上的其他計算機，每個節(jié)點都暴露給風險區(qū)域上的其他計算機，內部網絡極易受到攻擊，內部網絡的安全性要內部網絡極易受到攻擊，內部網絡的安全性要由每臺計算機來決定，并且由每臺計算機來決定，并且整個內部網絡的安整個內部網絡的安全性等

7、于其中防護能力最弱的系統(tǒng)全性等于其中防護能力最弱的系統(tǒng)。可以把防。可以把防火墻想像成門衛(wèi)，所有進入的消息和發(fā)出的消火墻想像成門衛(wèi)，所有進入的消息和發(fā)出的消息都會被仔細檢查以嚴格遵守選定的安全標準。息都會被仔細檢查以嚴格遵守選定的安全標準。因此，對于連接到互聯(lián)網的內部網絡，一定要因此，對于連接到互聯(lián)網的內部網絡，一定要選用適當的防火墻。選用適當的防火墻。LOGO9v 應用防火墻的目的應用防火墻的目的1.所有內部網絡與外部網絡的信息交流必須經過所有內部網絡與外部網絡的信息交流必須經過防火墻。防火墻。2.確保內部網向外部網的全功能互聯(lián)。確保內部網向外部網的全功能互聯(lián)。3.防止入侵者接近防御設施，限制

8、進入受保護網防止入侵者接近防御設施，限制進入受保護網絡，保護內部網絡的安全。絡，保護內部網絡的安全。4.只有按本地的安全策略被授權的信息才允許通只有按本地的安全策略被授權的信息才允許通過。過。5.防火墻本身具有防止被穿透的能力，防火墻本防火墻本身具有防止被穿透的能力，防火墻本身不受各種攻擊的影響。身不受各種攻擊的影響。6.為監(jiān)視網絡安全提供方便。為監(jiān)視網絡安全提供方便。LOGO10 防火墻已成為控制網絡系統(tǒng)訪問的非常流行的防火墻已成為控制網絡系統(tǒng)訪問的非常流行的方法，事實上在方法，事實上在Internet上的很多網站都是由上的很多網站都是由某種形式的防火墻加以保護的，某種形式的防火墻加以保護的

9、，任何關鍵性的任何關鍵性的服務器，都建議放在防火墻之后服務器，都建議放在防火墻之后。LOGO11v 防火墻基本功能防火墻基本功能防火墻是網絡安全政策的有機組成部分，通過防火墻是網絡安全政策的有機組成部分，通過控制和監(jiān)測網絡之間的信息交換和訪問行為來控制和監(jiān)測網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理，防止外部網絡不實現對網絡安全的有效管理，防止外部網絡不安全的信息流入內部網絡和限制內部網絡的重安全的信息流入內部網絡和限制內部網絡的重要信息流到外部網絡。從總體上看，防火墻應要信息流到外部網絡。從總體上看，防火墻應具有以下五大基本功能。具有以下五大基本功能。1.過濾進、出內部網絡的數據

10、。過濾進、出內部網絡的數據。2.管理進、出內部網絡的訪問行為。管理進、出內部網絡的訪問行為。3.封堵某些禁止的業(yè)務。封堵某些禁止的業(yè)務。4.記錄通過防火墻的信息內容和活動。記錄通過防火墻的信息內容和活動。5.對網絡攻擊進行檢測和報警。對網絡攻擊進行檢測和報警。LOGO126.除此以外，有的防火墻還根據需求包括其他除此以外，有的防火墻還根據需求包括其他的功能，如網絡地址轉換功能的功能，如網絡地址轉換功能(NAT)、雙重、雙重DNS（雙重（雙重DNS，即對外解析成公網地址，即對外解析成公網地址，對內解析成內網地址。）、虛擬專用網絡對內解析成內網地址。）、虛擬專用網絡(VPN)、掃毒功能、負載均衡和

11、計費等功能。、掃毒功能、負載均衡和計費等功能。為實現以上功能，在防火墻產品的開發(fā)為實現以上功能，在防火墻產品的開發(fā)中，廣泛地應用網絡拓撲技術、計算機中，廣泛地應用網絡拓撲技術、計算機操作系統(tǒng)技術、路由技術、加密技術、操作系統(tǒng)技術、路由技術、加密技術、訪問控制技術以及安全審計技術等。訪問控制技術以及安全審計技術等。LOGO13v防火墻的局限性防火墻的局限性通常，認為防火墻可以保護處于它身后的內部網絡不通常，認為防火墻可以保護處于它身后的內部網絡不受外界的侵襲和干擾，但隨著網絡技術的發(fā)展，網絡受外界的侵襲和干擾，但隨著網絡技術的發(fā)展，網絡結構日趨復雜，傳統(tǒng)防火墻在使用的過程中暴露出以結構日趨復雜，

12、傳統(tǒng)防火墻在使用的過程中暴露出以下的不足和弱點。下的不足和弱點。1.防火墻不能防范不經過防火墻的攻擊。沒有經過防火墻的數防火墻不能防范不經過防火墻的攻擊。沒有經過防火墻的數據，防火墻無法檢查。傳統(tǒng)的防火墻在工作時，入侵者可以據，防火墻無法檢查。傳統(tǒng)的防火墻在工作時，入侵者可以偽造數據繞過防火墻或者找到防火墻中可能敞開的后門。偽造數據繞過防火墻或者找到防火墻中可能敞開的后門。2.防火墻不能防止來自網絡內部的攻擊和安全問題。網絡攻擊防火墻不能防止來自網絡內部的攻擊和安全問題。網絡攻擊中有相當一部分攻擊來自網絡內部，對于來自企業(yè)內部的員中有相當一部分攻擊來自網絡內部，對于來自企業(yè)內部的員工來說，防火

13、墻形同虛設。防火墻可以設計為既防外也防內，工來說，防火墻形同虛設。防火墻可以設計為既防外也防內，但絕大多數單位因為不方便，不要求防火墻防內。但絕大多數單位因為不方便，不要求防火墻防內。LOGO143.由于防火墻性能上的限制，因此它通常不具備實時監(jiān)由于防火墻性能上的限制，因此它通常不具備實時監(jiān)控入侵的能力。控入侵的能力。4.防火墻不能防止策略配置不當或錯誤配置引起的安全防火墻不能防止策略配置不當或錯誤配置引起的安全威脅。防火墻是一個被動的安全策略執(zhí)行設備，就像威脅。防火墻是一個被動的安全策略執(zhí)行設備，就像門衛(wèi)一樣，要根據政策規(guī)定來執(zhí)行安全，而不能自作門衛(wèi)一樣，要根據政策規(guī)定來執(zhí)行安全，而不能自作

14、主張。主張。5.防火墻不能防止受病毒感染的文件的傳輸。防火墻本防火墻不能防止受病毒感染的文件的傳輸。防火墻本身并不具備查殺病毒的功能，即使集成了第三方的防身并不具備查殺病毒的功能，即使集成了第三方的防病毒的軟件，也沒有一種軟件可以查殺所有的病毒。病毒的軟件，也沒有一種軟件可以查殺所有的病毒。6.防火墻不能防止利用服務器系統(tǒng)和網絡協(xié)議漏洞所進防火墻不能防止利用服務器系統(tǒng)和網絡協(xié)議漏洞所進行的攻擊。黑客通過防火墻準許的訪問端口對該服務行的攻擊。黑客通過防火墻準許的訪問端口對該服務器的漏洞進行攻擊，防火墻不能防止。器的漏洞進行攻擊，防火墻不能防止。LOGO157.防火墻不能防止數據驅動式的攻擊。當有

15、些表面看來無害的數據防火墻不能防止數據驅動式的攻擊。當有些表面看來無害的數據郵寄或拷貝到內部網的主機上并被執(zhí)行時，可能會發(fā)生數據驅動郵寄或拷貝到內部網的主機上并被執(zhí)行時，可能會發(fā)生數據驅動式的攻擊。（式的攻擊。（數據驅動攻擊數據驅動攻擊是通過向某個程序發(fā)送數據，以產生是通過向某個程序發(fā)送數據，以產生非預期結果的攻擊，通常為攻擊者給出訪問目標系統(tǒng)的權限，數非預期結果的攻擊，通常為攻擊者給出訪問目標系統(tǒng)的權限，數據驅動攻擊分為緩沖區(qū)溢出攻擊、輸入驗證攻擊、同步漏洞攻擊、據驅動攻擊分為緩沖區(qū)溢出攻擊、輸入驗證攻擊、同步漏洞攻擊、信任漏洞攻擊等。信任漏洞攻擊等。）8.防火墻不能防止內部的泄密行為。防火

16、墻內部的一個合法用戶主防火墻不能防止內部的泄密行為。防火墻內部的一個合法用戶主動泄密，防火墻是無能為力的。動泄密，防火墻是無能為力的。9.防火墻不能防止本身的安全漏洞的威脅。防火墻保護別人有時卻防火墻不能防止本身的安全漏洞的威脅。防火墻保護別人有時卻無法保護自己，目前還沒有廠商絕對保證防火墻不會存在安全漏無法保護自己，目前還沒有廠商絕對保證防火墻不會存在安全漏洞。因此對防火墻也必須提供某種安全保護。洞。因此對防火墻也必須提供某種安全保護。LOGO16 由于防火墻的局限性，因此僅在內部網絡入由于防火墻的局限性，因此僅在內部網絡入口處設置防火墻系統(tǒng)不能有效地保護計算機口處設置防火墻系統(tǒng)不能有效地保

17、護計算機網絡的安全。而入侵檢測系統(tǒng)網絡的安全。而入侵檢測系統(tǒng)(Intrusion Detection System：IDS)可以彌補防火墻的可以彌補防火墻的不足，它為網絡提供實時的監(jiān)控，并且在發(fā)不足，它為網絡提供實時的監(jiān)控，并且在發(fā)現入侵的初期采取相應的防護手段?，F入侵的初期采取相應的防護手段。IDS系統(tǒng)系統(tǒng)作為必要附加手段，已經為大多數組織機構作為必要附加手段，已經為大多數組織機構的安全構架所接受。的安全構架所接受。LOGO防火墻的設計策略防火墻的設計策略 防火墻一般執(zhí)行以下兩種基本設計策略中的防火墻一般執(zhí)行以下兩種基本設計策略中的一種。一種。（1）除非明確不允許，否則允許某種服務。）除非明

18、確不允許，否則允許某種服務。（2）除非明確允許，否則將禁止某種服務。）除非明確允許，否則將禁止某種服務。LOGO防火墻的安全策略防火墻的安全策略 研制和開發(fā)一個有效的防火墻，首先要設計和研制和開發(fā)一個有效的防火墻，首先要設計和制定一個有效的安全策略。安全策略應包含以下主制定一個有效的安全策略。安全策略應包含以下主要內容：要內容：（1 1）用戶賬號策略；）用戶賬號策略；（2 2）用戶權限策略；）用戶權限策略；（3 3）信任關系策略；）信任關系策略；（4 4）包過慮策略；）包過慮策略；（5 5）認證策略；）認證策略；（6 6）簽名策略；）簽名策略；（7 7）數據加密策略；）數據加密策略；（8 8）

19、密鑰分配策略；）密鑰分配策略；（9 9）審計策略。）審計策略。LOGO1用戶賬號策略用戶賬號策略2用戶權限策略用戶權限策略3信任關系策略信任關系策略單向信任關系單向信任關系 雙向信任關系雙向信任關系 LOGO多重信任關系多重信任關系LOGO4包過慮策略包過慮策略這里主要從以下幾個方面來討論包過濾策略：這里主要從以下幾個方面來討論包過濾策略：包過濾控制點；包過濾控制點；包過濾操作過程；包過濾操作過程；包過濾規(guī)則；包過濾規(guī)則；防止兩類不安全設計的措施；防止兩類不安全設計的措施；對特定協(xié)議包的過濾。對特定協(xié)議包的過濾。LOGO5認證、簽名和數據加密策略認證、簽名和數據加密策略6密鑰分配策略密鑰分配策

20、略7審計策略審計策略審計是用來記錄如下事件：審計是用來記錄如下事件：（1）哪個用戶訪問哪個對象；）哪個用戶訪問哪個對象；（2）用戶的訪問類型；）用戶的訪問類型；（3）訪問過程是否成功。）訪問過程是否成功。LOGO23LOGOv組成組件：硬件防火墻、軟件防火墻、芯片防火墻v實現平臺：windows、linux、unixv保護對象：主機防火墻、網絡防火墻v網絡性能：百兆防火墻、千兆防火墻v功能和技術：主機防火墻、病毒防火墻、智能防火墻v體系結構：包過濾防火墻、應用層代理、電路級網關、地址翻譯防火墻、狀態(tài)防火墻24LOGO25v按組成結構分類：按組成結構分類：目目前普遍應用的防火墻前普遍應用的防火墻

21、按組成結構可分為以下三種。按組成結構可分為以下三種。軟件防火墻：網絡版的軟件防火墻運行于特定軟件防火墻：網絡版的軟件防火墻運行于特定的計算機上，它需要客戶預先安裝好的計算機的計算機上，它需要客戶預先安裝好的計算機操作系統(tǒng)的支持，一般來說這臺計算機就是整操作系統(tǒng)的支持，一般來說這臺計算機就是整個內部網絡的網關。軟件防火墻就像其他的軟個內部網絡的網關。軟件防火墻就像其他的軟件產品一樣需要先在計算機上安裝并做好配置件產品一樣需要先在計算機上安裝并做好配置才可以使用。才可以使用。LOGO26 硬件防火墻：這里說的硬件防火墻是針對芯片硬件防火墻：這里說的硬件防火墻是針對芯片級防火墻來說的。它們最大的差別

22、在于是否基級防火墻來說的。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數防火墻于專用的硬件平臺。目前市場上大多數防火墻都是這種所謂的硬件防火墻，它們都基于都是這種所謂的硬件防火墻，它們都基于PC架構，就是說，它們和普通的家庭用的架構，就是說，它們和普通的家庭用的PC沒沒有太大區(qū)別。在這些有太大區(qū)別。在這些PC架構計算機上運行一架構計算機上運行一些經過裁剪和簡化的操作系統(tǒng)，最常用的有些經過裁剪和簡化的操作系統(tǒng)，最常用的有UNIX、Linux和和FreeBSD系統(tǒng)。系統(tǒng)。LOGO27 芯片級防火墻：基于專門的硬件平臺，核芯片級防火墻：基于專門的硬件平臺，核心部分就是心部分就是ASIC芯

23、片，所有的功能都集芯片，所有的功能都集成做在芯片上。專有的成做在芯片上。專有的ASIC芯片促使它芯片促使它們比其他種類的防火墻速度更快，處理能們比其他種類的防火墻速度更快，處理能力更強，性能更高。力更強，性能更高。LOGO28v三種類型防火墻比較三種類型防火墻比較 由于軟件防火墻和硬件防火墻的結構是運行于由于軟件防火墻和硬件防火墻的結構是運行于一定的操作系統(tǒng)之上，就決定了它的功能是可一定的操作系統(tǒng)之上，就決定了它的功能是可以隨著客戶的實際需要而做相應調整的，這一以隨著客戶的實際需要而做相應調整的，這一點比較靈活。從性能上來說，多添加一個擴展點比較靈活。從性能上來說，多添加一個擴展功能就會對防火

24、墻處理數據的性能產生影響，功能就會對防火墻處理數據的性能產生影響，添加的擴展功能越多，防火墻的性能就下降的添加的擴展功能越多，防火墻的性能就下降的越快。越快。LOGO29 軟件防火墻和硬件防火墻的安全性很大程度軟件防火墻和硬件防火墻的安全性很大程度上決定于操作系統(tǒng)自身的安全性。無論是上決定于操作系統(tǒng)自身的安全性。無論是UNIX、Linux還是還是FreeBSD系統(tǒng)，都或多或系統(tǒng)，都或多或少存在漏洞，一旦被人取得了控制權，將可少存在漏洞，一旦被人取得了控制權，將可以隨意修改防火墻上的策略和訪問權限，進以隨意修改防火墻上的策略和訪問權限，進入內網進行任意破壞，將危及整個內網的安入內網進行任意破壞，

25、將危及整個內網的安全。芯片級防火墻不存在這個問題，自身有全。芯片級防火墻不存在這個問題，自身有很好的安全保護，所以較其他類型的防火墻很好的安全保護，所以較其他類型的防火墻安全性高一些。安全性高一些。LOGO30 芯片級防火墻專有的芯片級防火墻專有的ASIC芯片，促使它們比其芯片，促使它們比其他種類的防火墻速度更快，處理能力更強。專用他種類的防火墻速度更快，處理能力更強。專用硬件和軟件的結合提供了線速處理、深層次信息硬件和軟件的結合提供了線速處理、深層次信息包檢查、堅固的加密、復雜內容和行為掃描功能包檢查、堅固的加密、復雜內容和行為掃描功能的優(yōu)化等，不會在網絡流量的處理上出現瓶頸。的優(yōu)化等，不會

26、在網絡流量的處理上出現瓶頸。采用采用PC架構的硬件防火墻技術在百兆防火墻上架構的硬件防火墻技術在百兆防火墻上取得了很大的成功，但由于取得了很大的成功，但由于CPU處理能力和處理能力和PCI總線速度的制約，在實際應用中，尤其在小包情總線速度的制約，在實際應用中，尤其在小包情況下，這種結構的千兆防火墻遠遠達不到千兆的況下，這種結構的千兆防火墻遠遠達不到千兆的轉發(fā)速度，難以滿足千兆骨干網絡的應用要求。轉發(fā)速度，難以滿足千兆骨干網絡的應用要求。目前使用芯片級防火墻技術成為實現千兆防火墻目前使用芯片級防火墻技術成為實現千兆防火墻的主要選擇。的主要選擇。LOGO31v按采用技術分類：按采用技術分類：常見防

27、火墻按采用常見防火墻按采用的技術分類主要有包過濾防火墻、代的技術分類主要有包過濾防火墻、代理防火墻和狀態(tài)監(jiān)測防火墻，每種防理防火墻和狀態(tài)監(jiān)測防火墻，每種防火墻都有各自的優(yōu)缺點?；饓Χ加懈髯缘膬?yōu)缺點。LOGO32v 包過濾防火墻包過濾防火墻 包過濾（包過濾（Packet Filtering）是第一代防火墻技）是第一代防火墻技術。其技術依據是網絡中的分包傳輸技術，它術。其技術依據是網絡中的分包傳輸技術，它工作在工作在OSI模型的網絡層。網絡上的數據都是模型的網絡層。網絡上的數據都是以以“包包”為單位進行傳輸的，數據被分割成為為單位進行傳輸的，數據被分割成為一定大小的數據包，每一個數據包中都會包含一

28、定大小的數據包，每一個數據包中都會包含一些特定信息，如數據的一些特定信息，如數據的IP源地址、源地址、IP目標地目標地址、封裝協(xié)議址、封裝協(xié)議(TCP、UDP、ICMP等等)、TCP/UDP源端口和目標端口等。源端口和目標端口等。LOGO33 包過濾操作通常在選擇路由的同時對數據包進包過濾操作通常在選擇路由的同時對數據包進行過濾行過濾(通常是對從外部網絡到內部網絡的包進通常是對從外部網絡到內部網絡的包進行過濾行過濾)。包過濾這個操作可以在路由器上進行，。包過濾這個操作可以在路由器上進行，也可以在網橋，甚至在一個單獨的主機上進行。也可以在網橋，甚至在一個單獨的主機上進行。傳統(tǒng)的包過濾只是與規(guī)則表

29、進行匹配。防火墻傳統(tǒng)的包過濾只是與規(guī)則表進行匹配。防火墻的的IP包過濾，主要是根據一個有固定排序的規(guī)包過濾，主要是根據一個有固定排序的規(guī)則鏈過濾，其中的每個規(guī)則包含著則鏈過濾，其中的每個規(guī)則包含著IP地址、端地址、端口、傳輸方向、分包、協(xié)議等多項內容。同時，口、傳輸方向、分包、協(xié)議等多項內容。同時，一般防火墻的包過濾的過濾規(guī)則是在啟動時配一般防火墻的包過濾的過濾規(guī)則是在啟動時配置好的，只有系統(tǒng)管理員才可以修改，是靜態(tài)置好的，只有系統(tǒng)管理員才可以修改，是靜態(tài)存在的，稱為靜態(tài)過濾規(guī)則。存在的，稱為靜態(tài)過濾規(guī)則。LOGO34 有些防火墻采用了基于連接狀態(tài)的檢查，將屬有些防火墻采用了基于連接狀態(tài)的檢查

30、，將屬于同一連接的所有包作為一個整體的數據流看于同一連接的所有包作為一個整體的數據流看待，通過規(guī)則表與連接狀態(tài)表的共同配合進行待，通過規(guī)則表與連接狀態(tài)表的共同配合進行檢查，稱為動態(tài)過濾規(guī)則。檢查，稱為動態(tài)過濾規(guī)則。包過濾類型的防火墻要遵循的一條基本原則是包過濾類型的防火墻要遵循的一條基本原則是“最小特權原則最小特權原則”，即明確允許管理員指定希，即明確允許管理員指定希望通過的數據包，而禁止其他的數據包。望通過的數據包，而禁止其他的數據包。LOGO包過濾模型包過濾模型 LOGO包過濾一般要檢查下面幾項：包過濾一般要檢查下面幾項：（1 1）IPIP源地址；源地址；（2 2）IPIP目的地址；目的地

31、址；（3 3）協(xié)議類型（）協(xié)議類型（TCPTCP包、包、UDPUDP包和包和ICMPICMP包）；包）；（4 4）TCPTCP或或UDPUDP的源端口；的源端口；（5 5）TCPTCP或或UDPUDP的目的端口；的目的端口；（6 6）ICMPICMP消息類型；消息類型；（7 7）TCPTCP報頭中的報頭中的ACKACK位。位。另外，另外，TCPTCP的序列號、確認號，的序列號、確認號，IPIP校驗以及分段校驗以及分段偏移也往往是要檢查的選項。偏移也往往是要檢查的選項。LOGO 在決定包過濾防火墻是否返回在決定包過濾防火墻是否返回ICMP錯誤代碼錯誤代碼時，應考慮以下幾點。時，應考慮以下幾點。防

32、火墻應該發(fā)送什么消息。防火墻應該發(fā)送什么消息。是否負擔得起生成和返回錯誤代碼的高額費用。是否負擔得起生成和返回錯誤代碼的高額費用。返回錯誤代碼能使得侵襲者得到很多有關你發(fā)送返回錯誤代碼能使得侵襲者得到很多有關你發(fā)送的數據包過濾信息。的數據包過濾信息。什么錯誤代碼對你的網站有意義。什么錯誤代碼對你的網站有意義。LOGOv 一個可靠的分組過濾防火墻依賴于規(guī)則集v 第一條規(guī)則：主機10.1.1.1任何端口訪問任何主機的任何端口，基于TCP協(xié)議的數據包都允許通過。第二條規(guī)則：任何主機的20端口訪問主機10.1.1.1的任何端口，基于TCP協(xié)議的數據包允許通過。第三條規(guī)則：任何主機的20端口訪問主機10

33、.1.1.1小于1024的端口，如果基于TCP協(xié)議的數據包都禁止通過。組序號動作源IP目的IP源端口目的端口協(xié)議類型1允許10.1.1.1*TCP2允許*10.1.1.120*TCP3禁止*10.1.1.120102323任意拒絕B入202.108.5.6116.111.4.0TCP231023是任意C出116.111.4.0任意TCP102323任意允許D入任意116.111.4.0TCP231023是允許E出116.111.4.1任意TCP102325任意允許F入任意116.111.4.1TCP251023是允許G入任意116.111.4.1TCP102325任意允許H出116.111.4

34、.1任意TCP251023任意允許I出116.111.4.0任意TCP102380任意允許41LOGOv 規(guī)則A、B用來阻止你的內部主機以Telnet服務形式聯(lián)接到站202.108.5.6，規(guī)則C、D允許你的內部主機以Telnet方式訪問Internet上的任何主機。這似乎和我們的政策發(fā)生了矛盾，但事實上并部矛盾。在前面提到過規(guī)則的次序是十分重要的，而且防火墻實施規(guī)則的特點是當防火墻找到匹配的規(guī)則后就不再向下應用其他的規(guī)則，所以當內部網主機訪問站點202.108.5.6，并試圖通過Telnet建立聯(lián)接時，這個聯(lián)接請求會被規(guī)則A阻塞，因為規(guī)則A正好與之相匹配。至于規(guī)則B，實際上并非毫無用處，規(guī)則

35、B用來限制站點202.108.5.6 Telnet服務的返回包。事實上，內部主機試圖建立Telnet聯(lián)接時就會被阻塞，一般不會存在返回包，但高明的用戶也可能想出辦法使聯(lián)接成功，那時B規(guī)則也會有用，總之，有些冗余對安全是有好處的。當用戶以Telnet方式訪問除202.105.5.6之外的其他站點時，規(guī)則A、B不匹配，所以應用C、D規(guī)則，內部主機被允許建立聯(lián)接，返回包也被允許入站。v 規(guī)則E、F用于允許出站的SMTP服務，規(guī)則G、H用于允許入站的SMTP服務，SMTP服務的端口是25。v I和J規(guī)則用于允許出站的WWW服務，K、L規(guī)則用于允許網絡95.120.7.0的主機訪問你的網絡WWW服務器。

36、v 規(guī)則M是默認項，它實現的準則是“沒有明確允許就表示禁止”。42LOGO43 包過濾防火墻的優(yōu)點包過濾防火墻的優(yōu)點 一個包過濾防火墻能協(xié)助保護整個網絡一個包過濾防火墻能協(xié)助保護整個網絡。一個單個。一個單個的、恰當放置的包過濾防火墻有助于保護整個網絡，的、恰當放置的包過濾防火墻有助于保護整個網絡，這是數據包過濾的主要優(yōu)點。這是數據包過濾的主要優(yōu)點。數據包過濾對用戶透明。數據包過濾不要求任何自數據包過濾對用戶透明。數據包過濾不要求任何自定義軟件或者客戶機配置，也不要求用戶任何特殊定義軟件或者客戶機配置，也不要求用戶任何特殊的訓練或者操作。當數據包過濾防火墻決定讓數據的訓練或者操作。當數據包過濾防

37、火墻決定讓數據包通過時，它與普通路由器沒什么區(qū)別。較強的包通過時，它與普通路由器沒什么區(qū)別。較強的“透明度透明度”是包過濾的一大優(yōu)勢。是包過濾的一大優(yōu)勢。LOGO44 速度快、效率高。包過濾防火墻只檢查報頭速度快、效率高。包過濾防火墻只檢查報頭相應的字段，一般不查看數據報的內容，而相應的字段，一般不查看數據報的內容，而且某些核心部分是由專用硬件實現的，故其且某些核心部分是由專用硬件實現的，故其轉發(fā)速度快、效率較高。轉發(fā)速度快、效率較高。價格較低。相對于其他類型的防火墻，包過價格較低。相對于其他類型的防火墻，包過濾防火墻的價格較低。濾防火墻的價格較低。LOGO45 包過濾防火墻的缺點包過濾防火墻

38、的缺點 不能徹底防止地址欺騙。大多數包過濾防火墻都是基不能徹底防止地址欺騙。大多數包過濾防火墻都是基于源于源IP地址、目的地址、目的IP地址而進行過濾的。而地址而進行過濾的。而IP地址的地址的偽造是很容易、很普遍的。包過濾防火墻在這點上大偽造是很容易、很普遍的。包過濾防火墻在這點上大都無能為力。即使按都無能為力。即使按MAC地址進行綁定，也是不可信地址進行綁定，也是不可信的。對于一些安全性要求較高的網絡，包過濾防火墻的。對于一些安全性要求較高的網絡，包過濾防火墻是不能勝任的。是不能勝任的。一些應用協(xié)議不適合于數據包過濾。如一些應用協(xié)議不適合于數據包過濾。如RPC、X-Window等。等。LOG

39、O46 無法執(zhí)行某些安全策略。包過濾防火墻上的信息不能完無法執(zhí)行某些安全策略。包過濾防火墻上的信息不能完全滿足用戶對安全策略的需求。例如，對于數據包的來全滿足用戶對安全策略的需求。例如，對于數據包的來源，包過濾防火墻只能限制主機而不能限制用戶；對于源，包過濾防火墻只能限制主機而不能限制用戶；對于數據包的去向，包過濾防火墻不能通過端口號對高級協(xié)數據包的去向，包過濾防火墻不能通過端口號對高級協(xié)議強行限制。議強行限制。數據包過濾工具存在很多局限性。如數據包過濾規(guī)則難數據包過濾工具存在很多局限性。如數據包過濾規(guī)則難以配置、過濾規(guī)則冗長而復雜不易理解和管理、規(guī)則的以配置、過濾規(guī)則冗長而復雜不易理解和管理

40、、規(guī)則的正確性測試困難、隨過濾數目的增加防火墻性能下降、正確性測試困難、隨過濾數目的增加防火墻性能下降、沒有用戶的使用記錄以及無黑客的攻擊記錄。沒有用戶的使用記錄以及無黑客的攻擊記錄。LOGO47v包過濾防火墻技術雖然能確保一定的安包過濾防火墻技術雖然能確保一定的安全保護，且也有許多優(yōu)點，但是包過濾全保護，且也有許多優(yōu)點，但是包過濾防火墻技術，本身存在較多缺陷，不能防火墻技術，本身存在較多缺陷，不能提供較高的安全性。在實際應用中，現提供較高的安全性。在實際應用中，現在很少把包過濾技術當作單獨的安全解在很少把包過濾技術當作單獨的安全解決方案，而是把它與其他防火墻技術揉決方案，而是把它與其他防火墻

41、技術揉合在一起使用。合在一起使用。LOGO48v代理防火墻：代理防火墻：代理防火墻是一種較新型的防代理防火墻是一種較新型的防火墻技術，它分為應用層網關防火墻和電路火墻技術，它分為應用層網關防火墻和電路層網關防火墻。層網關防火墻。代理防火墻通過編程來弄清用戶應用層的流量，代理防火墻通過編程來弄清用戶應用層的流量，并能在用戶層和應用協(xié)議層提供訪問控制。并能在用戶層和應用協(xié)議層提供訪問控制。代理防火墻記錄所有應用程序的訪問情況，記代理防火墻記錄所有應用程序的訪問情況，記錄和控制所有進出流量的能力是代理防火墻的錄和控制所有進出流量的能力是代理防火墻的主要優(yōu)點之一。代理防火墻一般是運行代理服主要優(yōu)點之一

42、。代理防火墻一般是運行代理服務器的主機。務器的主機。LOGO49 代理服務器指代表客戶處理與服務器連接的請代理服務器指代表客戶處理與服務器連接的請求的程序。當代理服務器接收到用戶對某站點求的程序。當代理服務器接收到用戶對某站點的訪問請求后會檢查該請求是否符合規(guī)則，如的訪問請求后會檢查該請求是否符合規(guī)則，如果規(guī)則允許用戶訪問該站點的話，代理服務器果規(guī)則允許用戶訪問該站點的話，代理服務器會像一個客戶一樣去那個站點取回所需信息再會像一個客戶一樣去那個站點取回所需信息再轉發(fā)給客戶。代理服務器通常都擁有一個高速轉發(fā)給客戶。代理服務器通常都擁有一個高速緩存，這個緩存存儲著用戶經常訪問的站點內緩存，這個緩存

43、存儲著用戶經常訪問的站點內容，在下一個用戶要訪問同一站點時，服務器容，在下一個用戶要訪問同一站點時，服務器就不用重復地獲取相同的內容，直接將緩存內就不用重復地獲取相同的內容，直接將緩存內容發(fā)出即可，既節(jié)約了時間也節(jié)約了網絡資源。容發(fā)出即可，既節(jié)約了時間也節(jié)約了網絡資源。LOGO50 代理服務器通常運行在兩個網絡之間，它對于代理服務器通常運行在兩個網絡之間，它對于客戶來說像是一臺服務器，而對于外界的服務客戶來說像是一臺服務器，而對于外界的服務器來說，它又是一臺客戶機。器來說，它又是一臺客戶機。工作原理如圖所示。工作原理如圖所示。LOGO51真實服務器外部響應轉發(fā)請求應用層代理服務代理服務器請求轉

44、發(fā)響應I真實的客戶端應用協(xié)議分析代理客戶InternetIntranet代理的工作方式代理的工作方式LOGO52v應用層網關型防火墻應用層網關型防火墻(應用級代理應用級代理)應用層網關防火墻也就是傳統(tǒng)的代理型防火墻。應用層網關防火墻也就是傳統(tǒng)的代理型防火墻。應用層網關型防火墻工作在應用層網關型防火墻工作在OSI模型的應用層，模型的應用層，且針對特定的應用層協(xié)議。它的核心技術就是代且針對特定的應用層協(xié)議。它的核心技術就是代理服務器技術，它是基于軟件的，通常安裝在專理服務器技術，它是基于軟件的，通常安裝在專用的服務器或工作站系統(tǒng)上。它適用于特定的互用的服務器或工作站系統(tǒng)上。它適用于特定的互聯(lián)網服務

45、，如超文本傳輸聯(lián)網服務，如超文本傳輸(HTTP)和遠程文件傳和遠程文件傳輸輸(FTP)等。應用級網關比單一的包過濾更為可等。應用級網關比單一的包過濾更為可靠，而且會詳細地記錄所有的訪問狀態(tài)信息?？浚視敿毜赜涗浰械脑L問狀態(tài)信息。LOGO1 1應用級代理應用級代理 應用級代理有兩種情況，一種是內部網通過代應用級代理有兩種情況，一種是內部網通過代理訪問外部網。另一種情況是，外部網通過代理訪理訪問外部網。另一種情況是，外部網通過代理訪問內部網。問內部網。代理使得網絡管理員能夠實現比包過濾路由器代理使得網絡管理員能夠實現比包過濾路由器更嚴格的安全策略，它會對應用程序的數據進行校更嚴格的安全策略，

46、它會對應用程序的數據進行校驗以確保數據格式可以接受。驗以確保數據格式可以接受。LOGOTelnet代理服務代理服務LOGO Internet客戶通過代理服務器訪問內部網主機客戶通過代理服務器訪問內部網主機LOGO56 但是應用級網關也存在一些不足之處，首先它會但是應用級網關也存在一些不足之處，首先它會使訪問速度變慢，因為它不允許用戶直接訪問網使訪問速度變慢，因為它不允許用戶直接訪問網絡，而且應用級網關需要對每一個特定的互聯(lián)網絡，而且應用級網關需要對每一個特定的互聯(lián)網服務安裝相應的代理服務軟件，用戶不能使用未服務安裝相應的代理服務軟件，用戶不能使用未被服務器支持的服務，對每一類服務要使用特殊被服

47、務器支持的服務，對每一類服務要使用特殊的客戶端軟件，并且不是所有的互聯(lián)網應用軟件的客戶端軟件，并且不是所有的互聯(lián)網應用軟件都可以使用代理服務器。都可以使用代理服務器。LOGO57 應用層網關允許網絡管理員實施一個較包過濾應用層網關允許網絡管理員實施一個較包過濾更為嚴格的安全策略，為每一個期望的應用服更為嚴格的安全策略，為每一個期望的應用服務在其網關上安裝專用的代碼務在其網關上安裝專用的代碼(一個代理服務一個代理服務)，同時，代理代碼也可以配置成支持一個應用服同時，代理代碼也可以配置成支持一個應用服務的某些特定的特性。對應用服務的訪問都是務的某些特定的特性。對應用服務的訪問都是通過訪問相應的代理

48、服務實現的，而不允許用通過訪問相應的代理服務實現的，而不允許用戶直接登錄到應用層網關。戶直接登錄到應用層網關。應用層網關安全性的提高是以購買網關硬件平應用層網關安全性的提高是以購買網關硬件平臺的費用為代價的。臺的費用為代價的。LOGO58 應用層網關的好處在于代理服務限制了命令應用層網關的好處在于代理服務限制了命令集合和內部主機支持的服務。它授予網絡管集合和內部主機支持的服務。它授予網絡管理員對每一個服務的完全控制權。另外，應理員對每一個服務的完全控制權。另外，應用層網關安全性較好，支持強用戶認證、提用層網關安全性較好，支持強用戶認證、提供詳細的日志信息以及較包過濾更易于配置供詳細的日志信息以

49、及較包過濾更易于配置和測試的過濾規(guī)則。和測試的過濾規(guī)則。應用層網關的最大的局限性在于它需要在訪應用層網關的最大的局限性在于它需要在訪問代理服務的系統(tǒng)上安裝特殊的軟件，此外問代理服務的系統(tǒng)上安裝特殊的軟件，此外速度相對比較慢。速度相對比較慢。LOGO59v電路層網關防火墻：另一種類型的代電路層網關防火墻：另一種類型的代理技術稱為電路層網關或理技術稱為電路層網關或TCP通道。通道。在電路層網關中，包被提交用戶應用在電路層網關中，包被提交用戶應用層處理。電路層網關用來在兩個通信層處理。電路層網關用來在兩個通信的終點之間轉換包。的終點之間轉換包。LOGO60 電路層網關工作在會話層。在兩主機首次建立電

50、路層網關工作在會話層。在兩主機首次建立TCP連接時創(chuàng)立一個電子屏障。它作為服務器接連接時創(chuàng)立一個電子屏障。它作為服務器接收外來請求，并轉發(fā)請求，與被保護的主機連接收外來請求，并轉發(fā)請求，與被保護的主機連接時則擔當客戶機角色，起代理服務的作用。它監(jiān)時則擔當客戶機角色，起代理服務的作用。它監(jiān)視兩主機建立連接時的握手信息是否合乎邏輯，視兩主機建立連接時的握手信息是否合乎邏輯，信號有效后網關僅復制、傳遞數據，而不進行過信號有效后網關僅復制、傳遞數據，而不進行過濾。電路層網關中特殊的客戶程序只在初次連接濾。電路層網關中特殊的客戶程序只在初次連接時進行安全協(xié)商控制，其后透明。只有懂得如何時進行安全協(xié)商控制

51、，其后透明。只有懂得如何與該電路網關通信的客戶機才能到達防火墻另一與該電路網關通信的客戶機才能到達防火墻另一邊的服務器。邊的服務器。LOGO61 電路層網關防火墻的特點是將所有跨越防火墻電路層網關防火墻的特點是將所有跨越防火墻的網絡通信鏈路分為兩段。防火墻內外計算機的網絡通信鏈路分為兩段。防火墻內外計算機系統(tǒng)間應用層的系統(tǒng)間應用層的“鏈接鏈接”，由兩個終止代理服，由兩個終止代理服務器上的務器上的“鏈接鏈接”來實現，外部計算機的網絡來實現，外部計算機的網絡鏈路只能到達代理服務器，從而起到了隔離防鏈路只能到達代理服務器，從而起到了隔離防火墻內外計算機系統(tǒng)的作用。此外，代理服務火墻內外計算機系統(tǒng)的作

52、用。此外，代理服務也對過往的數據包進行分析、注冊登記，形成也對過往的數據包進行分析、注冊登記，形成報告，同時當發(fā)現被攻擊跡象時會向網絡管理報告，同時當發(fā)現被攻擊跡象時會向網絡管理員發(fā)出警報，并保留攻擊痕跡。員發(fā)出警報，并保留攻擊痕跡。LOGO62 電路層網關常用于向外連接，這時網絡管理員電路層網關常用于向外連接，這時網絡管理員對其內部用戶是信任的。電路層網關防火墻可對其內部用戶是信任的。電路層網關防火墻可以被設置成混合網關，對內連接支持應用層或以被設置成混合網關，對內連接支持應用層或代理服務，而對外連接支持電路層功能。這樣代理服務，而對外連接支持電路層功能。這樣使得防火墻系統(tǒng)對于要訪問使得防火

53、墻系統(tǒng)對于要訪問Internet服務的內服務的內部用戶來說使用起來很方便，由于連接似乎是部用戶來說使用起來很方便，由于連接似乎是起源于防火墻，因而可以隱藏受保護網絡的有起源于防火墻，因而可以隱藏受保護網絡的有關信息，又能提供保護內部網絡免于外部攻擊關信息，又能提供保護內部網絡免于外部攻擊的防火墻功能。的防火墻功能。LOGO電路級網關電路級網關 LOGO Socks服務器服務器 Socks是一種非常強大的電路級網關防火墻，它只是一種非常強大的電路級網關防火墻，它只中繼基于中繼基于TCP的數據包的數據包LOGO65v 代理技術的優(yōu)點：代理技術的優(yōu)點：1.代理易于配置。因為代理是一個軟件，所以它較代

54、理易于配置。因為代理是一個軟件，所以它較包過濾更易配置，配置界面十分友好。如果代理包過濾更易配置，配置界面十分友好。如果代理實現得好，可以對配置協(xié)議要求較低，從而避免實現得好，可以對配置協(xié)議要求較低，從而避免了配置錯誤。了配置錯誤。2.代理能生成各項記錄。因為代理工作在應用層，代理能生成各項記錄。因為代理工作在應用層，它檢查各項數據，所以可以按一定準則，讓代理它檢查各項數據，所以可以按一定準則，讓代理生成各項日志、記錄。這些日志、記錄對于流量生成各項日志、記錄。這些日志、記錄對于流量分析和安全檢驗是十分重要和寶貴的。當然，也分析和安全檢驗是十分重要和寶貴的。當然，也可以用于記費等應用?？梢杂糜?/p>

55、記費等應用。LOGO663.代理能靈活、完全地控制進出流量和內容。代理能靈活、完全地控制進出流量和內容。通過采取一定的措施，按照一定的規(guī)則，可通過采取一定的措施，按照一定的規(guī)則，可以借助代理實現一整套的安全策略，比如可以借助代理實現一整套的安全策略，比如可說控制說控制“誰誰”、“什么什么”、“時間時間”、“地地點點”。4.代理能過濾數據內容。可以把一些過濾規(guī)則代理能過濾數據內容?？梢园岩恍┻^濾規(guī)則應用于代理，讓它在高層實現過濾功能，例應用于代理，讓它在高層實現過濾功能，例如文本過濾、圖像過濾如文本過濾、圖像過濾(目前還未實現，但這目前還未實現，但這是一個熱點研究領域是一個熱點研究領域)，預防病

56、毒或掃描病毒，預防病毒或掃描病毒等。等。LOGO675.代理能為用戶提供透明的加密機制。用戶通過代理進代理能為用戶提供透明的加密機制。用戶通過代理進出數據，可以讓代理完成加解密的功能，從而方便用出數據，可以讓代理完成加解密的功能，從而方便用戶，確保數據的機密性。這點在虛擬專用網中特別重戶，確保數據的機密性。這點在虛擬專用網中特別重要。代理可以廣泛地用于企業(yè)外部網中，提供較高安要。代理可以廣泛地用于企業(yè)外部網中，提供較高安全性的數據通信。全性的數據通信。6.代理可以方便地與其他安全手段集成。目前的安全問代理可以方便地與其他安全手段集成。目前的安全問題解決方案很多，如認證、授權、賬號、數據加密和題

57、解決方案很多，如認證、授權、賬號、數據加密和安全協(xié)議等。如果把代理與這些手段聯(lián)合使用，將大安全協(xié)議等。如果把代理與這些手段聯(lián)合使用，將大大增加網絡安全性。這也是近期網絡安全的發(fā)展方向。大增加網絡安全性。這也是近期網絡安全的發(fā)展方向。LOGO68代理技術的缺點代理技術的缺點1.代理速度較包過濾慢。包過濾只是簡單查看代理速度較包過濾慢。包過濾只是簡單查看TCP/IP報報頭，檢查特定的幾個域，不作詳細分析和記錄。而代頭，檢查特定的幾個域，不作詳細分析和記錄。而代理工作于應用層，要檢查數據包的內容，按特定的應理工作于應用層，要檢查數據包的內容，按特定的應用協(xié)議用協(xié)議(如如HTTP)進行審查、掃描數據包

58、內容，并進行進行審查、掃描數據包內容，并進行代理代理(轉發(fā)請求或響應轉發(fā)請求或響應)，故其速度較慢。，故其速度較慢。2.代理對用戶不透明。許多代理要求客戶端作相應改動代理對用戶不透明。許多代理要求客戶端作相應改動或安裝定制客戶端軟件，這給用戶增加了不透明度?；虬惭b定制客戶端軟件，這給用戶增加了不透明度。為龐大的互異網絡的每一臺內部主機安裝和配置特定為龐大的互異網絡的每一臺內部主機安裝和配置特定的應用程序既耗費時間，又容易出錯，原因是硬件平的應用程序既耗費時間，又容易出錯，原因是硬件平臺和操作系統(tǒng)都存在差異。臺和操作系統(tǒng)都存在差異。LOGO693.對于每項服務代理可能要求不同的服務器?？赡苄枰獮?/p>

59、對于每項服務代理可能要求不同的服務器?？赡苄枰獮槊宽梾f(xié)議設置一個不同的代理服務器，因為代理服務器每項協(xié)議設置一個不同的代理服務器，因為代理服務器不得不理解協(xié)議以便判斷什么是允許的和不允許的，并不得不理解協(xié)議以便判斷什么是允許的和不允許的，并且還裝扮一個對真實服務器來說是客戶、對代理客戶來且還裝扮一個對真實服務器來說是客戶、對代理客戶來說是服務器的角色。挑選、安裝和配置所有這些不同的說是服務器的角色。挑選、安裝和配置所有這些不同的服務器也可能是一項較大的工作。服務器也可能是一項較大的工作。4.除了一些為代理而設的服務外，代理服務器要求對客戶、除了一些為代理而設的服務外，代理服務器要求對客戶、過程

60、之一或兩者進行限制，每一種限制都有不足之處，過程之一或兩者進行限制，每一種限制都有不足之處，由于這些限制，代理應用就不能像非代理應用運行得那由于這些限制，代理應用就不能像非代理應用運行得那樣好，往往可能曲解協(xié)議說明，并且缺少靈活性。樣好，往往可能曲解協(xié)議說明，并且缺少靈活性。LOGO705.代理服務不能保證免受所有協(xié)議弱點的限制。作為一個代理服務不能保證免受所有協(xié)議弱點的限制。作為一個安全問題的解決方法，代理取決于對協(xié)議中哪些是安全安全問題的解決方法，代理取決于對協(xié)議中哪些是安全操作的判斷能力。每個應用層協(xié)議，都或多或少存在一操作的判斷能力。每個應用層協(xié)議，都或多或少存在一些安全問題，對于一個

61、代理服務器來說，要徹底避免這些安全問題，對于一個代理服務器來說，要徹底避免這些安全隱患幾乎是不可能的，除非關掉這些服務。些安全隱患幾乎是不可能的，除非關掉這些服務。6.代理不能改進底層協(xié)議的安全性。因為代理工作于代理不能改進底層協(xié)議的安全性。因為代理工作于TCP/IP之上，屬于應用層，所以它就不能改善底層通信之上，屬于應用層，所以它就不能改善底層通信協(xié)議的能力。如協(xié)議的能力。如IP欺騙、欺騙、SYN泛濫、泛濫、ICMP欺騙和一些拒欺騙和一些拒絕服務的攻擊。而這些方面，對于一個網絡的健壯性是絕服務的攻擊。而這些方面，對于一個網絡的健壯性是相當重要的。相當重要的。LOGO71v狀態(tài)監(jiān)測防火墻狀態(tài)監(jiān)

62、測防火墻 狀態(tài)狀態(tài)監(jiān)測（Stateful Inspection）防火墻安全特防火墻安全特性非常好，它采用了一個在網關上執(zhí)行網絡安性非常好，它采用了一個在網關上執(zhí)行網絡安全策略的軟件引擎，稱之為檢測模塊。檢測模全策略的軟件引擎，稱之為檢測模塊。檢測模塊在不影響網絡正常工作的前提下，采用抽取塊在不影響網絡正常工作的前提下，采用抽取相關數據的方法對網絡通信的各層實施監(jiān)測，相關數據的方法對網絡通信的各層實施監(jiān)測，抽取部分數據，即狀態(tài)信息，并動態(tài)地保存起抽取部分數據，即狀態(tài)信息，并動態(tài)地保存起來作為以后指定安全決策的參考。來作為以后指定安全決策的參考。LOGO72LOGO狀態(tài)包檢查的邏輯流程狀態(tài)包檢查的

63、邏輯流程LOGO74 監(jiān)測型防火墻技術實際已經超越了最初的防火墻監(jiān)測型防火墻技術實際已經超越了最初的防火墻定義。監(jiān)測型防火墻能夠對各層的數據進行主動定義。監(jiān)測型防火墻能夠對各層的數據進行主動的、實時的監(jiān)測，在對這些數據加以分析的基礎的、實時的監(jiān)測，在對這些數據加以分析的基礎上，監(jiān)測型防火墻能夠有效地判斷出各層中的非上，監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時，這種檢測型防火墻產品一般還帶法侵入。同時，這種檢測型防火墻產品一般還帶有分布式探測器，這些探測器安置在各種應用服有分布式探測器，這些探測器安置在各種應用服務器和其他網絡的節(jié)點之中，不僅能夠檢測來自務器和其他網絡的節(jié)點之中，不僅能

64、夠檢測來自網絡外部的攻擊，同時對來自內部的惡意破壞也網絡外部的攻擊，同時對來自內部的惡意破壞也有極強的防范作用。據權威機構統(tǒng)計，在針對網有極強的防范作用。據權威機構統(tǒng)計，在針對網絡系統(tǒng)的攻擊中，有相當比例的攻擊來自網絡內絡系統(tǒng)的攻擊中，有相當比例的攻擊來自網絡內部。因此，監(jiān)測型防火墻不但超越了傳統(tǒng)防火墻部。因此，監(jiān)測型防火墻不但超越了傳統(tǒng)防火墻的定義，而且在安全性上也超越了前幾代產品。的定義，而且在安全性上也超越了前幾代產品。LOGO75LOGO76LOGO77LOGOZFW（Zone-Based Policy Firewall）v ZFW（Zone-Based Policy Firewall

65、），是一種基于區(qū)域的防火墻，基于區(qū)域的防火墻配置的防火墻策略都是在數據從一個區(qū)域發(fā)到另外一個區(qū)域時才生 效，在同一個區(qū)域內的數據是不會應用任何策略的，所以我們就可以將需要使用策略的接口劃入不同的區(qū)域，這樣就可以應用我們想要的策略。但是，有時某些接口之間可能不需要彼此使用策略，那么這樣的接口只要劃入同一個區(qū)域，它們之間就可以任意互訪了。78LOGOv Zone是應用防火墻策略的最小單位，一個zone中可以包含一個接口，也可以包含多個接口。區(qū)域之間的所有數據默認是全部被丟棄的，所以必須配置相應的策略來允許某些數據的通過。同區(qū)域的接口是不需要配置策略的，因為他們默認就是可以自由訪問的，我們只需要在區(qū)

66、域與區(qū)域之間配置策略，而配置這樣的區(qū)域與區(qū)域之間的策略，必須定義從哪個區(qū)域到哪個區(qū)域，即必須配置方向，配置一個包含源區(qū)域和目的區(qū)域的一組策略，這樣的一個區(qū)域組，被稱為Zone-Pairs。一個Zone-Pairs，就表示了從一個區(qū)域到另一個區(qū)域的策略，而配置一個區(qū)域到另一個區(qū)域的策略，就必須配置一個Zone-Pairs，并加入策略。當配置了一個區(qū)域到另一個區(qū)域的策略后，如果策略動作是inspect，則并不需要再為返回的數據配置策略，因為返回的數據是默認被允許的，如果策略動作時pass或drop則不會有返回流量或被直接被掉棄。如果有兩個zone，并且希望在兩個方向上都應用策略，就是每個方向一個zone-pairs。79LOGOv Zone特性一：一個zone是一系列接口的集合 v Zone特性二：如果兩個接口不屬于zone，他們之間的流量不受任何影響。v Zone特性三：如果一個接口屬于zone，而另一個接口不屬于zone，他們之間 是不能通訊的.v Zone特性四：若兩個接口屬于不同的zone，可以通過配置policy來允許流量，默認所有流量都丟棄。v Zone特性五：在相同的secu