第5章 防火墻應(yīng)用技術(shù)

1、第第5章章 防火墻應(yīng)用技術(shù)防火墻應(yīng)用技術(shù) 主講：耿杰主講：耿杰 二二. .技能目標(biāo)技能目標(biāo)： 1.掌握防火墻掌握防火墻 的概念、功能的概念、功能 特點(diǎn)及安全性特點(diǎn)及安全性 2.掌握設(shè)置天網(wǎng)掌握設(shè)置天網(wǎng) 個人防火墻保護(hù)個人防火墻保護(hù) 系統(tǒng)安全的應(yīng)用系統(tǒng)安全的應(yīng)用 三三. .知識鏈接知識鏈接： 1 防火墻概念與防火墻概念與 作用作用 23 常用防火墻系常用防火墻系 統(tǒng)簡介統(tǒng)簡介 防火墻技術(shù)的防火墻技術(shù)的 分類分類 常見防火墻系常見防火墻系 統(tǒng)結(jié)構(gòu)統(tǒng)結(jié)構(gòu) 課堂討論：課堂討論： 你使用過防火墻沒有你使用過防火墻沒有?你用過的防火墻是什你用過的防火墻是什 么公司的么公司的?你感覺防火墻有什么好處你感覺防

2、火墻有什么好處?。 三三. .知識鏈接知識鏈接： 【案例【案例1】微軟計(jì)劃下周發(fā)布八個補(bǔ)丁，其中五個修復(fù)嚴(yán)重漏洞微軟計(jì)劃下周發(fā)布八個補(bǔ)丁，其中五個修復(fù)嚴(yán)重漏洞 2008年年4月月7日，微軟稱，它計(jì)劃在日，微軟稱，它計(jì)劃在4月月8日（美國當(dāng)?shù)貢r間）發(fā)日（美國當(dāng)?shù)貢r間）發(fā) 布八個安全補(bǔ)丁。其中五個嚴(yán)重等級的安全補(bǔ)丁是修復(fù)布八個安全補(bǔ)丁。其中五個嚴(yán)重等級的安全補(bǔ)丁是修復(fù) windows和和ie瀏覽器中的遠(yuǎn)程執(zhí)行代碼安全漏洞。黑客利用這些瀏覽器中的遠(yuǎn)程執(zhí)行代碼安全漏洞。黑客利用這些 安全漏洞能夠控制用戶的計(jì)算機(jī)。安全漏洞能夠控制用戶的計(jì)算機(jī)。 這些安全補(bǔ)丁適用于這些安全補(bǔ)丁適用于windows vis

3、ta、windows xp、windows 2000、windowsserver2003和和windows server2008等操作系等操作系 統(tǒng)軟件以及統(tǒng)軟件以及ie瀏覽器。用戶在安裝這些補(bǔ)丁之后需要重新啟動計(jì)瀏覽器。用戶在安裝這些補(bǔ)丁之后需要重新啟動計(jì) 算機(jī)。算機(jī)。 微軟還計(jì)劃修復(fù)兩個微軟還計(jì)劃修復(fù)兩個“重要重要”等級的安全漏洞。這些安全漏洞能等級的安全漏洞。這些安全漏洞能 夠讓夠讓windows受到欺騙或者用戶非法提升權(quán)限的攻擊。利用這受到欺騙或者用戶非法提升權(quán)限的攻擊。利用這 些安全漏洞能夠在些安全漏洞能夠在office軟件中遠(yuǎn)程執(zhí)行代碼。軟件中遠(yuǎn)程執(zhí)行代碼。 51 防火墻技術(shù)應(yīng)用基

4、礎(chǔ)防火墻技術(shù)應(yīng)用基礎(chǔ) 三三. .知識鏈接知識鏈接： 防火墻防火墻(firewall)是一種能將內(nèi)部網(wǎng)和是一種能將內(nèi)部網(wǎng)和 公眾網(wǎng)分開的方法。它能限制被保護(hù)的公眾網(wǎng)分開的方法。它能限制被保護(hù)的 網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)及其他網(wǎng)絡(luò)之間進(jìn)行的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)及其他網(wǎng)絡(luò)之間進(jìn)行的 信息存取、傳遞等操作。在構(gòu)建安全的信息存取、傳遞等操作。在構(gòu)建安全的 網(wǎng)絡(luò)環(huán)境過程中，防火墻作為第一道安網(wǎng)絡(luò)環(huán)境過程中，防火墻作為第一道安 全防線，正受到越來越多用戶關(guān)注。全防線，正受到越來越多用戶關(guān)注。 三三. .知識鏈接知識鏈接： 【知識知識1】防火墻概念與作用防火墻概念與作用 1防火墻概念防火墻概念 “防火墻防火墻”原來是指在建筑

5、物中用來隔離不同的房間，防止火原來是指在建筑物中用來隔離不同的房間，防止火 災(zāi)蔓延的隔斷墻，現(xiàn)在，人們引用這個概念，把用于保護(hù)計(jì)算災(zāi)蔓延的隔斷墻，現(xiàn)在，人們引用這個概念，把用于保護(hù)計(jì)算 機(jī)網(wǎng)絡(luò)中敏感數(shù)據(jù)不被竊取和篡改的計(jì)算機(jī)軟硬系統(tǒng)叫做機(jī)網(wǎng)絡(luò)中敏感數(shù)據(jù)不被竊取和篡改的計(jì)算機(jī)軟硬系統(tǒng)叫做“防防 火墻火墻”。 防火墻是設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信任防火墻是設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信任 的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它可通過的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它可通過 監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽監(jiān)測、限制、更改跨

6、越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽 網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保 護(hù)。護(hù)。 三三. .知識鏈接知識鏈接： 防火墻實(shí)際上是一種訪問控制技術(shù)，它在一個被認(rèn)防火墻實(shí)際上是一種訪問控制技術(shù)，它在一個被認(rèn) 為是安全和可信的內(nèi)部網(wǎng)絡(luò)和一個被認(rèn)為是不那么為是安全和可信的內(nèi)部網(wǎng)絡(luò)和一個被認(rèn)為是不那么 安全和可信的外部網(wǎng)絡(luò)之間設(shè)置障礙，阻止對信息安全和可信的外部網(wǎng)絡(luò)之間設(shè)置障礙，阻止對信息 資源的非法訪問，也可以阻止保密信息從受保護(hù)網(wǎng)資源的非法訪問，也可以阻止保密信息從受保護(hù)網(wǎng) 絡(luò)上被非法輸出。它能允許你絡(luò)上被非法輸出。它能允許你

7、“同意同意”的人和數(shù)據(jù)的人和數(shù)據(jù) 進(jìn)入你的網(wǎng)絡(luò)，同時將你進(jìn)入你的網(wǎng)絡(luò)，同時將你“不同意不同意”的人和數(shù)據(jù)拒的人和數(shù)據(jù)拒 之網(wǎng)外。換句話說，如果不通過防火墻，可信網(wǎng)絡(luò)之網(wǎng)外。換句話說，如果不通過防火墻，可信網(wǎng)絡(luò) 內(nèi)部和外部的人就無法進(jìn)行通信。內(nèi)部和外部的人就無法進(jìn)行通信。 三三. .知識鏈接知識鏈接： 防火墻是一類防范措施的總稱，不是一個單獨(dú)的計(jì)算機(jī)程序或設(shè)備。防火墻是一類防范措施的總稱，不是一個單獨(dú)的計(jì)算機(jī)程序或設(shè)備。 在物理上，它通常是一組硬件設(shè)備和軟件的多種組合。防火墻是不同在物理上，它通常是一組硬件設(shè)備和軟件的多種組合。防火墻是不同 網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)一定的安全

8、政策控網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)一定的安全政策控 制出入網(wǎng)絡(luò)的信息流。防火墻本身具有較強(qiáng)的抗攻擊能力，是提供信制出入網(wǎng)絡(luò)的信息流。防火墻本身具有較強(qiáng)的抗攻擊能力，是提供信 息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。圖息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。圖5-1為防火墻示意為防火墻示意 圖：圖： 三三. .知識鏈接知識鏈接： 提示：防火墻可分為軟件防火墻和硬件防火墻。提示：防火墻可分為軟件防火墻和硬件防火墻。 2防火墻的作用防火墻的作用 防火墻一方面對經(jīng)過它的網(wǎng)絡(luò)通信進(jìn)行掃描，過濾掉一些可能攻擊內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)。另防火墻一方面對經(jīng)過它的網(wǎng)絡(luò)通信進(jìn)行掃描，過濾掉一些可能攻擊內(nèi)

9、部網(wǎng)絡(luò)的數(shù)據(jù)。另 一方面防火墻可以關(guān)閉不使用的端口，能禁止特定端口聽通信，封鎖特洛伊木馬。它可一方面防火墻可以關(guān)閉不使用的端口，能禁止特定端口聽通信，封鎖特洛伊木馬。它可 以禁止來自特殊站點(diǎn)的訪問，從而防止來自不明入侵者的所有通信。具體來說，防火墻以禁止來自特殊站點(diǎn)的訪問，從而防止來自不明入侵者的所有通信。具體來說，防火墻 的作用主要體現(xiàn)在以下幾個方面：的作用主要體現(xiàn)在以下幾個方面： 1）防火墻是網(wǎng)絡(luò)安全的屏障）防火墻是網(wǎng)絡(luò)安全的屏障 一個防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾一個防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾 不安全

10、的服務(wù)而降低風(fēng)險。不安全的服務(wù)而降低風(fēng)險。 2）防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略）防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略 通過以防火墻為中心的安全方案配置通過以防火墻為中心的安全方案配置,能將所有安全軟件能將所有安全軟件(如口令、密碼、身份認(rèn)證、審計(jì)如口令、密碼、身份認(rèn)證、審計(jì) 等等)配置在防火墻上。配置在防火墻上。 3）網(wǎng)絡(luò)存取和訪問監(jiān)控審計(jì)）網(wǎng)絡(luò)存取和訪問監(jiān)控審計(jì) 4）防止內(nèi)部信息的外泄）防止內(nèi)部信息的外泄 5）防火墻支持具有）防火墻支持具有internet 服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系vpn 三三. .知識鏈接知識鏈接： 【知識知識2】常用防火墻系統(tǒng)簡介常用防火墻系統(tǒng)簡介

11、1天網(wǎng)防火墻天網(wǎng)防火墻 天網(wǎng)防火墻是國內(nèi)第一款針對個人用戶的軟件防火墻，擁有強(qiáng)大的訪問控制、信息過濾天網(wǎng)防火墻是國內(nèi)第一款針對個人用戶的軟件防火墻，擁有強(qiáng)大的訪問控制、信息過濾 和自定義規(guī)則設(shè)置等功能，通過對不同的網(wǎng)絡(luò)環(huán)境靈活選擇適當(dāng)?shù)陌踩桨?，可以有效和自定義規(guī)則設(shè)置等功能，通過對不同的網(wǎng)絡(luò)環(huán)境靈活選擇適當(dāng)?shù)陌踩桨?，可以有?抵御木馬、后門病毒、黑客攻擊以及抵御木馬、后門病毒、黑客攻擊以及ie、系統(tǒng)漏洞等安全隱患帶來的威脅。最新版本的、系統(tǒng)漏洞等安全隱患帶來的威脅。最新版本的 包過濾引擎內(nèi)核，數(shù)據(jù)處理速度更快，占用系統(tǒng)資源極低，能在正常上網(wǎng)的同時最大限包過濾引擎內(nèi)核，數(shù)據(jù)處理速度更快，占用

12、系統(tǒng)資源極低，能在正常上網(wǎng)的同時最大限 度地保障您機(jī)器的安全，是個人上網(wǎng)用戶防止個人文件和私密信息泄露的必備安全軟件。度地保障您機(jī)器的安全，是個人上網(wǎng)用戶防止個人文件和私密信息泄露的必備安全軟件。 天網(wǎng)防火墻主要特色：天網(wǎng)防火墻主要特色： 1）嚴(yán)密的實(shí)時監(jiān)控。監(jiān)控來自外部的安全威脅，過濾所有未授權(quán)連接，時刻保護(hù)用戶的）嚴(yán)密的實(shí)時監(jiān)控。監(jiān)控來自外部的安全威脅，過濾所有未授權(quán)連接，時刻保護(hù)用戶的 系統(tǒng)安全。系統(tǒng)安全。 2）靈活的安全規(guī)則。防火墻規(guī)則可方便地增加、刪除和修改，并根據(jù)自身網(wǎng)絡(luò)環(huán)境設(shè)置）靈活的安全規(guī)則。防火墻規(guī)則可方便地增加、刪除和修改，并根據(jù)自身網(wǎng)絡(luò)環(huán)境設(shè)置 合適的安全規(guī)則。合適的安全

13、規(guī)則。 3）應(yīng)用程序規(guī)則設(shè)置。拒絕未經(jīng)授權(quán)的內(nèi)部程序連接網(wǎng)絡(luò)，防止木馬病毒泄露秘密信息。）應(yīng)用程序規(guī)則設(shè)置。拒絕未經(jīng)授權(quán)的內(nèi)部程序連接網(wǎng)絡(luò)，防止木馬病毒泄露秘密信息。 4）詳細(xì)的訪問記錄和完善的報警系統(tǒng)。遇到安全威脅即發(fā)出報警并記錄該威脅的詳細(xì)信）詳細(xì)的訪問記錄和完善的報警系統(tǒng)。遇到安全威脅即發(fā)出報警并記錄該威脅的詳細(xì)信 息，讓您在第一時間了解系統(tǒng)安全狀態(tài)。息，讓您在第一時間了解系統(tǒng)安全狀態(tài)。 5）獨(dú)創(chuàng)的擴(kuò)展安全級別。針對新出現(xiàn)的病毒木馬，官方定期為用戶更新防御規(guī)則，保證）獨(dú)創(chuàng)的擴(kuò)展安全級別。針對新出現(xiàn)的病毒木馬，官方定期為用戶更新防御規(guī)則，保證 您的防火墻能夠隨時抵御新的威脅。您的防火墻能夠

14、隨時抵御新的威脅。 6）完善的密碼保護(hù)措施。凡查看、修改或者關(guān)閉防火墻，均需提供密碼，防止病毒、黑）完善的密碼保護(hù)措施。凡查看、修改或者關(guān)閉防火墻，均需提供密碼，防止病毒、黑 客或他人修改用戶的防火墻設(shè)置?？突蛩诵薷挠脩舻姆阑饓υO(shè)置。 三三. .知識鏈接知識鏈接： 2瑞星防火墻瑞星防火墻2008版簡介版簡介 瑞星個人防火墻瑞星個人防火墻2008版，加強(qiáng)了未知木馬識別、多帳戶管理版，加強(qiáng)了未知木馬識別、多帳戶管理 （家長控制）、（家長控制）、ie瀏覽器監(jiān)控等功能，在專業(yè)性和易用性上有瀏覽器監(jiān)控等功能，在專業(yè)性和易用性上有 了很大的提高，與瑞星殺毒軟件了很大的提高，與瑞星殺毒軟件2008相配合，

15、可以有更好的防相配合，可以有更好的防 護(hù)效果。瑞星防火墻護(hù)效果。瑞星防火墻2008版主要特色：版主要特色： 1）防火墻多賬號管理，方便用戶管理自己的電腦）防火墻多賬號管理，方便用戶管理自己的電腦 2）未知木馬識別，防范未知木馬的攻擊）未知木馬識別，防范未知木馬的攻擊 3）ie功能調(diào)用攔截，使功能調(diào)用攔截，使ie瀏覽器不被病毒利用瀏覽器不被病毒利用 4）提供強(qiáng)大的反釣魚、防木馬病毒網(wǎng)站功能）提供強(qiáng)大的反釣魚、防木馬病毒網(wǎng)站功能 5）模塊檢查功能，阻止木馬通過網(wǎng)絡(luò)發(fā)送信息）模塊檢查功能，阻止木馬通過網(wǎng)絡(luò)發(fā)送信息 三三. .知識鏈接知識鏈接： 【案例案例1】天網(wǎng)防火墻系統(tǒng)設(shè)置天網(wǎng)防火墻系統(tǒng)設(shè)置 操作

16、步驟操作步驟: : 第1步：在安裝好天網(wǎng)防火墻之后,打開【天網(wǎng)防火墻個人版】窗口,如圖 5-2所示. 操作步驟操作步驟: : 第2步：如果右擊桌面右下角【天網(wǎng)防火墻】圖標(biāo),并在彈出的快捷菜單中選擇 【退出】選項(xiàng),則可退出【天網(wǎng)防火墻個人版】程序。 第3步：單擊主窗口中的【應(yīng)用程序規(guī)則】按紐,即可打開【應(yīng)用程序規(guī)則】對 話框,從中可以設(shè)置允許()、提示(?)、禁止（）三種方式來判斷是否允許訪問網(wǎng) 絡(luò)資源,如圖5-3所示。 操作步驟操作步驟: : 第4步：選擇其中一個程序(如”qq游戲”)，單擊【刪除】按鈕，既可打開【天網(wǎng)防 火墻提示信息】對話框，如圖5-4所示。 操作步驟操作步驟: : 第5步：

17、單擊【確定】按紐之后,將禁止qq游戲使用網(wǎng)絡(luò)資源，如果此時再運(yùn)行qq游 戲，將打開【天網(wǎng)防火墻警告信息】對話框，如圖5-5所示。只有取消勾選【該程序 以后都按照這次的操作運(yùn)行】復(fù)選框并單擊【允許】按紐，該qq游戲程序才可以使用 網(wǎng)絡(luò)資源。 操作步驟操作步驟: : 第6步：在【應(yīng)用程序規(guī)則】對話框選擇一項(xiàng)并雙擊【選項(xiàng)】按紐，即可打開【應(yīng) 用程序規(guī)則高級設(shè)置】對話框，如圖5-6所示。 操作步驟操作步驟: : 第7步：如果選取了“端口范圍”單選按紐，從中即可設(shè)定該程序訪問網(wǎng)絡(luò)的端口 范圍（本對話框中內(nèi)容表示firefox程序只能使用01024之間的端口），如圖5-7所 示。 操作步驟操作步驟: :

18、第8步：選擇【端口列表】單選按鈕，在右側(cè)列表框處列出了該程序可使用的端 口，如圖5-8所示。 操作步驟操作步驟: : 第9步：在【應(yīng)用程序規(guī)則】對話框單擊【ip規(guī)則管理】按紐，即可打開【自定義ip 規(guī)則】對話框，單擊其中任一項(xiàng)，即可在列表框中出現(xiàn)對該規(guī)則的描述，如圖5-9所示。 操作步驟操作步驟: : 第10步：在【應(yīng)用程序規(guī)則】對話框單擊【系統(tǒng)設(shè)置】按紐并勾選“啟動”選項(xiàng)組 中的“開機(jī)后自動啟動防火墻”復(fù)選框，則以后每次啟動計(jì)算機(jī)時，都將自動運(yùn)行 天網(wǎng)防火墻。如果單擊【重置】按紐，則會打開【天網(wǎng)防火墻提示信息】對話框， 如圖5-10所示。單擊【確定】按紐，即可刪除所有后來加入的新規(guī)則，而所有

19、被修 改的規(guī)則都將變成初始的默認(rèn)設(shè)置。 操作步驟操作步驟: : 第11步：單擊【向?qū)А堪醇~，即可打開【天網(wǎng)防火墻設(shè)置向?qū)А繉υ捒?，如圖5-11 所示。 操作步驟操作步驟: : 第12步：單擊【下一步】按紐，即可進(jìn)入【安全級別設(shè)置】對話框，從 中選擇所要使用的安全級別，如圖5-12所示。 操作步驟操作步驟: : 第13步：單擊【下一步】按紐，即可進(jìn)入【常用應(yīng)用程序設(shè)置】對話 框，在其中可以選擇防火墻允許訪問網(wǎng)絡(luò)的程序。 第14步：單擊【下一步】按紐，即可進(jìn)入【局域網(wǎng)信息設(shè)置】對話框 。其中勾選【開機(jī)的時候自動啟動防火墻】復(fù)選框，即可讓防火墻在開機(jī) 的時候自動開始對電腦進(jìn)行保護(hù)。在“我的局域網(wǎng)的地

20、址是”文本框中， 只要輸入要設(shè)定ip地址即可。 第15步：在完成設(shè)置之后，單擊【結(jié)束】按紐，即可完成對天網(wǎng)防火 墻的系統(tǒng)設(shè)置。 操作步驟操作步驟: : （2）限制不必要的用戶數(shù)量 去掉所有的duplicate user帳戶、測試用帳戶、共享帳 號和普通部門帳號等。用戶組策略設(shè)置之不理相應(yīng)權(quán)限， 并且經(jīng)常檢查系統(tǒng)的帳戶，刪除已經(jīng)不再使用的帳戶。 這些帳戶很多時候都是黑客們?nèi)肭窒到y(tǒng)的突破口，系統(tǒng) 的帳戶越多，黑客們得到的合法用戶權(quán)限的可能性一般 也就越大。國內(nèi)的windows nt/2000主機(jī)，如果系統(tǒng)帳 戶超過10個，一般都能找出一二個弱口令帳戶。 （3）創(chuàng)建兩個管理員用帳號 創(chuàng)建一個只有一般

21、權(quán)限的帳號用來收信以及處理一些 日常事物，另一個擁有administrators權(quán)限的帳戶只在需 要的時候使用。 操作步驟操作步驟: : （4）系統(tǒng)administrator帳號改名 windows2000的administrator帳戶改名可以有效地防 止攻擊。只是不要使用admin之類的名字，這樣改了等 于沒改，盡量把它偽裝成普通用戶。 （5）創(chuàng)建一個陷阱帳號 創(chuàng)建一個名為”administrator”的本地帳戶，把它的權(quán) 限設(shè)置成最低，什么事也干不了的那種，并且加上一個 超過10位的超級復(fù)雜密碼。這樣可以增加那些入侵的難 度，即使口令被破解，入侵者也會無所作為，并且可以 借此發(fā)現(xiàn)它們的入

22、侵企圖。 操作步驟操作步驟: : 第2步：密碼管理 （1）使用安全密碼 一個好的密碼對于一個網(wǎng)絡(luò)是非常重要的，但是它是最容易被忽 略的。 一些管理員創(chuàng)建帳號的時候往往習(xí)慣用公司名、計(jì)算機(jī)名、 或者一些很容易猜中的東西作為用戶名，然后又把這些帳戶的密碼 設(shè)置得很簡單，比如“welcome”、“iloveyou”、“l(fā)etmein”或者和 用戶名相同等。這樣的帳戶應(yīng)該要求用戶在第一次登錄的時候更改 成復(fù)雜的密碼，還要注意經(jīng)常更改密碼。安全期內(nèi)無法破解出來的 密碼就是好密碼，也就是說，如果人家得到了密碼文檔，必須花43 天或者更長的時間才能破解出來，而密碼策略可能是42天必須更改 密碼。 （2）設(shè)置

23、屏幕保護(hù)密碼 設(shè)置屏幕保護(hù)密碼也是防止內(nèi)部人員破壞服務(wù)器的一個安全屏障。 還有一點(diǎn)，所有系統(tǒng)用戶使用的機(jī)器也最好加上屏幕保護(hù)密碼。 操作步驟操作步驟: : 第3步：合理設(shè)置瀏覽器的安全屬性 （1）防止microsoft activex攻擊 在ie中打開【工具】的【internet選項(xiàng)】，在【安全】 選項(xiàng)中選擇【i nternet】區(qū)域，將代表安全等級滑動 條上移到合適位置，推薦設(shè)為high，然后手工使用 【自定義級別】按鈕，禁止activex的活動。 （2）合理選擇網(wǎng)站的安全等級 慎用可信站點(diǎn)，只有非?？煽康恼军c(diǎn)才能列為可信站 點(diǎn)。在瀏覽器中選擇【工具】菜單，然后在【internet選 項(xiàng)】的

24、【高級】菜單項(xiàng)中設(shè)置好安全屬性。 三三. .知識鏈接知識鏈接： 【知識知識1】防火墻技術(shù)的分類防火墻技術(shù)的分類 防火墻是近十幾年發(fā)展起來的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安防火墻是近十幾年發(fā)展起來的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安 全的技術(shù)性措施，它是一個用以阻止網(wǎng)絡(luò)中的黑客訪全的技術(shù)性措施，它是一個用以阻止網(wǎng)絡(luò)中的黑客訪 問某個機(jī)構(gòu)網(wǎng)絡(luò)的屏障，在網(wǎng)絡(luò)邊界上通過建立起來問某個機(jī)構(gòu)網(wǎng)絡(luò)的屏障，在網(wǎng)絡(luò)邊界上通過建立起來 的相應(yīng)網(wǎng)絡(luò)監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻擋的相應(yīng)網(wǎng)絡(luò)監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻擋 外部網(wǎng)絡(luò)的侵入。目前的防火墻主要有以下外部網(wǎng)絡(luò)的侵入。目前的防火墻主要有以下2大類：包大類：包 過防火墻和代理防

25、火墻。過防火墻和代理防火墻。 1包過濾防火墻技術(shù)包過濾防火墻技術(shù) 數(shù)據(jù)包過濾（數(shù)據(jù)包過濾（facket filtering ） 技術(shù)是防火墻為系技術(shù)是防火墻為系 統(tǒng)提供安全保障的主要技術(shù)，它依據(jù)系統(tǒng)內(nèi)事先設(shè)定統(tǒng)提供安全保障的主要技術(shù)，它依據(jù)系統(tǒng)內(nèi)事先設(shè)定 的過濾邏輯，通過設(shè)備對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行有選的過濾邏輯，通過設(shè)備對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行有選 擇的控制與操作。擇的控制與操作。 52 防火墻技術(shù)應(yīng)用防火墻技術(shù)應(yīng)用 三三. .知識鏈接知識鏈接： 數(shù)據(jù)包過濾技術(shù)作為防火墻的應(yīng)用有數(shù)據(jù)包過濾技術(shù)作為防火墻的應(yīng)用有3種。第一種是路由設(shè)備在完種。第一種是路由設(shè)備在完 成路由選擇和數(shù)據(jù)轉(zhuǎn)發(fā)的同時進(jìn)行包過

26、濾。第成路由選擇和數(shù)據(jù)轉(zhuǎn)發(fā)的同時進(jìn)行包過濾。第2種是在工作站上使種是在工作站上使 用軟件進(jìn)行包過濾。第用軟件進(jìn)行包過濾。第3種是在一種稱為屏蔽路由器的路由設(shè)備上種是在一種稱為屏蔽路由器的路由設(shè)備上 啟動包過濾功能。目前較常用的方式是第一種。用戶可以設(shè)定一啟動包過濾功能。目前較常用的方式是第一種。用戶可以設(shè)定一 系列的規(guī)則，指定允許哪些類型的數(shù)據(jù)包可以流入或流出內(nèi)部網(wǎng)系列的規(guī)則，指定允許哪些類型的數(shù)據(jù)包可以流入或流出內(nèi)部網(wǎng) 絡(luò)，哪些類型的數(shù)據(jù)包的傳輸應(yīng)該被攔截。絡(luò)，哪些類型的數(shù)據(jù)包的傳輸應(yīng)該被攔截。 包過濾作用在網(wǎng)絡(luò)層和傳輸層，以包過濾作用在網(wǎng)絡(luò)層和傳輸層，以ip包信息為基礎(chǔ)，對通過防火包信息為

27、基礎(chǔ)，對通過防火 墻的墻的ip包的源包的源,目的地址，目的地址，tcp/udp的端口標(biāo)識符及的端口標(biāo)識符及icmp等進(jìn)行等進(jìn)行 檢查。規(guī)定了哪些網(wǎng)絡(luò)節(jié)點(diǎn)何時可通過防火墻訪問外部網(wǎng)絡(luò)，哪檢查。規(guī)定了哪些網(wǎng)絡(luò)節(jié)點(diǎn)何時可通過防火墻訪問外部網(wǎng)絡(luò)，哪 些網(wǎng)絡(luò)節(jié)點(diǎn)可訪問內(nèi)部網(wǎng)絡(luò)?；蛘吣男┯脩糁荒苁褂眯┚W(wǎng)絡(luò)節(jié)點(diǎn)可訪問內(nèi)部網(wǎng)絡(luò)?；蛘吣男┯脩糁荒苁褂胑-mail，而，而 不能使用不能使用telnet和和ftp，哪些用戶只能使用，哪些用戶只能使用telnet,而不能使用而不能使用 ftp等等.可以利用安全策略形式語言描述安全配置規(guī)則，并進(jìn)行一可以利用安全策略形式語言描述安全配置規(guī)則，并進(jìn)行一 致性檢查，達(dá)到靈活方

28、便配置安全策略的目的。致性檢查，達(dá)到靈活方便配置安全策略的目的。 52 防火墻技術(shù)應(yīng)用防火墻技術(shù)應(yīng)用 三三. .知識鏈接知識鏈接： 2代理防火墻技術(shù)代理防火墻技術(shù) 代理防火墻的主要是因?yàn)榇矸?wù)器（代理防火墻的主要是因?yàn)榇矸?wù)器（proxy server）。代理服務(wù)器是）。代理服務(wù)器是 指代理內(nèi)部網(wǎng)絡(luò)用戶與外部網(wǎng)絡(luò)服務(wù)器進(jìn)行信息交換的程序。它可以將指代理內(nèi)部網(wǎng)絡(luò)用戶與外部網(wǎng)絡(luò)服務(wù)器進(jìn)行信息交換的程序。它可以將 內(nèi)部用戶的請求確認(rèn)后送達(dá)外部服務(wù)器，同時將外部服務(wù)器的響應(yīng)再送內(nèi)部用戶的請求確認(rèn)后送達(dá)外部服務(wù)器，同時將外部服務(wù)器的響應(yīng)再送 給用戶。這種技術(shù)經(jīng)常被用于在給用戶。這種技術(shù)經(jīng)常被用于在w

29、eb服務(wù)器上高速緩存信息，扮演著服務(wù)器上高速緩存信息，扮演著 web客戶和客戶和web服務(wù)器之間的中介角色。它主要保存服務(wù)器之間的中介角色。它主要保存internet上最常用上最常用 和最近訪問過的內(nèi)容，可為用戶提供更快的訪問速度，并且提高了網(wǎng)絡(luò)和最近訪問過的內(nèi)容，可為用戶提供更快的訪問速度，并且提高了網(wǎng)絡(luò) 安全性。由于代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請服務(wù)時發(fā)揮了中間安全性。由于代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請服務(wù)時發(fā)揮了中間 轉(zhuǎn)接和隔離的作用，因此又把它叫做代理防火墻。轉(zhuǎn)接和隔離的作用，因此又把它叫做代理防火墻。 代理防火墻作用在應(yīng)用層，用來提供應(yīng)用層服務(wù)的控制，其特點(diǎn)是完全代理防火墻作

30、用在應(yīng)用層，用來提供應(yīng)用層服務(wù)的控制，其特點(diǎn)是完全 阻隔了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序。實(shí)現(xiàn)監(jiān)阻隔了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序。實(shí)現(xiàn)監(jiān) 視和控制應(yīng)用層通信流的作用。所以代理防火墻又被稱為應(yīng)用代理或應(yīng)視和控制應(yīng)用層通信流的作用。所以代理防火墻又被稱為應(yīng)用代理或應(yīng) 用層網(wǎng)關(guān)型防火墻。用層網(wǎng)關(guān)型防火墻。 提示：在實(shí)際應(yīng)用中，很少把以上一種技術(shù)當(dāng)作單獨(dú)的安全解決方案，提示：在實(shí)際應(yīng)用中，很少把以上一種技術(shù)當(dāng)作單獨(dú)的安全解決方案， 通常是與其他防火墻技術(shù)柔和使用，共同組成防火墻系統(tǒng)。通常是與其他防火墻技術(shù)柔和使用，共同組成防火墻系統(tǒng)。 52 防火墻技術(shù)應(yīng)用防火墻

31、技術(shù)應(yīng)用 三三. .知識鏈接知識鏈接： 【知識知識2】常見防火墻系統(tǒng)結(jié)構(gòu)常見防火墻系統(tǒng)結(jié)構(gòu) 出于對更高安全性的要求，通常的防火墻系統(tǒng)是多種解決不同問題的技術(shù)的有機(jī)出于對更高安全性的要求，通常的防火墻系統(tǒng)是多種解決不同問題的技術(shù)的有機(jī) 組合。例如，把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來。就形成復(fù)合組合。例如，把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來。就形成復(fù)合 型防火墻產(chǎn)品。目前常見的配置有以下幾種：型防火墻產(chǎn)品。目前常見的配置有以下幾種： 1屏蔽路由器屏蔽路由器 屏蔽路由器是防火墻最基本的構(gòu)件，是最簡單也是最常見的防火墻。屏蔽路由器屏蔽路由器是防火墻最基本的構(gòu)件，是最簡單也是最常

32、見的防火墻。屏蔽路由器 作為內(nèi)外連接的唯一通道，要求所有的報文都必須在此通過檢查。路由器上可以作為內(nèi)外連接的唯一通道，要求所有的報文都必須在此通過檢查。路由器上可以 安裝基于安裝基于ip層的報文過濾軟件，實(shí)現(xiàn)報文過濾功能。許多路由器本身帶有報文過層的報文過濾軟件，實(shí)現(xiàn)報文過濾功能。許多路由器本身帶有報文過 濾配置選項(xiàng)，但一般比較簡單。濾配置選項(xiàng)，但一般比較簡單。 這種配置的優(yōu)點(diǎn)是：容易實(shí)現(xiàn)、費(fèi)用少，并且對用戶的要求較少，使用方便。其這種配置的優(yōu)點(diǎn)是：容易實(shí)現(xiàn)、費(fèi)用少，并且對用戶的要求較少，使用方便。其 缺點(diǎn)是：缺點(diǎn)是： 日志記錄能力不強(qiáng)，規(guī)則表龐大、復(fù)雜，整個系統(tǒng)依靠單一的部件來進(jìn)行保護(hù)，日志

33、記錄能力不強(qiáng)，規(guī)則表龐大、復(fù)雜，整個系統(tǒng)依靠單一的部件來進(jìn)行保護(hù)， 一旦被攻擊，系統(tǒng)管理員很難確定系統(tǒng)是否正在被入侵或已經(jīng)被入侵了。一旦被攻擊，系統(tǒng)管理員很難確定系統(tǒng)是否正在被入侵或已經(jīng)被入侵了。 三三. .知識鏈接知識鏈接： 2雙宿主主機(jī)網(wǎng)關(guān)雙宿主主機(jī)網(wǎng)關(guān) 雙宿主主機(jī)是一臺安裝有有兩塊網(wǎng)卡的計(jì)算機(jī)，每塊網(wǎng)卡有各自的雙宿主主機(jī)是一臺安裝有有兩塊網(wǎng)卡的計(jì)算機(jī)，每塊網(wǎng)卡有各自的ip地地 址，并分別與受保護(hù)網(wǎng)和外部網(wǎng)相連。如果外部網(wǎng)絡(luò)上的計(jì)算機(jī)想與內(nèi)址，并分別與受保護(hù)網(wǎng)和外部網(wǎng)相連。如果外部網(wǎng)絡(luò)上的計(jì)算機(jī)想與內(nèi) 部網(wǎng)絡(luò)上的計(jì)算機(jī)進(jìn)行通信，它就必須與雙宿主主機(jī)上與外部相連的部網(wǎng)絡(luò)上的計(jì)算機(jī)進(jìn)行通信，它

34、就必須與雙宿主主機(jī)上與外部相連的ip 地址聯(lián)系，代理服務(wù)器軟件再通過另一塊網(wǎng)卡與內(nèi)部網(wǎng)絡(luò)相連接。如圖地址聯(lián)系，代理服務(wù)器軟件再通過另一塊網(wǎng)卡與內(nèi)部網(wǎng)絡(luò)相連接。如圖 5-13所示。所示。 三三. .知識鏈接知識鏈接： 3屏蔽主機(jī)網(wǎng)關(guān)屏蔽主機(jī)網(wǎng)關(guān) 屏蔽主機(jī)網(wǎng)關(guān)由屏蔽路由器和應(yīng)用網(wǎng)關(guān)組成，屏蔽路由器的作用屏蔽主機(jī)網(wǎng)關(guān)由屏蔽路由器和應(yīng)用網(wǎng)關(guān)組成，屏蔽路由器的作用 是包過濾，應(yīng)用網(wǎng)關(guān)的作用是代理服務(wù)。這樣，在內(nèi)部網(wǎng)絡(luò)和外是包過濾，應(yīng)用網(wǎng)關(guān)的作用是代理服務(wù)。這樣，在內(nèi)部網(wǎng)絡(luò)和外 部網(wǎng)絡(luò)之間建立了兩道安全屏障，既實(shí)現(xiàn)了網(wǎng)絡(luò)層安全，又實(shí)現(xiàn)部網(wǎng)絡(luò)之間建立了兩道安全屏障，既實(shí)現(xiàn)了網(wǎng)絡(luò)層安全，又實(shí)現(xiàn) 了應(yīng)用層安全。

35、如圖了應(yīng)用層安全。如圖5-14所示。所示。 三三. .知識鏈接知識鏈接： 4屏蔽子網(wǎng)屏蔽子網(wǎng) 屏蔽子網(wǎng)系統(tǒng)結(jié)構(gòu)是在屏蔽主機(jī)網(wǎng)關(guān)的基礎(chǔ)上再加上一個屏蔽路屏蔽子網(wǎng)系統(tǒng)結(jié)構(gòu)是在屏蔽主機(jī)網(wǎng)關(guān)的基礎(chǔ)上再加上一個屏蔽路 由器，兩個路由器放在子網(wǎng)的兩端，三者形成了一個被稱為由器，兩個路由器放在子網(wǎng)的兩端，三者形成了一個被稱為“非非 軍事區(qū)軍事區(qū)”的子網(wǎng)。如圖的子網(wǎng)。如圖5-15所示。所示。 三三. .知識鏈接知識鏈接： 【案例案例2】應(yīng)用天網(wǎng)防火墻防范木馬應(yīng)用天網(wǎng)防火墻防范木馬 操作步驟操作步驟: : 在全面了解天網(wǎng)防火墻的設(shè)置之后， 再來講述一下其防范木馬的主要情況。對 于木馬程序第一次運(yùn)行的情況，可采用

36、如 下防御方法： 第1步：如果在天網(wǎng)防火墻運(yùn)行時， 木馬服務(wù)器程序要打開網(wǎng)絡(luò)端口，此時會 彈出【天網(wǎng)防火墻警告信息】對話框，即 可很容易檢測到自己運(yùn)行的程序是否被綁 定了木馬。 操作步驟操作步驟: : 第2步：如果要想防止某程序使用網(wǎng) 絡(luò)資源，則單擊【天網(wǎng)防火墻警告信息】 信息提示框中的【禁止】按紐即可，這樣， 攻擊者就無法通過木馬服務(wù)器程序來對被 攻擊者的機(jī)器進(jìn)行遠(yuǎn)程控制了。而對于那 些已經(jīng)被植入木馬到計(jì)算機(jī)中的用戶，則 可以采用如下的防御方法。 操作步驟操作步驟: : 第3步：在天網(wǎng)防火墻主窗口中單擊【增加規(guī)則】按紐，即可打 開【增加ip規(guī)則】對話框，在【規(guī)則】選項(xiàng)組的“名稱”文本框中 輸

37、入“禁止冰河木馬的侵入”，在“說明文本框中輸入“記錄冰河 木馬入侵，方法是記錄7626端口的訪問情況，在發(fā)現(xiàn)有冰河木馬 入侵的時候，同時發(fā)聲”。在【數(shù)據(jù)包方向】下拉列表框中選擇 【接收】選項(xiàng)，再在【對方ip地址】下拉列表框中選擇“任何地址” 項(xiàng)，如圖5-16所示。 操作步驟操作步驟: : 第4步：在【數(shù)據(jù)包協(xié)議類型】下拉列表框中選擇“tcp”選項(xiàng)之后，即可出現(xiàn) tcp類型框，在【本地端口】選項(xiàng)組中設(shè)定端口為從7626到7626，如圖5-17所示。在 【數(shù)據(jù)包協(xié)議類型】下拉列表框中選擇udp項(xiàng)之后，將出現(xiàn)udp類型框，在【本地端 口】選項(xiàng)組中設(shè)定端口為從7626到7626，如圖5-18所示。 這

38、兩處（tcp/udp）的設(shè)置主要是為了監(jiān)聽7626端口而進(jìn)行的，因?yàn)楸幽?馬服務(wù)器程序就是使用這個端口與客戶端程序進(jìn)行通信的。 操作步驟操作步驟: : 第5步：在【當(dāng)滿足上面條件時】下拉列表框中選擇【通行】選項(xiàng)之后，再在 【同時還】中勾選【記錄】復(fù)選框和【發(fā)聲】復(fù)選框，如圖5-19所示。此時，在自定 義ip規(guī)則列表框中就可以看到已經(jīng)出現(xiàn)【禁止冰河木馬的侵入】規(guī)則了，如圖5-20所 示。 操作步驟操作步驟: : 經(jīng)過上述設(shè)置之后，只要有其他計(jì)算機(jī)想 通過冰河客戶端程序控制本地計(jì)算機(jī)，本地計(jì) 算機(jī)可出現(xiàn)“！”在【天網(wǎng)防火墻】圖標(biāo)上下 不斷閃爍，并同時還發(fā)出警報聲音。單擊【日 志】按紐之后，天網(wǎng)防

39、火墻可顯示是哪些ip通過 木馬訪問本地計(jì)算機(jī)的提示信息。 操作步驟操作步驟: : 【案例3】應(yīng)用天網(wǎng)防火墻開放bt端口 【案例說明】 bt使用的端口為68816889端口這九個端口，而防火墻的默認(rèn)設(shè)置是不允許訪問 這些端口的，它只允許bt軟件訪問網(wǎng)絡(luò)，所以有時在一定程度上影響了bt下載速度。 下面打開68816889端口。 【操作步驟】 第1步：在在天網(wǎng)防火墻主窗口中單擊【增加規(guī)則】按紐后，按如下圖5-21設(shè)置 ，點(diǎn)擊確定完成新規(guī)則的建立，新規(guī)則命名為bt。 操作步驟操作步驟: : 【案例4】打開21和80端口 很多人都使用了ftp服務(wù)器軟件和web服務(wù)器，放火墻不僅限制本機(jī)訪問外部的服 務(wù)器

40、，也限制外部計(jì)算機(jī)訪問本機(jī)。為了web和ftp服務(wù)器能正常使用，我們就必須設(shè) 置防火墻 【操作步驟】 第1步：按圖5-22設(shè)置打開web服務(wù)80端口的ip規(guī)則。 操作步驟操作步驟: : 第2步：點(diǎn)擊確定，并使其生效。 第3步：按圖5-23設(shè)置打開ftp服務(wù)21端口的ip規(guī)則。 v9防火墻技術(shù)的發(fā)展趨勢防火墻技術(shù)的發(fā)展趨勢 v防火墻技術(shù)在經(jīng)歷了從靜態(tài)過濾到狀態(tài)檢測防火墻技術(shù)在經(jīng)歷了從靜態(tài)過濾到狀態(tài)檢測 過濾，從網(wǎng)絡(luò)層分析到應(yīng)用層分析的演變后，過濾，從網(wǎng)絡(luò)層分析到應(yīng)用層分析的演變后， 發(fā)展方向會更多地集中在對特定網(wǎng)絡(luò)服務(wù)和發(fā)展方向會更多地集中在對特定網(wǎng)絡(luò)服務(wù)和 協(xié)議的分析處理，以及與其他網(wǎng)絡(luò)安全設(shè)

41、備協(xié)議的分析處理，以及與其他網(wǎng)絡(luò)安全設(shè)備 的配合與協(xié)作上面。的配合與協(xié)作上面。 v 9防火墻技術(shù)的發(fā)展趨勢防火墻技術(shù)的發(fā)展趨勢 v 防火墻技術(shù)在經(jīng)歷了從靜態(tài)過濾到狀態(tài)檢測過濾防火墻技術(shù)在經(jīng)歷了從靜態(tài)過濾到狀態(tài)檢測過濾 v 1深度包檢測深度包檢測 v 傳統(tǒng)的包過濾防火墻主要工作于網(wǎng)絡(luò)層，分析的是數(shù)據(jù)報的報頭信息，傳統(tǒng)的包過濾防火墻主要工作于網(wǎng)絡(luò)層，分析的是數(shù)據(jù)報的報頭信息， 不對數(shù)據(jù)報內(nèi)容做分析。由于網(wǎng)絡(luò)服務(wù)和協(xié)議趨于多樣化和復(fù)雜化，不對數(shù)據(jù)報內(nèi)容做分析。由于網(wǎng)絡(luò)服務(wù)和協(xié)議趨于多樣化和復(fù)雜化， 單純根據(jù)報頭信息已不能提供很好的安全性與可用性。應(yīng)用網(wǎng)關(guān)使用單純根據(jù)報頭信息已不能提供很好的安全性與可

42、用性。應(yīng)用網(wǎng)關(guān)使用 的代理技術(shù)可以將分析做到應(yīng)用層，針對不同的應(yīng)用協(xié)議做出控制。的代理技術(shù)可以將分析做到應(yīng)用層，針對不同的應(yīng)用協(xié)議做出控制。 但是代理程序一般著眼于但是代理程序一般著眼于“代理代理”服務(wù)，缺乏安全性考慮和可擴(kuò)展性服務(wù)，缺乏安全性考慮和可擴(kuò)展性 考慮。而且代理程序一般工作在操作系統(tǒng)的用戶級，在大負(fù)荷網(wǎng)絡(luò)環(huán)考慮。而且代理程序一般工作在操作系統(tǒng)的用戶級，在大負(fù)荷網(wǎng)絡(luò)環(huán) 境下很容易不堪重負(fù)，成為網(wǎng)絡(luò)的信息處理瓶頸。境下很容易不堪重負(fù)，成為網(wǎng)絡(luò)的信息處理瓶頸。 v 深度包檢測是指對數(shù)據(jù)報的分析深人到內(nèi)存，充分理解各種應(yīng)用協(xié)議深度包檢測是指對數(shù)據(jù)報的分析深人到內(nèi)存，充分理解各種應(yīng)用協(xié)議 的

43、流程以及脆弱性所在，以做出針對性的檢測和保護(hù)。實(shí)際上在狀態(tài)的流程以及脆弱性所在，以做出針對性的檢測和保護(hù)。實(shí)際上在狀態(tài) 檢測包過濾中已經(jīng)用到了一些深皮包檢測技術(shù)，比如對檢測包過濾中已經(jīng)用到了一些深皮包檢測技術(shù)，比如對ftp協(xié)議做狀協(xié)議做狀 態(tài)檢測時，就需要分析到態(tài)檢測時，就需要分析到port命令數(shù)據(jù)報的內(nèi)容。，從網(wǎng)絡(luò)層分析命令數(shù)據(jù)報的內(nèi)容。，從網(wǎng)絡(luò)層分析 到應(yīng)用層分析的演變后，發(fā)展方向會更多地集中在對特定網(wǎng)絡(luò)服務(wù)和到應(yīng)用層分析的演變后，發(fā)展方向會更多地集中在對特定網(wǎng)絡(luò)服務(wù)和 協(xié)議的分析處理，以及與其他網(wǎng)絡(luò)安全設(shè)備的配合與協(xié)作上面。協(xié)議的分析處理，以及與其他網(wǎng)絡(luò)安全設(shè)備的配合與協(xié)作上面。 v 深

44、度包檢測將成為防火墻發(fā)展的下一個階段。例如最具破壞性深度包檢測將成為防火墻發(fā)展的下一個階段。例如最具破壞性 的網(wǎng)絡(luò)攻擊如紅色代碼和尼姆達(dá)都利用了應(yīng)用存在的漏洞，這的網(wǎng)絡(luò)攻擊如紅色代碼和尼姆達(dá)都利用了應(yīng)用存在的漏洞，這 加大了對應(yīng)用防火墻的需求。說到保護(hù)系統(tǒng)免受類似尼姆達(dá)的加大了對應(yīng)用防火墻的需求。說到保護(hù)系統(tǒng)免受類似尼姆達(dá)的 攻擊，眾多的應(yīng)用代理收效甚微。在未來，只依靠代理或狀態(tài)攻擊，眾多的應(yīng)用代理收效甚微。在未來，只依靠代理或狀態(tài) 包檢測防火墻的企業(yè)遭到應(yīng)用層攻擊破壞的幾率將大大增加。包檢測防火墻的企業(yè)遭到應(yīng)用層攻擊破壞的幾率將大大增加。 代理系統(tǒng)對阻擋將來的攻擊并非至關(guān)重要。將來防火墻需要

45、更代理系統(tǒng)對阻擋將來的攻擊并非至關(guān)重要。將來防火墻需要更 加深入監(jiān)控信息包流，查出惡意行為，并加以阻擋。市場上的加深入監(jiān)控信息包流，查出惡意行為，并加以阻擋。市場上的 包檢測解決方案必須增添功能包檢測解決方案必須增添功能(如特征檢測如特征檢測)尋找己知攻擊，并尋找己知攻擊，并 知道什么是知道什么是“正常正?！绷髁苛髁?基于行為的系統(tǒng)基于行為的系統(tǒng))，以及什么是阻擋，以及什么是阻擋 協(xié)議的異常行為。協(xié)議的異常行為。 v 從防火墻廠商的動態(tài)來觀察，也有跡象表明，防火墻的這個發(fā)從防火墻廠商的動態(tài)來觀察，也有跡象表明，防火墻的這個發(fā) 展階段已經(jīng)到來。展階段已經(jīng)到來。 v2網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化網(wǎng)絡(luò)安全產(chǎn)

46、品的系統(tǒng)化 v現(xiàn)在有一種提法，叫做現(xiàn)在有一種提法，叫做“建立以防火墻為核心的網(wǎng)絡(luò)安全體系建立以防火墻為核心的網(wǎng)絡(luò)安全體系”，主要是依據(jù)，主要是依據(jù) 目前網(wǎng)絡(luò)安全產(chǎn)品的不斷推出和防火墻在實(shí)際使用中表現(xiàn)出的越來越大的局限目前網(wǎng)絡(luò)安全產(chǎn)品的不斷推出和防火墻在實(shí)際使用中表現(xiàn)出的越來越大的局限 性而提出的。性而提出的。 v一般情況下，由于內(nèi)外網(wǎng)交界的位置非常關(guān)鍵，因此為了降低網(wǎng)絡(luò)傳輸延遲，一般情況下，由于內(nèi)外網(wǎng)交界的位置非常關(guān)鍵，因此為了降低網(wǎng)絡(luò)傳輸延遲， 只有不得不置于這個位置的設(shè)備只有不得不置于這個位置的設(shè)備(如防火墻如防火墻)才會放置在這里才會放置在這里(一般必需的還有一般必需的還有 病毒檢測設(shè)備

47、等等病毒檢測設(shè)備等等)，其他設(shè)備如入侵檢測系統(tǒng)只能置于旁路位置。而在實(shí)際，其他設(shè)備如入侵檢測系統(tǒng)只能置于旁路位置。而在實(shí)際 使用中，人侵檢測系統(tǒng)的任務(wù)不僅在于檢測，很多時候在發(fā)現(xiàn)入侵行為以后，使用中，人侵檢測系統(tǒng)的任務(wù)不僅在于檢測，很多時候在發(fā)現(xiàn)入侵行為以后， 也需要入侵檢測系統(tǒng)本身對人侵行為及時遏止。顯然，處于旁路偵聽的入侵檢也需要入侵檢測系統(tǒng)本身對人侵行為及時遏止。顯然，處于旁路偵聽的入侵檢 測系統(tǒng)天法獨(dú)立完成這個任務(wù)，同時主線路又不能串接太多類似設(shè)備。在這種測系統(tǒng)天法獨(dú)立完成這個任務(wù)，同時主線路又不能串接太多類似設(shè)備。在這種 情況下，防火墻和入侵檢測、病毒檢測等相關(guān)安全產(chǎn)品聯(lián)合起來，充分

48、發(fā)揮各情況下，防火墻和入侵檢測、病毒檢測等相關(guān)安全產(chǎn)品聯(lián)合起來，充分發(fā)揮各 自的長處，協(xié)同配合，共同建立一個有效的安全防范體系，系統(tǒng)網(wǎng)絡(luò)的安全性自的長處，協(xié)同配合，共同建立一個有效的安全防范體系，系統(tǒng)網(wǎng)絡(luò)的安全性 得以明顯提升。得以明顯提升。 v日前主要有兩種解決辦法。一種是把入侵檢測、病毒檢測部分直接做到防火墻日前主要有兩種解決辦法。一種是把入侵檢測、病毒檢測部分直接做到防火墻 中，使防火墻具有中，使防火墻具有(簡單的簡單的)入侵檢測和病毒檢測設(shè)備的功能；另一種方法是各入侵檢測和病毒檢測設(shè)備的功能；另一種方法是各 個產(chǎn)品分立，但是通過某種通信方式形成一個整體，即相關(guān)檢測系統(tǒng)專用于某個產(chǎn)品分立

49、，但是通過某種通信方式形成一個整體，即相關(guān)檢測系統(tǒng)專用于某 一類安全事件的檢測，一旦發(fā)現(xiàn)安全事件，則立即通知防火墻，由防火墻完成一類安全事件的檢測，一旦發(fā)現(xiàn)安全事件，則立即通知防火墻，由防火墻完成 過濾和報告。第一種方法似乎前途不明確，因?yàn)槿饲謾z測本身也是一個非常復(fù)過濾和報告。第一種方法似乎前途不明確，因?yàn)槿饲謾z測本身也是一個非常復(fù) 雜的系統(tǒng)，即使成為防火墻的一部分，這樣一個防火墻的效率也會大受影響，雜的系統(tǒng)，即使成為防火墻的一部分，這樣一個防火墻的效率也會大受影響， 很容易降低網(wǎng)絡(luò)轉(zhuǎn)發(fā)性能。第二種方法是當(dāng)前防火墻產(chǎn)品和入侵檢測產(chǎn)品廣泛很容易降低網(wǎng)絡(luò)轉(zhuǎn)發(fā)性能。第二種方法是當(dāng)前防火墻產(chǎn)品和入侵檢測產(chǎn)品廣泛 使用的方法，也出現(xiàn)了一些用于安全產(chǎn)品之間協(xié)同工作的聯(lián)動模式及協(xié)議如使用的方法，也出現(xiàn)了一些用于安全產(chǎn)品之間協(xié)同工作的聯(lián)動模式及協(xié)議如 checkpomt定義的定義的opsec標(biāo)準(zhǔn)。但是現(xiàn)在存在的問題就是入侵檢測的誤報標(biāo)準(zhǔn)。但是現(xiàn)在存在的問題就是入侵檢測的誤報 很容易使防火墻輕易就將一些本來是合法的通信攔截掉。這種情況是因?yàn)樵陂_很容易使防火墻輕易就將一些本來是合法的通信攔截掉。這種情況是因?yàn)樵陂_ 放網(wǎng)絡(luò)中偽造源地址是非常容易的事情，而入侵檢測在檢測到攻擊行為時會通放網(wǎng)絡(luò)中偽造源地址是非常容易的事情，而入侵檢