論文資料-防火墻技術的研究（word）可編輯

1、西南科技大學高等教育自學考試（信息管理與服務）畢業(yè)論文 羈袂膁薁袇袁芃莄螂袀蒞蕿蚈罿肅莂薄羈膇薈袃羇荿莀衿羇蒂蚆螅羆膁葿蟻羅芄蚄薇羄莆蕆袆肅肆螞螂肂膈蒅蚈肁芀蟻薄肁蒃蒄羂肀膂莆袈聿芅薂螄肈莇蒞蝕肇肇薀薆膆腿莃裊膅芁薈螁膅莄莁蚇膄膃薇蚃膃芅蒀羈膂莈蚅袇膁蒀蒈螃膀膀蚃蠆螇節(jié)蒆薅袆莄螞襖裊肄蒄螀襖芆蝕螆袃荿薃螞袃蒁莆羈袂膁薁袇袁芃莄螂袀蒞蕿蚈罿肅莂薄羈膇薈袃羇荿莀衿羇蒂蚆螅羆膁葿蟻羅芄蚄薇羄莆蕆袆肅肆螞螂肂膈蒅蚈肁芀蟻薄肁蒃蒄羂肀膂莆袈聿芅薂螄肈莇蒞蝕肇肇薀薆膆腿莃裊膅芁薈螁膅莄莁蚇膄膃薇蚃膃芅蒀羈膂莈蚅袇膁蒀蒈螃膀膀蚃蠆螇節(jié)蒆薅袆莄螞襖裊肄蒄螀襖芆蝕螆袃荿薃螞袃蒁莆羈袂膁薁袇袁芃莄螂袀蒞蕿蚈罿肅莂

2、薄羈膇薈袃羇荿莀衿羇蒂蚆螅羆膁葿蟻羅芄蚄薇羄莆蕆袆肅肆螞螂肂膈蒅蚈肁芀蟻薄肁蒃蒄羂肀膂莆袈聿芅薂螄肈莇蒞蝕肇肇薀薆膆腿莃裊膅芁薈螁膅莄莁蚇膄膃薇蚃膃芅蒀羈膂莈蚅袇膁蒀蒈螃膀膀蚃蠆螇節(jié)蒆薅袆莄螞襖裊肄蒄螀襖芆蝕螆袃荿薃螞袃蒁莆羈袂膁薁袇袁芃莄螂袀蒞蕿蚈罿肅莂薄羈膇薈袃羇荿莀衿羇蒂蚆螅羆膁葿蟻羅芄蚄薇羄莆蕆袆肅肆螞螂肂膈蒅蚈肁芀蟻薄肁蒃蒄羂肀膂莆袈聿芅薂螄肈莇蒞蝕肇肇薀薆膆腿莃裊膅芁薈螁膅莄莁蚇膄膃薇蚃膃芅蒀羈膂莈蚅袇膁蒀蒈螃膀膀蚃蠆螇節(jié)蒆薅袆莄螞襖裊肄 湖南環(huán)境生物職業(yè)技術學院學生畢業(yè)論文（設計）題目: 防火墻技術的研究 姓 名 學 號 專 業(yè) 系 部 指導教師 2011 年 6 月 4 日目

3、錄摘要第一章 引言011.1 研究背景011.2 研究現(xiàn)狀011.3 論文結(jié)構(gòu)02第二章 防火墻的概述032.1 防火墻的概念032.1.1 傳統(tǒng)防火墻的發(fā)展歷程032.1.2 智能防火墻的簡述042.2 防火墻的功能042.2.1 防火墻的主要功能052.2.2 入侵檢測功能052.2.3 虛假專網(wǎng)功能06第三章 防火墻的原理及分類083.1 防火墻的工作原理083.1.1 包過濾防火墻083.1.2 應用級代理防火墻093.1.3 代理服務型防火墻093.1.4 復合型防火墻103.2 防火墻的分類103.2.1 按硬、軟件分類103.2.2 按技術、結(jié)構(gòu)分類113.3 防火墻包過濾技術1

4、33.3.1 數(shù)據(jù)表結(jié)構(gòu)153.3.2 傳統(tǒng)包過濾技術153.3.3 動態(tài)包過濾153.3.4 深度包檢測163.4 防火墻的優(yōu)缺點173.4.1 狀態(tài)動態(tài)檢測防火墻173.4.2 包過濾防火墻183.4.3 應用程序代理防火墻193.4.4 個人防火墻19第四章 防火墻的配置204.1 防火墻的初始配置204.2 防火墻的特色配置22第五章 防火墻發(fā)展趨勢245.1 防火墻的技術發(fā)展趨勢 245.2 防火墻的體系結(jié)構(gòu)發(fā)展趨勢 255.3 防火墻的系統(tǒng)管理發(fā)展趨勢26結(jié)論27參考文獻2830第一章 引言1.1 研究背景隨著互聯(lián)網(wǎng)的普及和發(fā)展，尤其是internet的廣泛使用，使計算機應用更加廣

5、泛與深入。同時，我們不得不注意到，網(wǎng)絡雖然功能強大，也有其脆弱易受到攻擊的一面。據(jù)美國fbi統(tǒng)計，美國每年因網(wǎng)絡安全問題所造成的經(jīng)濟損失高達75億美元，而全求平均每20秒鐘就發(fā)生一起internet計算機侵入事件1。在我國，每年因黑客入侵、計算機病毒的破壞也造成了巨大的經(jīng)濟損失。人們在利用網(wǎng)絡的優(yōu)越性的同時，對網(wǎng)絡安全問題也決不能忽視。如何建立比較安全的網(wǎng)絡體系，值得我們關注研究。1.2 研究現(xiàn)狀為了解決互聯(lián)網(wǎng)時代個人網(wǎng)絡安全的問題，近年來新興了防火墻技術2。防火墻具有很強的實用性和針對性，它為個人上網(wǎng)用戶提供了完整的網(wǎng)絡安全解決方案，可以有效地控制個人電腦用戶信息在互聯(lián)網(wǎng)上的收發(fā)。用戶可以根

6、據(jù)自己的需要，通過設定一些參數(shù)，從而達到控制本機與互聯(lián)網(wǎng)之間的信息交流阻止惡性信息對本機的攻擊，比如icmpnood攻擊、聊天室炸彈、木馬信息破譯并修改郵件密碼等等。而且防火墻能夠?qū)崟r記錄其它系統(tǒng)試圖對本機系統(tǒng)的訪問，使計算機在連接到互聯(lián)網(wǎng)的時候避免受到網(wǎng)絡攻擊和資料泄漏的安全威脅。防火墻可以保護人們在網(wǎng)上瀏覽時免受黑客的攻擊，實時防范網(wǎng)絡黑客的侵襲，還可以根據(jù)自己的需要創(chuàng)建防火墻規(guī)則，控制互聯(lián)網(wǎng)到pc以及pc到互聯(lián)網(wǎng)的所有連接，并屏蔽入侵企圖。防火可以有效地阻截各種惡意攻擊、保護信息的安全;信息泄漏攔截保證安全地瀏覽網(wǎng)頁、遏制郵件病毒的蔓延;郵件內(nèi)容檢測可以實時監(jiān)視郵件系統(tǒng)，阻擋一切針對硬盤

7、的惡意活動。個人防火墻就是在單機windows系統(tǒng)上，采取一些安全防護措施，使得本機的息得到一定的保護。個人防火墻是面向單機操作系統(tǒng)的一種小型安全防護軟件，按一定的規(guī)則對tcp，udp，icmp和igmp等報文進行過濾，對網(wǎng)絡的信息流和系統(tǒng)進程進行監(jiān)控，防止一些惡意的攻擊。目前市場上大多數(shù)的防火墻產(chǎn)品僅僅是網(wǎng)關的，雖然它們的功能相當強大，但由于它們基于下述的假設:內(nèi)部網(wǎng)是安全可靠的，所有的威脅都來自網(wǎng)外。因此，他們防外不防內(nèi)，難以實現(xiàn)對企業(yè)內(nèi)部局域網(wǎng)內(nèi)主之間的安全通信，也不能很好的解決每一個撥號上網(wǎng)用戶所在主機的安全問題，而多數(shù)個人上網(wǎng)之時，并沒有置身于得到防護的安全網(wǎng)絡內(nèi)部。個人上網(wǎng)用戶多使

8、用windows操作系統(tǒng)，而windows操作系統(tǒng)，特別是windowsxp系統(tǒng)，本身的安全性就不高。各種windows漏洞不斷被公布，對主機的攻擊也越來越多。一般都是利用操作系統(tǒng)設計的安全漏洞和通信協(xié)議的安全漏洞來實現(xiàn)攻擊。如假冒ip包對通信雙方進行欺騙:對主機大量發(fā)送正數(shù)據(jù)包3進行轟炸攻擊，使之際崩潰;以及藍屏攻擊等。因此，為了保護主機的安全通信，研制有效的個人防火墻技術很有必要。所謂的防火墻是指設置在不同網(wǎng)絡(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合 1 。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對外部屏蔽網(wǎng)絡內(nèi)部的信息、結(jié)構(gòu)和運行狀況, 以此

9、來實現(xiàn)網(wǎng)絡的安全保護。1.3 論文結(jié)構(gòu)本文根據(jù)課題的要求，講述了防火墻的概念，介紹了防火墻的原理、類型、功能等，然后分析了防火墻技術及其不足和防火墻的技術的最新發(fā)展趨勢。并介紹了怎么預防黑客入侵內(nèi)部網(wǎng)絡內(nèi)容一些方法。讓讀者真正的了解其重要性并學會使用它，以免受被攻擊之苦。本文共分5章：第一章、為引言；第二章、對防火墻做了詳細介紹；第三章、講述了防火墻的原理及分類；第四章、重點介紹了防火墻的配置方法；第五章、闡述了防火墻的體系結(jié)構(gòu)，系統(tǒng)管理及當今的發(fā)展趨勢。第二章 防火墻的概述隨著internet的迅速發(fā)展，網(wǎng)絡應用涉及到越來越多的領域，網(wǎng)絡中各類重要的、敏感的數(shù)據(jù)逐漸增多;同時由于黑客入侵以及

10、網(wǎng)絡病毒的問題，使得網(wǎng)絡安全問題越來越突出。因此，保護網(wǎng)絡資源不被非授權訪問，阻止病毒的傳播感染顯得尤為重要。就目前而言，對于局部網(wǎng)絡的保護，防火墻仍然不失為一種有效的手段，防火墻技術主要分為包過濾和應用代理兩類。其中包過濾作為最早發(fā)展起來的一種技術，其應用非常廣泛。2.1防火墻的概念防火墻是設置在被保護網(wǎng)絡和外部網(wǎng)絡之間的一道屏障，以防止發(fā)生不可預測的、潛在破壞性的侵入。防火墻是指設置在不同網(wǎng)絡(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流，且本身具有較強的

11、抗攻擊能力。它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。防火墻提供信息安全服務，是實現(xiàn)網(wǎng)絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)絡和互聯(lián)網(wǎng)之間的任何活動，保證了內(nèi)部網(wǎng)絡的安全。2.1.1 傳統(tǒng)防火墻的發(fā)展史 目前的防火墻技術無論從技術上還是從產(chǎn)品發(fā)展歷程上，都經(jīng)歷了五個發(fā)展歷程。1.第一代防火墻第一代防火墻技術幾乎與路由器同時出現(xiàn)，采用了包過濾（packet filter）技術。2.第二代、第三代防火墻1989年，貝爾實驗室的dave presotto和howard trickey推出了第二代防火墻，即電路層防火墻，同時提出

12、了第三代防火墻應用層防火墻（代理防火墻）的初步結(jié)構(gòu)。3.第四代防火墻1992年，usc信息科學院的bobbraden開發(fā)出了基于動態(tài)包過濾（dynamic packet filter）技術的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視（stateful inspection）技術。1994年，以色列的checkpoint公司開發(fā)出了第一個采用這種技術的商業(yè)化的產(chǎn)品。4.第五代防火墻1998年，nai公司推出了一種自適應代理（adaptive proxy）技術，并在其產(chǎn)品gauntlet firewall for nt中得以實現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。但傳統(tǒng)的

13、防火墻并沒有解決目前網(wǎng)絡中主要的安全問題。目前網(wǎng)絡安全的三大主要問題是:以拒絕訪問(ddos)為主要代表的網(wǎng)絡攻擊，以蠕蟲(worm)為主要代表的病毒傳播和以垃圾電子郵件(spam)為代表的內(nèi)容控制。這三大安全問題占據(jù)網(wǎng)絡安全問題九成以上。而這三大問題，傳統(tǒng)防火墻都無能為力。主要有以下三個原因:一是傳統(tǒng)防火墻的計算能力的限制。傳統(tǒng)的防火墻是以高強度的檢查為代價，檢查的強度越高，計算的代價越大。二是傳統(tǒng)防火墻的訪問控制機制是一個簡單的過濾機制。它是一個簡單的條件過濾器，不具有智能功能，無法檢測復雜的攻擊。三是傳統(tǒng)的防火墻無法區(qū)分識別善意和惡意的行為。該特征決定了傳統(tǒng)的防火墻無法解決惡意的攻擊行為

14、。現(xiàn)在防火墻正在向分布、智能的方向發(fā)展，其中智能防火墻可以很好的解決上面的問題。2.1.2 智能防火墻的簡述智能防火墻6是相對傳統(tǒng)的防火墻而言的，從技術特征上智能防火墻是利用統(tǒng)計、記憶、概率和決策的智能方法來對數(shù)據(jù)進行識別，并達到訪問控制的目的。新的數(shù)學方法，消除了匹配檢查所需要的海量計算，高效發(fā)現(xiàn)網(wǎng)絡行為的特征值，直接進行訪問控制。由于這些方法多是人工智能學科采用的方法，因此，又稱為智能防火墻。2.2防火墻的功能從防火墻的功能來說，主要包含以下幾個方面：訪問控制，如應用 acl 進行訪問控制、 nat; vpn ;路由、認證和加密、日志記錄、管理、攻擊防范等。 防火墻對流經(jīng)它的網(wǎng)絡通信進行掃

15、描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。2.2.1防火墻的主要功能1包過濾。包過濾是一種網(wǎng)絡的數(shù)據(jù)安全保護機制，它可用來控制流出和流入網(wǎng)絡的數(shù)據(jù)，它通常由定義的各條數(shù)據(jù)安全規(guī)則所組成，防火墻設置可基于源地址、源端口、目的地址、目的端口、協(xié)議和時間;可根據(jù)地址簿進行設置規(guī)則。2地址轉(zhuǎn)換。網(wǎng)絡地址變換是將內(nèi)部網(wǎng)絡或外部網(wǎng)絡的ip地址轉(zhuǎn)換，可分為源地址轉(zhuǎn)換source nat(snat)和目的地址轉(zhuǎn)換destination nat(dn

16、at)。snat用于對內(nèi)部網(wǎng)絡地址進行轉(zhuǎn)換，對外部網(wǎng)絡隱藏起內(nèi)部網(wǎng)絡的結(jié)構(gòu)，避免受到來自外部其他網(wǎng)絡的非授權訪問或惡意攻擊。并將有限的ip地址動態(tài)或靜態(tài)的與內(nèi)部ip地址對應起來，用來緩解地址空間的短缺問題，節(jié)省資源，降低成本。dnat主要用于外網(wǎng)主機訪問內(nèi)網(wǎng)主機。3認證和應用代理。 認證指防火墻對訪問網(wǎng)絡者合法身分的確定。代理指防火墻內(nèi)置用戶認證數(shù)據(jù)庫;提供http、ftp和smtp代理功能，并可對這三種協(xié)議進行訪問控制;同時支持url過濾功能。4透明和路由指防火墻將網(wǎng)關隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關提供了對互聯(lián)網(wǎng)服務進行幾乎透明的訪問，同時阻止了外部未授權訪問者對專用網(wǎng)絡的

17、非法訪問;防火墻還支持路由方式，提供靜態(tài)路由功能，支持內(nèi)部多個子網(wǎng)之間的安全訪問。2.2.2入侵檢測功能入侵檢測技術就是一種主動保護自己免受黑客攻擊的一種網(wǎng)絡安全技術，包括以下內(nèi)容:1.反端口掃描。端口掃描就是指黑客通過遠程端口掃描的工具，從中發(fā)現(xiàn)主機的哪些非常用端口是打開的;是否支持ftp、web服務;且ftp服務是否支持“匿名”，以及iis版本，是否有可以被成功攻破的iis漏洞，進而對內(nèi)部網(wǎng)絡的主機進行攻擊。顧名思義反端口掃描就是防范端口掃描的方法，目前常用的方法有:關閉閑置和有潛在危險的端口;檢查各端口，有端口掃描的癥狀時，立即屏蔽該端口，多數(shù)防火墻設備采用的都是這種反端口掃描方式。2.

18、檢測拒絕服務攻擊。拒絕服務(dos)攻擊就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務的響應，其攻擊方式有很多種;而分布式的拒絕服務攻擊(ddos)攻擊手段則是在傳統(tǒng)的dos攻擊基礎之上產(chǎn)生的一類攻擊方式，分布式的拒絕服務攻擊(ddos)。其原理很簡單，就是利用更多的受控主機同時發(fā)起進攻，以比dos更大的規(guī)模(或者說以更高于受攻主機處理能力的進攻能力)來進攻受害者?，F(xiàn)在的防火墻設備通常都可檢測synflod、land、ping of death、teardrop、icmp flood和udpflod等多種dos/ddos攻擊。3.檢測多種緩沖區(qū)溢出攻擊(buffer o

19、verflow)。緩沖區(qū)溢出(buffer overflow)攻擊指利用軟件的弱點將任意數(shù)據(jù)添加進某個程序中，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達到攻擊的目的。更為嚴重的是，可以利用它執(zhí)行非授權指令，甚至可以取得系統(tǒng)特權，進而進行各種非法操作，防火墻設備可檢測對ftp、telnet、ssh、rpc和smtp等服務的遠程堆棧溢出入侵。4.檢測cgi/iis服務器入侵。cgi就是common gateway interface的簡稱。是world wide web主機和cgi程序間傳輸資訊的定義。iis就是internet information server的簡稱，

20、也就是微軟的internet信息服務器。防火墻設備可檢測包括針對unicode、asp源碼泄漏、phf、nph、pfdisplay.cgi等已知上百種的有安全隱患的cgi/iis進行的探測和攻擊方式。5.檢測后門、木馬及其網(wǎng)絡蠕蟲。后門程序是指采用某種方法定義出一個特殊的端口并依靠某種程序在機器啟動之前自動加載到內(nèi)存，強行控制機器打開那個特殊的端口的程序。木馬程序的全稱是“特洛依木馬”，它們是指尋找后門、竊取計算機的密碼的一類程序。網(wǎng)絡蠕蟲病毒分為2類，一種是面向企業(yè)用戶和局域網(wǎng)而一言，這種病毒利用系統(tǒng)漏洞，主動進行攻擊，可以對整個互聯(lián)網(wǎng)造成癱瘓性的后果，以“紅色代碼”，“尼姆達”，以及最新的

21、“sql蠕蟲王”為代表。另外一種是針對個人用戶的，通過網(wǎng)絡(主要是電子郵件，惡意網(wǎng)頁形式)迅速傳播的蠕蟲病毒，以愛蟲病毒，求職信病毒為例。防火墻設備可檢測試圖穿透防火墻系統(tǒng)的木馬控制端和客戶端程序;檢測試圖穿透防火墻系統(tǒng)的蠕蟲程序。2.2.3虛擬專網(wǎng)功能指在公共網(wǎng)絡中建立專用網(wǎng)絡，數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡中傳播。vpn的基本原理是通過ip包的封裝及加密、認證等手段，從而達到安全的目的。防火墻是網(wǎng)絡安全策略的有機組成部分,它通過控制和監(jiān)測網(wǎng)絡之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡安全的有效管理。除去上述功能，防火墻還具有以下功能：管理進、出網(wǎng)絡的訪問行為；封堵某些禁止行為；記錄通過防火

22、墻的信息內(nèi)容和活動；ip地址/mac地址綁定；審計；第三章 防火墻的原理及分類3.1防火墻的工作原理隨著計算機網(wǎng)絡技術的發(fā)展，網(wǎng)絡安全事故在逐年增多，防火墻是一種行之有效的網(wǎng)絡安全機制，它在網(wǎng)絡內(nèi)部和外部之間實施安全防范的系統(tǒng)。通過防火墻能夠定義一個接入訪問控制要求并且保證僅當流量或數(shù)據(jù)匹配這個要求的時候才能穿越防火墻或者接入被保護的系統(tǒng)。從根本上說，防火墻偶能力執(zhí)行以下工作：管理和控制網(wǎng)絡流量；認證接入；擔當中間媒介；保護資源；報告和記錄事件。防火墻是一個訪問控制策略強制執(zhí)行點，而無論其設計和實施有多么復雜。防火墻通過檢查所接收到的數(shù)據(jù)和跟蹤鏈接判定什么樣的數(shù)據(jù)應該被允許，什么樣的數(shù)據(jù)應該被

23、拒絕，另外，防火墻也可以作為對被保護主機發(fā)起的中間媒介和代理，同時提夠了一套接入訪問認證方法去更好的保證只有被許可的訪問才能被允許接入。通過正確的實施和配置防火墻來升級安全策略去最小化威脅所造成的風險。盡管防火墻不能阻止所有的攻擊，但是它仍然是保護資源的最好方式之一，并且不可否認的是，通過防火墻來保護資源肯定優(yōu)于不使用防火墻，我們需要了解不同類型的防火墻安全策略和如何去構(gòu)建一個高效的安全策略。無可厚非，在配置防火墻之前最重要的事情便是選擇防火墻的放置位置。一個周密有效的設計方案是成功保護網(wǎng)絡資源最重要的一步。對于放置的位置選擇，通常是將防火墻放置在被保護網(wǎng)絡資源的前方會起到一定程度的保護作用，

24、但是如果通過詳細了解需要保護的資源的情況與防火墻的自身功能后進行方案設計及實施，將會更加全面地保護網(wǎng)絡不受侵害，更好的發(fā)揮防火墻在網(wǎng)絡中的作用。總而言之，需要做預先的設計工作以使防火墻安置在能夠發(fā)揮其效率并符合整體網(wǎng)絡策略的位置。國際計算機安全委員會icsa將防火墻分成三大類:包過濾防火墻，應用級代理服務器8以及狀態(tài)包檢測防火墻。3.1.1包過濾防火墻顧名思義，包過濾防火墻9就是把接收到的每個數(shù)據(jù)包同預先設定的包過濾規(guī)則相比較，從而決定是否阻塞或通過。過濾規(guī)則是基于網(wǎng)絡層ip包包頭信息的比較。包過濾防火墻工作在網(wǎng)絡層，ip包的包頭中包含源、目的ip地址，封裝協(xié)議類型(tcp，udp，icmp或

25、ip tunnel)，tcp/udp端口號，icmp消息類型，tcp包頭中的ack等等。如果接收的數(shù)據(jù)包與允許轉(zhuǎn)發(fā)的規(guī)則相匹配，則數(shù)據(jù)包按正常情況處理;如果與拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配，則防火墻丟棄數(shù)據(jù)包;如果沒有匹配規(guī)則，則按缺省情況處理。包過濾防火墻是速度最快的防火墻，這是因為它處于網(wǎng)絡層，并且只是粗略的檢查連接的正確性，所以在一般的傳統(tǒng)路由器上就可以實現(xiàn)，對用戶來說都是透明的。但是它的安全程度較低，很容易暴露內(nèi)部網(wǎng)絡，使之遭受攻擊。例如，http。通常是使用80端口。如果公司的安全策略允許內(nèi)部員工訪問網(wǎng)站，包過濾防火墻可能設置允所有80端口的連接通過，這時，意識到這一漏洞的外部人員可以在沒有被

26、認證的情況下進入私有網(wǎng)絡。包過濾防火墻的維護比較困難，定義過濾規(guī)則也比較復雜，因為任何一條過濾規(guī)則的不完善都會給網(wǎng)絡黑客造成可乘之機。同時，包過濾防火墻一般無法提供完善的日志。3.1.2應用級代理防火墻應用級代理技術通過在osi的最高層檢查每一個ip包，從而實現(xiàn)安全策略。代理技術與包過濾技術完全不同，包過濾技術在網(wǎng)絡層控制所有的信息流，而代理技術一直處理到應用層，在應用層實現(xiàn)防火墻功能。它的代理功能，就是在防火墻處終止客戶連接并初始化一個新的連接到受保護的內(nèi)部網(wǎng)絡。這一內(nèi)建代理機制提供額外的安全，這是因為它將內(nèi)部和外部網(wǎng)絡隔離開來，使網(wǎng)絡外部的黑客在防火墻內(nèi)部網(wǎng)絡上進行探測變得困難，更重要的是

27、能夠讓網(wǎng)絡管理員對網(wǎng)絡服務進行全面的控制。但是，這將花費更多的處理時間，并且由于代理防火墻支持的應用有限，每一種應用都需要安裝和配置不同的應用代理程序。比如訪問web站點的http，用于文件傳輸?shù)膄tp，用于e一mail的smtp/pop3等等。如果某種應用沒有安裝代理程序，那么該項服務就不被支持并且不能通過防火墻進行轉(zhuǎn)發(fā);同時升級一種應用時，相應的代理程序也必須同時升級。3.1.3代理服務型防火墻代理服務(proxy service)也稱鏈路級網(wǎng)關或tcp通道(circuit level gateways or tcp tunnels)，也有人將它歸于應用級網(wǎng)關一類。它是針對數(shù)據(jù)包過濾10和

28、應用網(wǎng)關技術存在的缺點而引入的防火墻技術，其特點是將所有跨越防火墻的網(wǎng)絡通信鏈路分為兩段。防火墻內(nèi)外計算機系統(tǒng)間應用層的“鏈接”，由兩個終止代理服務器上的“鏈接”來實現(xiàn)，外部計算機的網(wǎng)絡鏈路只能到達代理服務器，從而起到了隔離防火墻內(nèi)外計算機系統(tǒng)的作用。此外，代理服務也對過往的數(shù)據(jù)包進行分析、注冊登記，形成報告，同時當發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡管理員發(fā)出警報，并保留攻擊痕跡。應用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點，起著監(jiān)視和隔絕應用層通信流的作用。同時也常結(jié)合入過濾器的功能。它工作在osi模型的最高層，掌握著應用系統(tǒng)中可用作安全決策的全部信息。3.1.4復合型防火墻由于對更高安全性的要求，常把基

29、于包過濾的方法與基于應用代理的方法結(jié)合起來，形成復合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。屏蔽主機防火墻體系結(jié)構(gòu)，在該結(jié)構(gòu)中，分組過濾路由器或防火墻與internet相連，同時一個堡壘機安裝在內(nèi)部網(wǎng)絡，通過在分組過濾器路由器或防火墻上過濾規(guī)則的設置，使堡壘機成為internet上其他節(jié)點所能到達的唯一節(jié)點，這確保了內(nèi)部網(wǎng)絡不受未授權外部用戶的攻擊。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機放在一個子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個分組過濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與internet及內(nèi)部網(wǎng)絡分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘機和分組過濾路由器共同構(gòu)成了整個防火墻的安全基礎。3.2防火墻的分類3

30、.2.1從軟、硬件形式分類如果從防火墻的軟、硬件形式來分的話，防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。 （1）軟件防火墻軟件防火墻運行于特定的計算機上，它需要客戶預先安裝好的計算機操作系統(tǒng)的支持，一般來說這臺計算機就是整個網(wǎng)絡的網(wǎng)關。俗稱“個人防火墻”。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡版軟件防火墻最出名的莫過于checkpoint。使用這類防火墻，需要網(wǎng)管對所工作的操作系統(tǒng)平臺比較熟悉。 （2）硬件防火墻。 這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上“所謂”二字是針對芯片級防火墻說的了。它們最大的差別在于是否

31、基于專用的硬件平臺。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于pc架構(gòu)，就是說，它們和普通的家庭用的pc沒有太大區(qū)別。在這些pc架構(gòu)計算機上運行一些經(jīng)過裁剪和簡化的操作系統(tǒng)，最常用的有老版本的unix、linux和freebsd系統(tǒng)。 值得注意的是，由于此類防火墻采用的依然是別人的內(nèi)核，因此依然會受到os（操作系統(tǒng)）本身的安全性影響。 （3）芯片級防火墻。 芯片級防火墻基于專門的硬件平臺，沒有操作系統(tǒng)。專有的asic芯片促使它們比其他種類的防火墻速度更快，處理能力更強，性能更高。做這類防火墻最出名的廠商有netscreen、fortinet、cisco等。這類防火墻由于是專用o

32、s（操作系統(tǒng)），因此防火墻本身的漏洞比較少，不過價格相對比較高昂。 3.2.2從防火墻技術、結(jié)構(gòu)分 1、防火墻技術雖然出現(xiàn)了許多，但總體來講可分為“包過濾型”和“應用代理型”兩大類。前者以以色列的checkpoint防火墻和美國cisco公司的pix防火墻為代表，后者以美國nai公司的gauntlet防火墻為代表。 （1）包過濾（packet filtering）型。 包過濾方式是一種通用、廉價和有效的安全手段。之所以通用，是因為它不是針對各個具體的網(wǎng)絡服務采取特殊的處理方式，適用于所有網(wǎng)絡服務；之所以廉價，是因為大多數(shù)路由器都提供數(shù)據(jù)包過濾功能，所以這類防火墻多數(shù)是由路由器集成的；之所以有效

33、，是因為它能很大程度上滿足了絕大多數(shù)企業(yè)安全要求。 在整個防火墻技術的發(fā)展過程中，包過濾技術出現(xiàn)了兩種不同版本，稱為“第一代靜態(tài)包過濾”和“第二代動態(tài)包過濾”。 包過濾方式的優(yōu)點是不用改動客戶機和主機上的應用程序，因為它工作在網(wǎng)絡層和傳輸層，與應用層無關。但其弱點也是明顯的：過濾判別的依據(jù)只是網(wǎng)絡層和傳輸層的有限信息，因而各種安全要求不可能充分滿足；在許多過濾器中，過濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會受到很大地影響；由于缺少上下文關聯(lián)信息，不能有效地過濾如udp、rpc（遠程過程調(diào)用）一類的協(xié)議；另外，大多數(shù)過濾器中缺少審計和報警機制，它只能依據(jù)包頭信息，而不能對用戶身份進行

34、驗證，很容易受到“地址欺騙型”攻擊。對安全管理人員素質(zhì)要求高，建立安全規(guī)則時，必須對協(xié)議本身及其在不同應用程序中的作用有較深入的理解。因此，過濾器通常是和應用網(wǎng)關配合使用，共同組成防火墻系統(tǒng)。 （2）應用代理（application proxy）型。 應用代理型防火墻是工作在osi的最高層，即應用層。其特點是完全“阻隔”了網(wǎng)絡通信流，通過對每種應用服務編制專門的代理程序，實現(xiàn)監(jiān)視和控制應用層通信流的作用。在代理型防火墻技術的發(fā)展過程中，它也經(jīng)歷了兩個不同的版本：第一代應用網(wǎng)關型代理防火和第二代自適應代理防火墻。 代理類型防火墻的最突出的優(yōu)點就是安全。由于它工作于最高層，所以它可以對網(wǎng)絡中任何一

35、層數(shù)據(jù)通信進行篩選保護，而不是像包過濾那樣，只是對網(wǎng)絡層的數(shù)據(jù)進行過濾。另外代理型防火墻采取是一種代理機制，它可以為每一種應用服務建立一個專門的代理，所以內(nèi)外部網(wǎng)絡之間的通信不是直接的，而都需先經(jīng)過代理服務器審核，通過后再由代理服務器代為連接，根本沒有給內(nèi)、外部網(wǎng)絡計算機任何直接會話的機會，從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。 代理防火墻的最大缺點是速度相對比較慢，當用戶對內(nèi)外部網(wǎng)絡網(wǎng)關的吞吐量要求比較高時，代理防火墻就會成為內(nèi)外部網(wǎng)絡之間的瓶頸。那因為防火墻需要為不同的網(wǎng)絡服務建立專門的代理服務，在自己的代理程序為內(nèi)、外部網(wǎng)絡用戶建立連接時需要時間，所以給系統(tǒng)性能帶來了一些

36、負面影響，但通常不會很明顯。 2、從防火墻結(jié)構(gòu)分 從防火墻結(jié)構(gòu)上分，防火墻主要有：單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。 單一主機防火墻是最為傳統(tǒng)的防火墻，獨立于其它網(wǎng)絡設備，它位于網(wǎng)絡邊界。 這種防火墻其實與一臺計算機結(jié)構(gòu)差不多（如下圖），同樣包括cpu、內(nèi)存、硬盤等基本組件，主板更是不能少的，且主板上也有南、北橋芯片。它與一般計算機最主要的區(qū)別就是一般防火墻都集成了兩個以上的以太網(wǎng)卡，因為它需要連接一個以上的內(nèi)、外部網(wǎng)絡。其中的硬盤就是用來存儲防火墻所用的基本程序，如包過濾程序和代理服務器程序等，有的防火墻還把日志記錄也記錄在此硬盤上。雖然如此，但我們不能說它就與我們平常的

37、pc機一樣，因為它的工作性質(zhì)，決定了它要具備非常高的穩(wěn)定性、實用性，具備非常高的系統(tǒng)吞吐性能。正因如此，看似與pc機差不多的配置，價格甚遠。 隨著防火墻技術的發(fā)展及應用需求的提高，原來作為單一主機的防火墻現(xiàn)在已發(fā)生了許多變化。最明顯的變化就是現(xiàn)在許多中、高檔的路由器中已集成了防火墻功能，還有的防火墻已不再是一個獨立的硬件實體，而是由多個軟、硬件組成的系統(tǒng)，這種防火墻，俗稱“分布式防火墻”。 原來單一主機的防火墻由于價格非常昂貴，僅有少數(shù)大型企業(yè)才能承受得起，為了降低企業(yè)網(wǎng)絡投資，現(xiàn)在許多中、高檔路由器中集成了防火墻功能。如cisco ios防火墻系列。但這種防火墻通常是較低級的包過濾型。這樣企

38、業(yè)就不用再同時購買路由器和防火墻，大大降低了網(wǎng)絡設備購買成本。 分布式防火墻再也不只是位于網(wǎng)絡邊界，而是滲透于網(wǎng)絡的每一臺主機，對整個內(nèi)部網(wǎng)絡的主機實施保護。在網(wǎng)絡服務器中，通常會安裝一個用于防火墻系統(tǒng)管理軟件，在服務器及各主機上安裝有集成網(wǎng)卡功能的pci防火墻卡 ，這樣一塊防火墻卡同時兼有網(wǎng)卡和防火墻的雙重功能。這樣一個防火墻系統(tǒng)就可以徹底保護內(nèi)部網(wǎng)絡。各主機把任何其它主機發(fā)送的通信連接都視為“不可信”的，都需要嚴格過濾。而不是傳統(tǒng)邊界防火墻那樣，僅對外部網(wǎng)絡發(fā)出的通信請求“不信任”。 3.3防火墻包過濾技術隨著internet的迅速發(fā)展，網(wǎng)絡應用涉及到越來越多的領域，網(wǎng)絡中各類重要的、敏感

39、的數(shù)據(jù)逐漸增多;同時由于黑客入侵以及網(wǎng)絡病毒的問題，使得網(wǎng)絡安全問題越來越突出。因此，保護網(wǎng)絡資源不被非授權訪問，阻止病毒的傳播感染顯得尤為重要。就目前而言，對于局部網(wǎng)絡的保護，防火墻仍然不失為一種有效的手段，防火墻技術主要分為包過濾和應用代理兩類。其中包過濾作為最早發(fā)展起來的一種技術，其應用非常廣泛。所謂包過濾，就是對流經(jīng)網(wǎng)絡防火墻的所有數(shù)據(jù)包逐個檢查，并依據(jù)所制定的安全策略來決定數(shù)據(jù)包是通過還是不通過。包過濾最主要的優(yōu)點在于其速度與透明性。也正是由于此。包過濾技術歷經(jīng)發(fā)展演變而未被淘汰。由于其主要是對數(shù)據(jù)包的過濾操作，所以數(shù)據(jù)包結(jié)構(gòu)是包過濾技術的基礎?？紤]包過濾技術的發(fā)展過程，可以認為包過

40、濾的核心問題就是如何充分利用數(shù)據(jù)包中各個字段的信息，并結(jié)合安全策略來完成防火墻的功能。3.3.1數(shù)據(jù)表結(jié)構(gòu)當應用程序用tcp傳送數(shù)據(jù)時，數(shù)據(jù)被送入?yún)f(xié)議棧中，然后逐個通過每一層直到被當作一串比特流送入網(wǎng)絡。其中每一層對接收到的數(shù)據(jù)都要增加一些首部信息。tcp傳給ip的數(shù)據(jù)單元稱作tcp報文段(tcp segment);ip傳給網(wǎng)絡接口層的數(shù)據(jù)單元稱作ip數(shù)據(jù)報(ip datagram)；通過以太網(wǎng)傳輸?shù)谋忍亓鞣Q作幀(frame)。對于進防火墻的數(shù)據(jù)包，順序正好與此相反，頭部信息逐層剝掉。ip，tcp首部格式如表2-1表2-2所示。表2-1 ip首部格式版本首部長服務類型總 長 度標識標志片偏移生

41、存時間協(xié)議首部校驗和源ip地址目的ip地址選項表2-2 tcp首部格式源端口號目的端口號序列號確認號首部長保留lrctblpbhrctcjhhjr窗口大小tcp校驗和緊急指針選項對于幀的頭部信息主要是源/目的主機的mac地址;ip數(shù)據(jù)報頭部信息主要是源/目的主機的ip地址;tcp頭部的主要字段包括源/目的端口、發(fā)送及確認序號、狀態(tài)標識等。理論上講，數(shù)據(jù)包所有頭部信息以及有效載荷都可以作為判斷包通過與否的依據(jù)，但是在實際情況中，包過濾技術上的問題主要是選取哪些字段信息，以及如何有效地利用這些字段信息并結(jié)合訪問控制列表來執(zhí)行包過濾操作，并盡可能提高安全控制力度。3.3.2傳統(tǒng)包過濾技術傳統(tǒng)包過濾技

42、術，大多是在ip層實現(xiàn)，它只是簡單的對當前正在通過的單一數(shù)據(jù)包進行檢測，查看源/目的ip地址、端口號以及協(xié)議類型(udp/tcp)等，結(jié)合訪問控制規(guī)則對數(shù)據(jù)包實施有選擇的通過。這種技術實現(xiàn)簡單，處理速度快，對應用透明，但是它存在的問題也很多，主要表現(xiàn)有:1.所有可能會用到的端口都必須靜態(tài)放開。若允許建立http連接，就需要開放1024以上所有端口，這無疑增加了被攻擊的可能性。2.不能對數(shù)據(jù)傳輸狀態(tài)進行判斷。如接收到一個ack數(shù)據(jù)包，就認為這是一個己建立的連接，這就導致許多安全隱患，一些惡意掃描和拒絕服務攻擊就是利用了這個缺陷。3.無法過濾審核數(shù)據(jù)包上層的內(nèi)容。即使通過防火墻的數(shù)據(jù)包有攻擊性或包

43、含病毒代碼，也無法進行控制和阻斷。綜合上述問題，傳統(tǒng)包過濾技術的缺陷在于:(l)缺乏狀態(tài)檢測能力;(2)缺乏應用防御能力。(3)只對當前正在通過的單一數(shù)據(jù)包進行檢測，而沒有考慮前后數(shù)據(jù)包之間的聯(lián)系;(4)只檢查包頭信息，而沒有深入檢測數(shù)據(jù)包的有效載荷。傳統(tǒng)包過濾技術必須發(fā)展進化，在繼承其優(yōu)點的前提下，采用新的技術手段，克服其缺陷，并進一步滿足新的安全應用要求。從數(shù)據(jù)包結(jié)構(gòu)出發(fā)考慮，目前包過濾技術向兩個方向發(fā)展:(l)橫向聯(lián)系。即在包檢測中考慮前后數(shù)據(jù)包之間的關系，充分利用包頭信息中能體現(xiàn)此關系的字段，如ip首部的標識字段和片偏移字段、tcp首部的發(fā)送及確認序號、滑動窗口的大小、狀態(tài)標識等，動態(tài)

44、執(zhí)行數(shù)據(jù)包過濾。(2)縱向發(fā)展。深入檢測數(shù)據(jù)包有效載荷，識別并阻止病毒代碼和基于高層協(xié)議的攻擊，以此來提高應用防御能力。這兩種技術的發(fā)展并不是獨立的，動態(tài)包過濾可以說是基于內(nèi)容檢測技術的基礎。實際上，在深度包檢測技術中己經(jīng)體現(xiàn)了兩種技術的融合趨3.3.3動態(tài)包過濾動態(tài)包過濾又稱為基于狀態(tài)的數(shù)據(jù)包過濾，是在傳統(tǒng)包過濾技術基礎之上發(fā)展起來的一項過濾技術，最早由checkpoint提出。與傳統(tǒng)包過濾技術只檢查單個、孤立的數(shù)據(jù)包不同，動態(tài)包過濾試圖將數(shù)據(jù)包的上下文聯(lián)系起來，建立一種基于狀態(tài)的包過濾機制。對于新建的應用連接，防火墻檢查預先設置的安全規(guī)則，允許符合規(guī)則的連接通過，并在內(nèi)存中記錄下該連接的相

45、關信息，這些相關信息構(gòu)成一個狀態(tài)表。這樣，當一個新的數(shù)據(jù)包到達，如果屬于已經(jīng)建立的連接，則檢查狀態(tài)表，參考數(shù)據(jù)流上下文決定當前數(shù)據(jù)包通過與否;如果是新建連接，則檢查靜態(tài)規(guī)則表。動態(tài)包過濾通過在內(nèi)存中動態(tài)地建立和維護一個狀態(tài)表，數(shù)據(jù)包到達時，對該數(shù)據(jù)包的處理方式將綜合靜態(tài)安全規(guī)則和數(shù)據(jù)包所處的狀態(tài)進行。這種方法的好處在于由于不需要對每個數(shù)據(jù)包進行規(guī)則檢查，而是一個連接的后續(xù)數(shù)據(jù)包(通常是大量的數(shù)據(jù)包)通過散列算法，直接進行狀態(tài)檢查，從而使性能得到了較大提高;而且，由于狀態(tài)表是動態(tài)的，因而可以有選擇地、動態(tài)地開通1024號以上的端口，使安全性得到進一步地提高。動態(tài)包過濾技術克服了傳統(tǒng)包過濾僅僅孤立

46、的檢查單個數(shù)據(jù)包和安全規(guī)則靜態(tài)不可變的缺陷，使得防火墻的安全控制力度更為細致。3.3.4深度包檢測目前許多造成大規(guī)模損害的網(wǎng)絡攻擊，比如紅色代碼和尼姆達，都是利用了應用的弱點。利用高層協(xié)議的攻擊和網(wǎng)絡病毒的頻繁出現(xiàn)，對防火墻提出了新的要求。防火墻必須深入檢查數(shù)據(jù)包的內(nèi)部來確認出惡意行為并阻止它們。深度包檢測(deep packet inspection)就是針對這種需求，深入檢測數(shù)據(jù)包有效載荷，執(zhí)行基于應用層的內(nèi)容過濾，以此提高系統(tǒng)應用防御能力。應用防御的技術問題主要包括:(l)需要對有效載荷知道得更清楚;(2)也需要高速檢查它的能力。簡單的數(shù)據(jù)包內(nèi)容過濾對當前正在通過的單一數(shù)據(jù)包的有效載荷進

47、行掃描檢測，但是對于應用防御的要求而言，這是遠遠不夠的。如一段攻擊代碼被分割到10個數(shù)據(jù)包中傳輸，那么這種簡單的對單一數(shù)據(jù)包的內(nèi)容檢測根本無法對攻擊特征進行匹配: 要清楚地知道有效載荷，必須采取有效方法，將單個數(shù)據(jù)包重新組合成完整的數(shù)據(jù)流。應用層的內(nèi)容過濾要求大量的計算資源，很多情況下高達100倍甚至更高。因而要執(zhí)行深度包檢測，帶來的問題必然是性能的下降，這就是所謂的內(nèi)容處理障礙。為了突破內(nèi)容處理障礙，達到實時地分析網(wǎng)絡內(nèi)容和行為，需要重點在加速上采取有效的辦法。通過采用硬件芯片和更加優(yōu)化的算法，可以解決這個問題。一個深度包檢測的流程框圖如圖3.1所示。圖3.1 深度包檢測框圖在接收到網(wǎng)絡流量

48、后，將需要進行內(nèi)容掃描的數(shù)據(jù)流定向到tcp/ip堆棧，其他數(shù)據(jù)流直接定向到狀態(tài)檢測引擎，按基本檢測方式進行處理。定向到tcp/ip堆棧的數(shù)據(jù)流，首先轉(zhuǎn)換成內(nèi)容數(shù)據(jù)流。服務分析器根據(jù)數(shù)據(jù)流服務類型分離內(nèi)容數(shù)據(jù)流，傳送數(shù)據(jù)流到一個命令解析器中。命令解析器定制和分析每一個內(nèi)容協(xié)議，分析內(nèi)容數(shù)據(jù)流，檢測病毒和蠕蟲。如果檢測到信息流是一個http數(shù)據(jù)流，則命令解析器檢查上載和下載的文件;如果數(shù)據(jù)是mail類型，則檢查郵件的附件。如果數(shù)據(jù)流包含附件或上載/下載文件，附件和文件將傳輸?shù)讲《緬呙枰?，所有其他?nèi)容傳輸?shù)絻?nèi)容過濾引擎。如果內(nèi)容過濾啟動，數(shù)據(jù)流將根據(jù)過濾的設置進行匹配，通過或拒絕數(shù)據(jù)。3.4防火墻

49、的優(yōu)缺點3.4.1狀態(tài)動態(tài)檢測防火墻狀態(tài)/動態(tài)檢測防火墻的優(yōu)點有： 檢查ip包的每個字段的能力，并遵從基于包中信息的過濾規(guī)則；識別帶有欺騙性源ip地址包的能力。 包過濾防火墻是兩個網(wǎng)絡之間訪問的唯一來源。因為所有的通信必須通過防火墻，繞過是困難的。 基于應用程序信息驗證一個包的狀態(tài)的能力，例如基于一個已經(jīng)建立的ftp連接，允許返回的ftp包通過。 基于應用程序信息驗證一個包狀態(tài)的能力，例如允許一個先前認證過的連接繼續(xù)與被授予的服務通信。 記錄有關通過的每個包的詳細信息的能力?；旧希阑饓τ脕泶_定包狀態(tài)的所有信息都可以被記錄，包括應用程序?qū)Π恼埱?，連接的持續(xù)時間，內(nèi)部和外部系統(tǒng)所做的連接請求

50、等。狀態(tài)/動態(tài)檢測防火墻的缺點： 狀態(tài)/動態(tài)檢測防火墻唯一的缺點就是所有這些記錄、測試和分析工作可能會造成網(wǎng)絡連接的某種遲滯，特別是在同時有許多連接激活的時候，或者是有大量的過濾網(wǎng)絡通信的規(guī)則存在時?？墒?，硬件速度越快，這個問題就越不易察覺，而且防火墻的制造商一直致力于提高他們產(chǎn)品的速度。3.4.2 包過濾防火墻使用包過濾防火墻的優(yōu)點包括： 防火墻對每條傳入和傳出網(wǎng)絡的包實行低水平控制。每個ip包的字段都被檢查，例如源地址、目的地址、協(xié)議、端口等。防火墻將基于這些信息應用過濾規(guī)則； 防火墻可以識別和丟棄帶欺騙性源ip地址的包； 包過濾防火墻是兩個網(wǎng)絡之間訪問的唯一來源。因為所有的通信必須通過防

51、火墻，繞過是困難的。包過濾通常被包含在路由器數(shù)據(jù)包中，所以不必額外的系統(tǒng)來處理這個特征 ；使用包過濾防火墻的缺點包括： 配置困難；因為包過濾防火墻很復雜，人們經(jīng)常會忽略建立一些必要的規(guī)則，或者錯誤配置了已有的規(guī)則，在防火墻上留下漏洞。然而，在市場上，許多新版本的防火墻對這個缺點正在作改進，如開發(fā)者實現(xiàn)了基于圖形化用戶界面(gui)的配置和更直接的規(guī)則定義。 為特定服務開放的端口存在著危險，可能會被用于其他傳輸；例如，web服務器默認端口為80，而計算機上又安裝了realplayer，那么它會搜尋可以允許連接到realaudio服務器的端口，而不管這個端口是否被其他協(xié)議所使用，realplaye

52、r正好是使用80端口而搜尋的。就這樣無意中，realplayer就利用了web服務器的端口。 可能還有其他方法繞過防火墻進入網(wǎng)絡，例如撥入連接。但這個并不是防火墻自身的缺點，而是不應該在網(wǎng)絡安全上單純依賴防火墻的原因。3.4.3應用程序代理防火墻使用應用程序代理防火墻的優(yōu)點有： 指定對連接的控制，例如允許或拒絕基于服務器ip地址的訪問，或者是允許或拒絕基于用戶所請求連接的ip地址的訪問； 通過限制某些協(xié)議的傳出請求，來減少網(wǎng)絡中不必要的服務； 大多數(shù)代理防火墻能夠記錄所有的連接，包括地址和持續(xù)時間。這些信息對追蹤攻擊和發(fā)生的未授權訪問的事件事很有用的。使用應用程序代理防火墻的缺點有： 必須在一

53、定范圍內(nèi)定制用戶的系統(tǒng)，這取決于所用的應用程序。 一些應用程序可能根本不支持代理連接。3.4.4個人防火墻個人防火墻的優(yōu)點有： 增加了保護級別，不需要額外的硬件資源； 個人防火墻除了可以抵擋外來攻擊的同時，還可以抵擋內(nèi)部的攻擊； 個人防火墻是對公共網(wǎng)絡中的單個系統(tǒng)提供了保護；例如一個家庭用戶使用的是modem或isdn/adsl上網(wǎng)，可能一個硬件防火墻對于他來說實在是太昂貴了，或者說是太麻煩了。而個人防火墻已經(jīng)能夠為用戶隱蔽暴露在網(wǎng)絡上的信息，比如ip地址之類的信息等。個人防火墻的缺點： 個人防火墻主要的缺點就是對公共網(wǎng)絡只有一個物理接口。要記住，真正的防火墻應當監(jiān)視并控制兩 個或更多的網(wǎng)絡接

54、口之間的通信。這樣一來的話，個人防火墻本身可能會容易受到威脅，或者說是具有這樣一個弱點，網(wǎng)絡通信可以繞過防火墻的規(guī)則。 以上所述已經(jīng)介紹了幾類防火墻，并討論了每種防火墻的優(yōu)缺點。要記住，任何一種防火墻只是為網(wǎng)絡通信或者是數(shù)據(jù)傳輸提供了更有保障的安全性，但是我們也不能完全依賴于防火墻。除了靠防火墻來保障安全的同時，我們也要加固系統(tǒng)的安全性，第四章 防火墻的配置4.1防火墻的初始配置像路由器一樣，在使用之前，防火墻也需要經(jīng)過基本的初始配置。但因各種防火墻的初始配置基本類似，所以在此僅以cisco pix防火墻為例進行介紹。 防火墻的初始配置也是通過控制端口（console）與pc機（通常是便于移動

55、的筆記本電腦）的串口連接，再通過windows系統(tǒng)自帶的超級終端（hyperterminal）程序進行選項配置。防火墻的初始配置物理連接與前面介紹的交換機初始配置連接方法一樣，參見圖1所示。 防火墻除了以上所說的通過控制端口（console）進行初始配置外，也可以通過telnet和tffp配置方式進行高級配置，但telnet配置方式都是在命令方式中配置，難度較大，而tffp方式需要專用的tffp服務器軟件，但配置界面比較友好。 防火墻與路由器一樣也有四種用戶配置模式，即：普通模式（unprivileged mode）、特權模式（privileged mode）、配置模式（configurati

56、on mode）和端口模式（interface mode），進入這四種用戶模式的命令也與路由器一樣： 普通用戶模式無需特別命令，啟動后即進入； 進入特權用戶模式的命令為enable；進入配置模式的命令為config terminal；而進入端口模式的命令為interface ethernet（）。不過因為防火墻的端口沒有路由器那么復雜，所以通常把端口模式歸為配置模式，統(tǒng)稱為全局配置模式。 防火墻的具體配置步驟如下： 1. 將防火墻的console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的一個空余串口上，參見圖1。 2. 打開pix防火電源，讓系統(tǒng)加電初始化，然后開啟與防火墻連接的主機。 3. 運行筆記本電腦windows系統(tǒng)中的超級終端（hype