網(wǎng)絡(luò)安全和防火墻技術(shù)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上 網(wǎng)絡(luò)安全與防火墻技術(shù)一、在用戶安全設(shè)置方面1. 禁用Guest賬號。不論工作組模式還是域模式，都應(yīng)該禁用此賬號。惟一的例外就是極少數(shù)量（10臺以下）的機器之間用網(wǎng)上鄰居互訪共享文件夾，且不和公網(wǎng)相連，可以繼續(xù)保持此賬號。2. 限制不必要的用戶。此時需注意：（1）在工作組模式中，默認(rèn)賬號有Administrator、Guest。如果要用IIS（Internet Information Server）建設(shè)各類站點，則IUSERcomputername和IWAMcomputername也是默認(rèn)賬號，不能停用。因前者是IIS匿名訪問賬號，后者是IIS匿名執(zhí)行腳本的賬號。這兩

2、個賬號默認(rèn)有密碼，是由系統(tǒng)分配的，用戶不要更改其密碼，更不要刪除，否則IIS不能匿名訪問和執(zhí)行腳本；如果有終端服務(wù)則TsInternetUser也是默認(rèn)賬號，不能停用。（2）在域模式中，Administrator組中會增加Domain Admins和Enterprise Admins兩個組中的成員，另外還會有Krbtgt賬號，默認(rèn)是被禁用的，這個賬號是密鑰分發(fā)賬號。3. 開啟用戶策略。其中有用戶鎖定閥值設(shè)置，將它設(shè)置為多少才合適呢？用戶在登錄時，Windows會采用加密協(xié)議加密用戶的用戶名和密碼。在域環(huán)境中，如果只是單純的系統(tǒng)（即什么軟件都不裝），用戶進行登錄時，Windows會嘗試用Kerb

3、os協(xié)議驗證，不成功則會再用Ntlm驗證，此時的驗證的方式有兩種；如果該賬戶同時又是Outlook的用戶，驗證的方式將有6種之多，也就是說用戶在登錄時如果密碼輸入錯誤，一次登錄就要浪費掉6次賬戶鎖定值。因此，微軟技術(shù)支持中心的工程師建議將這個鎖定值設(shè)置為13，這樣才可以實現(xiàn)錯誤輸入密碼3次再鎖定賬戶的目的。二、在密碼安全設(shè)置方面在給賬號設(shè)置密碼時，不是密碼位數(shù)越多越好，在符合密碼復(fù)雜性原則的基礎(chǔ)上，7位和14位的密碼是最好的。這個結(jié)論是微軟全球技術(shù)支持中心的工程師給出的，它是由密碼所采用的加密算法決定的。有一點大家需注意：屏幕保護存在一個安全漏洞，即他人可以在不進入系統(tǒng)的情況下，利用DOS模式

4、將Cmd.exe命令更名為你所選用的屏幕保護程序的名稱而將其替換掉。此后，只要這個“屏幕保護程序”一運行，Cmd窗口就會彈出且以系統(tǒng)身份運行，默認(rèn)是最大權(quán)限。因此，采用設(shè)置屏幕保護密碼的做法并不安全，正確的做法應(yīng)是網(wǎng)管員離開工位時要鎖定計算機（Windows 2000下，按CtrlAltDel，在彈出的“關(guān)機”菜單中選擇“鎖定計算機”即可）。三、在系統(tǒng)安全設(shè)置方面 1. 使用NTFS格式分區(qū)。NTFS分區(qū)要比FAT分區(qū)安全很多，且只有使用NTFS分區(qū)才能真正發(fā)揮Windows 2000的作用。Windows 2000自帶了轉(zhuǎn)換NTFS分區(qū)的工具Convert。在命令提示符下執(zhí)行Convert

5、x /FSNTFS（x為所要轉(zhuǎn)換的盤符），執(zhí)行時如果轉(zhuǎn)換的是非操作系統(tǒng)所在分區(qū)，則立即執(zhí)行分區(qū)轉(zhuǎn)換；如果轉(zhuǎn)換的是操作系統(tǒng)所在分區(qū)，則重啟后執(zhí)行分區(qū)轉(zhuǎn)換。注意：此轉(zhuǎn)換過程是單向不可逆的，即只能由FAT轉(zhuǎn)換至NTFS。雖然可用第三方工具做分區(qū)格式之間的轉(zhuǎn)換，但這樣做不能保證絕對安全，在某些情況下會導(dǎo)致分區(qū)不可用，所以建議只用Convert命令來轉(zhuǎn)換分區(qū)格式；如果非要用第三方工具，一定要事先做好備份。另外，據(jù)我個人經(jīng)驗，并不需要將所有分區(qū)都做成NTFS分區(qū)，而應(yīng)保留一個分區(qū)為FAT32，用于存放一些常用工具，并可方便Ghost備份。2. 到微軟網(wǎng)站下載最新的補丁程序。強烈建議！這是每一個網(wǎng)絡(luò)管理員都

6、應(yīng)該有的好習(xí)慣。這里說明一點：微軟每隔一定時間推出的Servicespacks是針對近期推出的Hotfix的綜合，如果你經(jīng)常做Hotfix補丁，那么當(dāng)后一版的Servicespacks推出后可能會和你的Hotfix沖突。因為Servicespacks也是要經(jīng)過測試的，而測試階段可能又有新的Hotfix推出，當(dāng)你做了新的Hotfix補丁后再打舊版的Servicespacks補丁時就會產(chǎn)生沖突。3. 關(guān)閉默認(rèn)共享。這里必須要修改注冊表，否則每次重啟之后默認(rèn)共享還會出現(xiàn)。在注冊表“HKEYLOCALMACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/R

7、un”下，在右欄空白位置點擊鼠標(biāo)右鍵，選擇“新建”，再選“字符串值”，名稱中輸入：“delipc”，這里的名字可以隨便取，然后雙擊它就會彈出一個窗口來，輸入：“net share ipc /del”，下次開機就可自動刪掉默認(rèn)共享。修改注冊表后需要重新啟動機器。同樣的方法還可以刪掉AMDIN。4. 鎖住注冊表。Windows 2000提供了一個叫Regedt32.exe的工具，它也是一個注冊表編輯器。與Regedit.exe不同的是它有一個“安全”選項，可以給注冊表的每一個鍵值設(shè)置權(quán)限。因此用戶可以將許多敏感的鍵值賦權(quán)，例如設(shè)置成只有Administrator才能讀取和修改，不給其他人可乘之機。

8、四、在服務(wù)安全設(shè)置方面1. 關(guān)閉不必要的端口?？上indows 2000并不支持關(guān)閉端口的選項，我們只好選用第三方工具，關(guān)閉一些關(guān)鍵端口，比如Telnet等。2. 設(shè)置好安全記錄的訪問。Windows 2000操作系統(tǒng)自帶了審核工具，默認(rèn)不開啟。如果一旦開啟了審核策略，用戶可以在事件日志里查看安全日志，里面會有詳細(xì)的審核記錄，審核通常為成功和失敗兩種。不過，建議平時不要常開安全審核，因為審核量很大，通常一個錯誤的密碼輸入就可以在日志中記錄一頁多的條目，非常浪費系統(tǒng)資源。建議只在懷疑系統(tǒng)受到攻擊時才開啟審核。在“開始”菜單的“運行”中輸入“Eventvwr.msc”查看安全日志，就可以看到審核

9、的消息。3.把敏感文件存放在另外的文件服務(wù)器中。出于對性能和安全的雙重考慮，建議有條件的用戶將域控制器與Web服務(wù)器、數(shù)據(jù)庫服務(wù)器等其他重要服務(wù)器分開，即不要用同一臺服務(wù)器運行多種服務(wù)。同時，一定要進行及時、有效的備份，最好有一個詳盡的備份計劃。基本設(shè)置篇一、在線安全的四個誤解Internet實際上是個有來有往的世界，你可以很輕松地連接到你喜愛的站點，而其他人，例如黑客也很方便地連接到你的機器。實際上，很多機器都因為自己很糟糕的在線安全設(shè)置無意間在機器和系統(tǒng)中留下了“后門”，也就相當(dāng)于給黑客打開了大門。你上網(wǎng)的時間越多，被別人通過網(wǎng)絡(luò)侵入機器的可能性也就越大。如果黑客們在你的設(shè)置中發(fā)現(xiàn)了安全方

10、面的漏洞，就會對你發(fā)起攻擊，可能是一般的騷擾，如降低你的速度或者讓你的機器崩潰；也可能更嚴(yán)重，例如打開你的機密文件、偷竊口令和信用卡密碼。但是很多人并不以為然，因為他們在網(wǎng)絡(luò)安全方面還存在四個誤區(qū)：誤區(qū)一：我沒有連接其他網(wǎng)絡(luò)，所以我很安全。對，連接INTERNET是要上網(wǎng)的，但是可以上網(wǎng)的獨立機器，與一臺商業(yè)網(wǎng)絡(luò)中心的機器相比，所使用的網(wǎng)絡(luò)協(xié)議仍然有一些甚至全部相同，而一臺商業(yè)網(wǎng)絡(luò)中心的機器還可能安裝了公共防火墻或者有專門負(fù)責(zé)安全的人員。與此形成強烈對比的是一些用于家庭、辦公室、小公司的個人用機確是門戶大開，完全沒有防范黑客的能力。這種威脅是很現(xiàn)實的：如果你使用了cable modem或是DS

11、L連接上網(wǎng)，而且在網(wǎng)上的時間很長，一天里也許就會有2-4個卑鄙的黑客企圖攻擊你。誤區(qū)二：我是用撥號上網(wǎng)，所以我的機器是安全的。每次當(dāng)你開始撥號上網(wǎng)，你使用的IP地址都會不同，也就是動態(tài)IP，所以相比靜態(tài)IP的用戶而言。黑客是很難找到你，但是有一些黑客軟件已經(jīng)發(fā)展到可以在1個小時以內(nèi)逐個掃描上萬個IP地址的能力，所以只要黑客使用了這些工具，即使是撥號上網(wǎng)的用戶也可能受到攻擊。誤區(qū)三：我使用了防病毒軟件，所以我很安全。一個好的病毒軟件確實是在線安全不可或缺的部分，但是也是很小的一個部分。它能夠通過檢測病毒和類似的問題保護你，但是它們對防范黑客、對帶有惡意的“合法”程序卻無能為力。誤區(qū)四：我使用了防

12、火墻，所以我很安全。防火墻是很有用處，但是如果你的機器總是采用一些不夠安全的方式接收和發(fā)送數(shù)據(jù)，而你又僅僅依靠一些附加的程序提供安全，這就等于把所有的蛋放在一個籃子里，一旦防火墻軟件出現(xiàn)bug或者有漏洞，那你很危險了。另外，防火墻對于病毒一類的軟件完全沒有防范能力，尤其是那些帶有惡意的悄悄地向你的機器發(fā)送或提取數(shù)據(jù)的程序。最后，一些防火墻軟件還可能幫倒忙，因為它們的廠商在廣告中把產(chǎn)品的特點介紹出去，可能招致一些專門針對它們?nèi)觞c的攻擊。但是解決方法是有的，你可以使用你已經(jīng)有的工具，而且本文也會告訴你怎樣才是安全的設(shè)置和怎樣選擇安全軟件。二、一分鐘的網(wǎng)絡(luò)基礎(chǔ)知識看到這個內(nèi)容，你可能想一眼掃過或者直

13、接跳過去，但是這只需要一分鐘，而且對你理解下面的內(nèi)容很有幫助。簡單地說，你可以將你和網(wǎng)絡(luò)的連接分為三層。最深的一層是你和網(wǎng)絡(luò)的物理連接方式，包括硬件。例如撥號上網(wǎng)，要使用“撥號適配器”才能和你的MODEM“交談”；如果是局域網(wǎng)，需要網(wǎng)卡和驅(qū)動程序，以便你的PC和網(wǎng)卡交換數(shù)據(jù)，而DSL、cable等也需要網(wǎng)卡。一個PC可以同時使用多個硬件適配器，例如可以即用cable modem上網(wǎng)，也連接撥號上網(wǎng)的MODEM，還在局域網(wǎng)中，這樣系統(tǒng)的網(wǎng)絡(luò)設(shè)置中就有兩個網(wǎng)絡(luò)適配器和一個撥號適配器。中間的一層連接由你的機器所使用的和網(wǎng)絡(luò)其他機器交流的通訊協(xié)議和語言組成，例如TCP/IP協(xié)議，其他還有NetBEUI

14、和IPX/SPX，這些協(xié)議也可以并行工作，一個協(xié)議可以被同時捆綁到多個硬件設(shè)備上，而一個硬件設(shè)備也可以同時捆綁多個協(xié)議。最頂層的連接是網(wǎng)絡(luò)設(shè)備，登錄上網(wǎng)、文件與打印共享和以及位于最頂層的客戶程序，為你完成需要在網(wǎng)絡(luò)上完成的任務(wù)，但不幸的是，它是雙向的，也可以讓黑客對你執(zhí)行他們的操作。所以，保證安全的竅門在于確保沒有那些危險的設(shè)置和設(shè)備，例如如果不需要從網(wǎng)上進行訪問，“文件與打印共享”就完全沒有必要，這也是黑客經(jīng)常利用的地方。換句話說，仔細(xì)地設(shè)置哪些要進行捆綁，可以確保你的機器不那么輕易被訪問，盡管存在一些本身安全性較差的設(shè)備和協(xié)議。三、怎樣確保連接安全在按照我下面提到的建議對系統(tǒng)設(shè)置進行修改以

15、前，最好先將你系統(tǒng)中的關(guān)鍵數(shù)據(jù)備份，或者記下你原來的設(shè)置，以便在需要的時候恢復(fù)。如果你是在局域網(wǎng)或是有特殊的網(wǎng)絡(luò)要求，請先和管理員商量。 我們先檢查你的網(wǎng)絡(luò)設(shè)置：右擊“網(wǎng)絡(luò)鄰居”，選擇“屬性”，現(xiàn)在我們要刪除一些很容易就能夠讓別人通過INTERNET連接到你的INTERNET協(xié)議：TCP/IP。如果你沒有使用撥號上網(wǎng)，可以直接跳到下一段。雙擊“撥號適配器”、“綁定”，把除TCP/IP以外的內(nèi)容都選掉，回到主界面，雙擊“TCP/IP -> 撥號適配器”，你可能看到一個警告，說明如果修改將有危險，不管它，不修改才會有危險呢！單擊“綁定”，如果選擇了“microsoft 網(wǎng)絡(luò)用戶”和“文件和打

16、印共享”，把它們選掉，這樣就只剩下TCP/IP了，你會得到這樣一個警告：TCO/IP已經(jīng)沒有綁定到任何驅(qū)動程序“，回答NO。如果你使用了網(wǎng)卡，單擊每個卡對應(yīng)的TCP/IP，例如我就用了一塊便宜的Realtek 網(wǎng)卡，則單擊“TCP/IP -> Realtek RT8029(as) PCI Ethernet NIC.”，單擊“綁定”，確認(rèn)沒有選擇“micrcosoft 網(wǎng)絡(luò)用戶”和“文件和打印共享”。但是如果你是在局域網(wǎng)上，希望在本地共享文件和打印機，也有辦法呀，添加一個非INTERNET協(xié)議IPX/SPX 或者 NetBEUI都可以。添加適當(dāng)?shù)摹癿icrcosoft 網(wǎng)絡(luò)用戶”，選擇“文

17、件和打印共享”，就可以共享文件和打印了！現(xiàn)在倒回去檢查系統(tǒng)中的每個適配器和協(xié)議，確?！癿icrcosoft 網(wǎng)絡(luò)用戶”和“文件和打印共享”只在IPX/SPX and/或 NetBEUI 中被選擇了。同時，也確認(rèn)在TCP/IP中沒有選擇這兩項。然后對局域網(wǎng)中的所有機器重復(fù)這個檢查過程。用這種方法，你的機器在INTERNET上就只使用TCP/IP，而在局域網(wǎng)上使用非INTERNET協(xié)議以便共享打印機和文件。因為黑客必須使用TCP/IP，這樣他們就需要花費更多的時間來訪問被共享的打印機和文件。需要注意的是你對網(wǎng)絡(luò)設(shè)置的任何變動都可能重新設(shè)置綁定和其他設(shè)置，甚至包括你不曾接觸的內(nèi)容，而當(dāng)你或者是你所安

18、裝的軟件修改了網(wǎng)絡(luò)設(shè)置，都要執(zhí)行上面介紹的步驟檢查TCP/IP連接以確保它保持“干凈”，沒有與“micrcosoft 網(wǎng)絡(luò)用戶”和“文件和打印共享”綁定。AOL（美國在線）有一點是令人厭惡的：它把它自己的（通常是沒有必要的）適配器加入到你的網(wǎng)絡(luò)設(shè)置中，而且可能會不正確地修改你的綁定設(shè)置，一些用戶在安裝AOL后報告，他們的“文件和打印共享”被綁定在TCP/IP上，意味著對任何想連接的人都提供打印機和文件，上面的介紹的竅門對避免出現(xiàn)AOL的這個情況也很有效。要改善你的網(wǎng)絡(luò)安全性你可以作很多工作，我們將在下面討論，但是上面的設(shè)置將消除WINDOWS PC的最常見和突出的網(wǎng)絡(luò)安全問題，把最明顯的漏洞給

19、你堵上，讓你擁有一個更安全的線上操作基礎(chǔ)。一旦你學(xué)會了上面的方法，只用幾分鐘進行檢查，基本就不需要其他的輔助軟件，這樣做的好處在于不用花錢喲！防火墻技術(shù)當(dāng)前，每天都有數(shù)不清的公司和個人加入到Internet中，而Internet本身也成為世界上空前龐大以至于無法確切統(tǒng)計的網(wǎng)絡(luò)系統(tǒng)。它是一部真正的百科全書，信息的海洋令人們沉浸其中而流連忘返，它給人們帶來了無盡的便捷，拉近了每個人的距離，把地球縮成一個村落，大大提高了工作效率。但是每個網(wǎng)絡(luò)用戶又都面臨著嚴(yán)峻的安全性問題，如存在網(wǎng)上的信息可能被非法調(diào)用、復(fù)制和篡改等。怎么樣才能既充分利用Internet，同時又不受外來的各種侵犯呢？這就要采用防火墻

20、技術(shù)。 所謂"防火墻"，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)如Internet分開的方法，它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，它能允許你"同意"的人和數(shù)據(jù)進入你的網(wǎng)絡(luò)，同時將你"不同意"的人和數(shù)據(jù)拒之門外，阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)，防止他們更改、拷貝、毀壞你的重要信息。 一、防火墻的基本類型 實現(xiàn)防火墻的技術(shù)包括四大類：網(wǎng)絡(luò)級防火墻（也叫包過濾型防火墻）、應(yīng)用級網(wǎng)關(guān)、電路級網(wǎng)關(guān)和規(guī)則檢查防火墻。它們之間各有所長，具體使用哪一種或是否混合使用，要看具體需要。1.網(wǎng)絡(luò)級防火墻

21、 一般是基于源地址和目的地址、應(yīng)用或協(xié)議以及每個IP包的端口來作出通過與否的判斷。一個路由器便是一個"傳統(tǒng)"的網(wǎng)絡(luò)級防火墻，大多數(shù)的路由器都能通過檢查這些信息來決定是否將所收到的包轉(zhuǎn)發(fā)，但它不能判斷出一個IP包來自何方，去向何處。 先進的網(wǎng)絡(luò)級防火墻可以判斷這一點，它可以提供內(nèi)部信息以說明所通過的連接狀態(tài)和一些數(shù)據(jù)流的內(nèi)容，把判斷的信息同規(guī)則表進行比較，在規(guī)則表中定義了各種規(guī)則來表明是否同意或拒絕包的通過。包過濾防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒有一條規(guī)則能符合，防火墻就會使用默認(rèn)規(guī)則，一般情況下，默認(rèn)規(guī)則就是要求防火墻丟棄該包。

22、其次，通過定義基于TCP或UDP數(shù)據(jù)包的端口號，防火墻能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。 下面是某一網(wǎng)絡(luò)級防火墻的訪問控制規(guī)則： (1)允許網(wǎng)絡(luò)123.1.0使用FTP(21口)訪問主機； (2)允許IP地址為8和4的用戶Telnet(23口)到主機上；(3)允許任何地址的E-mail(25口)進入主機；(4)允許任何WWW數(shù)據(jù)（80口）通過； (5)不允許其他數(shù)據(jù)包進入。 網(wǎng)絡(luò)級防火墻簡潔、速度快、費用低，并且對用戶透明

23、，但是對網(wǎng)絡(luò)的保護很有限，因為它只檢查地址和端口，對網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力。2.應(yīng)用級網(wǎng)關(guān) 應(yīng)用級網(wǎng)關(guān)能夠檢查進出的數(shù)據(jù)包，通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶機與不受信任的主機間直接建立聯(lián)系。應(yīng)用級網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議，能夠做復(fù)雜一些的訪問控制，并做精細(xì)的注冊和稽核。但每一種協(xié)議需要相應(yīng)的代理軟件，使用時工作量大，效率不如網(wǎng)絡(luò)級防火墻。 常用的應(yīng)用級防火墻已有了相應(yīng)的代理服務(wù)器，例如：HTTP、NNTP、FTP、Telnet、rlogin、X-windows等，但是，對于新開發(fā)的應(yīng)用，尚沒有相應(yīng)的代理服務(wù)，它們將通過網(wǎng)絡(luò)級防火墻和一般的代理服務(wù)。&

24、#160;應(yīng)用級網(wǎng)關(guān)有較好的訪問控制，是目前最安全的防火墻技術(shù)，但實現(xiàn)困難，而且有的應(yīng)用級網(wǎng)關(guān)缺乏"透明度"。在實際使用中，用戶在受信任的網(wǎng)絡(luò)上通過防火墻訪問Internet時，經(jīng)常會發(fā)現(xiàn)存在延遲并且必須進行多次登錄（Login）才能訪問Internet或Intranet。3.電路級網(wǎng)關(guān) 電路級網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機間的TCP握手信息,這樣來決定該會話(Session)是否合法,電路級網(wǎng)關(guān)是在OSI模型中會話層上來過濾數(shù)據(jù)包,這樣比包過濾防火墻要高二層。 實際上電路級網(wǎng)關(guān)并非作為一個獨立的產(chǎn)品存在，它與其他的應(yīng)用級網(wǎng)關(guān)結(jié)合在一起

25、，如TrustInformation Systems公司的Gauntlet Internet Firewall；DEC公司的Alta Vista Firewall等產(chǎn)品。另外，電路級網(wǎng)關(guān)還提供一個重要的安全功能：代理服務(wù)器（Proxy Server），代理服務(wù)器是個防火墻，在其上運行一個叫做"地址轉(zhuǎn)移"的進程，來將所有你公司內(nèi)部的IP地址映射到一個"安全"的IP地址，這個地址是由防火墻使用的。但是，作為電路級網(wǎng)關(guān)也存在著一些缺陷，因為該網(wǎng)關(guān)是在會話層工作的，它就無法檢查應(yīng)用層級的數(shù)據(jù)包。 4.規(guī)則檢查防火墻 該防火墻結(jié)合了包過濾防火墻

26、、電路級網(wǎng)關(guān)和應(yīng)用級網(wǎng)關(guān)的特點。它同包過濾防火墻一樣 ，規(guī)則檢查防火墻能夠在OSI網(wǎng)絡(luò)層上通過IP地址和端口號，過濾進出的數(shù)據(jù)包。它也象電路級網(wǎng)關(guān)一樣，能夠檢查SYN和ACK標(biāo)記和序列數(shù)字是否邏輯有序。當(dāng)然它也象應(yīng)用級網(wǎng)關(guān)一樣，可以在OSI應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容，查看這些內(nèi)容是否能符合公司網(wǎng)絡(luò)的安全規(guī)則 。 規(guī)則檢查防火墻雖然集成前三者的特點，但是不同于一個應(yīng)用級網(wǎng)關(guān)的是，它并不打破客戶機/服務(wù)機模式來分析應(yīng)用層的數(shù)據(jù)，它允許受信任的客戶機和不受信任的主機建立直接連接。規(guī)則檢查防火墻不依靠與應(yīng)用層有關(guān)的代理，而是依靠某種算法來識別進出的應(yīng)用層數(shù)據(jù)，這些算法通過已知合法數(shù)據(jù)包的模式來

27、比較進出數(shù)據(jù)包，這樣從理論上就能比應(yīng)用級代理在過濾數(shù)據(jù)包上更有效。 目前在市場上流行的防火墻大多屬于規(guī)則檢查防火墻，因為該防火墻對于用戶透明，在OSI最高層上加密數(shù)據(jù)，不需要你去修改客戶端的程序，也不需對每個需要在防火墻上運行的服務(wù)額外增加一個代理。如現(xiàn)在最流行的防火墻之一On Technology軟件公司生產(chǎn)的On Guard和Check Point軟件公司生產(chǎn)的FireWall-1防火墻都是一種規(guī)則檢查防火墻。 未來的防火墻將位于網(wǎng)絡(luò)級防火墻和應(yīng)用級防火墻之間，也就是說，網(wǎng)絡(luò)級防火墻將變得更加能夠識別通過的信息，而應(yīng)用級防火墻在目前的功能上則向"透明"

28、;、"低級"方面發(fā)展。最終防火墻將成為一個快速注冊稽查系統(tǒng)，可保護數(shù)據(jù)以加密方式通過，使所有組織可以放心地在節(jié)點間傳送數(shù)據(jù)。二、防火墻的配置 防火墻配置有三種：Dual-homed方式、Screened-host方式和Screened-subnet方式。 Dual-homed方式最簡單。Dual-homed Gateway放置在兩個網(wǎng)絡(luò)之間，這個Dual-homed Gateway又稱為bastionhost。這種結(jié)構(gòu)成本低，但是它有單點失敗的問題。這種結(jié)構(gòu)沒有增加網(wǎng)絡(luò)安全的自我防衛(wèi)能力，而它往往是受"黑客"攻擊的首選目標(biāo)，它自己一旦被攻破，整

29、個網(wǎng)絡(luò)也就暴露了。Screened-host方式中的Screeningrouter為保護Bastionhost 的安全建立了一道屏障。它將所有進入的信息先送往Bastionhost，并且只接受來自Bastionhost的數(shù)據(jù)作為出去的數(shù)據(jù)。這種結(jié)構(gòu)依賴Screeningrouter和Bastionhost，只要有一個失敗，整個網(wǎng)絡(luò)就暴露了。 Screened-subnet包含兩個Screeningrouter和兩個Bastionhost。在公共網(wǎng)絡(luò)和私有網(wǎng)絡(luò)之間構(gòu)成了一個隔離網(wǎng)，稱之為"?；饏^(qū)"（DMZ，即DemilitarizedZone ）, Bastionhost放置

30、在"?；饏^(qū)"內(nèi)。這種結(jié)構(gòu)安全性好，只有當(dāng)兩個安全單元被破壞后，網(wǎng)絡(luò)才被暴露，但是成本也很昂貴。 三、防火墻的安全措施 各種防火墻的安全性能不盡相同。下面以目前市場的主導(dǎo)產(chǎn)品-CheckPoint公司的FireWall-1為例，來說明防火墻的一些安全措施。 1.防電子欺騙術(shù) FireWall-1的防電子欺騙術(shù)功能是保證數(shù)據(jù)包的IP地址與網(wǎng)關(guān)接口相符，防止通過修改IP地址的方法進行非授權(quán)訪問。FireWall-1還會對可疑信息進行鑒別，并向網(wǎng)絡(luò)管理員報警。 2.網(wǎng)絡(luò)地址轉(zhuǎn)移 FireWall-1的地址轉(zhuǎn)移是對Internet隱藏內(nèi)部地址，防止內(nèi)部地址公開。這一功能克服了IP尋址方式的諸多限制，完善內(nèi)部尋址模式。把未注冊IP地址映射成合法地