第7章防火墻技術(shù)

1、曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版 防火墻是在網(wǎng)絡(luò)安全防范中使用最多的技術(shù)，已成為企業(yè)網(wǎng)絡(luò)中實(shí)施安全保護(hù)的核心，企業(yè)安全管理員利用防火墻實(shí)現(xiàn)相關(guān)的安全規(guī)則，來(lái)保護(hù)企業(yè)內(nèi)部的網(wǎng)絡(luò)設(shè)備和信息，目前為止，這是最有效的網(wǎng)絡(luò)和設(shè)備保護(hù)措施。本章主要介紹了防火墻的功能與分類(lèi)、防火墻的主要技術(shù)、防火墻體系結(jié)構(gòu)、防火墻配置、防火墻的選型、主流防火墻產(chǎn)品簡(jiǎn)介、防火墻發(fā)展動(dòng)態(tài)與趨勢(shì)、防火墻部署實(shí)例。第第7章防火墻技術(shù)章防火墻技術(shù)7.1防火墻基礎(chǔ)7.1.1防火墻的定義7.1.2 防火墻的特點(diǎn)7.2 防火墻的功能與分類(lèi)7.2.1防火墻的功能7.2.2防火墻的分類(lèi)7

2、.3防火墻的主要技術(shù)7.3.1包過(guò)濾技術(shù)7.3.2應(yīng)用級(jí)網(wǎng)關(guān)防火墻7.3.3 深度包過(guò)濾技術(shù)7.4防火墻體系結(jié)構(gòu)7.5防火墻配置7.5.1網(wǎng)絡(luò)防火墻配置7.5.2防火墻的組網(wǎng)結(jié)構(gòu)7.5.3個(gè)人防火墻配置第第7章章 防火墻技術(shù)防火墻技術(shù)曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版 7.6防火墻的選型7.6.1 防火墻的選擇原則7.6.2 選擇防火墻的兩個(gè)要素7.7 主流防火墻產(chǎn)品簡(jiǎn)介7.7.1 天融信防火墻7.7.2 聯(lián)想防火墻7.7.3 瑞星防火墻7.7.4 360 arp防火墻7.8 防火墻發(fā)展動(dòng)態(tài)與趨勢(shì)7.9 防火墻部署實(shí)例7.9.1 某校園網(wǎng)防

3、火墻部署7.9.2 某公司網(wǎng)絡(luò)防火墻部署7.9.3 某餐飲企業(yè)防火墻方案第第7章章 防火墻技術(shù)防火墻技術(shù)曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版 防火墻是隔離本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)的防御系統(tǒng)。防火墻技術(shù)是保護(hù)網(wǎng)絡(luò)不受侵犯的最主要技術(shù)之一。防火墻一般位于網(wǎng)絡(luò)的邊界上，按照一定的安全策略，對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間的數(shù)據(jù)包和連接方式進(jìn)行檢查，來(lái)決定對(duì)網(wǎng)絡(luò)之間的通信采取何種動(dòng)作，比如允許，拒絕，或者轉(zhuǎn)換。其中被保護(hù)的網(wǎng)絡(luò)通常稱(chēng)為內(nèi)部網(wǎng)絡(luò)，其它稱(chēng)為外部網(wǎng)絡(luò)。 7.17.1防火墻基礎(chǔ)防火墻基礎(chǔ) 7.1.1 7.1.1 防火墻的定義防火墻的定義 曾湘黔主編：曾湘黔主編

4、： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版典型的防火墻具有以下三個(gè)方面的基本特征： 1內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過(guò)防火墻 2只有符合安全策略的數(shù)據(jù)流才能通過(guò)防火墻 3防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力7.1.2 7.1.2 防火墻的特點(diǎn)防火墻的特點(diǎn)曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版防火墻的主要有以下功能 1網(wǎng)絡(luò)安全的屏障2強(qiáng)化網(wǎng)絡(luò)安全策略3防火墻就不僅能夠制作完整的日志記錄，而且還能夠提供網(wǎng)絡(luò)使用的情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。

5、另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是一項(xiàng)非常重要的工作。4防止內(nèi)部信息的外泄7.2 7.2 防火墻的功能與分類(lèi)防火墻的功能與分類(lèi)7.2.1 7.2.1 防火墻的功能防火墻的功能曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版 現(xiàn)有的防火墻主要有：包過(guò)濾型、應(yīng)用級(jí)網(wǎng)關(guān)型、復(fù)合型以及其他類(lèi)型防火墻。 包過(guò)濾通常安裝在路由器上，而且大多數(shù)商用路由器都提供了包過(guò)濾的功能。包過(guò)濾規(guī)則以IP包信息為基礎(chǔ)，對(duì)IP源地址、目標(biāo)地址、封裝協(xié)議、端口號(hào)等進(jìn)行篩選。包過(guò)濾在網(wǎng)絡(luò)層進(jìn)行。 應(yīng)用級(jí)網(wǎng)關(guān)型防火墻通常由兩部分構(gòu)成，服務(wù)器端程序和客戶端程序?？蛻舳顺绦蚺c中間節(jié)點(diǎn)（Pr

6、oxy Server)連接，中間節(jié)點(diǎn)再與提供服務(wù)的服務(wù)器實(shí)際連接。與包過(guò)濾防火墻不同的是，內(nèi)外網(wǎng)間不存在直接的連接，而且代理服務(wù)器提供日志（Log）和審計(jì)服務(wù)。 復(fù)合型包過(guò)濾和應(yīng)用級(jí)網(wǎng)關(guān)兩種方法結(jié)合起來(lái)，形成新的防火墻，由堡壘主機(jī)提供代理服務(wù)。.2防火墻的分類(lèi)防火墻的分類(lèi)曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版 包過(guò)濾防火墻一般上作在網(wǎng)絡(luò)層，通?；谝欢ǖ囊?guī)則完成數(shù)據(jù)包的匹配和過(guò)濾，規(guī)則內(nèi)容包括:源/口標(biāo)地址，源口標(biāo)端口號(hào)，協(xié)議和標(biāo)志位等。包過(guò)濾防火墻的關(guān)鍵在于過(guò)濾規(guī)則的設(shè)計(jì)。它的優(yōu)點(diǎn)在于實(shí)現(xiàn)方式簡(jiǎn)單，靈活，對(duì)內(nèi)部網(wǎng)絡(luò)用戶和應(yīng)用程

7、序完全透明，性能開(kāi)銷(xiāo)小，處理速度較快。但缺點(diǎn)也很明顯，其定義復(fù)雜，容易出現(xiàn)因配置不當(dāng)帶來(lái)問(wèn)題，允許數(shù)據(jù)包自接通過(guò)，容易造成數(shù)據(jù)驅(qū)動(dòng)式攻擊的潛在危險(xiǎn)。而且由于上作信息不完全，無(wú)法有效的區(qū)分同一IP地址上的不同用戶，它的安全性相對(duì)較低。它對(duì)欺騙性攻擊很脆弱，一旦被攻破，無(wú)法查找攻擊來(lái)源。當(dāng)采用嚴(yán)格過(guò)濾標(biāo)準(zhǔn)時(shí)，會(huì)降低網(wǎng)絡(luò)傳輸性能。 7.37.3防火墻的主要技術(shù)防火墻的主要技術(shù).1包過(guò)濾技術(shù)包過(guò)濾技術(shù)曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版 應(yīng)用級(jí)網(wǎng)關(guān)防火墻主要上作在應(yīng)用層，應(yīng)用代理服務(wù)技術(shù)能將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段，使得網(wǎng)

8、絡(luò)內(nèi)部的客戶不自接與外部的服務(wù)器通信。它的基本上作過(guò)程是:當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí)，首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器，代理服務(wù)器根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù)，再由代理服務(wù)器將數(shù)據(jù)傳給客戶機(jī)。由于外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。 .2應(yīng)用級(jí)網(wǎng)關(guān)防火墻應(yīng)用級(jí)網(wǎng)關(guān)防火墻曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版深度包過(guò)濾，就是將入侵檢測(cè)系統(tǒng)和IPS整合起來(lái)。不僅過(guò)濾網(wǎng)絡(luò)層和傳輸數(shù)據(jù)包頭部，而且在應(yīng)用層深入到正在服務(wù)器的數(shù)據(jù)包的有效載荷的內(nèi)容部分，搜尋合法或者非法的內(nèi)容以決定是否允許數(shù)據(jù)包

9、通過(guò)，或者查找常見(jiàn)的攻擊，并丟棄與之相關(guān)的會(huì)話。1.主要優(yōu)勢(shì)體現(xiàn)在以下幾方面: （1）理解更深層次的協(xié)議。 （2）漏檢率更低。 （3）更強(qiáng)的防御能力。2.深度包過(guò)濾主要有數(shù)據(jù)包內(nèi)容分析和管理應(yīng)用程序兩方面的功能。 (1)數(shù)據(jù)包內(nèi)容分析 (2)管理應(yīng)用程序 3.深度包過(guò)濾的步驟策略 7.3.3 7.3.3 深度包過(guò)濾技術(shù)深度包過(guò)濾技術(shù)曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版 1雙重宿主主機(jī)體系結(jié)構(gòu):雙重宿主主機(jī)體系結(jié)構(gòu)圍繞雙重宿主主機(jī)構(gòu)筑，至少有2個(gè)網(wǎng)絡(luò)接口。 2被屏蔽主機(jī)體系結(jié)構(gòu):被屏蔽主機(jī)體系結(jié)構(gòu)防火墻則使用一個(gè)路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開(kāi)

10、，這種體系結(jié)構(gòu)主要的安全由數(shù)據(jù)包過(guò)濾提供 3被屏蔽子網(wǎng)體系結(jié)構(gòu):被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu) 7.47.4防火墻體系結(jié)構(gòu)防火墻體系結(jié)構(gòu)曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版 網(wǎng)絡(luò)防火墻的默認(rèn)設(shè)置一般都只能是普遍的設(shè)置，也就是說(shuō)這樣的設(shè)置要大致適合成千上百用戶。其實(shí)不同用戶對(duì)于上網(wǎng)的安全要求是不一樣的，普通的設(shè)置就不一定適合所有用戶。 1.功能設(shè)置2.規(guī)則設(shè)置 7.57.5防火墻配置防火墻配置7.5.1網(wǎng)絡(luò)防火墻配置網(wǎng)絡(luò)防火墻配置曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版1.

11、 控制來(lái)自因特網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)這是一種應(yīng)用得最廣、最為重要的防火墻應(yīng)用環(huán)境。在這種應(yīng)用環(huán)境下，防火墻主要保護(hù)內(nèi)部網(wǎng)絡(luò)不遭受外網(wǎng)用戶的攻擊。目前很多企業(yè)、特別是中小型企業(yè)采用防火墻的主要原因。在這種應(yīng)用環(huán)境中，防火墻網(wǎng)絡(luò)可劃分為3個(gè)不同級(jí)別的安全區(qū)域：內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)、DMZ（非軍事區(qū)）。用戶需要對(duì)不同的安全區(qū)域應(yīng)用不同的安全策略。 2. 控制內(nèi)部網(wǎng)絡(luò)不同部門(mén)之間的訪問(wèn)這種應(yīng)用環(huán)境就是在一個(gè)企業(yè)內(nèi)部網(wǎng)絡(luò)之間，對(duì)一些安全安全敏感的部門(mén)進(jìn)行隔離保護(hù)。通過(guò)防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)中敏感部門(mén)的資源不被非法訪問(wèn)。 .2防火墻的組網(wǎng)結(jié)構(gòu)防火墻的組網(wǎng)結(jié)構(gòu)曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)

12、安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版 天網(wǎng)防火墻是國(guó)內(nèi)外針對(duì)個(gè)人用戶最好的中文軟件防火墻之一，在安裝完天網(wǎng)防火墻時(shí)，會(huì)彈出設(shè)置向?qū)?。一般用戶通常選擇的安全級(jí)別為“中”就可以了。 對(duì)于高級(jí)用戶，有時(shí)候需要自己來(lái)自定義規(guī)則來(lái)實(shí)現(xiàn)特殊要求。 1.添加規(guī)則 2.備份與恢復(fù)規(guī)則 3.天網(wǎng)防火墻下實(shí)現(xiàn)BT加速 4.擋住部分網(wǎng)頁(yè)病毒的方法 .3個(gè)人防火墻配置個(gè)人防火墻配置曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版 防火墻作為網(wǎng)絡(luò)邊界的安全哨卡，其重要性已經(jīng)越來(lái)越得到企業(yè)的認(rèn)可。這就意味著防火墻的市場(chǎng)需求越來(lái)越大。也因此，國(guó)內(nèi)外眾多商家紛

13、紛投身防火墻市場(chǎng)的激烈競(jìng)爭(zhēng)，這樣就形成了防火墻產(chǎn)品的品牌、檔次五花八門(mén)，參差不齊，企業(yè)選擇防火墻也就眼花繚亂，無(wú)所適從。那么，作為企業(yè)級(jí)用戶，如何來(lái)選擇一款既滿足需求，又價(jià)格合理的防火墻產(chǎn)品呢？ 7.6 7.6 防火墻的選型防火墻的選型曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版 1做好需求分析 選擇產(chǎn)品的第一個(gè)步驟就是針對(duì)企業(yè)自身的網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)應(yīng)用系統(tǒng)、用戶及通信流量規(guī)模、防攻擊能力、可靠性、可用性、易用性等具體需求進(jìn)行分析。 2.選擇原則 在整理出具體的需求以后，可以得到一份防火墻的需求分析報(bào)告。下一步的工作就是在眾多的品牌和檔次中選出滿足各種

14、需求的品牌，并考慮一定的擴(kuò)展性要求。選擇的主要原則有： （1）以需求為導(dǎo)向 選擇最適合本企業(yè)需求的產(chǎn)品。由于防火墻的各項(xiàng)指標(biāo)具有較強(qiáng)的專(zhuān)業(yè)性，因此企業(yè)在選擇時(shí)，有必要把防火墻的主要指標(biāo)和需求聯(lián)系起來(lái)。另外，還要考慮到企業(yè)可承受的性?xún)r(jià)比。 （2）對(duì)于產(chǎn)品的選型 可參考的指標(biāo)來(lái)源有廠家提供的技術(shù)白皮書(shū)、各種測(cè)評(píng)機(jī)構(gòu)的橫向?qū)Ρ葴y(cè)試報(bào)告，從中可以了解產(chǎn)品的一些基本性能情況。 （3）按需求給方案 要完全按照企業(yè)的實(shí)際需求來(lái)對(duì)比各種品牌的滿足程度，最好是根據(jù)需求，定制一套解決方案，并對(duì)防火墻在統(tǒng)一測(cè)試條件和測(cè)試環(huán)境下進(jìn)行橫向?qū)Ρ取?7.6.1 7.6.1 防火墻的選擇原則防火墻的選擇原則曾湘黔主編：曾湘黔

15、主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版 1.防火墻管理的難易度 防火墻管理的難易度是防火墻能否達(dá)到目的的主要考慮因素之一。一般企業(yè)之所以很少以已有的網(wǎng)絡(luò)設(shè)備直接當(dāng)作防火墻的原因，除了先前提到的包過(guò)濾并不能達(dá)到完全的控制之外，設(shè)定工作困難、須具備完整的知識(shí)以及不易除錯(cuò)等管理問(wèn)題，更是一般企業(yè)不愿意使用的主要原因。 2.防火墻自身的安全性 大多數(shù)人在選擇防火墻時(shí)都將注意力放在防火墻如何控制連接以及防火墻支持多少種服務(wù)，但往往忽略了一點(diǎn)：防火墻也是網(wǎng)絡(luò)上的主機(jī)之一，也可能存在安全問(wèn)題，防火墻如果不能確保自身安全，則防火墻的控制功能再?gòu)?qiáng)，也不能完全保護(hù)內(nèi)部網(wǎng)絡(luò)。 7.6

16、.2 7.6.2 選擇防火墻的兩個(gè)要素選擇防火墻的兩個(gè)要素曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版7.7.1 7.7.1 天融信防火墻天融信防火墻 網(wǎng)絡(luò)衛(wèi)士NGFW ARES系列防火墻產(chǎn)品，是天融信公司為行業(yè)分支機(jī)構(gòu)、中小型企業(yè)、教育行業(yè)非骨干節(jié)點(diǎn)院校、單位內(nèi)部的部門(mén)級(jí)等中小用戶開(kāi)發(fā)的高性?xún)r(jià)比的安全平臺(tái)。7.7.2 7.7.2 聯(lián)想防火墻聯(lián)想防火墻 網(wǎng)御power v（強(qiáng)五）系列防火墻作為聯(lián)想網(wǎng)御的主流防火墻機(jī)型。網(wǎng)御強(qiáng)五防火墻在支持狀態(tài)檢測(cè)、地址轉(zhuǎn)換、虛擬主機(jī)、端口映射、連接狀態(tài)監(jiān)控、與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)、雙機(jī)熱備、負(fù)載均衡、抗攻擊能力、寬帶管理

17、、p2p應(yīng)用的控制、深度過(guò)濾、網(wǎng)絡(luò)多鏈路和對(duì)voip的支持等方面均達(dá)到了一個(gè)新的高度。 7.7 7.7 主流防火墻產(chǎn)品簡(jiǎn)介主流防火墻產(chǎn)品簡(jiǎn)介 曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版7.7.3 7.7.3 瑞星防火墻瑞星防火墻瑞星個(gè)人防火墻2010是最近推出的防火墻產(chǎn)品。網(wǎng)絡(luò)監(jiān)控 網(wǎng)絡(luò)攻擊攔截：阻止黑客攻擊系統(tǒng)對(duì)用戶造成的危險(xiǎn)。 出站攻擊防御：最大程度解決“肉雞”和“網(wǎng)絡(luò)僵尸”對(duì)網(wǎng)絡(luò)造成的安全威脅。 惡意網(wǎng)址攔截：保護(hù)用戶在訪問(wèn)網(wǎng)頁(yè)時(shí)，不被病毒及釣魚(yú)網(wǎng)頁(yè)侵害。工作模式 交易模式：適用于用戶進(jìn)行炒股、網(wǎng)銀交易、網(wǎng)上購(gòu)物時(shí)的安全要求。 “云安全”（C

18、loud Security）計(jì)劃 與全球瑞星用戶組成立體監(jiān)測(cè)防御體系，最快速度發(fā)現(xiàn)安全威脅，解決安全問(wèn)題，共享安全成果。7.7.4 360 arp7.7.4 360 arp防火墻防火墻 360安全衛(wèi)士已經(jīng)集成arp防火墻，可以在360安全衛(wèi)士-360實(shí)時(shí)保護(hù)-功能設(shè)置-Arp防火墻中進(jìn)行相關(guān)設(shè)置。 曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版1.防火墻技術(shù)發(fā)展概述傳統(tǒng)的防火墻通常是基于訪問(wèn)控制列表(ACL)進(jìn)行包過(guò)濾的，位于在內(nèi)部專(zhuān)用網(wǎng)的入口處，所以也俗稱(chēng)“邊界防火墻”。隨著防火墻技術(shù)的發(fā)展，防火墻技術(shù)也得到了發(fā)展，出現(xiàn)了一些新的防火墻技術(shù)，如電路級(jí)

19、網(wǎng)關(guān)技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)和動(dòng)態(tài)包過(guò)濾技術(shù)，在實(shí)際運(yùn)用中，這些技術(shù)差別非常大，有的工作在OSI參考模式的網(wǎng)絡(luò)層；有的工作在傳輸層，還有的工作在應(yīng)用層。2.防火墻未來(lái)的技術(shù)發(fā)展趨勢(shì)隨著新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也有一些新的發(fā)展趨勢(shì)。這主要可以從包過(guò)濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來(lái)體現(xiàn)。（1）防火墻包過(guò)濾技術(shù)發(fā)展趨勢(shì) （2）多級(jí)過(guò)濾技術(shù) （3）使防火墻具有病毒防護(hù)功能。 7.8 7.8 防火墻發(fā)展動(dòng)態(tài)與趨勢(shì)防火墻發(fā)展動(dòng)態(tài)與趨勢(shì)曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版 3.防火墻的體系結(jié)構(gòu)發(fā)展趨勢(shì)隨著網(wǎng)絡(luò)應(yīng)用的增加，對(duì)網(wǎng)絡(luò)帶寬提出了更高的

20、要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會(huì)越來(lái)越普遍，它要求數(shù)據(jù)穿過(guò)防火墻所帶來(lái)的延遲要足夠小。 4.防火墻的系統(tǒng)管理發(fā)展趨勢(shì)防火墻的系統(tǒng)管理也有一些發(fā)展趨勢(shì)，主要體現(xiàn)在以下幾個(gè)方面： （1）首先是集中式管理，分布式和分層的安全結(jié)構(gòu)是將來(lái)的趨勢(shì)。 （2）強(qiáng)大的審計(jì)功能和自動(dòng)日志分析功能。 （3）網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化 5分布式防火墻技術(shù) （1）分布式防火墻的產(chǎn)生 7.8 7.8 防火墻發(fā)展動(dòng)態(tài)與趨勢(shì)防火墻發(fā)展動(dòng)態(tài)與趨勢(shì)曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版7.9.1 7.9.1 某校園網(wǎng)防火墻部署某校園網(wǎng)

21、防火墻部署 某大學(xué)已經(jīng)實(shí)現(xiàn)校園內(nèi)計(jì)算機(jī)連網(wǎng)、信息資源共享，并通過(guò)CERNET與Internet互聯(lián)。校園網(wǎng)現(xiàn)有連網(wǎng)節(jié)點(diǎn)900多個(gè)。網(wǎng)絡(luò)結(jié)構(gòu)：建筑物之間采用光纖連接，電教樓為中心點(diǎn)，向校內(nèi)其他建筑物輻射；樓內(nèi)水平線纜采用五類(lèi)屏蔽雙絞線。中心交換機(jī)采用Cisco路由交換機(jī)；二級(jí)交換機(jī)為Cisco路由交換機(jī)。1.安全隱患經(jīng)檢查，該校校園網(wǎng)安全隱患有 校園網(wǎng)通過(guò)CERNET與Internet相連，有可能面臨著遭遇攻擊的風(fēng)險(xiǎn)。 校園網(wǎng)內(nèi)部存在很大的安全隱患。由于內(nèi)部用戶對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解，因此來(lái)自?xún)?nèi)部的安全威脅會(huì)更大一些。 目前使用的操作系統(tǒng)存在安全漏洞，對(duì)網(wǎng)絡(luò)安全構(gòu)成了威脅。 隨著校園內(nèi)

22、計(jì)算機(jī)應(yīng)用的大范圍普及，接入校園網(wǎng)的節(jié)點(diǎn)數(shù)日益增多，而這些節(jié)點(diǎn)大部分都沒(méi)有采取安全防護(hù)措施，隨時(shí)有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重后果。 7.9 7.9 防火墻部署實(shí)例防火墻部署實(shí)例 曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版2.解決方案 根據(jù)中央財(cái)經(jīng)大學(xué)校園網(wǎng)的結(jié)構(gòu)特點(diǎn)及面臨的安全隱患，我們?cè)趶V泛征集各方意見(jiàn)，細(xì)心比較的基礎(chǔ)上，決定采用北京瑞星公司設(shè)計(jì)的校園網(wǎng)絡(luò)安全體系方案。該方案確定了以下幾個(gè)必須考慮的安全防護(hù)要點(diǎn)：網(wǎng)絡(luò)安全隔離、網(wǎng)絡(luò)監(jiān)控措施、網(wǎng)絡(luò)安全漏洞、網(wǎng)絡(luò)病毒的防范。 3.防火墻的部署 在Internet與

23、校園網(wǎng)內(nèi)網(wǎng)之間部署了一臺(tái)瑞星RFW-100防火墻，在內(nèi)外網(wǎng)之間建立一道牢固的安全屏障。其中WWW、E-mail、FTP、DNS服務(wù)器連接在防火墻的DMZ區(qū)（即“非軍事區(qū)”，是為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段，它阻止內(nèi)網(wǎng)和外網(wǎng)直接通信，以保證內(nèi)網(wǎng)安全），與內(nèi)、外網(wǎng)間進(jìn)行隔離，內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機(jī)，外網(wǎng)口通過(guò)路由器與Internet連接。這樣，通過(guò)Internet進(jìn)來(lái)的外網(wǎng)用戶只能訪問(wèn)到對(duì)外公開(kāi)的一些服務(wù)（如WWW、E-mail、FTP、DNS等），既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問(wèn)或破壞，也可以阻止內(nèi)部用戶對(duì)外部不良資源的使用，并能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進(jìn)行跟蹤和審計(jì)。 7.9 7.9 防火墻部署實(shí)例防火墻部署實(shí)例曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版7.9.2 7.9.2 某公司網(wǎng)絡(luò)防火墻部署某公司網(wǎng)絡(luò)防火墻部署VigorPro系列防火墻路由器如何配置防火墻？ 用戶背景：隨著Internet應(yīng)用的日益普及，眾多企業(yè)都將自己的企業(yè)內(nèi)部網(wǎng)絡(luò)接入Internet。1.用戶需求 對(duì)于企業(yè)而言，希望能夠迅速識(shí)別、控制并消除攻擊和病毒、以確保網(wǎng)絡(luò)資源不會(huì)受到影響和破壞，同時(shí)也對(duì)內(nèi)網(wǎng)的安全性和使用的方便