《網(wǎng)絡(luò)安全》(課件)-5

1、網(wǎng)絡(luò)安全第 5 講2第5章 防火墻技術(shù) 防火墻技術(shù)概述防火墻的分類新一代防火墻的主要技術(shù)防火墻體系結(jié)構(gòu)防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢(shì)防火墻的選購(gòu)和使用防火墻產(chǎn)品介紹3防火墻技術(shù)概述防火墻定義防火墻的本義原是指房屋之間修建的可以防止火災(zāi)發(fā)生時(shí)蔓延到別的房屋的墻。多數(shù)防火墻里都有一個(gè)重要的門，允許人們進(jìn)入或離開房屋。即：防火墻在提供增強(qiáng)安全性的同時(shí)允許必要的訪問。計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻（Firewall）指位于不同網(wǎng)絡(luò)安全域之間的軟件和硬件設(shè)備的一系列部件的組合,做為不同網(wǎng)絡(luò)安全域之間通信流的唯一通道，根據(jù)用戶的有關(guān)安全策略控制進(jìn)出不同網(wǎng)絡(luò)安全域的訪問。網(wǎng)絡(luò)安全 第7講 保密通信（一）防火墻定義Wil

2、liam Cheswick和Steve Beilovin（1994）：防火墻是放置在兩個(gè)網(wǎng)絡(luò)之間的一組組件，這組組件共同具有下列性質(zhì)：只允許本地安全策略授權(quán)的通信信息通過雙向通信信息必須通過防火墻防火墻本身不會(huì)影響信息的流通防火墻是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間）的軟件或硬件設(shè)備的組合，它對(duì)兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過強(qiáng)制實(shí)施統(tǒng)一的安全策略，防止對(duì)重要信息資源的非法存取和訪問以達(dá)到保護(hù)系統(tǒng)安全的目的。傳統(tǒng)防火墻概念特指網(wǎng)絡(luò)層實(shí)現(xiàn)防火墻技術(shù)概述5防火墻系統(tǒng)模型 防火墻技術(shù)概述DMZ即隔離區(qū)，也稱非軍事化區(qū)。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)

3、服務(wù)器的問題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如Web服務(wù)器、FTP服務(wù)器和論壇等。6在互聯(lián)網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過它可以隔離風(fēng)險(xiǎn)區(qū)域（即Internet或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò)）與安全區(qū)域（即通常講的內(nèi)部網(wǎng)絡(luò)）的連接，同時(shí)不妨礙本地網(wǎng)絡(luò)用戶對(duì)風(fēng)險(xiǎn)區(qū)域的訪問。防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信，僅讓安全、核準(zhǔn)了的信息進(jìn)入，抵制對(duì)本地網(wǎng)絡(luò)安全構(gòu)成威脅的數(shù)據(jù)。因此，防火墻的作用是防止不希望的、未授權(quán)的通信進(jìn)出被保護(hù)的網(wǎng)絡(luò)，迫使用戶強(qiáng)化自己的網(wǎng)絡(luò)安全政策，簡(jiǎn)化網(wǎng)絡(luò)的安全管

4、理。要使一個(gè)防火墻有效，所有來自和去往Internet的信息都必須經(jīng)過防火墻，接收防火墻的檢查。防火墻技術(shù)概述7防火墻本身必須具有很強(qiáng)的抗攻擊能力，以確保其自身的安全性。簡(jiǎn)單的防火墻可以只用路由器實(shí)現(xiàn)，復(fù)雜的可以用主機(jī)、專用硬件設(shè)備及軟件甚至一個(gè)子網(wǎng)來實(shí)現(xiàn)。通常意義上講的硬防火墻為硬件防火墻，它是通過專用硬件和專用軟件的結(jié)合來達(dá)到隔離內(nèi)、外部網(wǎng)絡(luò)的目的，價(jià)格較貴，但效果較好，一般小型企業(yè)和個(gè)人很難實(shí)現(xiàn)。軟件防火墻是通過軟件的方式來達(dá)到，價(jià)格便宜，但這類防火墻只能通過一定的規(guī)則來達(dá)到限制一些非法用戶訪問內(nèi)部網(wǎng)的目的。防火墻安裝和投入使用后，要想充分發(fā)揮它的安全防護(hù)作用，必須對(duì)它進(jìn)行跟蹤和動(dòng)態(tài)維護(hù)

5、，并及時(shí)對(duì)防火墻進(jìn)行更新。防火墻技術(shù)概述8防火墻的目的和功能防火墻負(fù)責(zé)管理風(fēng)險(xiǎn)區(qū)域網(wǎng)絡(luò)和安全區(qū)域網(wǎng)絡(luò)之間的訪問。在沒有防火墻時(shí)，內(nèi)部網(wǎng)絡(luò)上的每個(gè)節(jié)點(diǎn)都暴露給風(fēng)險(xiǎn)區(qū)域上的其他計(jì)算機(jī)，內(nèi)部網(wǎng)絡(luò)極易受到攻擊，內(nèi)部網(wǎng)絡(luò)的安全性要由每臺(tái)計(jì)算機(jī)來決定，并且整個(gè)內(nèi)部網(wǎng)絡(luò)的安全性等于其中防護(hù)能力最弱的系統(tǒng)?？梢园逊阑饓ο胂癯砷T衛(wèi)，所有進(jìn)入的消息和發(fā)出的消息都會(huì)被仔細(xì)檢查以嚴(yán)格遵守選定的安全標(biāo)準(zhǔn)。因此，對(duì)于連接到互聯(lián)網(wǎng)的內(nèi)部網(wǎng)絡(luò)，一定要選用適當(dāng)?shù)姆阑饓Α?防火墻技術(shù)概述9應(yīng)用防火墻的目的所有內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的信息交流必須經(jīng)過防火墻。確保內(nèi)部網(wǎng)向外部網(wǎng)的全功能互聯(lián)。防止入侵者接近防御設(shè)施，限制進(jìn)入受保護(hù)網(wǎng)絡(luò)，保

6、護(hù)內(nèi)部網(wǎng)絡(luò)的安全。只有按本地的安全策略被授權(quán)的信息才允許通過。 防火墻本身具有防止被穿透的能力，防火墻本身不受各種攻擊的影響。為監(jiān)視網(wǎng)絡(luò)安全提供方便。防火墻技術(shù)概述10防火墻已成為控制網(wǎng)絡(luò)系統(tǒng)訪問的非常流行的方法，事實(shí)上在Internet上的很多網(wǎng)站都是由某種形式的防火墻加以保護(hù)的，任何關(guān)鍵性的服務(wù)器，都建議放在防火墻之后。防火墻技術(shù)概述11防火墻基本功能防火墻是網(wǎng)絡(luò)安全政策的有機(jī)組成部分，通過控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問行為來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理，防止外部網(wǎng)絡(luò)不安全的信息流入內(nèi)部網(wǎng)絡(luò)和限制內(nèi)部網(wǎng)絡(luò)的重要信息流到外部網(wǎng)絡(luò)。從總體上看，防火墻應(yīng)具有以下五大基本功能。過濾進(jìn)、出內(nèi)部網(wǎng)絡(luò)的

7、數(shù)據(jù)。管理進(jìn)、出內(nèi)部網(wǎng)絡(luò)的訪問行為。封堵某些禁止的業(yè)務(wù)。記錄通過防火墻的信息內(nèi)容和活動(dòng)。對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和報(bào)警。防火墻技術(shù)概述12除此以外，有的防火墻還根據(jù)需求包括其他的功能，如網(wǎng)絡(luò)地址轉(zhuǎn)換功能(NAT)、雙重DNS（雙重DNS，即對(duì)外解析成公網(wǎng)地址，對(duì)內(nèi)解析成內(nèi)網(wǎng)地址。）、虛擬專用網(wǎng)絡(luò)(VPN)、掃毒功能、負(fù)載均衡和計(jì)費(fèi)等功能。為實(shí)現(xiàn)以上功能，在防火墻產(chǎn)品的開發(fā)中，廣泛地應(yīng)用網(wǎng)絡(luò)拓?fù)浼夹g(shù)、計(jì)算機(jī)操作系統(tǒng)技術(shù)、路由技術(shù)、加密技術(shù)、訪問控制技術(shù)以及安全審計(jì)技術(shù)等。防火墻技術(shù)概述13防火墻的局限性通常，認(rèn)為防火墻可以保護(hù)處于它身后的內(nèi)部網(wǎng)絡(luò)不受外界的侵襲和干擾，但隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)結(jié)構(gòu)日趨

8、復(fù)雜，傳統(tǒng)防火墻在使用的過程中暴露出以下的不足和弱點(diǎn)。防火墻不能防范不經(jīng)過防火墻的攻擊。沒有經(jīng)過防火墻的數(shù)據(jù)，防火墻無法檢查。傳統(tǒng)的防火墻在工作時(shí)，入侵者可以偽造數(shù)據(jù)繞過防火墻或者找到防火墻中可能敞開的后門。防火墻不能防止來自網(wǎng)絡(luò)內(nèi)部的攻擊和安全問題。網(wǎng)絡(luò)攻擊中有相當(dāng)一部分攻擊來自網(wǎng)絡(luò)內(nèi)部，對(duì)于來自企業(yè)內(nèi)部的員工來說，防火墻形同虛設(shè)。防火墻可以設(shè)計(jì)為既防外也防內(nèi)，但絕大多數(shù)單位因?yàn)椴环奖?，不要求防火墻防?nèi)。防火墻技術(shù)概述14由于防火墻性能上的限制，因此它通常不具備實(shí)時(shí)監(jiān)控入侵的能力。防火墻不能防止策略配置不當(dāng)或錯(cuò)誤配置引起的安全威脅。防火墻是一個(gè)被動(dòng)的安全策略執(zhí)行設(shè)備，就像門衛(wèi)一樣，要根據(jù)政策

9、規(guī)定來執(zhí)行安全，而不能自作主張。防火墻不能防止受病毒感染的文件的傳輸。防火墻本身并不具備查殺病毒的功能，即使集成了第三方的防病毒的軟件，也沒有一種軟件可以查殺所有的病毒。防火墻不能防止利用服務(wù)器系統(tǒng)和網(wǎng)絡(luò)協(xié)議漏洞所進(jìn)行的攻擊。黑客通過防火墻準(zhǔn)許的訪問端口對(duì)該服務(wù)器的漏洞進(jìn)行攻擊，防火墻不能防止。防火墻技術(shù)概述15防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。當(dāng)有些表面看來無害的數(shù)據(jù)郵寄或拷貝到內(nèi)部網(wǎng)的主機(jī)上并被執(zhí)行時(shí)，可能會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)式的攻擊。（數(shù)據(jù)驅(qū)動(dòng)攻擊是通過向某個(gè)程序發(fā)送數(shù)據(jù)，以產(chǎn)生非預(yù)期結(jié)果的攻擊，通常為攻擊者給出訪問目標(biāo)系統(tǒng)的權(quán)限，數(shù)據(jù)驅(qū)動(dòng)攻擊分為緩沖區(qū)溢出攻擊、輸入驗(yàn)證攻擊、同步漏洞攻擊、信任

10、漏洞攻擊等。 ）防火墻不能防止內(nèi)部的泄密行為。防火墻內(nèi)部的一個(gè)合法用戶主動(dòng)泄密，防火墻是無能為力的。防火墻不能防止本身的安全漏洞的威脅。防火墻保護(hù)別人有時(shí)卻無法保護(hù)自己，目前還沒有廠商絕對(duì)保證防火墻不會(huì)存在安全漏洞。因此對(duì)防火墻也必須提供某種安全保護(hù)。防火墻技術(shù)概述16由于防火墻的局限性，因此僅在內(nèi)部網(wǎng)絡(luò)入口處設(shè)置防火墻系統(tǒng)不能有效地保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的安全。而入侵檢測(cè)系統(tǒng)(Intrusion Detection System：IDS)可以彌補(bǔ)防火墻的不足，它為網(wǎng)絡(luò)提供實(shí)時(shí)的監(jiān)控，并且在發(fā)現(xiàn)入侵的初期采取相應(yīng)的防護(hù)手段。IDS系統(tǒng)作為必要附加手段，已經(jīng)為大多數(shù)組織機(jī)構(gòu)的安全構(gòu)架所接受。防火墻技術(shù)概

11、述防火墻的設(shè)計(jì)策略 防火墻一般執(zhí)行以下兩種基本設(shè)計(jì)策略中的一種。（1）除非明確不允許，否則允許某種服務(wù)。（2）除非明確允許，否則將禁止某種服務(wù)。防火墻的安全策略 研制和開發(fā)一個(gè)有效的防火墻，首先要設(shè)計(jì)和制定一個(gè)有效的安全策略。安全策略應(yīng)包含以下主要內(nèi)容：（1）用戶賬號(hào)策略；（2）用戶權(quán)限策略；（3）信任關(guān)系策略；（4）包過慮策略；（5）認(rèn)證策略； （6）簽名策略；（7）數(shù)據(jù)加密策略； （8）密鑰分配策略；（9）審計(jì)策略。1用戶賬號(hào)策略2用戶權(quán)限策略3信任關(guān)系策略單向信任關(guān)系 雙向信任關(guān)系 多重信任關(guān)系4包過慮策略這里主要從以下幾個(gè)方面來討論包過濾策略： 包過濾控制點(diǎn)； 包過濾操作過程； 包過濾

12、規(guī)則； 防止兩類不安全設(shè)計(jì)的措施； 對(duì)特定協(xié)議包的過濾。5認(rèn)證、簽名和數(shù)據(jù)加密策略6密鑰分配策略7審計(jì)策略審計(jì)是用來記錄如下事件：（1）哪個(gè)用戶訪問哪個(gè)對(duì)象；（2）用戶的訪問類型；（3）訪問過程是否成功。23第5章 防火墻技術(shù) 防火墻技術(shù)概述防火墻的分類新一代防火墻的主要技術(shù)防火墻體系結(jié)構(gòu)防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢(shì)防火墻的選購(gòu)和使用防火墻產(chǎn)品介紹防火墻的分類組成組件：硬件防火墻、軟件防火墻、芯片防火墻實(shí)現(xiàn)平臺(tái)：windows、linux、unix保護(hù)對(duì)象：主機(jī)防火墻、網(wǎng)絡(luò)防火墻網(wǎng)絡(luò)性能：百兆防火墻、千兆防火墻功能和技術(shù)：主機(jī)防火墻、病毒防火墻、智能防火墻體系結(jié)構(gòu)：包過濾防火墻、應(yīng)用層代理、電路級(jí)

13、網(wǎng)關(guān)、地址翻譯防火墻、狀態(tài)防火墻2425防火墻的分類按組成結(jié)構(gòu)分類：目前普遍應(yīng)用的防火墻按組成結(jié)構(gòu)可分為以下三種。軟件防火墻：網(wǎng)絡(luò)版的軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上，它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持，一般來說這臺(tái)計(jì)算機(jī)就是整個(gè)內(nèi)部網(wǎng)絡(luò)的網(wǎng)關(guān)。軟件防火墻就像其他的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用。26硬件防火墻：這里說的硬件防火墻是針對(duì)芯片級(jí)防火墻來說的。它們最大的差別在于是否基于專用的硬件平臺(tái)。目前市場(chǎng)上大多數(shù)防火墻都是這種所謂的硬件防火墻，它們都基于PC架構(gòu)，就是說，它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構(gòu)計(jì)算機(jī)上運(yùn)行一些經(jīng)過裁剪和簡(jiǎn)化的操作系統(tǒng)，最

14、常用的有UNIX、Linux和FreeBSD系統(tǒng)。防火墻的分類27芯片級(jí)防火墻：基于專門的硬件平臺(tái)，核心部分就是ASIC芯片，所有的功能都集成做在芯片上。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強(qiáng)，性能更高。防火墻的分類28三種類型防火墻比較由于軟件防火墻和硬件防火墻的結(jié)構(gòu)是運(yùn)行于一定的操作系統(tǒng)之上，就決定了它的功能是可以隨著客戶的實(shí)際需要而做相應(yīng)調(diào)整的，這一點(diǎn)比較靈活。從性能上來說，多添加一個(gè)擴(kuò)展功能就會(huì)對(duì)防火墻處理數(shù)據(jù)的性能產(chǎn)生影響，添加的擴(kuò)展功能越多，防火墻的性能就下降的越快。防火墻的分類29軟件防火墻和硬件防火墻的安全性很大程度上決定于操作系統(tǒng)自身的安全性。無論

15、是UNIX、Linux還是FreeBSD系統(tǒng)，都或多或少存在漏洞，一旦被人取得了控制權(quán)，將可以隨意修改防火墻上的策略和訪問權(quán)限，進(jìn)入內(nèi)網(wǎng)進(jìn)行任意破壞，將危及整個(gè)內(nèi)網(wǎng)的安全。芯片級(jí)防火墻不存在這個(gè)問題，自身有很好的安全保護(hù)，所以較其他類型的防火墻安全性高一些。防火墻的分類30芯片級(jí)防火墻專有的ASIC芯片，促使它們比其他種類的防火墻速度更快，處理能力更強(qiáng)。專用硬件和軟件的結(jié)合提供了線速處理、深層次信息包檢查、堅(jiān)固的加密、復(fù)雜內(nèi)容和行為掃描功能的優(yōu)化等，不會(huì)在網(wǎng)絡(luò)流量的處理上出現(xiàn)瓶頸。采用PC架構(gòu)的硬件防火墻技術(shù)在百兆防火墻上取得了很大的成功，但由于CPU處理能力和PCI總線速度的制約，在實(shí)際應(yīng)用

16、中，尤其在小包情況下，這種結(jié)構(gòu)的千兆防火墻遠(yuǎn)遠(yuǎn)達(dá)不到千兆的轉(zhuǎn)發(fā)速度，難以滿足千兆骨干網(wǎng)絡(luò)的應(yīng)用要求。目前使用芯片級(jí)防火墻技術(shù)成為實(shí)現(xiàn)千兆防火墻的主要選擇。防火墻的分類31按采用技術(shù)分類：常見防火墻按采用的技術(shù)分類主要有包過濾防火墻、代理防火墻和狀態(tài)監(jiān)測(cè)防火墻，每種防火墻都有各自的優(yōu)缺點(diǎn)。防火墻的分類32 包過濾防火墻包過濾（Packet Filtering）是第一代防火墻技術(shù)。其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)，它工作在OSI模型的網(wǎng)絡(luò)層。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)模瑪?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息，如數(shù)據(jù)的IP源地址、IP目標(biāo)地址、封裝協(xié)議(TC

17、P、UDP、ICMP等)、TCP/UDP源端口和目標(biāo)端口等。 防火墻的分類33包過濾操作通常在選擇路由的同時(shí)對(duì)數(shù)據(jù)包進(jìn)行過濾(通常是對(duì)從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的包進(jìn)行過濾)。包過濾這個(gè)操作可以在路由器上進(jìn)行，也可以在網(wǎng)橋，甚至在一個(gè)單獨(dú)的主機(jī)上進(jìn)行。傳統(tǒng)的包過濾只是與規(guī)則表進(jìn)行匹配。防火墻的IP包過濾，主要是根據(jù)一個(gè)有固定排序的規(guī)則鏈過濾，其中的每個(gè)規(guī)則包含著IP地址、端口、傳輸方向、分包、協(xié)議等多項(xiàng)內(nèi)容。同時(shí)，一般防火墻的包過濾的過濾規(guī)則是在啟動(dòng)時(shí)配置好的，只有系統(tǒng)管理員才可以修改，是靜態(tài)存在的，稱為靜態(tài)過濾規(guī)則。 防火墻的分類34有些防火墻采用了基于連接狀態(tài)的檢查，將屬于同一連接的所有包作為一

18、個(gè)整體的數(shù)據(jù)流看待，通過規(guī)則表與連接狀態(tài)表的共同配合進(jìn)行檢查，稱為動(dòng)態(tài)過濾規(guī)則。包過濾類型的防火墻要遵循的一條基本原則是“最小特權(quán)原則”，即明確允許管理員指定希望通過的數(shù)據(jù)包，而禁止其他的數(shù)據(jù)包。防火墻的分類包過濾模型 包過濾一般要檢查下面幾項(xiàng)：（1）IP源地址；（2）IP目的地址；（3）協(xié)議類型（TCP包、UDP包和ICMP包）；（4）TCP或UDP的源端口；（5）TCP或UDP的目的端口；（6）ICMP消息類型；（7）TCP報(bào)頭中的ACK位。 另外，TCP的序列號(hào)、確認(rèn)號(hào)，IP校驗(yàn)以及分段偏移也往往是要檢查的選項(xiàng)。 在決定包過濾防火墻是否返回ICMP錯(cuò)誤代碼時(shí)，應(yīng)考慮以下幾點(diǎn)。 防火墻應(yīng)該

19、發(fā)送什么消息。 是否負(fù)擔(dān)得起生成和返回錯(cuò)誤代碼的高額費(fèi)用。 返回錯(cuò)誤代碼能使得侵襲者得到很多有關(guān)你發(fā)送的數(shù)據(jù)包過濾信息。 什么錯(cuò)誤代碼對(duì)你的網(wǎng)站有意義。一個(gè)可靠的分組過濾防火墻依賴于規(guī)則集第一條規(guī)則：主機(jī)任何端口訪問任何主機(jī)的任何端口，基于TCP協(xié)議的數(shù)據(jù)包都允許通過。第二條規(guī)則：任何主機(jī)的20端口訪問主機(jī)的任何端口，基于TCP協(xié)議的數(shù)據(jù)包允許通過。第三條規(guī)則：任何主機(jī)的20端口訪問主機(jī)小于1024的端口，如果基于TCP協(xié)議的數(shù)據(jù)包都禁止通過。組序號(hào)動(dòng)作源IP目的IP源端口目的端口協(xié)議類型1允許*TCP2允許*20*TCP3禁止*20102323任意拒絕B入TCP231023是任意C出任意TC

20、P102323任意允許D入任意TCP231023是允許E出任意TCP102325任意允許F入任意TCP251023是允許G入任意TCP102325任意允許H出任意TCP251023任意允許I出任意TCP102380任意允許J入任意TCP801023是允許K入TCP102380任意允許L出TCP801023任意允許M雙向任意任意任意任意禁止41規(guī)則A、B用來阻止你的內(nèi)部主機(jī)以Telnet服務(wù)形式聯(lián)接到站，規(guī)則C、D允許你的內(nèi)部主機(jī)以Telnet方式訪問Internet上的任何主機(jī)。這似乎和我們的政策發(fā)生了矛盾，但事實(shí)上并部矛盾。在前面提到過規(guī)則的次序是十分重要的，而且防火墻實(shí)施規(guī)則的特點(diǎn)是當(dāng)防火

21、墻找到匹配的規(guī)則后就不再向下應(yīng)用其他的規(guī)則，所以當(dāng)內(nèi)部網(wǎng)主機(jī)訪問站點(diǎn)，并試圖通過Telnet建立聯(lián)接時(shí)，這個(gè)聯(lián)接請(qǐng)求會(huì)被規(guī)則A阻塞，因?yàn)橐?guī)則A正好與之相匹配。至于規(guī)則B，實(shí)際上并非毫無用處，規(guī)則B用來限制站點(diǎn) Telnet服務(wù)的返回包。事實(shí)上，內(nèi)部主機(jī)試圖建立Telnet聯(lián)接時(shí)就會(huì)被阻塞，一般不會(huì)存在返回包，但高明的用戶也可能想出辦法使聯(lián)接成功，那時(shí)B規(guī)則也會(huì)有用，總之，有些冗余對(duì)安全是有好處的。當(dāng)用戶以Telnet方式訪問除之外的其他站點(diǎn)時(shí)，規(guī)則A、B不匹配，所以應(yīng)用C、D規(guī)則，內(nèi)部主機(jī)被允許建立聯(lián)接，返回包也被允許入站。 規(guī)則E、F用于允許出站的SMTP服務(wù)，規(guī)則G、H用于允許入站的SMT

22、P服務(wù)，SMTP服務(wù)的端口是25。 I和J規(guī)則用于允許出站的WWW服務(wù)，K、L規(guī)則用于允許網(wǎng)絡(luò)的主機(jī)訪問你的網(wǎng)絡(luò)WWW服務(wù)器。規(guī)則M是默認(rèn)項(xiàng)，它實(shí)現(xiàn)的準(zhǔn)則是“沒有明確允許就表示禁止”。4243包過濾防火墻的優(yōu)點(diǎn)一個(gè)包過濾防火墻能協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò) 。一個(gè)單個(gè)的、恰當(dāng)放置的包過濾防火墻有助于保護(hù)整個(gè)網(wǎng)絡(luò)，這是數(shù)據(jù)包過濾的主要優(yōu)點(diǎn)。數(shù)據(jù)包過濾對(duì)用戶透明。數(shù)據(jù)包過濾不要求任何自定義軟件或者客戶機(jī)配置，也不要求用戶任何特殊的訓(xùn)練或者操作。當(dāng)數(shù)據(jù)包過濾防火墻決定讓數(shù)據(jù)包通過時(shí)，它與普通路由器沒什么區(qū)別。較強(qiáng)的“透明度”是包過濾的一大優(yōu)勢(shì)。防火墻的分類44速度快、效率高。包過濾防火墻只檢查報(bào)頭相應(yīng)的字段，一

23、般不查看數(shù)據(jù)報(bào)的內(nèi)容，而且某些核心部分是由專用硬件實(shí)現(xiàn)的，故其轉(zhuǎn)發(fā)速度快、效率較高。價(jià)格較低。相對(duì)于其他類型的防火墻，包過濾防火墻的價(jià)格較低。防火墻的分類45包過濾防火墻的缺點(diǎn)不能徹底防止地址欺騙。大多數(shù)包過濾防火墻都是基于源IP地址、目的IP地址而進(jìn)行過濾的。而IP地址的偽造是很容易、很普遍的。包過濾防火墻在這點(diǎn)上大都無能為力。即使按MAC地址進(jìn)行綁定，也是不可信的。對(duì)于一些安全性要求較高的網(wǎng)絡(luò)，包過濾防火墻是不能勝任的。一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾。如RPC、X-Window等。防火墻的分類46無法執(zhí)行某些安全策略。包過濾防火墻上的信息不能完全滿足用戶對(duì)安全策略的需求。例如，對(duì)于數(shù)據(jù)包的

24、來源，包過濾防火墻只能限制主機(jī)而不能限制用戶；對(duì)于數(shù)據(jù)包的去向，包過濾防火墻不能通過端口號(hào)對(duì)高級(jí)協(xié)議強(qiáng)行限制。數(shù)據(jù)包過濾工具存在很多局限性。如數(shù)據(jù)包過濾規(guī)則難以配置、過濾規(guī)則冗長(zhǎng)而復(fù)雜不易理解和管理、規(guī)則的正確性測(cè)試?yán)щy、隨過濾數(shù)目的增加防火墻性能下降、沒有用戶的使用記錄以及無黑客的攻擊記錄。 防火墻的分類47包過濾防火墻技術(shù)雖然能確保一定的安全保護(hù)，且也有許多優(yōu)點(diǎn)，但是包過濾防火墻技術(shù)，本身存在較多缺陷，不能提供較高的安全性。在實(shí)際應(yīng)用中，現(xiàn)在很少把包過濾技術(shù)當(dāng)作單獨(dú)的安全解決方案，而是把它與其他防火墻技術(shù)揉合在一起使用。防火墻的分類48代理防火墻：代理防火墻是一種較新型的防火墻技術(shù)，它分為

25、應(yīng)用層網(wǎng)關(guān)防火墻和電路層網(wǎng)關(guān)防火墻。代理防火墻通過編程來弄清用戶應(yīng)用層的流量，并能在用戶層和應(yīng)用協(xié)議層提供訪問控制。代理防火墻記錄所有應(yīng)用程序的訪問情況，記錄和控制所有進(jìn)出流量的能力是代理防火墻的主要優(yōu)點(diǎn)之一。代理防火墻一般是運(yùn)行代理服務(wù)器的主機(jī)。防火墻的分類49代理服務(wù)器指代表客戶處理與服務(wù)器連接的請(qǐng)求的程序。當(dāng)代理服務(wù)器接收到用戶對(duì)某站點(diǎn)的訪問請(qǐng)求后會(huì)檢查該請(qǐng)求是否符合規(guī)則，如果規(guī)則允許用戶訪問該站點(diǎn)的話，代理服務(wù)器會(huì)像一個(gè)客戶一樣去那個(gè)站點(diǎn)取回所需信息再轉(zhuǎn)發(fā)給客戶。代理服務(wù)器通常都擁有一個(gè)高速緩存，這個(gè)緩存存儲(chǔ)著用戶經(jīng)常訪問的站點(diǎn)內(nèi)容，在下一個(gè)用戶要訪問同一站點(diǎn)時(shí)，服務(wù)器就不用重復(fù)地獲取

26、相同的內(nèi)容，直接將緩存內(nèi)容發(fā)出即可，既節(jié)約了時(shí)間也節(jié)約了網(wǎng)絡(luò)資源。防火墻的分類50代理服務(wù)器通常運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間，它對(duì)于客戶來說像是一臺(tái)服務(wù)器，而對(duì)于外界的服務(wù)器來說，它又是一臺(tái)客戶機(jī)。工作原理如圖所示。防火墻的分類51代理的工作方式防火墻的分類52應(yīng)用層網(wǎng)關(guān)型防火墻(應(yīng)用級(jí)代理)應(yīng)用層網(wǎng)關(guān)防火墻也就是傳統(tǒng)的代理型防火墻。應(yīng)用層網(wǎng)關(guān)型防火墻工作在OSI模型的應(yīng)用層，且針對(duì)特定的應(yīng)用層協(xié)議。它的核心技術(shù)就是代理服務(wù)器技術(shù)，它是基于軟件的，通常安裝在專用的服務(wù)器或工作站系統(tǒng)上。它適用于特定的互聯(lián)網(wǎng)服務(wù)，如超文本傳輸(HTTP)和遠(yuǎn)程文件傳輸(FTP)等。應(yīng)用級(jí)網(wǎng)關(guān)比單一的包過濾更為可靠，而且會(huì)詳

27、細(xì)地記錄所有的訪問狀態(tài)信息。防火墻的分類1應(yīng)用級(jí)代理 應(yīng)用級(jí)代理有兩種情況，一種是內(nèi)部網(wǎng)通過代理訪問外部網(wǎng)。另一種情況是，外部網(wǎng)通過代理訪問內(nèi)部網(wǎng)。 代理使得網(wǎng)絡(luò)管理員能夠?qū)崿F(xiàn)比包過濾路由器更嚴(yán)格的安全策略，它會(huì)對(duì)應(yīng)用程序的數(shù)據(jù)進(jìn)行校驗(yàn)以確保數(shù)據(jù)格式可以接受。 Telnet代理服務(wù) Internet客戶通過代理服務(wù)器訪問內(nèi)部網(wǎng)主機(jī)56但是應(yīng)用級(jí)網(wǎng)關(guān)也存在一些不足之處，首先它會(huì)使訪問速度變慢，因?yàn)樗辉试S用戶直接訪問網(wǎng)絡(luò)，而且應(yīng)用級(jí)網(wǎng)關(guān)需要對(duì)每一個(gè)特定的互聯(lián)網(wǎng)服務(wù)安裝相應(yīng)的代理服務(wù)軟件，用戶不能使用未被服務(wù)器支持的服務(wù)，對(duì)每一類服務(wù)要使用特殊的客戶端軟件，并且不是所有的互聯(lián)網(wǎng)應(yīng)用軟件都可以使用代

28、理服務(wù)器。 防火墻的分類57應(yīng)用層網(wǎng)關(guān)允許網(wǎng)絡(luò)管理員實(shí)施一個(gè)較包過濾更為嚴(yán)格的安全策略，為每一個(gè)期望的應(yīng)用服務(wù)在其網(wǎng)關(guān)上安裝專用的代碼(一個(gè)代理服務(wù))，同時(shí)，代理代碼也可以配置成支持一個(gè)應(yīng)用服務(wù)的某些特定的特性。對(duì)應(yīng)用服務(wù)的訪問都是通過訪問相應(yīng)的代理服務(wù)實(shí)現(xiàn)的，而不允許用戶直接登錄到應(yīng)用層網(wǎng)關(guān)。應(yīng)用層網(wǎng)關(guān)安全性的提高是以購(gòu)買網(wǎng)關(guān)硬件平臺(tái)的費(fèi)用為代價(jià)的。防火墻的分類58應(yīng)用層網(wǎng)關(guān)的好處在于代理服務(wù)限制了命令集合和內(nèi)部主機(jī)支持的服務(wù)。它授予網(wǎng)絡(luò)管理員對(duì)每一個(gè)服務(wù)的完全控制權(quán)。另外，應(yīng)用層網(wǎng)關(guān)安全性較好，支持強(qiáng)用戶認(rèn)證、提供詳細(xì)的日志信息以及較包過濾更易于配置和測(cè)試的過濾規(guī)則。應(yīng)用層網(wǎng)關(guān)的最大的局限

29、性在于它需要在訪問代理服務(wù)的系統(tǒng)上安裝特殊的軟件，此外速度相對(duì)比較慢。防火墻的分類59電路層網(wǎng)關(guān)防火墻：另一種類型的代理技術(shù)稱為電路層網(wǎng)關(guān)或TCP通道。在電路層網(wǎng)關(guān)中，包被提交用戶應(yīng)用層處理。電路層網(wǎng)關(guān)用來在兩個(gè)通信的終點(diǎn)之間轉(zhuǎn)換包。防火墻的分類60電路層網(wǎng)關(guān)工作在會(huì)話層。在兩主機(jī)首次建立TCP連接時(shí)創(chuàng)立一個(gè)電子屏障。它作為服務(wù)器接收外來請(qǐng)求，并轉(zhuǎn)發(fā)請(qǐng)求，與被保護(hù)的主機(jī)連接時(shí)則擔(dān)當(dāng)客戶機(jī)角色，起代理服務(wù)的作用。它監(jiān)視兩主機(jī)建立連接時(shí)的握手信息是否合乎邏輯，信號(hào)有效后網(wǎng)關(guān)僅復(fù)制、傳遞數(shù)據(jù)，而不進(jìn)行過濾。電路層網(wǎng)關(guān)中特殊的客戶程序只在初次連接時(shí)進(jìn)行安全協(xié)商控制，其后透明。只有懂得如何與該電路網(wǎng)關(guān)通

30、信的客戶機(jī)才能到達(dá)防火墻另一邊的服務(wù)器。 防火墻的分類61電路層網(wǎng)關(guān)防火墻的特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個(gè)終止代理服務(wù)器上的“鏈接”來實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。此外，代理服務(wù)也對(duì)過往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記，形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。防火墻的分類62電路層網(wǎng)關(guān)常用于向外連接，這時(shí)網(wǎng)絡(luò)管理員對(duì)其內(nèi)部用戶是信任的。電路層網(wǎng)關(guān)防火墻可以被設(shè)置成混合網(wǎng)關(guān)，對(duì)內(nèi)連接支持應(yīng)用層或代理服務(wù)，而對(duì)外連接支持電路層功能。這樣使得防火墻系統(tǒng)對(duì)于

31、要訪問Internet服務(wù)的內(nèi)部用戶來說使用起來很方便，由于連接似乎是起源于防火墻，因而可以隱藏受保護(hù)網(wǎng)絡(luò)的有關(guān)信息，又能提供保護(hù)內(nèi)部網(wǎng)絡(luò)免于外部攻擊的防火墻功能。防火墻的分類電路級(jí)網(wǎng)關(guān) Socks服務(wù)器 Socks是一種非常強(qiáng)大的電路級(jí)網(wǎng)關(guān)防火墻，它只中繼基于TCP的數(shù)據(jù)包65代理技術(shù)的優(yōu)點(diǎn)：代理易于配置。因?yàn)榇硎且粋€(gè)軟件，所以它較包過濾更易配置，配置界面十分友好。如果代理實(shí)現(xiàn)得好，可以對(duì)配置協(xié)議要求較低，從而避免了配置錯(cuò)誤。代理能生成各項(xiàng)記錄。因?yàn)榇砉ぷ髟趹?yīng)用層，它檢查各項(xiàng)數(shù)據(jù)，所以可以按一定準(zhǔn)則，讓代理生成各項(xiàng)日志、記錄。這些日志、記錄對(duì)于流量分析和安全檢驗(yàn)是十分重要和寶貴的。當(dāng)然，

32、也可以用于記費(fèi)等應(yīng)用。防火墻的分類66代理能靈活、完全地控制進(jìn)出流量和內(nèi)容。通過采取一定的措施，按照一定的規(guī)則，可以借助代理實(shí)現(xiàn)一整套的安全策略，比如可說控制“誰”、“什么”、“時(shí)間”、“地點(diǎn)”。代理能過濾數(shù)據(jù)內(nèi)容?？梢园岩恍┻^濾規(guī)則應(yīng)用于代理，讓它在高層實(shí)現(xiàn)過濾功能，例如文本過濾、圖像過濾(目前還未實(shí)現(xiàn)，但這是一個(gè)熱點(diǎn)研究領(lǐng)域)，預(yù)防病毒或掃描病毒等。防火墻的分類67代理能為用戶提供透明的加密機(jī)制。用戶通過代理進(jìn)出數(shù)據(jù)，可以讓代理完成加解密的功能，從而方便用戶，確保數(shù)據(jù)的機(jī)密性。這點(diǎn)在虛擬專用網(wǎng)中特別重要。代理可以廣泛地用于企業(yè)外部網(wǎng)中，提供較高安全性的數(shù)據(jù)通信。代理可以方便地與其他安全手段

33、集成。目前的安全問題解決方案很多，如認(rèn)證、授權(quán)、賬號(hào)、數(shù)據(jù)加密和安全協(xié)議等。如果把代理與這些手段聯(lián)合使用，將大大增加網(wǎng)絡(luò)安全性。這也是近期網(wǎng)絡(luò)安全的發(fā)展方向。 防火墻的分類68代理技術(shù)的缺點(diǎn)代理速度較包過濾慢。包過濾只是簡(jiǎn)單查看TCP/IP報(bào)頭，檢查特定的幾個(gè)域，不作詳細(xì)分析和記錄。而代理工作于應(yīng)用層，要檢查數(shù)據(jù)包的內(nèi)容，按特定的應(yīng)用協(xié)議(如HTTP)進(jìn)行審查、掃描數(shù)據(jù)包內(nèi)容，并進(jìn)行代理(轉(zhuǎn)發(fā)請(qǐng)求或響應(yīng))，故其速度較慢。代理對(duì)用戶不透明。許多代理要求客戶端作相應(yīng)改動(dòng)或安裝定制客戶端軟件，這給用戶增加了不透明度。為龐大的互異網(wǎng)絡(luò)的每一臺(tái)內(nèi)部主機(jī)安裝和配置特定的應(yīng)用程序既耗費(fèi)時(shí)間，又容易出錯(cuò)，原因

34、是硬件平臺(tái)和操作系統(tǒng)都存在差異。防火墻的分類69對(duì)于每項(xiàng)服務(wù)代理可能要求不同的服務(wù)器?？赡苄枰獮槊宽?xiàng)協(xié)議設(shè)置一個(gè)不同的代理服務(wù)器，因?yàn)榇矸?wù)器不得不理解協(xié)議以便判斷什么是允許的和不允許的，并且還裝扮一個(gè)對(duì)真實(shí)服務(wù)器來說是客戶、對(duì)代理客戶來說是服務(wù)器的角色。挑選、安裝和配置所有這些不同的服務(wù)器也可能是一項(xiàng)較大的工作。除了一些為代理而設(shè)的服務(wù)外，代理服務(wù)器要求對(duì)客戶、過程之一或兩者進(jìn)行限制，每一種限制都有不足之處，由于這些限制，代理應(yīng)用就不能像非代理應(yīng)用運(yùn)行得那樣好，往往可能曲解協(xié)議說明，并且缺少靈活性。防火墻的分類70代理服務(wù)不能保證免受所有協(xié)議弱點(diǎn)的限制。作為一個(gè)安全問題的解決方法，代理取決

35、于對(duì)協(xié)議中哪些是安全操作的判斷能力。每個(gè)應(yīng)用層協(xié)議，都或多或少存在一些安全問題，對(duì)于一個(gè)代理服務(wù)器來說，要徹底避免這些安全隱患幾乎是不可能的，除非關(guān)掉這些服務(wù)。代理不能改進(jìn)底層協(xié)議的安全性。因?yàn)榇砉ぷ饔赥CP/IP之上，屬于應(yīng)用層，所以它就不能改善底層通信協(xié)議的能力。如IP欺騙、SYN泛濫、ICMP欺騙和一些拒絕服務(wù)的攻擊。而這些方面，對(duì)于一個(gè)網(wǎng)絡(luò)的健壯性是相當(dāng)重要的。防火墻的分類71狀態(tài)監(jiān)測(cè)防火墻狀態(tài)監(jiān)測(cè)（Stateful Inspection）防火墻安全特性非常好，它采用了一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎，稱之為檢測(cè)模塊。檢測(cè)模塊在不影響網(wǎng)絡(luò)正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法

36、對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測(cè)，抽取部分?jǐn)?shù)據(jù)，即狀態(tài)信息，并動(dòng)態(tài)地保存起來作為以后指定安全決策的參考。防火墻的分類72狀態(tài)包檢查的邏輯流程74監(jiān)測(cè)型防火墻技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè)，在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上，監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入。同時(shí)，這種檢測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器，這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中，不僅能夠檢測(cè)來自網(wǎng)絡(luò)外部的攻擊，同時(shí)對(duì)來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì)，在針對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊中，有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部。因此，監(jiān)測(cè)型防火墻不但超越了傳統(tǒng)防火墻的

37、定義，而且在安全性上也超越了前幾代產(chǎn)品。防火墻的分類75767778狀態(tài)監(jiān)測(cè)防火墻的優(yōu)點(diǎn)監(jiān)測(cè)模塊支持多種協(xié)議和應(yīng)用程序，并可以很容易地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。監(jiān)測(cè)RPC和UDP之類的端口信息，而包過濾和代理網(wǎng)關(guān)都不支持此類端口。性能堅(jiān)固。防火墻的分類79狀態(tài)監(jiān)視器防火墻的缺點(diǎn)配置非常復(fù)雜。會(huì)降低網(wǎng)絡(luò)的速度。防火墻的分類防火墻的能力包 過 濾 器代 理狀 態(tài) 檢 查傳輸?shù)男畔⒉糠植糠帜軅鬏敔顟B(tài)不能部分能應(yīng)用的狀態(tài)不能能能信息處理部分能能表9.3防火墻技術(shù)比較表81第5章 防火墻技術(shù) 防火墻技術(shù)概述防火墻的分類新一代防火墻的主要技術(shù)防火墻體系結(jié)構(gòu)防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢(shì)防火墻的選購(gòu)和使用防火墻產(chǎn)品介

38、紹82雙端口或三端口的結(jié)構(gòu)：新一代防火墻產(chǎn)品具有兩個(gè)或三個(gè)獨(dú)立的網(wǎng)卡，內(nèi)外兩個(gè)網(wǎng)卡可不作IP轉(zhuǎn)化而串接于內(nèi)部網(wǎng)與外部網(wǎng)之間，另一個(gè)網(wǎng)卡可專用于對(duì)服務(wù)器的安全保護(hù)。透明的訪問方式：以前的防火墻在訪問方式上或者要求用戶進(jìn)行系統(tǒng)登錄，或者要求用戶安裝防火墻的客戶端軟件。新一代防火墻利用了透明的代理系統(tǒng)技術(shù)，從而降低了系統(tǒng)登錄固有的安全風(fēng)險(xiǎn)和出錯(cuò)概率。新一代防火墻的主要技術(shù)83靈活的代理系統(tǒng) ：代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊。新一代防火墻采用了兩種代理機(jī)制，一種用于代理從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接，另一種用于代理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)技術(shù)來解

39、決，后者采用非保密的用戶定制代理或保密的代理系統(tǒng)技術(shù)來解決。 新一代防火墻的主要技術(shù)84多級(jí)的過濾技術(shù)：為保證系統(tǒng)的安全性和防護(hù)水平，新一代防火墻采用了三級(jí)過濾措施，并輔以鑒別手段。在分組過濾一級(jí)，能過濾掉所有的源路由分組和假冒的IP源地址；在應(yīng)用級(jí)網(wǎng)關(guān)一級(jí)，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測(cè)Internet提供的所用通用服務(wù)；在電路網(wǎng)關(guān)一級(jí)，實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)的透明連接，并對(duì)服務(wù)的通行實(shí)行嚴(yán)格控制。 新一代防火墻的主要技術(shù)85網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(NAT) 新一代防火墻利用NAT技術(shù)能透明地對(duì)所有內(nèi)部地址作轉(zhuǎn)換，使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時(shí)允許內(nèi)部網(wǎng)絡(luò)使用自己定制的I

40、P地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個(gè)主機(jī)的通信，確保每個(gè)分組送往正確的地址。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對(duì)于用戶來說是透明的，不需要進(jìn)行設(shè)置。有些防火墻提供了“內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)”，“外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)”的雙向的NAT功能。新一代防火墻的主要技術(shù)地址翻譯 圖9.32 將內(nèi)部地址翻譯成網(wǎng)關(guān)地址 地址翻譯可以有多種模式，主要有如下幾種。（1）靜態(tài)翻譯 （2）動(dòng)態(tài)翻譯（3）端口轉(zhuǎn)換（4）負(fù)載平衡翻譯（5）網(wǎng)絡(luò)冗余翻譯8990雙重DNS 在域名服務(wù)方面，新一代防火墻采用兩種獨(dú)立的域名服務(wù)器，一種是內(nèi)部DNS服務(wù)器，主要處理內(nèi)部網(wǎng)絡(luò)的DNS信息，另一種是外部DNS服務(wù)器，專門用于處理機(jī)構(gòu)內(nèi)部向Internet

41、提供的部分DNS信息。新一代防火墻的主要技術(shù)91安全的應(yīng)用服務(wù) 由于是直接串連在網(wǎng)絡(luò)中，防火墻必須支持用戶在Internet互連的所有服務(wù)，同時(shí)還要防止與Internet服務(wù)有關(guān)的安全漏洞。在匿名FTP方面，服務(wù)器只提供對(duì)有限的受保護(hù)的部份目錄的只讀訪問。在WWW服務(wù)器中，只支持靜態(tài)的網(wǎng)頁，而不允許圖形或CGI代碼等在防火墻內(nèi)運(yùn)行。SMTP與POP郵件服務(wù)器要對(duì)所有進(jìn)、出防火墻的郵件作處理，并利用郵件映射與標(biāo)頭剝除的方法隱去內(nèi)部的郵件環(huán)境。Telnet服務(wù)器對(duì)用戶連接的識(shí)別作專門處理。網(wǎng)絡(luò)新聞服務(wù)則為接收來自ISP的新聞開設(shè)了專門的磁盤空間。新一代防火墻的主要技術(shù)92安全服務(wù)器網(wǎng)絡(luò)(Secur

42、ity Server Network)第四代防火墻采用分別保護(hù)的策略對(duì)用戶上網(wǎng)的對(duì)外服務(wù)器實(shí)施保護(hù)。它將對(duì)外服務(wù)器作為一個(gè)獨(dú)立網(wǎng)絡(luò)處理，對(duì)外服務(wù)器既是內(nèi)部網(wǎng)的一部分，又與內(nèi)部網(wǎng)關(guān)完全隔離。這就是安全服務(wù)器網(wǎng)絡(luò)（SSN）技術(shù)，對(duì)SSN上的主機(jī)既可單獨(dú)管理，也可設(shè)置成通過FTP、Telnet等方式從內(nèi)部網(wǎng)上管理。新一代防火墻的主要技術(shù)93SSN的方法提供的安全性要比傳統(tǒng)的隔離區(qū)(DMZ)方法好，因?yàn)镾SN與外部網(wǎng)之間有防火墻保護(hù)，SSN與內(nèi)部網(wǎng)之間也有防火墻的保護(hù)，而DMZ只是一種在內(nèi)、外部網(wǎng)絡(luò)網(wǎng)關(guān)之間存在的一種防火墻方式。一旦SSN受破壞，內(nèi)部網(wǎng)絡(luò)仍會(huì)處于防火墻的保護(hù)之下，而一旦DMZ受到破壞，

43、內(nèi)部網(wǎng)絡(luò)便暴露于攻擊之下。 新一代防火墻的主要技術(shù)94用戶鑒別與加密為了降低防火墻產(chǎn)品在Telnet、FTP等服務(wù)和遠(yuǎn)程管理上的安全風(fēng)險(xiǎn)，鑒別功能必不可少，新一代防火墻采用一次性使用的口令字系統(tǒng)來作為用戶的鑒別手段，并實(shí)現(xiàn)了對(duì)郵件的加密。 新一代防火墻的主要技術(shù)95用戶定制服務(wù) 為滿足特定用戶的特定需求，新一代防火墻在提供眾多服務(wù)的同時(shí)，還為用戶定制提供支持，這類選項(xiàng)有通用TCP、出站UDP、FTP以及SMTP等類，如果某一用戶需要建立一個(gè)數(shù)據(jù)庫的代理，便可利用這些支持，方便設(shè)置。 新一代防火墻的主要技術(shù)96審計(jì)和告警 新一代防火墻產(chǎn)品的審計(jì)和告警功能十分健全，日志文件包括一般信息、內(nèi)核信息、

44、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理日志、進(jìn)站代理、FTP代理、出站代理、郵件服務(wù)器和域名服務(wù)器等。 告警功能以發(fā)出郵件、聲音等多種方式報(bào)警。 此外新一代防火墻還在網(wǎng)絡(luò)診斷，數(shù)據(jù)備份與保全等方面具有特色。新一代防火墻的主要技術(shù)97第5章 防火墻技術(shù) 防火墻技術(shù)概述防火墻的分類新一代防火墻的主要技術(shù)防火墻體系結(jié)構(gòu)防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢(shì)防火墻的選購(gòu)和使用防火墻產(chǎn)品介紹98防火墻體系結(jié)構(gòu)屏蔽路由器(Screening Router)結(jié)構(gòu)屏蔽路由器結(jié)構(gòu)是防火墻最基本的結(jié)構(gòu)。它可以用路由器實(shí)現(xiàn)，也可以用主機(jī)來實(shí)現(xiàn)。屏蔽路由器作為內(nèi)外連接的惟

45、一通道，要求所有的報(bào)文都必須在此通過檢查。路由器上可安裝基于IP層的報(bào)文過濾軟件，實(shí)現(xiàn)報(bào)文過濾功能。許多路由器本身帶有報(bào)文過濾配置選項(xiàng)，但一般比較簡(jiǎn)單。屏蔽路由器對(duì)用戶透明，而且設(shè)置靈活，所以應(yīng)用比較廣泛。這種體系結(jié)構(gòu)存在以下缺點(diǎn)：99屏蔽路由器示意圖防火墻體系結(jié)構(gòu)100沒有或只有很簡(jiǎn)單的日志記錄功能，網(wǎng)絡(luò)管理員很難確定網(wǎng)絡(luò)系統(tǒng)是否正在被攻擊或已經(jīng)被入侵。規(guī)則表隨著應(yīng)用的深化會(huì)變得大且復(fù)雜。依靠一個(gè)單一的部件來保護(hù)網(wǎng)絡(luò)系統(tǒng)，一旦部件出現(xiàn)問題，會(huì)失去保護(hù)作用，而用戶可能無察覺。防火墻體系結(jié)構(gòu)101 雙穴主機(jī)網(wǎng)關(guān)(Dual Homed Gateway)結(jié)構(gòu)這種配置是用一臺(tái)裝有兩塊網(wǎng)卡的堡壘主機(jī)做防

46、火墻。兩塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連，每塊網(wǎng)卡都有獨(dú)立的IP地址。堡壘主機(jī)上運(yùn)行著防火墻軟件(應(yīng)用層網(wǎng)關(guān))，可以轉(zhuǎn)發(fā)應(yīng)用程序，也可提供服務(wù)等功能。防火墻體系結(jié)構(gòu)102雙穴主機(jī)網(wǎng)關(guān)優(yōu)于屏蔽路由器的地方是堡壘主機(jī)的系統(tǒng)軟件可用于維護(hù)系統(tǒng)日志、硬件拷貝日志或遠(yuǎn)程日志。這對(duì)于日后的檢查非常有用，但這不能幫助網(wǎng)絡(luò)管理者確認(rèn)內(nèi)網(wǎng)中哪些主機(jī)可能已被黑客入侵。雙穴主機(jī)網(wǎng)關(guān)的缺點(diǎn)是一旦入侵者侵入堡壘主機(jī)并使其只具有路由功能，則任何網(wǎng)上用戶均可以隨便訪問內(nèi)部網(wǎng)絡(luò)。 防火墻體系結(jié)構(gòu)103雙穴主機(jī)示意圖防火墻體系結(jié)構(gòu)104屏蔽主機(jī)網(wǎng)關(guān)(Screened Host Gateway)結(jié)構(gòu)屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)也很安全，

47、因此應(yīng)用廣泛。屏蔽主機(jī)網(wǎng)關(guān)包括一個(gè)分組過濾路由器連接外部網(wǎng)絡(luò)，同時(shí)一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)立過濾規(guī)則，并使這個(gè)堡壘主機(jī)設(shè)置成從外部網(wǎng)絡(luò)惟一可直接到達(dá)的主機(jī)，這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。防火墻體系結(jié)構(gòu)105屏蔽主機(jī)示意圖 防火墻體系結(jié)構(gòu)106屏蔽子網(wǎng)(Screened Subnet)結(jié)構(gòu)這種方法是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)，用兩臺(tái)分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。在很多實(shí)現(xiàn)過程中，兩個(gè)分組過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè)DMZ區(qū)。防火墻體系結(jié)構(gòu)107內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問被屏蔽子網(wǎng)，但禁止它們穿過被屏蔽子

48、網(wǎng)通信，WWW、FTP等服務(wù)器可放在DMZ中。有的屏蔽子網(wǎng)中還設(shè)有一堡壘主機(jī)作為惟一可訪問點(diǎn)，支持終端交互或作為應(yīng)用網(wǎng)關(guān)代理。防火墻體系結(jié)構(gòu)108屏蔽子網(wǎng)示意圖防火墻體系結(jié)構(gòu) 墻根據(jù)堡壘主機(jī)和包過濾器的各種組合，基于屏蔽子網(wǎng)的防火墻系統(tǒng)衍生出了一些派生結(jié)構(gòu)體系。（1）合并“非軍事區(qū)”的外部路由器和堡壘主機(jī)的結(jié)構(gòu)系統(tǒng)。使用合并外部路由器和堡壘主機(jī)體系結(jié)構(gòu) （2）合并DMZ的內(nèi)部路由器和外部路由器結(jié)構(gòu)使用合并內(nèi)部路由器和外部路由器的體系結(jié)構(gòu) （3）使用多臺(tái)堡壘主機(jī)的體系結(jié)構(gòu) 兩個(gè)堡壘主機(jī)和兩個(gè)“非軍事區(qū)” 犧牲主機(jī)結(jié)構(gòu) （4）使用多臺(tái)外部路由器的體系結(jié)構(gòu)，如圖9.17所示。使用多臺(tái)外部路由器的體系

49、結(jié)構(gòu)114115116在構(gòu)造防火墻的實(shí)際應(yīng)用中，一般很少采用單一的技術(shù)，通常采用多種技術(shù)的組合。這種組合主要取決于向用戶提供什么樣的服務(wù)，能接受什么等級(jí)的風(fēng)險(xiǎn)。采用哪種技術(shù)主要取決于經(jīng)費(fèi)，投資的大小或技術(shù)人員的技術(shù)、時(shí)間等因素。應(yīng)該根據(jù)所購(gòu)買防火墻軟件的要求、硬件環(huán)境所能提供的支持，綜合考慮選用最合適的防火墻體系結(jié)構(gòu)，最大限度地發(fā)揮防火墻軟件的功能，實(shí)現(xiàn)對(duì)信息的安全保護(hù)。防火墻體系結(jié)構(gòu)117第5章 防火墻技術(shù) 防火墻技術(shù)概述防火墻的分類新一代防火墻的主要技術(shù)防火墻體系結(jié)構(gòu)防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢(shì)防火墻的選購(gòu)和使用防火墻產(chǎn)品介紹118防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢(shì)優(yōu)良的性能新一代防火墻系統(tǒng)不僅應(yīng)該能更

50、好地保護(hù)防火墻后面內(nèi)部網(wǎng)絡(luò)的安全，還應(yīng)該具有更為優(yōu)良的整體性能。傳統(tǒng)的代理型防火墻雖然可以提供較高級(jí)別的安全保護(hù)，但是同時(shí)它也成為限制網(wǎng)絡(luò)帶寬的瓶頸，這極大地制約了在網(wǎng)絡(luò)中的實(shí)際應(yīng)用。數(shù)據(jù)通過率是表示防火墻性能的參數(shù)，由于不同防火墻的不同功能具有不同的工作量和系統(tǒng)資源要求，因此數(shù)據(jù)在通過防火墻時(shí)會(huì)產(chǎn)生延時(shí)。自然，數(shù)據(jù)通過率越高，防火墻性能越好。 119現(xiàn)在大多數(shù)的防火墻產(chǎn)品都支持NAT功能，它可以讓受防火墻保護(hù)的一邊的IP地址不至于暴露在沒有保護(hù)的另一邊，但啟用NAT后，勢(shì)必會(huì)對(duì)防火墻系統(tǒng)性能有所影響。防火墻系統(tǒng)中集成的虛擬專用網(wǎng)(VPN)解決方案需要實(shí)現(xiàn)真正的線速運(yùn)行，否則將成為網(wǎng)絡(luò)通信的瓶

51、頸。當(dāng)采用復(fù)雜的加密算法時(shí)，防火墻性能尤為重要?？傊?，未來的防火墻系統(tǒng)將會(huì)把高速的性能和最大限度的安全性有機(jī)地結(jié)合在一起，有效地消除制約傳統(tǒng)防火墻的性能瓶頸。防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢(shì)120可擴(kuò)展的結(jié)構(gòu)和功能對(duì)于一個(gè)好的防火墻系統(tǒng)而言，它的規(guī)模和功能應(yīng)該能適應(yīng)內(nèi)部網(wǎng)絡(luò)的規(guī)模和安全策略的變化。選擇哪種防火墻，除了應(yīng)考慮它的基本性能外，還應(yīng)考慮用戶的實(shí)際需求與未來網(wǎng)絡(luò)的升級(jí)。因此，防火墻除了具有保護(hù)網(wǎng)絡(luò)安全的基本功能外，還提供對(duì)VPN的支持，同時(shí)還應(yīng)該具有可擴(kuò)展的內(nèi)駐應(yīng)用層代理。除了支持常見的網(wǎng)絡(luò)服務(wù)以外，還應(yīng)該能夠按照用戶的需求提供相應(yīng)的代理服務(wù)，例如，如果用戶需要NNTP(網(wǎng)絡(luò)消息傳輸協(xié)議)、X

52、-Window、和Gopher等服務(wù)，防火墻就應(yīng)該包含相應(yīng)的代理服務(wù)程序。防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢(shì)121未來的防火墻系統(tǒng)應(yīng)是一個(gè)可隨意伸縮的模塊化解決方案，從最為基本的包過濾器到帶加密功能的VPN型包過濾器，直至一個(gè)獨(dú)立的應(yīng)用網(wǎng)關(guān)，使用戶有充分的余地構(gòu)建自己所需要的防火墻體系。防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢(shì)122簡(jiǎn)化的安裝與管理防火墻可以幫助管理員加強(qiáng)內(nèi)部網(wǎng)的安全性，但是一個(gè)不具體實(shí)施任何安全策略的防火墻無異于高級(jí)擺設(shè)。防火墻產(chǎn)品配置和管理的難易程度是防火墻能否達(dá)到目的的主要考慮因素之一。實(shí)踐證明，許多防火墻產(chǎn)品并未起到預(yù)期作用的一個(gè)不容忽視的原因在于配置和實(shí)現(xiàn)上的錯(cuò)誤。同時(shí)，若防火墻的管理過于困難

53、，則可能會(huì)造成設(shè)定上的錯(cuò)誤，反而不能達(dá)到其功能。防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢(shì)123主動(dòng)過濾防火墻開發(fā)商通過建立功能更強(qiáng)大的Web代理使得Web數(shù)據(jù)流進(jìn)入在內(nèi)部網(wǎng)絡(luò)之前完成更多的事務(wù)。例如，許多防火墻具有內(nèi)置病毒和內(nèi)容掃描功能或允許用戶將病毒與內(nèi)容掃描程序進(jìn)行集成。今天，許多防火墻都包括對(duì)過濾產(chǎn)品的支持，并可以與第三方過濾服務(wù)連接，這些服務(wù)提供了不受歡迎的Internet站點(diǎn)的分類清單。防火墻還在Web代理中包括了時(shí)間限制功能，允許非工作時(shí)間的訪問，并提供訪問活動(dòng)的報(bào)告。防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢(shì)124防病毒與防黑客防火墻市場(chǎng)已經(jīng)對(duì)拒絕服務(wù)攻擊做出了反應(yīng)。 雖然沒有防火墻可以防止所有的拒絕服務(wù)攻擊，但

54、防火墻廠商一直在盡其可能阻止拒絕服務(wù)攻擊。像對(duì)付序列號(hào)預(yù)測(cè)和IP欺騙這類簡(jiǎn)單攻擊，這些年來已經(jīng)成為了防火墻工具箱的一部分。像“SYN泛濫”這類更復(fù)雜的拒絕服務(wù)攻擊需要廠商部署更先進(jìn)的檢測(cè)和避免方案來對(duì)付。防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢(shì)125126未來防火墻技術(shù)會(huì)全面考慮網(wǎng)絡(luò)的安全、操作系統(tǒng)的安全、應(yīng)用程序的安全、用戶的安全以及數(shù)據(jù)的安全。此外，網(wǎng)絡(luò)的防火墻產(chǎn)品還將把其他網(wǎng)絡(luò)技術(shù)，如Web頁面超高速緩存、虛擬網(wǎng)絡(luò)和帶寬管理等與其自身結(jié)合起來。防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢(shì)127第5章 防火墻技術(shù) 防火墻技術(shù)概述防火墻的分類新一代防火墻的主要技術(shù)防火墻體系結(jié)構(gòu)防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢(shì)防火墻的選購(gòu)和使用防火墻產(chǎn)

55、品介紹128防火墻的選購(gòu)和使用防火墻的選購(gòu)：在選購(gòu)防火墻的時(shí)候主要應(yīng)該考慮防火墻的基本功能、安全性、高效性、可管理性和適用性等因素。安全性：安全性是評(píng)價(jià)防火墻好壞最重要的因素，因?yàn)橘?gòu)買防火墻的主要目的是為了保護(hù)網(wǎng)絡(luò)免受攻擊。但是安全性不像速度、配置界面那樣直觀，便于估計(jì)，往往被用戶所忽視。對(duì)于安全性的評(píng)估比較復(fù)雜，并且需要配合使用一些攻擊手段進(jìn)行，用戶自己對(duì)防火墻進(jìn)行測(cè)試和評(píng)估比較困難，一般應(yīng)選用通過國(guó)家安全、公安等部門認(rèn)證的產(chǎn)品。129性能性能主要包括兩個(gè)方面，最大并發(fā)連接數(shù)和數(shù)據(jù)包轉(zhuǎn)發(fā)率。最大并發(fā)連接數(shù)是衡量防火墻可擴(kuò)展性的一個(gè)重要指標(biāo)。數(shù)據(jù)包轉(zhuǎn)發(fā)率是指在所有安全規(guī)則配置正確的情況下，防火

56、墻對(duì)數(shù)據(jù)流量的處理速度。購(gòu)買防火墻的需求不同，對(duì)這兩個(gè)參數(shù)要求也不同。防火墻的選購(gòu)和使用130例如一臺(tái)用于保護(hù)電子商務(wù)Web站點(diǎn)的防火墻，支持越多的連接意味著能夠接受越多的客戶和交易，所以防火墻能夠同時(shí)處理多個(gè)用戶的請(qǐng)求是最重要的，哪怕每個(gè)連接的流量很小。但是對(duì)于那些需要經(jīng)常傳輸內(nèi)存大的文件，對(duì)實(shí)時(shí)性要求比較高的用戶，高的包轉(zhuǎn)發(fā)率則是關(guān)注的重點(diǎn)。 防火墻的選購(gòu)和使用131管理：防火墻的管理簡(jiǎn)單是對(duì)安全性的一個(gè)補(bǔ)充。目前很多防火墻被攻破大多數(shù)不是因?yàn)槌绦蚓幋a的問題，而是管理和配置錯(cuò)誤導(dǎo)致的。對(duì)管理的評(píng)估可以從以下三個(gè)方面進(jìn)行。遠(yuǎn)程管理允許網(wǎng)絡(luò)管理員可以遠(yuǎn)程對(duì)防火墻進(jìn)行干預(yù)，并且所有遠(yuǎn)程通信需要經(jīng)

57、過嚴(yán)格的認(rèn)證和加密。例如管理員下班后出現(xiàn)入侵跡象，防火墻可以通過發(fā)送電子郵件的方式通知該管理員，管理員可以遠(yuǎn)程封鎖防火墻的對(duì)外網(wǎng)卡接口或修改防火墻的配置。防火墻的選購(gòu)和使用132訪問控制規(guī)則的配置界面應(yīng)該直觀，使用簡(jiǎn)單。大多數(shù)防火墻產(chǎn)品都提供了基于Web方式或GUI的配置界面。日志文件不僅能夠幫助用戶追查攻擊者的蹤跡，還可以記錄流量。防火墻的一些功能可以在日志文件中得到體現(xiàn)。防火墻提供靈活、可讀性強(qiáng)的審計(jì)界面是很重要的，例如用戶可以查詢從某一固定IP地址發(fā)出的流量，訪問的服務(wù)器列表等。因?yàn)楣粽呖梢圆捎貌煌５靥韺懭罩疽愿采w原有日志的方法使追蹤無法進(jìn)行，所以防火墻應(yīng)該提供設(shè)定日志大小的功能，同時(shí)在日志已滿時(shí)給予提示。防火墻的選購(gòu)和使用133適用性：防火墻也有高低端之分、軟件硬件之分，配置不同，價(jià)格不同，性能也不同。在購(gòu)買防火墻的時(shí)候應(yīng)挑選能夠