網(wǎng)絡(luò)規(guī)劃與設(shè)計第10講

1、4.3 網(wǎng)絡(luò)安全設(shè)計4.3.1 網(wǎng)絡(luò)安全問題與網(wǎng)絡(luò)安全等級4.3.2 網(wǎng)絡(luò)安全技術(shù)4.3.3 網(wǎng)絡(luò)安全設(shè)備4.3.4 網(wǎng)絡(luò)安全設(shè)計要點4.3.1 網(wǎng)絡(luò)安全問題與網(wǎng)絡(luò)安全等級園區(qū)網(wǎng)面臨著越來越多的來自病毒、木馬、間諜軟件、網(wǎng)絡(luò)攻擊等各種信息安全威脅；現(xiàn)在，網(wǎng)絡(luò)安全已經(jīng)超過對網(wǎng)絡(luò)可靠性、交換能力和服務(wù)質(zhì)量的需求，成為企業(yè)網(wǎng)、政務(wù)網(wǎng)等用戶最關(guān)心的問題。一般認(rèn)為園區(qū)網(wǎng)內(nèi)部是安全的，威脅主要來自外界。但是統(tǒng)計表明，大約80%的網(wǎng)絡(luò)威脅、安全漏洞來自網(wǎng)絡(luò)內(nèi)部。網(wǎng)絡(luò)安全等級國家標(biāo)準(zhǔn)GB17859規(guī)定了計算機(jī)信息系統(tǒng)安全保護(hù)能力的五個等級（第一級第五級），安全保護(hù)能力隨著安全保護(hù)等級的增高逐漸增強(qiáng)。 不同的網(wǎng)

2、絡(luò)對網(wǎng)絡(luò)安全的要求是不同的。網(wǎng)絡(luò)是信息系統(tǒng)的基礎(chǔ)平臺，因此網(wǎng)絡(luò)安全的等級劃分與信息系統(tǒng)的安全等級劃分應(yīng)該是一致的。第一級: 用戶自主保護(hù)級 本級通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力。對用戶實施訪問控制（用戶名、口令等），保護(hù)用戶和用戶信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞。 第二級: 系統(tǒng)審計保護(hù)級與用戶自主保護(hù)級相比，本級實現(xiàn)登錄控制、記錄并審計安全事件和隔離資源（設(shè)置訪問權(quán)限）。 網(wǎng)絡(luò)安全審計通過對網(wǎng)絡(luò)上發(fā)生的各種訪問情況記錄日志，并對日志進(jìn)行統(tǒng)計分析，從而對資源使用情況進(jìn)行事后分析。審計是發(fā)現(xiàn)和追蹤安全事件的常用措施。第三級:安全標(biāo)記保護(hù)級在系統(tǒng)審計保護(hù)級基礎(chǔ)上，本級還提供

3、有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記（許可訪問哪些子網(wǎng)、鏈路或中繼設(shè)備等）以及對用戶、進(jìn)程、文件、設(shè)備等實施強(qiáng)制訪問控制。在網(wǎng)絡(luò)環(huán)境中，帶有特定標(biāo)記的數(shù)據(jù)應(yīng)能被安全策略禁止通過某些子網(wǎng)、鏈路或中繼設(shè)備。連接的發(fā)起者(或無連接數(shù)據(jù)單元的發(fā)送者)可以指定路由選擇說明，請求回避某些特定的子網(wǎng)、鏈路或中繼設(shè)備。第四級:結(jié)構(gòu)化保護(hù)級 本級建立于一個明確定義的形式安全策略模型之上，要求將第三級系統(tǒng)中的自主和強(qiáng)制訪問控制擴(kuò)展到所有用戶、進(jìn)程、文件、設(shè)備及輸入輸出。此外，還要考慮隱蔽通道（允許進(jìn)程以危害系統(tǒng)安全策略的方式傳輸信息的信道）安全；本級必須結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素；加強(qiáng)了鑒別機(jī)制；支持系統(tǒng)管理員和

4、操作員的職能；提供可信設(shè)施管理；增強(qiáng)了配置管理控制。對外部主體能夠直接訪問的所有資源（例如：主體、存儲客體和輸入輸出資源）實施強(qiáng)制訪問控制。本級系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力。 第五級:訪問驗證保護(hù)級本級使用訪問監(jiān)控器，訪問監(jiān)控器仲裁網(wǎng)絡(luò)中的全部各種訪問。訪問監(jiān)控器本身是抗篡改的。提供系統(tǒng)恢復(fù)機(jī)制。本級系統(tǒng)具有很高的抗?jié)B透能力。 園區(qū)網(wǎng)安全子系統(tǒng)的模塊劃分園區(qū)網(wǎng)安全子系統(tǒng)可分為網(wǎng)絡(luò)監(jiān)管、邊界防御、內(nèi)部安全及遠(yuǎn)程安全接入4個模塊，以便于設(shè)計。（1）網(wǎng)絡(luò)監(jiān)管 網(wǎng)絡(luò)監(jiān)管是園區(qū)網(wǎng)所有權(quán)單位通過網(wǎng)絡(luò)監(jiān)管軟件對園區(qū)網(wǎng)上的行為、內(nèi)容進(jìn)行的監(jiān)管，例如終端QQMSN的使用、屏幕顯示內(nèi)容，在終端機(jī)插U盤、敏感內(nèi)容的檢查

5、和過濾等。園區(qū)網(wǎng)安全子系統(tǒng)的模塊劃分（2）邊界防御 邊界防御通過防火墻、IPS、IDS、網(wǎng)閘等對園區(qū)網(wǎng)出入口進(jìn)行有效防護(hù)和隔離。（3）內(nèi)部安全 內(nèi)部安全是園區(qū)內(nèi)部的安全，包括部門之間的隔離，以及終端安全接入控制（例如：用戶隔離，端口隔離）等。（4）遠(yuǎn)程安全接入 遠(yuǎn)程安全接入涉及分支機(jī)構(gòu)、出差人員對園區(qū)網(wǎng)的安全訪問控制。4.3.2 網(wǎng)絡(luò)安全技術(shù)基于交換機(jī)的園區(qū)網(wǎng)安全技術(shù)DHCP Snooping： DHCP Snooping是DHCP的一種安全特性，用于解決DHCP服務(wù)器仿冒問題。 DAI（動態(tài)ARP檢測），應(yīng)用在二層接口上，利用DHCP Snooping綁定表來防御ARP攻擊。 ARP限速 A

6、RP報文限速功能是指對上送CPU的ARP報文進(jìn)行限速，可以防止大量ARP報文對CPU進(jìn)行沖擊。(4) MAC泛洪攻擊抑制 MAC泛洪攻擊是指攻擊主機(jī)通過程序偽造大量包含隨機(jī)源MAC地址的數(shù)據(jù)幀發(fā)往交換機(jī)。 MAC泛洪攻擊抑制是在交換機(jī)上通過對MAC學(xué)習(xí)限制及流量抑制的功能來有效防止MAC泛洪攻擊。 (5) IP Source Guard IP Source Guard（IP源地址防護(hù)）能夠限制二層不信任端口的IP流量。它通過DHCP綁定表或手動綁定的IP源地址來對IP流量實行過濾。此特性可以阻止IP地址欺騙攻擊，（6）MACFF技術(shù) 在園區(qū)網(wǎng)絡(luò)中，通常使用MACFF（MAC-Forced Fo

7、rwarding）實現(xiàn)不同客戶端主機(jī)之間的二層隔離和三層互通。通過這種方式，可以強(qiáng)制用戶將所有流量（包括同一子網(wǎng)內(nèi)的流量）發(fā)送到指定網(wǎng)關(guān)，使指定網(wǎng)關(guān)可以監(jiān)控數(shù)據(jù)流量，防止用戶之間的惡意攻擊。（7）VLAN 不同VLAN之間不能相互訪問。邊界防御技術(shù)（1）包過濾技術(shù) 根據(jù)預(yù)置的規(guī)則決定是否放行數(shù)據(jù)包。（2） ASPF過濾技術(shù) ASPF（application specific packet filter）是針對應(yīng)用層的包過濾技術(shù)，即基于狀態(tài)的報文過濾。ASPF能檢測試圖通過防火墻的應(yīng)用層協(xié)議會話信息，阻止不符合規(guī)則的數(shù)據(jù)報文穿過。 邊界防御技術(shù)（3）入侵檢測技術(shù) 實時檢測網(wǎng)絡(luò)異常行為并報警。 有

8、兩類入侵檢測技術(shù)： 基于異常行為特征的檢測技術(shù) 先建立異常行為特征庫，通過比對發(fā)現(xiàn)異常行為。 統(tǒng)計異常檢測 技術(shù) 先建立正常行為模型，若發(fā)現(xiàn)不符該模型的行為即判斷為異常行為。（4）入侵防護(hù)技術(shù) 在入侵檢測技術(shù)的基礎(chǔ)上，增加了報警后的處理（一般是阻斷惡意連接）。（5）網(wǎng)絡(luò)隔離技術(shù) 邏輯隔離（“橋”）：防火墻、多重安全網(wǎng)關(guān)，網(wǎng)絡(luò)交換區(qū)等； 物理隔離（“船”）：網(wǎng)閘、安全通道等。網(wǎng)絡(luò)內(nèi)部安全技術(shù)（1）VPN 可把園區(qū)網(wǎng)看作是單位內(nèi)部的公網(wǎng)，單位各部門之間可通過VPN進(jìn)行安全互聯(lián)和訪問。（2）VLAN 在園區(qū)網(wǎng)內(nèi)部，可通過劃分VLAN實現(xiàn)所需要的部門/用戶之間的安全隔離。若VLAN之間需互訪，則通過在

9、第三層進(jìn)行可控的設(shè)置實現(xiàn)。 網(wǎng)絡(luò)內(nèi)部安全技術(shù)（3）終端接入認(rèn)證技術(shù) 從接入網(wǎng)絡(luò)的終端安全控制入手，將終端安全狀況和網(wǎng)絡(luò)準(zhǔn)入控制結(jié)合在一起，通過檢查、隔離、加固和審計等手段，加強(qiáng)網(wǎng)絡(luò)用戶終端的主動防御能力，保證企業(yè)中每個終端的安全性，從而保護(hù)企業(yè)網(wǎng)絡(luò)的安全性。 IEEE 802.1X （二層，賬戶信息） Portal認(rèn)證 （三層，賬戶信息） MAC認(rèn)證 （二層，網(wǎng)卡地址） 802.1x協(xié)議 是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議，用于在接入交換機(jī)的端口對所接入的用戶/設(shè)備進(jìn)行認(rèn)證和接入控制。 Portal認(rèn)證 Portal認(rèn)證是一種三層認(rèn)證方式。用戶可以通過訪問Portal服務(wù)器（Web服務(wù)器）上的W

10、eb認(rèn)證頁面，輸入用戶帳號信息，實現(xiàn)對終端用戶身份的認(rèn)證。 MAC認(rèn)證 對某些特殊情況，終端用戶不想或不能通過輸入用戶帳號信息的方式完成認(rèn)證。例如某些特權(quán)終端希望能“免認(rèn)證”直接訪問網(wǎng)絡(luò)；對于某些特殊的PC終端，如打印機(jī)、IP電話等設(shè)備，無法安裝客戶端軟件，也無法通過輸入用戶帳號信息的方式進(jìn)行認(rèn)證授權(quán)。網(wǎng)絡(luò)內(nèi)部安全接入解決方案（1）接入層認(rèn)證方案 目前的安全解決方案專注于保護(hù)網(wǎng)絡(luò)的第三層及以上。但是危及第二層安全的任何行為都將會危害到整個網(wǎng)絡(luò)，因此接入層是網(wǎng)絡(luò)內(nèi)部安全接入控制的最佳點。使用802.1x身份認(rèn)證可以直接將非法用戶在接入層隔離，確保接入用戶的合法性。 接入層認(rèn)證方案采用傳統(tǒng)的三層網(wǎng)

11、絡(luò)結(jié)構(gòu)，接入層交換機(jī)部署802.1x認(rèn)證或MAC認(rèn)證，對接入用戶進(jìn)行身份認(rèn)證，隔離非法用戶和不安全用戶。 匯聚交換機(jī)上配置ACL控制訪問權(quán)限。服務(wù)器區(qū)除了部署傳統(tǒng)的業(yè)務(wù)服務(wù)器、網(wǎng)絡(luò)管理服務(wù)器、DHCP/DNS服務(wù)器外，還需要部署準(zhǔn)入服務(wù)器以及補(bǔ)丁、病毒服務(wù)器。匯聚層認(rèn)證方案匯聚層部署認(rèn)證控制點適用于接入用戶分散、接入終端類型較多、無線有線混合接入的場景，認(rèn)證協(xié)議建議采用基于網(wǎng)關(guān)的Portal認(rèn)證。這種認(rèn)證方式與接入層設(shè)備無關(guān)，終端設(shè)備既可以安裝代理客戶端，也可以不安裝（Web強(qiáng)推方式），適應(yīng)各種終端接入（PC、手持設(shè)備等），方便靈活，管理維護(hù)方便。舊網(wǎng)改造中若需要增加安全接入控制功能，而又不希

12、望改變原來網(wǎng)絡(luò)結(jié)構(gòu)，可以直接在匯聚層部署Portal認(rèn)證。匯聚層認(rèn)證方案采用傳統(tǒng)的三層網(wǎng)絡(luò)結(jié)構(gòu)，在匯聚層交換機(jī)基于網(wǎng)關(guān)部署Portal認(rèn)證，對接入的用戶進(jìn)行身份認(rèn)證，隔離非法用戶和不安全用戶。匯聚交換機(jī)上配置ACL控制訪問權(quán)限。服務(wù)器區(qū)除了部署傳統(tǒng)的業(yè)務(wù)服務(wù)器、網(wǎng)絡(luò)管理服務(wù)器、DHCP/DNS服務(wù)器外，還需要部署準(zhǔn)入服務(wù)器以及補(bǔ)丁、病毒服務(wù)器。匯聚層旁掛認(rèn)證方案匯聚層旁掛認(rèn)證方案主要針對那些網(wǎng)絡(luò)設(shè)備較為老舊的網(wǎng)絡(luò)升級場景，不需要改變原有網(wǎng)絡(luò)結(jié)構(gòu)，旁掛一臺設(shè)備即可引入一整套的網(wǎng)絡(luò)安全接入控制方案，能夠有效節(jié)約用戶投資。本方案中，上下行流量都以旁掛設(shè)備為網(wǎng)關(guān)，對旁掛設(shè)備的性能要求較高。匯聚層旁掛方

13、案仍然推薦使用Portal認(rèn)證方式，具體的NAC系統(tǒng)規(guī)劃、安全策略規(guī)劃、用戶權(quán)限規(guī)劃和可靠性規(guī)劃都和匯聚層認(rèn)證相同。網(wǎng)絡(luò)結(jié)構(gòu)與匯聚層認(rèn)證方案類似，不同的是匯聚交換機(jī)旁掛一臺具有認(rèn)證功能的交換機(jī)作為網(wǎng)關(guān)，在旁掛交換機(jī)上基于網(wǎng)關(guān)部署Portal認(rèn)證，對接入的用戶進(jìn)行身份認(rèn)證，隔離非法用戶和不安全用戶。遠(yuǎn)程安全接入技術(shù)（1）GRE over IPSec（三層隧道） 通過GRE over IPSec，可以彌補(bǔ)IPSec協(xié)議的不足。GRE over IPSec可大大提升組網(wǎng)的靈活性。（2）L2TP over IPsec（二層隧道） 與GRE類似，由于L2TP本身沒有加密功能，因此如果使用L2TP，要保證

14、分支網(wǎng)絡(luò)的數(shù)據(jù)安全，則要和IPSec結(jié)合使用，即L2TP over IPSec。（3）SSL VPN（傳輸層-應(yīng)用層隧道） SSL VPN是遠(yuǎn)程訪問公司敏感數(shù)據(jù)最簡單的安全解決技術(shù)。與復(fù)雜的IPSec VPN相比，任何瀏覽器（內(nèi)嵌SSL ）都可使用SSL VPN,不必為每臺客戶機(jī)安裝客戶端軟件。（4）MPLS VPN（基于MPLS的VPN） 對于沒有廣域?qū)＞W(wǎng)的企業(yè)，可通過運(yùn)營商提供的MPLS VPN實現(xiàn)互聯(lián)；租用運(yùn)營商固定專線的企業(yè)，也可通過MPLS VPN實現(xiàn)內(nèi)部業(yè)務(wù)隔離和互訪。（5） 網(wǎng)絡(luò)等級安全要素對應(yīng)的實現(xiàn)技術(shù)在國家標(biāo)準(zhǔn)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T 20270-2006中，安全等級的差

15、異更多地體現(xiàn)在安全要素的多少以及安全要素粒度的粗細(xì)，即保護(hù)等級越高要求實現(xiàn)的安全要素越多，且安全要素的粒度越細(xì)。然而，該標(biāo)準(zhǔn)并沒有給出每種安全要素的具體實現(xiàn)技術(shù)，為此我們研究了每種安全要素目前對應(yīng)哪些主要實現(xiàn)技術(shù)，即在該標(biāo)準(zhǔn)各等級安全要求的安全要素和工程可實現(xiàn)的安全技術(shù)之間進(jìn)行了對接，使該標(biāo)準(zhǔn)更具有可操作性。各安全要素對應(yīng)的主要實現(xiàn)技術(shù)身份鑒別 當(dāng)?shù)卿浵到y(tǒng)或者使用設(shè)備時，需要身份鑒別這一安全要素。 身份鑒別的主要實現(xiàn)技術(shù)有：口令（包括靜態(tài)口令和動態(tài)口令）、基于生物特征的鑒別技術(shù)、智能卡、數(shù)字證書等。其中基于生物特征的鑒別技術(shù)包括指紋識別、聲音識別、虹膜識別、掌型識別、人臉識別等。 對于第三級及

16、以上的安全等級網(wǎng)絡(luò)系統(tǒng)需用兩種或兩種以上的身份鑒別技術(shù)組合來支撐身份鑒別的安全要素。自主訪問控制 自主訪問控制這一安全要素的主要實現(xiàn)技術(shù)有：訪問控制列表、目錄訪問列表、權(quán)能表。 其中，安全等級為一級的網(wǎng)絡(luò)系統(tǒng)可實現(xiàn)粗粒度的自主訪問控制，二到四級網(wǎng)絡(luò)系統(tǒng)應(yīng)實現(xiàn)中粒度自主訪問控制，安全等級為五級的網(wǎng)絡(luò)系統(tǒng)應(yīng)實現(xiàn)細(xì)粒度的自主訪問控制。安全審計 安全等級為二級及以上的網(wǎng)絡(luò)系統(tǒng)，需要具備安全審計這一安全要素。 安全審計的主要實現(xiàn)技術(shù)是計算機(jī)安全審計技術(shù)，就是在計算機(jī)系統(tǒng)中模擬社會的審計工作，對每個用戶在計算機(jī)系統(tǒng)上的操作做一個完整記錄的一種安全技術(shù)。標(biāo)記 安全等級為三級及以上的網(wǎng)絡(luò)系統(tǒng)，需要具備標(biāo)記這一

17、安全要素。 標(biāo)記的主要實現(xiàn)技術(shù)有：安全標(biāo)記綁定技術(shù)、安全標(biāo)記調(diào)整技術(shù)。強(qiáng)制訪問控制 安全等級為三級及以上的網(wǎng)絡(luò)系統(tǒng)，需要具備強(qiáng)制訪問控制這一安全要素。 強(qiáng)制訪問控制的主要實現(xiàn)方法是：制定強(qiáng)制訪問控制策略。強(qiáng)制訪問控制是基于安全標(biāo)記之上實現(xiàn)的，安全標(biāo)記對傳輸?shù)臄?shù)據(jù)信息與安全屬性（安全標(biāo)記）進(jìn)行綁定，強(qiáng)制訪問控制策略則是制定特定的規(guī)則，利用安全屬性限制主體對數(shù)據(jù)的行為。 經(jīng)典的強(qiáng)制訪問控制模型有BIBA模型、BLP模型以及其擴(kuò)展模型。其中，安全等級為三到四級的網(wǎng)絡(luò)系統(tǒng)需實現(xiàn)中粒度的強(qiáng)制訪問控制，安全等級為五級的網(wǎng)絡(luò)系統(tǒng)要實現(xiàn)細(xì)粒度的強(qiáng)制訪問控制。數(shù)據(jù)流控制 安全等級為三級及以上的網(wǎng)絡(luò)系統(tǒng)，需要具備

18、數(shù)據(jù)流控制這一安全要素。 數(shù)據(jù)流控制是指通過制定規(guī)則防止數(shù)據(jù)從高密級區(qū)域流向低密級區(qū)域。數(shù)據(jù)流控制也是基于安全標(biāo)記之上實現(xiàn)的，其實現(xiàn)方法是:在實施了安全標(biāo)記綁定技術(shù)，標(biāo)記了通信雙方的安全屬性的基礎(chǔ)上，制定規(guī)則只允許數(shù)據(jù)流從低密級標(biāo)記的通信方流向高密級標(biāo)記的通信方。數(shù)據(jù)完整性 數(shù)據(jù)完整性這一安全要素是指能檢測出數(shù)據(jù)在傳輸或存儲過程中，是否被篡改、插入、刪除等對數(shù)據(jù)的不法操作。 數(shù)據(jù)完整性的主要實現(xiàn)技術(shù)有：消息驗證碼、數(shù)字簽名技術(shù)。消息驗證碼技術(shù)的算法主要有三種構(gòu)造方法，分別是基于分組密碼、密碼雜湊函數(shù)（或稱為Hash函數(shù)）和泛雜湊函數(shù)族。其中國內(nèi)廣泛使用的Hash函數(shù)有MD4、MD5、SHA-1

19、、SHA-2、SHA-3等。數(shù)據(jù)保密性 數(shù)據(jù)保密性這一安全要素指防止系統(tǒng)中存儲、傳輸?shù)臄?shù)據(jù)遭受非授權(quán)的泄漏。存儲數(shù)據(jù)保密性主要依靠加密技術(shù)來實現(xiàn)，加密技術(shù)分為對稱加密與非對稱加密。而傳輸數(shù)據(jù)的保密性則可利用具有保密性的網(wǎng)絡(luò)協(xié)議來實現(xiàn)。可信路徑 可信路徑是安全等級四級及以上的網(wǎng)絡(luò)系統(tǒng)需要具備的安全要素。可信路徑的主要實現(xiàn)技術(shù)有：安全注意鍵（SAK）技術(shù)。利用SAK技術(shù)可建立用戶到SSF的可信路徑?？沟仲?抗抵賴是安全等級三級及以上的網(wǎng)絡(luò)系統(tǒng)需要實現(xiàn)的安全要素?？沟仲嚨闹饕獙崿F(xiàn)技術(shù)有：數(shù)字簽名技術(shù)。數(shù)字簽名通過為消息附上電子數(shù)字簽名，使簽名者對消息的內(nèi)容負(fù)責(zé)，而不可以在事后進(jìn)行抵賴。網(wǎng)絡(luò)安全監(jiān)控

20、網(wǎng)絡(luò)安全監(jiān)控是安全等級三級及以上的網(wǎng)絡(luò)系統(tǒng)需要具備的安全要素。 網(wǎng)絡(luò)安全監(jiān)控的主要實現(xiàn)方法有：部署入侵檢測系統(tǒng)（IDS）、入侵防護(hù)系統(tǒng)（IPS）等，并且設(shè)置具有實時響應(yīng)功能的網(wǎng)絡(luò)安全監(jiān)控中心，對網(wǎng)絡(luò)攻擊、失誤操作和網(wǎng)絡(luò)漏洞進(jìn)行及時分析和響應(yīng)。4.3.3 網(wǎng)絡(luò)安全設(shè)備（1）網(wǎng)絡(luò)監(jiān)管設(shè)備 包括網(wǎng)絡(luò)監(jiān)管軟件、安全審計軟件等。 (2)邊界防御設(shè)備 包括邊界路由器，邊界防火墻、IDS、IPS、邊界防毒墻、隔離設(shè)備、UTM（聯(lián)合安全網(wǎng)關(guān)），VPN網(wǎng)關(guān)等設(shè)備。邊界防火墻有以下幾種：包過濾防火墻：包過濾防火墻不檢查數(shù)據(jù)區(qū)，不建立連接狀態(tài)表，前后報文無關(guān)，應(yīng)用層控制很弱。 應(yīng)用網(wǎng)關(guān)防火墻：不檢查IP、TCP報頭，不建立連接狀態(tài)表，網(wǎng)絡(luò)層保護(hù)比較弱。 狀態(tài)檢測防火墻：不檢查數(shù)據(jù)區(qū)，建立連接狀態(tài)表，前后報文相關(guān)，應(yīng)用層控制弱。 復(fù)合型防火墻：可以檢查整個數(shù)據(jù)包內(nèi)