網絡安全防火墻技術講解課件

第5章防火墻技術第5章防火墻技術1第5章防火墻技術防火墻及相關概念包過濾與代理防火墻的體系結構分布式防火墻與嵌入式防火墻第5章防火墻技術防火墻及相關概念25.1防火墻概述防火墻是一種解決網絡之間訪問控制的有效方法。防火墻是一種綜合性的技術，涉及計算機網絡技術、密碼技術、安全技術、軟件技術、安全協議、網絡標準化組織（ISO）的安全規(guī)范以及安全操作系統等多方面。從1991年6月ANS公司的第一個防火墻產品ANSInterlockService防火墻上市以來，到目前為止，世界上至少有幾十家公司和研究所在從事防火墻技術的研究和產品開發(fā)。5.1防火墻概述防火墻是一種解決網絡之間訪問控制的有效方35.1防火墻概述1、防火墻的概念

防火墻（Firewall）是指隔離在內部網絡與外部網絡之間的一

道防御系統，它能擋住來自外部網絡的攻擊和入侵，保障著

內部網絡的安全。

5.1防火墻概述1、防火墻的概念41、防火墻的概念1、防火墻的概念5網絡安全防火墻技術講解課件6外部網絡（外網）:防火墻之外的網絡，一般為Internet，默認為風險區(qū)域。內部網絡（內網）：防火墻之內的網絡，一般為局域網，默認為安全區(qū)域。非軍事化區(qū)（DMZ）：為了配置管理方便，內網中需要向外網提供服務的服務器（

如WWW、FTP、SMTP、DNS等）往往放在Internet與內部網絡之間一個單獨的網段，這個網段便是非軍事化區(qū)。代理服務器:是指代表內部網絡用戶向外部網絡中的服務器進行連接請求的程序。2、幾個常用概念外部網絡（外網）:2、幾個常用概念7包過濾:也被稱為數據包過濾，是在網絡層中對數據包實施有選擇的通過，依據系統事先設定好的過濾規(guī)則，檢查數據流中的每個數據包，根據數據包的源地址、目標地址以及端口等信息來確定是否允許數據包通過。狀態(tài)檢查技術：第三代網絡安全技術。狀態(tài)檢測模塊在不影響網絡安全正常工作的前提下，采用抽取相關數據的方法對網絡通信的各個層次實行檢測，并作為安全決策依據。虛擬專用網（VPN）：在公用中配置的專用網絡。漏洞：是系統中的安全缺陷。2、幾個常用概念包過濾:2、幾個常用概念8數據驅動攻擊：入侵者把一些具有破壞數據藏匿在正常數據中。當這些數據被激活時，發(fā)生的攻擊。比如。一個站點的地址為：.tw/asp/wish/wishshow.asp?id=117。在wish后，用“%5c”替換“/”，地址就變成了.tw/asp/wish%5cwishshow.asp?id=117，這樣就可以暴出對方數據庫了。根據錯誤提示，數據庫是db.mdb，而且還可以直接下載。IP地址欺騙：入侵者利用偽造的IP地址，產生的虛假的數據包，喬裝成來處內部的數據。數據驅動攻擊：93.防火墻安全策略

為網絡建立防火墻，首先要決定防火墻將采取何種安全控制基本準則。一個防火墻應該使用以下兩種基本策略中的一種：

（1）除非明確允許，否則就禁止這種方法堵塞了兩個網絡之間的所有數據傳輸，除了那些被明確允許的服務和應用程序。因此，應該逐個定義每一個允許的服務和應用程序，而任何一個可能成為防火墻漏洞的服務和應用程序都不能允許使用。這是一個最安全的方法，但從用戶的角度來看，這樣可能會有很多限制，不是很方便。一般在防火墻配置中都會使用這種策略。3.防火墻安全策略為網絡建立防火墻，首先要決定防火墻將103.防火墻安全策略（2）除非明確禁止，否則就允許這種方法允許兩個網絡之間所有數據傳輸，除非那些被明確禁止的服務和應用程序。因此，每一個不信任或有潛在危害的服務和應用程序都應該逐個拒絕。雖然這對用戶是一個靈活和方便的方法，它卻可能存在嚴重的安全隱患?？傊?，從安全性的角度考慮，第一種準則更可取一些，而從靈活性和使用方便性的角度考慮，第二種準則更適合。3.防火墻安全策略（2）除非明確禁止，否則就允許115.1.2防火墻的作用

從總體上看，防火墻應具有以下基本功能：可以限制未授權用戶進入內部網絡，過濾掉不安全服務和非法用戶；防止入侵者接近內部網絡的防御設施，對網絡攻擊進行檢測和告警；限制內部用戶訪問特殊站點；記錄通過防火墻的信息內容和活動，為監(jiān)視Internet安全提供方便。5.1.2防火墻的作用從總體上看，防火墻應具有以下基本125.1.3防火墻的優(yōu)、缺點1．優(yōu)點

防火墻是加強網絡安全的一種有效手段，它有以下優(yōu)點：（1）防火墻能強化安全策略（2）防火墻能有效地記錄Internet上的活動（3）防火墻是一個安全策略的檢查站2．缺點

有人認為只要安裝了防火墻，所有的安全問題就會迎刃而解。但事實上，防火墻并不是萬能的，安裝了防火墻的系統仍然存在著安全隱患。以下是防火墻的一些缺點：5.1.3防火墻的優(yōu)、缺點1．優(yōu)點13不能防范惡意的內部用戶

如果入侵者已經在防火墻內部，防火墻是無能為力的。內部用戶可以不經過防火墻竊取數據、破壞硬件和軟件，這類攻擊占了全部攻擊的一半以上。不能防范不通過防火墻的連接

防火墻能夠有效防范地通過它傳輸的信息，卻不能防范不通過它傳輸的信息。例如，如果站點允許對防火墻后面的內部系統進行撥號訪問，那么防火墻絕對沒有辦法阻止入侵者進行撥號入侵。不能防范全部的威脅可以防范某些新的威脅，但沒有一個防火墻能自動防御所有的新的威脅。防火墻不能防范病毒

防火墻不能防范從網絡上傳染來的病毒，也不能消除計算機已存在的病毒。無論防火墻多么安全，用戶都需要一套防毒軟件來防范病毒。2．缺點不能防范惡意的內部用戶2．缺點145.2防火墻技術分類

根據工作在網絡中作用層的不同，防火墻可以分為包過濾防火墻和代理服務器兩類：包過濾防火墻又稱網絡層防火墻。數據包過濾是防火墻中最基本、最簡單的一種。用來防止整個網絡出現的外來非法的入侵。該類防火墻運行在TCP/IP協議的網絡層上，它對進出內部網絡的所有信息進行分析，并按照一定的信息過濾規(guī)則對信息進行限制，允許授權信息通過，拒絕非授權信息通過。5.2防火墻技術分類根據工作在網絡中作用層的不同，防155.2防火墻技術分類代理服務器又叫應用層防火墻，

這種防火墻是目前較通用的一種；從應用程序來進行接入控制。例如，可以只允許通過訪問萬維網的應用，而阻止FTP應用的通過。其基本工作過程是：當客戶機需要使用外網的服務器上的數據時，首先將數據請求發(fā)給代理服務器；代理服務器根據請求向服務器索取數據；然后再由代理服務器將數據傳輸給客戶機。同樣，代理服務器在外網向內網申請服務時也發(fā)揮了中間轉接的作用。5.2防火墻技術分類代理服務器165.2.1包過濾技術1、包過濾（PacketFiltering）技術在網絡層中對數據包實施有選擇的通過，依據系統事先設定好的過濾規(guī)則，檢查數據流中的每個包，根據包頭信息來確定是否允許數據包通過，拒絕發(fā)送可疑的包。使用包過濾技術的防火墻叫做包過濾防火墻（Packetfilter），因為它工作在網絡層，又叫網絡層防火墻（Networklevelfirewall）。包過濾防火墻的主要構件：

屏蔽路由器（ScreeningRouter，也稱為過濾路由器）是在普通路由器基礎上加入IP過濾功能而實現的，是防火墻最基本的構件。5.2.1包過濾技術1、包過濾（PacketFilter17分組過濾示意圖分組過濾示意圖18包過濾技術的工作原理：包過濾技術主要是在IP層實現的。包過濾防火墻基于一定的過濾規(guī)則，通過檢測、分析流經的數據包頭信息（包括源、目標IP地址，協議類型，源、目標端口等）以及數據包傳輸方向等來判斷是否允許通過：

如果數據包信息與用戶制定的通行規(guī)則相匹配，防火墻就

允許其通過，并通過路由轉發(fā)；

如果按照規(guī)則屬于不該放行的，防火墻就阻止該數據包

通行；

不與包過濾規(guī)則匹配的，防火墻就丟棄該數據包。包過濾技術的工作原理：19包過濾技術的工作過程：包過濾防火墻讀取包頭信息，與信息過濾規(guī)則比較，順

序檢查規(guī)則表中每一條規(guī)則，直至發(fā)現包中的信息與某

條規(guī)則相符。如果有一條規(guī)則不允許發(fā)送某個包，路由器就將它丟棄；

如果有一條規(guī)則允許發(fā)送某個包，路由器就將它發(fā)送；如果沒有任何一條規(guī)則能符合，路由器就會使用默認規(guī)則

，一般情況下，默認規(guī)則就是禁止該包通過。包過濾技術的工作過程：20過濾規(guī)則通常以表格的形式表示，其中包括以某種次序排列的條件和動作序列。當收到一個數據包時，則按照從前至后的順序與表格中每行的條件比較，直到滿足某一行的條件，然后執(zhí)行相應的動作（轉發(fā)或丟棄）。過濾規(guī)則的表示形式過濾規(guī)則通常以表格的形式表示，其中包括以某種次序排過濾規(guī)則的21

表5--1所列便是數據包過濾規(guī)則的示例，根據這些規(guī)則，便可對表5--2中列出的各項實際通信的數據包進行過濾，有的數據包能通過，有的則遭到拒絕。

表9-1規(guī)則表列表5--1所列便是數據包過濾規(guī)則的示例，根據這些規(guī)則，便可22表5-2過濾表列建立規(guī)則集要十分細心，一個小錯誤，都可能整個導致整個規(guī)則的不安全建立規(guī)則集也是一項比較煩瑣的工作，要建立正確的、完善的過濾規(guī)則集并不是一件容易的事。表5-2過濾表列建立規(guī)則集要十分細心，一個小錯誤，都可能整個23一個屏蔽路由器能保護整個網絡用一個恰當配置的屏蔽路由器，連接內部網絡與外部網絡，進行數據包過濾，就可以取得較好的網絡安全效果。包過濾對用戶透明包過濾不要求任何客戶機配置。當屏蔽路由器決定讓數據包通過時，它與普通路由器沒什么區(qū)別，用戶感覺不到它的存在。屏蔽路由器速度快、效率高屏蔽路由器只檢查包頭信息，一般不查看數據部分，而且某些核心部分是由專用硬件實現的，故其轉發(fā)速度快、效率較高。通常防火墻作為網絡安全的第一道防線。2.包過濾防火墻的優(yōu)點一個屏蔽路由器能保護整個網絡2.包過濾防火墻的優(yōu)點24

屏蔽路由器的缺點也是很明顯的：通常它沒有用戶的使用記錄這樣就不能從訪問記錄中發(fā)現黑客的攻擊記錄。配置繁瑣沒有一定的經驗，是不可能將過濾規(guī)則配置得完美。有的時候，因為配置錯誤，防火墻根本就不起作用。不能在用戶級別上進行過濾只能認為內部用戶是可信任的、外部用戶是可疑的。單純由屏蔽路由器構成的防火墻并不十分安全危險地帶包括路由器本身及路由器允許訪問的主機，一旦屏蔽路由器被攻陷就會對整個網絡產生威脅。3.包過濾防火墻的缺點屏蔽路由器的缺點也是很明顯的：3.包過濾防火墻的缺點254．包過濾防火墻的發(fā)展階段第一代：靜態(tài)包過濾防火墻根據數據包頭進行過濾第二代：動態(tài)包過濾（DynamicPacketFilter）防火墻動態(tài)包過濾防火墻只在用戶請求下打開端口，并在服務完畢后關閉這個端口，這樣就避免了普通包過濾防火墻那種因靜態(tài)地開放端口，而受到攻擊的可能性。第三代：全狀態(tài)檢測（StatefulInspection）防火墻4．包過濾防火墻的發(fā)展階段第一代：靜態(tài)包過濾防火墻26Internet上傳輸的數據都必須遵循TCP/IP協議，根據TCP協議，每個可靠連接的建立需要經過：⑴“客戶端請求”；⑵“服務器應答”；⑶“客戶端再應答”三個階段。常用的Web瀏覽、文件下載、收發(fā)郵件等都要經過這三個階段。這反映出數據包并不是獨立的，而是前后之間有著密切的狀態(tài)聯系，基于這種狀態(tài)變化，引出了狀態(tài)檢測技術。狀態(tài)檢測技術采用的是一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數據流看待，構成連接狀態(tài)表；通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別，以決定是否允許包通過。第三代：全狀態(tài)檢測（StatefulInspection）防火墻Internet上傳輸的數據都必須遵循TCP/IP協議，根據27當一個初始化連接會話的第一個數據包到達防火墻時，狀態(tài)檢測引擎會檢測到這是一個發(fā)起連接的初始數據包（由SYN標志判斷），然后它就會把這個數據包中的信息與防火墻規(guī)則作比較。如果沒有相應規(guī)則允許，防火墻就會拒絕這次連接；如果規(guī)則允許，它就允許數據包發(fā)送并且在狀態(tài)表中新建一條會話；當一個初始化連接會話的第一個數據包到達防火墻時，狀態(tài)檢測引擎28通常這條會話會包括此連接的源地址、源端口、目標地址、目標端口、連接時間等信息，對于TCP連接，它還應該會包含序列號和標志位等信息。當后續(xù)數據包到達時，如果這個數據包不含SYN標志，也就是說這個數據包不是發(fā)起一個新的連接時，狀態(tài)檢測引擎就會直接把它的信息與狀態(tài)表中的會話條目進行比較：如果信息匹配，就直接允許數據包通過，這樣不再去接受規(guī)則的檢查，提高了效率，如果信息不匹配，數據包就會被丟棄或連接被拒絕，并且每個會話還有一個超時值，過了這個時間，相應會話條目就會被從狀態(tài)表中刪除掉。通常這條會話會包括此連接的源地址、源端口、目標地址、目標端29

狀態(tài)檢測防火墻允許會話數據包傳遞時，會動態(tài)打開端口，傳輸完畢后又動態(tài)地關閉這個端口，這樣就避免了普通包過濾防火墻那種靜態(tài)地開放端口的危險做法，同時由于有會話超時的限制，它也能夠有效地避免外部的DoS攻擊。狀態(tài)檢測技術提供了更完整的對網絡層和傳輸層的控制能力。狀態(tài)檢測防火墻允許會話數據包傳遞時，會動態(tài)打開端口，傳輸完304．包過濾防火墻的發(fā)展階段第四代：深度包檢測（DeepPacketInspection）防火墻它融合了入侵檢測技術和攻擊防范的功能。功能更強大、安全性更強，可以抵御目前常見的網絡攻擊手段，如IP地址欺騙、特洛伊木馬攻擊、Internet蠕蟲、口令探尋攻擊、郵件攻擊等

4．包過濾防火墻的發(fā)展階段第四代：深度包檢測（DeepPa315.2.2代理技術所謂代理服務器

是指代表內網用戶向外網服務器進行連接請求的服務程序。代理服務器運行在兩個網絡之間，它對于客戶機來說像是一臺真的服務器，而對于外網的服務器來說，它又是一臺客戶機。代理服務器的基本工作過程是：當客戶機需要使用外網服務器上的數據時，首先將請求發(fā)給代理服務器，代理服務器再根據這一請求向服務器索取數據，然后再由代理服務器將數據傳輸給客戶機。代理服務器在外部網絡向內部網絡申請服務時也發(fā)揮了中間轉接的作用。5.2.2代理技術所謂代理服務器32代理服務器代理服務器33應用代理示意圖手動更新可以在諾頓殺毒軟件窗口中點擊“LiveUpdate”命令按鈕，啟動手動更新點擊“下一步”，只要計算機連接到Internet并且有新的病毒庫，計算機便會進行更新.應用代理示意圖手動更新可以在諾頓殺毒軟件窗口中點擊“Liv34應用代理示意圖應用代理示意圖35代理易于配置

代理因為是一個軟件，所以它比過濾路由器容易配置。代理能生成各項記錄

因代理在應用層檢查各項數據，所以可以按一定準則，讓代理生成各項日志、記錄。這些日志、記錄對于流量分析、安全檢驗是十分重要和寶貴的。代理能靈活、完全地控制進出信息

通過采取一定的措施，按照一定的規(guī)則，可以借助代理實現一整套的安全策略，控制進出的信息。代理能過濾數據內容

可以把一些過濾規(guī)則應用于代理，在應用層實現過濾功能。2.代理的優(yōu)點代理易于配置2.代理的優(yōu)點363.代理的缺點代理速度比路由器慢代理對用戶不透明對于每項服務，代理可能要求不同的服務器代理服務通常要求對客戶或過程進行限制代理服務受協議弱點的限制代理不能改進底層協議的安全性3.代理的缺點37（1）應用層代理（ApplicationProxy）代理服務是運行在防火墻主機上的專門的應用程序或者服務器程序。應用層代理為某個特定應用服務提供代理，它對應用協議進行解析并解釋應用協議的命令。根據其處理協議的功能可分為FTP網關型防火墻、Telnet網關型防火墻、WWW網關型防火墻等。應用層代理的優(yōu)點是能解釋應用協議，支持用戶認證，從而能對應用層的數據進行更細粒度的控制。缺點是效率低，不能支持大規(guī)模的并發(fā)連接，只適用于單一協議。4．代理防火墻的發(fā)展階段（1）應用層代理（ApplicationProxy）4．代38也稱為電路級代理服務器。在電路層網關中，包被

提交到用戶應用層處理。電路層網關用來在兩個通信的終點之間轉換包。它適用于多個協議，但無法解釋應用協議，需要通過其他方式來獲得信息。所以，電路級代理服務器通常要求修改過的用戶程序。其中，套接字服務器（SocketsServer）就是電路級代理服務器。對用戶來說，內網與外網的信息交換是透明的，感覺不到防火墻的存在，那是因為因特網絡用戶不需要登錄到防火墻上。但是客戶端的應用軟件必須支持“SocketsifideAPI”，內部網絡用戶訪問外部網所使用的IP地址也都是防火墻的IP地址。（2）電路層代理（CircuitProxy）也稱為電路級代理服務器。在電路層網關中，包被（2）電路層代理39（3）自適應代理（AdaptiveProxy）自適應代理防火墻允許用戶根據具體需求，定義防火墻策略，而不會犧牲速度或安全性。如果對安全要求較高，那么最初的安全檢查仍在應用層進行，保證實現傳統代理防火墻的最大安全性。而一旦代理明確了會話的所有細節(jié)，其后的數據包就可以直接經過速度更快的網絡層。自適應代理可以和安全脆弱性掃描器、病毒安全掃描器和入侵檢測系統之間實現更加靈活的集成。作為自適應安全計劃的一部分，自適應代理將允許經過正確驗證的設備在安全傳感器和掃描儀發(fā)現重要的網絡威脅時，根據防火墻管理員事先確定的安全策略，自動“適應”防火墻級別。

（3）自適應代理（AdaptiveProxy）405.2.3防火墻技術的發(fā)展趨勢1．功能融合

與VPN技術融合。

與入侵檢測技術和攻擊防御技術的融合

提供對應用層攻擊行為的檢測和對應用層內容的過濾功能。

提供防病毒的功能。

2．集成化管理

3．分布式體系結構

5.2.3防火墻技術的發(fā)展趨勢1．功能融合415.3防火墻體系結構（1）雙重宿主主機結構；（2）被屏蔽主機結構；（3）被屏蔽子網結構。5.3防火墻體系結構（1）雙重宿主主機結構；425.3.1.雙重宿主主機結構雙宿主機（Dual-homedhost），又稱堡壘主機（Bastionhost），是一臺至少配有兩個網絡接口的主機，它可以充當與這些接口相連的網絡之間的路由器，在網絡之間發(fā)送數據包。一般情況下雙宿主機的路由功能是被禁止的，這樣可以隔離內部網絡與外部網絡之間的直接通信，從而達到保護內部網絡的作用。5.3.1.雙重宿主主機結構雙宿主機（Dual-homed43雙重宿主主機雙重宿主主機441．雙宿主機網關雙宿主機網關是用一臺裝有兩個網絡適配器的雙宿主機做防火墻。雙宿主機用兩個網絡適配器分別連接兩個網絡，又稱為堡壘主機。堡壘主機上運行著防火墻軟件（通常是代理服務器），可以轉發(fā)應用程序，提供服務等。1．雙宿主機網關1．雙宿主機網關1．雙宿主機網關458.3.2屏蔽主機結構屏蔽主機結構需要配備一臺堡壘主機和一個有過濾功能的屏蔽路由器，如圖5-3所示，屏蔽路由器連接外部網絡，堡壘主機安裝在內部網絡上。通常在路由器上設立過濾規(guī)則，并使這個堡壘主機成為從外部網絡唯一可直接到達的主機。入侵者要想入侵內部網絡，必須過屏蔽路由器和堡壘主機兩道屏障，所以屏蔽主機結構比雙重宿主主機結構具有更好的安全性和可用性。8.3.2屏蔽主機結構屏蔽主機結構需要配備一臺堡壘主機和一個46屏蔽主機結構屏蔽主機結構472．屏蔽主機網關堡壘主機有兩塊網卡，一塊連接內部網絡，一塊連接包過濾路由器。雙宿堡壘主機在應用層提供代理服務2．屏蔽主機結構2．屏蔽主機網關堡壘主機有兩塊網卡，一塊連接內部網絡，一塊485.3.3屏蔽子網結構屏蔽子網結構是在屏蔽主機結構的基礎上添加額外

的安全層，即屏蔽子網，更進一步地把內部網絡與外部網絡隔離開。屏蔽子網結構包含外部和內部兩個路由器。兩個屏蔽路由器放在子網的兩端，在子網內構成一個安全性區(qū)域，通常叫做“非軍事區(qū)”DMZ。兩個路由器一個控制內網的數據流，另一個控制外網的數據流，Intranet和Internet均可訪問屏蔽子網，但禁止它們穿過屏蔽子網通信。

5.3.3屏蔽子網結構屏蔽子網結構是在屏蔽主機結構的基礎上493．屏蔽子網結構3．屏蔽子網結構503．屏蔽子網3．屏蔽子網屏蔽子網是在Intranet和Internet之間建立一個被隔離的子網，用兩個包過濾路由器將這一子網分別與Intranet和Internet分開。兩個包過濾路由器放在子網的兩端，在子網內構成一個“緩沖地帶”，兩個路由器一個控制Intranet數據流，另一個控制Internet數據流，Intranet和Internet均可訪問屏蔽子網，但禁止它們穿過屏蔽子網通信。

3．屏蔽子網3．屏蔽子網51屏蔽子網結構屏蔽子網結構525.34防火墻的組合結構

建造防火墻時，一般很少采用單一的結構，通常是

多種結構的組合。一般有以下幾種形式：使用多堡壘主機；合并內部路由器與外部路由器；合并堡壘主機與外部路由器；合并堡壘主機與內部路由器；使用多臺內部路由器；使用多臺外部路由器；使用多個周邊網絡；使用雙重宿主主機與屏蔽子網。5.34防火墻的組合結構建造防火墻時，一般很少采用538.4內部防火墻8.4.1分布式防火墻（DistributedFirewall）8.4.2嵌入式防火墻（EmbeddedFirewall）8.4.3個人防火墻8.4內部防火墻8.4.1分布式防火墻（Distrib548.4內部防火墻"邊界防火墻（PerimeterFirewall）"

因為傳統的防火墻設置在網絡邊界，處于內、外部

互聯網之間，所以稱為"邊界防火墻（PerimeterFirewall）"。邊界防火墻的不足

隨著人們對網絡安全防護要求的提高，邊界防火墻明顯感覺到力不從心，因為給網絡帶來安全威脅的不僅是外網，更多的是來自內網。邊界防火墻無法對內網實現有效地保護。新型的防火墻技術

分布式防火墻（DistributedFirewalls）技術8.4內部防火墻"邊界防火墻（PerimeterFire55分布式防火墻的設計理念邊界防火墻

所有邊界防火墻，都是基于一個共同的假設：那就是防火墻把內網一端的用戶看成是可信任的，而外網一端的用戶則都被作為潛在的攻擊者來對待。分布式防火墻分布式防火墻是一種主機駐留式的安全系統，它是以主機為保護對象，它的設計理念是：主機以外的任何用戶都是不可信任的，對來自他們的訪問都需要進行過濾，無論是來自Internet，還是來自內部網絡。它們對個人計算機進行保護的方式如同邊界防火墻對整個內部網絡進行保護一樣。分布式防火墻的設計理念邊界防火墻568.4.1分布式防火墻分布式防火墻是一種全新的防火墻概念，是比較完

善的一種防火墻技術，它是在邊界防火墻的基礎上開發(fā)的，目前主要以軟件形式出現。"分布式防火墻"是一個完整的系統，其保護對象包括：⑴網絡邊界，即內、外網的接口；⑵內網中的各個子網；⑶網絡內部各節(jié)點，包括：服務器、桌面主機8.4.1分布式防火墻分布式防火墻是一種全新的防火墻概念57

分布式防火墻體系結構分布式防火墻包含以下三個部分：網絡防火墻（NetworkFirewall）主機防火墻（HostFirewall）中心管理（CentralManagement）分布式防火墻體系結構分布式防火墻包含以下三個部分：58分布式防火墻體系結構網絡防火墻（NetworkFirewall）：網絡防火墻有軟件與硬件兩種產品作用：用于內部網與外部網之間，以及內部網各子網之間的防護。在功能與傳統的邊界式防火墻類似。與傳統邊界式防火墻相比，它多了個對內部子網之間的安全防護層，這樣整個網絡的安全防護體系就顯得更加全面，更加可靠。分布式防火墻體系結構網絡防火墻（NetworkFirewa59分布式防火墻體系結構主機防火墻（HostFirewall）：有軟件和硬件兩種產品；作用：用于對網絡中的服務器和桌面主機進行防護，以確保內部網絡服務器和桌面機的安全。分布式防火墻的作用：⑴用于內部與外部網之間的防護；⑵用于內部網各子網之間；⑶同一內部子網工作站與服務器之間。分布式防火墻可以說達到了應用層的安全防護。是對傳統邊界式防火墻在安全體系方面的一個極大完善。分布式防火墻體系結構主機防火墻（HostFirewall）60分布式防火墻體系結構中心管理（CentralManagerment）：是一個服務器軟件，負責總體安全策略：策劃管理分發(fā)日志的匯總這樣防火墻就可進行智能管理，提高了防火墻的安全防護靈活性，具備可管理性。分布式防火墻體系結構中心管理（CentralManager618.4.1分布式防火墻分布式防火墻的主要特點主機駐留嵌入操作系統內核類似于個人防火墻適用于服務器托管8.4.1分布式防火墻分布式防火墻的主要特點62（1）主機駐留

分布式防火墻的最主要特點就是采用主機駐留方式，

所以稱之為"主機防火墻"，它的重要特征是駐留在被保護的主機上，該主機以外的網絡不管是處在網絡內部還是網絡外部都認為是不可信任的，因此可以針對該主機上運行的具體應用和對外提供的服務設定針對性很強的安全策略。主機防火墻對分布式防火墻體系結構的突出貢獻是，使安全策略不僅僅停留在網絡與網絡之間，而是把安全策略推廣延伸到每個網絡末端。（1）主機駐留

分布式防火墻的最主要特點就是采用主機駐留方式63（2）嵌入操作系統內核操作系統自身存在許多安全漏洞，運行在其上的應用

軟件無一不受到威脅。分布式主機防火墻也運行在該主機上，所以防火墻自身也會受到因操作系統漏洞而帶來的威脅。為確保自身的安全和徹底堵住操作系統的漏洞，主機防火墻的安全監(jiān)測核心引擎要以嵌入操作系統內核的形態(tài)運行，直接接管網卡，在把所有數據包進行檢查后再提交操作系統。為實現這樣的運行機制，除防火墻廠商自身的開發(fā)技術外，與操作系統廠商的技術合作也是必要的條件，因為這需要一些操作系統不公開的內部技術接口。（2）嵌入操作系統內核操作系統自身存在許多安全漏洞，運行在其64（3）類似于個人防火墻

主機防火墻與個人防火墻的相似之處：它們都對應于個人系統，都可以保護單個主機。主機防火墻與個人防火墻的差別之處：管理方式迥然不同：個人防火墻的安全策略由使用者自己設置，而主機防火墻的安全策略由整個系統的管理員統一設置；個人防火墻只防外部攻擊，主機防火墻除了防外部攻擊外，也可以對該桌面機的對外訪問加以控制；主機防火墻的安全機制是桌面機的使用者不可見和不可改動的。其次，個人防火墻面向個人用戶，主機防火墻是面向企業(yè)級客戶的，是由一個安全策略中心統一管理，安全檢查機制分散布置的分布式防火墻體系結構。（3）類似于個人防火墻

主機防火墻與個人防火墻的相似之處：65（4）適用于服務器托管服務器托管：企業(yè)或個人的服務器托人代管；托管的服務器邏輯上是其企業(yè)網的一部分，但物理上不在企業(yè)內部，對于這種應用，邊界防火墻就顯得力不從心；主機防火墻對被托管服務器的防護就游刃有余：對于純軟件式的分布式防火墻則用戶只需在該服務器上安裝上主機防火墻軟件，并根據該服務器的應用設置安全策略，并可以利用中心管理軟件對該服務器進行遠程監(jiān)控。對于硬件式的分布式防火墻因其通常采用PCI卡式的，通常兼顧網卡作用，所以可以直接插在服務器機箱里面。（4）適用于服務器托管服務器托管：企業(yè)或個人的服務器托人代668.4.1分布式防火墻分布式防火墻的優(yōu)勢增強的系統安全性增加了針對主機的入侵檢測和防護功能，加強了對來自內部攻擊防范，對整個網絡實施全方位的安全策略。提高了系統性能⑴消除了結構性瓶頸；⑵對服務器、個人主機單獨設置。系統的擴展性分布式防火墻隨系統擴充提供了安全防護無限擴充的能力。應用更為廣泛，支持VPN通信它能夠保護物理拓樸上不屬于內部網絡，但位于邏輯上的"內部"網絡的那些主機，這種需求隨著VPN的發(fā)展越來越多8.4.1分布式防火墻分布式防火墻的優(yōu)勢678.4.2嵌入式防火墻將分布式防火墻技術集成在硬件上（一般可以兼有

網卡的功能），通常稱之為嵌入式防火墻目前分布式防火墻主要是以軟件形式出現的，也有一些網絡設備開發(fā)商（如3COM、CISCO等）開發(fā)生產了硬件分布式防火墻，做成PCI卡或PCMCIA卡的形式，。嵌入式防火墻的代表產品是3Com公司的3Com10/100安全服務器網卡（3Com10/100SecureServerNIC）、3Com10/100安全網卡（3Com10/100SecureNIC）以及3Com公司嵌入式防火墻策略服務器（3ComEmbeddedFirewallPolicyServer）。8.4.2嵌入式防火墻將分布式防火墻技術集成在硬件上（一般688.4.3個人防火墻個人防火墻是安裝在個人計算機里的一段程序，是防止個個人電腦中的信息被外部侵襲的一項技術，把個人計算機和Internet分隔開。個人防火墻在個人主機的系統中監(jiān)控、阻止任何未經授權允許的數據進入或發(fā)出到互聯網及其他網絡系統。目前在Windows操作系統下比較著名的防火墻有：國外的有：Symantec公司的諾頓、NetworkIce公司的BlackIceDefender、McAfee公司的思科及ZoneLab的freeZoneAlarm等國內的有：天網防火墻、360木馬防火墻、瑞星個人防火墻、江民黑客防火墻和金山網標等產品。8.4.3個人防火墻個人防火墻是安裝在個人計算機里的一段698.5防火墻產品介紹8.5.1FireWall-1防火墻

8.5.2CiscoPIX515E防火墻

8.5.3天網防火墻8.5防火墻產品介紹8.5.1FireWall-1防火墻708.5.1FireWall-1

CheckPoint公司的系列防火墻產品可用于各種平臺上，其中Firewall-1是最為流行、市場占有率最高的一種。據IDC的最近統計，FireWall-1防火墻在市場占有率上已超過32%，《財富》排名前100的大企業(yè)里近80%選用了FireWall-1防火墻。8.5.1FireWall-1CheckPoint公司718.5.2Cisco安全防火墻服務模塊(FWSM）

Cisco防火墻服務模塊（FWSM）是一款高性能的狀態(tài)化檢測防火墻，它可以集成在Cisc06500交換機以及7600路由器機箱中。CiscoFWSM防火墻是一種高速的集成化的防火墻，可以提供業(yè)界最快的防火墻數據傳輸速率：5Gb的吞吐量，以及1000000個并發(fā)連接。在一個設備中最多可以安裝4個FWSM防火墻模塊，因而每個設備最高可以提供高達20Gb的吞吐量。FWSM還支持“虛擬防火墻”功能，通過適當配置，一塊FWSM最多可以虛擬為100個獨立工作的防火墻，網管人員可以根據需要為每個部門設立獨立的防火墻，更好的保證網絡安全。8.5.2Cisco安全防火墻服務模塊(FWSM）72網絡安全防火墻技術講解課件73網絡安全防火墻技術講解課件74網絡安全防火墻技術講解課件758.5.3天網防火墻

廣州眾達天網技術有限公司開發(fā)的天網防火墻系列產品功能全面，具有較高的性能。該系列產品提供有強大的訪問控制、身份認證、網絡地址轉換（NAT）、數據過濾、虛擬專用網（VPN）、流量控制、虛擬網橋等功能。8.5.3天網防火墻廣州眾達天網技術有限公司開發(fā)的天網防768.5.3天網防火墻

天網防火墻個人版是目前針對個人用戶比較好的中文軟件防火墻之一，由天網安全實驗室設計開發(fā)，用戶可以根據軟件提供的安全規(guī)則自主設置訪問控制、信息過濾、入侵檢測等安全策略。天網防火墻自1999年推出個人版V1.0以來，先后陸續(xù)推出了V1.0、V2.0、V2.45、V2.5、V3.0等版本。目前，該軟件最新的個人試用版本為V3.0版本，用戶可以從天網防火墻的官方網站——天網安全實驗室（）下載來安裝使用。8.5.3天網防火墻

天網防火墻個人版是目前針對個人用戶比775.5.3

天網防火墻的安裝點擊下載目錄中的安裝圖標，選擇安裝目錄，并接收安裝協議，如圖5-10所示。圖5-10天網防火墻安裝界面5.5.3天網防火墻的安裝點擊下載目錄中的安裝圖標，選擇785.5.1天網防火墻的安裝

在安裝的過程中，程序會提醒設置安全級別，有“低”、“中”、“高”和“自定義”四個選項，普通用戶建議選擇默認選項“中”，如圖5-11所示。圖5-11天網防火墻安全級別設置界面5.5.1天網防火墻的安裝

在安裝的過程中，程序會提醒設795.5.3

天網防火墻的安裝單擊“下一步”，程序提醒局域網信息設置。把默認的“開機時候自動啟動防火墻”、“我的電腦在局域網中使用”都選上，如果網卡地址還有變動，在“我在局域網中的地址”欄手動輸入，否則選擇默認，如圖5-12所示。安裝完成后，系統會提示重新啟動計算機，按提示要求重啟后程序生效。5.5.3天網防火墻的安裝單擊“下一步”，程序提醒局域網805.5.2天網防火墻的規(guī)則設置普通用戶一般在安裝的過程中用默認的選項即可，如果還有特殊的安全要求，應自定義安全規(guī)則。設置選項主要有“用戶自定義”、“應用程序規(guī)則”、“IP規(guī)則管理”三項。①“用戶自定義”：選項主界面如圖5-13所示。用戶可以對開機時是否啟動防火墻、是否重置規(guī)則、是否報警等選項進行設置。圖5-13天網防火墻用戶自定義“基本設置”界面5.5.2天網防火墻的規(guī)則設置普通用戶一般在安裝的過程中81②“應用程序規(guī)則”設置：該選項主要是就某一具體程序在主機中運行過程中所涉及到的協議類型、端口號、是否允許通過等選項進行設置，如圖5-14所示。圖5-14天網防火墻“應用程序規(guī)則”設置界面5.5.2天網防火墻的規(guī)則設置②“應用程序規(guī)則”設置：該選項主要是就某一具體程序在主機中運82

例如，在圖5-14所示的應用程序選擇中，如果用戶選擇了某個應用程序“Dr.COM寬帶認證客戶端程序”，則其設置選項如圖5-15所示，用戶可以就TCP、UDP信息和TCP協議可訪問端口進行設置。圖5-15天網防火墻“應用程序規(guī)則”高級設置界面5.5.2天網防火墻的規(guī)則設置例如，在圖5-14所示的應用程序選擇中，如果用戶選擇了83③“IP規(guī)則管理”設置：用戶可以根據自身具體要求自定義IP規(guī)則，如圖5-16所示。比如，選擇其中了一項“允許自己用Ping命令探測其他機器”，則雙擊后出現如圖5-17所示界面。圖5-16天網防火墻“IP管理規(guī)則”設置界面5.5.2天網防火墻的規(guī)則設置③“IP規(guī)則管理”設置：用戶可以根據自身具體要求自定義IP84圖5-17天網防火墻“修改IP規(guī)則”設置界面在“修改IP規(guī)則”中，用戶可以就數據包方向（接受還是發(fā)送）、數據包協議類型、對方IP地址以及滿足相關條件時是選擇通行還是阻攔等進行配置。圖5-17天網防火墻“修改IP規(guī)則”設置界面在“修改IP規(guī)85第5章防火墻技術第5章防火墻技術86第5章防火墻技術防火墻及相關概念包過濾與代理防火墻的體系結構分布式防火墻與嵌入式防火墻第5章防火墻技術防火墻及相關概念875.1防火墻概述防火墻是一種解決網絡之間訪問控制的有效方法。防火墻是一種綜合性的技術，涉及計算機網絡技術、密碼技術、安全技術、軟件技術、安全協議、網絡標準化組織（ISO）的安全規(guī)范以及安全操作系統等多方面。從1991年6月ANS公司的第一個防火墻產品ANSInterlockService防火墻上市以來，到目前為止，世界上至少有幾十家公司和研究所在從事防火墻技術的研究和產品開發(fā)。5.1防火墻概述防火墻是一種解決網絡之間訪問控制的有效方885.1防火墻概述1、防火墻的概念

防火墻（Firewall）是指隔離在內部網絡與外部網絡之間的一

道防御系統，它能擋住來自外部網絡的攻擊和入侵，保障著

內部網絡的安全。

5.1防火墻概述1、防火墻的概念891、防火墻的概念1、防火墻的概念90網絡安全防火墻技術講解課件91外部網絡（外網）:防火墻之外的網絡，一般為Internet，默認為風險區(qū)域。內部網絡（內網）：防火墻之內的網絡，一般為局域網，默認為安全區(qū)域。非軍事化區(qū)（DMZ）：為了配置管理方便，內網中需要向外網提供服務的服務器（

如WWW、FTP、SMTP、DNS等）往往放在Internet與內部網絡之間一個單獨的網段，這個網段便是非軍事化區(qū)。代理服務器:是指代表內部網絡用戶向外部網絡中的服務器進行連接請求的程序。2、幾個常用概念外部網絡（外網）:2、幾個常用概念92包過濾:也被稱為數據包過濾，是在網絡層中對數據包實施有選擇的通過，依據系統事先設定好的過濾規(guī)則，檢查數據流中的每個數據包，根據數據包的源地址、目標地址以及端口等信息來確定是否允許數據包通過。狀態(tài)檢查技術：第三代網絡安全技術。狀態(tài)檢測模塊在不影響網絡安全正常工作的前提下，采用抽取相關數據的方法對網絡通信的各個層次實行檢測，并作為安全決策依據。虛擬專用網（VPN）：在公用中配置的專用網絡。漏洞：是系統中的安全缺陷。2、幾個常用概念包過濾:2、幾個常用概念93數據驅動攻擊：入侵者把一些具有破壞數據藏匿在正常數據中。當這些數據被激活時，發(fā)生的攻擊。比如。一個站點的地址為：.tw/asp/wish/wishshow.asp?id=117。在wish后，用“%5c”替換“/”，地址就變成了.tw/asp/wish%5cwishshow.asp?id=117，這樣就可以暴出對方數據庫了。根據錯誤提示，數據庫是db.mdb，而且還可以直接下載。IP地址欺騙：入侵者利用偽造的IP地址，產生的虛假的數據包，喬裝成來處內部的數據。數據驅動攻擊：943.防火墻安全策略

為網絡建立防火墻，首先要決定防火墻將采取何種安全控制基本準則。一個防火墻應該使用以下兩種基本策略中的一種：

（1）除非明確允許，否則就禁止這種方法堵塞了兩個網絡之間的所有數據傳輸，除了那些被明確允許的服務和應用程序。因此，應該逐個定義每一個允許的服務和應用程序，而任何一個可能成為防火墻漏洞的服務和應用程序都不能允許使用。這是一個最安全的方法，但從用戶的角度來看，這樣可能會有很多限制，不是很方便。一般在防火墻配置中都會使用這種策略。3.防火墻安全策略為網絡建立防火墻，首先要決定防火墻將953.防火墻安全策略（2）除非明確禁止，否則就允許這種方法允許兩個網絡之間所有數據傳輸，除非那些被明確禁止的服務和應用程序。因此，每一個不信任或有潛在危害的服務和應用程序都應該逐個拒絕。雖然這對用戶是一個靈活和方便的方法，它卻可能存在嚴重的安全隱患?？傊瑥陌踩缘慕嵌瓤紤]，第一種準則更可取一些，而從靈活性和使用方便性的角度考慮，第二種準則更適合。3.防火墻安全策略（2）除非明確禁止，否則就允許965.1.2防火墻的作用

從總體上看，防火墻應具有以下基本功能：可以限制未授權用戶進入內部網絡，過濾掉不安全服務和非法用戶；防止入侵者接近內部網絡的防御設施，對網絡攻擊進行檢測和告警；限制內部用戶訪問特殊站點；記錄通過防火墻的信息內容和活動，為監(jiān)視Internet安全提供方便。5.1.2防火墻的作用從總體上看，防火墻應具有以下基本975.1.3防火墻的優(yōu)、缺點1．優(yōu)點

防火墻是加強網絡安全的一種有效手段，它有以下優(yōu)點：（1）防火墻能強化安全策略（2）防火墻能有效地記錄Internet上的活動（3）防火墻是一個安全策略的檢查站2．缺點

有人認為只要安裝了防火墻，所有的安全問題就會迎刃而解。但事實上，防火墻并不是萬能的，安裝了防火墻的系統仍然存在著安全隱患。以下是防火墻的一些缺點：5.1.3防火墻的優(yōu)、缺點1．優(yōu)點98不能防范惡意的內部用戶

如果入侵者已經在防火墻內部，防火墻是無能為力的。內部用戶可以不經過防火墻竊取數據、破壞硬件和軟件，這類攻擊占了全部攻擊的一半以上。不能防范不通過防火墻的連接

防火墻能夠有效防范地通過它傳輸的信息，卻不能防范不通過它傳輸的信息。例如，如果站點允許對防火墻后面的內部系統進行撥號訪問，那么防火墻絕對沒有辦法阻止入侵者進行撥號入侵。不能防范全部的威脅可以防范某些新的威脅，但沒有一個防火墻能自動防御所有的新的威脅。防火墻不能防范病毒

防火墻不能防范從網絡上傳染來的病毒，也不能消除計算機已存在的病毒。無論防火墻多么安全，用戶都需要一套防毒軟件來防范病毒。2．缺點不能防范惡意的內部用戶2．缺點995.2防火墻技術分類

根據工作在網絡中作用層的不同，防火墻可以分為包過濾防火墻和代理服務器兩類：包過濾防火墻又稱網絡層防火墻。數據包過濾是防火墻中最基本、最簡單的一種。用來防止整個網絡出現的外來非法的入侵。該類防火墻運行在TCP/IP協議的網絡層上，它對進出內部網絡的所有信息進行分析，并按照一定的信息過濾規(guī)則對信息進行限制，允許授權信息通過，拒絕非授權信息通過。5.2防火墻技術分類根據工作在網絡中作用層的不同，防1005.2防火墻技術分類代理服務器又叫應用層防火墻，

這種防火墻是目前較通用的一種；從應用程序來進行接入控制。例如，可以只允許通過訪問萬維網的應用，而阻止FTP應用的通過。其基本工作過程是：當客戶機需要使用外網的服務器上的數據時，首先將數據請求發(fā)給代理服務器；代理服務器根據請求向服務器索取數據；然后再由代理服務器將數據傳輸給客戶機。同樣，代理服務器在外網向內網申請服務時也發(fā)揮了中間轉接的作用。5.2防火墻技術分類代理服務器1015.2.1包過濾技術1、包過濾（PacketFiltering）技術在網絡層中對數據包實施有選擇的通過，依據系統事先設定好的過濾規(guī)則，檢查數據流中的每個包，根據包頭信息來確定是否允許數據包通過，拒絕發(fā)送可疑的包。使用包過濾技術的防火墻叫做包過濾防火墻（Packetfilter），因為它工作在網絡層，又叫網絡層防火墻（Networklevelfirewall）。包過濾防火墻的主要構件：

屏蔽路由器（ScreeningRouter，也稱為過濾路由器）是在普通路由器基礎上加入IP過濾功能而實現的，是防火墻最基本的構件。5.2.1包過濾技術1、包過濾（PacketFilter102分組過濾示意圖分組過濾示意圖103包過濾技術的工作原理：包過濾技術主要是在IP層實現的。包過濾防火墻基于一定的過濾規(guī)則，通過檢測、分析流經的數據包頭信息（包括源、目標IP地址，協議類型，源、目標端口等）以及數據包傳輸方向等來判斷是否允許通過：

如果數據包信息與用戶制定的通行規(guī)則相匹配，防火墻就

允許其通過，并通過路由轉發(fā)；

如果按照規(guī)則屬于不該放行的，防火墻就阻止該數據包

通行；

不與包過濾規(guī)則匹配的，防火墻就丟棄該數據包。包過濾技術的工作原理：104包過濾技術的工作過程：包過濾防火墻讀取包頭信息，與信息過濾規(guī)則比較，順

序檢查規(guī)則表中每一條規(guī)則，直至發(fā)現包中的信息與某

條規(guī)則相符。如果有一條規(guī)則不允許發(fā)送某個包，路由器就將它丟棄；

如果有一條規(guī)則允許發(fā)送某個包，路由器就將它發(fā)送；如果沒有任何一條規(guī)則能符合，路由器就會使用默認規(guī)則

，一般情況下，默認規(guī)則就是禁止該包通過。包過濾技術的工作過程：105過濾規(guī)則通常以表格的形式表示，其中包括以某種次序排列的條件和動作序列。當收到一個數據包時，則按照從前至后的順序與表格中每行的條件比較，直到滿足某一行的條件，然后執(zhí)行相應的動作（轉發(fā)或丟棄）。過濾規(guī)則的表示形式過濾規(guī)則通常以表格的形式表示，其中包括以某種次序排過濾規(guī)則的106

表5--1所列便是數據包過濾規(guī)則的示例，根據這些規(guī)則，便可對表5--2中列出的各項實際通信的數據包進行過濾，有的數據包能通過，有的則遭到拒絕。

表9-1規(guī)則表列表5--1所列便是數據包過濾規(guī)則的示例，根據這些規(guī)則，便可107表5-2過濾表列建立規(guī)則集要十分細心，一個小錯誤，都可能整個導致整個規(guī)則的不安全建立規(guī)則集也是一項比較煩瑣的工作，要建立正確的、完善的過濾規(guī)則集并不是一件容易的事。表5-2過濾表列建立規(guī)則集要十分細心，一個小錯誤，都可能整個108一個屏蔽路由器能保護整個網絡用一個恰當配置的屏蔽路由器，連接內部網絡與外部網絡，進行數據包過濾，就可以取得較好的網絡安全效果。包過濾對用戶透明包過濾不要求任何客戶機配置。當屏蔽路由器決定讓數據包通過時，它與普通路由器沒什么區(qū)別，用戶感覺不到它的存在。屏蔽路由器速度快、效率高屏蔽路由器只檢查包頭信息，一般不查看數據部分，而且某些核心部分是由專用硬件實現的，故其轉發(fā)速度快、效率較高。通常防火墻作為網絡安全的第一道防線。2.包過濾防火墻的優(yōu)點一個屏蔽路由器能保護整個網絡2.包過濾防火墻的優(yōu)點109

屏蔽路由器的缺點也是很明顯的：通常它沒有用戶的使用記錄這樣就不能從訪問記錄中發(fā)現黑客的攻擊記錄。配置繁瑣沒有一定的經驗，是不可能將過濾規(guī)則配置得完美。有的時候，因為配置錯誤，防火墻根本就不起作用。不能在用戶級別上進行過濾只能認為內部用戶是可信任的、外部用戶是可疑的。單純由屏蔽路由器構成的防火墻并不十分安全危險地帶包括路由器本身及路由器允許訪問的主機，一旦屏蔽路由器被攻陷就會對整個網絡產生威脅。3.包過濾防火墻的缺點屏蔽路由器的缺點也是很明顯的：3.包過濾防火墻的缺點1104．包過濾防火墻的發(fā)展階段第一代：靜態(tài)包過濾防火墻根據數據包頭進行過濾第二代：動態(tài)包過濾（DynamicPacketFilter）防火墻動態(tài)包過濾防火墻只在用戶請求下打開端口，并在服務完畢后關閉這個端口，這樣就避免了普通包過濾防火墻那種因靜態(tài)地開放端口，而受到攻擊的可能性。第三代：全狀態(tài)檢測（StatefulInspection）防火墻4．包過濾防火墻的發(fā)展階段第一代：靜態(tài)包過濾防火墻111Internet上傳輸的數據都必須遵循TCP/IP協議，根據TCP協議，每個可靠連接的建立需要經過：⑴“客戶端請求”；⑵“服務器應答”；⑶“客戶端再應答”三個階段。常用的Web瀏覽、文件下載、收發(fā)郵件等都要經過這三個階段。這反映出數據包并不是獨立的，而是前后之間有著密切的狀態(tài)聯系，基于這種狀態(tài)變化，引出了狀態(tài)檢測技術。狀態(tài)檢測技術采用的是一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數據流看待，構成連接狀態(tài)表；通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別，以決定是否允許包通過。第三代：全狀態(tài)檢測（StatefulInspection）防火墻Internet上傳輸的數據都必須遵循TCP/IP協議，根據112當一個初始化連接會話的第一個數據包到達防火墻時，狀態(tài)檢測引擎會檢測到這是一個發(fā)起連接的初始數據包（由SYN標志判斷），然后它就會把這個數據包中的信息與防火墻規(guī)則作比較。如果沒有相應規(guī)則允許，防火墻就會拒絕這次連接；如果規(guī)則允許，它就允許數據包發(fā)送并且在狀態(tài)表中新建一條會話；當一個初始化連接會話的第一個數據包到達防火墻時，狀態(tài)檢測引擎113通常這條會話會包括此連接的源地址、源端口、目標地址、目標端口、連接時間等信息，對于TCP連接，它還應該會包含序列號和標志位等信息。當后續(xù)數據包到達時，如果這個數據包不含SYN標志，也就是說這個數據包不是發(fā)起一個新的連接時，狀態(tài)檢測引擎就會直接把它的信息與狀態(tài)表中的會話條目進行比較：如果信息匹配，就直接允許數據包通過，這樣不再去接受規(guī)則的檢查，提高了效率，如果信息不匹配，數據包就會被丟棄或連接被拒絕，并且每個會話還有一個超時值，過了這個時間，相應會話條目就會被從狀態(tài)表中刪除掉。通常這條會話會包括此連接的源地址、源端口、目標地址、目標端114

狀態(tài)檢測防火墻允許會話數據包傳遞時，會動態(tài)打開端口，傳輸完畢后又動態(tài)地關閉這個端口，這樣就避免了普通包過濾防火墻那種靜態(tài)地開放端口的危險做法，同時由于有會話超時的限制，它也能夠有效地避免外部的DoS攻擊。狀態(tài)檢測技術提供了更完整的對網絡層和傳輸層的控制能力。狀態(tài)檢測防火墻允許會話數據包傳遞時，會動態(tài)打開端口，傳輸完1154．包過濾防火墻的發(fā)展階段第四代：深度包檢測（DeepPacketInspection）防火墻它融合了入侵檢測技術和攻擊防范的功能。功能更強大、安全性更強，可以抵御目前常見的網絡攻擊手段，如IP地址欺騙、特洛伊木馬攻擊、Internet蠕蟲、口令探尋攻擊、郵件攻擊等

4．包過濾防火墻的發(fā)展階段第四代：深度包檢測（DeepPa1165.2.2代理技術所謂代理服務器

是指代表內網用戶向外網服務器進行連接請求的服務程序。代理服務器運行在兩個網絡之間，它對于客戶機來說像是一臺真的服務器，而對于外網的服務器來說，它又是一臺客戶機。代理服務器的基本工作過程是：當客戶機需要使用外網服務器上的數據時，首先將請求發(fā)給代理服務器，代理服務器再根據這一請求向服務器索取數據，然后再由代理服務器將數據傳輸給客戶機。代理服務器在外部網絡向內部網絡申請服務時也發(fā)揮了中間轉接的作用。5.2.2代理技術所謂代理服務器117代理服務器代理服務器118應用代理示意圖手動更新可以在諾頓殺毒軟件窗口中點擊“LiveUpdate”命令按鈕，啟動手動更新點擊“下一步”，只要計算機連接到Internet并且有新的病毒庫，計算機便會進行更新.應用代理示意圖手動更新可以在諾頓殺毒軟件窗口中點擊“Liv119應用代理示意圖應用代理示意圖120代理易于配置

代理因為是一個軟件，所以它比過濾路由器容易配置。代理能生成各項記錄

因代理在應用層檢查各項數據，所以可以按一定準則，讓代理生成各項日志、記錄。這些日志、記錄對于流量分析、安全檢驗是十分重要和寶貴的。代理能靈活、完全地控制進出信息

通過采取一定的措施，按照一定的規(guī)則，可以借助代理實現一整套的安全策略，控制進出的信息。代理能過濾數據內容

可以把一些過濾規(guī)則應用于代理，在應用層實現過濾功能。2.代理的優(yōu)點代理易于配置2.代理的優(yōu)點1213.代理的缺點代理速度比路由器慢代理對用戶不透明對于每項服務，代理可能要求不同的服務器代理服務通常要求對客戶或過程進行限制代理服務受協議弱點的限制代理不能改進底層協議的安全性3.代理的缺點122（1）應用層代理（ApplicationProxy）代理服務是運行在防火墻主機上的專門的應用程序或者服務器程序。應用層代理為某個特定應用服務提供代理，它對應用協議進行解析并解釋應用協議的命令。根據其處理協議的功能可分為FTP網關型防火墻、Telnet網關型防火墻、WWW網關型防火墻等。應用層代理的優(yōu)點是能解釋應用協議，支持用戶認證，從而能對應用層的數據進行更細粒度的控制。缺點是效率低，不能支持大規(guī)模的并發(fā)連接，只適用于單一協議。4．代理防火墻的發(fā)展階段（1）應用層代理（ApplicationProxy）4．代123也稱為電路級代理服務器。在電路層網關中，包被

提交到用戶應用層處理。電路層網關用來在兩個通信的終點之間轉換包。它適用于多個協議，但無法解釋應用協議，需要通過其他方式來獲得信息。所以，電路級代理服務器通常要求修改過的用戶程序。其中，套接字服務器（SocketsServer）就是電路級代理服務器。對用戶來說，內網與外網的信息交換是透明的，感覺不到防火墻的存在，那是因為因特網絡用戶不需要登錄到防火墻上。但是客戶端的應用軟件必須支持“SocketsifideAPI”，內部網絡用戶訪問外部網所使用的IP地址也都是防火墻的IP地址。（2）電路層代理（CircuitProxy）也稱為電路級代理服務器。在電路層網關中，包被（2）電路層代理124（3）自適應代理（AdaptiveProxy）自適應代理防火墻允許用戶根據具體需求，定義防火墻策略，而不會犧牲速度或安全性。如果對安全要求較高，那么最初的安全檢查仍在應用層進行，保證實現傳統代理防火墻的最大安全性。而一旦代理明確了會話的所有細節(jié)，其后的數據包就可以直接經過速度更快的網絡層。自適應代理可以和安全脆弱性掃描器、病毒安全掃描器和入侵檢測系統之間實現更加靈活的集成。作為自適應安全計劃的一部分，自適應代理將允許經過正確驗證的設備在安全傳感器和掃描儀發(fā)現重要的網絡威脅時，根據防火墻管理員事先確定的安全策略，自動“適應”防火墻級別。

（3）自適應代理（AdaptiveProxy）1255.2.3防火墻技術的發(fā)展趨勢1．功能融合

與VPN技術融合。

與入侵檢測技術和攻擊防御技術的融合

提供對應用層攻擊行為的檢測和對應用層內容的過濾功能。

提供防病毒的功能。

2．集成化管理

3．分布式體系結構

5.2.3防火墻技術的發(fā)展趨勢1．功能融合1265.3防火墻體系結構（1）雙重宿主主機結構；（2）被屏蔽主機結構；（3）被屏蔽子網結構。5.3防火墻體系結構（1）雙重宿主主機結構；1275.3.1.雙重宿主主機結構雙宿主機（Dual-homedhost），又稱堡壘主機（Bastionhost），是一臺至少配有兩個網絡接口的主機，它可以充當與這些接口相連的網絡之間的路由器，在網絡之間發(fā)送數據包。一般情況下雙宿主機的路由功能是被禁止的，這樣可以隔離內部網絡與外部網絡之間的直接通信，從而達到保護內部網絡的作用。5.3.1.雙重宿主主機結構雙宿主機（Dual-homed128雙重宿主主機雙重宿主主機1291．雙宿主機網關雙宿主機網關是用一臺裝有兩個網絡適配器的雙宿主機做防火墻。雙宿主機用兩個網絡適配器分別連接兩個網絡，又稱為堡壘主機。堡壘主機上運行著防火墻軟件（通常是代理服務器），可以轉發(fā)應用程序，提供服務等。1．雙宿主機網關1．雙宿主機網關1．雙宿主機網關1308.3.2屏蔽主機結構屏蔽主機結構需要配備一臺堡壘主機和一個有過濾功能的屏蔽路由器，如圖5-3所示，屏蔽路由器連接外部網絡，堡壘主機安裝在內部網絡上。通常在路由器上設立過濾規(guī)則，并使這個堡壘主機成為從外部網絡唯一可直接到達的主機。入侵者要想入侵內部網絡，必須過屏蔽路由器和堡壘主機兩道屏障，所以屏蔽主機結構比雙重宿主主機結構具有更好的安全性和可用性。8.3.2屏蔽主機結構屏蔽主機結構需要配備一臺堡壘主機和一個131屏蔽主機結構屏蔽主機結構1322．屏蔽主機網關堡壘主機有兩塊網卡，一塊連接內部網絡，一塊連接包過濾路由器。雙宿堡壘主機在應用層提供代理服務2．屏蔽主機結構2．屏蔽主機網關堡壘主機有兩塊網卡，一塊連接內部網絡，一塊1335.3.3屏蔽子網結構屏蔽子網結構是在屏蔽主機結構的基礎上添加額外

的安全層，即屏蔽子網，更進一步地把內部網絡與外部網絡隔離開。屏蔽子網結構包含外部和內部兩個路由器。兩個屏蔽路由器放在子網的兩端，在子網內構成一個安全性區(qū)域，通常叫做“非軍事區(qū)”DMZ。兩個路由器一個控制內網的數據流，另一個控制外網的數據流，Intranet和Internet均可訪問屏蔽子網，但禁止它們穿過屏蔽子網通信。

5.3.3屏蔽子網結構屏蔽子網結構是在屏蔽主機結構的基礎上1343．屏蔽子網結構3．屏蔽子網結構1353．屏蔽子網3．屏蔽子網屏蔽子網是在Intranet和Internet之間建立一個被隔離的子網，用兩個包過濾路由器將這一子網分別與Intranet和Internet分開。兩個包過濾路由器放在子網的兩端，在子網內構成一個“緩沖地帶”，兩個路由器一個控制Intranet數據流，另一個控制Internet數據流，Intranet和Internet均可訪問屏蔽子網，但禁止它們穿過屏蔽子網通信。

3．屏蔽子網3．屏蔽子網136屏蔽子網結構屏蔽子網結構1375.34防火墻的組合結構

建造防火墻時，一般很少采用單一的結構，通常是

多種結構的組合。一般有以下幾種形式：使用多堡壘主機；合并內部路由器與外部路由器；合并堡壘主機與外部路由器；合并堡壘主機與內部路由器；使用多臺內部路由器；使用多臺外部路由器；使用多個周邊網絡；使用雙重宿主主機與屏蔽子網。5.34防火墻的組合結構建造防火墻時，一般很少采用1388.4內部防火墻8.4.1分布式防火墻（DistributedFirewall）8.4.2嵌入式防火墻（EmbeddedFirewall）8.4.3個人防火墻8.4內部防火墻8.4.1分布式防火墻（Distrib1398.4內部防火墻"邊界防火墻（PerimeterFirewall）"

因為傳統的防火墻設置在網絡邊界，處于內、外部

互聯網之間，所以稱為"邊界防火墻（PerimeterFirewall）"。邊界防火墻的不足

隨著人們對網絡安全防護要求的提高，邊界防火墻明顯感覺到力不從心，因為給網絡帶來安全威脅的不僅是外網，更多的是來自內網。邊界防火墻無法對內網實現有效地保護。新型的防火墻技術

分布式防火墻（DistributedFirewalls）技術8.4內部防火墻"邊界防火墻（PerimeterFire140分布式防火墻的設計理念邊界防火墻

所有邊界防火墻，都是基于一個共同的假設：那就是防火墻把內網一端的用戶看成是可信任的，而外網一端的用戶則都被作為潛在的攻擊者來對待。分布式防火墻分布式防火墻是一種主機駐留式的安全系統，它是以主機為保護對象，它的設計理念是：主機以外的任何用戶都是不可信任的，對來自他們的訪問都需要進行過濾，無論是來自Internet，還是來自內部網絡。它們對個人計算機進行保護的方式如同邊界防火墻對整個內部網絡進行保護一樣。分布式防火墻的設計理念邊界防火墻1418.4.1分布式防火墻分布式防火墻是一種全新的防火墻概念，是比較完

善的一種防火墻技術，它是在邊界防火墻的基礎上開發(fā)的，目前主要以軟件形式出現。"分布式防火墻"是一個完整的系統，其保護對象包括：⑴網絡邊界，即內、外網的接口；⑵內網中的各個子網；⑶網絡內部各節(jié)點，包括：服務器、桌面主機8.4.1分布式防火墻分布式防火墻是一種全新的防火墻概念142

分布式防火墻體系結構分布式防火墻包含以下三個部分：網絡防火墻（NetworkFirewall）主機防火墻（HostFirewall）中心管理（CentralManagement）分布式防火墻體系結構分布式防火墻包含以下三個部分：143分布式防火墻體系結構網絡防火墻（NetworkFirewall）：網絡防火墻有軟件與硬件兩種產品作用：用于內部網與外部網之間，以及內部網各子網之間的防護。在功能與傳統的邊界式防火墻類似。與傳統邊界式防火墻相比，它多了個對內部子網之間的安全防護層，這樣整個網絡的安全防護體系就顯得更加全面，更加可靠。分布式防火墻體系結構網絡防火墻（NetworkFirewa144分布式防火墻體系結構主機防火墻（HostFirewall）：有軟件和硬件兩種產品；作用：用于對網絡中的服務器和桌面主機進行防護，以確保內部網絡服務器和桌面機的安全。分布式防火墻的作用：⑴用于內部與外部網之間的防護；⑵用于內部網各子網之間；⑶同一內部子網工作站與服務器之間。分布式防火墻可以說達到了應用層的安全防護。是對傳統邊界式防火墻在安全體系方面的一個極大完善。分布式防火墻體系結構主機防火墻（HostFirewall）145分布式防火墻體系結構中心管理（CentralManagerment）：是一個服務器軟件，負責總體安全策略：策劃管理分發(fā)日志的匯總這樣防火墻就可進行智能管理，提高了防火墻的安全防護靈活性，具備可管理性。分布式防火墻體系結構中心管理（CentralManager1468.4.1分布式防火墻分布式防火墻的主要特點主機駐留嵌入操作系統內核類似于個人防火墻適用于服務器托管8.4.1分布式防火墻分布式防火墻的主要特點147（1）主機駐留

分布式防火墻的最主要特點就是采用主機駐留方式，

所以稱之為"主機防火墻"，它的重要特征是駐留在被保護的主機上，該主機以外的網絡不管是處在網絡內部還是網絡外部都認為是不可信任的，因此可以針對該主機上運行的具體應用和對外提供的服務設定針對性很強的安全策略。主機防火墻對分布式防火墻體系結構的突出貢獻是，使安全策略不僅僅停留在網絡與網絡之間，而是把安全策略推廣延伸到每個網絡末端。（1）主機駐留

分布式防火墻的最主要特點就是采用主機駐留方式148（2）嵌入操作系統內核操作系統自身存在許多安全漏洞，運行在其上的應用

軟件無一不受到威脅。分布式主機防火墻也運行在該主機上，所以防火墻自身也會受到因操作系統漏洞而帶來的威脅。為確保自身的安全和徹底堵住操作系統的漏洞，主機防火墻的安全監(jiān)測核心引擎要以嵌入操作系統內核的形態(tài)運行，直接接管網卡，在把所有數據包進行檢查后再提交操作系統。為實現這樣的運行機制，除防火墻廠商自身的開發(fā)技術外，與操作系統廠商的技術合作也是必要的條件，因為這需要