網(wǎng)絡(luò)安全(第二章)

第二章防火墻技術(shù)及應(yīng)用防火墻技術(shù)概述防火墻的體系結(jié)構(gòu)防火墻的實(shí)現(xiàn)技術(shù)典型防火墻的設(shè)置防火墻技術(shù)展望瑞星個(gè)人防火墻應(yīng)用實(shí)例CiscoPIX防火墻基礎(chǔ)配置實(shí)例防火墻概述防火墻的提出什么是防火墻防火墻的功能防火墻的分類(lèi)防火墻的局限性防火墻的提出企業(yè)上網(wǎng)面臨的安全問(wèn)題之一：

需要內(nèi)部網(wǎng)與外部網(wǎng)有效隔離解答：

防火墻防火墻示意圖防火墻技術(shù)防火墻的概念防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信賴(lài)的企業(yè)內(nèi)部局域網(wǎng)和不可信賴(lài)的公共網(wǎng)絡(luò)）之間或網(wǎng)絡(luò)安全域之間的一系列部件的組合，通過(guò)監(jiān)測(cè)、限制、更改進(jìn)入不同網(wǎng)絡(luò)或不同安全域的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的入侵，實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施，一個(gè)高效可靠的防火墻應(yīng)用具備以下的基本特性：

·防火墻是不同網(wǎng)絡(luò)之間，或網(wǎng)絡(luò)的不同安全域之間的唯一出入口，從里到外和從外到里的所有信息都必須通過(guò)防火墻；

·通過(guò)安全策略來(lái)控制不同網(wǎng)絡(luò)或網(wǎng)絡(luò)不同安全域之間的通信，只有本地安全策略授權(quán)的通信才允許通過(guò)；

·防火墻本身是免疫的，即防火墻本身具有較強(qiáng)的抗攻擊能力。什么是防火墻不可信網(wǎng)絡(luò)和服務(wù)器可信網(wǎng)絡(luò)防火墻路由器InternetIntranet可信用戶不可信用戶

DMZ什么是防火墻最初含義：當(dāng)房屋還處于木制結(jié)構(gòu)的時(shí)侯，人們將石塊堆砌在房屋周?chē)脕?lái)防止火災(zāi)的發(fā)生。這種墻被稱(chēng)之為防火墻。防火墻是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間）的軟件或硬件設(shè)備的組合，它對(duì)兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過(guò)強(qiáng)制實(shí)施統(tǒng)一的安全策略，防止對(duì)重要信息資源的非法存取和訪問(wèn)以達(dá)到保護(hù)系統(tǒng)安全的目的。什么是防火墻定義：防火墻（Firewall）是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制的特殊網(wǎng)絡(luò)互連設(shè)備，是一種非常有效的網(wǎng)絡(luò)安全模型。

核心思想：在不安全的網(wǎng)際網(wǎng)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。

目的：都是為了在被保護(hù)的內(nèi)部網(wǎng)與不安全的非信任網(wǎng)絡(luò)之間設(shè)立唯一的通道，以按照事先制定的策略控制信息的流入和流出，監(jiān)督和控制使用者的操作。什么是防火墻防火墻可在鏈路層、網(wǎng)絡(luò)層和應(yīng)用層上實(shí)現(xiàn)；其功能的本質(zhì)特征是隔離內(nèi)外網(wǎng)絡(luò)和對(duì)進(jìn)出信息流實(shí)施訪問(wèn)控制。隔離方法可以是基于物理的，也可以是基于邏輯的；從網(wǎng)絡(luò)防御體系上看，防火墻是一種被動(dòng)防御的保護(hù)裝置。防火墻的功能①網(wǎng)絡(luò)安全的屏障；②過(guò)濾不安全的服務(wù)；（兩層含義）

內(nèi)部提供的不安全服務(wù)和內(nèi)部訪問(wèn)外部的不安全服務(wù)③阻斷特定的網(wǎng)絡(luò)攻擊；（聯(lián)動(dòng)技術(shù)的產(chǎn)生）④部署NAT機(jī)制；⑤提供了監(jiān)視局域網(wǎng)安全和預(yù)警的方便端點(diǎn)。

提供包括安全和統(tǒng)計(jì)數(shù)據(jù)在內(nèi)的審計(jì)數(shù)據(jù)，好的防火墻還能靈活設(shè)置各種報(bào)警方式。防火墻的功能防火墻的基本功能1．監(jiān)控并限制訪問(wèn)2．控制協(xié)議和服務(wù)3．保護(hù)內(nèi)部網(wǎng)絡(luò)4．網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）5．虛擬專(zhuān)用網(wǎng)（VPN）6．日志記錄與審計(jì)防火墻的分類(lèi)1.個(gè)人防火墻是在操作系統(tǒng)上運(yùn)行的軟件，可為個(gè)人計(jì)算機(jī)提供簡(jiǎn)單的防火墻功能；大家常用的個(gè)人防火墻有：NortonPersonalFirewall、天網(wǎng)個(gè)人防火墻、瑞星個(gè)人防火墻等；安裝在個(gè)人PC上，而不是放置在網(wǎng)絡(luò)邊界，因此，個(gè)人防火墻關(guān)心的不是一個(gè)網(wǎng)絡(luò)到另外一個(gè)網(wǎng)絡(luò)的安全，而是單個(gè)主機(jī)和與之相連接的主機(jī)或網(wǎng)絡(luò)之間的安全。防火墻的分類(lèi)2.軟件防火墻個(gè)人防火墻也是一種純軟件防火墻，但其應(yīng)用范圍較小，且只支持Windows系統(tǒng)，功能相對(duì)來(lái)說(shuō)要弱很多，并且安全性和并發(fā)連接處理能力較差；作為網(wǎng)絡(luò)防火墻的軟件防火墻具有比個(gè)人防火墻更強(qiáng)的控制功能和更高的性能。不僅支持Windows系統(tǒng)，并且多數(shù)都支持Unix或Linux系統(tǒng)。如十分著名的CheckPoint，F(xiàn)ireWall-1，MicrosoftISAServer2000等

。防火墻的分類(lèi)3.一般硬件防火墻不等同于采用專(zhuān)用芯片的純硬件防火墻，但和純軟件防火墻有很大差異

；一般由小型的防火墻廠商開(kāi)發(fā)，或者是大型廠商開(kāi)發(fā)的中低端產(chǎn)品，應(yīng)用于中小型企業(yè)，功能比較全，但性能一般；一般都采用PC架構(gòu)（就是一臺(tái)嵌入式主機(jī)），但使用的各個(gè)配件都量身定制。防火墻的分類(lèi)其操作系統(tǒng)一般都采用經(jīng)過(guò)精簡(jiǎn)和修改過(guò)內(nèi)核的Linux或Unix，安全性比使用通用操作系統(tǒng)的純軟件防火墻要好很多，并且不會(huì)在上面運(yùn)行不必要的服務(wù)，這樣的操作系統(tǒng)基本就沒(méi)有什么漏洞。但是，這種防火墻使用的操作系統(tǒng)內(nèi)核一般是固定的，是不可升級(jí)的，因此新發(fā)現(xiàn)的漏洞對(duì)防火墻來(lái)說(shuō)可能是致命的

；國(guó)內(nèi)自主開(kāi)發(fā)的防火墻大部分都屬于這種類(lèi)型。防火墻的分類(lèi)4.純硬件防火墻采用專(zhuān)用芯片（非X86芯片）來(lái)處理防火墻核心策略的一種硬件防火墻，也稱(chēng)為芯片級(jí)防火墻。（專(zhuān)用集成電路（ASIC）芯片或者網(wǎng)絡(luò)處理器（NP）芯片）；最大的亮點(diǎn)：高性能，非常高的并發(fā)連接數(shù)和吞吐量；采用ASIC芯片的方法在國(guó)外比較流行，技術(shù)也比較成熟，如美國(guó)NetScreen公司的高端防火墻產(chǎn)品；國(guó)內(nèi)芯片級(jí)防火墻大多還處于開(kāi)發(fā)發(fā)展的階段，采用的是NP技術(shù)。防火墻的分類(lèi)5.分布式防火墻前面提到的幾種防火墻都屬于邊界防火墻（PerimeterFirewall），它無(wú)法對(duì)內(nèi)部網(wǎng)絡(luò)實(shí)現(xiàn)有效地保護(hù)；隨著人們對(duì)網(wǎng)絡(luò)安全防護(hù)要求的提高，產(chǎn)生了一種新型的防火墻體系結(jié)構(gòu)——分布式防火墻。近幾年，分布式防火墻技術(shù)已逐漸興起，并在國(guó)外一些大的網(wǎng)絡(luò)設(shè)備開(kāi)發(fā)商中得到實(shí)現(xiàn)，由于其優(yōu)越的安全防護(hù)體系，符合未來(lái)的發(fā)展趨勢(shì)，這一技術(shù)一出現(xiàn)就得到了許多用戶的認(rèn)可和接受。防火墻的局限性網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開(kāi)放性和靈活性為代價(jià)的。防火墻的使用也會(huì)削弱網(wǎng)絡(luò)的功能：

①由于防火墻的隔離作用，在保護(hù)內(nèi)部網(wǎng)絡(luò)的同時(shí)使它與外部網(wǎng)絡(luò)的信息交流受到阻礙；

②由于在防火墻上附加各種信息服務(wù)的代理軟件，增大了網(wǎng)絡(luò)管理開(kāi)銷(xiāo)，還減慢了信息傳輸速率，在大量使用分布式應(yīng)用的情況下，使用防火墻是不切實(shí)際的。防火墻的局限性防火墻只是整個(gè)網(wǎng)絡(luò)安全防護(hù)體系的一部分，而且防火墻并非萬(wàn)無(wú)一失：

①只能防范經(jīng)過(guò)其本身的非法訪問(wèn)和攻擊，對(duì)繞過(guò)防火墻的訪問(wèn)和攻擊無(wú)能為力；②不能解決來(lái)自?xún)?nèi)部網(wǎng)絡(luò)的攻擊和安全問(wèn)題；③不能防止受病毒感染的文件的傳輸；④不能防止策略配置不當(dāng)或錯(cuò)誤配置引起的安全威脅；⑤不能防止自然或人為的故意破壞；不能防止本身安全漏洞的威脅。防火墻的局限性防火墻的評(píng)價(jià)--防火墻不可以防范什么防火墻不是解決所有網(wǎng)絡(luò)安全問(wèn)題的萬(wàn)能藥方，只是網(wǎng)絡(luò)安全政策和策略中的一個(gè)組成部分。防火墻不能防范繞過(guò)防火墻的攻擊，例:內(nèi)部提供撥號(hào)服務(wù)。無(wú)法防護(hù)內(nèi)部用戶之間的攻擊無(wú)法防護(hù)基于操作系統(tǒng)漏洞的攻擊無(wú)法防護(hù)內(nèi)部用戶的其他惡意行為無(wú)法防護(hù)端口反彈木馬的攻擊無(wú)法防護(hù)病毒的侵襲和病毒感染程序或文件的傳遞無(wú)法防護(hù)非法通道出現(xiàn)防火墻的基本原理所有的防火墻功能的實(shí)現(xiàn)都依賴(lài)于對(duì)通過(guò)防火墻的數(shù)據(jù)包的相關(guān)信息進(jìn)行檢查，而且檢查的項(xiàng)目越多、層次越深，則防火墻越安全。由于現(xiàn)在計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)采用自頂向下的分層模型，而分層的主要依據(jù)是各層的功能劃分，不同層次功能的實(shí)現(xiàn)又是通過(guò)相關(guān)的協(xié)議來(lái)實(shí)現(xiàn)的。所以，防火墻檢查的重點(diǎn)是網(wǎng)絡(luò)協(xié)議及采用相關(guān)協(xié)議封裝的數(shù)據(jù)。防火墻的基本準(zhǔn)則1．所有未被允許的就是禁止的

所有未被允許的就是禁止的，這一準(zhǔn)則是指根據(jù)用戶的安全管理策略，所有未被允許的通信禁止通過(guò)防火墻。2．所有未被禁止的就是允許的

所有未被禁止的就是允許的，這一準(zhǔn)則是指根據(jù)用戶的安全管理策略，防火墻轉(zhuǎn)發(fā)所有信息流，允許所有的用戶和站點(diǎn)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，然后網(wǎng)絡(luò)管理員按照IP地址等參數(shù)對(duì)未授權(quán)的用戶或不信任的站點(diǎn)進(jìn)行逐項(xiàng)屏蔽。2防火墻的體系結(jié)構(gòu)分組過(guò)濾路由器雙宿主機(jī)屏蔽主機(jī)屏蔽子網(wǎng)防火墻的體系結(jié)構(gòu)防火墻的體系結(jié)構(gòu)：是指防火墻系統(tǒng)實(shí)現(xiàn)所采用的架構(gòu)及其實(shí)現(xiàn)所采用的方法，它決定著防火墻的功能、性能以及使用范圍。防火墻可以被設(shè)置成許多不同的結(jié)構(gòu)，并提供不同級(jí)別的安全，而維護(hù)運(yùn)行的費(fèi)用也各不相同。分組過(guò)濾路由器分組過(guò)濾路由器作為內(nèi)外網(wǎng)連接的唯一通道，要求所有的報(bào)文都必須在此通過(guò)檢查。通過(guò)在分組過(guò)濾路由器上安裝基于IP層的報(bào)文過(guò)濾軟件，就可利用過(guò)濾規(guī)則實(shí)現(xiàn)報(bào)文過(guò)濾功能。缺點(diǎn)：在單機(jī)上實(shí)現(xiàn)，是網(wǎng)絡(luò)中的“單失效點(diǎn)”。不支持有效的用戶認(rèn)證、不提供有用的日志，安全性低。分組過(guò)濾路由器舉例分組過(guò)濾路由器舉例分組過(guò)濾路由器舉例分組過(guò)濾路由器舉例雙宿主機(jī)雙宿主機(jī)在被保護(hù)網(wǎng)絡(luò)和Internet之間設(shè)置一個(gè)具有雙網(wǎng)卡的堡壘主機(jī)，IP層的通信完全被阻止，兩個(gè)網(wǎng)絡(luò)之間的通信可以通過(guò)應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來(lái)完成通常采用代理服務(wù)的方法堡壘主機(jī)上運(yùn)行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序和提供服務(wù)等優(yōu)缺點(diǎn)：堡壘主機(jī)的系統(tǒng)軟件可用于身份認(rèn)證和維護(hù)系統(tǒng)日志，有利于進(jìn)行安全審計(jì)該方式的防火墻仍是網(wǎng)絡(luò)的“單失效點(diǎn)”。隔離了一切內(nèi)部網(wǎng)與Internet的直接連接，不適合于一些高靈活性要求的場(chǎng)合屏蔽主機(jī)屏蔽主機(jī)一個(gè)分組過(guò)濾路由器連接外部網(wǎng)絡(luò)，同時(shí)一個(gè)運(yùn)行網(wǎng)關(guān)軟件的堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)。通常在路由器上設(shè)立過(guò)濾規(guī)則，使這個(gè)堡壘主機(jī)成為從外部唯一可直接到達(dá)的主機(jī)。提供的安全等級(jí)較高，因?yàn)樗鼘?shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過(guò)濾）和應(yīng)用層安全（代理服務(wù)）。過(guò)濾路由器是否正確配置是這種防火墻安全與否的關(guān)鍵。過(guò)濾路由器的路由表應(yīng)當(dāng)受到嚴(yán)格的保護(hù)，如果路由表遭到破壞，則堡壘主機(jī)就有被越過(guò)的危險(xiǎn)。屏蔽子網(wǎng)屏蔽子網(wǎng)是最安全的防火墻系統(tǒng)，它在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)（非軍事區(qū)，DMZ（DemilitarizedZone））在很多實(shí)現(xiàn)中，兩個(gè)分組過(guò)濾路由器放在子網(wǎng)的兩端，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問(wèn)被屏蔽子網(wǎng)，但禁止它們穿過(guò)被屏蔽子網(wǎng)通信通常將堡壘主機(jī)、各種信息服務(wù)器等公用服務(wù)器放于DMZ中堡壘主機(jī)通常是黑客集中攻擊的目標(biāo)，如果沒(méi)有DMZ，入侵者控制堡壘主機(jī)后就可以監(jiān)聽(tīng)整個(gè)內(nèi)部網(wǎng)絡(luò)的會(huì)話3防火墻的實(shí)現(xiàn)技術(shù)數(shù)據(jù)包過(guò)濾（PacketFiltering）代理服務(wù)（ProxyService）狀態(tài)檢測(cè)（StatefulInspection）網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation

）數(shù)據(jù)包過(guò)濾（1/6）

（包過(guò)濾防火墻）

應(yīng)用層表示層會(huì)話層傳輸層數(shù)據(jù)鏈路層物理層路由器應(yīng)用層表示層會(huì)話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層數(shù)據(jù)包過(guò)濾（2/6）數(shù)據(jù)包過(guò)濾技術(shù)是一種簡(jiǎn)單、高效的安全控制技術(shù)，是防火墻發(fā)展初期普遍采用的技術(shù)。工作原理：系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，與應(yīng)用層無(wú)關(guān)。依據(jù)在系統(tǒng)內(nèi)設(shè)置的過(guò)濾規(guī)則（通常稱(chēng)為訪問(wèn)控制表——AccessControlList）對(duì)數(shù)據(jù)流中每個(gè)數(shù)據(jù)包包頭中的參數(shù)或它們的組合進(jìn)行檢查，以確定是否允許該數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。數(shù)據(jù)包過(guò)濾（3/6）包過(guò)濾一般要檢查（網(wǎng)絡(luò)層的IP頭和傳輸層的頭）：

IP源地址

IP目的地址協(xié)議類(lèi)型（TCP包/UDP包/ICMP包）

TCP或UDP的源端口

TCP或UDP的目的端口

ICMP消息類(lèi)型

TCP報(bào)頭中的ACK位如圖8-5所示，當(dāng)網(wǎng)絡(luò)管理員在防火墻上設(shè)置了過(guò)濾規(guī)則后，在防火墻中會(huì)形成一個(gè)過(guò)濾規(guī)則表。當(dāng)數(shù)據(jù)包進(jìn)入防火墻時(shí)，防火墻會(huì)將IP分組的頭部信息與過(guò)濾規(guī)則表進(jìn)行逐條比對(duì)，根據(jù)比對(duì)結(jié)果決定是否允許數(shù)據(jù)包通過(guò)。圖8-5包過(guò)濾防火墻工作示意圖3．包過(guò)濾防火墻的應(yīng)用特點(diǎn)包過(guò)濾防火墻是一種技術(shù)非常成熟、應(yīng)用非常廣泛的防火墻技術(shù)，具有以下的主要特點(diǎn)：（1）過(guò)濾規(guī)則表需要事先進(jìn)行人工設(shè)置，規(guī)則表中的條目根據(jù)用戶的安全要求來(lái)定。（2）防火墻在進(jìn)行檢查時(shí)，首先從過(guò)濾規(guī)則表中的第1個(gè)條目開(kāi)始逐條進(jìn)行，所以過(guò)濾規(guī)則表中條目的先后順序非常重要。（3）由于包過(guò)濾防火墻工作在OSI參考模型的網(wǎng)絡(luò)層和傳輸層，所以包過(guò)濾防火墻對(duì)通過(guò)的數(shù)據(jù)包的速度影響不大，實(shí)現(xiàn)成本較低。數(shù)據(jù)包過(guò)濾（4/6）舉例： 某條過(guò)濾規(guī)則為：禁止地址1的任意端口到地址2的80端口的TCP包。

含義？表示禁止地址1的計(jì)算機(jī)連接地址2的計(jì)算機(jī)的WWW服務(wù)。包過(guò)濾的基本過(guò)程：包過(guò)濾規(guī)則必須被包過(guò)濾設(shè)備端口存儲(chǔ)起來(lái)當(dāng)?shù)竭_(dá)端口時(shí)，對(duì)包報(bào)頭進(jìn)行語(yǔ)法分析。大多數(shù)包過(guò)濾設(shè)備只檢查IP，TCP或UDP報(bào)頭中的字段包過(guò)濾規(guī)則以特殊的方式存儲(chǔ)。應(yīng)用于包的規(guī)則的順序與包過(guò)濾器規(guī)則存儲(chǔ)順序必須相同若一條規(guī)則阻止包傳輸或接收，則此包便不被允許若一條規(guī)則允許包傳輸或接收，則此包可以被繼續(xù)處理若包不滿足任何一條規(guī)則，則此包便被默認(rèn)阻塞數(shù)據(jù)包過(guò)濾（5/6）優(yōu)點(diǎn)： 邏輯簡(jiǎn)單，價(jià)格便宜，易于安裝和使用，網(wǎng)絡(luò)性能和透明性好。主要缺點(diǎn)：安全控制的力度只限于源地址、目的地址和端口號(hào)等，不能保存與傳輸或與應(yīng)用相關(guān)的狀態(tài)信息，因而只能進(jìn)行較為初步的安全控制，安全性較低；數(shù)據(jù)包的源地址、目的地址以及端口號(hào)等都在數(shù)據(jù)包的頭部，很有可能被竊聽(tīng)或假冒。數(shù)據(jù)包過(guò)濾（6/6）注意：①創(chuàng)建規(guī)則比較困難；②規(guī)則過(guò)于復(fù)雜并難以測(cè)試，必須要用手工或用儀器才能徹底檢測(cè)規(guī)則的正確性；③對(duì)特定協(xié)議包的過(guò)濾：

FTP協(xié)議：使用兩個(gè)端口，因此要作特殊的考慮；

UDP協(xié)議：要對(duì)UDP數(shù)據(jù)包進(jìn)行過(guò)濾，防火墻應(yīng)有動(dòng)態(tài)數(shù)據(jù)包過(guò)濾的特點(diǎn)；

ICMP協(xié)議：應(yīng)根據(jù)ICMP的類(lèi)型進(jìn)行過(guò)濾。思考：為什么說(shuō)包過(guò)濾中過(guò)濾規(guī)則的順序?qū)Ψ阑饓Φ男阅軙?huì)有關(guān)鍵影響？代理服務(wù)（1/4）

（代理防火墻）應(yīng)用層表示層會(huì)話層傳輸層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層TelnetHTTPFTP應(yīng)用層表示層會(huì)話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層網(wǎng)絡(luò)層代理防火墻1．代理防火墻的工作原理代理防火墻具有傳統(tǒng)的代理服務(wù)器和防火墻的雙重功能。如圖8-6所示，代理服務(wù)器位于客戶機(jī)與服務(wù)器圖8-6代理防火墻的工作示意圖之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來(lái)看，代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器；而從服務(wù)器來(lái)看，代理服務(wù)器僅是一臺(tái)客戶機(jī)。代理服務(wù)（2/4）是運(yùn)行于連接內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的主機(jī)（堡壘主機(jī)）上的一種應(yīng)用，是一種比較高級(jí)的防火墻技術(shù)。

工作過(guò)程：當(dāng)用戶需要訪問(wèn)代理服務(wù)器另一側(cè)的主機(jī)時(shí)，對(duì)符合安全規(guī)則的連接，代理服務(wù)器會(huì)代替主機(jī)響應(yīng)，并重新向主機(jī)發(fā)出一個(gè)相同的請(qǐng)求。當(dāng)此連接請(qǐng)求得到回應(yīng)并建立起連接之后，內(nèi)部主機(jī)同外部主機(jī)之間的通信將通過(guò)代理程序把相應(yīng)連接進(jìn)行映射來(lái)實(shí)現(xiàn)。對(duì)于用戶而言，似乎是直接與外部網(wǎng)絡(luò)相連。代理防火墻具有以下的主要特點(diǎn)：（1）代理防火墻可以針對(duì)應(yīng)用層進(jìn)行檢測(cè)和掃描，可有效地防止應(yīng)用層的惡意入侵和病毒。（2）代理防火墻具有較高的安全性。由于每一個(gè)內(nèi)外網(wǎng)絡(luò)之間的連接都要通過(guò)代理服務(wù)器的介入和轉(zhuǎn)換，而且在代理防火墻上會(huì)針對(duì)每一種網(wǎng)絡(luò)應(yīng)用（如HTTP）使用特定的應(yīng)用程序來(lái)處理。代理防火墻的應(yīng)用特點(diǎn)（3）代理服務(wù)器通常擁有高速緩存，緩存中保存了用戶最近訪問(wèn)過(guò)的站點(diǎn)內(nèi)容。（4）代理防火墻的缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響，系統(tǒng)的處理效率會(huì)有所下降，因?yàn)榇硇头阑饓?duì)數(shù)據(jù)包進(jìn)行內(nèi)部結(jié)構(gòu)的分析和處理，這會(huì)導(dǎo)致數(shù)據(jù)包的吞吐能力降低（低于包過(guò)濾防火墻）。代理服務(wù)（3/4）主要優(yōu)點(diǎn)：內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等重要信息不易外泄，從而減少了黑客攻擊時(shí)所必需的必要信息；可以實(shí)施用戶認(rèn)證、詳細(xì)日志、審計(jì)跟蹤和數(shù)據(jù)加密等功能和對(duì)具體協(xié)議及應(yīng)用的過(guò)濾，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡，安全性較高。代理服務(wù)（4/4）主要缺點(diǎn)：①針對(duì)不同的應(yīng)用層協(xié)議必須有單獨(dú)的應(yīng)用代理，也不能自動(dòng)支持新的網(wǎng)絡(luò)應(yīng)用；②有些代理還需要相應(yīng)的支持代理的客戶和服務(wù)器軟件；用戶可能還需要專(zhuān)門(mén)學(xué)習(xí)程序的使用方法才能通過(guò)代理訪問(wèn)Internet；③性能下降。狀態(tài)檢測(cè)（1/5）

（狀態(tài)檢測(cè)防火墻）物理層引擎檢測(cè)動(dòng)態(tài)狀態(tài)表應(yīng)用層表示層會(huì)話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層應(yīng)用層表示層會(huì)話層傳輸層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層應(yīng)用層表示層會(huì)話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層靜態(tài)包過(guò)濾的缺陷

由于靜態(tài)包過(guò)濾技術(shù)要檢查進(jìn)入防火墻的每一個(gè)數(shù)據(jù)包，所以在一定程序上影響了網(wǎng)絡(luò)的通信速度。另外，靜態(tài)包過(guò)濾技術(shù)固定地根據(jù)包的頭部信息進(jìn)行規(guī)則的匹配，這種方法在遇到利用動(dòng)態(tài)端口的應(yīng)用協(xié)議時(shí)就會(huì)出現(xiàn)問(wèn)題。

狀態(tài)檢測(cè)技術(shù)及優(yōu)勢(shì)

狀態(tài)檢測(cè)技術(shù)即動(dòng)態(tài)包過(guò)濾技術(shù)。狀態(tài)檢測(cè)防火墻檢查的不僅僅是數(shù)據(jù)包中的頭部信息，而且會(huì)跟蹤數(shù)據(jù)包的狀態(tài)，即不同數(shù)據(jù)包之間的共性。狀態(tài)檢測(cè)（2/5）狀態(tài)檢測(cè)防火墻是在動(dòng)態(tài)包過(guò)濾的基礎(chǔ)上，增加了狀態(tài)檢測(cè)機(jī)制而形成的；動(dòng)態(tài)包過(guò)濾與普通包過(guò)濾相比，需要多做一項(xiàng)工作：對(duì)外出數(shù)據(jù)包的“身份”做一個(gè)標(biāo)記，允許相同連接的進(jìn)入數(shù)據(jù)包通過(guò)。狀態(tài)檢測(cè)（3/5）利用狀態(tài)表跟蹤每一個(gè)網(wǎng)絡(luò)會(huì)話的狀態(tài)，對(duì)每一個(gè)數(shù)據(jù)包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會(huì)話所處的狀態(tài)；狀態(tài)檢測(cè)防火墻采用了一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎，稱(chēng)之為檢測(cè)模塊。檢測(cè)模塊在不影響網(wǎng)絡(luò)正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測(cè)，并動(dòng)態(tài)地保存起來(lái)作為以后制定安全決策的參考。狀態(tài)檢測(cè)（4/5）既能夠提供代理服務(wù)的控制靈活性，又能夠提供包過(guò)濾的高效性，是二者的結(jié)合；工作過(guò)程： 對(duì)新建的應(yīng)用連接，狀態(tài)檢測(cè)檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接；請(qǐng)求數(shù)據(jù)包通過(guò)，并記錄下該連接的相關(guān)信息，生成狀態(tài)表。對(duì)該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過(guò)。（狀態(tài)檢測(cè)的邏輯流程圖）狀態(tài)檢測(cè)防火墻的工作過(guò)程

狀態(tài)檢測(cè)防火墻的工作過(guò)程如圖8-7所示。在狀態(tài)檢測(cè)防火墻中有一個(gè)狀態(tài)檢測(cè)表，它由規(guī)則表和連接狀態(tài)表兩部分組成。狀態(tài)檢測(cè)防火墻的工作過(guò)程是：首先利用規(guī)則表進(jìn)行數(shù)據(jù)包的過(guò)濾，此過(guò)程與靜態(tài)包過(guò)濾防火墻基本相同。如果某一個(gè)數(shù)據(jù)包（如“IP分組B1”）在進(jìn)入防火墻時(shí)，規(guī)則表拒絕它通過(guò)，則防火墻直接丟棄該數(shù)據(jù)包，與該數(shù)據(jù)包相關(guān)的后續(xù)數(shù)據(jù)包（如“IP分組B2”、“IP分組B3”等）同樣會(huì)被拒絕通過(guò)。狀態(tài)檢測(cè)的邏輯流程圖數(shù)據(jù)包到達(dá)防火墻的接口數(shù)據(jù)包已經(jīng)在連接嗎對(duì)數(shù)據(jù)包特征檢測(cè)YES策略是否允許數(shù)據(jù)包內(nèi)容轉(zhuǎn)發(fā)數(shù)據(jù)包更新對(duì)話表，記錄日志YESYES數(shù)據(jù)包符合規(guī)則集是否通過(guò)數(shù)據(jù)包YES拒絕和丟棄數(shù)據(jù)包并記錄日志NONO圖8-7狀態(tài)檢測(cè)防火墻的工作示意圖

狀態(tài)檢測(cè)（5/5）主要優(yōu)點(diǎn)：①高安全性（工作在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間；“狀態(tài)感知”能力）②高效性（對(duì)連接的后續(xù)數(shù)據(jù)包直接進(jìn)行狀態(tài)檢查）③應(yīng)用范圍廣（支持基于無(wú)連接協(xié)議的應(yīng)用）主要缺點(diǎn)： 狀態(tài)檢測(cè)防火墻在阻止DDoS攻擊、病毒傳播問(wèn)題以及高級(jí)應(yīng)用入侵問(wèn)題（如實(shí)現(xiàn)應(yīng)用層內(nèi)容過(guò)濾）等方面顯得力不從心。跟蹤連接狀態(tài)的方式

狀態(tài)檢測(cè)防火墻跟蹤連接狀態(tài)的方式取決于所使用的傳輸層協(xié)議，下面進(jìn)行簡(jiǎn)要的分析和介紹。（1）TCP數(shù)據(jù)包。（2）UDP數(shù)據(jù)包。狀態(tài)檢測(cè)防火墻的應(yīng)用特點(diǎn)狀態(tài)檢測(cè)防火墻具有以下的主要特點(diǎn)：（1）與靜態(tài)包過(guò)濾防火墻相比，采用動(dòng)態(tài)包過(guò)濾技術(shù)的狀態(tài)檢測(cè)防火墻通過(guò)對(duì)數(shù)據(jù)包的跟蹤檢測(cè)技術(shù)，解決了靜態(tài)包過(guò)濾防火墻中某些應(yīng)用需要使用動(dòng)態(tài)端口時(shí)存在的安全隱患，解決了靜態(tài)包過(guò)濾防火墻存在的一些缺陷。（2）與代理防火墻相比，狀態(tài)檢測(cè)防火墻不需要中斷直接參與通信的兩臺(tái)主機(jī)之間的連接，對(duì)網(wǎng)絡(luò)速度的影響較小。（3）狀態(tài)檢測(cè)防火墻具有新型的分布式防火墻的特征。（4）狀態(tài)檢測(cè)防火墻的不足主要表現(xiàn)為：對(duì)防火墻CPU、內(nèi)存等硬件要求較高、安全性主要依賴(lài)于防火墻操作系統(tǒng)的安全性、安全性不如代理防火墻。網(wǎng)絡(luò)地址轉(zhuǎn)換（1/4）NAT示意圖網(wǎng)絡(luò)地址轉(zhuǎn)換（1/4）網(wǎng)絡(luò)地址轉(zhuǎn)換/翻譯（NAT，NetworkAddressTranslation）就是將一個(gè)IP地址用另一個(gè)IP地址代替。NAT的主要作用：隱藏內(nèi)部網(wǎng)絡(luò)的IP地址；解決地址緊缺問(wèn)題。

注意：NAT本身并不是一種有安全保證的方案，它僅僅在包的最外層改變IP地址。所以通常要把NAT集成在防火墻系統(tǒng)中。網(wǎng)絡(luò)地址轉(zhuǎn)換（2/4）NAT是基于網(wǎng)絡(luò)層的應(yīng)用，按照不同的理解角度（實(shí)現(xiàn)方式/數(shù)據(jù)流向）分類(lèi)也不同。

SNAT和DNAT靜態(tài)（static）網(wǎng)絡(luò)地址轉(zhuǎn)換和動(dòng)態(tài)（dynamic）網(wǎng)絡(luò)地址轉(zhuǎn)換源（source）網(wǎng)絡(luò)地址轉(zhuǎn)換和目標(biāo)（destination）網(wǎng)絡(luò)地址轉(zhuǎn)換

靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換：內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址；

動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換：可用的合法IP地址是一個(gè)范圍，而內(nèi)部網(wǎng)絡(luò)地址的范圍大于合法IP的范圍，在做地址轉(zhuǎn)換時(shí)，如果合法IP都被占用，此時(shí)從內(nèi)部網(wǎng)絡(luò)的新的請(qǐng)求會(huì)由于沒(méi)有合法地址可以分配而失敗。無(wú)法滿足實(shí)際的應(yīng)用需求——PAT（端口地址轉(zhuǎn)換/翻譯）網(wǎng)絡(luò)地址轉(zhuǎn)換（2/4）網(wǎng)絡(luò)地址轉(zhuǎn)換（3/4）PAT：把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上。

注意：進(jìn)行地址翻譯時(shí)，優(yōu)先還是NAT，當(dāng)合法IP地址分配完后，對(duì)于新發(fā)起的連接會(huì)重復(fù)使用已分配過(guò)的合法IP，要區(qū)別此次NAT與上次NAT的數(shù)據(jù)包，就要通過(guò)端口地址加以區(qū)分。比較：靜態(tài)地址翻譯：不需要維護(hù)地址轉(zhuǎn)換狀態(tài)表，功能簡(jiǎn)單，性能較好；動(dòng)態(tài)轉(zhuǎn)換和端口轉(zhuǎn)換：必須維護(hù)一個(gè)轉(zhuǎn)換表，以保證能夠?qū)Ψ祷氐臄?shù)據(jù)包進(jìn)行正確的反向轉(zhuǎn)換，功能強(qiáng)大，但是需要的資源較多。思考題：一個(gè)主機(jī)的端口有六萬(wàn)多個(gè)，但實(shí)際可以用于PAT的要少的多。網(wǎng)絡(luò)地址轉(zhuǎn)換（4/4）源網(wǎng)絡(luò)地址轉(zhuǎn)換：修改數(shù)據(jù)報(bào)中IP頭部中的數(shù)據(jù)源地址（通常發(fā)生在使用私有地址的用戶訪問(wèn)Internet的情況下，把私有地址翻譯成合法的因特網(wǎng)地址）

目標(biāo)網(wǎng)絡(luò)地址轉(zhuǎn)換：修改數(shù)據(jù)報(bào)中IP頭部中的數(shù)據(jù)目的地址（通常發(fā)生在防火墻之后的服務(wù)器上）個(gè)人防火墻技術(shù)

個(gè)人防火墻概述1．個(gè)人防火墻的產(chǎn)生動(dòng)因?yàn)楸Ｗo(hù)單機(jī)用戶接入互聯(lián)網(wǎng)時(shí)的安全，防止個(gè)人計(jì)算機(jī)上信用卡、銀行賬號(hào)等私有信息的被泄露和竊取，防止計(jì)算機(jī)病毒及各種惡意程序?qū)€(gè)人計(jì)算機(jī)的入侵和破壞，個(gè)人防火墻產(chǎn)品應(yīng)運(yùn)而生。2．個(gè)人防火墻的概念個(gè)人防火墻是一套安裝在個(gè)人計(jì)算機(jī)上的軟件系統(tǒng)，它能夠監(jiān)視計(jì)算機(jī)的通信狀況，一旦發(fā)現(xiàn)有對(duì)計(jì)算機(jī)產(chǎn)生危險(xiǎn)的通信就會(huì)報(bào)警通知管理員或立即中斷網(wǎng)絡(luò)連接，以此實(shí)現(xiàn)對(duì)個(gè)人計(jì)算機(jī)上重要數(shù)據(jù)的安全保護(hù)。個(gè)人防火墻的主要功能1．防止Internet上用戶的攻擊2．阻斷木馬及其他惡意軟件的攻擊3．為移動(dòng)計(jì)算機(jī)提供安全保護(hù)4．與其他安全產(chǎn)品進(jìn)行集成個(gè)人防火墻的主要技術(shù)1．基于應(yīng)用層網(wǎng)關(guān)典型的個(gè)人防火墻屬于應(yīng)用層網(wǎng)關(guān)類(lèi)型，應(yīng)用層網(wǎng)關(guān)也稱(chēng)為代理。應(yīng)用層網(wǎng)關(guān)隨時(shí)檢測(cè)用戶應(yīng)用程序的執(zhí)行情況，可以根據(jù)需要對(duì)特定的應(yīng)用拒絕或允許。

2．基于IP地址和TCP/UDP端口的安全規(guī)則如果要在個(gè)人防火墻上實(shí)現(xiàn)基于IP地址和TCP/UDP端口的控制將非常容易。3．端口“隱蔽”功能端口“隱蔽”會(huì)將主機(jī)上的端口完全隱藏起來(lái)，而不返回任何拒絕響應(yīng)的報(bào)文。4．郵件過(guò)濾功能個(gè)人防火墻的現(xiàn)狀及發(fā)展個(gè)人防火墻為接入到Internet的個(gè)人計(jì)算機(jī)提供了所需要的安全保護(hù)，主要包括：·可有效地防范各種網(wǎng)絡(luò)攻擊；·高效的入侵檢測(cè)、報(bào)警和日志收集與分析；·防火墻本身應(yīng)該具有良好的容錯(cuò)性；·及時(shí)阻止攻擊的繼續(xù)，同時(shí)還應(yīng)能對(duì)攻擊源進(jìn)行定位，并具有自我學(xué)習(xí)、擴(kuò)充和更新規(guī)則的功能；·操作界面友好，操作過(guò)程簡(jiǎn)單、易學(xué)、易用，并具有在線安全策略的維護(hù)功能。有關(guān)個(gè)人防火墻未來(lái)的發(fā)展，除技術(shù)的不斷創(chuàng)新和功能的不斷完善外，在實(shí)現(xiàn)形式上還需要從以下幾個(gè)方面取得發(fā)展：（1）與網(wǎng)絡(luò)設(shè)備集成。可將個(gè)人防火墻功能集成到Modem、xDSL、CableModem、無(wú)線AP等設(shè)備中，使個(gè)人防火墻成為這些網(wǎng)絡(luò)設(shè)備的組成模塊。（2）與防病毒軟件集成，并實(shí)現(xiàn)與防病毒軟件之間的安全聯(lián)動(dòng)。例如，同一網(wǎng)絡(luò)安全廠商開(kāi)發(fā)的防病毒軟件和個(gè)人防火墻軟件可以合并成同一個(gè)產(chǎn)品，而不是將個(gè)人防火墻作為防病毒軟件的一個(gè)可選組件來(lái)存在。（3）使個(gè)人防火墻成為企業(yè)級(jí)防火墻的一個(gè)子系統(tǒng)，通過(guò)企業(yè)級(jí)防火墻對(duì)個(gè)人防火墻進(jìn)行分布式管理。這一思想其實(shí)就是將個(gè)人防火墻作為分布式防火墻中的主機(jī)防火墻來(lái)存在。5

防火墻技術(shù)展望智能防火墻分布式防火墻網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化智能防火墻傳統(tǒng)防火墻：采用數(shù)據(jù)匹配檢查技術(shù)

智能防火墻：采用人工智能識(shí)別技術(shù)（統(tǒng)計(jì)、記憶、概率和決策等）優(yōu)勢(shì)：安全，高效應(yīng)用：在保護(hù)網(wǎng)絡(luò)和站點(diǎn)免受黑客攻擊、阻斷病毒的惡意傳播、有效監(jiān)控和管理內(nèi)部局域網(wǎng)、保護(hù)必需的應(yīng)用安全、提供強(qiáng)大的身份認(rèn)證授權(quán)和審計(jì)管理等方面具有廣泛的應(yīng)用價(jià)值。分布式防火墻1.傳統(tǒng)防火墻的不足雖然本章前面介紹的幾類(lèi)傳統(tǒng)防火仍然是現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)安全防范的支柱，但在安全要求較高的大型網(wǎng)絡(luò)中存在一些不足，主要表現(xiàn)如下：（1）結(jié)構(gòu)性限制。（2）防外不防內(nèi)。（3）效率問(wèn)題。（4）故障問(wèn)題。2．分布式防火墻的概念

為了解決傳統(tǒng)防火墻正在面臨的問(wèn)題，美國(guó)AT&T實(shí)驗(yàn)室研究員StevenM.Bellovin于1999年在他的論文“分布式防火墻”（DistributedFirewalls，DFW）一文中首次提出了分布式防火墻的概念。在該論文中提供了DFW的方案：策略集中定制，在各臺(tái)主機(jī)上執(zhí)行，日志集中收集處理。根據(jù)DFW所需要完成的功能，分布式防火墻系統(tǒng)由以下3部分組成：（1）網(wǎng)絡(luò)防火墻。（2）主機(jī)防火墻。（3）中心管理服務(wù)器。分布式防火墻傳統(tǒng)防火墻：邊界防火墻缺陷：結(jié)構(gòu)性限制；內(nèi)部威脅；效率和故障

分布式防火墻（廣義）：一種新的防火墻體系結(jié)構(gòu)（包含網(wǎng)絡(luò)防火墻、主機(jī)防火墻和管理中心）優(yōu)勢(shì)：在網(wǎng)絡(luò)內(nèi)部增加了另一層安全，有效抵御來(lái)自?xún)?nèi)部的攻擊，消除網(wǎng)絡(luò)邊界上的通信瓶頸和單一故障點(diǎn)，支持基于加密和認(rèn)證的網(wǎng)絡(luò)應(yīng)用，與拓?fù)錈o(wú)關(guān)，支持移動(dòng)計(jì)算。3．分布式防火墻的工作模式分布式防火墻的基本工作模式是：由中心管理服務(wù)器統(tǒng)一制定安全策略，然后將這些定義好的策略分發(fā)到各個(gè)相關(guān)節(jié)點(diǎn)。而安全策略的執(zhí)行則由相關(guān)主機(jī)節(jié)點(diǎn)獨(dú)立實(shí)施，由各主機(jī)產(chǎn)生的安全日志集中保存在中心管理服務(wù)器上。分布式防火墻的工作模式如圖8-9所示。

圖8-9分布式防火墻的工作模式4．分布式防火墻的應(yīng)用特點(diǎn)分布式防火墻的應(yīng)用優(yōu)勢(shì)主要表現(xiàn)為：（1）增加了針對(duì)主機(jī)的入侵檢測(cè)和防護(hù)功能，加強(qiáng)了對(duì)來(lái)自?xún)?nèi)部網(wǎng)絡(luò)的攻擊防范，可以實(shí)施全方位的安全策略。（2）提高了系統(tǒng)性能，克服了結(jié)構(gòu)性瓶頸問(wèn)題，提高了系統(tǒng)性能。（3）與網(wǎng)絡(luò)的物理?yè)渫亟Y(jié)構(gòu)無(wú)關(guān)，支持VPN和移動(dòng)計(jì)算等應(yīng)用，應(yīng)用更加廣泛。5．分布式防火墻產(chǎn)品雖然分布式防火墻技術(shù)的提出相對(duì)較晚，但相應(yīng)的產(chǎn)品非常豐富。目前，從總體來(lái)看國(guó)外的一些著名網(wǎng)絡(luò)設(shè)備制造商（如3COM、Cisco、美國(guó)網(wǎng)絡(luò)安全系統(tǒng)公司等）在分布式防火墻技術(shù)方面更加先進(jìn)，所提供的產(chǎn)品性能也比較高。網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化（1/2）“以防火墻為核心的網(wǎng)絡(luò)安全體系”解決方法：直接把相關(guān)安全產(chǎn)品“做”到防火墻中各個(gè)產(chǎn)品相互分離，但是通過(guò)某種通信方式形成一個(gè)整體（防火墻聯(lián)動(dòng)技術(shù)）聯(lián)動(dòng)：通過(guò)一種組合的方式，將不同技術(shù)與防火墻技術(shù)進(jìn)行整合，在提高防火墻自身功能和性能的同時(shí)，由其他技術(shù)完成防火墻所缺乏的功能，以適應(yīng)網(wǎng)絡(luò)安全整體化、立體化的要求。網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化（2/2）防火墻與防病毒產(chǎn)品聯(lián)動(dòng)防火墻與IDS聯(lián)動(dòng)防火墻與認(rèn)證系統(tǒng)聯(lián)動(dòng)防火墻與日志分析系統(tǒng)聯(lián)動(dòng)防火墻的應(yīng)用防火墻在網(wǎng)絡(luò)中的位置防火墻多應(yīng)用于一個(gè)局域網(wǎng)的出口處（如圖8-1（a）所示）或置于兩個(gè)網(wǎng)絡(luò)中間（如圖8-1（b）所示）。圖8-1防火墻在網(wǎng)絡(luò)中的位置

使用了防火墻后的網(wǎng)絡(luò)組成防火墻是構(gòu)建可信賴(lài)網(wǎng)絡(luò)域的安全產(chǎn)品。如圖8-2所示，當(dāng)一個(gè)網(wǎng)絡(luò)在加入了防火墻后，防火墻將成為不同安全域之間的一個(gè)屏障，原來(lái)具有相同安全等級(jí)的主機(jī)或區(qū)域?qū)?huì)因?yàn)榉阑饓Φ慕槿攵l(fā)生變化.圖8-2使用防火墻后的網(wǎng)絡(luò)組成

1．信賴(lài)域和非信賴(lài)域當(dāng)局域網(wǎng)通過(guò)防火墻接入公共網(wǎng)絡(luò)時(shí)，以防火墻為節(jié)點(diǎn)將網(wǎng)絡(luò)分為內(nèi)、外兩部分，其中內(nèi)部的局域網(wǎng)稱(chēng)為信賴(lài)域，而外部的公共網(wǎng)絡(luò)（如Internet）稱(chēng)為非信賴(lài)域。2．信賴(lài)主機(jī)和非信賴(lài)主機(jī)位于信賴(lài)域中的主機(jī)因?yàn)榫哂休^高的安全性，所以稱(chēng)為信賴(lài)主機(jī)；而位于非信賴(lài)域中的主機(jī)因?yàn)榘踩暂^低，所以稱(chēng)為非信賴(lài)主機(jī)。3．DMZDMZ（Demilitarizedzone）稱(chēng)為“隔離區(qū)”或“非軍事化區(qū)”，它是介于信賴(lài)域和非信賴(lài)域之間的一個(gè)安全區(qū)域。防火墻應(yīng)用的局限性1．防火墻不能防范未通過(guò)自身的網(wǎng)絡(luò)連接對(duì)于有線網(wǎng)絡(luò)來(lái)說(shuō)，防火墻是進(jìn)出網(wǎng)絡(luò)的唯一節(jié)點(diǎn)。但是如果使用無(wú)線網(wǎng)絡(luò)（如無(wú)線局域網(wǎng)），內(nèi)部用戶與外部網(wǎng)絡(luò)之間以及外部用戶與內(nèi)部網(wǎng)絡(luò)之間的通信就會(huì)繞過(guò)防火墻，這時(shí)防火墻就沒(méi)有任何用處。2．防火墻不能防范全部的威脅防火墻安全策略的制定建立在已知的安全威脅上，所以防火墻能夠防范已知的安全威脅。3．防火墻不能防止感染了病毒的軟件或文件的傳輸即使是最先進(jìn)的數(shù)據(jù)包過(guò)濾技術(shù)在病毒防范上也是不適用的，因?yàn)椴《镜姆N類(lèi)太多，操作系統(tǒng)多種多樣，而且目前的病毒編寫(xiě)技術(shù)很容易將病毒隱藏在數(shù)據(jù)中。4．防火墻不能防范內(nèi)部用戶的惡意破壞據(jù)相關(guān)資料統(tǒng)計(jì)，目前局域網(wǎng)中有80%以上的網(wǎng)絡(luò)破壞行為是由內(nèi)部用戶所為，如在局域網(wǎng)中竊取其他主機(jī)上的數(shù)據(jù)、對(duì)其他主機(jī)進(jìn)行網(wǎng)絡(luò)攻擊、散布計(jì)算機(jī)病毒等。這些行為都不通過(guò)位于局域網(wǎng)出口處的防火墻，防火墻對(duì)其無(wú)能為力。5．防火墻本身也存在安全問(wèn)題防火墻的工作過(guò)程要依賴(lài)于防火墻操作系統(tǒng)，與我們平常所使用的Windows、Linux等操作系統(tǒng)一樣，防火墻操作系統(tǒng)也存在安全漏洞，而且防火墻的功能越強(qiáng)、越復(fù)雜，其漏洞就會(huì)越多。補(bǔ)充其他的防火墻結(jié)構(gòu)（1）補(bǔ)充其他的防火墻結(jié)構(gòu)（2）補(bǔ)充典型的防火墻配置補(bǔ)充防火墻在VLAN網(wǎng)絡(luò)中的應(yīng)用補(bǔ)充防火墻在內(nèi)網(wǎng)安全分段中的應(yīng)用補(bǔ)充主流防火墻產(chǎn)品簡(jiǎn)介國(guó)內(nèi)：天融信網(wǎng)絡(luò)衛(wèi)士防火墻（NGFW）我國(guó)第一套自主版權(quán)的防火墻系統(tǒng)

TOPSEC（TalentOpenProtocolforSecurity）安全體系（聯(lián)動(dòng)協(xié)議安全標(biāo)準(zhǔn)）補(bǔ)充主流防火墻產(chǎn)品簡(jiǎn)介國(guó)外：CheckPoint的Firewall-1防火墻狀態(tài)檢測(cè)（StatefulInspection）技術(shù)最早由CheckPoint提出

OPSEC（OpenPlatformforSecureEnterpriseConnectivity）——開(kāi)放安全企業(yè)互聯(lián)聯(lián)盟的組織和倡導(dǎo)者之一，允許用戶通過(guò)一個(gè)開(kāi)放的、可擴(kuò)展的框架集成、管理所有的安全產(chǎn)品。（目前已有包括IBM、HP、Sun、Cisco、BAY等超過(guò)135個(gè)公司加入到OPSEC聯(lián)盟。）補(bǔ)充防火墻性能測(cè)試簡(jiǎn)介性能測(cè)試標(biāo)準(zhǔn)：RFC2544（2-3層）和RFC3511（4-7層）吞吐量：網(wǎng)絡(luò)設(shè)備在不丟失任何一個(gè)幀情況下的最大轉(zhuǎn)發(fā)速率。延時(shí)（比特轉(zhuǎn)發(fā)）：入口處輸入幀第1個(gè)比特到達(dá)被測(cè)設(shè)備至出口處輸出幀的第1個(gè)比特輸出時(shí)所用的時(shí)間間隔丟包率：在穩(wěn)態(tài)負(fù)載下由于缺少資源應(yīng)轉(zhuǎn)發(fā)而沒(méi)有轉(zhuǎn)發(fā)的幀占所有應(yīng)被轉(zhuǎn)發(fā)的幀的比例補(bǔ)充選擇防火墻的標(biāo)準(zhǔn)選擇防火墻的標(biāo)準(zhǔn)有很多，但最重要的是以下幾條：1、總擁有成本2、功能（內(nèi)容過(guò)濾、負(fù)載均衡、HA）3、性能（千兆、策略數(shù)影響）4、穩(wěn)定性5、可擴(kuò)充性（端口）6、售后升級(jí)能力補(bǔ)充對(duì)防火墻的幾個(gè)誤區(qū)最全的就是最好的，最貴的就是最好的軟件防火墻部署后不對(duì)操作系統(tǒng)加固一次配置，永遠(yuǎn)運(yùn)行測(cè)試不夠完全審計(jì)是可有可無(wú)的實(shí)驗(yàn)操作—瑞星個(gè)人防火墻應(yīng)用實(shí)例個(gè)人防火墻主要是為解決網(wǎng)絡(luò)上各類(lèi)攻擊問(wèn)題而研制的個(gè)人信息安全產(chǎn)品，具有較為完備的規(guī)則設(shè)置功能，能有效地監(jiān)控網(wǎng)絡(luò)連接，保護(hù)網(wǎng)絡(luò)不受攻擊。本實(shí)驗(yàn)以2008版瑞星個(gè)人防火墻為例，通過(guò)對(duì)個(gè)人防火墻主要功能及配置方法的介紹，使讀者對(duì)個(gè)人防火墻技術(shù)及使用有所了解。下面是2008版瑞星個(gè)人防火墻的主要特性：（1）防火墻多賬戶管理。（2）未知木馬掃描技術(shù)。（3）IE功能調(diào)用攔截。（4）反釣魚(yú)和防木馬病毒網(wǎng)站。（5）模塊檢查。具體配置方法見(jiàn)教材。實(shí)驗(yàn)操作—CiscoPIX防火墻基礎(chǔ)配置實(shí)例PIX防火墻的管理訪問(wèn)模式PIX防火墻提供了4種管理訪問(wèn)模式，分別是：·非特權(quán)模式。PIX防火墻開(kāi)機(jī)自檢后，就是處于這種模式。系統(tǒng)顯示為pixfirewall>（其中pixfirewall為防火墻的名稱(chēng)）?！ぬ貦?quán)模式。在非特權(quán)模式下輸入enable命令，將進(jìn)入特權(quán)模式。在特權(quán)模式下可以改變當(dāng)前配置。特權(quán)模式的顯示為pixfirewall#?！づ渲媚Ｊ?。在特權(quán)模式下輸入configureterminal命令將進(jìn)入配置模式，絕大部分的系統(tǒng)配置都在配置模式下進(jìn)行。配置模式的顯示為pixfirewall(config)#?！けO(jiān)視模式。PIX防火墻在開(kāi)機(jī)或重啟過(guò)程中，按住管理機(jī)上的Escape鍵或發(fā)送一個(gè)“Break”字符，將進(jìn)入監(jiān)視模式。在監(jiān)視模式下可以更新系統(tǒng)映像文件，并可以進(jìn)行口令的恢復(fù)操作。監(jiān)視模式下的顯示為monitor>。

PIX防火墻的基本配置命令1．配置防火墻接口的名稱(chēng)（nameif）可以使用nameif命令來(lái)配置防火墻的接口名稱(chēng)，同時(shí)在使用nameif命令配置防火墻名稱(chēng)的時(shí)候還需要為接口指定安全等級(jí)。Pix525(config)#nameifethernet0outsidesecurity0（將外網(wǎng)接口ethernet0的安全等級(jí)設(shè)置為0）Pix525(config)#nameifethernet1insidesecurity100（將內(nèi)網(wǎng)接口ethernet1的安全等級(jí)設(shè)置為100）Pix525(config)#nameif

dmzsecurity50（將DMZ接口的安全等級(jí)設(shè)置為50）2.配置以太網(wǎng)接口參數(shù)（interface）下面，我們將PIX防火墻上的快速以太網(wǎng)接口0（ethernet0）配置為自適應(yīng)，將快速以太網(wǎng)接口1（fastethernet1）配置為全雙工。Pix525(config)#interfaceethernet0auto（auto選項(xiàng)表示該接口為自適應(yīng)）Pix525(config)#interfaceethernet1100full（100full選項(xiàng)表示該接口為100Mbit/s全雙工）如果要關(guān)閉該接口，可以使用以下的命令：Pix525(config)#interfaceethernet1100fullshutdown（shutdown選項(xiàng)表示關(guān)閉這個(gè)接口，若啟用接口去掉shutdown）3．配置內(nèi)外網(wǎng)接口的IP地址（ipaddress）根據(jù)系統(tǒng)規(guī)劃，由于PIX防火墻還擔(dān)負(fù)著路由器的功能，所以必須給相應(yīng)的連接外網(wǎng)和內(nèi)網(wǎng)的接口配置IP地址。在下面的方案中，我們把與外網(wǎng)連接的ethernet0接口的IP地址配置為25，子網(wǎng)掩碼為24，將與內(nèi)網(wǎng)連接的ethernet1接口的IP地址配置為，子網(wǎng)掩碼為。Pix525(config)#interfaceethernet0（進(jìn)入接口ethernet0的配置狀態(tài)）Pix525(config-if)#ipaddress

outside2524Pix525(config)#interfaceethernet1（進(jìn)入接口ethernet1的配置狀態(tài)）Pix525(config-if)#ipaddressinside

4.進(jìn)行地址轉(zhuǎn)換（nat）nat(interface_name)nat_id

local_ip[netmark]其中（interface_name）表示內(nèi)網(wǎng)接口名稱(chēng)，多使用inside。nat_id用來(lái)標(biāo)識(shí)全局地址池，使它與其相應(yīng)的global命令相匹配，local_ip表示內(nèi)網(wǎng)被分配的IP地址，表示內(nèi)網(wǎng)所有主機(jī)可以對(duì)外訪問(wèn)。[netmark]表示內(nèi)網(wǎng)IP地址的子網(wǎng)掩碼。例1讓內(nèi)網(wǎng)的所有主機(jī)都可以訪問(wèn)外網(wǎng)Pix525(config)#nat(inside)100也可以寫(xiě)成：Pix525(config)#nat(inside)1

其中，用0可以代表。例2

只允許/24這個(gè)網(wǎng)段內(nèi)的主機(jī)可以訪問(wèn)外網(wǎng)Pix525(config)#nat(inside)15.指定外部地址范圍（global）global命令把內(nèi)網(wǎng)的IP地址翻譯成外網(wǎng)的一個(gè)或一段IP地址。global命令的配置格式為：global(interface_name)nat_id

ip_address-ip_address[netmark

global_mask]其中，（interface_name）表示外網(wǎng)接口名字，一般為outside；nat_id用來(lái)標(biāo)識(shí)全局地址池，使它與其相應(yīng)的nat命令相匹配；ip_address-ip_address表示轉(zhuǎn)換后的單個(gè)IP地址或一段IP地址；[netmark

global_mask]表示全局IP地址的網(wǎng)絡(luò)掩碼。下面舉例說(shuō)明global命令的功能和使用方法。例3當(dāng)內(nèi)網(wǎng)的主機(jī)訪問(wèn)外網(wǎng)時(shí)，將使用~54這段IP地址池為要訪問(wèn)外網(wǎng)的主機(jī)分配一個(gè)全局IP地址。Pix525(config)#global(outside)1~54例4當(dāng)內(nèi)網(wǎng)要訪問(wèn)外網(wǎng)時(shí)，訪問(wèn)外網(wǎng)的所有主機(jī)統(tǒng)一使用這個(gè)單IP地址。Pix525(config)#global(outside)1當(dāng)要取消配置時(shí)，像Cisco路由器和交換機(jī)的配置一樣，只需要在命令行前面加no即可，如例5所示。例5取消對(duì)global(outside)1命令的配置Pix525(config)#noglobal(outside)16.配置靜態(tài)路由（route）靜態(tài)路由是最常使用的一種路由選擇方法，在中小型網(wǎng)絡(luò)中尤其常見(jiàn)。PIX防火墻配置靜態(tài)路由的語(yǔ)法格式為：route(interface_name)00gateway_ip[metric]其中（interface_name）表示接口名稱(chēng)，內(nèi)網(wǎng)接口常用inside，外網(wǎng)接口常用outside。gateway_ip表示網(wǎng)關(guān)IP地址。[metric]表示到gateway_ip的跳數(shù)，通常缺省是1。0表示。例6設(shè)置一條指向25的靜態(tài)路由Pix525(config)#routeoutside0025該命令還可以寫(xiě)成：Pix525(config)#routeoutside251如果內(nèi)部網(wǎng)絡(luò)使用多個(gè)IP網(wǎng)段時(shí)，需要為每一個(gè)網(wǎng)段指定一個(gè)靜態(tài)路由，例如內(nèi)部網(wǎng)絡(luò)使用了/24和/16兩個(gè)網(wǎng)段，這時(shí)需要在PIX防火墻上同時(shí)配置以下兩條靜態(tài)路由，網(wǎng)關(guān)IP地址都為25.Pix525(config)#routeinside251Pix525(config)#routeinside251PIX防火墻的擴(kuò)展配置命令1．配置靜態(tài)IP地址轉(zhuǎn)換（static）static(internal_interface_name，external_interface_name)outside_ip_addressinside_ip_address[netmaskmask]其中：internal_interface_name表示內(nèi)部網(wǎng)絡(luò)的接口名稱(chēng)，一般為inside，屬于高安全等級(jí)的接口；external_interface_name表示外部網(wǎng)絡(luò)接口的名稱(chēng)，一般為outside，接口安全等級(jí)較低；outside_ip_address為外網(wǎng)接口（external_interface_name）的