計(jì)算機(jī)網(wǎng)絡(luò)安全-06防火墻技術(shù)

第6章防火墻技術(shù)本章主要內(nèi)容：6.1防火墻簡(jiǎn)介6.2防火墻的類(lèi)型6.3防火墻配置6.4防火墻系統(tǒng)6.5防火墻的選購(gòu)和使用6.6防火墻產(chǎn)品介紹2/1/20231網(wǎng)絡(luò)安全概述知識(shí)點(diǎn)防火墻的概念\功能特點(diǎn)和安全性防火墻的分類(lèi)防火墻的配置和防火墻系統(tǒng)防火墻的選購(gòu)、安裝和維護(hù)2/1/20232網(wǎng)絡(luò)安全概述難點(diǎn)

防火墻系統(tǒng)

2/1/20233網(wǎng)絡(luò)安全概述要求熟練掌握以下內(nèi)容：●防火墻的概念、功能特點(diǎn)和安全性●防火墻分類(lèi)、配置●防火墻的選購(gòu)、安裝和維護(hù)了解以下內(nèi)容：●防火墻系統(tǒng)和防火墻產(chǎn)品2/1/20234網(wǎng)絡(luò)安全概述提起防火墻，大家比較熟悉，大凡有計(jì)算機(jī)的人都用過(guò)。所以對(duì)這個(gè)名字并不陌生，“防火墻”這個(gè)術(shù)語(yǔ)來(lái)自建筑結(jié)構(gòu)中的安全術(shù)語(yǔ)，過(guò)去人們常在寓所之間建起一道磚墻，一旦某個(gè)單元起火，它就能夠防止火勢(shì)蔓延到其他單元起到防火的作用?，F(xiàn)在的防火墻和古代寓意已不同。本章將從防火墻的主要功能、基本類(lèi)型及其體系結(jié)構(gòu)等方面介紹防火墻的有關(guān)知識(shí)。2/1/20235網(wǎng)絡(luò)安全概述6.1防火墻簡(jiǎn)介防火墻的概念防火墻的功能特點(diǎn)防火墻的安全性設(shè)計(jì)2/1/20236網(wǎng)絡(luò)安全概述6.1.1防火墻的概念防火墻原意是古典建筑在房屋之間的一道墻。當(dāng)房屋還處于木制結(jié)構(gòu)的時(shí)侯，人們將石塊堆砌在房屋周?chē)脕?lái)防止火災(zāi)的發(fā)生。這種墻被稱(chēng)之為防火墻。RichKosinski(InternetSecurity公司總裁）指出防火墻是一種訪(fǎng)問(wèn)控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對(duì)信息資源的非法訪(fǎng)問(wèn)。換句話(huà)說(shuō)，防火墻是一道門(mén)檻，控制進(jìn)/出兩個(gè)方向的通信。防火墻是一種廣泛應(yīng)用的一種技術(shù),是控制兩個(gè)不同安全策略的網(wǎng)絡(luò)之間互訪(fǎng)，從而防止不同安全域之間的相互危害。防火墻定義為置于兩個(gè)網(wǎng)絡(luò)之間的保障網(wǎng)絡(luò)安全的一組構(gòu)件或一個(gè)系統(tǒng)。用于加強(qiáng)網(wǎng)絡(luò)間的訪(fǎng)問(wèn)控制，防止外部用戶(hù)非法使用內(nèi)部網(wǎng)的資源，保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取，安全、管理、速度是防火墻的三大要素。防火墻在系統(tǒng)中的位置如圖6-1所示。2/1/20237網(wǎng)絡(luò)安全概述6.1.1防火墻的概念防火墻可以嵌入到某種硬件產(chǎn)品中，以硬件設(shè)備形式出現(xiàn)，即硬件防火墻。它也可以是一種軟件產(chǎn)品，即軟件防火墻。

內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)防火墻2/1/20238網(wǎng)絡(luò)安全概述6.1.2防火墻的功能特點(diǎn)防火墻是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間）的軟件或硬件設(shè)備的組合，它對(duì)兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過(guò)強(qiáng)制實(shí)施統(tǒng)一的安全策略，防止對(duì)重要信息資源的非法存取和訪(fǎng)問(wèn)以達(dá)到保護(hù)系統(tǒng)安全的目的。防火墻主要功能有：1.防止易受攻擊的服務(wù)防火墻能過(guò)濾不安全的服務(wù)。防火墻能防止非授權(quán)用戶(hù)進(jìn)入內(nèi)部網(wǎng)絡(luò)。大大提高了企業(yè)內(nèi)部網(wǎng)的安全性。2/1/20239網(wǎng)絡(luò)安全概述6.1.2防火墻的功能特點(diǎn)2.防火墻對(duì)內(nèi)部實(shí)現(xiàn)了集中的安全管理對(duì)一個(gè)企業(yè)而言，使用防火墻比不使用防火墻可能更加經(jīng)濟(jì)一些。這是因?yàn)槿绻褂昧朔阑饓梢詫?duì)軟件、附件統(tǒng)一到防火墻上集中管理。如果不使用防火墻，軟件分散到個(gè)主機(jī)上單獨(dú)管理。3.控制訪(fǎng)問(wèn)網(wǎng)點(diǎn)利用防火墻對(duì)內(nèi)部網(wǎng)段的劃分，可以實(shí)現(xiàn)重點(diǎn)網(wǎng)段分離，限制安全問(wèn)題的擴(kuò)散。4.對(duì)網(wǎng)絡(luò)存取和訪(fǎng)問(wèn)進(jìn)行監(jiān)控審計(jì)可以方便監(jiān)視網(wǎng)絡(luò)的安全并及時(shí)報(bào)警.所有訪(fǎng)問(wèn)都經(jīng)過(guò)防火墻，因此它是審計(jì)和記錄網(wǎng)絡(luò)的訪(fǎng)問(wèn)和使用的理想位置。2/1/202310網(wǎng)絡(luò)安全概述6.1.2防火墻的功能特點(diǎn)5.提供網(wǎng)絡(luò)地址翻譯NAT功能，可以實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換利用NAT技術(shù)可以緩解地址資源短缺，隱藏內(nèi)部網(wǎng)的結(jié)構(gòu)。Internet防火墻可以作為部署NAT(NetworkAddressTranslator，網(wǎng)絡(luò)地址變換）的邏輯地址。因此防火墻可以保護(hù)及隱藏內(nèi)部網(wǎng)絡(luò)資源并減少由于架設(shè)網(wǎng)絡(luò)防火墻所引起的IP地址變動(dòng)，方便網(wǎng)絡(luò)管理，緩解地址空間短缺的問(wèn)題.2/1/202311網(wǎng)絡(luò)安全概述6.1.3防火墻的安全性設(shè)計(jì)1．防火墻經(jīng)典安全模型防火墻技術(shù)的思想源于經(jīng)典安全，經(jīng)典模型策略是為了保護(hù)計(jì)算機(jī)安全。該安全模型是一個(gè)抽象，用來(lái)定義實(shí)體和實(shí)體之間是如何允許進(jìn)行交互的。經(jīng)典安全模型中包括識(shí)別和驗(yàn)證、訪(fǎng)問(wèn)控制、審計(jì)三大部件，通過(guò)參考監(jiān)視器的參考和授權(quán)功能來(lái)控制主題針對(duì)對(duì)象的訪(fǎng)問(wèn)。參考監(jiān)視器提供兩個(gè)功能：第一功能是參考功能，用于評(píng)價(jià)由主體發(fā)出的訪(fǎng)問(wèn)請(qǐng)求，而參考監(jiān)視器使用一個(gè)授權(quán)數(shù)據(jù)庫(kù)來(lái)決定是否接受或拒絕收到的請(qǐng)求；而第二個(gè)功能就是控制對(duì)授權(quán)數(shù)據(jù)庫(kù)改變的授權(quán)功能，通過(guò)改變授權(quán)數(shù)據(jù)庫(kù)的配置來(lái)改變主體的訪(fǎng)問(wèn)權(quán)限。識(shí)別和驗(yàn)證部件的作用就是確定主體的身份。訪(fǎng)問(wèn)控制部件的作用就是控制主體的訪(fǎng)問(wèn)對(duì)象，由參考監(jiān)視器、授權(quán)數(shù)據(jù)庫(kù)構(gòu)成；而審計(jì)部件的功能就是監(jiān)測(cè)訪(fǎng)問(wèn)控制的具體執(zhí)行情況，由審計(jì)子系統(tǒng)構(gòu)成。2/1/202312網(wǎng)絡(luò)安全概述6.1.3防火墻的安全性設(shè)計(jì)2.用戶(hù)認(rèn)證對(duì)于防火墻來(lái)說(shuō)，認(rèn)證主要是對(duì)防火墻用戶(hù)的認(rèn)證和防火墻管理員的認(rèn)證。3.域名服務(wù)防火墻可以對(duì)內(nèi)部網(wǎng)內(nèi)外用戶(hù)提供修改名字的服務(wù)功能。防火墻不能將內(nèi)部網(wǎng)內(nèi)主機(jī)的IP地址泄露出去。因此，對(duì)于來(lái)自Internet主機(jī)的請(qǐng)求，防火墻應(yīng)當(dāng)分辨內(nèi)部網(wǎng)內(nèi)所有到防火墻IP地址的主機(jī)的名字；而對(duì)于來(lái)自?xún)?nèi)部網(wǎng)內(nèi)的主機(jī)的請(qǐng)求，防火墻提供尋址名字，以分辨Internet上的主機(jī)。2/1/202313網(wǎng)絡(luò)安全概述6.1.3防火墻的安全性設(shè)計(jì)4.IP層的安全I(xiàn)P層的安全包括兩個(gè)功能：認(rèn)證和保密。認(rèn)證機(jī)構(gòu)保證接收的數(shù)據(jù)組就是由數(shù)據(jù)組報(bào)頭中所識(shí)別出的作為該數(shù)據(jù)組的源所發(fā)送的。此外，認(rèn)證機(jī)構(gòu)還要保證該書(shū)劇組在傳送中未被篡改。保密性保證通信節(jié)點(diǎn)對(duì)所傳消息進(jìn)行加密，防止第三者竊聽(tīng)。5.郵件處理電子郵件是內(nèi)部網(wǎng)絡(luò)與Internet連通的一項(xiàng)主要業(yè)務(wù)。是互聯(lián)網(wǎng)上用戶(hù)之間交換信息時(shí)廣泛采用的手段。一般采用簡(jiǎn)單郵件傳輸協(xié)議SMTP。這些郵件都要通過(guò)防火墻驗(yàn)證通行，在內(nèi)部網(wǎng)上設(shè)置一個(gè)郵件網(wǎng)關(guān)，通過(guò)他與防火墻連通，在與internet上用戶(hù)連通。2/1/202314網(wǎng)絡(luò)安全概述6.2防火墻的類(lèi)型防火墻的概念防火墻的功能特點(diǎn)防火墻的安全性設(shè)計(jì)2/1/202315網(wǎng)絡(luò)安全概述6.2防火墻的類(lèi)型

6.2.1包過(guò)濾防火墻2/1/202316網(wǎng)絡(luò)安全概述6.2.1包過(guò)濾防火墻1.包過(guò)濾防火墻的工作原理包過(guò)濾防火墻的信息過(guò)濾規(guī)則是以其所收到的數(shù)據(jù)包頭信息為基礎(chǔ)，包頭信息中包括IP源地址，IP目標(biāo)端地址、封裝協(xié)議類(lèi)型等。當(dāng)一個(gè)數(shù)據(jù)包滿(mǎn)足過(guò)濾規(guī)則，則允許此數(shù)據(jù)包通過(guò)，否則拒絕此包通過(guò)，起到了保護(hù)內(nèi)部網(wǎng)絡(luò)的作用。靜態(tài)包過(guò)濾防火墻工作在TCP/IP協(xié)議的IP層，如圖6-2所示。包過(guò)濾的內(nèi)容有：2/1/202317網(wǎng)絡(luò)安全概述6.2.1包過(guò)濾防火墻數(shù)據(jù)包協(xié)議類(lèi)型：TCP、UDP、ICMP、IGMP等；源、目的IP地址；源、目的端口：FTP、HTTP、DNS等；IP選項(xiàng)：源路由、記錄路由等；TCP選項(xiàng)：SYN、ACK、FIN、RST等；其他協(xié)議選項(xiàng)：ICMP、ECHO等；數(shù)據(jù)包流向：in或out；數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)接口：eth0、eth1。2/1/202318網(wǎng)絡(luò)安全概述6.2.1包過(guò)濾防火墻2.包過(guò)濾操作過(guò)程（1）包過(guò)濾規(guī)則必須被存儲(chǔ)作為包過(guò)濾設(shè)備的端口上。（2）當(dāng)數(shù)據(jù)包在端口到達(dá)時(shí)，包頭被提取。同時(shí)包過(guò)濾設(shè)備檢查IP，TCP，UDP等包頭中的域。（3）包過(guò)濾規(guī)則以特定的次序被存儲(chǔ)，每一規(guī)則按照被存儲(chǔ)的次序作用于包。（4）如果一條規(guī)則阻止傳輸，包就被棄掉。（5）如果一條規(guī)則允許傳輸，包就被通過(guò)。（6）如果一個(gè)包不滿(mǎn)足任意規(guī)則，它就被棄掉。

2/1/202319網(wǎng)絡(luò)安全概述6.2.1包過(guò)濾防火墻3.包過(guò)濾防火墻優(yōu)缺點(diǎn)包過(guò)濾防火墻優(yōu)點(diǎn)是包過(guò)濾防火墻邏輯簡(jiǎn)單，性能優(yōu)越，計(jì)算量小，很容易用硬件實(shí)現(xiàn)。對(duì)網(wǎng)絡(luò)性能影響小，它的工作與應(yīng)用層無(wú)關(guān)，不需要對(duì)客戶(hù)端計(jì)算機(jī)進(jìn)行專(zhuān)門(mén)的配置，易于安裝和使用。通過(guò)NAT，可以對(duì)外部用戶(hù)屏蔽內(nèi)部IP。包過(guò)濾防火墻缺點(diǎn)是安全要求不充分，無(wú)法識(shí)別應(yīng)用層協(xié)議，不能防止地址欺騙；允許外部客戶(hù)和和內(nèi)部主機(jī)直接相連，不提供用戶(hù)鑒別機(jī)制，無(wú)法約束入侵者由內(nèi)部主機(jī)到防火墻服務(wù)帶來(lái)安全隱患；處理包內(nèi)信息能力有限，通常不能提供其他功能；由于支持眾多網(wǎng)絡(luò)，很難對(duì)規(guī)則的有效性進(jìn)行測(cè)試。2/1/202320網(wǎng)絡(luò)安全概述6.2.1包過(guò)濾防火墻3.包過(guò)濾防火墻優(yōu)缺點(diǎn)包過(guò)濾防火墻優(yōu)點(diǎn)是包過(guò)濾防火墻邏輯簡(jiǎn)單，性能優(yōu)越，計(jì)算量小，很容易用硬件實(shí)現(xiàn)。對(duì)網(wǎng)絡(luò)性能影響小，它的工作與應(yīng)用層無(wú)關(guān)，不需要對(duì)客戶(hù)端計(jì)算機(jī)進(jìn)行專(zhuān)門(mén)的配置，易于安裝和使用。通過(guò)NAT，可以對(duì)外部用戶(hù)屏蔽內(nèi)部IP。包過(guò)濾防火墻缺點(diǎn)是安全要求不充分，無(wú)法識(shí)別應(yīng)用層協(xié)議，不能防止地址欺騙；允許外部客戶(hù)和和內(nèi)部主機(jī)直接相連，不提供用戶(hù)鑒別機(jī)制，無(wú)法約束入侵者由內(nèi)部主機(jī)到防火墻服務(wù)帶來(lái)安全隱患；處理包內(nèi)信息能力有限，通常不能提供其他功能；由于支持眾多網(wǎng)絡(luò)，很難對(duì)規(guī)則的有效性進(jìn)行測(cè)試。2/1/202321網(wǎng)絡(luò)安全概述6.2.2代理服務(wù)器防火墻2.代理型防火墻的優(yōu)缺點(diǎn)代理防火墻的優(yōu)點(diǎn)：代理服務(wù)可以識(shí)別并實(shí)施高層協(xié)議，如http,ftp；可提供部分傳輸層、全部應(yīng)用層和部分會(huì)話(huà)層的信息；用于禁止訪(fǎng)問(wèn)特定的網(wǎng)絡(luò)服務(wù)，并允許其他服務(wù)；能處理數(shù)據(jù)包；不允許外部和內(nèi)部主機(jī)間直接通信，代理服務(wù)可轉(zhuǎn)送和屏蔽內(nèi)部服務(wù)；代理服務(wù)具有良好的日志紀(jì)錄，可以有效的追蹤。代理型防火墻的缺點(diǎn)：不可以在防火墻服務(wù)器上開(kāi)設(shè)本級(jí)的網(wǎng)絡(luò)服務(wù)；代理服務(wù)有延遲；需要為通過(guò)防火墻的每個(gè)協(xié)議添加一個(gè)新的代理；應(yīng)用級(jí)防火墻不提供udp,rpc特殊協(xié)議的代理；代理防火墻培植起來(lái)比較麻煩；以來(lái)操作系統(tǒng)和應(yīng)用協(xié)議；代理需要附加口令和驗(yàn)證，從而造成延遲；最大的缺點(diǎn)就是速度比較慢，會(huì)成為內(nèi)外網(wǎng)絡(luò)之間的瓶頸。2/1/202322網(wǎng)絡(luò)安全概述6.2.3狀態(tài)檢測(cè)防火墻1.狀態(tài)檢測(cè)防火墻工作原理狀態(tài)檢測(cè)防火墻是基于動(dòng)態(tài)包過(guò)濾技術(shù)，又稱(chēng)動(dòng)態(tài)包過(guò)濾技術(shù)，采用一個(gè)網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全引擎，即監(jiān)測(cè)模塊。監(jiān)測(cè)模塊工作在網(wǎng)絡(luò)層和鏈路層之間，對(duì)網(wǎng)絡(luò)通信各層實(shí)時(shí)監(jiān)測(cè)分析，提取相關(guān)的通信和狀態(tài)信息，并動(dòng)態(tài)存儲(chǔ)和更新連接表中的狀態(tài)，為下一通信檢查積累數(shù)據(jù)。狀態(tài)檢測(cè)技術(shù)是包過(guò)濾技術(shù)的延伸，使用各種狀態(tài)表（statetables）來(lái)追蹤活躍的TCP會(huì)話(huà)。由用戶(hù)定義的訪(fǎng)問(wèn)控制列表（ACL）決定允許建立哪些會(huì)話(huà)（session），只有與活躍會(huì)話(huà)相關(guān)聯(lián)的數(shù)據(jù)才能穿過(guò)防火墻。狀態(tài)檢測(cè)防火墻工作示意圖如圖6-4所示。2/1/202323網(wǎng)絡(luò)安全概述6.2.3狀態(tài)檢測(cè)防火墻狀態(tài)檢測(cè)技術(shù)防火墻是對(duì)包過(guò)濾技術(shù)、電路層網(wǎng)關(guān)和代理服務(wù)技術(shù)的折中，它的速度和靈活性沒(méi)有包過(guò)濾機(jī)制好，但比代理服務(wù)技術(shù)好。它的應(yīng)用級(jí)安全不如代理服務(wù)技術(shù)強(qiáng)，但又比包過(guò)濾的機(jī)制的高。這種結(jié)合是對(duì)包過(guò)濾技術(shù)和代理服務(wù)技術(shù)的折中。

2/1/202324網(wǎng)絡(luò)安全概述6.2.3狀態(tài)檢測(cè)防火墻2.狀態(tài)檢測(cè)防火墻的優(yōu)缺點(diǎn)狀態(tài)檢測(cè)防火墻優(yōu)點(diǎn)：為基于無(wú)連接的協(xié)議和動(dòng)態(tài)分配協(xié)議的應(yīng)用提供安全支持，減少了端口的開(kāi)放時(shí)間，能支持所有服務(wù)。狀態(tài)檢測(cè)防火墻缺點(diǎn)：允許外部客戶(hù)和內(nèi)部主機(jī)直接相連，不提供用戶(hù)鑒別。2/1/202325網(wǎng)絡(luò)安全概述6.3防火墻配置WinRoutePro(版本W(wǎng)inRoutePro4.2.5)是一個(gè)集路由器、DHCP服務(wù)器、DNS服務(wù)器、NAT、防火墻于一身的代理服務(wù)器軟件，同時(shí)它還是一個(gè)可以應(yīng)用于局域網(wǎng)內(nèi)部的郵件服務(wù)器軟件。WinRoute由三個(gè)管理工具組成：1、WinRoute引擎；2、WinRoute引擎監(jiān)視器；3、WinRoute管理程序。其中WinRoute引擎執(zhí)行所有路由和地址分析操作（包括信息包過(guò)濾、端口映射等等），WinRoute引擎監(jiān)視器用來(lái)開(kāi)始和停止你的WinRoute引擎。WinRoute引擎監(jiān)視器監(jiān)聽(tīng)WinRoute引擎是否處于激活狀態(tài)，它會(huì)在系統(tǒng)的桌面下角任務(wù)欄上顯示出藍(lán)白色的圖標(biāo)。2/1/202326網(wǎng)絡(luò)安全概述6.3.1服務(wù)器置于防火墻之內(nèi)1.防火墻布局布置防火墻的主機(jī)安裝兩個(gè)網(wǎng)絡(luò)接口卡，分別為eth0和ethl。其中，eth0連接在外網(wǎng)，其IP地址為6；ethl連接在內(nèi)網(wǎng)，其IP地址為0。Web服務(wù)器主機(jī)位于內(nèi)網(wǎng)，其IP地址為，如圖6-6所示。通過(guò)防火墻的NAT功能和端口映射功能，可以使外網(wǎng)的Web客戶(hù)機(jī)對(duì)6的Web訪(fǎng)問(wèn)請(qǐng)求轉(zhuǎn)給，從而外網(wǎng)的Web客戶(hù)機(jī)就可以正常訪(fǎng)問(wèn)內(nèi)網(wǎng)中的Web服務(wù)器。2/1/202327網(wǎng)絡(luò)安全概述6.3.1服務(wù)器置于防火墻之內(nèi)2．配置過(guò)程在網(wǎng)絡(luò)上下載WinRoutePro4.2.5,執(zhí)行setup，安裝完畢，重啟電腦后，開(kāi)始運(yùn)行WinRoute。在系統(tǒng)的桌面下角任務(wù)欄上顯示出一個(gè)小圓型的藍(lán)白色圖標(biāo)如圖6-7所示，這表示W(wǎng)inRoute引擎正在運(yùn)行。如是有紅圓型的圖標(biāo)則表明WinRoute處于停止。在圖標(biāo)上簡(jiǎn)單點(diǎn)擊鼠標(biāo)右鍵，在彈出菜單項(xiàng)選擇“StartWinRouteEngine”。

2/1/202328網(wǎng)絡(luò)安全概述6.3.1服務(wù)器置于防火墻之內(nèi)啟動(dòng)后顯示圖6-8所示對(duì)話(huà)框，設(shè)置winroute主機(jī)的ip地址，用戶(hù)名，如果輸入admin則不必輸入密碼，點(diǎn)擊“OK”。1）設(shè)置NAT

設(shè)置NAT的步驟如下：(1)在WinRoute運(yùn)行界面KerioWinRouteAdministration窗口中選擇Settings-interfaceTable命令，打開(kāi)Interfaces/NAT對(duì)話(huà)框，如圖6-10所示。

2/1/202329網(wǎng)絡(luò)安全概述6.3.1服務(wù)器置于防火墻之內(nèi)

(2)選擇內(nèi)部網(wǎng)絡(luò)接口，即選擇IP地址為0的網(wǎng)卡，單擊Properties按鈕，彈出InterfacePropertioes對(duì)話(huà)框，在Settings選項(xiàng)區(qū)中，選中PerformNATwiththeIPaddressofthisinterfaceonallcommunicationpassing復(fù)選框，對(duì)所有經(jīng)過(guò)該接口的通信執(zhí)行NAT。如圖6-11所示。2/1/202330網(wǎng)絡(luò)安全概述6.3.1服務(wù)器置于防火墻之內(nèi)本框中輸入目的IP地址，也就是本地網(wǎng)絡(luò)中對(duì)外提供服務(wù)的服務(wù)器的IP地址，這里輸入;在DestinationPort文本框中輸入目的端口號(hào)，即本地網(wǎng)絡(luò)中服務(wù)器提供服務(wù)的端口，通常與監(jiān)聽(tīng)的端口是一致的，這里輸入80。以上設(shè)置如圖6-12所示。單擊OK按鈕，返回到如圖6-13所示的對(duì)話(huà)框。在該對(duì)話(huà)框中可以根據(jù)情況對(duì)新添加的映射項(xiàng)列表進(jìn)行修改和刪除。

2/1/202331網(wǎng)絡(luò)安全概述6.3.2服務(wù)器置于防火墻之外防火墻只能對(duì)內(nèi)網(wǎng)的主機(jī)提供一定的保護(hù)功能。如果將Web服務(wù)器放置在防火墻之外，防火墻就不會(huì)對(duì)該服務(wù)器有任何的防護(hù)作用。因此，在防火墻主機(jī)上也不需要有任何的設(shè)置了。

2/1/202332網(wǎng)絡(luò)安全概述6.3.3服務(wù)器置于防火墻之上布置防火墻的主機(jī)安裝兩個(gè)網(wǎng)絡(luò)接口，分別為eth0和eth1。其中，eth0連接在外網(wǎng)，其IP地址為6;eth1連接在內(nèi)網(wǎng)，其IP地址為。將Web服務(wù)器綁定在內(nèi)網(wǎng)的接口卡上，如圖6-15所示。將Web服務(wù)器放置在防火墻上，可以按照如下的策略來(lái)設(shè)置。2/1/202333網(wǎng)絡(luò)安全概述6.3.3服務(wù)器置于防火墻之上布置防火墻的主機(jī)安裝兩個(gè)網(wǎng)絡(luò)接口，分別為eth0和eth1。其中，eth0連接在外網(wǎng)，其IP地址為6;eth1連接在內(nèi)網(wǎng)，其IP地址為。將Web服務(wù)器綁定在內(nèi)網(wǎng)的接口卡上，如圖6-15所示。將Web服務(wù)器放置在防火墻上，可以按照如下的策略來(lái)設(shè)置。2/1/202334網(wǎng)絡(luò)安全概述6.3.3服務(wù)器置于防火墻之上1.在IIS上設(shè)置Web服務(wù)器的綁定地址和監(jiān)聽(tīng)端口右擊“我的電腦”圖標(biāo)，在彈出的快捷菜單中選擇“管理”命令，打開(kāi)“計(jì)算機(jī)管理”窗口。在左邊窗口中依依展開(kāi)“服務(wù)和應(yīng)用程序”-“Internet信息服務(wù)(IIS)管理器”-“網(wǎng)站”，選擇需要設(shè)置的網(wǎng)站，這里選擇默認(rèn)網(wǎng)站。單擊右鍵，在彈出的快捷菜單中選擇“屬性”命令，打開(kāi)“默認(rèn)屬性”對(duì)話(huà)框。在“網(wǎng)站標(biāo)識(shí)”選項(xiàng)區(qū)中的“IP地址”文本框中輸入綁定的網(wǎng)絡(luò)接口地址，這里輸入0，在“TCP端口”文本框中輸入80，如圖6-16所示。單擊“確定”按鈕，完成Web服務(wù)器的配置。2/1/202335網(wǎng)絡(luò)安全概述6.3.3服務(wù)器置于防火墻之上2.設(shè)置防火墻在WinRoute防火墻上運(yùn)行Internet服務(wù)器，比如Web服務(wù)器等，由于WinRoute的偵測(cè)模塊在數(shù)據(jù)包到達(dá)任何一個(gè)應(yīng)用程序之前就進(jìn)行了NAT操作，因此，應(yīng)該像訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)中的Web服務(wù)器一樣設(shè)置端口映射。如果沒(méi)有對(duì)外部接口啟用NAT功能，就可以直接使用該WinRoute服務(wù)器的外部地址或公用域名來(lái)訪(fǎng)問(wèn)。具體配置如下：在如圖6-17所示的EditItem對(duì)話(huà)框中，從Protocol下拉列表框中選擇TCP選項(xiàng)；在ListenIP下拉列表框中選擇<Unspecifled>選項(xiàng)；在ListenPort文本框中輸入80；在Desti—nation1P文本框中輸入192.168.O.10；在DestinationPort文本框中輸入80。注意：將Web服務(wù)器布置在防火墻之上的做法是不值得推薦的，因?yàn)橐坏┍局鳈C(jī)被攻破，Web服務(wù)器就完全暴露在黑客的攻擊之下了。2/1/202336網(wǎng)絡(luò)安全概述6.4防火墻系統(tǒng)屏蔽主機(jī)（ScreenedHost）防火墻屏蔽子網(wǎng)（ScreenedSubnet）防火墻2/1/202337網(wǎng)絡(luò)安全概述6.4.1屏蔽主機(jī)防火墻

屏蔽主機(jī)網(wǎng)關(guān)結(jié)構(gòu)中堡壘機(jī)與內(nèi)部網(wǎng)相連，用篩選路由器連接到外部網(wǎng)上，篩選路由器作為第一道防線(xiàn)，堡壘機(jī)作為第二道防線(xiàn)。這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶(hù)的攻擊。該防火墻系統(tǒng)提供的安全等級(jí)比前面兩種防火墻系統(tǒng)要高，主要用于企業(yè)小型或中型網(wǎng)絡(luò)。屏蔽主機(jī)模式(ScreenedHostFirewall)由包過(guò)濾器和堡壘主機(jī)組成，堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，確保內(nèi)部網(wǎng)絡(luò)不受外部攻擊。屏蔽主機(jī)模式分為單宿堡壘主機(jī)和雙宿堡壘主機(jī)。2/1/202338網(wǎng)絡(luò)安全概述6.4.1屏蔽主機(jī)防火墻單宿堡壘主機(jī)由一個(gè)包過(guò)濾路由器連接外部網(wǎng)絡(luò)，同時(shí)一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。堡壘主機(jī)只有一個(gè)網(wǎng)卡，與內(nèi)部網(wǎng)絡(luò)連接如圖6-17所示。雙宿堡壘主機(jī)型與單宿堡壘主機(jī)型的區(qū)別是，堡壘主機(jī)有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡(luò)，一塊連接包過(guò)濾路由器，如圖6-18所示。雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)，與單宿型相比更加安全。2/1/202339網(wǎng)絡(luò)安全概述6.4.1屏蔽主機(jī)防火墻在實(shí)際的網(wǎng)絡(luò)管理中，有時(shí)某些主機(jī)提供特別的服務(wù)，比如銀行的服務(wù)器，需要進(jìn)行特別的安全保護(hù)，使外網(wǎng)的主機(jī)無(wú)法知道它的存在。這時(shí)，就可以使用防火墻來(lái)屏蔽該主機(jī)(假設(shè)IP地址為0)。具體的辦法就是，將網(wǎng)絡(luò)數(shù)據(jù)包中凡是源地址為0的進(jìn)人防火墻的數(shù)據(jù)包和目的地址為0的從防火墻外出的數(shù)據(jù)包都丟棄?？梢栽赪inRoute防火墻中添加如下的規(guī)則，實(shí)現(xiàn)對(duì)內(nèi)部主機(jī)192.168.O.50的屏蔽。

2/1/202340網(wǎng)絡(luò)安全概述6.4.1屏蔽主機(jī)防火墻1．設(shè)置丟棄進(jìn)入的數(shù)據(jù)包規(guī)則打開(kāi)KerioWinRouteAdministration窗口，選擇Settings-Advanced-PacketFilter命令，彈出PacketFilter對(duì)話(huà)框。單擊Incoming選項(xiàng)卡，選中內(nèi)部網(wǎng)絡(luò)接口。這里選擇ethl。單擊Add按鈕，彈出EditItem對(duì)話(huà)框。在EditItem對(duì)話(huà)框中，從Protocol下拉列表框中選擇TCP選項(xiàng)；在Source選項(xiàng)區(qū)Type下拉列表框中選擇Host選項(xiàng)，在隨后出現(xiàn)的IPAddress文本框中輸入要屏蔽的主機(jī)的IP，這里輸人0；在TCPFlags選項(xiàng)區(qū)中選中OnlyestablishingTCPcon-nections復(fù)選框；在Action選項(xiàng)區(qū)中，選中Drop單選按鈕；在LogPacket選項(xiàng)區(qū)中，將兩個(gè)復(fù)選框全部選中；其他的選項(xiàng)保持默認(rèn)值，如圖6-20所示。

2/1/202341網(wǎng)絡(luò)安全概述6.4.1屏蔽主機(jī)防火墻

采用同樣的方法設(shè)置主機(jī)的UDP進(jìn)入數(shù)據(jù)包屏蔽規(guī)則。在EditItem對(duì)話(huà)框中，從Protocol下拉列表框中選擇UDP選項(xiàng)；在Source選項(xiàng)區(qū)中，在Type下拉列表框中選擇Host選項(xiàng)，在隨后出現(xiàn)的IPAddress文本框中輸入192.168.O.50；在Action選項(xiàng)區(qū)中，選中Drop單選按鈕；在Log．Packet選項(xiàng)區(qū)中，兩個(gè)復(fù)選框全部選中。設(shè)置完主機(jī)的TCP和UDP進(jìn)入數(shù)據(jù)包屏蔽規(guī)則后，單擊OK按鈕，返回到PacketFilter對(duì)話(huà)框中，如圖6-21所示。單擊“確定”按鈕完成設(shè)置。

2/1/202342網(wǎng)絡(luò)安全概述6.4.1屏蔽主機(jī)防火墻2．設(shè)置丟棄外出的數(shù)據(jù)包規(guī)則

設(shè)置丟棄外出的數(shù)據(jù)包規(guī)則的在PacketFilter對(duì)話(huà)框中，單擊Outgoing選項(xiàng)卡，其他步驟和設(shè)置丟棄進(jìn)入的數(shù)據(jù)包規(guī)則類(lèi)似。

2/1/202343網(wǎng)絡(luò)安全概述6.4.2屏蔽子網(wǎng)防火墻屏蔽子網(wǎng)結(jié)構(gòu)，如圖6-24所示，采用了兩個(gè)包過(guò)濾防火墻和一個(gè)堡壘主機(jī)，建立隔離的子網(wǎng)，就是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)，這個(gè)子網(wǎng)可有堡壘主機(jī)等公用服務(wù)器組成，用兩臺(tái)篩選路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開(kāi)。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪(fǎng)問(wèn)屏蔽子網(wǎng)，但禁止它們穿過(guò)屏蔽子網(wǎng)進(jìn)行通信，從而進(jìn)一步實(shí)現(xiàn)屏蔽主機(jī)的安全性。

2/1/202344網(wǎng)絡(luò)安全概述6.5防火墻的選購(gòu)和使用6.5.1防火墻的選購(gòu)策略6.5.2防火墻的安裝6.5.3防火墻的維護(hù)

2/1/202345網(wǎng)絡(luò)安全概述6.5.1防火墻的選購(gòu)策略1．防火墻自身的安全性防火墻自身的安全性主要體現(xiàn)在自身設(shè)計(jì)和管理兩個(gè)方面。設(shè)計(jì)的安全性關(guān)鍵在于操作系統(tǒng)，只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)的安全性。而應(yīng)用系統(tǒng)的安全是以操作系統(tǒng)的安全為基礎(chǔ)的，同時(shí)防火墻自身的安全實(shí)現(xiàn)也直接影響整體系統(tǒng)的安全性。

2/1/202346網(wǎng)絡(luò)安全概述6.5.1防火墻的選購(gòu)策略2．系統(tǒng)的穩(wěn)定性目前，由于種種原因，有些防火墻尚未最后定型或經(jīng)過(guò)嚴(yán)格的大量測(cè)試就被推向了市場(chǎng)，其穩(wěn)定性可想而知。防火墻的穩(wěn)定性可以通過(guò)幾種方法判斷：從權(quán)威的測(cè)評(píng)認(rèn)證機(jī)構(gòu)獲得。例如，你可以通過(guò)與其它產(chǎn)品相比，考察某種產(chǎn)品是否獲得更多的國(guó)家權(quán)威機(jī)構(gòu)的認(rèn)證、推薦和入網(wǎng)證明（書(shū)），來(lái)間接了解其穩(wěn)定性。實(shí)際調(diào)查，這是最有效的辦法：考察這種防火墻是否已經(jīng)有了使用單位、其用戶(hù)量如何，特別是用戶(hù)們對(duì)于該防火墻的評(píng)價(jià)。自己試用。在自己的網(wǎng)絡(luò)上進(jìn)行一段時(shí)間的試用（一個(gè)月左右）。廠(chǎng)商開(kāi)發(fā)研制的歷史。一般來(lái)說(shuō)，如果沒(méi)有兩年以上的開(kāi)發(fā)經(jīng)歷，很難保證產(chǎn)品的穩(wěn)定性。

2/1/202347網(wǎng)絡(luò)安全概述6.5.1防火墻的選購(gòu)策略3．是否高效高性能是防火墻的一個(gè)重要指標(biāo)，它直接體現(xiàn)了防火墻的可用性。如果由于使用防火墻而帶來(lái)了網(wǎng)絡(luò)性能較大幅度的下降，就意味著安全代價(jià)過(guò)高。4．是否可靠可靠性對(duì)防火墻類(lèi)訪(fǎng)問(wèn)控制設(shè)備來(lái)說(shuō)尤為重要，直接影響受控網(wǎng)絡(luò)的可用性。所以要求設(shè)備本身部件的強(qiáng)健性，這要求有較高的生產(chǎn)標(biāo)準(zhǔn)和設(shè)計(jì)冗余度。

2/1/202348網(wǎng)絡(luò)安全概述6.5.1防火墻的選購(gòu)策略5．是否功能靈活對(duì)通信行為的有效控制，要求防火墻設(shè)備有一系列不同級(jí)別，滿(mǎn)足不同用戶(hù)的各類(lèi)安全控制需求的產(chǎn)品。6．是否配置方便支持透明通信的防火墻，在安裝時(shí)不需要對(duì)原網(wǎng)絡(luò)配置做任何改動(dòng)，所做的工作只相當(dāng)于接一個(gè)網(wǎng)橋或Hub。

2/1/202349網(wǎng)絡(luò)安全概述6.5.1防火墻的選購(gòu)策略7．是否管理簡(jiǎn)便對(duì)于防火墻類(lèi)訪(fǎng)問(wèn)控制設(shè)備，不但要調(diào)整由于安全事件導(dǎo)致的安全控制注意，還要不斷地的調(diào)整業(yè)務(wù)系統(tǒng)訪(fǎng)問(wèn)控制，這些都要求防火墻的管理在充分考慮安全需要的前提下，必須提供方便靈活的管理方式和方法，這通常體現(xiàn)為管理途徑、管理工具和管理權(quán)限。8．是否可擴(kuò)展、可升級(jí)用戶(hù)的網(wǎng)絡(luò)不是一成不變的，和防病毒產(chǎn)品類(lèi)似，防火墻也必須不斷地進(jìn)行升級(jí)，此時(shí)支持軟件升級(jí)就很重要了。如果不支持軟件升級(jí)的話(huà)，為了抵御新的攻擊手段，用戶(hù)就必須進(jìn)行硬件上的更換，而在更換期間網(wǎng)絡(luò)是不設(shè)防的，同時(shí)用戶(hù)也要為此花費(fèi)更多的錢(qián)。

2/1/202350網(wǎng)絡(luò)安全概述6.5.2防火墻的安裝1.安裝防火墻前應(yīng)該進(jìn)行的工作對(duì)不同類(lèi)型的防火墻，安裝的難易程度有所差別。但為了完成企業(yè)內(nèi)部網(wǎng)的防火墻的安裝，網(wǎng)管人員必須制定詳細(xì)的計(jì)劃和進(jìn)行精心的安排。對(duì)于內(nèi)行來(lái)說(shuō)，可能花費(fèi)的時(shí)間和精力會(huì)少些，對(duì)于新手，可能要話(huà)費(fèi)很長(zhǎng)時(shí)間來(lái)進(jìn)行精心的準(zhǔn)備。

2/1/202351網(wǎng)絡(luò)安全概述6.5.2防火墻的安裝2.防火墻的安裝方法安裝防火墻最簡(jiǎn)單的方法是使用可編程路由器作為包過(guò)濾，此法是目前用的最普遍的的網(wǎng)絡(luò)互聯(lián)安全結(jié)構(gòu)。路由器根據(jù)源/目的地址或包頭部的信息，有選擇的使數(shù)據(jù)包通過(guò)或阻塞。安裝防火墻的另一種方法是把防火墻安裝在一臺(tái)雙端口的主機(jī)系統(tǒng)中，連接內(nèi)部網(wǎng)絡(luò)。而不管是內(nèi)部網(wǎng)絡(luò)還是外部網(wǎng)絡(luò)均可訪(fǎng)問(wèn)這臺(tái)主機(jī)，但內(nèi)部網(wǎng)上的主機(jī)不能直接進(jìn)行通信。

2/1/202352網(wǎng)絡(luò)安全概述6.5.2防火墻的安裝還有一種方法是把防火墻安裝在一個(gè)公共子網(wǎng)中，其作用相當(dāng)于一臺(tái)雙端口的主機(jī)。采用應(yīng)用與線(xiàn)路入口及信息包過(guò)濾來(lái)安裝防火墻也是常用的方法之一。所謂應(yīng)用與線(xiàn)路的入口，就是把所有的包都按地址送給入口上的用戶(hù)級(jí)應(yīng)用程序，入口在兩點(diǎn)間傳送這些包。對(duì)于多數(shù)應(yīng)用入口，需要一個(gè)附加的包過(guò)濾機(jī)制來(lái)控制、篩選入口和網(wǎng)絡(luò)之間的信息流。典型的配置包括兩個(gè)路由器，其中之一作為設(shè)防主站，起兩者間的應(yīng)用入口的作用。而應(yīng)用入口對(duì)用戶(hù)、對(duì)應(yīng)用程序、對(duì)運(yùn)行的入口主站均不透明。對(duì)用戶(hù)而言，必須對(duì)他們使用的每一個(gè)應(yīng)用程序安裝一個(gè)特定的客戶(hù)機(jī)應(yīng)用程序，而帶入口的每一個(gè)應(yīng)用程序均是一段獨(dú)立的專(zhuān)用軟件，需要一組自己的管理工具和許可才行。

2/1/202353網(wǎng)絡(luò)安全概述6.5.3防火墻的維護(hù)1.建立防火墻的安全策略安全策略也可以稱(chēng)為訪(fǎng)問(wèn)上的控制策略。它包含了訪(fǎng)問(wèn)上的控制以及組織內(nèi)其他資源使用的種種規(guī)定。訪(fǎng)問(wèn)控制包含了哪些資源可以被訪(fǎng)問(wèn)，如讀取、刪除、下載等行為的規(guī)范，以及哪些人擁有這些權(quán)力等信息。2.對(duì)網(wǎng)絡(luò)維護(hù)人員培訓(xùn)必須對(duì)網(wǎng)管人員經(jīng)過(guò)一定的業(yè)務(wù)培訓(xùn)，使他們對(duì)自己的計(jì)算機(jī)網(wǎng)絡(luò)，包括防火墻的內(nèi)部結(jié)構(gòu)配置要清楚。

2/1/202354網(wǎng)絡(luò)安全概述6.5.3防火墻的維護(hù)3.實(shí)施定期安全檢查網(wǎng)管人員要實(shí)施定期的掃描和檢查，發(fā)現(xiàn)系統(tǒng)結(jié)構(gòu)出了問(wèn)題能及時(shí)排除和恢復(fù)。4．網(wǎng)絡(luò)服務(wù)訪(fǎng)問(wèn)策略網(wǎng)絡(luò)服務(wù)訪(fǎng)問(wèn)策略主要用于定義在網(wǎng)絡(luò)中答應(yīng)的或禁止的網(wǎng)絡(luò)服務(wù)，還包括對(duì)撥號(hào)訪(fǎng)問(wèn)以及PPP(點(diǎn)對(duì)點(diǎn)協(xié)議)連接的限制。這是因?yàn)閷?duì)一種網(wǎng)絡(luò)服務(wù)的限制可能會(huì)促使用戶(hù)使用其他的方法，所以其他的途徑也應(yīng)受到保護(hù)。比如，假如一個(gè)防火墻阻止用戶(hù)使用Telnet服務(wù)訪(fǎng)問(wèn)因特網(wǎng)，一些人可能會(huì)使用撥號(hào)連接來(lái)獲得這些服務(wù)，這樣就可能會(huì)使網(wǎng)絡(luò)受到攻擊。

2/1/202355網(wǎng)絡(luò)安全概述6.5.3防火墻的維護(hù)5.保證通信線(xiàn)路暢通網(wǎng)管人員要保證系統(tǒng)監(jiān)控計(jì)防火墻之間的通信線(xiàn)路暢通無(wú)阻，以便對(duì)安全問(wèn)題進(jìn)行報(bào)警、恢復(fù)、處理其他安裝信息等。

2/1/202356網(wǎng)絡(luò)安全概述6.6防火墻產(chǎn)品介紹（最新版本）6.5.1CheckPointFirewall-1FireWall-1是CheckPoint公司推出的一個(gè)基于策略的網(wǎng)絡(luò)安全解決方案，它對(duì)訪(fǎng)問(wèn)控制、授權(quán)、加密、網(wǎng)絡(luò)地址轉(zhuǎn)換、內(nèi)容安全服務(wù)和服務(wù)器負(fù)載平衡提供集中的管理。FireWall-1使得企業(yè)可以在提供完全的、透明的互聯(lián)服務(wù)的情況下定義和實(shí)施統(tǒng)一的全面的安全策略。下面對(duì)CheckPointFireWall-1防火墻的主要技術(shù)特點(diǎn)及其相關(guān)技術(shù)做一介紹。

2/1/202357網(wǎng)絡(luò)安全概述6.6防火墻產(chǎn)品介紹（最新版本）1.狀態(tài)監(jiān)測(cè)技術(shù)FireWall-1使用了CheckPoint的專(zhuān)利技術(shù)—狀態(tài)監(jiān)測(cè)技術(shù)（StatefulInspectionTechnology），狀態(tài)監(jiān)測(cè)技術(shù)保證了高級(jí)別的網(wǎng)絡(luò)安全和性能，一個(gè)功能強(qiáng)大的監(jiān)測(cè)模塊檢查每一個(gè)通過(guò)網(wǎng)絡(luò)的關(guān)鍵處（如Internet網(wǎng)關(guān)、服務(wù)器、工作站、路由器或交換機(jī)）的包，并能阻止所有非法的通信企圖，只有遵循企業(yè)安全策略的包才能進(jìn)入網(wǎng)絡(luò)。1）FireWall-1監(jiān)測(cè)模塊FireWall-1監(jiān)測(cè)模塊在OSI七層模型中所處的位置，并簡(jiǎn)單描述了它的工作流程。狀態(tài)監(jiān)測(cè)模塊截獲、分析并處理所有試圖通過(guò)防火墻的數(shù)據(jù)包，據(jù)此判斷該通信是否符合安全策略，以保證網(wǎng)絡(luò)的高度安全和數(shù)據(jù)完整。一旦某個(gè)通信違反安全策略，安全警報(bào)器就會(huì)拒絕該通信，并作記錄，向系統(tǒng)管理器報(bào)告網(wǎng)絡(luò)狀態(tài)。如圖6-35所示。

2/1/202358網(wǎng)絡(luò)安全概述6.6防火墻產(chǎn)品介紹（最新版本）2）全面的狀態(tài)記錄FireWall-1檢查從整個(gè)七層模型的每層傳送來(lái)的數(shù)據(jù)，并分析其中狀態(tài)信息，以監(jiān)測(cè)所有狀態(tài)，并將網(wǎng)絡(luò)和各種應(yīng)用的通信狀態(tài)動(dòng)態(tài)存儲(chǔ)、更新到動(dòng)態(tài)狀態(tài)表中，結(jié)合預(yù)定義好的規(guī)則，實(shí)現(xiàn)安全策略。安全策略是用FireWall-1的圖形用戶(hù)界面來(lái)定義的。根據(jù)安全策略，F(xiàn)ireWall-1生成一個(gè)INSPECT語(yǔ)言寫(xiě)成的腳本文件，這個(gè)腳本被編譯后，加載到安裝有狀態(tài)監(jiān)測(cè)模塊的系統(tǒng)上，腳本文件是ASCII文件，可以編輯，以滿(mǎn)足用戶(hù)特定的安全要求。監(jiān)測(cè)模塊檢查IP地址、端口號(hào)以及其他決定其是否符合企業(yè)安全策略的信息。監(jiān)測(cè)模塊保存和更新動(dòng)態(tài)連接表中的狀態(tài)和內(nèi)容信息，這些表不斷更新，為FireWall-1檢查后繼的通信提供積累的先驗(yàn)數(shù)據(jù)。

2/1/202359網(wǎng)絡(luò)安全概述6.6防火墻產(chǎn)品介紹（最新版本）2.FireWall-1的體系結(jié)構(gòu)與組成FireWall-1具有可伸縮性、模塊化的體系結(jié)構(gòu)，采用的是集中控制下的分布式客戶(hù)機(jī)/服務(wù)器結(jié)構(gòu)，性能好，配置靈活。企業(yè)網(wǎng)安裝了FireWall-1后，可以用一個(gè)工作站對(duì)多個(gè)網(wǎng)關(guān)和服務(wù)器的安全策略進(jìn)行配置和管理。企業(yè)安全策略只須在中心管理控制臺(tái)定義一次，并被自動(dòng)下載到網(wǎng)絡(luò)的多個(gè)安全策略執(zhí)行點(diǎn)上，而不需逐一配制。FireWall-1由圖形用戶(hù)接口（GUI）、管理模塊（ManagementModule）和防火墻模塊(FireWallModule)三部分組成。

2/1/202360網(wǎng)絡(luò)安全概述6.6防火墻產(chǎn)品介紹（最新版本）1）圖形用戶(hù)接口FireWall-1直觀(guān)的圖形用戶(hù)界面為集中管理、執(zhí)行企業(yè)安全策略提供了強(qiáng)有力的工具。FireWall-1的圖形用戶(hù)接口包括安全策略編輯器、日志管理器和系統(tǒng)狀態(tài)查看器。安全策略編輯器維護(hù)被保護(hù)對(duì)象，維護(hù)規(guī)則庫(kù)，添加、編輯、刪除規(guī)則，加載規(guī)則到已安裝了狀態(tài)檢測(cè)模塊的系統(tǒng)上。日志管理器提供可視化的對(duì)所有通過(guò)防火墻網(wǎng)關(guān)的連接的跟蹤、監(jiān)視和統(tǒng)計(jì)信息，提供實(shí)時(shí)報(bào)警和入侵檢測(cè)及阻斷功能。系統(tǒng)狀態(tài)查看器提供實(shí)時(shí)的系統(tǒng)狀態(tài)、審計(jì)和報(bào)警功能。

2/1/202361網(wǎng)絡(luò)安全概述6.6防火墻產(chǎn)品介紹（最新版本）2)管理模塊管理模塊對(duì)一個(gè)或多個(gè)安全策略執(zhí)行點(diǎn)提供集中的、圖形化的安全管理功能。安全策略存在管理服務(wù)器上，管理服務(wù)器維護(hù)FireWall-1的數(shù)據(jù)庫(kù)，包括網(wǎng)絡(luò)實(shí)體的定義、用戶(hù)的定義、安全策略和所有防火墻軟件執(zhí)行點(diǎn)的日志文件。圖形用戶(hù)接口和管理服務(wù)器可以同時(shí)裝在一臺(tái)機(jī)器上，也可以采用客戶(hù)機(jī)/服務(wù)器的結(jié)構(gòu)。

2/1/202362網(wǎng)絡(luò)安全概述6.6防火墻產(chǎn)品介紹（最新版本）3）防火墻模塊FireWall-1可以在不修改本地服務(wù)器或客戶(hù)應(yīng)用程序的情況下，對(duì)試圖訪(fǎng)問(wèn)內(nèi)部服務(wù)器的用戶(hù)進(jìn)行身份認(rèn)證。通過(guò)圖形用戶(hù)界面集中管理，通過(guò)日志管理器監(jiān)視、跟蹤認(rèn)證會(huì)話(huà)。安全服務(wù)器為FTP、HTTP、TELNET和RLOGIN用戶(hù)提供認(rèn)證。FireWall-1還有一個(gè)獨(dú)創(chuàng)功能，即客戶(hù)認(rèn)證。還具有NAT的功能。FireWall-1允許企業(yè)定義并執(zhí)行統(tǒng)一的防火墻中央管理安全策略。企業(yè)的防火墻安全策略都存放在防火墻管理模塊的一個(gè)規(guī)則庫(kù)里。規(guī)則庫(kù)里存放的是一些有序的規(guī)則，每條規(guī)則分別指定了源地址、目的地址、服務(wù)類(lèi)型（HTTP、FTP、TELNET等）、針對(duì)該連接的安全措施（放行、拒絕、丟棄或者是需要通過(guò)認(rèn)證等）、需要采取的行動(dòng)（日志記錄、報(bào)警等）、以及安全策略執(zhí)行點(diǎn)（是在防火墻網(wǎng)關(guān)還是在路由器或者其它保護(hù)對(duì)象上上實(shí)施該規(guī)則）。FireWall-1管理員通過(guò)一個(gè)防火墻管理工作站管理該規(guī)則庫(kù)，建立、維護(hù)安全策略，加載安全規(guī)則到裝載了防火墻或狀態(tài)監(jiān)測(cè)模塊的系統(tǒng)上。這些系統(tǒng)和管理工作站之