防火墻與入侵檢測(一)防火墻基礎(chǔ)知識

防火墻與入侵檢測課程簡介授課形式課程講授+上機實習(xí)成績給定辦法期末考試成績70%到課、課堂作業(yè)、上機實習(xí)30%上課時間2-16周周三5-6節(jié)實驗第十二、十三、十四、十五周地點授課10J317上機12J214授課班級網(wǎng)絡(luò)0901、0902、0903、09Q1網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的軟件、硬件及其存儲的數(shù)據(jù)處于保護(hù)狀態(tài)，網(wǎng)絡(luò)系統(tǒng)不會由于偶然的或者惡意的沖擊而受到破壞，網(wǎng)絡(luò)系統(tǒng)能夠連續(xù)可靠地運行。網(wǎng)絡(luò)安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、信息論等多研究領(lǐng)域的綜合性學(xué)科。凡是涉及網(wǎng)絡(luò)系統(tǒng)的保密性、完整性、可用性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究內(nèi)容。網(wǎng)絡(luò)安全2009年網(wǎng)民遭遇安全事件的情況網(wǎng)絡(luò)安全網(wǎng)民遭遇安全事件的誘因網(wǎng)絡(luò)安全安全事件帶來的損失網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全事件帶來的直接財產(chǎn)損失情況網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全研究內(nèi)容密碼技術(shù)防火墻技術(shù)入侵檢測計算機病毒學(xué)網(wǎng)絡(luò)安全管理規(guī)范密碼技術(shù)能完整地解決信息安全性中的機密性、數(shù)據(jù)完整性、認(rèn)證、身份識別以及不可抵賴等問題中的一個或多個。密碼技術(shù)不能解決所有的網(wǎng)絡(luò)安全問題，它需要與信息安全的其他技術(shù)如訪問控制技術(shù)、網(wǎng)絡(luò)監(jiān)控技術(shù)等互相融合，形成綜合的信息網(wǎng)絡(luò)安全保障。防火墻建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中。特征：網(wǎng)絡(luò)位置特性內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)都必須經(jīng)過防火墻工作原理特性只有符合安全策略的數(shù)據(jù)才能通過防火墻先決條件防火墻自身應(yīng)具有非常強的扛攻擊能力入侵檢測80%以上的入侵來自于網(wǎng)絡(luò)內(nèi)部由于性能的限制，防火墻通常不能提供實時的入侵檢測能力，對于來自內(nèi)部網(wǎng)絡(luò)的攻擊，防火墻形同虛設(shè)入侵檢測是對防火墻及其有益的補充在入侵攻擊對系統(tǒng)發(fā)生危害前檢測到入侵攻擊，并利用報警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊在入侵攻擊過程中，能減少入侵攻擊所造成的損失在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識，添加到知識庫中，增強防范能力，避免系統(tǒng)再次受到入侵。計算機病毒學(xué)病毒是指“編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼”反病毒技術(shù)病毒預(yù)防技術(shù)病毒檢測技術(shù)病毒清除技術(shù)網(wǎng)絡(luò)安全管理規(guī)范信息網(wǎng)絡(luò)安全策略實體可信、行為可控、資源可管、事件可查、運行可靠信息網(wǎng)絡(luò)管理機制誰主管誰負(fù)責(zé)、誰運行誰負(fù)責(zé)安全事件響應(yīng)機制網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全研究內(nèi)容密碼技術(shù)防火墻技術(shù)入侵檢測計算機病毒學(xué)網(wǎng)絡(luò)安全管理規(guī)范防火墻篇第1章防火墻基礎(chǔ)知識第2章防火墻的關(guān)鍵技術(shù)第3章主流防火墻的部署與實現(xiàn)第4章防火墻廠商及產(chǎn)品介紹第5章防火墻的發(fā)展趨勢第一章防火墻基礎(chǔ)知識構(gòu)造比較全面的關(guān)于防火墻的知識框架防火墻基礎(chǔ)知識防火墻的定義－－什么是防火墻防火墻的位置－－所處的邏輯位置和物理位置防火墻的理論特性和實際功能防火墻的規(guī)則－－防火墻的靈魂－－“過濾規(guī)則”防火墻的分類－－多種分類方法防火墻的定義

從廣泛、宏觀的意義上說，防火墻是隔離在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一個防御系統(tǒng)。

AT&T的工程師WilliamCheswick和StevenBellovin給出了防火墻的明確定義，他們認(rèn)為防火墻是位于兩個網(wǎng)絡(luò)之間的一組構(gòu)件或一個系統(tǒng)，具有以下屬性：防火墻是不同網(wǎng)絡(luò)或者安全域之間信息流的唯一通道，所有雙向數(shù)據(jù)流必須經(jīng)過防火墻。只有經(jīng)過授權(quán)的合法數(shù)據(jù)，即防火墻安全策略允許的數(shù)據(jù)才可以通過防火墻。防火墻系統(tǒng)應(yīng)該具有很高的抗攻擊能力，其自身可以不受各種攻擊的影響。簡而言之，防火墻是位于兩個(或多個)網(wǎng)絡(luò)間，實施訪問控制策略的一個或一組組件集合。

防火墻的物理位置

從設(shè)備部署位置上看，防火墻要部署在本地受保護(hù)區(qū)域與外部網(wǎng)絡(luò)的交界點上。從具體的實現(xiàn)上看，防火墻運行在任何要實現(xiàn)訪問控制功能的設(shè)備上。下圖為防火墻在網(wǎng)絡(luò)中的常見位置：防火墻的邏輯位置

防火墻的邏輯位置指的是防火墻與網(wǎng)絡(luò)協(xié)議相對應(yīng)的邏輯層次關(guān)系。處于不同網(wǎng)絡(luò)層次的防火墻實現(xiàn)不同級別的網(wǎng)絡(luò)過濾功能，表現(xiàn)出來的特性也不同。所有防火墻均依賴于對ISOOSI/RM網(wǎng)絡(luò)七層模型中各層協(xié)議所產(chǎn)生的信息流進(jìn)行檢查。一般說來，防火墻越是工作在ISOOSI/RM模型的上層，能檢查的信息就越多，其提供的安全保護(hù)等級就越高。防火墻與網(wǎng)絡(luò)層次關(guān)系如下表所示：ISOOSI/RM七層模型防火墻級別應(yīng)用層網(wǎng)關(guān)級表示層會話層傳輸層電路級網(wǎng)絡(luò)層路由器級數(shù)據(jù)連路層網(wǎng)橋級物理層中繼器級防火墻的理論特性和實際功能防火墻面對的安全威脅防火墻的理論特性防火墻的實際功能防火墻面對的安全威脅

通過更改防火墻配置參數(shù)和其它相關(guān)安全數(shù)據(jù)而展開的攻擊。攻擊者利用高層協(xié)議和服務(wù)對內(nèi)部受保護(hù)網(wǎng)絡(luò)或主機進(jìn)行的攻擊。繞開身份認(rèn)證和鑒別機制，偽裝身份，破壞已有連接。任何通過偽裝內(nèi)部網(wǎng)絡(luò)地址進(jìn)行非法內(nèi)部資源訪問的地址欺騙攻擊。未經(jīng)授權(quán)訪問內(nèi)部網(wǎng)絡(luò)中的目標(biāo)數(shù)據(jù)。用戶對防火墻等重要設(shè)備未經(jīng)授權(quán)的訪問。破壞審計記錄。防火墻的理論特性1創(chuàng)建阻塞點

根據(jù)美國國家安全局制定的《信息保障技術(shù)框架》，防火墻適用于網(wǎng)絡(luò)系統(tǒng)的邊界（networkboundary），屬于用戶內(nèi)部網(wǎng)絡(luò)邊界安全保護(hù)設(shè)備。所謂網(wǎng)絡(luò)邊界就是采用不同安全策略的兩個網(wǎng)絡(luò)連接位置。防火墻就是在網(wǎng)絡(luò)的外邊界或周邊，在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立的唯一一個安全控制檢查點，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計和控制。從而實現(xiàn)防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，禁止存在安全脆弱性的服務(wù)進(jìn)出網(wǎng)絡(luò)，并抵抗來自各種路線的攻擊，進(jìn)而提高被保護(hù)網(wǎng)絡(luò)的安全性，降低風(fēng)險。這樣一個檢查點被稱為阻塞點。這是防火墻所處網(wǎng)絡(luò)位置特性，同時也是一個前提。如果沒有這樣一個供監(jiān)視和控制信息的點，系統(tǒng)管理員要在大量的地方來進(jìn)行監(jiān)測。在某些文獻(xiàn)里，防火墻又被稱為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的單聯(lián)系點。需要注意的是，雖然存在著許多的多接入點網(wǎng)絡(luò)，但是每個出口也都要有防火墻設(shè)備，因此從邏輯上看，防火墻還是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的唯一聯(lián)系點。防火墻的理論特性2強化網(wǎng)絡(luò)安全策略，提供集成功能

防火墻設(shè)備所處的位置，正好為系統(tǒng)提供了一個多種安全技術(shù)的集成支撐平臺。通過相應(yīng)的配置，可以將多種安全軟件，譬如口令檢查、加密、身份認(rèn)證、審計等，集中部署在防火墻上。與分散部署方案相比，防火墻的集中安全管理更經(jīng)濟、更加有效，簡化了系統(tǒng)管理人員的操作，從而強化了網(wǎng)絡(luò)安全策略的實行。防火墻的理論特性3實現(xiàn)網(wǎng)絡(luò)隔離

防火墻將網(wǎng)絡(luò)劃分成內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩個不同的部分，因此網(wǎng)絡(luò)隔離就成為防火墻的基本功能。防火墻通過將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相互隔離來確保內(nèi)部網(wǎng)絡(luò)的安全，同時限制局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響，降低外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)一些統(tǒng)計數(shù)據(jù)的探測能力。限制來自外部網(wǎng)絡(luò)的訪問防火墻基礎(chǔ)功能之一就是限制信息包進(jìn)入網(wǎng)絡(luò)。防火墻針對每一個進(jìn)入內(nèi)部網(wǎng)絡(luò)的企圖都要根據(jù)依照安全策略制訂的規(guī)則進(jìn)行過濾，即授權(quán)檢查。如果該行為屬于系統(tǒng)許可的行為則予以放行，否則將拒絕該連接企圖。防火墻的這種功能實現(xiàn)了對系統(tǒng)資源的保護(hù)，防止了針對機密信息的泄漏、盜竊和破壞性為。限制網(wǎng)絡(luò)內(nèi)部未經(jīng)授權(quán)的訪問傳統(tǒng)防火墻難于覺察內(nèi)部的攻擊和破壞行為?，F(xiàn)代防火墻則加強了對內(nèi)部訪問數(shù)據(jù)的監(jiān)控，主要表現(xiàn)就是一切都嚴(yán)格依照預(yù)先制訂的系統(tǒng)整體安全策略，限制內(nèi)部網(wǎng)絡(luò)未經(jīng)授權(quán)的訪問。防火墻的理論特性4記錄和審計內(nèi)聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)之間的活動

由于防火墻處在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相連接的阻塞點，所以它可以對所有涉及內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)存取與訪問的行為進(jìn)行監(jiān)控。當(dāng)防火墻發(fā)現(xiàn)可疑的行為時，可以進(jìn)行及時的報警，并提供網(wǎng)絡(luò)是否受到破壞以及攻擊的詳細(xì)信息。對于內(nèi)部用戶的誤操作防火墻也將進(jìn)行嚴(yán)格的監(jiān)控，預(yù)防內(nèi)部用戶的破壞行為。此外，防火墻還能進(jìn)行網(wǎng)絡(luò)使用情況的統(tǒng)計操做。以上提及的防火墻的操作和數(shù)據(jù)都將被詳細(xì)地記錄到日志文件（logfile）中并提交給網(wǎng)絡(luò)管理員進(jìn)行分析和審計。防火墻的日志文件既記錄正常的網(wǎng)絡(luò)訪問行為又記錄非正常的網(wǎng)絡(luò)行為。對日志文件的分析和審計可以使管理員清楚地了解防火墻的安全保護(hù)能力和運行情況；優(yōu)化防火墻，使其更加有效地工作；準(zhǔn)確地識別入侵者并采取行之有效的措施；及時地對非法行為及其造成的后果做出反應(yīng)；為網(wǎng)絡(luò)的優(yōu)化和建設(shè)提供必要的數(shù)據(jù)支撐。管理員需要關(guān)注的問題不是網(wǎng)絡(luò)是否會受到攻擊，而是網(wǎng)絡(luò)何時會受到攻擊。因此要求管理員要及時地響應(yīng)報警信息并經(jīng)常性地審查防火墻日志記錄。防火墻的理論特性5自身具有非常強的抵御攻擊的能力

由于防火墻是一個關(guān)鍵點，所以其自身的安全性就顯得尤為重要。一旦防火墻失效，則內(nèi)部網(wǎng)絡(luò)將完全曝光于外部入侵者的目光之下，網(wǎng)絡(luò)的安全將受到嚴(yán)重的威脅！一般來說，防火墻是一臺安裝了安全操作系統(tǒng)且服務(wù)受限的堡壘主機。即防火墻自身的操作系統(tǒng)符合相應(yīng)的軟件安全級別；除了必要的功能外，防火墻不開設(shè)任何多余的端口。這些措施在相當(dāng)程度上增強了防火墻抵御攻擊的能力，但這種安全性也只是相對的。防火墻的實際功能1包過濾

網(wǎng)絡(luò)通信通過計算機之間的連接實現(xiàn)，而連接則是由兩臺主機之間相互傳送的若干數(shù)據(jù)包組成。防火墻的基本功能之一就是對由數(shù)據(jù)包組成的邏輯連接進(jìn)行過濾，即包過濾。數(shù)據(jù)包的過濾參數(shù)有很多，最基本的是通信雙方的IP地址和端口號。隨著過濾技術(shù)的不斷發(fā)展，各層網(wǎng)絡(luò)協(xié)議的頭部字段以及通過對字段分析得到的連接狀態(tài)等等內(nèi)容都可以作為過濾技術(shù)考察的參數(shù)。包過濾技術(shù)也從早期的靜態(tài)包過濾機制發(fā)展到動態(tài)包過濾、狀態(tài)檢測等機制。總的說來，現(xiàn)在的包過濾技術(shù)主要包括針對網(wǎng)絡(luò)服務(wù)的過濾以及針對數(shù)據(jù)包本身的過濾。防火墻的實際功能2代理

代理技術(shù)是與包過濾技術(shù)截然不同的另外一種防火墻技術(shù)。這種技術(shù)在防火墻處將用戶的訪問請求變成由防火墻代為轉(zhuǎn)發(fā)，外部網(wǎng)絡(luò)看不見內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，也無法直接訪問內(nèi)部網(wǎng)絡(luò)的主機。在防火墻代理服務(wù)中，主要有兩種實現(xiàn)方式：一是透明代理（Transparentproxy），指內(nèi)部網(wǎng)絡(luò)用戶在訪問外部網(wǎng)絡(luò)的時候，本機配置無需任何改變，防火墻就像透明的一樣；二是傳統(tǒng)代理，其工作原理與透明代理相似，所不同的是它需要在客戶端設(shè)置代理服務(wù)器。相對于包過濾技術(shù)，代理技術(shù)可以提供更加深入細(xì)致的過濾，甚至可以理解應(yīng)用層的內(nèi)容，但是實現(xiàn)復(fù)雜且速度較慢。防火墻的實際功能3網(wǎng)絡(luò)地址轉(zhuǎn)換

網(wǎng)絡(luò)地址轉(zhuǎn)換功能現(xiàn)在已經(jīng)成為防火墻的標(biāo)準(zhǔn)功能之一。通過這項功能可以很好地屏蔽內(nèi)部網(wǎng)絡(luò)的IP地址，對內(nèi)部網(wǎng)絡(luò)用戶起到保護(hù)作用；同時可以用來緩解由于網(wǎng)絡(luò)規(guī)模需速增長而帶來的地址空間短缺問題；此外還可以消除組織或機構(gòu)在變換ISP時帶來的重新編址的麻煩。下面描述一下從內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)建立連接時NAT工作的過程：

1）防火墻對收到的內(nèi)部訪問請求進(jìn)行過濾，決定允許該訪問請求通過還是拒絕。

2）NAT機制將請求中的源IP地址轉(zhuǎn)換為防火墻處可以利用的一個公共IP地址。

3）將變動后的請求信息轉(zhuǎn)發(fā)往目的地。當(dāng)從目的地返回的響應(yīng)信息到達(dá)防火墻的接口時，防火墻執(zhí)行如下步驟：

1）NAT將響應(yīng)數(shù)據(jù)包中的目的地址轉(zhuǎn)換為發(fā)出請求的內(nèi)部網(wǎng)絡(luò)主機的IP地址。

2）將該響應(yīng)數(shù)據(jù)包發(fā)往發(fā)出請求的內(nèi)部網(wǎng)絡(luò)主機。防火墻的實際功能4虛擬專用網(wǎng)VPN在不安全的公共網(wǎng)絡(luò)，例如Internet，上建立一個邏輯的專用數(shù)據(jù)網(wǎng)絡(luò)來進(jìn)行信息的安全傳遞，目前已經(jīng)成為在線交換信息的最安全的方式之一。但是傳統(tǒng)的防火墻不能對VPN的加密連接進(jìn)行解密檢查，所以是不允許VPN通信通過的，VPN設(shè)備也是作為單獨產(chǎn)品出現(xiàn)的?，F(xiàn)在越來越多的廠家將防火墻和VPN集成在一起，將VPN作為防火墻的一種新的技術(shù)配置。多數(shù)防火墻支持VPN加密標(biāo)準(zhǔn)，并提供基于硬件的加密，這使得防火墻速度不減但功能更加合理。防火墻的實際功能5用戶身份認(rèn)證

防火墻要對發(fā)出網(wǎng)絡(luò)訪問連接請求的用戶和用戶請求的資源進(jìn)行認(rèn)證，確認(rèn)請求的真實性和授權(quán)范圍。系統(tǒng)整體安全策略確定了防火墻執(zhí)行的身份認(rèn)證級別。與此相應(yīng)的是防火墻一般支持多種身份認(rèn)證方案，譬如RADIUS、Kerberos、TACACS／TACACS+、用戶名+口令、數(shù)字證書等等。防火墻的實際功能6記錄、報警、分析與審計

防火墻對于所有通過它的通信量以及由此產(chǎn)生的其它信息要進(jìn)行記錄，并提供日志管理和存儲方法。具體內(nèi)容如下：自動報表、日志報告書寫器：防火墻實現(xiàn)報表自動化輸出和日志報告功能。簡要列表：防火墻按要求進(jìn)行報表分類打印的功能。自動日志掃描：防火墻的日志自動分析和掃描功能。圖表統(tǒng)計：防火墻進(jìn)行日志分析后以圖形方式輸出統(tǒng)計結(jié)果。報警機制是在發(fā)生違反安全策略的事件后，防火墻向管理員發(fā)出提示通知的機制，各種現(xiàn)代通信手段都可以使用，包括E-mail、呼機、手機等。分析與審計機制用于監(jiān)控通信行為，分析日志情況，進(jìn)而查出安全漏洞和錯誤配置，完善安全策略。防火墻的日志記錄量往往比較大，通常將日志存儲在一臺專門的日志服務(wù)器上。防火墻的實際功能7管理功能

防火墻的管理功能是將防火墻設(shè)備與系統(tǒng)整體安全策略下的其它安全設(shè)備聯(lián)系到一起并相互配合、協(xié)調(diào)工作的功能，是實現(xiàn)一體化安全必不可少的要素。一般說來，防火墻的管理包括下列方面：根據(jù)網(wǎng)絡(luò)安全策略編制防火墻過濾規(guī)則。配置防火墻運行參數(shù)?？梢酝ㄟ^本地Console口配置、基于不同協(xié)議的遠(yuǎn)程網(wǎng)絡(luò)化配置等方式進(jìn)行。實現(xiàn)防火墻日志的自動化管理。就是實現(xiàn)日志文件的記錄、轉(zhuǎn)存、分析、再配置等過程的自動化和智能化。防火墻的性能管理。包括動態(tài)帶寬管理、負(fù)載均衡、失敗恢復(fù)等技術(shù)。也可以通過本地或者遠(yuǎn)程多種方式實現(xiàn)。防火墻的實際功能8其他特殊功能

除了上面描述的技術(shù)功能外，許多廠家為了顯示各自產(chǎn)品的與眾不同，還在防火墻中加入了很多其它的功能，比如病毒掃描，有的防火墻具有防病毒功能，可以發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)中包含的危險信息；信息過濾，指防火墻能夠過濾URL、HTTP攜帶的信息、JavaApplet、JavaScript、ActiveX以及電子郵件中的Subject、To、From域等網(wǎng)絡(luò)應(yīng)用信息內(nèi)容；用戶的特定權(quán)限設(shè)置，包括使用時間、郵件發(fā)送權(quán)限、件傳輸權(quán)限、使用的主機、所能進(jìn)行的互聯(lián)網(wǎng)應(yīng)用等等，這些內(nèi)容依據(jù)用戶需求不同而不同。防火墻的規(guī)則規(guī)則的作用：系統(tǒng)的網(wǎng)絡(luò)訪問政策。規(guī)則內(nèi)容的分類：高級政策；低級政策。規(guī)則的特點：規(guī)則是系統(tǒng)安保策略的實現(xiàn)和延伸；

與網(wǎng)絡(luò)訪問行為緊密相關(guān)；在嚴(yán)格安全管理和充分利用網(wǎng)絡(luò)之間取得較好的平衡；防火墻可以實施各種不同的服務(wù)訪問政策。規(guī)則的設(shè)計原則：拒絕訪問一切未予特許的服務(wù)；允許訪問一切未被特別拒絕的服務(wù)。規(guī)則的順序問題：必須仔細(xì)考慮規(guī)則的順序，防止出現(xiàn)系統(tǒng)漏洞。防火墻的分類按防火墻采用的主要技術(shù)劃分按防火墻的具體實現(xiàn)劃分按防火墻部署的位置劃分按防火墻的形式劃分按受防火墻保護(hù)的對象劃分按防火墻的使用者劃分按防火墻采用的主要技術(shù)劃分包過濾型代理型包過濾型包過濾型防火墻工作在ISO7層模型的傳輸層以下，根據(jù)數(shù)據(jù)包頭部各個字段進(jìn)行過濾，包括源地址、端口號以及協(xié)議類型等。包過濾方式不針對具體的網(wǎng)絡(luò)服務(wù)而是針對數(shù)據(jù)包本身進(jìn)行過濾，適用于所有網(wǎng)絡(luò)服務(wù)。目前大多數(shù)的路由器設(shè)備都集成了數(shù)據(jù)包過濾的功能，具有很高的性價比。包過濾方式也有明顯的缺點：過濾判別條件有限，安全性不高；過濾規(guī)則數(shù)目的增加會極大地影響防火墻的性能；很難進(jìn)行對用戶身份進(jìn)行驗證；對安全管理人員素質(zhì)要求高。包過濾型防火墻包括以下幾種類型：靜態(tài)包過濾防火墻動態(tài)包過濾防火墻狀態(tài)檢測（StatefulInspection）防火墻代理型代理型防火墻工作在ISO7層模型的最高層——應(yīng)用層。它完全阻斷了網(wǎng)絡(luò)訪問的數(shù)據(jù)流：它為每一種服務(wù)都建立了一個代理，內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間沒有直接的服務(wù)連接，都必須通過相應(yīng)的代理審核后再轉(zhuǎn)發(fā)。代理型防火墻的優(yōu)點是：工作在應(yīng)用層上，可以對網(wǎng)絡(luò)連接的深層的內(nèi)容進(jìn)行監(jiān)控；它事實上阻斷了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接，實現(xiàn)了內(nèi)外網(wǎng)絡(luò)的相互屏蔽，避免了數(shù)據(jù)驅(qū)動類型的攻擊。代理型防火墻的缺點是：速度相對較慢，當(dāng)網(wǎng)關(guān)處數(shù)據(jù)吞吐量較高時，防火墻就會成為瓶頸。代理型防火墻有如下幾種類型：應(yīng)用網(wǎng)關(guān)（ApplicationGateway）電路級網(wǎng)關(guān)（CircuitProxy）自適應(yīng)代理（Adaptiveproxy）按防火墻的具體實現(xiàn)劃分多重宿主主機篩選路由器屏蔽主機屏蔽子網(wǎng)其他實現(xiàn)結(jié)構(gòu)多重宿主主機

多重宿主主機是放在內(nèi)網(wǎng)與外網(wǎng)接口上的一臺堡壘主機。它最少有兩個網(wǎng)絡(luò)接口：一個與內(nèi)網(wǎng)相連，另外一個與外網(wǎng)相連。內(nèi)、外網(wǎng)之間禁止直接通信，需通過多重宿主主機上應(yīng)用層數(shù)據(jù)共享或者應(yīng)用層代理服務(wù)來完成。主要有以下兩種類型：雙重宿主主機雙重宿主主機用于在內(nèi)、外網(wǎng)之間進(jìn)行尋徑并通過其上的共享數(shù)據(jù)服務(wù)提供網(wǎng)絡(luò)應(yīng)用。要求用戶必須通過賬號和口令登錄到主機上才能使用這些服務(wù)。雙重宿主主機要求主機自身有較強的安全性；要支持多種服務(wù)、多個用戶的訪問需求；要能管理其上的大量用戶賬號。因此雙重宿主主機既是系統(tǒng)安全的瓶頸又是系統(tǒng)性能的瓶頸，維護(hù)起來也很困難。雙重宿主網(wǎng)關(guān)雙重宿主網(wǎng)關(guān)通過運行其上的各種代理服務(wù)器來提供網(wǎng)絡(luò)服務(wù)。雙重宿主網(wǎng)關(guān)與雙重宿主主機相比，從結(jié)構(gòu)上說并沒有變化，同時代理服務(wù)器的服務(wù)響應(yīng)比雙重宿主主機的數(shù)據(jù)共享慢一些，靈活性較差。篩選路由器

篩選路由器又稱為包過濾路由器、網(wǎng)絡(luò)層防火墻、IP過濾器或篩選過濾器，通常是用一臺放置在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的路由器來實現(xiàn)。它對進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析，并按照一定的信息過濾規(guī)則對進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行限制，允許授權(quán)信息通過，拒絕非授權(quán)信息通過。篩選濾路由器具有速度快、提供透明服務(wù)、實現(xiàn)簡單等優(yōu)點。同時也有安全性不高、維護(hù)和管理比較困難等缺點。篩選路由器只適用于非集中化管理、無強大的集中安全策略、網(wǎng)絡(luò)主機數(shù)目較少的組織或機構(gòu)。屏蔽主機

這種防火墻由內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一臺過濾路由器和一臺堡壘主機構(gòu)成。它強迫所有外部主機與堡壘主機相連接，而不讓它們與內(nèi)部主機直接相連。為了達(dá)到這個目的，過濾路由器將所有的外部到內(nèi)部的連接都路由到了堡壘主機上，讓外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的訪問通過堡壘主機上提供的相應(yīng)代理服務(wù)器進(jìn)行。對于內(nèi)部網(wǎng)絡(luò)到外部不可信網(wǎng)絡(luò)的出站連接則可以采用不同的策略：有些服務(wù)可以允許繞過堡壘主機，直接通過過濾路由器進(jìn)行連接；而其它的一些服務(wù)則必須經(jīng)過堡壘主機上的運行該服務(wù)的代理服務(wù)器實現(xiàn)。這種防火墻的安全性相對較高：它不但提供了網(wǎng)絡(luò)層的包過濾服務(wù)，而且提供了應(yīng)用層的代理服務(wù)。其主要缺陷是：篩選路由器是系統(tǒng)的單失效點；系統(tǒng)服務(wù)響應(yīng)速度較慢；具有較大的管理復(fù)雜性。屏蔽子網(wǎng)

屏蔽子網(wǎng)與屏蔽主機在本質(zhì)上是一樣的，它對網(wǎng)絡(luò)的安全保護(hù)通過兩臺包過濾路由器和在這兩臺路由器之間構(gòu)筑的子網(wǎng)，即非軍事區(qū)來實現(xiàn)。在非軍事區(qū)里放置堡壘主機，還可能有公用信息服務(wù)器。與外部網(wǎng)絡(luò)相連的過濾路由器只允許外部系統(tǒng)訪問非軍事區(qū)內(nèi)的堡壘主機或者公用信息服務(wù)器。與內(nèi)部網(wǎng)絡(luò)相連接的過濾路由器只接受從堡壘主機來的數(shù)據(jù)包。內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的直接訪問是被嚴(yán)格禁止的。相對于其它幾種防火墻而言，屏蔽子網(wǎng)的安全性是最高的，它為此付出的代價是：經(jīng)過多級路由器和主機，網(wǎng)絡(luò)服務(wù)性能下降；管理復(fù)雜度較大。其他實現(xiàn)結(jié)構(gòu)

其他結(jié)構(gòu)的防火墻系統(tǒng)都是上述幾種結(jié)構(gòu)的變形，主要有：一個堡壘主機和一個非軍事區(qū)、兩個堡壘主機和兩個非軍事區(qū)、兩個堡壘主機和一個非軍事區(qū)等等，目的都是通過設(shè)定過濾和代理的層次使得檢測層次增多從而增加安全性。按防火墻部署的位置劃分單接入點的傳統(tǒng)防火墻混合式防火墻分布式防火墻單接入點的傳統(tǒng)防火墻

防火墻最普通的表現(xiàn)形式。位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)相交的邊界，獨立于其它網(wǎng)絡(luò)設(shè)備，實施網(wǎng)絡(luò)隔離?；旌鲜椒阑饓?/p>

混合式防火墻依賴于地址策略將安全策略分發(fā)給各個站點，由各個站點實施這些規(guī)則。其代表產(chǎn)品為CHECKPOINT公司的FIREWALL-1防火墻。它通過裝載到網(wǎng)絡(luò)操作中心上的多域服務(wù)器來控制多個防火墻用戶模塊。多域服務(wù)器有多個用戶管理加載模塊，每個模塊都有一個虛擬IP地址，對應(yīng)著若干防火墻用戶模塊。安全策略通過多域服務(wù)器上的用戶管理加載模塊下發(fā)到各個防火墻用戶模塊。防火墻用戶模塊執(zhí)行安全規(guī)則，并將數(shù)據(jù)存放到對應(yīng)的用戶管理加載模塊的目錄下。多域服務(wù)器可以共享這些數(shù)據(jù)，使得防火墻多點接入成為可能?；旌鲜椒阑饓⒕W(wǎng)絡(luò)流量分擔(dān)給多個接入點，降低了單一接入點的工作強度，安全性、管理性更強。但網(wǎng)絡(luò)操作中心是系統(tǒng)的單失效點。分布式防火墻

分布式防火墻是一種較新的防火墻實現(xiàn)：防火墻是在每一臺連接到網(wǎng)絡(luò)的主機上實現(xiàn)的，負(fù)責(zé)所在主機的安全策略的執(zhí)行、異常情況的報告，并收集所在主機的通信情況記錄和安全信息；同時，設(shè)置一個網(wǎng)絡(luò)安全管理中心，按照用戶權(quán)限的不同向安裝在各臺主機上的防火墻分發(fā)不同的網(wǎng)絡(luò)安全策略，此外還要收集、分析、統(tǒng)計各個防火墻的安全信息。這種防火墻的優(yōu)點突出：可以使每一臺主機得到最合適的保護(hù)，安全策略完全符合主機的要求；不依賴于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，加入網(wǎng)絡(luò)完全依賴于密碼標(biāo)志而不是IP地址。分布式防火墻的不足在于：難于實現(xiàn)；安全數(shù)據(jù)收集困難；網(wǎng)絡(luò)安全中心負(fù)荷過重。按防火墻的形式劃分軟件防火墻

軟件防火墻產(chǎn)品形式是軟件代碼，它不依靠具體的硬件設(shè)備，而純粹依靠軟件來監(jiān)控網(wǎng)絡(luò)信息。軟件防火墻固然有安裝、維護(hù)簡單的優(yōu)點，但對于安裝平臺的性能要求較高。獨立硬件防火墻

硬件防火墻則需要專用的硬件設(shè)備，一般采用ASIC技術(shù)架構(gòu)或者網(wǎng)絡(luò)處理器，它們都為數(shù)據(jù)包的檢測進(jìn)行了專門的優(yōu)化。從外觀上看，獨立硬件防火墻與集線器、交換機或者路由器類似，只是只有少數(shù)幾個接口，分別用于連接內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)。模塊化防火墻

目前很多的路由器都已經(jīng)集成了防火墻的功能，這種防火墻往往作為路由器的一個可選配的模塊存在。當(dāng)用戶選擇路由器的時候，可以根據(jù)需要選購防火墻模塊來實現(xiàn)自身網(wǎng)絡(luò)的安全防護(hù)，這可以大大降低網(wǎng)絡(luò)設(shè)備的采購成本。按受防火墻保護(hù)的對象劃分單機防火墻單機防火墻的設(shè)計目的是為了保護(hù)單臺主機網(wǎng)絡(luò)訪問操作的安全。單機防火墻一般是以裝載到受保護(hù)主機的硬盤里的軟件程序的形式存在的，也有做成網(wǎng)卡形式的單機防火墻存在，但是不是很多。受到載機性能所限，單機防火墻性能不會很高，無法與網(wǎng)絡(luò)防火墻相比。網(wǎng)絡(luò)防火墻網(wǎng)絡(luò)防火墻的設(shè)計目的是為了保護(hù)相應(yīng)網(wǎng)絡(luò)的安全。網(wǎng)絡(luò)防火墻一般采用軟件與硬件相結(jié)合的形式，也有純軟件的防火墻存在。網(wǎng)絡(luò)防火墻處于受保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)相接的節(jié)點上，對于網(wǎng)絡(luò)負(fù)載吞吐量、過濾速度、過濾強度等參數(shù)的要求比單機防火墻要高。目前大部分的防火墻產(chǎn)品都是網(wǎng)絡(luò)防火墻。按防火墻的使用者劃分企業(yè)級防火墻企業(yè)級防火墻的設(shè)計目的是為企業(yè)聯(lián)網(wǎng)提供安全訪問控制服務(wù)。此外，根據(jù)企業(yè)的安全要求，企業(yè)級防火墻還會提供更多的安全功能。譬如，企業(yè)為了保證客戶訪問的效率，第一時間響應(yīng)客戶的請求，一般要求支持千兆線速轉(zhuǎn)發(fā)；為了與企業(yè)伙伴之間安全地交換數(shù)據(jù)，要求支持VPN；為了維護(hù)企業(yè)利益，要對進(jìn)出企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行深度過濾等等。可以說，防火墻產(chǎn)品功能的花樣翻新與企業(yè)需求的多種多樣是直接相關(guān)的，防火墻所有功能都會在企業(yè)的安全需求中找到。個人防火墻個人防火墻主要用于個人使用計算機的安全防護(hù)，實際上與單機防火墻是一樣的概念，只是看待問題的出發(fā)點不同而已。使用防火墻的好處

防火墻允許網(wǎng)絡(luò)管理員定義一個“檢查點”來防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)并抵抗各種攻擊，增加了網(wǎng)絡(luò)的安全性。防火墻通過過濾存在著安全缺陷的網(wǎng)絡(luò)服務(wù)來降低受保護(hù)網(wǎng)絡(luò)遭受攻擊的威脅。防火墻可以增強受保護(hù)節(jié)點的保密性，強化私有權(quán)。防火墻有能力較精確地控制對內(nèi)部子系統(tǒng)的訪問。防火墻系統(tǒng)具有集中安全性。在防火墻上可以很方便地監(jiān)視網(wǎng)絡(luò)的通信流，并產(chǎn)生告警信息。防火墻是審計和記錄網(wǎng)絡(luò)行為最佳的地方。防火墻可以作為向客戶發(fā)布信息的地點。防火墻為系統(tǒng)整體安全策略的執(zhí)行提供了重要的實施平臺。防火墻的不足

限制網(wǎng)絡(luò)服務(wù)對內(nèi)部用戶防范不足不能防范旁路連接不適合進(jìn)行病毒檢測無法防范數(shù)據(jù)驅(qū)動型攻擊無法防范所有的威脅防火墻配置比較困難無法防范內(nèi)部人員泄露機密信息防火墻對網(wǎng)絡(luò)訪問速度有影響單失效點相關(guān)標(biāo)準(zhǔn)國外的信息安全標(biāo)準(zhǔn)可信計算機安全評價標(biāo)準(zhǔn)TCSEC標(biāo)準(zhǔn)于1970年由美國國防科學(xué)委員會提出，并于1985年12月由美國國防部公布。TCSEC是計算機系統(tǒng)安全評估的第一個正式標(biāo)準(zhǔn)，對信息安全標(biāo)準(zhǔn)化建設(shè)具有重要的意義，又被稱為“橘皮書”。TCSEC的重點在于提供對敏感信息的機密性保護(hù)。它將系統(tǒng)安全概括為六個方面：安全策略、標(biāo)識、識別、責(zé)任、保證和持續(xù)的保護(hù)。整個標(biāo)準(zhǔn)分成兩大部分：一是安全等級的劃分，二是該準(zhǔn)則開發(fā)的目的、原理和美國政府的政策，同時提供了隱蔽通道、強訪問控制和安全測試的開發(fā)指南。其中使用最為廣泛的就是第一部分——安