防火墻術(shù)研究畢業(yè)論文

緒論科學(xué)技術(shù)的飛速發(fā)展，人們已經(jīng)生活在信息時(shí)代。計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)深入到社會(huì)的各個(gè)領(lǐng)域，因特網(wǎng)把“地球村”的居民緊密地連在了一起。近年來因特網(wǎng)的飛速發(fā)展，給人們的生活帶來了全新地感受，人類社會(huì)各種活動(dòng)對(duì)信息網(wǎng)絡(luò)地依賴程度已經(jīng)越來越大。然而，凡事“有利必有一弊”，人們?cè)诘靡嬗谛畔⑺鶐淼男碌木薮髾C(jī)遇的同時(shí)，也不得不面對(duì)信息安全問題的嚴(yán)峻考驗(yàn)。“黑客攻擊”被“黑”，“CIH病毒”無時(shí)無刻不充斥在網(wǎng)絡(luò)中。“電子戰(zhàn)”已成為國與國之間，商家與商家之間的一種重要的攻擊與防衛(wèi)手段。因此信息安全，網(wǎng)絡(luò)安全的問題已經(jīng)引起各國，各部門，各行各業(yè)以及每個(gè)計(jì)算機(jī)用戶的充分重視。因特網(wǎng)提供給人們的不僅僅是精彩，還無時(shí)無刻地存在各種各樣的危險(xiǎn)和陷阱。對(duì)此，我們既不能對(duì)那些潛在的危險(xiǎn)不予重視，遭受不必要的損失；也不能因?yàn)楹ε履承┪ｋU(xiǎn)而拒絕因特網(wǎng)的各種有益的服務(wù)，對(duì)個(gè)人來說這樣會(huì)失去了了解世界、展示自己的場(chǎng)所，對(duì)企業(yè)來說還失去了拓展業(yè)務(wù)、提高服務(wù)、增強(qiáng)競爭力的機(jī)會(huì)。不斷地提高自身網(wǎng)絡(luò)的安全才是行之有效地辦法。TOC\o"1-3"\h\u19684緒論 116131第一章防火墻是什么 217089第二章防火墻的分類 33108第三章防火墻功能概述 618774(1)根據(jù)應(yīng)用程序訪問規(guī)則可對(duì)應(yīng)用程序連網(wǎng)動(dòng)作進(jìn)行過濾 616414第四章防火墻的不足 78543第五章防火墻主要技術(shù)特點(diǎn) 831422第六章防火墻的典型配置 9198266.2.屏蔽主機(jī)網(wǎng)關(guān)（ScreenedHostGateway） 9302926.3.屏蔽子網(wǎng)（ScreenedSubnet） 98290第七章各種防火墻體系結(jié)構(gòu)的優(yōu)缺點(diǎn) 1023814第八章常見攻擊方式以及應(yīng)對(duì)策略 11153238.1.1病毒 11208738.1.3 12267978.2應(yīng)對(duì)策略 1237558.2.1方案選擇 12160318.2.3堅(jiān)持策略 1223657第九章防火墻的發(fā)展趨勢(shì) 13327144)單向防火墻(又叫做網(wǎng)絡(luò)二極管)將作為一種產(chǎn)品門類而出現(xiàn)。 16第一章防火墻是什么防火墻是一種非常有效的網(wǎng)絡(luò)安全模型。主要用來保護(hù)安全網(wǎng)絡(luò)免受來自不安全網(wǎng)絡(luò)的入侵，比如安全網(wǎng)絡(luò)可能是企業(yè)的部網(wǎng)絡(luò)，不安全網(wǎng)絡(luò)是因特網(wǎng)。但防火墻不只是用于因特網(wǎng)，也用于Intranet中的部門網(wǎng)絡(luò)之間。在邏輯上，防火墻是過濾器限制器和分析器；在物理上，防火墻的實(shí)現(xiàn)有多種方式。通常，防火墻是一組硬件設(shè)備－路由器，主計(jì)算機(jī)，或者是路由器，計(jì)算機(jī)和配有的軟件的網(wǎng)絡(luò)的組合。不同的防火墻配置的方法也不同，這取決于安全策略，預(yù)算以及全面規(guī)劃等。第二章防火墻的分類從防火墻的防方式和側(cè)重點(diǎn)的不同來看，防火墻可以分為很多類型，但是根據(jù)防火墻對(duì)外來往數(shù)據(jù)處理方法，大致可將防火墻分為兩大體系：包過濾防火墻和代理防火墻。包過濾防火墻經(jīng)歷了兩代：2.1靜態(tài)包過濾防火墻靜態(tài)包過濾防火墻采用的是一個(gè)都不放過的原則。它會(huì)檢查所有通過信息包里的IP地址號(hào)，端口號(hào)及其它的信息，并根據(jù)系統(tǒng)管理員給定的過濾規(guī)則和準(zhǔn)備過濾的信息包一一匹配，其中：如果信息包中存在一點(diǎn)與過濾規(guī)則不符合，那么這個(gè)信息包里所有的信息都會(huì)被防火墻屏蔽掉，這個(gè)信息包就不會(huì)通過防火墻。相反的，如果每條規(guī)都和過濾規(guī)則相匹配，那么信息包就允許通過。靜態(tài)包的過濾原理就是：將信息分成若干個(gè)小數(shù)據(jù)片（數(shù)據(jù)包），確認(rèn)符合防火墻的包過濾規(guī)則后，把這些個(gè)小數(shù)據(jù)片按順序發(fā)送，接收到這些小數(shù)據(jù)片后再把它們組織成一個(gè)完整的信息這個(gè)就是包過濾的原理。2.2動(dòng)態(tài)包過濾防火墻靜態(tài)包過濾防火墻的缺點(diǎn)，動(dòng)態(tài)包過濾防火墻都可以避免。它采用的規(guī)則是發(fā)展為“包狀態(tài)檢測(cè)技術(shù)”的動(dòng)態(tài)設(shè)置包過濾規(guī)則。它可以根據(jù)需要?jiǎng)討B(tài)的在過濾原則中增加或更新條目，在這點(diǎn)上靜態(tài)防火墻是比不上它的，它主要對(duì)建立的每一個(gè)連接都進(jìn)行跟蹤。在這里我們了解的是代理防火墻。代理服務(wù)器型防火墻與包過濾防火墻不同之點(diǎn)在于，它的外網(wǎng)之間不存在直接的連接，一般由兩部分組成：服務(wù)器端程序和客戶端程序，其中客戶端程序通過中間節(jié)點(diǎn)與提供服務(wù)的服務(wù)器連接。代理服務(wù)器型防火墻提供了日志和審記服務(wù)。2.2.1

代理（應(yīng)用層網(wǎng)關(guān)）防火墻這種防火墻被網(wǎng)絡(luò)安全專家認(rèn)為是最安全的防火墻，主要是因?yàn)閺牟堪l(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就像是源于防火墻外部網(wǎng)卡一樣，可以達(dá)到隱藏部網(wǎng)結(jié)構(gòu)的作用。由于外網(wǎng)的計(jì)算機(jī)對(duì)話機(jī)會(huì)根本沒有，從而避免了入侵者使用數(shù)據(jù)驅(qū)動(dòng)類型的攻擊方式入侵部網(wǎng)。

2.2.2自適應(yīng)代理防火墻自適應(yīng)代理技術(shù)是商業(yè)應(yīng)用防火墻中實(shí)現(xiàn)的一種革命性技術(shù)。它結(jié)合了代理類型防火墻和包過濾防火墻的優(yōu)點(diǎn)，即保證了安全性又保持了高速度，同時(shí)它的性能也在代理防火墻的十倍以上，在一般的情況下，用戶更傾向于這種防火墻。我們把兩種防火墻的優(yōu)缺點(diǎn)的對(duì)比用下列圖表的形式表示如下：

優(yōu)點(diǎn)缺點(diǎn)

包過濾防火墻價(jià)格較低性能開銷小，處理速度較快定義復(fù)雜，容易出現(xiàn)速度較慢，不太適用于高速網(wǎng)之間的應(yīng)用

代理防火墻置了專門為提高安全性而編制的Proxy應(yīng)用程序，能夠透徹地理解相關(guān)服務(wù)的命令，對(duì)來往的數(shù)據(jù)包進(jìn)行安全化處理不能理解特定服務(wù)的上下文環(huán)境，相應(yīng)控制只能在高層由代理服務(wù)和應(yīng)用層網(wǎng)關(guān)來完成

第三章防火墻功能概述防火墻是一個(gè)保護(hù)裝置，它是一個(gè)或一組網(wǎng)絡(luò)設(shè)備裝置。通常是指運(yùn)行特別編寫或更改過操作系統(tǒng)的計(jì)算機(jī)，它的目的就是保護(hù)部網(wǎng)的訪問安全。防火墻可以安裝在兩個(gè)組織結(jié)構(gòu)的部網(wǎng)與外部的Internet之間，同時(shí)在多個(gè)組織結(jié)構(gòu)的部網(wǎng)和Internet之間也會(huì)起到同樣的保護(hù)作用。它主要的保護(hù)就是加強(qiáng)外部Internet對(duì)部網(wǎng)的訪問控制，它主要任務(wù)是允許特別的連接通過，也可以阻止其它不允許的連接。防火墻只是網(wǎng)絡(luò)安全策略的一部分，它通過少數(shù)幾個(gè)良好的監(jiān)控位置來進(jìn)行部網(wǎng)與Internet的連接。防火墻的核心功能主要是包過濾。其中入侵檢測(cè)，控管規(guī)則過濾，實(shí)時(shí)監(jiān)控及電子過濾這些功能都是基于封包過濾技術(shù)的。

防火墻的主體功能歸納為以下幾點(diǎn)：(1)根據(jù)應(yīng)用程序訪問規(guī)則可對(duì)應(yīng)用程序連網(wǎng)動(dòng)作進(jìn)行過濾(2)對(duì)應(yīng)用程序訪問規(guī)則具有自學(xué)習(xí)功能。(3)可實(shí)時(shí)監(jiān)控，監(jiān)視網(wǎng)絡(luò)活動(dòng)。(4)具有日志，以記錄網(wǎng)絡(luò)訪問動(dòng)作的詳細(xì)信息。(5)被攔阻時(shí)能通過聲音或閃爍圖標(biāo)給用戶報(bào)警提示。防火墻僅靠這些核心技術(shù)功能是遠(yuǎn)遠(yuǎn)不夠的。核心技術(shù)是基礎(chǔ),必須在這個(gè)基礎(chǔ)之上加入輔助功能才能流暢的工作。而實(shí)現(xiàn)防火墻的核心功能是封包過濾。第四章防火墻的不足防火墻對(duì)網(wǎng)絡(luò)的威脅進(jìn)行極好的防，但是，它們不是安全解決方按的全部。某些威脅是防火墻力所不及的。

防火墻不能防止部的攻擊，因?yàn)樗惶峁┝藢?duì)網(wǎng)絡(luò)邊緣的防衛(wèi)。部人員可能濫用被給予的訪問權(quán)，從而導(dǎo)致事故。防火墻也不能防止像社會(huì)工程攻擊――一種很常用的入侵手段，就是靠欺騙獲得一些可以破壞安全的信息，如網(wǎng)絡(luò)的口令。另外，一些用來傳送數(shù)據(jù)的線很有可能被用來入侵部網(wǎng)絡(luò)。

另一個(gè)防止的是懷有惡意的代碼：病毒和特洛伊木馬。雖然現(xiàn)在有些防火墻可以檢查病毒和特洛伊木馬，但這些防火墻只能阻擋已知的惡意程序，這就可能讓新的病毒和木馬溜進(jìn)來。而且，這些惡意程序不僅僅來自網(wǎng)絡(luò)，也可能來自軟盤。第五章防火墻主要技術(shù)特點(diǎn)

（1）應(yīng)用層采用Winsock2SPI進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)控制、過濾；

（2）核心層采用NDISHOOK進(jìn)行控制，尤其是在Windows2000下，此技術(shù)屬微軟未公開技術(shù)。

此防火墻還采用兩種封包過濾技術(shù)：一是應(yīng)用層封包過濾，采用Winsock2SPI；二是核心層封包過濾，采用NDIS_HOOK。

Winsock2SPI工作在API之下、Driver之上，屬于應(yīng)用層的疇。利用這項(xiàng)技術(shù)可以截獲所有的基于Socket的網(wǎng)絡(luò)通信。比如IE、OUTLOOK等常見的應(yīng)用程序都是使用Socket進(jìn)行通信。采用Winsock2SPI的優(yōu)點(diǎn)是非常明顯的：其工作在應(yīng)用層以DLL的形式存在，編程、測(cè)試方便；跨Windows平臺(tái)，可以直接在Windows98/ME/NT/2000/XP上通用，Windows95只需安裝上Winsock2for95，也可以正常運(yùn)行；效率高，由于工作在應(yīng)用層，CPU占用率低；封包還沒有按照低層協(xié)議進(jìn)行切片，所以比較完整。而防火墻正是在TCP/IP協(xié)議在windows的基礎(chǔ)上才得以實(shí)現(xiàn)。第六章防火墻的典型配置目前比較流行的有以下三種防火墻配置方案。6.1.置是用一臺(tái)裝有兩個(gè)網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻。雙宿主機(jī)用兩個(gè)網(wǎng)絡(luò)適配器分別連接兩個(gè)網(wǎng)絡(luò)，又稱堡壘主機(jī)。堡壘主機(jī)上運(yùn)行著防火墻軟件（通常是代理服務(wù)器），可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。雙宿主機(jī)網(wǎng)關(guān)有一個(gè)致命弱點(diǎn)，一旦入侵者侵入堡壘主機(jī)并使該主機(jī)只具有路由器功能，則任何網(wǎng)上用戶均可以隨便訪問有保護(hù)的部網(wǎng)絡(luò)（如圖1）。6.2.屏蔽主機(jī)網(wǎng)關(guān)（ScreenedHostGateway）屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)，安全性好，應(yīng)用廣泛。它又分為單宿堡壘主機(jī)和雙宿堡壘主機(jī)兩種類型。先來看單宿堡壘主機(jī)類型。一個(gè)包過濾路由器連接外部網(wǎng)絡(luò)，同時(shí)一個(gè)堡壘主機(jī)安裝在部網(wǎng)絡(luò)上。堡壘主機(jī)只有一個(gè)網(wǎng)卡，與部網(wǎng)絡(luò)連接（如圖2）。通常在路由器上設(shè)立過濾規(guī)則，并使這個(gè)單宿堡壘主機(jī)成為從Internet惟一可以訪問的主機(jī)，確保了部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。而Intranet部的客戶機(jī)，可以受控制地通過屏蔽主機(jī)和路由器訪問Internet。雙宿堡壘主機(jī)型與單宿堡壘主機(jī)型的區(qū)別是，堡壘主機(jī)有兩塊網(wǎng)卡，一塊連接部網(wǎng)絡(luò)，一塊連接包過濾路由器（如圖3）。雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)，與單宿型相比更加安全。6.3.屏蔽子網(wǎng)（ScreenedSubnet）這種方法是在Intranet和Internet之間建立一個(gè)被隔離的子網(wǎng)，用兩個(gè)包過濾路由器將這一子網(wǎng)分別與Intranet和Internet分開。兩個(gè)包過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)構(gòu)成一個(gè)“緩沖地帶”，兩個(gè)路由器一個(gè)控制Intranet數(shù)據(jù)流，另一個(gè)控制Internet數(shù)據(jù)流，Intranet和Internet均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信?？筛鶕?jù)需要在屏蔽子網(wǎng)中安裝堡壘主機(jī)，為部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的互相訪問提供代理服務(wù)，但是來自兩網(wǎng)絡(luò)的訪問都必須通過兩個(gè)包過濾路由器的檢查。對(duì)于向Internet公開的服務(wù)器，像WWW、FTP、Mail等Internet服務(wù)器也可安裝在屏蔽子網(wǎng)，這樣無論是外部用戶，還是部用戶都可訪問。這種結(jié)構(gòu)的防火墻安全性能高，具有很強(qiáng)的抗攻擊能力，但需要的設(shè)備多，造價(jià)高。當(dāng)然，防火墻本身也有其局限性，如不能防繞過防火墻的入侵，像一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸；難以避免來自部的攻擊等等?？傊阑饓χ皇且环N整體安全防策略的一部分，僅有防火墻是不夠的，安全策略還必須包括全面的安全準(zhǔn)則，即網(wǎng)絡(luò)訪問、本地和遠(yuǎn)程用戶認(rèn)證、撥出撥入呼叫、磁盤和數(shù)據(jù)加密以及病毒防護(hù)等有關(guān)的安全策略。第七章各種防火墻體系結(jié)構(gòu)的優(yōu)缺點(diǎn)7.1.雙重宿主主機(jī)體系結(jié)構(gòu)它提供來自與多個(gè)網(wǎng)絡(luò)相連的主機(jī)的服務(wù)(但是路由關(guān)閉)，它圍繞雙重宿主主計(jì)算機(jī)構(gòu)筑。該計(jì)算機(jī)至少有2個(gè)網(wǎng)絡(luò)接口，位于因特網(wǎng)與部網(wǎng)之間，并被連接到因特網(wǎng)和部網(wǎng)。2個(gè)網(wǎng)絡(luò)都可以與雙重宿主主機(jī)通信，但相互之間不行，它們之間的IP通信被完全禁止。雙重宿主主機(jī)僅能通過代理或用戶直接登錄到雙重宿主主機(jī)來提供服務(wù)。它能提供級(jí)別非常高的控制，并保證部網(wǎng)上沒有外部的IP包。但這種體系結(jié)構(gòu)中用戶訪問因特網(wǎng)的速度會(huì)較慢，也會(huì)因?yàn)殡p重宿主主機(jī)的被侵襲而失效。7.2.被屏蔽主機(jī)體系結(jié)構(gòu)使用1個(gè)單獨(dú)的路由器提供來自僅僅與部網(wǎng)絡(luò)相連的主機(jī)的服務(wù)。屏蔽路由器位于因特網(wǎng)與部網(wǎng)之間，提供數(shù)據(jù)包過濾功能。堡壘主機(jī)是1個(gè)高度安全的計(jì)算機(jī)系統(tǒng)，通常因?yàn)樗┞队谝蛱鼐W(wǎng)之下，作為聯(lián)結(jié)部網(wǎng)絡(luò)用戶的橋梁，易受到侵襲損害。這里它位于部網(wǎng)上，數(shù)據(jù)包過濾規(guī)則設(shè)置它為因特網(wǎng)上唯一能連接到部網(wǎng)絡(luò)上的主機(jī)系統(tǒng)。它也可以開放一些連接(由站點(diǎn)安全策略決定)到外部世界。在屏蔽路由器中，數(shù)據(jù)包過濾配置可以按下列之一執(zhí)行：①允許其他部主機(jī)，為了某些服務(wù)而開放到因特網(wǎng)上的主機(jī)連接(允許那些經(jīng)由數(shù)據(jù)包過濾的服務(wù))。②不允許來自部主機(jī)的所有連接(強(qiáng)迫這些主機(jī)經(jīng)由堡壘主機(jī)使用代理服務(wù))。這種體系結(jié)構(gòu)通過數(shù)據(jù)包過濾來提供安全，而保衛(wèi)路由器比保衛(wèi)主機(jī)較易實(shí)現(xiàn)，因?yàn)樗峁┝朔浅Ｓ邢薜姆?wù)組，因此這種體系結(jié)構(gòu)提供了比雙重宿主主機(jī)體系結(jié)構(gòu)更好的安全性和可用性。弊端是，若是侵襲者設(shè)法入侵堡壘主機(jī)，則在堡壘主機(jī)與其他部主機(jī)之間無任何保護(hù)網(wǎng)絡(luò)安全的東西存在；路由器同樣可能出現(xiàn)單點(diǎn)失效，若被損害，則整個(gè)網(wǎng)絡(luò)對(duì)侵襲者開放。7.3.被屏蔽子網(wǎng)體系結(jié)構(gòu)考慮到堡壘主機(jī)是部網(wǎng)上最易被侵襲的機(jī)器(因?yàn)樗杀灰蛱鼐W(wǎng)上用戶訪問)，我們添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)中，將堡壘主機(jī)放在額外的安全層，構(gòu)成了這種體系結(jié)構(gòu)。這種在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)之間增加的網(wǎng)絡(luò)，為系統(tǒng)提供了安全的附加層，稱之為周邊網(wǎng)。這種體系結(jié)構(gòu)有2個(gè)屏蔽路由器，每1個(gè)都連接到周邊網(wǎng)。1個(gè)位于周邊網(wǎng)與部網(wǎng)之間，稱為部路由器，另1個(gè)位于周邊網(wǎng)與外部網(wǎng)之間，稱之為外部路由器。堡壘主機(jī)位于周邊網(wǎng)上。侵襲者若想侵襲部網(wǎng)絡(luò)，必須通過2個(gè)路由器，即使他侵入了堡壘主機(jī)，仍無法進(jìn)入部網(wǎng)。因此這種結(jié)構(gòu)沒有損害部網(wǎng)絡(luò)的單一易受侵襲點(diǎn)。第八章常見攻擊方式以及應(yīng)對(duì)策略8.1常見攻擊方式8.1.1病毒盡管某些防火墻產(chǎn)品提供了在數(shù)據(jù)包通過時(shí)進(jìn)行病毒掃描的功能，但仍然很難將所有的病毒（或特洛伊木馬程序）阻止在網(wǎng)絡(luò)外面，黑客很容易欺騙用戶下載一個(gè)程序從而讓惡意代碼進(jìn)入部網(wǎng)。策略：設(shè)定安全等級(jí)，嚴(yán)格阻止系統(tǒng)在未經(jīng)安全檢測(cè)的情況下執(zhí)行下載程序；或者通過常用的基于主機(jī)的安全方法來保護(hù)網(wǎng)絡(luò)。8.1.2口令字對(duì)口令字的攻擊方式有兩種：窮舉和嗅探。窮舉針對(duì)來自外部網(wǎng)絡(luò)的攻擊，來猜測(cè)防火墻管理的口令字。嗅探針對(duì)部網(wǎng)絡(luò)的攻擊，通過監(jiān)測(cè)網(wǎng)絡(luò)獲取主機(jī)給防火墻的口令字。策略：設(shè)計(jì)主機(jī)與防火墻通過單獨(dú)接口通信（即專用服務(wù)器端口）、采用一次性口令或禁止直接登錄防火墻。8.1.3來自于的攻擊方式越來越突出，在這種攻擊中，垃圾制造者將一條消息復(fù)制成成千上萬份，并按一個(gè)巨大的電子地址清單發(fā)送這條信息，當(dāng)不經(jīng)意打開時(shí)，惡意代碼即可進(jìn)入。策略：打開防火墻上的過濾功能，在網(wǎng)主機(jī)上采取相應(yīng)阻止措施。8.1.4IP地址黑客利用一個(gè)類似于部網(wǎng)絡(luò)的IP地址，以“逃過”服務(wù)器檢測(cè)，從而進(jìn)入部網(wǎng)達(dá)到攻擊的目的。策略：通過打開核rp_filter功能，丟棄所有來自網(wǎng)絡(luò)外部但卻有部地址的數(shù)據(jù)包；同時(shí)將特定IP地址與MAC綁定，只有擁有相應(yīng)MAC地址的用戶才能使用被綁定的IP地址進(jìn)行網(wǎng)絡(luò)訪問。8.2應(yīng)對(duì)策略8.2.1方案選擇市場(chǎng)上的防火墻大致有軟件防火墻和硬件防火墻兩大類。軟件防火墻需運(yùn)行在一臺(tái)標(biāo)準(zhǔn)的主機(jī)設(shè)備上，依托網(wǎng)絡(luò)在操作系統(tǒng)上實(shí)現(xiàn)防火墻的各種功能，因此也稱“個(gè)人”防火墻，其功能有限，基本上能滿足單個(gè)用戶。硬件防火墻是一個(gè)把硬件和軟件都單獨(dú)設(shè)計(jì)，并集成在一起，運(yùn)行于自己專用的系統(tǒng)平臺(tái)。由于硬件防火墻集合了軟件方面，從功能上更為強(qiáng)大，目前已普遍使用。在制造上，硬件防火墻須同時(shí)設(shè)計(jì)硬件和軟件兩方面。國外廠家基本上是將軟件運(yùn)算硬件化，將主要運(yùn)算程序做成芯片，以減少CPU的運(yùn)算壓力；國廠家的防火墻硬件平臺(tái)仍使用通用PC系統(tǒng)，增加了存容量，增大了CPU的頻率。在軟件性能方面，國外一些著名的廠家均采用專用的操作系統(tǒng)，自行設(shè)計(jì)防火墻，提供高性能的產(chǎn)品；而國廠家大部分基于Linux操作平臺(tái)，有針對(duì)性的修改代碼、增加技術(shù)及系統(tǒng)補(bǔ)丁等。因此，國產(chǎn)防火墻與國外的相比仍有一定差距，但科技的進(jìn)步，也生產(chǎn)出了較為優(yōu)秀的產(chǎn)品。如天融信的NG系列產(chǎn)品，支持TOPSEC安全體系、多級(jí)過濾、透明應(yīng)用代理等先進(jìn)技術(shù)。8.2.2結(jié)構(gòu)透明防火墻的透明性是指防火墻對(duì)于用戶是透明的。以網(wǎng)橋的方式將防火墻接入網(wǎng)絡(luò)，網(wǎng)絡(luò)和用戶無需做任何設(shè)置和改動(dòng)，也根本意識(shí)不到防火墻的存在。然后根椐自己企業(yè)的網(wǎng)絡(luò)規(guī)模，以及安全策略來選擇合適的防火墻的構(gòu)造結(jié)構(gòu)（可參照本文第3點(diǎn)分析），如果經(jīng)濟(jì)實(shí)力雄厚的可采用屏蔽子網(wǎng)的拓?fù)浣Y(jié)構(gòu)。8.2.3堅(jiān)持策略（1）管理主機(jī)與防火墻專用服務(wù)器端口連接，形成單獨(dú)管理通道，防止來自外部的攻擊。（2）使用FTP、Telnet、News等服務(wù)代理，以提供高水平的審計(jì)和潛在的安全性。（3）支持“除非明確允許，否則就禁止”的安全防原則。（4）確定可接受的風(fēng)險(xiǎn)水平，如監(jiān)測(cè)什么傳輸，允許和拒絕什么傳輸流通過。8.2.4實(shí)施措施好的防火墻產(chǎn)品應(yīng)向使用者提供完整的安全檢查功能，應(yīng)有完善及時(shí)的售后服務(wù)。但一個(gè)安全的網(wǎng)絡(luò)仍必須靠使用者的觀察與改進(jìn)，企業(yè)要達(dá)到真正的安全仍需部的網(wǎng)絡(luò)管理者不斷記錄、追蹤、改進(jìn)，定期對(duì)防火墻和相應(yīng)操作系統(tǒng)用補(bǔ)丁程序進(jìn)行升級(jí)。第九章防火墻的發(fā)展趨勢(shì)9.1.優(yōu)良的性能新一代的防火墻系統(tǒng)不僅應(yīng)該能夠更好地保護(hù)防火墻后面部網(wǎng)絡(luò)的安全，而且應(yīng)該具有更為優(yōu)良的整體性能。傳統(tǒng)的代理型防火墻雖然可以提供較高級(jí)別的安全保護(hù)，但是同時(shí)它也成為限制網(wǎng)絡(luò)帶寬的瓶頸，這極制約了在網(wǎng)絡(luò)中的實(shí)際應(yīng)用。數(shù)據(jù)通過率是表示防火墻性能的參數(shù)，由于不同防火墻的不同功能具有不同的工作量和系統(tǒng)資源要求，因此數(shù)據(jù)在通過防火墻時(shí)會(huì)產(chǎn)生延時(shí)。自然，數(shù)據(jù)通過率越高，防火墻性能越好。現(xiàn)在大多數(shù)的防火墻產(chǎn)品都支持NAT功能，它可以讓防火墻受保護(hù)的一邊的IP地址不至于暴露在沒有保護(hù)的另一邊，但是啟用NAT后勢(shì)必會(huì)對(duì)防火墻系統(tǒng)的性能有所影響。目前如何盡量減少這種影響也成為防火墻產(chǎn)品的賣點(diǎn)之一。另外防火墻系統(tǒng)中集成的VPN解決方案必須是真正的線速運(yùn)行，否則將成為網(wǎng)絡(luò)通信的瓶頸。9.2.可擴(kuò)展的結(jié)構(gòu)和功能對(duì)于一個(gè)好的防火墻系統(tǒng)而言，它的規(guī)模和功能應(yīng)該能夠適應(yīng)部網(wǎng)絡(luò)的規(guī)模和安全策略的變化。選擇哪種防火墻，除了應(yīng)考慮它的基本性能之外，毫無疑問，還應(yīng)考慮用戶的實(shí)際需求與未來網(wǎng)絡(luò)的升級(jí)。未來的防火墻系統(tǒng)應(yīng)是一個(gè)可隨意伸縮的模塊化解決方案，從最為基本的包過濾器到帶加密功能的VPN型包過濾器，直至一個(gè)獨(dú)立的應(yīng)用網(wǎng)關(guān)，使用戶有充分的余地構(gòu)建自己所需要的防火墻體系。9.3.簡化的安裝與管理防火墻的確可以幫助管理員加強(qiáng)部網(wǎng)的安全性。一個(gè)不具體實(shí)施任何安全策略的防火墻無異于高級(jí)擺設(shè)。防火墻產(chǎn)品配置和管理的難易程度是防火墻能否達(dá)到目的的主要考慮因素之一。實(shí)踐證明許多防火墻產(chǎn)品并未起到預(yù)期作用的一個(gè)不容忽視的原因在于配置和實(shí)現(xiàn)上的錯(cuò)誤。同時(shí)，若防火墻的管理過于困難，則可能會(huì)造成設(shè)定上的錯(cuò)誤，反而不能達(dá)到其功能。因此未來的防火墻將具有非常易于進(jìn)行配置的圖形用戶界面。NT防火墻市場(chǎng)的發(fā)展證明了這種趨勢(shì)。WindowsNT提供了一種易于安裝和易于管理的基礎(chǔ)。盡管基于NT的防火墻通常落后于基于Unix的防火墻，但NT平臺(tái)的簡單性以及它方便的可用性大大推動(dòng)了基于NT的防火墻的銷售。9.4.主動(dòng)過濾防火墻開發(fā)商通過建立功能更強(qiáng)大的Web代理對(duì)這種需要做出了回應(yīng)。例如，許多防火墻具有置病毒和容掃描功能或允許用戶與病毒與容掃描程序進(jìn)行集成。今天，許多防火墻都包括對(duì)過濾產(chǎn)品的支持，并可以與第三方過濾服務(wù)連接，這些服務(wù)提供了不受歡迎Internet站點(diǎn)的分類清單。防火墻還在它們的Web代理中包括時(shí)間限制功能，允許非工作時(shí)間的沖浪和登錄，并提供沖浪活動(dòng)的報(bào)告。9.5.防病毒與防黑客盡管防火墻在防止不良分子進(jìn)入上發(fā)揮了很好的作用，但TCP／IP協(xié)議套件中存在的脆弱性使Internet對(duì)拒絕服務(wù)攻擊敞開了大門。在拒絕服務(wù)攻擊中，攻擊者試圖使企業(yè)Internet服務(wù)飽和或使與它連接的系統(tǒng)崩潰，使Internet無法供企業(yè)使用。防火墻市場(chǎng)已經(jīng)對(duì)此做出了反應(yīng)。雖然沒有防火墻可以防止所有的拒絕服務(wù)攻擊，但防火墻廠商一直在盡其可能阻止拒絕服務(wù)攻擊。像序列號(hào)預(yù)測(cè)和IP欺騙這類簡單攻擊，這些年來已經(jīng)成為了防火墻工具箱的一部分。像SYN泛濫這類更復(fù)雜的拒絕服務(wù)攻擊需要廠商部署更先進(jìn)的檢測(cè)和避免方案來對(duì)付。SYN泛濫可以鎖死Web和服務(wù)，這樣沒有數(shù)據(jù)流可以進(jìn)入。防火墻的反戰(zhàn)前景以及技術(shù)方向伴隨著Internet的飛速發(fā)展，防火墻技術(shù)與產(chǎn)品的更新步伐必然會(huì)加強(qiáng)，而要全面展望防火墻技術(shù)的發(fā)展幾乎是不可能的。但是，從產(chǎn)品及功能上，卻又可以看出一些動(dòng)向和趨勢(shì)。下面諸點(diǎn)可能是下一步的走向和選擇：1)防火墻將從目前對(duì)子網(wǎng)或部網(wǎng)管理的方式向遠(yuǎn)程上網(wǎng)集中管理的方式發(fā)展。2)過濾深度會(huì)不斷加強(qiáng)，從目前的地址、服務(wù)過濾，發(fā)展到URL(頁面)過濾、關(guān)鍵字過濾和對(duì)ActiveX、Java等的過濾，并逐漸有病毒掃描功能。3)利用防火墻建立專用網(wǎng)是較長一段時(shí)間用戶使用的主流，IP的加密需求越來越強(qiáng)，安全協(xié)議的開發(fā)是一大熱點(diǎn)。4)單向防火墻(又叫做網(wǎng)絡(luò)二極管)將作為一種產(chǎn)品門類而出現(xiàn)。5)對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和各種告警將成為防火墻的重要功能。6)安全管理工具不斷完善，特別是可以活動(dòng)的日志分析工具等將成為防火墻產(chǎn)品中的一部分。另外值得一提的是，伴隨著