網(wǎng)絡(luò)安全原理與應(yīng)用（第三版）課件 第6章 防火墻

1網(wǎng)絡(luò)安全原理與應(yīng)用(第三版)第七章防火墻技術(shù)防火墻及相關(guān)概念包過濾與代理下一代防火墻防火墻的體系結(jié)構(gòu)分布式防火墻與嵌入式防火墻Windows防火墻的配置和使用7.1防火墻概述7.1.1相關(guān)概念和術(shù)語7.1.2防火墻的作用7.1.3防火墻的優(yōu)、缺點(diǎn)7.1.1相關(guān)概念和術(shù)語1、防火墻的概念防火墻（Firewall）是指隔離在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一道防御系統(tǒng)，它能擋住來自外部網(wǎng)絡(luò)的攻擊和入侵，保障內(nèi)部網(wǎng)絡(luò)的安全。7.1.1相關(guān)概念和術(shù)語1、防火墻的概念防火墻可以分為硬件防火墻和軟件防火墻兩類。硬件防火墻是通過硬件和軟件的結(jié)合來達(dá)到隔離內(nèi)、外部網(wǎng)絡(luò)的目的；軟件防火墻是通過純軟件的方式來實(shí)現(xiàn)。通過設(shè)定的規(guī)則來決定數(shù)據(jù)包是否可以通過防火墻。

數(shù)據(jù)包的來源或目的

方向：出/入

動(dòng)作：接受或者拒絕7.1.1相關(guān)概念和術(shù)語2．防火墻安全策略防火墻安全策略是指要明確地定義允許使用或禁止使用的網(wǎng)絡(luò)服務(wù)，以及這些服務(wù)的使用規(guī)定。兩種基本策略（1）除非明確允許，否則就禁止。

逐個(gè)定義每一個(gè)允許的服務(wù)和應(yīng)用程序，安全但不是很方便。通常采用的方法。（2）除非明確禁止，否則就允許。每一個(gè)不信任或有潛在危害的服務(wù)和應(yīng)用程序都應(yīng)該逐個(gè)拒絕。靈活和方便的方法，但它可能存在嚴(yán)重的安全隱患。7.1.1相關(guān)概念和術(shù)語3．其它術(shù)語(1)外部網(wǎng)絡(luò)（外網(wǎng)）：是指防火墻之外的網(wǎng)絡(luò)，一般為Internet，默認(rèn)為風(fēng)險(xiǎn)區(qū)域。內(nèi)部網(wǎng)絡(luò)（內(nèi)網(wǎng)）：是指防火墻之內(nèi)的網(wǎng)絡(luò)，一般為局域網(wǎng)，默認(rèn)為安全區(qū)域。非軍事化區(qū)（DMZ）：內(nèi)網(wǎng)中需要向外網(wǎng)提供服務(wù)的服務(wù)器（如WWW、FTP、SMTP、DNS等）往往放在Internet與內(nèi)部網(wǎng)絡(luò)之間一個(gè)單獨(dú)的網(wǎng)段，這個(gè)網(wǎng)段便是非軍事化區(qū)。包過濾：是指在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過，依據(jù)系統(tǒng)事先設(shè)定好的過濾規(guī)則，檢查數(shù)據(jù)流中的每個(gè)數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址以及端口等信息來確定是否允許通過。7.1.1相關(guān)概念和術(shù)語3．其它術(shù)語(2)代理服務(wù)器：是指代表內(nèi)部網(wǎng)絡(luò)用戶向外部網(wǎng)絡(luò)中的服務(wù)器進(jìn)行連接請(qǐng)求的程序。狀態(tài)檢測(cè)技術(shù)：狀態(tài)檢測(cè)模塊在不影響網(wǎng)絡(luò)正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各個(gè)層次實(shí)行檢測(cè)，并作為安全決策的依據(jù)。虛擬專用網(wǎng)（VPN）：是一種在公用網(wǎng)絡(luò)中配置的專用網(wǎng)絡(luò)技術(shù)，它通過對(duì)數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實(shí)現(xiàn)遠(yuǎn)程訪問。VPN可以在Internet等公共網(wǎng)絡(luò)上模擬專用網(wǎng)絡(luò)，使得用戶可以在任何地點(diǎn)、任何時(shí)間安全地訪問公司內(nèi)部網(wǎng)絡(luò)資源。7.1.1相關(guān)概念和術(shù)語3．其它術(shù)語(3)漏洞：是系統(tǒng)中的安全缺陷，漏洞可以導(dǎo)致入侵者獲取信息并導(dǎo)致非授權(quán)的訪問。數(shù)據(jù)驅(qū)動(dòng)攻擊：入侵者把一些具有破壞性的數(shù)據(jù)藏匿在普通數(shù)據(jù)中傳送到因特網(wǎng)主機(jī)上，當(dāng)這些數(shù)據(jù)被激活時(shí)就會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)攻擊。IP地址欺騙：是指通過偽造、隱藏或篡改IP地址的行為，以達(dá)到欺騙、偽裝身份、繞過訪問限制或追蹤等目的的網(wǎng)絡(luò)行為。7.1.2防火墻的作用1．防火墻的基本功能（1）可以限制未授權(quán)用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全服務(wù)和非法用戶。（2）防止入侵者接近內(nèi)部網(wǎng)絡(luò)的防御設(shè)施，對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。（3）限制內(nèi)部用戶訪問特殊站點(diǎn)。（4）記錄通過防火墻的信息內(nèi)容和活動(dòng)，為監(jiān)視Internet安全提供方便。7.1.2防火墻的作用2．防火墻的特性所有在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)都必須通過防火墻。只有被授權(quán)的合法數(shù)據(jù)，即防火墻安全策略允許的數(shù)據(jù)，才可以通過防火墻。防火墻本身具有預(yù)防入侵的功能，不受各種攻擊的影響。用戶配置使用方便，易于管理。7.1.3防火墻的優(yōu)、缺點(diǎn)1．優(yōu)點(diǎn)（1）防火墻能強(qiáng)化安全策略。防火墻充當(dāng)了防止攻擊現(xiàn)象發(fā)生的“警察”，它執(zhí)行系統(tǒng)規(guī)定的安全策略，僅允許符合規(guī)則的信息通過。（2）防火墻能有效地記錄Internet上的活動(dòng)。因?yàn)樗羞M(jìn)出內(nèi)部網(wǎng)絡(luò)的信息都必須通過防火墻，所以防火墻能記錄被保護(hù)的內(nèi)部網(wǎng)絡(luò)和不安全的外部網(wǎng)絡(luò)之間發(fā)生的各種事件。（3）防火墻是一個(gè)安全策略的檢查站。所有進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息都必須通過防火墻，防火墻便成為一個(gè)安全檢查站，把可疑的訪問拒之門外。7.1.3防火墻的優(yōu)、缺點(diǎn)1．缺點(diǎn)（1）不能防范惡意的內(nèi)部用戶。如果入侵者已經(jīng)在防火墻內(nèi)部，防火墻也是無能為力的（2）不能防范不通過防火墻的連接。如果允許內(nèi)部系統(tǒng)進(jìn)行撥號(hào)訪問，防火墻無法阻止。（3）不能防范全部的威脅。沒有一個(gè)防火墻能自動(dòng)防御所有新的威脅。（4）防火墻不能防范病毒。7.2防火墻技術(shù)分類7.2.1包過濾技術(shù)7.2.2代理技術(shù)7.2.3狀態(tài)檢測(cè)技術(shù)7.2.4統(tǒng)一威脅管理（UTM）7.2.5下一代防火墻（NGFW）7.2.1包過濾技術(shù)1．包過濾技術(shù)簡(jiǎn)介包過濾（PacketFiltering）技術(shù)在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇地通過，依據(jù)系統(tǒng)事先設(shè)定好的過濾規(guī)則，檢查數(shù)據(jù)流中的每個(gè)包，根據(jù)包頭信息來確定是否允許數(shù)據(jù)包通過。使用包過濾技術(shù)的防火墻稱為包過濾防火墻（PacketFilteringFirewall），因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層，又稱為網(wǎng)絡(luò)層防火墻（NetworkLevelFirewall）。靜態(tài)包過濾防火墻對(duì)所接收的每個(gè)數(shù)據(jù)包審查包頭信息以便確定其是否與某一條包過濾規(guī)則匹配，然后做出允許或者拒絕通過的決定。如果有一條規(guī)則不允許發(fā)送某個(gè)包，路由器就將它丟棄；如果有一條規(guī)則允許發(fā)送某個(gè)包，路由器就將它發(fā)送；如果沒有任何一條規(guī)則能符合，路由器就會(huì)使用默認(rèn)規(guī)則，一般情況下，默認(rèn)規(guī)則就是禁止該包通過。默認(rèn)規(guī)則：一切未被允許的都是禁止的

一切未被禁止的都是允許的7.2.1包過濾技術(shù)7.2.1包過濾技術(shù)—2．防火墻規(guī)則防火墻規(guī)則：（FirewallRules）是配置在防火墻上的規(guī)則集，用于確定哪些網(wǎng)絡(luò)流量允許通過防火墻，哪些應(yīng)被阻止或拒絕。這些規(guī)則定義了網(wǎng)絡(luò)安全策略，以確保網(wǎng)絡(luò)的安全性和合規(guī)性。防火墻規(guī)則通常包括以下要素：（1）來源（Source）（2）目的（Destination）（3）協(xié)議（Protocol）（4）端口（Port）（5）動(dòng)作（Action）（6）狀態(tài)（State）（7）規(guī)則順序（RuleOrder）（8）描述（Description）例1：允許特定IP地址的遠(yuǎn)程訪問：源：任何目的：00協(xié)議：TCP端口：22(SSH)動(dòng)作：允許這個(gè)規(guī)則允許任何源的流量連接到目標(biāo)IP地址（00）的SSH服務(wù)（端口22）。例2：拒絕特定應(yīng)用程序的訪問：源：任何目的：任何協(xié)議：TCP端口：80(HTTP)動(dòng)作：拒絕這個(gè)規(guī)則禁止任何流量嘗試連接到HTTP服務(wù)（端口80），從而拒絕訪問Web應(yīng)用程序。例3：允許內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的互聯(lián)網(wǎng)訪問：源：內(nèi)部網(wǎng)絡(luò)子網(wǎng)目的：任何協(xié)議：TCP,UDP端口：80(HTTP),443(HTTPS),53(DNS)動(dòng)作：允許這個(gè)規(guī)則允許內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)訪問互聯(lián)網(wǎng)上的HTTP、HTTPS和DNS服務(wù)。例4：阻止Ping請(qǐng)求：源：任何目的：任何協(xié)議：ICMP動(dòng)作：拒絕這個(gè)規(guī)則拒絕了所有的ICMP請(qǐng)求，包括Ping請(qǐng)求，以增加網(wǎng)絡(luò)的安全性。3．包過濾防火墻的優(yōu)點(diǎn)和缺點(diǎn)優(yōu)點(diǎn)：（1）一個(gè)屏蔽路由器能保護(hù)整個(gè)網(wǎng)絡(luò)。（2）包過濾對(duì)用戶透明。（3）屏蔽路由器速度快、效率高。缺點(diǎn)：（1）通常它沒有用戶的使用記錄，這樣就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄。（2）配置煩瑣。（3）包過濾的另一個(gè)關(guān)鍵的弱點(diǎn)就是不能在用戶級(jí)別上進(jìn)行過濾，只能認(rèn)為內(nèi)部用戶是可信任的、外部的是可疑的。（4）單純由屏蔽路由器構(gòu)成的防火墻并不十分安全7.2.2代理技術(shù)1．代理服務(wù)器（ProxyServer）簡(jiǎn)介代理服務(wù)器，是指代表內(nèi)網(wǎng)用戶向外網(wǎng)服務(wù)器進(jìn)行連接請(qǐng)求的服務(wù)程序。代理服務(wù)器運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間，它對(duì)于客戶機(jī)來說像是一臺(tái)真的服務(wù)器，而對(duì)于外網(wǎng)的服務(wù)器來說，它又是一臺(tái)客戶機(jī)。代理服務(wù)器的基本工作過程：當(dāng)客戶機(jī)需要使用外網(wǎng)服務(wù)器上的數(shù)據(jù)時(shí)，首先將請(qǐng)求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。同樣的道理，代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)也發(fā)揮了中間轉(zhuǎn)接的作用。中介7.2.2代理技術(shù)2．代理的優(yōu)點(diǎn)（1）代理易于配置。比過濾路由器容易配置，配置界面十分友好，對(duì)配置協(xié)議要求較低，避免配置錯(cuò)誤。（2）代理能生成各項(xiàng)記錄。在應(yīng)用層檢查各項(xiàng)數(shù)據(jù)，生成各項(xiàng)日志、記錄，用于流量分析、安全檢驗(yàn)。（3）代理能靈活、完全地控制進(jìn)出信息。借助代理可以實(shí)現(xiàn)一整套的安全策略，控制進(jìn)出的信息。（4）代理能過濾數(shù)據(jù)內(nèi)容。可以把一些過濾規(guī)則應(yīng)用于代理，讓它在應(yīng)用層實(shí)現(xiàn)過濾功能。7.2.2代理技術(shù)3．代理的缺點(diǎn)代理速度比路由器慢：代理工作于應(yīng)用層，要檢查數(shù)據(jù)包的內(nèi)容。不允許用戶直接訪問網(wǎng)絡(luò)：由于代理服務(wù)器需要處理所有網(wǎng)絡(luò)請(qǐng)求，所以用戶不能直接訪問網(wǎng)絡(luò)，需要通過代理服務(wù)器進(jìn)行訪問。對(duì)于不同協(xié)議設(shè)置要有不同的客戶端軟件來支持。不能保證免受所有協(xié)議弱點(diǎn)的限制：代理服務(wù)器不能保證完全免受所有協(xié)議弱點(diǎn)的限制。不能改進(jìn)底層協(xié)議的安全性：代理服務(wù)器只能處理應(yīng)用層的數(shù)據(jù)，不能處理底層協(xié)議的數(shù)據(jù)，所以不能改進(jìn)底層協(xié)議的安全性。7.2.2代理技術(shù)4．代理防火墻的發(fā)展階段（1）應(yīng)用層代理（ApplicationLevelProxy）。應(yīng)用層代理也稱為應(yīng)用層網(wǎng)關(guān)（ApplicationLevelGateway。代理服務(wù)是運(yùn)行在防火墻主機(jī)上專門的應(yīng)用程序或者服務(wù)器程序。應(yīng)用層代理為某個(gè)特定應(yīng)用服務(wù)提供代理，它對(duì)應(yīng)用協(xié)議進(jìn)行解析并解釋應(yīng)用協(xié)議的命令。根據(jù)其處理協(xié)議的功能可分為FTP網(wǎng)關(guān)型防火墻、Telnet網(wǎng)關(guān)型防火墻、WWW網(wǎng)關(guān)型防火墻等。7.2.2代理技術(shù)4．代理防火墻的發(fā)展階段（2）電路層代理（CircuitLevelProxy）。這種類型的代理技術(shù)稱為電路層網(wǎng)關(guān)（CircuitLevelGateway），也稱為電路級(jí)代理服務(wù)器。電路層網(wǎng)關(guān)工作在會(huì)話層，包被提交到用戶應(yīng)用層處理。

優(yōu)點(diǎn)：對(duì)網(wǎng)絡(luò)性能有低度到適中程度的影響；工作的層次比包過濾防火墻高，因此過濾性能稍差，但比應(yīng)用代理防火墻性能好。切斷了外部網(wǎng)絡(luò)到防火墻后面的服務(wù)器的直接連接。比包過濾防火墻具有更高的安全性。

缺點(diǎn)：具有一些包過濾防火墻固有的缺陷：例如無法對(duì)數(shù)據(jù)內(nèi)容進(jìn)行檢測(cè)，以抵御應(yīng)用層的攻擊等。僅具有低度到中等程度的安全性。7.2.2代理技術(shù)4．代理防火墻的發(fā)展階段（3）自適應(yīng)代理（AdaptiveProxy）。應(yīng)用層代理的主要問題是速度慢，支持的并發(fā)連接數(shù)有限。因此，NAI公司在1998年又推出具有“自適應(yīng)代理”特性的防火墻。自適應(yīng)代理不僅能維護(hù)系統(tǒng)安全，還能夠動(dòng)態(tài)“適應(yīng)”傳送中的分組流量。

自適應(yīng)代理防火墻允許用戶根據(jù)具體需求，定義防火墻策略，而不會(huì)犧牲速度或安全性。如果對(duì)安全要求較高，那么最初的安全檢查仍在應(yīng)用層進(jìn)行，保證實(shí)現(xiàn)傳統(tǒng)代理防火墻的最大安全性。而一旦代理明確了會(huì)話的所有細(xì)節(jié)，其后的數(shù)據(jù)包就可以直接經(jīng)過速度更快的網(wǎng)絡(luò)層。狀態(tài)檢測(cè)（StatefulInspection）防火墻評(píng)估網(wǎng)絡(luò)流量的狀態(tài)或上下文。通過檢查源和目的地址、應(yīng)用程序使用情況、來源以及當(dāng)前數(shù)據(jù)包與同一會(huì)話的先前數(shù)據(jù)包之間的關(guān)系，狀態(tài)檢測(cè)防火墻能為授權(quán)用戶和活動(dòng)授予更廣泛的訪問權(quán)限，并主動(dòng)監(jiān)視和阻止未經(jīng)授權(quán)的用戶和活動(dòng)，被稱為第三代防火墻。在基于狀態(tài)檢測(cè)防火墻中有兩張表：規(guī)則表和狀態(tài)表（即會(huì)話表）。規(guī)則表包括源地址、目的地址、源端口、目的端口、協(xié)議類型、數(shù)據(jù)流向等信息。狀態(tài)表包括源地址、目的地址、源端口、目的端口、協(xié)議類型、本次連接狀態(tài)、TCP包序列號(hào)、該次連接超時(shí)值、連接以通過數(shù)據(jù)包個(gè)數(shù)等信息。7.2.3狀態(tài)檢測(cè)技術(shù)7.2.3狀態(tài)檢測(cè)技術(shù)狀態(tài)檢測(cè)防火墻的工作過程：是否匹配狀態(tài)表的會(huì)話規(guī)則表是否允許通過數(shù)據(jù)包解析數(shù)據(jù)包轉(zhuǎn)發(fā)數(shù)據(jù)包丟棄建立新的狀態(tài)表項(xiàng)是是否否7.2.3狀態(tài)檢測(cè)技術(shù)狀態(tài)檢測(cè)防火墻在包過濾的同時(shí)，檢查數(shù)據(jù)包之間的關(guān)聯(lián)性，檢查數(shù)據(jù)包中動(dòng)態(tài)變化的狀態(tài)碼。狀態(tài)檢測(cè)防火墻利用狀態(tài)表跟蹤每一個(gè)會(huì)話狀態(tài)，對(duì)每一個(gè)包的檢查不僅根據(jù)規(guī)則表，更要考慮數(shù)據(jù)包是否符合會(huì)話所處的狀態(tài)，因此提供了完整的對(duì)傳輸層的控制能力。7.2.4統(tǒng)一威脅管理（UTM）統(tǒng)一威脅管理(UTM)是指將多種安全功能或服務(wù)整合到網(wǎng)絡(luò)上的單一設(shè)備中。包括反病毒、內(nèi)容過濾、電子郵件過濾、網(wǎng)頁過濾、反垃圾郵件等。UTM使組織可以將其IT安全服務(wù)整合到一臺(tái)設(shè)備中，通過單一管理平臺(tái)監(jiān)控所有威脅和安全相關(guān)活動(dòng)，可以更全面了解安全所有要素，簡(jiǎn)化網(wǎng)絡(luò)保護(hù)。7.2.4統(tǒng)一威脅管理（UTM）反病毒：監(jiān)控網(wǎng)絡(luò)，檢測(cè)并阻止病毒損害系統(tǒng)或與系統(tǒng)連接的設(shè)備。反惡意軟件：UTM可以預(yù)先配置為檢測(cè)已知惡意軟件，UTM還可以使用啟發(fā)式分析來檢測(cè)新型惡意軟件威脅防火墻：同時(shí)檢查進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)，確定是否存網(wǎng)絡(luò)安全威脅，并限制威脅的傳播。入侵防御：分析數(shù)據(jù)包，查找已知的威脅模式，阻止攻擊；記錄惡意事件。虛擬專用網(wǎng)絡(luò)：在公用網(wǎng)絡(luò)上建立加密的通道，虛擬專用網(wǎng)絡(luò)，避免自己的數(shù)據(jù)被別人看到。網(wǎng)頁過濾：阻止用戶的瀏覽器加載某此網(wǎng)站的頁面預(yù)防數(shù)據(jù)丟失:檢測(cè)并防御數(shù)據(jù)泄露和數(shù)據(jù)竊取攻擊7.2.4統(tǒng)一威脅管理（UTM）UTM的優(yōu)點(diǎn)靈活性和適應(yīng)性：可以自由部署多種安全技術(shù)；自動(dòng)更新可應(yīng)對(duì)網(wǎng)絡(luò)環(huán)境中的最新威脅集中式集成和管理：同一個(gè)管理控制臺(tái)整合并控制一切，可以同時(shí)監(jiān)控會(huì)影響多個(gè)網(wǎng)絡(luò)組件的多種威脅性價(jià)比高：減少了組織保護(hù)網(wǎng)絡(luò)所需的設(shè)備數(shù)量，減少人力成本和設(shè)備成本有利于提高對(duì)網(wǎng)絡(luò)安全威脅的認(rèn)識(shí)：可以更好地管理高級(jí)持續(xù)性威脅(APT)以及網(wǎng)絡(luò)環(huán)境中的其他新型風(fēng)險(xiǎn)。7.2.5下一代防火墻（NGFW）涵蓋了防火墻（FW）、入侵檢測(cè)系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）、殺毒軟件（AV）、Web應(yīng)用防火墻（WAF）的功能。與UTM相比，NGFW增加的web應(yīng)用防護(hù)功能，功能更全；采用并行處理機(jī)制，效率更高NGFW的性能更強(qiáng)，管理更高效。NGFW包括傳統(tǒng)的數(shù)據(jù)數(shù)據(jù)包過濾、狀態(tài)檢查、VPN流量識(shí)別，除此之外，NGFW還使用深度包檢測(cè)(DPI)技術(shù)，能夠進(jìn)行應(yīng)用程序識(shí)別和控制、入侵防護(hù)、威脅情報(bào)、信息反饋、應(yīng)對(duì)不斷變化的安全威脅等技術(shù)。NGFW既可以是硬件設(shè)備，也可以作為軟件部署，還可以作為云服務(wù)來部署，稱為云防火墻或防火墻即服務(wù)(FWaaS)。7.3防火墻體系結(jié)構(gòu)雙重宿主主機(jī)結(jié)構(gòu)。屏蔽主機(jī)結(jié)構(gòu)。屏蔽子網(wǎng)結(jié)構(gòu)。7.3.1雙重宿主主機(jī)結(jié)構(gòu)雙宿主機(jī)（Dual-HomedHost），又稱堡壘主機(jī)（BastionHost），是一臺(tái)至少配有兩個(gè)網(wǎng)絡(luò)接口的主機(jī)，它可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，在網(wǎng)絡(luò)之間發(fā)送數(shù)據(jù)包。7.3.1雙重宿主主機(jī)結(jié)構(gòu)相比屏蔽路由器，堡壘主機(jī)的系統(tǒng)軟件可用于維護(hù)系統(tǒng)日志，這對(duì)于日后的安全檢查很有用。雙宿主機(jī)防火墻的一個(gè)致命弱點(diǎn)是：一旦入侵者侵入堡壘主機(jī)并使其具有路由功能，則任何外網(wǎng)用戶均可以隨便訪問內(nèi)網(wǎng)。堡壘主機(jī)是用戶的網(wǎng)絡(luò)上最容易受侵襲的機(jī)器，要采取各種措施來保護(hù)它。堡壘主機(jī)要盡可能簡(jiǎn)單，保留最少的服務(wù)，關(guān)閉路由功能；7.3.2屏蔽主機(jī)結(jié)構(gòu)屏蔽主機(jī)結(jié)構(gòu)（ScreenedHostStructure），又稱主機(jī)過濾結(jié)構(gòu)。屏蔽主機(jī)結(jié)構(gòu)需要配備一臺(tái)堡壘主機(jī)和一個(gè)有過濾功能的屏蔽路由器，并使堡壘主機(jī)成為從外部網(wǎng)絡(luò)唯一可直接到達(dá)的主機(jī)。7.3.3屏蔽子網(wǎng)結(jié)構(gòu)屏蔽子網(wǎng)結(jié)構(gòu)（ScreenedSubnetStructure）通過添加周邊網(wǎng)絡(luò)（即屏蔽子網(wǎng)）更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離開。在子網(wǎng)內(nèi)構(gòu)成一個(gè)“非軍事區(qū)”7.3.4防火墻的組合結(jié)構(gòu)（1）使用多堡壘主機(jī)。（2）合并內(nèi)部路由器與外部路由器。（3）合并堡壘主機(jī)與外部路由器。（4）合并堡壘主機(jī)與內(nèi)部路由器。（5）使用多臺(tái)內(nèi)部路由器。（6）使用多臺(tái)外部路由器。（7）使用多個(gè)周邊網(wǎng)絡(luò)。（8）使用雙重宿主主機(jī)與屏蔽子網(wǎng)。7.4內(nèi)部防火墻為什么需要內(nèi)部防火墻？？傳統(tǒng)的邊界防火墻（PerimeterFirewall）并不能確保內(nèi)部用戶之間的安全訪問內(nèi)部網(wǎng)絡(luò)中每一個(gè)用戶要求較高的安全等級(jí)（如財(cái)務(wù)、人事檔案等）80%的攻擊來自內(nèi)部。對(duì)于來自內(nèi)部的攻擊，邊界防火墻是無能為力的。將內(nèi)部網(wǎng)絡(luò)的一部分與其余部分隔離，在內(nèi)部網(wǎng)絡(luò)的兩個(gè)部分之間再建立防火墻，稱之為內(nèi)部防火墻分布式防火墻、嵌入式防火墻7.4.1分布式防火墻分布式防火墻的結(jié)構(gòu)包括以下幾個(gè)部分：（1）網(wǎng)絡(luò)防火墻：它用于內(nèi)部網(wǎng)與外部網(wǎng)之間，以及內(nèi)部網(wǎng)絡(luò)各子網(wǎng)之間。（2）主機(jī)防火墻：用于對(duì)網(wǎng)絡(luò)中的服務(wù)器和工作站進(jìn)行防護(hù)（3）中心管理：是一種服務(wù)器軟件，負(fù)責(zé)總體安全策略的策劃、管理、分發(fā)及日志的匯總。這樣防火墻就可以進(jìn)行智能管理，提高了防火墻的安全防護(hù)靈活性，具備可管理性7.4.2嵌入式防火墻分布式防火墻技術(shù)集成在硬件上（一般可以兼有網(wǎng)卡的功能），通常稱之為嵌入式防火墻嵌入式防火墻能將網(wǎng)絡(luò)安全延伸到邊界防火墻的范圍之外，并分布到網(wǎng)絡(luò)的每個(gè)結(jié)點(diǎn)。安全性措施在PC系統(tǒng)上執(zhí)行，但是卻由嵌入式防火墻的硬件系統(tǒng)來實(shí)施，整個(gè)過程獨(dú)立于主機(jī)系統(tǒng)之外。這一策略使企業(yè)網(wǎng)絡(luò)幾乎不受任何惡意代碼或黑客攻擊的威脅。適用于安全性要求較高的單位7.4.3個(gè)人防火墻個(gè)人防火墻是安裝在個(gè)人計(jì)算機(jī)里的一段程序，把個(gè)人計(jì)算機(jī)和Internet分隔開。它檢查進(jìn)出防火墻的所有數(shù)據(jù)包，決定該攔截某個(gè)包還是將其放行。在不妨礙正常上網(wǎng)瀏覽的同時(shí)，阻止Internet上的其他用戶對(duì)個(gè)人計(jì)算機(jī)進(jìn)行的非法訪問。好處：例如，如果個(gè)人計(jì)算機(jī)被植入了黑客程序，一旦該程序啟動(dòng)，個(gè)人防火墻就會(huì)及時(shí)報(bào)警并禁止該程序與外界的數(shù)據(jù)傳送7.5防火墻產(chǎn)品介紹包過濾防火墻的代表產(chǎn)品是以色列CheckPoint公司的FireWall-1防火墻和美國Cisco公司的PIX防火墻，應(yīng)用層網(wǎng)關(guān)防火墻的代表產(chǎn)品是美國NAI公司的Gauntlet防火墻。國內(nèi)的主要的防火墻產(chǎn)品包括：天融信防火墻、華為防火墻、綠盟防火墻、啟明星辰防火墻等。另外，新華三、深信服、山石網(wǎng)科等品牌的防火墻產(chǎn)品7.5.1企業(yè)級(jí)防火墻華為第五代（Generation5）防火墻（1）高性能和可伸縮性：第五代華為防火墻具有卓越的性能和可伸縮性，可以應(yīng)對(duì)大規(guī)模網(wǎng)絡(luò)和高流量要求。（2）深度包檢測(cè)：它支持深度包檢測(cè)技術(shù)，以檢測(cè)和防止復(fù)雜的威脅，包括零日漏洞攻擊和高級(jí)持續(xù)性威脅（APT）。（3）應(yīng)用程序識(shí)別和控制：能夠?qū)W(wǎng)絡(luò)流量中的應(yīng)用程序進(jìn)行深入識(shí)別和控制，以便實(shí)施策略和確保網(wǎng)絡(luò)合規(guī)性。（4）威脅情報(bào)共享：可以與威脅情報(bào)提供商集成，以及時(shí)獲取最新的威脅情報(bào)并自動(dòng)阻止惡意流量。7.5.1企業(yè)級(jí)防火墻華為第五代（Generation5）防火墻（5）虛擬私人網(wǎng)絡(luò)（VPN）支持：提供強(qiáng)大的VPN功能，允許安全地連接分支機(jī)構(gòu)、遠(yuǎn)程辦公室和移動(dòng)用戶，以及實(shí)現(xiàn)安全的站點(diǎn)到站點(diǎn)通信。（6）入侵檢測(cè)和防護(hù)：具備高級(jí)入侵檢測(cè)和防護(hù)功能，用于檢測(cè)并阻止入侵、惡意活動(dòng)和攻擊。（7）高可用性和冗余性：支持高可用性配置，以確保網(wǎng)絡(luò)的連續(xù)性，即使在硬件或軟件故障時(shí)也能提供無縫切換。（8）云集成：允許與云服務(wù)集成，以保護(hù)云基礎(chǔ)設(shè)施和云應(yīng)用程序。（9）集中管理：提供集中的管理界面，以便管理員輕松配置、監(jiān)控和管理網(wǎng)絡(luò)安全策略。7.5.1企業(yè)級(jí)防火墻防火墻技術(shù)的發(fā)展趨勢(shì)（1）云原生防火墻：專為云環(huán)境設(shè)計(jì)和部署的防火墻解決方案；（2）零信任安全：這一模型的核心理念是：不論用戶是否在組織內(nèi)部，都應(yīng)該經(jīng)過身份驗(yàn)證和授權(quán)，且需要實(shí)時(shí)的訪問控制。（3）SASE（安全接入服務(wù)邊緣—SecureAccessServiceEdge）：SASE是一種融合了網(wǎng)絡(luò)安全和網(wǎng)絡(luò)服務(wù)的安全架構(gòu)和服務(wù)模型。（4）AI和機(jī)器學(xué)習(xí)：更好地檢測(cè)和應(yīng)對(duì)復(fù)雜的威脅7.5.1企業(yè)級(jí)防火墻防火墻技術(shù)的發(fā)展趨勢(shì)（5）IoT和工業(yè)物聯(lián)網(wǎng)（IIoT）安全：適應(yīng)IoT和工業(yè)物聯(lián)網(wǎng)的安全需