網絡管理與安全技術課件

網絡管理與安全技術

.

Nd|ir3,ioo

SwitchQiOD

本章學習要求

?理斛；防火焉基埼概念

I蒙握；防火播技術

IM4/防火磕體系修構及其應用

I蕤恚；防火磕的類型

第7章防火墻

防火墻作為網絡安全的一種防護手段

得到了廣泛的應用，已成為各企業(yè)網絡中

實施安全保護的核心，安全管理員可以通

過其選擇性地拒絕進出網絡的數(shù)據(jù)流量，

增強了對網絡的保護作用。

7.1防火墻基本概念

?防火墻是位于兩個信任程度不同的網絡之間的軟件或

硬件設備的組合，它對兩個網絡之間的通信進行控制，

通過強制實施統(tǒng)一的安全策略，防止對重要信息資源的

非法存取和訪問，以達到保護系統(tǒng)安全的目的。

?防火墻通常是運行在一臺單獨計算機之上的一個特別

的服務軟件，用來保護由許多臺計算機組成的內部網絡,

可以識別并屏蔽非法請求，有效防止跨越權限的數(shù)據(jù)訪

問。防火墻可以是非常簡單的過濾器，也可能是精心配

置的網關。但都可用于監(jiān)測并過濾所有內部網和外部網

之間的信息交換。

?防火墻保護著內部網絡的敏感數(shù)據(jù)不被竊取和破壞，并

記錄內外通信的有關狀態(tài)信息日志，如通信發(fā)生的時間

和進行的操作等等。新一代的防火墻甚至可以阻止內部

人員將敏感數(shù)據(jù)向外傳輸，并對網絡數(shù)據(jù)的流動實現(xiàn)有

效地管理。

防火墻你的電腦

防火墻示意圖

UF3500/3100防火墻應用

三端口NAT模式

7.1.1防火墻技術發(fā)展狀況

■自從1986年美國Digital公司在Internet上安裝了全球

第一個商用防火墻系統(tǒng)后，防火墻技術得到了飛速的發(fā)

展。許多公司推出了功能不同的防火墻系統(tǒng)產品。

■第一代防火墻，又稱為包過濾防火墻，其主要通過對數(shù)

據(jù)包源地址、目的地址、端口號等參數(shù)來決定是否允許

該數(shù)據(jù)包通過或進行轉發(fā)，但這種防火墻很難抵御IP地

址欺騙等攻擊，而且審計功能很差。

■第二代防火墻，也稱代理服務器，它用來提供網絡服務

級的控制，起到外部網絡向被保護的內部網絡申請服務

時中間轉接作用，這種方法可以宥莪地防止對內等網絡

的直接攻擊，安全性較高。

■第三代防火墻有效地提高了防火墻的安全性，稱為狀態(tài)

監(jiān)控功能防火墻，它可以對每一層的數(shù)據(jù)包進行檢測和

監(jiān)控。

7.1.1防火墻技術發(fā)展狀況

■第四代防火墻：1992年，開發(fā)出了基于動

態(tài)包過濾技術的第四代防火墻。

■第五代防火墻：1998年，NAI公司推出了一

種自適應代理技術，可以稱之為第五代防

火墻。

7.1.2防火墻的任務

防火墻應能夠確保滿足以下四個目標：

1.實現(xiàn)安全策略

防火墻的主要目的是強制執(zhí)行人們所設計的

安全策略。比如，安全策略中只需對E-mail服務

器的SMTP流量作些限制，那么就要在防火墻中直

接設置并執(zhí)行這一策略。

防火墻一般實施兩個基本設計策略之一：

■n凡是沒有明確表示允許的就要被禁止；

■n凡是沒有明確表示禁止的就要被允許。

7.1.2防火墻的任務

2.創(chuàng)建檢查點

■防火墻在內部網絡和公網間建立一個檢查

點。

■通過檢查點防火墻設備可以監(jiān)視、過濾和

檢查所有進來和出去的流量。

■網絡管理員可以在檢查點上集中實現(xiàn)安全

目的。

Z1.2防火墻的任務

九運會信息網絡系統(tǒng)已經受并成功地抵御了87萬多次網絡攻擊

3.成己錄Inteoet活動

防火墻可以進行日志記錄，并且提供警報功能。通

過在防火墻上實現(xiàn)日志服務，安全管理員可以監(jiān)視所有

從外部網或互聯(lián)網的訪問。好的日志策略是實現(xiàn)網絡安

全的有效工具之一。防火墻對于管理員進行日志存檔提

供了更多的信息。

不

芹

同

平

臺

的

服

務

丁

器

日志

Z1.2防火墻的任務

4.保護內部網絡

對于公網防火墻隱藏了

內部系統(tǒng)的一些信息以

增加其保密性。當遠程

節(jié)點探測內部網絡時，

其僅僅能看到防火墻。

遠程節(jié)點不會知道內部

網絡結構和資源。防火

墻以提高認證功能和對

網絡加密來限制網絡信

息的暴露，并通過對所

有輸入的流量時行檢查,

以限制從外部發(fā)動的攻

擊。

7.2防火墻技術

目前大多數(shù)防火墻都采用幾種技術相結合的形式

來保護網絡不受惡意的攻擊，其基本技術通常分

為兩類：

?網絡數(shù)據(jù)單元過濾

?網絡服務代理

7.2.1數(shù)據(jù)包過濾

?數(shù)據(jù)包過濾(Packet

Filtering)技術是在網

絡層對數(shù)據(jù)包進行分析、

選擇，選擇的依據(jù)是系統(tǒng)

內設置的過濾邏輯，稱為

訪問控制表(Access

ControlTable)。

?通過檢查數(shù)據(jù)流中每一個

數(shù)據(jù)包的源地址、目的地

址、所用端口號、協(xié)議狀

態(tài)等因素，或它們的組合

來確定是否允許該數(shù)據(jù)包

通過。

7.2.1數(shù)據(jù)包過濾

■包過濾技術工作在OIS七層模型的網絡層上

并有兩個功能:即允許和阻止；

■如果檢查數(shù)據(jù)包所有的條件都符合規(guī)則，

則允許進行路由；如果檢查到數(shù)據(jù)包的條

件不符合規(guī)則，則阻止通過并將其丟棄。

■包檢查是對IP頭和傳輸層的頭進行過濾,

一般要檢查下面幾項：

7.2.1數(shù)據(jù)包過濾

?源IP地址

?目的IP地址

?TCP/UDP源端口

?TCP/UDP目的端口

?協(xié)議類型（TCP包、UDP包、ICMP包）

?TCP報頭中的ACK位

?ICMP消息類型

7.2.1數(shù)據(jù)包過濾

例如：若想禁止從Internet的遠程登錄到內部網

設備中，則需要建立一條包過濾規(guī)則。因為

Telnet服務是使用TCP協(xié)議的23端口，則禁止

Telnet的包過濾規(guī)則為：

規(guī)則號功能源IP地址目標IP地址源端口目標端口協(xié)議

1Discard**23*TCP

2Discard***23TCP

上表列出的信息是路由器丟棄所有從TCP23端口出去和進來

的數(shù)據(jù)包。其它所有的數(shù)據(jù)包都允許通過。

例如：FTP使用TCP的20和21端口。如果包過濾要禁止所有的數(shù)

據(jù)包只允許特殊的數(shù)據(jù)包通過。

規(guī)則號功能源IP地址目標IP地址源端口目標端口協(xié)議

1AHow***TCP

2AUow*20*TCP

?第一條是允許地址為192.168.1.0的網段內而其源端口和目的端

口為任意的主機進行TCP的會話。

?第二條是允許端口為20的任何遠程IP地址都可以連接到

192.168.10.0的任意端口上。

?第二條規(guī)則不能限制目標端口是因為主動的FTP客戶端是不使用

20端口的。當一個主動的FTP客戶端發(fā)起一個FTP會話時，客戶端

是使用動態(tài)分配的端口號。而遠程的FTP服務器只檢查

192.168.1.0這個網絡內端口為20的設備。有經驗的黑客可以利

用這些規(guī)則非法訪問內部網絡中的任何資源。所以要對FTP包過

濾的規(guī)則加以相應修改

7.2.1數(shù)據(jù)包過濾

規(guī)則號功能源IP地址目標IP地址源端口目標端口協(xié)議

1Allow192.168.1.0**21TCP

2Block*192.168.1.020<1024TCP

3Allow*192.168.1.020*TCP

ACK=1

■第一條是允許網絡地址為192.168.1.0內的任何主機與目標地址為

任意且端口為21建立TCP的會話連接。

?第二條是阻止任何源端口為20的遠程IP地址訪問內部網絡地址為

192.168.1.0且端口小于1024的任意主機。

?第三條規(guī)則是允許源端口為20的任意遠程主機可以訪問

192.168.1.0網絡內主機任意端口。這些規(guī)則的應用是按照順序執(zhí)

行的。第三條看上去好像是矛盾的。如果任何包違反第二條規(guī)則，

它會被立刻丟棄掉，第三條規(guī)則不會執(zhí)行。但第三條規(guī)則仍然需要

是因為包過濾對所有進來和出去的流量進行過濾直到遇到特定的允

許規(guī)貝I。

7.2.1數(shù)據(jù)包過濾

■包過濾防火墻的優(yōu)點

速度快、邏輯簡單、成本低、易于安裝和使用，

網絡性能和透明度好。它通常安裝在路由器上，

因內部網絡與Internet連接必須通過路由器，所

以在原有網絡上增加這類防火墻，幾乎不需要任

何額外M費用。

■包過濾防火墻的缺點

不能對數(shù)據(jù)內容進行控制，缺乏用戶級的授權；

非法訪問一旦突破防火墻，即可對主機上的系統(tǒng)

和配置進行攻擊。數(shù)據(jù)包的源地址、目的地址以

及IP端口號都在數(shù)據(jù)包的頭部，很有可能被冒充

或竊取。

7.2.2應用級網關

■應用層網關技術是

在網絡的應用層上

實現(xiàn)協(xié)議過濾和轉

發(fā)功能。它針對特

定的網絡應用服務

協(xié)議使用指定的數(shù)

據(jù)過濾邏輯，并在

過濾的同時，對數(shù)

據(jù)包進行必要的分

析、記錄和統(tǒng)計，

形成報告。實際的

應用網關通常安裝

在專用工作站系統(tǒng)

上

7.2.2應用級網關

■應用級網關能夠理解應用層上的協(xié)議，進

行復雜一些的訪問控制。但每一種協(xié)議需

要相應的代理軟件，使用時工作量大，效

率不如網絡級防火墻。

■常用的應用級防火墻有相應的代理服務器，

應用級網關有較好的訪問控制，但實現(xiàn)困

難，而且有的應用級網關缺乏“透明度”

7.2.2應用級網關

■應用層網關防火墻和

數(shù)據(jù)包過濾有一個共

同的特點，就是它們

僅僅依靠特定的邏輯

來判斷是否允許數(shù)據(jù)

包通過。一旦符合條

件，防火墻內外的計

算機系統(tǒng)便可以建立

直接聯(lián)系，外部的用

戶便有可能直接了解

到防火墻內部的網絡

結構和運行狀態(tài)，這

大大增加了非法訪問

和攻擊的機會。

7.2.3代理服務

■應用代理服務技術能夠將所有跨越防火墻的網絡通

信鏈路分為兩段。

■防火墻內外計算機系統(tǒng)間應用層的連接是由兩個代

理服務器之間的連接來實現(xiàn)，外部計算機的網絡鏈

路只能到達代理服務器，從而起到隔離防火墻內外

計算機系統(tǒng)的作用。

■另外，代理服務器也對過往的數(shù)據(jù)包進行分析、記

錄、形成報告，當發(fā)現(xiàn)攻擊跡象時會向網絡管理員

發(fā)出警告，并保留攻擊痕跡。

請求

轉發(fā)

服務器

應答

7.2.3代理服務

應用代理服務器對客戶

端的請求行使“代理”

職責?？蛻舳诉B接到防次13端口幽用

火墻并發(fā)出請求，然后

防火墻連接到服務器，

并代表這個客戶端重復

這個請求。返回時數(shù)據(jù)

發(fā)送到代理服務器，然

后再傳送給用戶，從而

確保內部IP地址和口令Adnnnistrotor

不在Internet上出現(xiàn)。

7.2.3代理服務

■代理技術與包過濾技術完全不同，包過濾技術是

在網絡層攔截所有的信息流，代理技術是針對每

-一個特定應用都有一個程序。

■根據(jù)其處理協(xié)議的不同，可分為FTP網關型、WWW

網關型、Telnet網關型等防火墻，其優(yōu)點在于既

能進行安全控制，又可加速訪問，但實現(xiàn)起來比

較困難，對于每一種服務協(xié)議必須設計一個代理

軟件模式，以進行安全控制。

7.2.3代理服務

應用層代理主要的優(yōu)點：

■支持用戶認證并提供詳細的注冊信息；

■過濾規(guī)則相對于包過濾路由器更容易配置和測試;

■可提供詳細的日志和安全審計功能；

■可以隱藏內部網的IP地址以保護內部主機不受外

部主機的進攻；

■內部網中的所有主機通過代理可以訪問Internet。

應用層代理也有明顯的缺點：

■應用層實現(xiàn)的防火墻會造成執(zhí)行速度慢，其性能

明顯下降；

■每個應用程序都必須有一個代理服務程序來進行

安全控制,并隨應用并級面升級。其適應性和連

接性都是有限的。

7.2.4狀態(tài)檢測

■狀態(tài)檢測是對包過濾功能的擴展。

■傳統(tǒng)的包過濾在用動態(tài)端口的協(xié)議時，事先

無法知道哪些端口需要打開，就會將所宥可

能用到的端口打開，而這會給安全帶來不必

要的隱患。

■狀態(tài)檢測將通過檢查應用程序信息來判斷此

端口是否需要臨時打開，并當傳輸結束時，

端口馬上恢復為關閉狀態(tài)。

7.2.4狀態(tài)檢測

■狀態(tài)檢測防火墻克服了包過濾防火墻和應用代理

服務器的局限性，不要求每個被訪問的應用都有

代理。

■狀態(tài)檢測模塊能夠理解并學習各種協(xié)議和應用，

以支持各種最新的應用服務。

■狀態(tài)檢測模塊截獲、分析并處理所有試圖通過防

火墻的數(shù)據(jù)包，保證網絡的高度安全和數(shù)據(jù)完整。

■網絡和各種應用的通信狀態(tài)動態(tài)存儲、更新到動

態(tài)狀態(tài)表中，結合預定義好的規(guī)則，實現(xiàn)安全策

略。

■狀態(tài)檢測是檢查OSI七層模型的所有層，以決定是

否過濾，而不僅僅是對網絡層檢測。

7.3防火墻體系結構及其應用

防火墻體系結構通常分為四類：

?屏蔽路由器(ScreeningRouter)

?屏蔽主機網關(ScreenedHostGateway)

?雙穴主機網關(Dual-HomedGateway)

?屏蔽子網(ScreenedSubnet)

731屏蔽路由器

■屏蔽路由器就是實施過濾的路由器

■包過濾路由器在網絡之間完成數(shù)據(jù)包

轉發(fā)的普通路由功能，并利用包過濾

規(guī)則來允許或拒絕數(shù)據(jù)包。

■通常過濾規(guī)則定義為：內部網絡上的

主機可以直接訪問Internet)

Internet上的主機對內部網絡上的主

機進行訪問是有限制的，即沒有特別

允許的數(shù)據(jù)包都拒絕。

731屏蔽路由器

INTERNET

包過濾路由器

內部網絡

屏蔽路由器

731屏蔽路由器

■優(yōu)點是價格低且易于使用，

■缺點

1.需要掌握TCP/IP知識才能創(chuàng)建相應的過濾規(guī)則,

若有配置錯誤將會導致不期望的流量通過或拒

絕一些應接受的流量。

2.包過濾路由器不隱藏內部網絡的配置，任何允

許訪問屏蔽路由器的用戶都可看到網絡的布局

和結構。

3.其監(jiān)視和日志功能較弱，通常也沒有警報的功

能。這就意味著網絡管理員要不斷地檢查網絡

以確定其是否受到攻擊。防火墻一旦被攻陷后

很難發(fā)現(xiàn)攻擊者。

7.3.2屏蔽主機網關

■防火墻系統(tǒng)采用了包過濾路由器和堡壘主機組成的防火墻。

■提供的安全等級比包過濾防火墻要高，其實現(xiàn)了網絡層安全

（包過濾）和應用層安全（代理服務）。

■堡壘主機可以通過網絡地址解析來隱藏內部網絡的配置信息。

信息服務器

INTERNET

包過濾路由器

h1

堡壘主機

內部網絡

屏蔽主機防火墻

7.3.2屏蔽主機網關

■屏蔽主機防火墻是針對所有進出的信息都要經過堡

壘主機而設計的。

■堡壘主枷配置在內部網絡上，而包過濾路由器則放

置在內部網絡和Internet之間。

■在路由器上進行過濾規(guī)則配置，使得外部系統(tǒng)只能

訪問堡壘主機，內部系統(tǒng)的其他主機的信息全部被

阻塞。確保了內部網絡不受外部攻擊。

■由于內部主機與堡壘主機處于同一網絡，安全策略

之一就是決定是否允許內部系統(tǒng)直接訪問Internet

或使用堡壘主機上的代理服務來訪問Interneto

■若要強制內部用戶使用代理服務，則可在路由器配

置過濾規(guī)則時，讓Internet只接受來自堡壘主機的

內部數(shù)據(jù)包。

7.3.2屏蔽主機網關

■該防火墻系統(tǒng)的優(yōu)點

i.內網的變化不影響堡壘主機和屏蔽路由器的配置。

2.可將提供公開的信息服務的服務器放置在由包過濾

路由器和堡壘主機共用的網段上。

3.如果要求有特別高的安全特性，可讓堡壘主機運行

代理服務，使得內部和外部用戶在與信息服務器通

信之前，必須先通過堡壘主機。

4.如果安全等級較低，則可將路由器配置成讓外部用

戶直接訪問公共的信息服務器。

7.3.2屏蔽主機網關

■與包過濾比較，這種方法的缺點是：

1,增加了成本并降低了性能。因為堡壘主機處理

信息時，網絡經常需要更多的時間來對用戶的

請求做出響應。使用戶訪問Internet變得較慢

2.如果堡壘主機服務器作為應用級網關，內部客

戶端必須被配置成使用應用網關服務。

7.3.3雙宿主機網關

用一臺裝有兩塊網卡的堡壘主機做防火墻，一塊與內網相連，

一塊與外部網相連。堡壘主機上運行著防火墻軟件，可以轉發(fā)

應用程序，提供服務等。這種防火墻由于在內部網絡和外部網

絡之間創(chuàng)建了完全的物理隔斷，增加了更有效的安全性。

■信息服務器

BP

INTERNET

包過濾路由器

堡壘主機

內部網絡

雙宿堡壘主機防火墻

7.3.3雙宿主機網關

■在單宿主堡壘主機結構上,所有外部的流量

直接轉發(fā)到堡壘主機上執(zhí)行。黑客可修改路

由器而不把數(shù)據(jù)包轉發(fā)給堡壘主機，這樣將

會繞過堡壘主機且直接進入到內部網絡中。

■雙宿堡壘主機有兩個網絡接口，但主機不能

在兩個端口之間直接轉發(fā)信息。這種物理結

構強行讓所有去往內部網絡的信息經過堡壘

主機。

7.3.3雙宿主機網關

■雙宿主機網關優(yōu)于屏蔽路由器的地方是：

1.堡壘主機的系統(tǒng)軟件可用于維護系統(tǒng)日志、

破件拷貝日志或遠程日志。便于日后的檢查

之用。

2,由于堡壘主機是唯一能從Internet上直接訪

問的內部系統(tǒng)，所以有可能受到攻擊的主機

就只有堡壘主機本身。

3.對于入侵者來說，允許其注冊到堡壘主機，

就可容易的破壞堡壘主機而整個內部網絡受

到攻擊居威脅。因此）避免被滲透和不允許

非法用戶注冊對堡壘主機來說是至關重要的。

7.3.4屏蔽子網

實施防火墻最常見的方法就是屏蔽子網。在內部網絡和外部

網絡之間建立一個被隔離的子網，稱之為非軍事區(qū)DMZ。

其是用兩臺分組過濾路由器圈這一子網分別與內部網絡和外

部網絡分開，網絡管理員將堡壘主機、信息服務器以及其他

公用服務器放在DMZ網絡中。

內部網絡和外部網絡均可訪問被屏蔽子網，但禁止其穿過被

屏蔽子網直接通信。屏蔽子網中的堡壘主機作為唯一可訪問

點，并作為應用網關代理。

一^.s信息服務器

包過濾路由器*包過濾路由器

堡壘主機

內部網絡

屏蔽子網防火墻

7.3.4屏蔽子網

?對于進來的信息，外面的路由器用于防范通常的外

部攻擊，并管理Internet到DMZ網絡的訪問。它只允

許外部系統(tǒng)訪問堡壘主機和信息服務器。

?里面的路由器提供第二層防御，只接受源于堡壘主

機的數(shù)據(jù)包，負責的是管理DMZ到內部網絡的訪問。

?對于出來的信息，里面的路由器管理內部網絡到

DMZ的訪問。它允許內部系統(tǒng)只訪問堡壘主機和信息

服務器。

?外面的路由器上的過濾規(guī)則要求使用代理服務，即

只接受來自堡壘主機的去往Internet的數(shù)據(jù)包。

7.3.4屏蔽子網

屏蔽子網防火墻系統(tǒng)有以下幾個優(yōu)點：

1.入侵者必須攻克三個不同的設備且不被發(fā)現(xiàn)才

能侵襲內部網絡。

2.內部網絡對Internet來說是不可見的，因為所有

進出的數(shù)據(jù)包都會直接送到DMZ。并且只有在DMZ

網絡上選定的系統(tǒng)才對Internet開放。這使黑客

想得到內部系統(tǒng)的信息幾乎不太可能的。

3.由于內部路由器只向內部網絡通告DMZ的存在，內

部網絡上的系統(tǒng)不能直接通往Internet,這樣就

保證了內部網絡上的用戶必須通過駐留在堡壘主

機上的代理服務才能訪問Internet。這種配置避

免了內部用戶繞過內網的安全機制。

7.3.4屏蔽子網

4.外部路由器直接將數(shù)據(jù)引向DMZ網絡上所指定的

系統(tǒng)，無必要設置雙宿堡壘主機。

5.內部路由器作為內部網絡與公網之間的防火墻系

統(tǒng)并支持比雙宿堡壘主機更大的數(shù)據(jù)包吞吐量。

6.在DMZ網絡上可以安裝NAT于堡壘主機上，從而避

免在內部網絡上重新編址或重新劃分子網。

?在實際應用中，具體采用哪一種防火墻主要取決于

網絡向用戶提供什么樣的服務及網絡所接受的風險

等級。還要取決于經費和技術人員的技術及時間等

因素。

7.4防火墻的類型

■大多數(shù)防火墻都可以實現(xiàn)上述所討論的功能,

在實際使用中的防火墻以其實現(xiàn)形式可以分

為以下四種類型：

1嵌入式防火墻

1軟件防火墻

1硬件防火墻

1應用程序防火墻

7.4.1嵌入式防火墻

■當防火墻功能被集成到路由器或者交換機上

時，這種防火墻稱為嵌入式(embedded)防

火墻。

■其通常只對分組信息進行IP級的檢查，可獲

得較高的性能，易于實現(xiàn)并有較好的性價比。

7.4.2軟件防火墻

■軟件防火墻又分有兩種類型：

1.一是企業(yè)級軟件防火墻，其用于大型網絡上

并執(zhí)行路由選擇功能。

2.另一^種是SOHO(SmallOfficeHomeOffice)

級。軟件防火墻通常會提供全面的防火墻功

能.

■基于服務器的防火墻實際上是在操作系統(tǒng)之

上運行的應用程序。其系統(tǒng)平臺有Unix、

Linux以及WindowsNT、2000、XP和.NET等。

7.4.3硬件防火墻

■因為硬件路由器也要使用軟件，所以將硬件防火墻又

稱為設備防火墻。其設計成一種總體系統(tǒng)，不需要復

雜的安裝或配置就可以提供防火墻功能。硬件防火墻

與軟件防火墻相似，可以針對企業(yè)應用市場來設計，

也可以針對SOHO環(huán)境。

■基于設備的防火墻也為集成解決方案，是指運行在專

用的硬件和軟件上的防火墻產品。如CiscoPIX防火

墻就屬于這種集成設備，其整個系統(tǒng)不能實現(xiàn)除防火

墻之外的其他任何功能，并且也沒有硬盤或服務器的

其他常規(guī)組件。由于它的集成性和專用性，其速度、

穩(wěn)定性和安全性方面都比基于服務器的防火墻更好。

但基于服務器的防火墻會提供一些額外的配置和支持

選項，并且價格比集成解決方案要便宜。

7.4.4應用程序防火墻

■應用程序防火墻經常是作為現(xiàn)有硬件或軟件防

火墻的組件實現(xiàn)的。它們的主要目的是提供一

種復雜的內容過濾層次，用來對應用層傳輸?shù)?/p>

數(shù)據(jù)進行過濾。

■隨著防火墻功能的提高，對于數(shù)據(jù)的過濾已經

越來越多地集中到了應用層，應用程序防火墻

的針對性也越來越強。

?用專用芯片處理數(shù)據(jù)包，CPU?機箱+CPU+防火墻軟件集成于一體?運行在通用操作系統(tǒng)上的能安

只作管理之用。(PCBOX結構)，市面上大部分聲稱全控制存取訪問的軟件，性能依

“硬件”防火墻的產品都采用這種結靠于計算機CPU,內存等。

?使用專用的操作系統(tǒng)平臺，構。?基于通用操作系統(tǒng)(

避免了通用性操作系統(tǒng)的安全?采用專用或通用操作系統(tǒng)。WinNT,SUNSolaris,SCOUNIX等

性漏洞。),對底層操作系統(tǒng)的安全依賴

性很高。

?高帶寬，高吞吐量，真正線

速防火墻。即實際帶寬與理論?核心技術仍然為軟件，容易造成網絡?由于操作系統(tǒng)平臺的限制，極易

值可以達到一致帶寬瓶頸。造成網絡帶寬瓶頸。因此，實際

?安全與速度同時兼顧。沒有所能達到的帶寬通常只有理論值

用戶限制。?只能滿足中低帶寬要求，吞吐量不高的20%—70沆可以滿足低帶寬低

o通常帶寬只能達到理論值的20%-流量環(huán)境下的安全需要，高速環(huán)

70%。中低流量時可滿足一定的安全要境下容易造成系統(tǒng)崩潰。

求，在高流量環(huán)境下會造成堵塞甚至

系統(tǒng)崩潰。

?性價比高。?有用戶限制，一般需要按用戶

?管理簡單，快捷。?性價比不高。數(shù)購買，性價比極低。

?管理比較方便。?管理復雜，與系統(tǒng)有關，要求

維護人員必須熟悉各種工作站及

?識別方法.操作系統(tǒng)的安裝及維護。

產品｝卜觀為硬件機箱形，此類

.識別方法：?識別方法：

產品.卜觀為硬件機箱形,此類防火墻一此類前火墻」般都有嚴格的系統(tǒng)

防火墻一般不會對外公布其

CPU或RAM等硬件水平,核心為般會對外強調其CPU與RAM等硬件水平硬件與操作系統(tǒng)要求.產品為軟件

硬件芯片。

?典型產品：?典型產品：?典型產品：

NetScreen系列防火墻CiscoPIX防火墻CheckPoint

7.4.5選擇防火墻需要綜合考慮的問題

1.防火墻