防火墻技術(shù)4.ppt

1、第七章 防火墻技術(shù),一、什么是防火墻,防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。,在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。,二、防火墻的功能,1、防火墻是網(wǎng)絡(luò)安全的屏障一個防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低

2、風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。,防火墻同時可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。,2、防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略,通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問時，一次一密口令系統(tǒng)和其它的

3、身份認(rèn)證系統(tǒng)完全可以不必分散在各個主機(jī)上，而集中在防火墻一身上。,3、對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計,如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時，防火墻能進(jìn)行適當(dāng)?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。另外，收集一個網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。,4、防止內(nèi)部信息的外泄,通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感

4、網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。,使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger，DNS等服務(wù)。Finger顯示了主機(jī)的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網(wǎng)，這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，這樣一臺主機(jī)的域名和IP地址就不會被外界所了解。,除了安全

5、作用，防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。通過VPN，將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機(jī)地聯(lián)成一個整體。不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。,三、防火墻的種類,防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同而分為很多種類型。但總體來講可分為二大類：分組過濾、應(yīng)用代理。,分組過濾（Packet filtering）：作用在網(wǎng)絡(luò)層和傳輸層，它根據(jù)分組包頭源地址，目的地址和端口號、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。,應(yīng)用代理（Applicat

6、ion Proxy）：也叫應(yīng)用網(wǎng)關(guān)（Application Gateway）,它作用在應(yīng)用層，其特點(diǎn)是完全阻隔了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實(shí)現(xiàn)。,四、分組過濾型防火墻,分組過濾或包過濾，是一種通用、廉價、有效的安全手段。之所以通用，因?yàn)樗会槍Ω鱾€具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式；之所以廉價，因?yàn)榇蠖鄶?shù)路由器都提供分組過濾功能；之所以有效，因?yàn)樗芎艽蟪潭鹊貪M足企業(yè)的安全要求。,包過濾在網(wǎng)絡(luò)層和傳輸層起作用。它根據(jù)分組包的源、宿地址，端口號及協(xié)議類型、標(biāo)志確定是否允許分組包通過。所根據(jù)的信息來源于IP、T

7、CP或UDP包頭。 包過濾的優(yōu)點(diǎn)是不用改動客戶機(jī)和主機(jī)上的應(yīng)用程序，因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無關(guān)。,包過濾的弱點(diǎn)也是明顯的： 據(jù)以過濾判別的只有網(wǎng)絡(luò)層和傳輸層的有限信息，因而各種安全要求不可能充分滿足。 在許多過濾器中，過濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會受到很大地影響。 由于缺少上下文關(guān)聯(lián)信息，不能有效地過濾如UDP、RPC一類的協(xié)議。,另外，大多數(shù)過濾器中缺少審計和報警機(jī)制，且管理方式和用戶界面較差。 對安全管理人員素質(zhì)要求高，建立安全規(guī)則時，必須對協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。 因此，過濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用，共同組成防火墻系統(tǒng)。,

8、五、應(yīng)用代理型防火墻,應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作 用。同時也常結(jié)合入過濾器的功能。它工作在OSI模型的最高層，掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。,六、復(fù)合型防火墻,由于對更高安全性的要求，常把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來，形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。,屏蔽主機(jī)防火墻體系結(jié)構(gòu)：在該結(jié)構(gòu)中，分組過濾路由器或防火墻與Internet相連，同時一個堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過在分組過濾路由器或防火墻上過濾規(guī)則的設(shè)置，使堡壘機(jī)成為Internet上其它節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn)，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊

9、。,屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機(jī)放在一個子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個分組過濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘主機(jī)和分組過濾路由器共同構(gòu)成了整個防火墻的安全基礎(chǔ)。,對于防火墻的分類，還有另外一些說法，但都大同小異。,七、防火墻操作系統(tǒng),防火墻應(yīng)該建立在安全的操作系統(tǒng)之上，而安全的操作系統(tǒng)來自于對專用操作系統(tǒng)的安全加固和改造，從現(xiàn)有的諸多產(chǎn)品看，對安全操作系統(tǒng)內(nèi)核的固化與改造主要從以下幾方面進(jìn)行：取消危險的系統(tǒng)調(diào)用；限制命令的執(zhí)行權(quán)限；取消IP的轉(zhuǎn)發(fā)功能；檢查每個分組的接口；采用隨機(jī)連接序號；駐留分組過濾模塊；取消動態(tài)路由功能

10、；采用多個安全內(nèi)核等等。,八、NAT技術(shù),NAT技術(shù)能透明地對所有內(nèi)部地址作轉(zhuǎn)換，使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時使用NAT的網(wǎng)絡(luò)，與外部網(wǎng)絡(luò)的連接只能由內(nèi)部網(wǎng)絡(luò)發(fā)起，極大地提高了內(nèi)部網(wǎng)絡(luò)的安全性。 NAT的另一個顯而易見的用途是解決IP地址匱乏問題。,九、防火墻的抗攻擊能力,作為一種安全防護(hù)設(shè)備，防火墻在網(wǎng)絡(luò)中自然是眾多攻擊者的目標(biāo)，故抗攻擊能力也是防火墻的必備功能。,十、防火墻的局限性,存在著一些防火墻不能防范的安全威脅，如防火墻不能防范不經(jīng)過防火墻的攻擊。例如，如果允許從受保護(hù)的網(wǎng)絡(luò)內(nèi)部向外撥號，一些用戶就可能形成與Internet的直接連接。另外，防火墻很難防范來自于網(wǎng)絡(luò)內(nèi)部

11、的攻擊以及病毒的威脅。,十一、防火墻的體系結(jié)構(gòu)及組合形式,1、屏蔽路由器（Screening Router） 這是防火墻最基本的構(gòu)件。它可以由廠家專門生產(chǎn)的路由器實(shí)現(xiàn)，也可以用主機(jī)來實(shí)現(xiàn)。屏蔽路由器作為內(nèi)外連接的唯一通道，要求所有的報文都必須在此通過檢查。路由器上可以裝基于IP層的報文過濾軟件，實(shí)現(xiàn)報文過濾功能。許多路由器本身帶有報文過濾配置選項(xiàng)，但一般比較簡單。,單純由屏蔽路由器構(gòu)成的防火墻的危險帶包括路由器本身及路由器允許訪問的主機(jī)。它的缺點(diǎn)是一旦被攻陷后很難發(fā)現(xiàn)，而且不能識別不同的用戶。,2、雙穴主機(jī)網(wǎng)關(guān)（Dual Homed Gateway）,這種配置是用一臺裝有兩塊網(wǎng)卡的堡壘主機(jī)做防

12、火墻。兩塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連。堡壘主機(jī)上運(yùn)行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。 雙穴主機(jī)網(wǎng)關(guān)優(yōu)于屏蔽路由器的地方是：堡壘主機(jī)的系統(tǒng)軟件可用于維護(hù)系統(tǒng)日志、硬件拷貝日志或遠(yuǎn)程日志。這對于日后的檢查很有用。但這不能幫助網(wǎng)絡(luò)管理者確認(rèn)內(nèi)網(wǎng)中哪些主機(jī)可能已被黑客入侵。,雙穴主機(jī)網(wǎng)關(guān)的一個致命弱點(diǎn)是：一旦入侵者侵入堡壘主機(jī)并使其只具有路由功能，則任何網(wǎng)上用戶均可以隨便訪問內(nèi)網(wǎng)。,3、被屏蔽主機(jī)網(wǎng)關(guān)（Screened Host Gateway）,屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)也很安全，因此應(yīng)用廣泛。例如，一個分組過濾路由器連接外部網(wǎng)絡(luò)，同時一個堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)立過濾規(guī)

13、則，并使這個堡壘主機(jī)成為從外部網(wǎng)絡(luò)唯一可直接到達(dá)的主機(jī)，這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。,如果受保護(hù)網(wǎng)是一個虛擬擴(kuò)展的本地網(wǎng)，即沒有子網(wǎng)和路由器，那么內(nèi)網(wǎng)的變化不影響堡壘主機(jī)和屏蔽路由器的配置。危險帶限制在堡壘主機(jī)和屏蔽路由器。網(wǎng)關(guān)的基本控制策略由安裝在上面的軟件決定。如果攻擊者設(shè)法登錄到它上面，內(nèi)網(wǎng)中的其余主機(jī)就會受到很大威脅。這與雙穴主機(jī)網(wǎng)關(guān)受攻擊時的情形差不多。,4、被屏蔽子網(wǎng) （Screened Subnet）,這種方法是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)，用兩臺分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。在很多實(shí)現(xiàn)中，兩個分組過濾路由器放在子網(wǎng)的兩端

14、，在子網(wǎng)內(nèi)構(gòu)成一個“非軍事區(qū)”DMZ。有的屏蔽子網(wǎng)中還設(shè)有一堡壘主機(jī)作為唯一可訪問點(diǎn)，支持終端交互或作為應(yīng)用網(wǎng)關(guān)代理。這種配置的危險帶僅包括堡壘主機(jī)、子網(wǎng)主機(jī)及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。,如果攻擊者試圖完全破壞防火墻，他必須重新配置連接三個網(wǎng)的路由器，既不切斷連接又不要把自己鎖在外面，同時又不使自己被發(fā)現(xiàn)，這樣也還是可能的。但若禁止網(wǎng)絡(luò)訪問路由器或只允許內(nèi)網(wǎng)中的某些主機(jī)訪問它，則攻擊會變得很困難。在這種情況下，攻擊者得先侵入堡壘主機(jī)，然后進(jìn)入內(nèi)網(wǎng)主機(jī)，再返回來破壞屏蔽路由器，整個過程中不能引發(fā)警報。,建造防火墻時，一般很少采用單一的技術(shù)，通常是多種解決不同問題的技術(shù)的組合。這種組合

15、主要取決于網(wǎng)管中心向用戶提供什么樣的服務(wù)，以及網(wǎng)管中心能接受什么等級風(fēng)險。采用哪種技術(shù)主要取決于經(jīng)費(fèi)，投資的大小或技術(shù)人員的技術(shù)、時間等因素。,一般有以下幾種形式： 使用多堡壘主機(jī)； 合并內(nèi)部路由器與外部路由器； 合并堡壘主機(jī)與外部路由器； 合并堡壘主機(jī)與內(nèi)部路由器； 使用多臺內(nèi)部路由器； 使用多臺外部路由器； 使用多個周邊網(wǎng)絡(luò)； 使用雙重宿主主機(jī)與屏蔽子網(wǎng)。,十二、防火墻的功能指標(biāo),1、產(chǎn)品類型 從防火墻產(chǎn)品和技術(shù)發(fā)展來看，分為三種類型：基于路由器的包過濾防火墻、基于通用操作系統(tǒng)的防火墻、基于專用安全操作系統(tǒng)的防火墻。,2、LAN接口,列出支持的LAN接口類型：防火墻所能保護(hù)的網(wǎng)絡(luò)類型，如以

16、太網(wǎng)、快速以太網(wǎng)、千兆以太網(wǎng)、ATM、令牌環(huán)及FDDI等。 支持的最大LAN接口數(shù)：指防火墻所支持的局域網(wǎng)絡(luò)接口數(shù)目，也是其能夠保護(hù)的不同內(nèi)網(wǎng)數(shù)目。 服務(wù)器平臺：防火墻所運(yùn)行的操作系統(tǒng)平臺（如Linux、UNIX、Win NT、專用安全操作系統(tǒng)等）。,3、協(xié)議支持,支持的非IP協(xié)議：除支持IP協(xié)議之外，又支持AppleTalk、DECnet、IPX及NETBEUI等協(xié)議。 建立VPN通道的協(xié)議： 構(gòu)建VPN通道所使用的協(xié)議，如密鑰分配等，主要分為IPSec，PPTP、專用協(xié)議等。 可以在VPN中使用的協(xié)議：在VPN中使用的協(xié)議，一般是指TCP/IP協(xié)議。,4、防御功能,支持病毒掃描： 是否支持

17、防病毒功能，如掃描電子郵件附件中的DOC和ZIP文件，F(xiàn)TP中的下載或上載文件內(nèi)容，以發(fā)現(xiàn)其中包含的危險信息。 提供內(nèi)容過濾： 是否支持內(nèi)容過濾，信息內(nèi)容過濾指防火墻在HTTP、FTP、SMTP等協(xié)議層，根據(jù)過濾條件，對信息流進(jìn)行控制，防火墻控制的結(jié)果是：允許通過、修改后允許通過、禁止通過、記錄日志、報警等。 過濾內(nèi)容主要指URL、HTTP攜帶的信息：Java Applet、 JavaScript、ActiveX和電子郵件中的Subject、To、From域等。,能防御的DoS攻擊類型：拒絕服務(wù)攻擊(DoS)就是攻擊者過多地占用共享資源，導(dǎo)致服務(wù)器超載或系統(tǒng)資源耗盡，而使其他用戶無法享有服務(wù)或

18、沒有資源可用。防火墻通過控制、檢測與報警等機(jī)制，可在一定程度上防止或減輕DoS黑客攻擊。,阻止ActiveX、Java、Cookies、Javascript侵入：屬于HTTP內(nèi)容過濾，防火墻應(yīng)該能夠從HTTP頁面剝離Java Applet、ActiveX等小程序及從Script、PHP和ASP等代碼檢測出危險代碼或病毒，并向?yàn)g覽器用戶報警。同時，能夠過濾用戶上載的CGI、ASP等程序，當(dāng)發(fā)現(xiàn)危險代碼時，向服務(wù)器報警。,5、安全特性,支持轉(zhuǎn)發(fā)和跟蹤ICMP協(xié)議（ICMP 代理）：是否支持ICMP代理，ICMP為網(wǎng)間控制報文協(xié)議。 提供入侵實(shí)時警告：提供實(shí)時入侵告警功能，當(dāng)發(fā)生危險事件時，是否能夠

19、及時報警，報警的方式可能通過郵件、手機(jī)等。,提供實(shí)時入侵防范：提供實(shí)時入侵響應(yīng)功能，當(dāng)發(fā)生入侵事件時，防火墻能夠動態(tài)響應(yīng)，調(diào)整安全策略，阻擋惡意報文。 識別/記錄/防止企圖進(jìn)行IP地址欺騙：IP地址欺騙指使用偽裝的IP地址作為IP包的源地址對受保護(hù)網(wǎng)絡(luò)進(jìn)行攻擊，防火墻應(yīng)該能夠禁止來自外部網(wǎng)絡(luò)而源地址是內(nèi)部IP地址的數(shù)據(jù)包通過。,6、管理功能,通過集成策略集中管理多個防火墻：是否支持集中管理，防火墻管理是指對防火墻具有管理權(quán)限的管理員行為和防火墻運(yùn)行狀態(tài)的管理，管理員的行為主要包括：通過防火墻的身份鑒別，編寫防火墻的安全規(guī)則，配置防火墻的安全參數(shù)，查看防火墻的日志等。防火墻的管理一般分為本地管理

20、、遠(yuǎn)程管理和集中管理等。,提供基于時間的訪問控制：是否提供基于時間的訪問控制。 支持SNMP監(jiān)視和配置：SNMP是簡單網(wǎng)絡(luò)管理協(xié)議的縮寫。 本地管理：是指管理員通過防火墻的Console口或防火墻提供的鍵盤和顯示器對防火墻進(jìn)行配置管理。 遠(yuǎn)程管理：是指管理員通過以太網(wǎng)或防火墻提供的廣域網(wǎng)接口對防火墻進(jìn)行管理，管理的通信協(xié)議可以基于FTP、TELNET、HTTP等。,支持帶寬管理：防火墻能夠根據(jù)當(dāng)前的流量動態(tài)調(diào)整某些客戶端占用的帶寬。 負(fù)載均衡特性：負(fù)載均衡可以看成動態(tài)的端口映射，它將一個外部地址的某一TCP或UDP端口映射到一組內(nèi)部地址的某一端口，負(fù)載均衡主要用于將某項(xiàng)服務(wù)（如HTTP）分?jǐn)偟?/p>

21、一組內(nèi)部服務(wù)器上以平衡負(fù)載。 失敗恢復(fù)特性（failover)：指支持容錯技術(shù)，如雙機(jī)熱備份、故障恢復(fù)，雙電源備份等。,7、記錄和報表功能,防火墻處理完整日志的方法：防火墻規(guī)定了對于符合條件的報文做日志，應(yīng)該提供日志信息管理和存儲方法。 提供自動日志掃描：指防火墻是否具有日志的自動分析和掃描功能，這可以獲得更詳細(xì)的統(tǒng)計結(jié)果，達(dá)到事后分析、亡羊補(bǔ)牢的目的。 提供自動報表、日志報告書寫器：防火墻實(shí)現(xiàn)的一種輸出方式，提供自動報表和日志報告功能。,警告通知機(jī)制：防火墻應(yīng)提供告警機(jī)制，在檢測到入侵網(wǎng)絡(luò)以及設(shè)備運(yùn)轉(zhuǎn)異常情況時，通過告警來通知管理員采取必要的措施，包括Email、手機(jī)等。 提供簡要報表（按照用戶ID或IP 地址）：防火墻實(shí)現(xiàn)的一種輸出方式，按要求提供報表分類打印。,提供實(shí)時統(tǒng)計：防火墻實(shí)現(xiàn)的一種輸出方式，日志分析后所獲得的智能統(tǒng)計結(jié)果，一般是圖表顯示。 列出獲得的國內(nèi)有關(guān)部門許可證類別及號碼：這是防火墻合格與銷售的關(guān)鍵要素之一，其中包括：公安部的銷售許可證、國家信息安全測評中心的認(rèn)證證書、總參的國防通信入網(wǎng)證和國家保密局的推薦證明等。,十三、 Cisco安全PIX 防火墻系列,Cisco安全PIX 防火墻系列產(chǎn)品以前被稱為PIX防火墻，該產(chǎn)品集成有硬件和軟件，易于安裝，具有卓越