第一篇：internet防火墻技術淺論文

INTERNET防火墻技術淺談

專業(yè)

計算機科學技術

日期

2007年7月

樓可挺著

2007年

陜西師范大學

目錄 引言…………………………………………………………………..1 2 internet防火墻技術簡介…………………………………………….2

2-1 什么是防火墻…………………………………………………...2

2-2 防火墻能做什么………….……………………………………..2

2-2-1 防火墻是網(wǎng)絡安全的屏障…………………………………...22-2-2防火墻可以強化網(wǎng)絡安全策略………………………………2

2-2-3對網(wǎng)絡存取和訪問進行監(jiān)控審計……………………………2

2.2.4防止內部信息的外泄………………………………………….2

2-3 防火墻的種類…………………………………………………..2

2-3-1 分組過濾……………………………………………………...2

2-3-2 應用代理……………………………………………………...2

2-4 分組過濾類防火墻……………………………………………..2

2-5 應用代理型防火墻……………………………………………..2

2-6 復合型防火墻…………………………………………………...2

2-7 防火墻操作系統(tǒng)………………………………………………...2

2-8 NAT技術………………………………………………………....2

2-9 防火墻的抗攻擊能力…………………………………………...2

2-10 防火墻的局限性……………………………………………….2 3 防火墻的配置………………………………………………………..3

3-1雙宿主機網(wǎng)關（Dual Homed Gateway）…………………………3

3-2屏蔽主機網(wǎng)關（Screened Host Gateway）……………………..3

3-3屏蔽子網(wǎng)（Screened Subnet）…………………………………..3 4 分布式防火墻技術…………………………………………………..4

4-1 分布式防火墻的產(chǎn)生…….……………………………………..4

4-2 分布式防火墻的主要特點….…………………………………..4

4-2-1主機駐留……………………………………………………….4

4-2-2嵌入操作系統(tǒng)內核…………………………………………….4

4-2-3類似于個人防火墻…………………………………………….4

4-2-4適用于服務器托管…………………..………………………….4 4-3 分布式防火墻的主要優(yōu)勢…………………..…….……………..4

4-3-1增強的系統(tǒng)安全性……………………………………………...4

4-3-2提高了系統(tǒng)性能………………………………………………...4

4-3-3系統(tǒng)的無限擴展性……………………………………………...4

4-3-4實施主機策略………………….……………..…………………4

4-3-5應用更為廣泛，支持VPN通信…………………………………4

4-4分布式防火墻的主要功能………………………………………..4

4-4-1 Internet訪問控制……………………………………………..4

4-4-2應用訪問控制…………………………………………………...4

4-4-3網(wǎng)絡狀態(tài)監(jiān)控…………………………………………………...4

4-4-4黑客攻擊的防御..……………………………………………….4

4-4-5日志管理………………………………………………………...4

4-4-6系統(tǒng)工具………………………………………………………...4 5 防火墻未來的技術發(fā)展趨勢………………………………………..13

5.1防火墻包過濾技術發(fā)展趨勢…………………………………….13

5.1.1用戶身份驗證…………………………………………………..13

5.1.2多級過濾技術…………………………………………………..13

5.1.3使防火墻具有病毒防護功能…………………………………..13

5.2防火墻的體系結構發(fā)展趨勢…………………………………….13

5.3防火墻的系統(tǒng)管理發(fā)展趨勢…………………………………….13

5.3.1集中式管理

5.3.2強大的審計功能和自動日志分析功能

5.3.網(wǎng)絡安全產(chǎn)品的系統(tǒng)化 6 結束語

論文摘要

隨著Internet的迅猛發(fā)展，安全性已經(jīng)成為網(wǎng)絡互聯(lián)技術中最關鍵的問題。本文全面介紹了Internet防火墻技術；介紹了目前比較流行的三種防火墻的配置及防火墻自身存在的局限性；詳細剖析了新一代防火墻技術（分布式防火墻技術）的功能特色、關鍵技術、主要優(yōu)勢及功能；同時簡要描述了Internet防火墻技術的發(fā)展趨勢。

關鍵詞：Internet 網(wǎng)路安全 防火墻 分布式 訪問控制

第二篇：防火墻技術論文

【摘要】

21世紀全世界的計算機都將通過Internet聯(lián)到一起，Internet的迅速發(fā)展給現(xiàn)代人的生產(chǎn)和生活都帶來了前所未有的飛躍，大大提高了工作效率，豐富了人們的生活，彌補了人們的精神空缺。網(wǎng)絡技術在近幾年的時間有了非常大的發(fā)展，經(jīng)歷了從無到有，從有到快；網(wǎng)上信息資源也是從醫(yī)乏到豐富多彩，應有盡有。但隨著網(wǎng)絡速度越來越快，資源越來越豐富，與此同時也給人們帶來了一個日益嚴峻的問題———網(wǎng)絡安全。

網(wǎng)絡的安全性成為當今最熱門的話題之一，而且網(wǎng)絡安全防范對我們校園網(wǎng)的正常運行來講也顯得十分重要?，F(xiàn)在各種網(wǎng)絡安全技術如防火墻技術、IDS、加密技術和防黑防病毒技術等也不斷的出現(xiàn)，內容十分廣泛。而其中防火墻技術在網(wǎng)絡安全技術當中又是最簡單，也是最有效的解決方案。很多企業(yè)為了保障自身服務器或數(shù)據(jù)安全都采用了防火墻。隨著科技的發(fā)展，防火墻也逐漸被大眾所接受。但是，由于防火墻是屬于高科技產(chǎn)物，許多的人對此還并不是了解的十分透徹。

本文在簡要論述防火墻的基本分類、工作方式等的基礎上，對防火墻的優(yōu)缺點以及局限性進行了說明，也簡述了防火墻技術在校園網(wǎng)中的應用，并對其的發(fā)展趨勢作簡單展望。

【關鍵詞】

網(wǎng)絡安全 防火墻 發(fā)展

防火墻

1.1 防火墻的概念

所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構造的保護屏障。是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網(wǎng)關（Security Gateway），從而保護內部網(wǎng)免受非法用戶的侵入，防火墻主要由服務訪問規(guī)則、驗證工具、包過濾和應用網(wǎng)關4個部分組成。

防火墻就是一個位于計算機和它所連接的網(wǎng)絡之間的軟件或硬件(其中硬件防火墻用的較少，例如國防部以及大型機房等地才用,因為它價格昂貴)。該計算機流入流出的所有網(wǎng)絡通信均要經(jīng)過此防火墻。

防火墻，英語為firewall，《英漢證券投資詞典》的解釋為：金融機構內部將銀行業(yè)務與證券業(yè)務嚴格區(qū)分開來的法律屏障，旨在防止可能出現(xiàn)的內幕消息共享等不公平交易出現(xiàn)。使用防火墻比喻不要引火燒身。

當然，既然打算由淺入深的來了解，就要先看看防火墻的概念了。防火墻是汽車中一個部件的名稱。在汽車中，利用防火墻把乘客和引擎隔開，以便汽車引擎一旦著火，防火墻不但能保護乘客安全，而同時還能讓司機繼續(xù)控制引擎。在電腦術語中，當然就不是這個意思了，我們可以類比來理解，在網(wǎng)絡中，所謂“防火墻”，顧名思義，是一種隔離設備。防火墻是一種高級訪問控制設備，臵于不同網(wǎng)絡安全域之間的一系列部件的組合，它是不同網(wǎng)絡安全域之間通信流的唯一

通道，能根據(jù)用戶有關的安全策略控制進出網(wǎng)絡的訪問行為。從專業(yè)角度講，防火墻是位于兩個或多個網(wǎng)絡間，實施網(wǎng)絡訪問控制的組件集合。從用戶角度講，防火墻就是被放臵在用戶計算機與外網(wǎng)之間的防御體系，網(wǎng)絡發(fā)往用戶計算機的所有數(shù)據(jù)都要經(jīng)過其判斷處理，才決定能否將數(shù)據(jù)交給計算機，一旦發(fā)現(xiàn)數(shù)據(jù)異?；蛴泻?，防火墻就會將數(shù)據(jù)攔截，從而實現(xiàn)對計算機的保護。防火墻是網(wǎng)絡安全策略的組成部分，它只是一個保護裝臵，通過監(jiān)測和控制網(wǎng)絡間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡安全的有效管理，其主要目的就是保護內部網(wǎng)絡的安全。

1.2 防火墻的功能

（1）訪問控制：

■ 限制未經(jīng)授權的用戶訪問本企業(yè)的網(wǎng)絡和信息資源的措施，訪問者必需要能適用現(xiàn)行所有的服務和應用。網(wǎng)絡衛(wèi)士防火墻支持多種應用、服務和協(xié)議，支持所有的internet服務，包括安全的web瀏覽器、電子郵件、ftp、telnet及rpc和udp等，還支持如oracle、sybase、sql服務器數(shù)據(jù)庫訪問和real audio，vodlive、netmeeting和internet phone等這樣的多媒體應用及internet廣播服務。

■ 提供基于狀態(tài)檢測技術的ip地址、端口、用戶和時間的管理控制； ■ 訪問控制對象的多種定義方式支持多種方式定義訪問控制對象: ip/mask(如202.100.100.0/24)，ip區(qū)間(如202.100.100.1-202.100.100.254)，ip/mask與通配符，ip區(qū)間與通配符等，使配臵防火墻的安全策略極為方便。

■ 高效的url和文件級細粒度應用層管理控制；應用層安全控制策略主要針對常用的網(wǎng)絡應用協(xié)議http和ftp，控制策略可以實現(xiàn)定義訪問源對象到目標對象間的常用協(xié)議命令通過防火墻的權限，源對象可以是網(wǎng)段、主機。http和ftp的協(xié)議端口用戶可根據(jù)實際情況在策略中定義，協(xié)議命令為http和ftp的主要常用命令。通過應用層策略實現(xiàn)了url和文件級的訪問控制。

■ 雙向nat，提供ip地址轉換和ip及tcp/udp端口映射，實現(xiàn)ip復用和隱藏網(wǎng)絡結構：nat在ip層上通過地址轉換提供ip復用功能，解決ip地址不足的問題，同時隱藏了內部網(wǎng)的結構，強化了內部網(wǎng)的安全。網(wǎng)絡衛(wèi)士防火墻提供了nat功能，并可根據(jù)用戶需要靈活配臵。當內部網(wǎng)用戶需要對外訪問時，防火墻系統(tǒng)將訪問主體轉化為自己，并將結果透明地返回用戶，相當于一個ip層代理。防火墻的地址轉換是基于安全控制策略的轉換，可以針對具體的通信事件進行地址轉換。internet用戶訪問對內部網(wǎng)絡中具有保留ip主機的訪問，可以利用反向nat實現(xiàn)，即為內部網(wǎng)絡主機在防火墻上映射一注冊ip地址，這樣internet 用戶就可以通過防火墻系統(tǒng)訪問主機了。映射類型可以為ip級和端口級。端口映射

■阻止activex、java、javascript等侵入：屬于http內容過濾，防火墻能夠從http頁面剝離activex、javaapplet等小程序及從script、php和asp等代碼檢測出危險的代碼，同時，能夠過濾用戶上載的cgi、asp等程序。

■ 提供實時監(jiān)控、審計和告警功能：網(wǎng)絡衛(wèi)士防火墻提供對網(wǎng)絡的實時監(jiān)控，當發(fā)現(xiàn)攻擊和危險行為時，防火墻提供告警等功能。

■ 可擴展支持第三方ids入侵檢測系統(tǒng)，實現(xiàn)協(xié)同工作：網(wǎng)絡衛(wèi)士防火墻支持topsec協(xié)議，可與第三方ids產(chǎn)品實現(xiàn)無縫集成，協(xié)同工作。

（3）用戶認證

因為企業(yè)網(wǎng)絡為本地用戶、移動用戶和各種遠程用戶提供信息資源，所以為了保護網(wǎng)絡和信息安全，必須對訪問連接用戶采用有效的權限控制和身份識別，以確保系統(tǒng)安全。

■ 提供高安全強度的一次性口令(otp)用戶認證：一次性口令認證機制是高強度的認證機制，能極大地提高了訪問控制的安全性，有效阻止非授權用戶進入網(wǎng)絡，保證網(wǎng)絡系統(tǒng)的合法使用。一次性口令用戶認證的基本過程是：首先用戶向防火墻發(fā)送身份認證請求，并指明自己的用戶名，防火墻收到請求后，向用戶提出挑戰(zhàn)及同步信息，用戶收到此信息后，結合自己的口令，產(chǎn)生一次性口令并發(fā)送給防火墻，防火墻判斷用戶答復是否正確以鑒別用戶的合法性，為防止口令猜測，如果用戶連續(xù)三次認證失敗則在一定時間內禁止該用戶認證。由于采用一次性的口令認證機制，即使竊聽者在網(wǎng)絡上截取到口令，由于該口令的有效期僅為一次，故也無法再利用這個口令進行認證鑒別。在實際應用中，用戶采用一次性口令登錄程序登陸時，防火墻向用戶提供一個種子及同步次數(shù)，登錄程序根據(jù)用戶輸入的口令、種子、同步次數(shù)計算出一次性口令并傳給防火墻.用戶可以在不同的服務器上使用不同的種子而口令相同，每次在網(wǎng)絡上傳輸?shù)目诹钜膊煌?，用戶可以定期改變種子來達到更高的安全目標.■ 可擴展支持第三方認證和支持智能ic卡、ikey等硬件方式認證：網(wǎng)絡衛(wèi)士防火墻有很好的擴展性，可擴展支持radius等認證，提供撥號用戶等安全訪問。也可通過擴展支持支持職能ic卡、ikey等硬件方式認證。

（4）安全管理

■ 提供基于otp機制的管理員認證。

■ 提供分權管理安全機制；提供管理員和審計員分權管理的安全機制，保證安全產(chǎn)品的安全管理。

過濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會受到很大地影響；由于缺少上下文關聯(lián)信息，不能有效地過濾如UDP、RPC（遠程過程調用）一類的協(xié)議；另外，大多數(shù)過濾器中缺少審計和報警機制，它只能依據(jù)包頭信息，而不能對用戶身份進行驗證，很容易受到“地址欺騙型”攻擊。對安全管理人員素質要求高，建立安全規(guī)則時，必須對協(xié)議本身及其在不同應用程序中的作用有較深入的理解。因此，過濾器通常是和應用網(wǎng)關配合使用，共同組成防火墻系統(tǒng)。

■ 應用代理（Application Proxy）型

應用代理型防火墻是工作在OSI的最高層，即應用層。其特點是完全“阻隔”了網(wǎng)絡通信流，通過對每種應用服務編制專門的代理程序，實現(xiàn)監(jiān)視和控制應用層通信流的作用。其典型網(wǎng)絡結構如圖所示。

在代理型防火墻技術的發(fā)展過程中，它也經(jīng)歷了兩個不同的版本：第一代應用網(wǎng)關型代理防火和第二代自適應代理防火墻。

代理類型防火墻的最突出的優(yōu)點就是安全。由于它工作于最高層，所以它可以對網(wǎng)絡中任何一層數(shù)據(jù)通信進行篩選保護，而不是像包過濾那樣，只是對網(wǎng)絡層的數(shù)據(jù)進行過濾。

另外代理型防火墻采取是一種代理機制，它可以為每一種應用服務建立一個專門的代理，所以內外部網(wǎng)絡之間的通信不是直接的，而都需先經(jīng)過代理服務器審核，通過后再由代理服務器代為連接，根本沒有給內、外部網(wǎng)絡計算機任何直接會話的機會，從而避免了入侵者使用數(shù)據(jù)驅動類型的攻擊方式入侵內部網(wǎng)。

代理防火墻的最大缺點是速度相對比較慢，當用戶對內外部網(wǎng)絡網(wǎng)關的吞吐量要求比較高時，代理防火墻就會成為內外部網(wǎng)絡之間的瓶頸。那因為防火墻需要為不同的網(wǎng)絡服務建立專門的代理服務，在自己的代理程序為內、外部網(wǎng)絡用戶建立連接時需要時間，所以給系統(tǒng)性能帶來了一些負面影響，但通常不會很明顯。

（3）從防火墻結構上分類

從防火墻結構上分，防火墻主要有：單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。

單一主機防火墻是最為傳統(tǒng)的防火墻，獨立于其它網(wǎng)絡設備，它位于網(wǎng)絡邊界。

0

信進行過濾。它屬于最新的防火墻技術之一，性能最好，價格也最貴。

（5）按防火墻性能分類

按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。

因為防火墻通常位于網(wǎng)絡邊界，所以不可能只是十兆級的。這主要是指防火的通道帶寬（Bandwidth），或者說是吞吐率。當然通道帶寬越寬，性能越高，這樣的防火墻因包過濾或應用代理所產(chǎn)生的延時也越小，對整個網(wǎng)絡通信性能的影響也就越小。

雖然防火墻是目前保護網(wǎng)絡免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅動型的攻擊。

1.4 各類防火墻的優(yōu)缺點

（1）包過濾防火墻

使用包過濾防火墻的優(yōu)點包括：

■ 防火墻對每條傳入和傳出網(wǎng)絡的包實行低水平控制。

■ 每個IP包的字段都被檢查，例如源地址、目的地址、協(xié)議、端口等。防火墻將基于這些信息應用過濾規(guī)則。

■ 防火墻可以識別和丟棄帶欺騙性源IP地址的包。

■ 包過濾防火墻是兩個網(wǎng)絡之間訪問的唯一來源。因為所有的通信必須通過防火墻，繞過是困難的。

■ 包過濾通常被包含在路由器數(shù)據(jù)包中，所以不必額外的系統(tǒng)來處理這個特征。

使用包過濾防火墻的缺點包括：

■ 配臵困難。因為包過濾防火墻很復雜，人們經(jīng)常會忽略建立一些必要的規(guī)則，或者錯誤配臵了已有的規(guī)則，在防火墻上留下漏洞。然而，在市場上，許多新版本的防火墻對這個缺點正在作改進，如開發(fā)者實現(xiàn)了基于圖形化用戶界面(GUI)的配臵和更直接的規(guī)則定義。

■ 為特定服務開放的端口存在著危險，可能會被用于其他傳輸。例如，Web服務器默認端口為80，而計算機上又安裝了RealPlayer，那么它會搜尋可以允許連接到RealAudio服務器的端口，而不管這個端口是否被其他協(xié)議所使用，RealPlayer正好是使用80端口而搜尋的。就這樣無意中，RealPlayer就利用了Web服務器的端口。

■ 可能還有其他方法繞過防火墻進入網(wǎng)絡，例如撥入連接。但這個并不是

213

也不要忘記了防火墻內的安全保障。

其次，防火墻技術的另外一個顯著不足是無法有效地應付病毒。當網(wǎng)絡內的用戶在訪問外網(wǎng)中的含有病毒的數(shù)據(jù)時，防火墻無法區(qū)分帶毒數(shù)據(jù)與正常數(shù)據(jù)，內部網(wǎng)絡隨時都有受到病毒危害的可能，防火墻技術的這個缺點給網(wǎng)絡帶來很大的隱患。

另外，由于防火墻技術的自身不斷發(fā)展，其自身問題和漏洞也使其具有局限性。防火墻本身作為一個獨立的系統(tǒng)，其軟、硬件在發(fā)展過程中必然也有其自己的bug和漏洞，所以各種故障和因漏洞所遭受的各種攻擊也不可避免。防火墻的技術原理與殺毒軟件類似：先出現(xiàn)病毒，殺毒軟件獲得病毒的特征碼，將其加入到病毒庫內來實現(xiàn)查殺。防火墻的防御、檢測策略，也是在發(fā)生攻擊行為后分析其特征而設臵的。如果出現(xiàn)新的未知攻擊行為，防火墻也將束手無策。

最后，防火墻的檢測機制容易造成擁塞以及溢出現(xiàn)象。由于防火墻需要處理每一個通過它的數(shù)據(jù)包，所以當數(shù)據(jù)流量較大時，容易導致數(shù)據(jù)擁塞，影響整個網(wǎng)絡性能。嚴重時，如果發(fā)生溢出，就像大壩決堤一般，無法阻擋，任何數(shù)據(jù)都可以來去自由了，防火墻也就不再起任何作用。

1.6 防火墻的未來發(fā)展趨勢

盡管羅列了這么多防火墻技術的局限性，但防火墻在網(wǎng)絡安全中所扮演的重要角色是不可撼動的。未來的防火墻發(fā)展朝高速、多功能化、更安全的方向發(fā)展。

實現(xiàn)高速防火墻，可以應用ASIC硬件加速技術、FPGA和網(wǎng)絡處理器等方法。其中以采用網(wǎng)絡處理器最好，因為網(wǎng)絡處理器采用微碼編程，可以根據(jù)需要隨時升級，甚至可以支持IPv6；并且網(wǎng)絡處理器中集成了很多硬件協(xié)處理單元，通過算法也比較容易實現(xiàn)高速。防火墻將會集成更多的網(wǎng)絡安全功能，入侵檢測、防病毒、防御拒絕服務攻擊等安全技術都可以模塊形式安裝到防火墻的機箱內。既節(jié)省寶貴的機柜空間，又能為企業(yè)節(jié)約一部分安全支出，更主要的是可以實現(xiàn)網(wǎng)絡安全設備之間的聯(lián)動。防火墻將會更加的行業(yè)化。

任何一種防火墻只是為內部網(wǎng)絡提供安全保障，但網(wǎng)絡安全不能完全依賴于防火墻，還需要加強內部的安全管理，完善安全管理制度，提高用戶的安全意識，從而形成全方位的安全防御體系。防火墻技術在校園網(wǎng)中的應用

隨著高校信息化進程的推進，學院校園網(wǎng)上運行的應用系統(tǒng)越來越多，信息

51617

第三篇：防火墻技術報告

《網(wǎng)絡與信息安全技術》

防火墻技術淺談

班 級：

11計算機科學與技術3班

學 號：

2011404010306

姓 名： 王 志 成 分 數(shù)：

2013年12月12日

防火墻技術淺談

摘要：隨著計算機網(wǎng)絡的發(fā)展，全球上網(wǎng)的人數(shù)在不斷地增大，網(wǎng)上的資源也不斷地增加，網(wǎng)絡的開放性、共享性、互連程度也隨之不斷擴大。然而，因特網(wǎng)的迅猛發(fā)展在給人們的生活帶來了極大方便的同時，因特網(wǎng)本身也正遭遇著前所未有的威脅。所以，網(wǎng)絡的安全問題也越來越成為人們現(xiàn)在考慮的十分重視的問題。

本文主要介紹討論了防火墻的定義、特點、基本功能，數(shù)據(jù)包頭分析后與過濾規(guī)則的匹配、對數(shù)據(jù)包的拒絕和日志數(shù)據(jù)庫的存儲。關鍵詞：防火墻技術 數(shù)據(jù)包過濾 數(shù)據(jù)庫

引言

網(wǎng)絡的安全問題正越來越成為人們現(xiàn)在十分重視的問題。如何使用有效、可行的方法使網(wǎng)絡危險降到人們可接受的范圍之內已越來越受到人們的關注。而如何實施防范策略，首先取決于當前系統(tǒng)的安全性。對網(wǎng)絡安全的各獨立元素——防火墻、漏洞掃描、入侵檢測和反病毒等進行風險評估也是很有必要的。防火墻技術作為時下比較成熟的一 種技術，其安全性直接關系到用戶的切身利益。針對網(wǎng)絡安全獨立元素——防火墻技術，判斷系統(tǒng)的安全等級，實現(xiàn)對目標網(wǎng)絡的網(wǎng)絡安全風險評估，為提高系統(tǒng)的安全性提供科學依據(jù)。對網(wǎng)絡安全的威脅主要表現(xiàn)在：非授權訪問，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾系統(tǒng)的安全等級；其中，對網(wǎng)絡安全的威脅表現(xiàn)在：非授權訪問，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾正常運行，利用網(wǎng)絡傳播病毒，線路竊聽等方面，實現(xiàn)對目標網(wǎng)絡的網(wǎng)絡安全風險評估以及對風險的防范，為提高系統(tǒng)的安全性提供科學依據(jù)。

1.防火墻概述

1.1防火墻的定義

所謂“防火墻”，是在兩個網(wǎng)絡之間執(zhí)行說控制策略的一個或一組系統(tǒng)，包括硬伯和軟件，目的是保護網(wǎng)絡不被他人侵擾。它是一種將內部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的

封包，并且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進到受保護的機器里。

（2）防火墻的基本功能

? 防火墻能夠強化安全策略

因為因特網(wǎng)上每天都有上百萬人瀏覽信息、交換信息，不可避免地會出現(xiàn)個別品德不良或違反規(guī)則的人。防火墻是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行站點的安全策略，僅僅容許“認可的”和符合規(guī)則的請求通過。? 防火墻能有效地記錄因特網(wǎng)上的活動

因為所有進出信息都必須通過防火墻，所以防火墻非常適用收集關于系統(tǒng)和網(wǎng)絡使用和誤用的信息。作為訪問的唯一點，防火墻記錄著被保護的網(wǎng)絡和外部網(wǎng)絡之間進行的所有事件。

? 防火墻限制暴露用戶點

防火墻駒用來隔開網(wǎng)絡中的一個網(wǎng)段與另一個網(wǎng)段。這樣，就能夠有效控制影響一個網(wǎng)段的問題通過整個網(wǎng)絡傳播。

? 防火墻是一個安全策略的檢查站

所有進出網(wǎng)絡的信息都必須通過防火墻，防火墻便成為一個安全檢查點，使可疑的訪問被拒絕于門外。

1.3.防火墻的體系結構

目前，防火墻的體系結構一般有3種：雙重宿主主機體系結構、主機過濾體系結構和子網(wǎng)過濾體系結構。

（1）雙重宿主主機體系結構

雙重宿主主機體系結構是圍繞具有雙重宿主的主體計算機而構筑的。該計算機至少有兩個網(wǎng)絡接口，這樣的主機可以充當與這些接口相連的網(wǎng)絡之間的路由器，并能夠從一個網(wǎng)絡向另一個網(wǎng)絡發(fā)送IP數(shù)據(jù)包。防火墻內部的網(wǎng)絡系統(tǒng)能與雙重宿主主機通信，同時防火墻

分布式防火墻的優(yōu)勢：

（1）增強了系統(tǒng)安全性：增加了針對主機的入侵檢測和防護功能，加強了對來自內部攻擊防范，可以實施全方位的安全策略。

（2）提高了系統(tǒng)性能：消除了結構性瓶頸問題，提高了系統(tǒng)性能。

（3）系統(tǒng)的擴展性：分布式防火墻隨系統(tǒng)擴充提供了安全防護無限擴充的能力。（4）實施主機策略：對網(wǎng)絡中的各節(jié)點可以起到更安全的防護。（5）應用更為廣泛，支持VPN通信。

3.數(shù)據(jù)包過濾處理原理分析

防火墻技術其實是基于對工作在網(wǎng)絡層中的數(shù)據(jù)包的過濾，數(shù)據(jù)包的過濾原理要遵揗一些過濾規(guī)則：（1）過濾規(guī)則

本系統(tǒng)采用的默認過濾規(guī)則是：默認接收所有的進入、外出和轉發(fā)數(shù)據(jù)包;接收所有本地環(huán)路接口上的進出包。當要有選擇地接收數(shù)據(jù)包時，本地的過濾規(guī)則需要進行相應的設置。比如:現(xiàn)在要拒絕IP地址為192.168.0.161(局域網(wǎng)內的一主機的IP地址)的主機與本地主機通信，在用戶相應的選項卡中，填上這一I地址就是表示拒絕此IP地址主機向本機發(fā)出的所有數(shù)據(jù)包，這就是數(shù)據(jù)包的IP 過濾功能。

當然也要實現(xiàn)端口的過濾功能。比如:想禁止某一服務的業(yè)務功能，就可以在相應的IP 號下同時設置端口號，就是表示對任一用戶的這一服務被禁止。其實，這只能對某一些常用的端口號進行過濾，如：對HTTP(端口80)進行過濾，就是禁止外部用戶通過防火墻訪問內部HTTP 服務器；對FTP(端口20，21)進行過濾，就是禁止外部主機通過防火墻訪問內部FTP服務器。

數(shù)據(jù)處理模塊用到的過濾規(guī)則將在用戶界面中直接對規(guī)則數(shù)據(jù)庫操作進而來設置要過濾的規(guī)則，而數(shù)據(jù)處理模塊則從數(shù)據(jù)庫中直接調用。因此，過濾規(guī)則是在數(shù)據(jù)庫中定義，由用戶在數(shù)據(jù)庫操作界面上輸入的，供底層應用程序調用。

外部命令，在C語言中可以用execlp()這一函數(shù)來執(zhí)行外部命令。（4）存入日志數(shù)據(jù)庫

對數(shù)據(jù)包頭分析處理后，可以得到此IP訪問的源IP地址、目的IP 地址、端口以及被拒絕通過的情況。數(shù)據(jù)庫的連接與上文所說的一樣，因此，此處存入的是被拒絕的數(shù)據(jù)包頭信息。

5.結束語

防火墻技術作為目前用來實現(xiàn)網(wǎng)絡安全措施的一種用來拒絕未經(jīng)授權用戶的訪問，阻止未經(jīng)授權用戶存取敏感數(shù)據(jù)，同時允許合法用戶不受妨礙的訪問網(wǎng)絡資源的主要手段。如果使用得當，可以在很大程度上提高網(wǎng)絡安全。但是沒有一種技術可以百分之百地解決網(wǎng)絡上的所有問題，比如防火墻雖然能對來自外部網(wǎng)絡的攻擊進行有效的保護，但對于來自網(wǎng)絡內部的攻擊卻無能為力。事實上60%以上的網(wǎng)絡安全問題來自網(wǎng)絡內部。因此網(wǎng)絡安全單靠防火墻是不夠的，還需要有其它技術和非技術因素的考慮，如信息加密技術、身份驗證技術、制定網(wǎng)絡法規(guī)、提高網(wǎng)絡管理人員的安全意識等等。

參考文獻：

1）袁津生 吳硯農 《計算機網(wǎng)絡安全基礎》 北京：人民郵電出版社 2013 2）黎連業(yè)，張維，防火墻及其應用技術，清華大學出版社.2004 3）程代偉，網(wǎng)絡安全完全手冊，電子工業(yè)出版社.2006 4）李濤，網(wǎng)絡安全概論，電子工業(yè)出版社.2004

第四篇：防火墻技術研究報告

防火墻技術研究報告

防火墻技術

摘要：隨著計算機的飛速發(fā)展以及網(wǎng)絡技術的普遍應用，隨著信息時代的來臨，信息作為一種重要的資源正得到了人們的重視與應用。因特網(wǎng)是一個發(fā)展非?；钴S的領域，可能會受到黑客的非法攻擊，所以在任何情況下，對于各種事故，無意或有意的破壞，保護數(shù)據(jù)及其傳送、處理都是非常必要的。比如，計劃如何保護你的局域網(wǎng)免受因特網(wǎng)攻擊帶來的危害時，首先要考慮的是防火墻。防火墻的核心思想是在不安全的網(wǎng)際網(wǎng)環(huán)境中構造一個相對安全的子網(wǎng)環(huán)境。文介紹了防火墻技術的基本概念、原理、應用現(xiàn)狀和發(fā)展趨勢。

Abstract: along with the universal application of the rapid development of computer and network technology, with the advent of the information age, information as an important resource is paid attention to and used by people.The Internet is a development of very active domain, may be illegally attacked by hackers, so in any case, for a variety of accident, accidental or intentional damage, protection of data and transfer, processing is very necessary.For example, plans to protect your network from the hazards brought by Internet attack, firewall is the first consideration.The core idea of firewall is the relative safety of the structure of a network environment in the insecure Internet environment.This paper introduces the basic concept of firewall technology, principle, application status and development trend.Keywords: firewall;network security

目錄

一、概述.....................................................................................................................................4

二、防火墻的基本概念.............................................................................................................4

三、防火墻的技術分類.............................................................................................................4

四、防火墻的基本功能.............................................................................................................5

（一）包過濾路由器.........................................................................................................5

（二）應用層網(wǎng)關.............................................................................................................6

（三）鏈路層網(wǎng)關.............................................................................................................6

五、防火墻的安全構建.............................................................................................................6

（一）基本準則..............................................................................錯誤！未定義書簽。

（二）安全策略.................................................................................................................6

（三）構建費用..............................................................................錯誤！未定義書簽。

（四）高保障防火墻......................................................................錯誤！未定義書簽。

六、防火墻的發(fā)展特點.............................................................................................................7

（一）高速.........................................................................................................................7

（二）多功能化.................................................................................................................8

（三）安全.........................................................................................................................8

七、防火墻的發(fā)展特點.............................................................................................................9 參考文獻...................................................................................................................................10

防火墻技術研究報告

一、概述

隨著計算機網(wǎng)絡的廣泛應用，全球信息化已成為人類發(fā)展的大趨勢。互聯(lián)網(wǎng)已經(jīng)成了現(xiàn)代人生活中不可缺少的一部分，隨著互聯(lián)網(wǎng)規(guī)模的迅速擴大，網(wǎng)絡豐富的信息資源給用戶帶來了極大方便的同時，由于計算機網(wǎng)絡具有聯(lián)結形式多樣性、終端分布不均勻性和網(wǎng)絡的開放性、互連性等特征，致使網(wǎng)絡易受黑客、怪客、惡意軟件和其他不軌的攻擊。為了保護我們的網(wǎng)絡安全、可靠性，所以我們要用防火墻，防火墻技術是近年來發(fā)展起來的一種保護計算機網(wǎng)絡安全的技術性措施。

二、防火墻的基本概念

防火墻是一個系統(tǒng)或一組系統(tǒng)，在內部網(wǎng)與因特網(wǎng)間執(zhí)行一定的安全策略，它實際上是一種隔離技術。

一個有效的防火墻應該能夠確保所有從因特網(wǎng)流入或流向因特網(wǎng)的信息都將經(jīng)過防火墻，所有流經(jīng)防火墻的信息都應接受檢查。通過防火墻可以定義一個關鍵點以防止外來入侵；監(jiān)控網(wǎng)絡的安全并在異常情況下給出報警提示，尤其對于重大的信息量通過時除進行檢查外，還應做日志登記；提供網(wǎng)絡地址轉換功能，有助于緩解IP地址資源緊張的問題，同時，可以避免當一個內部網(wǎng)更換ISP時需重新編號的麻煩；防火墻是為客戶提供服務的理想位置，即在其上可以配置相應的WWW和FTP服務等。

三、防火墻的技術分類

現(xiàn)有的防火墻主要有：包過濾型、代理服務器型、復合型以及其他類型（雙宿主主機、主機過濾以及加密路由器）防火墻。

包過濾（Packet Fliter）通常安裝在路由器上，而且大多數(shù)商用路由器都提供了包過濾的功能。包過濾規(guī)則以IP包信息為基礎，對IP源地址、目標地址、協(xié)議類型、端口號等進行篩選。包過濾在網(wǎng)絡層進行。

代理服務器型（Proxy Service）防火墻通常由兩部分構成，服務器端程序和客戶端程序?？蛻舳顺绦蚺c中間節(jié)點連接，中間節(jié)點再與提供服務的服務器實際連接。

復合型（Hybfid）防火墻將包過濾和代理服務兩種方法結合起來，形成新 的防火墻，由堡壘主機提供代理服務。

各類防火墻路由器和各種主機按其配置和功能可組成各種類型的防火墻，主要有：雙宿主主機防火墻，它是由堡壘主機充當網(wǎng)關，并在其上運行防火墻軟件，內外網(wǎng)之間的通信必須經(jīng)過堡壘主機；主機過濾防火墻是指一個包過濾路由器與外部網(wǎng)相連，同時，一個堡壘主機安裝在內部網(wǎng)上，使堡壘主機成為外部網(wǎng)所能到達的惟一節(jié)點，從而確保內部網(wǎng)不受外部非授權用戶的攻擊；加密路由器對通過路由器的信息流進行加密和壓縮，然后通過外部網(wǎng)絡傳輸?shù)侥康亩诉M行解壓縮和解密。

四、防火墻的基本功能

典型的防火墻應包含如下模塊中的一個或多個：包過濾路由器、應用層網(wǎng)關以及鏈路層網(wǎng)關。

（一）包過濾路由器

包過濾路由器將對每一個接收到的包進行允許／拒絕的決定。具體地，它對每一個數(shù)據(jù)報的包頭，按照包過濾規(guī)則進行判定，與規(guī)則相匹配的包依據(jù)路由表信息繼續(xù)轉發(fā)，否則，則丟棄之。

與服務相關的過濾，是指基于特定的服務進行包過濾，由于絕大多數(shù)服務的監(jiān)聽都駐留在特定TCP／UDP端口，因此，阻塞所有進入特定服務的連接，路由器只需將所有包含特定 TCP／UDP目標端口的包丟棄即可。

獨立于服務的過濾，有些類型的攻擊是與服務無關的，比如：帶有欺騙性的源IP地址攻擊、源路由攻擊、細小碎片攻擊等。由此可見此類網(wǎng)上攻擊僅僅借助包頭信息是難以識別的，此時，需要路由器在原過濾規(guī)則的基礎附上另外的條件，這些條件的判別信息可以通過檢查路由表、指定IP選擇、檢查指定幀偏移量等獲得。

（二）應用層網(wǎng)關

應用層網(wǎng)關允許網(wǎng)絡管理員實施一個較包過濾路由器更為嚴格的安全策略，為每一個期望的應用服務在其網(wǎng)關上安裝專用的代碼，同時，代理代碼也可以配置成支持一個應用服務的某些特定的特性。對應用服務的訪問都是通過訪問

相應的代理服務實現(xiàn)的，而不允許用戶直接登錄到應用層網(wǎng)關。

應用層網(wǎng)關安全性的提高是以購買相關硬件平臺的費用為代價，網(wǎng)關的配置將降低對用戶的服務水平，但增加了安全配置上的靈活性。

（三）鏈路層網(wǎng)關

鏈路層網(wǎng)關是可由應用層網(wǎng)關實現(xiàn)的特殊功能。它僅僅替代TCP連接而無需執(zhí)行任何附加的包處理和過濾。

五、防火墻的安全構建

在進行防火墻設計構建中，網(wǎng)絡管理員應考慮防火墻的基本準則；整個企業(yè)網(wǎng)的安全策略；以及防火墻的財務費用預算等。

（一）基本準則

可以采取如下兩種理念中的一種來定義防火墻應遵循的準則：第一，未經(jīng)說明許可的就是拒絕。防火墻阻塞所有流經(jīng)的信息，每一個服務請求或應用的實現(xiàn)都基于逐項審查的基礎上。這是一個值得推薦的方法，它將創(chuàng)建一個非常安全的環(huán)境。當然，該理念的不足在于過于強調安全而減弱了可用性，限制了用戶可以申請的服務的數(shù)量。第二，未說明拒絕的均為許可的。約定防火墻總是傳遞所有的信息，此方式認定每一個潛在的危害總是可以基于逐項審查而被杜絕。當然，該理念的不足在于它將可用性置于比安全更為重要的地位，增加了保證企業(yè)網(wǎng)安全性的難度。

（二）安全策略

在一個企業(yè)網(wǎng)中，防火墻應該是全局安全策略的一部分，構建防火墻時首先要考慮其保護的范圍。企業(yè)網(wǎng)的安全策略應該在細致的安全分析、全面的風險假設以及商務需求分析基礎上來制定。

（三）構建費用

簡單的包過濾防火墻所需費用最少，實際上任何企業(yè)網(wǎng)與因特網(wǎng)的連接都需要一個路由器，而包過濾是標準路由器的一個基本特性。對于一臺商用防火墻隨著其復雜性和被保護系統(tǒng)數(shù)目的增加，其費用也隨之增加。

至于采用自行構造防火墻方式，雖然費用低一些，但仍需要時間和經(jīng)費開發(fā)、配置防火墻系統(tǒng)，需要不斷地為管理、總體維護、軟件更新、安全修補以及一些附帶的操作提供支持。

六、防火墻的發(fā)展特點

（一）高速

從國內外歷次測試的結果都可以看出，目前防火墻一個很大的局限性是速度不夠，真正達到線速的防火墻少之又少。防范DoS(拒絕服務)是防火墻一個很重要的任務，防火墻往往用在網(wǎng)絡出口，如造成網(wǎng)絡堵塞，再安全的防火墻也無法應用。

應用ASIC、FPGA和網(wǎng)絡處理器是實現(xiàn)高速防火墻的主要方法，但尤以采用網(wǎng)絡處理器最優(yōu)，因為網(wǎng)絡處理器采用微碼編程，可以根據(jù)需要隨時升級，甚至可以支持IPv6，而采用其他方法就不那么靈活。

實現(xiàn)高速防火墻，算法也是一個關鍵，因為網(wǎng)絡處理器中集成了很多硬件協(xié)處理單元，因此比較容易實現(xiàn)高速。對于采用純CPU的防火墻，就必須有算法支撐，例如ACL算法。目前有的應用環(huán)境，動輒應用數(shù)百乃至數(shù)萬條規(guī)則，沒有算法支撐，對于狀態(tài)防火墻，建立會話的速度會十分緩慢。

上面提到，為什么防火墻不適宜于集成內容過濾、防病毒和IDS功能(傳輸層以下的IDS除外，這些檢測對CPU消耗小)呢？說到底還是因為受現(xiàn)有技術的限制。目前，還沒有有效的對應用層進行高速檢測的方法，也沒有哪款芯片能做到這一點。因此，對于IDS，目前最常用的方式還是把網(wǎng)絡上的流量鏡像到IDS設備中處理，這樣可以避免流量較大時造成網(wǎng)絡堵塞。此外，應用層漏洞很多，攻擊特征庫需要頻繁升級，對于處在網(wǎng)絡出口關鍵位置的防火墻，如此頻繁地升級也是不現(xiàn)實的。

這里還要提到日志問題，根據(jù)國家有關標準和要求，防火墻日志要求記錄的內容相當多。網(wǎng)絡流量越來越大，如此龐大的日志對日志服務器提出了很高的要求。目前，業(yè)界應用較多的是SYSLOG日志，采用的是文本方式，每一個字

符都需要一個字節(jié)，存儲量很大，對防火墻的帶寬也是一個很大的消耗。二進制日志可以大大減小數(shù)據(jù)傳送量，也方便數(shù)據(jù)庫的存儲、加密和事后分析?？梢哉f，支持二進制格式和日志數(shù)據(jù)庫，是未來防火墻日志和日志服務器軟件的一個基本要求。

（二）多功能化

多功能也是防火墻的發(fā)展方向之一，鑒于目前路由器和防火墻價格都比較高，組網(wǎng)環(huán)境也越來越復雜，一般用戶總希望防火墻可以支持更多的功能，滿足組網(wǎng)和節(jié)省投資的需要。例如，防火墻支持廣域網(wǎng)口，并不影響安全性，但在某些情況下卻可以為用戶節(jié)省一臺路由器;支持部分路由器協(xié)議，如路由、撥號等，可以更好地滿足組網(wǎng)需要；支持IPSec VPN，可以利用因特網(wǎng)組建安全的專用通道，既安全又節(jié)省了專線投資。據(jù)IDC統(tǒng)計，國外90%的加密VPN都是通過防火墻實現(xiàn)的。

（三）安全

未來防火墻的操作系統(tǒng)會更安全。隨著算法和芯片技術的發(fā)展，防火墻會更多地參與應用層分析，為應用提供更安全的保障?！澳Ц咭怀?，道高一丈”，在信息安全的發(fā)展與對抗過程中，防火墻的技術一定會不斷更新，日新月異，在信息安全的防御體系中，起到堡壘的作用。未來防火墻的操作系統(tǒng)會更安全。隨著算法和芯片技術的發(fā)展，防火墻會更多地參與應用層分析，為應用提供更安全的保障。

七、防火墻的發(fā)展趨勢

近年來，計算機網(wǎng)絡獲得了飛速的發(fā)展。它不知不覺的占據(jù)了我們生活的大半部分，成為我們社會結構的一個基本組成部分。從Internet的誕生之日起，就不可避免的面臨著網(wǎng)絡信息安全的問題。而隨著Internet的迅速發(fā)展，計算機網(wǎng)絡對安全的要求也日益增高。越來越多的網(wǎng)站因為安全性問題而癱瘓，公司的機密信息不斷被竊取，政府機構和組織不斷遭受著安全問題的威脅等等。

盡管利用防火墻可以保護內部網(wǎng)免受外部黑客的攻擊，但其只能提高網(wǎng)絡的安全性，不可能保證網(wǎng)絡的絕對安全。事實上仍然存在著一些防火墻不能防范的安全威脅，如防火墻不能防范不經(jīng)過防火墻的攻擊。例如，如果允許從受保護的網(wǎng)絡內部向外撥號，一些用戶就可能形成與Internet的直接連接。另外，防火墻很難防范來自于網(wǎng)絡內部的攻擊以及病毒的威脅。所以在一個實際的網(wǎng)絡運行環(huán)境中，僅僅依靠防火墻來保證網(wǎng)絡的安全顯然是不夠，此時，應根據(jù)實際需求采取其他相應的安全策略。

計算機的安全問題正面臨著前所未有的挑戰(zhàn)。在這場網(wǎng)絡安全的攻擊和反攻擊的信息戰(zhàn)中，永遠沒有終點。黑客的攻擊手段不斷翻新，決定了信息安全技術也必須進 行革新，防火墻是防范黑客攻擊的常用手段，但這樣的技術必須與當今最前沿的其他安全技術結合在一起，才能更有效地防范各種新的攻擊手段。

參考文獻

[1] 謝希仁.計算機網(wǎng)絡（第5版）[M].北京：電子工業(yè)出版社

[2] 吳秀梅，傅嘉偉編著.防火墻技術及應用教程.北京：清華大學出版社 [3] 張紅旗，王魯 等編著.信息安全技術.高等教育出版社

[4] 張華貴，王海燕.計算機網(wǎng)絡在安全分析與對策

[5] 黃思育.淺議防火墻.達縣師范高等?？茖W校學報（自然科學版）

第五篇：實驗 防火墻技術實驗

實驗九

防火墻技術實驗

1、實驗目的

防火墻是網(wǎng)絡安全的第一道防線，按防火墻的應用部署位置分類，可以分為邊界防火墻、個人防火墻和分布式防火墻三類。通過實驗，使學生了解各種不同類型防火墻的特點，掌握個人防火墻的工作原理和規(guī)則設置方法，掌握根據(jù)業(yè)務需求制定防火墻策略的方法。

2、題目描述

根據(jù)不同的業(yè)務需求制定天網(wǎng)防火墻策略，并制定、測試相應的防火墻的規(guī)則等。

3、實驗要求

基本要求了解各種不同類型防火墻的特點，掌握個人防火墻的工作原理和規(guī)則設置方法，掌握根據(jù)業(yè)務需求制定防火墻策略的方法。提高要求能夠使用WindowsDDK開發(fā)防火墻。

4、相關知識

1)防火墻的基本原理防火墻（firewall）是一種形象的說法，本是中世紀的一種安全防務：在城堡周圍挖掘一道深深的壕溝，進入城堡的人都要經(jīng)過一個吊橋，吊橋的看守檢查每一個來往的行人。對于網(wǎng)絡，采用了類似的處理方法，它是一種由計算機硬件和軟件的組合，使互聯(lián)網(wǎng)與內部網(wǎng)之間建立起一個安全網(wǎng)關(securitygateway),也就是一個電子吊橋，從而保護內部網(wǎng)免受非法用戶的侵入，它其實就是一個把互聯(lián)網(wǎng)與內部網(wǎng)（通常指局域網(wǎng)或城域網(wǎng)）隔開的屏障。它決定了哪些內部服務可以被外界訪問、可以被哪些人訪問，以及哪些外部服務可以被內部人員訪問。防火墻必須只允許授權的數(shù)據(jù)通過，而且防火墻本身也必須能夠免于滲透。典型的網(wǎng)絡防火墻如下所示。

防火墻也并不能防止內部人員的蓄意破壞和對內部服務器的攻擊，但是，這種攻擊比較容易發(fā)現(xiàn)和察覺，危害性也比較小，這一般是用公司內部的規(guī)則或者給用戶不同的權限來控制。

2)防火墻的分類前市場的防火墻產(chǎn)品主要分類如下：

（1）從軟、硬件形式上軟件防火墻和硬件防火墻以及芯片級防火墻。（2）從防火墻技術“包過濾型”和“應用代理型”兩大類。

（3）從防火墻結構單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。（4）按防火墻的應用部署位置邊界防火墻、個人防火墻和混合防火墻三大類。（5）按防火墻性能百兆級防火墻和千兆級防火墻兩類。3）防火墻的基本規(guī)則

■一切未被允許的就是禁止的(No規(guī)則)。■一切未被禁止的就是允許的(Yes規(guī)則)。

很多防火墻(例如SunScreenEFS、CiscoIOs、FW-1)以順序方式檢查信息包，當防火墻接收到一個信息包時，它先與第一條規(guī)則相比較,然后是第二條、第三條??當它發(fā)現(xiàn)一條匹配規(guī)則時，就停止檢查并應用那條規(guī)則。

4）防火墻自身的缺陷和不足

■限制有用的網(wǎng)絡服務。防火墻為了提高被保護網(wǎng)絡的安全性，限制或關閉了很多有用但存在安全缺陷的網(wǎng)絡服務。

■無法防護內部網(wǎng)絡用戶的攻擊。目前防火墻只提供對外部網(wǎng)絡用戶攻擊的防護，對來自內部網(wǎng)絡用戶的攻擊只能依靠內部網(wǎng)絡主機系統(tǒng)的安全性。■Internet防火墻無法防范通過防火墻以外的其他途徑的攻擊。例如，在一個被保護的網(wǎng)絡上有一個沒有限制的撥出存在，內部網(wǎng)絡上的用戶就可以直接通過SLIP或PPP聯(lián)接進入Internet。

■對用戶不完全透明，可能帶來傳輸延遲、瓶頸及單點失效。■Internet防火墻也不能完全防止傳送已感染病毒的軟件或文件。

■防火墻無法防范數(shù)據(jù)驅動型的攻擊。數(shù)據(jù)驅動型的攻擊從表面上看是無害的數(shù)據(jù)被郵寄或拷貝到Internet主機上，但一旦執(zhí)行就開始攻擊。例如，一個數(shù)據(jù)型攻擊可能導致主機修改與安全相關的文件，使得入侵者很容易獲得對系統(tǒng)的訪問權。

■不能防備新的網(wǎng)絡安全問題。防火墻是一種被動式的防護手段，它只能對現(xiàn)在已知的網(wǎng)絡威脅起作用。

5、實驗設備

主流配置PC，安裝有windows 2000 SP4操作系統(tǒng)，網(wǎng)絡環(huán)境，天網(wǎng)防火墻個人版。

6、實驗步驟

1）從指導老師處得到天網(wǎng)防火墻個人版軟件。

2）天網(wǎng)防火墻個人版的安裝。按照安裝提示完成安裝，并重啟后系統(tǒng)。

3）系統(tǒng)設置。在防火墻的控制面板中點擊“系統(tǒng)設置”按鈕，即可展開防火墻系統(tǒng)設置面板。

天網(wǎng)個人版防火墻系統(tǒng)設置界面如下。

防火墻自定義規(guī)則重置：占擊該按鈕，防火墻將彈出窗口，如下：

如果確定，天網(wǎng)防火墻將會把防火墻的安全規(guī)則全部恢復為初始設置，你對安全規(guī)則的修改和加入的規(guī)則將會全部被清除掉。

防火墻設置向導：為了便于用戶合理的設置防火墻，天網(wǎng)防火墻個人版專門為用戶設計了防火墻設置向導。用戶可以跟隨它一步一步完成天網(wǎng)防火墻的合理設置。

應用程序權限設置：勾選了該選項之后，所有的應用程序對網(wǎng)絡的訪問都默認為通行不攔截。這適合在某些特殊情況下，不需要對所有訪問網(wǎng)絡的應用程序都做審核的時候。（譬如在運行某些游戲程序的時候）

局域網(wǎng)地址：設置在局域網(wǎng)內的地址。防火墻將會以這個地址來區(qū)分局域網(wǎng)或者是INTERNET 的IP來源。日志保存：選中每次退出防火墻時自動保存日志，當你退出防火墻的保護時，天網(wǎng)防火墻將會把當日的日志記錄自動保存到SkyNet/FireWall/log文件下，打開文件夾便可查看當日的日志記錄。

4）安全級別設置天網(wǎng)個人版防火墻的缺省安全級別分為低、中、高三個等級，默認的安全等級為中級。了解安全級別的說明請查看防火墻幫助文件。為了了解規(guī)則的設置等情況，我們選擇自定義安全級別。

然后點擊左邊的將打開自定義的IP規(guī)則。

從中可以看出，規(guī)則的先后順序為IP規(guī)則、ICMP規(guī)則、IGMP規(guī)則、TCP規(guī)則和UDP規(guī)則。自定義IP規(guī)則的工具條如下，可以使用這些工具完成規(guī)則的增加、修改、刪除、保存、調整、導入導出操作。重要：規(guī)則增加、修改、刪除等操作后一定要點擊保存圖標進行保存，否則無效。

單擊規(guī)則前面的，可使該規(guī)則不起作用，且其形狀變?yōu)椤?/p>

5）修改規(guī)則雙擊該規(guī)則，或者點擊工具條上的修改按鈕可以打開該規(guī)則的修改窗體。然后按照需求對各部分進行修改。

（1）首先輸入規(guī)則的“名稱”和“說明”，以便于查找和閱讀。（2）然后，選擇該規(guī)則是對進入的數(shù)據(jù)包還是輸出的數(shù)據(jù)包有效。

（3）“對方的IP地址”，用于確定選擇數(shù)據(jù)包從那里來或是去哪里，這里有幾點說明： ■“任何地址”是指數(shù)據(jù)包從任何地方來，都適合本規(guī)則，■“局域網(wǎng)網(wǎng)絡地址”是指數(shù)據(jù)包來自和發(fā)向局域網(wǎng)，■“指定地址”是你可以自己輸入一個地址，“指定的網(wǎng)絡地址”是你可以自己輸入一個網(wǎng)絡和掩碼。

（4）除了錄入選擇上面內容，還要錄入該規(guī)則所對應的協(xié)議，其中：

■‘IP’協(xié)議不用填寫內容，注意，如果你錄入了IP協(xié)議的規(guī)則，一點要保證IP協(xié)議規(guī)則的最后一條的內容是：“對方地址：任何地址；動作：繼續(xù)下一規(guī)則”。

■‘TCP’協(xié)議要填入本機的端口范圍和對方的端口范圍，如果只是指定一個端口，那么可以在起始端口處錄入該端口，結束處，錄入同樣的端口。如果不想指定任何端口，只要在起始端口都錄入0。TCP標志比較復雜，你可以查閱其他資料，如果你不選擇任何標志，那么將不會對標志作檢查。

■‘ICMP’規(guī)則要填入類型和代碼。如果輸入255，表示任何類型和代碼都符合本規(guī)則?！觥甀GMP’不用填寫內容。

（5）當一個數(shù)據(jù)包滿足上面的條件時，你就可以對該數(shù)據(jù)包采取行動了： ■‘通行’指讓該數(shù)據(jù)包暢通無阻的進入或出去?！鰯r截’指讓該數(shù)據(jù)包無法進入你的機器

■繼續(xù)下一規(guī)則’指不對該數(shù)據(jù)包作任何處理，由該規(guī)則的下一條同協(xié)議規(guī)則來決定對該包的處理。（6）在執(zhí)行這些規(guī)則的同時，還可以定義是否記錄這次規(guī)則的處理和這次規(guī)則的處理的數(shù)據(jù)包的主要內容，并用右下腳的“天網(wǎng)防火墻個人版”圖標是否閃爍來“警告”，或發(fā)出聲音提示。

6）新增規(guī)則點擊工具條的新增規(guī)則按鈕可以新增一條規(guī)則，并彈出該規(guī)則的編輯界面。比如新增一條允許

訪問WWW端口的規(guī)則，可以按如下方法設置。設置完成后點擊“確定”，并點擊工具條的保存按鈕。

7）普通應用程序規(guī)則設置天網(wǎng)防火墻個人版增加對應用程序數(shù)據(jù)傳輸封包進行底層分析攔截功能，它可以控制應用程序發(fā)送和接收數(shù)據(jù)傳輸包的類型、通訊端口，并且決定攔截還是通過。在天網(wǎng)防火墻個人版打開的情況下，首次激活的任何應用程序只要有通訊傳輸數(shù)據(jù)包發(fā)送和接收存在，都會被天網(wǎng)防火墻個人版先截獲分析，并彈出窗口，詢問你是通過還是禁止。這時可以根據(jù)需要來決定是否允許應用程序訪問網(wǎng)絡。如果不選中“該程序以后按照這次的操作運行”，那么天網(wǎng)防火墻個人版在以后會繼續(xù)截獲該應用程序的數(shù)據(jù)傳輸數(shù)據(jù)包，并且彈出警告窗口。如果選中“該程序以后按照這次的操作運行”選項，該應用程序將自加入到應用程序列表中，可以通過應用程序設置來設置更為詳盡的數(shù)據(jù)傳輸封包過濾方式。

8）高級應用程序規(guī)則設置單擊

可以打開詳細的應用程序規(guī)則設置。單擊應用程序規(guī)則面板中對應每一條應用程序規(guī)則都有幾個按鈕

點擊“選項”即可激活應用程序規(guī)則高級設置頁面。

“該應用程序可以”窗口是設定該應用程序可以做的動作。其中：是指此應用程序進程可以向外發(fā)出連接請求，通常是用于各種客戶端軟件。則是指此程序可以在本機打開監(jiān)聽的端口來提供網(wǎng)絡服務，這通常用于各種服務器端程序中。

9）根據(jù)以上功能，分別完成如下不同需求的防火墻規(guī)則設置并進行測試。

需求1：ICMP規(guī)則允許ping進來，其它禁止，TCP規(guī)則允許訪問本機的WWW服務和主動模式的FTP服務，其它禁止，UDP禁止。需求2：ICMP規(guī)則允許ping出去，其它禁止，TCP規(guī)則禁止所有連接本機，允許IE訪問Internet的80端口，UDP規(guī)則允許DNS解析，其它進出UDP報文禁止。

7、實驗思考

1）根據(jù)你所了解的網(wǎng)絡安全事件，你認為天網(wǎng)防火墻不具備的功能有哪些？ 2）防火墻是不是絕對的安全？攻擊防火墻系統(tǒng)的手段有哪些？