第一篇：防火墻的應(yīng)用現(xiàn)狀調(diào)查

防火墻的應(yīng)用現(xiàn)狀調(diào)查

1、防火墻技術(shù)現(xiàn)狀

自從1986年美國(guó)Digital公司在Internet上安裝了全球第一個(gè)商用防火墻系統(tǒng)后，提出了防火墻的概念，防火墻技術(shù)得到了飛速的發(fā)展。第二代防火墻，也稱代理服務(wù)器，它用來提供網(wǎng)絡(luò)服務(wù)級(jí)的控制，起到外部網(wǎng)絡(luò)向被保護(hù)的內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用，這種方法可以有效地防止對(duì)內(nèi)部網(wǎng)絡(luò)的直接攻擊，安全性較高。第三代防火墻有效地提高了防火墻的安全性，稱為狀態(tài)監(jiān)控功能防火墻，它可以對(duì)每一層的數(shù)據(jù)包進(jìn)行檢測(cè)和監(jiān)控。隨著網(wǎng)絡(luò)攻擊手段和信息安全技術(shù)的發(fā)展，新一代的功能更強(qiáng)大、安全性更強(qiáng)的防火墻已經(jīng)問世，這個(gè)階段的防火墻已超出了原來傳統(tǒng)意義上防火墻的范疇，已經(jīng)演變成一個(gè)全方位的安全技術(shù)集成系統(tǒng)，我們稱之為第四代防火墻，它可以抵御目前常見的網(wǎng)絡(luò)攻擊手段，如IP地址欺騙、特洛伊木馬攻擊、Internet蠕蟲、口令探尋攻擊、郵件攻擊等等。

2、防火墻的定義和描述

“防火墻”這個(gè)術(shù)語參考來自應(yīng)用在建筑結(jié)構(gòu)里的安全技術(shù)。在樓宇里用來起分隔作用的墻，用來隔離不同的公司或房間，盡可能的起防火作用。一旦某個(gè)單元起火這種方法保護(hù)了其它的居住者。然而，多數(shù)防火墻里都有一個(gè)重要的門，允許人們進(jìn)入或離開大樓。因此，雖然防火墻保護(hù)了人們的安全，但這個(gè)門在提供增強(qiáng)安全性的同時(shí)允許必要的訪問。

在計(jì)算機(jī)網(wǎng)絡(luò)中，一個(gè)網(wǎng)絡(luò)防火墻扮演著防備潛在的惡意的活動(dòng)的屏障，并可通過一個(gè)”門”來允許人們?cè)谀愕陌踩W(wǎng)絡(luò)和開放的不安全的網(wǎng)絡(luò)之間通信。原來，一個(gè)防火墻是由一個(gè)單獨(dú)的機(jī)器組成的，放置在你的私有網(wǎng)絡(luò)和公網(wǎng)之間。近些年來，防火墻機(jī)制已發(fā)展到不僅僅是”firlwall box”，更多提及到的是堡壘主機(jī)。它現(xiàn)在涉及到整個(gè)從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的區(qū)域，由一系列復(fù)雜的機(jī)器和程序組成。簡(jiǎn)單來說，今天防火墻的主要概念就是多個(gè)組件的應(yīng)用。到現(xiàn)在你要準(zhǔn)備實(shí)施你的防火墻，需要知道你的公司需要什么樣的服務(wù)并且什么樣的服務(wù)對(duì)于內(nèi)部用戶和外部用戶都是有效的。

3、防火墻的任務(wù)

防火墻在實(shí)施安全的過程中是至關(guān)重要的。一個(gè)防火墻策略要符合四個(gè)目標(biāo)，而每個(gè)目標(biāo)通常都不是通過一個(gè)單獨(dú)的設(shè)備或軟件來實(shí)現(xiàn)的。大多數(shù)情況下防火墻的組件放在一起使用以滿足公司安全目的的需求。防火墻要能確保滿足以下四個(gè)目標(biāo)

4、實(shí)現(xiàn)一個(gè)公司的安全策略

防火墻的主要意圖是強(qiáng)制執(zhí)行你的安全策略。在前面的課程提到過在適當(dāng)?shù)木W(wǎng)絡(luò)安全中安全策略的重要性。舉個(gè)例子，也許你的安全策略只需對(duì)MAIL服務(wù)器的SMTP流量作些限制，那么你要直接在防火墻強(qiáng)制這些策略。

5、創(chuàng)建一個(gè)阻塞點(diǎn)

防火墻在一個(gè)公司私有網(wǎng)絡(luò)和分網(wǎng)問建立一個(gè)檢查點(diǎn)。這種實(shí)現(xiàn)要求所有的流量都要通過這個(gè)檢查點(diǎn)。一旦這些檢查點(diǎn)清楚地建立，防火墻設(shè)備就可以監(jiān)視，過濾和檢查所有進(jìn)來和出去的流量。網(wǎng)絡(luò)安全產(chǎn)業(yè)稱這些檢查點(diǎn)為阻塞點(diǎn)。通過強(qiáng)制所有進(jìn)出流量都通過這些檢查點(diǎn)，網(wǎng)絡(luò)管理員可以集中在較少的方來實(shí)現(xiàn)安全目的。如果沒有這樣一個(gè)供監(jiān)視和控制信息的點(diǎn)，系統(tǒng)或安全管理員則要在大量的地方來進(jìn)行監(jiān)測(cè)。檢查點(diǎn)的另一個(gè)名字叫做網(wǎng)絡(luò)邊界。

6、記錄Internet活動(dòng)

防火墻還能夠強(qiáng)制日志記錄，并且提供警報(bào)功能。通過在防火墻上實(shí)現(xiàn)日志服務(wù)，安全管理員可以監(jiān)視所有從外部網(wǎng)或互聯(lián)網(wǎng)的訪問。好的日志策略是實(shí)現(xiàn)適當(dāng)網(wǎng)絡(luò)安全的有效工具之一。防火墻對(duì)于管理員進(jìn)行日志存檔提供了更多的信息。

7、限制網(wǎng)絡(luò)暴露

防火墻在你的網(wǎng)絡(luò)周圍創(chuàng)建了一個(gè)保護(hù)的邊界。并且對(duì)于公網(wǎng)隱藏了你內(nèi)部系統(tǒng)的一些信息以增加保密性。當(dāng)遠(yuǎn)程節(jié)點(diǎn)偵測(cè)你的網(wǎng)絡(luò)時(shí)，他們僅僅能看到防火墻。遠(yuǎn)程設(shè)備將不會(huì)知道你內(nèi)部網(wǎng)絡(luò)的布局以及都有些什么。防火墻提高認(rèn)證功能和對(duì)網(wǎng)絡(luò)加密來限制網(wǎng)絡(luò)信息的暴露。通過對(duì)所能進(jìn)來的流量時(shí)行源檢查，以限制從外部發(fā)動(dòng)的攻擊。

8、防火墻的功能

從防火墻的功能來說，主要包含以下幾個(gè)方面：訪問控制，如應(yīng)用ACL進(jìn)行訪問控制；攻擊防范，如防止 SYN FLOOD 等； NAT;VPN ；路由；認(rèn)證和加密；日志記錄；支持網(wǎng)管等。

為了滿足多樣化的組網(wǎng)需求，降低用戶對(duì)其它專用設(shè)備的需求，減少用戶建網(wǎng)成本，防火墻上也常常把其它網(wǎng)絡(luò)技術(shù)結(jié)合進(jìn)來，例如支持 DHCP SERVER，DHCP RELAY;支持動(dòng)態(tài)路由，如RIP，OSPF等；支持撥號(hào)，PPPOE 等特性；支持廣域網(wǎng)口；支持透明模式(橋模式)；支持內(nèi)容過濾(如URL過濾)、防病毒和IDS等功能。

防火墻的發(fā)展，經(jīng)歷了從早期的簡(jiǎn)單包過濾，到今天廣泛應(yīng)用的狀態(tài)包過濾技術(shù)和應(yīng)用代理。其中狀態(tài)包過濾技術(shù)因?yàn)槠浒踩暂^好，速度快，得到最廣泛的應(yīng)用。

應(yīng)用代理雖然安全性更好，但它需要針對(duì)每一種協(xié)議開發(fā)特定的代理協(xié)議，對(duì)應(yīng)用的支持不夠好。但關(guān)鍵的是，它的性能比較差，從國(guó)外公開的防火墻測(cè)試報(bào)告來看，代理防火墻性能表現(xiàn)比較差，因此在網(wǎng)絡(luò)帶寬迅猛發(fā)展的情況下，已經(jīng)不能完全滿足需要。

此外，有的防火墻支持SOCK代理，這種代理屏蔽了協(xié)議本身，只要客戶端支持SOCK代理，該應(yīng)用在防火墻上就可以穿越。這種代理對(duì)于部分不公開的協(xié)議，如QQ的語音和視頻協(xié)議，采用其它技術(shù)，在NAT情況下很難實(shí)現(xiàn)對(duì)該協(xié)議的支持，但QQ軟件本身支持SOCK代理，如果防火墻支持SOCK代理協(xié)議，就可以實(shí)現(xiàn)對(duì)防火墻的穿越。但對(duì)于防火墻而言，不參與協(xié)議解碼，也意味著防火墻對(duì)該協(xié)議失去了監(jiān)測(cè)能力。

9、狀態(tài)檢測(cè)技術(shù)

狀態(tài)檢測(cè)技術(shù)要監(jiān)視每個(gè)連接發(fā)起到結(jié)束的全過程，對(duì)于部分協(xié)議，如FTP、H.323等協(xié)議，是有狀態(tài)的協(xié)議，防火墻必須對(duì)這些協(xié)議進(jìn)行分析，以便知道什么時(shí)候，從哪個(gè)方向允許特定的連接進(jìn)入和關(guān)閉。

狀態(tài)防火墻可以對(duì)特定的協(xié)議進(jìn)行解碼，因此安全性也比較好。有的防火墻可以對(duì)FTP、SMTP等有害命令進(jìn)行檢測(cè)和過濾，但因?yàn)樵趹?yīng)用層解碼分析，處理速度比較慢，為此，有的防火墻采用自適應(yīng)方式，因此處理速度很快。

狀態(tài)防火墻還有一個(gè)特色是，當(dāng)檢測(cè)到SYN FLOOD攻擊時(shí)，會(huì)啟動(dòng)代理。此時(shí)，如果是偽造源IP的會(huì)話，因?yàn)椴荒芡瓿扇龑游帐?，攻擊?bào)文就無法到達(dá)服務(wù)器，但正常訪問的報(bào)文仍然可達(dá)。

第二篇：防火墻技術(shù)的應(yīng)用

防火墻技術(shù)的應(yīng)用

作 者：郭 麗 指導(dǎo)老師：李爭(zhēng)艷

摘 要：為了保護(hù)計(jì)算機(jī)、服務(wù)器和網(wǎng)絡(luò)資源免遭攻擊破壞, 提出了防火墻技術(shù)是當(dāng)前比較流行而且是比較可行的一種網(wǎng)絡(luò)安全防護(hù)技術(shù)。本論文從實(shí)際應(yīng)用的角度對(duì)防火墻的應(yīng)用問題進(jìn)行了探討分析，闡述了防火墻的幾種技術(shù)及其應(yīng)用模式。最后，詳細(xì)介紹了防火墻的應(yīng)用設(shè)計(jì)。

關(guān)鍵詞：防火墻；防火墻技術(shù)；防火墻應(yīng)用模式；防火墻應(yīng)用設(shè)計(jì) 防火墻概述

防火墻是設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)絡(luò)與不可信任的外部公共網(wǎng)絡(luò)）或者不同網(wǎng)絡(luò)安全域之間的一系列部件（包括軟件和硬件）的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息和數(shù)據(jù)的唯一出入口，能夠根據(jù)網(wǎng)絡(luò)管理人員制定的網(wǎng)絡(luò)安全策略控制出入網(wǎng)絡(luò)的各種數(shù)據(jù)信息流，從而對(duì)所受保護(hù)的網(wǎng)絡(luò)提供信息安全服務(wù)。在邏輯上，防火墻是一個(gè)分離器、一個(gè)限制器，也是一個(gè)分析器，它有效地監(jiān)控了所要保護(hù)的內(nèi)部網(wǎng)和外部公共網(wǎng)絡(luò)之間的任何活動(dòng)，用于確定網(wǎng)絡(luò)哪些內(nèi)部服務(wù)允許外部訪問，以及內(nèi)部網(wǎng)絡(luò)主機(jī)訪問哪些外部服務(wù)等，從而保證了所要保護(hù)的內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)的穩(wěn)定正常運(yùn)行以及內(nèi)部網(wǎng)絡(luò)上數(shù)據(jù)和信息資源的完整性、可用性和保密性。不同技術(shù)的防火墻實(shí)現(xiàn)的功能的側(cè)重點(diǎn)不同，從某種意義來說，防火墻實(shí)際上代表了一個(gè)網(wǎng)絡(luò)的訪問控制原則。防火墻技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域中最為關(guān)鍵和有效的技術(shù)之一，它設(shè)置在相對(duì)安全的內(nèi)部網(wǎng)和相對(duì)不安全的而又具有大量資源和信息的外部網(wǎng)之間，執(zhí)行網(wǎng)絡(luò)安全策略，以有效地阻止來自外界的網(wǎng)絡(luò)攻擊，保護(hù)內(nèi)部網(wǎng)絡(luò)正常運(yùn)行以及資源和信息的安全。通過以上分析我們可以看出防火墻從理論上應(yīng)該具有下列特點(diǎn)：內(nèi)部和外部的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過防火墻；只有符合安全策略的數(shù)據(jù)流才能通過防火墻；防火墻本身應(yīng)該堅(jiān)固安全可靠。

第1頁(yè)(共14頁(yè))2 防火墻技術(shù)

防火墻技術(shù)分為包過濾，代理，NAT，狀態(tài)監(jiān)測(cè)等幾種技術(shù)。2.1 包過濾技術(shù)

包過濾工作在網(wǎng)絡(luò)層和邏輯鏈路層之間。日益增多的眾多IP路由產(chǎn)品正使包過濾成為一種改善網(wǎng)絡(luò)安全的工具。如果恰當(dāng)使用，對(duì)具有安全意識(shí)的網(wǎng)絡(luò)管理者來說，包過濾是一種有用的工具。但它的有效利用需要對(duì)它的實(shí)際能力和缺點(diǎn)的充分了解，以及對(duì)用于過濾器的特定協(xié)議的特點(diǎn)的充分了解。首先檢查包過濾作為一種網(wǎng)絡(luò)安全度量的效用，簡(jiǎn)要地比較了IP包過濾和其它的網(wǎng)絡(luò)安全方法如應(yīng)用級(jí)網(wǎng)關(guān)，描述了包過濾在每一個(gè)包中檢查什么，及涉及包過濾時(shí)的通用應(yīng)用協(xié)議的特性。然后鑒別和檢查了許多當(dāng)前包過濾實(shí)現(xiàn)中出現(xiàn)的一些共同問題，說明這些問題怎樣不費(fèi)力地破壞網(wǎng)絡(luò)管理者的意圖并導(dǎo)致一種虛假的安全感，并對(duì)這些問題提出解決方案。

這里把包過濾看作一種實(shí)現(xiàn)網(wǎng)絡(luò)安全策略的機(jī)制。需要考慮的事項(xiàng)是來自站點(diǎn)或網(wǎng)絡(luò)管理者的觀點(diǎn)(他們是那些在維持他們的站點(diǎn)或網(wǎng)絡(luò)足夠的安全時(shí)，對(duì)提供好的可能的服務(wù)給他們的用戶感興趣的人)，站點(diǎn)或網(wǎng)絡(luò)管理者的觀點(diǎn)必定和服務(wù)提供者或路由器供應(yīng)商所有的觀點(diǎn)不一樣(他們感興趣的是提供網(wǎng)絡(luò)服務(wù)或產(chǎn)品給用戶)。始終假定站點(diǎn)管理者通常對(duì)于阻止外面的人進(jìn)入更感興趣，而不是設(shè)法管轄內(nèi)部的人，并假定目的是阻止外而的人侵入和內(nèi)部的人偶爾接觸到有價(jià)值的數(shù)據(jù)或服務(wù)，而不是防止內(nèi)部的人有意地或惡意地暗中破壞安全措施。

包過濾能被用于實(shí)現(xiàn)各種不同的網(wǎng)絡(luò)安全策略。這些策略的第一個(gè)目的通常在于防止未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問，而沒有阻礙授權(quán)的訪問。未經(jīng)授權(quán)的訪問和授權(quán)的訪問的定義在不同機(jī)構(gòu)有很大的不同。第二個(gè)目的通常為機(jī)制在執(zhí)行用戶了解和安全措施的應(yīng)用程序認(rèn)識(shí)方面是透明的。另一個(gè)目的是機(jī)制對(duì)于配置和維護(hù)是簡(jiǎn)單的，從而提高策略被正確和徹底的實(shí)現(xiàn)的可能性?；蚨嗷蛏俚?，包過濾是完成所有這些目的的一種機(jī)制，但這只能通過對(duì)于它的優(yōu)勢(shì)和缺點(diǎn)的透徹地了解及它的實(shí)際能力的小心運(yùn)用來達(dá)到。

為了網(wǎng)絡(luò)安全，包過濾的一般的可供選擇的方法包括用網(wǎng)絡(luò)訪問保護(hù)

第2頁(yè)(共14頁(yè))每一臺(tái)機(jī)器和使用應(yīng)用網(wǎng)關(guān)。以全有或全無(一種非常粗糙的包過濾形式)為基礎(chǔ)允許網(wǎng)絡(luò)訪問，然后嘗試去保護(hù)具有網(wǎng)絡(luò)訪問權(quán)的每一臺(tái)機(jī)器一般是不切實(shí)際的，沒有幾個(gè)站點(diǎn)有辦法去保護(hù)并監(jiān)控每一臺(tái)需要偶然的網(wǎng)絡(luò)訪問的機(jī)器。應(yīng)用網(wǎng)關(guān)，諸如被AT&T, DEC和其他幾個(gè)機(jī)構(gòu)使用的那些，通常也是不切實(shí)際的。因?yàn)樗鼈優(yōu)榱说竭_(dá)外部主機(jī)，要求內(nèi)部主機(jī)運(yùn)行改良(通常被定做或其他方面不是通用的)版本的應(yīng)用程序(如FTP和Telnet)。如果一個(gè)恰當(dāng)改良版本的應(yīng)用程序?qū)τ谝粋€(gè)特定的主機(jī)(如適合于個(gè)人計(jì)算機(jī)的改良的Telnet客戶機(jī))是不可用的，內(nèi)部主機(jī)的用戶簡(jiǎn)直是不幸的，而且不能到達(dá)過去的應(yīng)用網(wǎng)關(guān)。

在這里用到的允許和拒絕同路由和丟棄的意義是相同的。如果路由器決定允許或路由一個(gè)包，那么它將被送到它的目的地，好像路由不曾發(fā)生。如果路由器決定拒絕或丟棄一個(gè)包，那么該包僅僅被丟棄，好像它不曾存在一樣。依賴于過濾實(shí)現(xiàn)(有時(shí)候是過濾說明)，路由器可能給被丟棄的包的源主機(jī)回送一個(gè)ICMP信息(通常為主機(jī)不可達(dá)信息)，或只是假裝不曾收到該包。另外，本文中，入站和出站通常用于從受保護(hù)網(wǎng)絡(luò)作為一個(gè)整體的觀點(diǎn)談到連接或包，有時(shí)用于從過濾器路由器(在內(nèi)部網(wǎng)絡(luò)邊緣，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間)的觀點(diǎn)談到包，或用于涉及包經(jīng)過的路由器接口。一個(gè)包在它到外部網(wǎng)絡(luò)的路上，對(duì)于過濾路由器來說，可能看來是入站的，但從內(nèi)部網(wǎng)絡(luò)作為一個(gè)整體來說，該包是出站的。一個(gè)出站連接是由內(nèi)部機(jī)器上的客戶機(jī)發(fā)起到外部機(jī)器上的服務(wù)器的連接。注意:當(dāng)連接作為一個(gè)整體是出站的，它既包括出站包(指那些從內(nèi)部客戶機(jī)到外部服務(wù)器的)又包括入站包(指那些從外部服務(wù)器回到內(nèi)部客戶機(jī)的)。同樣地，一個(gè)入站連接是一個(gè)由外部機(jī)器上的客戶機(jī)發(fā)起到內(nèi)部機(jī)器上的服務(wù)器的連接。對(duì)于一個(gè)包來說，入站接口是在包出現(xiàn)的過濾路由器上的接口，而出站接口是包將經(jīng)由它出去的接口，如果它不被應(yīng)用過濾規(guī)則拒絕的話。2.2代理技術(shù)

具有因特網(wǎng)訪問功能的主機(jī)代替其它主機(jī)完成與因特網(wǎng)的通信，這就是代理服務(wù)。代理只對(duì)單個(gè)(或很小一部分)主機(jī)提供因特網(wǎng)訪問服務(wù)，盡管它看起來像是對(duì)所有的主機(jī)提供服務(wù)。

代理服務(wù)其運(yùn)行在一個(gè)雙宿主主機(jī)或一個(gè)堡壘主機(jī)上:一些可以與用戶交談的主機(jī)同樣也可以與外界交談。用戶的代理程序與這個(gè)代理服務(wù)器

第3頁(yè)(共14頁(yè))交談，而不是直接與外部的因特網(wǎng)上的真實(shí)的服務(wù)器交談。這個(gè)代理服務(wù)器接收來自客戶的要求，應(yīng)決定哪個(gè)請(qǐng)求可以傳送，那個(gè)可以不考慮。如果一個(gè)請(qǐng)求是許可的，代理服務(wù)器就會(huì)代表客戶與真正的服務(wù)器交談，繼而將客戶請(qǐng)求傳達(dá)給真實(shí)服務(wù)器，并將真實(shí)服務(wù)器的應(yīng)答返回給客戶。代理服務(wù)對(duì)用戶是透明的，用戶與代理服務(wù)器交談就像與真實(shí)服務(wù)器交談一樣；而對(duì)真實(shí)服務(wù)器米說，它是于一個(gè)運(yùn)行于代理服務(wù)器主機(jī)上的用戶交談，而并不知道用戶的真實(shí)所在。代理技術(shù)有如下特點(diǎn)：

（1）代理服務(wù)允許用戶直接地訪問因特網(wǎng)服務(wù)

使用雙宿主主機(jī)方式，用戶需要在訪問任何因特網(wǎng)服務(wù)之前連入這個(gè)主機(jī)，通常這樣做很不方便，會(huì)使一些用戶變得很沮喪，以至于是他們?cè)诜阑饓χ車鷮ふ彝ǖ馈Ｊ褂么矸?wù)，用戶會(huì)認(rèn)為他們是在直接與因特網(wǎng)服務(wù)器進(jìn)行交流。

當(dāng)然，后臺(tái)仍會(huì)有更多程序在運(yùn)行，但它們對(duì)于用戶來說通常是透明的。當(dāng)代理服務(wù)允許用戶通過它們連入因特網(wǎng)時(shí)，它們不允許在用戶系統(tǒng)和因特網(wǎng)之間直接傳送數(shù)據(jù)包。數(shù)據(jù)包的傳輸?shù)缆肥情g接的:或者通過雙宿主主機(jī)，或者通過一個(gè)堡壘主機(jī)和屏蔽路由器系統(tǒng)。（2）代理服務(wù)可以優(yōu)化日志服務(wù)

因?yàn)榇矸?wù)器可以優(yōu)先選擇協(xié)議，所以它們?cè)试S日志服務(wù)以一種特殊有效的方式運(yùn)行。例如，一個(gè)FTP代理服務(wù)器可以只記錄已發(fā)出的命令和服務(wù)器返回的應(yīng)答，來代替記錄所有傳送的數(shù)據(jù)，這樣會(huì)產(chǎn)生一個(gè)小的多也有用的多的日志。

（3）代理服務(wù)滯后于非代理服務(wù)

盡管代理軟件廣泛用于類似FTP和Telnet這些陳舊的簡(jiǎn)單的服務(wù)，但新的或不常用服務(wù)的代理軟件卻較難找到。在一個(gè)新的服務(wù)出現(xiàn)以后，通常要經(jīng)過一個(gè)明顯的延遲，它的代理服務(wù)器才會(huì)出現(xiàn)，滯后時(shí)間的長(zhǎng)短主要依賴于為代理而設(shè)計(jì)的服務(wù)器。這時(shí)的一個(gè)站點(diǎn)在提供一項(xiàng)新的服務(wù)時(shí)，難以立刻提供相應(yīng)的代理服務(wù)。如果某個(gè)內(nèi)部子系統(tǒng)需要一種新的服務(wù)，那么在找到合適的代理軟件之前，將不得不把它置于防火墻之外，這等于打開了潛在的安全缺口。

（4）不同的服務(wù)可能要求不同的服務(wù)器

第4頁(yè)(共14頁(yè))可能需要為每項(xiàng)服務(wù)設(shè)置不同的代理服務(wù)器。因?yàn)榇矸?wù)器需要理解這個(gè)服務(wù)所用的協(xié)議，以判斷什么是允許的，什么是不允許的，并且它還得扮演兩個(gè)角色，對(duì)真實(shí)服務(wù)器來說它是用戶，對(duì)代理服務(wù)器來說它是真實(shí)服務(wù)器。挑選、安裝和配置所有這些不同的代理服務(wù)可能是一項(xiàng)龐大的工程。

根據(jù)所用的代理軟件的不同，配置的難易程度也大不相同，在一個(gè)地方容易做的事情可能在其它地方非常困難。例如，容易配置的服務(wù)器通常實(shí)用性比較差，它們之所以可以比較容易地配置，是因?yàn)樗鼈兿拗屏烁鞣N使用條件，這些條件可能是正確的，也可能根本不適合你的站點(diǎn)。（5）代理服務(wù)對(duì)用戶的限制比較多

代理服務(wù)器通常要求對(duì)用戶和使用過程進(jìn)行限制，每一種限制都有不足之處，人們無法按他們自己的步驟來隨心所欲地使用代理服務(wù)。由于這些限制，代理服務(wù)就不能像非代理服務(wù)運(yùn)行得那樣好，它們往往可能曲解協(xié)議，而且也缺少一定的靈活性。2.3 NAT技術(shù)

網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址。在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，讓這個(gè)偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí)，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個(gè)開放的IP地址和端口來請(qǐng)求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個(gè)訪問是否安全。當(dāng)符合規(guī)則時(shí)，防火墻認(rèn)為訪問是安全的，可以接受訪問請(qǐng)求，也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí)，防火墻認(rèn)為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請(qǐng)求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對(duì)于用戶來說是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。

NAT的工作過程如圖1所示：

在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，讓這個(gè)偽裝的第5頁(yè)(共14頁(yè))地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。

圖1 NAT工作過程

在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí)，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個(gè)開放的IP地址和端口來請(qǐng)求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個(gè)訪問是否安全。當(dāng)符合規(guī)則時(shí)，防火墻認(rèn)為訪問是安全的，可以接受訪問請(qǐng)求，也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí)，防火墻認(rèn)為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請(qǐng)求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對(duì)于用戶來說是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。2.4狀態(tài)監(jiān)測(cè)技術(shù)

這是繼“包過濾”技術(shù)和“應(yīng)用代理”技術(shù)后發(fā)展的防火墻技術(shù)，它是CheckPoint技術(shù)公司在基于“包過濾”原理的“動(dòng)態(tài)包過濾”技術(shù)發(fā)展而來的，與之類似的有其他廠商聯(lián)合發(fā)展的“深度包檢測(cè)”（Deep Packet Inspection）技術(shù)。這種防火墻技術(shù)通過一種被稱為“狀態(tài)監(jiān)視”的模塊，在不影響網(wǎng)絡(luò)安全正常工作的前提下采用抽取相關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各個(gè)層次實(shí)行監(jiān)測(cè)，并根據(jù)各種過濾規(guī)則做出安全決策。

“狀態(tài)監(jiān)測(cè)”技術(shù)在保留了對(duì)每個(gè)數(shù)據(jù)包的頭部、協(xié)議、地址、端口、第6頁(yè)(共14頁(yè))類型等信息進(jìn)行分析的基礎(chǔ)上，進(jìn)一步發(fā)展了“會(huì)話過濾”功能，在每個(gè)連接建立時(shí)，防火墻會(huì)為這個(gè)連接構(gòu)造一個(gè)會(huì)話狀態(tài)，里面包含了這個(gè)連接數(shù)據(jù)包的所有信息，以后這個(gè)連接都基于這個(gè)狀態(tài)信息進(jìn)行，這種檢測(cè)的高明之處是能對(duì)每個(gè)數(shù)據(jù)包的內(nèi)容進(jìn)行監(jiān)視，一旦建立了一個(gè)會(huì)話狀態(tài)，則此后的數(shù)據(jù)傳輸都要以此會(huì)話狀態(tài)作為依據(jù)，例如一個(gè)連接的數(shù)據(jù)包源端口是8000，那么在以后的數(shù)據(jù)傳輸過程里防火墻都會(huì)審核這個(gè)包的源端口還是不是8000，否則這個(gè)數(shù)據(jù)包就被攔截，而且會(huì)話狀態(tài)的保留是有時(shí)間限制的，在超時(shí)的范圍內(nèi)如果沒有再進(jìn)行數(shù)據(jù)傳輸，這個(gè)會(huì)話狀態(tài)就會(huì)被丟棄。狀態(tài)監(jiān)視可以對(duì)包內(nèi)容進(jìn)行分析，從而擺脫了傳統(tǒng)防火墻僅局限于幾個(gè)包頭部信息的檢測(cè)弱點(diǎn)，而且這種防火墻不必開放過多端口，進(jìn)一步杜絕了可能因?yàn)殚_放端口過多而帶來的安全隱患。

由于狀態(tài)監(jiān)視技術(shù)相當(dāng)于結(jié)合了包過濾技術(shù)和應(yīng)用代理技術(shù)，因此是最先進(jìn)的，但是由于實(shí)現(xiàn)技術(shù)復(fù)雜，在實(shí)際應(yīng)用中還不能做到真正的完全有效的數(shù)據(jù)安全檢測(cè)，而且在一般的計(jì)算機(jī)硬件系統(tǒng)上很難設(shè)計(jì)出基于此技術(shù)的完善防御措施（市面上大部分軟件防火墻使用的其實(shí)只是包過濾技術(shù)加上一點(diǎn)其他新特性而已）。

3防火墻的應(yīng)用模式

由于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和安全需求等方面的差異，在使用防火墻構(gòu)建網(wǎng)絡(luò)安全防護(hù)系統(tǒng)時(shí)，其應(yīng)用模式可能是千差萬別的?？偟膩碚f，比較典型的防火墻應(yīng)用模式有4種。

3.1屏蔽路由器（Screened Route）

這種應(yīng)用模式采用單一的分組過濾型防火墻或狀態(tài)檢測(cè)型防火墻來實(shí)現(xiàn)。通常，防火墻功能由路由器提供（在路由器上增加一個(gè)防火墻模塊），該路由器設(shè)置在內(nèi)部網(wǎng)與internet之間，根據(jù)預(yù)先設(shè)置的安全規(guī)則對(duì)進(jìn)人內(nèi)部網(wǎng)的信息流進(jìn)行安全過濾。在這種應(yīng)用模式中，防火墻功能也可以用單獨(dú)的防火墻設(shè)備或主機(jī)來實(shí)現(xiàn)，設(shè)置在內(nèi)部網(wǎng)與路由器之間。參見圖2：

內(nèi)部網(wǎng)

屏蔽

路由器

INTERNET

圖2 屏蔽路由器 第7頁(yè)(共14頁(yè))這種應(yīng)用模式的優(yōu)點(diǎn)是數(shù)據(jù)轉(zhuǎn)發(fā)速度快，岡絡(luò)性能損失較小，易于實(shí)現(xiàn)，費(fèi)用較低、它的缺點(diǎn)是安全性比較脆弱，尤其是分組過濾型防火墻，容易被人侵者攻破，進(jìn)而入侵內(nèi)部網(wǎng)。3.2雙宿主機(jī)網(wǎng)關(guān)（Dual Homed Gateway）

這種應(yīng)用模式采用單一的代理服務(wù)型防火墻來實(shí)現(xiàn)。通常，防火墻是由一個(gè)運(yùn)行代理服務(wù)軟件的主機(jī)實(shí)現(xiàn)的。這種主機(jī)稱為堡壘主機(jī)（Bastion Host），而具有兩個(gè)網(wǎng)絡(luò)接口的堡壘。主機(jī)稱為雙宿主機(jī)（Dual Home）。這種應(yīng)用模式由雙宿主機(jī)充當(dāng)內(nèi)部網(wǎng)與internet之間的網(wǎng)關(guān)，并在其上運(yùn)行代理服務(wù)器軟件，受保護(hù)的內(nèi)部網(wǎng)與Internet之間不能直接建立連接，必 須通過堡壘主機(jī)才能進(jìn)行通信外部用戶只能看到堡壘主機(jī)。而不能看到內(nèi)部網(wǎng)的實(shí)際服務(wù)器和其他資源。受保護(hù)網(wǎng)絡(luò)的所有開放服務(wù)必須由堡壘主機(jī)上的代理服務(wù)軟件來實(shí)施。參見圖3：

內(nèi)部網(wǎng)

堡壘

主機(jī)

INTERNET

圖3 雙宿主機(jī)網(wǎng)關(guān)

這種應(yīng)用模式的安全性略好一些。但仍然比較脆弱，因?yàn)楸局鳈C(jī)是惟一的安全屏障，一旦被人侵者攻破。內(nèi)部網(wǎng)將失去保護(hù)。3.3屏蔽主機(jī)網(wǎng)關(guān)（Screened Host Gateway）

這種應(yīng)用模式采用雙重防火墻來實(shí)現(xiàn)，一個(gè)是屏蔽路由器，構(gòu)成內(nèi)部網(wǎng)的第一道安全屏障；另一個(gè)是堡壘主機(jī)．構(gòu)成內(nèi)部網(wǎng)的第二道安全屏障。參見圖4：

內(nèi)部網(wǎng)

堡壘 主機(jī) 屏蔽 路由器

INTERNET

圖4 屏蔽主機(jī)網(wǎng)關(guān)

屏蔽路由器基于下列規(guī)則過濾分組流：堡壘主機(jī)是內(nèi)部網(wǎng)惟一的系統(tǒng)，允許外部用戶與堡壘主機(jī)建立連接，并且只能通過與堡壘主機(jī)建立連接來訪問內(nèi)部網(wǎng)提供的服務(wù)。由于這種應(yīng)用模式設(shè)有兩道安全屏障，并且是由兩種不同的防火墻構(gòu)成的，可以優(yōu)勢(shì)互補(bǔ)和相互協(xié)調(diào)。因此，具有較高的第8頁(yè)(共14頁(yè))安全性，并且比較靈活。

3.4屏蔽子網(wǎng)網(wǎng)關(guān)（Screened Subnet Gateway）

這種應(yīng)用模式是在內(nèi)部網(wǎng)與internet之間設(shè)置一個(gè)獨(dú)立的屏蔽子網(wǎng)，在內(nèi)部網(wǎng)與屏蔽子網(wǎng)之間和屏蔽子網(wǎng)與Internet之間都要沒置一個(gè)屏蔽路由器，堡壘主機(jī)連接在屏蔽子網(wǎng)上。堡壘主機(jī)是惟一的內(nèi)部網(wǎng)和Internet都能訪問的系統(tǒng)，但要受到屏蔽路由器過濾規(guī)則的限制。參見圖5：

屏蔽子網(wǎng)

內(nèi)部網(wǎng)

堡壘 主機(jī)

堡壘主機(jī)

屏蔽 路由器

INTERNET

圖5 屏蔽子網(wǎng)網(wǎng)關(guān)

在這種應(yīng)用模式中，內(nèi)部服務(wù)器設(shè)有三道安全屏障：兩個(gè)屏蔽路由器和堡壘主機(jī)，入侵者要入侵內(nèi)部網(wǎng)必須攻破兩個(gè)屏蔽路由器和堡壘主機(jī)，這顯然是相當(dāng)困難的。因此，具有更高的安全性，比較適合保護(hù)大型的網(wǎng)絡(luò)，但成本也比較高。防火墻的應(yīng)用設(shè)計(jì)

根據(jù)行業(yè)特征和應(yīng)用性質(zhì)可將網(wǎng)絡(luò)系統(tǒng)大致分成校園網(wǎng)、企業(yè)網(wǎng)、商務(wù)網(wǎng)、金融網(wǎng)、政務(wù)網(wǎng)以及軍用網(wǎng)等。這些網(wǎng)絡(luò)系統(tǒng)的安全需求是不相同的，必須采用與其應(yīng)用性質(zhì)相適應(yīng)的安全措施來構(gòu)建完整的網(wǎng)絡(luò)安全體系。以滿足各種網(wǎng)絡(luò)系統(tǒng)的安全需求，完整的網(wǎng)絡(luò)安全體系應(yīng)當(dāng)包括防護(hù)、檢測(cè)、響應(yīng)和管理等各個(gè)環(huán)節(jié)，不是單靠某一種安全技本來解決的，也要形成一個(gè)動(dòng)態(tài)的安全防護(hù)系統(tǒng)。其中，防火墻是整個(gè)網(wǎng)絡(luò)安全體系的基礎(chǔ)和關(guān)鍵環(huán)節(jié)，也是一種常用的安全防護(hù)技術(shù)，它作為第一道安全屏障最容易受到人侵者的攻擊。因此，除了防火墻本身應(yīng)具有較好的安全防護(hù)能力之外，防火墻的應(yīng)用方案設(shè)計(jì)也是十分重要的。

第9頁(yè)(共14頁(yè))防火墻的應(yīng)用方案設(shè)計(jì)一般包括安全需求分析、網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)和安全策略設(shè)計(jì)3部分。4.1安全需求分析

根據(jù)網(wǎng)絡(luò)應(yīng)用性質(zhì)，可以將網(wǎng)絡(luò)應(yīng)用環(huán)境分成3種：開放的、專用的和內(nèi)部的。不同的網(wǎng)絡(luò)應(yīng)用環(huán)境所面臨的安全風(fēng)險(xiǎn)和需求是不同的，其安全解決方案也有所不同。

（1）開放的網(wǎng)絡(luò)應(yīng)用環(huán)境：在開放的網(wǎng)絡(luò)應(yīng)用環(huán)境中，網(wǎng)絡(luò)服務(wù)和信息內(nèi)容向internet上的所有用戶完全開放，如連接在Internet上的各種開放的Web服務(wù)器等。這種開放的應(yīng)用環(huán)境一般不存在信息內(nèi)容保密和用戶身份驗(yàn)證問題，它所面臨的安全風(fēng)險(xiǎn)是拒絕服務(wù)（Dos）篡改網(wǎng)頁(yè)內(nèi)容以及被非法利用等。這些安全風(fēng)險(xiǎn)需要采用多種安全措施來防范，包括使用接納控制技術(shù)阻止入侵者非法獲取系統(tǒng)控制權(quán)、使用防火墻技術(shù)過濾“有害”的信息，使用“補(bǔ)丁”程序來阻塞系統(tǒng)安全漏洞，使用入侵檢測(cè)技術(shù)來檢測(cè)和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為等。這種應(yīng)用環(huán)境的安全要求相對(duì)較低，防火墻的作用是次要的，必要時(shí)可采用屏蔽路由器模式。

（2）專用的網(wǎng)絡(luò)應(yīng)用環(huán)境：在專用的網(wǎng)絡(luò)應(yīng)用環(huán)境中，網(wǎng)絡(luò)服務(wù)和信息內(nèi)容是半開放的。只允許授權(quán)用戶通過Internet來訪問。這些授權(quán)用戶是可信任的，他們通常是商業(yè)合作伙伴或者本單位的外地員工。這種專用的應(yīng)用環(huán)境所面臨的安全風(fēng)險(xiǎn)是假冒合法用戶獲取信息以及信息傳輸過程中被非法截獲或者篡改等。前者屬于網(wǎng)絡(luò)安全問題，主要是用防火墻等技術(shù)來防范；后者屬于信息安全問題，主要采用VPN等枝術(shù)來解決信息傳輸過程中的數(shù)據(jù)機(jī)密性和數(shù)據(jù)完整性問題。

在這種網(wǎng)絡(luò)應(yīng)用環(huán)境中，一般要在內(nèi)部網(wǎng)與Internet之間設(shè)置防火墻，并通過安全規(guī)則來控制外部用戶對(duì)內(nèi)部網(wǎng)資源（如Web服務(wù)器和其他服務(wù)器）的訪問。根據(jù)網(wǎng)絡(luò)服務(wù)的安全要求，選擇適當(dāng)?shù)姆阑饓?yīng)用模式來建立網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。除了防火墻外，還應(yīng)當(dāng)使用VPN技術(shù)、基于數(shù)字證書的訪問控制技術(shù)等來解決信息交換安全問題。

（3）內(nèi)部的網(wǎng)絡(luò)應(yīng)用環(huán)境：在內(nèi)部的網(wǎng)絡(luò)應(yīng)用環(huán)境中，內(nèi)部網(wǎng)與Internet是物理隔離的，網(wǎng)絡(luò)服務(wù)器沒置在內(nèi)部網(wǎng)，只允許內(nèi)部用戶通過內(nèi)部網(wǎng)訪問網(wǎng)絡(luò)服務(wù)器，這是一種封閉的網(wǎng)絡(luò)環(huán)境。它所面臨的安全風(fēng)險(xiǎn)是內(nèi)部用戶的非授權(quán)訪問，竊取和泄露機(jī)密信息等。其防范措施主要側(cè)重

第10頁(yè)(共14頁(yè))于解決內(nèi)部用戶對(duì)內(nèi)部網(wǎng)的攻擊問題，如采用VLAN、訪問控制、安全審計(jì)和安全管理等防范措施。

由于不同的網(wǎng)絡(luò)應(yīng)用環(huán)境所面臨的安全風(fēng)險(xiǎn)是各不相同的，不能一概而論。因此必須針對(duì)不同網(wǎng)絡(luò)應(yīng)用環(huán)境所面臨的安全風(fēng)險(xiǎn)采取適當(dāng)?shù)陌踩胧﹣碓鰪?qiáng)系統(tǒng)安全性。在系統(tǒng)安全性、網(wǎng)絡(luò)性能損失和系統(tǒng)費(fèi)用等方面尋找一個(gè)最佳平衡點(diǎn)，減少盲目性。4.2網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)

在上述的4種防火墻應(yīng)用模式中，每一種應(yīng)用模式所提供的安全防護(hù)能力和系統(tǒng)費(fèi)用都是不相同的。在網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)中，應(yīng)當(dāng)根據(jù)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全需求來構(gòu)造網(wǎng)絡(luò)安全體系。

在安全要求不高的情況下，一般采用屏蔽路由器或雙宿主機(jī)網(wǎng)關(guān)應(yīng)用模式來構(gòu)造網(wǎng)絡(luò)安全系統(tǒng)。這樣在滿足系統(tǒng)安全需求前提下，有利于降低系統(tǒng)費(fèi)用，簡(jiǎn)化網(wǎng)絡(luò)管理。在屏蔽路由器或雙穴主機(jī)網(wǎng)關(guān)應(yīng)用模式不能滿足系統(tǒng)安全需求的情況下，可以考慮采用屏蔽主機(jī)網(wǎng)關(guān)或屏蔽子網(wǎng)網(wǎng)關(guān)應(yīng)用模式。

例如：在基于屏蔽子網(wǎng)網(wǎng)關(guān)應(yīng)用模式構(gòu)建的網(wǎng)絡(luò)安全系統(tǒng)中，必須將內(nèi)部網(wǎng)劃分為3個(gè)子網(wǎng)：內(nèi)部子網(wǎng)、屏蔽子網(wǎng)與外部網(wǎng)（如Internet）。不同子網(wǎng)的安全需求是不同的。屏蔽子網(wǎng)網(wǎng)關(guān)模式采用了兩個(gè)屏蔽路由器，一個(gè)位于內(nèi)都子網(wǎng)和屏蔽子網(wǎng)之間的內(nèi)部屏蔽路由器；另一個(gè)位子屏蔽子網(wǎng)與外部網(wǎng)之間的外部屏蔽路由器。從網(wǎng)絡(luò)體系結(jié)構(gòu)上通過屏蔽子網(wǎng)將內(nèi)部子網(wǎng)與不可信的外部網(wǎng)隔離開。外部屏蔽路由器的作用是保證外部網(wǎng)發(fā)來的數(shù)據(jù)包只能到達(dá)屏蔽子網(wǎng)，而且只能將屏蔽子網(wǎng)中的數(shù)據(jù)包輸出到外部網(wǎng)上。內(nèi)部屏蔽路由器的作用是保證內(nèi)部網(wǎng)發(fā)來的數(shù)據(jù)包只能輸出到屏蔽子網(wǎng)上，而不能到達(dá)外部網(wǎng)。這樣內(nèi)部網(wǎng)和外部網(wǎng)之間不能直接通信，雙方都只能到達(dá)屏蔽子網(wǎng)。由于屏蔽子網(wǎng)是內(nèi)部子網(wǎng)與外部網(wǎng)之間的隔離區(qū)，所以屏蔽子網(wǎng)也稱為“非軍事區(qū)”或“?；饏^(qū)”。圖6所示是一種基于屏蔽子網(wǎng)網(wǎng)關(guān)應(yīng)用模式的網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)。

第11頁(yè)(共14頁(yè))

圖6 網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)

內(nèi)部屏蔽路由器還應(yīng)當(dāng)提供網(wǎng)絡(luò)地址翻譯器（NAT）功能。NAT允許在內(nèi)部網(wǎng)絡(luò)中使用私有IP地址。而私有IP地址在internet中是不可見的，可見的只是代理服務(wù)器的公用IP地址。這樣，在屏蔽內(nèi)部子網(wǎng)結(jié)構(gòu)的同時(shí)，還解決了公用IP地址短缺問題。

對(duì)于各種對(duì)外開放的網(wǎng)絡(luò)服務(wù)器，如Web服務(wù)器、FTP服務(wù)器、E-mail服務(wù)器以及DNS服務(wù)器等可以放置在屏蔽子網(wǎng)中。為了使內(nèi)部用戶能夠仿問Internet，在屏蔽子網(wǎng)上設(shè)置一個(gè)堡壘主機(jī)，提供代理服務(wù)器功能。這樣，既可以使外部用戶能方便瀏覽開放的信息服務(wù)、與內(nèi)部網(wǎng)用戶交換郵件等，又防止了外部用戶攻擊內(nèi)部網(wǎng)，篡改數(shù)據(jù)或破壞系統(tǒng)。在這種網(wǎng)絡(luò)安全體系結(jié)構(gòu)中，入侵者想要攻擊內(nèi)部網(wǎng)，必須連續(xù)地攻破外部分組過濾器、代理服務(wù)器和內(nèi)部分組過濾器等三道防火墻。即使高明的黑客也是相當(dāng)困難的。

合理地配置防火墻可以防御多種網(wǎng)絡(luò)攻擊，例如：

（1）在防火墻中配置多塊網(wǎng)卡，不同的網(wǎng)卡對(duì)應(yīng)于不同的網(wǎng)段，通過將網(wǎng)卡與對(duì)應(yīng)網(wǎng)段綁定，可以防御IP地址欺騙的攻擊。

（2）在防火墻中阻塞ICMP報(bào)文，只允許某些類型（如回應(yīng)請(qǐng)求類型）的ICMP報(bào)文通過，可以防御“Ping Of death”之類的攻擊。

（3）在防火墻中阻塞ActiveX和Java Applets程序，可以防御惡意程序?qū)?nèi)部主機(jī)進(jìn)行攻擊。

（4）在防火墻中使用NAT功能，所有從防火墻流出的IP數(shù)據(jù)包的源地址均為防火墻上保留的合法IP地址，不僅可以使內(nèi)部主機(jī)共享有限的 Internet IP地址，而且能夠隱藏內(nèi)部網(wǎng)絡(luò)信息。

（5）在防火墻中使用認(rèn)證功能，可以對(duì)主機(jī)地址、網(wǎng)卡地址和主機(jī)名進(jìn)行認(rèn)證，還可以對(duì)用戶身份進(jìn)行認(rèn)證，例如采用口令認(rèn)證、RADIUS認(rèn)證以及硬件參與認(rèn)證等，可以防御地址欺騙、身份假冒等攻擊。

另外，對(duì)于處于不同地理位置上的內(nèi)部網(wǎng)通過Internet交換信息時(shí)，可以采用VPN技術(shù)來解決信息傳輸過程中的數(shù)據(jù)機(jī)密性和數(shù)據(jù)完整性問題。在這種情況下，應(yīng)當(dāng)在屏蔽子網(wǎng)設(shè)置一個(gè)VPN網(wǎng)關(guān)，兩個(gè)內(nèi)部網(wǎng)之間通過VPN網(wǎng)關(guān)建立一個(gè)安全的傳輸隧道，實(shí)現(xiàn)數(shù)據(jù)安全傳輸。這意味著可信的外部用戶只能邁過VPN隧道穿越內(nèi)部網(wǎng)的防火墻，而在建立VPN隧道時(shí)，雙方的身份是經(jīng)過認(rèn)證的，都是可信的用戶。

第12頁(yè)(共14頁(yè))4.3安全策略設(shè)計(jì)

在圖6所示的網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)中，設(shè)有3個(gè)防火墻：外部分組過濾器（由外部屏蔽路由器提供）、內(nèi)部分組過濾器（由內(nèi)部屏蔽路由器提供）和代理服務(wù)器（由堡壘主機(jī)提供）。根據(jù)網(wǎng)絡(luò)應(yīng)用的安全需求，必須分別為它們?cè)O(shè)計(jì)安全策略和規(guī)則。

（1）外部分組過濾器：外部分組過濾的缺省規(guī)則為禁止所有服務(wù)。主機(jī)規(guī)則為允許外部用戶訪問屏蔽子網(wǎng)中開放的服務(wù)器（如 Web服務(wù)器、FTP服務(wù)器等），允許外部用戶連接安全代理服務(wù)器。每次連接都要產(chǎn)生日志記錄，供以后安全審計(jì)使用。

（2）內(nèi)部分組過濾器：內(nèi)部分組過濾的缺省規(guī)則為禁止所有服務(wù)。主機(jī)規(guī)則為允許內(nèi)部用戶連接屏蔽子網(wǎng)中的主機(jī)。每次連接都要產(chǎn)生日志記錄。通過地址轉(zhuǎn)換功能，使所有使用內(nèi)部IP地址的用戶都能共用一個(gè)合法外都IP地址訪問外部網(wǎng)絡(luò)（如Internet）。

（3）代理服務(wù)器：代理服務(wù)器的缺省規(guī)則為禁止聽有連接．它允許內(nèi)部用戶訪向外部網(wǎng)絡(luò)的web站點(diǎn)，并提供代理功能，對(duì)所代理的連接進(jìn)行安全檢查，禁止內(nèi)部用戶訪問非法站點(diǎn)，并產(chǎn)生日志記錄。它還為內(nèi)部郵件服務(wù)器與外部郵件服務(wù)器之間的連接提供代理。對(duì)郵件的大小、數(shù)量，發(fā)送者、接收者，甚至內(nèi)容進(jìn)行檢查，并產(chǎn)生日志記錄。它在代理 Telnet和 FTP內(nèi)部服務(wù)器時(shí)，要求驗(yàn)證用戶的身份，允許合法用戶以規(guī)定的權(quán)限上載和下載服務(wù)器中的文件，并產(chǎn)生日志記錄。

為了支持防火墻的系統(tǒng)配置、規(guī)則設(shè)置、日志查看和安全審計(jì)等管理操作，一般的防火墻產(chǎn)品都提供一種圖形化界面的管理軟件。在完成網(wǎng)絡(luò)體系結(jié)構(gòu)設(shè)計(jì)和各個(gè)防火墻的安全策略設(shè)計(jì)后，便可以著手配置各個(gè)防火墻的系統(tǒng)參數(shù)和安全規(guī)則。在網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)體系結(jié)構(gòu)發(fā)生變化時(shí)，應(yīng)當(dāng)及時(shí)修改防火墻的安全策略，避免可能產(chǎn)生的安全漏洞。在防火墻工作過程中，可以通過管理軟件監(jiān)視防火墻的日志信息，定期進(jìn)行安全審計(jì)，及時(shí)發(fā)現(xiàn)系統(tǒng)可能存在的安全漏洞，入侵者的攻擊行為以及其他違反安全規(guī)則的行為，為網(wǎng)絡(luò)安全管理提供決策依據(jù)。結(jié)束語

第13頁(yè)(共14頁(yè))本論文主要研究防火墻技術(shù)的應(yīng)用，從防火墻的簡(jiǎn)單概述展開，描述了防火墻的四種技術(shù)，防火墻的應(yīng)用模式。最后，闡述了防火墻的應(yīng)用設(shè)計(jì)。旨在展望網(wǎng)絡(luò)安全，即防火墻技術(shù)的未來狀況。

參 考 文 獻(xiàn)

[1] 蔡皖東.網(wǎng)絡(luò)與信息安全[M].西安：西北工業(yè)大學(xué)出版社，2004.[2] 魏利華.防火墻技術(shù)研究[J].淮陰工業(yè)學(xué)院學(xué)報(bào)：計(jì)算機(jī)科學(xué)技術(shù)版，2003，38（4）：21-33.[3] 蔣建春，馮登國(guó).網(wǎng)絡(luò)入侵檢測(cè)技術(shù)原理與技術(shù)[M].北京：國(guó)防工業(yè)出版社，2005.[4] 陸楠.現(xiàn)代網(wǎng)絡(luò)技術(shù)[M].西安：西安電子科技大學(xué)出版社，2003.[5] 劉克龍，蒙楊.一種新型的防火墻系統(tǒng)[J].淮陰工業(yè)學(xué)院學(xué)報(bào)：計(jì)算機(jī)科學(xué)技術(shù)版，2005，46（6）：11-14.[6] 張凡，李丹靈.網(wǎng)絡(luò)信息安全的真相[J].深圳大學(xué)學(xué)報(bào)：計(jì)算機(jī)科學(xué)技術(shù)版，2006，24（5）：12-19.[7] 陳功富.現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)[M].北京：電子工業(yè)出版社，2005.[8] 鄧吉，柳靖.黑客防攻實(shí)戰(zhàn)詳解[M].北京：電子工業(yè)出版社，2006.[9] 郭鑫.防黑檔案[M].北京：電子工業(yè)出版社.2003.[10]薛靜鋒.入侵檢測(cè)技術(shù)[M].機(jī)械工業(yè)出版社，2004.[11]鄧亞平.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].北京：人民郵電出版社.2004.[12]李濤.網(wǎng)絡(luò)安全概論[M].北京:電子工業(yè)出版社.2004.Application of Firewall technology

Guo Li Abstract：To protect the personal computer, the server and the network resource from attacking and keep them safe from being destroyed, the firewall technology is popular used and applied successfully in network safeguard field.The paper mainly analyzes the application of firewall from a point of practical usage and expound the applied design of firewall in the end after introducing several techniques and applied patterns.Key words：Firewall;Firewall technology;Firewall application pattern;Firewall using design

第14頁(yè)(共14頁(yè))

第三篇：初中信息技術(shù)應(yīng)用現(xiàn)狀調(diào)查及討論

初中信息技術(shù)應(yīng)用現(xiàn)狀調(diào)查及思考

一、調(diào)查目的：

二、調(diào)查方法：

三、調(diào)查范圍：

四、調(diào)查內(nèi)容：

五、調(diào)查結(jié)果

學(xué)科教師調(diào)查結(jié)果

（一）教師對(duì)信息技術(shù)運(yùn)用于教學(xué)所持的態(tài)度

（二）教師的信息技術(shù)能力和運(yùn)用信息技術(shù)的情況

1、教師的信息技術(shù)能力

2、教師在教學(xué)過程中運(yùn)用信息技術(shù)的情況

（三）教師培訓(xùn)情況

1、教師對(duì)培訓(xùn)所持態(tài)度

2、教師參加培訓(xùn)情況

3、教師對(duì)培訓(xùn)的期望

（四）教學(xué)資源使用情況

1、教師對(duì)教學(xué)資源的收集和利用情況

2、教師最需要的教學(xué)資源

信息技術(shù)學(xué)科教學(xué)及學(xué)生調(diào)查結(jié)果

1、教師負(fù)擔(dān)過重，學(xué)生認(rèn)識(shí)不足

2、學(xué)生在校應(yīng)用信息技術(shù)情況（包括上課情況）

3、學(xué)生對(duì)信息技術(shù)學(xué)科的學(xué)習(xí)態(tài)度

六、主要結(jié)論與對(duì)策建議

（一）主要結(jié)論和問題

（二）對(duì)策建議

1、教學(xué)資源建設(shè)

2、為學(xué)科教師提供更高層次的培訓(xùn)機(jī)會(huì)

3、配置足夠的專業(yè)教師，并大量培養(yǎng)具有較高水平的信息技術(shù)人才

4、制定切實(shí)可行的考核方式

5、為學(xué)生提供更多的使用計(jì)算機(jī)和網(wǎng)絡(luò)的機(jī)會(huì)

二、教育信息化重在應(yīng)用，教師及學(xué)生在教育信息化應(yīng)用中應(yīng)處于主體地位。為了深入了解各中學(xué)應(yīng)用信息技術(shù)的情況，縣教研室開展了對(duì)各中學(xué)信息技術(shù)應(yīng)用情況的問卷調(diào)查。

一、調(diào)查目的：

通過對(duì)各中學(xué)學(xué)科教師在教學(xué)中應(yīng)用信息技術(shù)的情況及學(xué)生在校應(yīng)用信息技術(shù)的情況的調(diào)查，了解學(xué)科教師信息技術(shù)與課程整合的現(xiàn)狀及存在問題，掌握學(xué)生對(duì)設(shè)備的使用情況，獲得一線教師與學(xué)生對(duì)于信息技術(shù)的態(tài)度,使用信息技術(shù)水平、培訓(xùn)情況,對(duì)教學(xué)資源的占有和利用情況。

二、調(diào)查方法：

本次調(diào)查主要采取問卷調(diào)查、教師訪談、學(xué)生訪談等多種研究方法，該調(diào)查主要由縣教研室負(fù)責(zé)組織和實(shí)施，主要分為兩個(gè)部分:于2006年10月至2006年12月給各中學(xué)發(fā)放教

師問卷，其中填寫問卷及接受訪談的教師中有35.9%來自城鎮(zhèn)，64.1%來自農(nóng)村，中青年教師占大多數(shù)。填寫問卷及接受訪談的學(xué)生，30.1%來自城鎮(zhèn)，69.9%來自農(nóng)村。

三、調(diào)查范圍：

高陵縣13所中學(xué)教師及學(xué)生。

四、調(diào)查內(nèi)容：

調(diào)查內(nèi)容主要分為兩大部分：

學(xué)科教師的調(diào)查包括：教師對(duì)信息技術(shù)應(yīng)用于教學(xué)所持的態(tài)度、教師在教學(xué)中運(yùn)用信息技術(shù)的情況、教師培訓(xùn)情況.教學(xué)資源占有和使用情況。

信息技術(shù)學(xué)科教學(xué)及學(xué)生調(diào)查包括：學(xué)校信息技術(shù)教師對(duì)該學(xué)科教學(xué)的態(tài)度、學(xué)生在校應(yīng)用信息技術(shù)情況、學(xué)生對(duì)信息技術(shù)學(xué)科的學(xué)習(xí)態(tài)度。

五、調(diào)查結(jié)果

根據(jù)問卷設(shè)計(jì)，我們把調(diào)查結(jié)果分為兩方面,一是學(xué)科教師調(diào)查結(jié)果，二是信息技術(shù)學(xué)科教學(xué)及學(xué)生調(diào)查結(jié)果。

學(xué)科教師調(diào)查結(jié)果

（一）教師對(duì)信息技術(shù)運(yùn)用于教學(xué)所持的態(tài)度

在被調(diào)查的教師中，對(duì)信息技術(shù)運(yùn)用于教學(xué)持各種態(tài)度的教師所占比例如下：認(rèn)為信息技術(shù)對(duì)于教學(xué)很有用的教師占85.2%，認(rèn)為較有用的教師占13.5%，還有1.3%的教師認(rèn)為有點(diǎn)用，沒有教師認(rèn)為信息技術(shù)對(duì)于教學(xué)用處不大。調(diào)查數(shù)據(jù)表明，大多數(shù)教師已經(jīng)意識(shí)到信息技術(shù)對(duì)于教學(xué)的有效促進(jìn)作用。

（二）教師的信息技術(shù)能力和運(yùn)用信息技術(shù)的情況

在信息化的教育環(huán)境中，一種新的基于資源型的學(xué)習(xí)方式無疑會(huì)成為重要的教學(xué)模式之一。在這種模式中，教師需要首先通過計(jì)算機(jī)和網(wǎng)絡(luò)等信息工具獲取相應(yīng)的信息，對(duì)教學(xué)內(nèi)容進(jìn)行及時(shí)有效的補(bǔ)充和改進(jìn)，以便提高教學(xué)質(zhì)量，優(yōu)化教學(xué)過程。教育信息化要求各學(xué)科教師具有良好的信息素養(yǎng)以及較強(qiáng)的運(yùn)用信息工具的能力。為了解高陵縣中學(xué)教師的信息技術(shù)能力，問卷及訪談針對(duì)教師對(duì)一些常用的軟件、服務(wù)器的使用、掌握情況進(jìn)行了調(diào)查，具體包括：文字處理軟件、電子表格軟件、演示文稿制作軟件、多媒體課件使用、因特網(wǎng)使用和網(wǎng)絡(luò)服務(wù)使用。

1、教師的信息技術(shù)能力

調(diào)查數(shù)據(jù)表明，大部分中學(xué)教師已經(jīng)掌握了一些基本的軟件工具（如WORD、POWERPOINT、EXCEL）的使用，具備了一定程度的信息工具運(yùn)用技能，及課件制作能力。網(wǎng)絡(luò)上有豐富的教學(xué)資源，為教師的教學(xué)帶來了極大的方便，調(diào)查結(jié)果顯示，經(jīng)常使用因特網(wǎng)的教師占61.7%，其中在城市中學(xué)工作的教師占35.9%；對(duì)于各種網(wǎng)絡(luò)服務(wù)的使用情況也比較好，其中在農(nóng)村中學(xué)工作的教師中有40.1%都經(jīng)常使用網(wǎng)絡(luò)服務(wù)。這些數(shù)據(jù)一方面說明了教師的信息技術(shù)能力已有了較好的掌握，另一方面，農(nóng)村中學(xué)也已經(jīng)為教師提供了較好的信息技術(shù)運(yùn)用的環(huán)境和條件。

2、教師在教學(xué)過程中運(yùn)用信息技術(shù)的情況

信息技術(shù)作為工具進(jìn)入教學(xué)過程是教育信息化的第一步，教師在教學(xué)中使用信息技術(shù)工具可以增加教學(xué)信息量，從而提高教學(xué)水平和效率。在這次調(diào)查中發(fā)現(xiàn)，教師在教學(xué)中對(duì)信息技術(shù)的運(yùn)用比較理想。從調(diào)查數(shù)據(jù)來看，有51.2%的教師經(jīng)常運(yùn)用信息技術(shù)教學(xué)，43.2%的教師偶爾使用信息技術(shù)進(jìn)行教學(xué)，不用信息技術(shù)教學(xué)的教師人數(shù)只占被調(diào)查教師人數(shù)的5.6%。調(diào)查發(fā)現(xiàn)，教師運(yùn)用信息技術(shù)的目的主要是為充分發(fā)揮其優(yōu)勢(shì)，提高教學(xué)效率，并提高學(xué)生的學(xué)習(xí)積極性。大多數(shù)教師已經(jīng)從內(nèi)心深處把信息技術(shù)作為一種資源獲取、加工、利用，深入到服務(wù)為教學(xué)的層面上。

（三）教師培訓(xùn)情況

1、教師對(duì)培訓(xùn)所持態(tài)度

由于傳統(tǒng)教學(xué)方式對(duì)教師的影響根深蒂固，信息技術(shù)的發(fā)展日新月異，對(duì)于習(xí)慣于傳統(tǒng)教學(xué)方式的教師來說，接受并主動(dòng)在教學(xué)中運(yùn)用信息技術(shù)無疑是一大挑戰(zhàn)，要使教師盡快跟上教育信息化的步伐，首先要使其從觀念上接納信息技術(shù)并具有一定的信息技術(shù)能力，培訓(xùn)在這一過程中有著重要的作用。數(shù)據(jù)表明，絕大多數(shù)教師已經(jīng)意識(shí)到培訓(xùn)的重要性。

2、教師參加培訓(xùn)情況

為提高教師的信息素養(yǎng)，高陵縣積極組織中學(xué)學(xué)科教師參加各種培訓(xùn)，尤其是農(nóng)村中學(xué)教師。調(diào)查結(jié)果顯示90%以上的教師參加過信息技術(shù)培訓(xùn)，大多數(shù)教師參加的是校本培訓(xùn)，有一少部分教師參加過市縣級(jí)培訓(xùn)，這與我縣對(duì)教師培訓(xùn)所采取的以點(diǎn)帶面的策略有關(guān)，首先由各校的骨干教師參加較高級(jí)別的培訓(xùn)，其次是骨干教師對(duì)各學(xué)校的一部分教師進(jìn)行培訓(xùn)，最后由這些教師對(duì)全校教師開展校本培訓(xùn)，這種層層推進(jìn)的培訓(xùn)方式不僅節(jié)省了培訓(xùn)經(jīng)費(fèi)，而且有利于培訓(xùn)工作的開展。

3、教師對(duì)培訓(xùn)的期望

由于大多數(shù)教師受原有知識(shí)結(jié)構(gòu)的影響及相關(guān)學(xué)科教學(xué)經(jīng)驗(yàn)的局限，在教學(xué)過程中，仍沿用傳統(tǒng)教育的思想觀念和教學(xué)模式，在知識(shí)信息呈現(xiàn)方式、教學(xué)方法和教學(xué)評(píng)價(jià)上沒有實(shí)質(zhì)性的轉(zhuǎn)變。因此，為了盡快改變這種現(xiàn)狀，應(yīng)加大教師培訓(xùn)的力度。為了提高培訓(xùn)的成效，問卷針對(duì)培訓(xùn)的方式、時(shí)間征求了教師的意見，調(diào)查顯示，在培訓(xùn)內(nèi)容方面，有49.5%的教師認(rèn)為應(yīng)該在技術(shù)與理論結(jié)合方面接受培訓(xùn)，30.2%的教師認(rèn)為培訓(xùn)應(yīng)提供更多的范例與方法，期望在技術(shù)方法得到提高的教師占10.5%，另外還有8.8%的教師認(rèn)為應(yīng)該在理念方面接受培訓(xùn)；在培訓(xùn)方式方面，教師比較喜歡的培訓(xùn)方式是專家引領(lǐng)和經(jīng)驗(yàn)交流；在培訓(xùn)的授課方式方面，大多數(shù)（約50%）認(rèn)為應(yīng)采取綜合型的授課方式，32.4%的教師傾向于演示型的授課方式，也有一小部分教師期望提供講授型和討論型授課方式；在培訓(xùn)時(shí)間方面，有62.2%的教師認(rèn)為培訓(xùn)時(shí)間應(yīng)在七天以上，22.2%的教師認(rèn)為五天的培訓(xùn)時(shí)間較合適，這一數(shù)據(jù)表明，要提高培訓(xùn)效果首先要給予時(shí)間上的保證。

（四）教學(xué)資源使用情況

1、教師對(duì)教學(xué)資源的收集和利用情況

新課改的理念是要為學(xué)生提供豐富的教學(xué)資源，多樣化的學(xué)習(xí)環(huán)境，培養(yǎng)學(xué)生自主學(xué)習(xí)的能力和創(chuàng)新能力，資源建設(shè)問題成為制約教學(xué)改革實(shí)驗(yàn)的新瓶頸。調(diào)查結(jié)果表明，我縣中學(xué)教學(xué)資源較為豐富，大多數(shù)（約58.2%）教師對(duì)資源的占有和利用較多，36.4%的學(xué)校擁有的教學(xué)資源比較豐富。這一現(xiàn)狀極其有利于信息技術(shù)發(fā)揮其所蘊(yùn)藏的教育潛能。

2、教師最需要的教學(xué)資源

調(diào)查數(shù)據(jù)顯示，目前中學(xué)教師最需要的教學(xué)資源是優(yōu)秀教學(xué)設(shè)計(jì)（50.0%），其次是教學(xué)軟件（35.6%），接下來依次是典型課例（27.9%）、文本備課資料（18.1%），對(duì)教育理論著作的需求最低（16.0%）。這一狀況與當(dāng)前信息技術(shù)與課程整合的發(fā)展趨勢(shì)以及新課改的實(shí)施需要是相適應(yīng)的，新課改要求教師為學(xué)生提供豐富的學(xué)習(xí)資源，使學(xué)生能有效的運(yùn)用信息技術(shù)進(jìn)行創(chuàng)新學(xué)習(xí)，在這一過程中教師的角色發(fā)生了轉(zhuǎn)變，教師已不再是資訊的傳播者，而應(yīng)該成為領(lǐng)航者，提供學(xué)習(xí)方法，作為學(xué)生學(xué)習(xí)時(shí)的重要指導(dǎo)和支持。因此，對(duì)優(yōu)秀教學(xué)設(shè)計(jì)和教學(xué)資源的需求也是自然而然的。

信息技術(shù)學(xué)科教學(xué)及學(xué)生調(diào)查結(jié)果

1、教師負(fù)擔(dān)過重，學(xué)生認(rèn)識(shí)不足

在調(diào)查中發(fā)現(xiàn)，40%的信息技術(shù)教師認(rèn)為自己的工作負(fù)擔(dān)很重，除了擔(dān)任教學(xué)工作之外，還擔(dān)任了學(xué)校的打印、部室管理等其他工作。大多數(shù)教師認(rèn)為每一所學(xué)校應(yīng)根據(jù)年級(jí)和班級(jí)的數(shù)量配備2—3位計(jì)算機(jī)教師，而計(jì)算機(jī)教師的工作量應(yīng)為每周12課時(shí)左右。

此外，信息技術(shù)教師還認(rèn)為要使學(xué)生能夠真正的掌握并重視該課程，學(xué)?；蛴嘘P(guān)部門應(yīng)確立

一種有利于學(xué)生學(xué)習(xí)的考核方式，以此引起學(xué)生對(duì)于該課程的實(shí)用性的認(rèn)識(shí)及重視。

2、學(xué)生在校應(yīng)用信息技術(shù)情況（包括上課情況）

學(xué)生在校使用計(jì)算機(jī)時(shí)間基本上不超過1小時(shí)，只有個(gè)別學(xué)校有課外興趣小組，對(duì)于課外小組的一小部分學(xué)生也只開放2個(gè)小時(shí)。計(jì)算機(jī)課程開設(shè)均為每周一節(jié)，有70%以上的學(xué)校能夠保障80%以上的時(shí)間用來上機(jī)操作，但仍有個(gè)別學(xué)校上機(jī)時(shí)間所僅占到50%，甚至還不到。可見，各中學(xué)學(xué)生在校以及課外使用學(xué)校計(jì)算機(jī)的時(shí)間是非常少的，這樣極不利于學(xué)生掌握信息技術(shù)的實(shí)際操作技能。

3、學(xué)生對(duì)信息技術(shù)學(xué)科的學(xué)習(xí)態(tài)度

在調(diào)查中，80%以上的學(xué)生對(duì)信息技術(shù)學(xué)科都非常感興趣，并且希望能夠熟練掌握其操作技術(shù)。在新入學(xué)的學(xué)生當(dāng)中有40%左右已經(jīng)學(xué)過，也有40%左右基本上沒有接觸過，但大多數(shù)學(xué)生希望能夠?qū)W習(xí)到一些比較實(shí)用的計(jì)算機(jī)操作技術(shù)及信息搜集技術(shù)，以此來幫助自己在其他各門功課上的學(xué)習(xí)。

六、主要結(jié)論與對(duì)策建議

（一）主要結(jié)論和問題

調(diào)查的數(shù)據(jù)表明，我縣中學(xué)的信息化建設(shè)是比較好的，在日常學(xué)科教學(xué)中使用計(jì)算機(jī)的機(jī)會(huì)也比較多；學(xué)科教師的培訓(xùn)情況也實(shí)行的較為完善；學(xué)校的資源建設(shè)也相對(duì)比較豐富，資源的使用率基本上能達(dá)到要求；但也存在一定的問題，各中學(xué)的學(xué)科教師在市縣級(jí)的培訓(xùn)項(xiàng)目較少；計(jì)算機(jī)教師的工作不夠?qū)Ｒ唬荒茏龅綄Ｈ藢Ｓ?；學(xué)校的考核方式不夠科學(xué)合理，不利于學(xué)生的學(xué)科學(xué)習(xí)及自學(xué)能力的培養(yǎng)；學(xué)生的上機(jī)時(shí)間太少，無法將所學(xué)的操作技能熟練掌握。

調(diào)查結(jié)果反映出，在中學(xué)教育信息化過程中，教師雖然已經(jīng)充分認(rèn)識(shí)到其重要性，并能較好的應(yīng)用，但是學(xué)生還是沒有成為信息化應(yīng)用的主體。信息技術(shù)作為一種新的教學(xué)手段，雖然已經(jīng)改變了教師的教學(xué)方式，提高教師的教學(xué)效果；但是并沒有改變學(xué)生的學(xué)習(xí)方式，促進(jìn)學(xué)生綜合素質(zhì)的發(fā)展。因此，當(dāng)前中學(xué)教育信息化要轉(zhuǎn)變思路，采取相應(yīng)措施，迅速實(shí)施教育信息化的發(fā)展策略。

（二）對(duì)策建議

雖然有部分學(xué)校投入了一部分資金對(duì)硬件和軟件進(jìn)行建設(shè)，設(shè)備有一定的規(guī)模和層次，學(xué)校開展信息技術(shù)教育的情況是比較好的，而且教師都能充分利用這些軟硬件資源進(jìn)行教學(xué)，提高了教與學(xué)的質(zhì)量，促進(jìn)了教與學(xué)觀念的轉(zhuǎn)變，培養(yǎng)了學(xué)生的信息素養(yǎng)，但這種學(xué)校只占很少一部分。大部分中學(xué)在學(xué)生應(yīng)用和信息技術(shù)學(xué)科教學(xué)上還存在一定的問題，尤其是農(nóng)村中學(xué)。根據(jù)前面的分析結(jié)果，對(duì)我縣信息技術(shù)建設(shè)提出幾點(diǎn)建議：

1、教學(xué)資源建設(shè)

教學(xué)軟件和教學(xué)信息資源庫(kù)的建設(shè)雖有一定的成績(jī)，但還需要進(jìn)一步加強(qiáng)。問題的主要原因是：技術(shù)與教學(xué)結(jié)合不夠，技術(shù)有待于進(jìn)一步提高。在信息技術(shù)的實(shí)踐中，人們總是把技術(shù)和教學(xué)實(shí)踐割裂開來，將重心要么傾注在技術(shù)上，要么傾注在傳統(tǒng)教學(xué)上。表現(xiàn)在：深入課堂的教師了解教學(xué)的重點(diǎn)和難點(diǎn)，但制作課件和其他教學(xué)軟件時(shí)技術(shù)上不能得心應(yīng)手；而技術(shù)過硬的教輔人員或?qū)I(yè)技術(shù)人員能夠制作出自己理想的教學(xué)軟件，卻因?yàn)闆]有深入課堂而使制作的課件或其他教學(xué)軟件不能緊貼教學(xué)，不能反映出教學(xué)的重點(diǎn)和難點(diǎn)；商品化的教學(xué)軟件多數(shù)是作為自學(xué)的工具，因此，課件的適用度不高。為解決這一難題，筆者提出了兩點(diǎn)建議，首先要加強(qiáng)校本教學(xué)資源建設(shè)，鼓勵(lì)教師結(jié)合教學(xué)實(shí)際，制作符合學(xué)生認(rèn)識(shí)特點(diǎn)、具有本土特色的教學(xué)軟件；其次資源建設(shè)應(yīng)由學(xué)校向區(qū)域提升，避免重復(fù)建設(shè)，實(shí)現(xiàn)信息共享，這一過程要實(shí)現(xiàn)以下幾個(gè)轉(zhuǎn)變：（1）從教師做課件的個(gè)體行為提升為新一代優(yōu)秀教師跨學(xué)科、跨學(xué)校共同創(chuàng)建教學(xué)網(wǎng)站深化教學(xué)資源的群體行為；（2）從教師閉門設(shè)計(jì)教學(xué)提升為師生共同探索、創(chuàng)造新型學(xué)習(xí)模式；（3）從學(xué)校各自為政的封閉競(jìng)爭(zhēng)轉(zhuǎn)向以區(qū)域?yàn)榛A(chǔ)的校際聯(lián)盟。

各中學(xué)可根據(jù)自己的實(shí)際情況選擇相應(yīng)的方式，如建立學(xué)校信息技術(shù)資源庫(kù)，為各學(xué)科教師提供信息資源，鼓勵(lì)各學(xué)科教師為資源庫(kù)提供相應(yīng)的資源，此外還可通過多媒體教學(xué)設(shè)備，定期更換教育教學(xué)資源，解決教育資源共享問題。

2、為學(xué)科教師提供更高層次的培訓(xùn)機(jī)會(huì)

在以信息技術(shù)推進(jìn)教育改革與發(fā)展的進(jìn)程中，世界各國(guó)普遍意識(shí)到了教師培訓(xùn)這一環(huán)節(jié)的重要性，它可以促進(jìn)教師教育觀念的轉(zhuǎn)變,提高對(duì)培養(yǎng)學(xué)生創(chuàng)新精神和實(shí)踐能力重要性和迫切性的認(rèn)識(shí)。不同層次的培訓(xùn)能夠使教師受到不同的啟發(fā)和收獲，而現(xiàn)在我們所進(jìn)行的校本培訓(xùn)雖然能夠使教師在理論和技術(shù)上得到一定的提高，但是如果學(xué)科教師能夠接受更高層次的培訓(xùn)，那么，對(duì)于我們轉(zhuǎn)變教育觀念，更新教育理念，轉(zhuǎn)換教育方式，提高教育教學(xué)效果，培養(yǎng)學(xué)生的綜合素養(yǎng)一定會(huì)取得更加良好的效果，因此，筆者認(rèn)為各中學(xué)應(yīng)根據(jù)本校的實(shí)際情況多組織學(xué)科教師參加高層次的培訓(xùn)活動(dòng)。

3、配置足夠的專業(yè)教師，并大量培養(yǎng)具有較高水平的信息技術(shù)人才

信息技術(shù)課程是一門非常重要的技術(shù)應(yīng)用課程，學(xué)生除了需要掌握必要的信息技術(shù)理論之外，更重要的是要熟練掌握其操作應(yīng)用技能。然而在現(xiàn)實(shí)的教育教學(xué)過程中，大多數(shù)學(xué)校的計(jì)算機(jī)教師被挪為它用，教師的勞動(dòng)量遠(yuǎn)遠(yuǎn)大于課時(shí)量，而且學(xué)校的打印等工作使得教師無暇顧及教學(xué)，降低了教師在教學(xué)中的作用，教學(xué)效果顯著下降。因此，學(xué)校很有必要配置足夠的專業(yè)教師，以減少計(jì)算機(jī)教師的課業(yè)負(fù)擔(dān)，使其能夠?qū)Ｐ挠诮虒W(xué)過程。此外，學(xué)校還可以通過培訓(xùn)，使學(xué)科教師能熟練掌握信息技術(shù)，以減輕專業(yè)教師的負(fù)擔(dān)。

4、制定切實(shí)可行的考核方式

在現(xiàn)在的教育制度下，考核方式的形式直接影響著學(xué)生學(xué)習(xí)的態(tài)度既、學(xué)習(xí)的方式及學(xué)習(xí)的效果。合理而有效的考核方式自然有利于學(xué)生的學(xué)習(xí)，然而，現(xiàn)在各中學(xué)的信息技術(shù)考核方式都不一樣，而且不能促進(jìn)學(xué)生的學(xué)習(xí)。因此，各學(xué)校都必須根據(jù)實(shí)際情況，制定一系列切實(shí)可行的考核方式。在調(diào)查過程中，筆者咨詢了許多信息技術(shù)教師，大多數(shù)教師認(rèn)為，應(yīng)該采取上機(jī)操作與理論考核相結(jié)合的方式；而且，要使學(xué)生真正的重視并掌握信息技術(shù)技能，教育局或?qū)W校應(yīng)進(jìn)行統(tǒng)一的規(guī)范的考試。

5、為學(xué)生提供更多的使用計(jì)算機(jī)和網(wǎng)絡(luò)的機(jī)會(huì)

學(xué)生在學(xué)校應(yīng)用信息技術(shù)的最大困難是使用計(jì)算機(jī)和網(wǎng)絡(luò)的時(shí)間少，計(jì)算機(jī)還沒有以一種學(xué)習(xí)工具的姿態(tài)走向普通學(xué)生。調(diào)查表明，學(xué)校計(jì)算機(jī)課余不對(duì)學(xué)生開放的原因主要有時(shí)間排不開、管理維護(hù)人員不足、擔(dān)心機(jī)器受損等。各中學(xué)應(yīng)通過加強(qiáng)管理，統(tǒng)籌安排，最大限度地提高計(jì)算機(jī)和校園網(wǎng)的使用效率，給學(xué)生提供盡可能多的使用計(jì)算機(jī)和網(wǎng)絡(luò)的機(jī)會(huì)。因?yàn)楫?dāng)前信息技術(shù)的發(fā)展很快，計(jì)算機(jī)也在不斷更新?lián)Q代，信息化設(shè)備不充分利用就是對(duì)資源的一種浪費(fèi)；同時(shí)學(xué)生只有擁有充足的時(shí)間熟練掌握了信息技術(shù)之后，才能改變學(xué)習(xí)方式，讓信息技術(shù)真正的為學(xué)習(xí)服務(wù)。

第四篇：應(yīng)用防火墻的物理安全策略

應(yīng)用防火墻的物理安全策略

應(yīng)用防火墻的物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；驗(yàn)證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生。

應(yīng)用防火墻抑制和防止電磁泄漏（即TEMPEST技術(shù)）是物理安全策略的一個(gè)主要問題。目前主要防護(hù)措施有兩類：一類是對(duì)傳導(dǎo)發(fā)射的防護(hù)，主要采取對(duì)電源線和信號(hào)線加裝性能良好的濾波器，減小傳輸阻抗和導(dǎo)線間的交叉耦合。另一類是對(duì)輻射的防護(hù)，這類防護(hù)措施又可分為以下兩種：一是采用各種電磁屏蔽措施，如對(duì)設(shè)備的金屬屏蔽和各種接插件的屏蔽，同時(shí)對(duì)機(jī)房的下水管、暖氣管和金屬門窗進(jìn)行屏蔽和隔離；二是干擾的防護(hù)措施，即在計(jì)算機(jī)系統(tǒng)工作的同時(shí)，利用干擾裝置產(chǎn)生一種與計(jì)算機(jī)系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計(jì)算機(jī)系統(tǒng)的工作頻率和信息特征。

應(yīng)用防火墻的物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；驗(yàn)證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生。

應(yīng)用防火墻抑制和防止電磁泄漏（即TEMPEST技術(shù)）是物理安全策略的一個(gè)主要問題。目前主要防護(hù)措施有兩類：一類是對(duì)傳導(dǎo)發(fā)射的防護(hù)，主要采取對(duì)電源線和信號(hào)線加裝性能良好的濾波器，減小傳輸阻抗和導(dǎo)線間的交叉耦合。另一類是對(duì)輻射的防護(hù)，這類防護(hù)措施又可分為以下兩種：一是采用各種電磁屏蔽措施，如對(duì)設(shè)備的金屬屏蔽和各種接插件的屏蔽，同時(shí)對(duì)機(jī)房的下水管、暖氣管和金屬門窗進(jìn)行屏蔽和隔離；二是干擾的防護(hù)措施，即在計(jì)算機(jī)系統(tǒng)工作的同時(shí)，利用干擾裝置產(chǎn)生一種與計(jì)算機(jī)系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計(jì)算機(jī)系統(tǒng)的工作頻率和信息特征。

第五篇：21邊界防火墻的應(yīng)用

在上一篇中我們對(duì)防火墻的主要技術(shù)及設(shè)計(jì)模式進(jìn)行較詳細(xì)的介紹，大家已對(duì)防火墻從技術(shù)深度有一個(gè)理性認(rèn)識(shí)。本篇要介紹防火墻的一些經(jīng)典應(yīng)用拓?fù)浣Y(jié)構(gòu)及特殊應(yīng)用配置。從中我們可以了解到防火墻的一些具體應(yīng)用方式，為我們配置自己企業(yè)防火墻的應(yīng)用打下基礎(chǔ)。當(dāng)然這里所說的防火墻仍是傳統(tǒng)邊界防火墻，不包括后面將要介紹的個(gè)人防火墻和分布式防火墻。首先介紹的是防火墻的幾種典型應(yīng)用拓?fù)浣Y(jié)構(gòu)。

一、防火墻的主要應(yīng)用拓?fù)浣Y(jié)構(gòu)

邊界防火墻雖然是傳統(tǒng)的，但是它的應(yīng)用最廣，技術(shù)最為成熟。目前大多數(shù)企業(yè)網(wǎng)絡(luò)中所應(yīng)用的都是邊界防火墻。所以了解邊界防火墻的應(yīng)用對(duì)于掌握整個(gè)防火墻技術(shù)非常重要。

傳統(tǒng)邊界防火墻主要有以下四種典型的應(yīng)用環(huán)境，它們分別是：

●控制來自互聯(lián)網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問

●控制來自第三方局域網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問

●控制局域網(wǎng)內(nèi)部不同部門網(wǎng)絡(luò)之間的訪問

●控制對(duì)服務(wù)器中心的網(wǎng)絡(luò)訪問

下面分別予以介紹。

1、控制來自互聯(lián)網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問

這是一種應(yīng)用最廣，也是最重要的防火墻應(yīng)用環(huán)境。在這種應(yīng)用環(huán)境下，防火墻主要保護(hù)內(nèi)部網(wǎng)絡(luò)不遭受互聯(lián)網(wǎng)用戶(主要是指非法的黑客)的攻擊。目前絕大多數(shù)企業(yè)、特別是中小型企業(yè)，采用防火墻的目的就是這個(gè)。

在這種應(yīng)用環(huán)境中，一般情況下防火墻網(wǎng)絡(luò)可劃分為三個(gè)不同級(jí)別的安全區(qū)域：

內(nèi)部網(wǎng)絡(luò)：這是防火墻要保護(hù)的對(duì)象，包括全部的企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)備及用戶主機(jī)。這個(gè)區(qū)域是防火墻的可信區(qū)域(這是由傳統(tǒng)邊界防火墻的設(shè)計(jì)理念決定的)。

外部網(wǎng)絡(luò)：這是防火墻要防護(hù)的對(duì)象，包括外部互聯(lián)網(wǎng)主機(jī)和設(shè)備。這個(gè)區(qū)域?yàn)榉阑饓Φ姆强尚啪W(wǎng)絡(luò)區(qū)域(也是由傳統(tǒng)邊界防火墻的設(shè)計(jì)理念決定的)。

DMZ(非軍事區(qū))：它是從企業(yè)內(nèi)部網(wǎng)絡(luò)中劃分的一個(gè)小區(qū)域，在其中就包括內(nèi)部網(wǎng)絡(luò)中用于公眾服務(wù)的外部服務(wù)器，如Web服務(wù)器、郵件服務(wù)器、FTP服務(wù)器、外部DNS服務(wù)器等，它們都是為互聯(lián)網(wǎng)提供某種信息服務(wù)。

在以上三個(gè)區(qū)域中，用戶需要對(duì)不同的安全區(qū)域廟宇不同的安全策略。雖然內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)都屬于企業(yè)內(nèi)部網(wǎng)絡(luò)的一部分，但它們的安全級(jí)別(策略)是不同的。對(duì)于要保護(hù)的大部分內(nèi)部網(wǎng)絡(luò)，一般情況下禁止所有來自互聯(lián)網(wǎng)用戶的訪問；而由企業(yè)內(nèi)部網(wǎng)絡(luò)劃分出去的DMZ區(qū)，因需為互聯(lián)網(wǎng)應(yīng)用提供相關(guān)的服務(wù)，所以在一定程度上，沒有內(nèi)部網(wǎng)絡(luò)限制那么嚴(yán)格，如Web服務(wù)器通常是允許任何人進(jìn)行正常的訪問?；蛟S有人問，這樣的話，這些服務(wù)器不是很容易初攻擊，按原理來說是這樣的，但是由于在這些服務(wù)器上所安裝的服務(wù)非常少，所允許的權(quán)限非常低，真正有服務(wù)器數(shù)據(jù)是在受保護(hù)的內(nèi)部網(wǎng)絡(luò)主機(jī)上，所以黑客攻擊這些服務(wù)器沒有任何意義，既不能獲取什么有用的信息，也不能通過攻擊它而獲得過高的網(wǎng)絡(luò)訪問權(quán)限。

另外，建議通過NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)技術(shù)將受保護(hù)的內(nèi)部網(wǎng)絡(luò)的全部主機(jī)地址映射成防火墻上設(shè)置的少數(shù)幾個(gè)有效公網(wǎng)IP地址。這樣有兩個(gè)好處：一則可以對(duì)外屏蔽內(nèi)部網(wǎng)絡(luò)構(gòu)和IP地址，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全；同時(shí)因?yàn)槭枪W(wǎng)IP地址共享，所以可以大大節(jié)省公網(wǎng)IP地址的使用，節(jié)省了企業(yè)投資成本。

在這種應(yīng)用環(huán)境中，在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上企事業(yè)單位可以有兩種選擇，這主要是根據(jù)單位原有網(wǎng)絡(luò)設(shè)備情況而定。

如果企業(yè)原來已有邊界路由器，則此可充分利用原有設(shè)備，利用邊界路由器的包過濾功能，添加相應(yīng)的防火墻配置，這樣原來的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護(hù)的內(nèi)部網(wǎng)絡(luò)連接。對(duì)于DMZ區(qū)中的公用服務(wù)器，則可直接與邊界路由器相連，不用經(jīng)過防火墻。它可只經(jīng)過路由器的簡(jiǎn)單防護(hù)。在此拓?fù)浣Y(jié)構(gòu)中，邊界路由器與防火墻就一起組成了兩道安全防線，并且在這兩者之間可以設(shè)置一個(gè)DMZ區(qū)，用來放置那些允許外部用戶訪問的公用服務(wù)器設(shè)施。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

如果企業(yè)原來沒有邊界路由器，此時(shí)也可不再添加邊界路由器，僅由防火墻來保護(hù)內(nèi)部網(wǎng)絡(luò)。此時(shí)DMZ區(qū)域和需要保護(hù)的內(nèi)部網(wǎng)絡(luò)分別連接防火墻的不同LAN網(wǎng)絡(luò)接口，因此需要對(duì)這兩部分網(wǎng)絡(luò)設(shè)置不同的安全策略。這種拓?fù)浣Y(jié)構(gòu)雖然只有一道安全防線，但對(duì)于大多數(shù)中、小企業(yè)來說是完全可以滿足的。不過在選購(gòu)防火墻時(shí)就要注意，防火墻一定要有兩個(gè)以上的LAN網(wǎng)絡(luò)接口。它與我們前面所介紹的“多宿主機(jī)”結(jié)構(gòu)是一樣的。這種應(yīng)用環(huán)境的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2所示。

圖1

圖2

2、控制來自第三方網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問

這種應(yīng)用主要是針對(duì)一些規(guī)模比較大的企事業(yè)單位，它們的企業(yè)內(nèi)部網(wǎng)絡(luò)通常要與分支機(jī)構(gòu)、合作伙伴或供應(yīng)商的局域網(wǎng)進(jìn)行連接，或者是同一企業(yè)網(wǎng)絡(luò)中存在多個(gè)子網(wǎng)。在這種應(yīng)用環(huán)境下，防火墻主要限制第三方網(wǎng)絡(luò)(以上所說的其它單位局域網(wǎng)或本單位子網(wǎng))對(duì)內(nèi)部網(wǎng)絡(luò)的非授權(quán)訪問。

在這種防火墻應(yīng)用網(wǎng)絡(luò)環(huán)境中，根據(jù)企業(yè)是否需要非軍事區(qū)(放置一些供第三方網(wǎng)絡(luò)用戶訪問的服務(wù)器)可以有兩種具體的網(wǎng)絡(luò)配置方案：

(1)需要DMZ區(qū)。這種情況是企業(yè)需要為第三方網(wǎng)絡(luò)提供一些公用服務(wù)器，供日常訪問。這種網(wǎng)絡(luò)環(huán)境與上面所介紹的限制互聯(lián)網(wǎng)用戶非法訪問企業(yè)內(nèi)部網(wǎng)絡(luò)一樣，整個(gè)網(wǎng)絡(luò)同樣可分為三個(gè)區(qū)域：

內(nèi)部網(wǎng)絡(luò)：這是防火墻要保護(hù)的對(duì)象，包括全部企業(yè)內(nèi)部網(wǎng)絡(luò)中需要保護(hù)的設(shè)備和用戶主機(jī)。為防火墻的可信網(wǎng)絡(luò)區(qū)域，需對(duì)第三方用戶透明隔離(透明是指“相當(dāng)于不存在的”意思)。

外部網(wǎng)絡(luò)：防火墻要限制訪問的對(duì)象，包括第三方網(wǎng)絡(luò)主機(jī)和設(shè)備。為防火墻的非可信網(wǎng)絡(luò)區(qū)域。

DMZ(非軍事區(qū))：由企業(yè)內(nèi)部網(wǎng)絡(luò)中一些外部服務(wù)器組成，包括公眾Web服務(wù)器、郵件服務(wù)器、FTP服務(wù)器、外部DNS服務(wù)器等。這些公眾服務(wù)器為第三方網(wǎng)絡(luò)提供相應(yīng)的網(wǎng)絡(luò)信息服務(wù)。

需要保護(hù)的內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)的安全策略也是不同的：需要保護(hù)的內(nèi)部網(wǎng)絡(luò)一般禁止來自第三方的訪問，而DMZ則是為第三方提供相關(guān)的服務(wù)，允許第三方的訪問。

同樣必要時(shí)可通過NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)對(duì)外屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，保護(hù)內(nèi)網(wǎng)安全。

我們?nèi)钥紤]企業(yè)原有邊界路由器設(shè)備，通過配置后它同樣可以擔(dān)當(dāng)包過濾防火墻角色。這時(shí)的DMZ區(qū)就可直接連接邊界路由器的一個(gè)LAN接口上，而無需經(jīng)過防火墻。而保護(hù)內(nèi)部網(wǎng)絡(luò)通過防火墻與邊界路由器連接。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3所示。如果企業(yè)沒有邊界路由器，則DMZ區(qū)和內(nèi)部網(wǎng)絡(luò)分別接在防火墻的兩個(gè)不同的LAN接口上，構(gòu)成多宿主機(jī)模式。

(2)、沒有DMZ區(qū)：此應(yīng)用環(huán)境下整個(gè)網(wǎng)絡(luò)就只包括內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩個(gè)區(qū)域。某些需要向第三方網(wǎng)絡(luò)提供特殊服務(wù)的服務(wù)器或主機(jī)與需要保護(hù)的內(nèi)部網(wǎng)絡(luò)通過防火墻的同一LAN接口連接，作為內(nèi)部網(wǎng)絡(luò)的一部分，只是通過防火墻配置對(duì)第三方開放內(nèi)部網(wǎng)絡(luò)中特定的服務(wù)器/主機(jī)資源。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖4所示。但要注意的是，這種配置可能帶來極大的安全隱患，因?yàn)閬碜缘谌骄W(wǎng)絡(luò)中的攻擊者可能破壞和控制對(duì)他們開放的內(nèi)部服務(wù)器/主機(jī)，并以此為據(jù)點(diǎn)，進(jìn)而破壞和攻擊內(nèi)部網(wǎng)絡(luò)中的其它主機(jī)/服務(wù)器等網(wǎng)絡(luò)資源。

以上是考慮了企業(yè)是否需要DMZ區(qū)的兩種情況。與上面介紹的對(duì)互聯(lián)網(wǎng)用戶訪問控制的應(yīng)用環(huán)境一樣，在這種應(yīng)用環(huán)境中，同樣可以考慮企業(yè)單位原來是否已有邊界路由器。這種應(yīng)用環(huán)境下，企業(yè)同樣可以沒有邊界路由器。如果沒有邊界路由器，則須把如圖3和圖4所示網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)按如圖2所示進(jìn)行相應(yīng)的改變，此時(shí)如圖3和圖4所示網(wǎng)絡(luò)中，防火墻須直接與第三方網(wǎng)絡(luò)連接，DMZ區(qū)與受保護(hù)的內(nèi)部網(wǎng)絡(luò)分別連接防火墻的兩個(gè)不同的LAN接口。不過要注意，如圖3所示的網(wǎng)絡(luò)結(jié)構(gòu)中，DMZ區(qū)就相當(dāng)于沒有任何保護(hù)，其實(shí)也稱不上“DMZ區(qū)”，所以在企業(yè)沒有邊界路由器的情況下，通常不采用如圖3所示網(wǎng)絡(luò)結(jié)構(gòu)，而是采用圖4所示結(jié)構(gòu)，把一些安全級(jí)別相對(duì)較低的服務(wù)器連接與內(nèi)部受保護(hù)的網(wǎng)絡(luò)連接在一起，只是在防火墻上對(duì)這些公眾服務(wù)器進(jìn)行特殊權(quán)限配置即可。

圖3

圖4

3、控制內(nèi)部網(wǎng)絡(luò)不同部門之間的訪問

這種應(yīng)用環(huán)境就是在一個(gè)企業(yè)內(nèi)部網(wǎng)絡(luò)之間，對(duì)一些安全敏感的部門進(jìn)行隔離保護(hù)。通過防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)中敏感部門的資源不被非法訪問。這些所謂的“敏感部門”通常是指人事部門、財(cái)務(wù)部門和市場(chǎng)部門等，在這些部門網(wǎng)絡(luò)主機(jī)中的數(shù)據(jù)對(duì)于企業(yè)來說是非常重要，它的工作不能完全離開企業(yè)網(wǎng)絡(luò)，但其中的數(shù)據(jù)又不能隨便供網(wǎng)絡(luò)用戶訪問。這時(shí)有幾種解決方案通常是采用VLAN配置，但這種方法需要配置三層以上交換機(jī)，同時(shí)配置方法較為復(fù)雜。另一種有效的方法就是采用防火墻進(jìn)行隔離，在防火墻上進(jìn)行相關(guān)的配置(比起VLAN來簡(jiǎn)單許多)。通過防火墻隔離后，盡管同屬于一個(gè)內(nèi)部局域網(wǎng)，但是其他用戶的訪問都需要經(jīng)過防火墻的過濾，符合條件的用戶才能訪問。這類防火墻通常不僅通過包過濾來篩選數(shù)據(jù)包的，而且還要對(duì)用戶身份的合法性(在防火墻中可以設(shè)置允許哪此些用戶訪問)進(jìn)行識(shí)別。通常為自適應(yīng)代理服務(wù)器型防火墻，這種防火墻方案還可以有日志記錄功能，對(duì)網(wǎng)管員了解網(wǎng)絡(luò)安全現(xiàn)狀及改進(jìn)非常重要。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖5所示。

圖5

4、控制對(duì)服務(wù)器中心的網(wǎng)絡(luò)訪問

對(duì)于一個(gè)服務(wù)器中心，比如主機(jī)托管中心，其眾多服務(wù)器需要對(duì)第三方(合作伙伴、互聯(lián)網(wǎng)用戶等)開放，但是所有這些服務(wù)器分別屬于不同用戶所有，其安全策略也各不相同。如果把它們都定義在同一個(gè)安全區(qū)域中，顯然不能滿足各用戶的不同需求，這時(shí)我們就得分別設(shè)置。要按不同安全策略保護(hù)這些服務(wù)器，可以有兩種方法：

(1)、為每個(gè)服務(wù)器單獨(dú)配置一個(gè)獨(dú)立的防火墻，網(wǎng)絡(luò)如圖6所示。這種方案是一種最直接、最傳統(tǒng)的方法。配置方法也最容易，但這種方案無論從經(jīng)濟(jì)上、還是從使用和管理的靈活可靠性上都不是最好的。一則需要購(gòu)買與托管理服務(wù)器數(shù)據(jù)一樣多的防火，對(duì)托管中心來說投資非常之大；而且托管中心管理員面對(duì)這么多防火墻，其管理難度可想而知。

圖6

(2)、采用虛擬防火墻方式，網(wǎng)絡(luò)結(jié)構(gòu)如圖7所示。這主要是利用三層交換機(jī)的VLAN(虛擬局域網(wǎng))功能，先為每一臺(tái)連接在三層交換機(jī)上的用戶服務(wù)器所連接的網(wǎng)絡(luò)配置成一個(gè)單獨(dú)的VLAN子網(wǎng)，然后通過對(duì)高性能防火墻對(duì)VLAN子網(wǎng)的配置，就相當(dāng)于將一個(gè)高性能防火墻劃分為多個(gè)虛擬防火墻，其最終效果如圖6一樣。這種方案雖然配置較為復(fù)雜，但是這也只是首次配置，一旦配置好了，其后的使用和管理就相當(dāng)方便了，就像用交換機(jī)管理多個(gè)VLAN子網(wǎng)一樣來管理每個(gè)用戶服務(wù)器，而且這種方案在現(xiàn)實(shí)中比較經(jīng)濟(jì)可行。

圖7

二、防火墻的應(yīng)用配置

在傳統(tǒng)邊界防火墻應(yīng)用配置中，最主要體現(xiàn)在DMZ(非軍事區(qū))、VPN(虛擬專用網(wǎng))、DNS(域名服務(wù)器)和入侵檢測(cè)配置等幾個(gè)方面。下面具體介紹。

1、DMZ(非軍事區(qū))應(yīng)用配置

DMZ這個(gè)概念在這幾篇防火墻介紹教程中我們多次講到，由此可見它非常重要，為此我們有必要再次對(duì)這樣一個(gè)防火墻技術(shù)進(jìn)行更深入的研究。

DMZ是作為內(nèi)外網(wǎng)都可以訪問的公共計(jì)算機(jī)系統(tǒng)和資源的連接點(diǎn)，在其中放置的都是一些可供內(nèi)、外部用戶寬松訪問的服務(wù)器，或提供通信基礎(chǔ)服務(wù)的服務(wù)器及設(shè)備。比如企事業(yè)單位的Web服務(wù)器、E-mail(郵件)服務(wù)器、VPN網(wǎng)關(guān)、DNS服務(wù)器、撥號(hào)所用的Modem池等等。這些系統(tǒng)和資源都不能放置在內(nèi)部保護(hù)網(wǎng)絡(luò)內(nèi)，否則會(huì)因內(nèi)部網(wǎng)絡(luò)受到防火墻的訪問限制而無法正常工作。DMZ區(qū)通常放置在帶包過濾功能的邊界路由器與防火墻之間。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖8所示。當(dāng)然這里的邊界路由器也可以是一臺(tái)專門的硬件防火墻，只是在此想充分利用企業(yè)原有設(shè)備，節(jié)省企業(yè)投資。

之所以要把DMZ區(qū)放在邊界路由器與防火墻之間，那是因?yàn)檫吔缏酚善髯鳛榫W(wǎng)絡(luò)安全的第一防線，可以起到一定的安全過濾作用，因?yàn)樗哂邪^濾功能，通常它不會(huì)設(shè)置的太嚴(yán)。而防火墻作為網(wǎng)絡(luò)的第二道，也是最后一道防線，它的安全級(jí)別肯定要比邊界路由器上設(shè)置的要高許多。如果把用于公共服務(wù)嚦嚦的一些服務(wù)器放置在防火墻之后，顯然因安全級(jí)別太高，外部用戶無法訪問到這些服務(wù)器，達(dá)不到公共服務(wù)的目的。

圖8

以上所介紹的是一種典型網(wǎng)絡(luò)應(yīng)用環(huán)境，有些企事業(yè)單位用戶網(wǎng)絡(luò)，可能需要兩類DMZ，即所謂的“外部DMZ”和“內(nèi)部DMZ”。外部DMZ放置的是內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)用戶都可以寬松訪問的系統(tǒng)和資源，如以上所說的Web服務(wù)器、E-mail(郵件)服務(wù)器、VPN網(wǎng)關(guān)、DNS服務(wù)器、撥號(hào)所用的Modem池等等。這部分網(wǎng)絡(luò)需單獨(dú)連在主防火墻的一個(gè)LAN端口；內(nèi)部DMZ所放置是內(nèi)部網(wǎng)絡(luò)中用防火墻所保護(hù)的內(nèi)部網(wǎng)絡(luò)中需要供內(nèi)部網(wǎng)絡(luò)用戶共享的系統(tǒng)和資源(如內(nèi)部郵件服務(wù)器、內(nèi)部Web服務(wù)器、內(nèi)部FTP服務(wù)器等)，當(dāng)然外部網(wǎng)絡(luò)用戶是不能訪問此DMZ區(qū)資源的。內(nèi)部DMZ放置在主防火墻與內(nèi)部防火墻之間。它的典型網(wǎng)絡(luò)結(jié)構(gòu)如圖9所示。

圖9

如果企業(yè)沒有邊界路由器，則外部DMZ區(qū)就要單獨(dú)放置在主防火墻的一個(gè)LAN端口上，這也就要求主防火墻具有2個(gè)以上LAN接口，因?yàn)閮?nèi)部DMZ區(qū)也需與主防火墻的一個(gè)LAN接口單獨(dú)連接，以此來配置多宿主機(jī)模式。其它連接如圖9一樣。

典型的防火墻策略是主防火墻采用NAT模式，而內(nèi)部防火墻采用透明模式工作，以減少內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜程度，提高網(wǎng)絡(luò)連接性能。除遠(yuǎn)程訪問和VPN訪問外，來自互聯(lián)網(wǎng)的網(wǎng)絡(luò)訪問只能限制在外部DMZ區(qū)對(duì)外開放的資源上，不可進(jìn)入內(nèi)部DMZ區(qū)，更不可能進(jìn)入受保護(hù)的內(nèi)部網(wǎng)絡(luò)之中。

VPN(虛擬企業(yè)專網(wǎng))是目前最新的網(wǎng)絡(luò)技術(shù)之一，它的主要優(yōu)點(diǎn)通過公網(wǎng)，利用隧道技術(shù)進(jìn)行虛擬連接，相比專線連接來說可以大幅降低企業(yè)通信成本(降低幅度在70%左右)，加上隨上VPN技術(shù)的發(fā)展，VPN通信的安全問題已基本得到解決，所以目前它是一種企業(yè)首選通信方式，得到了廣大企業(yè)用戶的認(rèn)可和選擇。目前存在幾個(gè)典型的VPN隧道協(xié)議，包括IPsec、PPTP、L2TP等。通過VPN技術(shù)可以實(shí)現(xiàn)對(duì)用戶內(nèi)部網(wǎng)絡(luò)的擴(kuò)展，同時(shí)為用戶帶來網(wǎng)絡(luò)使用成本上的巨大節(jié)省。

在防火墻網(wǎng)絡(luò)中對(duì)VPN服務(wù)器進(jìn)行配置的方法有兩種：

(1)、傳統(tǒng)邊界防火墻方式

這一方式中，VPN服務(wù)器位于邊界防火墻之后，防火墻必須打開內(nèi)外網(wǎng)絡(luò)之間相應(yīng)的VPN通信服務(wù)端口，這可能帶來安全隱患，這也是傳統(tǒng)邊界防火墻不能很好地VPN通信的原因。因?yàn)閂PN通信中數(shù)據(jù)包內(nèi)容是加密過的，所以邊界防火墻無法檢測(cè)內(nèi)外網(wǎng)絡(luò)之間的通信內(nèi)容，也就無法從中獲取過濾信息，這樣防火墻很難有效地實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的訪問控制、審計(jì)和病毒檢測(cè)。因?yàn)閂PN服務(wù)器與傳統(tǒng)邊界

2、VPN通信配置防火墻的上述矛盾，所以遠(yuǎn)程攻擊者對(duì)很可能將VPN服務(wù)器作為攻擊內(nèi)部網(wǎng)絡(luò)的跳板，給內(nèi)部網(wǎng)絡(luò)帶來非常大的不安全因素。為了提高網(wǎng)絡(luò)的安全性，最好再加上如圖9中配置的第二道防火墻：內(nèi)部防火墻，把VPN服務(wù)器放置在外部DMZ區(qū)中。

(2)、使用VPN專用防火墻

針對(duì)傳統(tǒng)邊界防火墻與VPN通信的上述矛盾，網(wǎng)絡(luò)設(shè)備開發(fā)商就特定為VPN通信開發(fā)VPN防火墻。集成VPN技術(shù)的防火墻，就可以正確識(shí)別VPN通信中的數(shù)據(jù)包，并且加密的數(shù)據(jù)包也只在外部VPN客戶端與防火墻之間，有交地避免了前種方案中數(shù)據(jù)包無法識(shí)別的弊端。但不是所有廠商的防火墻都支持內(nèi)置的VPN服務(wù)增值功能。此方案的典型配置如圖10所示。

圖10

3、DNS

DNS服務(wù)器可為互聯(lián)網(wǎng)提供域名解析服務(wù)，對(duì)任何網(wǎng)絡(luò)應(yīng)用都十分關(guān)鍵。同時(shí)在其中也包括了非常重要的網(wǎng)絡(luò)配置信息，如用戶主機(jī)名和IP地址等。正因如此，對(duì)DNS服務(wù)器要采取特別的安全保護(hù)措施。

為了安全起見，建議在防火墻網(wǎng)絡(luò)中，對(duì)內(nèi)部DNS服務(wù)器和外部DNS服務(wù)器進(jìn)行分開放置。為互聯(lián)網(wǎng)服務(wù)的外部DNS服務(wù)器不應(yīng)該包含對(duì)外禁止訪問的內(nèi)部網(wǎng)絡(luò)系統(tǒng)的相關(guān)服務(wù)，需要專門放置在內(nèi)部DNS服務(wù)器上。如果將內(nèi)部網(wǎng)絡(luò)的相關(guān)服務(wù)需放置在外部DNS服務(wù)器上，則會(huì)為非法攻擊者提供攻擊對(duì)象目標(biāo)信息。這種將內(nèi)部DNS服務(wù)器和外部DNS服務(wù)器分隔開的網(wǎng)絡(luò)配置方案通常稱之為“分割DNS”。圖11描述了一個(gè)典型的“DNS分割”的例子：

圖11

在這種典型防火墻DNS服務(wù)器配置網(wǎng)絡(luò)結(jié)構(gòu)中，內(nèi)部DNS服務(wù)器專用來為內(nèi)部網(wǎng)絡(luò)系統(tǒng)進(jìn)行名稱解析，使得內(nèi)部網(wǎng)絡(luò)用戶可以通過它連接到其它內(nèi)部系統(tǒng)，其中就包括內(nèi)部防火墻和內(nèi)部DMZ；外部DNS使得外部網(wǎng)絡(luò)能夠解析出主防火墻、外部DNS服務(wù)器、外部DMZ區(qū)的主機(jī)名字，但不能解析出內(nèi)部網(wǎng)絡(luò)系統(tǒng)主機(jī)的名字。

6、入侵檢測(cè)

安全檢測(cè)是信息保障的一個(gè)重要環(huán)節(jié)，也新型防火墻的一個(gè)重要功能。目前主要的安全檢測(cè)技術(shù)包括入侵檢測(cè)、漏洞掃描和病毒檢測(cè)。

入侵檢測(cè)系統(tǒng)(Intrusion Detection System，IDS)能夠?qū)W(wǎng)絡(luò)中未經(jīng)授權(quán)用戶的訪問進(jìn)行報(bào)警，某些時(shí)候還能夠通過其它手段預(yù)防這種非法網(wǎng)絡(luò)行為。它只能發(fā)現(xiàn)已發(fā)生的非法訪問，而且檢測(cè)本身不能提供安全保護(hù)的作用，但是很多入侵檢測(cè)產(chǎn)品能夠和防火墻這類網(wǎng)絡(luò)安全保護(hù)產(chǎn)品聯(lián)動(dòng)，一旦入侵檢測(cè)發(fā)現(xiàn)攻擊行為，它可以通知防火墻修改安全規(guī)則，阻止后續(xù)的攻擊網(wǎng)流。

入侵檢測(cè)方式目前主要分為三類：基于主機(jī)的入侵檢測(cè)、基于網(wǎng)絡(luò)的入侵檢測(cè)和基于應(yīng)用的入侵檢測(cè)。

建議將基于主機(jī)的入侵檢測(cè)和基于應(yīng)用的入侵檢測(cè)產(chǎn)品配置在關(guān)鍵業(yè)務(wù)服務(wù)器上，以檢測(cè)主機(jī)應(yīng)用層次的網(wǎng)絡(luò)攻擊行為，尤其是基于用戶的攻擊行為檢測(cè)。這屬于一種高級(jí)的入侵檢測(cè)手段，它所檢測(cè)的范圍覆蓋整個(gè)網(wǎng)絡(luò)和應(yīng)用。必須清楚，這兩類產(chǎn)品有極大的安全缺陷：

(1)、時(shí)間上的滯后性，由于它們的檢測(cè)資料來源是主機(jī)操作系統(tǒng)/應(yīng)用的日志記錄，因此難以做到實(shí)時(shí)反應(yīng)；

(2)、其檢測(cè)分析結(jié)果的準(zhǔn)確性完全依賴于主機(jī)操作系統(tǒng)日志記錄的全面性和準(zhǔn)確性；

(3)、占用較多主機(jī)資源。

如果防火墻具有一定的入侵檢測(cè)功能，則可以在主防火墻上打開此功能，在防火墻上使用入侵檢測(cè)功能可以相當(dāng)程度地抵制來自外部網(wǎng)絡(luò)的DoS(拒絕服務(wù)攻擊)攻擊和地址欺騙攻擊。

部署在某些區(qū)域的入侵檢測(cè)產(chǎn)品如果能和相關(guān)的防火墻在網(wǎng)絡(luò)上可通，則可以發(fā)揮它們之間的聯(lián)動(dòng)功能，提高安全效率。

在漏洞和病毒檢測(cè)方面，邊界防火墻比較難以實(shí)現(xiàn)，而在個(gè)人防火墻和分布式防火墻中卻較容易。因?yàn)樗鼈冎熊浖δ芊浅?qiáng)大，而且還可以實(shí)時(shí)自動(dòng)聯(lián)網(wǎng)升級(jí)。以實(shí)現(xiàn)對(duì)最新的系統(tǒng)和病毒進(jìn)行跟蹤檢測(cè)的目的，最大限度地保證檢測(cè)的有效性。所以在個(gè)人防火墻就有好幾種防火墻的叫法，如病毒防火墻、網(wǎng)絡(luò)防火墻和郵件防火墻等。從這些名字我們要吧看出這些防火墻的主要功能。

好了，關(guān)于防火墻的主要應(yīng)用網(wǎng)絡(luò)結(jié)構(gòu)及應(yīng)用配置就介紹至此。下一篇將介紹防火墻的一些最新技術(shù)，敬請(qǐng)關(guān)注！