第一篇：網(wǎng)絡防火墻的分類及應用方案

網(wǎng)絡防火墻的分類及應用方案

系別：信息工程系統(tǒng) 專業(yè)：網(wǎng)絡技術專業(yè) 班級：網(wǎng)絡二班 姓名：武連玲 學號：0903032209 指導教師：呂秀鑒

日期：2011年10月31日星期一

目錄

緒論.................................................................................................................................1.防火墻的概念...............................................................................................................1.1 什么是防火墻.......................................................................................................................1.2 防火墻的原理.......................................................................................................................2．防火墻的分類.............................................................................................................2.1基礎和分類............................................................................................................................2.2包過濾防火墻........................................................................................................................2.3動態(tài)包過濾防火墻................................................................................................................2.4 代理（應用層網(wǎng)關）防火墻...............................................................................................2.5 自適應代理防火墻...............................................................................................................3．防火墻的安全策略.....................................................................................................3.1校校園網(wǎng)防火墻網(wǎng)絡安全策略............................................................................................3.2防火墻的基本配置................................................................................................................3.2.1命令行基本信息收集：.....................................................................................................3.2.2能問題需收集下列信息：...............................................................................................3.2.3接口之間實施策略：.......................................................................................................3.2.4接口管理設置...................................................................................................................3.2.5用戶帳號的操作...............................................................................................................4．防火墻的功能配置...................................................................................................4.1基于內(nèi)網(wǎng)的防火墻功能及配置..........................................................................................4.1.1 IP與MAC（用戶）綁定功能........................................................................................4.1.2 MAP（端口映射）功能..................................................................................................4.1.3NAT（地址轉換）功能....................................................................................................5.外網(wǎng)防火墻功能配置..................................................................................................5.1 基于外網(wǎng)的防火墻功能及配置.........................................................................................5.1.1 DOS攻擊防范..................................................................................................................5.1.2訪問控制功能...................................................................................................................結論...............................................................................................................................參考文獻........................................................................................................................防火墻原是設計用來防止火災從建筑物的一部分傳播到另一部分的設施。從理論上講，Internet防火墻服務也有類似目的，它防止Internet（或外部網(wǎng)絡）上的危險（病毒、資源盜用等）傳播到網(wǎng)絡內(nèi)部。Internet（或外部網(wǎng)絡）防火墻服務于多個目的：

1、限制人們從一個特別的控制點進入；

2、防止入侵者接近你的其它防御設施；

3、限定人們從一個特別的點離開；

4、有效地阻止破壞者對你的計算機系統(tǒng)進行破壞。

1.2 防火墻的原理

隨著網(wǎng)絡規(guī)模的擴大和開放性的增強，網(wǎng)絡上的很多敏感信息和保密數(shù)據(jù)將受到很多主動和被動的人為攻擊。一種解決辦法是為需要保護的網(wǎng)絡上的每個工作站和服務器裝備上強大的安全特征(例如入侵檢測)，但這幾乎是一種不切合實際的方法，因為對具有幾百個甚至上千個節(jié)點的網(wǎng)絡，它們可能運行著不同的操作系統(tǒng)，當發(fā)現(xiàn)了安全缺陷時，每個可能被影響的節(jié)點都必須加以改進以修復這個缺陷。另一種選擇就是防火墻(Firewall)，防火墻是用來在安全私有網(wǎng)絡(可信任網(wǎng)絡)和外部不可信任網(wǎng)絡之間安全連接的一個設備或一組設備，作為私有網(wǎng)絡和外部網(wǎng)絡之間連接的單點存在。防火墻是設置在可信任的內(nèi)部網(wǎng)絡和不可信任的外部網(wǎng)絡之間的一道屏障，它可以實施比較廣泛的安全策略來控制信息流，防止不可預料的潛在的入侵破壞.DMZ外網(wǎng)和內(nèi)部局域網(wǎng)的防火墻系統(tǒng)。

圖1-2-1

2．防火墻的分類

2.1基礎和分類

從防火墻的防范方式和側重點的不同來看，防火墻可以分為很多類型，但是根據(jù)防火墻對內(nèi)外來往數(shù)據(jù)處理方法，大致可將防火墻分為兩大體系：包過濾防火墻和代理防火墻。包過濾防火墻經(jīng)歷了兩代：

2.2包過濾防火墻

靜態(tài)包過濾防火墻采用的是一個都不放過的原則。它會檢查所有通過信息包里的IP地址號，端口號及其它的包頭信息，并根據(jù)系統(tǒng)管理員給定的過濾規(guī)則和準備過濾的信息包一一匹配，其中：如果信息包中存在一點與過濾規(guī)則不符合，那么這個信息包里所有的信息都會被防火墻屏蔽掉，這個信息包就不會通過防火墻。相反的，如果每條規(guī)都和過濾規(guī)則相匹配，那么信息包就允許通過。靜態(tài)包的過濾原理就是：將信息分成若干個小數(shù)據(jù)片（數(shù)據(jù)包），確認符合防火墻的包過濾規(guī)則后，把這些個小數(shù)據(jù)片按順序發(fā)送，接收到這些小數(shù)據(jù)片后再把它們組織成一個完整的信息這個就是包過濾的原理。這種靜態(tài)包過濾防火墻，對用戶是透明的，它不需要用戶的用戶名和密碼就可以登錄，它的速度快，也易于維護。但由于用戶的使用記錄沒有記載，如果有不懷好意的人進行攻擊的話，我們即不能從訪問記錄中得到它的攻擊記錄，也無法得知它的來源。而一個單純的包過濾的防火墻的防御能力是非常弱的，對于惡意的攻擊者來說是攻破它是非常容易的。其中“信息包沖擊”是攻擊者最常用的攻擊手段：主要是攻擊者對包過濾防火墻發(fā)出一系列地址被替換成一連串順序IP地址的信息包，一旦有一個包通過了防火墻，那么攻擊者停止再發(fā)測試IP地址的信息包，用這個成功發(fā)送的地址來偽裝他們所發(fā)出的對內(nèi)部網(wǎng)有攻擊性的信息。

圖2-2-1 2.3動態(tài)包過濾防火墻

靜態(tài)包過濾防火墻的缺點，動態(tài)包過濾防火墻都可以避免。它采用的規(guī)則是發(fā)展為“包狀態(tài)檢測技術”的動態(tài)設置包過濾規(guī)則。它可以根據(jù)需要動態(tài)的在過濾原則中增加或更新條目，在這點上靜態(tài)防火墻是比不上它的，它主要對建立的每一個連接都進行跟蹤。在這里我們了解的是代理防火墻。代理服務器型防火墻與包過濾防火墻不同之點在于，它的內(nèi)外網(wǎng)之間不存在直接的連接，一般由兩部分組成：服務器端程序和客戶端程序，其中客戶端程序通過中間節(jié)點與提供服務的服務器連接。代理服務器型防火墻提供了日志和審記服務。

圖2-2-3

校園網(wǎng)網(wǎng)絡結構拓撲圖如圖4-1所示:

圖3-1-1校園網(wǎng)網(wǎng)絡總拓撲結構圖

在實際應用環(huán)境中，一般情況下防火墻網(wǎng)絡可劃分為三個不同級別的安全區(qū)域： 內(nèi)部網(wǎng)絡：這是防火墻要保護的對象，包括全部的內(nèi)部網(wǎng)絡設備及用戶主機。這個區(qū)域是防火墻的可信區(qū)域(這是由傳統(tǒng)邊界防火墻的設計理念決定的)。

外部網(wǎng)絡：這是防火墻要防護的對象，包括外部網(wǎng)主機和設備。這個區(qū)域為防火墻的非可信網(wǎng)絡區(qū)域(也是由傳統(tǒng)邊界防火墻的設計理念決定的)。

DMZ(非軍事區(qū))：它是從內(nèi)部網(wǎng)絡中劃分的一個小區(qū)域，在其中就包括內(nèi)部網(wǎng)絡中用于公眾服務的外部服務器，如Web服務器、郵件服務器、DNS服務器等，它們都是為互聯(lián)網(wǎng)提供某種信息服務。

在以上三個區(qū)域中，用戶需要對不同的安全區(qū)域制訂不同的安全策略。雖然內(nèi)部網(wǎng)絡和DMZ區(qū)都屬于內(nèi)部網(wǎng)絡的一部分，但它們的安全級別(策略)是不同的。對于要保護的大部分內(nèi)部網(wǎng)絡，一般情況下禁止所有來自互聯(lián)網(wǎng)用戶的訪問；而由內(nèi)部網(wǎng)絡劃分出去的DMZ區(qū)，因需為互聯(lián)網(wǎng)應用提供相關的服務，這些服務器上所安裝的服務非常少，所允許的權限非常低，真正有服務器數(shù)據(jù)是在受保護的內(nèi)部網(wǎng)絡主機上，所以黑客攻擊這些服務器沒有任何意義，既不能獲取什么有用的信息，也不能通過攻擊它而獲得過高的網(wǎng)絡訪問權限。

通過NAT(網(wǎng)絡地址轉換)技術將受保護的內(nèi)部網(wǎng)絡的全部主機地址映射成防火墻上設置的少數(shù)幾個有效公網(wǎng)IP地址。這樣可以對外屏蔽內(nèi)部網(wǎng)絡構和IP地址，保護內(nèi)部網(wǎng)絡的

netscreen>get config（得到config信息）netscreen>get log event（得到日志）

3.2.2能問題需收集下列信息：

netscreen>set ffiliter?（設置過濾器）

netscreen>debug flow basic是開啟基本的debug功能 netscreen>clear db是清除debug的緩沖區(qū)

netscreen>get dbuf stream就可以看到debug的信息了 性能問題需收集下列信息：

得到下列信息前，請不要重新啟動機器，否則信息都會丟失，無法判定問題所在。netscreen>Get per cpu detail（得到CPU使用率）

netscreen>Get session info（得到會話信息）

netscreen>Get per session detail（得到會話詳細信息）netscreen>Get mac-learn（透明方式下使用，獲取MAC硬件地址）netscreen>Get alarm event（得到告警日志）

netscreen>Get tech>tftp 202.101.98.36 tech.txt（導出系統(tǒng)信息）netscreen>Get log system（得到系統(tǒng)日志信息）

netscreen>Get log system saved（得到系統(tǒng)出錯后，系統(tǒng)自動記錄信息，該記錄重啟后不會丟失。

設置接口-帶寬,網(wǎng)關

設置所指定的各個端口的帶寬速率,單位為kb/s Set interface interface bandwidth number unset interface interface bandwidth 設置接口的網(wǎng)關

set interface interface gateway ip_addr unset interface interface gateway 設置接口的接口的區(qū)域,IP地址zone就是網(wǎng)絡邏輯上劃分成區(qū),可以在安全區(qū)或安全區(qū)內(nèi)部

3.2.3接口之間實施策略：

設置接口的接口的區(qū)域

set interface interface zone zone unset interface interface zone 設置接口的IP地址

set interface interface ip ip_addr/mask set interface interface ip unnumbered interface interface2 unset interface interface ip ip_addr 3.2.4接口管理設置

①set interface interface manage {ident-reset|nsmgmt|ping|snmp|ssh|ssl|telnet|webui} unset interface interface manage {ident-reset|nsmgmt|ping|snmp|ssh|telnet|webui} WebUI：允許接口通過Web用戶界面(WebUI)接收HTTP管理信息流。Telnet:選擇此選項可啟用Telnet管理功能。

SSH:可使用“安全命令外殼”(SSH)通過以太網(wǎng)連接或撥號調(diào)制解調(diào)器管理NetScreen設備。必須具有與SSH協(xié)議版本1.5兼容的SSH客戶端。選擇此選項可啟用SSH管理功能。SNMP:選擇此選項可啟用SNMP管理功能。

SSL:選擇此選項將允許接口通過WebUI接收NetScreen設備的HTTPS安全管理信息流。NS Security Manager:選擇此選項將允許接口接收NetScreen-SecurityManager信息流。

Ping:選此選項將允許NetScreen設備響應ICMP回應請求，以確定是否可通過網(wǎng)絡訪問特定的IP地址。

Ident-Reset:與“郵件”或FTP發(fā)送標識請求相類似的服務。如果它們未收到確認，會再次發(fā)送請求。處理請求期間禁止用戶訪問。啟用Ident-reset選項后，NetScreen設備將發(fā)送TCP重置通知以響應發(fā)往端口113的IDENT請求，然后恢復因未確認標識請求而被阻止的訪問。②指定允許進行管理的ip地址

set interface interface manage-ip ip_addr unset interface interface manage-ip 3.2.5用戶帳號的操作

①添加只讀權限管理員

set admin user Roger password 2bd21wG7 privilege read-only ②修改帳戶為可讀寫權限

unset admin user Roger set admin user Roger password 2bd21wG7 privilege all ③刪除用戶

unset admin user Roger ④清除所有會話,并注銷帳戶 clear admin name Roger

4．防火墻的功能配置

4.1基于內(nèi)網(wǎng)的防火墻功能及配置 4.1.1 IP與MAC（用戶）綁定功能

如果在一個局域網(wǎng)內(nèi)部允許Host A上網(wǎng)而不允許Host B上網(wǎng)，則有一種方式可以欺騙防火墻進行上網(wǎng)，就是在HostA還沒有開機的時候，將HostB的IP地址換成Host A的IP地址就可以上網(wǎng)了。那么針對IP欺騙的行為，解決方法是將工作站的IP地址與網(wǎng)卡的MAC地址進行綁定，這樣再改換IP地址就不行了，除非將網(wǎng)卡和IP地址都換過來才行，所以將IP地址與MAC地址進行綁定，可以防止內(nèi)部的IP盜用。但是這種綁定只適合與防火墻同網(wǎng)段的節(jié)點，如果其他網(wǎng)段的節(jié)點通過防火墻進行訪問時，通過網(wǎng)段的源IP地址與目的IP地址是不同的，無法實現(xiàn)IP地址與MAC的綁定。但是可以通過IP地址與用戶的綁定，因為用戶是可以跨網(wǎng)段的。

另外對DHCP用戶的支持，如果在用DHCP服務器來動態(tài)分配IP地址的網(wǎng)絡中，主機沒有固定的IP地址，如何解決這樣的問題呢？目前主要有兩種方式可以解決這個問題，第一種是在防火墻中內(nèi)置DHCP服務器，但這種方式由于防火墻內(nèi)置DHCP服務器，會導致防火墻本身的不安全，如果有一天防火墻失效，造成DHCP服務器宕機會影響整個網(wǎng)絡而并不僅僅只對出口造成影響。另一種比較好的解決方法是防火墻支持基于MAC地址的訪問控制，在配置之前，先不添IP地址只添網(wǎng)卡的MAC地址，開機后自動將獲得的IP地址傳給防火墻，防火墻根據(jù)這個IP地址與MAC地址進行綁定來實現(xiàn)訪問控制，這種方式可以實現(xiàn)IP地址與MAC地址的綁定。這種方式的好處是防火墻受到破壞并不會對這個局域網(wǎng)的通訊產(chǎn)生影響，DHCP服務器不會受到影響，整個網(wǎng)絡也不需要進行改動。

（用戶）綁定針對IP欺騙的行為，我校校園網(wǎng)網(wǎng)絡設置中將工作站的IP地址與網(wǎng)卡的MAC地址進行綁定。

2個WEB服務器。因此，通過這種方式有兩個優(yōu)點，第一是這些服務器可以使用私有地址，同時也隱藏了內(nèi)網(wǎng)的結構，如果這時黑客進行攻擊進行掃描，內(nèi)網(wǎng)是安全的，因為61.235.51.6地址是防火墻的外端口，真正的WEB服務器的地址是192.168.0.1不會受到攻擊，這樣可以增加網(wǎng)絡的安全性

4.1.3NAT（地址轉換）功能

網(wǎng)絡地址轉換可以將內(nèi)網(wǎng)的私有地址利用防火墻的地址轉換功能，來實現(xiàn)對地址的轉換，防火墻可以隨機設置靜態(tài)合發(fā)地址或者動態(tài)地址池，防火墻向外的報文可以從地址池里隨機找一個報文轉發(fā)出來。利用這個方式也有兩個優(yōu)點：第一可隱藏內(nèi)網(wǎng)的結構，第二是內(nèi)部網(wǎng)絡可以使用保留地址，提供IP復用功能。

具體NAT功能配置如下：

nat inside source list 22 pool pool100 nat inside destination static 10.106.1.16172.1.1.15 nat inside destination static tcp 10.106.1.16 21 172.1.1.11 21 nat inside destination static tcp 10.106.1.16 80 172.1.1.12 80

5.外網(wǎng)防火墻功能配置

5.1 基于外網(wǎng)的防火墻功能及配置 5.1.1 DOS攻擊防范

防范DOS攻擊的傳統(tǒng)技術主要有4種：

①加固操作系統(tǒng)，即配置操作系統(tǒng)各種參數(shù)以加強系統(tǒng)穩(wěn)固性 ②利用防火墻

③負載均衡技術，即把應用業(yè)務分布到幾臺不同的服務器上 ④帶寬限制和QOS保證

本論文主要介紹利用防火墻來應對DOS的攻擊。目前絕大數(shù)的主流防火墻都支持IPInspect功能，防火墻會對進入防火墻的信息進行嚴格的檢測。這樣，各種針對系統(tǒng)漏洞的攻擊包會自動被系統(tǒng)過濾掉，從而保護了網(wǎng)絡免受來自外部的系統(tǒng)漏洞攻擊。通過設置ACL過濾、TCP監(jiān)聽功能，過濾不必要的UDP和ICMP數(shù)據(jù)報。

防火墻的基本配置如下：

firewall(config)#nameif fa0/1 inside security 100 firewall(config)#nameif fa0/2 inside security 100 firewall(config)#nameif fa0/3 outside security 0 firewall(config)#int fa0/1 auto firewall(config-if)#ip add inside 192.168.6.1 255.255.255.0 firewall(config-if)#no shutdown firewall(config-if)#int fa0/2 auto firewall(config-if)#ip add inside 192.168.7.1 255.255.255.0 firewall(config-if)#no shutdown firewall(config-if)#int fa0/3 auto firewall(config-if)#ip add outside 192.168.5.2 255.255.255.0 firewall(config-if)#no shutdown firewall(config-if)#exit 由于我們經(jīng)常會開啟一些小服務，例如echo(回顯)端口和discard(丟棄)端口，用于診斷，回顯端口將重放那些端口所接受到的數(shù)據(jù)包，而丟棄端口則將數(shù)據(jù)包丟棄，由于丟棄數(shù)據(jù)包或回顯數(shù)據(jù)包都會消耗Pcu周期，一些DOS攻擊就采用這些端口。所以建議在防火墻接口上關閉這些服務

firewall(config)#no service tcp-small-servers firewall(config)#no service udp-small-servers firewall(config)#no service finner firewall(config)#no ip directed-broadcast 5.1.2訪問控制功能

防火墻最基本的功能是訪問控制功能，一個域的信息流穿過防火墻對另一個域進行訪問的時候，防火墻可以截獲信息并對信息進行檢查，按著管理員設置的安全策略逐條進行匹配，如果符合安全策略，則逐條進行轉發(fā)；不符合則進行堵斷。因此防火墻基本的訪問控制功能是基于源IP地址、目的IP地址、源端口、目的端口、時間、流量、用戶、文件、網(wǎng)址和MAC地址來做訪問控制功能，這是防火墻最基本的訪問控制技術。

配置命令如下：

access-list extended 500 permit icmp ip access-list service 1021 ftp any 10.106.1.160.0.0.255 ip access-list service 1025 smtp any 10.106.1.160.0.0.255

51617-

第二篇：淺談辦公網(wǎng)絡中防火墻的應用

淺談辦公網(wǎng)絡中防火墻的應用

作者：未知 文章來源：網(wǎng)絡 點擊數(shù)：80 更新時間：2008-6-23 發(fā)表文章 全站搜索 收藏本文 QQ書簽 百度收藏

摘要： 隨著時代的發(fā)展，Internet日益普及，網(wǎng)絡已經(jīng)成為信息資源的海洋，給人們帶來了極大的方便。但由于Internet是一個開放的，無控制機構的網(wǎng)絡，經(jīng)常會受到計算機病毒、黑客的侵襲。它可使計算機和計算機網(wǎng)絡數(shù)據(jù)和文件丟失，系統(tǒng)癱瘓。因此，計算機網(wǎng)絡系統(tǒng)安全問題必須放在首位。本文就辦公網(wǎng)絡中應用最多的防火墻技術做了探討。

關鍵字：計算機網(wǎng)絡； 網(wǎng)絡安全；

防火墻技術

一、前言

企業(yè)內(nèi)部辦公自動化網(wǎng)絡一般是基于TCP/IP協(xié)議并采用了Internet的通信標準和Web信息流通模式的Intranet，它具有開放性，因而使用極其方便。但開放性卻帶來了系統(tǒng)入侵、病毒入侵等安全性問題。一旦安全問題得不到很好地解決，就可能出現(xiàn)商業(yè)秘密泄漏、設備損壞、數(shù)據(jù)丟失、系統(tǒng)癱瘓等嚴重后果，給正常的企業(yè)經(jīng)營活動造成極大的負面影響。因此企業(yè)需要一個更安全的辦公自動化網(wǎng)絡系統(tǒng)。

目前企業(yè)內(nèi)部辦公網(wǎng)絡存在的安全隱患主要有黑客惡意攻擊、病毒感染、口令攻擊、數(shù)據(jù)監(jiān)聽等，在這眾多的安全隱患中要數(shù)黑客惡意攻擊和病毒感染的威脅最大，造成的破壞也最大。所以企業(yè)網(wǎng)絡中應該以防范黑客和病毒為首。

針對企業(yè)辦公網(wǎng)絡存在的眾多隱患，各個企業(yè)也實施了安全防御措施，其中包括防火墻技術、數(shù)據(jù)加密技術、認證技術、PKI技術等，但其中應用最為廣泛、實用性最強、效果最好的就是防火墻技術。本文將就放火墻技術在企業(yè)辦公中的應用給予探討，希望能給廣大企業(yè)辦公網(wǎng)絡安全建設帶來一定幫助。

二、防火墻技術概述

1.防火墻的基本概念

防火墻原是建筑物大廈里用來防止火災蔓延的隔斷墻，在這里引申為保護內(nèi)部網(wǎng)絡安全的一道防護墻。從理論上講，網(wǎng)絡防火墻服務的原理與其類似，它用來防止外部網(wǎng)上的各類危險傳播到某個受保護網(wǎng)內(nèi)。從邏輯上講，防火墻是分離器、限制器和分析器；從物理角度看，各個防火墻的物理實現(xiàn)方式可以有所不同，但它通常是一組硬件設備(路由器、主機)和軟件的多種組合；而從本質(zhì)上來說防火墻是一種保護裝置，用來保護網(wǎng)絡數(shù)據(jù)、資源和用戶的聲譽；從技術上來說，網(wǎng)絡防火墻是一種訪問控制技術，在某個機構的網(wǎng)絡和不安全的網(wǎng)絡之間設置障礙，阻止對信息資源的非法訪問，換句話說，防火墻是一道門檻，控制進/出兩個方向的通信，防火墻主要用來保護安全網(wǎng)絡免受來自不安全網(wǎng)絡的入侵，如安全網(wǎng)絡可能是企業(yè)的內(nèi)部網(wǎng)絡，不安全網(wǎng)絡是因特網(wǎng)，當然，防火墻不只是用于某個網(wǎng)絡與因特網(wǎng)的隔離，也可用于企業(yè)內(nèi)部網(wǎng)絡中的部門網(wǎng)絡之間的隔離。

2.防火墻的工作原理

防火墻的工作原理是按照事先規(guī)定好的配置和規(guī)則，監(jiān)控所有通過防火墻的數(shù)據(jù)流，只允許授權的數(shù)據(jù)通過，同時記錄有關的聯(lián)接來源、服務器提供的通信量以及試圖闖入者的任何企圖，以方便管理員的監(jiān)測和跟蹤，并且防火墻本身也必須能夠免于滲透。

3.防火墻的功能

一般來說，防火墻具有以下幾種功能： ①能夠防止非法用戶進入內(nèi)部網(wǎng)絡。

②可以很方便地監(jiān)視網(wǎng)絡的安全性，并報警。

③可以作為部署 NAT（Network Address Translation，網(wǎng)絡地址變換）的地點，利用 NAT 技術，將有限的 IP 地址動態(tài)或靜態(tài)地與內(nèi)部的 IP 地址對應起來，用來緩解地址空間短缺的問題。

④可以連接到一個單獨的網(wǎng)段上，從物理上和內(nèi)部網(wǎng)段隔開，并在此部署 WWW服務器和 FTP 服務器，將其作為向外部發(fā)布內(nèi)部信息的地點。從技術角度來講，就是所謂的?；饏^(qū)（DMZ）。

4.防火墻的分類

①包過濾型防火墻，又稱篩選路由器(Screening router)或網(wǎng)絡層防火墻(Network level firewall)，它工作在網(wǎng)絡層和傳輸層。它基于單個數(shù)據(jù)包實施網(wǎng)絡控制，根據(jù)所收到的數(shù)據(jù)包的源IP地址、目的IP地址、TCP/UDP源端口號及目標端口號、ICMP消息類型、包出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標志等為參數(shù)，與用戶預定的訪問控制表進行比較，決定數(shù)據(jù)是否符合預先制定的安全策略，決定數(shù)據(jù)包的轉發(fā)或丟棄，即實施過濾。

②代理服務器型防火墻

代理服務器型防火墻通過在主機上運行代理的服務程序，直接對特定的應用層進行服務，因此也稱為應用型防火墻。其核心是運行于防火墻主機上的代理服務器進程，它代替網(wǎng)絡用戶完成特定的TCP/IP功能。一個代理服務器實際上是一個為特定網(wǎng)絡應用而連接兩個網(wǎng)絡的網(wǎng)關。

③復合型防火墻

由于對更高安全性的要求，通常把數(shù)據(jù)包過濾和代理服務系統(tǒng)的功能和特點綜合起來，構成復合型防火墻系統(tǒng)。所用主機稱為堡壘主機，負責代理服務。各種類型的防火墻都有其各自的優(yōu)缺點。當前的防火墻產(chǎn)品己不再是單一的包過濾型或代理服務器型防火墻，而是將各種安全技術結合起來，形成一個混合的多級防火墻，以提高防火墻的靈活性和安全性?；旌闲头阑饓σ话悴捎靡韵聨追N技術:①動態(tài)包過濾；②內(nèi)核透明技術；③用戶認證機制；④內(nèi)容和策略感知能力:⑤內(nèi)部信息隱藏；⑥智能日志、審計和實時報警；⑦防火墻的交互操作性等。

三、辦公網(wǎng)絡防火墻的設計

1.防火墻的系統(tǒng)總體設計思想

1.1設計防火墻系統(tǒng)的拓撲結構

在確定防火墻系統(tǒng)的拓撲結構時，首先必須確定被保護網(wǎng)絡的安全級別。從整個系統(tǒng)的成本、安全保護的實現(xiàn)、維護、升級、改造以及重要的資源的保護等方面進行考慮，以決定防火墻系統(tǒng)的拓撲結構。

1.2制定網(wǎng)絡安全策略

在實現(xiàn)過程中，沒有允許的服務是被禁止的，沒有被禁止的服務都是允許的，因此網(wǎng)絡安全的第一條策略是拒絕一切未許可的服務。防火墻封鎖所有信息流，逐一完成每一項許可的服務；第二條策略是允許一切沒有被禁止的服務，防火墻轉發(fā)所有的信息，逐項刪除被禁止的服務。

1.3確定包過濾規(guī)則

包過濾規(guī)則是以處理IP包頭信息為基礎，設計在包過濾規(guī)則時，一般先組織好包過濾規(guī)則，然后再進行具體設置。

1.4設計代理服務

代理服務器接受外部網(wǎng)絡節(jié)點提出的服務請求，如果此請求被接受，代理服務器再建立與實服務器的連接。由于它作用于應用層，故可利用各種安全技術，如身份驗證、日志登錄、審計跟蹤、密碼技術等，來加強網(wǎng)絡安全性，解決包過濾所不能解決的問題。1.5 嚴格定義功能模塊，分散實現(xiàn)

防火墻由各種功能模塊組成，如包過濾器、代理服務器、認證服務器、域名服務器、通信監(jiān)控器等。這些功能模塊最好由路由器和單獨的主機實現(xiàn)，功能分散減少了實現(xiàn)的難度，增加了可靠程度。

1.6防火墻維護和管理方案的考慮

防火墻的日常維護是對訪問記錄進行審計，發(fā)現(xiàn)入侵和非法訪問情況。據(jù)此對防火墻的安全性進行評價，需要時進行適當改進，管理工作要根據(jù)網(wǎng)絡拓撲結構的改變或安全策略的變化，對防火墻進行硬件和軟件的修改和升級。通過維護和管理進一步優(yōu)化其性能，以保證網(wǎng)絡極其信息的安全性。

2.一種典型防火墻設計實例——數(shù)據(jù)包防火墻設計

數(shù)據(jù)包過濾防火墻工作于DOD(Department of Defense)模型的網(wǎng)絡層，其技術核心是對是流經(jīng)防火墻每個數(shù)據(jù)包進行行審查，分析其包頭中所包含的源地址、目的地址、封裝協(xié)議(TCP，UDP、ICMP，IP Tunnel等)、TCP/UDP源端口號和目的端口號、輸人輸出接口等信息，確定其是否與系統(tǒng)預先設定的安全策略相匹配，以決定允許或拒絕該數(shù)據(jù)包的通過。從而起到保護內(nèi)部網(wǎng)絡的作用，這一過程就稱為數(shù)據(jù)包過濾。

本例中網(wǎng)絡環(huán)境為：內(nèi)部網(wǎng)絡使用的網(wǎng)段為192.168.1.0，eth0為防火墻與Internet接口的網(wǎng)卡，eth1為防火墻與內(nèi)部網(wǎng)絡接口的網(wǎng)卡。

數(shù)據(jù)包過濾規(guī)則的設計如下：

2.1與服務有關的安全檢查規(guī)則

這類安全檢查是根據(jù)特定服務的需要來決定是否允許相關的數(shù)據(jù)包被傳輸.這類服務包括WWW，F(xiàn)TP，Telnet，SMTP等.我們以WWW包過濾為例，來分析這類數(shù)據(jù)包過濾的實現(xiàn).WWW數(shù)據(jù)包采用TCP或UDP協(xié)議，其端口為80，設置安全規(guī)則為允許內(nèi)部網(wǎng)絡用戶對Internet的WWW訪問，而限制Internet用戶僅能訪問內(nèi)部網(wǎng)部的WWW服務器，(假定其IP地址為192.168.1.11)。

要實現(xiàn)上述WWW安全規(guī)則，設置WWW數(shù)據(jù)包過濾為，在防火eth0端僅允許目的地址為內(nèi)部網(wǎng)絡WWW服務器地址數(shù)據(jù)包通過，而在防火墻eth 1端允許所有來自內(nèi)部網(wǎng)絡WWW數(shù)據(jù)包通過。

#Define HTTP packets

#允許Internet客戶的WWW包訪問WWW服務器

/sbin/ipchains-A input-p tcp-s 0.0.0.0/0 1024:-d 192.168.1.11/32 www-i eth0 –j ACCEPT

/sbin/ipchains-A input-p tcp-s 0.0.0.0/fl 1024:-d 192.168.1.11132 www-i eth0 –j ACCEPT

#允許WWW服務器回應Internet客戶的WWW訪問請求

/sbin/ipchains-A input-ptcp-s192.168.1.11/32www:-d 0.0.0.0/0 1024:-i ethl –j ACCEPT

/sbin/ipchains-A input-p udp-s 192.168.1.11 /32www:-d 0.0.0.0/0 1024:-i eth1 –j ACCEPT

顯然，設置此類數(shù)據(jù)過濾的關鍵是限制與服務相應的目地地址和服務端口。

與此相似，我們可以建立起與FTP，Telnet，SMTP等服務有關的數(shù)據(jù)包檢查規(guī)則；

2.2與服務無關的安全檢查規(guī)則

這類安全規(guī)則是通過對路由表、數(shù)據(jù)包的特定IP選項和特定段等內(nèi)容的檢查來實現(xiàn)的，主要有以下幾點：

①數(shù)據(jù)包完整性檢查(Tiny Fragment):安全規(guī)則為拒絕不完整數(shù)據(jù)包進人Ipchains本身并不具備碎片過濾功能，實現(xiàn)完整性檢查的方法是利用REDHAT，在編譯其內(nèi)核時設定IP ； always defrayments set to‘y’。REDHAT檢查進人的數(shù)據(jù)包的完整性，合并片段而拋棄碎片。②源地址IP(Source IP Address Spoofing)欺騙:安全規(guī)則為拒絕從外部傳輸來的數(shù)據(jù)包偽裝成來自某一內(nèi)部網(wǎng)絡主機，以期能滲透到內(nèi)部網(wǎng)絡中.要實現(xiàn)這一安全規(guī)則，設置拒絕數(shù)據(jù)包過濾規(guī)則為，在防火墻eth0端拒絕1P源地址為內(nèi)部網(wǎng)絡地址的數(shù)據(jù)包通過。

③源路由(Source Routing)欺騙:安全規(guī)則為拒絕從外部傳輸來的數(shù)據(jù)包包含自行指定的路由信息，實現(xiàn)的方法也是借助REDHAT的路由功能，拒絕來自外部的包含源路由選項的數(shù)據(jù)包。

總之，放火墻優(yōu)點眾多，但也并非萬無一失。所以，安全人員在設定防火墻后千萬不可麻痹大意，而應居安思危，將防火墻與其他安全防御技術配合使用，才能達到應有的效果。

參考文獻：

[1]張 曄,劉玉莎.防火墻技術的研究與探討[J].計算機系統(tǒng)應用, 1999

[2]王麗艷.淺談防火墻技術與防火墻系統(tǒng)設計.遼寧工學院學報.2001 [3]郭偉.數(shù)據(jù)包過濾技術與防火墻的設計.江漢大學學報.2001

[4]Anthony Northup.NT Network Plumbing: Routers, Proxies, and Web Services [M].New York: IDG Books Worldwide, 1998.[5](美)Chris Hare Karanjit Siyan.Internet防火墻與網(wǎng)絡安全.北京:機械工業(yè)出版社,1998

第三篇：構建網(wǎng)絡防火墻

讓我們修筑起一道道網(wǎng)絡“防火墻”

——501班心理團輔課

網(wǎng)絡為學生提供了一條很好的學習和娛樂途徑，但如果沉溺其中肯定弊多利少。小學五年級是學生意志品質(zhì)形成的關鍵時期，也是人格發(fā)展的重要時期，大家接觸網(wǎng)絡的時間越來越長，對網(wǎng)絡也越來越迷戀，其中相當一部分學生盲目追求個人興趣，缺乏自我控制能力，浪費大量寶貴時間，以致荒廢了學業(yè)，嚴重影響了其身心健康成長。老師發(fā)現(xiàn)咱班有好多同學愛好上網(wǎng)，并且網(wǎng)絡聊天時語言不夠文明，還發(fā)一些不文明的圖片，上一些不健康的網(wǎng)站，玩游戲毫無節(jié)制，有些同學經(jīng)常不完成作業(yè)。于是，為了引導我們正確認識網(wǎng)絡的利弊，了解不適度上網(wǎng)對自身造成的危害，初步嘗試預防過度上網(wǎng)的方法，讓我們正確地利用網(wǎng)絡資源為我們的學習、生活增添色彩，今天下午老師特意給我們上了一節(jié)生動的心理團輔課。

課前老師對本班學生進行了相關的調(diào)查。活動在拍手游戲中拉開了序幕。神奇的網(wǎng)絡給我們的生活帶來了前所未有的便利，我們的生活也日益被網(wǎng)絡占據(jù)。那么網(wǎng)絡給我們帶來了什么好處呢？同學們你一言我一語地說開了，有的說，可以聽音樂看電影，休閑娛樂；有的說，可以聊天，結交筆友增進友誼；有的說，可以玩游戲放松心情；有的說，可以查閱資料增長見識，非常便捷；還有的說，可以購買物品既方便又便宜??看來，網(wǎng)絡的確給我們的生活、學習帶來了便利，好處多多。“那么大家從網(wǎng)絡中得到的是否都是快樂呢？下面我們一起來看一則小品”老師向我們拋出了這樣一個疑問，緊接著郭一鳴、馬圣隆、盧懿、施芷蘊四位同學上臺為大家表演了一則小品——《小剛上網(wǎng)記》。這則小品再現(xiàn)了個別同學的風貌，老師還從PPT中出示了小剛因此成為“網(wǎng)蟲”的慘痛日記，很值得同學們深思啊！緊接著老師又出示專家的一些調(diào)查研究報告，同學們?nèi)褙炞⒌乜粗聊?，個個瞪大了眼睛，真令人吃驚，原來網(wǎng)絡還給我們中小學生造成這么大的危害。老師又出示了咱們班的課前調(diào)查結果，指出我們班的有些同學也或多或少地存在著這些問題。

怎么辦呢？老師請我們想一想，尋找解決的辦法。大家又七嘴八舌地討論開了。最后，老師給我們做了點評，總結，提出了修筑四道“防火墻”工程：

第一道“防火墻”：上網(wǎng)之前先明確任務。第二道“防火墻”：上網(wǎng)之前先限定時間。第三道“防火墻”：時間一到就“思維叫?！?。第四道“防火墻”：父母幫助監(jiān)督提醒。

在修筑第三道網(wǎng)絡“防火墻”時，我們還玩了“懸崖勒馬思維叫停”的游戲，同學們在輕松的游戲活動中，體驗著，逐步提高自我控制力。說到第四道“防火墻”，好多同學還認為自己沒有必要修筑呢，都覺得自己的控制力挺強的，呵呵，“道德只是個簡單的是與非的問題，可實踐起來卻很難”，但愿這些同學真的能自我控制能力哦！接下來我們還將這幾道“防火墻”編成了兒歌呢！你聽，還朗朗上口呢：

你拍一，我拍一，上網(wǎng)之前任務明； 你拍二，我拍二，上網(wǎng)之前定時間； 你拍三，我拍三，時間一到就叫停； 你拍四，我拍四，父母監(jiān)督來提醒； 你拍五，我拍五，保護視力身體棒； 你拍六，我拍六，上網(wǎng)一定要節(jié)制！

老師對我們這堂課的表現(xiàn)很滿意，多次獎勵我們笑臉，還在信封里裝了兩份禮物呢！一份是一張精美的書簽，老師建議我們將今天編的兒歌謄抄在書簽上，時時提醒自己勉勵自己；另一份禮物是一張表格，盡管不精美，但對我們很管用，可以借助它養(yǎng)成好習慣。課上完，有的同學就說以后不上網(wǎng)了。盡管，這只是一時的想法，因為學習的需要，我們還是會上網(wǎng)，但相信同學們能把握網(wǎng)絡這把雙刃劍，因為，我們已開始層層設防啦！

第四篇：防火墻技術的應用

防火墻技術的應用

作 者：郭 麗 指導老師：李爭艷

摘 要：為了保護計算機、服務器和網(wǎng)絡資源免遭攻擊破壞, 提出了防火墻技術是當前比較流行而且是比較可行的一種網(wǎng)絡安全防護技術。本論文從實際應用的角度對防火墻的應用問題進行了探討分析，闡述了防火墻的幾種技術及其應用模式。最后，詳細介紹了防火墻的應用設計。

關鍵詞：防火墻；防火墻技術；防火墻應用模式；防火墻應用設計 防火墻概述

防火墻是設置在不同網(wǎng)絡（如可信任的企業(yè)內(nèi)部網(wǎng)絡與不可信任的外部公共網(wǎng)絡）或者不同網(wǎng)絡安全域之間的一系列部件（包括軟件和硬件）的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息和數(shù)據(jù)的唯一出入口，能夠根據(jù)網(wǎng)絡管理人員制定的網(wǎng)絡安全策略控制出入網(wǎng)絡的各種數(shù)據(jù)信息流，從而對所受保護的網(wǎng)絡提供信息安全服務。在邏輯上，防火墻是一個分離器、一個限制器，也是一個分析器，它有效地監(jiān)控了所要保護的內(nèi)部網(wǎng)和外部公共網(wǎng)絡之間的任何活動，用于確定網(wǎng)絡哪些內(nèi)部服務允許外部訪問，以及內(nèi)部網(wǎng)絡主機訪問哪些外部服務等，從而保證了所要保護的內(nèi)部計算機網(wǎng)絡的穩(wěn)定正常運行以及內(nèi)部網(wǎng)絡上數(shù)據(jù)和信息資源的完整性、可用性和保密性。不同技術的防火墻實現(xiàn)的功能的側重點不同，從某種意義來說，防火墻實際上代表了一個網(wǎng)絡的訪問控制原則。防火墻技術是計算機網(wǎng)絡安全領域中最為關鍵和有效的技術之一，它設置在相對安全的內(nèi)部網(wǎng)和相對不安全的而又具有大量資源和信息的外部網(wǎng)之間，執(zhí)行網(wǎng)絡安全策略，以有效地阻止來自外界的網(wǎng)絡攻擊，保護內(nèi)部網(wǎng)絡正常運行以及資源和信息的安全。通過以上分析我們可以看出防火墻從理論上應該具有下列特點：內(nèi)部和外部的所有網(wǎng)絡數(shù)據(jù)流必須經(jīng)過防火墻；只有符合安全策略的數(shù)據(jù)流才能通過防火墻；防火墻本身應該堅固安全可靠。

第1頁(共14頁)2 防火墻技術

防火墻技術分為包過濾，代理，NAT，狀態(tài)監(jiān)測等幾種技術。2.1 包過濾技術

包過濾工作在網(wǎng)絡層和邏輯鏈路層之間。日益增多的眾多IP路由產(chǎn)品正使包過濾成為一種改善網(wǎng)絡安全的工具。如果恰當使用，對具有安全意識的網(wǎng)絡管理者來說，包過濾是一種有用的工具。但它的有效利用需要對它的實際能力和缺點的充分了解，以及對用于過濾器的特定協(xié)議的特點的充分了解。首先檢查包過濾作為一種網(wǎng)絡安全度量的效用，簡要地比較了IP包過濾和其它的網(wǎng)絡安全方法如應用級網(wǎng)關，描述了包過濾在每一個包中檢查什么，及涉及包過濾時的通用應用協(xié)議的特性。然后鑒別和檢查了許多當前包過濾實現(xiàn)中出現(xiàn)的一些共同問題，說明這些問題怎樣不費力地破壞網(wǎng)絡管理者的意圖并導致一種虛假的安全感，并對這些問題提出解決方案。

這里把包過濾看作一種實現(xiàn)網(wǎng)絡安全策略的機制。需要考慮的事項是來自站點或網(wǎng)絡管理者的觀點(他們是那些在維持他們的站點或網(wǎng)絡足夠的安全時，對提供好的可能的服務給他們的用戶感興趣的人)，站點或網(wǎng)絡管理者的觀點必定和服務提供者或路由器供應商所有的觀點不一樣(他們感興趣的是提供網(wǎng)絡服務或產(chǎn)品給用戶)。始終假定站點管理者通常對于阻止外面的人進入更感興趣，而不是設法管轄內(nèi)部的人，并假定目的是阻止外而的人侵入和內(nèi)部的人偶爾接觸到有價值的數(shù)據(jù)或服務，而不是防止內(nèi)部的人有意地或惡意地暗中破壞安全措施。

包過濾能被用于實現(xiàn)各種不同的網(wǎng)絡安全策略。這些策略的第一個目的通常在于防止未經(jīng)授權的網(wǎng)絡訪問，而沒有阻礙授權的訪問。未經(jīng)授權的訪問和授權的訪問的定義在不同機構有很大的不同。第二個目的通常為機制在執(zhí)行用戶了解和安全措施的應用程序認識方面是透明的。另一個目的是機制對于配置和維護是簡單的，從而提高策略被正確和徹底的實現(xiàn)的可能性。或多或少的，包過濾是完成所有這些目的的一種機制，但這只能通過對于它的優(yōu)勢和缺點的透徹地了解及它的實際能力的小心運用來達到。

為了網(wǎng)絡安全，包過濾的一般的可供選擇的方法包括用網(wǎng)絡訪問保護

第2頁(共14頁)每一臺機器和使用應用網(wǎng)關。以全有或全無(一種非常粗糙的包過濾形式)為基礎允許網(wǎng)絡訪問，然后嘗試去保護具有網(wǎng)絡訪問權的每一臺機器一般是不切實際的，沒有幾個站點有辦法去保護并監(jiān)控每一臺需要偶然的網(wǎng)絡訪問的機器。應用網(wǎng)關，諸如被AT&T, DEC和其他幾個機構使用的那些，通常也是不切實際的。因為它們?yōu)榱说竭_外部主機，要求內(nèi)部主機運行改良(通常被定做或其他方面不是通用的)版本的應用程序(如FTP和Telnet)。如果一個恰當改良版本的應用程序?qū)τ谝粋€特定的主機(如適合于個人計算機的改良的Telnet客戶機)是不可用的，內(nèi)部主機的用戶簡直是不幸的，而且不能到達過去的應用網(wǎng)關。

在這里用到的允許和拒絕同路由和丟棄的意義是相同的。如果路由器決定允許或路由一個包，那么它將被送到它的目的地，好像路由不曾發(fā)生。如果路由器決定拒絕或丟棄一個包，那么該包僅僅被丟棄，好像它不曾存在一樣。依賴于過濾實現(xiàn)(有時候是過濾說明)，路由器可能給被丟棄的包的源主機回送一個ICMP信息(通常為主機不可達信息)，或只是假裝不曾收到該包。另外，本文中，入站和出站通常用于從受保護網(wǎng)絡作為一個整體的觀點談到連接或包，有時用于從過濾器路由器(在內(nèi)部網(wǎng)絡邊緣，內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間)的觀點談到包，或用于涉及包經(jīng)過的路由器接口。一個包在它到外部網(wǎng)絡的路上，對于過濾路由器來說，可能看來是入站的，但從內(nèi)部網(wǎng)絡作為一個整體來說，該包是出站的。一個出站連接是由內(nèi)部機器上的客戶機發(fā)起到外部機器上的服務器的連接。注意:當連接作為一個整體是出站的，它既包括出站包(指那些從內(nèi)部客戶機到外部服務器的)又包括入站包(指那些從外部服務器回到內(nèi)部客戶機的)。同樣地，一個入站連接是一個由外部機器上的客戶機發(fā)起到內(nèi)部機器上的服務器的連接。對于一個包來說，入站接口是在包出現(xiàn)的過濾路由器上的接口，而出站接口是包將經(jīng)由它出去的接口，如果它不被應用過濾規(guī)則拒絕的話。2.2代理技術

具有因特網(wǎng)訪問功能的主機代替其它主機完成與因特網(wǎng)的通信，這就是代理服務。代理只對單個(或很小一部分)主機提供因特網(wǎng)訪問服務，盡管它看起來像是對所有的主機提供服務。

代理服務其運行在一個雙宿主主機或一個堡壘主機上:一些可以與用戶交談的主機同樣也可以與外界交談。用戶的代理程序與這個代理服務器

第3頁(共14頁)交談，而不是直接與外部的因特網(wǎng)上的真實的服務器交談。這個代理服務器接收來自客戶的要求，應決定哪個請求可以傳送，那個可以不考慮。如果一個請求是許可的，代理服務器就會代表客戶與真正的服務器交談，繼而將客戶請求傳達給真實服務器，并將真實服務器的應答返回給客戶。代理服務對用戶是透明的，用戶與代理服務器交談就像與真實服務器交談一樣；而對真實服務器米說，它是于一個運行于代理服務器主機上的用戶交談，而并不知道用戶的真實所在。代理技術有如下特點：

（1）代理服務允許用戶直接地訪問因特網(wǎng)服務

使用雙宿主主機方式，用戶需要在訪問任何因特網(wǎng)服務之前連入這個主機，通常這樣做很不方便，會使一些用戶變得很沮喪，以至于是他們在防火墻周圍尋找通道。使用代理服務，用戶會認為他們是在直接與因特網(wǎng)服務器進行交流。

當然，后臺仍會有更多程序在運行，但它們對于用戶來說通常是透明的。當代理服務允許用戶通過它們連入因特網(wǎng)時，它們不允許在用戶系統(tǒng)和因特網(wǎng)之間直接傳送數(shù)據(jù)包。數(shù)據(jù)包的傳輸?shù)缆肥情g接的:或者通過雙宿主主機，或者通過一個堡壘主機和屏蔽路由器系統(tǒng)。（2）代理服務可以優(yōu)化日志服務

因為代理服務器可以優(yōu)先選擇協(xié)議，所以它們允許日志服務以一種特殊有效的方式運行。例如，一個FTP代理服務器可以只記錄已發(fā)出的命令和服務器返回的應答，來代替記錄所有傳送的數(shù)據(jù)，這樣會產(chǎn)生一個小的多也有用的多的日志。

（3）代理服務滯后于非代理服務

盡管代理軟件廣泛用于類似FTP和Telnet這些陳舊的簡單的服務，但新的或不常用服務的代理軟件卻較難找到。在一個新的服務出現(xiàn)以后，通常要經(jīng)過一個明顯的延遲，它的代理服務器才會出現(xiàn)，滯后時間的長短主要依賴于為代理而設計的服務器。這時的一個站點在提供一項新的服務時，難以立刻提供相應的代理服務。如果某個內(nèi)部子系統(tǒng)需要一種新的服務，那么在找到合適的代理軟件之前，將不得不把它置于防火墻之外，這等于打開了潛在的安全缺口。

（4）不同的服務可能要求不同的服務器

第4頁(共14頁)可能需要為每項服務設置不同的代理服務器。因為代理服務器需要理解這個服務所用的協(xié)議，以判斷什么是允許的，什么是不允許的，并且它還得扮演兩個角色，對真實服務器來說它是用戶，對代理服務器來說它是真實服務器。挑選、安裝和配置所有這些不同的代理服務可能是一項龐大的工程。

根據(jù)所用的代理軟件的不同，配置的難易程度也大不相同，在一個地方容易做的事情可能在其它地方非常困難。例如，容易配置的服務器通常實用性比較差，它們之所以可以比較容易地配置，是因為它們限制了各種使用條件，這些條件可能是正確的，也可能根本不適合你的站點。（5）代理服務對用戶的限制比較多

代理服務器通常要求對用戶和使用過程進行限制，每一種限制都有不足之處，人們無法按他們自己的步驟來隨心所欲地使用代理服務。由于這些限制，代理服務就不能像非代理服務運行得那樣好，它們往往可能曲解協(xié)議，而且也缺少一定的靈活性。2.3 NAT技術

網(wǎng)絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內(nèi)部網(wǎng)絡訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡中每一臺機器取得注冊的IP地址。在內(nèi)部網(wǎng)絡通過安全網(wǎng)卡訪問外部網(wǎng)絡時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡連接，這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡地址。在外部網(wǎng)絡通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡時，它并不知道內(nèi)部網(wǎng)絡的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預先定義好的映射規(guī)則來判斷這個訪問是否安全。當符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機中。當不符合規(guī)則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網(wǎng)絡地址轉換的過程對于用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規(guī)操作即可。

NAT的工作過程如圖1所示：

在內(nèi)部網(wǎng)絡通過安全網(wǎng)卡訪問外部網(wǎng)絡時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的第5頁(共14頁)地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡連接，這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡地址。

圖1 NAT工作過程

在外部網(wǎng)絡通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡時，它并不知道內(nèi)部網(wǎng)絡的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預先定義好的映射規(guī)則來判斷這個訪問是否安全。當符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機中。當不符合規(guī)則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網(wǎng)絡地址轉換的過程對于用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規(guī)操作即可。2.4狀態(tài)監(jiān)測技術

這是繼“包過濾”技術和“應用代理”技術后發(fā)展的防火墻技術，它是CheckPoint技術公司在基于“包過濾”原理的“動態(tài)包過濾”技術發(fā)展而來的，與之類似的有其他廠商聯(lián)合發(fā)展的“深度包檢測”（Deep Packet Inspection）技術。這種防火墻技術通過一種被稱為“狀態(tài)監(jiān)視”的模塊，在不影響網(wǎng)絡安全正常工作的前提下采用抽取相關數(shù)據(jù)的方法對網(wǎng)絡通信的各個層次實行監(jiān)測，并根據(jù)各種過濾規(guī)則做出安全決策。

“狀態(tài)監(jiān)測”技術在保留了對每個數(shù)據(jù)包的頭部、協(xié)議、地址、端口、第6頁(共14頁)類型等信息進行分析的基礎上，進一步發(fā)展了“會話過濾”功能，在每個連接建立時，防火墻會為這個連接構造一個會話狀態(tài)，里面包含了這個連接數(shù)據(jù)包的所有信息，以后這個連接都基于這個狀態(tài)信息進行，這種檢測的高明之處是能對每個數(shù)據(jù)包的內(nèi)容進行監(jiān)視，一旦建立了一個會話狀態(tài)，則此后的數(shù)據(jù)傳輸都要以此會話狀態(tài)作為依據(jù)，例如一個連接的數(shù)據(jù)包源端口是8000，那么在以后的數(shù)據(jù)傳輸過程里防火墻都會審核這個包的源端口還是不是8000，否則這個數(shù)據(jù)包就被攔截，而且會話狀態(tài)的保留是有時間限制的，在超時的范圍內(nèi)如果沒有再進行數(shù)據(jù)傳輸，這個會話狀態(tài)就會被丟棄。狀態(tài)監(jiān)視可以對包內(nèi)容進行分析，從而擺脫了傳統(tǒng)防火墻僅局限于幾個包頭部信息的檢測弱點，而且這種防火墻不必開放過多端口，進一步杜絕了可能因為開放端口過多而帶來的安全隱患。

由于狀態(tài)監(jiān)視技術相當于結合了包過濾技術和應用代理技術，因此是最先進的，但是由于實現(xiàn)技術復雜，在實際應用中還不能做到真正的完全有效的數(shù)據(jù)安全檢測，而且在一般的計算機硬件系統(tǒng)上很難設計出基于此技術的完善防御措施（市面上大部分軟件防火墻使用的其實只是包過濾技術加上一點其他新特性而已）。

3防火墻的應用模式

由于網(wǎng)絡拓撲結構和安全需求等方面的差異，在使用防火墻構建網(wǎng)絡安全防護系統(tǒng)時，其應用模式可能是千差萬別的?？偟膩碚f，比較典型的防火墻應用模式有4種。

3.1屏蔽路由器（Screened Route）

這種應用模式采用單一的分組過濾型防火墻或狀態(tài)檢測型防火墻來實現(xiàn)。通常，防火墻功能由路由器提供（在路由器上增加一個防火墻模塊），該路由器設置在內(nèi)部網(wǎng)與internet之間，根據(jù)預先設置的安全規(guī)則對進人內(nèi)部網(wǎng)的信息流進行安全過濾。在這種應用模式中，防火墻功能也可以用單獨的防火墻設備或主機來實現(xiàn)，設置在內(nèi)部網(wǎng)與路由器之間。參見圖2：

內(nèi)部網(wǎng)

屏蔽

路由器

INTERNET

圖2 屏蔽路由器 第7頁(共14頁)這種應用模式的優(yōu)點是數(shù)據(jù)轉發(fā)速度快，岡絡性能損失較小，易于實現(xiàn)，費用較低、它的缺點是安全性比較脆弱，尤其是分組過濾型防火墻，容易被人侵者攻破，進而入侵內(nèi)部網(wǎng)。3.2雙宿主機網(wǎng)關（Dual Homed Gateway）

這種應用模式采用單一的代理服務型防火墻來實現(xiàn)。通常，防火墻是由一個運行代理服務軟件的主機實現(xiàn)的。這種主機稱為堡壘主機（Bastion Host），而具有兩個網(wǎng)絡接口的堡壘。主機稱為雙宿主機（Dual Home）。這種應用模式由雙宿主機充當內(nèi)部網(wǎng)與internet之間的網(wǎng)關，并在其上運行代理服務器軟件，受保護的內(nèi)部網(wǎng)與Internet之間不能直接建立連接，必 須通過堡壘主機才能進行通信外部用戶只能看到堡壘主機。而不能看到內(nèi)部網(wǎng)的實際服務器和其他資源。受保護網(wǎng)絡的所有開放服務必須由堡壘主機上的代理服務軟件來實施。參見圖3：

內(nèi)部網(wǎng)

堡壘

主機

INTERNET

圖3 雙宿主機網(wǎng)關

這種應用模式的安全性略好一些。但仍然比較脆弱，因為堡壘主機是惟一的安全屏障，一旦被人侵者攻破。內(nèi)部網(wǎng)將失去保護。3.3屏蔽主機網(wǎng)關（Screened Host Gateway）

這種應用模式采用雙重防火墻來實現(xiàn)，一個是屏蔽路由器，構成內(nèi)部網(wǎng)的第一道安全屏障；另一個是堡壘主機．構成內(nèi)部網(wǎng)的第二道安全屏障。參見圖4：

內(nèi)部網(wǎng)

堡壘 主機 屏蔽 路由器

INTERNET

圖4 屏蔽主機網(wǎng)關

屏蔽路由器基于下列規(guī)則過濾分組流：堡壘主機是內(nèi)部網(wǎng)惟一的系統(tǒng)，允許外部用戶與堡壘主機建立連接，并且只能通過與堡壘主機建立連接來訪問內(nèi)部網(wǎng)提供的服務。由于這種應用模式設有兩道安全屏障，并且是由兩種不同的防火墻構成的，可以優(yōu)勢互補和相互協(xié)調(diào)。因此，具有較高的第8頁(共14頁)安全性，并且比較靈活。

3.4屏蔽子網(wǎng)網(wǎng)關（Screened Subnet Gateway）

這種應用模式是在內(nèi)部網(wǎng)與internet之間設置一個獨立的屏蔽子網(wǎng)，在內(nèi)部網(wǎng)與屏蔽子網(wǎng)之間和屏蔽子網(wǎng)與Internet之間都要沒置一個屏蔽路由器，堡壘主機連接在屏蔽子網(wǎng)上。堡壘主機是惟一的內(nèi)部網(wǎng)和Internet都能訪問的系統(tǒng)，但要受到屏蔽路由器過濾規(guī)則的限制。參見圖5：

屏蔽子網(wǎng)

內(nèi)部網(wǎng)

堡壘 主機

堡壘主機

屏蔽 路由器

INTERNET

圖5 屏蔽子網(wǎng)網(wǎng)關

在這種應用模式中，內(nèi)部服務器設有三道安全屏障：兩個屏蔽路由器和堡壘主機，入侵者要入侵內(nèi)部網(wǎng)必須攻破兩個屏蔽路由器和堡壘主機，這顯然是相當困難的。因此，具有更高的安全性，比較適合保護大型的網(wǎng)絡，但成本也比較高。防火墻的應用設計

根據(jù)行業(yè)特征和應用性質(zhì)可將網(wǎng)絡系統(tǒng)大致分成校園網(wǎng)、企業(yè)網(wǎng)、商務網(wǎng)、金融網(wǎng)、政務網(wǎng)以及軍用網(wǎng)等。這些網(wǎng)絡系統(tǒng)的安全需求是不相同的，必須采用與其應用性質(zhì)相適應的安全措施來構建完整的網(wǎng)絡安全體系。以滿足各種網(wǎng)絡系統(tǒng)的安全需求，完整的網(wǎng)絡安全體系應當包括防護、檢測、響應和管理等各個環(huán)節(jié)，不是單靠某一種安全技本來解決的，也要形成一個動態(tài)的安全防護系統(tǒng)。其中，防火墻是整個網(wǎng)絡安全體系的基礎和關鍵環(huán)節(jié)，也是一種常用的安全防護技術，它作為第一道安全屏障最容易受到人侵者的攻擊。因此，除了防火墻本身應具有較好的安全防護能力之外，防火墻的應用方案設計也是十分重要的。

第9頁(共14頁)防火墻的應用方案設計一般包括安全需求分析、網(wǎng)絡安全系統(tǒng)設計和安全策略設計3部分。4.1安全需求分析

根據(jù)網(wǎng)絡應用性質(zhì)，可以將網(wǎng)絡應用環(huán)境分成3種：開放的、專用的和內(nèi)部的。不同的網(wǎng)絡應用環(huán)境所面臨的安全風險和需求是不同的，其安全解決方案也有所不同。

（1）開放的網(wǎng)絡應用環(huán)境：在開放的網(wǎng)絡應用環(huán)境中，網(wǎng)絡服務和信息內(nèi)容向internet上的所有用戶完全開放，如連接在Internet上的各種開放的Web服務器等。這種開放的應用環(huán)境一般不存在信息內(nèi)容保密和用戶身份驗證問題，它所面臨的安全風險是拒絕服務（Dos）篡改網(wǎng)頁內(nèi)容以及被非法利用等。這些安全風險需要采用多種安全措施來防范，包括使用接納控制技術阻止入侵者非法獲取系統(tǒng)控制權、使用防火墻技術過濾“有害”的信息，使用“補丁”程序來阻塞系統(tǒng)安全漏洞，使用入侵檢測技術來檢測和發(fā)現(xiàn)網(wǎng)絡攻擊行為等。這種應用環(huán)境的安全要求相對較低，防火墻的作用是次要的，必要時可采用屏蔽路由器模式。

（2）專用的網(wǎng)絡應用環(huán)境：在專用的網(wǎng)絡應用環(huán)境中，網(wǎng)絡服務和信息內(nèi)容是半開放的。只允許授權用戶通過Internet來訪問。這些授權用戶是可信任的，他們通常是商業(yè)合作伙伴或者本單位的外地員工。這種專用的應用環(huán)境所面臨的安全風險是假冒合法用戶獲取信息以及信息傳輸過程中被非法截獲或者篡改等。前者屬于網(wǎng)絡安全問題，主要是用防火墻等技術來防范；后者屬于信息安全問題，主要采用VPN等枝術來解決信息傳輸過程中的數(shù)據(jù)機密性和數(shù)據(jù)完整性問題。

在這種網(wǎng)絡應用環(huán)境中，一般要在內(nèi)部網(wǎng)與Internet之間設置防火墻，并通過安全規(guī)則來控制外部用戶對內(nèi)部網(wǎng)資源（如Web服務器和其他服務器）的訪問。根據(jù)網(wǎng)絡服務的安全要求，選擇適當?shù)姆阑饓媚Ｊ絹斫⒕W(wǎng)絡安全防護系統(tǒng)。除了防火墻外，還應當使用VPN技術、基于數(shù)字證書的訪問控制技術等來解決信息交換安全問題。

（3）內(nèi)部的網(wǎng)絡應用環(huán)境：在內(nèi)部的網(wǎng)絡應用環(huán)境中，內(nèi)部網(wǎng)與Internet是物理隔離的，網(wǎng)絡服務器沒置在內(nèi)部網(wǎng)，只允許內(nèi)部用戶通過內(nèi)部網(wǎng)訪問網(wǎng)絡服務器，這是一種封閉的網(wǎng)絡環(huán)境。它所面臨的安全風險是內(nèi)部用戶的非授權訪問，竊取和泄露機密信息等。其防范措施主要側重

第10頁(共14頁)于解決內(nèi)部用戶對內(nèi)部網(wǎng)的攻擊問題，如采用VLAN、訪問控制、安全審計和安全管理等防范措施。

由于不同的網(wǎng)絡應用環(huán)境所面臨的安全風險是各不相同的，不能一概而論。因此必須針對不同網(wǎng)絡應用環(huán)境所面臨的安全風險采取適當?shù)陌踩胧﹣碓鰪娤到y(tǒng)安全性。在系統(tǒng)安全性、網(wǎng)絡性能損失和系統(tǒng)費用等方面尋找一個最佳平衡點，減少盲目性。4.2網(wǎng)絡安全系統(tǒng)設計

在上述的4種防火墻應用模式中，每一種應用模式所提供的安全防護能力和系統(tǒng)費用都是不相同的。在網(wǎng)絡安全系統(tǒng)設計中，應當根據(jù)網(wǎng)絡應用系統(tǒng)的安全需求來構造網(wǎng)絡安全體系。

在安全要求不高的情況下，一般采用屏蔽路由器或雙宿主機網(wǎng)關應用模式來構造網(wǎng)絡安全系統(tǒng)。這樣在滿足系統(tǒng)安全需求前提下，有利于降低系統(tǒng)費用，簡化網(wǎng)絡管理。在屏蔽路由器或雙穴主機網(wǎng)關應用模式不能滿足系統(tǒng)安全需求的情況下，可以考慮采用屏蔽主機網(wǎng)關或屏蔽子網(wǎng)網(wǎng)關應用模式。

例如：在基于屏蔽子網(wǎng)網(wǎng)關應用模式構建的網(wǎng)絡安全系統(tǒng)中，必須將內(nèi)部網(wǎng)劃分為3個子網(wǎng)：內(nèi)部子網(wǎng)、屏蔽子網(wǎng)與外部網(wǎng)（如Internet）。不同子網(wǎng)的安全需求是不同的。屏蔽子網(wǎng)網(wǎng)關模式采用了兩個屏蔽路由器，一個位于內(nèi)都子網(wǎng)和屏蔽子網(wǎng)之間的內(nèi)部屏蔽路由器；另一個位子屏蔽子網(wǎng)與外部網(wǎng)之間的外部屏蔽路由器。從網(wǎng)絡體系結構上通過屏蔽子網(wǎng)將內(nèi)部子網(wǎng)與不可信的外部網(wǎng)隔離開。外部屏蔽路由器的作用是保證外部網(wǎng)發(fā)來的數(shù)據(jù)包只能到達屏蔽子網(wǎng)，而且只能將屏蔽子網(wǎng)中的數(shù)據(jù)包輸出到外部網(wǎng)上。內(nèi)部屏蔽路由器的作用是保證內(nèi)部網(wǎng)發(fā)來的數(shù)據(jù)包只能輸出到屏蔽子網(wǎng)上，而不能到達外部網(wǎng)。這樣內(nèi)部網(wǎng)和外部網(wǎng)之間不能直接通信，雙方都只能到達屏蔽子網(wǎng)。由于屏蔽子網(wǎng)是內(nèi)部子網(wǎng)與外部網(wǎng)之間的隔離區(qū)，所以屏蔽子網(wǎng)也稱為“非軍事區(qū)”或“?；饏^(qū)”。圖6所示是一種基于屏蔽子網(wǎng)網(wǎng)關應用模式的網(wǎng)絡安全系統(tǒng)結構。

第11頁(共14頁)

圖6 網(wǎng)絡安全系統(tǒng)結構

內(nèi)部屏蔽路由器還應當提供網(wǎng)絡地址翻譯器（NAT）功能。NAT允許在內(nèi)部網(wǎng)絡中使用私有IP地址。而私有IP地址在internet中是不可見的，可見的只是代理服務器的公用IP地址。這樣，在屏蔽內(nèi)部子網(wǎng)結構的同時，還解決了公用IP地址短缺問題。

對于各種對外開放的網(wǎng)絡服務器，如Web服務器、FTP服務器、E-mail服務器以及DNS服務器等可以放置在屏蔽子網(wǎng)中。為了使內(nèi)部用戶能夠仿問Internet，在屏蔽子網(wǎng)上設置一個堡壘主機，提供代理服務器功能。這樣，既可以使外部用戶能方便瀏覽開放的信息服務、與內(nèi)部網(wǎng)用戶交換郵件等，又防止了外部用戶攻擊內(nèi)部網(wǎng)，篡改數(shù)據(jù)或破壞系統(tǒng)。在這種網(wǎng)絡安全體系結構中，入侵者想要攻擊內(nèi)部網(wǎng)，必須連續(xù)地攻破外部分組過濾器、代理服務器和內(nèi)部分組過濾器等三道防火墻。即使高明的黑客也是相當困難的。

合理地配置防火墻可以防御多種網(wǎng)絡攻擊，例如：

（1）在防火墻中配置多塊網(wǎng)卡，不同的網(wǎng)卡對應于不同的網(wǎng)段，通過將網(wǎng)卡與對應網(wǎng)段綁定，可以防御IP地址欺騙的攻擊。

（2）在防火墻中阻塞ICMP報文，只允許某些類型（如回應請求類型）的ICMP報文通過，可以防御“Ping Of death”之類的攻擊。

（3）在防火墻中阻塞ActiveX和Java Applets程序，可以防御惡意程序?qū)?nèi)部主機進行攻擊。

（4）在防火墻中使用NAT功能，所有從防火墻流出的IP數(shù)據(jù)包的源地址均為防火墻上保留的合法IP地址，不僅可以使內(nèi)部主機共享有限的 Internet IP地址，而且能夠隱藏內(nèi)部網(wǎng)絡信息。

（5）在防火墻中使用認證功能，可以對主機地址、網(wǎng)卡地址和主機名進行認證，還可以對用戶身份進行認證，例如采用口令認證、RADIUS認證以及硬件參與認證等，可以防御地址欺騙、身份假冒等攻擊。

另外，對于處于不同地理位置上的內(nèi)部網(wǎng)通過Internet交換信息時，可以采用VPN技術來解決信息傳輸過程中的數(shù)據(jù)機密性和數(shù)據(jù)完整性問題。在這種情況下，應當在屏蔽子網(wǎng)設置一個VPN網(wǎng)關，兩個內(nèi)部網(wǎng)之間通過VPN網(wǎng)關建立一個安全的傳輸隧道，實現(xiàn)數(shù)據(jù)安全傳輸。這意味著可信的外部用戶只能邁過VPN隧道穿越內(nèi)部網(wǎng)的防火墻，而在建立VPN隧道時，雙方的身份是經(jīng)過認證的，都是可信的用戶。

第12頁(共14頁)4.3安全策略設計

在圖6所示的網(wǎng)絡安全系統(tǒng)結構中，設有3個防火墻：外部分組過濾器（由外部屏蔽路由器提供）、內(nèi)部分組過濾器（由內(nèi)部屏蔽路由器提供）和代理服務器（由堡壘主機提供）。根據(jù)網(wǎng)絡應用的安全需求，必須分別為它們設計安全策略和規(guī)則。

（1）外部分組過濾器：外部分組過濾的缺省規(guī)則為禁止所有服務。主機規(guī)則為允許外部用戶訪問屏蔽子網(wǎng)中開放的服務器（如 Web服務器、FTP服務器等），允許外部用戶連接安全代理服務器。每次連接都要產(chǎn)生日志記錄，供以后安全審計使用。

（2）內(nèi)部分組過濾器：內(nèi)部分組過濾的缺省規(guī)則為禁止所有服務。主機規(guī)則為允許內(nèi)部用戶連接屏蔽子網(wǎng)中的主機。每次連接都要產(chǎn)生日志記錄。通過地址轉換功能，使所有使用內(nèi)部IP地址的用戶都能共用一個合法外都IP地址訪問外部網(wǎng)絡（如Internet）。

（3）代理服務器：代理服務器的缺省規(guī)則為禁止聽有連接．它允許內(nèi)部用戶訪向外部網(wǎng)絡的web站點，并提供代理功能，對所代理的連接進行安全檢查，禁止內(nèi)部用戶訪問非法站點，并產(chǎn)生日志記錄。它還為內(nèi)部郵件服務器與外部郵件服務器之間的連接提供代理。對郵件的大小、數(shù)量，發(fā)送者、接收者，甚至內(nèi)容進行檢查，并產(chǎn)生日志記錄。它在代理 Telnet和 FTP內(nèi)部服務器時，要求驗證用戶的身份，允許合法用戶以規(guī)定的權限上載和下載服務器中的文件，并產(chǎn)生日志記錄。

為了支持防火墻的系統(tǒng)配置、規(guī)則設置、日志查看和安全審計等管理操作，一般的防火墻產(chǎn)品都提供一種圖形化界面的管理軟件。在完成網(wǎng)絡體系結構設計和各個防火墻的安全策略設計后，便可以著手配置各個防火墻的系統(tǒng)參數(shù)和安全規(guī)則。在網(wǎng)絡應用和網(wǎng)絡體系結構發(fā)生變化時，應當及時修改防火墻的安全策略，避免可能產(chǎn)生的安全漏洞。在防火墻工作過程中，可以通過管理軟件監(jiān)視防火墻的日志信息，定期進行安全審計，及時發(fā)現(xiàn)系統(tǒng)可能存在的安全漏洞，入侵者的攻擊行為以及其他違反安全規(guī)則的行為，為網(wǎng)絡安全管理提供決策依據(jù)。結束語

第13頁(共14頁)本論文主要研究防火墻技術的應用，從防火墻的簡單概述展開，描述了防火墻的四種技術，防火墻的應用模式。最后，闡述了防火墻的應用設計。旨在展望網(wǎng)絡安全，即防火墻技術的未來狀況。

參 考 文 獻

[1] 蔡皖東.網(wǎng)絡與信息安全[M].西安：西北工業(yè)大學出版社，2004.[2] 魏利華.防火墻技術研究[J].淮陰工業(yè)學院學報：計算機科學技術版，2003，38（4）：21-33.[3] 蔣建春，馮登國.網(wǎng)絡入侵檢測技術原理與技術[M].北京：國防工業(yè)出版社，2005.[4] 陸楠.現(xiàn)代網(wǎng)絡技術[M].西安：西安電子科技大學出版社，2003.[5] 劉克龍，蒙楊.一種新型的防火墻系統(tǒng)[J].淮陰工業(yè)學院學報：計算機科學技術版，2005，46（6）：11-14.[6] 張凡，李丹靈.網(wǎng)絡信息安全的真相[J].深圳大學學報：計算機科學技術版，2006，24（5）：12-19.[7] 陳功富.現(xiàn)代計算機網(wǎng)絡技術[M].北京：電子工業(yè)出版社，2005.[8] 鄧吉，柳靖.黑客防攻實戰(zhàn)詳解[M].北京：電子工業(yè)出版社，2006.[9] 郭鑫.防黑檔案[M].北京：電子工業(yè)出版社.2003.[10]薛靜鋒.入侵檢測技術[M].機械工業(yè)出版社，2004.[11]鄧亞平.計算機網(wǎng)絡安全[M].北京：人民郵電出版社.2004.[12]李濤.網(wǎng)絡安全概論[M].北京:電子工業(yè)出版社.2004.Application of Firewall technology

Guo Li Abstract：To protect the personal computer, the server and the network resource from attacking and keep them safe from being destroyed, the firewall technology is popular used and applied successfully in network safeguard field.The paper mainly analyzes the application of firewall from a point of practical usage and expound the applied design of firewall in the end after introducing several techniques and applied patterns.Key words：Firewall;Firewall technology;Firewall application pattern;Firewall using design

第14頁(共14頁)

第五篇：防火墻的功能、缺點和分類

一、防火墻能夠作到些什么？

1.包過濾

具備包過濾的就是防火墻？對，沒錯！根據(jù)對防火墻的定義，凡是能有效阻止網(wǎng)絡非法連接的方式，都算防火墻。早期的防火墻一般就是利用設置的條件，監(jiān)測通過的包的特征來決定放行或者阻止的，包過濾是很重要的一種特性。雖然防火墻技術發(fā)展到現(xiàn)在有了很多新的理念提出，但是包過濾依然是非常重要的一環(huán)，如同四層交換機首要的仍是要具備包的快速轉發(fā)這樣一個交換機的基本功能一樣。通過包過濾，防火墻可以實現(xiàn)阻擋攻擊，禁止外部/內(nèi)部訪問某些站點，限制每個ip的流量和連接數(shù)。

2.包的透明轉發(fā)

事實上，由于防火墻一般架設在提供某些服務的服務器前。如果用示意圖來表示就是 Server—FireWall—Guest。用戶對服務器的訪問的請求與服務器反饋給用戶的信息，都需要經(jīng)過防火墻的轉發(fā),因此，很多防火墻具備網(wǎng)關的能力。

3.阻擋外部攻擊

如果用戶發(fā)送的信息是防火墻設置所不允許的，防火墻會立即將其阻斷，避免其進入防火墻之后的服務器中。

4.記錄攻擊

如果有必要，其實防火墻是完全可以將攻擊行為都記錄下來的，但是由于出于效率上的考慮，目前一般記錄攻擊的事情都交給IDS來完成了，我們在后面會提到。

以上是所有防火墻都具備的基本特性，雖然很簡單，但防火墻技術就是在此基礎上逐步發(fā)展起來的。

二、防火墻有哪些缺點和不足？

1.防火墻可以阻斷攻擊，但不能消滅攻擊源。

“各掃自家門前雪，不管他人瓦上霜”，就是目前網(wǎng)絡安全的現(xiàn)狀?；ヂ?lián)網(wǎng)上病毒、木馬、惡意試探等等造成的攻擊行為絡繹不絕。設置得當?shù)姆阑饓δ軌蜃钃跛麄儯菬o法清除攻擊源。即使防火墻進行了良好的設置，使得攻擊無法穿透防火墻，但各種攻擊仍然會源源不斷地向防火墻發(fā)出嘗試。例如接主干網(wǎng)10M網(wǎng)絡帶寬的某站點，其日常流量中平均有512K左右是攻擊行為。那么，即使成功設置了防火墻后，這512K的攻擊流量依然不會有絲毫減少。

2.防火墻不能抵抗最新的未設置策略的攻擊漏洞

就如殺毒軟件與病毒一樣，總是先出現(xiàn)病毒，殺毒軟件經(jīng)過分析出特征碼后加入到病毒庫內(nèi)才能查殺。防火墻的各種策略，也是在該攻擊方式經(jīng)過專家分析后給出其特征進而設置的。如果世界上新發(fā)現(xiàn)某個主機漏洞的cracker的把第一個攻擊對象選中了您的網(wǎng)絡，那么防火墻也沒有辦法幫到您的。

3.防火墻的并發(fā)連接數(shù)限制容易導致?lián)砣蛘咭绯?/p>

由于要判斷、處理流經(jīng)防火墻的每一個包，因此防火墻在某些流量大、并發(fā)請求多的情況下，很容易導致?lián)砣?，成為整個網(wǎng)絡的瓶頸影響性能。而當防火墻溢出的時候，整個防線就如同虛設，原本被禁止的連接也能從容通過了。

4.防火墻對服務器合法開放的端口的攻擊大多無法阻止

某些情況下，攻擊者利用服務器提供的服務進行缺陷攻擊。例如利用開放了3389端口取得沒打過sp補丁的win2k的超級權限、利用asp程序進行腳本攻擊等。由于其行為在防火墻一級看來是“合理”和“合法”的，因此就被簡單地放行了。

5.防火墻對待內(nèi)部主動發(fā)起連接的攻擊一般無法阻止

“外緊內(nèi)松”是一般局域網(wǎng)絡的特點?；蛟S一道嚴密防守的防火墻內(nèi)部的網(wǎng)絡是一片混亂也有可能。通過社會工程學發(fā)送帶木馬的郵件、帶木馬的URL等方式，然后由中木馬的機器主動對攻擊者連接，將鐵壁一樣的防火墻瞬間破壞掉。另外，防火墻內(nèi)部各主機間的攻擊行為，防火墻也只有如旁觀者一樣冷視而愛莫能助。

6．防火墻本身也會出現(xiàn)問題和受到攻擊

防火墻也是一個os，也有著其硬件系統(tǒng)和軟件，因此依然有著漏洞和bug。所以其本身也可能受到攻擊和出現(xiàn)軟/硬件方面的故障。

7．防火墻不處理病毒

不管是funlove病毒也好，還是CIH也好。在內(nèi)部網(wǎng)絡用戶下載外網(wǎng)的帶毒文件的時候，防火墻是不為所動的（這里的防火墻不是指單機/企業(yè)級的殺毒軟件中的實時監(jiān)控功能，雖然它們不少都叫“病毒防火墻”）。

看到這里，或許您原本心目中的防火墻已經(jīng)被我拉下了神臺。是的，防火墻是網(wǎng)絡安全的重要一環(huán)，但不代表設置了防火墻就能一定保證網(wǎng)絡的安全。“真正的安全是一種意識，而非技術!”請牢記這句話。

不管怎么樣，防火墻仍然有其積極的一面。在構建任何一個網(wǎng)絡的防御工事時，除了物理上的隔離和目前新近提出的網(wǎng)閘概念外，首要的選擇絕對是防火墻。那么，怎么選擇需要的防火墻呢？

防火墻的分類

首先大概說一下防火墻的分類。就防火墻（本文的防火墻都指商業(yè)用途的網(wǎng)絡版防火墻，非個人使用的那種）的組成結構而言，可分為以下三種：

第一種：軟件防火墻

軟件防火墻運行于特定的計算機上，它需要客戶預先安裝好的計算機操作系統(tǒng)的支持，一般來說這臺計算機就是整個網(wǎng)絡的網(wǎng)關。軟件防火墻就象其它的軟件產(chǎn)品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻，需要網(wǎng)管對所工作的操作系統(tǒng)平臺比較熟悉。

第二種：硬件防火墻

這里說的硬件防火墻是指所謂的硬件防火墻。之所以加上“所謂”二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于PC架構，就是說，它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構計算機上運行一些經(jīng)過裁剪和簡化的操作系統(tǒng)，最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。值得注意的是，由于此類防火墻采用的依然是別人的內(nèi)核，因此依然會受到os本身的安全性影響。國內(nèi)的許多防火墻產(chǎn)品就屬于此類，因為采用的是經(jīng)過裁減內(nèi)核和定制組件的平臺，因此國內(nèi)防火墻的某些銷售人員常常吹噓其產(chǎn)品是“專用的os”等等，其實是一個概念誤導，下面我們提到的第三種防火墻才是真正的os專用。

第三種：芯片級防火墻

它們基于專門的硬件平臺，沒有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強，性能更高。做這類防火墻最出名的廠商莫過于NetScreen.其他的品牌還有FortiNet,算是后起之秀了。這類防火墻由于是專用OS,因此防火墻本身的漏洞比較少，不過價格相對比較高昂，所以一般只有在“確實需要”的情況下才考慮。

在這里，特別糾正幾個不正確的觀念：

1.在性能上，芯片級防火墻>硬件防火墻>軟件防火墻。

在價格上看來，的確倒是如此的關系。但是性能上卻未必。防火墻的“好”，是看其支持的并發(fā)數(shù)、最大流量等等性能，而不是用軟件硬件來區(qū)分的。事實上除了芯片級防火墻外，軟件防火墻與硬件防火墻在硬件上基本是完全一樣的。目前國內(nèi)的防火墻廠商由于大多采用硬件防火墻而不是軟件防火墻，原因1是考慮到用戶網(wǎng)絡管理員的素質(zhì)等原因，還有就是基于我國大多數(shù)民眾對“看得見的硬件值錢，看不到的軟件不值錢”這樣一種錯誤觀點的迎合。不少硬件防火墻廠商大肆詆毀軟件防火墻性能，不外是為了讓自己那加上了外殼的普通pc＋一個被修改后的內(nèi)核＋一套防火墻軟件能夠賣出一個好價錢來而已。而為什么不作芯片級防火墻呢？坦白說，國內(nèi)沒有公司有技術實力。而且在中國市場上來看，某些國內(nèi)的所謂硬件防火墻的硬件質(zhì)量連diy的兼容機都比不上。看看國內(nèi)XX的硬件防火墻那拙劣的硬盤和網(wǎng)卡，使用過的人都能猜到是哪家，我就不點名了。真正看防火墻，應該看其穩(wěn)定性和性能，而不是用軟、硬來區(qū)分的。至少，如果筆者自己選購，我會選擇購買CheckPoint而非某些所謂的硬件防火墻的。

2.在效果上，芯片防火墻比其他兩種防火墻好

這同樣也是一種有失公允的觀點。事實上芯片防火墻由于硬件的獨立，的確在OS本身出漏洞的機會上比較少，但是由于其固化，導致在面對新興的一些攻擊方式時，無法及時應對；而另外兩種防火墻，則可以簡單地通過升級os的內(nèi)核來獲取系統(tǒng)新特性，通過靈活地策略設置來滿足不斷變化的要求，不過其OS出現(xiàn)漏洞的概率相對高一些。

3.唯技術指標論

請以“防火墻買來是使用的”為第一前提進行購買。防火墻本身的質(zhì)量如何是一回事，是否習慣使用又是另一回事。如果對一款產(chǎn)品的界面不熟悉，策略設置方式不理解，那么即使用世界最頂級的防火墻也沒有多大作用。就如小說中武林中人無不向往的“倚天劍”、“屠龍刀”被我拿到，肯定也敵不過喬峰赤手的少林長拳是一般道理。防火墻技術發(fā)展至今，市場已經(jīng)很成熟了，各類產(chǎn)品的存在，自然有其生存于市場的理由。如何把產(chǎn)品用好，遠比盲目地比較各類產(chǎn)品好。