第一篇：防火墻的主要類型

防火墻的主要類型

按照防火墻實現(xiàn)技術(shù)的不同可以將防火墻為以下幾種主要的類型。

1.包過濾防火墻

數(shù)據(jù)包過濾是指在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行分析、選擇和過濾。選擇的數(shù)據(jù)是系統(tǒng)內(nèi)設(shè)置的訪問控制表（又叫規(guī)則表），規(guī)則表制定允許哪些類型的數(shù)據(jù)包可以流入或流出內(nèi)部網(wǎng)絡(luò)。通過檢查數(shù)據(jù)流中每一個IP數(shù)據(jù)包的源地址、目的地址、所用端口號、協(xié)議狀態(tài)等因素或它們的組合來確定是否允許該數(shù)據(jù)包通過。包過濾防火墻一般可以直接集成在路由器上，在進(jìn)行路由選擇的同時完成數(shù)據(jù)包的選擇與過濾，也可以由一臺單獨的計算機(jī)來完成數(shù)據(jù)包的過濾。

數(shù)據(jù)包過濾防火墻的優(yōu)點是速度快、邏輯簡單、成本低、易于安裝和使用，網(wǎng)絡(luò)性能和通明度好，廣泛地用于Cisco和Sonic System等公司的路由器上。缺點是配置困難，容易出現(xiàn)漏洞，而且為特定服務(wù)開放的端口存在著潛在的危險。

例如：“天網(wǎng)個人防火墻”就屬于包過濾類型防火墻，根據(jù)系統(tǒng)預(yù)先設(shè)定的過濾規(guī)則以及用戶自己設(shè)置的過濾規(guī)則來對網(wǎng)絡(luò)數(shù)據(jù)的流動情況進(jìn)行分析、監(jiān)控和管理，有效地提高了計算機(jī)的抗攻擊能力。

2、應(yīng)用代理防火墻 應(yīng)用代理防火墻能夠?qū)⑺锌缭椒阑饓Φ木W(wǎng)絡(luò)通信鏈路分為兩段，使得網(wǎng)絡(luò)內(nèi)部的客戶不直接與外部的服務(wù)器通信。防火墻內(nèi)外計算機(jī)系統(tǒng)間應(yīng)用層的連接由兩個代理服務(wù)器之間的連接來實現(xiàn)。有點是外部計算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到隔離防火墻內(nèi)外計算機(jī)系統(tǒng)的作用；缺點是執(zhí)行速度慢，操作系統(tǒng)容易遭到攻擊。

代理服務(wù)在實際應(yīng)用中比較普遍，如學(xué)校校園網(wǎng)的代理服務(wù)器一端接入Internet,另一端介入內(nèi)部網(wǎng)，在代理服務(wù)器上安裝一個實現(xiàn)代理服務(wù)的軟件，如WinGate Pro、Microsoft Proxy Server等，就能起到防火墻的作用。

3、狀態(tài)檢測防火墻

狀態(tài)檢測防火墻又叫動態(tài)包過濾防火墻。狀態(tài)檢測防火墻在網(wǎng)絡(luò)層由一個檢查引擎截獲數(shù)據(jù)包并抽取出與應(yīng)用狀態(tài)有關(guān)的信息。一次作為數(shù)據(jù)來決定該數(shù)據(jù)包是接受還是拒絕。檢查引擎維護(hù)一個動態(tài)的狀態(tài)信息表并對后續(xù)的數(shù)據(jù)包進(jìn)行檢查，一旦發(fā)現(xiàn)任何連接的參數(shù)有意外變化，該連接就被終止。

狀態(tài)檢測防火墻克服了包過濾防火墻和應(yīng)用代理防火墻的局限性，能夠根據(jù)協(xié)議、端口及IP數(shù)據(jù)包的源地址、目的地址的具體情況來決定數(shù)據(jù)包是否可以通過。

在實際使用中，一般綜合采用以上幾種技術(shù)，使防火墻產(chǎn)品能夠滿足對安全性、高效性、適應(yīng)性和易管性的要求，再集成防毒軟件的功能來提高系統(tǒng)的防毒能力和抗攻擊能力，例如，瑞星企業(yè)級防火墻RFW-100就是一個功能強(qiáng)大、安全性高的混合型防火墻，它集網(wǎng)絡(luò)層狀態(tài)包過濾、應(yīng)用層專用代理、敏感信息的加密傳輸和詳盡靈活的日志審計等都腫安全技術(shù)于一身，可根據(jù)用戶的不同需求，提供強(qiáng)大的訪問控制、信息過濾、代理服務(wù)和流量統(tǒng)計等功能。

第二篇：防火墻的類型及主要優(yōu)缺點

防火墻的類型 概念以及主要優(yōu)缺點

2008年10月27日 星期一 下午 03:22 什么是防火墻

對于企業(yè)的網(wǎng)絡(luò)而言，未加特別安全保護(hù)而放臵在internet上，危險性是顯而易見的。隨著決策層對安全認(rèn)識的逐步加強(qiáng)，防火墻，作為一種應(yīng)用非常廣泛，技術(shù)相對比較成熟的網(wǎng)絡(luò)安全產(chǎn)品也在不同的企業(yè)愈來愈多的得到了重視。然而一個現(xiàn)實的問題是目前關(guān)于防火墻的名詞以及廠家基于商業(yè)目的宣稱花樣為數(shù)眾多，這就給使用者選擇和應(yīng)用防火墻帶來了一定的誤解和困難。那么什么是防火墻，主要的防火墻之間如何區(qū)別呢？

對于防火墻的概念，我們可以這樣理解：防火墻是在兩個網(wǎng)絡(luò)間實現(xiàn)訪問控制的一個或一組軟件或硬件系統(tǒng)。防火墻的最主要功能就是屏蔽和允許指定的數(shù)據(jù)通訊，而該功能的實現(xiàn)又主要是依靠一套訪問控制策略，由訪問控制策略來決定通訊的合法性。

那么如何理解種類眾多的防火墻呢，下面來做個介紹。

防火墻的類型

如果我們從OSI分層模式來考察及分類防火墻，會比較容易的把握住防火墻的脈絡(luò)，個人認(rèn)為，目前主要的防火墻可以分為三類，它們分別是： 包過濾防火墻、基于狀態(tài)的包過濾防火墻、應(yīng)用代理（網(wǎng)關(guān)）防火墻，而由這三類防火墻可以推導(dǎo)和演繹出其它可能的變化。

下面我們來逐一說明。

包過濾防火墻

首先，我們要提到的是最基本的報文過濾的防火墻，這個層次的防火墻通常工作在OSI的三層及三層以下，由此我們可以看出，可控的內(nèi)容主要包括報文的源地址、報文的目標(biāo)地址、服務(wù)類型，以及第二層數(shù)據(jù)鏈路層可控的MAC地址等。除此以外，隨著包過濾防火墻的發(fā)展，部分OSI四層的內(nèi)容也被包括進(jìn)來，如報文的源端口和目的端口。

本層次最常見的實際應(yīng)用的例子就是互聯(lián)網(wǎng)上的路由設(shè)備，比如常見的cisco路由器，使用者可以通過定制訪問控制列（ACL）來對路由器進(jìn)出端口的數(shù)據(jù)包進(jìn)行控制，如針對rfc1918的保留地址進(jìn)屏蔽，在路由器上可以進(jìn)行如下配臵：

interface x

ip access-group 101 in

access-list 101 deny ip 10.0.0.0 0.255.255.255 any

access-list 101 deny ip 192.168.0.0 0.0.255.255 any

access-list 101 deny ip 172.16.0.0 0.15.255.255 any

access-list 101 permit ip any any

從上面這個例子可以很明顯的看出，路由器這里的配臵完全是針對OSI的三層ip地址，也就是ip的包頭進(jìn)行過濾，至于這些IP數(shù)據(jù)包里攜帶的具體有什么內(nèi)容，路由器完全不會去關(guān)心。

由此考慮一下，我們就不難看出這個層次的防火墻的優(yōu)點和弱點：

1.基于報文過濾的防火墻一個非常明顯的優(yōu)勢就是速度，這是因為防火墻只是去檢察數(shù)據(jù)包的包頭，而對數(shù)據(jù)包所攜帶的內(nèi)容沒有任何形式的檢查，因此速度非?？?。

2.還有一個比較明顯的好處是，對用戶而言，包過濾防火墻是透明的，無需用戶端進(jìn)行任何配臵。

包過濾防火墻的特性決定了它很適合放在局域網(wǎng)的前端，由它來完成整個安全工作環(huán)節(jié)中的數(shù)據(jù)包前期處理工作，如：控制進(jìn)入局域網(wǎng)的數(shù)據(jù)包的可信任ip，對外界開放盡量少的端口等。與此同時，這種防火墻的弊端也是顯而易見的，比較關(guān)鍵的幾點包括：

1.由于無法對數(shù)據(jù)包及上層的內(nèi)容進(jìn)行核查，因此無法過濾審核數(shù)據(jù)包的內(nèi)容。體現(xiàn)這一問題的一個很簡單的例子就是：對某個端口的開放意味著相應(yīng)端口對應(yīng)的服務(wù)所能夠提供的全部功能都被放開，即使通過防火墻的數(shù)據(jù)包有攻擊性，也無法進(jìn)行控制和阻斷。比如針對微軟IIS漏洞的Unicode攻擊，因為這種攻擊是走的防火墻所允許的80端口，而包過濾的防火墻無法對數(shù)據(jù)包內(nèi)容進(jìn)行核查，因此此時防火墻等同于虛設(shè)，未打相應(yīng)patch的提供web服務(wù)的系統(tǒng)，即使在防火墻的屏障之后，也會被攻擊者輕松拿下超級用戶的權(quán)限。

2.由于此種類型的防火墻工作在較低層次，防火墻本身所能接觸到的信息較少，所以它無法提供描述事件細(xì)致的日志系統(tǒng)，此類防火墻生成的日志常常只是包括數(shù)據(jù)包捕獲時間，三層的ip地址，四層的端口等非常原始的信息。我們可以先把下面要講的ipmon的軟件的日志拿來看看

Nov 23 14:13:05 y.y.y.y ipmon[10841]: 14:13:04.733237 hme0 @0:13 b x.x.x.x,4131-> y.y.y.y,3389 PR tcp len 20 48-S IN

3.我們可以從上面看個大概，這個防火墻于僅僅記錄了11月23日14點13分防火墻block了從ip地址x.x.x.x，端口4131來的，目的端口是3389，目的ip是y.y.y.y的包頭為20字節(jié)，凈荷長度為28的數(shù)據(jù)包。至于這個數(shù)據(jù)包內(nèi)容是什么，防火墻不會理會，這恰恰對安全管理員而言是至為關(guān)鍵的。因為即使一個非常優(yōu)秀的系統(tǒng)管理員一旦陷入大量的通過/屏蔽的原始數(shù)據(jù)包信息中，往往也是難以理清頭緒的，當(dāng)發(fā)生安全事件時會給管理員的安全審計帶來了很大的困難。

4.所有有可能用到的端口都必須靜態(tài)放開，對外界暴露，從而極大的增加了被攻擊的可能性，這個問題一個很好的例子就是unix下的危險的rpc服務(wù)，它們也工作在高端口，而針對這些服務(wù)的攻擊程序在互聯(lián)網(wǎng)上異常流行。

5.如果網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜，那么對管理員而言配臵ACL將是非常恐怖的事情。當(dāng)網(wǎng)絡(luò)發(fā)展到一定規(guī)模時，ACL出錯幾乎是必然的，這一點相信許多大型站點的系統(tǒng)管理員印象深刻?；跔顟B(tài)的包過濾防火墻

上面我們講到的包過濾防火墻在具體實施的時候，管理員會遇到一些非常棘手的問題：網(wǎng)絡(luò)上數(shù)據(jù)的傳輸是雙向的，因此所有服務(wù)所需要的數(shù)據(jù)包進(jìn)出防火墻的端口都要仔細(xì)的被考慮到，否則，會產(chǎn)生意想不到的情況。然而我們知道，當(dāng)被防火墻保護(hù)的設(shè)備與外界通訊時，絕大多數(shù)應(yīng)用要求發(fā)出請求的系統(tǒng)本身提供一個端口，用來接收到外界返回的數(shù)據(jù)包，而且這個端口一般是在1023到16384之間不定的，這就增加了設(shè)計控制訪問規(guī)則的難度。這里我們可以捕獲一次由client到server的80端口訪問的一些紀(jì)錄來形象說明這個問題（截取的內(nèi)容略有刪節(jié)）：

17:48:52.513355 IP penetrat.1134 > server.80: S 1253142352:1253142352

17:48:52.515991 IP server.80 > penetrat.1134: S 1867056172:1867056172 ack 1253142353

17:48:52.516126 IP penetrat.1134 > server.80:.ack 1

我們可以從上述內(nèi)容中看到，client為了完成對server的004km.cnes the limitations of the previous two approaches by providing full application-layer awareness without breaking the client/server model.Stateful Inspection extracts the state-related information required for security decisions from all application layers and maintains this information in dynamic state tables for evaluating subsequent connection attempts.This provides a solution that is highly secure and offers maximum performance, scalability, and extensibility.Check Point FireWall-1 is based upon Stateful Inspection, which has become the defacto standard for firewalls.綜合checkpoint網(wǎng)站的資料，我們可以通俗的將這種Stateful Inspection大致理解為，防火墻的內(nèi)核中運行著Stateful Inspectionsm engine，由它在OSI底層對接收到的數(shù)據(jù)包進(jìn)行審核，當(dāng)接收到的數(shù)據(jù)包符合訪問控制要求時，將該數(shù)據(jù)包傳到高層進(jìn)行應(yīng)用級別和狀態(tài)的審核，如果不符合要求，則丟棄。由于Stateful Inspectionsm engine工作在內(nèi)核中，因此效率和速度都能得到很好的保證，同時由于Stateful Inspectionsm engine能夠理解應(yīng)用層的數(shù)據(jù)包，所以能夠快速有效的在應(yīng)用層進(jìn)行數(shù)據(jù)包審核。

關(guān)于checkpoint的專利技術(shù)Stateful Inspectionsm engine，該公司有如下說明： This provides important system flexibility, allowing Check Point, as well as its technology partners and end-users, to incorporate new applications, services, and protocols, without requiring new software to be loaded.For most new applications, including most custom applications developed by end users, the communication-related behavior of the new application can be incorporated simply be modifying one of Firewall-1's built-in script templates via the graphical user interface.Even the most complex applications can be added quickly and easily via the INSPECT language.按照上面的理解，對新的應(yīng)用程序的防火墻支持是無需在增加新的軟件的，但本人認(rèn)為，此處值得商榷，在checkpoint公司主頁上，有專門的一部分介紹Application Support，也就是說，用戶購臵的checkpoint防火墻內(nèi)部已經(jīng)支持了相應(yīng)的程序的審核，這一點應(yīng)該是沒有問題的。但是，除此之外，當(dāng)用戶的網(wǎng)絡(luò)上增加了新的應(yīng)用時，并需要防火墻支持該應(yīng)用時，應(yīng)該并不會如上述說明那么簡單，因為對應(yīng)用的支持并不是簡單的增加端口，修改腳本那么容易完成的。Stateful Inspectionsm engine必須理解該應(yīng)用的比較具體的實現(xiàn)方法。比如國內(nèi)廣泛使用的oicq，防火墻增加對qq的支持，并不是系統(tǒng)管理員點幾下鼠標(biāo)，敲擊幾次鍵盤就能輕松完成的。

個人認(rèn)為，其實基于狀態(tài)檢查的防火墻其設(shè)計思想可能還是源于基于狀態(tài)的包過濾防火墻，只是在此基礎(chǔ)上又增加了對應(yīng)用層數(shù)據(jù)包的審核而已，但是由于本人沒有實際使用過，因此無法下定論。

防火墻的附加功能

目前的防火墻還往往能夠提供一些特殊的功能，如：

1.IP轉(zhuǎn)換 IP轉(zhuǎn)換主要功能有二，一是隱藏在其后的網(wǎng)絡(luò)設(shè)備的真實IP，從而使入侵者無法直接攻擊內(nèi)部網(wǎng)絡(luò)，二是可是使用rfc1918的保留IP，這對解決ip地址匱乏的網(wǎng)絡(luò)是很實用的。

2.虛擬企業(yè)網(wǎng)絡(luò) VPN在國外使用的較多，國內(nèi)也開始逐漸得到應(yīng)用。它是指在公共網(wǎng)絡(luò)中建立的專用加密虛擬通道，以確保通訊安全。

3.殺毒 一般都通過插件或聯(lián)動實現(xiàn)。

4.與IDS聯(lián)動 目前實現(xiàn)這一功能的產(chǎn)品也有逐漸增多的趨勢。

5.GUI界面管理 傳統(tǒng)以及一些*nix下free的防火墻一般都是通過命令行方式來鍵入命令來控制訪問策略的，商用的防火墻一般都提供了web和gui的界面，以便于管理員進(jìn)行配臵工作。

6.自我保護(hù)，流控和計費等其它功能。

選購和使用防火墻的誤區(qū)

就本人幾年來系統(tǒng)管理員的經(jīng)驗看來，防火墻在選購和使用時經(jīng)常會有一些誤區(qū)，如下：

1.最全的就是最好的，最貴的就是最好的 這個問題常常出現(xiàn)在決策層，相信“全能”防火墻，認(rèn)為防火墻要包括所有的模塊，求大而全，不求專而精，不清楚自己的企業(yè)需要保護(hù)什么，常常是白花了大量的經(jīng)費卻無法取得應(yīng)有的效果。

2.一次配臵，永遠(yuǎn)運行 這個問題往往都在經(jīng)驗不足的系統(tǒng)管理員手上出現(xiàn)，在初次配臵成功的情況下，就將防火墻永遠(yuǎn)的丟在了一邊，不再根據(jù)業(yè)務(wù)情況動態(tài)的更改訪問控制策略-請注意本文一開始講到的，缺乏好的允許或者拒絕的控制策略，防火墻將起不到任何作用。

3.審計是可有可無的 這個問題也出現(xiàn)在系統(tǒng)管理員手上出現(xiàn)，表現(xiàn)為對防火墻的工作狀態(tài)，日志等無暇審計，或即使審計也不明白防火墻的紀(jì)錄代表著什么，這同樣是危險的。

4.廠家的配臵無需改動 目前國內(nèi)比較現(xiàn)實的情況是很多公司沒有專業(yè)的技術(shù)人員來進(jìn)行網(wǎng)絡(luò)安全方面的管理，當(dāng)公司購臵防火墻等產(chǎn)品時，只能依靠廠家的技術(shù)人員來進(jìn)行配臵，但應(yīng)當(dāng)警惕的是，廠家的技術(shù)人員即使技術(shù)精湛，往往不會仔細(xì)的了解公司方面的業(yè)務(wù)，無法精心定制及審核安全策略，那么在配臵過程中很可能會留下一些安全隱患。作為防火墻的試用方不能迷信廠家的技術(shù)，即使對技術(shù)不是非常清楚，也非常有必要對安全策略和廠家進(jìn)行討論。

第三篇：防火墻案例

據(jù)統(tǒng)計，本周瑞星共截獲了875810個釣魚網(wǎng)站，共有451萬網(wǎng)民遭遇釣魚網(wǎng)站攻擊。瑞星安全專家提醒用戶，在機(jī)場、圖書館、咖啡館等公共場所使用免費WiFi上網(wǎng)時，一定要注意安全，不要隨意連接沒有設(shè)置密碼的網(wǎng)絡(luò)。目前，發(fā)現(xiàn)很多黑客會在公共WiFi場所私自搭建不設(shè)密碼的“小WiFi”，用戶一旦接入，上網(wǎng)提交的各種數(shù)據(jù)、賬號、密碼極有可能被截獲，從而導(dǎo)致個人隱私泄露。網(wǎng)民上網(wǎng)時，一定要向網(wǎng)絡(luò)提供商詢問清楚，避免出現(xiàn)信息丟失的問題。本周要警惕一個名為Ngrbot蠕蟲后門的病毒，這是一個蠕蟲類型的后門病毒，病毒代碼經(jīng)過加密，病毒運行后，首先會進(jìn)行解密，然后將其代碼注入到新啟動的進(jìn)程中，使病毒代碼得以運行。

大家在了解了防火墻技術(shù)、產(chǎn)品、方案和選購等系列內(nèi)容后，似乎就等著買回一款產(chǎn)品安裝，然后就可以高忱無憂地享用防火墻了。然而，我們有所不知，除選購合適的防火墻外，更為重要的是用好防火墻。不少用戶在花費大量資金購置防火墻之后，由于缺乏相應(yīng)技術(shù)貯備或?qū)Ξa(chǎn)品功能的了解，并沒能充分發(fā)揮防火墻的作用。

事實上，在防火墻安裝和投入使用后，并非就是萬事大吉了。首先，防火墻的安全防護(hù)功能的發(fā)揮需要依賴很多因素，不僅某些病毒和黑客可以通過系統(tǒng)漏洞或者其他手段避開防火墻，內(nèi)部人員管理控制欠完善也有可能使得防火墻形同虛設(shè)。其次，為了提高防火墻的安全性，用戶可以將防火墻和其他安全工具相結(jié)合，例如和漏洞掃描器與IDS搭配使用。還有，要想充分發(fā)揮防火墻的安全防護(hù)作用，必須對它進(jìn)行升級和維護(hù)，要與廠商保持密切的聯(lián)系，時刻注視廠商的動態(tài)。因為廠商一旦發(fā)現(xiàn)其產(chǎn)品存在安全漏洞，就會盡快發(fā)布補(bǔ)丁產(chǎn)品，此時應(yīng)及時對防火墻進(jìn)行更新。

為了讓大家更好地使用防火墻，我們從反面列舉4個有代表性的失敗案例，以警示讀者。例1：未制定完整的企業(yè)安全策略

網(wǎng)絡(luò)環(huán)境:某中型企業(yè)購買了適合自己網(wǎng)絡(luò)特點的防火墻，剛投入使用后，發(fā)現(xiàn)以前局域網(wǎng)中肆虐橫行的蠕蟲病毒不見了，企業(yè)網(wǎng)站遭受拒絕服務(wù)攻擊的次數(shù)也大大減少了，為此，公司領(lǐng)導(dǎo)特意表揚了負(fù)責(zé)防火墻安裝實施的信息部。

該企業(yè)內(nèi)部網(wǎng)絡(luò)的核心交換機(jī)是帶路由模塊的三層交換機(jī)，出口通過路由器和ISP連接。內(nèi)部網(wǎng)劃分為5個VLAN，VLAN

1、VLAN 2和VLAN 3分配給不同的部門使用，不同的VLAN之間根據(jù)部門級別設(shè)置訪問權(quán)限；VLAN 4分配給交換機(jī)出口地址和路由器使用；VLAN 5分配給公共服務(wù)器使用。在沒有加入防火墻之前，各個VLAN中的PC機(jī)能夠通過交換機(jī)和路由器不受限制地訪問Internet。加入防火墻后，給防火墻分配一個VLAN 4中的空閑IP地址，并把網(wǎng)關(guān)指向路由器；將VLAN 5接入到防火墻的一個網(wǎng)口上。這樣，防火墻就把整個網(wǎng)絡(luò)分為3個區(qū)域: 內(nèi)部網(wǎng)、公共服務(wù)器區(qū)和外部網(wǎng)，三者之間的通信受到防火墻安全規(guī)則的限制。

問題描述:防火墻投入運行后，實施了一套較為嚴(yán)格的安全規(guī)則，導(dǎo)致公司員工無法使用QQ聊天軟件，于是沒過多久就有員工自己撥號上網(wǎng)，導(dǎo)致感染了特洛依木馬和蠕蟲等病毒，并立刻在公司內(nèi)部局域網(wǎng)中傳播開來，造成內(nèi)部網(wǎng)大面積癱瘓。

問題分析:我們知道，防火墻作為一種保護(hù)網(wǎng)絡(luò)安全的設(shè)備，必須部署在受保護(hù)網(wǎng)絡(luò)的邊界處，只有這樣防火墻才能控制所有出入網(wǎng)絡(luò)的數(shù)據(jù)通信，達(dá)到將入侵者拒之門外的目的。如果被保護(hù)網(wǎng)絡(luò)的邊界不惟一，有很多出入口，那么只部署一臺防火墻是不夠的。在本案例中，防火墻投入使用后，沒有禁止私自撥號上網(wǎng)行為，使得許多PC機(jī)通過電話線和Internet相連，導(dǎo)致網(wǎng)絡(luò)邊界不惟一，入侵者可以通過攻擊這些PC機(jī)然后進(jìn)一步攻擊內(nèi)部網(wǎng)絡(luò)，從而成功地避開了防火墻。

解決辦法:根據(jù)自己企業(yè)網(wǎng)的特點，制定一整套安全策略，并徹底地貫徹實施。比如說，制定一套安全管理規(guī)章制度，嚴(yán)禁員工私自撥號上網(wǎng);同時封掉撥號上網(wǎng)的電話號碼，并購買檢測撥號上網(wǎng)的軟件，這樣從管理和技術(shù)上杜絕出現(xiàn)網(wǎng)絡(luò)邊界不惟一的情況發(fā)生。另外，考慮到企業(yè)員工的需求，可以在防火墻上添加按照時間段生效的安全規(guī)則，在非工作時間打開QQ使用的TCP/UDP端口，使得企業(yè)員工可以在工余時間使用QQ聊天軟件。

結(jié)論和忠告:防火墻只是保證安全的一種技術(shù)手段，要想真正實現(xiàn)安全，安全策略是核心問題。例2：未考慮防火墻的可擴(kuò)充性

問題描述:某大型企業(yè)一年前購買了幾十臺防火墻，分布在總部局域網(wǎng)和全國各地的分支機(jī)構(gòu)中。剛投入使用后，各部門和分支機(jī)構(gòu)都反映不錯，沒有影響到網(wǎng)絡(luò)性能。隨著信息化程度的不斷提高，該企業(yè)決定構(gòu)建視頻會議系統(tǒng)，卻發(fā)現(xiàn)防火墻不支持該應(yīng)用協(xié)議，如果要實現(xiàn)視頻會議，必須讓防火墻打開一個很大的缺口，這會留下很大的安全隱患。

問題分析:視頻會議系統(tǒng)一般都采用H.323協(xié)議(ITU-T第16工作組的建議，由一組協(xié)議構(gòu)成，其中有負(fù)責(zé)音頻與視頻信號的編碼、解碼和包裝，有負(fù)責(zé)呼叫信令收發(fā)和控制的信令，還有負(fù)責(zé)能力交換的信令。)，在創(chuàng)建符合H.323協(xié)議的Voice-Over-IP(IP語音)通道時，需要用到TCP協(xié)議的1720、1731和1735等端口，并且會使用到TCP協(xié)議(傳輸控制協(xié)議)的、大于1024的端口及UDP協(xié)議的、大于30000的端口，這些端口是動態(tài)隨機(jī)選取的。如果防火墻沒有專門針對H.323協(xié)議實現(xiàn)動態(tài)包過濾，那么必須靜態(tài)地配置安全規(guī)則，打開TCP協(xié)議1024到65535之間的所有端口以及UDP協(xié)議(用戶數(shù)據(jù)包協(xié)議)30000到65535之間的所有端口，這樣等于給防火墻打開了一個缺口，留下了安全隱患。此外，視頻會議系統(tǒng)對于網(wǎng)絡(luò)的服務(wù)質(zhì)量和語音傳輸?shù)膬?yōu)先級要求很高，如果防火墻不支持QoS(服務(wù)質(zhì)量)功能，就無法保證參加視頻會議的主機(jī)的的語音和視頻質(zhì)量。本案例說明了企業(yè)在選購防火墻時沒有充分考慮到今后網(wǎng)絡(luò)的擴(kuò)展性，導(dǎo)致防火墻不能適應(yīng)新的應(yīng)用環(huán)境。

解決辦法:購買防火墻前應(yīng)充分考慮到各種應(yīng)用的可能性。如果問題已經(jīng)發(fā)生，請求防火墻廠商或安全集成商幫助解決。

結(jié)論和忠告:“安全當(dāng)頭，應(yīng)用為先”。如果不支持諸如視頻等網(wǎng)絡(luò)應(yīng)用，再好的安全設(shè)施也是沒有意義的。請關(guān)注防火墻的功能是否全面，是否全面兼容各種應(yīng)用協(xié)議。

例3：未考慮與其他安全產(chǎn)品的配合使用

問題描述:某公司購買了防火墻后，緊接著又購買了漏洞掃描和IDS（入侵檢測系統(tǒng)）產(chǎn)品。當(dāng)系統(tǒng)管理員利用IDS發(fā)現(xiàn)入侵行為后，必須每次都要手工調(diào)整防火墻安全策略，使管理員工作量劇增，而且經(jīng)常調(diào)整安全策略，也給整個網(wǎng)絡(luò)帶來不良影響。

問題分析:選購防火墻時未充分考慮到與其他安全產(chǎn)品如IDS的聯(lián)動功能，導(dǎo)致不能最大程度地發(fā)揮安全系統(tǒng)的作用。

解決辦法:購買防火墻前應(yīng)查看企業(yè)網(wǎng)是否安裝了漏洞掃描或IDS等其他安全產(chǎn)品，以及具體產(chǎn)品名稱和型號，然后確定所要購買的防火墻是否有聯(lián)動功能（即是否支持其他安全產(chǎn)品，尤其是IDS產(chǎn)品），支持的是哪些品牌和型號的產(chǎn)品，是否與已有的安全產(chǎn)品名稱相符，如果不符，最好不要選用，而選擇能同已有安全產(chǎn)品聯(lián)動的防火墻。這樣，當(dāng)IDS發(fā)現(xiàn)入侵行為后，在通知管理員的同時發(fā)送消息給防火墻，由防火墻自動添加相關(guān)規(guī)則，把入侵者拒之門外。

結(jié)論和忠告:保護(hù)網(wǎng)絡(luò)安全不僅僅是防火墻一種產(chǎn)品，只有將多種安全產(chǎn)品無縫地結(jié)合起來，充分利用它們各自的優(yōu)點，才能最大限度地保證網(wǎng)絡(luò)安全。

例4：未經(jīng)常維護(hù)升級防火墻

問題描述:某政府機(jī)構(gòu)購置防火墻后已安全運行一年多，由于該機(jī)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)一直很穩(wěn)定，沒有什么變化，各種應(yīng)用也運行穩(wěn)定，因此管理員逐漸放松了對防火墻的管理，只要網(wǎng)絡(luò)一直保持暢通即可，不再關(guān)心防火墻的規(guī)則是否需要調(diào)整，軟件是否需要升級。而且由于該機(jī)構(gòu)處于政府專網(wǎng)內(nèi)，與Internet物理隔離，防火墻無法實現(xiàn)在線升級。因此該機(jī)構(gòu)的防火墻軟件版本一直還是購買時的舊版本，雖然管理員一直都收到防火墻廠家通過電子郵件發(fā)來的軟件升級包，但從未手工升級過。在一次全球范圍的蠕蟲病毒迅速蔓延事件中，政府專網(wǎng)也受到蠕蟲病毒的感染，該機(jī)構(gòu)防火墻因為沒有及時升級，無法抵御這種蠕蟲病毒的攻擊，造成整個機(jī)構(gòu)的內(nèi)部網(wǎng)大面積受感染，網(wǎng)絡(luò)陷于癱瘓之中。

問題分析:安全與入侵永遠(yuǎn)是一對矛盾。防火墻軟件作為一種安全工具，必須不斷地升級與更新才能應(yīng)付不斷發(fā)展的入侵手段，過時的防護(hù)盾牌是無法抵擋最先進(jìn)的長矛的。作為安全管理員來說，應(yīng)當(dāng)

時刻留心廠家發(fā)布的升級包，及時給防火墻打上最新的補(bǔ)丁。

解決辦法:及時維護(hù)防火墻，當(dāng)本機(jī)構(gòu)發(fā)生人員變動、網(wǎng)絡(luò)調(diào)整和應(yīng)用變化時，要及時調(diào)整防火墻的安全規(guī)則，及時升級防火墻。

結(jié)論和忠告:保護(hù)網(wǎng)絡(luò)安全是動態(tài)的過程，防火墻需要積極地維護(hù)和升級。

可疑的事件劃分為幾類：一是知道事件發(fā)生的原因，而且這不是一個安全方面的問題;二是不知道是什么原因，也許永遠(yuǎn)不知道是什么原因引起的，但是無論它是什么，它從未再出現(xiàn)過;三是有人試圖侵入，但問題并不嚴(yán)重，只是試探一下;四是有人事實上已經(jīng)侵入。

這些類別之間的界限比較含糊。要提供以上任何問題的詳細(xì)征兆是不可能的，但是下面這些歸納出的經(jīng)驗可能會對網(wǎng)絡(luò)系統(tǒng)管理員有所幫助。如果發(fā)現(xiàn)以下情況，網(wǎng)絡(luò)系統(tǒng)管理員就有理由懷疑有人在探試站點：一是試圖訪問在不安全的端口上提供的服務(wù)(如企圖與端口映射或者調(diào)試服務(wù)器連接);二是試圖利用普通賬戶登錄(如guest);三是請求FTP文件傳輸或傳輸NFS(Network File System，網(wǎng)絡(luò)文件系統(tǒng))映射;四是給站點的SMTP(Simple Mail Transfer Protocol，簡單郵件傳輸協(xié)議)服務(wù)器發(fā)送debug命令。

如果網(wǎng)絡(luò)系統(tǒng)管理員見到以下任何情況，應(yīng)該更加關(guān)注。因為侵襲可能正在進(jìn)行之中：一是多次企圖登錄但多次失敗的合法賬戶，特別是因特網(wǎng)上的通用賬戶;二是目的不明的數(shù)據(jù)包命令;三是向某個范圍內(nèi)每個端口廣播的數(shù)據(jù)包;四是不明站點的成功登錄。

如果網(wǎng)絡(luò)系統(tǒng)管理員了發(fā)現(xiàn)以下情況，應(yīng)該懷疑已有人成功地侵入站點：一是日志文件被刪除或者修改;二是程序突然忽略所期望的正常信息;三是新的日志文件包含有不能解釋的密碼信息或數(shù)據(jù)包痕跡;四是特權(quán)用戶的意外登錄(例如root用戶)，或者突然成為特權(quán)用戶的意外用戶;五是來自本機(jī)的明顯的試探或者侵襲，名字與系統(tǒng)程序相近的應(yīng)用程序;六是登錄提示信息發(fā)生了改變。

4)對試探作出的處理

通常情況下，不可避免地發(fā)覺外界對防火墻進(jìn)行明顯試探——有人向沒有向Internet提供的服務(wù)發(fā)送數(shù)據(jù)包，企圖用不存在的賬戶進(jìn)行登錄等。試探通常進(jìn)行一兩次，如果他們沒有得到令人感興趣的反應(yīng)，他們通常就會走開。而如果想弄明白試探來自何方，這可能就要花大量時間追尋類似的事件。然而，在大多數(shù)情況下，這樣做不會有很大成效，這種追尋試探的新奇感很快就會消失。

一些人滿足于建立防火墻機(jī)器去誘惑人們進(jìn)行一般的試探。例如，在匿名的FTP區(qū)域設(shè)置裝有用戶賬號數(shù)據(jù)的文件，即使試探者破譯了密碼，看到的也只是一個虛假信息。這對于消磨空閑時間是沒有害處的，這還能得到報復(fù)的快感，但是事實上它不會改善防火墻的安全性。它只能使入侵者惱怒，從而堅定了入侵者闖入站點的決心。

保持最新狀態(tài)

保持防火墻的最新狀態(tài)也是維護(hù)和管理防火墻的一個重點。在這個侵襲與反侵襲的領(lǐng)域中，每天都產(chǎn)生新的事物、發(fā)現(xiàn)新的毛病，以新的方式進(jìn)行侵襲，同時現(xiàn)有的工具也會不斷地被更新。因此，要使防火墻能同該領(lǐng)域的發(fā)展保持同步。

當(dāng)防火墻需要修補(bǔ)、升級一些東西，或增加新功能時，就必須投入較多的時間。當(dāng)然所花的時間長短視修補(bǔ)、升級、或增加新功能的復(fù)雜程度而定。如果開始時對站點需求估計的越準(zhǔn)確，防火墻的設(shè)計和建造做的越好，防火墻適應(yīng)這些改變所花的時間就越少。

瑞星防火墻2012版正在進(jìn)行火熱公測，其主打的“安全上網(wǎng)”、“綠色上網(wǎng)”和“智能上網(wǎng)”包含了數(shù)十項專業(yè)防火墻功能，保護(hù)網(wǎng)購、網(wǎng)游、微博、辦公等常見應(yīng)用面臨的各種上網(wǎng)安全和黑客攻擊問題.通過測試發(fā)現(xiàn)，瑞星防火墻2012版確實帶來了很多實用且好用的功能，下面選擇幾個跟大家一起分享一下。

亮點1：IP切換器——家庭、公司網(wǎng)絡(luò)切換智能瞬間搞定！

筆記本用戶經(jīng)常能夠面對的一個問題就是，在家里、公司或其它地方上網(wǎng)，每次都需要設(shè)置網(wǎng)絡(luò)ip地址、dns服務(wù)器地址等信息，非常麻煩。瑞星防火墻2012版中新增加的“IP切換器”就是幫助用戶在多個網(wǎng)絡(luò)間連接時，能夠無縫的自動進(jìn)行網(wǎng)絡(luò)接入，省去頻繁的網(wǎng)絡(luò)配置。

本人平時工作的時候經(jīng)常遇到這樣一個麻煩——有時要使用外網(wǎng)IP，有時又要使用內(nèi)網(wǎng)的IP，然而同時設(shè)置兩個IP又會出現(xiàn)一些不方便的問題。而“IP切 換器”正是解決這個問題的，使用IP切換可以設(shè)置好各個場所的網(wǎng)絡(luò)配置。當(dāng)你到某個場所時，只需要鼠標(biāo)輕輕一點，便可以自動切換到該場所的網(wǎng)絡(luò)環(huán)境了。

亮點2：網(wǎng)速保護(hù)——有限網(wǎng)速內(nèi)的最合理分配，看網(wǎng)頁，下載兩不誤！

網(wǎng)速是有限的，而下載、看片、玩游戲是無限的！在使用下載工具進(jìn) 行下載或者在線看視頻的時候，經(jīng)常因為帶寬問題導(dǎo)致瀏覽網(wǎng)頁時候半天沒有打開，嚴(yán)重的時候可能會出現(xiàn)“無法顯示該頁面”。瑞星防火墻2012版的“網(wǎng)速保 護(hù)”功能就是當(dāng)出現(xiàn)這種情況時，可以根據(jù)網(wǎng)絡(luò)情況進(jìn)行必要的調(diào)整和重新分配，使瀏覽網(wǎng)頁的請求和響應(yīng)可以得到足夠的網(wǎng)速保障，以達(dá)到在網(wǎng)速不足時流暢瀏覽 網(wǎng)頁的目的。

亮點3：ADSL優(yōu)化——群租用戶的上網(wǎng)必備利器！再也不用擔(dān)心多人上網(wǎng)的問題了！

還是那句話，網(wǎng)速是有限的，但到了晚上上網(wǎng)高峰時，多人搶占有限的帶寬，有人用bt下載、有人在線看片、有人打游戲，總會有不和諧的聲音~

瑞星防火墻2012版的新功能“ADSL優(yōu)化”功能：當(dāng)用戶使用ADSL共享多臺電腦上網(wǎng)的時候，此功能可以根據(jù)網(wǎng)絡(luò)情況來合理分配網(wǎng)絡(luò)帶寬，避免某臺 電腦因為下載而導(dǎo)致其他電腦無法正常上網(wǎng)的問題。在“我的帶寬”那里輸入當(dāng)前帶寬，單擊“已開啟”按鈕即可啟動此功能。

QoS（Quality of Service）服務(wù)質(zhì)量，是網(wǎng)絡(luò)的一種安全機(jī)制，是用來解決網(wǎng)絡(luò)延遲和阻塞等問題的一種技術(shù)。在正常情況下，如果網(wǎng)絡(luò)只用于特定的無時間限制的應(yīng)用系統(tǒng)，并不需要QoS，比如Web應(yīng)用，或E-mail設(shè)置等。但是對關(guān)鍵應(yīng)用和多媒體應(yīng)用就十分必要。當(dāng)網(wǎng)絡(luò)過載或擁塞時，QoS 能確保重要業(yè)務(wù)量不受延遲或丟棄，同時保證網(wǎng)絡(luò)的高效運行。

VoIP（Voice over Internet Protocol）簡而言之就是將模擬聲音訊號（Voice）數(shù)字化，以數(shù)據(jù)封包（Data Packet）的形式在 IP 數(shù)據(jù)網(wǎng)絡(luò)(IP Network）上做實時傳遞。VoIP最大的優(yōu)勢是能廣泛地采用Internet和全球IP互連的環(huán)境，提供比傳統(tǒng)業(yè)務(wù)更多、更好的服務(wù)。VoIP可以在IP網(wǎng)絡(luò)上便宜的傳送語音、傳真、視頻、和數(shù)據(jù)等業(yè)務(wù)，如統(tǒng)一消息、虛擬電話、虛擬語音/傳真郵箱、查號業(yè)務(wù)、Internet呼叫中心、Internet呼叫管理、電視會議、電子商務(wù)、傳真存儲轉(zhuǎn)發(fā)和各種信息的存儲轉(zhuǎn)發(fā)等。

在選擇使用協(xié)議的時候，選擇UDP必須要謹(jǐn)慎。在網(wǎng)絡(luò)質(zhì)量令人不十分滿意的環(huán)境下，UDP協(xié)議數(shù)據(jù)包丟失會比較嚴(yán)重。但是由于UDP的特性：它不屬于連接型協(xié)議，因而具有資源消耗小，處理速度快的優(yōu)點，所以通常音頻、視頻和普通數(shù)據(jù)在傳送時使用UDP較多，因為它們即使偶爾丟失一兩個數(shù)據(jù)包，也不會對接收結(jié)果產(chǎn)生太大影響。比如我們聊天用的ICQ和QQ就是使用的UDP協(xié)議。

第四篇：防火墻 實驗報告

一、實驗?zāi)康?/p>

? 通過實驗深入理解防火墻的功能和工作原理 ? 熟悉天網(wǎng)防火墻個人版的配置和使用

二、實驗原理

? 防火墻的工作原理

? 防火墻能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。防火墻系統(tǒng)決定了哪些內(nèi)部服務(wù)可以被外界訪問；外界的哪些人可以訪問內(nèi)部的服務(wù)以及哪些外部服務(wù)可以被內(nèi)部人員訪問。防火墻必須只允許授權(quán)的數(shù)據(jù)通過，而且防火墻本身也必須能夠免于滲透。

? 兩種防火墻技術(shù)的對比

? 包過濾防火墻：將防火墻放置于內(nèi)外網(wǎng)絡(luò)的邊界；價格較低，性能開銷小，處理速度較快；定義復(fù)雜，容易出現(xiàn)因配置不當(dāng)帶來問題，允許數(shù)據(jù)包直接通過，容易造成數(shù)據(jù)驅(qū)動式攻擊的潛在危險。

? 應(yīng)用級網(wǎng)關(guān)：內(nèi)置了專門為了提高安全性而編制的Proxy應(yīng)用程序，能夠透徹地理解相關(guān)服務(wù)的命令，對來往的數(shù)據(jù)包進(jìn)行安全化處理，速度較慢，不太適用于高速網(wǎng)（ATM或千兆位以太網(wǎng)等）之間的應(yīng)用。

? 防火墻體系結(jié)構(gòu)

? 屏蔽主機(jī)防火墻體系結(jié)構(gòu)：在該結(jié)構(gòu)中，分組過濾路由器或防火墻與 Internet 相連，同時一個堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過在分組過濾路由器或防火墻上過濾規(guī)則的設(shè)置，使堡壘機(jī)成為 Internet 上其它節(jié)點所能到達(dá)的唯一節(jié)點，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。

? 雙重宿主主機(jī)體系結(jié)構(gòu)：圍繞雙重宿主主機(jī)構(gòu)筑。雙重宿主主機(jī)至少有兩個網(wǎng)絡(luò)接口。這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器；它能夠從一個網(wǎng)絡(luò)到另外一個網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。但是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信，它們之間的通信必須經(jīng)過雙重宿主主機(jī)的過濾和控制。

? 被屏蔽子網(wǎng)體系結(jié)構(gòu)：添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步的把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（通常是Internet）隔離開。被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為，兩個屏蔽路由器，每一個都連接到周邊網(wǎng)。一個位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間，另一個位于周邊網(wǎng)與外部網(wǎng)絡(luò)（通常為Internet）之間。

四、實驗內(nèi)容和步驟

（1）簡述天網(wǎng)防火墻的工作原理 天網(wǎng)防火墻的工作原理：

在于監(jiān)視并過濾網(wǎng)絡(luò)上流入流出的IP包，拒絕發(fā)送可疑的包?；趨f(xié)議特定的標(biāo)準(zhǔn)，路由器在其端口能夠區(qū)分包和限制包的能力叫包過濾。由于Internet 與Intranet 的連接多數(shù)都要使用路由器，所以Router成為內(nèi)外通信的必經(jīng)端口，Router的廠商在Router上加入IP 過濾功能，過濾路由器也可以稱作包過濾路由器或篩選路由器。防火墻常常就是這樣一個具備包過濾功能的簡單路由器，這種Firewall應(yīng)該是足夠安全的，但前提是配置合理。然而一個包過濾規(guī)則是否完全嚴(yán)密及必要是很難判定的，因而在安全要求較高的場合，通常還配合使用其它的技術(shù)來加強(qiáng)安全性。

路由器逐一審查數(shù)據(jù)包以判定它是否與其它包過濾規(guī)則相匹配。每個包有兩個部分：數(shù)據(jù)部分和包頭。過濾規(guī)則以用于IP順行處理的包頭信息為基礎(chǔ)，不理會包內(nèi)的正文信息內(nèi)容。包頭信息包括：IP 源地址、IP目的地址、封裝協(xié)議(TCP、UDP、或IP Tunnel)、TCP/UDP源端口、ICMP包類型、包輸入接口和包輸出接口。如果找到一個匹配，且規(guī)則允許這包，這一包則根據(jù)路由表中的信息前行。如果找到一個匹配，且規(guī)則拒絕此包，這一包則被舍棄。如果無匹配規(guī)則，一個用戶配置的缺省參數(shù)將決定此包是前行還是被舍棄。

（2）實驗過程 步驟：

（1）運行天網(wǎng)防火墻設(shè)置向?qū)?，根?jù)向?qū)нM(jìn)行基本設(shè)置。

（2）啟動天網(wǎng)防火墻，運用它攔截一些程序的網(wǎng)絡(luò)連接請求，如啟動Microsoft Baseline Security Analyzer，則天網(wǎng)防火墻會彈出報警窗口。此時選中“該程序以后都按照這次的操作運行”，允許MBSA對網(wǎng)絡(luò)的訪問。

（3）打開應(yīng)用程序規(guī)則窗口，可設(shè)置MBSA的安全規(guī)則，如使其只可以通過TCP協(xié)議發(fā)送信息，并制定協(xié)議只可使用端口21和8080等。了解應(yīng)用程序規(guī)則設(shè)置方法。

（4）使用IP規(guī)則配置，可對主機(jī)中每一個發(fā)送和傳輸?shù)臄?shù)據(jù)包進(jìn)行控制；ping局域網(wǎng)內(nèi)機(jī)器，觀察能否收到reply；修改IP規(guī)則配置，將“允許自己用ping命令探測其他機(jī)器”改為禁止并保存，再次ping局域網(wǎng)內(nèi)同一臺機(jī)器，觀察能否收到reply。改變不同IP規(guī)則引起的結(jié)果：

規(guī)則是一系列的比較條件和一個對數(shù)據(jù)包的動作，即根據(jù)數(shù)據(jù)包的每一個部分來與設(shè)置的條件比較，當(dāng)符合條件時，就可以確定對該包放行或者阻擋。通過合理設(shè)置規(guī)則就可以把有害的數(shù)據(jù)包擋在機(jī)器之外。

（5）將“允許自己用ping命令探測其他機(jī)器”改回為允許，但將此規(guī)則下移到“防御ICMP攻擊”規(guī)則之后，再次ping 局域網(wǎng)內(nèi)的同一臺機(jī)器，觀察能否收到reply。

（6）添加一條禁止鄰居同學(xué)主機(jī)連接本地計算機(jī)FTP服務(wù)器的安全規(guī)則；鄰居同學(xué)發(fā)起FTP請求連接，觀察結(jié)果。

（7）觀察應(yīng)用程序使用網(wǎng)絡(luò)的狀態(tài)，有無特殊進(jìn)程在訪問網(wǎng)絡(luò)，若有，可用“結(jié)束進(jìn)程”按鈕來禁止它們。

（8）察看防火墻日志，了解記錄的格式和含義。日志的格式和含義：

天網(wǎng)防火墻將會把所有不符合規(guī)則的數(shù)據(jù)包攔截并且記錄下來，如圖 15 所示。每條記 錄從左到右分別是發(fā)送／接受時間、發(fā)送 IP 地址、數(shù)據(jù)傳輸封包類型、本機(jī)通信端口、標(biāo) 志位和防火墻的操作。

五、實驗總結(jié)

通過該實驗了解了個人防火墻的工作原理和規(guī)則設(shè)置方法，了解到天火防火墻的優(yōu)點及缺點：

1、靈活的安全級別設(shè)置

2、實用的應(yīng)用程序規(guī)則設(shè)置

3、詳細(xì)的訪問記錄

4、嚴(yán)密的應(yīng)用程序網(wǎng)絡(luò)狀態(tài)監(jiān)控功能

5、多樣的缺省IP規(guī)則

6、可以自定義IP規(guī)則

7、具有修補(bǔ)系統(tǒng)漏洞功能。

第五篇：防火墻總結(jié)

大石頭中心校

構(gòu)筑校園消防安全“防火墻”工作總結(jié)

學(xué)校消防安全工作是學(xué)校綜合治理的重要內(nèi)容,關(guān)系到學(xué)校財產(chǎn)安全和教師員工的生命安全。對于這項工作,我們從來不敢有絲毫懈怠與麻痹大意。為了深入貫徹實施《中華人民共和國消防法》，切實加強(qiáng)火災(zāi)防控工作，創(chuàng)新校園消防安全管理模式，提升學(xué)校消防安全管理水平，提高我校師生消防安全意識和自救自護(hù)能力，保證全校師生的人身、財產(chǎn)安全，根據(jù)市政府統(tǒng)一部署和《敦化市構(gòu)筑社會消防安全“防火墻”工程實施方案》，根據(jù)市教育局的要求，我校全面深入制定計劃，在實際工作中能堅持做到不斷總結(jié)經(jīng)驗教訓(xùn),不斷改進(jìn)和完善工作方法,提高安全防范能力,將事故隱患減少到最低指數(shù),最大可能的提供安全保障,確保學(xué)校發(fā)展不受影響。以下是構(gòu)筑校園消防安全“防火墻”三年工作總結(jié)：

一、宣傳發(fā)動，統(tǒng)一思想，營造創(chuàng)建學(xué)校消防安全工作氛圍

學(xué)校在學(xué)生安全方面所采取的一系列措施，充分利用學(xué)校的校園網(wǎng)、宣傳櫥窗、黑板報、學(xué)校廣播等宣傳陣地進(jìn)行大力宣傳。對師生進(jìn)行交通安全、防電、防火、預(yù)防食物中毒、預(yù)防手足口病等教育，學(xué)校建立了義務(wù)消防隊，對有關(guān)人員定期培訓(xùn)，熟悉消防防備，掌握火警處置及啟動消防設(shè)施設(shè)備的程序和方法。我校加大“防火墻”工程主題的宣傳，普及消防知識，組織學(xué)生進(jìn)行了消防安全演練，教給學(xué)會正確使用滅火器以及掌握逃生的方法，使每一位學(xué)生普遍掌握火警電話，知道如何報警等基本常識。另外學(xué)校加強(qiáng)了值班管理制度，1

值班領(lǐng)導(dǎo)和教師要提前到崗，嚴(yán)禁校外人員進(jìn)入學(xué)校，從而保證學(xué)生的安全。

通過學(xué)習(xí)宣傳，大家統(tǒng)一了思想，提高了認(rèn)識。因此，把安全防范和教學(xué)質(zhì)量作為學(xué)校一切工作中最主要的兩件事來抓，做到“兩手都硬”。同時重視并抓好學(xué)校消防安全工作。近幾年，教學(xué)資源和教學(xué)設(shè)施還不能完全跟上變化的形勢，還不能滿足教學(xué)的需要。因此，校園不安全因素較以前增多，校園發(fā)生安全事故的可能性比以前大大增加。這就給學(xué)校的消防安全工作提出了更高的要求，決不能掉以輕心，麻痹大意。再者，創(chuàng)建平安學(xué)校是實踐“三個代表”重要思想的具體體現(xiàn)，這對于堅持社會主義辦學(xué)方向，全面貫徹黨的教育方針，構(gòu)建社會主義和諧社會，培養(yǎng)合格的社會主義事業(yè)建設(shè)者和接班人同樣具有重要意義。

在教育活動中，每學(xué)期學(xué)校做到了“六個一”即：一份計劃、一次國旗下講話、一次安全知識講座、一堂主題班會、一次圖片展覽、一期黑板報。同時，對創(chuàng)建中的典型事例和經(jīng)驗做法及時利用校廣播加以宣傳報道，積極營造創(chuàng)建學(xué)校消防安全工作的良好氛圍。

二、健全組織，落實責(zé)任，探索創(chuàng)建學(xué)校消防安全工作新機(jī)制

學(xué)校領(lǐng)導(dǎo)高度重視學(xué)校消防安全工作，成立了由張校長總負(fù)責(zé)的消防安全工作領(lǐng)導(dǎo)小組。

組 長：張 波（校長）負(fù)責(zé)學(xué)校的全面安全防火工作

副組長：趙永成（德育副校長）協(xié)助校長做好學(xué)校安全防火工作、各領(lǐng)導(dǎo)辦公室安全防火工作

胡學(xué)文（教學(xué)副校長）協(xié)助校長做好學(xué)校安全防火工作、各教師辦公室安全防火工作

劉書昌（工會主席）具體負(fù)責(zé)學(xué)校安全防火工作

組 員：陳 贊（支部副書記）負(fù)責(zé)宿舍、衛(wèi)生室、圖書室、檔案室、會議室安全防火工作

高永清(教導(dǎo)主任)負(fù)責(zé)實驗室、微機(jī)室、多功能室安全防火工作

宋立剛（少先隊輔導(dǎo)員）負(fù)責(zé)各班級安全防火工作 李志強(qiáng)（總務(wù)主任）負(fù)責(zé)食堂、商店、庫房、村小學(xué)安全防火工作

朱 哲（保衛(wèi)干事）負(fù)責(zé)警務(wù)室、值班室安全防火工作 武吉富（保衛(wèi)科長）負(fù)責(zé)學(xué)校安全防火檢

貫徹實施《消防法》和《吉林省消防條例》，認(rèn)真落實“政府統(tǒng)一領(lǐng)導(dǎo)、部門依法監(jiān)管、單位全面負(fù)責(zé)、公民積極參與”的消防工作原則，學(xué)校把消防安全工作具體任務(wù)落實到班級負(fù)責(zé)人，按照“誰主管，誰負(fù)責(zé)”的原則，各層次負(fù)責(zé)人分別和下屬各部門責(zé)任人簽訂消防安全責(zé)任書。這樣明確分工，責(zé)任到人，使全校創(chuàng)建最安全學(xué)校工作“事事有人做，人人有事做”，形成了“上下聯(lián)動，齊抓共管” 的管理格局。學(xué)校消防安全工作領(lǐng)導(dǎo)小組具體統(tǒng)籌、組織、協(xié)調(diào)學(xué)校消防安全工作的日常督查、記載等工作。做到工作有計劃、有布置、有檢查。把此項工作落到實處，推進(jìn)學(xué)校消防安全管理創(chuàng)新，前移火災(zāi)預(yù)防關(guān)口，提升學(xué)?；馂?zāi)防控水平

三、完善制度，獎懲結(jié)合，落實創(chuàng)建各項措施

1、落實消防安全責(zé)任制：制定各崗位消防安全職責(zé)，學(xué)校逐級與消防安全責(zé)任人之間簽訂消防安全責(zé)任書。

2、建立、完善和落實消防安全規(guī)章制度：學(xué)校建立了《消防安 3

全宣傳教育制度》《防火巡查、檢查制度》《安全疏散設(shè)施管理制度》《消防器材、設(shè)施維護(hù)保養(yǎng)制度》、《滅火和應(yīng)急疏散預(yù)案演練制度》。按照“安全第一，預(yù)防為主”的原則，要求各責(zé)任部門、責(zé)任人對安全工作做到“每天必查，有查必記，有患必除”，保證安全工作一項不漏，一個盲點不留，一個隱患不存。

3、堅持落實學(xué)校消防安全工作的考核機(jī)制。

4、完善消防基礎(chǔ)設(shè)施：按國家規(guī)范配置滅火器，電器產(chǎn)品的安裝、使用和線路敷設(shè)符合國家規(guī)范，無私拉亂接電氣線路，學(xué)生宿舍內(nèi)無違章用電的行為，疏散通道暢通，學(xué)生宿舍外窗無影響安全疏散和應(yīng)急救援的柵欄，圖書室、學(xué)校宿舍置火災(zāi)應(yīng)急照明。

5、加強(qiáng)防火巡查、檢查，及時消防火災(zāi)隱患：學(xué)校每月組織開展一次防火檢查。防火巡查對查出的火災(zāi)隱患要及時整改。

6、制定應(yīng)急疏散預(yù)案，適時組織開展演練：學(xué)校每年組織開展1-2次應(yīng)急疏散預(yù)案演練。

四、以人為本，“三防”齊抓，構(gòu)建創(chuàng)建工作網(wǎng)絡(luò)、加強(qiáng)消防消安全宣傳教育工作，強(qiáng)化“四個能力”建設(shè)。

1、將消防安全教育納入學(xué)校的日常教學(xué)內(nèi)容，每個學(xué)期每個班級都安排2節(jié)消防安全知識課。

2、每個學(xué)期組織學(xué)生接受一次消防安全教育。

3、在校園內(nèi)或?qū)W生宿舍都有永久性消防安全宣傳標(biāo)語，在校園內(nèi)開辟1個消防安全教育宣傳欄。

4、學(xué)校組織開展了“消防安全宣傳教育月”活動。向?qū)W生傳授日常防火、火場逃生自救等消防常識。

五、輸導(dǎo)結(jié)合，形式多樣，重視法制宣教工作

采取多種形式，開展安全教育。學(xué)校利用升旗、班會、健康教育課對學(xué)生進(jìn)行安全意識教育和自救自護(hù)的常識教育。組織師生開展消防疏散演練活動，教會學(xué)生火災(zāi)逃生自救的方法。

學(xué)校消防安全工作是學(xué)校工作的重要組成部分。做好這項工作是維護(hù)穩(wěn)定大局的需要，是學(xué)校生存、發(fā)展的需要。我校消防安全工作，取得了一些成績，但與上級領(lǐng)導(dǎo)的要求相比，與日益變化的客觀形勢要求相比還存在一定的差距。三年“防火墻”工程雖已結(jié)束，但我們絕不會松懈、放松警惕，我們?nèi)詫⒁蝗缂韧?，加大工作力度，促使我校消防安全學(xué)校工作再上新的臺階。

2012年10月28日