第一篇：防火墻的主要類(lèi)型

防火墻的主要類(lèi)型

按照防火墻實(shí)現(xiàn)技術(shù)的不同可以將防火墻為以下幾種主要的類(lèi)型。

1.包過(guò)濾防火墻

數(shù)據(jù)包過(guò)濾是指在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行分析、選擇和過(guò)濾。選擇的數(shù)據(jù)是系統(tǒng)內(nèi)設(shè)置的訪問(wèn)控制表（又叫規(guī)則表），規(guī)則表制定允許哪些類(lèi)型的數(shù)據(jù)包可以流入或流出內(nèi)部網(wǎng)絡(luò)。通過(guò)檢查數(shù)據(jù)流中每一個(gè)IP數(shù)據(jù)包的源地址、目的地址、所用端口號(hào)、協(xié)議狀態(tài)等因素或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。包過(guò)濾防火墻一般可以直接集成在路由器上，在進(jìn)行路由選擇的同時(shí)完成數(shù)據(jù)包的選擇與過(guò)濾，也可以由一臺(tái)單獨(dú)的計(jì)算機(jī)來(lái)完成數(shù)據(jù)包的過(guò)濾。

數(shù)據(jù)包過(guò)濾防火墻的優(yōu)點(diǎn)是速度快、邏輯簡(jiǎn)單、成本低、易于安裝和使用，網(wǎng)絡(luò)性能和通明度好，廣泛地用于Cisco和Sonic System等公司的路由器上。缺點(diǎn)是配置困難，容易出現(xiàn)漏洞，而且為特定服務(wù)開(kāi)放的端口存在著潛在的危險(xiǎn)。

例如：“天網(wǎng)個(gè)人防火墻”就屬于包過(guò)濾類(lèi)型防火墻，根據(jù)系統(tǒng)預(yù)先設(shè)定的過(guò)濾規(guī)則以及用戶自己設(shè)置的過(guò)濾規(guī)則來(lái)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的流動(dòng)情況進(jìn)行分析、監(jiān)控和管理，有效地提高了計(jì)算機(jī)的抗攻擊能力。

2、應(yīng)用代理防火墻 應(yīng)用代理防火墻能夠?qū)⑺锌缭椒阑饓Φ木W(wǎng)絡(luò)通信鏈路分為兩段，使得網(wǎng)絡(luò)內(nèi)部的客戶不直接與外部的服務(wù)器通信。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的連接由兩個(gè)代理服務(wù)器之間的連接來(lái)實(shí)現(xiàn)。有點(diǎn)是外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用；缺點(diǎn)是執(zhí)行速度慢，操作系統(tǒng)容易遭到攻擊。

代理服務(wù)在實(shí)際應(yīng)用中比較普遍，如學(xué)校校園網(wǎng)的代理服務(wù)器一端接入Internet,另一端介入內(nèi)部網(wǎng)，在代理服務(wù)器上安裝一個(gè)實(shí)現(xiàn)代理服務(wù)的軟件，如WinGate Pro、Microsoft Proxy Server等，就能起到防火墻的作用。

3、狀態(tài)檢測(cè)防火墻

狀態(tài)檢測(cè)防火墻又叫動(dòng)態(tài)包過(guò)濾防火墻。狀態(tài)檢測(cè)防火墻在網(wǎng)絡(luò)層由一個(gè)檢查引擎截獲數(shù)據(jù)包并抽取出與應(yīng)用狀態(tài)有關(guān)的信息。一次作為數(shù)據(jù)來(lái)決定該數(shù)據(jù)包是接受還是拒絕。檢查引擎維護(hù)一個(gè)動(dòng)態(tài)的狀態(tài)信息表并對(duì)后續(xù)的數(shù)據(jù)包進(jìn)行檢查，一旦發(fā)現(xiàn)任何連接的參數(shù)有意外變化，該連接就被終止。

狀態(tài)檢測(cè)防火墻克服了包過(guò)濾防火墻和應(yīng)用代理防火墻的局限性，能夠根據(jù)協(xié)議、端口及IP數(shù)據(jù)包的源地址、目的地址的具體情況來(lái)決定數(shù)據(jù)包是否可以通過(guò)。

在實(shí)際使用中，一般綜合采用以上幾種技術(shù)，使防火墻產(chǎn)品能夠滿足對(duì)安全性、高效性、適應(yīng)性和易管性的要求，再集成防毒軟件的功能來(lái)提高系統(tǒng)的防毒能力和抗攻擊能力，例如，瑞星企業(yè)級(jí)防火墻RFW-100就是一個(gè)功能強(qiáng)大、安全性高的混合型防火墻，它集網(wǎng)絡(luò)層狀態(tài)包過(guò)濾、應(yīng)用層專(zhuān)用代理、敏感信息的加密傳輸和詳盡靈活的日志審計(jì)等都腫安全技術(shù)于一身，可根據(jù)用戶的不同需求，提供強(qiáng)大的訪問(wèn)控制、信息過(guò)濾、代理服務(wù)和流量統(tǒng)計(jì)等功能。

第二篇：防火墻的類(lèi)型及主要優(yōu)缺點(diǎn)

防火墻的類(lèi)型 概念以及主要優(yōu)缺點(diǎn)

2008年10月27日 星期一 下午 03:22 什么是防火墻

對(duì)于企業(yè)的網(wǎng)絡(luò)而言，未加特別安全保護(hù)而放臵在internet上，危險(xiǎn)性是顯而易見(jiàn)的。隨著決策層對(duì)安全認(rèn)識(shí)的逐步加強(qiáng)，防火墻，作為一種應(yīng)用非常廣泛，技術(shù)相對(duì)比較成熟的網(wǎng)絡(luò)安全產(chǎn)品也在不同的企業(yè)愈來(lái)愈多的得到了重視。然而一個(gè)現(xiàn)實(shí)的問(wèn)題是目前關(guān)于防火墻的名詞以及廠家基于商業(yè)目的宣稱花樣為數(shù)眾多，這就給使用者選擇和應(yīng)用防火墻帶來(lái)了一定的誤解和困難。那么什么是防火墻，主要的防火墻之間如何區(qū)別呢？

對(duì)于防火墻的概念，我們可以這樣理解：防火墻是在兩個(gè)網(wǎng)絡(luò)間實(shí)現(xiàn)訪問(wèn)控制的一個(gè)或一組軟件或硬件系統(tǒng)。防火墻的最主要功能就是屏蔽和允許指定的數(shù)據(jù)通訊，而該功能的實(shí)現(xiàn)又主要是依靠一套訪問(wèn)控制策略，由訪問(wèn)控制策略來(lái)決定通訊的合法性。

那么如何理解種類(lèi)眾多的防火墻呢，下面來(lái)做個(gè)介紹。

防火墻的類(lèi)型

如果我們從OSI分層模式來(lái)考察及分類(lèi)防火墻，會(huì)比較容易的把握住防火墻的脈絡(luò)，個(gè)人認(rèn)為，目前主要的防火墻可以分為三類(lèi)，它們分別是： 包過(guò)濾防火墻、基于狀態(tài)的包過(guò)濾防火墻、應(yīng)用代理（網(wǎng)關(guān)）防火墻，而由這三類(lèi)防火墻可以推導(dǎo)和演繹出其它可能的變化。

下面我們來(lái)逐一說(shuō)明。

包過(guò)濾防火墻

首先，我們要提到的是最基本的報(bào)文過(guò)濾的防火墻，這個(gè)層次的防火墻通常工作在OSI的三層及三層以下，由此我們可以看出，可控的內(nèi)容主要包括報(bào)文的源地址、報(bào)文的目標(biāo)地址、服務(wù)類(lèi)型，以及第二層數(shù)據(jù)鏈路層可控的MAC地址等。除此以外，隨著包過(guò)濾防火墻的發(fā)展，部分OSI四層的內(nèi)容也被包括進(jìn)來(lái)，如報(bào)文的源端口和目的端口。

本層次最常見(jiàn)的實(shí)際應(yīng)用的例子就是互聯(lián)網(wǎng)上的路由設(shè)備，比如常見(jiàn)的cisco路由器，使用者可以通過(guò)定制訪問(wèn)控制列（ACL）來(lái)對(duì)路由器進(jìn)出端口的數(shù)據(jù)包進(jìn)行控制，如針對(duì)rfc1918的保留地址進(jìn)屏蔽，在路由器上可以進(jìn)行如下配臵：

interface x

ip access-group 101 in

access-list 101 deny ip 10.0.0.0 0.255.255.255 any

access-list 101 deny ip 192.168.0.0 0.0.255.255 any

access-list 101 deny ip 172.16.0.0 0.15.255.255 any

access-list 101 permit ip any any

從上面這個(gè)例子可以很明顯的看出，路由器這里的配臵完全是針對(duì)OSI的三層ip地址，也就是ip的包頭進(jìn)行過(guò)濾，至于這些IP數(shù)據(jù)包里攜帶的具體有什么內(nèi)容，路由器完全不會(huì)去關(guān)心。

由此考慮一下，我們就不難看出這個(gè)層次的防火墻的優(yōu)點(diǎn)和弱點(diǎn)：

1.基于報(bào)文過(guò)濾的防火墻一個(gè)非常明顯的優(yōu)勢(shì)就是速度，這是因?yàn)榉阑饓χ皇侨z察數(shù)據(jù)包的包頭，而對(duì)數(shù)據(jù)包所攜帶的內(nèi)容沒(méi)有任何形式的檢查，因此速度非?？?。

2.還有一個(gè)比較明顯的好處是，對(duì)用戶而言，包過(guò)濾防火墻是透明的，無(wú)需用戶端進(jìn)行任何配臵。

包過(guò)濾防火墻的特性決定了它很適合放在局域網(wǎng)的前端，由它來(lái)完成整個(gè)安全工作環(huán)節(jié)中的數(shù)據(jù)包前期處理工作，如：控制進(jìn)入局域網(wǎng)的數(shù)據(jù)包的可信任ip，對(duì)外界開(kāi)放盡量少的端口等。與此同時(shí)，這種防火墻的弊端也是顯而易見(jiàn)的，比較關(guān)鍵的幾點(diǎn)包括：

1.由于無(wú)法對(duì)數(shù)據(jù)包及上層的內(nèi)容進(jìn)行核查，因此無(wú)法過(guò)濾審核數(shù)據(jù)包的內(nèi)容。體現(xiàn)這一問(wèn)題的一個(gè)很簡(jiǎn)單的例子就是：對(duì)某個(gè)端口的開(kāi)放意味著相應(yīng)端口對(duì)應(yīng)的服務(wù)所能夠提供的全部功能都被放開(kāi)，即使通過(guò)防火墻的數(shù)據(jù)包有攻擊性，也無(wú)法進(jìn)行控制和阻斷。比如針對(duì)微軟IIS漏洞的Unicode攻擊，因?yàn)檫@種攻擊是走的防火墻所允許的80端口，而包過(guò)濾的防火墻無(wú)法對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行核查，因此此時(shí)防火墻等同于虛設(shè)，未打相應(yīng)patch的提供web服務(wù)的系統(tǒng)，即使在防火墻的屏障之后，也會(huì)被攻擊者輕松拿下超級(jí)用戶的權(quán)限。

2.由于此種類(lèi)型的防火墻工作在較低層次，防火墻本身所能接觸到的信息較少，所以它無(wú)法提供描述事件細(xì)致的日志系統(tǒng)，此類(lèi)防火墻生成的日志常常只是包括數(shù)據(jù)包捕獲時(shí)間，三層的ip地址，四層的端口等非常原始的信息。我們可以先把下面要講的ipmon的軟件的日志拿來(lái)看看

Nov 23 14:13:05 y.y.y.y ipmon[10841]: 14:13:04.733237 hme0 @0:13 b x.x.x.x,4131-> y.y.y.y,3389 PR tcp len 20 48-S IN

3.我們可以從上面看個(gè)大概，這個(gè)防火墻于僅僅記錄了11月23日14點(diǎn)13分防火墻block了從ip地址x.x.x.x，端口4131來(lái)的，目的端口是3389，目的ip是y.y.y.y的包頭為20字節(jié)，凈荷長(zhǎng)度為28的數(shù)據(jù)包。至于這個(gè)數(shù)據(jù)包內(nèi)容是什么，防火墻不會(huì)理會(huì)，這恰恰對(duì)安全管理員而言是至為關(guān)鍵的。因?yàn)榧词挂粋€(gè)非常優(yōu)秀的系統(tǒng)管理員一旦陷入大量的通過(guò)/屏蔽的原始數(shù)據(jù)包信息中，往往也是難以理清頭緒的，當(dāng)發(fā)生安全事件時(shí)會(huì)給管理員的安全審計(jì)帶來(lái)了很大的困難。

4.所有有可能用到的端口都必須靜態(tài)放開(kāi)，對(duì)外界暴露，從而極大的增加了被攻擊的可能性，這個(gè)問(wèn)題一個(gè)很好的例子就是unix下的危險(xiǎn)的rpc服務(wù)，它們也工作在高端口，而針對(duì)這些服務(wù)的攻擊程序在互聯(lián)網(wǎng)上異常流行。

5.如果網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜，那么對(duì)管理員而言配臵ACL將是非?？植赖氖虑椤．?dāng)網(wǎng)絡(luò)發(fā)展到一定規(guī)模時(shí)，ACL出錯(cuò)幾乎是必然的，這一點(diǎn)相信許多大型站點(diǎn)的系統(tǒng)管理員印象深刻?；跔顟B(tài)的包過(guò)濾防火墻

上面我們講到的包過(guò)濾防火墻在具體實(shí)施的時(shí)候，管理員會(huì)遇到一些非常棘手的問(wèn)題：網(wǎng)絡(luò)上數(shù)據(jù)的傳輸是雙向的，因此所有服務(wù)所需要的數(shù)據(jù)包進(jìn)出防火墻的端口都要仔細(xì)的被考慮到，否則，會(huì)產(chǎn)生意想不到的情況。然而我們知道，當(dāng)被防火墻保護(hù)的設(shè)備與外界通訊時(shí)，絕大多數(shù)應(yīng)用要求發(fā)出請(qǐng)求的系統(tǒng)本身提供一個(gè)端口，用來(lái)接收到外界返回的數(shù)據(jù)包，而且這個(gè)端口一般是在1023到16384之間不定的，這就增加了設(shè)計(jì)控制訪問(wèn)規(guī)則的難度。這里我們可以捕獲一次由client到server的80端口訪問(wèn)的一些紀(jì)錄來(lái)形象說(shuō)明這個(gè)問(wèn)題（截取的內(nèi)容略有刪節(jié)）：

17:48:52.513355 IP penetrat.1134 > server.80: S 1253142352:1253142352

17:48:52.515991 IP server.80 > penetrat.1134: S 1867056172:1867056172 ack 1253142353

17:48:52.516126 IP penetrat.1134 > server.80:.ack 1

我們可以從上述內(nèi)容中看到，client為了完成對(duì)server的004km.cnes the limitations of the previous two approaches by providing full application-layer awareness without breaking the client/server model.Stateful Inspection extracts the state-related information required for security decisions from all application layers and maintains this information in dynamic state tables for evaluating subsequent connection attempts.This provides a solution that is highly secure and offers maximum performance, scalability, and extensibility.Check Point FireWall-1 is based upon Stateful Inspection, which has become the defacto standard for firewalls.綜合checkpoint網(wǎng)站的資料，我們可以通俗的將這種Stateful Inspection大致理解為，防火墻的內(nèi)核中運(yùn)行著Stateful Inspectionsm engine，由它在OSI底層對(duì)接收到的數(shù)據(jù)包進(jìn)行審核，當(dāng)接收到的數(shù)據(jù)包符合訪問(wèn)控制要求時(shí)，將該數(shù)據(jù)包傳到高層進(jìn)行應(yīng)用級(jí)別和狀態(tài)的審核，如果不符合要求，則丟棄。由于Stateful Inspectionsm engine工作在內(nèi)核中，因此效率和速度都能得到很好的保證，同時(shí)由于Stateful Inspectionsm engine能夠理解應(yīng)用層的數(shù)據(jù)包，所以能夠快速有效的在應(yīng)用層進(jìn)行數(shù)據(jù)包審核。

關(guān)于checkpoint的專(zhuān)利技術(shù)Stateful Inspectionsm engine，該公司有如下說(shuō)明： This provides important system flexibility, allowing Check Point, as well as its technology partners and end-users, to incorporate new applications, services, and protocols, without requiring new software to be loaded.For most new applications, including most custom applications developed by end users, the communication-related behavior of the new application can be incorporated simply be modifying one of Firewall-1's built-in script templates via the graphical user interface.Even the most complex applications can be added quickly and easily via the INSPECT language.按照上面的理解，對(duì)新的應(yīng)用程序的防火墻支持是無(wú)需在增加新的軟件的，但本人認(rèn)為，此處值得商榷，在checkpoint公司主頁(yè)上，有專(zhuān)門(mén)的一部分介紹Application Support，也就是說(shuō)，用戶購(gòu)臵的checkpoint防火墻內(nèi)部已經(jīng)支持了相應(yīng)的程序的審核，這一點(diǎn)應(yīng)該是沒(méi)有問(wèn)題的。但是，除此之外，當(dāng)用戶的網(wǎng)絡(luò)上增加了新的應(yīng)用時(shí)，并需要防火墻支持該應(yīng)用時(shí)，應(yīng)該并不會(huì)如上述說(shuō)明那么簡(jiǎn)單，因?yàn)閷?duì)應(yīng)用的支持并不是簡(jiǎn)單的增加端口，修改腳本那么容易完成的。Stateful Inspectionsm engine必須理解該應(yīng)用的比較具體的實(shí)現(xiàn)方法。比如國(guó)內(nèi)廣泛使用的oicq，防火墻增加對(duì)qq的支持，并不是系統(tǒng)管理員點(diǎn)幾下鼠標(biāo)，敲擊幾次鍵盤(pán)就能輕松完成的。

個(gè)人認(rèn)為，其實(shí)基于狀態(tài)檢查的防火墻其設(shè)計(jì)思想可能還是源于基于狀態(tài)的包過(guò)濾防火墻，只是在此基礎(chǔ)上又增加了對(duì)應(yīng)用層數(shù)據(jù)包的審核而已，但是由于本人沒(méi)有實(shí)際使用過(guò)，因此無(wú)法下定論。

防火墻的附加功能

目前的防火墻還往往能夠提供一些特殊的功能，如：

1.IP轉(zhuǎn)換 IP轉(zhuǎn)換主要功能有二，一是隱藏在其后的網(wǎng)絡(luò)設(shè)備的真實(shí)IP，從而使入侵者無(wú)法直接攻擊內(nèi)部網(wǎng)絡(luò)，二是可是使用rfc1918的保留IP，這對(duì)解決ip地址匱乏的網(wǎng)絡(luò)是很實(shí)用的。

2.虛擬企業(yè)網(wǎng)絡(luò) VPN在國(guó)外使用的較多，國(guó)內(nèi)也開(kāi)始逐漸得到應(yīng)用。它是指在公共網(wǎng)絡(luò)中建立的專(zhuān)用加密虛擬通道，以確保通訊安全。

3.殺毒 一般都通過(guò)插件或聯(lián)動(dòng)實(shí)現(xiàn)。

4.與IDS聯(lián)動(dòng) 目前實(shí)現(xiàn)這一功能的產(chǎn)品也有逐漸增多的趨勢(shì)。

5.GUI界面管理 傳統(tǒng)以及一些*nix下free的防火墻一般都是通過(guò)命令行方式來(lái)鍵入命令來(lái)控制訪問(wèn)策略的，商用的防火墻一般都提供了web和gui的界面，以便于管理員進(jìn)行配臵工作。

6.自我保護(hù)，流控和計(jì)費(fèi)等其它功能。

選購(gòu)和使用防火墻的誤區(qū)

就本人幾年來(lái)系統(tǒng)管理員的經(jīng)驗(yàn)看來(lái)，防火墻在選購(gòu)和使用時(shí)經(jīng)常會(huì)有一些誤區(qū)，如下：

1.最全的就是最好的，最貴的就是最好的 這個(gè)問(wèn)題常常出現(xiàn)在決策層，相信“全能”防火墻，認(rèn)為防火墻要包括所有的模塊，求大而全，不求專(zhuān)而精，不清楚自己的企業(yè)需要保護(hù)什么，常常是白花了大量的經(jīng)費(fèi)卻無(wú)法取得應(yīng)有的效果。

2.一次配臵，永遠(yuǎn)運(yùn)行 這個(gè)問(wèn)題往往都在經(jīng)驗(yàn)不足的系統(tǒng)管理員手上出現(xiàn)，在初次配臵成功的情況下，就將防火墻永遠(yuǎn)的丟在了一邊，不再根據(jù)業(yè)務(wù)情況動(dòng)態(tài)的更改訪問(wèn)控制策略-請(qǐng)注意本文一開(kāi)始講到的，缺乏好的允許或者拒絕的控制策略，防火墻將起不到任何作用。

3.審計(jì)是可有可無(wú)的 這個(gè)問(wèn)題也出現(xiàn)在系統(tǒng)管理員手上出現(xiàn)，表現(xiàn)為對(duì)防火墻的工作狀態(tài)，日志等無(wú)暇審計(jì)，或即使審計(jì)也不明白防火墻的紀(jì)錄代表著什么，這同樣是危險(xiǎn)的。

4.廠家的配臵無(wú)需改動(dòng) 目前國(guó)內(nèi)比較現(xiàn)實(shí)的情況是很多公司沒(méi)有專(zhuān)業(yè)的技術(shù)人員來(lái)進(jìn)行網(wǎng)絡(luò)安全方面的管理，當(dāng)公司購(gòu)臵防火墻等產(chǎn)品時(shí)，只能依靠廠家的技術(shù)人員來(lái)進(jìn)行配臵，但應(yīng)當(dāng)警惕的是，廠家的技術(shù)人員即使技術(shù)精湛，往往不會(huì)仔細(xì)的了解公司方面的業(yè)務(wù)，無(wú)法精心定制及審核安全策略，那么在配臵過(guò)程中很可能會(huì)留下一些安全隱患。作為防火墻的試用方不能迷信廠家的技術(shù)，即使對(duì)技術(shù)不是非常清楚，也非常有必要對(duì)安全策略和廠家進(jìn)行討論。

第三篇：防火墻案例

據(jù)統(tǒng)計(jì)，本周瑞星共截獲了875810個(gè)釣魚(yú)網(wǎng)站，共有451萬(wàn)網(wǎng)民遭遇釣魚(yú)網(wǎng)站攻擊。瑞星安全專(zhuān)家提醒用戶，在機(jī)場(chǎng)、圖書(shū)館、咖啡館等公共場(chǎng)所使用免費(fèi)WiFi上網(wǎng)時(shí)，一定要注意安全，不要隨意連接沒(méi)有設(shè)置密碼的網(wǎng)絡(luò)。目前，發(fā)現(xiàn)很多黑客會(huì)在公共WiFi場(chǎng)所私自搭建不設(shè)密碼的“小WiFi”，用戶一旦接入，上網(wǎng)提交的各種數(shù)據(jù)、賬號(hào)、密碼極有可能被截獲，從而導(dǎo)致個(gè)人隱私泄露。網(wǎng)民上網(wǎng)時(shí)，一定要向網(wǎng)絡(luò)提供商詢問(wèn)清楚，避免出現(xiàn)信息丟失的問(wèn)題。本周要警惕一個(gè)名為Ngrbot蠕蟲(chóng)后門(mén)的病毒，這是一個(gè)蠕蟲(chóng)類(lèi)型的后門(mén)病毒，病毒代碼經(jīng)過(guò)加密，病毒運(yùn)行后，首先會(huì)進(jìn)行解密，然后將其代碼注入到新啟動(dòng)的進(jìn)程中，使病毒代碼得以運(yùn)行。

大家在了解了防火墻技術(shù)、產(chǎn)品、方案和選購(gòu)等系列內(nèi)容后，似乎就等著買(mǎi)回一款產(chǎn)品安裝，然后就可以高忱無(wú)憂地享用防火墻了。然而，我們有所不知，除選購(gòu)合適的防火墻外，更為重要的是用好防火墻。不少用戶在花費(fèi)大量資金購(gòu)置防火墻之后，由于缺乏相應(yīng)技術(shù)貯備或?qū)Ξa(chǎn)品功能的了解，并沒(méi)能充分發(fā)揮防火墻的作用。

事實(shí)上，在防火墻安裝和投入使用后，并非就是萬(wàn)事大吉了。首先，防火墻的安全防護(hù)功能的發(fā)揮需要依賴很多因素，不僅某些病毒和黑客可以通過(guò)系統(tǒng)漏洞或者其他手段避開(kāi)防火墻，內(nèi)部人員管理控制欠完善也有可能使得防火墻形同虛設(shè)。其次，為了提高防火墻的安全性，用戶可以將防火墻和其他安全工具相結(jié)合，例如和漏洞掃描器與IDS搭配使用。還有，要想充分發(fā)揮防火墻的安全防護(hù)作用，必須對(duì)它進(jìn)行升級(jí)和維護(hù)，要與廠商保持密切的聯(lián)系，時(shí)刻注視廠商的動(dòng)態(tài)。因?yàn)閺S商一旦發(fā)現(xiàn)其產(chǎn)品存在安全漏洞，就會(huì)盡快發(fā)布補(bǔ)丁產(chǎn)品，此時(shí)應(yīng)及時(shí)對(duì)防火墻進(jìn)行更新。

為了讓大家更好地使用防火墻，我們從反面列舉4個(gè)有代表性的失敗案例，以警示讀者。例1：未制定完整的企業(yè)安全策略

網(wǎng)絡(luò)環(huán)境:某中型企業(yè)購(gòu)買(mǎi)了適合自己網(wǎng)絡(luò)特點(diǎn)的防火墻，剛投入使用后，發(fā)現(xiàn)以前局域網(wǎng)中肆虐橫行的蠕蟲(chóng)病毒不見(jiàn)了，企業(yè)網(wǎng)站遭受拒絕服務(wù)攻擊的次數(shù)也大大減少了，為此，公司領(lǐng)導(dǎo)特意表?yè)P(yáng)了負(fù)責(zé)防火墻安裝實(shí)施的信息部。

該企業(yè)內(nèi)部網(wǎng)絡(luò)的核心交換機(jī)是帶路由模塊的三層交換機(jī)，出口通過(guò)路由器和ISP連接。內(nèi)部網(wǎng)劃分為5個(gè)VLAN，VLAN

1、VLAN 2和VLAN 3分配給不同的部門(mén)使用，不同的VLAN之間根據(jù)部門(mén)級(jí)別設(shè)置訪問(wèn)權(quán)限；VLAN 4分配給交換機(jī)出口地址和路由器使用；VLAN 5分配給公共服務(wù)器使用。在沒(méi)有加入防火墻之前，各個(gè)VLAN中的PC機(jī)能夠通過(guò)交換機(jī)和路由器不受限制地訪問(wèn)Internet。加入防火墻后，給防火墻分配一個(gè)VLAN 4中的空閑IP地址，并把網(wǎng)關(guān)指向路由器；將VLAN 5接入到防火墻的一個(gè)網(wǎng)口上。這樣，防火墻就把整個(gè)網(wǎng)絡(luò)分為3個(gè)區(qū)域: 內(nèi)部網(wǎng)、公共服務(wù)器區(qū)和外部網(wǎng)，三者之間的通信受到防火墻安全規(guī)則的限制。

問(wèn)題描述:防火墻投入運(yùn)行后，實(shí)施了一套較為嚴(yán)格的安全規(guī)則，導(dǎo)致公司員工無(wú)法使用QQ聊天軟件，于是沒(méi)過(guò)多久就有員工自己撥號(hào)上網(wǎng)，導(dǎo)致感染了特洛依木馬和蠕蟲(chóng)等病毒，并立刻在公司內(nèi)部局域網(wǎng)中傳播開(kāi)來(lái)，造成內(nèi)部網(wǎng)大面積癱瘓。

問(wèn)題分析:我們知道，防火墻作為一種保護(hù)網(wǎng)絡(luò)安全的設(shè)備，必須部署在受保護(hù)網(wǎng)絡(luò)的邊界處，只有這樣防火墻才能控制所有出入網(wǎng)絡(luò)的數(shù)據(jù)通信，達(dá)到將入侵者拒之門(mén)外的目的。如果被保護(hù)網(wǎng)絡(luò)的邊界不惟一，有很多出入口，那么只部署一臺(tái)防火墻是不夠的。在本案例中，防火墻投入使用后，沒(méi)有禁止私自撥號(hào)上網(wǎng)行為，使得許多PC機(jī)通過(guò)電話線和Internet相連，導(dǎo)致網(wǎng)絡(luò)邊界不惟一，入侵者可以通過(guò)攻擊這些PC機(jī)然后進(jìn)一步攻擊內(nèi)部網(wǎng)絡(luò)，從而成功地避開(kāi)了防火墻。

解決辦法:根據(jù)自己企業(yè)網(wǎng)的特點(diǎn)，制定一整套安全策略，并徹底地貫徹實(shí)施。比如說(shuō)，制定一套安全管理規(guī)章制度，嚴(yán)禁員工私自撥號(hào)上網(wǎng);同時(shí)封掉撥號(hào)上網(wǎng)的電話號(hào)碼，并購(gòu)買(mǎi)檢測(cè)撥號(hào)上網(wǎng)的軟件，這樣從管理和技術(shù)上杜絕出現(xiàn)網(wǎng)絡(luò)邊界不惟一的情況發(fā)生。另外，考慮到企業(yè)員工的需求，可以在防火墻上添加按照時(shí)間段生效的安全規(guī)則，在非工作時(shí)間打開(kāi)QQ使用的TCP/UDP端口，使得企業(yè)員工可以在工余時(shí)間使用QQ聊天軟件。

結(jié)論和忠告:防火墻只是保證安全的一種技術(shù)手段，要想真正實(shí)現(xiàn)安全，安全策略是核心問(wèn)題。例2：未考慮防火墻的可擴(kuò)充性

問(wèn)題描述:某大型企業(yè)一年前購(gòu)買(mǎi)了幾十臺(tái)防火墻，分布在總部局域網(wǎng)和全國(guó)各地的分支機(jī)構(gòu)中。剛投入使用后，各部門(mén)和分支機(jī)構(gòu)都反映不錯(cuò)，沒(méi)有影響到網(wǎng)絡(luò)性能。隨著信息化程度的不斷提高，該企業(yè)決定構(gòu)建視頻會(huì)議系統(tǒng)，卻發(fā)現(xiàn)防火墻不支持該應(yīng)用協(xié)議，如果要實(shí)現(xiàn)視頻會(huì)議，必須讓防火墻打開(kāi)一個(gè)很大的缺口，這會(huì)留下很大的安全隱患。

問(wèn)題分析:視頻會(huì)議系統(tǒng)一般都采用H.323協(xié)議(ITU-T第16工作組的建議，由一組協(xié)議構(gòu)成，其中有負(fù)責(zé)音頻與視頻信號(hào)的編碼、解碼和包裝，有負(fù)責(zé)呼叫信令收發(fā)和控制的信令，還有負(fù)責(zé)能力交換的信令。)，在創(chuàng)建符合H.323協(xié)議的Voice-Over-IP(IP語(yǔ)音)通道時(shí)，需要用到TCP協(xié)議的1720、1731和1735等端口，并且會(huì)使用到TCP協(xié)議(傳輸控制協(xié)議)的、大于1024的端口及UDP協(xié)議的、大于30000的端口，這些端口是動(dòng)態(tài)隨機(jī)選取的。如果防火墻沒(méi)有專(zhuān)門(mén)針對(duì)H.323協(xié)議實(shí)現(xiàn)動(dòng)態(tài)包過(guò)濾，那么必須靜態(tài)地配置安全規(guī)則，打開(kāi)TCP協(xié)議1024到65535之間的所有端口以及UDP協(xié)議(用戶數(shù)據(jù)包協(xié)議)30000到65535之間的所有端口，這樣等于給防火墻打開(kāi)了一個(gè)缺口，留下了安全隱患。此外，視頻會(huì)議系統(tǒng)對(duì)于網(wǎng)絡(luò)的服務(wù)質(zhì)量和語(yǔ)音傳輸?shù)膬?yōu)先級(jí)要求很高，如果防火墻不支持QoS(服務(wù)質(zhì)量)功能，就無(wú)法保證參加視頻會(huì)議的主機(jī)的的語(yǔ)音和視頻質(zhì)量。本案例說(shuō)明了企業(yè)在選購(gòu)防火墻時(shí)沒(méi)有充分考慮到今后網(wǎng)絡(luò)的擴(kuò)展性，導(dǎo)致防火墻不能適應(yīng)新的應(yīng)用環(huán)境。

解決辦法:購(gòu)買(mǎi)防火墻前應(yīng)充分考慮到各種應(yīng)用的可能性。如果問(wèn)題已經(jīng)發(fā)生，請(qǐng)求防火墻廠商或安全集成商幫助解決。

結(jié)論和忠告:“安全當(dāng)頭，應(yīng)用為先”。如果不支持諸如視頻等網(wǎng)絡(luò)應(yīng)用，再好的安全設(shè)施也是沒(méi)有意義的。請(qǐng)關(guān)注防火墻的功能是否全面，是否全面兼容各種應(yīng)用協(xié)議。

例3：未考慮與其他安全產(chǎn)品的配合使用

問(wèn)題描述:某公司購(gòu)買(mǎi)了防火墻后，緊接著又購(gòu)買(mǎi)了漏洞掃描和IDS（入侵檢測(cè)系統(tǒng)）產(chǎn)品。當(dāng)系統(tǒng)管理員利用IDS發(fā)現(xiàn)入侵行為后，必須每次都要手工調(diào)整防火墻安全策略，使管理員工作量劇增，而且經(jīng)常調(diào)整安全策略，也給整個(gè)網(wǎng)絡(luò)帶來(lái)不良影響。

問(wèn)題分析:選購(gòu)防火墻時(shí)未充分考慮到與其他安全產(chǎn)品如IDS的聯(lián)動(dòng)功能，導(dǎo)致不能最大程度地發(fā)揮安全系統(tǒng)的作用。

解決辦法:購(gòu)買(mǎi)防火墻前應(yīng)查看企業(yè)網(wǎng)是否安裝了漏洞掃描或IDS等其他安全產(chǎn)品，以及具體產(chǎn)品名稱和型號(hào)，然后確定所要購(gòu)買(mǎi)的防火墻是否有聯(lián)動(dòng)功能（即是否支持其他安全產(chǎn)品，尤其是IDS產(chǎn)品），支持的是哪些品牌和型號(hào)的產(chǎn)品，是否與已有的安全產(chǎn)品名稱相符，如果不符，最好不要選用，而選擇能同已有安全產(chǎn)品聯(lián)動(dòng)的防火墻。這樣，當(dāng)IDS發(fā)現(xiàn)入侵行為后，在通知管理員的同時(shí)發(fā)送消息給防火墻，由防火墻自動(dòng)添加相關(guān)規(guī)則，把入侵者拒之門(mén)外。

結(jié)論和忠告:保護(hù)網(wǎng)絡(luò)安全不僅僅是防火墻一種產(chǎn)品，只有將多種安全產(chǎn)品無(wú)縫地結(jié)合起來(lái)，充分利用它們各自的優(yōu)點(diǎn)，才能最大限度地保證網(wǎng)絡(luò)安全。

例4：未經(jīng)常維護(hù)升級(jí)防火墻

問(wèn)題描述:某政府機(jī)構(gòu)購(gòu)置防火墻后已安全運(yùn)行一年多，由于該機(jī)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)一直很穩(wěn)定，沒(méi)有什么變化，各種應(yīng)用也運(yùn)行穩(wěn)定，因此管理員逐漸放松了對(duì)防火墻的管理，只要網(wǎng)絡(luò)一直保持暢通即可，不再關(guān)心防火墻的規(guī)則是否需要調(diào)整，軟件是否需要升級(jí)。而且由于該機(jī)構(gòu)處于政府專(zhuān)網(wǎng)內(nèi)，與Internet物理隔離，防火墻無(wú)法實(shí)現(xiàn)在線升級(jí)。因此該機(jī)構(gòu)的防火墻軟件版本一直還是購(gòu)買(mǎi)時(shí)的舊版本，雖然管理員一直都收到防火墻廠家通過(guò)電子郵件發(fā)來(lái)的軟件升級(jí)包，但從未手工升級(jí)過(guò)。在一次全球范圍的蠕蟲(chóng)病毒迅速蔓延事件中，政府專(zhuān)網(wǎng)也受到蠕蟲(chóng)病毒的感染，該機(jī)構(gòu)防火墻因?yàn)闆](méi)有及時(shí)升級(jí)，無(wú)法抵御這種蠕蟲(chóng)病毒的攻擊，造成整個(gè)機(jī)構(gòu)的內(nèi)部網(wǎng)大面積受感染，網(wǎng)絡(luò)陷于癱瘓之中。

問(wèn)題分析:安全與入侵永遠(yuǎn)是一對(duì)矛盾。防火墻軟件作為一種安全工具，必須不斷地升級(jí)與更新才能應(yīng)付不斷發(fā)展的入侵手段，過(guò)時(shí)的防護(hù)盾牌是無(wú)法抵擋最先進(jìn)的長(zhǎng)矛的。作為安全管理員來(lái)說(shuō)，應(yīng)當(dāng)

時(shí)刻留心廠家發(fā)布的升級(jí)包，及時(shí)給防火墻打上最新的補(bǔ)丁。

解決辦法:及時(shí)維護(hù)防火墻，當(dāng)本機(jī)構(gòu)發(fā)生人員變動(dòng)、網(wǎng)絡(luò)調(diào)整和應(yīng)用變化時(shí)，要及時(shí)調(diào)整防火墻的安全規(guī)則，及時(shí)升級(jí)防火墻。

結(jié)論和忠告:保護(hù)網(wǎng)絡(luò)安全是動(dòng)態(tài)的過(guò)程，防火墻需要積極地維護(hù)和升級(jí)。

可疑的事件劃分為幾類(lèi)：一是知道事件發(fā)生的原因，而且這不是一個(gè)安全方面的問(wèn)題;二是不知道是什么原因，也許永遠(yuǎn)不知道是什么原因引起的，但是無(wú)論它是什么，它從未再出現(xiàn)過(guò);三是有人試圖侵入，但問(wèn)題并不嚴(yán)重，只是試探一下;四是有人事實(shí)上已經(jīng)侵入。

這些類(lèi)別之間的界限比較含糊。要提供以上任何問(wèn)題的詳細(xì)征兆是不可能的，但是下面這些歸納出的經(jīng)驗(yàn)可能會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)管理員有所幫助。如果發(fā)現(xiàn)以下情況，網(wǎng)絡(luò)系統(tǒng)管理員就有理由懷疑有人在探試站點(diǎn)：一是試圖訪問(wèn)在不安全的端口上提供的服務(wù)(如企圖與端口映射或者調(diào)試服務(wù)器連接);二是試圖利用普通賬戶登錄(如guest);三是請(qǐng)求FTP文件傳輸或傳輸NFS(Network File System，網(wǎng)絡(luò)文件系統(tǒng))映射;四是給站點(diǎn)的SMTP(Simple Mail Transfer Protocol，簡(jiǎn)單郵件傳輸協(xié)議)服務(wù)器發(fā)送debug命令。

如果網(wǎng)絡(luò)系統(tǒng)管理員見(jiàn)到以下任何情況，應(yīng)該更加關(guān)注。因?yàn)榍忠u可能正在進(jìn)行之中：一是多次企圖登錄但多次失敗的合法賬戶，特別是因特網(wǎng)上的通用賬戶;二是目的不明的數(shù)據(jù)包命令;三是向某個(gè)范圍內(nèi)每個(gè)端口廣播的數(shù)據(jù)包;四是不明站點(diǎn)的成功登錄。

如果網(wǎng)絡(luò)系統(tǒng)管理員了發(fā)現(xiàn)以下情況，應(yīng)該懷疑已有人成功地侵入站點(diǎn)：一是日志文件被刪除或者修改;二是程序突然忽略所期望的正常信息;三是新的日志文件包含有不能解釋的密碼信息或數(shù)據(jù)包痕跡;四是特權(quán)用戶的意外登錄(例如root用戶)，或者突然成為特權(quán)用戶的意外用戶;五是來(lái)自本機(jī)的明顯的試探或者侵襲，名字與系統(tǒng)程序相近的應(yīng)用程序;六是登錄提示信息發(fā)生了改變。

4)對(duì)試探作出的處理

通常情況下，不可避免地發(fā)覺(jué)外界對(duì)防火墻進(jìn)行明顯試探——有人向沒(méi)有向Internet提供的服務(wù)發(fā)送數(shù)據(jù)包，企圖用不存在的賬戶進(jìn)行登錄等。試探通常進(jìn)行一兩次，如果他們沒(méi)有得到令人感興趣的反應(yīng)，他們通常就會(huì)走開(kāi)。而如果想弄明白試探來(lái)自何方，這可能就要花大量時(shí)間追尋類(lèi)似的事件。然而，在大多數(shù)情況下，這樣做不會(huì)有很大成效，這種追尋試探的新奇感很快就會(huì)消失。

一些人滿足于建立防火墻機(jī)器去誘惑人們進(jìn)行一般的試探。例如，在匿名的FTP區(qū)域設(shè)置裝有用戶賬號(hào)數(shù)據(jù)的文件，即使試探者破譯了密碼，看到的也只是一個(gè)虛假信息。這對(duì)于消磨空閑時(shí)間是沒(méi)有害處的，這還能得到報(bào)復(fù)的快感，但是事實(shí)上它不會(huì)改善防火墻的安全性。它只能使入侵者惱怒，從而堅(jiān)定了入侵者闖入站點(diǎn)的決心。

保持最新?tīng)顟B(tài)

保持防火墻的最新?tīng)顟B(tài)也是維護(hù)和管理防火墻的一個(gè)重點(diǎn)。在這個(gè)侵襲與反侵襲的領(lǐng)域中，每天都產(chǎn)生新的事物、發(fā)現(xiàn)新的毛病，以新的方式進(jìn)行侵襲，同時(shí)現(xiàn)有的工具也會(huì)不斷地被更新。因此，要使防火墻能同該領(lǐng)域的發(fā)展保持同步。

當(dāng)防火墻需要修補(bǔ)、升級(jí)一些東西，或增加新功能時(shí)，就必須投入較多的時(shí)間。當(dāng)然所花的時(shí)間長(zhǎng)短視修補(bǔ)、升級(jí)、或增加新功能的復(fù)雜程度而定。如果開(kāi)始時(shí)對(duì)站點(diǎn)需求估計(jì)的越準(zhǔn)確，防火墻的設(shè)計(jì)和建造做的越好，防火墻適應(yīng)這些改變所花的時(shí)間就越少。

瑞星防火墻2012版正在進(jìn)行火熱公測(cè)，其主打的“安全上網(wǎng)”、“綠色上網(wǎng)”和“智能上網(wǎng)”包含了數(shù)十項(xiàng)專(zhuān)業(yè)防火墻功能，保護(hù)網(wǎng)購(gòu)、網(wǎng)游、微博、辦公等常見(jiàn)應(yīng)用面臨的各種上網(wǎng)安全和黑客攻擊問(wèn)題.通過(guò)測(cè)試發(fā)現(xiàn)，瑞星防火墻2012版確實(shí)帶來(lái)了很多實(shí)用且好用的功能，下面選擇幾個(gè)跟大家一起分享一下。

亮點(diǎn)1：IP切換器——家庭、公司網(wǎng)絡(luò)切換智能瞬間搞定！

筆記本用戶經(jīng)常能夠面對(duì)的一個(gè)問(wèn)題就是，在家里、公司或其它地方上網(wǎng)，每次都需要設(shè)置網(wǎng)絡(luò)ip地址、dns服務(wù)器地址等信息，非常麻煩。瑞星防火墻2012版中新增加的“IP切換器”就是幫助用戶在多個(gè)網(wǎng)絡(luò)間連接時(shí)，能夠無(wú)縫的自動(dòng)進(jìn)行網(wǎng)絡(luò)接入，省去頻繁的網(wǎng)絡(luò)配置。

本人平時(shí)工作的時(shí)候經(jīng)常遇到這樣一個(gè)麻煩——有時(shí)要使用外網(wǎng)IP，有時(shí)又要使用內(nèi)網(wǎng)的IP，然而同時(shí)設(shè)置兩個(gè)IP又會(huì)出現(xiàn)一些不方便的問(wèn)題。而“IP切 換器”正是解決這個(gè)問(wèn)題的，使用IP切換可以設(shè)置好各個(gè)場(chǎng)所的網(wǎng)絡(luò)配置。當(dāng)你到某個(gè)場(chǎng)所時(shí)，只需要鼠標(biāo)輕輕一點(diǎn)，便可以自動(dòng)切換到該場(chǎng)所的網(wǎng)絡(luò)環(huán)境了。

亮點(diǎn)2：網(wǎng)速保護(hù)——有限網(wǎng)速內(nèi)的最合理分配，看網(wǎng)頁(yè)，下載兩不誤！

網(wǎng)速是有限的，而下載、看片、玩游戲是無(wú)限的！在使用下載工具進(jìn) 行下載或者在線看視頻的時(shí)候，經(jīng)常因?yàn)閹拞?wèn)題導(dǎo)致瀏覽網(wǎng)頁(yè)時(shí)候半天沒(méi)有打開(kāi)，嚴(yán)重的時(shí)候可能會(huì)出現(xiàn)“無(wú)法顯示該頁(yè)面”。瑞星防火墻2012版的“網(wǎng)速保 護(hù)”功能就是當(dāng)出現(xiàn)這種情況時(shí)，可以根據(jù)網(wǎng)絡(luò)情況進(jìn)行必要的調(diào)整和重新分配，使瀏覽網(wǎng)頁(yè)的請(qǐng)求和響應(yīng)可以得到足夠的網(wǎng)速保障，以達(dá)到在網(wǎng)速不足時(shí)流暢瀏覽 網(wǎng)頁(yè)的目的。

亮點(diǎn)3：ADSL優(yōu)化——群租用戶的上網(wǎng)必備利器！再也不用擔(dān)心多人上網(wǎng)的問(wèn)題了！

還是那句話，網(wǎng)速是有限的，但到了晚上上網(wǎng)高峰時(shí)，多人搶占有限的帶寬，有人用bt下載、有人在線看片、有人打游戲，總會(huì)有不和諧的聲音~(yú)

瑞星防火墻2012版的新功能“ADSL優(yōu)化”功能：當(dāng)用戶使用ADSL共享多臺(tái)電腦上網(wǎng)的時(shí)候，此功能可以根據(jù)網(wǎng)絡(luò)情況來(lái)合理分配網(wǎng)絡(luò)帶寬，避免某臺(tái) 電腦因?yàn)橄螺d而導(dǎo)致其他電腦無(wú)法正常上網(wǎng)的問(wèn)題。在“我的帶寬”那里輸入當(dāng)前帶寬，單擊“已開(kāi)啟”按鈕即可啟動(dòng)此功能。

QoS（Quality of Service）服務(wù)質(zhì)量，是網(wǎng)絡(luò)的一種安全機(jī)制，是用來(lái)解決網(wǎng)絡(luò)延遲和阻塞等問(wèn)題的一種技術(shù)。在正常情況下，如果網(wǎng)絡(luò)只用于特定的無(wú)時(shí)間限制的應(yīng)用系統(tǒng)，并不需要QoS，比如Web應(yīng)用，或E-mail設(shè)置等。但是對(duì)關(guān)鍵應(yīng)用和多媒體應(yīng)用就十分必要。當(dāng)網(wǎng)絡(luò)過(guò)載或擁塞時(shí)，QoS 能確保重要業(yè)務(wù)量不受延遲或丟棄，同時(shí)保證網(wǎng)絡(luò)的高效運(yùn)行。

VoIP（Voice over Internet Protocol）簡(jiǎn)而言之就是將模擬聲音訊號(hào)（Voice）數(shù)字化，以數(shù)據(jù)封包（Data Packet）的形式在 IP 數(shù)據(jù)網(wǎng)絡(luò)(IP Network）上做實(shí)時(shí)傳遞。VoIP最大的優(yōu)勢(shì)是能廣泛地采用Internet和全球IP互連的環(huán)境，提供比傳統(tǒng)業(yè)務(wù)更多、更好的服務(wù)。VoIP可以在IP網(wǎng)絡(luò)上便宜的傳送語(yǔ)音、傳真、視頻、和數(shù)據(jù)等業(yè)務(wù)，如統(tǒng)一消息、虛擬電話、虛擬語(yǔ)音/傳真郵箱、查號(hào)業(yè)務(wù)、Internet呼叫中心、Internet呼叫管理、電視會(huì)議、電子商務(wù)、傳真存儲(chǔ)轉(zhuǎn)發(fā)和各種信息的存儲(chǔ)轉(zhuǎn)發(fā)等。

在選擇使用協(xié)議的時(shí)候，選擇UDP必須要謹(jǐn)慎。在網(wǎng)絡(luò)質(zhì)量令人不十分滿意的環(huán)境下，UDP協(xié)議數(shù)據(jù)包丟失會(huì)比較嚴(yán)重。但是由于UDP的特性：它不屬于連接型協(xié)議，因而具有資源消耗小，處理速度快的優(yōu)點(diǎn)，所以通常音頻、視頻和普通數(shù)據(jù)在傳送時(shí)使用UDP較多，因?yàn)樗鼈兗词古紶杹G失一兩個(gè)數(shù)據(jù)包，也不會(huì)對(duì)接收結(jié)果產(chǎn)生太大影響。比如我們聊天用的ICQ和QQ就是使用的UDP協(xié)議。

第四篇：防火墻 實(shí)驗(yàn)報(bào)告

一、實(shí)驗(yàn)?zāi)康?/p>

? 通過(guò)實(shí)驗(yàn)深入理解防火墻的功能和工作原理 ? 熟悉天網(wǎng)防火墻個(gè)人版的配置和使用

二、實(shí)驗(yàn)原理

? 防火墻的工作原理

? 防火墻能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。防火墻系統(tǒng)決定了哪些內(nèi)部服務(wù)可以被外界訪問(wèn)；外界的哪些人可以訪問(wèn)內(nèi)部的服務(wù)以及哪些外部服務(wù)可以被內(nèi)部人員訪問(wèn)。防火墻必須只允許授權(quán)的數(shù)據(jù)通過(guò)，而且防火墻本身也必須能夠免于滲透。

? 兩種防火墻技術(shù)的對(duì)比

? 包過(guò)濾防火墻：將防火墻放置于內(nèi)外網(wǎng)絡(luò)的邊界；價(jià)格較低，性能開(kāi)銷(xiāo)小，處理速度較快；定義復(fù)雜，容易出現(xiàn)因配置不當(dāng)帶來(lái)問(wèn)題，允許數(shù)據(jù)包直接通過(guò)，容易造成數(shù)據(jù)驅(qū)動(dòng)式攻擊的潛在危險(xiǎn)。

? 應(yīng)用級(jí)網(wǎng)關(guān)：內(nèi)置了專(zhuān)門(mén)為了提高安全性而編制的Proxy應(yīng)用程序，能夠透徹地理解相關(guān)服務(wù)的命令，對(duì)來(lái)往的數(shù)據(jù)包進(jìn)行安全化處理，速度較慢，不太適用于高速網(wǎng)（ATM或千兆位以太網(wǎng)等）之間的應(yīng)用。

? 防火墻體系結(jié)構(gòu)

? 屏蔽主機(jī)防火墻體系結(jié)構(gòu)：在該結(jié)構(gòu)中，分組過(guò)濾路由器或防火墻與 Internet 相連，同時(shí)一個(gè)堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過(guò)在分組過(guò)濾路由器或防火墻上過(guò)濾規(guī)則的設(shè)置，使堡壘機(jī)成為 Internet 上其它節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn)，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。

? 雙重宿主主機(jī)體系結(jié)構(gòu)：圍繞雙重宿主主機(jī)構(gòu)筑。雙重宿主主機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口。這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器；它能夠從一個(gè)網(wǎng)絡(luò)到另外一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。但是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信，它們之間的通信必須經(jīng)過(guò)雙重宿主主機(jī)的過(guò)濾和控制。

? 被屏蔽子網(wǎng)體系結(jié)構(gòu)：添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)，即通過(guò)添加周邊網(wǎng)絡(luò)更進(jìn)一步的把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（通常是Internet）隔離開(kāi)。被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡(jiǎn)單的形式為，兩個(gè)屏蔽路由器，每一個(gè)都連接到周邊網(wǎng)。一個(gè)位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間，另一個(gè)位于周邊網(wǎng)與外部網(wǎng)絡(luò)（通常為Internet）之間。

四、實(shí)驗(yàn)內(nèi)容和步驟

（1）簡(jiǎn)述天網(wǎng)防火墻的工作原理 天網(wǎng)防火墻的工作原理：

在于監(jiān)視并過(guò)濾網(wǎng)絡(luò)上流入流出的IP包，拒絕發(fā)送可疑的包。基于協(xié)議特定的標(biāo)準(zhǔn)，路由器在其端口能夠區(qū)分包和限制包的能力叫包過(guò)濾。由于Internet 與Intranet 的連接多數(shù)都要使用路由器，所以Router成為內(nèi)外通信的必經(jīng)端口，Router的廠商在Router上加入IP 過(guò)濾功能，過(guò)濾路由器也可以稱作包過(guò)濾路由器或篩選路由器。防火墻常常就是這樣一個(gè)具備包過(guò)濾功能的簡(jiǎn)單路由器，這種Firewall應(yīng)該是足夠安全的，但前提是配置合理。然而一個(gè)包過(guò)濾規(guī)則是否完全嚴(yán)密及必要是很難判定的，因而在安全要求較高的場(chǎng)合，通常還配合使用其它的技術(shù)來(lái)加強(qiáng)安全性。

路由器逐一審查數(shù)據(jù)包以判定它是否與其它包過(guò)濾規(guī)則相匹配。每個(gè)包有兩個(gè)部分：數(shù)據(jù)部分和包頭。過(guò)濾規(guī)則以用于IP順行處理的包頭信息為基礎(chǔ)，不理會(huì)包內(nèi)的正文信息內(nèi)容。包頭信息包括：IP 源地址、IP目的地址、封裝協(xié)議(TCP、UDP、或IP Tunnel)、TCP/UDP源端口、ICMP包類(lèi)型、包輸入接口和包輸出接口。如果找到一個(gè)匹配，且規(guī)則允許這包，這一包則根據(jù)路由表中的信息前行。如果找到一個(gè)匹配，且規(guī)則拒絕此包，這一包則被舍棄。如果無(wú)匹配規(guī)則，一個(gè)用戶配置的缺省參數(shù)將決定此包是前行還是被舍棄。

（2）實(shí)驗(yàn)過(guò)程 步驟：

（1）運(yùn)行天網(wǎng)防火墻設(shè)置向?qū)?，根?jù)向?qū)нM(jìn)行基本設(shè)置。

（2）啟動(dòng)天網(wǎng)防火墻，運(yùn)用它攔截一些程序的網(wǎng)絡(luò)連接請(qǐng)求，如啟動(dòng)Microsoft Baseline Security Analyzer，則天網(wǎng)防火墻會(huì)彈出報(bào)警窗口。此時(shí)選中“該程序以后都按照這次的操作運(yùn)行”，允許MBSA對(duì)網(wǎng)絡(luò)的訪問(wèn)。

（3）打開(kāi)應(yīng)用程序規(guī)則窗口，可設(shè)置MBSA的安全規(guī)則，如使其只可以通過(guò)TCP協(xié)議發(fā)送信息，并制定協(xié)議只可使用端口21和8080等。了解應(yīng)用程序規(guī)則設(shè)置方法。

（4）使用IP規(guī)則配置，可對(duì)主機(jī)中每一個(gè)發(fā)送和傳輸?shù)臄?shù)據(jù)包進(jìn)行控制；ping局域網(wǎng)內(nèi)機(jī)器，觀察能否收到reply；修改IP規(guī)則配置，將“允許自己用ping命令探測(cè)其他機(jī)器”改為禁止并保存，再次ping局域網(wǎng)內(nèi)同一臺(tái)機(jī)器，觀察能否收到reply。改變不同IP規(guī)則引起的結(jié)果：

規(guī)則是一系列的比較條件和一個(gè)對(duì)數(shù)據(jù)包的動(dòng)作，即根據(jù)數(shù)據(jù)包的每一個(gè)部分來(lái)與設(shè)置的條件比較，當(dāng)符合條件時(shí)，就可以確定對(duì)該包放行或者阻擋。通過(guò)合理設(shè)置規(guī)則就可以把有害的數(shù)據(jù)包擋在機(jī)器之外。

（5）將“允許自己用ping命令探測(cè)其他機(jī)器”改回為允許，但將此規(guī)則下移到“防御ICMP攻擊”規(guī)則之后，再次ping 局域網(wǎng)內(nèi)的同一臺(tái)機(jī)器，觀察能否收到reply。

（6）添加一條禁止鄰居同學(xué)主機(jī)連接本地計(jì)算機(jī)FTP服務(wù)器的安全規(guī)則；鄰居同學(xué)發(fā)起FTP請(qǐng)求連接，觀察結(jié)果。

（7）觀察應(yīng)用程序使用網(wǎng)絡(luò)的狀態(tài)，有無(wú)特殊進(jìn)程在訪問(wèn)網(wǎng)絡(luò)，若有，可用“結(jié)束進(jìn)程”按鈕來(lái)禁止它們。

（8）察看防火墻日志，了解記錄的格式和含義。日志的格式和含義：

天網(wǎng)防火墻將會(huì)把所有不符合規(guī)則的數(shù)據(jù)包攔截并且記錄下來(lái)，如圖 15 所示。每條記 錄從左到右分別是發(fā)送／接受時(shí)間、發(fā)送 IP 地址、數(shù)據(jù)傳輸封包類(lèi)型、本機(jī)通信端口、標(biāo) 志位和防火墻的操作。

五、實(shí)驗(yàn)總結(jié)

通過(guò)該實(shí)驗(yàn)了解了個(gè)人防火墻的工作原理和規(guī)則設(shè)置方法，了解到天火防火墻的優(yōu)點(diǎn)及缺點(diǎn)：

1、靈活的安全級(jí)別設(shè)置

2、實(shí)用的應(yīng)用程序規(guī)則設(shè)置

3、詳細(xì)的訪問(wèn)記錄

4、嚴(yán)密的應(yīng)用程序網(wǎng)絡(luò)狀態(tài)監(jiān)控功能

5、多樣的缺省IP規(guī)則

6、可以自定義IP規(guī)則

7、具有修補(bǔ)系統(tǒng)漏洞功能。

第五篇：防火墻總結(jié)

大石頭中心校

構(gòu)筑校園消防安全“防火墻”工作總結(jié)

學(xué)校消防安全工作是學(xué)校綜合治理的重要內(nèi)容,關(guān)系到學(xué)校財(cái)產(chǎn)安全和教師員工的生命安全。對(duì)于這項(xiàng)工作,我們從來(lái)不敢有絲毫懈怠與麻痹大意。為了深入貫徹實(shí)施《中華人民共和國(guó)消防法》，切實(shí)加強(qiáng)火災(zāi)防控工作，創(chuàng)新校園消防安全管理模式，提升學(xué)校消防安全管理水平，提高我校師生消防安全意識(shí)和自救自護(hù)能力，保證全校師生的人身、財(cái)產(chǎn)安全，根據(jù)市政府統(tǒng)一部署和《敦化市構(gòu)筑社會(huì)消防安全“防火墻”工程實(shí)施方案》，根據(jù)市教育局的要求，我校全面深入制定計(jì)劃，在實(shí)際工作中能堅(jiān)持做到不斷總結(jié)經(jīng)驗(yàn)教訓(xùn),不斷改進(jìn)和完善工作方法,提高安全防范能力,將事故隱患減少到最低指數(shù),最大可能的提供安全保障,確保學(xué)校發(fā)展不受影響。以下是構(gòu)筑校園消防安全“防火墻”三年工作總結(jié)：

一、宣傳發(fā)動(dòng)，統(tǒng)一思想，營(yíng)造創(chuàng)建學(xué)校消防安全工作氛圍

學(xué)校在學(xué)生安全方面所采取的一系列措施，充分利用學(xué)校的校園網(wǎng)、宣傳櫥窗、黑板報(bào)、學(xué)校廣播等宣傳陣地進(jìn)行大力宣傳。對(duì)師生進(jìn)行交通安全、防電、防火、預(yù)防食物中毒、預(yù)防手足口病等教育，學(xué)校建立了義務(wù)消防隊(duì)，對(duì)有關(guān)人員定期培訓(xùn)，熟悉消防防備，掌握火警處置及啟動(dòng)消防設(shè)施設(shè)備的程序和方法。我校加大“防火墻”工程主題的宣傳，普及消防知識(shí)，組織學(xué)生進(jìn)行了消防安全演練，教給學(xué)會(huì)正確使用滅火器以及掌握逃生的方法，使每一位學(xué)生普遍掌握火警電話，知道如何報(bào)警等基本常識(shí)。另外學(xué)校加強(qiáng)了值班管理制度，1

值班領(lǐng)導(dǎo)和教師要提前到崗，嚴(yán)禁校外人員進(jìn)入學(xué)校，從而保證學(xué)生的安全。

通過(guò)學(xué)習(xí)宣傳，大家統(tǒng)一了思想，提高了認(rèn)識(shí)。因此，把安全防范和教學(xué)質(zhì)量作為學(xué)校一切工作中最主要的兩件事來(lái)抓，做到“兩手都硬”。同時(shí)重視并抓好學(xué)校消防安全工作。近幾年，教學(xué)資源和教學(xué)設(shè)施還不能完全跟上變化的形勢(shì)，還不能滿足教學(xué)的需要。因此，校園不安全因素較以前增多，校園發(fā)生安全事故的可能性比以前大大增加。這就給學(xué)校的消防安全工作提出了更高的要求，決不能掉以輕心，麻痹大意。再者，創(chuàng)建平安學(xué)校是實(shí)踐“三個(gè)代表”重要思想的具體體現(xiàn)，這對(duì)于堅(jiān)持社會(huì)主義辦學(xué)方向，全面貫徹黨的教育方針，構(gòu)建社會(huì)主義和諧社會(huì)，培養(yǎng)合格的社會(huì)主義事業(yè)建設(shè)者和接班人同樣具有重要意義。

在教育活動(dòng)中，每學(xué)期學(xué)校做到了“六個(gè)一”即：一份計(jì)劃、一次國(guó)旗下講話、一次安全知識(shí)講座、一堂主題班會(huì)、一次圖片展覽、一期黑板報(bào)。同時(shí)，對(duì)創(chuàng)建中的典型事例和經(jīng)驗(yàn)做法及時(shí)利用校廣播加以宣傳報(bào)道，積極營(yíng)造創(chuàng)建學(xué)校消防安全工作的良好氛圍。

二、健全組織，落實(shí)責(zé)任，探索創(chuàng)建學(xué)校消防安全工作新機(jī)制

學(xué)校領(lǐng)導(dǎo)高度重視學(xué)校消防安全工作，成立了由張校長(zhǎng)總負(fù)責(zé)的消防安全工作領(lǐng)導(dǎo)小組。

組 長(zhǎng)：張 波（校長(zhǎng)）負(fù)責(zé)學(xué)校的全面安全防火工作

副組長(zhǎng)：趙永成（德育副校長(zhǎng)）協(xié)助校長(zhǎng)做好學(xué)校安全防火工作、各領(lǐng)導(dǎo)辦公室安全防火工作

胡學(xué)文（教學(xué)副校長(zhǎng)）協(xié)助校長(zhǎng)做好學(xué)校安全防火工作、各教師辦公室安全防火工作

劉書(shū)昌（工會(huì)主席）具體負(fù)責(zé)學(xué)校安全防火工作

組 員：陳 贊（支部副書(shū)記）負(fù)責(zé)宿舍、衛(wèi)生室、圖書(shū)室、檔案室、會(huì)議室安全防火工作

高永清(教導(dǎo)主任)負(fù)責(zé)實(shí)驗(yàn)室、微機(jī)室、多功能室安全防火工作

宋立剛（少先隊(duì)輔導(dǎo)員）負(fù)責(zé)各班級(jí)安全防火工作 李志強(qiáng)（總務(wù)主任）負(fù)責(zé)食堂、商店、庫(kù)房、村小學(xué)安全防火工作

朱 哲（保衛(wèi)干事）負(fù)責(zé)警務(wù)室、值班室安全防火工作 武吉富（保衛(wèi)科長(zhǎng)）負(fù)責(zé)學(xué)校安全防火檢

貫徹實(shí)施《消防法》和《吉林省消防條例》，認(rèn)真落實(shí)“政府統(tǒng)一領(lǐng)導(dǎo)、部門(mén)依法監(jiān)管、單位全面負(fù)責(zé)、公民積極參與”的消防工作原則，學(xué)校把消防安全工作具體任務(wù)落實(shí)到班級(jí)負(fù)責(zé)人，按照“誰(shuí)主管，誰(shuí)負(fù)責(zé)”的原則，各層次負(fù)責(zé)人分別和下屬各部門(mén)責(zé)任人簽訂消防安全責(zé)任書(shū)。這樣明確分工，責(zé)任到人，使全校創(chuàng)建最安全學(xué)校工作“事事有人做，人人有事做”，形成了“上下聯(lián)動(dòng)，齊抓共管” 的管理格局。學(xué)校消防安全工作領(lǐng)導(dǎo)小組具體統(tǒng)籌、組織、協(xié)調(diào)學(xué)校消防安全工作的日常督查、記載等工作。做到工作有計(jì)劃、有布置、有檢查。把此項(xiàng)工作落到實(shí)處，推進(jìn)學(xué)校消防安全管理創(chuàng)新，前移火災(zāi)預(yù)防關(guān)口，提升學(xué)?；馂?zāi)防控水平

三、完善制度，獎(jiǎng)懲結(jié)合，落實(shí)創(chuàng)建各項(xiàng)措施

1、落實(shí)消防安全責(zé)任制：制定各崗位消防安全職責(zé)，學(xué)校逐級(jí)與消防安全責(zé)任人之間簽訂消防安全責(zé)任書(shū)。

2、建立、完善和落實(shí)消防安全規(guī)章制度：學(xué)校建立了《消防安 3

全宣傳教育制度》《防火巡查、檢查制度》《安全疏散設(shè)施管理制度》《消防器材、設(shè)施維護(hù)保養(yǎng)制度》、《滅火和應(yīng)急疏散預(yù)案演練制度》。按照“安全第一，預(yù)防為主”的原則，要求各責(zé)任部門(mén)、責(zé)任人對(duì)安全工作做到“每天必查，有查必記，有患必除”，保證安全工作一項(xiàng)不漏，一個(gè)盲點(diǎn)不留，一個(gè)隱患不存。

3、堅(jiān)持落實(shí)學(xué)校消防安全工作的考核機(jī)制。

4、完善消防基礎(chǔ)設(shè)施：按國(guó)家規(guī)范配置滅火器，電器產(chǎn)品的安裝、使用和線路敷設(shè)符合國(guó)家規(guī)范，無(wú)私拉亂接電氣線路，學(xué)生宿舍內(nèi)無(wú)違章用電的行為，疏散通道暢通，學(xué)生宿舍外窗無(wú)影響安全疏散和應(yīng)急救援的柵欄，圖書(shū)室、學(xué)校宿舍置火災(zāi)應(yīng)急照明。

5、加強(qiáng)防火巡查、檢查，及時(shí)消防火災(zāi)隱患：學(xué)校每月組織開(kāi)展一次防火檢查。防火巡查對(duì)查出的火災(zāi)隱患要及時(shí)整改。

6、制定應(yīng)急疏散預(yù)案，適時(shí)組織開(kāi)展演練：學(xué)校每年組織開(kāi)展1-2次應(yīng)急疏散預(yù)案演練。

四、以人為本，“三防”齊抓，構(gòu)建創(chuàng)建工作網(wǎng)絡(luò)、加強(qiáng)消防消安全宣傳教育工作，強(qiáng)化“四個(gè)能力”建設(shè)。

1、將消防安全教育納入學(xué)校的日常教學(xué)內(nèi)容，每個(gè)學(xué)期每個(gè)班級(jí)都安排2節(jié)消防安全知識(shí)課。

2、每個(gè)學(xué)期組織學(xué)生接受一次消防安全教育。

3、在校園內(nèi)或?qū)W生宿舍都有永久性消防安全宣傳標(biāo)語(yǔ)，在校園內(nèi)開(kāi)辟1個(gè)消防安全教育宣傳欄。

4、學(xué)校組織開(kāi)展了“消防安全宣傳教育月”活動(dòng)。向?qū)W生傳授日常防火、火場(chǎng)逃生自救等消防常識(shí)。

五、輸導(dǎo)結(jié)合，形式多樣，重視法制宣教工作

采取多種形式，開(kāi)展安全教育。學(xué)校利用升旗、班會(huì)、健康教育課對(duì)學(xué)生進(jìn)行安全意識(shí)教育和自救自護(hù)的常識(shí)教育。組織師生開(kāi)展消防疏散演練活動(dòng)，教會(huì)學(xué)生火災(zāi)逃生自救的方法。

學(xué)校消防安全工作是學(xué)校工作的重要組成部分。做好這項(xiàng)工作是維護(hù)穩(wěn)定大局的需要，是學(xué)校生存、發(fā)展的需要。我校消防安全工作，取得了一些成績(jī)，但與上級(jí)領(lǐng)導(dǎo)的要求相比，與日益變化的客觀形勢(shì)要求相比還存在一定的差距。三年“防火墻”工程雖已結(jié)束，但我們絕不會(huì)松懈、放松警惕，我們?nèi)詫⒁蝗缂韧?，加大工作力度，促使我校消防安全學(xué)校工作再上新的臺(tái)階。

2012年10月28日