第一篇：防火墻技術(shù)在局域網(wǎng)的應(yīng)用

防火墻技術(shù)在局域網(wǎng)中的應(yīng)用研究

孫曙光 班級(jí)：計(jì)科0904 學(xué)號(hào)：090202078

摘 要: 在局域網(wǎng)的安全防護(hù)系統(tǒng)中，防火墻技術(shù)是一項(xiàng)重要的防護(hù)措施 文章在簡(jiǎn)要論述防火墻技術(shù)應(yīng)用在局域網(wǎng)的類型優(yōu)點(diǎn)等基礎(chǔ)上，對(duì)防火墻在局域網(wǎng)的局限性進(jìn)行了說(shuō)明，并對(duì)其發(fā)展趨勢(shì)作了簡(jiǎn)單展望。關(guān)鍵詞: 網(wǎng)絡(luò)安全;防火墻;局域網(wǎng)

當(dāng)今世界信息化建設(shè)飛速發(fā)展，尤其以通信、計(jì)算機(jī)、網(wǎng)絡(luò)為代表的互聯(lián)網(wǎng)技術(shù)更是日新月異，令人眼花燎亂，目不睱接。由于互聯(lián)網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)在政治、經(jīng)濟(jì)和生活的各個(gè)領(lǐng)域正在迅速普及。眾多的企業(yè)、組織、政府部門與機(jī)構(gòu)都在組建和發(fā)展自己的網(wǎng)絡(luò)，并連接到Internet上，利用網(wǎng)絡(luò)的信息和資源充分共享。網(wǎng)絡(luò)已經(jīng)成為社會(huì)和經(jīng)濟(jì)發(fā)展的強(qiáng)大動(dòng)力，其地位越來(lái)越重要。但每一新興事物都有他的兩面性，自沖擊波病毒開始，病毒在互聯(lián)網(wǎng)瘋狂傳播所造成的強(qiáng)大殺傷力開始讓用戶心驚膽戰(zhàn)，之后計(jì)算機(jī)病毒更是控制住大量的“僵尸”電腦對(duì)特定網(wǎng)站或者服務(wù)器發(fā)動(dòng)洪水攻擊，用戶對(duì)此十分憂慮，尤其是局域網(wǎng)用戶對(duì)此更是苦惱不已。防火墻作為一種安全措施，便顯得尤為重要。

1防火墻的概念及功能

防火墻，顧名思義，是一種隔離設(shè)備。防火墻是一種高級(jí)訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域之間通信流的唯一通道，能根據(jù)用戶有關(guān)的安全策略控制進(jìn)出網(wǎng)絡(luò)的訪問行為。從專業(yè)角度講，防火墻是位于兩個(gè)或多個(gè)網(wǎng)絡(luò)間，實(shí)施網(wǎng)絡(luò)訪問控制的組件集合。從用戶角度講，防火墻就是被放置在用戶計(jì)算機(jī)與外網(wǎng)之間的防御體系，網(wǎng)絡(luò)發(fā)往用戶計(jì)算機(jī)的所有數(shù)據(jù)都要經(jīng)過其判斷處理，才決定能否將數(shù)據(jù)交給計(jì)算機(jī)，一旦發(fā)現(xiàn)數(shù)據(jù)異常或有害，防火墻就會(huì)將數(shù)據(jù)攔截，從而實(shí)現(xiàn)對(duì)計(jì)算機(jī)的保護(hù)。

2防火墻應(yīng)用在局域網(wǎng)中的種類

2．1系統(tǒng)防火墻

現(xiàn)在很多的防火墻都有禁止ICMP的設(shè)置，而WindowsXPSP2自帶的防火墻也包括該功能。啟用這項(xiàng)功能的設(shè)置非常簡(jiǎn)單：執(zhí)行“控制面板”→“Windows防火墻”，點(diǎn)擊“高級(jí)”選項(xiàng)卡，選擇系統(tǒng)中已經(jīng)建立的Internet連接方式（寬帶連接），點(diǎn)擊旁邊的“設(shè)置”按鈕打開“高級(jí)設(shè)置”窗口，點(diǎn)擊“IC-MP”選項(xiàng)卡，確認(rèn)沒有勾選“允許傳入的回顯請(qǐng)求”，最后點(diǎn)擊“確定”即可。

2．2第三方防火墻

在企業(yè)局域網(wǎng)中部署第三方的防火墻，這些防火墻都自帶了一些默認(rèn)的“規(guī)則”，可以非常方便地應(yīng)用或者取消應(yīng)用這些規(guī)則。當(dāng)然也可以根據(jù)具體需要?jiǎng)?chuàng)建相應(yīng)的防火墻規(guī)則，這樣可以比較有效地阻止攻擊者的惡意掃描。比如以天網(wǎng)防火墻為例：首先運(yùn)行天網(wǎng)防火墻，點(diǎn)擊操作界面中的“IP規(guī)則管理”按鈕，彈出“自定義IP規(guī)則”窗口，去掉“允許局域網(wǎng)的機(jī)器用ping命令探測(cè)”選項(xiàng)，最后點(diǎn)擊“保存規(guī)則”按鈕進(jìn)行保存即可。例如創(chuàng)建一條防止In-eternet中的主機(jī)ping的規(guī)則，可以點(diǎn)擊“增加規(guī)則”按鈕，輸入相關(guān)參數(shù)就創(chuàng)建成功，然后勾選并保存該規(guī)則就可以防止網(wǎng)絡(luò)中的主機(jī)惡意掃描局域網(wǎng)了。

2．3代理型防火墻

它可分為：①第一代應(yīng)用網(wǎng)關(guān)（ApplicationGateway）型防火墻。這類防火墻是通過一種代理（Proxy）技術(shù)參與到一個(gè)TCP連接的全過程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。這種類型的防火墻被網(wǎng)絡(luò)安全專家和媒體公認(rèn)為是最安全的防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)。②第二代自適應(yīng)代理（A-daptiveproxy）型防火墻。它是近幾年才得到廣泛應(yīng)用的一種新防火墻類型。它可以結(jié)合代理類型防火墻的安全性和包過濾防火墻的高速度等優(yōu)點(diǎn)，在毫不損失安全性的基礎(chǔ)之上將代理型防火墻的性能提高10倍以上。組成這種類型防火墻的基本要素有兩個(gè)：自適應(yīng)代理服務(wù)器（AdaptiveProxyServer）與動(dòng)態(tài)包過濾器（DynamicPacketfilter）。

3防火墻應(yīng)用在局域網(wǎng)的局限性

隨著防火墻技術(shù)的發(fā)展，其在信息安全體系中的地位越來(lái)越不可替代，網(wǎng)絡(luò)安全的嚴(yán)峻形勢(shì)也對(duì)防火墻技術(shù)的發(fā)展提出了更高、更新的要求。在越來(lái)越依賴防火墻技術(shù)的情況下，我們也應(yīng)該清醒地認(rèn)識(shí)到：防火墻并不是“包治百病”的，它對(duì)于在局域網(wǎng)中一些特殊的攻擊有時(shí)也無(wú)能為力。所以，我們也應(yīng)該了解其技術(shù)方面的一些局限性，畢竟沒有任何一種技術(shù)能絕對(duì)保證安全。1）不能防范惡意的知情者。防火墻可以禁止系統(tǒng)用戶經(jīng)過網(wǎng)絡(luò)連接發(fā)送專有的信息，但用戶可以將數(shù)據(jù)復(fù)制到磁盤、磁帶上，放在公文包中帶出去。假如入侵者已經(jīng)在防火墻內(nèi)部，防火墻是無(wú)能為力的。內(nèi)部用戶可以偷竊數(shù)據(jù)，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻。對(duì)于來(lái)自知情者的威脅，只能要求加強(qiáng)內(nèi)部治理。2）不能防范不通過它的連接。

防火墻能夠有效地防止通過它傳輸?shù)男畔?，然而它卻不能防止不通過它而傳輸?shù)男畔ⅰ＠?，假如站點(diǎn)答應(yīng)對(duì)防火墻后面的內(nèi)部系統(tǒng)進(jìn)行撥號(hào)訪問，那么防火墻絕對(duì)沒有辦法阻止入侵者進(jìn)行撥號(hào)入侵。3）不能防御全部的威脅。

防火墻被用來(lái)防御已知的威脅，假如是一個(gè)很好的防火墻設(shè)計(jì)方案，就可以防御新的威脅，但沒有一臺(tái)防火墻能自動(dòng)防御所有新的威脅。

4防火墻應(yīng)用在局域網(wǎng)中的發(fā)展趨勢(shì)

盡管在局域網(wǎng)中，防火墻技術(shù)有它的局限性，但防火墻在網(wǎng)絡(luò)安全中所扮演的重要角色是不可撼動(dòng)的。隨著新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也有一些新的發(fā)展趨勢(shì)。這主要可以從過濾技術(shù)，集防火墻、VPN為一體，產(chǎn)品的多樣化及分布式防火墻四方面來(lái)體現(xiàn)。

通過數(shù)據(jù)包檢測(cè)（對(duì)于IP包的源地址和目的地址或源端口或目的端口的過濾）保護(hù)內(nèi)部網(wǎng)絡(luò)不被破壞，并且保護(hù)網(wǎng)絡(luò)服務(wù)和重要的私人數(shù)據(jù)。使防火墻具有病毒防護(hù)功能?，F(xiàn)在通常被稱之為“病毒防火墻”，當(dāng)然目前主要還是在個(gè)人防火墻中體現(xiàn)，因?yàn)樗羌冘浖问?，更容易?shí)現(xiàn)。這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護(hù)功能的防火墻可以大大減少局域網(wǎng)的損失。

4．2集防火墻、VPN為一體

它集成了防火墻和VPN等安全功能，由于VPN集中器可以防置在網(wǎng)絡(luò)不同的位置中。如可以跟防火墻并行防置，也可以防在防火墻的外圍，還可以放在內(nèi)部等等。

位置一：把VPN集中器放置在防火墻外面，可以提供額外的安全保障。因?yàn)橥ㄟ^VPN集中器連接企業(yè)的內(nèi)外網(wǎng)，可以在集中器的接入口使用相關(guān)的訪問規(guī)則來(lái)提高企業(yè)網(wǎng)絡(luò)的安全性。也就是說(shuō)，VPN集中器可以實(shí)現(xiàn)部分防火墻功能。當(dāng)遠(yuǎn)程用戶通過互聯(lián)網(wǎng)接入到VPN集中器時(shí)，這是一種非常行之有效的解決方案。因?yàn)槿羧绱伺渲玫脑挘镜卣军c(diǎn)并不需要外部因特網(wǎng)接入。如果采用這種配置方式的話，網(wǎng)絡(luò)管理員需要注意兩點(diǎn)：一是對(duì)于網(wǎng)絡(luò)安全不是特別苛刻的企業(yè)，有時(shí)候甚至可以利用VPN集中器來(lái)代替防火墻；二是需要注意流量的問題。

位置二：把VPN集中器放置在防火墻的內(nèi)部。網(wǎng)絡(luò)管理員也可以把防火墻放置在防火墻的內(nèi)部，即防火墻與企業(yè)邊界路由器之間。當(dāng)把集中器部署在防火墻內(nèi)部的話，那么防火墻將是直接接觸企業(yè)外網(wǎng)設(shè)備。也就是說(shuō)，防火墻是保障企業(yè)內(nèi)網(wǎng)安全的第一道防線。不過話說(shuō)回來(lái)，雖然防火墻已經(jīng)起到了保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)的目的，但是，VPN集中器仍然需要進(jìn)行一些接入規(guī)則的配置，來(lái)提高VPN網(wǎng)絡(luò)的安全性。如要在接入規(guī)則上，對(duì)接入用戶的訪問權(quán)限進(jìn)行控制。普通用戶不能夠修改VPN集中器的配置等等。也就是說(shuō)，關(guān)于VPN接入的相關(guān)安全控制，仍然需要VPN集中器來(lái)實(shí)現(xiàn)。這有利于VPN接入的管理，有利于提高VPN的安全性，為企業(yè)提供一個(gè)比較安全的遠(yuǎn)程網(wǎng)絡(luò)訪問環(huán)境。

位置三：VPN集中器與防火墻并行。上面兩種方案中，我們看到都有一些難以克服的缺點(diǎn)。如以上兩種方法VPN集中器都處在企業(yè)內(nèi)外網(wǎng)數(shù)據(jù)傳輸?shù)奈ㄒ痪€路上，這會(huì)額外增加VPN集中器的數(shù)據(jù)處理負(fù)擔(dān)。另外，第二種方案需要更改防火墻配置，如需要允許所有源地址的IKE數(shù)據(jù)流量，是以犧牲防火墻的安全保護(hù)功能為代價(jià)的。所以，以上兩種處理方式筆者認(rèn)為不是最優(yōu)的處理方式。當(dāng)然，企業(yè)如果不部署防火墻的話，可以采用第一種方式來(lái)提高內(nèi)網(wǎng)的安全性，只是需要犧牲VPN集中器的硬件資源。如果企業(yè)有了防火墻，又需要部署VPN應(yīng)用的話，那么筆者建議各位網(wǎng)絡(luò)管理員采用第三種部署方式，即讓VPN集中器與防火墻并行。

4．3產(chǎn)品的多樣化

隨著信息網(wǎng)絡(luò)的不斷演進(jìn)升級(jí)，網(wǎng)絡(luò)和系統(tǒng)安全正在面臨攻擊多樣化，風(fēng)險(xiǎn)分布化的趨勢(shì)。原來(lái)單純的網(wǎng)絡(luò)安全概念也正逐漸向網(wǎng)絡(luò)信息安全保障演化。信息安全保障更強(qiáng)調(diào)全面性、普及性、健壯性、及時(shí)性?？梢詰?yīng)用ASIC硬件加速技術(shù)、FPGA和網(wǎng)絡(luò)處理器等方法。其中以采用網(wǎng)絡(luò)處理器最好，因?yàn)榫W(wǎng)絡(luò)處理器采用微碼編程，可以根據(jù)需要隨時(shí)升級(jí)，甚至可以支持IPv6；并且網(wǎng)絡(luò)處理器中集成了很多硬件處理單元，通過算法也比較容易實(shí)現(xiàn)高速。

4．4分布式防火墻將得到進(jìn)一步發(fā)展

傳統(tǒng)的防火墻分為包過濾型和代理型，他們都有各自的缺點(diǎn)與局限性。隨著計(jì)算機(jī)安全技術(shù)的發(fā)展和用戶對(duì)防火墻功能要求的提高，目前出現(xiàn)一種新型防火墻，那就是“分布式防火墻”，英文名為“DistributedFirewalls”。它是在目前傳統(tǒng)的邊界式防火墻基礎(chǔ)上開發(fā)的。但目前主要是以軟件形式出現(xiàn)的，也有一些國(guó)際著名網(wǎng)絡(luò)設(shè)備開發(fā)商開發(fā)生產(chǎn)了集成分布式防火墻技術(shù)的硬件分布式防火墻，做成嵌入式防火墻PCI卡或PCMCIA卡的形式，但負(fù)責(zé)集中管理的還是一個(gè)服務(wù)器軟件。因?yàn)槭菍⒎植际椒阑饓夹g(shù)集成在硬件上，所以通常稱之為“嵌入式防火墻”，其實(shí)其核心技術(shù)就是“分布式防火墻”技術(shù)。分布式的系統(tǒng)構(gòu)架能夠滿足不同形態(tài)和規(guī)模的網(wǎng)絡(luò)，能夠適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)和規(guī)模的變化，系統(tǒng)的靈活性得到充分的體現(xiàn)。分布式的安全思路是在保證每個(gè)節(jié)點(diǎn)安全的前提下，達(dá)到整個(gè)網(wǎng)絡(luò)的安全，某個(gè)節(jié)點(diǎn)的脆弱環(huán)節(jié)不會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)的安全遭到破壞。因此，創(chuàng)新的分布式的體系架構(gòu)對(duì)于內(nèi)網(wǎng)和移動(dòng)辦公的防黑和防木馬、防病毒都起到很好的防護(hù)作用。

綜上所述，任何一種防火墻只是為內(nèi)部網(wǎng)絡(luò)提供安全保障，但網(wǎng)絡(luò)安全不能完全依賴于防火墻，還需要加強(qiáng)內(nèi)部的安全管理，完善安全管理制度，提高用戶的安全意識(shí)，從而形成全方位的安全防御體系。

參考文獻(xiàn)：

［1］姜文紅．網(wǎng)絡(luò)安全與管理［M］．北京：清華大學(xué)出版社，2007．

［2］榮海迅．防火墻技術(shù)及其發(fā)展趨勢(shì)剖析［J］．淮北職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2008（3）：31－32.［3］高傳善,錢松榮.專注.數(shù)據(jù)通信與計(jì)算機(jī)網(wǎng)絡(luò)[M].高等教育出版社,2001-8-9.［4］鄧亞平.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].人民郵電出版社,2004-1-10.［5］李成大,張京.計(jì)算機(jī)信息安全[M].人民郵電出版社,2004-7-2-11-7.［6］徐晨.局域網(wǎng)安全策略探析[J/OL].科技創(chuàng)業(yè)家2011(4).［7］馬江濤.局域網(wǎng)安全及防范策略[J/OL] 同煤科技.2010(2).［8］宋瑩瑩.構(gòu)建安全的局域網(wǎng)策略[J/OL] 電腦知識(shí)與技術(shù).2009, 5(16).［9］王立軍,魯雪梅.淺論局域網(wǎng)安全[J/OL] 圖書館工作與研究.2004(1).

第二篇：防火墻技術(shù)的應(yīng)用

防火墻技術(shù)的應(yīng)用

作 者：郭 麗 指導(dǎo)老師：李爭(zhēng)艷

摘 要：為了保護(hù)計(jì)算機(jī)、服務(wù)器和網(wǎng)絡(luò)資源免遭攻擊破壞, 提出了防火墻技術(shù)是當(dāng)前比較流行而且是比較可行的一種網(wǎng)絡(luò)安全防護(hù)技術(shù)。本論文從實(shí)際應(yīng)用的角度對(duì)防火墻的應(yīng)用問題進(jìn)行了探討分析，闡述了防火墻的幾種技術(shù)及其應(yīng)用模式。最后，詳細(xì)介紹了防火墻的應(yīng)用設(shè)計(jì)。

關(guān)鍵詞：防火墻；防火墻技術(shù)；防火墻應(yīng)用模式；防火墻應(yīng)用設(shè)計(jì) 防火墻概述

防火墻是設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)絡(luò)與不可信任的外部公共網(wǎng)絡(luò)）或者不同網(wǎng)絡(luò)安全域之間的一系列部件（包括軟件和硬件）的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息和數(shù)據(jù)的唯一出入口，能夠根據(jù)網(wǎng)絡(luò)管理人員制定的網(wǎng)絡(luò)安全策略控制出入網(wǎng)絡(luò)的各種數(shù)據(jù)信息流，從而對(duì)所受保護(hù)的網(wǎng)絡(luò)提供信息安全服務(wù)。在邏輯上，防火墻是一個(gè)分離器、一個(gè)限制器，也是一個(gè)分析器，它有效地監(jiān)控了所要保護(hù)的內(nèi)部網(wǎng)和外部公共網(wǎng)絡(luò)之間的任何活動(dòng)，用于確定網(wǎng)絡(luò)哪些內(nèi)部服務(wù)允許外部訪問，以及內(nèi)部網(wǎng)絡(luò)主機(jī)訪問哪些外部服務(wù)等，從而保證了所要保護(hù)的內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)的穩(wěn)定正常運(yùn)行以及內(nèi)部網(wǎng)絡(luò)上數(shù)據(jù)和信息資源的完整性、可用性和保密性。不同技術(shù)的防火墻實(shí)現(xiàn)的功能的側(cè)重點(diǎn)不同，從某種意義來(lái)說(shuō)，防火墻實(shí)際上代表了一個(gè)網(wǎng)絡(luò)的訪問控制原則。防火墻技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域中最為關(guān)鍵和有效的技術(shù)之一，它設(shè)置在相對(duì)安全的內(nèi)部網(wǎng)和相對(duì)不安全的而又具有大量資源和信息的外部網(wǎng)之間，執(zhí)行網(wǎng)絡(luò)安全策略，以有效地阻止來(lái)自外界的網(wǎng)絡(luò)攻擊，保護(hù)內(nèi)部網(wǎng)絡(luò)正常運(yùn)行以及資源和信息的安全。通過以上分析我們可以看出防火墻從理論上應(yīng)該具有下列特點(diǎn)：內(nèi)部和外部的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過防火墻；只有符合安全策略的數(shù)據(jù)流才能通過防火墻；防火墻本身應(yīng)該堅(jiān)固安全可靠。

第1頁(yè)(共14頁(yè))2 防火墻技術(shù)

防火墻技術(shù)分為包過濾，代理，NAT，狀態(tài)監(jiān)測(cè)等幾種技術(shù)。2.1 包過濾技術(shù)

包過濾工作在網(wǎng)絡(luò)層和邏輯鏈路層之間。日益增多的眾多IP路由產(chǎn)品正使包過濾成為一種改善網(wǎng)絡(luò)安全的工具。如果恰當(dāng)使用，對(duì)具有安全意識(shí)的網(wǎng)絡(luò)管理者來(lái)說(shuō)，包過濾是一種有用的工具。但它的有效利用需要對(duì)它的實(shí)際能力和缺點(diǎn)的充分了解，以及對(duì)用于過濾器的特定協(xié)議的特點(diǎn)的充分了解。首先檢查包過濾作為一種網(wǎng)絡(luò)安全度量的效用，簡(jiǎn)要地比較了IP包過濾和其它的網(wǎng)絡(luò)安全方法如應(yīng)用級(jí)網(wǎng)關(guān)，描述了包過濾在每一個(gè)包中檢查什么，及涉及包過濾時(shí)的通用應(yīng)用協(xié)議的特性。然后鑒別和檢查了許多當(dāng)前包過濾實(shí)現(xiàn)中出現(xiàn)的一些共同問題，說(shuō)明這些問題怎樣不費(fèi)力地破壞網(wǎng)絡(luò)管理者的意圖并導(dǎo)致一種虛假的安全感，并對(duì)這些問題提出解決方案。

這里把包過濾看作一種實(shí)現(xiàn)網(wǎng)絡(luò)安全策略的機(jī)制。需要考慮的事項(xiàng)是來(lái)自站點(diǎn)或網(wǎng)絡(luò)管理者的觀點(diǎn)(他們是那些在維持他們的站點(diǎn)或網(wǎng)絡(luò)足夠的安全時(shí)，對(duì)提供好的可能的服務(wù)給他們的用戶感興趣的人)，站點(diǎn)或網(wǎng)絡(luò)管理者的觀點(diǎn)必定和服務(wù)提供者或路由器供應(yīng)商所有的觀點(diǎn)不一樣(他們感興趣的是提供網(wǎng)絡(luò)服務(wù)或產(chǎn)品給用戶)。始終假定站點(diǎn)管理者通常對(duì)于阻止外面的人進(jìn)入更感興趣，而不是設(shè)法管轄內(nèi)部的人，并假定目的是阻止外而的人侵入和內(nèi)部的人偶爾接觸到有價(jià)值的數(shù)據(jù)或服務(wù)，而不是防止內(nèi)部的人有意地或惡意地暗中破壞安全措施。

包過濾能被用于實(shí)現(xiàn)各種不同的網(wǎng)絡(luò)安全策略。這些策略的第一個(gè)目的通常在于防止未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問，而沒有阻礙授權(quán)的訪問。未經(jīng)授權(quán)的訪問和授權(quán)的訪問的定義在不同機(jī)構(gòu)有很大的不同。第二個(gè)目的通常為機(jī)制在執(zhí)行用戶了解和安全措施的應(yīng)用程序認(rèn)識(shí)方面是透明的。另一個(gè)目的是機(jī)制對(duì)于配置和維護(hù)是簡(jiǎn)單的，從而提高策略被正確和徹底的實(shí)現(xiàn)的可能性。或多或少的，包過濾是完成所有這些目的的一種機(jī)制，但這只能通過對(duì)于它的優(yōu)勢(shì)和缺點(diǎn)的透徹地了解及它的實(shí)際能力的小心運(yùn)用來(lái)達(dá)到。

為了網(wǎng)絡(luò)安全，包過濾的一般的可供選擇的方法包括用網(wǎng)絡(luò)訪問保護(hù)

第2頁(yè)(共14頁(yè))每一臺(tái)機(jī)器和使用應(yīng)用網(wǎng)關(guān)。以全有或全無(wú)(一種非常粗糙的包過濾形式)為基礎(chǔ)允許網(wǎng)絡(luò)訪問，然后嘗試去保護(hù)具有網(wǎng)絡(luò)訪問權(quán)的每一臺(tái)機(jī)器一般是不切實(shí)際的，沒有幾個(gè)站點(diǎn)有辦法去保護(hù)并監(jiān)控每一臺(tái)需要偶然的網(wǎng)絡(luò)訪問的機(jī)器。應(yīng)用網(wǎng)關(guān)，諸如被AT&T, DEC和其他幾個(gè)機(jī)構(gòu)使用的那些，通常也是不切實(shí)際的。因?yàn)樗鼈優(yōu)榱说竭_(dá)外部主機(jī)，要求內(nèi)部主機(jī)運(yùn)行改良(通常被定做或其他方面不是通用的)版本的應(yīng)用程序(如FTP和Telnet)。如果一個(gè)恰當(dāng)改良版本的應(yīng)用程序?qū)τ谝粋€(gè)特定的主機(jī)(如適合于個(gè)人計(jì)算機(jī)的改良的Telnet客戶機(jī))是不可用的，內(nèi)部主機(jī)的用戶簡(jiǎn)直是不幸的，而且不能到達(dá)過去的應(yīng)用網(wǎng)關(guān)。

在這里用到的允許和拒絕同路由和丟棄的意義是相同的。如果路由器決定允許或路由一個(gè)包，那么它將被送到它的目的地，好像路由不曾發(fā)生。如果路由器決定拒絕或丟棄一個(gè)包，那么該包僅僅被丟棄，好像它不曾存在一樣。依賴于過濾實(shí)現(xiàn)(有時(shí)候是過濾說(shuō)明)，路由器可能給被丟棄的包的源主機(jī)回送一個(gè)ICMP信息(通常為主機(jī)不可達(dá)信息)，或只是假裝不曾收到該包。另外，本文中，入站和出站通常用于從受保護(hù)網(wǎng)絡(luò)作為一個(gè)整體的觀點(diǎn)談到連接或包，有時(shí)用于從過濾器路由器(在內(nèi)部網(wǎng)絡(luò)邊緣，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間)的觀點(diǎn)談到包，或用于涉及包經(jīng)過的路由器接口。一個(gè)包在它到外部網(wǎng)絡(luò)的路上，對(duì)于過濾路由器來(lái)說(shuō)，可能看來(lái)是入站的，但從內(nèi)部網(wǎng)絡(luò)作為一個(gè)整體來(lái)說(shuō)，該包是出站的。一個(gè)出站連接是由內(nèi)部機(jī)器上的客戶機(jī)發(fā)起到外部機(jī)器上的服務(wù)器的連接。注意:當(dāng)連接作為一個(gè)整體是出站的，它既包括出站包(指那些從內(nèi)部客戶機(jī)到外部服務(wù)器的)又包括入站包(指那些從外部服務(wù)器回到內(nèi)部客戶機(jī)的)。同樣地，一個(gè)入站連接是一個(gè)由外部機(jī)器上的客戶機(jī)發(fā)起到內(nèi)部機(jī)器上的服務(wù)器的連接。對(duì)于一個(gè)包來(lái)說(shuō)，入站接口是在包出現(xiàn)的過濾路由器上的接口，而出站接口是包將經(jīng)由它出去的接口，如果它不被應(yīng)用過濾規(guī)則拒絕的話。2.2代理技術(shù)

具有因特網(wǎng)訪問功能的主機(jī)代替其它主機(jī)完成與因特網(wǎng)的通信，這就是代理服務(wù)。代理只對(duì)單個(gè)(或很小一部分)主機(jī)提供因特網(wǎng)訪問服務(wù)，盡管它看起來(lái)像是對(duì)所有的主機(jī)提供服務(wù)。

代理服務(wù)其運(yùn)行在一個(gè)雙宿主主機(jī)或一個(gè)堡壘主機(jī)上:一些可以與用戶交談的主機(jī)同樣也可以與外界交談。用戶的代理程序與這個(gè)代理服務(wù)器

第3頁(yè)(共14頁(yè))交談，而不是直接與外部的因特網(wǎng)上的真實(shí)的服務(wù)器交談。這個(gè)代理服務(wù)器接收來(lái)自客戶的要求，應(yīng)決定哪個(gè)請(qǐng)求可以傳送，那個(gè)可以不考慮。如果一個(gè)請(qǐng)求是許可的，代理服務(wù)器就會(huì)代表客戶與真正的服務(wù)器交談，繼而將客戶請(qǐng)求傳達(dá)給真實(shí)服務(wù)器，并將真實(shí)服務(wù)器的應(yīng)答返回給客戶。代理服務(wù)對(duì)用戶是透明的，用戶與代理服務(wù)器交談就像與真實(shí)服務(wù)器交談一樣；而對(duì)真實(shí)服務(wù)器米說(shuō)，它是于一個(gè)運(yùn)行于代理服務(wù)器主機(jī)上的用戶交談，而并不知道用戶的真實(shí)所在。代理技術(shù)有如下特點(diǎn)：

（1）代理服務(wù)允許用戶直接地訪問因特網(wǎng)服務(wù)

使用雙宿主主機(jī)方式，用戶需要在訪問任何因特網(wǎng)服務(wù)之前連入這個(gè)主機(jī)，通常這樣做很不方便，會(huì)使一些用戶變得很沮喪，以至于是他們?cè)诜阑饓χ車鷮ふ彝ǖ馈Ｊ褂么矸?wù)，用戶會(huì)認(rèn)為他們是在直接與因特網(wǎng)服務(wù)器進(jìn)行交流。

當(dāng)然，后臺(tái)仍會(huì)有更多程序在運(yùn)行，但它們對(duì)于用戶來(lái)說(shuō)通常是透明的。當(dāng)代理服務(wù)允許用戶通過它們連入因特網(wǎng)時(shí)，它們不允許在用戶系統(tǒng)和因特網(wǎng)之間直接傳送數(shù)據(jù)包。數(shù)據(jù)包的傳輸?shù)缆肥情g接的:或者通過雙宿主主機(jī)，或者通過一個(gè)堡壘主機(jī)和屏蔽路由器系統(tǒng)。（2）代理服務(wù)可以優(yōu)化日志服務(wù)

因?yàn)榇矸?wù)器可以優(yōu)先選擇協(xié)議，所以它們?cè)试S日志服務(wù)以一種特殊有效的方式運(yùn)行。例如，一個(gè)FTP代理服務(wù)器可以只記錄已發(fā)出的命令和服務(wù)器返回的應(yīng)答，來(lái)代替記錄所有傳送的數(shù)據(jù)，這樣會(huì)產(chǎn)生一個(gè)小的多也有用的多的日志。

（3）代理服務(wù)滯后于非代理服務(wù)

盡管代理軟件廣泛用于類似FTP和Telnet這些陳舊的簡(jiǎn)單的服務(wù)，但新的或不常用服務(wù)的代理軟件卻較難找到。在一個(gè)新的服務(wù)出現(xiàn)以后，通常要經(jīng)過一個(gè)明顯的延遲，它的代理服務(wù)器才會(huì)出現(xiàn)，滯后時(shí)間的長(zhǎng)短主要依賴于為代理而設(shè)計(jì)的服務(wù)器。這時(shí)的一個(gè)站點(diǎn)在提供一項(xiàng)新的服務(wù)時(shí)，難以立刻提供相應(yīng)的代理服務(wù)。如果某個(gè)內(nèi)部子系統(tǒng)需要一種新的服務(wù)，那么在找到合適的代理軟件之前，將不得不把它置于防火墻之外，這等于打開了潛在的安全缺口。

（4）不同的服務(wù)可能要求不同的服務(wù)器

第4頁(yè)(共14頁(yè))可能需要為每項(xiàng)服務(wù)設(shè)置不同的代理服務(wù)器。因?yàn)榇矸?wù)器需要理解這個(gè)服務(wù)所用的協(xié)議，以判斷什么是允許的，什么是不允許的，并且它還得扮演兩個(gè)角色，對(duì)真實(shí)服務(wù)器來(lái)說(shuō)它是用戶，對(duì)代理服務(wù)器來(lái)說(shuō)它是真實(shí)服務(wù)器。挑選、安裝和配置所有這些不同的代理服務(wù)可能是一項(xiàng)龐大的工程。

根據(jù)所用的代理軟件的不同，配置的難易程度也大不相同，在一個(gè)地方容易做的事情可能在其它地方非常困難。例如，容易配置的服務(wù)器通常實(shí)用性比較差，它們之所以可以比較容易地配置，是因?yàn)樗鼈兿拗屏烁鞣N使用條件，這些條件可能是正確的，也可能根本不適合你的站點(diǎn)。（5）代理服務(wù)對(duì)用戶的限制比較多

代理服務(wù)器通常要求對(duì)用戶和使用過程進(jìn)行限制，每一種限制都有不足之處，人們無(wú)法按他們自己的步驟來(lái)隨心所欲地使用代理服務(wù)。由于這些限制，代理服務(wù)就不能像非代理服務(wù)運(yùn)行得那樣好，它們往往可能曲解協(xié)議，而且也缺少一定的靈活性。2.3 NAT技術(shù)

網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址。在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，讓這個(gè)偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí)，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個(gè)開放的IP地址和端口來(lái)請(qǐng)求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來(lái)判斷這個(gè)訪問是否安全。當(dāng)符合規(guī)則時(shí)，防火墻認(rèn)為訪問是安全的，可以接受訪問請(qǐng)求，也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí)，防火墻認(rèn)為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請(qǐng)求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對(duì)于用戶來(lái)說(shuō)是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。

NAT的工作過程如圖1所示：

在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，讓這個(gè)偽裝的第5頁(yè)(共14頁(yè))地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。

圖1 NAT工作過程

在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí)，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個(gè)開放的IP地址和端口來(lái)請(qǐng)求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來(lái)判斷這個(gè)訪問是否安全。當(dāng)符合規(guī)則時(shí)，防火墻認(rèn)為訪問是安全的，可以接受訪問請(qǐng)求，也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí)，防火墻認(rèn)為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請(qǐng)求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對(duì)于用戶來(lái)說(shuō)是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。2.4狀態(tài)監(jiān)測(cè)技術(shù)

這是繼“包過濾”技術(shù)和“應(yīng)用代理”技術(shù)后發(fā)展的防火墻技術(shù)，它是CheckPoint技術(shù)公司在基于“包過濾”原理的“動(dòng)態(tài)包過濾”技術(shù)發(fā)展而來(lái)的，與之類似的有其他廠商聯(lián)合發(fā)展的“深度包檢測(cè)”（Deep Packet Inspection）技術(shù)。這種防火墻技術(shù)通過一種被稱為“狀態(tài)監(jiān)視”的模塊，在不影響網(wǎng)絡(luò)安全正常工作的前提下采用抽取相關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各個(gè)層次實(shí)行監(jiān)測(cè)，并根據(jù)各種過濾規(guī)則做出安全決策。

“狀態(tài)監(jiān)測(cè)”技術(shù)在保留了對(duì)每個(gè)數(shù)據(jù)包的頭部、協(xié)議、地址、端口、第6頁(yè)(共14頁(yè))類型等信息進(jìn)行分析的基礎(chǔ)上，進(jìn)一步發(fā)展了“會(huì)話過濾”功能，在每個(gè)連接建立時(shí)，防火墻會(huì)為這個(gè)連接構(gòu)造一個(gè)會(huì)話狀態(tài)，里面包含了這個(gè)連接數(shù)據(jù)包的所有信息，以后這個(gè)連接都基于這個(gè)狀態(tài)信息進(jìn)行，這種檢測(cè)的高明之處是能對(duì)每個(gè)數(shù)據(jù)包的內(nèi)容進(jìn)行監(jiān)視，一旦建立了一個(gè)會(huì)話狀態(tài)，則此后的數(shù)據(jù)傳輸都要以此會(huì)話狀態(tài)作為依據(jù)，例如一個(gè)連接的數(shù)據(jù)包源端口是8000，那么在以后的數(shù)據(jù)傳輸過程里防火墻都會(huì)審核這個(gè)包的源端口還是不是8000，否則這個(gè)數(shù)據(jù)包就被攔截，而且會(huì)話狀態(tài)的保留是有時(shí)間限制的，在超時(shí)的范圍內(nèi)如果沒有再進(jìn)行數(shù)據(jù)傳輸，這個(gè)會(huì)話狀態(tài)就會(huì)被丟棄。狀態(tài)監(jiān)視可以對(duì)包內(nèi)容進(jìn)行分析，從而擺脫了傳統(tǒng)防火墻僅局限于幾個(gè)包頭部信息的檢測(cè)弱點(diǎn)，而且這種防火墻不必開放過多端口，進(jìn)一步杜絕了可能因?yàn)殚_放端口過多而帶來(lái)的安全隱患。

由于狀態(tài)監(jiān)視技術(shù)相當(dāng)于結(jié)合了包過濾技術(shù)和應(yīng)用代理技術(shù)，因此是最先進(jìn)的，但是由于實(shí)現(xiàn)技術(shù)復(fù)雜，在實(shí)際應(yīng)用中還不能做到真正的完全有效的數(shù)據(jù)安全檢測(cè)，而且在一般的計(jì)算機(jī)硬件系統(tǒng)上很難設(shè)計(jì)出基于此技術(shù)的完善防御措施（市面上大部分軟件防火墻使用的其實(shí)只是包過濾技術(shù)加上一點(diǎn)其他新特性而已）。

3防火墻的應(yīng)用模式

由于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和安全需求等方面的差異，在使用防火墻構(gòu)建網(wǎng)絡(luò)安全防護(hù)系統(tǒng)時(shí)，其應(yīng)用模式可能是千差萬(wàn)別的?？偟膩?lái)說(shuō)，比較典型的防火墻應(yīng)用模式有4種。

3.1屏蔽路由器（Screened Route）

這種應(yīng)用模式采用單一的分組過濾型防火墻或狀態(tài)檢測(cè)型防火墻來(lái)實(shí)現(xiàn)。通常，防火墻功能由路由器提供（在路由器上增加一個(gè)防火墻模塊），該路由器設(shè)置在內(nèi)部網(wǎng)與internet之間，根據(jù)預(yù)先設(shè)置的安全規(guī)則對(duì)進(jìn)人內(nèi)部網(wǎng)的信息流進(jìn)行安全過濾。在這種應(yīng)用模式中，防火墻功能也可以用單獨(dú)的防火墻設(shè)備或主機(jī)來(lái)實(shí)現(xiàn)，設(shè)置在內(nèi)部網(wǎng)與路由器之間。參見圖2：

內(nèi)部網(wǎng)

屏蔽

路由器

INTERNET

圖2 屏蔽路由器 第7頁(yè)(共14頁(yè))這種應(yīng)用模式的優(yōu)點(diǎn)是數(shù)據(jù)轉(zhuǎn)發(fā)速度快，岡絡(luò)性能損失較小，易于實(shí)現(xiàn)，費(fèi)用較低、它的缺點(diǎn)是安全性比較脆弱，尤其是分組過濾型防火墻，容易被人侵者攻破，進(jìn)而入侵內(nèi)部網(wǎng)。3.2雙宿主機(jī)網(wǎng)關(guān)（Dual Homed Gateway）

這種應(yīng)用模式采用單一的代理服務(wù)型防火墻來(lái)實(shí)現(xiàn)。通常，防火墻是由一個(gè)運(yùn)行代理服務(wù)軟件的主機(jī)實(shí)現(xiàn)的。這種主機(jī)稱為堡壘主機(jī)（Bastion Host），而具有兩個(gè)網(wǎng)絡(luò)接口的堡壘。主機(jī)稱為雙宿主機(jī)（Dual Home）。這種應(yīng)用模式由雙宿主機(jī)充當(dāng)內(nèi)部網(wǎng)與internet之間的網(wǎng)關(guān)，并在其上運(yùn)行代理服務(wù)器軟件，受保護(hù)的內(nèi)部網(wǎng)與Internet之間不能直接建立連接，必 須通過堡壘主機(jī)才能進(jìn)行通信外部用戶只能看到堡壘主機(jī)。而不能看到內(nèi)部網(wǎng)的實(shí)際服務(wù)器和其他資源。受保護(hù)網(wǎng)絡(luò)的所有開放服務(wù)必須由堡壘主機(jī)上的代理服務(wù)軟件來(lái)實(shí)施。參見圖3：

內(nèi)部網(wǎng)

堡壘

主機(jī)

INTERNET

圖3 雙宿主機(jī)網(wǎng)關(guān)

這種應(yīng)用模式的安全性略好一些。但仍然比較脆弱，因?yàn)楸局鳈C(jī)是惟一的安全屏障，一旦被人侵者攻破。內(nèi)部網(wǎng)將失去保護(hù)。3.3屏蔽主機(jī)網(wǎng)關(guān)（Screened Host Gateway）

這種應(yīng)用模式采用雙重防火墻來(lái)實(shí)現(xiàn)，一個(gè)是屏蔽路由器，構(gòu)成內(nèi)部網(wǎng)的第一道安全屏障；另一個(gè)是堡壘主機(jī)．構(gòu)成內(nèi)部網(wǎng)的第二道安全屏障。參見圖4：

內(nèi)部網(wǎng)

堡壘 主機(jī) 屏蔽 路由器

INTERNET

圖4 屏蔽主機(jī)網(wǎng)關(guān)

屏蔽路由器基于下列規(guī)則過濾分組流：堡壘主機(jī)是內(nèi)部網(wǎng)惟一的系統(tǒng)，允許外部用戶與堡壘主機(jī)建立連接，并且只能通過與堡壘主機(jī)建立連接來(lái)訪問內(nèi)部網(wǎng)提供的服務(wù)。由于這種應(yīng)用模式設(shè)有兩道安全屏障，并且是由兩種不同的防火墻構(gòu)成的，可以優(yōu)勢(shì)互補(bǔ)和相互協(xié)調(diào)。因此，具有較高的第8頁(yè)(共14頁(yè))安全性，并且比較靈活。

3.4屏蔽子網(wǎng)網(wǎng)關(guān)（Screened Subnet Gateway）

這種應(yīng)用模式是在內(nèi)部網(wǎng)與internet之間設(shè)置一個(gè)獨(dú)立的屏蔽子網(wǎng)，在內(nèi)部網(wǎng)與屏蔽子網(wǎng)之間和屏蔽子網(wǎng)與Internet之間都要沒置一個(gè)屏蔽路由器，堡壘主機(jī)連接在屏蔽子網(wǎng)上。堡壘主機(jī)是惟一的內(nèi)部網(wǎng)和Internet都能訪問的系統(tǒng)，但要受到屏蔽路由器過濾規(guī)則的限制。參見圖5：

屏蔽子網(wǎng)

內(nèi)部網(wǎng)

堡壘 主機(jī)

堡壘主機(jī)

屏蔽 路由器

INTERNET

圖5 屏蔽子網(wǎng)網(wǎng)關(guān)

在這種應(yīng)用模式中，內(nèi)部服務(wù)器設(shè)有三道安全屏障：兩個(gè)屏蔽路由器和堡壘主機(jī)，入侵者要入侵內(nèi)部網(wǎng)必須攻破兩個(gè)屏蔽路由器和堡壘主機(jī)，這顯然是相當(dāng)困難的。因此，具有更高的安全性，比較適合保護(hù)大型的網(wǎng)絡(luò)，但成本也比較高。防火墻的應(yīng)用設(shè)計(jì)

根據(jù)行業(yè)特征和應(yīng)用性質(zhì)可將網(wǎng)絡(luò)系統(tǒng)大致分成校園網(wǎng)、企業(yè)網(wǎng)、商務(wù)網(wǎng)、金融網(wǎng)、政務(wù)網(wǎng)以及軍用網(wǎng)等。這些網(wǎng)絡(luò)系統(tǒng)的安全需求是不相同的，必須采用與其應(yīng)用性質(zhì)相適應(yīng)的安全措施來(lái)構(gòu)建完整的網(wǎng)絡(luò)安全體系。以滿足各種網(wǎng)絡(luò)系統(tǒng)的安全需求，完整的網(wǎng)絡(luò)安全體系應(yīng)當(dāng)包括防護(hù)、檢測(cè)、響應(yīng)和管理等各個(gè)環(huán)節(jié)，不是單靠某一種安全技本來(lái)解決的，也要形成一個(gè)動(dòng)態(tài)的安全防護(hù)系統(tǒng)。其中，防火墻是整個(gè)網(wǎng)絡(luò)安全體系的基礎(chǔ)和關(guān)鍵環(huán)節(jié)，也是一種常用的安全防護(hù)技術(shù)，它作為第一道安全屏障最容易受到人侵者的攻擊。因此，除了防火墻本身應(yīng)具有較好的安全防護(hù)能力之外，防火墻的應(yīng)用方案設(shè)計(jì)也是十分重要的。

第9頁(yè)(共14頁(yè))防火墻的應(yīng)用方案設(shè)計(jì)一般包括安全需求分析、網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)和安全策略設(shè)計(jì)3部分。4.1安全需求分析

根據(jù)網(wǎng)絡(luò)應(yīng)用性質(zhì)，可以將網(wǎng)絡(luò)應(yīng)用環(huán)境分成3種：開放的、專用的和內(nèi)部的。不同的網(wǎng)絡(luò)應(yīng)用環(huán)境所面臨的安全風(fēng)險(xiǎn)和需求是不同的，其安全解決方案也有所不同。

（1）開放的網(wǎng)絡(luò)應(yīng)用環(huán)境：在開放的網(wǎng)絡(luò)應(yīng)用環(huán)境中，網(wǎng)絡(luò)服務(wù)和信息內(nèi)容向internet上的所有用戶完全開放，如連接在Internet上的各種開放的Web服務(wù)器等。這種開放的應(yīng)用環(huán)境一般不存在信息內(nèi)容保密和用戶身份驗(yàn)證問題，它所面臨的安全風(fēng)險(xiǎn)是拒絕服務(wù)（Dos）篡改網(wǎng)頁(yè)內(nèi)容以及被非法利用等。這些安全風(fēng)險(xiǎn)需要采用多種安全措施來(lái)防范，包括使用接納控制技術(shù)阻止入侵者非法獲取系統(tǒng)控制權(quán)、使用防火墻技術(shù)過濾“有害”的信息，使用“補(bǔ)丁”程序來(lái)阻塞系統(tǒng)安全漏洞，使用入侵檢測(cè)技術(shù)來(lái)檢測(cè)和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為等。這種應(yīng)用環(huán)境的安全要求相對(duì)較低，防火墻的作用是次要的，必要時(shí)可采用屏蔽路由器模式。

（2）專用的網(wǎng)絡(luò)應(yīng)用環(huán)境：在專用的網(wǎng)絡(luò)應(yīng)用環(huán)境中，網(wǎng)絡(luò)服務(wù)和信息內(nèi)容是半開放的。只允許授權(quán)用戶通過Internet來(lái)訪問。這些授權(quán)用戶是可信任的，他們通常是商業(yè)合作伙伴或者本單位的外地員工。這種專用的應(yīng)用環(huán)境所面臨的安全風(fēng)險(xiǎn)是假冒合法用戶獲取信息以及信息傳輸過程中被非法截獲或者篡改等。前者屬于網(wǎng)絡(luò)安全問題，主要是用防火墻等技術(shù)來(lái)防范；后者屬于信息安全問題，主要采用VPN等枝術(shù)來(lái)解決信息傳輸過程中的數(shù)據(jù)機(jī)密性和數(shù)據(jù)完整性問題。

在這種網(wǎng)絡(luò)應(yīng)用環(huán)境中，一般要在內(nèi)部網(wǎng)與Internet之間設(shè)置防火墻，并通過安全規(guī)則來(lái)控制外部用戶對(duì)內(nèi)部網(wǎng)資源（如Web服務(wù)器和其他服務(wù)器）的訪問。根據(jù)網(wǎng)絡(luò)服務(wù)的安全要求，選擇適當(dāng)?shù)姆阑饓?yīng)用模式來(lái)建立網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。除了防火墻外，還應(yīng)當(dāng)使用VPN技術(shù)、基于數(shù)字證書的訪問控制技術(shù)等來(lái)解決信息交換安全問題。

（3）內(nèi)部的網(wǎng)絡(luò)應(yīng)用環(huán)境：在內(nèi)部的網(wǎng)絡(luò)應(yīng)用環(huán)境中，內(nèi)部網(wǎng)與Internet是物理隔離的，網(wǎng)絡(luò)服務(wù)器沒置在內(nèi)部網(wǎng)，只允許內(nèi)部用戶通過內(nèi)部網(wǎng)訪問網(wǎng)絡(luò)服務(wù)器，這是一種封閉的網(wǎng)絡(luò)環(huán)境。它所面臨的安全風(fēng)險(xiǎn)是內(nèi)部用戶的非授權(quán)訪問，竊取和泄露機(jī)密信息等。其防范措施主要側(cè)重

第10頁(yè)(共14頁(yè))于解決內(nèi)部用戶對(duì)內(nèi)部網(wǎng)的攻擊問題，如采用VLAN、訪問控制、安全審計(jì)和安全管理等防范措施。

由于不同的網(wǎng)絡(luò)應(yīng)用環(huán)境所面臨的安全風(fēng)險(xiǎn)是各不相同的，不能一概而論。因此必須針對(duì)不同網(wǎng)絡(luò)應(yīng)用環(huán)境所面臨的安全風(fēng)險(xiǎn)采取適當(dāng)?shù)陌踩胧﹣?lái)增強(qiáng)系統(tǒng)安全性。在系統(tǒng)安全性、網(wǎng)絡(luò)性能損失和系統(tǒng)費(fèi)用等方面尋找一個(gè)最佳平衡點(diǎn)，減少盲目性。4.2網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)

在上述的4種防火墻應(yīng)用模式中，每一種應(yīng)用模式所提供的安全防護(hù)能力和系統(tǒng)費(fèi)用都是不相同的。在網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)中，應(yīng)當(dāng)根據(jù)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全需求來(lái)構(gòu)造網(wǎng)絡(luò)安全體系。

在安全要求不高的情況下，一般采用屏蔽路由器或雙宿主機(jī)網(wǎng)關(guān)應(yīng)用模式來(lái)構(gòu)造網(wǎng)絡(luò)安全系統(tǒng)。這樣在滿足系統(tǒng)安全需求前提下，有利于降低系統(tǒng)費(fèi)用，簡(jiǎn)化網(wǎng)絡(luò)管理。在屏蔽路由器或雙穴主機(jī)網(wǎng)關(guān)應(yīng)用模式不能滿足系統(tǒng)安全需求的情況下，可以考慮采用屏蔽主機(jī)網(wǎng)關(guān)或屏蔽子網(wǎng)網(wǎng)關(guān)應(yīng)用模式。

例如：在基于屏蔽子網(wǎng)網(wǎng)關(guān)應(yīng)用模式構(gòu)建的網(wǎng)絡(luò)安全系統(tǒng)中，必須將內(nèi)部網(wǎng)劃分為3個(gè)子網(wǎng)：內(nèi)部子網(wǎng)、屏蔽子網(wǎng)與外部網(wǎng)（如Internet）。不同子網(wǎng)的安全需求是不同的。屏蔽子網(wǎng)網(wǎng)關(guān)模式采用了兩個(gè)屏蔽路由器，一個(gè)位于內(nèi)都子網(wǎng)和屏蔽子網(wǎng)之間的內(nèi)部屏蔽路由器；另一個(gè)位子屏蔽子網(wǎng)與外部網(wǎng)之間的外部屏蔽路由器。從網(wǎng)絡(luò)體系結(jié)構(gòu)上通過屏蔽子網(wǎng)將內(nèi)部子網(wǎng)與不可信的外部網(wǎng)隔離開。外部屏蔽路由器的作用是保證外部網(wǎng)發(fā)來(lái)的數(shù)據(jù)包只能到達(dá)屏蔽子網(wǎng)，而且只能將屏蔽子網(wǎng)中的數(shù)據(jù)包輸出到外部網(wǎng)上。內(nèi)部屏蔽路由器的作用是保證內(nèi)部網(wǎng)發(fā)來(lái)的數(shù)據(jù)包只能輸出到屏蔽子網(wǎng)上，而不能到達(dá)外部網(wǎng)。這樣內(nèi)部網(wǎng)和外部網(wǎng)之間不能直接通信，雙方都只能到達(dá)屏蔽子網(wǎng)。由于屏蔽子網(wǎng)是內(nèi)部子網(wǎng)與外部網(wǎng)之間的隔離區(qū)，所以屏蔽子網(wǎng)也稱為“非軍事區(qū)”或“?；饏^(qū)”。圖6所示是一種基于屏蔽子網(wǎng)網(wǎng)關(guān)應(yīng)用模式的網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)。

第11頁(yè)(共14頁(yè))

圖6 網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)

內(nèi)部屏蔽路由器還應(yīng)當(dāng)提供網(wǎng)絡(luò)地址翻譯器（NAT）功能。NAT允許在內(nèi)部網(wǎng)絡(luò)中使用私有IP地址。而私有IP地址在internet中是不可見的，可見的只是代理服務(wù)器的公用IP地址。這樣，在屏蔽內(nèi)部子網(wǎng)結(jié)構(gòu)的同時(shí)，還解決了公用IP地址短缺問題。

對(duì)于各種對(duì)外開放的網(wǎng)絡(luò)服務(wù)器，如Web服務(wù)器、FTP服務(wù)器、E-mail服務(wù)器以及DNS服務(wù)器等可以放置在屏蔽子網(wǎng)中。為了使內(nèi)部用戶能夠仿問Internet，在屏蔽子網(wǎng)上設(shè)置一個(gè)堡壘主機(jī)，提供代理服務(wù)器功能。這樣，既可以使外部用戶能方便瀏覽開放的信息服務(wù)、與內(nèi)部網(wǎng)用戶交換郵件等，又防止了外部用戶攻擊內(nèi)部網(wǎng)，篡改數(shù)據(jù)或破壞系統(tǒng)。在這種網(wǎng)絡(luò)安全體系結(jié)構(gòu)中，入侵者想要攻擊內(nèi)部網(wǎng)，必須連續(xù)地攻破外部分組過濾器、代理服務(wù)器和內(nèi)部分組過濾器等三道防火墻。即使高明的黑客也是相當(dāng)困難的。

合理地配置防火墻可以防御多種網(wǎng)絡(luò)攻擊，例如：

（1）在防火墻中配置多塊網(wǎng)卡，不同的網(wǎng)卡對(duì)應(yīng)于不同的網(wǎng)段，通過將網(wǎng)卡與對(duì)應(yīng)網(wǎng)段綁定，可以防御IP地址欺騙的攻擊。

（2）在防火墻中阻塞ICMP報(bào)文，只允許某些類型（如回應(yīng)請(qǐng)求類型）的ICMP報(bào)文通過，可以防御“Ping Of death”之類的攻擊。

（3）在防火墻中阻塞ActiveX和Java Applets程序，可以防御惡意程序?qū)?nèi)部主機(jī)進(jìn)行攻擊。

（4）在防火墻中使用NAT功能，所有從防火墻流出的IP數(shù)據(jù)包的源地址均為防火墻上保留的合法IP地址，不僅可以使內(nèi)部主機(jī)共享有限的 Internet IP地址，而且能夠隱藏內(nèi)部網(wǎng)絡(luò)信息。

（5）在防火墻中使用認(rèn)證功能，可以對(duì)主機(jī)地址、網(wǎng)卡地址和主機(jī)名進(jìn)行認(rèn)證，還可以對(duì)用戶身份進(jìn)行認(rèn)證，例如采用口令認(rèn)證、RADIUS認(rèn)證以及硬件參與認(rèn)證等，可以防御地址欺騙、身份假冒等攻擊。

另外，對(duì)于處于不同地理位置上的內(nèi)部網(wǎng)通過Internet交換信息時(shí)，可以采用VPN技術(shù)來(lái)解決信息傳輸過程中的數(shù)據(jù)機(jī)密性和數(shù)據(jù)完整性問題。在這種情況下，應(yīng)當(dāng)在屏蔽子網(wǎng)設(shè)置一個(gè)VPN網(wǎng)關(guān)，兩個(gè)內(nèi)部網(wǎng)之間通過VPN網(wǎng)關(guān)建立一個(gè)安全的傳輸隧道，實(shí)現(xiàn)數(shù)據(jù)安全傳輸。這意味著可信的外部用戶只能邁過VPN隧道穿越內(nèi)部網(wǎng)的防火墻，而在建立VPN隧道時(shí)，雙方的身份是經(jīng)過認(rèn)證的，都是可信的用戶。

第12頁(yè)(共14頁(yè))4.3安全策略設(shè)計(jì)

在圖6所示的網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)中，設(shè)有3個(gè)防火墻：外部分組過濾器（由外部屏蔽路由器提供）、內(nèi)部分組過濾器（由內(nèi)部屏蔽路由器提供）和代理服務(wù)器（由堡壘主機(jī)提供）。根據(jù)網(wǎng)絡(luò)應(yīng)用的安全需求，必須分別為它們?cè)O(shè)計(jì)安全策略和規(guī)則。

（1）外部分組過濾器：外部分組過濾的缺省規(guī)則為禁止所有服務(wù)。主機(jī)規(guī)則為允許外部用戶訪問屏蔽子網(wǎng)中開放的服務(wù)器（如 Web服務(wù)器、FTP服務(wù)器等），允許外部用戶連接安全代理服務(wù)器。每次連接都要產(chǎn)生日志記錄，供以后安全審計(jì)使用。

（2）內(nèi)部分組過濾器：內(nèi)部分組過濾的缺省規(guī)則為禁止所有服務(wù)。主機(jī)規(guī)則為允許內(nèi)部用戶連接屏蔽子網(wǎng)中的主機(jī)。每次連接都要產(chǎn)生日志記錄。通過地址轉(zhuǎn)換功能，使所有使用內(nèi)部IP地址的用戶都能共用一個(gè)合法外都IP地址訪問外部網(wǎng)絡(luò)（如Internet）。

（3）代理服務(wù)器：代理服務(wù)器的缺省規(guī)則為禁止聽有連接．它允許內(nèi)部用戶訪向外部網(wǎng)絡(luò)的web站點(diǎn)，并提供代理功能，對(duì)所代理的連接進(jìn)行安全檢查，禁止內(nèi)部用戶訪問非法站點(diǎn)，并產(chǎn)生日志記錄。它還為內(nèi)部郵件服務(wù)器與外部郵件服務(wù)器之間的連接提供代理。對(duì)郵件的大小、數(shù)量，發(fā)送者、接收者，甚至內(nèi)容進(jìn)行檢查，并產(chǎn)生日志記錄。它在代理 Telnet和 FTP內(nèi)部服務(wù)器時(shí)，要求驗(yàn)證用戶的身份，允許合法用戶以規(guī)定的權(quán)限上載和下載服務(wù)器中的文件，并產(chǎn)生日志記錄。

為了支持防火墻的系統(tǒng)配置、規(guī)則設(shè)置、日志查看和安全審計(jì)等管理操作，一般的防火墻產(chǎn)品都提供一種圖形化界面的管理軟件。在完成網(wǎng)絡(luò)體系結(jié)構(gòu)設(shè)計(jì)和各個(gè)防火墻的安全策略設(shè)計(jì)后，便可以著手配置各個(gè)防火墻的系統(tǒng)參數(shù)和安全規(guī)則。在網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)體系結(jié)構(gòu)發(fā)生變化時(shí)，應(yīng)當(dāng)及時(shí)修改防火墻的安全策略，避免可能產(chǎn)生的安全漏洞。在防火墻工作過程中，可以通過管理軟件監(jiān)視防火墻的日志信息，定期進(jìn)行安全審計(jì)，及時(shí)發(fā)現(xiàn)系統(tǒng)可能存在的安全漏洞，入侵者的攻擊行為以及其他違反安全規(guī)則的行為，為網(wǎng)絡(luò)安全管理提供決策依據(jù)。結(jié)束語(yǔ)

第13頁(yè)(共14頁(yè))本論文主要研究防火墻技術(shù)的應(yīng)用，從防火墻的簡(jiǎn)單概述展開，描述了防火墻的四種技術(shù)，防火墻的應(yīng)用模式。最后，闡述了防火墻的應(yīng)用設(shè)計(jì)。旨在展望網(wǎng)絡(luò)安全，即防火墻技術(shù)的未來(lái)狀況。

參 考 文 獻(xiàn)

[1] 蔡皖東.網(wǎng)絡(luò)與信息安全[M].西安：西北工業(yè)大學(xué)出版社，2004.[2] 魏利華.防火墻技術(shù)研究[J].淮陰工業(yè)學(xué)院學(xué)報(bào)：計(jì)算機(jī)科學(xué)技術(shù)版，2003，38（4）：21-33.[3] 蔣建春，馮登國(guó).網(wǎng)絡(luò)入侵檢測(cè)技術(shù)原理與技術(shù)[M].北京：國(guó)防工業(yè)出版社，2005.[4] 陸楠.現(xiàn)代網(wǎng)絡(luò)技術(shù)[M].西安：西安電子科技大學(xué)出版社，2003.[5] 劉克龍，蒙楊.一種新型的防火墻系統(tǒng)[J].淮陰工業(yè)學(xué)院學(xué)報(bào)：計(jì)算機(jī)科學(xué)技術(shù)版，2005，46（6）：11-14.[6] 張凡，李丹靈.網(wǎng)絡(luò)信息安全的真相[J].深圳大學(xué)學(xué)報(bào)：計(jì)算機(jī)科學(xué)技術(shù)版，2006，24（5）：12-19.[7] 陳功富.現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)[M].北京：電子工業(yè)出版社，2005.[8] 鄧吉，柳靖.黑客防攻實(shí)戰(zhàn)詳解[M].北京：電子工業(yè)出版社，2006.[9] 郭鑫.防黑檔案[M].北京：電子工業(yè)出版社.2003.[10]薛靜鋒.入侵檢測(cè)技術(shù)[M].機(jī)械工業(yè)出版社，2004.[11]鄧亞平.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].北京：人民郵電出版社.2004.[12]李濤.網(wǎng)絡(luò)安全概論[M].北京:電子工業(yè)出版社.2004.Application of Firewall technology

Guo Li Abstract：To protect the personal computer, the server and the network resource from attacking and keep them safe from being destroyed, the firewall technology is popular used and applied successfully in network safeguard field.The paper mainly analyzes the application of firewall from a point of practical usage and expound the applied design of firewall in the end after introducing several techniques and applied patterns.Key words：Firewall;Firewall technology;Firewall application pattern;Firewall using design

第14頁(yè)(共14頁(yè))

第三篇：虛擬防火墻技術(shù)在數(shù)據(jù)中心的應(yīng)用

虛擬防火墻技術(shù)在數(shù)據(jù)中心的應(yīng)用

一、概述

運(yùn)營(yíng)商作為網(wǎng)絡(luò)的承建者和服務(wù)提供者，不僅為用戶提供各種業(yè)務(wù)，還要對(duì)數(shù)據(jù)中心的網(wǎng)絡(luò)和信息安全進(jìn)行完全的監(jiān)控和管理維護(hù)等。

數(shù)據(jù)中心作為網(wǎng)絡(luò)數(shù)據(jù)的核心，經(jīng)常會(huì)受到來(lái)自外界的攻擊入侵，安全問題是極其重要的一環(huán)?；ヂ?lián)網(wǎng)每年都有大量數(shù)據(jù)中心服務(wù)器遭受攻擊的事件發(fā)生，對(duì)用戶造成巨大的損失，數(shù)據(jù)中心安全在其建設(shè)發(fā)展中越來(lái)越受到重視。為數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)與服務(wù)器提供網(wǎng)絡(luò)安全功能，通常會(huì)部署防火墻產(chǎn)品作為攻擊防范和安全過濾的設(shè)備，同時(shí)為內(nèi)網(wǎng)服務(wù)器間互訪提供安全控制。

防火墻是數(shù)據(jù)中心必不可少的安全防御組件，可為后端服務(wù)器提供攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、郵件過濾、網(wǎng)頁(yè)過濾、應(yīng)用層過濾等功能。隨著數(shù)據(jù)中心虛擬化技術(shù)的不斷發(fā)展，防火墻虛擬化做為其中關(guān)鍵技術(shù)之一日益興起。

二、虛擬防火墻技術(shù)的產(chǎn)生

早期的互聯(lián)網(wǎng)時(shí)代，當(dāng)企業(yè)需要為用戶提供互聯(lián)網(wǎng)服務(wù)時(shí)，為了節(jié)省管理成本與加快互聯(lián)網(wǎng)用戶訪問速度，很多企業(yè)將其服務(wù)器放置到運(yùn)營(yíng)商數(shù)據(jù)中心（IDC，Internet Data Center）內(nèi)，由運(yùn)營(yíng)商代維代管，并直接提供互聯(lián)網(wǎng)接入，這種形式也被稱為運(yùn)營(yíng)商的主機(jī)托管業(yè)務(wù)。隨著互聯(lián)網(wǎng)的飛速發(fā)展，運(yùn)營(yíng)商數(shù)據(jù)中心業(yè)務(wù)已經(jīng)成為其盈利的重點(diǎn)核心業(yè)務(wù)。

同時(shí)，安全要求日趨嚴(yán)格，需要在大規(guī)模部署的多企業(yè)用戶服務(wù)器間的進(jìn)行訪問控制，如存在相關(guān)業(yè)務(wù)企業(yè)間的受控訪問，無(wú)關(guān)企業(yè)間的絕對(duì)隔離等。因此，對(duì)運(yùn)營(yíng)商數(shù)據(jù)中心管理人員來(lái)說(shuō)，如何靈活方便的實(shí)現(xiàn)各企業(yè)安全區(qū)域劃分和安全區(qū)域之間有控制的互訪成為其非常關(guān)注的問題。這也對(duì)提供安全區(qū)域隔離功能的防火墻設(shè)備提出了更高的要求。

針對(duì)以上要求，傳統(tǒng)防火墻的部署模式存在著以下缺陷：

較多的企業(yè)用戶使得運(yùn)營(yíng)商要部署管理多臺(tái)獨(dú)立防火墻，導(dǎo)致?lián)碛泻途S護(hù)成本增高；

集中放置的多個(gè)獨(dú)立防火墻會(huì)占用較多的物理空間，并加大布線的復(fù)雜度；

物理防火墻的增加將增加網(wǎng)絡(luò)管理的復(fù)雜度；

當(dāng)企業(yè)用戶發(fā)生新的變化后，需要在物理組網(wǎng)上對(duì)傳統(tǒng)防火墻做改動(dòng)，對(duì)整個(gè)網(wǎng)絡(luò)造成影響較大。為了適應(yīng)新的業(yè)務(wù)模式需求，虛擬防火墻技術(shù)應(yīng)運(yùn)而生。虛擬防火墻通過在同一臺(tái)物理設(shè)備上劃分多個(gè)邏輯的防火墻實(shí)例來(lái)實(shí)現(xiàn)對(duì)多個(gè)業(yè)務(wù)部門的獨(dú)立安全策略部署，利用其部署的靈活性可實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的對(duì)新業(yè)務(wù)的適應(yīng)性。

三、虛擬防火墻技術(shù)

虛擬防火墻是一個(gè)邏輯概念，該技術(shù)可以在一個(gè)單一的硬件平臺(tái)上提供多個(gè)防火墻實(shí)體，即把一臺(tái)防火墻設(shè)備在邏輯上劃分成多臺(tái)虛擬防火墻，每臺(tái)虛擬防火墻都可以被看成是一臺(tái)完全獨(dú)立的防火墻設(shè)備，可擁有獨(dú)立的管理員、安全策略、用戶認(rèn)證數(shù)據(jù)庫(kù)等。每個(gè)虛擬防火墻能夠?qū)崿F(xiàn)防火墻的大部分特性，并且虛擬防火墻之間相互獨(dú)立，一般情況下不允許相互通信。虛擬防火墻具有如下技術(shù)特點(diǎn)：

每個(gè)虛擬防火墻獨(dú)立維護(hù)一組安全區(qū)域；

每個(gè)虛擬防火墻獨(dú)立維護(hù)一組資源對(duì)象（地址/地址組，服務(wù)/服務(wù)組等）；

每個(gè)虛擬防火墻獨(dú)立維護(hù)自己的包過濾策略；

每個(gè)虛擬防火墻獨(dú)立維護(hù)自己的ASPF策略、NAT策略、ALG策略；

可限制每個(gè)虛擬防火墻占用資源數(shù)，如防火墻Session以及ASPF Session數(shù)目。

每個(gè)虛擬防火墻都是VPN實(shí)例和安全實(shí)例的綜合體，能夠?yàn)樘摂M防火墻用戶提供私有的路由轉(zhuǎn)發(fā)業(yè)務(wù)和安全服務(wù)。每個(gè)虛擬防火墻中可以包含三層接口、二層物理接口、三層VLAN子接口和二層Trunk接口+VLAN。

VPN實(shí)例與虛擬防火墻是一一對(duì)應(yīng)的，它為虛擬防火墻提供相互隔離的VPN路由，與虛擬防火墻相關(guān)的信息主要包括：VPN路由以及與VPN實(shí)例綁定的接口。VPN路由將為轉(zhuǎn)發(fā)來(lái)自與VPN實(shí)例綁定的接口的報(bào)文提供路由支持。

安全實(shí)例為虛擬防火墻提供相互隔離的安全服務(wù)，同樣與虛擬防火墻一一對(duì)應(yīng)。安全實(shí)例具備私有的ACL規(guī)則組和NAT地址池；安全實(shí)例能夠?yàn)樘摂M防火墻提供地址轉(zhuǎn)換、包過濾、ASPF和NAT ALG等私有的安全服務(wù)。

虛擬防火墻一方面解決了業(yè)務(wù)多實(shí)例的問題，更主要的是，通過它可將一個(gè)物理防火墻劃分為多個(gè)邏輯防火墻來(lái)用。多個(gè)邏輯防火墻可以單獨(dú)配置不同的安全策略，同時(shí)默認(rèn)情況下，不同的虛擬防火墻之間是默認(rèn)隔離的。

對(duì)于防火墻系統(tǒng)接收到的數(shù)據(jù)流，系統(tǒng)根據(jù)數(shù)據(jù)的Vlan ID、入接口、源地址確定數(shù)據(jù)流所屬的系統(tǒng)。在各個(gè)虛擬防火墻系統(tǒng)中，數(shù)據(jù)流將根據(jù)各自系統(tǒng)的路由完成轉(zhuǎn)發(fā)。

四、虛擬防火墻技術(shù)在數(shù)據(jù)中心應(yīng)用

1、虛擬防火墻與數(shù)據(jù)中心虛擬化

數(shù)據(jù)中心虛擬化分為網(wǎng)絡(luò)、計(jì)算和存儲(chǔ)三個(gè)虛擬化資源，與虛擬防火墻緊密相關(guān)的是網(wǎng)絡(luò)虛擬化。數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化功能之一是在網(wǎng)絡(luò)設(shè)備上對(duì)多業(yè)務(wù)之間進(jìn)行隔離訪問控制，每組業(yè)務(wù)使用獨(dú)立的VPN、VLAN、接口、路由表及轉(zhuǎn)發(fā)表，將一臺(tái)物理網(wǎng)絡(luò)設(shè)備邏輯上分割成多臺(tái)虛擬設(shè)備。網(wǎng)絡(luò)虛擬化的主要目的是為了提高網(wǎng)絡(luò)設(shè)備資源的利用率，并增強(qiáng)對(duì)計(jì)算資源的安全訪問隔離控制能力。網(wǎng)絡(luò)設(shè)備虛擬化的同時(shí)，數(shù)據(jù)中心對(duì)安全組件提出了同樣的虛擬化需求。虛擬防火墻實(shí)現(xiàn)了網(wǎng)絡(luò)與安全虛擬一體化的功能，先對(duì)防火墻的路由轉(zhuǎn)發(fā)進(jìn)行VPN隔離劃分，再設(shè)置攻擊防御與安全過濾規(guī)則與劃分的VPN相對(duì)應(yīng)，將一臺(tái)物理的防火墻設(shè)備虛擬為多臺(tái)獨(dú)立運(yùn)行的邏輯防火墻，簡(jiǎn)化網(wǎng)絡(luò)，便于管理并提升了設(shè)備的利用率。

圖1 虛擬防火墻在數(shù)據(jù)中心的應(yīng)用

2、虛擬防火墻應(yīng)對(duì)數(shù)據(jù)中心高可靠需求

在數(shù)據(jù)中心環(huán)境中，高可靠性往往是重要的部署需求，虛擬防火墻部署時(shí)需要考慮雙機(jī)環(huán)境下的流量路徑冗余切換問題。如圖2所示。

圖2 虛擬防火墻雙機(jī)的應(yīng)用

數(shù)據(jù)中心雙機(jī)組網(wǎng)模型下，虛擬防火墻可以應(yīng)用路由模式或透明模式兩種方式轉(zhuǎn)發(fā)流量報(bào)文。透明模式下，防火墻采用INLINE轉(zhuǎn)發(fā)方式，對(duì)進(jìn)出防火墻的Vlan接口進(jìn)行兩個(gè)一組的一一對(duì)應(yīng)，需要注意的是透明模式下網(wǎng)絡(luò)中不能出現(xiàn)二層環(huán)路；而路由模式則是在不同VPN下部署不同的三層路由轉(zhuǎn)發(fā)，VLAN三層接口同樣做到每組一一對(duì)應(yīng)，要注意的是路由模式下VRRP等路由冗余協(xié)議的應(yīng)用，要在匯聚層交換機(jī)上建立兩臺(tái)防火墻設(shè)備可以通信的二層通道。

五、結(jié)束語(yǔ)

虛擬防火墻組網(wǎng)模式極大的減少了用戶擁有成本。隨著業(yè)務(wù)的發(fā)展，當(dāng)用戶業(yè)務(wù)劃分發(fā)生變化或者產(chǎn)生新的業(yè)務(wù)部門時(shí)，可以通過添加或者減少防火墻實(shí)例的方式十分靈活的解決后續(xù)網(wǎng)絡(luò)擴(kuò)展問題，在一定程度上降低了網(wǎng)絡(luò)安全部署的復(fù)雜度。另一方面，由于以邏輯的形式取代了網(wǎng)絡(luò)中的多個(gè)物理防火墻，減少了運(yùn)維中需要管理維護(hù)的網(wǎng)絡(luò)設(shè)備，簡(jiǎn)化了網(wǎng)絡(luò)管理的復(fù)雜度，減少了誤操作的可能性。虛擬防火墻技術(shù)的出現(xiàn)彌補(bǔ)了防火墻產(chǎn)品在數(shù)據(jù)中心虛擬化應(yīng)用中的局限性，與其他虛擬化網(wǎng)絡(luò)設(shè)備相輔相成，可以很好的緩解數(shù)據(jù)中心組網(wǎng)環(huán)境中各VPN的獨(dú)立安全策略需求所帶來(lái)的網(wǎng)絡(luò)拓?fù)鋸?fù)雜、網(wǎng)絡(luò)結(jié)構(gòu)擴(kuò)展性差、管理復(fù)雜、用戶安全部署成本高等幾大問題，很好的滿足數(shù)據(jù)中心新業(yè)務(wù)模型所帶來(lái)的新需求，在構(gòu)建數(shù)據(jù)中心虛擬一體化的同時(shí)提供了豐富的業(yè)務(wù)安全能力。

第四篇：防火墻技術(shù)在電子商務(wù)中的應(yīng)用

防火墻技術(shù)在電子商務(wù)中的應(yīng)用

目 錄

目錄............................................................................(1)內(nèi)容摘要.........................................................................(2)關(guān)鍵詞..........................................................................(2)正文............................................................................(2)

一、電子商務(wù)的概念及交易問題.....................................................(2)

（一）、什么是電子商務(wù)............................................................(2)(二)、電子商務(wù)的交易過程.................................................(2)

二、電子商務(wù)中的信息安全問題、特性及威脅...............................(3)(一)、電子交易的安全概念、安全特性.........................................(3)

（二）、電子商務(wù)中的信息安全問題及威脅.....................................(4)

三、防火墻的技術(shù)與體系結(jié)構(gòu).............................................(6)

四、防火墻的簡(jiǎn)介與使用的益處.........................................(6)

五、防火墻常用技術(shù)和性能......................................................（11）

六、結(jié)論........................................................................(14)參考文獻(xiàn)........................................................................(14)

淺談防火墻技術(shù)在電子商務(wù)中的應(yīng)用

內(nèi)容摘要：防火墻技術(shù)作為保證電子商務(wù)活動(dòng)中信息安全的第一道有效屏障，受到越來(lái)越多的關(guān)注。本文介紹了電子商務(wù)的概念、電子商務(wù)的交易過程、交易過程中的信息安全問題及威脅、重點(diǎn)介紹了電子商務(wù)交易系統(tǒng)的防火墻技術(shù)，討論了建立網(wǎng)上安全信任機(jī)制的基礎(chǔ)。

關(guān)鍵詞：防火墻

電子商務(wù)

應(yīng)用 正文:

一、電子商務(wù)的概念及交易問題(一)什么是電子商務(wù)

電子商務(wù)源于英文Electronic Commerce，簡(jiǎn)寫為EC。是指一個(gè)機(jī)構(gòu)利用信息和技術(shù)手段，改變其和供應(yīng)商、用戶、員工、合作伙伴、管理部門的互動(dòng)關(guān)系，從而使自己變成為機(jī)動(dòng)響應(yīng)、快速響應(yīng)、有效響應(yīng)的響應(yīng)性機(jī)構(gòu)。電子商務(wù)的核心是商務(wù)；本質(zhì)上是創(chuàng)造更多商機(jī)、提供更好商業(yè)服務(wù)的一種電子交易智能化手段。眼下，電子商務(wù)的含義已不僅僅是單純的電子購(gòu)物，電子商務(wù)以數(shù)據(jù)（包括文本、聲音和圖像）的電子處理和傳輸為基礎(chǔ)，包含了許多不同的活動(dòng)（如商品服務(wù)的電子貿(mào)易、數(shù)字內(nèi)容的在線傳輸、電子轉(zhuǎn)賬、商品拍賣、協(xié)作、在線資源利用、消費(fèi)品營(yíng)銷和售后服務(wù)）。它涉及產(chǎn)品（消費(fèi)品和工業(yè)品）和服務(wù)（信息服務(wù)、財(cái)務(wù)與法律服務(wù)）；它包含了使用Internet和Web技術(shù)進(jìn)行的所有的商務(wù)活動(dòng)。

(二)、電子商務(wù)的交易過程

企業(yè)間電子商務(wù)交易過程大致可以分為交易前準(zhǔn)備、交易談判和簽訂合同、辦理交易前手續(xù)以及交易合同的履行和索賠四個(gè)階段。

(1)交易前的準(zhǔn)備

買賣雙方和參與交易的雙方在這一階段所作的簽約前的準(zhǔn)備活動(dòng)。買方根據(jù)自己要買的商品，準(zhǔn)備購(gòu)貨款，制訂購(gòu)貨計(jì)劃，進(jìn)行貨源的市場(chǎng)調(diào)查和分析，反復(fù)進(jìn)行市場(chǎng)查詢，通過交換信息來(lái)比較價(jià)格和條件，了解各個(gè)賣方國(guó)家的貿(mào)易政策，反復(fù)修改購(gòu)貨計(jì)劃和進(jìn)貨計(jì)劃，確定和審批購(gòu)貨計(jì)劃。利用Internet和各種電子商務(wù)網(wǎng)絡(luò)尋找自己滿意的商品和商家。然后修改并最后確定和審批購(gòu)貨計(jì)劃，再按計(jì)劃確定購(gòu)買商品的種類、規(guī)格、數(shù)量、價(jià)格、購(gòu)貨地點(diǎn)和交易方式等。而賣方則對(duì)自己所銷售的商品，進(jìn)行全面的市場(chǎng)調(diào)查和分析，了解各個(gè)買方國(guó)家的貿(mào)易政策，制訂各種銷售策略和銷售方式，制作廣告進(jìn)行宣傳，召開商品新聞發(fā)布會(huì)，利用Internet和各種電子商務(wù)網(wǎng)絡(luò)發(fā)布商品廣告等手段擴(kuò)大影響，尋找貿(mào)易伙伴和交易機(jī)會(huì)，擴(kuò)大貿(mào)易范圍和商品所占市場(chǎng)的份額。

參加交易的其他各方如中介、銀行金融機(jī)構(gòu)、信用卡、商檢系統(tǒng)、海關(guān)系統(tǒng)、保險(xiǎn)、稅務(wù)系統(tǒng)、運(yùn)輸公司等，買賣雙方都少不了要為電子商務(wù)交易做好準(zhǔn)備。

(2)交易談判和簽訂貿(mào)易合同

買賣雙方在這一階段利用電子商務(wù)系統(tǒng)對(duì)所有交易細(xì)節(jié)在網(wǎng)上談判，將雙方磋商的結(jié)果做成文件，即以書面文件形式和電子文件形式簽訂貿(mào)易合同。交易雙方可以利用現(xiàn)代電子通信設(shè)備和通信方法，經(jīng)過認(rèn)真談判和磋商后，將雙方在交易中的權(quán)利、所承擔(dān)的義務(wù)、所購(gòu)買商品的種類、數(shù)量、價(jià)格、交貨地點(diǎn)、交貨期、交易方式和運(yùn)輸方式、違約和索賠等均有明確的條款。全部以電子交易合同作出全面詳細(xì)的規(guī)定，合同雙方可以利用電子數(shù)據(jù)交換(EDI)進(jìn)行簽約，也可以通過數(shù)字簽名等方式簽約。

(3)辦理交易進(jìn)行前的手續(xù)

買賣雙方從簽訂合同到開始履行合同要辦理各種手續(xù)，這也是雙方在交易前的準(zhǔn)備過程。交易中要涉及到有關(guān)各方，即可能要涉及到中介、銀行金融機(jī)構(gòu)、信用卡、商檢系統(tǒng)、海關(guān)系統(tǒng)、保險(xiǎn)、稅務(wù)系統(tǒng)、運(yùn)輸公司等與交易有關(guān)的各方。買賣雙方要利用EDI與有關(guān)各方進(jìn)行各種電子票據(jù)和電子單證的交換，直到辦理完一切手續(xù)、商品開始發(fā)貨為止。

(4)交易合同的履行和索賠

這一階段是從買賣雙方辦完所有各種手續(xù)之后開始，賣方要備貨、組貨，進(jìn)行報(bào)關(guān)、保險(xiǎn)、取證、信用卡等手續(xù)，然后賣方將所購(gòu)商品交付給運(yùn)輸公司包裝、起運(yùn)、發(fā)貨。買賣雙方可以通過電子商務(wù)服務(wù)器跟蹤發(fā)出的貨物，金融機(jī)構(gòu)和銀行也按照合同，處理雙方收付款、并進(jìn)行結(jié)算，出具相應(yīng)的銀行單據(jù)等，當(dāng)買方收到所購(gòu)的商品，整個(gè)交易過程就完成了。索賠是在買賣雙方交易過程中出現(xiàn)違約時(shí)，需要進(jìn)行違約處理的工作，受損方按貿(mào)易合同有關(guān)條款向違約方進(jìn)行索賠。

二、電子商務(wù)中的信息安全問題、特性及威脅(一)、電子交易的安全概念、安全特性

電子商務(wù)安全是一個(gè)系統(tǒng)概念，不僅與計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)有關(guān)，還與電子商務(wù)應(yīng)用的環(huán)境、人員素質(zhì)和社會(huì)因素有關(guān)。其中交易的安全又是電子商務(wù)發(fā)展的核心和關(guān)鍵問題。交易對(duì)安全性的要求有如下幾個(gè)方面：(1)有效性，因?yàn)榻灰讓?duì)于交易雙方都是一件十分嚴(yán)肅的事情，雙方都對(duì)交易的信息認(rèn)可。(2)保密性，即要求交易的信息只有交易雙方知道，第三方不能通過網(wǎng)絡(luò)獲得。(3)完整性，包括過程的完整和數(shù)據(jù)資料的完整。(4)交易者身份的確定性，這是信用的前提。(5)交易的不可否認(rèn)性，要求在交易信息的傳輸過程中為參與交易的個(gè)人，企業(yè)和國(guó)家提供可靠的標(biāo)識(shí)。數(shù)據(jù)的安全主要包括數(shù)據(jù)的完整，不受損壞，不丟失。系統(tǒng)運(yùn)行的可靠性要求保證電子商務(wù)參與者能在交易的過程始終能與交易對(duì)象進(jìn)行信息資金的交換，保證交易不得中斷。

雖然各種有效的手段可以保證電子商務(wù)的基本安全，但是層出不窮的病毒入侵和黑客攻擊使得電子商務(wù)安全仍然是一個(gè)令人頭痛的問題，那么如何加強(qiáng)電子商務(wù)的安全呢？

防火墻可以保證對(duì)主機(jī)和應(yīng)用安全訪問，保證多種客戶機(jī)和服務(wù)器的安全性，保護(hù)關(guān)鍵部門不受到來(lái)自內(nèi)部和外部的攻擊，為通過Internet與遠(yuǎn)程訪問的雇員、客戶、供應(yīng)商提供安全渠道。

與傳統(tǒng)商務(wù)相比，電子商務(wù)具有許多特點(diǎn)：

其一，電子商務(wù)是一種快速、便捷、高效的交易方式。在電子商務(wù)中，信息的傳遞通過網(wǎng)絡(luò)完成，速度很快，可以節(jié)省寶貴的交易時(shí)間。

其二，電子商務(wù)是在公開環(huán)境下進(jìn)行的交易，其可以在全球范圍內(nèi)進(jìn)行交易。由于借助互聯(lián)網(wǎng)，這就使得經(jīng)濟(jì)交易突破了空間的限制；公開環(huán)境下的信息公開，使所有的企業(yè)可以平等地參與市場(chǎng)競(jìng)爭(zhēng)。

其三，在電子商務(wù)中，電子數(shù)據(jù)的傳遞、編制、發(fā)送、接收都由精密的電腦程序完成，更加精確、可靠。

（二）、電子商務(wù)中的信息安全問題及威脅

1、電子商務(wù)的安全問題?？偟膩?lái)說(shuō)分為二部分：一是網(wǎng)絡(luò)安全，二是商務(wù)安全。計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容包括：計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全，數(shù)據(jù)庫(kù)安 全，工作人員和環(huán)境等。其特征是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題，實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案，以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性為目標(biāo)。商務(wù)安全則緊緊圍繞 傳統(tǒng)商務(wù)在Internet上應(yīng)用時(shí)產(chǎn)生的各種安全問題，在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保障電子商務(wù)過程的順利進(jìn)行。即實(shí)現(xiàn)電子商務(wù)的保密性，完整性，可鑒別性，不可偽造性和不可依賴性。

在Internet上的電子商務(wù)交易過程中，最核心和最關(guān)鍵的問題就是交易的安全性。一般來(lái)說(shuō)商務(wù)安全中普遍存在著以下幾種安全隱患：

(1)竊取信息。由于未采用加密措施，數(shù)據(jù)信息在網(wǎng)絡(luò)上以明文形式傳送，入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規(guī)律和格式，進(jìn)而得到傳輸信息的內(nèi)容，造成網(wǎng)上傳輸信息泄密。

(2).惡意代碼。它們將繼續(xù)對(duì)所有的網(wǎng)絡(luò)系統(tǒng)構(gòu)成威脅，并且，其數(shù)量將隨著Internet 的發(fā)展和編程環(huán)境的豐富而增多，擴(kuò)散起來(lái)也更加便利，因此，造成的破壞也就越大。

(3)篡改信息。當(dāng)入侵者掌握了信息的格式和規(guī)律后，通過各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地。這種方法并不新鮮，在路由器或網(wǎng)關(guān)上都可以做此類工作。

(4)假冒。由于掌握了數(shù)據(jù)的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動(dòng)獲取信息，而遠(yuǎn)端用戶通常很難分辨。

(5)惡意破壞。由于攻擊者可以接入網(wǎng)絡(luò)，則可能對(duì)網(wǎng)絡(luò)中的信息進(jìn)行修改，掌握網(wǎng)上的機(jī)要信息，甚至可以潛入網(wǎng)絡(luò)內(nèi)部，其后果是非常嚴(yán)重的。

2、電子商務(wù)面臨的安全威脅。根據(jù)攻擊能力的組織結(jié)構(gòu)程度和使用的手段，可以將威脅歸納為四種基本類型：無(wú)組織結(jié)構(gòu)的內(nèi)部和外部威脅與有組織結(jié)構(gòu)的內(nèi)部和外部威脅。一般來(lái)講，對(duì)外部威脅，安全性強(qiáng)調(diào)防御；對(duì)內(nèi)部威脅，安全性強(qiáng)調(diào)威懾。

(1)病毒。病毒是由一些不正直的程序員所編寫的計(jì)算機(jī)程序，它采用了獨(dú)特的設(shè)計(jì)，可以在受到某個(gè)事件觸發(fā)時(shí)，復(fù)制自身，并感染計(jì)算機(jī)。如果在病毒可以通過某個(gè)外界來(lái)源進(jìn)入網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)才會(huì)感染病毒。

(2)惡意破壞程序。網(wǎng)站會(huì)提供一些軟件應(yīng)用的開發(fā)而變得更加活潑。這些應(yīng)用可以實(shí)現(xiàn)動(dòng)畫和其他一些特殊效果，從而使網(wǎng)站更具有吸引力和互動(dòng)性。惡意破壞程序是指會(huì)導(dǎo)致不同程度破壞的軟件應(yīng)用或者 Java 小程序。

(3)攻擊。目前已經(jīng)出現(xiàn)了各種類型的網(wǎng)絡(luò)攻擊，它們通常被分為三類：探測(cè)式攻擊，訪問攻擊和拒絕服務(wù)（DOS）攻擊。a.探測(cè)式攻擊實(shí)際上是信息采集活動(dòng)，黑客們通過這種攻擊搜集網(wǎng)絡(luò)數(shù)據(jù)，用于以后進(jìn)一步攻擊網(wǎng)。b.訪問攻擊用于發(fā)現(xiàn)身份認(rèn)證服務(wù)、文件傳輸協(xié)議（FTP）功能等網(wǎng)絡(luò)領(lǐng)域的漏洞，以訪問電子郵件賬號(hào)、數(shù)據(jù)庫(kù)和其他保密信息。c.DOS 攻擊可以防止用戶對(duì)于部分或者全部計(jì)算機(jī)系統(tǒng)的訪問。

(4)數(shù)據(jù)阻截。通過任何類型的網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸都可能會(huì)被未經(jīng)授權(quán)的一方截取。犯罪分子可能會(huì)竊聽通信信息，甚至更改被傳輸?shù)臄?shù)據(jù)分組。犯罪分子可以利用不同的方法來(lái)阻截?cái)?shù)據(jù)。

(5)垃圾信件。垃圾信件被廣泛用于表示那些主動(dòng)發(fā)出的電子郵件或者利用電子郵件廣為發(fā)送未經(jīng)申請(qǐng)的廣告信息的行為。垃圾信件通常是無(wú)害的，但是它可能會(huì)浪費(fèi)接收者的時(shí)間和存儲(chǔ)空間，帶來(lái)很多麻煩。

因此，隨著電子商務(wù)日益發(fā)展和普及，安全問題顯得異常突出，解決安全問題已成為我國(guó)電子商務(wù)發(fā)展的當(dāng)務(wù)之急。

三、防火墻的技術(shù)與體系結(jié)構(gòu)

（一）、什么是防火墻

防火墻是一個(gè)或一組在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行安全訪問控制策略的系統(tǒng),包括硬件和軟件,目的是保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被可疑人侵?jǐn)_，防止內(nèi)部受到外部的非法攻擊。本質(zhì)上，它遵從的是一種允許或阻止業(yè)務(wù)來(lái)往的網(wǎng)絡(luò)通信安全機(jī)制,也就是提供可控的過濾網(wǎng)絡(luò)通信，只允許授權(quán)的通訊。

（二）、使用防火墻的益處

(1)保護(hù)脆弱的服務(wù)

通過過濾不安全的服務(wù)，防火墻可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險(xiǎn)。例如，防火墻可以禁止NIS、NFS服務(wù)通過，防火墻同時(shí)可以拒絕源路由和ICMP重定向封包。

(2)集中的安全管理

防火墻對(duì)企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理，在防火墻定義的安全規(guī)則可以運(yùn)行于整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無(wú)須在內(nèi)部網(wǎng)每臺(tái)機(jī)器上分別設(shè)立安全策略。防火墻可以定義不同的認(rèn)證方法，而不需要在每臺(tái)機(jī)器上分別安裝特定的認(rèn)證軟件。外部用戶也只需要經(jīng)過一次認(rèn)證即可訪問內(nèi)部網(wǎng)。

(3)控制對(duì)系統(tǒng)的訪問

防火墻可以提供對(duì)系統(tǒng)的訪問控制。如允許從外部訪問某些主機(jī)，同時(shí)禁止訪問另外的主機(jī)。例如，防火墻允許外部訪問特定的Mail Server和Web Server。

(4)策略執(zhí)行

防火墻提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。未設(shè)置防火墻時(shí)，網(wǎng)絡(luò)安全取決于每臺(tái)主機(jī)的用戶。

(5)增強(qiáng)的保密性

使用防火墻可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，如Finger和DNS。防火墻可以提供統(tǒng)計(jì)數(shù)據(jù)，來(lái)判斷可能的攻擊和探測(cè)。并且，防火墻可以記錄和統(tǒng)計(jì)通過防火墻的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計(jì)數(shù)據(jù)。

四、防火墻的簡(jiǎn)介與使用的益處

（一）、防火墻的簡(jiǎn)介

一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊。

防火墻是為防止非法訪問或保護(hù)專用網(wǎng)絡(luò)而設(shè)計(jì)的一種系統(tǒng)。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

防火墻可用于硬件、軟件或二者的組合。防火墻常常被用于阻止非法的互聯(lián)網(wǎng)用戶訪問接入互聯(lián)網(wǎng)的專用網(wǎng)絡(luò)。所有的數(shù)據(jù)在進(jìn)入或離開內(nèi)部網(wǎng)絡(luò)時(shí)都要經(jīng)過防火墻，防火墻會(huì)檢查每個(gè)數(shù)據(jù)包，并且阻止那些不符合指定安全標(biāo)準(zhǔn)的數(shù)據(jù)包。

一般來(lái)說(shuō)，配置防火墻是為了防止外部無(wú)權(quán)限的交互式登錄。這有助于防止“黑客”從機(jī)器登錄到你的網(wǎng)絡(luò)。更復(fù)雜的防火墻能夠阻止從外部到內(nèi)部的流量，但允許內(nèi)網(wǎng)用戶更自由的與外部交流。

防火墻非常重要因?yàn)樗梢蕴峁﹩我坏淖柚裹c(diǎn),在這一點(diǎn)上可以采取安全和審計(jì)措施。防火墻提供了一個(gè)重要的記錄和審計(jì)功能；它們經(jīng)常為管理員提供關(guān)于已處理過的流量類型和數(shù)值的摘要。這是個(gè)非常重要的“點(diǎn)”，因?yàn)樽柚裹c(diǎn)在網(wǎng)絡(luò)中的作用相當(dāng)于警衛(wèi)保衛(wèi)財(cái)產(chǎn)。

從理論上說(shuō)，有兩種類型的防火墻：應(yīng)用層防火墻和網(wǎng)絡(luò)層防火墻

它們的區(qū)別可能與你所想的不一致。二者的區(qū)別取決于防火墻使用的使流量從一個(gè)安全區(qū)到另一個(gè)安全區(qū)所采用的機(jī)制。國(guó)際標(biāo)準(zhǔn)化組織（ISO）開放系統(tǒng)互聯(lián)(OSI)模型把網(wǎng)絡(luò)分成七層，每一層都為上一層服務(wù)。更重要的是要認(rèn)識(shí)到轉(zhuǎn)發(fā)機(jī)制所在的層次越低，防火墻的檢查就越少。

（1）應(yīng)用層防火墻

應(yīng)用層防火墻通常是代理服務(wù)器運(yùn)行的主機(jī)，它不允許網(wǎng)絡(luò)之間直接的流量，并在流量通過時(shí)做詳細(xì)的記錄和檢查。由于代理應(yīng)用程序只是防火墻上運(yùn)行的軟件，所以可在這做大量的記錄和訪問控制。應(yīng)用層防火墻可用于網(wǎng)絡(luò)地址轉(zhuǎn)換，是因?yàn)樵趹?yīng)用程序有效地偽裝初始連接的來(lái)源之后流量可以從一邊進(jìn)入，另一邊出去。

在某些情況下，有一個(gè)應(yīng)用程序的方式可能會(huì)影響防火墻的性能，并可能會(huì)使防火墻降低透明度。早期的應(yīng)用層防火墻對(duì)終端用戶不是特別透明，并且還可能需要進(jìn)行一些培訓(xùn)。然而，許多現(xiàn)代應(yīng)用層防火墻是完全透明的。與網(wǎng)絡(luò)層防火墻相比，應(yīng)用層防火墻趨于提供更細(xì)化的審計(jì)報(bào)告，實(shí)行更保守的安全模型。

（2）網(wǎng)絡(luò)層防火墻

這種類型決定了它的判定一般是基于源地址、目的地址及獨(dú)立IP包中的端口。一個(gè)簡(jiǎn)單的路由器就是一個(gè)傳統(tǒng)意義上的網(wǎng)絡(luò)層防火墻，因?yàn)樗荒茏龀鰪?fù)雜的判斷，如數(shù)據(jù)包的發(fā)送目標(biāo)和來(lái)源?，F(xiàn)代的網(wǎng)絡(luò)層防火墻變得更復(fù)雜得多，并且會(huì)隨時(shí)關(guān)注通過防火墻的連接狀態(tài)的信息。

另一個(gè)重要的不同于許多網(wǎng)絡(luò)層防火墻的是它們可使流量直接通過，因此在使用時(shí)，你需要一個(gè)有效分配的IP地址塊，或者是專用網(wǎng)絡(luò)地址塊。網(wǎng)絡(luò)層防火墻的發(fā)展很迅速，對(duì)于用戶來(lái)說(shuō)幾乎是透明的。

未來(lái)的防火墻將處于應(yīng)用層防火墻和網(wǎng)絡(luò)層防火墻之間。網(wǎng)絡(luò)層防火墻可能會(huì)逐漸意識(shí)到經(jīng)過它們的信息，應(yīng)用層防火墻可能會(huì)變得越來(lái)越透明。最終將會(huì)是一種在數(shù)據(jù)通過時(shí)進(jìn)行記錄和檢查的快速分組篩選系統(tǒng)。

在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻可以是硬件型的，所有數(shù)據(jù)都首先通過硬件芯片監(jiān)測(cè)，也可以是軟件類型，軟件在電腦上運(yùn)行并監(jiān)控，其實(shí)硬件型也就是芯片里固化了的軟件，但是它不占用計(jì)算機(jī)CPU處理時(shí)間，可以功能作的非常強(qiáng)大處理速度很快，對(duì)于個(gè)人用戶來(lái)說(shuō)軟件型更加方便實(shí)在。

（二）、防火墻的體系結(jié)構(gòu)

防火墻對(duì)于企業(yè)網(wǎng)絡(luò)的防御系統(tǒng)來(lái)說(shuō)，是一個(gè)不可缺少的基礎(chǔ)設(shè)施。在選擇防火墻防火墻時(shí)，我們首先考慮的就是需要一個(gè)什么結(jié)構(gòu)的產(chǎn)品，防火墻發(fā)展到今天，很多產(chǎn)品已經(jīng)越來(lái)越象是一個(gè)網(wǎng)絡(luò)安全的工具箱，工具的多少固然很重要，但系統(tǒng)的結(jié)構(gòu)卻是一個(gè)起決定性作用的前提。因?yàn)榉阑饓Φ慕Y(jié)構(gòu)決定了這些工具的組合能力，決定了當(dāng)你在某種場(chǎng)合需要一個(gè)系統(tǒng)聲稱提供的功能的時(shí)候是不是真的能夠用得上。

防火墻的基本結(jié)構(gòu)可以分為包過濾和應(yīng)用代理兩種。包過濾技術(shù)關(guān)注的是網(wǎng)絡(luò)層和傳輸層的保護(hù)，而應(yīng)用代理則更關(guān)心應(yīng)用層的保護(hù)。

包過濾是歷史最久遠(yuǎn)的防火墻技術(shù)，從實(shí)現(xiàn)上分，又可以分為簡(jiǎn)單包過濾和狀態(tài)檢測(cè)的包過濾兩種。

簡(jiǎn)單包過濾是對(duì)單個(gè)包的檢查，目前絕大多數(shù)路由器產(chǎn)品都提供這樣的功能，所以如果你已經(jīng)有邊界路由器，那么完全沒有必要購(gòu)買一個(gè)簡(jiǎn)單包過濾的防火墻產(chǎn)品。由于這類技術(shù)不能跟蹤TCP的狀態(tài)，所以對(duì)TCP層的控制是有漏洞的，比如當(dāng)你在這樣的產(chǎn)品上配置了僅允許從內(nèi)到外的TCP訪問時(shí)，一些以TCP應(yīng)答包的形式進(jìn)行的攻擊仍然可以從外部通過防火墻對(duì)內(nèi)部的系統(tǒng)進(jìn)行攻擊。簡(jiǎn)單包過濾的產(chǎn)品由于其保護(hù)的不完善，在99年以前國(guó)外的防火墻市場(chǎng)上就已經(jīng)不存在了，但是目前國(guó)內(nèi)研制的產(chǎn)品仍然有很多采用的是這種簡(jiǎn)單包過濾的技術(shù)，從這點(diǎn)上可以說(shuō)，國(guó)內(nèi)產(chǎn)品的平均技術(shù)水準(zhǔn)至少比國(guó)外落后2到3年。

狀態(tài)檢測(cè)的包過濾利用狀態(tài)表跟蹤每一個(gè)網(wǎng)絡(luò)會(huì)話的狀態(tài)，對(duì)每一個(gè)包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會(huì)話所處的狀態(tài)。因而提供了更完整的對(duì)傳輸層的控制能力。同時(shí)由于一系列優(yōu)化技術(shù)的采用，狀態(tài)檢測(cè)包過濾的性能也明顯優(yōu)于簡(jiǎn)單包過濾產(chǎn)品，尤其是在一些規(guī)則復(fù)雜的大型網(wǎng)絡(luò)上。

順便提一下免費(fèi)軟件中的包過濾技術(shù)，比較典型的是OpenBSD 和Linux中的IP Filter和IP Chains。一些有較強(qiáng)技術(shù)能力的網(wǎng)絡(luò)管理人員喜歡利用這樣的軟件自己配置成防火墻。但是從實(shí)現(xiàn)的原理上分析，雖然它們提供了對(duì)TCP狀態(tài)位的檢查，但是由于沒有跟蹤TCP的狀態(tài)，所以仍然是簡(jiǎn)單包過濾。值得關(guān)注的是Linux2.4中的IP Table，從其名稱就可以看出，它在進(jìn)行過濾時(shí)建立了一個(gè)用來(lái)記錄狀態(tài)信息的Table，已經(jīng)具備了狀態(tài)檢測(cè)技術(shù)的基本特征。

包過濾結(jié)構(gòu)的最大的優(yōu)點(diǎn)是部署容易，對(duì)應(yīng)用透明。一個(gè)產(chǎn)品如果保護(hù)功能十分強(qiáng)大，但是不能加到你的網(wǎng)絡(luò)中去，那么這個(gè)產(chǎn)品所提供的保護(hù)就毫無(wú)意義，而包過濾產(chǎn)品則很容易安裝到用戶所需要控制的網(wǎng)絡(luò)節(jié)點(diǎn)上，對(duì)用戶的應(yīng)用系統(tǒng)則幾乎沒有影響。特別是近來(lái)出現(xiàn)的透明方式的包過濾防火墻，由于采用了網(wǎng)橋技術(shù)，幾乎可以部署在任何的以太網(wǎng)線路上，而完全不需要改動(dòng)原來(lái)的拓?fù)浣Y(jié)構(gòu)。

包過濾的另一個(gè)優(yōu)點(diǎn)是性能，狀態(tài)檢測(cè)包過濾是各種防火墻結(jié)構(gòu)中在吞吐能力上最具優(yōu)勢(shì)的結(jié)構(gòu)。

但是對(duì)于防火墻產(chǎn)品來(lái)說(shuō)，畢竟安全是首要的因素，包過濾防火墻對(duì)于網(wǎng)絡(luò)控制的依據(jù)仍然是IP地址和服務(wù)端口等基本的傳輸層以下的信息。對(duì)于應(yīng)用層則缺少足夠的保護(hù)，而大量的網(wǎng)絡(luò)攻擊是利用應(yīng)用系統(tǒng)的漏洞實(shí)現(xiàn)的。

應(yīng)用代理防火墻可以說(shuō)就是為防范應(yīng)用層攻擊而設(shè)計(jì)的。應(yīng)用代理也算是一個(gè)歷史比較長(zhǎng)的技術(shù)，最初的代表是TIS工具包，現(xiàn)在這個(gè)工具包也可以在網(wǎng)絡(luò)上免費(fèi)得到，它是一組代理的集合。代理的原理是徹底隔斷兩端的直接通信，所有通信都必須經(jīng)應(yīng)用層的代理轉(zhuǎn)發(fā)，訪問者任何時(shí)候都不能直接與服務(wù)器建立直接的TCP連接，應(yīng)用層的協(xié)議會(huì)話過程必須符合代理的安全策略的要求。針對(duì)各種應(yīng)用協(xié)議的代理防火墻提供了豐富的應(yīng)用層的控制能力?？梢赃@樣說(shuō)，狀態(tài)檢測(cè)包過濾規(guī)范了網(wǎng)絡(luò)層和傳輸層行為，而應(yīng)用代理則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。

對(duì)于使用代理防火墻的用戶來(lái)說(shuō)，在得到安全性的同時(shí)，用戶也需要付出其它的代價(jià)。代理技術(shù)的一個(gè)主要的弱點(diǎn)是缺乏對(duì)應(yīng)用的透明性，這個(gè)缺陷幾乎可以說(shuō)是天生的，因?yàn)樗挥形挥趹?yīng)用會(huì)話的中間環(huán)節(jié)，才會(huì)對(duì)會(huì)話進(jìn)行控制，而幾乎所有的應(yīng)用協(xié)議在設(shè)計(jì)時(shí)都不

認(rèn)為中間應(yīng)該有一個(gè)防火墻存在。這使得對(duì)于許多應(yīng)用協(xié)議來(lái)說(shuō)實(shí)現(xiàn)代理是相當(dāng)困難的。代理防火墻通常是一組代理的集合，需要為每一個(gè)支持的應(yīng)用協(xié)議實(shí)現(xiàn)專門的功能，所以對(duì)于使用代理防火墻的用戶來(lái)說(shuō)經(jīng)常遇到的問題是防火墻是不支持某個(gè)正在使用的應(yīng)用協(xié)議，要么放棄防火墻，要么放棄應(yīng)用。特別是在一個(gè)復(fù)雜的分布計(jì)算的網(wǎng)絡(luò)環(huán)境下，幾乎無(wú)法成功的部署一個(gè)代理結(jié)構(gòu)的防火墻，而這種情況在企業(yè)內(nèi)部網(wǎng)進(jìn)行安全區(qū)域分割是尤其明顯。

代理的另一個(gè)無(wú)法回避的缺陷是性能很差。代理防火墻必須建立在操作系統(tǒng)提供的socket服務(wù)接口之上，其對(duì)每個(gè)訪問實(shí)例的處理代價(jià)和資源消耗接近于Web服務(wù)器的兩倍。這使得應(yīng)用代理防火墻的性能通常很難超過45Mbps的轉(zhuǎn)發(fā)速率和1000個(gè)并發(fā)訪問。對(duì)于一個(gè)繁忙的站點(diǎn)來(lái)說(shuō)，這是很難接受的性能。

代理防火墻的技術(shù)發(fā)展遠(yuǎn)沒有包過濾技術(shù)活躍，比較一下幾年以前的TIS和現(xiàn)在的代理類型的商用產(chǎn)品，在核心技術(shù)上幾乎沒有什么變化，變化的主要是增加了協(xié)議的種類。同時(shí)為了克服代理種類有限的局限性，很多代理防火墻同時(shí)也提供了狀態(tài)檢測(cè)包過濾的能力，當(dāng)用戶遇到防火墻不能支持的應(yīng)用協(xié)議時(shí)，就以包過濾的方式讓其通過。由于很難將這兩者的安全策略結(jié)合在一起，所以混合型的產(chǎn)品通常更難于配置，也很難真正的結(jié)合兩者的長(zhǎng)處。

狀態(tài)檢測(cè)包過濾和應(yīng)用代理這兩種技術(shù)目前仍然是防火墻市場(chǎng)中普遍采用的主流技術(shù)，但兩種技術(shù)正在形成一種融合的趨勢(shì)，演變的結(jié)果也許會(huì)導(dǎo)致一種新的結(jié)構(gòu)名稱的出現(xiàn)。我們?cè)贜etEye防火墻中以狀態(tài)檢測(cè)包過濾為基礎(chǔ)實(shí)現(xiàn)了一種我們暫時(shí)稱之為“流過濾”的結(jié)構(gòu)，其基本的原理是在防火墻外部仍然是包過濾的形態(tài)，工作在鏈路層或IP層，在規(guī)則允許下，兩端可以直接的訪問，但是對(duì)于任何一個(gè)被規(guī)則允許的訪問在防火墻內(nèi)部都存在兩個(gè)完全獨(dú)立的TCP會(huì)話，數(shù)據(jù)是以“流”的方式從一個(gè)會(huì)話流向另一個(gè)會(huì)話，由于防火墻的應(yīng)用層策略位于流的中間，因此可以在任何時(shí)候代替服務(wù)器或客戶端參與應(yīng)用層的會(huì)話，從而起到了與應(yīng)用代理防火墻相同的控制能力。比如在NetEye防火墻對(duì)SMTP協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實(shí)現(xiàn)完全的對(duì)郵件的存儲(chǔ)轉(zhuǎn)發(fā)，并實(shí)現(xiàn)豐富的對(duì)SMTP協(xié)議的各種攻擊的防范功能。

“流過濾”的另一個(gè)優(yōu)勢(shì)在于性能，完全為轉(zhuǎn)發(fā)目的而重新實(shí)現(xiàn)的TCP協(xié)議棧相對(duì)于以自身服務(wù)為目的的操作系統(tǒng)中的TCP協(xié)議棧來(lái)說(shuō)，消耗資源更少而且更加高效，如果你需要一個(gè)能夠支持幾千個(gè)，甚至數(shù)萬(wàn)個(gè)并發(fā)訪問，同時(shí)又有相當(dāng)于代理技術(shù)的應(yīng)用層防護(hù)能力的系統(tǒng)，“流過濾”結(jié)構(gòu)幾乎是唯一的選擇。

防火墻技術(shù)發(fā)展這么多年，已經(jīng)成為了網(wǎng)絡(luò)安全中最為成熟的技術(shù)，是安全管理員手中有效的防御工具。但是防火墻本身的核心技術(shù)的進(jìn)步卻從來(lái)沒有停止過，事實(shí)上，任何一個(gè)

安全產(chǎn)品或技術(shù)都不能提供永遠(yuǎn)的安全，因?yàn)榫W(wǎng)絡(luò)在變化，應(yīng)用在變化，入侵的手段在變化。對(duì)于防火墻來(lái)說(shuō)，技術(shù)的不斷進(jìn)步才是真實(shí)的保障。

五、防火墻常用技術(shù)和性能

（一）、防火墻的四種基本類型

根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測(cè)型。

（1）、包過濾型

包過濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些“包”是否來(lái)自可信任的安全站點(diǎn) ,一旦發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則。

包過濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用,實(shí)現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。

但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來(lái)源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無(wú)法識(shí)別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址,騙過包過濾型防火墻。

（2）、網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址。

在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，讓這個(gè)偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí)，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個(gè)開放的IP地址和端口來(lái)請(qǐng)求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來(lái)判斷這個(gè)訪問是否安全。當(dāng)符合規(guī)則時(shí)，防火墻認(rèn)為訪問是安全的，可以接受訪問請(qǐng)求，也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí)，防火墻認(rèn)為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請(qǐng)求。

網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對(duì)于用戶來(lái)說(shuō)是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。

（3）、代理型

代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來(lái)看,代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù)器來(lái)看,代理服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。

代理型防火墻的優(yōu)點(diǎn)是安全性較高,可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描,對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。

（4）、監(jiān)測(cè)型

監(jiān)測(cè)型防火墻是新一代的產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè),在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入。同時(shí),這種檢測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器,這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中,不僅能夠檢測(cè)來(lái)自網(wǎng)絡(luò)外部的攻擊,同時(shí)對(duì)來(lái)自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì),在針對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來(lái)自網(wǎng)絡(luò)內(nèi)部。因此,監(jiān)測(cè)型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品

雖然監(jiān)測(cè)型防火墻安全性上已超越了包過濾型和代理服務(wù)器型防火墻,但由于監(jiān)測(cè)型防火墻技術(shù)的實(shí)現(xiàn)成本較高,也不易管理,所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主,但在某些方面也已經(jīng)開始使用監(jiān)測(cè)型防火墻?；趯?duì)系統(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測(cè)型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求,同時(shí)也能有效地控制安全系統(tǒng)的總擁有成本。

實(shí)際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢(shì),大多數(shù)代理服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包過濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢(shì)。由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng)關(guān)能提供對(duì)協(xié)議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應(yīng)用,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點(diǎn),使得應(yīng)用過程中的矛盾主要集中在對(duì)多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對(duì)網(wǎng)絡(luò)整體性能的影響上。

（二）、防火墻的選擇

網(wǎng)絡(luò)防火墻技術(shù)的作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障，是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù)，就其產(chǎn)品的主流趨勢(shì)而言，大多數(shù)代理服務(wù)器（也稱應(yīng)用網(wǎng)關(guān)）也集成了包濾技術(shù)，這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用更具有大的優(yōu)勢(shì)。那么我們究竟應(yīng)該在哪些地方部署防火墻呢?首先,應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處,以阻擋來(lái)自外部網(wǎng)絡(luò)的入侵;其次,如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大,并且設(shè)置有虛擬局域網(wǎng)(VLAN),則應(yīng)該在各個(gè)VLAN之間設(shè)置防火墻;第三,通過公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間也應(yīng)該設(shè)置防火墻,如果有條件,還應(yīng)該同時(shí)將總部與各分支機(jī)構(gòu)組成虛擬專用網(wǎng)(VPN)。

安裝防火墻的基本原則是:只要有惡意侵入的可能,無(wú)論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處,都應(yīng)該安裝防火墻。選擇防火墻的標(biāo)準(zhǔn)有很多,但最重要的是以下幾條:（1）總擁有成本防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障,其總擁有成本(TCO)不應(yīng)該超過受保護(hù)網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。以一個(gè)非關(guān)鍵部門的網(wǎng)絡(luò)系統(tǒng)為例,假如其系統(tǒng)中的所有信息及所支持應(yīng)用的總價(jià)值為10萬(wàn)元,則該部門所配備防火墻的總成本也不應(yīng)該超過10萬(wàn)元。當(dāng)然,對(duì)于關(guān)鍵部門來(lái)說(shuō),其所造成的負(fù)面影響和連帶損失也應(yīng)考慮在內(nèi)。如果僅做粗略估算,非關(guān)鍵部門的防火墻購(gòu)置成本不應(yīng)該超過網(wǎng)絡(luò)系統(tǒng)的建設(shè)總成本,關(guān)鍵部門則應(yīng)另當(dāng)別論。

（2）防火墻本身是安全的。作為信息系統(tǒng)安全產(chǎn)品,防火墻本身也應(yīng)該保證安全,不給外部侵入者以可乘之機(jī)。如果像馬其頓防線一樣,正面雖然牢不可破,但進(jìn)攻者能夠輕易地繞過防線進(jìn)入系統(tǒng)內(nèi)部,網(wǎng)絡(luò)系統(tǒng)也就沒有任何安全性可言了。

通常,防火墻的安全性問題來(lái)自兩個(gè)方面:其一是防火墻本身的設(shè)計(jì)是否合理,這類問題一般用戶根本無(wú)從入手,只有通過權(quán)威認(rèn)證機(jī)構(gòu)的全面測(cè)試才能確定。所以對(duì)用戶來(lái)說(shuō),保守的方法是選擇一個(gè)通過多家權(quán)威認(rèn)證機(jī)構(gòu)測(cè)試的產(chǎn)品。其二是使用不當(dāng)。一般來(lái)說(shuō),防火墻的許多配置需要系統(tǒng)管理員手工修改,如果系統(tǒng)管理員對(duì)防火墻不十分熟悉,就有可能在配置過程中遺留大量的安全漏洞。

（3）管理與培訓(xùn)。管理和培訓(xùn)是評(píng)價(jià)一個(gè)防火墻好壞的重要方面。我們已經(jīng)談到,在計(jì)算防火墻的成本時(shí),不能只簡(jiǎn)單地計(jì)算購(gòu)置成本,還必須考慮其總擁有成本。人員的培訓(xùn)和日常維護(hù)費(fèi)用通常會(huì)在TCO中占據(jù)較大的比例。一家優(yōu)秀秀的安全產(chǎn)品供應(yīng)商必須為其用戶提供良好的培訓(xùn)和售后服務(wù)。

（4）可擴(kuò)充性。在網(wǎng)絡(luò)系統(tǒng)建設(shè)的初期,由于內(nèi)部信息系統(tǒng)的規(guī)模較小,遭受攻擊造成的損失也較小,因此沒有必要購(gòu)置過于復(fù)雜和昂貴的防火墻產(chǎn)品。但隨著網(wǎng)絡(luò)的擴(kuò)容和網(wǎng)絡(luò)應(yīng)用的增加,網(wǎng)絡(luò)的風(fēng)險(xiǎn)成本也會(huì)急劇上升,此時(shí)便需要增加具有更高安全性的防火墻產(chǎn)品。如果早期購(gòu)置的防火墻沒有可擴(kuò)充性,或擴(kuò)充成本極高,這便是對(duì)投資的浪費(fèi)。好的產(chǎn)品應(yīng)該留給用戶足夠的彈性空間,在安全水平要求不高的情況下,可以只選購(gòu)基本系統(tǒng),而隨著要求的提高,用戶仍然有進(jìn)一步增加選件的余地。這樣不僅能夠保護(hù)用戶的投資,對(duì)提供防火墻產(chǎn)品的廠商來(lái)說(shuō),也擴(kuò)大了產(chǎn)品覆蓋面。

（5）防火墻的安全性。防火墻產(chǎn)品最難評(píng)估的方面是防火墻的安全性能,即防火墻是否能夠有效地阻擋外部入侵。這一點(diǎn)同防火墻自身的安全性一樣,普通用戶通常無(wú)法判斷。即使安裝好了防火墻,如果沒有實(shí)際的外部入侵,也無(wú)從得知產(chǎn)品性能的優(yōu)劣。但在實(shí)際應(yīng)用中檢測(cè)安全產(chǎn)品的性能是極為危險(xiǎn)的,所以用戶在選擇防火墻產(chǎn)品時(shí),應(yīng)該盡量選擇占市場(chǎng)份額較大同時(shí)又通過了權(quán)威認(rèn)證機(jī)構(gòu)認(rèn)證測(cè)試的產(chǎn)品。

六、結(jié)論

隨著電子商務(wù)的不斷發(fā)展，安全是保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素，防火墻技術(shù)必將在網(wǎng)絡(luò)安全方面著發(fā)揮更加重要的作用和價(jià)值。

七、參考文獻(xiàn)

1、《電子商務(wù)》 翟才喜 楊敬杰主編 東北財(cái)經(jīng)大學(xué)出版社 2002.2

2、《中國(guó)電子商務(wù)年鑒》2003 卷

第五篇：防火墻的技術(shù)與應(yīng)用-選購(gòu)和應(yīng)用

防火墻的技術(shù)與應(yīng)用-選購(gòu)和應(yīng)用(5)

個(gè)人防火墻市場(chǎng)漫步

網(wǎng)絡(luò)的高速發(fā)展已促使信息時(shí)代以網(wǎng)絡(luò)為核心發(fā)生了深刻的變革，許多人遨游在網(wǎng)絡(luò)這個(gè)虛擬世界里時(shí)，并沒有意識(shí)到有人正在監(jiān)視著你的一舉一動(dòng)。網(wǎng)友通過OICQ和你一邊親密地聊天，一邊卻在偷窺你電腦硬盤里的私人資料，而他“共享”你的電腦就像用自己的一樣，你的文件隨時(shí)有可能成為他的囊中之物，硬盤也有可能“不經(jīng)意”地給格式化掉了。也許就在你為了隱藏自己的身份與對(duì)方周旋的時(shí)候，他已經(jīng)在竊笑了。在以入侵他人計(jì)算機(jī)系統(tǒng)為樂的黑客眼里，你的電腦對(duì)他來(lái)說(shuō)是透明的。

請(qǐng)記住：黑客肆無(wú)忌憚的攻擊無(wú)處不在，網(wǎng)絡(luò)安全對(duì)于個(gè)人用戶而言并不是一個(gè)遙遠(yuǎn)的話題。在你上網(wǎng)瀏覽，從網(wǎng)上下載軟件接收郵件隨時(shí)都有可能讓病毒和木馬混進(jìn)來(lái)。在網(wǎng)上購(gòu)物、用信用卡進(jìn)行網(wǎng)上支付、買賣股票或者通過在線銀行進(jìn)行轉(zhuǎn)賬等操作的時(shí)候，隨時(shí)隨地都存在威脅。這些惡意攻擊導(dǎo)致的結(jié)果就是：上網(wǎng)賬號(hào)被竊取，銀行賬號(hào)被盜用，密碼被修改，甚至整個(gè)系統(tǒng)全線癱瘓。其實(shí)，想遠(yuǎn)程獲取你硬盤里的內(nèi)容并不需要人們所想象中出神入化的技術(shù)，只要會(huì)使用一些黑客工具就已經(jīng)足夠了，因?yàn)樵S多智能化的黑客工具在20萬(wàn)多個(gè)黑客網(wǎng)站中可以輕易地下載。

新一代的黑客們不但自己攻擊別人，還編寫了各種各樣的黑客工具放在網(wǎng)上供人們自由免費(fèi)下載。同時(shí)，黑客工具版本的升級(jí)出乎人們意料的快。譬如，專家們正當(dāng)發(fā)出警告：制造出肆虐一時(shí)的“庫(kù)爾尼科娃病毒”的SubSeven黑客工具軟件2.0版已經(jīng)問世，才過幾個(gè)小時(shí)，就又發(fā)現(xiàn)一個(gè)更新的升級(jí)版本呱呱落地了?，F(xiàn)在的黑客工具功能越來(lái)越強(qiáng)大，使用這個(gè)工具更容易催生出智能突破電腦網(wǎng)絡(luò)防線的黑客軟件來(lái)。

今年初，某著名的網(wǎng)絡(luò)安全公司舉行了一個(gè)“一千個(gè)傷心的理由”--互聯(lián)網(wǎng)不安全因素問卷調(diào)查。經(jīng)過統(tǒng)計(jì)，在調(diào)查問卷中所列出的眾多令人頭疼的互聯(lián)網(wǎng)不安全因素中，最令網(wǎng)友擔(dān)心的是(按得票多少)排第三的是：網(wǎng)上購(gòu)物時(shí)，我擔(dān)心我提供給網(wǎng)站的個(gè)人信息會(huì)被非法利用；第四是：上網(wǎng)時(shí)，我的電腦資源會(huì)不會(huì)暴露；第五是：網(wǎng)上聊天時(shí)IP地址被盜用；第六；訪問某些網(wǎng)站時(shí)，某些程序自動(dòng)下載到我的電腦；第八：如何才能避開有害的cookies；第九：訪問陌生網(wǎng)站是否安全。從上面的調(diào)查來(lái)看，信息安全越來(lái)越引起人們的注意，個(gè)人隱私權(quán)越來(lái)越受到重視。據(jù)悉，個(gè)人隱私的保護(hù)已被列為網(wǎng)絡(luò)經(jīng)濟(jì)面臨的八大倫理難題之首。

另外，根據(jù)一份國(guó)際統(tǒng)計(jì)資料顯示，平均有大約30%的個(gè)人電腦遭受過惡意攻擊，這個(gè)比例在網(wǎng)絡(luò)較為發(fā)達(dá)的國(guó)家還要高，在中國(guó)的比例要低一些，但隨著我國(guó)上網(wǎng)人數(shù)和上網(wǎng)計(jì)算機(jī)的增加，這個(gè)數(shù)字正在呈上升的趨勢(shì)。互聯(lián)網(wǎng)萌發(fā)的早期重點(diǎn)放在發(fā)展，時(shí)至今天，衍生出來(lái)的網(wǎng)絡(luò)安全問題卻是每個(gè)網(wǎng)民必須面對(duì)，不容回避的新生問題。我們必須積極采取措施以捍衛(wèi)自己精彩的網(wǎng)絡(luò)生活。方法是多種多樣的，減少在網(wǎng)上的逗留時(shí)間、感覺到攻擊立刻強(qiáng)行斷線、提高警惕性等等，當(dāng)然，最穩(wěn)妥的辦法莫過于選擇一個(gè)適和個(gè)人用戶的防火墻了。

個(gè)人防火墻是安裝在每臺(tái)PC機(jī)上的軟件，個(gè)人防火墻不必象企業(yè)防火墻那樣導(dǎo)入特定的網(wǎng)絡(luò)設(shè)備，僅僅在用戶所使用的PC上安裝軟件即可。由于管理者可以遠(yuǎn)距離地進(jìn)行設(shè)置和管理，終端用戶在使用時(shí)感覺不到防火墻的存在，極為適合個(gè)人和小企業(yè)等使用。而且，它也可以象防病毒軟件那樣地安裝在公司內(nèi)部的LAN（Local Area Net 局域網(wǎng)）終端上。

個(gè)人防火墻能捍衛(wèi)PC和機(jī)密資料，使其避免受網(wǎng)絡(luò)漫游可能造成的安全威脅。即使計(jì)算機(jī)每天連接網(wǎng)絡(luò)的時(shí)間并不長(zhǎng)，但智能的惡意入侵程序依然可以找到它。利用寬頻上網(wǎng)（包括通過纜線調(diào)制解調(diào)器或 ADSL 線路上網(wǎng)），長(zhǎng)時(shí)間處于聯(lián)機(jī)狀態(tài)的企業(yè)和個(gè)人用戶最容易受到黑客攻擊，危險(xiǎn)指數(shù)更高。寬帶帶給人們上網(wǎng)高流速的便利，人人都在期盼寬帶時(shí)代早點(diǎn)到來(lái)，可極少人留意到寬帶對(duì)網(wǎng)絡(luò)和個(gè)人隱私所帶來(lái)潛在的安全隱患。如果用戶上網(wǎng)時(shí)未在計(jì)算機(jī)上做好正確的安全措施，寬帶將降低黑客攻擊的難度，因?yàn)楸M管寬帶使連接速度更快，但互聯(lián)網(wǎng)協(xié)議地址基本保持不變，不象通過調(diào)制解調(diào)器撥號(hào)上網(wǎng)的用戶那樣每撥一次電話他們的IP地址就會(huì)改變一次，故相當(dāng)于永遠(yuǎn)有一條通途直達(dá)被攻擊的計(jì)算機(jī)。國(guó)外前不久曾做過這樣一個(gè)實(shí)驗(yàn)，在一個(gè)受到控制的環(huán)境下，經(jīng)一個(gè)月的調(diào)查，得出結(jié)論：長(zhǎng)時(shí)間上網(wǎng)者受黑客攻擊的幾率高達(dá)95%。

在網(wǎng)絡(luò)上執(zhí)行任何工作時(shí)，個(gè)人防火墻都會(huì)阻止網(wǎng)絡(luò)服務(wù)器在背景竊取您的電子郵件地址或其它個(gè)人信息。你可以選擇哪些信息需要保密，而不會(huì)不慎把這些信息發(fā)送到不安全的網(wǎng)站。這樣，還可以防止網(wǎng)站服務(wù)器在你不察覺的情況下跟蹤你的電子郵件地址和其它個(gè)人信息。

由于雅虎，微軟，Intel等大型網(wǎng)站接二連三遭到黑客入侵，加上各大媒體的宣傳，防火墻愈發(fā)受到用戶認(rèn)識(shí)和青睞，防火墻生產(chǎn)廠商正在大幅度增加市場(chǎng)銷售額。而且防火墻在一段時(shí)期之內(nèi)仍會(huì)出現(xiàn)銷量猛增的局面，其增長(zhǎng)的動(dòng)力主要來(lái)源于中小型企業(yè)以及家用電腦用戶。今后幾年這一增長(zhǎng)趨勢(shì)還將繼續(xù)，而且平均增長(zhǎng)率預(yù)計(jì)可達(dá)到38.7%，以往防火墻主要針對(duì)網(wǎng)上交易頻繁且易受黑客攻擊的大型企業(yè)和保密性強(qiáng)的機(jī)構(gòu)，許多安全產(chǎn)品廠商只是重視大型網(wǎng)絡(luò)安全，對(duì)個(gè)人安全市場(chǎng)比較忽視。但隨著黑客攻擊事件的不斷增加（現(xiàn)在世界上平均每20秒就有一起黑客事件發(fā)生）和人們對(duì)黑客攻擊嚴(yán)重性的意識(shí)與日俱增，這種情況近期被打破，防火墻廠商開始研發(fā)低價(jià)位產(chǎn)品。所謂未雨綢繆，許多小型企業(yè)和個(gè)人用戶也開始購(gòu)買防火墻。

2001年7月，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）公布了“中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告”。報(bào)告表明：我國(guó)上網(wǎng)計(jì)算機(jī)數(shù)為約1002萬(wàn)臺(tái)，上網(wǎng)用戶人數(shù)為約2650萬(wàn)人，其中家庭用戶占了61%?！爸袊?guó)互聯(lián)網(wǎng)的使用目前基本上還處于個(gè)人運(yùn)用階段”國(guó)務(wù)院新聞辦公室主任趙啟正如是說(shuō)。因此，個(gè)人防火墻的市場(chǎng)規(guī)模將會(huì)是相當(dāng)龐大的。另外，網(wǎng)民年齡低于24歲的占51.9%，在這個(gè)“誘惑太多”的虛擬世界里，少年犯罪占網(wǎng)絡(luò)犯罪總數(shù)的比例越來(lái)越高，年齡卻越來(lái)越小，少年犯罪與網(wǎng)絡(luò)毒瘤的迅速蔓延有著莫大的關(guān)系。

目前，介入我國(guó)個(gè)人防火墻的國(guó)內(nèi)國(guó)外的生產(chǎn)廠商各有5家。最近，國(guó)際著名的互聯(lián)網(wǎng)安全技術(shù)廠商Chcek Point開始全面介入中國(guó)防火墻市場(chǎng)并在北京設(shè)立中國(guó)辦事處，以及國(guó)內(nèi)一些防病毒軟件開發(fā)商和知名的IT廠商也逐漸涉足防火墻這一領(lǐng)域，預(yù)示著中國(guó)網(wǎng)絡(luò)安全防護(hù)意識(shí)的興起。這對(duì)于國(guó)內(nèi)防火墻生產(chǎn)廠商來(lái)說(shuō)既是好事也是麻煩事，因?yàn)檫@說(shuō)明競(jìng)爭(zhēng)對(duì)手的增加的同時(shí)市場(chǎng)也在增大。但由于國(guó)外個(gè)人防火墻價(jià)格不菲（每套在40到50美元之間），阻礙了個(gè)人防火墻進(jìn)一步的普及。而且，國(guó)外個(gè)人防火墻的興起時(shí)間并不長(zhǎng)，換句話說(shuō)，國(guó)內(nèi)與國(guó)外個(gè)人防火墻基本上是在同一條起跑線上，而提倡“服務(wù)”比“產(chǎn)品”更為增值的新價(jià)值觀在IT業(yè)浮頭，國(guó)產(chǎn)個(gè)人防火墻無(wú)論是在設(shè)計(jì)、應(yīng)用和服務(wù)等方面都會(huì)較為強(qiáng)調(diào)國(guó)情化，技術(shù)支持響應(yīng)及時(shí)，加之產(chǎn)品價(jià)位有一定的優(yōu)勢(shì)。據(jù)了解，作為防火墻“粵家軍”代表的廣東天海威數(shù)碼有限公司近期針對(duì)小型企業(yè)和家庭用戶推出了既可以防止黑客攻擊又可以攔截黃色網(wǎng)站的藍(lán)盾個(gè)人防火墻V3.0，該版本是在V1.0和V 2.0基礎(chǔ)上，在數(shù)百萬(wàn)用戶下載使用和反饋后，通過不斷測(cè)試和完善，于9月17日通過了國(guó)家公安部的檢驗(yàn)并取得了銷售許可證，經(jīng)北京、沈陽(yáng)、大連等地的試銷后，市場(chǎng)反應(yīng)良好，決定于近期正式推出。

藍(lán)盾個(gè)人版防火墻安裝智能化，操作簡(jiǎn)易，既防內(nèi)又防外，防黑又防黃。個(gè)人防火墻對(duì)所有內(nèi)外部提出的服務(wù)請(qǐng)求進(jìn)行過濾，發(fā)現(xiàn)非授權(quán)的服務(wù)請(qǐng)求后立即拒絕。據(jù)統(tǒng)計(jì)，我國(guó)網(wǎng)民年齡低于24歲的占51.9%，在這個(gè)“誘惑太多”的虛擬世界里，少年犯罪占網(wǎng)絡(luò)犯罪總數(shù)的比例越來(lái)越高，年齡卻越來(lái)越小，少年犯罪與網(wǎng)絡(luò)毒瘤的迅速蔓延有著莫大的關(guān)系。據(jù)了解，美國(guó)去年的網(wǎng)絡(luò)詐騙案中，其中受黃色網(wǎng)站詐騙的占了10%，達(dá)1.88多億美元。藍(lán)盾個(gè)人版防火墻可限制內(nèi)部人員或少兒訪問3萬(wàn)多個(gè)黃色、暴力和反動(dòng)網(wǎng)站，同時(shí)藍(lán)盾個(gè)人版防火墻又強(qiáng)調(diào)個(gè)性化設(shè)計(jì)，用戶可通過自定義，增加禁止訪問的網(wǎng)站。還設(shè)有密碼管理，防止非法用戶進(jìn)行修改和刪除過濾功能。

藍(lán)盾個(gè)人版防火墻還能有效防止外部機(jī)器利用各種黑客工具探測(cè)到本機(jī)的IP地址，當(dāng)受到攻擊時(shí)能自動(dòng)報(bào)警，同時(shí)將反追蹤來(lái)的黑客蹤跡形成詳細(xì)的報(bào)表。阻止黑客竊取用戶賬號(hào)和密碼，對(duì)E-mail的發(fā)送進(jìn)行信息加密，防止個(gè)人隱密信息泄露。抵御外來(lái)的藍(lán)屏攻擊造成windows系統(tǒng)的崩潰以至死機(jī)，亦可擊退著名的冰河等特洛伊木馬病毒或其他后門程序的攻擊，避免黑客掌握本機(jī)的所有資源而進(jìn)行肆意破壞，形成一堵堅(jiān)固的保護(hù)墻，拒絕所有來(lái)歷不明的訪問，將各種可能存在的網(wǎng)絡(luò)安全威脅擋在保護(hù)層之外，使用戶清清楚楚地知道自己計(jì)算機(jī)的安全狀況，以確保用戶的系統(tǒng)安全。做到既可防黑客又可防病毒。

日前，信息產(chǎn)業(yè)部部長(zhǎng)吳基傳指出：“信息安全保障能力是21世紀(jì)綜合國(guó)力﹑經(jīng)濟(jì)競(jìng)爭(zhēng)實(shí)力和民族生存能力的重要組成部分?！比缃?，如何規(guī)范網(wǎng)上行為，保障網(wǎng)絡(luò)安全，已成為每一個(gè)國(guó)家所極力關(guān)注的一個(gè)問題，保衛(wèi)網(wǎng)絡(luò)安全，也將成為一個(gè)國(guó)際性行為。信息安全產(chǎn)業(yè)已成為信息產(chǎn)業(yè)發(fā)展最快﹑最具市場(chǎng)前景的高新技術(shù)產(chǎn)業(yè)，而個(gè)人防火墻也必將在IT產(chǎn)業(yè)逆流而上成為新的經(jīng)濟(jì)增長(zhǎng)點(diǎn)。