新編-計算機網(wǎng)絡(luò)安全基礎(chǔ)-防火墻基礎(chǔ)-精品課件

1、一個典型的防火墻使用形態(tài)進行訪問規(guī)則檢查發(fā)起訪問請求合法請求則允許對外訪問將訪問記錄寫進日志文件合法請求則允許對外訪問發(fā)起訪問請求 Internet 區(qū)域Internet邊界路由器DMZ區(qū)域WWW Mail DNS內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)防火墻在此處的功能：1、工作子網(wǎng)與外部子網(wǎng)的物理 隔離2、訪問控制3、對工作子網(wǎng)做NAT地址轉(zhuǎn)換4、日志記錄防火墻示意圖Internet1. 企業(yè)內(nèi)聯(lián)網(wǎng)2. 部門子網(wǎng)3. 分公司網(wǎng)絡(luò)防火墻是什么在一個受保護的內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)間,用來強制執(zhí)行企業(yè)安全策略的一個或一組系統(tǒng).防火墻主要用于保護內(nèi)部安全網(wǎng)絡(luò)免受外部網(wǎng)不安全網(wǎng)絡(luò)的侵害。典型情況：安

2、全網(wǎng)絡(luò)為企業(yè)內(nèi)部網(wǎng)絡(luò)，不安全網(wǎng)絡(luò)為因特網(wǎng)。但防火墻不只用于因特網(wǎng)，也可用于Intranet各部門網(wǎng)絡(luò)之間（內(nèi)部防火墻）。例：財務(wù)部與市場部之間。防火墻概念（1）最初含義：當(dāng)房屋還處于木制結(jié)構(gòu)的時侯，人們將石塊堆砌在房屋周圍用來防止火災(zāi)的發(fā)生。這種墻被稱之為防火墻。Rich Kosinski(Internet Security公司總裁）：防火墻是一種訪問控制技術(shù)，在某個機構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對信息資源的非法訪問。換句話說，防火墻是一道門檻，控制進/出兩個方向的通信。William Cheswick和Steve Beilovin（1994）：防火墻是放置在兩個網(wǎng)絡(luò)之間的一組組件

3、，這組組件共同具有下列性質(zhì)：只允許本地安全策略授權(quán)的通信信息通過雙向通信信息必須通過防火墻防火墻本身不會影響信息的流通防火墻概念（2）防火墻概念（3）簡單的說，網(wǎng)絡(luò)安全的第一道防線 防火墻是位于兩個信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間）的軟件或硬件設(shè)備的組合，它對兩個網(wǎng)絡(luò)之間的通信進行控制，通過強制實施統(tǒng)一的安全策略，防止對重要信息資源的非法存取和訪問以達到保護系統(tǒng)安全的目的。防火墻的概念（4）在邏輯上，防火墻是分離器，限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和外部網(wǎng)之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。在物理上，防火墻通常是一組硬件設(shè)備路由器、主計算機，或者是路由器

4、、計算機和配有軟件的網(wǎng)絡(luò)的組合。防火墻一般可分為多個部分，某些部分除了執(zhí)行防火墻功能外還執(zhí)行其它功能。如：加密和解密VPN。防火墻概念（5）防火墻的實質(zhì)是一對矛盾（或稱機制)： 限制數(shù)據(jù)流通允許數(shù)據(jù)流通兩種極端的表現(xiàn)形式：除了非允許不可的都被禁止，安全但不好用。（限制政策）除了非禁止不可的都被允許，好用但不安全。（寬松政策）多數(shù)防火墻都在兩種之間采取折衷。 防火墻實現(xiàn)層次防火墻的基本功能模塊應(yīng)用程序代理包過濾&狀態(tài)檢測用戶認(rèn)證NATVPN日志IDS與報警內(nèi)容過濾防火墻的主要功能防火墻的功能過濾進出網(wǎng)絡(luò)的數(shù)據(jù)管理進出網(wǎng)絡(luò)的訪問行為封堵某些禁止的業(yè)務(wù)記錄進出網(wǎng)絡(luò)的信息和活動對網(wǎng)絡(luò)攻擊進行檢測和告警

5、Internet防火墻的作用Internet防火墻允許網(wǎng)絡(luò)管理員定義一個中心“扼制點”來防止非法用戶，如黑客、網(wǎng)絡(luò)破壞者等進入內(nèi)部網(wǎng)絡(luò)。禁止存在安全脆弱性的服務(wù)進出網(wǎng)絡(luò)，并抗擊來自各種路線的攻擊。Internet防火墻能夠簡化安全管理，網(wǎng)絡(luò)安全性是在防火墻系統(tǒng)上得到加固，而不是分布在內(nèi)部網(wǎng)絡(luò)的所有主機上。在防火墻上可以很方便的監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報警。應(yīng)該注意的是：對一個內(nèi)部網(wǎng)絡(luò)已經(jīng)連接到Internet上的機構(gòu)來說，重要的問題并不是網(wǎng)絡(luò)是否會受到攻擊，而是何時會受到攻擊。網(wǎng)絡(luò)管理員必須審計并記錄所有通過防火墻的重要信息。如果網(wǎng)絡(luò)管理員不能及時響應(yīng)報警并審查常規(guī)記錄，防火墻就形同虛設(shè)。在這

6、種情況下，網(wǎng)絡(luò)管理員永遠不會知道防火墻是否受到攻擊。Internet防火墻的作用Internet防火墻可以作為部署NAT(Network Address Translator，網(wǎng)絡(luò)地址變換）的邏輯地址。因此防火墻可以用來緩解地址空間短缺的問題，并消除機構(gòu)在變換ISP時帶來的重新編址的麻煩。Internet防火墻是審計和記錄Internet使用量的一個最佳地方。網(wǎng)絡(luò)管理員可以在此向管理部門提供Internet連接的費用情況，查出潛在的帶寬瓶頸的位置，并能夠根據(jù)機構(gòu)的核算模式提供部門級的記費。Internet防火墻也可以成為向客戶發(fā)布信息的地點。Internet防火墻作為部署WWW服務(wù)器和FTP服

7、務(wù)器的地點非常理想。還可以對防火墻進行配置，允許Internet訪問上述服務(wù)，而禁止外部對受保護的內(nèi)部網(wǎng)絡(luò)上其它系統(tǒng)的訪問?；ヂ?lián)網(wǎng)非法獲取內(nèi)部數(shù)據(jù)防火墻的作用示意圖 目前合法的IP地址已經(jīng)遠遠不夠使用，許多公司內(nèi)部使用的都是非法的IP地址，無法直接與外界相連。防火墻能夠?qū)?nèi)部使用的非法IP地址與對外真正的IP作轉(zhuǎn)換。使現(xiàn)在使用的IP無需變動，也能夠與外界相通。 防火墻提供一對一（NAT）及多對一（PAT）的地址轉(zhuǎn)換，可保護及隱藏內(nèi)部網(wǎng)絡(luò)資源并減少由于架設(shè)網(wǎng)絡(luò)防火墻所引起的IP地址變動，方便網(wǎng)絡(luò)管理，并可以解決IP地址不足的問題。 地址翻譯(NAT)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）NAT（Networ

8、k Address Translation）:就是將一個IP地址用另一個IP地址代替。應(yīng)用領(lǐng)域：網(wǎng)絡(luò)管理員希望隱藏內(nèi)部網(wǎng)絡(luò)的IP地址。內(nèi)部網(wǎng)絡(luò)的IP地址是無效的IP地址。合法Internet IP地址有限，而且受保護網(wǎng)絡(luò)往往有自己的一套IP地址規(guī)劃（非正式IP地址）網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）解決方法：網(wǎng)絡(luò)地址轉(zhuǎn)換器就是在防火墻上裝一個合法IP地址集。當(dāng)內(nèi)部某一用戶要訪問Internet時，防火墻動態(tài)地從地址集中選一個未分配的地址分配給該用戶；同時，對于內(nèi)部的某些服務(wù)器如Web服務(wù)器，網(wǎng)絡(luò)地址轉(zhuǎn)換器允許為其分配一個固定的合法地址。好處：緩解IP地址匱乏問題；對外隱藏了內(nèi)部主機的IP地址，提高了安

9、全性。防火墻網(wǎng)關(guān)NAT技術(shù)中將不合法IP轉(zhuǎn)換為合法IPInternetIntranet防火墻路由器將內(nèi)部網(wǎng)地址轉(zhuǎn)換成網(wǎng)關(guān)地址問題：所有返回數(shù)據(jù)包目的IP都是，防火墻如何識別并送回真正主機？方法：1、防火墻記住所有發(fā)送包的目的端口； 2、防火墻記住所有發(fā)送包的TCP序列號NAT示意圖Internet005WWWPCPCServer內(nèi)容過濾阻止 Java, ActiveX, JavaScriptVBscriptURL 記錄和攔截SMTP 過濾丟棄假來源地址的信件可設(shè)定傳送信件的大小可消除內(nèi)部信件傳遞路徑信息,避免內(nèi)部主機暴露給外界提供E-mail地址轉(zhuǎn)換功能病毒?Inspect Port Comm

10、andDrops the PacketHTTP RequestJava SignatureServer ReplyRequests for Java AppletNNo Java SignatureLets it ThroughInspectWeb ServerWeb ClientJava 阻塞 防火墻的評價 -防火墻不可以防范什么防火墻不是解決所有網(wǎng)絡(luò)安全問題的萬能藥方，只是網(wǎng)絡(luò)安全政策和策略中的一個組成部分。防火墻不能防范繞過防火墻的攻擊，例:內(nèi)部提供撥號服務(wù)。防火墻不能防范來自內(nèi)部人員惡意的攻擊。防火墻不能阻止被病毒感染的程序或文件的傳遞 。防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊。例:特洛伊木馬。

11、 防火墻的評價 -防火墻不可以防范什么內(nèi)部提供撥號服務(wù)繞過防火墻日志功能日志記錄一般包括:系統(tǒng)日志、流量日志、告警日志等.根據(jù)管理的需要，它可以對每一個進出網(wǎng)絡(luò)的數(shù)據(jù)包作簡單或詳細的紀(jì)錄。包括數(shù)據(jù)的來源，目的，使用的協(xié)議，時間甚至數(shù)據(jù)的內(nèi)容等等。防火墻的種類防火墻的存在形式：軟件、硬件。根據(jù)防范方式和側(cè)重點的不同可分為四類：包過濾應(yīng)用層代理電路層代理狀態(tài)檢查包過濾防火墻包過濾防火墻包過濾防火墻對所接收的每個數(shù)據(jù)包做允許拒絕的決定。防火墻審查每個數(shù)據(jù)報以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于可以提供給IP轉(zhuǎn)發(fā)過程的包頭信息。包頭信息中包括IP源地址、IP目標(biāo)端地址、內(nèi)裝協(xié)（TCP、UD

12、P、ICMP、或IPTunnel）、TCP/UDP目標(biāo)端口、ICMP消息類型、TCP包頭中的ACK位包的進入接口和出接口如果有匹配并且規(guī)則允許該數(shù)據(jù)包，那么該數(shù)據(jù)包就會按照路由表中的信息被轉(zhuǎn)發(fā)。如果匹配并且規(guī)則拒絕該數(shù)據(jù)包，那么該數(shù)據(jù)包就會被丟棄。如果沒有匹配規(guī)則，用戶配置的缺省參數(shù)會決定是轉(zhuǎn)發(fā)還是丟棄數(shù)據(jù)包。包過濾防火墻包過濾防火墻使得防火墻能夠根據(jù)特定的服務(wù)允許或拒絕流動的數(shù)據(jù)，因為多數(shù)的服務(wù)收聽者都在已知的TCP/UDP端口號上。例如，Telnet服務(wù)器在TCP的23號端口上監(jiān)聽遠地連接，而SMTP服務(wù)器在TCP的25號端口上監(jiān)聽人連接。為了阻塞所有進入的Telnet連接，防火墻只需簡單

13、的丟棄所有TCP端口號等于23的數(shù)據(jù)包。為了將進來的Telnet連接限制到內(nèi)部的數(shù)臺機器上，防火墻必須拒絕所有TCP端口號等于23并且目標(biāo)IP地址不等于允許主機的IP地址的數(shù)據(jù)包。包過濾檢查內(nèi)容數(shù)據(jù)包過濾一般要檢查網(wǎng)絡(luò)層的IP頭和傳輸層的頭：IP源地址IP目標(biāo)地址協(xié)議類型（TCP包、UDP包和ICMP包）TCP或UDP包的目的端口TCP或UDP包的源端口ICMP消息類型TCP包頭的ACK位TCP包的序列號、IP校驗和等優(yōu)點： 速度快，性能高 對用戶透明缺點： 維護比較困難(需要對TCP/IP了解） 安全性低（IP欺騙等） 不提供有用的日志，或根本就不提供 不防范數(shù)據(jù)驅(qū)動型攻擊 不能根據(jù)狀態(tài)信息

14、進行控制 不能處理網(wǎng)絡(luò)層以上的信息 無法對網(wǎng)絡(luò)上流動的信息提供全面的控制包過濾防火墻優(yōu)缺點互連的物理介質(zhì)應(yīng)用層表示層會話層傳輸層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層透明模式包過濾NAT模式NAT (MAP IP)NAT Sample (PAT)虛擬IP路由模式代理服務(wù)器代理服務(wù)是運行在防火墻主機上的專門的應(yīng)用程序或者服務(wù)器程序。不允許通信直接經(jīng)過外部網(wǎng)和內(nèi)部網(wǎng)。將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計算機系統(tǒng)間應(yīng)用層的“ 鏈接”，由兩個終止代理服務(wù)器上的“ 鏈接”來實現(xiàn)外部計算機的網(wǎng)絡(luò)鏈路只能到達代理服務(wù)器，從而起到了隔離防火墻

15、內(nèi)外計算機系統(tǒng)的作用。 代理服務(wù)器示意圖Telnet代理服務(wù)器代理服務(wù)的分類代理服務(wù)分類：代理服務(wù)可分為應(yīng)用級代理與電路級代理：應(yīng)用級代理是已知代理服務(wù)向哪一應(yīng)用提供的代理，它在應(yīng)用協(xié)議中理解并解釋命令。應(yīng)用級代理的優(yōu)點為它能解釋應(yīng)用協(xié)議從而獲得更多的信息，缺點為只適用于單一協(xié)議。電路級代理是在客戶和服務(wù)器之間不解釋應(yīng)用協(xié)議即建立回路。電路級代理的優(yōu)點在于它能對各種不同的協(xié)議提供服務(wù)，缺點在于它對因代理而發(fā)生的情況幾乎不加控制。 應(yīng)用層代理的優(yōu)點應(yīng)用層代理能夠讓網(wǎng)絡(luò)管理員對服務(wù)進行全面的控制，因為代理應(yīng)用限制了命令集并決定哪些內(nèi)部主機可以被該服務(wù)訪問。網(wǎng)絡(luò)管理員可以完全控制提供哪些服務(wù)，因為沒

16、有特定服務(wù)的代理就表示該服務(wù)不提供。防火墻可以被配置成唯一的可被外部看見的主機，這樣可以保護內(nèi)部主機免受外部主機的進攻。應(yīng)用層代理有能力支持可靠的用戶認(rèn)證并提供詳細的注冊信息。另外，用于應(yīng)用層的過濾規(guī)則相對于包過濾防火墻來說更容易配置和測試。代理工作在客戶機和真實服務(wù)器之間，完全控制會話，所以可以提供很詳細的日志和安全審計功能。應(yīng)用層代理的缺點 應(yīng)用層代理的最大缺點是要求用戶改變自己的行為，或者在訪問代理服務(wù)的每個系統(tǒng)上安裝特殊的軟件。比如，透過應(yīng)用層代理Telnet訪問要求用戶通過兩步而不是一步來建立連接。不過，特殊的端系統(tǒng)軟件可以讓用戶在Telnet命令中指定目標(biāo)主機而不是應(yīng)用層代理來使應(yīng)

17、用層代理透明。 每個應(yīng)用程序都必須有一個代理服務(wù)程序來進行安全控制，每一種應(yīng)用升級時，一般代理服務(wù)程序也要升級。全狀態(tài)檢查狀態(tài)檢測技術(shù)：在包過濾的同時，檢察數(shù)據(jù)包之間的關(guān)聯(lián)性，數(shù)據(jù)包中動態(tài)變化的狀態(tài)碼。監(jiān)測引擎：一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件模塊 。監(jiān)測引擎采用抽取有關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實施監(jiān)測，抽取狀態(tài)信息，并動態(tài)地保存起來作為以后執(zhí)行安全策略的參考。當(dāng)用戶訪問請求到達網(wǎng)關(guān)的操作系統(tǒng)前，狀態(tài)監(jiān)視器要抽取有關(guān)數(shù)據(jù)進行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定作出接納、拒絕、身份認(rèn)證、報警或給該通信加密等處理動作。 應(yīng)用層表示層會話層傳輸層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈

18、路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會話層傳輸層監(jiān)測引擎狀態(tài)檢測示意圖狀態(tài)檢測的優(yōu)缺點優(yōu)點：一旦某個訪問違反安全規(guī)定，就會拒絕該訪問，并報告有關(guān)狀態(tài)作日志記錄。它會監(jiān)測無連接狀態(tài)的遠程過程調(diào)用（RPC）和用戶數(shù)據(jù)報（UDP）之類的端口信息。缺點： 降低網(wǎng)絡(luò)速度配置比較復(fù)雜 防火墻的體系結(jié)構(gòu)防火墻的主要體系結(jié)構(gòu)：雙重宿主主機體系結(jié)構(gòu)屏蔽主機體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)其它的防火墻結(jié)構(gòu)雙重宿主主機體系結(jié)構(gòu)（1）雙重宿主主機體系結(jié)構(gòu)是圍繞雙重宿主主機構(gòu)筑的。雙重宿主主機至少有兩個網(wǎng)絡(luò)接口，它位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，這樣的主機可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，它能從一個網(wǎng)絡(luò)接收IP數(shù)據(jù)

19、包并將之發(fā)往另一網(wǎng)絡(luò)。然而實現(xiàn)雙重宿主主機的防火墻體系結(jié)構(gòu)禁止這種發(fā)送功能，完全阻止了內(nèi)外網(wǎng)絡(luò)之間的IP通信。兩個網(wǎng)絡(luò)之間的通信可通過應(yīng)用層數(shù)據(jù)共享和應(yīng)用層代理服務(wù)的方法實現(xiàn)。一般情況下采用代理服務(wù)的方法。 Internet防火墻雙重宿主主機內(nèi)部網(wǎng)絡(luò)雙重宿主主機體系結(jié)構(gòu)雙重宿主主機體系結(jié)構(gòu)（2）雙重宿主主機的特性：安全至關(guān)重要（唯一通道），其用戶口令控制安全是關(guān)鍵。必須支持很多用戶的訪問（中轉(zhuǎn)站），其性能非常重要。缺點：雙重宿主主機是隔開內(nèi)外網(wǎng)絡(luò)的唯一屏障，一旦它被入侵，內(nèi)部網(wǎng)絡(luò)便向入侵者敞開大門。屏蔽主機體系結(jié)構(gòu)（1）屏蔽主機體系結(jié)構(gòu)由防火墻和內(nèi)部網(wǎng)絡(luò)的堡壘主機承擔(dān)安全責(zé)任。一般這種防火墻較

20、簡單，可能就是簡單的路由器。典型構(gòu)成：包過濾路由器堡壘主機。包過濾路由器配置在內(nèi)部網(wǎng)和外部網(wǎng)之間，保證外部系統(tǒng)對內(nèi)部網(wǎng)絡(luò)的操作只能經(jīng)過堡壘主機。堡壘主機配置在內(nèi)部網(wǎng)絡(luò)上，是外部網(wǎng)絡(luò)主機連接到內(nèi)部網(wǎng)絡(luò)主機的橋梁，它需要擁有高等級的安全。屏蔽主機體系結(jié)構(gòu)（2）屏蔽路由器可按如下規(guī)則之一進行配置：允許內(nèi)部主機為了某些服務(wù)請求與外部網(wǎng)上的主機建立直接連接（即允許那些經(jīng)過過濾的服務(wù)）。不允許所有來自外部主機的直接連接。安全性更高，雙重保護：實現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層安全（代理服務(wù)）。缺點：過濾路由器能否正確配置是安全與否的關(guān)鍵。如果路由器被損害，堡壘主機將被穿過，整個網(wǎng)絡(luò)對侵襲者是開放的。屏蔽主

21、機體系結(jié)構(gòu)因特網(wǎng)屏蔽子網(wǎng)體系結(jié)構(gòu)（1）屏蔽子網(wǎng)體系結(jié)構(gòu)在本質(zhì)上與屏蔽主機體系結(jié)構(gòu)一樣，但添加了額外的一層保護體系周邊網(wǎng)絡(luò)。堡壘主機位于周邊網(wǎng)絡(luò)上，周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)被內(nèi)部路由器分開。 原因：堡壘主機是用戶網(wǎng)絡(luò)上最容易受侵襲的機器。通過在周邊網(wǎng)絡(luò)上隔離堡壘主機，能減少在堡壘主機被侵入的影響。 Internet周邊網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)外部路由器堡壘主機內(nèi)部路由器屏蔽子網(wǎng)體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)（2）周邊網(wǎng)絡(luò)是一個防護層，在其上可放置一些信息服務(wù)器，它們是犧牲主機，可能會受到攻擊，因此又被稱為非軍事區(qū)（DMZ）。周邊網(wǎng)絡(luò)的作用：即使堡壘主機被入侵者控制，它仍可消除對內(nèi)部網(wǎng)的偵聽。例: netxray等的工作

22、原理。屏蔽子網(wǎng)體系結(jié)構(gòu)（3）堡壘主機堡壘主機位于周邊網(wǎng)絡(luò)，是整個防御體系的核心。堡壘主機可被認(rèn)為是應(yīng)用層網(wǎng)關(guān)，可以運行各種代理服務(wù)程序。對于出站服務(wù)不一定要求所有的服務(wù)經(jīng)過堡壘主機代理，但對于入站服務(wù)應(yīng)要求所有服務(wù)都通過堡壘主機。屏蔽子網(wǎng)體系結(jié)構(gòu)（4）外部路由器（訪問路由器）作用：保護周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的侵犯。它把入站的數(shù)據(jù)包路由到堡壘主機。防止部分IP欺騙，它可分辨出數(shù)據(jù)包是否真正來自周邊網(wǎng)絡(luò)，而內(nèi)部路由器不可。內(nèi)部路由器（阻塞路由器）作用：保護內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)和周邊網(wǎng)絡(luò)的侵害，它執(zhí)行大部分過濾工作。外部路由器一般與內(nèi)部路由器應(yīng)用相同的規(guī)則。其它的防火墻結(jié)構(gòu)（1）Outsid

23、eDemilitarizedZones (DMZs)Public Access ServerPublic Access Server其它的防火墻結(jié)構(gòu)（2）一個堡壘主機和一個非軍事區(qū)示意圖DMZ堡壘主機內(nèi)部網(wǎng)外部路由器Internet其它的防火墻結(jié)構(gòu)（3）兩個堡壘主機和兩個非軍事區(qū)外部DMZ外部堡壘主機內(nèi)部網(wǎng)外部路由器Internet內(nèi)部堡壘主機內(nèi)部DMZ防火墻的關(guān)鍵技術(shù)包過濾技術(shù)代理技術(shù)狀態(tài)檢查技術(shù)地址轉(zhuǎn)換技術(shù)（NAT）虛擬專網(wǎng)技術(shù)（VPN）內(nèi)容檢查技術(shù)：提供對高層服務(wù)協(xié)議數(shù)據(jù)的監(jiān)控能力。包括計算機病毒、惡意的Java Applet或ActiveX控件的攻擊、惡意的電子郵件及不健康網(wǎng)頁內(nèi)容等的

24、過濾防護。防火墻的安全標(biāo)準(zhǔn)（1）防火墻技術(shù)發(fā)展很快，但是現(xiàn)在標(biāo)準(zhǔn)尚不健全，導(dǎo)致不同的防火墻產(chǎn)品兼容性差，給不同廠商的防火墻產(chǎn)品的互聯(lián)帶來了困難。為了解決這個問題目前已提出了2個標(biāo)準(zhǔn)：1、RSA數(shù)據(jù)安全公司與一些防火墻的生產(chǎn)廠商（如Checkpoint公司、TIS公司等）以及一些TCP/IP協(xié)議開發(fā)商（如FTP公司等）提出了SecureWAN（SWAN）標(biāo)準(zhǔn)，它能使在IP層上由支持?jǐn)?shù)據(jù)加密技術(shù)的不同廠家生產(chǎn)的防火墻和TCPIP協(xié)議具有互操作性，從而解決了建立虛擬專用網(wǎng)（VPN）的一個主要障礙。防火墻的安全標(biāo)準(zhǔn)（2）此標(biāo)準(zhǔn)包含兩個部分：防火墻中采用的信息加密技術(shù)一致，即加密算法、安全協(xié)議一致，使得

25、遵循此標(biāo)準(zhǔn)生產(chǎn)的防火墻產(chǎn)品能夠?qū)崿F(xiàn)無縫互聯(lián)，但又不失去加密功能；安全控制策略的規(guī)范性、邏輯上的正確合理性，避免了各大防火墻廠商推出的防火墻產(chǎn)品由于安全策略上的漏洞而對整個內(nèi)部保護網(wǎng)絡(luò)產(chǎn)生危害。防火墻的安全標(biāo)準(zhǔn)（3）2、美國國家計算機安全協(xié)會NCSA （National Computer Security Association）成立的防火墻開發(fā)商FWPD （Firewall Product Developer）聯(lián)盟制訂的防火墻測試標(biāo)準(zhǔn)。3、我國質(zhì)量技術(shù)監(jiān)督局2019.11.11發(fā)布，2000.5.1開始實施：包過濾防火墻安全技術(shù)要求應(yīng)用級防火墻安全技術(shù)要求網(wǎng)絡(luò)代理服務(wù)器的安全技術(shù)要求防火墻技術(shù)

26、的回顧與展望防火墻技術(shù)與產(chǎn)品回顧第四代防火墻的主要技術(shù)與功能防火墻發(fā)展現(xiàn)狀防火墻技術(shù)展望防火墻技術(shù)與產(chǎn)品發(fā)展回顧防火墻產(chǎn)品目前已形成一個產(chǎn)業(yè)，年增長率達173。五大基本功能：過濾進、出網(wǎng)絡(luò)的數(shù)據(jù);管理進、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的業(yè)務(wù)；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡(luò)攻擊檢測和告警。防火墻產(chǎn)品發(fā)展的四個階段基于路由器的防火墻用戶化的防火墻工具套件建立在通用操作系統(tǒng)上的防火墻具有安全操作系統(tǒng)的防火墻第一代：基于路由器的防火墻稱為包過濾防火墻特征：以訪問控制表方式實現(xiàn)分組過濾過濾的依據(jù)是IP地址、端口號和其它網(wǎng)絡(luò)特征只有分組過濾功能，且防火墻與路由器一體第一代：基于路由器的防火墻(二)

27、缺點：路由協(xié)議本身具有安全漏洞路由器上的分組過濾規(guī)則的設(shè)置和配置復(fù)雜攻擊者可假冒地址本質(zhì)缺陷：一對矛盾，防火墻的設(shè)置會大大降低路由器的性能。路由器：為網(wǎng)絡(luò)訪問提供動態(tài)靈活的路由防火墻：對訪問行為實施靜態(tài)固定的控制包過濾型防火墻 第二代:用戶化的防火墻工具套件特征：將過濾功能從路由器中獨立出來，并加上審計和告警功能；針對用戶需求提供模塊化的軟件包；安全性提高，價格降低；純軟件產(chǎn)品，實現(xiàn)維護復(fù)雜。缺點：配置和維護過程復(fù)雜費時；對用戶技術(shù)要求高；全軟件實現(xiàn)，安全性和處理速度均有局限；Internet客戶通過代理服務(wù)訪問內(nèi)部網(wǎng)主機第三代：建立在通用操作系統(tǒng)上的防火墻是近年來在市場上廣泛可用的一代產(chǎn)品。

28、特征包括分組過濾或借用路由器的分組過濾功能；裝有專用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令；保護用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置；安全性和速度大為提高。實現(xiàn)方式：軟件、硬件、軟硬結(jié)合。問題：作為基礎(chǔ)的操作系統(tǒng)及其內(nèi)核的安全性無從保證。通用操作系統(tǒng)廠商不會對防火墻的安全性負(fù)責(zé)；從本質(zhì)上看，第三代防火墻既要防止來自外部網(wǎng)絡(luò)的攻擊，還要防止來自操作系統(tǒng)漏洞的攻擊。用戶必須依賴兩方面的安全支持：防火墻廠商和操作系統(tǒng)廠商。上述問題在基于Windows NT開發(fā)的防火墻產(chǎn)品中表現(xiàn)得十分明顯。第四代：具有安全操作系統(tǒng)的防火墻2019年初，此類產(chǎn)品面市。安全性有質(zhì)的提高。獲得安全操作系統(tǒng)的方法：通過許可證方式獲得操作系統(tǒng)的源碼；通過固化操作系統(tǒng)內(nèi)核來提高可靠性。特點：防火墻廠商具有操作系統(tǒng)的源代碼，并可實現(xiàn)安全內(nèi)核；對安全內(nèi)核實現(xiàn)加固處理：即去掉不必要的系統(tǒng)特性，強化安全保護；對每個服務(wù)器、子系統(tǒng)都作了安全處理；在功能上包括了分組過濾、代理服務(wù)，且具有加密與鑒別功能；透明性好，易于使