網(wǎng)絡(luò)安全防火墻技術(shù)講解課件

第5章防火墻技術(shù)第5章防火墻技術(shù)1第5章防火墻技術(shù)防火墻及相關(guān)概念包過濾與代理防火墻的體系結(jié)構(gòu)分布式防火墻與嵌入式防火墻第5章防火墻技術(shù)防火墻及相關(guān)概念25.1防火墻概述防火墻是一種解決網(wǎng)絡(luò)之間訪問控制的有效方法。防火墻是一種綜合性的技術(shù)，涉及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、安全技術(shù)、軟件技術(shù)、安全協(xié)議、網(wǎng)絡(luò)標(biāo)準(zhǔn)化組織（ISO）的安全規(guī)范以及安全操作系統(tǒng)等多方面。從1991年6月ANS公司的第一個(gè)防火墻產(chǎn)品ANSInterlockService防火墻上市以來，到目前為止，世界上至少有幾十家公司和研究所在從事防火墻技術(shù)的研究和產(chǎn)品開發(fā)。5.1防火墻概述防火墻是一種解決網(wǎng)絡(luò)之間訪問控制的有效方35.1防火墻概述1、防火墻的概念

防火墻（Firewall）是指隔離在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一

道防御系統(tǒng)，它能擋住來自外部網(wǎng)絡(luò)的攻擊和入侵，保障著

內(nèi)部網(wǎng)絡(luò)的安全。

5.1防火墻概述1、防火墻的概念41、防火墻的概念1、防火墻的概念5網(wǎng)絡(luò)安全防火墻技術(shù)講解課件6外部網(wǎng)絡(luò)（外網(wǎng)）:防火墻之外的網(wǎng)絡(luò)，一般為Internet，默認(rèn)為風(fēng)險(xiǎn)區(qū)域。內(nèi)部網(wǎng)絡(luò)（內(nèi)網(wǎng)）：防火墻之內(nèi)的網(wǎng)絡(luò)，一般為局域網(wǎng)，默認(rèn)為安全區(qū)域。非軍事化區(qū)（DMZ）：為了配置管理方便，內(nèi)網(wǎng)中需要向外網(wǎng)提供服務(wù)的服務(wù)器（

如WWW、FTP、SMTP、DNS等）往往放在Internet與內(nèi)部網(wǎng)絡(luò)之間一個(gè)單獨(dú)的網(wǎng)段，這個(gè)網(wǎng)段便是非軍事化區(qū)。代理服務(wù)器:是指代表內(nèi)部網(wǎng)絡(luò)用戶向外部網(wǎng)絡(luò)中的服務(wù)器進(jìn)行連接請(qǐng)求的程序。2、幾個(gè)常用概念外部網(wǎng)絡(luò)（外網(wǎng)）:2、幾個(gè)常用概念7包過濾:也被稱為數(shù)據(jù)包過濾，是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過，依據(jù)系統(tǒng)事先設(shè)定好的過濾規(guī)則，檢查數(shù)據(jù)流中的每個(gè)數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址以及端口等信息來確定是否允許數(shù)據(jù)包通過。狀態(tài)檢查技術(shù)：第三代網(wǎng)絡(luò)安全技術(shù)。狀態(tài)檢測(cè)模塊在不影響網(wǎng)絡(luò)安全正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各個(gè)層次實(shí)行檢測(cè)，并作為安全決策依據(jù)。虛擬專用網(wǎng)（VPN）：在公用中配置的專用網(wǎng)絡(luò)。漏洞：是系統(tǒng)中的安全缺陷。2、幾個(gè)常用概念包過濾:2、幾個(gè)常用概念8數(shù)據(jù)驅(qū)動(dòng)攻擊：入侵者把一些具有破壞數(shù)據(jù)藏匿在正常數(shù)據(jù)中。當(dāng)這些數(shù)據(jù)被激活時(shí)，發(fā)生的攻擊。比如。一個(gè)站點(diǎn)的地址為：.tw/asp/wish/wishshow.asp?id=117。在wish后，用“%5c”替換“/”，地址就變成了.tw/asp/wish%5cwishshow.asp?id=117，這樣就可以暴出對(duì)方數(shù)據(jù)庫了。根據(jù)錯(cuò)誤提示，數(shù)據(jù)庫是db.mdb，而且還可以直接下載。IP地址欺騙：入侵者利用偽造的IP地址，產(chǎn)生的虛假的數(shù)據(jù)包，喬裝成來處內(nèi)部的數(shù)據(jù)。數(shù)據(jù)驅(qū)動(dòng)攻擊：93.防火墻安全策略

為網(wǎng)絡(luò)建立防火墻，首先要決定防火墻將采取何種安全控制基本準(zhǔn)則。一個(gè)防火墻應(yīng)該使用以下兩種基本策略中的一種：

（1）除非明確允許，否則就禁止這種方法堵塞了兩個(gè)網(wǎng)絡(luò)之間的所有數(shù)據(jù)傳輸，除了那些被明確允許的服務(wù)和應(yīng)用程序。因此，應(yīng)該逐個(gè)定義每一個(gè)允許的服務(wù)和應(yīng)用程序，而任何一個(gè)可能成為防火墻漏洞的服務(wù)和應(yīng)用程序都不能允許使用。這是一個(gè)最安全的方法，但從用戶的角度來看，這樣可能會(huì)有很多限制，不是很方便。一般在防火墻配置中都會(huì)使用這種策略。3.防火墻安全策略為網(wǎng)絡(luò)建立防火墻，首先要決定防火墻將103.防火墻安全策略（2）除非明確禁止，否則就允許這種方法允許兩個(gè)網(wǎng)絡(luò)之間所有數(shù)據(jù)傳輸，除非那些被明確禁止的服務(wù)和應(yīng)用程序。因此，每一個(gè)不信任或有潛在危害的服務(wù)和應(yīng)用程序都應(yīng)該逐個(gè)拒絕。雖然這對(duì)用戶是一個(gè)靈活和方便的方法，它卻可能存在嚴(yán)重的安全隱患。總之，從安全性的角度考慮，第一種準(zhǔn)則更可取一些，而從靈活性和使用方便性的角度考慮，第二種準(zhǔn)則更適合。3.防火墻安全策略（2）除非明確禁止，否則就允許115.1.2防火墻的作用

從總體上看，防火墻應(yīng)具有以下基本功能：可以限制未授權(quán)用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全服務(wù)和非法用戶；防止入侵者接近內(nèi)部網(wǎng)絡(luò)的防御設(shè)施，對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警；限制內(nèi)部用戶訪問特殊站點(diǎn)；記錄通過防火墻的信息內(nèi)容和活動(dòng)，為監(jiān)視Internet安全提供方便。5.1.2防火墻的作用從總體上看，防火墻應(yīng)具有以下基本125.1.3防火墻的優(yōu)、缺點(diǎn)1．優(yōu)點(diǎn)

防火墻是加強(qiáng)網(wǎng)絡(luò)安全的一種有效手段，它有以下優(yōu)點(diǎn)：（1）防火墻能強(qiáng)化安全策略（2）防火墻能有效地記錄Internet上的活動(dòng)（3）防火墻是一個(gè)安全策略的檢查站2．缺點(diǎn)

有人認(rèn)為只要安裝了防火墻，所有的安全問題就會(huì)迎刃而解。但事實(shí)上，防火墻并不是萬能的，安裝了防火墻的系統(tǒng)仍然存在著安全隱患。以下是防火墻的一些缺點(diǎn)：5.1.3防火墻的優(yōu)、缺點(diǎn)1．優(yōu)點(diǎn)13不能防范惡意的內(nèi)部用戶

如果入侵者已經(jīng)在防火墻內(nèi)部，防火墻是無能為力的。內(nèi)部用戶可以不經(jīng)過防火墻竊取數(shù)據(jù)、破壞硬件和軟件，這類攻擊占了全部攻擊的一半以上。不能防范不通過防火墻的連接

防火墻能夠有效防范地通過它傳輸?shù)男畔?，卻不能防范不通過它傳輸?shù)男畔?。例如，如果站點(diǎn)允許對(duì)防火墻后面的內(nèi)部系統(tǒng)進(jìn)行撥號(hào)訪問，那么防火墻絕對(duì)沒有辦法阻止入侵者進(jìn)行撥號(hào)入侵。不能防范全部的威脅可以防范某些新的威脅，但沒有一個(gè)防火墻能自動(dòng)防御所有的新的威脅。防火墻不能防范病毒

防火墻不能防范從網(wǎng)絡(luò)上傳染來的病毒，也不能消除計(jì)算機(jī)已存在的病毒。無論防火墻多么安全，用戶都需要一套防毒軟件來防范病毒。2．缺點(diǎn)不能防范惡意的內(nèi)部用戶2．缺點(diǎn)145.2防火墻技術(shù)分類

根據(jù)工作在網(wǎng)絡(luò)中作用層的不同，防火墻可以分為包過濾防火墻和代理服務(wù)器兩類：包過濾防火墻又稱網(wǎng)絡(luò)層防火墻。數(shù)據(jù)包過濾是防火墻中最基本、最簡(jiǎn)單的一種。用來防止整個(gè)網(wǎng)絡(luò)出現(xiàn)的外來非法的入侵。該類防火墻運(yùn)行在TCP/IP協(xié)議的網(wǎng)絡(luò)層上，它對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析，并按照一定的信息過濾規(guī)則對(duì)信息進(jìn)行限制，允許授權(quán)信息通過，拒絕非授權(quán)信息通過。5.2防火墻技術(shù)分類根據(jù)工作在網(wǎng)絡(luò)中作用層的不同，防155.2防火墻技術(shù)分類代理服務(wù)器又叫應(yīng)用層防火墻，

這種防火墻是目前較通用的一種；從應(yīng)用程序來進(jìn)行接入控制。例如，可以只允許通過訪問萬維網(wǎng)的應(yīng)用，而阻止FTP應(yīng)用的通過。其基本工作過程是：當(dāng)客戶機(jī)需要使用外網(wǎng)的服務(wù)器上的數(shù)據(jù)時(shí)，首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器；代理服務(wù)器根據(jù)請(qǐng)求向服務(wù)器索取數(shù)據(jù)；然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。同樣，代理服務(wù)器在外網(wǎng)向內(nèi)網(wǎng)申請(qǐng)服務(wù)時(shí)也發(fā)揮了中間轉(zhuǎn)接的作用。5.2防火墻技術(shù)分類代理服務(wù)器165.2.1包過濾技術(shù)1、包過濾（PacketFiltering）技術(shù)在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過，依據(jù)系統(tǒng)事先設(shè)定好的過濾規(guī)則，檢查數(shù)據(jù)流中的每個(gè)包，根據(jù)包頭信息來確定是否允許數(shù)據(jù)包通過，拒絕發(fā)送可疑的包。使用包過濾技術(shù)的防火墻叫做包過濾防火墻（Packetfilter），因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層，又叫網(wǎng)絡(luò)層防火墻（Networklevelfirewall）。包過濾防火墻的主要構(gòu)件：

屏蔽路由器（ScreeningRouter，也稱為過濾路由器）是在普通路由器基礎(chǔ)上加入IP過濾功能而實(shí)現(xiàn)的，是防火墻最基本的構(gòu)件。5.2.1包過濾技術(shù)1、包過濾（PacketFilter17分組過濾示意圖分組過濾示意圖18包過濾技術(shù)的工作原理：包過濾技術(shù)主要是在IP層實(shí)現(xiàn)的。包過濾防火墻基于一定的過濾規(guī)則，通過檢測(cè)、分析流經(jīng)的數(shù)據(jù)包頭信息（包括源、目標(biāo)IP地址，協(xié)議類型，源、目標(biāo)端口等）以及數(shù)據(jù)包傳輸方向等來判斷是否允許通過：

如果數(shù)據(jù)包信息與用戶制定的通行規(guī)則相匹配，防火墻就

允許其通過，并通過路由轉(zhuǎn)發(fā)；

如果按照規(guī)則屬于不該放行的，防火墻就阻止該數(shù)據(jù)包

通行；

不與包過濾規(guī)則匹配的，防火墻就丟棄該數(shù)據(jù)包。包過濾技術(shù)的工作原理：19包過濾技術(shù)的工作過程：包過濾防火墻讀取包頭信息，與信息過濾規(guī)則比較，順

序檢查規(guī)則表中每一條規(guī)則，直至發(fā)現(xiàn)包中的信息與某

條規(guī)則相符。如果有一條規(guī)則不允許發(fā)送某個(gè)包，路由器就將它丟棄；

如果有一條規(guī)則允許發(fā)送某個(gè)包，路由器就將它發(fā)送；如果沒有任何一條規(guī)則能符合，路由器就會(huì)使用默認(rèn)規(guī)則

，一般情況下，默認(rèn)規(guī)則就是禁止該包通過。包過濾技術(shù)的工作過程：20過濾規(guī)則通常以表格的形式表示，其中包括以某種次序排列的條件和動(dòng)作序列。當(dāng)收到一個(gè)數(shù)據(jù)包時(shí)，則按照從前至后的順序與表格中每行的條件比較，直到滿足某一行的條件，然后執(zhí)行相應(yīng)的動(dòng)作（轉(zhuǎn)發(fā)或丟棄）。過濾規(guī)則的表示形式過濾規(guī)則通常以表格的形式表示，其中包括以某種次序排過濾規(guī)則的21

表5--1所列便是數(shù)據(jù)包過濾規(guī)則的示例，根據(jù)這些規(guī)則，便可對(duì)表5--2中列出的各項(xiàng)實(shí)際通信的數(shù)據(jù)包進(jìn)行過濾，有的數(shù)據(jù)包能通過，有的則遭到拒絕。

表9-1規(guī)則表列表5--1所列便是數(shù)據(jù)包過濾規(guī)則的示例，根據(jù)這些規(guī)則，便可22表5-2過濾表列建立規(guī)則集要十分細(xì)心，一個(gè)小錯(cuò)誤，都可能整個(gè)導(dǎo)致整個(gè)規(guī)則的不安全建立規(guī)則集也是一項(xiàng)比較煩瑣的工作，要建立正確的、完善的過濾規(guī)則集并不是一件容易的事。表5-2過濾表列建立規(guī)則集要十分細(xì)心，一個(gè)小錯(cuò)誤，都可能整個(gè)23一個(gè)屏蔽路由器能保護(hù)整個(gè)網(wǎng)絡(luò)用一個(gè)恰當(dāng)配置的屏蔽路由器，連接內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)，進(jìn)行數(shù)據(jù)包過濾，就可以取得較好的網(wǎng)絡(luò)安全效果。包過濾對(duì)用戶透明包過濾不要求任何客戶機(jī)配置。當(dāng)屏蔽路由器決定讓數(shù)據(jù)包通過時(shí)，它與普通路由器沒什么區(qū)別，用戶感覺不到它的存在。屏蔽路由器速度快、效率高屏蔽路由器只檢查包頭信息，一般不查看數(shù)據(jù)部分，而且某些核心部分是由專用硬件實(shí)現(xiàn)的，故其轉(zhuǎn)發(fā)速度快、效率較高。通常防火墻作為網(wǎng)絡(luò)安全的第一道防線。2.包過濾防火墻的優(yōu)點(diǎn)一個(gè)屏蔽路由器能保護(hù)整個(gè)網(wǎng)絡(luò)2.包過濾防火墻的優(yōu)點(diǎn)24

屏蔽路由器的缺點(diǎn)也是很明顯的：通常它沒有用戶的使用記錄這樣就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄。配置繁瑣沒有一定的經(jīng)驗(yàn)，是不可能將過濾規(guī)則配置得完美。有的時(shí)候，因?yàn)榕渲缅e(cuò)誤，防火墻根本就不起作用。不能在用戶級(jí)別上進(jìn)行過濾只能認(rèn)為內(nèi)部用戶是可信任的、外部用戶是可疑的。單純由屏蔽路由器構(gòu)成的防火墻并不十分安全危險(xiǎn)地帶包括路由器本身及路由器允許訪問的主機(jī)，一旦屏蔽路由器被攻陷就會(huì)對(duì)整個(gè)網(wǎng)絡(luò)產(chǎn)生威脅。3.包過濾防火墻的缺點(diǎn)屏蔽路由器的缺點(diǎn)也是很明顯的：3.包過濾防火墻的缺點(diǎn)254．包過濾防火墻的發(fā)展階段第一代：靜態(tài)包過濾防火墻根據(jù)數(shù)據(jù)包頭進(jìn)行過濾第二代：動(dòng)態(tài)包過濾（DynamicPacketFilter）防火墻動(dòng)態(tài)包過濾防火墻只在用戶請(qǐng)求下打開端口，并在服務(wù)完畢后關(guān)閉這個(gè)端口，這樣就避免了普通包過濾防火墻那種因靜態(tài)地開放端口，而受到攻擊的可能性。第三代：全狀態(tài)檢測(cè)（StatefulInspection）防火墻4．包過濾防火墻的發(fā)展階段第一代：靜態(tài)包過濾防火墻26Internet上傳輸?shù)臄?shù)據(jù)都必須遵循TCP/IP協(xié)議，根據(jù)TCP協(xié)議，每個(gè)可靠連接的建立需要經(jīng)過：⑴“客戶端請(qǐng)求”；⑵“服務(wù)器應(yīng)答”；⑶“客戶端再應(yīng)答”三個(gè)階段。常用的Web瀏覽、文件下載、收發(fā)郵件等都要經(jīng)過這三個(gè)階段。這反映出數(shù)據(jù)包并不是獨(dú)立的，而是前后之間有著密切的狀態(tài)聯(lián)系，基于這種狀態(tài)變化，引出了狀態(tài)檢測(cè)技術(shù)。狀態(tài)檢測(cè)技術(shù)采用的是一種基于連接的狀態(tài)檢測(cè)機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表；通過規(guī)則表與狀態(tài)表的共同配合，對(duì)表中的各個(gè)連接狀態(tài)因素加以識(shí)別，以決定是否允許包通過。第三代：全狀態(tài)檢測(cè)（StatefulInspection）防火墻Internet上傳輸?shù)臄?shù)據(jù)都必須遵循TCP/IP協(xié)議，根據(jù)27當(dāng)一個(gè)初始化連接會(huì)話的第一個(gè)數(shù)據(jù)包到達(dá)防火墻時(shí)，狀態(tài)檢測(cè)引擎會(huì)檢測(cè)到這是一個(gè)發(fā)起連接的初始數(shù)據(jù)包（由SYN標(biāo)志判斷），然后它就會(huì)把這個(gè)數(shù)據(jù)包中的信息與防火墻規(guī)則作比較。如果沒有相應(yīng)規(guī)則允許，防火墻就會(huì)拒絕這次連接；如果規(guī)則允許，它就允許數(shù)據(jù)包發(fā)送并且在狀態(tài)表中新建一條會(huì)話；當(dāng)一個(gè)初始化連接會(huì)話的第一個(gè)數(shù)據(jù)包到達(dá)防火墻時(shí)，狀態(tài)檢測(cè)引擎28通常這條會(huì)話會(huì)包括此連接的源地址、源端口、目標(biāo)地址、目標(biāo)端口、連接時(shí)間等信息，對(duì)于TCP連接，它還應(yīng)該會(huì)包含序列號(hào)和標(biāo)志位等信息。當(dāng)后續(xù)數(shù)據(jù)包到達(dá)時(shí)，如果這個(gè)數(shù)據(jù)包不含SYN標(biāo)志，也就是說這個(gè)數(shù)據(jù)包不是發(fā)起一個(gè)新的連接時(shí)，狀態(tài)檢測(cè)引擎就會(huì)直接把它的信息與狀態(tài)表中的會(huì)話條目進(jìn)行比較：如果信息匹配，就直接允許數(shù)據(jù)包通過，這樣不再去接受規(guī)則的檢查，提高了效率，如果信息不匹配，數(shù)據(jù)包就會(huì)被丟棄或連接被拒絕，并且每個(gè)會(huì)話還有一個(gè)超時(shí)值，過了這個(gè)時(shí)間，相應(yīng)會(huì)話條目就會(huì)被從狀態(tài)表中刪除掉。通常這條會(huì)話會(huì)包括此連接的源地址、源端口、目標(biāo)地址、目標(biāo)端29

狀態(tài)檢測(cè)防火墻允許會(huì)話數(shù)據(jù)包傳遞時(shí)，會(huì)動(dòng)態(tài)打開端口，傳輸完畢后又動(dòng)態(tài)地關(guān)閉這個(gè)端口，這樣就避免了普通包過濾防火墻那種靜態(tài)地開放端口的危險(xiǎn)做法，同時(shí)由于有會(huì)話超時(shí)的限制，它也能夠有效地避免外部的DoS攻擊。狀態(tài)檢測(cè)技術(shù)提供了更完整的對(duì)網(wǎng)絡(luò)層和傳輸層的控制能力。狀態(tài)檢測(cè)防火墻允許會(huì)話數(shù)據(jù)包傳遞時(shí)，會(huì)動(dòng)態(tài)打開端口，傳輸完304．包過濾防火墻的發(fā)展階段第四代：深度包檢測(cè)（DeepPacketInspection）防火墻它融合了入侵檢測(cè)技術(shù)和攻擊防范的功能。功能更強(qiáng)大、安全性更強(qiáng)，可以抵御目前常見的網(wǎng)絡(luò)攻擊手段，如IP地址欺騙、特洛伊木馬攻擊、Internet蠕蟲、口令探尋攻擊、郵件攻擊等

4．包過濾防火墻的發(fā)展階段第四代：深度包檢測(cè)（DeepPa315.2.2代理技術(shù)所謂代理服務(wù)器

是指代表內(nèi)網(wǎng)用戶向外網(wǎng)服務(wù)器進(jìn)行連接請(qǐng)求的服務(wù)程序。代理服務(wù)器運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間，它對(duì)于客戶機(jī)來說像是一臺(tái)真的服務(wù)器，而對(duì)于外網(wǎng)的服務(wù)器來說，它又是一臺(tái)客戶機(jī)。代理服務(wù)器的基本工作過程是：當(dāng)客戶機(jī)需要使用外網(wǎng)服務(wù)器上的數(shù)據(jù)時(shí)，首先將請(qǐng)求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)也發(fā)揮了中間轉(zhuǎn)接的作用。5.2.2代理技術(shù)所謂代理服務(wù)器32代理服務(wù)器代理服務(wù)器33應(yīng)用代理示意圖手動(dòng)更新可以在諾頓殺毒軟件窗口中點(diǎn)擊“LiveUpdate”命令按鈕，啟動(dòng)手動(dòng)更新點(diǎn)擊“下一步”，只要計(jì)算機(jī)連接到Internet并且有新的病毒庫，計(jì)算機(jī)便會(huì)進(jìn)行更新.應(yīng)用代理示意圖手動(dòng)更新可以在諾頓殺毒軟件窗口中點(diǎn)擊“Liv34應(yīng)用代理示意圖應(yīng)用代理示意圖35代理易于配置

代理因?yàn)槭且粋€(gè)軟件，所以它比過濾路由器容易配置。代理能生成各項(xiàng)記錄

因代理在應(yīng)用層檢查各項(xiàng)數(shù)據(jù)，所以可以按一定準(zhǔn)則，讓代理生成各項(xiàng)日志、記錄。這些日志、記錄對(duì)于流量分析、安全檢驗(yàn)是十分重要和寶貴的。代理能靈活、完全地控制進(jìn)出信息

通過采取一定的措施，按照一定的規(guī)則，可以借助代理實(shí)現(xiàn)一整套的安全策略，控制進(jìn)出的信息。代理能過濾數(shù)據(jù)內(nèi)容

可以把一些過濾規(guī)則應(yīng)用于代理，在應(yīng)用層實(shí)現(xiàn)過濾功能。2.代理的優(yōu)點(diǎn)代理易于配置2.代理的優(yōu)點(diǎn)363.代理的缺點(diǎn)代理速度比路由器慢代理對(duì)用戶不透明對(duì)于每項(xiàng)服務(wù)，代理可能要求不同的服務(wù)器代理服務(wù)通常要求對(duì)客戶或過程進(jìn)行限制代理服務(wù)受協(xié)議弱點(diǎn)的限制代理不能改進(jìn)底層協(xié)議的安全性3.代理的缺點(diǎn)37（1）應(yīng)用層代理（ApplicationProxy）代理服務(wù)是運(yùn)行在防火墻主機(jī)上的專門的應(yīng)用程序或者服務(wù)器程序。應(yīng)用層代理為某個(gè)特定應(yīng)用服務(wù)提供代理，它對(duì)應(yīng)用協(xié)議進(jìn)行解析并解釋應(yīng)用協(xié)議的命令。根據(jù)其處理協(xié)議的功能可分為FTP網(wǎng)關(guān)型防火墻、Telnet網(wǎng)關(guān)型防火墻、WWW網(wǎng)關(guān)型防火墻等。應(yīng)用層代理的優(yōu)點(diǎn)是能解釋應(yīng)用協(xié)議，支持用戶認(rèn)證，從而能對(duì)應(yīng)用層的數(shù)據(jù)進(jìn)行更細(xì)粒度的控制。缺點(diǎn)是效率低，不能支持大規(guī)模的并發(fā)連接，只適用于單一協(xié)議。4．代理防火墻的發(fā)展階段（1）應(yīng)用層代理（ApplicationProxy）4．代38也稱為電路級(jí)代理服務(wù)器。在電路層網(wǎng)關(guān)中，包被

提交到用戶應(yīng)用層處理。電路層網(wǎng)關(guān)用來在兩個(gè)通信的終點(diǎn)之間轉(zhuǎn)換包。它適用于多個(gè)協(xié)議，但無法解釋應(yīng)用協(xié)議，需要通過其他方式來獲得信息。所以，電路級(jí)代理服務(wù)器通常要求修改過的用戶程序。其中，套接字服務(wù)器（SocketsServer）就是電路級(jí)代理服務(wù)器。對(duì)用戶來說，內(nèi)網(wǎng)與外網(wǎng)的信息交換是透明的，感覺不到防火墻的存在，那是因?yàn)橐蛱鼐W(wǎng)絡(luò)用戶不需要登錄到防火墻上。但是客戶端的應(yīng)用軟件必須支持“SocketsifideAPI”，內(nèi)部網(wǎng)絡(luò)用戶訪問外部網(wǎng)所使用的IP地址也都是防火墻的IP地址。（2）電路層代理（CircuitProxy）也稱為電路級(jí)代理服務(wù)器。在電路層網(wǎng)關(guān)中，包被（2）電路層代理39（3）自適應(yīng)代理（AdaptiveProxy）自適應(yīng)代理防火墻允許用戶根據(jù)具體需求，定義防火墻策略，而不會(huì)犧牲速度或安全性。如果對(duì)安全要求較高，那么最初的安全檢查仍在應(yīng)用層進(jìn)行，保證實(shí)現(xiàn)傳統(tǒng)代理防火墻的最大安全性。而一旦代理明確了會(huì)話的所有細(xì)節(jié)，其后的數(shù)據(jù)包就可以直接經(jīng)過速度更快的網(wǎng)絡(luò)層。自適應(yīng)代理可以和安全脆弱性掃描器、病毒安全掃描器和入侵檢測(cè)系統(tǒng)之間實(shí)現(xiàn)更加靈活的集成。作為自適應(yīng)安全計(jì)劃的一部分，自適應(yīng)代理將允許經(jīng)過正確驗(yàn)證的設(shè)備在安全傳感器和掃描儀發(fā)現(xiàn)重要的網(wǎng)絡(luò)威脅時(shí)，根據(jù)防火墻管理員事先確定的安全策略，自動(dòng)“適應(yīng)”防火墻級(jí)別。

（3）自適應(yīng)代理（AdaptiveProxy）405.2.3防火墻技術(shù)的發(fā)展趨勢(shì)1．功能融合

與VPN技術(shù)融合。

與入侵檢測(cè)技術(shù)和攻擊防御技術(shù)的融合

提供對(duì)應(yīng)用層攻擊行為的檢測(cè)和對(duì)應(yīng)用層內(nèi)容的過濾功能。

提供防病毒的功能。

2．集成化管理

3．分布式體系結(jié)構(gòu)

5.2.3防火墻技術(shù)的發(fā)展趨勢(shì)1．功能融合415.3防火墻體系結(jié)構(gòu)（1）雙重宿主主機(jī)結(jié)構(gòu)；（2）被屏蔽主機(jī)結(jié)構(gòu)；（3）被屏蔽子網(wǎng)結(jié)構(gòu)。5.3防火墻體系結(jié)構(gòu)（1）雙重宿主主機(jī)結(jié)構(gòu)；425.3.1.雙重宿主主機(jī)結(jié)構(gòu)雙宿主機(jī)（Dual-homedhost），又稱堡壘主機(jī)（Bastionhost），是一臺(tái)至少配有兩個(gè)網(wǎng)絡(luò)接口的主機(jī)，它可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，在網(wǎng)絡(luò)之間發(fā)送數(shù)據(jù)包。一般情況下雙宿主機(jī)的路由功能是被禁止的，這樣可以隔離內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的直接通信，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的作用。5.3.1.雙重宿主主機(jī)結(jié)構(gòu)雙宿主機(jī)（Dual-homed43雙重宿主主機(jī)雙重宿主主機(jī)441．雙宿主機(jī)網(wǎng)關(guān)雙宿主機(jī)網(wǎng)關(guān)是用一臺(tái)裝有兩個(gè)網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻。雙宿主機(jī)用兩個(gè)網(wǎng)絡(luò)適配器分別連接兩個(gè)網(wǎng)絡(luò)，又稱為堡壘主機(jī)。堡壘主機(jī)上運(yùn)行著防火墻軟件（通常是代理服務(wù)器），可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。1．雙宿主機(jī)網(wǎng)關(guān)1．雙宿主機(jī)網(wǎng)關(guān)1．雙宿主機(jī)網(wǎng)關(guān)458.3.2屏蔽主機(jī)結(jié)構(gòu)屏蔽主機(jī)結(jié)構(gòu)需要配備一臺(tái)堡壘主機(jī)和一個(gè)有過濾功能的屏蔽路由器，如圖5-3所示，屏蔽路由器連接外部網(wǎng)絡(luò)，堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。通常在路由器上設(shè)立過濾規(guī)則，并使這個(gè)堡壘主機(jī)成為從外部網(wǎng)絡(luò)唯一可直接到達(dá)的主機(jī)。入侵者要想入侵內(nèi)部網(wǎng)絡(luò)，必須過屏蔽路由器和堡壘主機(jī)兩道屏障，所以屏蔽主機(jī)結(jié)構(gòu)比雙重宿主主機(jī)結(jié)構(gòu)具有更好的安全性和可用性。8.3.2屏蔽主機(jī)結(jié)構(gòu)屏蔽主機(jī)結(jié)構(gòu)需要配備一臺(tái)堡壘主機(jī)和一個(gè)46屏蔽主機(jī)結(jié)構(gòu)屏蔽主機(jī)結(jié)構(gòu)472．屏蔽主機(jī)網(wǎng)關(guān)堡壘主機(jī)有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡(luò)，一塊連接包過濾路由器。雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)2．屏蔽主機(jī)結(jié)構(gòu)2．屏蔽主機(jī)網(wǎng)關(guān)堡壘主機(jī)有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡(luò)，一塊485.3.3屏蔽子網(wǎng)結(jié)構(gòu)屏蔽子網(wǎng)結(jié)構(gòu)是在屏蔽主機(jī)結(jié)構(gòu)的基礎(chǔ)上添加額外

的安全層，即屏蔽子網(wǎng)，更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離開。屏蔽子網(wǎng)結(jié)構(gòu)包含外部和內(nèi)部?jī)蓚€(gè)路由器。兩個(gè)屏蔽路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè)安全性區(qū)域，通常叫做“非軍事區(qū)”DMZ。兩個(gè)路由器一個(gè)控制內(nèi)網(wǎng)的數(shù)據(jù)流，另一個(gè)控制外網(wǎng)的數(shù)據(jù)流，Intranet和Internet均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信。

5.3.3屏蔽子網(wǎng)結(jié)構(gòu)屏蔽子網(wǎng)結(jié)構(gòu)是在屏蔽主機(jī)結(jié)構(gòu)的基礎(chǔ)上493．屏蔽子網(wǎng)結(jié)構(gòu)3．屏蔽子網(wǎng)結(jié)構(gòu)503．屏蔽子網(wǎng)3．屏蔽子網(wǎng)屏蔽子網(wǎng)是在Intranet和Internet之間建立一個(gè)被隔離的子網(wǎng)，用兩個(gè)包過濾路由器將這一子網(wǎng)分別與Intranet和Internet分開。兩個(gè)包過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè)“緩沖地帶”，兩個(gè)路由器一個(gè)控制Intranet數(shù)據(jù)流，另一個(gè)控制Internet數(shù)據(jù)流，Intranet和Internet均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信。

3．屏蔽子網(wǎng)3．屏蔽子網(wǎng)51屏蔽子網(wǎng)結(jié)構(gòu)屏蔽子網(wǎng)結(jié)構(gòu)525.34防火墻的組合結(jié)構(gòu)

建造防火墻時(shí)，一般很少采用單一的結(jié)構(gòu)，通常是

多種結(jié)構(gòu)的組合。一般有以下幾種形式：使用多堡壘主機(jī)；合并內(nèi)部路由器與外部路由器；合并堡壘主機(jī)與外部路由器；合并堡壘主機(jī)與內(nèi)部路由器；使用多臺(tái)內(nèi)部路由器；使用多臺(tái)外部路由器；使用多個(gè)周邊網(wǎng)絡(luò)；使用雙重宿主主機(jī)與屏蔽子網(wǎng)。5.34防火墻的組合結(jié)構(gòu)建造防火墻時(shí)，一般很少采用538.4內(nèi)部防火墻8.4.1分布式防火墻（DistributedFirewall）8.4.2嵌入式防火墻（EmbeddedFirewall）8.4.3個(gè)人防火墻8.4內(nèi)部防火墻8.4.1分布式防火墻（Distrib548.4內(nèi)部防火墻"邊界防火墻（PerimeterFirewall）"

因?yàn)閭鹘y(tǒng)的防火墻設(shè)置在網(wǎng)絡(luò)邊界，處于內(nèi)、外部

互聯(lián)網(wǎng)之間，所以稱為"邊界防火墻（PerimeterFirewall）"。邊界防火墻的不足

隨著人們對(duì)網(wǎng)絡(luò)安全防護(hù)要求的提高，邊界防火墻明顯感覺到力不從心，因?yàn)榻o網(wǎng)絡(luò)帶來安全威脅的不僅是外網(wǎng)，更多的是來自內(nèi)網(wǎng)。邊界防火墻無法對(duì)內(nèi)網(wǎng)實(shí)現(xiàn)有效地保護(hù)。新型的防火墻技術(shù)

分布式防火墻（DistributedFirewalls）技術(shù)8.4內(nèi)部防火墻"邊界防火墻（PerimeterFire55分布式防火墻的設(shè)計(jì)理念邊界防火墻

所有邊界防火墻，都是基于一個(gè)共同的假設(shè)：那就是防火墻把內(nèi)網(wǎng)一端的用戶看成是可信任的，而外網(wǎng)一端的用戶則都被作為潛在的攻擊者來對(duì)待。分布式防火墻分布式防火墻是一種主機(jī)駐留式的安全系統(tǒng)，它是以主機(jī)為保護(hù)對(duì)象，它的設(shè)計(jì)理念是：主機(jī)以外的任何用戶都是不可信任的，對(duì)來自他們的訪問都需要進(jìn)行過濾，無論是來自Internet，還是來自內(nèi)部網(wǎng)絡(luò)。它們對(duì)個(gè)人計(jì)算機(jī)進(jìn)行保護(hù)的方式如同邊界防火墻對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)進(jìn)行保護(hù)一樣。分布式防火墻的設(shè)計(jì)理念邊界防火墻568.4.1分布式防火墻分布式防火墻是一種全新的防火墻概念，是比較完

善的一種防火墻技術(shù)，它是在邊界防火墻的基礎(chǔ)上開發(fā)的，目前主要以軟件形式出現(xiàn)。"分布式防火墻"是一個(gè)完整的系統(tǒng)，其保護(hù)對(duì)象包括：⑴網(wǎng)絡(luò)邊界，即內(nèi)、外網(wǎng)的接口；⑵內(nèi)網(wǎng)中的各個(gè)子網(wǎng)；⑶網(wǎng)絡(luò)內(nèi)部各節(jié)點(diǎn)，包括：服務(wù)器、桌面主機(jī)8.4.1分布式防火墻分布式防火墻是一種全新的防火墻概念57

分布式防火墻體系結(jié)構(gòu)分布式防火墻包含以下三個(gè)部分：網(wǎng)絡(luò)防火墻（NetworkFirewall）主機(jī)防火墻（HostFirewall）中心管理（CentralManagement）分布式防火墻體系結(jié)構(gòu)分布式防火墻包含以下三個(gè)部分：58分布式防火墻體系結(jié)構(gòu)網(wǎng)絡(luò)防火墻（NetworkFirewall）：網(wǎng)絡(luò)防火墻有軟件與硬件兩種產(chǎn)品作用：用于內(nèi)部網(wǎng)與外部網(wǎng)之間，以及內(nèi)部網(wǎng)各子網(wǎng)之間的防護(hù)。在功能與傳統(tǒng)的邊界式防火墻類似。與傳統(tǒng)邊界式防火墻相比，它多了個(gè)對(duì)內(nèi)部子網(wǎng)之間的安全防護(hù)層，這樣整個(gè)網(wǎng)絡(luò)的安全防護(hù)體系就顯得更加全面，更加可靠。分布式防火墻體系結(jié)構(gòu)網(wǎng)絡(luò)防火墻（NetworkFirewa59分布式防火墻體系結(jié)構(gòu)主機(jī)防火墻（HostFirewall）：有軟件和硬件兩種產(chǎn)品；作用：用于對(duì)網(wǎng)絡(luò)中的服務(wù)器和桌面主機(jī)進(jìn)行防護(hù)，以確保內(nèi)部網(wǎng)絡(luò)服務(wù)器和桌面機(jī)的安全。分布式防火墻的作用：⑴用于內(nèi)部與外部網(wǎng)之間的防護(hù)；⑵用于內(nèi)部網(wǎng)各子網(wǎng)之間；⑶同一內(nèi)部子網(wǎng)工作站與服務(wù)器之間。分布式防火墻可以說達(dá)到了應(yīng)用層的安全防護(hù)。是對(duì)傳統(tǒng)邊界式防火墻在安全體系方面的一個(gè)極大完善。分布式防火墻體系結(jié)構(gòu)主機(jī)防火墻（HostFirewall）60分布式防火墻體系結(jié)構(gòu)中心管理（CentralManagerment）：是一個(gè)服務(wù)器軟件，負(fù)責(zé)總體安全策略：策劃管理分發(fā)日志的匯總這樣防火墻就可進(jìn)行智能管理，提高了防火墻的安全防護(hù)靈活性，具備可管理性。分布式防火墻體系結(jié)構(gòu)中心管理（CentralManager618.4.1分布式防火墻分布式防火墻的主要特點(diǎn)主機(jī)駐留嵌入操作系統(tǒng)內(nèi)核類似于個(gè)人防火墻適用于服務(wù)器托管8.4.1分布式防火墻分布式防火墻的主要特點(diǎn)62（1）主機(jī)駐留

分布式防火墻的最主要特點(diǎn)就是采用主機(jī)駐留方式，

所以稱之為"主機(jī)防火墻"，它的重要特征是駐留在被保護(hù)的主機(jī)上，該主機(jī)以外的網(wǎng)絡(luò)不管是處在網(wǎng)絡(luò)內(nèi)部還是網(wǎng)絡(luò)外部都認(rèn)為是不可信任的，因此可以針對(duì)該主機(jī)上運(yùn)行的具體應(yīng)用和對(duì)外提供的服務(wù)設(shè)定針對(duì)性很強(qiáng)的安全策略。主機(jī)防火墻對(duì)分布式防火墻體系結(jié)構(gòu)的突出貢獻(xiàn)是，使安全策略不僅僅停留在網(wǎng)絡(luò)與網(wǎng)絡(luò)之間，而是把安全策略推廣延伸到每個(gè)網(wǎng)絡(luò)末端。（1）主機(jī)駐留

分布式防火墻的最主要特點(diǎn)就是采用主機(jī)駐留方式63（2）嵌入操作系統(tǒng)內(nèi)核操作系統(tǒng)自身存在許多安全漏洞，運(yùn)行在其上的應(yīng)用

軟件無一不受到威脅。分布式主機(jī)防火墻也運(yùn)行在該主機(jī)上，所以防火墻自身也會(huì)受到因操作系統(tǒng)漏洞而帶來的威脅。為確保自身的安全和徹底堵住操作系統(tǒng)的漏洞，主機(jī)防火墻的安全監(jiān)測(cè)核心引擎要以嵌入操作系統(tǒng)內(nèi)核的形態(tài)運(yùn)行，直接接管網(wǎng)卡，在把所有數(shù)據(jù)包進(jìn)行檢查后再提交操作系統(tǒng)。為實(shí)現(xiàn)這樣的運(yùn)行機(jī)制，除防火墻廠商自身的開發(fā)技術(shù)外，與操作系統(tǒng)廠商的技術(shù)合作也是必要的條件，因?yàn)檫@需要一些操作系統(tǒng)不公開的內(nèi)部技術(shù)接口。（2）嵌入操作系統(tǒng)內(nèi)核操作系統(tǒng)自身存在許多安全漏洞，運(yùn)行在其64（3）類似于個(gè)人防火墻

主機(jī)防火墻與個(gè)人防火墻的相似之處：它們都對(duì)應(yīng)于個(gè)人系統(tǒng)，都可以保護(hù)單個(gè)主機(jī)。主機(jī)防火墻與個(gè)人防火墻的差別之處：管理方式迥然不同：個(gè)人防火墻的安全策略由使用者自己設(shè)置，而主機(jī)防火墻的安全策略由整個(gè)系統(tǒng)的管理員統(tǒng)一設(shè)置；個(gè)人防火墻只防外部攻擊，主機(jī)防火墻除了防外部攻擊外，也可以對(duì)該桌面機(jī)的對(duì)外訪問加以控制；主機(jī)防火墻的安全機(jī)制是桌面機(jī)的使用者不可見和不可改動(dòng)的。其次，個(gè)人防火墻面向個(gè)人用戶，主機(jī)防火墻是面向企業(yè)級(jí)客戶的，是由一個(gè)安全策略中心統(tǒng)一管理，安全檢查機(jī)制分散布置的分布式防火墻體系結(jié)構(gòu)。（3）類似于個(gè)人防火墻

主機(jī)防火墻與個(gè)人防火墻的相似之處：65（4）適用于服務(wù)器托管服務(wù)器托管：企業(yè)或個(gè)人的服務(wù)器托人代管；托管的服務(wù)器邏輯上是其企業(yè)網(wǎng)的一部分，但物理上不在企業(yè)內(nèi)部，對(duì)于這種應(yīng)用，邊界防火墻就顯得力不從心；主機(jī)防火墻對(duì)被托管服務(wù)器的防護(hù)就游刃有余：對(duì)于純軟件式的分布式防火墻則用戶只需在該服務(wù)器上安裝上主機(jī)防火墻軟件，并根據(jù)該服務(wù)器的應(yīng)用設(shè)置安全策略，并可以利用中心管理軟件對(duì)該服務(wù)器進(jìn)行遠(yuǎn)程監(jiān)控。對(duì)于硬件式的分布式防火墻因其通常采用PCI卡式的，通常兼顧網(wǎng)卡作用，所以可以直接插在服務(wù)器機(jī)箱里面。（4）適用于服務(wù)器托管服務(wù)器托管：企業(yè)或個(gè)人的服務(wù)器托人代668.4.1分布式防火墻分布式防火墻的優(yōu)勢(shì)增強(qiáng)的系統(tǒng)安全性增加了針對(duì)主機(jī)的入侵檢測(cè)和防護(hù)功能，加強(qiáng)了對(duì)來自內(nèi)部攻擊防范，對(duì)整個(gè)網(wǎng)絡(luò)實(shí)施全方位的安全策略。提高了系統(tǒng)性能⑴消除了結(jié)構(gòu)性瓶頸；⑵對(duì)服務(wù)器、個(gè)人主機(jī)單獨(dú)設(shè)置。系統(tǒng)的擴(kuò)展性分布式防火墻隨系統(tǒng)擴(kuò)充提供了安全防護(hù)無限擴(kuò)充的能力。應(yīng)用更為廣泛，支持VPN通信它能夠保護(hù)物理拓樸上不屬于內(nèi)部網(wǎng)絡(luò)，但位于邏輯上的"內(nèi)部"網(wǎng)絡(luò)的那些主機(jī)，這種需求隨著VPN的發(fā)展越來越多8.4.1分布式防火墻分布式防火墻的優(yōu)勢(shì)678.4.2嵌入式防火墻將分布式防火墻技術(shù)集成在硬件上（一般可以兼有

網(wǎng)卡的功能），通常稱之為嵌入式防火墻目前分布式防火墻主要是以軟件形式出現(xiàn)的，也有一些網(wǎng)絡(luò)設(shè)備開發(fā)商（如3COM、CISCO等）開發(fā)生產(chǎn)了硬件分布式防火墻，做成PCI卡或PCMCIA卡的形式，。嵌入式防火墻的代表產(chǎn)品是3Com公司的3Com10/100安全服務(wù)器網(wǎng)卡（3Com10/100SecureServerNIC）、3Com10/100安全網(wǎng)卡（3Com10/100SecureNIC）以及3Com公司嵌入式防火墻策略服務(wù)器（3ComEmbeddedFirewallPolicyServer）。8.4.2嵌入式防火墻將分布式防火墻技術(shù)集成在硬件上（一般688.4.3個(gè)人防火墻個(gè)人防火墻是安裝在個(gè)人計(jì)算機(jī)里的一段程序，是防止個(gè)個(gè)人電腦中的信息被外部侵襲的一項(xiàng)技術(shù)，把個(gè)人計(jì)算機(jī)和Internet分隔開。個(gè)人防火墻在個(gè)人主機(jī)的系統(tǒng)中監(jiān)控、阻止任何未經(jīng)授權(quán)允許的數(shù)據(jù)進(jìn)入或發(fā)出到互聯(lián)網(wǎng)及其他網(wǎng)絡(luò)系統(tǒng)。目前在Windows操作系統(tǒng)下比較著名的防火墻有：國外的有：Symantec公司的諾頓、NetworkIce公司的BlackIceDefender、McAfee公司的思科及ZoneLab的freeZoneAlarm等國內(nèi)的有：天網(wǎng)防火墻、360木馬防火墻、瑞星個(gè)人防火墻、江民黑客防火墻和金山網(wǎng)標(biāo)等產(chǎn)品。8.4.3個(gè)人防火墻個(gè)人防火墻是安裝在個(gè)人計(jì)算機(jī)里的一段698.5防火墻產(chǎn)品介紹8.5.1FireWall-1防火墻

8.5.2CiscoPIX515E防火墻

8.5.3天網(wǎng)防火墻8.5防火墻產(chǎn)品介紹8.5.1FireWall-1防火墻708.5.1FireWall-1

CheckPoint公司的系列防火墻產(chǎn)品可用于各種平臺(tái)上，其中Firewall-1是最為流行、市場(chǎng)占有率最高的一種。據(jù)IDC的最近統(tǒng)計(jì)，F(xiàn)ireWall-1防火墻在市場(chǎng)占有率上已超過32%，《財(cái)富》排名前100的大企業(yè)里近80%選用了FireWall-1防火墻。8.5.1FireWall-1CheckPoint公司718.5.2Cisco安全防火墻服務(wù)模塊(FWSM）

Cisco防火墻服務(wù)模塊（FWSM）是一款高性能的狀態(tài)化檢測(cè)防火墻，它可以集成在Cisc06500交換機(jī)以及7600路由器機(jī)箱中。CiscoFWSM防火墻是一種高速的集成化的防火墻，可以提供業(yè)界最快的防火墻數(shù)據(jù)傳輸速率：5Gb的吞吐量，以及1000000個(gè)并發(fā)連接。在一個(gè)設(shè)備中最多可以安裝4個(gè)FWSM防火墻模塊，因而每個(gè)設(shè)備最高可以提供高達(dá)20Gb的吞吐量。FWSM還支持“虛擬防火墻”功能，通過適當(dāng)配置，一塊FWSM最多可以虛擬為100個(gè)獨(dú)立工作的防火墻，網(wǎng)管人員可以根據(jù)需要為每個(gè)部門設(shè)立獨(dú)立的防火墻，更好的保證網(wǎng)絡(luò)安全。8.5.2Cisco安全防火墻服務(wù)模塊(FWSM）72網(wǎng)絡(luò)安全防火墻技術(shù)講解課件73網(wǎng)絡(luò)安全防火墻技術(shù)講解課件74網(wǎng)絡(luò)安全防火墻技術(shù)講解課件758.5.3天網(wǎng)防火墻

廣州眾達(dá)天網(wǎng)技術(shù)有限公司開發(fā)的天網(wǎng)防火墻系列產(chǎn)品功能全面，具有較高的性能。該系列產(chǎn)品提供有強(qiáng)大的訪問控制、身份認(rèn)證、網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、數(shù)據(jù)過濾、虛擬專用網(wǎng)（VPN）、流量控制、虛擬網(wǎng)橋等功能。8.5.3天網(wǎng)防火墻廣州眾達(dá)天網(wǎng)技術(shù)有限公司開發(fā)的天網(wǎng)防768.5.3天網(wǎng)防火墻

天網(wǎng)防火墻個(gè)人版是目前針對(duì)個(gè)人用戶比較好的中文軟件防火墻之一，由天網(wǎng)安全實(shí)驗(yàn)室設(shè)計(jì)開發(fā)，用戶可以根據(jù)軟件提供的安全規(guī)則自主設(shè)置訪問控制、信息過濾、入侵檢測(cè)等安全策略。天網(wǎng)防火墻自1999年推出個(gè)人版V1.0以來，先后陸續(xù)推出了V1.0、V2.0、V2.45、V2.5、V3.0等版本。目前，該軟件最新的個(gè)人試用版本為V3.0版本，用戶可以從天網(wǎng)防火墻的官方網(wǎng)站——天網(wǎng)安全實(shí)驗(yàn)室（）下載來安裝使用。8.5.3天網(wǎng)防火墻

天網(wǎng)防火墻個(gè)人版是目前針對(duì)個(gè)人用戶比775.5.3

天網(wǎng)防火墻的安裝點(diǎn)擊下載目錄中的安裝圖標(biāo)，選擇安裝目錄，并接收安裝協(xié)議，如圖5-10所示。圖5-10天網(wǎng)防火墻安裝界面5.5.3天網(wǎng)防火墻的安裝點(diǎn)擊下載目錄中的安裝圖標(biāo)，選擇785.5.1天網(wǎng)防火墻的安裝

在安裝的過程中，程序會(huì)提醒設(shè)置安全級(jí)別，有“低”、“中”、“高”和“自定義”四個(gè)選項(xiàng)，普通用戶建議選擇默認(rèn)選項(xiàng)“中”，如圖5-11所示。圖5-11天網(wǎng)防火墻安全級(jí)別設(shè)置界面5.5.1天網(wǎng)防火墻的安裝

在安裝的過程中，程序會(huì)提醒設(shè)795.5.3

天網(wǎng)防火墻的安裝單擊“下一步”，程序提醒局域網(wǎng)信息設(shè)置。把默認(rèn)的“開機(jī)時(shí)候自動(dòng)啟動(dòng)防火墻”、“我的電腦在局域網(wǎng)中使用”都選上，如果網(wǎng)卡地址還有變動(dòng)，在“我在局域網(wǎng)中的地址”欄手動(dòng)輸入，否則選擇默認(rèn)，如圖5-12所示。安裝完成后，系統(tǒng)會(huì)提示重新啟動(dòng)計(jì)算機(jī)，按提示要求重啟后程序生效。5.5.3天網(wǎng)防火墻的安裝單擊“下一步”，程序提醒局域網(wǎng)805.5.2天網(wǎng)防火墻的規(guī)則設(shè)置普通用戶一般在安裝的過程中用默認(rèn)的選項(xiàng)即可，如果還有特殊的安全要求，應(yīng)自定義安全規(guī)則。設(shè)置選項(xiàng)主要有“用戶自定義”、“應(yīng)用程序規(guī)則”、“IP規(guī)則管理”三項(xiàng)。①“用戶自定義”：選項(xiàng)主界面如圖5-13所示。用戶可以對(duì)開機(jī)時(shí)是否啟動(dòng)防火墻、是否重置規(guī)則、是否報(bào)警等選項(xiàng)進(jìn)行設(shè)置。圖5-13天網(wǎng)防火墻用戶自定義“基本設(shè)置”界面5.5.2天網(wǎng)防火墻的規(guī)則設(shè)置普通用戶一般在安裝的過程中81②“應(yīng)用程序規(guī)則”設(shè)置：該選項(xiàng)主要是就某一具體程序在主機(jī)中運(yùn)行過程中所涉及到的協(xié)議類型、端口號(hào)、是否允許通過等選項(xiàng)進(jìn)行設(shè)置，如圖5-14所示。圖5-14天網(wǎng)防火墻“應(yīng)用程序規(guī)則”設(shè)置界面5.5.2天網(wǎng)防火墻的規(guī)則設(shè)置②“應(yīng)用程序規(guī)則”設(shè)置：該選項(xiàng)主要是就某一具體程序在主機(jī)中運(yùn)82

例如，在圖5-14所示的應(yīng)用程序選擇中，如果用戶選擇了某個(gè)應(yīng)用程序“Dr.COM寬帶認(rèn)證客戶端程序”，則其設(shè)置選項(xiàng)如圖5-15所示，用戶可以就TCP、UDP信息和TCP協(xié)議可訪問端口進(jìn)行設(shè)置。圖5-15天網(wǎng)防火墻“應(yīng)用程序規(guī)則”高級(jí)設(shè)置界面5.5.2天網(wǎng)防火墻的規(guī)則設(shè)置例如，在圖5-14所示的應(yīng)用程序選擇中，如果用戶選擇了83③“IP規(guī)則管理”設(shè)置：用戶可以根據(jù)自身具體要求自定義IP規(guī)則，如圖5-16所示。比如，選擇其中了一項(xiàng)“允許自己用Ping命令探測(cè)其他機(jī)器”，則雙擊后出現(xiàn)如圖5-17所示界面。圖5-16天網(wǎng)防火墻“IP管理規(guī)則”設(shè)置界面5.5.2天網(wǎng)防火墻的規(guī)則設(shè)置③“IP規(guī)則管理”設(shè)置：用戶可以根據(jù)自身具體要求自定義IP84圖5-17天網(wǎng)防火墻“修改IP規(guī)則”設(shè)置界面在“修改IP規(guī)則”中，用戶可以就數(shù)據(jù)包方向（接受還是發(fā)送）、數(shù)據(jù)包協(xié)議類型、對(duì)方IP地址以及滿足相關(guān)條件時(shí)是選擇通行還是阻攔等進(jìn)行配置。圖5-17天網(wǎng)防火墻“修改IP規(guī)則”設(shè)置界面在“修改IP規(guī)85第5章防火墻技術(shù)第5章防火墻技術(shù)86第5章防火墻技術(shù)防火墻及相關(guān)概念包過濾與代理防火墻的體系結(jié)構(gòu)分布式防火墻與嵌入式防火墻第5章防火墻技術(shù)防火墻及相關(guān)概念875.1防火墻概述防火墻是一種解決網(wǎng)絡(luò)之間訪問控制的有效方法。防火墻是一種綜合性的技術(shù)，涉及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、安全技術(shù)、軟件技術(shù)、安全協(xié)議、網(wǎng)絡(luò)標(biāo)準(zhǔn)化組織（ISO）的安全規(guī)范以及安全操作系統(tǒng)等多方面。從1991年6月ANS公司的第一個(gè)防火墻產(chǎn)品ANSInterlockService防火墻上市以來，到目前為止，世界上至少有幾十家公司和研究所在從事防火墻技術(shù)的研究和產(chǎn)品開發(fā)。5.1防火墻概述防火墻是一種解決網(wǎng)絡(luò)之間訪問控制的有效方885.1防火墻概述1、防火墻的概念

防火墻（Firewall）是指隔離在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一

道防御系統(tǒng)，它能擋住來自外部網(wǎng)絡(luò)的攻擊和入侵，保障著

內(nèi)部網(wǎng)絡(luò)的安全。

5.1防火墻概述1、防火墻的概念891、防火墻的概念1、防火墻的概念90網(wǎng)絡(luò)安全防火墻技術(shù)講解課件91外部網(wǎng)絡(luò)（外網(wǎng)）:防火墻之外的網(wǎng)絡(luò)，一般為Internet，默認(rèn)為風(fēng)險(xiǎn)區(qū)域。內(nèi)部網(wǎng)絡(luò)（內(nèi)網(wǎng)）：防火墻之內(nèi)的網(wǎng)絡(luò)，一般為局域網(wǎng)，默認(rèn)為安全區(qū)域。非軍事化區(qū)（DMZ）：為了配置管理方便，內(nèi)網(wǎng)中需要向外網(wǎng)提供服務(wù)的服務(wù)器（

如WWW、FTP、SMTP、DNS等）往往放在Internet與內(nèi)部網(wǎng)絡(luò)之間一個(gè)單獨(dú)的網(wǎng)段，這個(gè)網(wǎng)段便是非軍事化區(qū)。代理服務(wù)器:是指代表內(nèi)部網(wǎng)絡(luò)用戶向外部網(wǎng)絡(luò)中的服務(wù)器進(jìn)行連接請(qǐng)求的程序。2、幾個(gè)常用概念外部網(wǎng)絡(luò)（外網(wǎng)）:2、幾個(gè)常用概念92包過濾:也被稱為數(shù)據(jù)包過濾，是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過，依據(jù)系統(tǒng)事先設(shè)定好的過濾規(guī)則，檢查數(shù)據(jù)流中的每個(gè)數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址以及端口等信息來確定是否允許數(shù)據(jù)包通過。狀態(tài)檢查技術(shù)：第三代網(wǎng)絡(luò)安全技術(shù)。狀態(tài)檢測(cè)模塊在不影響網(wǎng)絡(luò)安全正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各個(gè)層次實(shí)行檢測(cè)，并作為安全決策依據(jù)。虛擬專用網(wǎng)（VPN）：在公用中配置的專用網(wǎng)絡(luò)。漏洞：是系統(tǒng)中的安全缺陷。2、幾個(gè)常用概念包過濾:2、幾個(gè)常用概念93數(shù)據(jù)驅(qū)動(dòng)攻擊：入侵者把一些具有破壞數(shù)據(jù)藏匿在正常數(shù)據(jù)中。當(dāng)這些數(shù)據(jù)被激活時(shí)，發(fā)生的攻擊。比如。一個(gè)站點(diǎn)的地址為：.tw/asp/wish/wishshow.asp?id=117。在wish后，用“%5c”替換“/”，地址就變成了.tw/asp/wish%5cwishshow.asp?id=117，這樣就可以暴出對(duì)方數(shù)據(jù)庫了。根據(jù)錯(cuò)誤提示，數(shù)據(jù)庫是db.mdb，而且還可以直接下載。IP地址欺騙：入侵者利用偽造的IP地址，產(chǎn)生的虛假的數(shù)據(jù)包，喬裝成來處內(nèi)部的數(shù)據(jù)。數(shù)據(jù)驅(qū)動(dòng)攻擊：943.防火墻安全策略

為網(wǎng)絡(luò)建立防火墻，首先要決定防火墻將采取何種安全控制基本準(zhǔn)則。一個(gè)防火墻應(yīng)該使用以下兩種基本策略中的一種：

（1）除非明確允許，否則就禁止這種方法堵塞了兩個(gè)網(wǎng)絡(luò)之間的所有數(shù)據(jù)傳輸，除了那些被明確允許的服務(wù)和應(yīng)用程序。因此，應(yīng)該逐個(gè)定義每一個(gè)允許的服務(wù)和應(yīng)用程序，而任何一個(gè)可能成為防火墻漏洞的服務(wù)和應(yīng)用程序都不能允許使用。這是一個(gè)最安全的方法，但從用戶的角度來看，這樣可能會(huì)有很多限制，不是很方便。一般在防火墻配置中都會(huì)使用這種策略。3.防火墻安全策略為網(wǎng)絡(luò)建立防火墻，首先要決定防火墻將953.防火墻安全策略（2）除非明確禁止，否則就允許這種方法允許兩個(gè)網(wǎng)絡(luò)之間所有數(shù)據(jù)傳輸，除非那些被明確禁止的服務(wù)和應(yīng)用程序。因此，每一個(gè)不信任或有潛在危害的服務(wù)和應(yīng)用程序都應(yīng)該逐個(gè)拒絕。雖然這對(duì)用戶是一個(gè)靈活和方便的方法，它卻可能存在嚴(yán)重的安全隱患?？傊?，從安全性的角度考慮，第一種準(zhǔn)則更可取一些，而從靈活性和使用方便性的角度考慮，第二種準(zhǔn)則更適合。3.防火墻安全策略（2）除非明確禁止，否則就允許965.1.2防火墻的作用

從總體上看，防火墻應(yīng)具有以下基本功能：可以限制未授權(quán)用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全服務(wù)和非法用戶；防止入侵者接近內(nèi)部網(wǎng)絡(luò)的防御設(shè)施，對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警；限制內(nèi)部用戶訪問特殊站點(diǎn)；記錄通過防火墻的信息內(nèi)容和活動(dòng)，為監(jiān)視Internet安全提供方便。5.1.2防火墻的作用從總體上看，防火墻應(yīng)具有以下基本975.1.3防火墻的優(yōu)、缺點(diǎn)1．優(yōu)點(diǎn)

防火墻是加強(qiáng)網(wǎng)絡(luò)安全的一種有效手段，它有以下優(yōu)點(diǎn)：（1）防火墻能強(qiáng)化安全策略（2）防火墻能有效地記錄Internet上的活動(dòng)（3）防火墻是一個(gè)安全策略的檢查站2．缺點(diǎn)

有人認(rèn)為只要安裝了防火墻，所有的安全問題就會(huì)迎刃而解。但事實(shí)上，防火墻并不是萬能的，安裝了防火墻的系統(tǒng)仍然存在著安全隱患。以下是防火墻的一些缺點(diǎn)：5.1.3防火墻的優(yōu)、缺點(diǎn)1．優(yōu)點(diǎn)98不能防范惡意的內(nèi)部用戶

如果入侵者已經(jīng)在防火墻內(nèi)部，防火墻是無能為力的。內(nèi)部用戶可以不經(jīng)過防火墻竊取數(shù)據(jù)、破壞硬件和軟件，這類攻擊占了全部攻擊的一半以上。不能防范不通過防火墻的連接

防火墻能夠有效防范地通過它傳輸?shù)男畔?，卻不能防范不通過它傳輸?shù)男畔ⅰ＠?，如果站點(diǎn)允許對(duì)防火墻后面的內(nèi)部系統(tǒng)進(jìn)行撥號(hào)訪問，那么防火墻絕對(duì)沒有辦法阻止入侵者進(jìn)行撥號(hào)入侵。不能防范全部的威脅可以防范某些新的威脅，但沒有一個(gè)防火墻能自動(dòng)防御所有的新的威脅。防火墻不能防范病毒

防火墻不能防范從網(wǎng)絡(luò)上傳染來的病毒，也不能消除計(jì)算機(jī)已存在的病毒。無論防火墻多么安全，用戶都需要一套防毒軟件來防范病毒。2．缺點(diǎn)不能防范惡意的內(nèi)部用戶2．缺點(diǎn)995.2防火墻技術(shù)分類

根據(jù)工作在網(wǎng)絡(luò)中作用層的不同，防火墻可以分為包過濾防火墻和代理服務(wù)器兩類：包過濾防火墻又稱網(wǎng)絡(luò)層防火墻。數(shù)據(jù)包過濾是防火墻中最基本、最簡(jiǎn)單的一種。用來防止整個(gè)網(wǎng)絡(luò)出現(xiàn)的外來非法的入侵。該類防火墻運(yùn)行在TCP/IP協(xié)議的網(wǎng)絡(luò)層上，它對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析，并按照一定的信息過濾規(guī)則對(duì)信息進(jìn)行限制，允許授權(quán)信息通過，拒絕非授權(quán)信息通過。5.2防火墻技術(shù)分類根據(jù)工作在網(wǎng)絡(luò)中作用層的不同，防1005.2防火墻技術(shù)分類代理服務(wù)器又叫應(yīng)用層防火墻，

這種防火墻是目前較通用的一種；從應(yīng)用程序來進(jìn)行接入控制。例如，可以只允許通過訪問萬維網(wǎng)的應(yīng)用，而阻止FTP應(yīng)用的通過。其基本工作過程是：當(dāng)客戶機(jī)需要使用外網(wǎng)的服務(wù)器上的數(shù)據(jù)時(shí)，首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器；代理服務(wù)器根據(jù)請(qǐng)求向服務(wù)器索取數(shù)據(jù)；然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。同樣，代理服務(wù)器在外網(wǎng)向內(nèi)網(wǎng)申請(qǐng)服務(wù)時(shí)也發(fā)揮了中間轉(zhuǎn)接的作用。5.2防火墻技術(shù)分類代理服務(wù)器1015.2.1包過濾技術(shù)1、包過濾（PacketFiltering）技術(shù)在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過，依據(jù)系統(tǒng)事先設(shè)定好的過濾規(guī)則，檢查數(shù)據(jù)流中的每個(gè)包，根據(jù)包頭信息來確定是否允許數(shù)據(jù)包通過，拒絕發(fā)送可疑的包。使用包過濾技術(shù)的防火墻叫做包過濾防火墻（Packetfilter），因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層，又叫網(wǎng)絡(luò)層防火墻（Networklevelfirewall）。包過濾防火墻的主要構(gòu)件：

屏蔽路由器（ScreeningRouter，也稱為過濾路由器）是在普通路由器基礎(chǔ)上加入IP過濾功能而實(shí)現(xiàn)的，是防火墻最基本的構(gòu)件。5.2.1包過濾技術(shù)1、包過濾（PacketFilter102分組過濾示意圖分組過濾示意圖103包過濾技術(shù)的工作原理：包過濾技術(shù)主要是在IP層實(shí)現(xiàn)的。包過濾防火墻基于一定的過濾規(guī)則，通過檢測(cè)、分析流經(jīng)的數(shù)據(jù)包頭信息（包括源、目標(biāo)IP地址，協(xié)議類型，源、目標(biāo)端口等）以及數(shù)據(jù)包傳輸方向等來判斷是否允許通過：

如果數(shù)據(jù)包信息與用戶制定的通行規(guī)則相匹配，防火墻就

允許其通過，并通過路由轉(zhuǎn)發(fā)；

如果按照規(guī)則屬于不該放行的，防火墻就阻止該數(shù)據(jù)包

通行；

不與包過濾規(guī)則匹配的，防火墻就丟棄該數(shù)據(jù)包。包過濾技術(shù)的工作原理：104包過濾技術(shù)的工作過程：包過濾防火墻讀取包頭信息，與信息過濾規(guī)則比較，順

序檢查規(guī)則表中每一條規(guī)則，直至發(fā)現(xiàn)包中的信息與某

條規(guī)則相符。如果有一條規(guī)則不允許發(fā)送某個(gè)包，路由器就將它丟棄；

如果有一條規(guī)則允許發(fā)送某個(gè)包，路由器就將它發(fā)送；如果沒有任何一條規(guī)則能符合，路由器就會(huì)使用默認(rèn)規(guī)則

，一般情況下，默認(rèn)規(guī)則就是禁止該包通過。包過濾技術(shù)的工作過程：105過濾規(guī)則通常以表格的形式表示，其中包括以某種次序排列的條件和動(dòng)作序列。當(dāng)收到一個(gè)數(shù)據(jù)包時(shí)，則按照從前至后的順序與表格中每行的條件比較，直到滿足某一行的條件，然后執(zhí)行相應(yīng)的動(dòng)作（轉(zhuǎn)發(fā)或丟棄）。過濾規(guī)則的表示形式過濾規(guī)則通常以表格的形式表示，其中包括以某種次序排過濾規(guī)則的106

表5--1所列便是數(shù)據(jù)包過濾規(guī)則的示例，根據(jù)這些規(guī)則，便可對(duì)表5--2中列出的各項(xiàng)實(shí)際通信的數(shù)據(jù)包進(jìn)行過濾，有的數(shù)據(jù)包能通過，有的則遭到拒絕。

表9-1規(guī)則表列表5--1所列便是數(shù)據(jù)包過濾規(guī)則的示例，根據(jù)這些規(guī)則，便可107表5-2過濾表列建立規(guī)則集要十分細(xì)心，一個(gè)小錯(cuò)誤，都可能整個(gè)導(dǎo)致整個(gè)規(guī)則的不安全建立規(guī)則集也是一項(xiàng)比較煩瑣的工作，要建立正確的、完善的過濾規(guī)則集并不是一件容易的事。表5-2過濾表列建立規(guī)則集要十分細(xì)心，一個(gè)小錯(cuò)誤，都可能整個(gè)108一個(gè)屏蔽路由器能保護(hù)整個(gè)網(wǎng)絡(luò)用一個(gè)恰當(dāng)配置的屏蔽路由器，連接內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)，進(jìn)行數(shù)據(jù)包過濾，就可以取得較好的網(wǎng)絡(luò)安全效果。包過濾對(duì)用戶透明包過濾不要求任何客戶機(jī)配置。當(dāng)屏蔽路由器決定讓數(shù)據(jù)包通過時(shí)，它與普通路由器沒什么區(qū)別，用戶感覺不到它的存在。屏蔽路由器速度快、效率高屏蔽路由器只檢查包頭信息，一般不查看數(shù)據(jù)部分，而且某些核心部分是由專用硬件實(shí)現(xiàn)的，故其轉(zhuǎn)發(fā)速度快、效率較高。通常防火墻作為網(wǎng)絡(luò)安全的第一道防線。2.包過濾防火墻的優(yōu)點(diǎn)一個(gè)屏蔽路由器能保護(hù)整個(gè)網(wǎng)絡(luò)2.包過濾防火墻的優(yōu)點(diǎn)109

屏蔽路由器的缺點(diǎn)也是很明顯的：通常它沒有用戶的使用記錄這樣就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄。配置繁瑣沒有一定的經(jīng)驗(yàn)，是不可能將過濾規(guī)則配置得完美。有的時(shí)候，因?yàn)榕渲缅e(cuò)誤，防火墻根本就不起作用。不能在用戶級(jí)別上進(jìn)行過濾只能認(rèn)為內(nèi)部用戶是可信任的、外部用戶是可疑的。單純由屏蔽路由器構(gòu)成的防火墻并不十分安全危險(xiǎn)地帶包括路由器本身及路由器允許訪問的主機(jī)，一旦屏蔽路由器被攻陷就會(huì)對(duì)整個(gè)網(wǎng)絡(luò)產(chǎn)生威脅。3.包過濾防火墻的缺點(diǎn)屏蔽路由器的缺點(diǎn)也是很明顯的：3.包過濾防火墻的缺點(diǎn)1104．包過濾防火墻的發(fā)展階段第一代：靜態(tài)包過濾防火墻根據(jù)數(shù)據(jù)包頭進(jìn)行過濾第二代：動(dòng)態(tài)包過濾（DynamicPacketFilter）防火墻動(dòng)態(tài)包過濾防火墻只在用戶請(qǐng)求下打開端口，并在服務(wù)完畢后關(guān)閉這個(gè)端口，這樣就避免了普通包過濾防火墻那種因靜態(tài)地開放端口，而受到攻擊的可能性。第三代：全狀態(tài)檢測(cè)（StatefulInspection）防火墻4．包過濾防火墻的發(fā)展階段第一代：靜態(tài)包過濾防火墻111Internet上傳輸?shù)臄?shù)據(jù)都必須遵循TCP/IP協(xié)議，根據(jù)TCP協(xié)議，每個(gè)可靠連接的建立需要經(jīng)過：⑴“客戶端請(qǐng)求”；⑵“服務(wù)器應(yīng)答”；⑶“客戶端再應(yīng)答”三個(gè)階段。常用的Web瀏覽、文件下載、收發(fā)郵件等都要經(jīng)過這三個(gè)階段。這反映出數(shù)據(jù)包并不是獨(dú)立的，而是前后之間有著密切的狀態(tài)聯(lián)系，基于這種狀態(tài)變化，引出了狀態(tài)檢測(cè)技術(shù)。狀態(tài)檢測(cè)技術(shù)采用的是一種基于連接的狀態(tài)檢測(cè)機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表；通過規(guī)則表與狀態(tài)表的共同配合，對(duì)表中的各個(gè)連接狀態(tài)因素加以識(shí)別，以決定是否允許包通過。第三代：全狀態(tài)檢測(cè)（StatefulInspection）防火墻Internet上傳輸?shù)臄?shù)據(jù)都必須遵循TCP/IP協(xié)議，根據(jù)112當(dāng)一個(gè)初始化連接會(huì)話的第一個(gè)數(shù)據(jù)包到達(dá)防火墻時(shí)，狀態(tài)檢測(cè)引擎會(huì)檢測(cè)到這是一個(gè)發(fā)起連接的初始數(shù)據(jù)包（由SYN標(biāo)志判斷），然后它就會(huì)把這個(gè)數(shù)據(jù)包中的信息與防火墻規(guī)則作比較。如果沒有相應(yīng)規(guī)則允許，防火墻就會(huì)拒絕這次連接；如果規(guī)則允許，它就允許數(shù)據(jù)包發(fā)送并且在狀態(tài)表中新建一條會(huì)話；當(dāng)一個(gè)初始化連接會(huì)話的第一個(gè)數(shù)據(jù)包到達(dá)防火墻時(shí)，狀態(tài)檢測(cè)引擎113通常這條會(huì)話會(huì)包括此連接的源地址、源端口、目標(biāo)地址、目標(biāo)端口、連接時(shí)間等信息，對(duì)于TCP連接，它還應(yīng)該會(huì)包含序列號(hào)和標(biāo)志位等信息。當(dāng)后續(xù)數(shù)據(jù)包到達(dá)時(shí)，如果這個(gè)數(shù)據(jù)包不含SYN標(biāo)志，也就是說這個(gè)數(shù)據(jù)包不是發(fā)起一個(gè)新的連接時(shí)，狀態(tài)檢測(cè)引擎就會(huì)直接把它的信息與狀態(tài)表中的會(huì)話條目進(jìn)行比較：如果信息匹配，就直接允許數(shù)據(jù)包通過，這樣不再去接受規(guī)則的檢查，提高了效率，如果信息不匹配，數(shù)據(jù)包就會(huì)被丟棄或連接被拒絕，并且每個(gè)會(huì)話還有一個(gè)超時(shí)值，過了這個(gè)時(shí)間，相應(yīng)會(huì)話條目就會(huì)被從狀態(tài)表中刪除掉。通常這條會(huì)話會(huì)包括此連接的源地址、源端口、目標(biāo)地址、目標(biāo)端114

狀態(tài)檢測(cè)防火墻允許會(huì)話數(shù)據(jù)包傳遞時(shí)，會(huì)動(dòng)態(tài)打開端口，傳輸完畢后又動(dòng)態(tài)地關(guān)閉這個(gè)端口，這樣就避免了普通包過濾防火墻那種靜態(tài)地開放端口的危險(xiǎn)做法，同時(shí)由于有會(huì)話超時(shí)的限制，它也能夠有效地避免外部的DoS攻擊。狀態(tài)檢測(cè)技術(shù)提供了更完整的對(duì)網(wǎng)絡(luò)層和傳輸層的控制能力。狀態(tài)檢測(cè)防火墻允許會(huì)話數(shù)據(jù)包傳遞時(shí)，會(huì)動(dòng)態(tài)打開端口，傳輸完1154．包過濾防火墻的發(fā)展階段第四代：深度包檢測(cè)（DeepPacketInspection）防火墻它融合了入侵檢測(cè)技術(shù)和攻擊防范的功能。功能更強(qiáng)大、安全性更強(qiáng)，可以抵御目前常見的網(wǎng)絡(luò)攻擊手段，如IP地址欺騙、特洛伊木馬攻擊、Internet蠕蟲、口令探尋攻擊、郵件攻擊等

4．包過濾防火墻的發(fā)展階段第四代：深度包檢測(cè)（DeepPa1165.2.2代理技術(shù)所謂代理服務(wù)器

是指代表內(nèi)網(wǎng)用戶向外網(wǎng)服務(wù)器進(jìn)行連接請(qǐng)求的服務(wù)程序。代理服務(wù)器運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間，它對(duì)于客戶機(jī)來說像是一臺(tái)真的服務(wù)器，而對(duì)于外網(wǎng)的服務(wù)器來說，它又是一臺(tái)客戶機(jī)。代理服務(wù)器的基本工作過程是：當(dāng)客戶機(jī)需要使用外網(wǎng)服務(wù)器上的數(shù)據(jù)時(shí)，首先將請(qǐng)求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)也發(fā)揮了中間轉(zhuǎn)接的作用。5.2.2代理技術(shù)所謂代理服務(wù)器117代理服務(wù)器代理服務(wù)器118應(yīng)用代理示意圖手動(dòng)更新可以在諾頓殺毒軟件窗口中點(diǎn)擊“LiveUpdate”命令按鈕，啟動(dòng)手動(dòng)更新點(diǎn)擊“下一步”，只要計(jì)算機(jī)連接到Internet并且有新的病毒庫，計(jì)算機(jī)便會(huì)進(jìn)行更新.應(yīng)用代理示意圖手動(dòng)更新可以在諾頓殺毒軟件窗口中點(diǎn)擊“Liv119應(yīng)用代理示意圖應(yīng)用代理示意圖120代理易于配置

代理因?yàn)槭且粋€(gè)軟件，所以它比過濾路由器容易配置。代理能生成各項(xiàng)記錄

因代理在應(yīng)用層檢查各項(xiàng)數(shù)據(jù)，所以可以按一定準(zhǔn)則，讓代理生成各項(xiàng)日志、記錄。這些日志、記錄對(duì)于流量分析、安全檢驗(yàn)是十分重要和寶貴的。代理能靈活、完全地控制進(jìn)出信息

通過采取一定的措施，按照一定的規(guī)則，可以借助代理實(shí)現(xiàn)一整套的安全策略，控制進(jìn)出的信息。代理能過濾數(shù)據(jù)內(nèi)容

可以把一些過濾規(guī)則應(yīng)用于代理，在應(yīng)用層實(shí)現(xiàn)過濾功能。2.代理的優(yōu)點(diǎn)代理易于配置2.代理的優(yōu)點(diǎn)1213.代理的缺點(diǎn)代理速度比路由器慢代理對(duì)用戶不透明對(duì)于每項(xiàng)服務(wù)，代理可能要求不同的服務(wù)器代理服務(wù)通常要求對(duì)客戶或過程進(jìn)行限制代理服務(wù)受協(xié)議弱點(diǎn)的限制代理不能改進(jìn)底層協(xié)議的安全性3.代理的缺點(diǎn)122（1）應(yīng)用層代理（ApplicationProxy）代理服務(wù)是運(yùn)行在防火墻主機(jī)上的專門的應(yīng)用程序或者服務(wù)器程序。應(yīng)用層代理為某個(gè)特定應(yīng)用服務(wù)提供代理，它對(duì)應(yīng)用協(xié)議進(jìn)行解析并解釋應(yīng)用協(xié)議的命令。根據(jù)其處理協(xié)議的功能可分為FTP網(wǎng)關(guān)型防火墻、Telnet網(wǎng)關(guān)型防火墻、WWW網(wǎng)關(guān)型防火墻等。應(yīng)用層代理的優(yōu)點(diǎn)是能解釋應(yīng)用協(xié)議，支持用戶認(rèn)證，從而能對(duì)應(yīng)用層的數(shù)據(jù)進(jìn)行更細(xì)粒度的控制。缺點(diǎn)是效率低，不能支持大規(guī)模的并發(fā)連接，只適用于單一協(xié)議。4．代理防火墻的發(fā)展階段（1）應(yīng)用層代理（ApplicationProxy）4．代123也稱為電路級(jí)代理服務(wù)器。在電路層網(wǎng)關(guān)中，包被

提交到用戶應(yīng)用層處理。電路層網(wǎng)關(guān)用來在兩個(gè)通信的終點(diǎn)之間轉(zhuǎn)換包。它適用于多個(gè)協(xié)議，但無法解釋應(yīng)用協(xié)議，需要通過其他方式來獲得信息。所以，電路級(jí)代理服務(wù)器通常要求修改過的用戶程序。其中，套接字服務(wù)器（SocketsServer）就是電路級(jí)代理服務(wù)器。對(duì)用戶來說，內(nèi)網(wǎng)與外網(wǎng)的信息交換是透明的，感覺不到防火墻的存在，那是因?yàn)橐蛱鼐W(wǎng)絡(luò)用戶不需要登錄到防火墻上。但是客戶端的應(yīng)用軟件必須支持“SocketsifideAPI”，內(nèi)部網(wǎng)絡(luò)用戶訪問外部網(wǎng)所使用的IP地址也都是防火墻的IP地址。（2）電路層代理（CircuitProxy）也稱為電路級(jí)代理服務(wù)器。在電路層網(wǎng)關(guān)中，包被（2）電路層代理124（3）自適應(yīng)代理（AdaptiveProxy）自適應(yīng)代理防火墻允許用戶根據(jù)具體需求，定義防火墻策略，而不會(huì)犧牲速度或安全性。如果對(duì)安全要求較高，那么最初的安全檢查仍在應(yīng)用層進(jìn)行，保證實(shí)現(xiàn)傳統(tǒng)代理防火墻的最大安全性。而一旦代理明確了會(huì)話的所有細(xì)節(jié)，其后的數(shù)據(jù)包就可以直接經(jīng)過速度更快的網(wǎng)絡(luò)層。自適應(yīng)代理可以和安全脆弱性掃描器、病毒安全掃描器和入侵檢測(cè)系統(tǒng)之間實(shí)現(xiàn)更加靈活的集成。作為自適應(yīng)安全計(jì)劃的一部分，自適應(yīng)代理將允許經(jīng)過正確驗(yàn)證的設(shè)備在安全傳感器和掃描儀發(fā)現(xiàn)重要的網(wǎng)絡(luò)威脅時(shí)，根據(jù)防火墻管理員事先確定的安全策略，自動(dòng)“適應(yīng)”防火墻級(jí)別。

（3）自適應(yīng)代理（AdaptiveProxy）1255.2.3防火墻技術(shù)的發(fā)展趨勢(shì)1．功能融合

與VPN技術(shù)融合。

與入侵檢測(cè)技術(shù)和攻擊防御技術(shù)的融合

提供對(duì)應(yīng)用層攻擊行為的檢測(cè)和對(duì)應(yīng)用層內(nèi)容的過濾功能。

提供防病毒的功能。

2．集成化管理

3．分布式體系結(jié)構(gòu)

5.2.3防火墻技術(shù)的發(fā)展趨勢(shì)1．功能融合1265.3防火墻體系結(jié)構(gòu)（1）雙重宿主主機(jī)結(jié)構(gòu)；（2）被屏蔽主機(jī)結(jié)構(gòu)；（3）被屏蔽子網(wǎng)結(jié)構(gòu)。5.3防火墻體系結(jié)構(gòu)（1）雙重宿主主機(jī)結(jié)構(gòu)；1275.3.1.雙重宿主主機(jī)結(jié)構(gòu)雙宿主機(jī)（Dual-homedhost），又稱堡壘主機(jī)（Bastionhost），是一臺(tái)至少配有兩個(gè)網(wǎng)絡(luò)接口的主機(jī)，它可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，在網(wǎng)絡(luò)之間發(fā)送數(shù)據(jù)包。一般情況下雙宿主機(jī)的路由功能是被禁止的，這樣可以隔離內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的直接通信，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的作用。5.3.1.雙重宿主主機(jī)結(jié)構(gòu)雙宿主機(jī)（Dual-homed128雙重宿主主機(jī)雙重宿主主機(jī)1291．雙宿主機(jī)網(wǎng)關(guān)雙宿主機(jī)網(wǎng)關(guān)是用一臺(tái)裝有兩個(gè)網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻。雙宿主機(jī)用兩個(gè)網(wǎng)絡(luò)適配器分別連接兩個(gè)網(wǎng)絡(luò)，又稱為堡壘主機(jī)。堡壘主機(jī)上運(yùn)行著防火墻軟件（通常是代理服務(wù)器），可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。1．雙宿主機(jī)網(wǎng)關(guān)1．雙宿主機(jī)網(wǎng)關(guān)1．雙宿主機(jī)網(wǎng)關(guān)1308.3.2屏蔽主機(jī)結(jié)構(gòu)屏蔽主機(jī)結(jié)構(gòu)需要配備一臺(tái)堡壘主機(jī)和一個(gè)有過濾功能的屏蔽路由器，如圖5-3所示，屏蔽路由器連接外部網(wǎng)絡(luò)，堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。通常在路由器上設(shè)立過濾規(guī)則，并使這個(gè)堡壘主機(jī)成為從外部網(wǎng)絡(luò)唯一可直接到達(dá)的主機(jī)。入侵者要想入侵內(nèi)部網(wǎng)絡(luò)，必須過屏蔽路由器和堡壘主機(jī)兩道屏障，所以屏蔽主機(jī)結(jié)構(gòu)比雙重宿主主機(jī)結(jié)構(gòu)具有更好的安全性和可用性。8.3.2屏蔽主機(jī)結(jié)構(gòu)屏蔽主機(jī)結(jié)構(gòu)需要配備一臺(tái)堡壘主機(jī)和一個(gè)131屏蔽主機(jī)結(jié)構(gòu)屏蔽主機(jī)結(jié)構(gòu)1322．屏蔽主機(jī)網(wǎng)關(guān)堡壘主機(jī)有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡(luò)，一塊連接包過濾路由器。雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)2．屏蔽主機(jī)結(jié)構(gòu)2．屏蔽主機(jī)網(wǎng)關(guān)堡壘主機(jī)有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡(luò)，一塊1335.3.3屏蔽子網(wǎng)結(jié)構(gòu)屏蔽子網(wǎng)結(jié)構(gòu)是在屏蔽主機(jī)結(jié)構(gòu)的基礎(chǔ)上添加額外

的安全層，即屏蔽子網(wǎng)，更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離開。屏蔽子網(wǎng)結(jié)構(gòu)包含外部和內(nèi)部?jī)蓚€(gè)路由器。兩個(gè)屏蔽路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè)安全性區(qū)域，通常叫做“非軍事區(qū)”DMZ。兩個(gè)路由器一個(gè)控制內(nèi)網(wǎng)的數(shù)據(jù)流，另一個(gè)控制外網(wǎng)的數(shù)據(jù)流，Intranet和Internet均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信。

5.3.3屏蔽子網(wǎng)結(jié)構(gòu)屏蔽子網(wǎng)結(jié)構(gòu)是在屏蔽主機(jī)結(jié)構(gòu)的基礎(chǔ)上1343．屏蔽子網(wǎng)結(jié)構(gòu)3．屏蔽子網(wǎng)結(jié)構(gòu)1353．屏蔽子網(wǎng)3．屏蔽子網(wǎng)屏蔽子網(wǎng)是在Intranet和Internet之間建立一個(gè)被隔離的子網(wǎng)，用兩個(gè)包過濾路由器將這一子網(wǎng)分別與Intranet和Internet分開。兩個(gè)包過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè)“緩沖地帶”，兩個(gè)路由器一個(gè)控制Intranet數(shù)據(jù)流，另一個(gè)控制Internet數(shù)據(jù)流，Intranet和Internet均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信。

3．屏蔽子網(wǎng)3．屏蔽子網(wǎng)136屏蔽子網(wǎng)結(jié)構(gòu)屏蔽子網(wǎng)結(jié)構(gòu)1375.34防火墻的組合結(jié)構(gòu)

建造防火墻時(shí)，一般很少采用單一的結(jié)構(gòu)，通常是

多種結(jié)構(gòu)的組合。一般有以下幾種形式：使用多堡壘主機(jī)；合并內(nèi)部路由器與外部路由器；合并堡壘主機(jī)與外部路由器；合并堡壘主機(jī)與內(nèi)部路由器；使用多臺(tái)內(nèi)部路由器；使用多臺(tái)外部路由器；使用多個(gè)周邊網(wǎng)絡(luò)；使用雙重宿主主機(jī)與屏蔽子網(wǎng)。5.34防火墻的組合結(jié)構(gòu)建造防火墻時(shí)，一般很少采用1388.4內(nèi)部防火墻8.4.1分布式防火墻（DistributedFirewall）8.4.2嵌入式防火墻（EmbeddedFirewall）8.4.3個(gè)人防火墻8.4內(nèi)部防火墻8.4.1分布式防火墻（Distrib1398.4內(nèi)部防火墻"邊界防火墻（PerimeterFirewall）"

因?yàn)閭鹘y(tǒng)的防火墻設(shè)置在網(wǎng)絡(luò)邊界，處于內(nèi)、外部

互聯(lián)網(wǎng)之間，所以稱為"邊界防火墻（PerimeterFirewall）"。邊界防火墻的不足

隨著人們對(duì)網(wǎng)絡(luò)安全防護(hù)要求的提高，邊界防火墻明顯感覺到力不從心，因?yàn)榻o網(wǎng)絡(luò)帶來安全威脅的不僅是外網(wǎng)，更多的是來自內(nèi)網(wǎng)。邊界防火墻無法對(duì)內(nèi)網(wǎng)實(shí)現(xiàn)有效地保護(hù)。新型的防火墻技術(shù)

分布式防火墻（DistributedFirewalls）技術(shù)8.4內(nèi)部防火墻"邊界防火墻（PerimeterFire140分布式防火墻的設(shè)計(jì)理念邊界防火墻

所有邊界防火墻，都是基于一個(gè)共同的假設(shè)：那就是防火墻把內(nèi)網(wǎng)一端的用戶看成是可信任的，而外網(wǎng)一端的用戶則都被作為潛在的攻擊者來對(duì)待。分布式防火墻分布式防火墻是一種主機(jī)駐留式的安全系統(tǒng)，它是以主機(jī)為保護(hù)對(duì)象，它的設(shè)計(jì)理念是：主機(jī)以外的任何用戶都是不可信任的，對(duì)來自他們的訪問都需要進(jìn)行過濾，無論是來自Internet，還是來自內(nèi)部網(wǎng)絡(luò)。它們對(duì)個(gè)人計(jì)算機(jī)進(jìn)行保護(hù)的方式如同邊界防火墻對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)進(jìn)行保護(hù)一樣。分布式防火墻的設(shè)計(jì)理念邊界防火墻1418.4.1分布式防火墻分布式防火墻是一種全新的防火墻概念，是比較完

善的一種防火墻技術(shù)，它是在邊界防火墻的基礎(chǔ)上開發(fā)的，目前主要以軟件形式出現(xiàn)。"分布式防火墻"是一個(gè)完整的系統(tǒng)，其保護(hù)對(duì)象包括：⑴網(wǎng)絡(luò)邊界，即內(nèi)、外網(wǎng)的接口；⑵內(nèi)網(wǎng)中的各個(gè)子網(wǎng)；⑶網(wǎng)絡(luò)內(nèi)部各節(jié)點(diǎn)，包括：服務(wù)器、桌面主機(jī)8.4.1分布式防火墻分布式防火墻是一種全新的防火墻概念142

分布式防火墻體系結(jié)構(gòu)分布式防火墻包含以下三個(gè)部分：網(wǎng)絡(luò)防火墻（NetworkFirewall）主機(jī)防火墻（HostFirewall）中心管理（CentralManagement）分布式防火墻體系結(jié)構(gòu)分布式防火墻包含以下三個(gè)部分：143分布式防火墻體系結(jié)構(gòu)網(wǎng)絡(luò)防火墻（NetworkFirewall）：網(wǎng)絡(luò)防火墻有軟件與硬件兩種產(chǎn)品作用：用于內(nèi)部網(wǎng)與外部網(wǎng)之間，以及內(nèi)部網(wǎng)各子網(wǎng)之間的防護(hù)。在功能與傳統(tǒng)的邊界式防火墻類似。與傳統(tǒng)邊界式防火墻相比，它多了個(gè)對(duì)內(nèi)部子網(wǎng)之間的安全防護(hù)層，這樣整個(gè)網(wǎng)絡(luò)的安全防護(hù)體系就顯得更加全面，更加可靠。分布式防火墻體系結(jié)構(gòu)網(wǎng)絡(luò)防火墻（NetworkFirewa144分布式防火墻體系結(jié)構(gòu)主機(jī)防火墻（HostFirewall）：有軟件和硬件兩種產(chǎn)品；作用：用于對(duì)網(wǎng)絡(luò)中的服務(wù)器和桌面主機(jī)進(jìn)行防護(hù)，以確保內(nèi)部網(wǎng)絡(luò)服務(wù)器和桌面機(jī)的安全。分布式防火墻的作用：⑴用于內(nèi)部與外部網(wǎng)之間的防護(hù)；⑵用于內(nèi)部網(wǎng)各子網(wǎng)之間；⑶同一內(nèi)部子網(wǎng)工作站與服務(wù)器之間。分布式防火墻可以說達(dá)到了應(yīng)用層的安全防護(hù)。是對(duì)傳統(tǒng)邊界式防火墻在安全體系方面的一個(gè)極大完善。分布式防火墻體系結(jié)構(gòu)主機(jī)防火墻（HostFirewall）145分布式防火墻體系結(jié)構(gòu)中心管理（CentralManagerment）：是一個(gè)服務(wù)器軟件，負(fù)責(zé)總體安全策略：策劃管理分發(fā)日志的匯總這樣防火墻就可進(jìn)行智能管理，提高了防火墻的安全防護(hù)靈活性，具備可管理性。分布式防火墻體系結(jié)構(gòu)中心管理（CentralManager1468.4.1分布式防火墻分布式防火墻的主要特點(diǎn)主機(jī)駐留嵌入操作系統(tǒng)內(nèi)核類似于個(gè)人防火墻適用于服務(wù)器托管8.4.1分布式防火墻分布式防火墻的主要特點(diǎn)147（1）主機(jī)駐留

分布式防火墻的最主要特點(diǎn)就是采用主機(jī)駐留方式，

所以稱之為"主機(jī)防火墻"，它的重要特征是駐留在被保護(hù)的主機(jī)上，該主機(jī)以外的網(wǎng)絡(luò)不管是處在網(wǎng)絡(luò)內(nèi)部還是網(wǎng)絡(luò)外部都認(rèn)為是不可信任的，因此可以針對(duì)該主機(jī)上運(yùn)行的具體應(yīng)用和對(duì)外提供的服務(wù)設(shè)定針對(duì)性很強(qiáng)的安全策略。主機(jī)防火墻對(duì)分布式防火墻體系結(jié)構(gòu)的突出貢獻(xiàn)是，使安全策略不僅僅停留在網(wǎng)絡(luò)與網(wǎng)絡(luò)之間，而是把安全策略推廣延伸到每個(gè)網(wǎng)絡(luò)末端。（1）主機(jī)駐留

分布式防火墻的最主要特點(diǎn)就是采用主機(jī)駐留方式148（2）嵌入操作系統(tǒng)內(nèi)核操作系統(tǒng)自身存在許多安全漏洞，運(yùn)行在其上的應(yīng)用

軟件無一不受到威脅。分布式主機(jī)防火墻也運(yùn)行在該主機(jī)上，所以防火墻自身也會(huì)受到因操作系統(tǒng)漏洞而帶來的威脅。為確保自身的安全和徹底堵住操作系統(tǒng)的漏洞，主機(jī)防火墻的安全監(jiān)測(cè)核心引擎要以嵌入操作系統(tǒng)內(nèi)核的形態(tài)運(yùn)行，直接接管網(wǎng)卡，在把所有數(shù)據(jù)包進(jìn)行檢查后再提交操作系統(tǒng)。為實(shí)現(xiàn)這樣的運(yùn)行機(jī)制，除防火墻廠商自身的開發(fā)技術(shù)外，與操作系統(tǒng)廠商的技術(shù)合作也是必要的條件，因?yàn)檫@需要