信息系統(tǒng)安全技術(shù)防火墻技術(shù)

信息系統(tǒng)安全技術(shù)--防火墻技術(shù)ServerClient防火墻（Firewall）注解：防火墻類(lèi)似一堵城墻，將服務(wù)器與客戶(hù)主機(jī)進(jìn)行物理隔離，并在此基礎(chǔ)上實(shí)現(xiàn)服務(wù)器與客戶(hù)主機(jī)之間的授權(quán)互訪、互通等功能。防火墻概念防火墻特征防火墻功能協(xié)議與服務(wù)防火墻技術(shù)內(nèi)容防火墻體系結(jié)構(gòu)防火墻實(shí)現(xiàn)策略對(duì)防火墻技術(shù)與產(chǎn)品發(fā)展的介紹對(duì)防火墻技術(shù)的展望內(nèi)容提要防火墻概念

防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域（公共網(wǎng)和企業(yè)內(nèi)部網(wǎng)）之間的一系列部件的組合。它是不同網(wǎng)絡(luò)（安全域）之間的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有很高的抗攻擊能力，它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻特征保護(hù)脆弱和有缺陷的網(wǎng)絡(luò)服務(wù)集中化的安全管理加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的訪問(wèn)控制加強(qiáng)隱私對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)保護(hù)脆弱和有缺陷的網(wǎng)絡(luò)服務(wù)一個(gè)防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類(lèi)型攻擊的報(bào)文并通知防火墻管理員。防火墻特征(cont.)防火墻特征(cont.)集中化的安全管理通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問(wèn)時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的訪問(wèn)控制一個(gè)防火墻的主要功能是對(duì)整個(gè)網(wǎng)絡(luò)的訪問(wèn)控制。比如防火墻可以屏蔽部分主機(jī)，使外部網(wǎng)絡(luò)無(wú)法訪問(wèn)，同樣可以屏蔽部分主機(jī)的特定服務(wù)，使得外部網(wǎng)絡(luò)可以訪問(wèn)該主機(jī)的其它服務(wù)，但無(wú)法訪問(wèn)該主機(jī)的特定服務(wù)。防火墻不應(yīng)向外界提供網(wǎng)絡(luò)中任何不需要服務(wù)的訪問(wèn)權(quán)，這實(shí)際上是安全政策的要求了?？刂茖?duì)特殊站點(diǎn)的訪問(wèn)：如有些主機(jī)或服務(wù)能被外部網(wǎng)絡(luò)訪問(wèn)，而有些則需被保護(hù)起來(lái)，防止不必要的訪問(wèn)。防火墻特征(cont.)加強(qiáng)隱私隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問(wèn)題。一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger，DNS等服務(wù)。Finger顯示了主機(jī)的所有用戶(hù)的注冊(cè)名、真名，最后登錄時(shí)間和使用shell類(lèi)型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶(hù)正在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，這樣一臺(tái)主機(jī)的域名和IP地址就不會(huì)被外界所了解。防火墻特征(cont.)對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。防火墻特征(cont.)從總體體上看看，防防火墻墻應(yīng)具具有以以下五五大基基本功功能：：過(guò)濾進(jìn)進(jìn)、出出網(wǎng)絡(luò)絡(luò)的數(shù)數(shù)據(jù)；；管理進(jìn)進(jìn)、出出網(wǎng)絡(luò)絡(luò)的訪訪問(wèn)行行為；；封堵某某些禁禁止的的業(yè)務(wù)務(wù)；記錄通通過(guò)防防火墻墻的信信息內(nèi)內(nèi)容和和活動(dòng)動(dòng)；對(duì)網(wǎng)絡(luò)絡(luò)攻擊擊的檢檢測(cè)和和告警警。防火墻墻功能能協(xié)議－－－ISO/OSI協(xié)議分分層應(yīng)用層層表示層層會(huì)話層層傳輸層層數(shù)據(jù)鏈鏈路層層物理層層網(wǎng)絡(luò)層層數(shù)據(jù)鏈鏈路層層協(xié)議－－－ISO/OSI協(xié)議分分層(cont.)物理層層：涉及在在物理理信道道上傳傳輸原原始比比特，，處理理與物物理傳傳輸介介質(zhì)有有關(guān)的的機(jī)械械的、、電氣氣的和和過(guò)程程的接接口。。數(shù)據(jù)鏈鏈路層層：分為介介質(zhì)訪訪問(wèn)控控制（（MAC））和邏邏輯鏈鏈路控控制（（LLC））兩個(gè)個(gè)子層層。MAC子層層解決決廣播播型網(wǎng)網(wǎng)絡(luò)中中多用用戶(hù)競(jìng)競(jìng)爭(zhēng)信信道使使用權(quán)權(quán)問(wèn)題題。LLC的主主要任任務(wù)是是將有有噪聲聲的物物理信信道變變成無(wú)無(wú)傳輸輸差錯(cuò)錯(cuò)的通通信信信道，，提供供數(shù)據(jù)據(jù)成幀幀、差差錯(cuò)控控制、、流量量控制制和鏈鏈路控控制等等功能能。網(wǎng)絡(luò)層層：負(fù)責(zé)將將數(shù)據(jù)據(jù)從物物理連連接的的一端端傳到到另一一端，，即所所謂點(diǎn)點(diǎn)到點(diǎn)點(diǎn)，通通信主主要功功能是是尋徑徑，以以及與與之相相關(guān)的的流量量控制制和擁?yè)砣乜刂频鹊?。協(xié)議－－－ISO/OSI協(xié)議分分層(cont.)傳輸層層：主要目目的在在于彌彌補(bǔ)網(wǎng)網(wǎng)絡(luò)層層服務(wù)務(wù)與用用戶(hù)需需求之之間的的差距距。傳傳輸層層通過(guò)過(guò)向上上提供供一個(gè)個(gè)標(biāo)準(zhǔn)準(zhǔn)、通通用的的界面面，使使上層層與通通信子子網(wǎng)（（下三三層））的細(xì)細(xì)節(jié)相相隔離離。傳傳輸層層的主主要任任務(wù)是是提供供進(jìn)程程間通通信機(jī)機(jī)制和和保證證數(shù)據(jù)據(jù)傳輸輸?shù)目煽煽啃孕浴?huì)話層層：主要針針對(duì)遠(yuǎn)遠(yuǎn)程終終端訪訪問(wèn)。。主要要任務(wù)務(wù)包括括會(huì)話話管理理、傳傳輸同同步以以及活活動(dòng)管管理等等。表示層層：主要功功能是是信息息轉(zhuǎn)換換，包包括信信息壓壓縮、、加密密、與與標(biāo)準(zhǔn)準(zhǔn)格式式的轉(zhuǎn)轉(zhuǎn)換（（以及及上述述各操操作的的逆操操作））等等等。應(yīng)用層層：提供最最常用用且通通用的的應(yīng)用用程序序，包包括電電子郵郵件（（E-mail）和和文電電傳輸輸?shù)?。?yīng)用層層表示層層會(huì)話層層傳輸層層網(wǎng)絡(luò)層層數(shù)據(jù)鏈鏈路層層物理層層FTP、TELNETNFSSMTP、、SNMPXDRRPCTCP、UDPIPEthernet、、PDN、IEEE802.3、、IEEE802.4、IEEE802.5及其它它ICMPARPRARPOSI參考模模型Internet協(xié)協(xié)議簇簇OSI參考模模型與與Internet協(xié)議議簇注解：：通過(guò)過(guò)對(duì)每每一個(gè)個(gè)協(xié)議議簇中中各種種協(xié)議議結(jié)構(gòu)構(gòu)的詳詳細(xì)了了解，，就可可以非非常輕輕松的的針對(duì)對(duì)包過(guò)過(guò)濾型型、應(yīng)應(yīng)用代代理型型等防防火墻墻的ACL（訪訪問(wèn)控控制列列表））進(jìn)行行制定定和理理解，，并有有助于于了解解防火火墻的的架構(gòu)構(gòu)體系系。協(xié)議－－TCP/IP協(xié)協(xié)議分分層應(yīng)用層層傳輸層層網(wǎng)間網(wǎng)網(wǎng)層網(wǎng)絡(luò)接接口層層協(xié)議－－TCP/IP協(xié)協(xié)議分分層應(yīng)用層層：向用戶(hù)戶(hù)提供供一組組常用用的應(yīng)應(yīng)用程程序，，比如如文件件傳輸輸訪問(wèn)問(wèn)、電電子郵郵件、、遠(yuǎn)程程登錄錄等。。用戶(hù)戶(hù)完全全可以以在““網(wǎng)間間網(wǎng)””之上上（即即傳輸輸層之之上）），建建立自自己的的專(zhuān)用用應(yīng)用用程序序，這這些專(zhuān)專(zhuān)用應(yīng)應(yīng)用程程序要要用到到TCP/IP，但但不屬屬于TCP/IP。。傳輸層層（TCP/UDP）：：提供應(yīng)應(yīng)用程程序間間（即即端到到端））的可可靠（（TCP））或高高效（（UDP））的通通信。。其功功能包包括：：格式式化信信息流流及提提供可可靠傳傳輸。。傳輸輸層還還要解解決不不同應(yīng)應(yīng)用程程序的的識(shí)別別問(wèn)題題。網(wǎng)間網(wǎng)網(wǎng)層（（IP）：：負(fù)責(zé)相相鄰計(jì)計(jì)算機(jī)機(jī)之間間的通通信。。其功功能包包括：：處理理來(lái)自自傳輸輸層的的分組組發(fā)送送請(qǐng)求求；處處理理輸入入數(shù)據(jù)據(jù)包；；處理理ICMP報(bào)文文。網(wǎng)絡(luò)絡(luò)接接口口層層：：TCP/IP協(xié)協(xié)議議的的最最低低層層，，負(fù)負(fù)責(zé)責(zé)接接收收IP數(shù)數(shù)據(jù)據(jù)報(bào)報(bào)并并通通過(guò)過(guò)網(wǎng)網(wǎng)絡(luò)絡(luò)發(fā)發(fā)送送，，或或者者從從網(wǎng)網(wǎng)絡(luò)絡(luò)上上接接收收物物理理幀幀，，抽抽出出IP數(shù)數(shù)據(jù)據(jù)包包，，交交給給IP層層。。TCP/IP服服務(wù)務(wù)注解解：：通通過(guò)過(guò)該該服服務(wù)務(wù)體體系系的的理理解解，，大大家家一一定定要要了了解解清清楚楚IP包包過(guò)過(guò)濾濾型型防防火火墻墻中中的的TCP協(xié)協(xié)議議簇簇包包括括那那些些具具體體協(xié)協(xié)議議、、UDP協(xié)協(xié)議議簇簇包包括括那那些些具具體體協(xié)協(xié)議議，，并并要要特特別別注注意意怎怎樣樣通通過(guò)過(guò)防防火火墻墻的的ICMP協(xié)協(xié)議議去去安安全全有有效效的的控控制制PING命命令令的的執(zhí)執(zhí)行行。。TCP/IP服服務(wù)務(wù)(cont.)RPC-遠(yuǎn)程程過(guò)過(guò)程程調(diào)調(diào)用用服服務(wù)務(wù)。。如如NFS-NetworkFileSystem,可可允允許許系系統(tǒng)統(tǒng)共共享享目目錄錄與與磁磁盤(pán)盤(pán)。。NIS-NetworkInformationServices,網(wǎng)網(wǎng)絡(luò)絡(luò)信信息息服服務(wù)務(wù)容容許許多多個(gè)個(gè)系系統(tǒng)統(tǒng)共共享享數(shù)數(shù)據(jù)據(jù)庫(kù)庫(kù),如如passwordfile容容許許集集中中管管理理。。XWindowSystem：：一一個(gè)個(gè)圖圖形形化化的的窗窗口口系系統(tǒng)統(tǒng)。。Rlogin、、rsh、、及及其其它它““r””服服務(wù)務(wù)。。運(yùn)運(yùn)用用相相互互信信任任的的主主機(jī)機(jī)的的概概念念，，在在其其它它系系統(tǒng)統(tǒng)上上可可以以執(zhí)執(zhí)行行命命令令且且不不要要求求password。。TCP/IP服服務(wù)務(wù)(cont.)IPIP協(xié)議議的的主主要要內(nèi)內(nèi)容容包包括括無(wú)無(wú)連連接接數(shù)數(shù)據(jù)據(jù)報(bào)報(bào)傳傳送送、、數(shù)數(shù)據(jù)據(jù)報(bào)報(bào)尋尋徑徑及及差差錯(cuò)錯(cuò)處處理理三三部部分分。。IP層層作作為為通通信信子子網(wǎng)網(wǎng)的的最最高高層層，，屏屏蔽蔽底底層層各各種種物物理理網(wǎng)網(wǎng)絡(luò)絡(luò)的的技技術(shù)術(shù)環(huán)環(huán)節(jié)節(jié)，，向向上上（（TCP層層））提提供供一一致致的的、、通通用用性性的的接接口口，，使使得得各各種種物物理理網(wǎng)網(wǎng)絡(luò)絡(luò)的的差差異異性性對(duì)對(duì)上上層層協(xié)協(xié)議議不不復(fù)復(fù)存存在在。。IP數(shù)數(shù)據(jù)據(jù)報(bào)報(bào)分分為為報(bào)報(bào)頭頭和和數(shù)數(shù)據(jù)據(jù)區(qū)區(qū)兩兩部部分分，，IP報(bào)報(bào)頭頭由由IP協(xié)協(xié)議議處處理理，，是是IP協(xié)協(xié)議議的的體體現(xiàn)現(xiàn)；；數(shù)數(shù)據(jù)據(jù)體體則則用用于于封封裝裝傳傳輸輸層層數(shù)數(shù)據(jù)據(jù)或或差差錯(cuò)錯(cuò)和和控控制制報(bào)報(bào)文文（（ICMP））數(shù)數(shù)據(jù)據(jù)，，由由TCP協(xié)協(xié)議議或或ICMP協(xié)協(xié)議議處處理理。。TCPTCP是傳輸層的重重要協(xié)議之一一，提供面向向連接的可靠靠字節(jié)流傳輸輸。面向連接接的TCP要要求在進(jìn)行實(shí)實(shí)際數(shù)據(jù)傳輸輸前，必須在在信源端與信信宿端建立一一條連接。且且面向連接的的每一個(gè)報(bào)文文都需接收端端確認(rèn)，未確確認(rèn)報(bào)文被認(rèn)認(rèn)為是出錯(cuò)報(bào)報(bào)文，出錯(cuò)的的報(bào)文協(xié)議要要求出錯(cuò)重傳傳。TCP采用可可變窗口進(jìn)行行流量控制和和擁塞控制以以保證可靠性性。分組是TCP傳輸數(shù)據(jù)的的基本單元，，分TCP頭頭和TCP數(shù)數(shù)據(jù)體兩大部部分。UDPUDP是傳輸層的重重要協(xié)議之一一；基于UDP的的服務(wù)包括NIS、NFS、NTP及DNS等等。UDP不是面面向連接的服服務(wù)，幾乎不不提供可靠性性措施；因此此，基于UDP的服務(wù)具具有較高的風(fēng)風(fēng)險(xiǎn)。TCP與UDP端口口一個(gè)TCP或UDP連接接由下述要素素唯一確定：：源IP地址址、目的地IP地址、源源端口、目的的地端口。TCP或UDP用協(xié)議端端口標(biāo)識(shí)通信信進(jìn)程，端口口是一種抽象象的軟件結(jié)構(gòu)構(gòu)（包括一些些數(shù)據(jù)結(jié)構(gòu)和和I/O緩沖沖區(qū)）。應(yīng)用用程序（即進(jìn)進(jìn)程）通過(guò)系系統(tǒng)調(diào)用與某某些端口建立立連接后，傳傳輸層傳給該該端口的數(shù)據(jù)據(jù)被相應(yīng)進(jìn)程程所接收。接口又是進(jìn)程程訪問(wèn)傳輸服服務(wù)的人口點(diǎn)點(diǎn)。每個(gè)端口口擁有一個(gè)叫叫端口號(hào)的16位整數(shù)標(biāo)標(biāo)識(shí)符，用于于區(qū)分不同端端口。TCP和UDP軟件分別別可以提供65536個(gè)個(gè)不同的端口口。端口有兩部分分，一部分是是保留端口（（端口號(hào)小于于1024，，對(duì)應(yīng)于服務(wù)務(wù)器進(jìn)程），，一部分是自自由端口（以以本地方式分分配）。某些服務(wù)進(jìn)程程通常對(duì)應(yīng)于于特定的端口口。如SMTP為25，XWINDOWS為6000?？蛻?hù)使用端口口號(hào)及目的地地IP地址初初始化與一個(gè)個(gè)特定主機(jī)或或服務(wù)的連接接。TCP與UDP端口口(cont.)協(xié)議－－IPV6IETF決定在不久的的將來(lái)利用IPV6來(lái)代代替IPV4。IPV6既能能適應(yīng)高速網(wǎng)網(wǎng)絡(luò)（如ATM），也能能適應(yīng)低帶寬寬環(huán)境。擴(kuò)展地址和路路由規(guī)模。主機(jī)地址自動(dòng)動(dòng)配置。公共子網(wǎng)服務(wù)務(wù)。安全性加強(qiáng)。。防火墻技術(shù)可可根據(jù)防范的的方式和側(cè)重重點(diǎn)的不同而而分為很多種類(lèi)型，但但總體來(lái)講可可分為三大類(lèi)類(lèi)：分組過(guò)濾、應(yīng)應(yīng)用代理、電電路中繼分組過(guò)濾（Packetfiltering）：作用在網(wǎng)絡(luò)層層和傳輸層，，它根據(jù)分組組包頭源地址，目的的地址和端口口號(hào)、協(xié)議類(lèi)類(lèi)型等標(biāo)志確確定是否允許許數(shù)據(jù)包通過(guò)過(guò)。只有滿(mǎn)足足過(guò)濾邏輯的的數(shù)據(jù)包才被被轉(zhuǎn)發(fā)到相應(yīng)應(yīng)的目的地出出口端，其余余數(shù)據(jù)包則被被從數(shù)據(jù)流中中丟棄。防火墻技術(shù)內(nèi)內(nèi)容應(yīng)用代理（ApplicationProxy）：也叫應(yīng)用網(wǎng)關(guān)關(guān)（ApplicationGateway）,它作用用在應(yīng)用層，，其特點(diǎn)是完完全“阻隔””了網(wǎng)絡(luò)通信信流，通過(guò)對(duì)對(duì)每種應(yīng)用服服務(wù)編制專(zhuān)門(mén)門(mén)的代理程序序，實(shí)現(xiàn)監(jiān)視視和控制應(yīng)用用層通信流的的作用。實(shí)際際中的應(yīng)用網(wǎng)網(wǎng)關(guān)通常由專(zhuān)專(zhuān)用工作站實(shí)實(shí)現(xiàn)。電路中繼(CircuitRelay)：：也叫電路網(wǎng)關(guān)關(guān)(CircuitGateway)或TCP代理（TCP－－Proxy）,其其工作原理與與應(yīng)用代理類(lèi)類(lèi)似，不同之之處是該代理理程序是專(zhuān)門(mén)門(mén)為傳輸層的的TCP協(xié)議議編制的。防火墻技術(shù)內(nèi)內(nèi)容(cont.)防火墻技術(shù)內(nèi)內(nèi)容－分組過(guò)濾應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層外部網(wǎng)絡(luò)主機(jī)機(jī)內(nèi)部網(wǎng)絡(luò)主機(jī)機(jī)分組過(guò)濾型防防火墻一個(gè)分組過(guò)濾濾型防火墻通通常能根據(jù)IP分組的以下各各項(xiàng)過(guò)濾：源IP地址目標(biāo)IP地址址TCP/UDP源端口TCP/UDP目標(biāo)端口口協(xié)議類(lèi)型防火墻技術(shù)內(nèi)內(nèi)容－分組過(guò)濾(cont.)防火墻技術(shù)內(nèi)內(nèi)容－分組過(guò)濾(cont.)分組過(guò)濾防火火墻應(yīng)用示例例優(yōu)點(diǎn)：透明的防火墻墻系統(tǒng)高速的網(wǎng)絡(luò)性性能易于配置支持網(wǎng)絡(luò)內(nèi)部部隱藏防火墻技術(shù)內(nèi)內(nèi)容－分組過(guò)濾(cont.)缺點(diǎn)：易于IP地址假冒記錄日志信息息不充分源路由攻擊設(shè)計(jì)和配置一一個(gè)真正安全全的分組過(guò)濾濾規(guī)則比較困困難分組過(guò)過(guò)濾防防火墻墻并不不能過(guò)過(guò)濾所所有的的協(xié)議議極小分分片設(shè)設(shè)數(shù)據(jù)據(jù)包攻攻擊無(wú)法防防止數(shù)數(shù)據(jù)驅(qū)驅(qū)動(dòng)式式攻擊擊防火墻墻技術(shù)術(shù)內(nèi)容容－分組過(guò)過(guò)濾(cont.)防火墻墻技術(shù)術(shù)內(nèi)容容－應(yīng)用代代理應(yīng)用層層表示層層會(huì)話層層傳輸層層網(wǎng)絡(luò)層層數(shù)據(jù)鏈鏈路層層物理層層物理層層數(shù)據(jù)鏈鏈路層層網(wǎng)絡(luò)層層應(yīng)用層層表示層層會(huì)話層層傳輸層層網(wǎng)絡(luò)層層數(shù)據(jù)鏈鏈路層層物理層層外部網(wǎng)網(wǎng)絡(luò)主主機(jī)內(nèi)部網(wǎng)網(wǎng)絡(luò)主主機(jī)應(yīng)用代代理型型防火火墻應(yīng)用層層表示層層會(huì)話層層傳輸層層防火墻墻技術(shù)術(shù)內(nèi)容容－應(yīng)用代代理(cont.)外部Telnet服務(wù)器器內(nèi)部Telnet服務(wù)器器日志系系統(tǒng)Telnet代理FTP代理認(rèn)證系系統(tǒng)應(yīng)用網(wǎng)網(wǎng)關(guān)一個(gè)Telnet代代理的的例子子一個(gè)Telnet應(yīng)應(yīng)用代代理的的過(guò)程程用戶(hù)首首先Telnet到到應(yīng)用用網(wǎng)關(guān)關(guān)主機(jī)機(jī)，并并輸入入內(nèi)部部目標(biāo)標(biāo)主機(jī)機(jī)的名名字（（域名名、IP地址））應(yīng)用網(wǎng)網(wǎng)關(guān)檢檢查用用戶(hù)的的源IP地地址等等，并并根據(jù)據(jù)事先先設(shè)定定的訪訪問(wèn)規(guī)規(guī)則來(lái)來(lái)決定定是否否轉(zhuǎn)發(fā)發(fā)或拒拒絕然后用用戶(hù)必必須進(jìn)進(jìn)行是是否驗(yàn)驗(yàn)證（（如一一次一一密等等高級(jí)級(jí)認(rèn)證證設(shè)備備）應(yīng)用網(wǎng)網(wǎng)關(guān)中中的代代理服服務(wù)器器為用用戶(hù)建建立在在網(wǎng)關(guān)關(guān)與內(nèi)內(nèi)部主主機(jī)之之間的的Telnet連接接代理服服務(wù)器器在兩兩個(gè)連連接（（用戶(hù)戶(hù)/應(yīng)應(yīng)用網(wǎng)網(wǎng)關(guān)，，代理理服務(wù)務(wù)器/內(nèi)部部主機(jī)機(jī)）之之間傳傳送數(shù)數(shù)據(jù)應(yīng)用網(wǎng)網(wǎng)關(guān)對(duì)對(duì)本次次連接接進(jìn)行行日志志記錄錄防火墻墻技術(shù)術(shù)內(nèi)容容－應(yīng)用代代理(cont.)優(yōu)點(diǎn)：：在網(wǎng)絡(luò)絡(luò)連接接建立立之前前可以以對(duì)用用戶(hù)身身份進(jìn)進(jìn)行認(rèn)認(rèn)證所有通通過(guò)防防火墻墻的信信息流流可以以被記記錄下下來(lái)易于配配置支持內(nèi)內(nèi)部網(wǎng)網(wǎng)絡(luò)的的信息息隱藏藏與分組組過(guò)濾濾規(guī)則則相比比簡(jiǎn)單單易于控控制和和管理理防火墻墻技術(shù)術(shù)內(nèi)容容－應(yīng)用代代理(cont.)缺點(diǎn)：：對(duì)每種種類(lèi)型型的服服務(wù)都都需要要一個(gè)個(gè)代理理網(wǎng)絡(luò)性性能不不高防火墻墻對(duì)用用戶(hù)不不透明明客戶(hù)應(yīng)應(yīng)用可可能需需要修修改需要多多個(gè)防防火墻墻主機(jī)機(jī)防火墻墻技術(shù)術(shù)內(nèi)容容－應(yīng)用代代理(cont.)防火墻墻體系系結(jié)構(gòu)構(gòu)分組過(guò)過(guò)濾防防火墻墻結(jié)構(gòu)構(gòu)分組過(guò)過(guò)濾＋＋應(yīng)用用網(wǎng)關(guān)關(guān)（I）分組過(guò)過(guò)濾＋＋應(yīng)用用網(wǎng)關(guān)關(guān)（II））屏蔽子子網(wǎng)防防火墻墻結(jié)構(gòu)構(gòu)分組過(guò)過(guò)濾防防火墻墻適合于于較小小的、、簡(jiǎn)單單的系系統(tǒng)如規(guī)則則復(fù)雜雜，則則難于于管理理分組過(guò)過(guò)濾＋＋應(yīng)用用網(wǎng)關(guān)關(guān)（I）簡(jiǎn)化路路由配配置加強(qiáng)隱隱私雙重保保護(hù)花費(fèi)高高一些些只有網(wǎng)關(guān)上上的代理服服務(wù)支持的的應(yīng)用才能能通過(guò)分組過(guò)濾＋＋應(yīng)用網(wǎng)關(guān)關(guān)（II））路由器過(guò)濾濾應(yīng)用網(wǎng)關(guān)關(guān)不支持的的危險(xiǎn)協(xié)議議應(yīng)用網(wǎng)關(guān)僅僅需一個(gè)網(wǎng)網(wǎng)絡(luò)接口，，不要求在在應(yīng)用網(wǎng)關(guān)關(guān)與路由器器之間有一一個(gè)分離的的子網(wǎng)路由器允許許轉(zhuǎn)發(fā)可信信服務(wù)到網(wǎng)網(wǎng)關(guān)周?chē)秃椭苯拥絻?nèi)內(nèi)部網(wǎng)絡(luò)分組過(guò)濾＋＋應(yīng)用網(wǎng)關(guān)關(guān)（II））也叫屏蔽主主機(jī)防火墻墻結(jié)構(gòu)，屏屏蔽路由器器使用分組組過(guò)濾技術(shù)術(shù)，堡壘主主機(jī)運(yùn)行應(yīng)應(yīng)用網(wǎng)關(guān)程程序，為內(nèi)內(nèi)部主機(jī)提提供代理服服務(wù)。路由過(guò)濾器器根據(jù)以下下規(guī)則來(lái)路路由內(nèi)外部部通信路由從Internet外部部訪問(wèn)應(yīng)用用網(wǎng)關(guān)的通通信拒絕來(lái)自任任何Internet外部的的其它訪問(wèn)問(wèn)拒絕路由任任何內(nèi)部網(wǎng)網(wǎng)絡(luò)訪問(wèn)Internet外外部的請(qǐng)求求，除非來(lái)來(lái)自?xún)?nèi)部的的應(yīng)用代理理。適于需要靈靈活性的網(wǎng)網(wǎng)絡(luò)，但安安全性降低低。屏蔽子網(wǎng)防防火墻結(jié)構(gòu)構(gòu)適于通信量量很大或高高速網(wǎng)絡(luò)通通信的內(nèi)部部網(wǎng)絡(luò)強(qiáng)化安全，，但配置較較為復(fù)雜屏蔽子網(wǎng)防防火墻結(jié)構(gòu)構(gòu)(cont.)屏蔽子網(wǎng)防防火墻結(jié)構(gòu)構(gòu)(cont.)防火墻實(shí)現(xiàn)現(xiàn)策略(cont.)對(duì)防火墻系系統(tǒng)而言，，共有兩層層網(wǎng)絡(luò)安全全策略：網(wǎng)絡(luò)服務(wù)訪訪問(wèn)策略：：是高層策策略，定義義了受保護(hù)護(hù)網(wǎng)絡(luò)明確確允許和明明確拒絕的的網(wǎng)絡(luò)服務(wù)務(wù)，分析網(wǎng)網(wǎng)絡(luò)服務(wù)的的可用性（（包括可用用條件）、、風(fēng)險(xiǎn)性等等。防火墻設(shè)計(jì)計(jì)策略：是是低層策略略，描述了了防火墻如如何根據(jù)高高層的網(wǎng)絡(luò)絡(luò)服務(wù)訪問(wèn)問(wèn)策略中定定義的策略略來(lái)具體地地限制訪問(wèn)問(wèn)和過(guò)濾服服務(wù)。網(wǎng)絡(luò)服務(wù)訪訪問(wèn)策略不允許外部部網(wǎng)絡(luò)或Internet訪訪問(wèn)內(nèi)部網(wǎng)網(wǎng)絡(luò)，但允允許內(nèi)部網(wǎng)網(wǎng)絡(luò)訪問(wèn)外外部網(wǎng)絡(luò)或或Internet。允許外部網(wǎng)網(wǎng)絡(luò)或Internet訪問(wèn)問(wèn)部分內(nèi)部部網(wǎng)絡(luò)，這這些特定的的網(wǎng)絡(luò)服務(wù)務(wù)是經(jīng)過(guò)嚴(yán)嚴(yán)格選擇和和控制的，，如一些信信息服務(wù)器器、電子郵郵件服務(wù)器器或域名服服務(wù)器等等等。防火墻實(shí)現(xiàn)現(xiàn)策略(cont.)防火墻設(shè)計(jì)計(jì)策略防火墻設(shè)計(jì)計(jì)策略必須須針對(duì)具體體的防火墻墻，它定義義過(guò)濾規(guī)則則等，以實(shí)實(shí)現(xiàn)高層的的網(wǎng)絡(luò)服務(wù)務(wù)策略。這這個(gè)策略在在設(shè)計(jì)時(shí)必必須考慮到到防火墻本本身的性能能、限制及及具體協(xié)議議如TCP/IP。。常用的兩兩種基本防防火墻設(shè)計(jì)計(jì)策略是：：允許所有除除明確拒絕絕之外的通通信或服務(wù)務(wù)（很少考考慮，因?yàn)闉檫@樣的防防火墻可能能帶來(lái)許多多風(fēng)險(xiǎn)和安安全問(wèn)題。。攻擊者完完全可以使使用一種拒拒絕策略中中沒(méi)有定義義的服務(wù)而而被允許并并攻擊網(wǎng)絡(luò)絡(luò)）拒絕所有除除明確允許許之外的通通信或服務(wù)務(wù)（常用，，但操作困困難，并有有可能拒絕絕網(wǎng)絡(luò)用戶(hù)戶(hù)的正常需需求與合法法服務(wù)）防火墻實(shí)現(xiàn)現(xiàn)策略(cont.)作為一個(gè)安安全策略的的設(shè)計(jì)者，，應(yīng)懂得以以下問(wèn)題的的要點(diǎn)：哪些Internet服務(wù)是是本網(wǎng)絡(luò)系系統(tǒng)打算使使用或提供供的？（如如TELNET、FTP、HTTP））這些Internet服務(wù)在在哪或哪個(gè)個(gè)范圍內(nèi)使使用？（如如在本地網(wǎng)網(wǎng)內(nèi)、整個(gè)個(gè)Internet或撥號(hào)服服務(wù)等）可能有哪些些額外或臨臨時(shí)的服務(wù)務(wù)或需求？？（如加密密、撥入服服務(wù)等）提供這些服服務(wù)和訪問(wèn)問(wèn)有哪些風(fēng)風(fēng)險(xiǎn)和總的的花費(fèi)？防火墻實(shí)現(xiàn)現(xiàn)策略(cont.)對(duì)防火墻技技術(shù)與產(chǎn)品品發(fā)展的介介紹防火墻技術(shù)術(shù)是建立在在現(xiàn)代通信信網(wǎng)絡(luò)技術(shù)術(shù)和信息安安全技術(shù)基礎(chǔ)上的的應(yīng)用性安安全技術(shù)，，越來(lái)越多多地應(yīng)用于于專(zhuān)用網(wǎng)絡(luò)與公用用網(wǎng)絡(luò)的互互聯(lián)環(huán)境之之中，尤其其以接入Internet網(wǎng)網(wǎng)絡(luò)為最甚甚。Internet的的迅猛發(fā)展展，使得防防火墻產(chǎn)品品在短短的的幾年內(nèi)異異軍突起，，很快形成成了一個(gè)產(chǎn)產(chǎn)業(yè)：據(jù)不不完全統(tǒng)計(jì)計(jì)，在國(guó)際際上防火墻墻產(chǎn)品銷(xiāo)售售從1995年的不不到1萬(wàn)套套，猛增增到1997年底的的10萬(wàn)套套。據(jù)國(guó)際權(quán)威威商業(yè)調(diào)查查機(jī)構(gòu)的預(yù)預(yù)測(cè),防火火墻市場(chǎng)將將以173％的復(fù)合合增長(zhǎng)率增增長(zhǎng)，到2000年年將達(dá)150萬(wàn)套，，市場(chǎng)營(yíng)業(yè)業(yè)額將從1995年年的1.6億美元上上升到2000年的的9.8億億美元。防火墻發(fā)展展歷程第一階段：：基于路由由器的防火火墻第二階段：：用戶(hù)化的的防火墻工工具套第三階段：：建立在通通用操作系系統(tǒng)上的防防火墻第四階段：：具有安全全操作系統(tǒng)統(tǒng)的防火墻墻對(duì)防火墻技技術(shù)與產(chǎn)品品發(fā)展的介介紹(cont.)第一代防火火墻產(chǎn)品的的特點(diǎn)是：：利用路由器器本身對(duì)分分組的解析析,以訪問(wèn)問(wèn)控制表（（accesslist））方式實(shí)現(xiàn)現(xiàn)對(duì)分組的的過(guò)濾；過(guò)濾判決的的依據(jù)可以以是：地址址、端口號(hào)號(hào)、IP旗旗標(biāo)及其它它網(wǎng)絡(luò)特征；；只有分組過(guò)過(guò)濾的功能能，且防火火墻與路由由器是一體體的，對(duì)安全要求低低的網(wǎng)絡(luò)可可采用路由由器附帶防防火墻功能能的方法，，對(duì)安全性要要求高的網(wǎng)網(wǎng)絡(luò)則可單單獨(dú)利用一一臺(tái)路由器器作防火墻墻。第一階段：：基于路由由器的防火火墻第一階段：：基于路由由器的防火火墻(cont.)第一代防火火墻產(chǎn)品的的不足之處處為：路由協(xié)議十十分靈活，，本身具有有安全漏洞洞，外部網(wǎng)網(wǎng)絡(luò)要探尋尋內(nèi)部網(wǎng)絡(luò)絡(luò)十分容易易。路由器上的的分組過(guò)濾濾規(guī)則的設(shè)設(shè)置和配置置存在安全全隱患。攻擊者可以以“假冒””地址，由由于信息在在網(wǎng)絡(luò)上是是以明文傳傳送的，黑黑客可以在在網(wǎng)絡(luò)上偽偽造假的路路由信息欺欺騙防火墻墻。防火墻的規(guī)規(guī)則設(shè)置會(huì)會(huì)大大降低低路由器的的性能。第二階段：：用戶(hù)化的的防火墻工工具套作為第二代代防火墻產(chǎn)產(chǎn)品，用戶(hù)戶(hù)化的防火火墻工具套具有以以下特征：：將過(guò)濾功能能從路由器器中獨(dú)立出出來(lái)，并加加上審計(jì)和和告警功能能；針對(duì)用戶(hù)需需求，提供供模塊化的的軟件包；；軟件可通過(guò)過(guò)網(wǎng)絡(luò)發(fā)送送，用戶(hù)可可根據(jù)需要要構(gòu)造防火火墻；與第一代防防火墻相比比，安全性性提高了，，價(jià)格降低低了。第二階段段：用戶(hù)戶(hù)化的防防火墻工工具套(cont.)不足之處處：配置和維維護(hù)過(guò)程程復(fù)雜、、費(fèi)時(shí)；；對(duì)用戶(hù)的的技術(shù)要要求高；；全軟件實(shí)實(shí)現(xiàn)，安安全性和和處理速速度均有有局限；；實(shí)踐表明明，使用用中出現(xiàn)現(xiàn)差錯(cuò)的的情況很很多。第三階段段：建立立在通用用操作系系統(tǒng)上的的防火墻墻具有以下下特點(diǎn)：：是批量上上市的專(zhuān)專(zhuān)用防火火墻產(chǎn)品品；包括分組組過(guò)濾或或者借用用路由器器的分組組過(guò)濾功功能；裝有專(zhuān)用用的代理理系統(tǒng)，，監(jiān)控所所有協(xié)議議的數(shù)據(jù)據(jù)和指令令；保護(hù)用戶(hù)戶(hù)編程空空間和用用戶(hù)可配配置內(nèi)核核參數(shù)的的設(shè)置；；安全性和和速度大大為提高高。第三階段段：建立立在通用用操作系系統(tǒng)上的的防火墻墻(cont.)存在的問(wèn)問(wèn)題：作為基礎(chǔ)礎(chǔ)的操作作系統(tǒng)及及其內(nèi)核核往往不不為防火火墻管理理者所知知，由于于原碼的的保密，，其安全全性無(wú)從從保證；；由于大多多數(shù)防火火墻廠商商并非通通用操作作系統(tǒng)的的廠商，，通用操操作系統(tǒng)統(tǒng)廠商不不會(huì)對(duì)操操作系統(tǒng)統(tǒng)的安全全性負(fù)責(zé)責(zé)；從本質(zhì)上上看，第第三代防防火墻既既要防止止來(lái)自外外部網(wǎng)絡(luò)絡(luò)的攻擊擊，還要要防止來(lái)來(lái)自操作作系統(tǒng)廠廠商的攻攻擊。用戶(hù)必須須依賴(lài)兩兩方面的的安全支支持：一一是防火火墻廠商商、一是是操作系系統(tǒng)廠商商。第四階段段：具有有安全操操作系統(tǒng)統(tǒng)的防火火墻具有以下下特點(diǎn)：：防火墻廠廠商具有有操作系系統(tǒng)的源源代碼，，并可實(shí)實(shí)現(xiàn)安全全內(nèi)核；；對(duì)安全內(nèi)內(nèi)核實(shí)現(xiàn)現(xiàn)加固處處理:即即去掉不不必要的的系統(tǒng)特特性，加加固內(nèi)核核，強(qiáng)化化安全保保護(hù)；對(duì)每個(gè)服服務(wù)器、、子系統(tǒng)統(tǒng)都作了了安全處處理，一一旦黑客客攻破了了一個(gè)服服務(wù)器，，它將會(huì)會(huì)被隔離離在此服服務(wù)器內(nèi)內(nèi)，不會(huì)會(huì)對(duì)網(wǎng)絡(luò)絡(luò)的其它它部份構(gòu)構(gòu)成威脅脅；在功能上上包括了了分組過(guò)過(guò)濾、應(yīng)應(yīng)用網(wǎng)關(guān)關(guān)、電路路級(jí)網(wǎng)關(guān)關(guān)，且具具有加密密與鑒別別功能；；透明性好好，易于于使用。。第四代防防火墻的的主要技技術(shù)與功功能第四代防防火墻產(chǎn)產(chǎn)品將網(wǎng)網(wǎng)關(guān)與安安全系統(tǒng)統(tǒng)合二為為一，具具有以下下技術(shù)與與功能特特點(diǎn)：雙端口或或三端口口的結(jié)構(gòu)構(gòu)透明的訪訪問(wèn)方式式靈活的代代理系統(tǒng)統(tǒng)多級(jí)的過(guò)過(guò)濾技術(shù)術(shù)網(wǎng)絡(luò)地址址轉(zhuǎn)換技技術(shù)Internet網(wǎng)關(guān)關(guān)技術(shù)安全服務(wù)務(wù)器網(wǎng)絡(luò)絡(luò)（SSN）用戶(hù)鑒別別與加密密用戶(hù)定制制服務(wù)審計(jì)和告告警雙端口或或三端口口的結(jié)構(gòu)構(gòu)新一代防防火墻產(chǎn)產(chǎn)品具有有兩個(gè)或或三個(gè)獨(dú)獨(dú)立的的網(wǎng)卡，，內(nèi)外兩兩個(gè)網(wǎng)卡卡可不作作IP轉(zhuǎn)化而串串接于內(nèi)內(nèi)部網(wǎng)與與外部網(wǎng)網(wǎng)之間，，另一個(gè)個(gè)網(wǎng)卡可可專(zhuān)用于于對(duì)服務(wù)務(wù)器的安安全保護(hù)護(hù)。透明的訪訪問(wèn)方式式以前的防防火墻在在訪問(wèn)方方式上要要么要求求用戶(hù)作作系統(tǒng)登錄錄，要么么需要通通過(guò)SOCKS等庫(kù)路徑徑修改客客戶(hù)機(jī)的應(yīng)應(yīng)用。第第四代防防火墻利利用了透透明的代代理系統(tǒng)技術(shù)，，從而降降低了系系統(tǒng)登錄錄固有的的安全風(fēng)風(fēng)險(xiǎn)和出錯(cuò)概率率。靈活的代代理系統(tǒng)統(tǒng)代理系統(tǒng)統(tǒng)是一種種將信息息從防火火墻的一一側(cè)傳送送到另一一側(cè)的軟軟件模塊塊。第四四代防火火墻采用用了兩種種代理機(jī)機(jī)制，一一種用于于代理從從內(nèi)部網(wǎng)網(wǎng)絡(luò)到外外部網(wǎng)絡(luò)絡(luò)的連接接，采用用網(wǎng)絡(luò)地地址轉(zhuǎn)換換(NAT)技術(shù)來(lái)解解決，另另一種用用于代理理從外部部網(wǎng)絡(luò)到到內(nèi)部網(wǎng)網(wǎng)絡(luò)的連連接。采采用非保保密的用用戶(hù)定制制代理或或保密的的代理系系統(tǒng)技術(shù)術(shù)來(lái)解決決。多級(jí)的過(guò)過(guò)濾技術(shù)術(shù)為保證系系統(tǒng)的安安全性和和防護(hù)水水平，第第四代防防火墻采采用了三三級(jí)過(guò)濾濾措施，，并輔以以鑒別手手段。在在分組過(guò)過(guò)濾一級(jí)級(jí)，能過(guò)過(guò)濾掉所所有的源源路由分分組和假假冒的IP源地址；；在應(yīng)用用級(jí)網(wǎng)關(guān)關(guān)一級(jí),能利用用FTP、SMTP等各種網(wǎng)網(wǎng)關(guān)，控控制和監(jiān)監(jiān)測(cè)Internet提供的所所有通用用服務(wù)；；在電路路網(wǎng)關(guān)一一級(jí)，實(shí)實(shí)現(xiàn)內(nèi)部部主機(jī)與與外部站站點(diǎn)的透透明連接接，并對(duì)對(duì)服務(wù)的的通行實(shí)實(shí)行嚴(yán)格格控制。。網(wǎng)絡(luò)地址轉(zhuǎn)換換技術(shù)第四代防火墻墻利用NAT技術(shù)能透明地地對(duì)所有內(nèi)部部地址作轉(zhuǎn)換換，使外部網(wǎng)網(wǎng)絡(luò)無(wú)法了解解內(nèi)部網(wǎng)絡(luò)的的內(nèi)部結(jié)構(gòu)，，同時(shí)允許內(nèi)內(nèi)部網(wǎng)絡(luò)使用用自己編的IP地址和專(zhuān)用網(wǎng)網(wǎng)絡(luò)，防火墻墻能詳盡記錄錄每一個(gè)主機(jī)機(jī)的通信，確確保每個(gè)分組組送往正確的的地址。Internet網(wǎng)關(guān)技術(shù)安全服務(wù)器網(wǎng)網(wǎng)絡(luò)（SSN）為適應(yīng)越來(lái)越越多的用戶(hù)向向Internet上提供服務(wù)時(shí)時(shí)對(duì)服務(wù)器保保護(hù)的需要,第四代防火火墻采用特別別保護(hù)的策略略對(duì)用戶(hù)上網(wǎng)網(wǎng)的對(duì)外服務(wù)務(wù)器實(shí)施保護(hù)護(hù)，它利用一一張網(wǎng)卡將對(duì)對(duì)外服務(wù)器作作為一個(gè)獨(dú)立立網(wǎng)絡(luò)處理，，對(duì)外服務(wù)器器既是內(nèi)部網(wǎng)網(wǎng)的一部份，，又與內(nèi)部網(wǎng)網(wǎng)關(guān)完全隔離離。這就是安安全服務(wù)器網(wǎng)網(wǎng)絡(luò)(SSN)技術(shù)，對(duì)SSN上的主機(jī)既可可單獨(dú)管理，，也可設(shè)置成成通過(guò)FTP、Telnet等方式從內(nèi)部部網(wǎng)上管理。。用戶(hù)鑒別與加加密為了降低防火火墻產(chǎn)品在Telnet、FTP等服務(wù)和遠(yuǎn)程管理上上的安全風(fēng)險(xiǎn)險(xiǎn)，鑒別功能能必不可少，，第四代防火墻墻采用一次性性使用的口令令字系統(tǒng)來(lái)作作為用戶(hù)的鑒別別手段，并實(shí)實(shí)現(xiàn)了對(duì)郵件件的加密。用戶(hù)定制服務(wù)務(wù)為滿(mǎn)足特定用用戶(hù)的特定需需求，第四代代防火墻在提供眾多服服務(wù)的同時(shí),還為用戶(hù)定定制提供支持持，這類(lèi)選項(xiàng)項(xiàng)有：通用TCP，出站UDP、FTP、SMTP等類(lèi),如果某某一用戶(hù)需要要建立一個(gè)數(shù)數(shù)據(jù)庫(kù)的代理理，便可利用用這些支持，，方便設(shè)置。。審計(jì)和告警第四代防火墻墻產(chǎn)品的審計(jì)計(jì)和告警功能能十分健全，日志文件件包括：一般般信息、內(nèi)核核信息、核心心信息、接收郵郵件、郵件路路徑、發(fā)送郵郵件、已收消消息、已發(fā)消息息、連接請(qǐng)求求、已鑒別的的訪問(wèn)、告警警條件、管理日日志、進(jìn)站代代理、FTP代理、出站代代理、郵件服務(wù)務(wù)器、域名服服務(wù)器等。告告警功能會(huì)守守住每一個(gè)TCP或UDP探尋，并能以以發(fā)出郵件、、聲響等多種方式式報(bào)警。第四代防火墻墻技術(shù)實(shí)現(xiàn)在第四代防火火墻產(chǎn)品的設(shè)設(shè)計(jì)與開(kāi)發(fā)中中，關(guān)鍵在于于：安全內(nèi)核代理系統(tǒng)多級(jí)過(guò)濾安全服務(wù)器鑒別與加密安全內(nèi)核的實(shí)實(shí)現(xiàn)對(duì)安全操作系系統(tǒng)內(nèi)核的固固化與改造主主要從以下幾方面進(jìn)行行：取消危險(xiǎn)的系系統(tǒng)調(diào)用；限制命令的執(zhí)執(zhí)行權(quán)限；取消IP的轉(zhuǎn)轉(zhuǎn)發(fā)功能；檢查每個(gè)分組組的接口；采用隨機(jī)連接接序號(hào)；駐留分組過(guò)濾濾模塊；取消動(dòng)態(tài)路由由功能；采用多個(gè)安全全內(nèi)核。代理系統(tǒng)的建建立在所有的連接接通過(guò)防火墻墻前，所有的的代理要檢查已定義的的訪問(wèn)規(guī)則，，這些規(guī)則控控制代理的服服務(wù)并根據(jù)以下下內(nèi)容處理分分組：源地址；目的地址；時(shí)間；同類(lèi)服務(wù)的最最大數(shù)量。代理系統(tǒng)的建建立（cont.)所有外部網(wǎng)絡(luò)絡(luò)到防火墻內(nèi)內(nèi)部或SSN的連接由進(jìn)站站代理處理，進(jìn)站代代理要保證內(nèi)內(nèi)部主機(jī)能了了解外部主機(jī)機(jī)的所有信息，而外外部主機(jī)只能能看到防火墻墻之外或SSN的地址。所有從內(nèi)部網(wǎng)網(wǎng)絡(luò)或SSN通過(guò)防火墻與與外部網(wǎng)絡(luò)建建立的連接由出站代代理處理，出出站代理必須須確保完全由由它代表內(nèi)部網(wǎng)絡(luò)與與外部地址相相連，防止內(nèi)內(nèi)部網(wǎng)址與外外部網(wǎng)址的直接連接接,同時(shí)還要要處理內(nèi)部網(wǎng)網(wǎng)絡(luò)到SSN的連接。分組過(guò)濾器的的設(shè)計(jì)分組過(guò)濾器包包括以下參數(shù)數(shù):進(jìn)站接口；出站接口；IP協(xié)議特征征；允許的連接；；源端口范圍；；源地址；目的地址；目的端口的范范圍等。安全服務(wù)器的的設(shè)計(jì)安全服務(wù)器的的設(shè)計(jì)有兩個(gè)個(gè)要點(diǎn)：第一，所有SSN的流量都要隔隔離處理，即即從內(nèi)部網(wǎng)和和外部網(wǎng)而來(lái)的的路由信息流流在機(jī)制上是是分離的；第二，SSN的作用類(lèi)似于于兩個(gè)網(wǎng)絡(luò)，，它看上去象象是內(nèi)部網(wǎng)，因?yàn)樗鼘?duì)外透明，，同時(shí)又象是是外部網(wǎng)絡(luò)，，因?yàn)樗鼜膬?nèi)部網(wǎng)絡(luò)絡(luò)對(duì)外訪問(wèn)的的方式十分有有限。安全服務(wù)器的的設(shè)計(jì)（cont.)SSN上的每一個(gè)服服務(wù)器都是隱隱蔽于Inter-net，SSN提供的服務(wù)務(wù)對(duì)外部網(wǎng)網(wǎng)絡(luò)而言好好象防火墻的功能，，由于地址址轉(zhuǎn)換已是是透明的,對(duì)各種網(wǎng)網(wǎng)絡(luò)應(yīng)用沒(méi)有有限制。實(shí)現(xiàn)SSN的關(guān)鍵在于于：解決分組過(guò)過(guò)濾器與SSN的連連接；支持通過(guò)防防火墻對(duì)SSN的訪訪問(wèn)；支持代理服服務(wù)。鑒別與加密密的考慮鑒別與加密密是防火墻墻識(shí)別用戶(hù)戶(hù)，驗(yàn)證訪訪問(wèn)和保護(hù)護(hù)信息的有效手手段，鑒別別機(jī)制除了了提供安全全保護(hù)而外外，還有安全管理的的功能，目目前國(guó)外防防火墻產(chǎn)品品中廣泛使使用令牌鑒別方式，，具體方法法有兩種，，一種是加加密卡（CryptoCard）；另一種種是SecureID，這兩種都都是一次性性口令的生成工具具。對(duì)信息內(nèi)容容的加密與與鑒別則涉涉及加密算算法和數(shù)字字簽名技術(shù)，除除PEM、PGP和Kerberos外，目前國(guó)國(guó)外防火墻墻產(chǎn)品中尚沒(méi)沒(méi)有更好的的機(jī)制出現(xiàn)現(xiàn)，由于加加密算法涉涉及國(guó)家信息安全全和主權(quán)，，各國(guó)有不不同的要求求。第四代防火火墻的抗攻攻擊能力作為一種安安全防護(hù)設(shè)設(shè)備，防火火墻在網(wǎng)絡(luò)絡(luò)中自然是是眾多攻擊擊者的目標(biāo)標(biāo)，故抗攻攻擊能力也也是防火墻墻的必備功功能，在Internet環(huán)境中針對(duì)防防火墻的攻擊擊方法主要有有：抗IP假冒攻擊抗特洛伊木馬馬攻擊抗口令字探尋尋攻擊抗網(wǎng)絡(luò)安全性性分析抗郵件詐騙攻攻擊抗IP假冒攻攻擊IP假冒是指指一個(gè)非法的的主機(jī)假冒內(nèi)內(nèi)部的主機(jī)地地址，騙取服服務(wù)器的“信信任”，從而而達(dá)到對(duì)網(wǎng)絡(luò)絡(luò)的攻擊目的的。由于第四四代防火墻知知道網(wǎng)絡(luò)內(nèi)外外的IP地址址，它會(huì)丟棄棄所有來(lái)自網(wǎng)網(wǎng)絡(luò)外部但卻卻有內(nèi)部地址址的分組，再再之防火墻已已將網(wǎng)內(nèi)的實(shí)實(shí)際地址隱蔽蔽起來(lái)，外部部用戶(hù)很難知知道內(nèi)部的IP地址，因因而難以攻擊擊。第四代防火墻墻的抗攻擊能能力(cont.)抗特洛伊木馬馬攻擊特洛伊木馬能能將病毒或破破壞性程序傳傳入計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)，且通常常是將這些惡惡意程序隱蔽蔽在正常的程程序，尤其是是熱門(mén)程序或或游戲之中，，一些用戶(hù)下下載并執(zhí)行這這一程序，其其中的病毒便便會(huì)發(fā)作。第第四代防火墻墻是建立在安安全的操作系系統(tǒng)之上的，，其安全內(nèi)核核中不能執(zhí)行行下載的程序序，故而可防防止特洛伊木木馬的發(fā)生。。必須指出的的是，防火墻墻能抗特洛伊伊木馬的攻擊擊并不表明受受其保護(hù)的某某個(gè)主機(jī)也能能防止這類(lèi)攻攻擊。事實(shí)上上，內(nèi)部用戶(hù)戶(hù)可通過(guò)防火火墻下載程序序，并執(zhí)行下下載的程序。。第四代防火墻墻的抗攻擊能能力(cont.)抗口令字探尋尋攻擊在網(wǎng)絡(luò)中探尋尋口令字的方方法很多，最最常見(jiàn)的是口口令字嗅探和和口令字解密密。嗅探是通通過(guò)監(jiān)測(cè)網(wǎng)絡(luò)絡(luò)通信，截獲獲用戶(hù)傳給服服務(wù)器的口令令字，記錄下下來(lái)，以便使使用；解密是是指采用強(qiáng)力力攻擊、猜測(cè)測(cè)或截獲含有有加密口令字字的文件，并并設(shè)法解密。。此外，攻擊擊者還常常利利用一些常用用口令字直接接登錄。第四代防火墻墻采用了一次次性口令字和和禁止直接登登錄防火墻的的措施，能有有效防止對(duì)口口令字的攻擊擊。第四代防火墻墻的抗攻擊能能力(cont.)抗網(wǎng)絡(luò)安全性性分析網(wǎng)絡(luò)安全性分分析工具本是是供管理人員員分析網(wǎng)絡(luò)安安全性之用的的，一旦這類(lèi)類(lèi)工具用作攻攻擊網(wǎng)絡(luò)的手手段，則能較較方便地探測(cè)測(cè)到內(nèi)部網(wǎng)絡(luò)絡(luò)的安全缺陷陷和弱點(diǎn)所在在，目前，SATAN軟軟件可以從網(wǎng)網(wǎng)上免費(fèi)獲得得，InternetScanner可從從市面上購(gòu)買(mǎi)買(mǎi)，這些分析析工具給網(wǎng)絡(luò)絡(luò)安全構(gòu)成了了直接威脅。。第四代防火火墻采用了地地址轉(zhuǎn)換技術(shù)術(shù)，將內(nèi)部網(wǎng)網(wǎng)絡(luò)隱蔽起來(lái)來(lái)，使網(wǎng)絡(luò)安安全分析工具具無(wú)法從外部部對(duì)內(nèi)部網(wǎng)作作分析。第四代防火墻墻的抗攻擊能能力(cont.)抗郵件詐騙攻攻擊郵件詐騙也是是越來(lái)越突出出的攻擊方式式，第四代防防火墻不接收收任何郵件，，故難以采用用這種方式對(duì)對(duì)它攻擊，同同樣值得一提提的是，防火火墻不接受郵郵件，并不表表示它不讓郵郵件通過(guò)，實(shí)實(shí)際上用戶(hù)仍仍可收發(fā)郵件件，內(nèi)部用戶(hù)戶(hù)要防郵件詐詐騙，最終的的解決辦法是是對(duì)郵件加密密。第四代防火墻墻的抗攻擊能能力(cont.)對(duì)防火墻技術(shù)術(shù)的展望：幾點(diǎn)趨勢(shì)防火墻將從目目前對(duì)子網(wǎng)或或內(nèi)部網(wǎng)管理理的方式向遠(yuǎn)遠(yuǎn)程上網(wǎng)集中中管理的方式式發(fā)展；過(guò)濾深度不斷斷加強(qiáng),從目目前的地址、、服務(wù)過(guò)濾，，發(fā)展到URL（頁(yè)面）過(guò)濾濾，關(guān)鍵字過(guò)過(guò)濾和對(duì)ActiveX、Java等的過(guò)濾，并并逐漸有病毒毒掃除功能。。單向防火墻（（又叫網(wǎng)絡(luò)二二極管）將作作為一種產(chǎn)品品門(mén)類(lèi)而出現(xiàn)現(xiàn)；利用防火墻建建立專(zhuān)用網(wǎng)(VPN)是較長(zhǎng)一段段時(shí)間的用戶(hù)戶(hù)使用的主流流，IP的加密需求越越來(lái)越強(qiáng)，安安全協(xié)議的開(kāi)開(kāi)發(fā)是一大熱熱點(diǎn)；對(duì)網(wǎng)絡(luò)攻擊的的檢測(cè)和告警警將成為防火火墻的重要功功能；安全管理工具具不斷完善，，特別是可疑疑活動(dòng)的日志志分析工具等等將成為防火火墻產(chǎn)品中的的一部分。對(duì)防火墻技術(shù)術(shù)的展望：幾點(diǎn)趨勢(shì)(cont.)對(duì)防火墻技術(shù)術(shù)的展望：需求的變化根據(jù)上述趨勢(shì)勢(shì)，人們選擇擇防火墻的標(biāo)標(biāo)準(zhǔn)將集中在以下幾個(gè)個(gè)方面：易于管理性；；應(yīng)用透明性；；鑒別與加密功功能；操作環(huán)境和硬硬件要求；VPN的功能能與CA的功功能；接口的數(shù)量；；成本。LinuxIP防火墻墻及其原理簡(jiǎn)簡(jiǎn)介常見(jiàn)防火墻的的配置模式常見(jiàn)防火墻的的基本工作總總結(jié)Internet/公網(wǎng)內(nèi)部網(wǎng)路由器NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源控制臺(tái)服務(wù)器服務(wù)器服務(wù)