信息系統(tǒng)安全技術(shù)防火墻技術(shù)

信息系統(tǒng)安全技術(shù)--防火墻技術(shù)ServerClient防火墻（Firewall）注解：防火墻類似一堵城墻，將服務(wù)器與客戶主機進(jìn)行物理隔離，并在此基礎(chǔ)上實現(xiàn)服務(wù)器與客戶主機之間的授權(quán)互訪、互通等功能。防火墻概念防火墻特征防火墻功能協(xié)議與服務(wù)防火墻技術(shù)內(nèi)容防火墻體系結(jié)構(gòu)防火墻實現(xiàn)策略對防火墻技術(shù)與產(chǎn)品發(fā)展的介紹對防火墻技術(shù)的展望內(nèi)容提要防火墻概念

防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域（公共網(wǎng)和企業(yè)內(nèi)部網(wǎng)）之間的一系列部件的組合。它是不同網(wǎng)絡(luò)（安全域）之間的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有很高的抗攻擊能力，它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻特征保護(hù)脆弱和有缺陷的網(wǎng)絡(luò)服務(wù)集中化的安全管理加強對網(wǎng)絡(luò)系統(tǒng)的訪問控制加強隱私對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計保護(hù)脆弱和有缺陷的網(wǎng)絡(luò)服務(wù)一個防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。防火墻特征(cont.)防火墻特征(cont.)集中化的安全管理通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問時，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個主機上，而集中在防火墻一身上。加強對網(wǎng)絡(luò)系統(tǒng)的訪問控制一個防火墻的主要功能是對整個網(wǎng)絡(luò)的訪問控制。比如防火墻可以屏蔽部分主機，使外部網(wǎng)絡(luò)無法訪問，同樣可以屏蔽部分主機的特定服務(wù)，使得外部網(wǎng)絡(luò)可以訪問該主機的其它服務(wù)，但無法訪問該主機的特定服務(wù)。防火墻不應(yīng)向外界提供網(wǎng)絡(luò)中任何不需要服務(wù)的訪問權(quán)，這實際上是安全政策的要求了?？刂茖μ厥庹军c的訪問：如有些主機或服務(wù)能被外部網(wǎng)絡(luò)訪問，而有些則需被保護(hù)起來，防止不必要的訪問。防火墻特征(cont.)加強隱私隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題。一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger，DNS等服務(wù)。Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網(wǎng)，這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。防火墻特征(cont.)對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時，防火墻能進(jìn)行適當(dāng)?shù)膱缶⑻峁┚W(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。另外，收集一個網(wǎng)絡(luò)的使用和誤用情況是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。防火墻特征(cont.)從總體體上看看，防防火墻墻應(yīng)具具有以以下五五大基基本功功能：：過濾進(jìn)進(jìn)、出出網(wǎng)絡(luò)絡(luò)的數(shù)數(shù)據(jù)；；管理進(jìn)進(jìn)、出出網(wǎng)絡(luò)絡(luò)的訪訪問行行為；；封堵某某些禁禁止的的業(yè)務(wù)務(wù)；記錄通通過防防火墻墻的信信息內(nèi)內(nèi)容和和活動動；對網(wǎng)絡(luò)絡(luò)攻擊擊的檢檢測和和告警警。防火墻墻功能能協(xié)議－－－ISO/OSI協(xié)議分分層應(yīng)用層層表示層層會話層層傳輸層層數(shù)據(jù)鏈鏈路層層物理層層網(wǎng)絡(luò)層層數(shù)據(jù)鏈鏈路層層協(xié)議－－－ISO/OSI協(xié)議分分層(cont.)物理層層：涉及在在物理理信道道上傳傳輸原原始比比特，，處理理與物物理傳傳輸介介質(zhì)有有關(guān)的的機械械的、、電氣氣的和和過程程的接接口。。數(shù)據(jù)鏈鏈路層層：分為介介質(zhì)訪訪問控控制（（MAC））和邏邏輯鏈鏈路控控制（（LLC））兩個個子層層。MAC子層層解決決廣播播型網(wǎng)網(wǎng)絡(luò)中中多用用戶競競爭信信道使使用權(quán)權(quán)問題題。LLC的主主要任任務(wù)是是將有有噪聲聲的物物理信信道變變成無無傳輸輸差錯錯的通通信信信道，，提供供數(shù)據(jù)據(jù)成幀幀、差差錯控控制、、流量量控制制和鏈鏈路控控制等等功能能。網(wǎng)絡(luò)層層：負(fù)責(zé)將將數(shù)據(jù)據(jù)從物物理連連接的的一端端傳到到另一一端，，即所所謂點點到點點，通通信主主要功功能是是尋徑徑，以以及與與之相相關(guān)的的流量量控制制和擁擁塞控控制等等。協(xié)議－－－ISO/OSI協(xié)議分分層(cont.)傳輸層層：主要目目的在在于彌彌補網(wǎng)網(wǎng)絡(luò)層層服務(wù)務(wù)與用用戶需需求之之間的的差距距。傳傳輸層層通過過向上上提供供一個個標(biāo)準(zhǔn)準(zhǔn)、通通用的的界面面，使使上層層與通通信子子網(wǎng)（（下三三層））的細(xì)細(xì)節(jié)相相隔離離。傳傳輸層層的主主要任任務(wù)是是提供供進(jìn)程程間通通信機機制和和保證證數(shù)據(jù)據(jù)傳輸輸?shù)目煽煽啃孕?。會話層層：主要針針對遠(yuǎn)遠(yuǎn)程終終端訪訪問。。主要要任務(wù)務(wù)包括括會話話管理理、傳傳輸同同步以以及活活動管管理等等。表示層層：主要功功能是是信息息轉(zhuǎn)換換，包包括信信息壓壓縮、、加密密、與與標(biāo)準(zhǔn)準(zhǔn)格式式的轉(zhuǎn)轉(zhuǎn)換（（以及及上述述各操操作的的逆操操作））等等等。應(yīng)用層層：提供最最常用用且通通用的的應(yīng)用用程序序，包包括電電子郵郵件（（E-mail）和和文電電傳輸輸?shù)取?yīng)用層層表示層層會話層層傳輸層層網(wǎng)絡(luò)層層數(shù)據(jù)鏈鏈路層層物理層層FTP、TELNETNFSSMTP、、SNMPXDRRPCTCP、UDPIPEthernet、、PDN、IEEE802.3、、IEEE802.4、IEEE802.5及其它它ICMPARPRARPOSI參考模模型Internet協(xié)協(xié)議簇簇OSI參考模模型與與Internet協(xié)議議簇注解：：通過過對每每一個個協(xié)議議簇中中各種種協(xié)議議結(jié)構(gòu)構(gòu)的詳詳細(xì)了了解，，就可可以非非常輕輕松的的針對對包過過濾型型、應(yīng)應(yīng)用代代理型型等防防火墻墻的ACL（訪訪問控控制列列表））進(jìn)行行制定定和理理解，，并有有助于于了解解防火火墻的的架構(gòu)構(gòu)體系系。協(xié)議－－TCP/IP協(xié)協(xié)議分分層應(yīng)用層層傳輸層層網(wǎng)間網(wǎng)網(wǎng)層網(wǎng)絡(luò)接接口層層協(xié)議－－TCP/IP協(xié)協(xié)議分分層應(yīng)用層層：向用戶戶提供供一組組常用用的應(yīng)應(yīng)用程程序，，比如如文件件傳輸輸訪問問、電電子郵郵件、、遠(yuǎn)程程登錄錄等。。用戶戶完全全可以以在““網(wǎng)間間網(wǎng)””之上上（即即傳輸輸層之之上）），建建立自自己的的專用用應(yīng)用用程序序，這這些專專用應(yīng)應(yīng)用程程序要要用到到TCP/IP，但但不屬屬于TCP/IP。。傳輸層層（TCP/UDP）：：提供應(yīng)應(yīng)用程程序間間（即即端到到端））的可可靠（（TCP））或高高效（（UDP））的通通信。。其功功能包包括：：格式式化信信息流流及提提供可可靠傳傳輸。。傳輸輸層還還要解解決不不同應(yīng)應(yīng)用程程序的的識別別問題題。網(wǎng)間網(wǎng)網(wǎng)層（（IP）：：負(fù)責(zé)相相鄰計計算機機之間間的通通信。。其功功能包包括：：處理理來自自傳輸輸層的的分組組發(fā)送送請求求；處處理理輸入入數(shù)據(jù)據(jù)包；；處理理ICMP報文文。網(wǎng)絡(luò)絡(luò)接接口口層層：：TCP/IP協(xié)協(xié)議議的的最最低低層層，，負(fù)負(fù)責(zé)責(zé)接接收收IP數(shù)數(shù)據(jù)據(jù)報報并并通通過過網(wǎng)網(wǎng)絡(luò)絡(luò)發(fā)發(fā)送送，，或或者者從從網(wǎng)網(wǎng)絡(luò)絡(luò)上上接接收收物物理理幀幀，，抽抽出出IP數(shù)數(shù)據(jù)據(jù)包包，，交交給給IP層層。。TCP/IP服服務(wù)務(wù)注解解：：通通過過該該服服務(wù)務(wù)體體系系的的理理解解，，大大家家一一定定要要了了解解清清楚楚IP包包過過濾濾型型防防火火墻墻中中的的TCP協(xié)協(xié)議議簇簇包包括括那那些些具具體體協(xié)協(xié)議議、、UDP協(xié)協(xié)議議簇簇包包括括那那些些具具體體協(xié)協(xié)議議，，并并要要特特別別注注意意怎怎樣樣通通過過防防火火墻墻的的ICMP協(xié)協(xié)議議去去安安全全有有效效的的控控制制PING命命令令的的執(zhí)執(zhí)行行。。TCP/IP服服務(wù)務(wù)(cont.)RPC-遠(yuǎn)程程過過程程調(diào)調(diào)用用服服務(wù)務(wù)。。如如NFS-NetworkFileSystem,可可允允許許系系統(tǒng)統(tǒng)共共享享目目錄錄與與磁磁盤盤。。NIS-NetworkInformationServices,網(wǎng)網(wǎng)絡(luò)絡(luò)信信息息服服務(wù)務(wù)容容許許多多個個系系統(tǒng)統(tǒng)共共享享數(shù)數(shù)據(jù)據(jù)庫庫,如如passwordfile容容許許集集中中管管理理。。XWindowSystem：：一一個個圖圖形形化化的的窗窗口口系系統(tǒng)統(tǒng)。。Rlogin、、rsh、、及及其其它它““r””服服務(wù)務(wù)。。運運用用相相互互信信任任的的主主機機的的概概念念，，在在其其它它系系統(tǒng)統(tǒng)上上可可以以執(zhí)執(zhí)行行命命令令且且不不要要求求password。。TCP/IP服服務(wù)務(wù)(cont.)IPIP協(xié)議議的的主主要要內(nèi)內(nèi)容容包包括括無無連連接接數(shù)數(shù)據(jù)據(jù)報報傳傳送送、、數(shù)數(shù)據(jù)據(jù)報報尋尋徑徑及及差差錯錯處處理理三三部部分分。。IP層層作作為為通通信信子子網(wǎng)網(wǎng)的的最最高高層層，，屏屏蔽蔽底底層層各各種種物物理理網(wǎng)網(wǎng)絡(luò)絡(luò)的的技技術(shù)術(shù)環(huán)環(huán)節(jié)節(jié)，，向向上上（（TCP層層））提提供供一一致致的的、、通通用用性性的的接接口口，，使使得得各各種種物物理理網(wǎng)網(wǎng)絡(luò)絡(luò)的的差差異異性性對對上上層層協(xié)協(xié)議議不不復(fù)復(fù)存存在在。。IP數(shù)數(shù)據(jù)據(jù)報報分分為為報報頭頭和和數(shù)數(shù)據(jù)據(jù)區(qū)區(qū)兩兩部部分分，，IP報報頭頭由由IP協(xié)協(xié)議議處處理理，，是是IP協(xié)協(xié)議議的的體體現(xiàn)現(xiàn)；；數(shù)數(shù)據(jù)據(jù)體體則則用用于于封封裝裝傳傳輸輸層層數(shù)數(shù)據(jù)據(jù)或或差差錯錯和和控控制制報報文文（（ICMP））數(shù)數(shù)據(jù)據(jù)，，由由TCP協(xié)協(xié)議議或或ICMP協(xié)協(xié)議議處處理理。。TCPTCP是傳輸層的重重要協(xié)議之一一，提供面向向連接的可靠靠字節(jié)流傳輸輸。面向連接接的TCP要要求在進(jìn)行實實際數(shù)據(jù)傳輸輸前，必須在在信源端與信信宿端建立一一條連接。且且面向連接的的每一個報文文都需接收端端確認(rèn)，未確確認(rèn)報文被認(rèn)認(rèn)為是出錯報報文，出錯的的報文協(xié)議要要求出錯重傳傳。TCP采用可可變窗口進(jìn)行行流量控制和和擁塞控制以以保證可靠性性。分組是TCP傳輸數(shù)據(jù)的的基本單元，，分TCP頭頭和TCP數(shù)數(shù)據(jù)體兩大部部分。UDPUDP是傳輸層的重重要協(xié)議之一一；基于UDP的的服務(wù)包括NIS、NFS、NTP及DNS等等。UDP不是面面向連接的服服務(wù)，幾乎不不提供可靠性性措施；因此此，基于UDP的服務(wù)具具有較高的風(fēng)風(fēng)險。TCP與UDP端口口一個TCP或UDP連接接由下述要素素唯一確定：：源IP地址址、目的地IP地址、源源端口、目的的地端口。TCP或UDP用協(xié)議端端口標(biāo)識通信信進(jìn)程，端口口是一種抽象象的軟件結(jié)構(gòu)構(gòu)（包括一些些數(shù)據(jù)結(jié)構(gòu)和和I/O緩沖沖區(qū)）。應(yīng)用用程序（即進(jìn)進(jìn)程）通過系系統(tǒng)調(diào)用與某某些端口建立立連接后，傳傳輸層傳給該該端口的數(shù)據(jù)據(jù)被相應(yīng)進(jìn)程程所接收。接口又是進(jìn)程程訪問傳輸服服務(wù)的人口點點。每個端口口擁有一個叫叫端口號的16位整數(shù)標(biāo)標(biāo)識符，用于于區(qū)分不同端端口。TCP和UDP軟件分別別可以提供65536個個不同的端口口。端口有兩部分分，一部分是是保留端口（（端口號小于于1024，，對應(yīng)于服務(wù)務(wù)器進(jìn)程），，一部分是自自由端口（以以本地方式分分配）。某些服務(wù)進(jìn)程程通常對應(yīng)于于特定的端口口。如SMTP為25，XWINDOWS為6000。客戶使用端口口號及目的地地IP地址初初始化與一個個特定主機或或服務(wù)的連接接。TCP與UDP端口口(cont.)協(xié)議－－IPV6IETF決定在不久的的將來利用IPV6來代代替IPV4。IPV6既能能適應(yīng)高速網(wǎng)網(wǎng)絡(luò)（如ATM），也能能適應(yīng)低帶寬寬環(huán)境。擴(kuò)展地址和路路由規(guī)模。主機地址自動動配置。公共子網(wǎng)服務(wù)務(wù)。安全性加強。。防火墻技術(shù)可可根據(jù)防范的的方式和側(cè)重重點的不同而而分為很多種類型，但但總體來講可可分為三大類類：分組過濾、應(yīng)應(yīng)用代理、電電路中繼分組過濾（Packetfiltering）：作用在網(wǎng)絡(luò)層層和傳輸層，，它根據(jù)分組組包頭源地址，目的的地址和端口口號、協(xié)議類類型等標(biāo)志確確定是否允許許數(shù)據(jù)包通過過。只有滿足足過濾邏輯的的數(shù)據(jù)包才被被轉(zhuǎn)發(fā)到相應(yīng)應(yīng)的目的地出出口端，其余余數(shù)據(jù)包則被被從數(shù)據(jù)流中中丟棄。防火墻技術(shù)內(nèi)內(nèi)容應(yīng)用代理（ApplicationProxy）：也叫應(yīng)用網(wǎng)關(guān)關(guān)（ApplicationGateway）,它作用用在應(yīng)用層，，其特點是完完全“阻隔””了網(wǎng)絡(luò)通信信流，通過對對每種應(yīng)用服服務(wù)編制專門門的代理程序序，實現(xiàn)監(jiān)視視和控制應(yīng)用用層通信流的的作用。實際際中的應(yīng)用網(wǎng)網(wǎng)關(guān)通常由專專用工作站實實現(xiàn)。電路中繼(CircuitRelay)：：也叫電路網(wǎng)關(guān)關(guān)(CircuitGateway)或TCP代理（TCP－－Proxy）,其其工作原理與與應(yīng)用代理類類似，不同之之處是該代理理程序是專門門為傳輸層的的TCP協(xié)議議編制的。防火墻技術(shù)內(nèi)內(nèi)容(cont.)防火墻技術(shù)內(nèi)內(nèi)容－分組過濾應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層外部網(wǎng)絡(luò)主機機內(nèi)部網(wǎng)絡(luò)主機機分組過濾型防防火墻一個分組過濾濾型防火墻通通常能根據(jù)IP分組的以下各各項過濾：源IP地址目標(biāo)IP地址址TCP/UDP源端口TCP/UDP目標(biāo)端口口協(xié)議類型防火墻技術(shù)內(nèi)內(nèi)容－分組過濾(cont.)防火墻技術(shù)內(nèi)內(nèi)容－分組過濾(cont.)分組過濾防火火墻應(yīng)用示例例優(yōu)點：透明的防火墻墻系統(tǒng)高速的網(wǎng)絡(luò)性性能易于配置支持網(wǎng)絡(luò)內(nèi)部部隱藏防火墻技術(shù)內(nèi)內(nèi)容－分組過濾(cont.)缺點：易于IP地址假冒記錄日志信息息不充分源路由攻擊設(shè)計和配置一一個真正安全全的分組過濾濾規(guī)則比較困困難分組過過濾防防火墻墻并不不能過過濾所所有的的協(xié)議議極小分分片設(shè)設(shè)數(shù)據(jù)據(jù)包攻攻擊無法防防止數(shù)數(shù)據(jù)驅(qū)驅(qū)動式式攻擊擊防火墻墻技術(shù)術(shù)內(nèi)容容－分組過過濾(cont.)防火墻墻技術(shù)術(shù)內(nèi)容容－應(yīng)用代代理應(yīng)用層層表示層層會話層層傳輸層層網(wǎng)絡(luò)層層數(shù)據(jù)鏈鏈路層層物理層層物理層層數(shù)據(jù)鏈鏈路層層網(wǎng)絡(luò)層層應(yīng)用層層表示層層會話層層傳輸層層網(wǎng)絡(luò)層層數(shù)據(jù)鏈鏈路層層物理層層外部網(wǎng)網(wǎng)絡(luò)主主機內(nèi)部網(wǎng)網(wǎng)絡(luò)主主機應(yīng)用代代理型型防火火墻應(yīng)用層層表示層層會話層層傳輸層層防火墻墻技術(shù)術(shù)內(nèi)容容－應(yīng)用代代理(cont.)外部Telnet服務(wù)器器內(nèi)部Telnet服務(wù)器器日志系系統(tǒng)Telnet代理FTP代理認(rèn)證系系統(tǒng)應(yīng)用網(wǎng)網(wǎng)關(guān)一個Telnet代代理的的例子子一個Telnet應(yīng)應(yīng)用代代理的的過程程用戶首首先Telnet到到應(yīng)用用網(wǎng)關(guān)關(guān)主機機，并并輸入入內(nèi)部部目標(biāo)標(biāo)主機機的名名字（（域名名、IP地址））應(yīng)用網(wǎng)網(wǎng)關(guān)檢檢查用用戶的的源IP地地址等等，并并根據(jù)據(jù)事先先設(shè)定定的訪訪問規(guī)規(guī)則來來決定定是否否轉(zhuǎn)發(fā)發(fā)或拒拒絕然后用用戶必必須進(jìn)進(jìn)行是是否驗驗證（（如一一次一一密等等高級級認(rèn)證證設(shè)備備）應(yīng)用網(wǎng)網(wǎng)關(guān)中中的代代理服服務(wù)器器為用用戶建建立在在網(wǎng)關(guān)關(guān)與內(nèi)內(nèi)部主主機之之間的的Telnet連接接代理服服務(wù)器器在兩兩個連連接（（用戶戶/應(yīng)應(yīng)用網(wǎng)網(wǎng)關(guān)，，代理理服務(wù)務(wù)器/內(nèi)部部主機機）之之間傳傳送數(shù)數(shù)據(jù)應(yīng)用網(wǎng)網(wǎng)關(guān)對對本次次連接接進(jìn)行行日志志記錄錄防火墻墻技術(shù)術(shù)內(nèi)容容－應(yīng)用代代理(cont.)優(yōu)點：：在網(wǎng)絡(luò)絡(luò)連接接建立立之前前可以以對用用戶身身份進(jìn)進(jìn)行認(rèn)認(rèn)證所有通通過防防火墻墻的信信息流流可以以被記記錄下下來易于配配置支持內(nèi)內(nèi)部網(wǎng)網(wǎng)絡(luò)的的信息息隱藏藏與分組組過濾濾規(guī)則則相比比簡單單易于控控制和和管理理防火墻墻技術(shù)術(shù)內(nèi)容容－應(yīng)用代代理(cont.)缺點：：對每種種類型型的服服務(wù)都都需要要一個個代理理網(wǎng)絡(luò)性性能不不高防火墻墻對用用戶不不透明明客戶應(yīng)應(yīng)用可可能需需要修修改需要多多個防防火墻墻主機機防火墻墻技術(shù)術(shù)內(nèi)容容－應(yīng)用代代理(cont.)防火墻墻體系系結(jié)構(gòu)構(gòu)分組過過濾防防火墻墻結(jié)構(gòu)構(gòu)分組過過濾＋＋應(yīng)用用網(wǎng)關(guān)關(guān)（I）分組過過濾＋＋應(yīng)用用網(wǎng)關(guān)關(guān)（II））屏蔽子子網(wǎng)防防火墻墻結(jié)構(gòu)構(gòu)分組過過濾防防火墻墻適合于于較小小的、、簡單單的系系統(tǒng)如規(guī)則則復(fù)雜雜，則則難于于管理理分組過過濾＋＋應(yīng)用用網(wǎng)關(guān)關(guān)（I）簡化路路由配配置加強隱隱私雙重保保護(hù)花費高高一些些只有網(wǎng)關(guān)上上的代理服服務(wù)支持的的應(yīng)用才能能通過分組過濾＋＋應(yīng)用網(wǎng)關(guān)關(guān)（II））路由器過濾濾應(yīng)用網(wǎng)關(guān)關(guān)不支持的的危險協(xié)議議應(yīng)用網(wǎng)關(guān)僅僅需一個網(wǎng)網(wǎng)絡(luò)接口，，不要求在在應(yīng)用網(wǎng)關(guān)關(guān)與路由器器之間有一一個分離的的子網(wǎng)路由器允許許轉(zhuǎn)發(fā)可信信服務(wù)到網(wǎng)網(wǎng)關(guān)周圍和和直接到內(nèi)內(nèi)部網(wǎng)絡(luò)分組過濾＋＋應(yīng)用網(wǎng)關(guān)關(guān)（II））也叫屏蔽主主機防火墻墻結(jié)構(gòu)，屏屏蔽路由器器使用分組組過濾技術(shù)術(shù)，堡壘主主機運行應(yīng)應(yīng)用網(wǎng)關(guān)程程序，為內(nèi)內(nèi)部主機提提供代理服服務(wù)。路由過濾器器根據(jù)以下下規(guī)則來路路由內(nèi)外部部通信路由從Internet外部部訪問應(yīng)用用網(wǎng)關(guān)的通通信拒絕來自任任何Internet外部的的其它訪問問拒絕路由任任何內(nèi)部網(wǎng)網(wǎng)絡(luò)訪問Internet外外部的請求求，除非來來自內(nèi)部的的應(yīng)用代理理。適于需要靈靈活性的網(wǎng)網(wǎng)絡(luò)，但安安全性降低低。屏蔽子網(wǎng)防防火墻結(jié)構(gòu)構(gòu)適于通信量量很大或高高速網(wǎng)絡(luò)通通信的內(nèi)部部網(wǎng)絡(luò)強化安全，，但配置較較為復(fù)雜屏蔽子網(wǎng)防防火墻結(jié)構(gòu)構(gòu)(cont.)屏蔽子網(wǎng)防防火墻結(jié)構(gòu)構(gòu)(cont.)防火墻實現(xiàn)現(xiàn)策略(cont.)對防火墻系系統(tǒng)而言，，共有兩層層網(wǎng)絡(luò)安全全策略：網(wǎng)絡(luò)服務(wù)訪訪問策略：：是高層策策略，定義義了受保護(hù)護(hù)網(wǎng)絡(luò)明確確允許和明明確拒絕的的網(wǎng)絡(luò)服務(wù)務(wù)，分析網(wǎng)網(wǎng)絡(luò)服務(wù)的的可用性（（包括可用用條件）、、風(fēng)險性等等。防火墻設(shè)計計策略：是是低層策略略，描述了了防火墻如如何根據(jù)高高層的網(wǎng)絡(luò)絡(luò)服務(wù)訪問問策略中定定義的策略略來具體地地限制訪問問和過濾服服務(wù)。網(wǎng)絡(luò)服務(wù)訪訪問策略不允許外部部網(wǎng)絡(luò)或Internet訪訪問內(nèi)部網(wǎng)網(wǎng)絡(luò)，但允允許內(nèi)部網(wǎng)網(wǎng)絡(luò)訪問外外部網(wǎng)絡(luò)或或Internet。允許外部網(wǎng)網(wǎng)絡(luò)或Internet訪問問部分內(nèi)部部網(wǎng)絡(luò)，這這些特定的的網(wǎng)絡(luò)服務(wù)務(wù)是經(jīng)過嚴(yán)嚴(yán)格選擇和和控制的，，如一些信信息服務(wù)器器、電子郵郵件服務(wù)器器或域名服服務(wù)器等等等。防火墻實現(xiàn)現(xiàn)策略(cont.)防火墻設(shè)計計策略防火墻設(shè)計計策略必須須針對具體體的防火墻墻，它定義義過濾規(guī)則則等，以實實現(xiàn)高層的的網(wǎng)絡(luò)服務(wù)務(wù)策略。這這個策略在在設(shè)計時必必須考慮到到防火墻本本身的性能能、限制及及具體協(xié)議議如TCP/IP。。常用的兩兩種基本防防火墻設(shè)計計策略是：：允許所有除除明確拒絕絕之外的通通信或服務(wù)務(wù)（很少考考慮，因為為這樣的防防火墻可能能帶來許多多風(fēng)險和安安全問題。。攻擊者完完全可以使使用一種拒拒絕策略中中沒有定義義的服務(wù)而而被允許并并攻擊網(wǎng)絡(luò)絡(luò)）拒絕所有除除明確允許許之外的通通信或服務(wù)務(wù)（常用，，但操作困困難，并有有可能拒絕絕網(wǎng)絡(luò)用戶戶的正常需需求與合法法服務(wù)）防火墻實現(xiàn)現(xiàn)策略(cont.)作為一個安安全策略的的設(shè)計者，，應(yīng)懂得以以下問題的的要點：哪些Internet服務(wù)是是本網(wǎng)絡(luò)系系統(tǒng)打算使使用或提供供的？（如如TELNET、FTP、HTTP））這些Internet服務(wù)在在哪或哪個個范圍內(nèi)使使用？（如如在本地網(wǎng)網(wǎng)內(nèi)、整個個Internet或撥號服服務(wù)等）可能有哪些些額外或臨臨時的服務(wù)務(wù)或需求？？（如加密密、撥入服服務(wù)等）提供這些服服務(wù)和訪問問有哪些風(fēng)風(fēng)險和總的的花費？防火墻實現(xiàn)現(xiàn)策略(cont.)對防火墻技技術(shù)與產(chǎn)品品發(fā)展的介介紹防火墻技術(shù)術(shù)是建立在在現(xiàn)代通信信網(wǎng)絡(luò)技術(shù)術(shù)和信息安安全技術(shù)基礎(chǔ)上的的應(yīng)用性安安全技術(shù)，，越來越多多地應(yīng)用于于專用網(wǎng)絡(luò)與公用用網(wǎng)絡(luò)的互互聯(lián)環(huán)境之之中，尤其其以接入Internet網(wǎng)網(wǎng)絡(luò)為最甚甚。Internet的的迅猛發(fā)展展，使得防防火墻產(chǎn)品品在短短的的幾年內(nèi)異異軍突起，，很快形成成了一個產(chǎn)產(chǎn)業(yè)：據(jù)不不完全統(tǒng)計計，在國際際上防火墻墻產(chǎn)品銷售售從1995年的不不到1萬套套，猛增增到1997年底的的10萬套套。據(jù)國際權(quán)威威商業(yè)調(diào)查查機構(gòu)的預(yù)預(yù)測,防火火墻市場將將以173％的復(fù)合合增長率增增長，到2000年年將達(dá)150萬套，，市場營業(yè)業(yè)額將從1995年年的1.6億美元上上升到2000年的的9.8億億美元。防火墻發(fā)展展歷程第一階段：：基于路由由器的防火火墻第二階段：：用戶化的的防火墻工工具套第三階段：：建立在通通用操作系系統(tǒng)上的防防火墻第四階段：：具有安全全操作系統(tǒng)統(tǒng)的防火墻墻對防火墻技技術(shù)與產(chǎn)品品發(fā)展的介介紹(cont.)第一代防火火墻產(chǎn)品的的特點是：：利用路由器器本身對分分組的解析析,以訪問問控制表（（accesslist））方式實現(xiàn)現(xiàn)對分組的的過濾；過濾判決的的依據(jù)可以以是：地址址、端口號號、IP旗旗標(biāo)及其它它網(wǎng)絡(luò)特征；；只有分組過過濾的功能能，且防火火墻與路由由器是一體體的，對安全要求低低的網(wǎng)絡(luò)可可采用路由由器附帶防防火墻功能能的方法，，對安全性要要求高的網(wǎng)網(wǎng)絡(luò)則可單單獨利用一一臺路由器器作防火墻墻。第一階段：：基于路由由器的防火火墻第一階段：：基于路由由器的防火火墻(cont.)第一代防火火墻產(chǎn)品的的不足之處處為：路由協(xié)議十十分靈活，，本身具有有安全漏洞洞，外部網(wǎng)網(wǎng)絡(luò)要探尋尋內(nèi)部網(wǎng)絡(luò)絡(luò)十分容易易。路由器上的的分組過濾濾規(guī)則的設(shè)設(shè)置和配置置存在安全全隱患。攻擊者可以以“假冒””地址，由由于信息在在網(wǎng)絡(luò)上是是以明文傳傳送的，黑黑客可以在在網(wǎng)絡(luò)上偽偽造假的路路由信息欺欺騙防火墻墻。防火墻的規(guī)規(guī)則設(shè)置會會大大降低低路由器的的性能。第二階段：：用戶化的的防火墻工工具套作為第二代代防火墻產(chǎn)產(chǎn)品，用戶戶化的防火火墻工具套具有以以下特征：：將過濾功能能從路由器器中獨立出出來，并加加上審計和和告警功能能；針對用戶需需求，提供供模塊化的的軟件包；；軟件可通過過網(wǎng)絡(luò)發(fā)送送，用戶可可根據(jù)需要要構(gòu)造防火火墻；與第一代防防火墻相比比，安全性性提高了，，價格降低低了。第二階段段：用戶戶化的防防火墻工工具套(cont.)不足之處處：配置和維維護(hù)過程程復(fù)雜、、費時；；對用戶的的技術(shù)要要求高；；全軟件實實現(xiàn)，安安全性和和處理速速度均有有局限；；實踐表明明，使用用中出現(xiàn)現(xiàn)差錯的的情況很很多。第三階段段：建立立在通用用操作系系統(tǒng)上的的防火墻墻具有以下下特點：：是批量上上市的專專用防火火墻產(chǎn)品品；包括分組組過濾或或者借用用路由器器的分組組過濾功功能；裝有專用用的代理理系統(tǒng)，，監(jiān)控所所有協(xié)議議的數(shù)據(jù)據(jù)和指令令；保護(hù)用戶戶編程空空間和用用戶可配配置內(nèi)核核參數(shù)的的設(shè)置；；安全性和和速度大大為提高高。第三階段段：建立立在通用用操作系系統(tǒng)上的的防火墻墻(cont.)存在的問問題：作為基礎(chǔ)礎(chǔ)的操作作系統(tǒng)及及其內(nèi)核核往往不不為防火火墻管理理者所知知，由于于原碼的的保密，，其安全全性無從從保證；；由于大多多數(shù)防火火墻廠商商并非通通用操作作系統(tǒng)的的廠商，，通用操操作系統(tǒng)統(tǒng)廠商不不會對操操作系統(tǒng)統(tǒng)的安全全性負(fù)責(zé)責(zé)；從本質(zhì)上上看，第第三代防防火墻既既要防止止來自外外部網(wǎng)絡(luò)絡(luò)的攻擊擊，還要要防止來來自操作作系統(tǒng)廠廠商的攻攻擊。用戶必須須依賴兩兩方面的的安全支支持：一一是防火火墻廠商商、一是是操作系系統(tǒng)廠商商。第四階段段：具有有安全操操作系統(tǒng)統(tǒng)的防火火墻具有以下下特點：：防火墻廠廠商具有有操作系系統(tǒng)的源源代碼，，并可實實現(xiàn)安全全內(nèi)核；；對安全內(nèi)內(nèi)核實現(xiàn)現(xiàn)加固處處理:即即去掉不不必要的的系統(tǒng)特特性，加加固內(nèi)核核，強化化安全保保護(hù)；對每個服服務(wù)器、、子系統(tǒng)統(tǒng)都作了了安全處處理，一一旦黑客客攻破了了一個服服務(wù)器，，它將會會被隔離離在此服服務(wù)器內(nèi)內(nèi)，不會會對網(wǎng)絡(luò)絡(luò)的其它它部份構(gòu)構(gòu)成威脅脅；在功能上上包括了了分組過過濾、應(yīng)應(yīng)用網(wǎng)關(guān)關(guān)、電路路級網(wǎng)關(guān)關(guān)，且具具有加密密與鑒別別功能；；透明性好好，易于于使用。。第四代防防火墻的的主要技技術(shù)與功功能第四代防防火墻產(chǎn)產(chǎn)品將網(wǎng)網(wǎng)關(guān)與安安全系統(tǒng)統(tǒng)合二為為一，具具有以下下技術(shù)與與功能特特點：雙端口或或三端口口的結(jié)構(gòu)構(gòu)透明的訪訪問方式式靈活的代代理系統(tǒng)統(tǒng)多級的過過濾技術(shù)術(shù)網(wǎng)絡(luò)地址址轉(zhuǎn)換技技術(shù)Internet網(wǎng)關(guān)關(guān)技術(shù)安全服務(wù)務(wù)器網(wǎng)絡(luò)絡(luò)（SSN）用戶鑒別別與加密密用戶定制制服務(wù)審計和告告警雙端口或或三端口口的結(jié)構(gòu)構(gòu)新一代防防火墻產(chǎn)產(chǎn)品具有有兩個或或三個獨獨立的的網(wǎng)卡，，內(nèi)外兩兩個網(wǎng)卡卡可不作作IP轉(zhuǎn)化而串串接于內(nèi)內(nèi)部網(wǎng)與與外部網(wǎng)網(wǎng)之間，，另一個個網(wǎng)卡可可專用于于對服務(wù)務(wù)器的安安全保護(hù)護(hù)。透明的訪訪問方式式以前的防防火墻在在訪問方方式上要要么要求求用戶作作系統(tǒng)登錄錄，要么么需要通通過SOCKS等庫路徑徑修改客客戶機的應(yīng)應(yīng)用。第第四代防防火墻利利用了透透明的代代理系統(tǒng)技術(shù)，，從而降降低了系系統(tǒng)登錄錄固有的的安全風(fēng)風(fēng)險和出錯概率率。靈活的代代理系統(tǒng)統(tǒng)代理系統(tǒng)統(tǒng)是一種種將信息息從防火火墻的一一側(cè)傳送送到另一一側(cè)的軟軟件模塊塊。第四四代防火火墻采用用了兩種種代理機機制，一一種用于于代理從從內(nèi)部網(wǎng)網(wǎng)絡(luò)到外外部網(wǎng)絡(luò)絡(luò)的連接接，采用用網(wǎng)絡(luò)地地址轉(zhuǎn)換換(NAT)技術(shù)來解解決，另另一種用用于代理理從外部部網(wǎng)絡(luò)到到內(nèi)部網(wǎng)網(wǎng)絡(luò)的連連接。采采用非保保密的用用戶定制制代理或或保密的的代理系系統(tǒng)技術(shù)術(shù)來解決決。多級的過過濾技術(shù)術(shù)為保證系系統(tǒng)的安安全性和和防護(hù)水水平，第第四代防防火墻采采用了三三級過濾濾措施，，并輔以以鑒別手手段。在在分組過過濾一級級，能過過濾掉所所有的源源路由分分組和假假冒的IP源地址；；在應(yīng)用用級網(wǎng)關(guān)關(guān)一級,能利用用FTP、SMTP等各種網(wǎng)網(wǎng)關(guān)，控控制和監(jiān)監(jiān)測Internet提供的所所有通用用服務(wù)；；在電路路網(wǎng)關(guān)一一級，實實現(xiàn)內(nèi)部部主機與與外部站站點的透透明連接接，并對對服務(wù)的的通行實實行嚴(yán)格格控制。。網(wǎng)絡(luò)地址轉(zhuǎn)換換技術(shù)第四代防火墻墻利用NAT技術(shù)能透明地地對所有內(nèi)部部地址作轉(zhuǎn)換換，使外部網(wǎng)網(wǎng)絡(luò)無法了解解內(nèi)部網(wǎng)絡(luò)的的內(nèi)部結(jié)構(gòu)，，同時允許內(nèi)內(nèi)部網(wǎng)絡(luò)使用用自己編的IP地址和專用網(wǎng)網(wǎng)絡(luò)，防火墻墻能詳盡記錄錄每一個主機機的通信，確確保每個分組組送往正確的的地址。Internet網(wǎng)關(guān)技術(shù)安全服務(wù)器網(wǎng)網(wǎng)絡(luò)（SSN）為適應(yīng)越來越越多的用戶向向Internet上提供服務(wù)時時對服務(wù)器保保護(hù)的需要,第四代防火火墻采用特別別保護(hù)的策略略對用戶上網(wǎng)網(wǎng)的對外服務(wù)務(wù)器實施保護(hù)護(hù)，它利用一一張網(wǎng)卡將對對外服務(wù)器作作為一個獨立立網(wǎng)絡(luò)處理，，對外服務(wù)器器既是內(nèi)部網(wǎng)網(wǎng)的一部份，，又與內(nèi)部網(wǎng)網(wǎng)關(guān)完全隔離離。這就是安安全服務(wù)器網(wǎng)網(wǎng)絡(luò)(SSN)技術(shù)，對SSN上的主機既可可單獨管理，，也可設(shè)置成成通過FTP、Telnet等方式從內(nèi)部部網(wǎng)上管理。。用戶鑒別與加加密為了降低防火火墻產(chǎn)品在Telnet、FTP等服務(wù)和遠(yuǎn)程管理上上的安全風(fēng)險險，鑒別功能能必不可少，，第四代防火墻墻采用一次性性使用的口令令字系統(tǒng)來作作為用戶的鑒別別手段，并實實現(xiàn)了對郵件件的加密。用戶定制服務(wù)務(wù)為滿足特定用用戶的特定需需求，第四代代防火墻在提供眾多服服務(wù)的同時,還為用戶定定制提供支持持，這類選項項有：通用TCP，出站UDP、FTP、SMTP等類,如果某某一用戶需要要建立一個數(shù)數(shù)據(jù)庫的代理理，便可利用用這些支持，，方便設(shè)置。。審計和告警第四代防火墻墻產(chǎn)品的審計計和告警功能能十分健全，日志文件件包括：一般般信息、內(nèi)核核信息、核心心信息、接收郵郵件、郵件路路徑、發(fā)送郵郵件、已收消消息、已發(fā)消息息、連接請求求、已鑒別的的訪問、告警警條件、管理日日志、進(jìn)站代代理、FTP代理、出站代代理、郵件服務(wù)務(wù)器、域名服服務(wù)器等。告告警功能會守守住每一個TCP或UDP探尋，并能以以發(fā)出郵件、、聲響等多種方式式報警。第四代防火墻墻技術(shù)實現(xiàn)在第四代防火火墻產(chǎn)品的設(shè)設(shè)計與開發(fā)中中，關(guān)鍵在于于：安全內(nèi)核代理系統(tǒng)多級過濾安全服務(wù)器鑒別與加密安全內(nèi)核的實實現(xiàn)對安全操作系系統(tǒng)內(nèi)核的固固化與改造主主要從以下幾方面進(jìn)行行：取消危險的系系統(tǒng)調(diào)用；限制命令的執(zhí)執(zhí)行權(quán)限；取消IP的轉(zhuǎn)轉(zhuǎn)發(fā)功能；檢查每個分組組的接口；采用隨機連接接序號；駐留分組過濾濾模塊；取消動態(tài)路由由功能；采用多個安全全內(nèi)核。代理系統(tǒng)的建建立在所有的連接接通過防火墻墻前，所有的的代理要檢查已定義的的訪問規(guī)則，，這些規(guī)則控控制代理的服服務(wù)并根據(jù)以下下內(nèi)容處理分分組：源地址；目的地址；時間；同類服務(wù)的最最大數(shù)量。代理系統(tǒng)的建建立（cont.)所有外部網(wǎng)絡(luò)絡(luò)到防火墻內(nèi)內(nèi)部或SSN的連接由進(jìn)站站代理處理，進(jìn)站代代理要保證內(nèi)內(nèi)部主機能了了解外部主機機的所有信息，而外外部主機只能能看到防火墻墻之外或SSN的地址。所有從內(nèi)部網(wǎng)網(wǎng)絡(luò)或SSN通過防火墻與與外部網(wǎng)絡(luò)建建立的連接由出站代代理處理，出出站代理必須須確保完全由由它代表內(nèi)部網(wǎng)絡(luò)與與外部地址相相連，防止內(nèi)內(nèi)部網(wǎng)址與外外部網(wǎng)址的直接連接接,同時還要要處理內(nèi)部網(wǎng)網(wǎng)絡(luò)到SSN的連接。分組過濾器的的設(shè)計分組過濾器包包括以下參數(shù)數(shù):進(jìn)站接口；出站接口；IP協(xié)議特征征；允許的連接；；源端口范圍；；源地址；目的地址；目的端口的范范圍等。安全服務(wù)器的的設(shè)計安全服務(wù)器的的設(shè)計有兩個個要點：第一，所有SSN的流量都要隔隔離處理，即即從內(nèi)部網(wǎng)和和外部網(wǎng)而來的的路由信息流流在機制上是是分離的；第二，SSN的作用類似于于兩個網(wǎng)絡(luò)，，它看上去象象是內(nèi)部網(wǎng)，因為它它對外透明，，同時又象是是外部網(wǎng)絡(luò)，，因為它從內(nèi)部網(wǎng)絡(luò)絡(luò)對外訪問的的方式十分有有限。安全服務(wù)器的的設(shè)計（cont.)SSN上的每一個服服務(wù)器都是隱隱蔽于Inter-net，SSN提供的服務(wù)務(wù)對外部網(wǎng)網(wǎng)絡(luò)而言好好象防火墻的功能，，由于地址址轉(zhuǎn)換已是是透明的,對各種網(wǎng)網(wǎng)絡(luò)應(yīng)用沒有有限制。實現(xiàn)SSN的關(guān)鍵在于于：解決分組過過濾器與SSN的連連接；支持通過防防火墻對SSN的訪訪問；支持代理服服務(wù)。鑒別與加密密的考慮鑒別與加密密是防火墻墻識別用戶戶，驗證訪訪問和保護(hù)護(hù)信息的有效手手段，鑒別別機制除了了提供安全全保護(hù)而外外，還有安全管理的的功能，目目前國外防防火墻產(chǎn)品品中廣泛使使用令牌鑒別方式，，具體方法法有兩種，，一種是加加密卡（CryptoCard）；另一種種是SecureID，這兩種都都是一次性性口令的生成工具具。對信息內(nèi)容容的加密與與鑒別則涉涉及加密算算法和數(shù)字字簽名技術(shù)，除除PEM、PGP和Kerberos外，目前國國外防火墻墻產(chǎn)品中尚沒沒有更好的的機制出現(xiàn)現(xiàn)，由于加加密算法涉涉及國家信息安全全和主權(quán)，，各國有不不同的要求求。第四代防火火墻的抗攻攻擊能力作為一種安安全防護(hù)設(shè)設(shè)備，防火火墻在網(wǎng)絡(luò)絡(luò)中自然是是眾多攻擊擊者的目標(biāo)標(biāo)，故抗攻攻擊能力也也是防火墻墻的必備功功能，在Internet環(huán)境中針對防防火墻的攻擊擊方法主要有有：抗IP假冒攻擊抗特洛伊木馬馬攻擊抗口令字探尋尋攻擊抗網(wǎng)絡(luò)安全性性分析抗郵件詐騙攻攻擊抗IP假冒攻攻擊IP假冒是指指一個非法的的主機假冒內(nèi)內(nèi)部的主機地地址，騙取服服務(wù)器的“信信任”，從而而達(dá)到對網(wǎng)絡(luò)絡(luò)的攻擊目的的。由于第四四代防火墻知知道網(wǎng)絡(luò)內(nèi)外外的IP地址址，它會丟棄棄所有來自網(wǎng)網(wǎng)絡(luò)外部但卻卻有內(nèi)部地址址的分組，再再之防火墻已已將網(wǎng)內(nèi)的實實際地址隱蔽蔽起來，外部部用戶很難知知道內(nèi)部的IP地址，因因而難以攻擊擊。第四代防火墻墻的抗攻擊能能力(cont.)抗特洛伊木馬馬攻擊特洛伊木馬能能將病毒或破破壞性程序傳傳入計算機網(wǎng)網(wǎng)絡(luò)，且通常常是將這些惡惡意程序隱蔽蔽在正常的程程序，尤其是是熱門程序或或游戲之中，，一些用戶下下載并執(zhí)行這這一程序，其其中的病毒便便會發(fā)作。第第四代防火墻墻是建立在安安全的操作系系統(tǒng)之上的，，其安全內(nèi)核核中不能執(zhí)行行下載的程序序，故而可防防止特洛伊木木馬的發(fā)生。。必須指出的的是，防火墻墻能抗特洛伊伊木馬的攻擊擊并不表明受受其保護(hù)的某某個主機也能能防止這類攻攻擊。事實上上，內(nèi)部用戶戶可通過防火火墻下載程序序，并執(zhí)行下下載的程序。。第四代防火墻墻的抗攻擊能能力(cont.)抗口令字探尋尋攻擊在網(wǎng)絡(luò)中探尋尋口令字的方方法很多，最最常見的是口口令字嗅探和和口令字解密密。嗅探是通通過監(jiān)測網(wǎng)絡(luò)絡(luò)通信，截獲獲用戶傳給服服務(wù)器的口令令字，記錄下下來，以便使使用；解密是是指采用強力力攻擊、猜測測或截獲含有有加密口令字字的文件，并并設(shè)法解密。。此外，攻擊擊者還常常利利用一些常用用口令字直接接登錄。第四代防火墻墻采用了一次次性口令字和和禁止直接登登錄防火墻的的措施，能有有效防止對口口令字的攻擊擊。第四代防火墻墻的抗攻擊能能力(cont.)抗網(wǎng)絡(luò)安全性性分析網(wǎng)絡(luò)安全性分分析工具本是是供管理人員員分析網(wǎng)絡(luò)安安全性之用的的，一旦這類類工具用作攻攻擊網(wǎng)絡(luò)的手手段，則能較較方便地探測測到內(nèi)部網(wǎng)絡(luò)絡(luò)的安全缺陷陷和弱點所在在，目前，SATAN軟軟件可以從網(wǎng)網(wǎng)上免費獲得得，InternetScanner可從從市面上購買買，這些分析析工具給網(wǎng)絡(luò)絡(luò)安全構(gòu)成了了直接威脅。。第四代防火火墻采用了地地址轉(zhuǎn)換技術(shù)術(shù)，將內(nèi)部網(wǎng)網(wǎng)絡(luò)隱蔽起來來，使網(wǎng)絡(luò)安安全分析工具具無法從外部部對內(nèi)部網(wǎng)作作分析。第四代防火墻墻的抗攻擊能能力(cont.)抗郵件詐騙攻攻擊郵件詐騙也是是越來越突出出的攻擊方式式，第四代防防火墻不接收收任何郵件，，故難以采用用這種方式對對它攻擊，同同樣值得一提提的是，防火火墻不接受郵郵件，并不表表示它不讓郵郵件通過，實實際上用戶仍仍可收發(fā)郵件件，內(nèi)部用戶戶要防郵件詐詐騙，最終的的解決辦法是是對郵件加密密。第四代防火墻墻的抗攻擊能能力(cont.)對防火墻技術(shù)術(shù)的展望：幾點趨勢防火墻將從目目前對子網(wǎng)或或內(nèi)部網(wǎng)管理理的方式向遠(yuǎn)遠(yuǎn)程上網(wǎng)集中中管理的方式式發(fā)展；過濾深度不斷斷加強,從目目前的地址、、服務(wù)過濾，，發(fā)展到URL（頁面）過濾濾，關(guān)鍵字過過濾和對ActiveX、Java等的過濾，并并逐漸有病毒毒掃除功能。。單向防火墻（（又叫網(wǎng)絡(luò)二二極管）將作作為一種產(chǎn)品品門類而出現(xiàn)現(xiàn)；利用防火墻建建立專用網(wǎng)(VPN)是較長一段段時間的用戶戶使用的主流流，IP的加密需求越越來越強，安安全協(xié)議的開開發(fā)是一大熱熱點；對網(wǎng)絡(luò)攻擊的的檢測和告警警將成為防火火墻的重要功功能；安全管理工具具不斷完善，，特別是可疑疑活動的日志志分析工具等等將成為防火火墻產(chǎn)品中的的一部分。對防火墻技術(shù)術(shù)的展望：幾點趨勢(cont.)對防火墻技術(shù)術(shù)的展望：需求的變化根據(jù)上述趨勢勢，人們選擇擇防火墻的標(biāo)標(biāo)準(zhǔn)將集中在以下幾個個方面：易于管理性；；應(yīng)用透明性；；鑒別與加密功功能；操作環(huán)境和硬硬件要求；VPN的功能能與CA的功功能；接口的數(shù)量；；成本。LinuxIP防火墻墻及其原理簡簡介常見防火墻的的配置模式常見防火墻的的基本工作總總結(jié)Internet/公網(wǎng)內(nèi)部網(wǎng)路由器NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源控制臺服務(wù)器服務(wù)器服務(wù)