第8章防火墻技術

第8章防火墻技術清華大學出版社主編賈鐵軍副主編俞小怡羅宜元侯麗波編著常艷宋少婷高等院校計算機與信息類規(guī)劃教材網(wǎng)絡安全實用技術上海市精品課程特色教材上海高校優(yōu)秀教材獎主編（第2版）目錄8.2防火墻類型28.3防火墻體系結構38.4防火墻的主要應用4

8.1網(wǎng)絡安全概述1

8.5智能防火墻概述58.6實驗八防火墻的配置實驗

6目錄教學目標●掌握防火墻的概念和功能●了解防火墻的主要分類與體系結構●理解典型防火墻系統(tǒng)設計

●了解內(nèi)外部防火墻的設計●掌握智能防火墻防范DDOS攻擊的方法重點重點

防火墻是指在兩個網(wǎng)絡之間加強訪問控制的一整套裝置，即防火墻是構造在一個可信網(wǎng)絡(一般指內(nèi)部網(wǎng))和不可信網(wǎng)絡(一般指外部網(wǎng))之間的保護裝置，強制所有的訪問和連接都必須經(jīng)過這個保護層，并在此進行連接和安全檢查。只有合法的數(shù)據(jù)包才能通過此保護層，從而保護內(nèi)部網(wǎng)資源免遭非法入侵。

8.1防火墻概述

現(xiàn)代網(wǎng)絡安全服務一般有兩種：一是存取控制，禁止非法通信和連網(wǎng)；二是通信安全服務，提供授權數(shù)據(jù)的完整性、可靠性，具有對同級通信者的訪問否定權。當用戶連上Internet,就可在中間插入中介系統(tǒng)的控制關聯(lián)，防止通過網(wǎng)絡進行的攻擊,并提供單一的安全和審計的安裝控制點,中間系統(tǒng)就是防火墻.

網(wǎng)絡安全技術包括傳統(tǒng)的網(wǎng)絡安全技術和分布式網(wǎng)絡安全技術,主要解決如何利用Internet進行安全通信,保護內(nèi)網(wǎng)免受外部攻擊.8.1防火墻概述8.1防火墻概述8.1.1防火墻的概念

防火墻（FireWall）是指一種放置在本地的計算機與外界網(wǎng)絡之間的系統(tǒng)，從網(wǎng)絡發(fā)往計算機的所有數(shù)據(jù)都要經(jīng)過其判斷處理后，才會決定能不能把這些數(shù)據(jù)交給計算機，一旦發(fā)現(xiàn)有害數(shù)據(jù)，防火墻就會攔截下來，從而實現(xiàn)了對計算機的保護功能。網(wǎng)絡防火墻的部署結構如圖8-1所示。

8.1防火墻概述8.1.2防火墻的功能1.過濾進、出網(wǎng)絡的數(shù)據(jù)，強化安全策略。防火墻是信息進出網(wǎng)絡的必經(jīng)之路，它可以檢測所有經(jīng)過數(shù)據(jù)的細節(jié)，并根據(jù)事先定義好的策略允許或禁止這些數(shù)據(jù)的通過。此外，可以將某些安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上，以實現(xiàn)更好的安全策略。

2.管理和控制進、出網(wǎng)絡的訪問行為。只有經(jīng)過精心選擇的應用協(xié)議才能夠通過防火墻，這樣網(wǎng)絡環(huán)境變得更安全。比如防火墻可以禁止NFS協(xié)議進出受保護的網(wǎng)絡，這樣外部攻擊者就不能夠利用協(xié)議的脆弱性攻擊內(nèi)部網(wǎng)絡。8.1防火墻概述3.

對不安全的服務進行限制和攔截，盡可能不暴露內(nèi)部網(wǎng)絡。通過隔離內(nèi)、外網(wǎng)絡，可以防止非法用戶進入內(nèi)部網(wǎng)絡，并能有效防止郵件炸彈、蠕蟲病毒、宏病毒的攻擊。4.記錄通過防火墻的信息內(nèi)容和活動。因為內(nèi)、外網(wǎng)絡之間的數(shù)據(jù)包必須經(jīng)過防火墻，所以防火墻能對這些數(shù)據(jù)包進行記錄并寫進日志系統(tǒng)，同時可對使用情況進行數(shù)據(jù)統(tǒng)計。5.對網(wǎng)絡攻擊檢測和告警。當受保護的網(wǎng)絡遭受可疑訪問時，防火墻能進行適當報警，并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。8.1防火墻概述8.1.3防火墻的特性與相關術語。1.內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的所有網(wǎng)絡數(shù)據(jù)流都必須經(jīng)過防火墻。這是防火墻所處網(wǎng)絡位置特性，同時也是一個前提。因為只有當防火墻是內(nèi)、外部網(wǎng)絡之間通信的唯一通道，才可以全面、有效地保護企業(yè)內(nèi)部網(wǎng)絡不受侵害。2.只有符合安全策略的數(shù)據(jù)流才能通過防火墻。防火墻最基本的功能是確保網(wǎng)絡流量的合法性，并在此前提下將網(wǎng)絡的流量快速地從一條鏈路轉發(fā)到另外的鏈路上去。防火墻將網(wǎng)絡流量通過相應的網(wǎng)絡接口接收上來，按照協(xié)議棧的層次結構順序上傳，在適當?shù)膮f(xié)議層進行訪問規(guī)則和安全審查，然后將符合通過條件的報文從相應的網(wǎng)絡接口送出，而對于那些不符合通過條件的報文則予以阻斷。8.1防火墻概述8.1.3防火墻的特性與相關術語。3.防火墻自身應具有非常強的抗攻擊能力。這是防火墻之所以能擔當企業(yè)內(nèi)部網(wǎng)絡安全防護重任的先決條件。防火墻處于網(wǎng)絡邊緣，它就像一個邊界衛(wèi)士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火墻自身要具有非常強的抗擊入侵的能力。其中防火墻操作系統(tǒng)本身的安全性是關鍵。其次就是防火墻自身具有非常少的服務功能，除了專門的防火墻嵌入系統(tǒng)外，再沒有其它應用程序在防火墻上運行。8.1防火墻概述8.1.3防火墻的特性與相關術語。與防火墻有關的術語1.網(wǎng)關。網(wǎng)關是在兩上設備之間提供轉發(fā)服務的系統(tǒng)。網(wǎng)關的范圍可以從互聯(lián)網(wǎng)應用程序，如公共網(wǎng)關接口(CGI)，到在兩臺主機間處理流量的防火墻網(wǎng)關。根據(jù)工作位置范圍，網(wǎng)關又可劃分為電路級網(wǎng)關和應用級網(wǎng)關：1電路級網(wǎng)關：電路級網(wǎng)關是用來監(jiān)控受信任的客戶或服務器與不受信任的主機間的TCP握手信息，這樣來決定該會話是否合法，在OSI模型中會話層上過濾數(shù)據(jù)包，這樣比包過濾防火墻要高兩層。另外，電路級網(wǎng)關還提供一個重要的安全功能:網(wǎng)絡地址轉移(NAT)將所有公司內(nèi)部的IP地址映射到一個“安全”的IP地址，這個地址是由防火墻使用的。8.1防火墻概述8.1.3防火墻的特性與相關術語。2.應用級網(wǎng)關：工作在OSI七層模型的任一層上，能夠檢查進出的數(shù)據(jù)包，通過網(wǎng)關復制傳遞數(shù)據(jù)，防止在受信任服務器和客戶機與不受信任的主機間直接建立聯(lián)系。應用級網(wǎng)關能夠理解應用層上的協(xié)議，能夠做復雜一些的訪問控制，并做精細的注冊。通常是在特殊的服務器上安裝軟件來實現(xiàn)的。2包過濾包過濾是處理網(wǎng)絡上基于逐包packet-by-packet流量的設備。包過濾設備允許或阻止包，典型的實施方法是通過標準的路由器進行包過濾。8.1防火墻概述8.1.3防火墻的特性與相關術語。3代理服務器代理服務器代表內(nèi)部客戶端與外部的服務器通信。代理服務器這個術語通常是指一個應用級的網(wǎng)關，雖然電路級網(wǎng)關也可作為代理服務器的一種。4網(wǎng)絡地址翻譯(NAT)網(wǎng)絡地址轉換是對Internet隱藏內(nèi)部地址，防止內(nèi)部地址公開。這一功能可以克服IP尋址方式的諸多限制，完善內(nèi)部尋址模式。把未注冊IP地址映射成合法地址，就可以對Internet進行訪問。8.1防火墻概述8.1.3防火墻的特性與相關術語。5堡壘主機堡壘主機是一種被強化的可以防御進攻的計算機，被暴露于因特網(wǎng)之上，作為進入內(nèi)部網(wǎng)絡的一個檢查點，以達到把整個網(wǎng)絡的安全問題集中在某個主機上解決，從而省時省力，不用考慮其它主機的安全的目的。6強化操作系統(tǒng)防火墻要求盡可能只配置必需的少量的服務。為了加強操作系統(tǒng)的穩(wěn)固性，防火墻安裝程序要禁止或刪除所有不需要的服務。多數(shù)的防火墻產(chǎn)品，都可以在目前較流行的操作系統(tǒng)上運行。理論上來講，讓操作系統(tǒng)只提供最基本的功能，可以使利用系統(tǒng)Bug來攻擊的方法非常困難。最后，當加強系統(tǒng)時，還要考慮到除了TCP/IP協(xié)議外不要把任何協(xié)議綁定到外部網(wǎng)卡上。8.1防火墻概述8.1.3防火墻的特性與相關術語。7篩選路由器篩選路由器的另一個術語是包過濾路由器或外部路由器并且至少有一個接口是連向公網(wǎng)的，如Internet。它是對進出內(nèi)部網(wǎng)絡的所有信息進行分析，并按照一定的安全策略——信息過濾規(guī)則對進出內(nèi)部網(wǎng)絡的信息進行篩選，允許授權信息通過，拒絕非授權信息通過。信息過濾規(guī)則是以其所收到的數(shù)據(jù)包頭信息為基礎的。采用這種技術的防火墻優(yōu)點在于速度快、實現(xiàn)方便，但安全性能差，且由于不同操作系統(tǒng)環(huán)境下TCP和UDP端口號所代表的應用服務協(xié)議類型有所不同，故兼容性差。8阻塞路由器阻塞路由器（也叫內(nèi)部路由器）保護內(nèi)部的網(wǎng)絡使之免受Internet和周邊網(wǎng)的侵犯。內(nèi)部路由器為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過濾工作。它允許從內(nèi)部網(wǎng)絡到Internet的有選擇的出站服務。這些服務是用戶的站點能使用數(shù)據(jù)包過濾而不是代理服務安全支持和安全提供的服務。8.1防火墻概述8.1.3防火墻的特性與相關術語。9非軍事化區(qū)域(DMZ)DMZ是一個小型網(wǎng)絡隔離帶，存在于公司的內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間。這個網(wǎng)絡由篩選路由器建立，有時是一個阻塞路由器。DMZ用來作為一個額外的緩沖區(qū)以進一步隔離公網(wǎng)和內(nèi)部私有網(wǎng)絡。DMZ另一個名字叫做ServiceNetwork，因為它非常方便。這種實施的缺點在于存在于DMZ區(qū)域的任何服務器都不會得到防火墻的完全保護。8.1防火墻概述8.1.4防火墻的主要缺陷1無法消滅攻擊源互聯(lián)網(wǎng)上病毒、木馬、惡意試探等等造成的攻擊行為絡繹不絕。設置得當?shù)姆阑饓δ軌蜃钃跛鼈?，但是無法清除攻擊源。即使防火墻進行了良好的設置，使得攻擊無法穿透防火墻，但各種攻擊仍然會源源不斷地向防火墻發(fā)出嘗試。例如接主干網(wǎng)1000M網(wǎng)絡帶寬的某站點，其日常流量中平均有10M左右是攻擊行為。那么，即使成功設置了防火墻后，這10M的攻擊流量依然不會有絲毫減少。2.無法防御病毒攻擊計算機病毒攻擊的方式多種多樣，大多數(shù)病毒都是根據(jù)系統(tǒng)存在的漏洞進行攻擊，對于這種攻擊，防火墻經(jīng)常是無能為力的。在內(nèi)部網(wǎng)絡用戶下載外網(wǎng)的帶毒文件的時候，防火墻無能為力。8.1防火墻概述8.1.4防火墻的主要缺陷3無法阻止內(nèi)部攻擊“外緊內(nèi)松”是一般局域網(wǎng)絡的特點。在一道嚴密防守的防火墻背后，內(nèi)部網(wǎng)絡一片混亂也很有可能。比如，外部攻擊者通過社會工程學發(fā)送帶木馬的郵件、帶木馬的URL等方式在內(nèi)部主機上注入木馬，然后由中木馬的機器主動對攻擊者連接，可以將鐵壁一樣的防火墻瞬間破壞掉。另外，防火墻無法防御內(nèi)部各主機間的攻擊行為。4.自身設計漏洞不管是硬件防火墻還是軟件防火墻，都會出現(xiàn)軟/硬件方面的故障，也存在或多或少設計上的漏洞，不法分子就可能利用這些設計漏洞，繞過防火墻，對系統(tǒng)進行攻擊。8.1防火墻概述8.1.4防火墻的主要缺陷5影響相關服務通常為了達到信息安全，人們關閉了很多不必要的服務。但是這些服務也有很多是很常用的，關閉了它們之后，人們對網(wǎng)絡的易用性顯然會受到影響。8.2防火墻的類型8.2.1按物理特性劃分1軟件防火墻軟件防火墻是一種安裝在負責內(nèi)外網(wǎng)絡轉換的網(wǎng)關服務器或者獨立的個人計算機上的特殊程序，它是以邏輯形式存在的，防火墻程序跟隨系統(tǒng)啟動，通過運行在Ring0級別的特殊驅動模塊把防御機制插入系統(tǒng)關于網(wǎng)絡的處理部分和網(wǎng)絡接口設備驅動之間，形成一種邏輯上的防御體系。2硬件防火墻硬件防火墻是是針對芯片級防火墻而言的，最大的差別在于基于專用的硬件平臺。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻，都基于PC架構，就是說，它們和普通的家庭用的PC沒有太大區(qū)別。8.2防火墻的類型8.2.1按物理特性劃分3.軟硬件防火墻

軟硬件結合防火墻很容易與硬件防火墻混淆，其基本結構是機箱+CPU+防火墻軟件集成于一體(PC-BOX結構)，其采用通用或專用(通常為通用操作系統(tǒng)的定制版本)操作系統(tǒng)，但核心技術仍然為軟件，安全性在很大程度上取決于操作系統(tǒng)和所實現(xiàn)的網(wǎng)絡協(xié)議棧的安全性。雖然軟硬件結合防火墻的速度和性能優(yōu)于軟件防火墻，其安全性還是不夠理想，通常用于小型網(wǎng)絡。這種方式實現(xiàn)內(nèi)容過濾與軟件防火墻十分相似，性能不佳，在骨干網(wǎng)中通常需要布置大量硬件設備進行分流處理，成本高。8.2防火墻的類型8.2.2按過濾機制劃分包過濾技術——網(wǎng)絡級防火墻包過濾防火墻工作在網(wǎng)絡層，通過檢查單個包的地址、協(xié)議、端口等信息決定是否允許此數(shù)據(jù)包通過。路由器就是一個傳統(tǒng)的網(wǎng)絡級防火墻。包過濾防火墻檢查規(guī)則表中的每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符，如果沒有一條能符合，就會使用默認規(guī)則，一般情況下，默認規(guī)則就是要求防火墻丟棄該包。圖8-2包過濾防火墻8.2防火墻的類型8.2.2按過濾機制劃分使用包過濾防火墻的主要優(yōu)點包括：1防火墻對每條傳入和傳出網(wǎng)絡的包實行低水平控制。2每個IP包的字段都被檢查，例如源地址、目的地址、協(xié)議、端口等。3防火墻可以識別和丟棄帶欺騙性源IP地址的包。4包過濾防火墻是兩個網(wǎng)絡之間訪問的唯一來源。因為所有的通信必須通過防火墻，繞過是困難的。5包過濾通常被包含在路由器數(shù)據(jù)包中，所以不必額外的系統(tǒng)來處理這個特征。8.2防火墻的類型8.2.2按過濾機制劃分第一代靜態(tài)包過濾類型防火墻圖8-3第一代靜態(tài)包過濾防火墻的數(shù)據(jù)通路8.2防火墻的類型8.2.2按過濾機制劃分第二代動態(tài)包過濾類型防火墻。這類防火墻采用動態(tài)設置包過濾規(guī)則的方法，避免了靜態(tài)包過濾所具有的問題。這種技術后來發(fā)展成為包狀態(tài)監(jiān)測(StatefulInspection)技術。采用這種技術的防火墻對通過其建立的每一個連接都進行跟蹤，并且根據(jù)需要可動態(tài)地在過濾規(guī)則中增加或更新條目，圖8-4第二代靜態(tài)包過濾防火墻的數(shù)據(jù)通路8.2防火墻的類型8.2.2按過濾機制劃分應用代理技術——應用網(wǎng)關防火墻

應用級網(wǎng)關防火墻的別名是代理服務器，有較好的訪問控制，是目前最安全的防火墻技術，對用戶是不透明的。

代理服務器通常運行在兩個網(wǎng)絡之間，對于客戶來說是象是一臺真的服務器一樣，而對于外界的服務器來說，又是一臺客戶機。

代理服務器都通常擁有一個高速緩存，這個緩存存儲有用戶經(jīng)常訪問站點的內(nèi)容，在下一個用戶要訪問同樣的站點時，服務器就用不著重復地去抓同樣的內(nèi)容，既節(jié)約了時間也節(jié)約了網(wǎng)絡資源。代理服務器會象一堵真的墻那樣擋在內(nèi)部用戶和外界之間，從外面只能看到代理服務器而看不到任何的內(nèi)部資源，諸如用戶的IP等。應用級網(wǎng)關比單一的包過濾更為可靠，而且會詳細地記錄下所有的訪問記錄。但是應用級網(wǎng)關的訪問速度慢，因為它不允許用戶直接訪問網(wǎng)絡。而且應用級網(wǎng)關需要對每一個特定的互聯(lián)網(wǎng)服務安裝相應的代理服務軟件，用戶不能使用未被服務器支持的服務，效率不如網(wǎng)絡級防火墻。8.2防火墻的類型8.2.2按過濾機制劃分應用代理技術——應用網(wǎng)關防火墻

8.2防火墻的類型8.2.2按過濾機制劃分狀態(tài)檢測技術——動態(tài)包過濾“狀態(tài)檢測”技術是繼“包過濾”技術和“應用代理”技術后發(fā)展的防火墻技術，狀態(tài)檢測最早由checkpoint公司提出。對新建的應用連接，狀態(tài)檢測檢查預先設置的安全規(guī)則，允許符合規(guī)則的連接通過，并在內(nèi)存中記錄下該連接的相關信息，生成狀態(tài)表。對該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表就可以通過。傳統(tǒng)的包過濾在遇到利用動態(tài)端口的協(xié)議時會發(fā)生困難，如FTP，防火墻事先無法知道哪些端口需要打開，而如果采用原始的靜態(tài)包過濾，又希望用到此服務的話，就需要實現(xiàn)將所有可能用到的端口打開，而這往往是個非常大的范圍，會給安全帶來不必要的隱患。而狀態(tài)檢測通過檢查應用程序信息（如FTP的PORT和PASS命令），來判斷此端口是否允許需要臨時打開，而當傳輸結束時，端口又馬上恢復為關閉狀態(tài)。

8.2防火墻的類型8.2.3 按處理能力劃分目前，按處理能力可劃分為百兆防火墻、千兆防火墻及萬兆防火墻。一般來說，軟件防火墻和軟硬件結合防火墻的處理能力可以在百兆以上，但是達不到千兆，硬件防火墻可以達到千兆以上。隨著網(wǎng)絡帶寬的不斷增加，軟件防火墻和軟硬件結合防火墻的使用空間越來越小，硬件防火墻是適應未來網(wǎng)絡安全發(fā)展的有效手段。目前很多千兆硬件防火墻產(chǎn)品標稱有內(nèi)容過濾能力，但一般或者是可選模塊，啟用后會明顯降低防火墻性能；或者是只能過濾特定的字段，如URL過濾，并且隨模式數(shù)量的增大性能呈指數(shù)下降。

8.2防火墻的類型8.2.4 按部署方式劃分按部署方式可劃分為終端(單機)防火墻和網(wǎng)絡防火墻。終端防火墻產(chǎn)品絕大多數(shù)是軟件產(chǎn)品，目前也有一些高端網(wǎng)卡具有一定的防火墻處理能力，終端防火墻由于數(shù)據(jù)量小通常不需要很高的處理能力，內(nèi)容過濾實現(xiàn)相對容易，但需要在每個終端都部署，成本相對較高，并且不利于集中式管理。網(wǎng)絡防火墻本質上是一個網(wǎng)絡交換設備，需要很強的處理能力和轉發(fā)能力，并且自身的安全性要求非常高，增加內(nèi)容過濾無疑會帶來性能的降低，這也是目前防火墻研究的熱點，采用合理的機制將性能降低控制在可以接受的范圍內(nèi)。

8.3防火墻體系結構8.3.1屏蔽路由器防火墻體系結構主要有四種：·屏蔽路由器·雙宿主主機網(wǎng)關；·被屏蔽主機網(wǎng)關；·被屏蔽子網(wǎng)。圖8-5屏蔽路由器圖8-6雙宿主機網(wǎng)關圖8-7被屏蔽主機網(wǎng)關圖8-8被屏蔽子網(wǎng)8.3防火墻體系結構8.3.1屏蔽路由器屏蔽路由器是一個具有數(shù)據(jù)包過濾功能的路由器，既可以是一個硬件設備，也可以是一臺主機。路由器上安裝有IP層的包過濾軟件，可以進行簡單的數(shù)據(jù)包過濾。因為路由器是受保護網(wǎng)絡和外部網(wǎng)絡連接的必然通道，所以屏蔽路由器的使用范圍很廣。其缺點也很明顯，一旦屏蔽路由器的包過濾功能失效，受保護網(wǎng)絡和外部網(wǎng)絡就可進行任何數(shù)據(jù)通信。圖8-5屏蔽路由器8.3防火墻體系結構8.3.2雙重宿主主機網(wǎng)關

雙重宿主主機網(wǎng)關是圍繞具有雙重宿主的主機計算機而構筑的，該計算機至少有兩個網(wǎng)絡接口。這樣的主機可以充當與這些接口相連的網(wǎng)絡之間的路由器；能夠從一個網(wǎng)絡到另一個網(wǎng)絡發(fā)送IP數(shù)據(jù)包。實現(xiàn)雙重宿主主機的防火墻體系結構禁止這種發(fā)送功能。所以IP數(shù)據(jù)包從一個網(wǎng)絡并不是直接發(fā)送到其它網(wǎng)絡。防火墻內(nèi)部的系統(tǒng)能與雙重宿主主機通信，同時防火墻外部的系統(tǒng)能與雙重宿主主機通信，但是這些系統(tǒng)不能直接互相通信。它們之間的IP通信被完全阻止。

雙重宿主主機的防火墻體系結構是相當簡單的：雙重宿主主機位于兩者之間，并且被連接到因特網(wǎng)和內(nèi)部的網(wǎng)絡。在雙重宿體主機體系中應用最廣泛的是雙穴主機網(wǎng)關，這種網(wǎng)關是用一臺裝有兩塊網(wǎng)卡的堡壘主機做防火墻。兩塊網(wǎng)卡各自與受保護網(wǎng)和外部網(wǎng)相連。堡壘主機上運行著防火墻軟件，可以轉發(fā)應用程序，提供服務等。

8.3防火墻體系結構8.3.2雙重宿主主機網(wǎng)關8.3防火墻體系結構8.3.3屏蔽主機網(wǎng)關

屏蔽主機網(wǎng)關使用一個單獨的路由器提供來自僅僅與內(nèi)部的網(wǎng)絡相連的主機的服務。在這種體系結構中，主要的安全由數(shù)據(jù)包過濾。在屏蔽的路由器上的數(shù)據(jù)包過濾是按這樣一種方法設置，即堡壘主機是因特網(wǎng)上的主機能連接到內(nèi)部網(wǎng)絡上的系統(tǒng)的橋梁。僅有某些確定類型的連接被允許。任何外部的系統(tǒng)試圖訪問內(nèi)部的系統(tǒng)或者服務將必須連接到這臺堡壘主機上。堡壘主機需要擁有高等級的安全。在屏蔽路由器中數(shù)據(jù)包過濾配置的可選方案如下：允許其它的內(nèi)部主機為了某些服務與因特網(wǎng)上的主機連接。不允許來自內(nèi)部主機的所有連接。用戶可以針對不同的服務混合使用上述手段；某些服務可以被允許直接經(jīng)由數(shù)據(jù)包過濾，而其它服務可以被允許僅僅間接地經(jīng)過代理。這完全取決于用戶實行的安全策略。圖8-7雙宿主機網(wǎng)關8.3防火墻體系結構8.3.3屏蔽主機網(wǎng)關

8.3防火墻體系結構8.3.4被屏蔽子網(wǎng)被屏蔽子網(wǎng)添加額外的安全層到被屏蔽主機體系結構，即通過添加周邊網(wǎng)絡更進一步地把內(nèi)部網(wǎng)絡與Internet隔離開。堡壘主機是用戶的網(wǎng)絡上最容易受侵襲的機器。任憑用戶盡最大的力氣去保護它，仍是最有可能被侵襲的機器，本質上是能夠被侵襲的機器。如果在屏蔽主機體系結構中，用戶的內(nèi)部網(wǎng)絡對來自用戶的堡壘主機的侵襲門戶洞開，那么用戶的堡壘主機是非常誘人的攻擊目標。在它與用戶的其它內(nèi)部機器之間沒有其它的防御手段時。如果有人成功地侵入屏蔽主機體系結構中的堡壘主機，就可進入了內(nèi)部系統(tǒng)。通過在周邊網(wǎng)絡上隔離堡壘主機，能減少在堡壘主機上侵入的影響。屏蔽子網(wǎng)體系結構的最簡單的形式為，兩個屏蔽路由器，每一個都連接到周邊網(wǎng)。一個位于周邊網(wǎng)與內(nèi)部的網(wǎng)絡之間，另一個位于周邊網(wǎng)與外部網(wǎng)絡之間。為了侵入用這種類型的體系結構構筑的內(nèi)部網(wǎng)絡，入侵者必須要通過兩個路由器。即使侵襲者設法侵入堡壘主機，他將仍然必須通過內(nèi)部路由器。在此情況下，沒有損害內(nèi)部網(wǎng)絡的單一的易受侵襲點。作為入侵者，只是進行了一次訪問。8.3防火墻體系結構8.3.4被屏蔽子網(wǎng)

8.4防火墻的主要應用

在規(guī)劃網(wǎng)絡時，就必須考慮整體網(wǎng)絡的安全性，而在這其中，防火墻是第一道防護。防火墻的選擇必須考慮的問題，建議以下幾點。

好的防火墻是一個整體網(wǎng)絡的保護者，保護整個局域網(wǎng)。好的防火墻必須能彌補其他操作系統(tǒng)的不足：好的防火墻必須是建立在操作系統(tǒng)之前而不是在操作系統(tǒng)之上，所以操作系統(tǒng)有的漏洞可能并不會影響到一個好的防火墻系統(tǒng)所提供的安全性，由于硬件平臺的普及以及執(zhí)行效率的因素，大部分企業(yè)均會把對外提供各種服務的服務器分散至許多操作平臺上，但我們在無法保證所有主機安全的情況下，選擇防火墻作為整體安全的保護者，這正說明了操作系統(tǒng)提供了B級或是C級的安全并不一定會直接對整體安全造成影響，好的防火墻必須能彌補操作系統(tǒng)的不足。8.4防火墻的選擇與應用

在現(xiàn)代企業(yè)中，為了加強自身網(wǎng)絡的安全，免受非法用戶的入侵，企業(yè)通常采用“被屏蔽子網(wǎng)”體系結構來構建本企業(yè)網(wǎng)絡，這通常由三部分組成：邊界網(wǎng)絡、外圍網(wǎng)絡和內(nèi)部網(wǎng)絡,其結構如圖所示。8.4.1企業(yè)網(wǎng)絡的體系結構8.4防火墻的選擇與應用

8.4.1企業(yè)網(wǎng)絡的體系結構8.4防火墻的選擇與應用

8.4.1企業(yè)網(wǎng)絡的體系結構8.4防火墻的選擇與應用8.4.2內(nèi)部防火墻系統(tǒng)設計1.內(nèi)部防火墻應用思想內(nèi)部防火墻在控制外圍網(wǎng)絡和內(nèi)部網(wǎng)絡通信的同時，還負有審查內(nèi)部通信流量的責任，因為內(nèi)部通信的合法目的地可能是內(nèi)部網(wǎng)絡中的任何服務器，因而更難控制,因此內(nèi)部防火墻比外圍防火墻在技術上具有更嚴格的要求。內(nèi)部防火墻要能實現(xiàn)對內(nèi)外接口處異常IP數(shù)據(jù)包的檢測；實現(xiàn)防火墻兩側DNS服務器間的映射；解決內(nèi)網(wǎng)SMPT、FTP和WEB等服務器與相應堡壘主機間的數(shù)據(jù)轉發(fā)；解決VPN的通信問題以及支持通過代理服務器來實現(xiàn)對外網(wǎng)的Web訪問等多種功能。不同企業(yè)的網(wǎng)絡具有很大差異性，有些規(guī)則對企業(yè)網(wǎng)并非是必需的。企業(yè)網(wǎng)內(nèi)部防火墻規(guī)則的選擇，涉及到企業(yè)網(wǎng)所處的具體網(wǎng)絡環(huán)境和企業(yè)特點等多個因素，規(guī)則過多過細則影響網(wǎng)絡運行效率，過少過粗又可能妨礙網(wǎng)絡的安全運行。因此，在應用企業(yè)網(wǎng)絡內(nèi)部防火墻時，應謹慎和仔細的選擇。8.4防火墻的選擇與應用8.4.2內(nèi)部防火墻系統(tǒng)設計1.內(nèi)部防火墻的應用方案內(nèi)部防火墻主要防止外部用戶訪問內(nèi)部網(wǎng)絡，并且限制內(nèi)部用戶可以執(zhí)行的操作。因此，內(nèi)部防火墻具體應用方案可以實現(xiàn)如下功能：(1)內(nèi)部防火墻可以精確制定各用戶的訪問權限，保證內(nèi)網(wǎng)用戶只能訪問必要資源。(2)對于撥號備份線路的連接，通過強大的認證功能，實現(xiàn)對遠程用戶的管理。(3)內(nèi)部防火墻可以記錄網(wǎng)段的訪問信息，及時發(fā)現(xiàn)誤操作和來自內(nèi)部網(wǎng)絡其他網(wǎng)段的攻擊行為。(4)通過集中的安全策略管理，每個網(wǎng)段上的主機不必單獨設立安全策略，降低了人為因素導致產(chǎn)生網(wǎng)絡安全問題的可能性。8.4防火墻的選擇與應用8.4.3外部防火墻系統(tǒng)設計外部防火墻是處于企業(yè)內(nèi)部網(wǎng)絡與外部網(wǎng)絡（包括Internet、廣域網(wǎng)、邊界網(wǎng)絡和其他公司的專用網(wǎng)絡）之間的安全防線。防火墻的內(nèi)、外網(wǎng)卡分別連接于內(nèi)、外網(wǎng)絡，但內(nèi)部網(wǎng)絡和外部網(wǎng)絡是從邏輯上完全隔開的。8.4防火墻的選擇與應用8.4.3外部防火墻系統(tǒng)設計外部防火墻的應用方案在企業(yè)設計網(wǎng)絡時，外部防火墻是內(nèi)、外網(wǎng)絡間的唯一通信通道。安裝外部防火墻后，可以實現(xiàn)內(nèi)部網(wǎng)絡與外部網(wǎng)絡的有效隔離，防范來自外部網(wǎng)絡的非法攻擊。同時，保證了DMZ區(qū)服務器的相對安全性和使用便捷性。外部防火墻是目前應用最主要的防火墻。如果要保證網(wǎng)絡的安全性，就不能再有另外的其他網(wǎng)絡連接途徑。在有些企業(yè)中允許一些特殊用戶（如企業(yè)高層領導）通過撥號方式與其他網(wǎng)絡連接。這樣，企業(yè)網(wǎng)絡的安全性就無法控制，在無形之中就給非法用戶打開了一個可以入侵的大門，這是需要絕對禁止的。8.4防火墻的選擇與應用8.4.3外部防火墻系統(tǒng)設計外部防火墻具體可以實現(xiàn)以下功能：(1)通過源地址過濾，拒絕外部非法IP地址，有效避免了外部網(wǎng)絡上與業(yè)務無關的主機越權訪問，防火墻可以只保留有用的服務。(2)關閉其他不需要的服務，將系統(tǒng)受攻擊的可能性降低到最小限度，使黑客無機可乘。(3)制定訪問策略，使只有被授權的外部主機可以訪問內(nèi)部網(wǎng)絡有限的IP地址，保證外部網(wǎng)絡只能訪問內(nèi)部網(wǎng)絡中必要的資源，與業(yè)務無關的操作將被拒絕。8.4防火墻的選擇與應用8.4.3外部防火墻系統(tǒng)設計外部防火墻具體可以實現(xiàn)以下功能：(4)由于外部網(wǎng)絡的DMZ區(qū)主機的所有訪問都要經(jīng)過防火墻，防火墻可以全面監(jiān)視外部網(wǎng)絡對內(nèi)部網(wǎng)絡的訪問活動，并進行詳細記錄，通過分析可以發(fā)現(xiàn)可疑的攻擊行為。(5)對于遠程登錄的用戶，如TELNET等，防火墻利用加強的認證功能，可以有效地防止非法入侵。(6)集中管理網(wǎng)絡的安全策略，因此入侵者無法通過更改一臺主機的安全策略而達到控制其他資源，獲取訪問權限的目的。(7)進行地址轉換工作，是外部網(wǎng)絡不能看到內(nèi)部網(wǎng)絡的結構，從而使入侵者找不到攻擊目標。8.4防火墻的選擇與應用8.4.3外部防火墻系統(tǒng)設計2.外部防火墻系統(tǒng)設計規(guī)則在通常情況下，外部防火墻要以默認形式或者通過配置來實現(xiàn)以下規(guī)則。(1)除了被允許的通信外，拒絕所有其他通行。(2)阻止聲明具有內(nèi)部或外圍網(wǎng)絡源地址的外來數(shù)據(jù)包。(3)阻止聲明具有外部源IP地址的外出數(shù)據(jù)包（通信應該只來自堡壘主機）。(4)允許從DNS解析程序到Internet上的DNS服務器的基于TCP或UDP協(xié)議的DNS查詢和應答。(5)允許基于UDP的外部客戶端查詢DNS解析程序并提供應答。(6)允許SMTP堡壘主機與Internet的郵件相互進出。(7)允許有代理發(fā)起的通信從代理服務器到達Internet。(8)允許代理應答從Internet定向到外圍網(wǎng)絡上的代理服務器。8.4防火墻的選擇與應用8.4.3外部防火墻系統(tǒng)設計8.5智能防火墻8.5.1傳統(tǒng)防火墻遺留的主要安全問題

3大安全問題:以拒絕訪問（DDOS）為主要目的的網(wǎng)絡攻擊。以蠕蟲（Worm）為主要代表的病毒傳播。以垃圾電子郵件（SPAM）為代表的內(nèi)容控制。原因：計算機能力有限。訪問控制機制為簡單的過濾。無法區(qū)分識別善意和惡意的行為8.5智能防火墻8.5.2新一代智能防火墻

智能防火墻從技術特征上，是利用統(tǒng)計、記憶、概率和決策的智能方法來對數(shù)據(jù)進行識別，并達到訪問控制的目的。新的數(shù)學方法，消除了匹配檢查所需要的海量計算，高效發(fā)現(xiàn)網(wǎng)絡行為的特征值，直接進行訪問控制。由于這些方法多是人工智能學科采用的方法，因此，又稱為智能防火墻。8.5智能防火墻智能防火墻體系結構圖8-14智能防火墻體系結構8.5智能防火墻8.5.4智能防火墻的關鍵技術

1.防攻擊技術智能防火墻能智能識別惡意數(shù)據(jù)流量，并有效地阻斷惡意數(shù)據(jù)攻擊。智能防火墻可以有效地解決SYNFlooding，LandAttack，UDPFlooding，PingFlooding，Smurf，PingofDeath，UnreachableHost等攻擊。防攻擊技術還可以有效的切斷惡意病毒或木馬的流量攻擊。關于這部分內(nèi)容我們在后面還會進一步闡述。

2.防掃描技術智能防火墻能智能識別黑客的惡意掃描，并有效地阻斷或欺騙惡意掃描者。對目前已知的掃描工具如ISS，SSS，NMAP等掃描工具，智能防火墻可以防止被掃描。防掃描技術還可以有效地解決代表或惡意代碼的惡意掃描攻擊。8.5智能防火墻8.5.4智能防火墻的關鍵技術

3.防欺騙技術智能防火墻提供基于MAC的訪問控制機制，可以防止MAC欺騙和IP欺騙，支持MAC過濾，支持IP過濾。將防火墻的訪問控制擴展到OSI的第二層。

4.入侵防御技術智能防火墻為了解決準許放行包的安全性，對準許放行的數(shù)據(jù)進行入侵檢測，并提供入侵防御保護。入侵防御技術采用了多種檢測技術，特征檢測可以準確檢測已知的攻擊，特征庫涵蓋了目前流行的網(wǎng)絡攻擊；異常檢測基于對監(jiān)控網(wǎng)絡的自學習能力，可以有效地檢測新出現(xiàn)的攻擊;檢測引擎中還集成了針對緩沖區(qū)溢出等特定攻擊的檢測。智能防火墻完成了深層數(shù)據(jù)包監(jiān)控，并能阻斷應用層攻擊。

5.包擦洗和協(xié)議正常化技術6.AAA技術8.5智能防火墻8.5.4智能防火墻的關鍵技術

5.包擦洗和協(xié)議正?；夹g智能防火墻支持包擦洗技術，對IP、TCP、UDP、ICMP等協(xié)議的擦洗，實現(xiàn)協(xié)議的正?；?，消除潛在的協(xié)議風險和攻擊。這些方法對消除TCP/IP協(xié)議的缺陷和應用協(xié)議的漏洞所帶來的威脅，效果顯著。6.AAA技術IPv4版本的一大缺陷是缺乏身份認證功能，所以在IPv6版本中增加了該功能。問題是IPv6的推廣尚需時日，IPv4在相當長一段時間內(nèi)，還會繼續(xù)存在。智能防火墻增加了對IP層的身份認證?；谏矸輥韺崿F(xiàn)訪問控制。8.5智能防火墻8.5.4新一代智能防火墻的主要特點智能防火墻相比與傳統(tǒng)的防火墻，增加了規(guī)則自學習模塊以及規(guī)則優(yōu)化模塊，而這恰恰是智能防火墻的核心。智能防火墻執(zhí)行全訪問的訪問控制，而不是簡單的進行過濾策略?；趯π袨榈淖R別，可以根據(jù)什么人、什么時間、什么地點（網(wǎng)絡層），什么行為（OSI7層）來執(zhí)行訪問控制，大大增強了防火墻的安全性，更聰明更智能。智能防火墻具備集中網(wǎng)絡管理平臺，具備配置管理、性能管理、故障管理、安全管理、審計管理五大管理域。智能防火墻提供對日志的監(jiān)控，自動處理，人工或自動導出，數(shù)據(jù)庫導入，查看，查詢，顯示，報警等功能。支持條件查詢。8.5智能防火墻8.5.5用智能防火墻阻止攻擊

威脅網(wǎng)絡安全行為的90%來自于以拒絕訪問（DOS和DDOS）為主要目的網(wǎng)絡攻擊。DOS（DenialofService）攻擊是一種很簡單但又很有效的進攻方式，能夠利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務。DDOS(DistributedDenialofService)是一種基于DOS的特殊形式的拒絕服務攻擊，攻擊者通過事先控制大批傀儡機，并控制這些設備同時發(fā)起對目標的DOS攻擊，具有較大的破壞性。從現(xiàn)在和未來看，防火墻都是抵御DOS/DDOS攻擊的重要組成部分，這是由防火墻在網(wǎng)絡拓撲的位置和扮演的角色決定的。8.5智能防火墻8.5.5用智能防火墻阻止攻擊1基于狀態(tài)的資源控制，保護防火墻資源

(1)控制連接、與半連的超時時間；必要時，可以縮短半連接的超時時間，加速半連接的化；

(2)限制系統(tǒng)各個協(xié)議的最大連接值，保證協(xié)議的連接數(shù)不超過系統(tǒng)限制，在達到連接上限后刪除新建的連接；

(3)限制系統(tǒng)符合條件源/目的主機連接數(shù)量；2智能TCP代理有效防范SYNFlood攻擊3基于流量分析的包過濾對DOS和病毒檢測8.5智能防火墻8.5.5用智能防火墻阻止攻擊2智能TCP代理有效防范SYNFlood攻擊SYNFlood攻擊原理。要達到防御此類攻擊目的，首先就要了解該類攻擊的原理。SYNFlood攻擊所利用的是TCP協(xié)議存在的漏洞，那么TCP的漏洞在哪里呢？原來TCP協(xié)議是面向連接的，在每次發(fā)送數(shù)據(jù)以前，都會在服務器與客戶端之間先虛擬出一條路線，稱TCP連接，以后的各數(shù)據(jù)通信都經(jīng)由該路線進行，直到本TCP連接結束。而UDP協(xié)議則是無連接的協(xié)議，基于UDP協(xié)議的通信，各數(shù)據(jù)報并不經(jīng)由相同的路線。在整個TCP連接中需要經(jīng)過三次協(xié)商，俗稱“三次握手”來完成。8.5智能防火墻8.5.5用智能防火墻阻止攻擊2智能TCP代理有效防范SYNFlood攻擊第一次：客戶端發(fā)送一個帶有SYN標記的TCP報文到服務端，正式開始TCP連接請求。在發(fā)送的報文中指定了自己所用的端口號以及TCP連接初始序號等信息。第二次：服務器端在接收到來自客戶端的請求之后，返回一個帶有SYN+ACK標記的報文，表示接受連接，并將TCP序號加l。第三次：客戶端接收到來自服務器端的確認信息后，也返回一個帶有ACK標記的報文，表示已經(jīng)接收到來自服務器端的確認信息。服務器端在得到該數(shù)據(jù)報文后，一個TCP連接才算真正建立起來。8.5智能防火墻8.5.5用智能防火墻阻止攻擊2智能TCP代理有效防范SYNFlood攻擊在以上三次握手中，當客戶端發(fā)送一個TCP連接請求給服務器端，服務器也發(fā)出了相應的響應數(shù)據(jù)報文之后，可能由于某些原因（如客戶端突然死機或斷網(wǎng)等原因），客戶端不能接收到來自服務器端的確認數(shù)據(jù)報，這就造成了以上三次連接中的第一次和第二次握手的TCP半連接(并不是完全不連接，連接并未完全中斷)。由于服務器端發(fā)出了帶SYN+ACK標記的報文，卻并沒有得到客戶端返回相應的ACK報文，于是服務器就進入等待狀態(tài)，并定期反復進行SYN+ACK報文重發(fā)，直到客戶端確認收到為止。這樣服務器端就會一直處于等待狀態(tài)，并且由于不斷發(fā)送SYN+ACK報文，使得CPU及其他資源嚴重消耗，還因大量報文使得網(wǎng)絡出現(xiàn)堵塞，這樣不僅服務器可能崩潰，而且網(wǎng)絡也可能處于癱瘓。8.5智能防火墻8.5.5用智能防火墻阻止攻擊2智能TCP代理有效防范SYNFlood攻擊SYNFlood攻擊正是利用了TCP連接的這樣一個漏洞來實現(xiàn)攻擊目的的。當惡意的客戶端構造出大量的這種TCP半連接發(fā)送到服務器端時，服務器端就會一直陷入等待的過程中，并且耗用大量的CPU資源和內(nèi)存資源來進行SYN+ACK報文的重發(fā)，最終使得服務器端崩潰。8.5智能防火墻8.5.5用智能防火墻阻止攻擊用防火墻防御SYNFlood攻擊。智能TCP代理型防火墻的防御方法是客戶端要與服務器建立TCP連接的三次握手過程中，因為它位于客戶端與服務器端(通常分別位于外、內(nèi)部網(wǎng)絡)中間，充當代理角色，這樣客戶端要與服務器端建立一個TCP連接，就必須先與防火墻進行三次TCP握手，當客戶端和防火墻三次握手成功之后，再由防火墻與客戶端進行三次TCP握手，完成后再進行一個TCP連接的三次握手。一個成功的TCP連接所經(jīng)歷的兩個三次握手過程(先是客戶端到防火墻的三次握手，再是防火墻到服務器端的三次握手)8.5智能防火墻8.5.5用智能防火墻阻止攻擊用防火墻防御SYNFlood攻擊。8.5智能防火墻8.5.5用智能防火墻阻止攻擊用防火墻防御SYNFlood攻擊。從整個過程可以看出，由于所有的報文都是通過防火墻轉發(fā)，而且未同防火墻建立起TCP連接就無法同服務器端建立連接，所以使用這種防火墻就相當于起到一種隔離保護作用，安全性較高。當外界對內(nèi)部網(wǎng)絡中的服務器端進行SYNFlood攻擊時，實際上遭受攻擊的不是服務器而是防火墻。而防火墻自身則又是具有抗攻擊能力的，可以通過規(guī)則設置，拒絕外界客戶端不斷發(fā)送的SYN+ACK報文。8.5智能防火墻8.5.5用智能防火墻阻止攻擊用防火墻防御SYNFlood攻擊。防火墻工作時，并不會立即開啟TCP代理（以免影響速度），只有當網(wǎng)絡中的TCP半連接達到系統(tǒng)設置的TCP代理啟動警戒線時，正常TCPIntercept會自動啟動，并且當系統(tǒng)的TCP半連接超過系統(tǒng)TCPIntercept高警戒線時，系統(tǒng)進入入侵模式，此時新連接會覆蓋舊的TCP連接；此后，系統(tǒng)全連接數(shù)增多，半連接數(shù)減小，當半連接數(shù)降到入侵模式低警戒線時，系統(tǒng)推出入侵模式。如果此時攻擊停止，系統(tǒng)半連接數(shù)量逐漸降到TCP代理啟動警戒線以下，智能TCP代理模塊停止工作。通過智能TCP代理可以有效防止SYNFlood攻擊，保證網(wǎng)絡資源安全。8.5智能防火墻8.5.5用智能防火墻阻止攻擊用防火墻防御SYNFlood攻擊。8.5智能防火墻8.5.5用智能防火墻阻止攻擊3基于流量分析的包過濾對DoS和病毒檢測網(wǎng)絡監(jiān)控在抵御DDOS攻擊中有重要的意義。智能防火墻支持流量分析功能，它將網(wǎng)絡交換中的數(shù)據(jù)包識別為流的方式加以記錄，并封裝為UDP包發(fā)送到分析器上，這樣就為網(wǎng)絡管理、流量分析和監(jiān)控、入侵檢測等提供了豐富的資料來源(學習資料)?？梢栽诓挥绊戅D發(fā)性能的同時記錄、發(fā)送流量數(shù)據(jù)信息，并能夠利用防火墻的安全管理平臺對接收到的資料進行分析、處理。8.5智能防火墻8.5.5用智能防火墻阻止攻擊3基于流量分析的包過濾對DoS和病毒檢測通過監(jiān)控網(wǎng)絡流量，防火墻可以有效的抵御DDOS攻擊，但當攻擊流數(shù)量超過一定程度，已經(jīng)完全占據(jù)了帶寬時，雖然防火墻已經(jīng)通過安全策略把攻擊數(shù)據(jù)包丟棄（過濾掉），但由于攻擊數(shù)據(jù)包已占據(jù)所有的網(wǎng)絡帶寬，這時正常的用戶訪問依然無法完成。利用流量分析監(jiān)視蠕蟲病毒。防止蠕蟲病毒的攻擊，重要的是防止蠕蟲病毒的擴散，只有盡早發(fā)現(xiàn)，才可以迅速采取措施有效阻止病毒。各種蠕蟲病毒在感染了系統(tǒng)后，為了傳播自身，會主動向外發(fā)送特定的數(shù)據(jù)包并掃描相關端口。利用這個特性，防火墻可在安全管理平臺上建立相關的蠕蟲病毒查詢模板，定期查詢，當發(fā)現(xiàn)了匹配的資料時，可以分析該地址是否已經(jīng)感染病毒，通過相應過濾規(guī)則，采取相應的措施。8.6WindowsServer2016防火墻安全配置

1．啟用/關閉防火墻

（1）打開“網(wǎng)絡連接”，右擊要保護的連接，單擊“屬性”，出現(xiàn)“本地連接屬性”對話框。

（2）選擇“高級”選項卡，單擊“設置”按鈕，出現(xiàn)啟動/停止防火墻界面。如果要啟用

Internet

連接防火墻，請單擊“啟用(O)”按鈕；如果要禁用Internet

連接防火墻，請單擊“關閉(F)”按鈕。

8.6WindowsServer2016防火墻安全配置2．防火墻服務設置

Windows

Server2016

火墻能夠管理服務端口，例如HTTP的80端口、FTP的21端口等，只要系統(tǒng)提供了這些服務，Internet連接防火墻就可以監(jiān)視并管理這些端口。

（1）解除阻止設置。在“例外”選項卡中，可以通過設定讓防火墻禁止和允許本機中某些應用程序訪問網(wǎng)絡，加上“√”表示允許，不加“√”表示禁止。如果允許本機中某項應用程序訪問網(wǎng)絡，則在對話框中間列表中所列出該項服務前加“√”

（如果不存在則可單擊“添加程序”按鈕進行添加）；如果禁止本機中某項應用程序訪問網(wǎng)絡，則將該項服