網(wǎng)絡(luò)安全講座第二章

網(wǎng)絡(luò)安全講座第二章第一頁，共六十一頁，編輯于2023年，星期三第二章防火墻技術(shù)

2.1防火墻概述2.2防火墻的體系結(jié)構(gòu)

2.3防火墻的實(shí)現(xiàn)技術(shù)

2.4TCP/IP基礎(chǔ)2防火墻技術(shù)展望

2.5第二頁，共六十一頁，編輯于2023年，星期三TCP/IP基礎(chǔ)2.1

1基本概念2包與協(xié)議3TCP和UDP常用端口4TCP/IP協(xié)議歷史第三頁，共六十一頁，編輯于2023年，星期三TCP/IP協(xié)議歷史TCP/IP起源于20世紀(jì)70年代中期，ARPA資助網(wǎng)間網(wǎng)技術(shù)的研究開發(fā)，并于1977～1979年間推出了與目前形式一樣的TCP/IP體系結(jié)構(gòu)和協(xié)議規(guī)范；1980年前后，TCP/IP應(yīng)用在ARPANET上；1983年加州Berkeley大學(xué)推出了內(nèi)含TCP/IP的BSDNUIX；1985年NSF采用TCP/IP建設(shè)NSFNET；TCP/IP成為20世紀(jì)90年代因特網(wǎng)的主要協(xié)議。第四頁，共六十一頁，編輯于2023年，星期三基本概念TCP/IP協(xié)議棧以及與OSI結(jié)構(gòu)的對應(yīng)關(guān)系（P8圖1-6）

IP：網(wǎng)際協(xié)議

IP協(xié)議指定了計(jì)算機(jī)之間傳送信息的方式，本質(zhì)上定義了Internet中每臺計(jì)算機(jī)使用的通用“語言”。IPv4，IP協(xié)議的第四個(gè)版本，從1982年起用于Internet，現(xiàn)在仍廣泛使用。在Internet中，數(shù)據(jù)以字符塊的形式被發(fā)送，稱之為數(shù)據(jù)報(bào)（datagram），或更通俗地稱之為包（package）。第五頁，共六十一頁，編輯于2023年，星期三基本概念I(lǐng)nternet地址：計(jì)算機(jī)在IPv4網(wǎng)絡(luò)中擁有的每一個(gè)接口都被唯一地賦予一個(gè)32位地址。這些地址通常被表述為四組八位數(shù)。例如：。地址分類：A～E類地址；子網(wǎng)劃分IPv4數(shù)據(jù)報(bào)格式（P17）TCP數(shù)據(jù)包格式（P23）UDP數(shù)據(jù)包格式（P26）TCP的三次握手過程（P25圖1-14）第六頁，共六十一頁，編輯于2023年，星期三包與協(xié)議

ICMP（InternetControlMessageProtocol）——Internet控制報(bào)文協(xié)議。 通過IP層收發(fā)ICMP報(bào)文，用于報(bào)告在傳輸報(bào)文的過程中發(fā)生的各種情況。它包括很多子類型（P19表1-3）。 例如：Ping命令使用ICMP的Echo包測試網(wǎng)絡(luò)連接；對該包的響應(yīng)通常是一個(gè)“ICMPEcho應(yīng)答”或者“ICMP目標(biāo)不可達(dá)”消息類型。

TCP（TransmissionControlProtocol）——傳輸控制協(xié)議。 該協(xié)議用于創(chuàng)建兩臺計(jì)算機(jī)之間的雙向數(shù)據(jù)流連接。它是“有連接”的協(xié)議，包含了超時(shí)和重發(fā)機(jī)制，以實(shí)現(xiàn)信息的可靠傳輸。第七頁，共六十一頁，編輯于2023年，星期三包與協(xié)議

UDP（UserDatagramProtocol）——用戶數(shù)據(jù)報(bào)協(xié)議。 該協(xié)議用于主機(jī)向主機(jī)發(fā)送數(shù)據(jù)報(bào)，它是無連接的。

IGMP（InternetGroupManagementProtocol）——Internet組管理協(xié)議。 該協(xié)議用于控制多播（或稱為組播）——有目的地直接向一臺或多臺主機(jī)發(fā)送包的過程。第八頁，共六十一頁，編輯于2023年，星期三TCP和UDP常用端口UDP的知名端口0保留49login53DNS69TFTP80WWWHTTP110POP3161SNMP213IPX2049NFSTCP的知名端口0保留20FTP－data21FTP－command23Telnet25SMTP53DNS80WWW88Kerberos139NetBIOS第九頁，共六十一頁，編輯于2023年，星期三防火墻概述2.2

1防火墻的功能2防火墻的分類3防火墻的局限性

4什么是防火墻第十頁，共六十一頁，編輯于2023年，星期三什么是防火墻不可信網(wǎng)絡(luò)和服務(wù)器可信網(wǎng)絡(luò)防火墻路由器InternetIntranet可信用戶不可信用戶DMZ第十一頁，共六十一頁，編輯于2023年，星期三什么是防火墻

定義：防火墻（Firewall）是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制的特殊網(wǎng)絡(luò)互連設(shè)備，是一種非常有效的網(wǎng)絡(luò)安全模型。

核心思想：在不安全的網(wǎng)際網(wǎng)環(huán)境中構(gòu)造一個(gè)相對安全的子網(wǎng)環(huán)境。

目的：都是為了在被保護(hù)的內(nèi)部網(wǎng)與不安全的非信任網(wǎng)絡(luò)之間設(shè)立唯一的通道，以按照事先制定的策略控制信息的流入和流出，監(jiān)督和控制使用者的操作。第十二頁，共六十一頁，編輯于2023年，星期三什么是防火墻防火墻可在鏈路層、網(wǎng)絡(luò)層和應(yīng)用層上實(shí)現(xiàn)；其功能的本質(zhì)特征是隔離內(nèi)外網(wǎng)絡(luò)和對進(jìn)出信息流實(shí)施訪問控制。隔離方法可以是基于物理的，也可以是基于邏輯的；從網(wǎng)絡(luò)防御體系上看，防火墻是一種被動(dòng)防御的保護(hù)裝置。第十三頁，共六十一頁，編輯于2023年，星期三防火墻的功能①網(wǎng)絡(luò)安全的屏障；②過濾不安全的服務(wù)；（兩層含義）

內(nèi)部提供的不安全服務(wù)和內(nèi)部訪問外部的不安全服務(wù)③阻斷特定的網(wǎng)絡(luò)攻擊；（聯(lián)動(dòng)技術(shù)的產(chǎn)生）④部署NAT機(jī)制；⑤提供了監(jiān)視局域網(wǎng)安全和預(yù)警的方便端點(diǎn)。

提供包括安全和統(tǒng)計(jì)數(shù)據(jù)在內(nèi)的審計(jì)數(shù)據(jù)，好的防火墻還能靈活設(shè)置各種報(bào)警方式。第十四頁，共六十一頁，編輯于2023年，星期三防火墻的分類1.個(gè)人防火墻是在操作系統(tǒng)上運(yùn)行的軟件，可為個(gè)人計(jì)算機(jī)提供簡單的防火墻功能；大家常用的個(gè)人防火墻有：NortonPersonalFirewall、天網(wǎng)個(gè)人防火墻、瑞星個(gè)人防火墻等；安裝在個(gè)人PC上，而不是放置在網(wǎng)絡(luò)邊界，因此，個(gè)人防火墻關(guān)心的不是一個(gè)網(wǎng)絡(luò)到另外一個(gè)網(wǎng)絡(luò)的安全，而是單個(gè)主機(jī)和與之相連接的主機(jī)或網(wǎng)絡(luò)之間的安全。第十五頁，共六十一頁，編輯于2023年，星期三防火墻的分類2.軟件防火墻個(gè)人防火墻也是一種純軟件防火墻，但其應(yīng)用范圍較小，且只支持Windows系統(tǒng)，功能相對來說要弱很多，并且安全性和并發(fā)連接處理能力較差；作為網(wǎng)絡(luò)防火墻的軟件防火墻具有比個(gè)人防火墻更強(qiáng)的控制功能和更高的性能。不僅支持Windows系統(tǒng)，并且多數(shù)都支持Unix或Linux系統(tǒng)。如十分著名的CheckPointFireWall-1，MicrosoftISAServer2000等

。第十六頁，共六十一頁，編輯于2023年，星期三防火墻的分類3.一般硬件防火墻不等同于采用專用芯片的純硬件防火墻，但和純軟件防火墻有很大差異

；一般由小型的防火墻廠商開發(fā)，或者是大型廠商開發(fā)的中低端產(chǎn)品，應(yīng)用于中小型企業(yè)，功能比較全，但性能一般；一般都采用PC架構(gòu)（就是一臺嵌入式主機(jī)），但使用的各個(gè)配件都量身定制。第十七頁，共六十一頁，編輯于2023年，星期三防火墻的分類其操作系統(tǒng)一般都采用經(jīng)過精簡和修改過內(nèi)核的Linux或Unix，安全性比使用通用操作系統(tǒng)的純軟件防火墻要好很多，并且不會在上面運(yùn)行不必要的服務(wù)，這樣的操作系統(tǒng)基本就沒有什么漏洞。但是，這種防火墻使用的操作系統(tǒng)內(nèi)核一般是固定的，是不可升級的，因此新發(fā)現(xiàn)的漏洞對防火墻來說可能是致命的

；國內(nèi)自主開發(fā)的防火墻大部分都屬于這種類型。第十八頁，共六十一頁，編輯于2023年，星期三防火墻的分類4.純硬件防火墻采用專用芯片（非X86芯片）來處理防火墻核心策略的一種硬件防火墻，也稱為芯片級防火墻。（專用集成電路（ASIC）芯片或者網(wǎng)絡(luò)處理器（NP）芯片）；最大的亮點(diǎn)：高性能，非常高的并發(fā)連接數(shù)和吞吐量；采用ASIC芯片的方法在國外比較流行，技術(shù)也比較成熟，如美國NetScreen公司的高端防火墻產(chǎn)品；國內(nèi)芯片級防火墻大多還處于開發(fā)發(fā)展的階段，采用的是NP技術(shù)。第十九頁，共六十一頁，編輯于2023年，星期三防火墻的分類5.分布式防火墻前面提到的幾種防火墻都屬于邊界防火墻（PerimeterFirewall），它無法對內(nèi)部網(wǎng)絡(luò)實(shí)現(xiàn)有效地保護(hù)；隨著人們對網(wǎng)絡(luò)安全防護(hù)要求的提高，產(chǎn)生了一種新型的防火墻體系結(jié)構(gòu)——分布式防火墻。近幾年，分布式防火墻技術(shù)已逐漸興起，并在國外一些大的網(wǎng)絡(luò)設(shè)備開發(fā)商中得到實(shí)現(xiàn)，由于其優(yōu)越的安全防護(hù)體系，符合未來的發(fā)展趨勢，這一技術(shù)一出現(xiàn)就得到了許多用戶的認(rèn)可和接受。第二十頁，共六十一頁，編輯于2023年，星期三網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開放性和靈活性為代價(jià)的。防火墻的使用也會削弱網(wǎng)絡(luò)的功能：

①由于防火墻的隔離作用，在保護(hù)內(nèi)部網(wǎng)絡(luò)的同時(shí)使它與外部網(wǎng)絡(luò)的信息交流受到阻礙；②由于在防火墻上附加各種信息服務(wù)的代理軟件，增大了網(wǎng)絡(luò)管理開銷，還減慢了信息傳輸速率，在大量使用分布式應(yīng)用的情況下，使用防火墻是不切實(shí)際的。防火墻的局限性第二十一頁，共六十一頁，編輯于2023年，星期三防火墻只是整個(gè)網(wǎng)絡(luò)安全防護(hù)體系的一部分，而且防火墻并非萬無一失：

①只能防范經(jīng)過其本身的非法訪問和攻擊，對繞過防火墻的訪問和攻擊無能為力；②不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題；③不能防止受病毒感染的文件的傳輸；④不能防止策略配置不當(dāng)或錯(cuò)誤配置引起的安全威脅；⑤不能防止自然或人為的故意破壞；不能防止本身安全漏洞的威脅。防火墻的局限性第二十二頁，共六十一頁，編輯于2023年，星期三防火墻的體系結(jié)構(gòu)2.3

1雙宿主機(jī)2屏蔽主機(jī)3屏蔽子網(wǎng)4分組過濾路由器第二十三頁，共六十一頁，編輯于2023年，星期三防火墻的體系結(jié)構(gòu)防火墻的體系結(jié)構(gòu)：防火墻系統(tǒng)實(shí)現(xiàn)所采用的架構(gòu)及其實(shí)現(xiàn)所采用的方法，它決定著防火墻的功能、性能以及使用范圍。防火墻可以被設(shè)置成許多不同的結(jié)構(gòu)，并提供不同級別的安全，而維護(hù)運(yùn)行的費(fèi)用也各不相同。第二十四頁，共六十一頁，編輯于2023年，星期三分組過濾路由器第二十五頁，共六十一頁，編輯于2023年，星期三分組過濾路由器作為內(nèi)外網(wǎng)連接的唯一通道，要求所有的報(bào)文都必須在此通過檢查。通過在分組過濾路由器上安裝基于IP層的報(bào)文過濾軟件，就可利用過濾規(guī)則實(shí)現(xiàn)報(bào)文過濾功能。缺點(diǎn)：在單機(jī)上實(shí)現(xiàn)，是網(wǎng)絡(luò)中的“單失效點(diǎn)”。不支持有效的用戶認(rèn)證、不提供有用的日志，安全性低。第二十六頁，共六十一頁，編輯于2023年，星期三雙宿主機(jī)第二十七頁，共六十一頁，編輯于2023年，星期三雙宿主機(jī)在被保護(hù)網(wǎng)絡(luò)和Internet之間設(shè)置一個(gè)具有雙網(wǎng)卡的堡壘主機(jī)，IP層的通信完全被阻止，兩個(gè)網(wǎng)絡(luò)之間的通信可以通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來完成通常采用代理服務(wù)的方法堡壘主機(jī)上運(yùn)行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序和提供服務(wù)等優(yōu)缺點(diǎn)：堡壘主機(jī)的系統(tǒng)軟件可用于身份認(rèn)證和維護(hù)系統(tǒng)日志，有利于進(jìn)行安全審計(jì)該方式的防火墻仍是網(wǎng)絡(luò)的“單失效點(diǎn)”。隔離了一切內(nèi)部網(wǎng)與Internet的直接連接，不適合于一些高靈活性要求的場合第二十八頁，共六十一頁，編輯于2023年，星期三屏蔽主機(jī)第二十九頁，共六十一頁，編輯于2023年，星期三屏蔽主機(jī)一個(gè)分組過濾路由器連接外部網(wǎng)絡(luò)，同時(shí)一個(gè)運(yùn)行網(wǎng)關(guān)軟件的堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)。通常在路由器上設(shè)立過濾規(guī)則，使這個(gè)堡壘主機(jī)成為從外部唯一可直接到達(dá)的主機(jī)。提供的安全等級較高，因?yàn)樗鼘?shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層安全（代理服務(wù)）。過濾路由器是否正確配置是這種防火墻安全與否的關(guān)鍵。過濾路由器的路由表應(yīng)當(dāng)受到嚴(yán)格的保護(hù)，如果路由表遭到破壞，則堡壘主機(jī)就有被越過的危險(xiǎn)。例：P116圖4-7第三十頁，共六十一頁，編輯于2023年，星期三屏蔽子網(wǎng)第三十一頁，共六十一頁，編輯于2023年，星期三屏蔽子網(wǎng)是最安全的防火墻系統(tǒng)，它在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)（非軍事區(qū)，DMZ（DemilitarizedZone））在很多實(shí)現(xiàn)中，兩個(gè)分組過濾路由器放在子網(wǎng)的兩端，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問被屏蔽子網(wǎng)，但禁止它們穿過被屏蔽子網(wǎng)通信通常將堡壘主機(jī)、各種信息服務(wù)器等公用服務(wù)器放于DMZ中堡壘主機(jī)通常是黑客集中攻擊的目標(biāo)，如果沒有DMZ，入侵者控制堡壘主機(jī)后就可以監(jiān)聽整個(gè)內(nèi)部網(wǎng)絡(luò)的會話第三十二頁，共六十一頁，編輯于2023年，星期三防火墻的實(shí)現(xiàn)技術(shù)2.4

1代理服務(wù)（ProxyService）2狀態(tài)檢測（StatefulInspection）3網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation

）4數(shù)據(jù)包過濾（PacketFiltering）第三十三頁，共六十一頁，編輯于2023年，星期三數(shù)據(jù)包過濾（1/6）

應(yīng)用層表示層會話層傳輸層數(shù)據(jù)鏈路層物理層路由器應(yīng)用層表示層會話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層第三十四頁，共六十一頁，編輯于2023年，星期三

數(shù)據(jù)包過濾技術(shù)是一種簡單、高效的安全控制技術(shù)，是防火墻發(fā)展初期普遍采用的技術(shù)。工作原理：系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，與應(yīng)用層無關(guān)。依據(jù)在系統(tǒng)內(nèi)設(shè)置的過濾規(guī)則（通常稱為訪問控制表——AccessControlList）對數(shù)據(jù)流中每個(gè)數(shù)據(jù)包包頭中的參數(shù)或它們的組合進(jìn)行檢查，以確定是否允許該數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。數(shù)據(jù)包過濾（2/6）第三十五頁，共六十一頁，編輯于2023年，星期三包過濾一般要檢查（網(wǎng)絡(luò)層的IP頭和傳輸層的頭）：

IP源地址

IP目的地址協(xié)議類型（TCP包/UDP包/ICMP包）

TCP或UDP的源端口

TCP或UDP的目的端口

ICMP消息類型

TCP報(bào)頭中的ACK位數(shù)據(jù)包過濾（3/6）第三十六頁，共六十一頁，編輯于2023年，星期三

舉例： 某條過濾規(guī)則為：禁止地址1的任意端口到地址2的80端口的TCP包。

含義？表示禁止地址1的計(jì)算機(jī)連接地址2的計(jì)算機(jī)的WWW服務(wù)。包過濾器的工作流程：P122圖4-15數(shù)據(jù)包過濾（4/6）第三十七頁，共六十一頁，編輯于2023年，星期三優(yōu)點(diǎn)： 邏輯簡單，價(jià)格便宜，易于安裝和使用，網(wǎng)絡(luò)性能和透明性好。主要缺點(diǎn)：安全控制的力度只限于源地址、目的地址和端口號等，不能保存與傳輸或與應(yīng)用相關(guān)的狀態(tài)信息，因而只能進(jìn)行較為初步的安全控制，安全性較低；數(shù)據(jù)包的源地址、目的地址以及端口號等都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒。數(shù)據(jù)包過濾（5/6）第三十八頁，共六十一頁，編輯于2023年，星期三注意：①創(chuàng)建規(guī)則比較困難；②規(guī)則過于復(fù)雜并難以測試，必須要用手工或用儀器才能徹底檢測規(guī)則的正確性；③對特定協(xié)議包的過濾：

FTP協(xié)議：使用兩個(gè)端口，因此要作特殊的考慮；

UDP協(xié)議：要對UDP數(shù)據(jù)包進(jìn)行過濾，防火墻應(yīng)有動(dòng)態(tài)數(shù)據(jù)包過濾的特點(diǎn)；（P122）

ICMP協(xié)議：應(yīng)根據(jù)ICMP的類型進(jìn)行過濾。數(shù)據(jù)包過濾（6/6）第三十九頁，共六十一頁，編輯于2023年，星期三代理服務(wù)（1/4）應(yīng)用層表示層會話層傳輸層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層TelnetHTTPFTP應(yīng)用層表示層會話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層網(wǎng)絡(luò)層第四十頁，共六十一頁，編輯于2023年，星期三是運(yùn)行于連接內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的主機(jī)（堡壘主機(jī)）上的一種應(yīng)用，是一種比較高級的防火墻技術(shù)。

工作過程：（舉例：P125）當(dāng)用戶需要訪問代理服務(wù)器另一側(cè)的主機(jī)時(shí)，對符合安全規(guī)則的連接，代理服務(wù)器會代替主機(jī)響應(yīng)，并重新向主機(jī)發(fā)出一個(gè)相同的請求。當(dāng)此連接請求得到回應(yīng)并建立起連接之后，內(nèi)部主機(jī)同外部主機(jī)之間的通信將通過代理程序把相應(yīng)連接進(jìn)行映射來實(shí)現(xiàn)。對于用戶而言，似乎是直接與外部網(wǎng)絡(luò)相連。代理服務(wù)（2/4）第四十一頁，共六十一頁，編輯于2023年，星期三主要優(yōu)點(diǎn)：內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等重要信息不易外泄，從而減少了黑客攻擊時(shí)所必需的必要信息；可以實(shí)施用戶認(rèn)證、詳細(xì)日志、審計(jì)跟蹤和數(shù)據(jù)加密等功能和對具體協(xié)議及應(yīng)用的過濾，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡，安全性較高。代理服務(wù)（3/4）第四十二頁，共六十一頁，編輯于2023年，星期三主要缺點(diǎn)：①針對不同的應(yīng)用層協(xié)議必須有單獨(dú)的應(yīng)用代理，也不能自動(dòng)支持新的網(wǎng)絡(luò)應(yīng)用；②有些代理還需要相應(yīng)的支持代理的客戶和服務(wù)器軟件；用戶可能還需要專門學(xué)習(xí)程序的使用方法才能通過代理訪問Internet；③性能下降。思考：該技術(shù)主要應(yīng)用于什么場合？代理服務(wù)（4/4）第四十三頁，共六十一頁，編輯于2023年，星期三狀態(tài)檢測（1/5）物理層引擎檢測動(dòng)態(tài)狀態(tài)表應(yīng)用層表示層會話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層應(yīng)用層表示層會話層傳輸層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層應(yīng)用層表示層會話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層第四十四頁，共六十一頁，編輯于2023年，星期三狀態(tài)檢測防火墻是在動(dòng)態(tài)包過濾的基礎(chǔ)上，增加了狀態(tài)檢測機(jī)制而形成的；動(dòng)態(tài)包過濾與普通包過濾相比，需要多做一項(xiàng)工作：對外出數(shù)據(jù)包的“身份”做一個(gè)標(biāo)記，允許相同連接的進(jìn)入數(shù)據(jù)包通過。（例：P123圖4-16）狀態(tài)檢測（2/5）第四十五頁，共六十一頁，編輯于2023年，星期三

利用狀態(tài)表跟蹤每一個(gè)網(wǎng)絡(luò)會話的狀態(tài)，對每一個(gè)數(shù)據(jù)包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會話所處的狀態(tài)；狀態(tài)檢測防火墻采用了一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎，稱之為檢測模塊。檢測模塊在不影響網(wǎng)絡(luò)正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測，并動(dòng)態(tài)地保存起來作為以后制定安全決策的參考。狀態(tài)檢測（3/5）第四十六頁，共六十一頁，編輯于2023年，星期三既能夠提供代理服務(wù)的控制靈活性，又能夠提供包過濾的高效性，是二者的結(jié)合；工作過程： 對新建的應(yīng)用連接，狀態(tài)檢測檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接；請求數(shù)據(jù)包通過，并記錄下該連接的相關(guān)信息，生成狀態(tài)表。對該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過。（狀態(tài)檢測的邏輯流程圖）狀態(tài)檢測（4/5）第四十七頁，共六十一頁，編輯于2023年，星期三主要優(yōu)點(diǎn)：①高安全性（工作在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間；“狀態(tài)感知”能力）②高效性（對連接的后續(xù)數(shù)據(jù)包直接進(jìn)行狀態(tài)檢查）③應(yīng)用范圍廣（支持基于無連接協(xié)議的應(yīng)用）主要缺點(diǎn)： 狀態(tài)檢測防火墻在阻止DDoS攻擊、病毒傳播問題以及高級應(yīng)用入侵問題（如實(shí)現(xiàn)應(yīng)用層內(nèi)容過濾）等方面顯得力不從心。P131表4-1防火墻技術(shù)比較表狀態(tài)檢測（5/5）第四十八頁，共六十一頁，編輯于2023年，星期三網(wǎng)絡(luò)地址轉(zhuǎn)換（1/4）

網(wǎng)絡(luò)地址轉(zhuǎn)換/翻譯（NAT，NetworkAddressTranslation）就是將一個(gè)IP地址用另一個(gè)IP地址代替。NAT的主要作用：隱藏內(nèi)部網(wǎng)絡(luò)的IP地址；解決地址緊缺問題。

注意：NAT本身并不是一種有安全保證的方案，它僅僅在包的最外層改變IP地址。所以通常要把NAT集成在防火墻系統(tǒng)中。第四十九頁，共六十一頁，編輯于2023年，星期三網(wǎng)絡(luò)地址轉(zhuǎn)換（2/4）

NAT是基于網(wǎng)絡(luò)層的應(yīng)用，按照不同的理解角度（實(shí)現(xiàn)方式/數(shù)據(jù)流向）分類也不同。

SNAT和DNAT靜態(tài)（static）網(wǎng)絡(luò)地址轉(zhuǎn)換和動(dòng)態(tài)（dynamic）網(wǎng)絡(luò)地址轉(zhuǎn)換源（source）網(wǎng)絡(luò)地址轉(zhuǎn)換和目標(biāo)（destination）網(wǎng)絡(luò)地址轉(zhuǎn)換

靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換：內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址；

動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換：可用的合法IP地址是一個(gè)范圍，而內(nèi)部網(wǎng)絡(luò)地址的范圍大于合法IP的范圍，在做地址轉(zhuǎn)換時(shí)，如果合法IP都被占用，此時(shí)從內(nèi)部網(wǎng)絡(luò)的新的請求會由于沒有合法地址可以分配而失敗。無法滿足實(shí)際的應(yīng)用需求——PAT（端口地址轉(zhuǎn)換/翻譯）第五十頁，共六十一頁，編輯于2023年，星期三網(wǎng)絡(luò)地址轉(zhuǎn)換（3/4）

PAT：把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上。

注意：進(jìn)行地址翻譯時(shí)，優(yōu)先還是NAT，當(dāng)合法IP地址分配完后，對于新發(fā)起的連接會重復(fù)使用已分配過的合法IP，要區(qū)別此次NAT與上次NAT的數(shù)據(jù)包，就要通過端口地址加以區(qū)分。比較：靜態(tài)地址翻譯：不需要維護(hù)地址轉(zhuǎn)換狀態(tài)表，功能簡單，性能較好；動(dòng)態(tài)轉(zhuǎn)換和端口轉(zhuǎn)換：必須維護(hù)一個(gè)轉(zhuǎn)換表，以保證能夠?qū)Ψ祷氐臄?shù)據(jù)包進(jìn)行正確的反向轉(zhuǎn)換，功能強(qiáng)大，但是需要的資源較多。

思考題：P130第五十一頁，共六十一頁，編輯于2023年，星期三網(wǎng)絡(luò)地址轉(zhuǎn)換（4/4）

源網(wǎng)絡(luò)地址轉(zhuǎn)換：修改數(shù)據(jù)報(bào)中IP頭部中的數(shù)據(jù)源地址（通常發(fā)生在使用私有地址的用戶訪問Internet的情況下，把私有地址翻譯成合法的因特網(wǎng)地址）

目標(biāo)網(wǎng)絡(luò)地址轉(zhuǎn)換：修改數(shù)據(jù)報(bào)中IP頭部中的數(shù)據(jù)目的地址（通常發(fā)生在防火墻之后的服務(wù)器上）例：P129圖4-23第五十二頁，共六十一頁，編輯于2023年，星期三防火墻技術(shù)展望2.5

1分布式防火墻2網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化3智能防火墻第五十三頁，共六十一頁，編輯于2023年，星期三智能防火墻

傳統(tǒng)防火墻：采用數(shù)據(jù)匹配檢查技術(shù)

智能防火墻：采用人工智能識別技術(shù)（統(tǒng)計(jì)、記憶、概率和決策等）優(yōu)勢：安全，高效模型與流程圖：P132應(yīng)用：在保護(hù)網(wǎng)絡(luò)和站點(diǎn)免受黑客攻擊、阻斷病毒的惡意傳播、有效監(jiān)控和管理內(nèi)部局域網(wǎng)、保護(hù)必需的應(yīng)用安全、提供強(qiáng)大的身份認(rèn)證授權(quán)和審計(jì)管理等方面具有廣泛的應(yīng)用價(jià)值。第五十四頁，共六十一頁，編輯于2023年，星期三分布式防火墻

傳統(tǒng)防火墻：邊界防火墻缺陷：結(jié)構(gòu)性限制；內(nèi)部威脅；效率和故障

分布式防火墻（廣義）：一種新的防火墻體系結(jié)構(gòu)（包含網(wǎng)絡(luò)防火墻、主機(jī)防火墻和管理中心）優(yōu)勢：在網(wǎng)絡(luò)內(nèi)部增加了另一層安全，有效抵御來自內(nèi)部的攻擊，消除網(wǎng)絡(luò)邊界上的通信瓶頸和單一故障點(diǎn)，支持基于加密和認(rèn)證的網(wǎng)絡(luò)應(yīng)用，與拓?fù)錈o關(guān)