暑期實(shí)習(xí)信息安全調(diào)研報(bào)告

北京科技大學(xué)信安09班40950195楊郅文暑期實(shí)習(xí)信息安全調(diào)研報(bào)告學(xué)校：北京科技大學(xué)學(xué)院：計(jì)算機(jī)與通信工程學(xué)院專(zhuān)業(yè)：信息安全班級(jí)：信安09姓名：楊郅文學(xué)號(hào)：409501952012年7月身邊的信息安全技術(shù)及科學(xué)問(wèn)題目錄1.前言 21.1防火墻： 21.1.1防火墻類(lèi)型： 21.1.2代理服務(wù)： 31.1.3防火墻架設(shè)結(jié)構(gòu)： 31.1.4防火墻的缺點(diǎn)： 41.2路由器防火墻： 52TP-link路由器防火墻設(shè)置 52.1路由器防火墻應(yīng)用舉例— 53思科路由器防火墻設(shè)置 84TP-LINK路由器防火墻與思科路由器防火墻設(shè)置區(qū)別 105安全路由器與防火墻的區(qū)別 105.1背景 105.2目的 105.3核心技術(shù) 115.3.1IP地址欺騙（使連接非正常復(fù)位） 115.3.2TCP欺騙（會(huì)話重放和劫持） 115.3.3安全策略 115.3.4對(duì)性能的影響 115.3.5防攻擊能力 126調(diào)研感想 12=1\*Arabic1.前言我所做的關(guān)于身邊的信息安全技術(shù)及科學(xué)問(wèn)題的調(diào)研內(nèi)容主要是關(guān)于路由器防火墻的相關(guān)知識(shí)內(nèi)容和對(duì)比，以及防火墻、安全路由器和路由器防火墻的對(duì)比。首先在這里介紹一下防火墻的概念。1.1防火墻：在電腦運(yùn)算領(lǐng)域中，防火墻(英文：firewall)是一項(xiàng)協(xié)助確保資訊安全的設(shè)備，會(huì)依照特定的規(guī)則，允許或是限制傳輸?shù)馁Y料通過(guò)。防火墻可能是一臺(tái)專(zhuān)屬的硬件或是架設(shè)在一般硬件上的一套軟件。防火墻最基本的功能就是隔離網(wǎng)絡(luò)，通過(guò)將網(wǎng)絡(luò)劃分成不同的區(qū)域（通常情況下稱(chēng)為ZONE），制定出不同區(qū)域之間的訪問(wèn)控制策略來(lái)控制不同任程度區(qū)域間傳送的數(shù)據(jù)流。例如互聯(lián)網(wǎng)是不可信任的區(qū)域，而內(nèi)部網(wǎng)絡(luò)是高度信任的區(qū)域。以避免安全策略中禁止的一些通信。它有控制信息基本的任務(wù)在不同信任的區(qū)域。典型信任的區(qū)域包括互聯(lián)網(wǎng)(一個(gè)沒(méi)有信任的區(qū)域)和一個(gè)內(nèi)部網(wǎng)絡(luò)(一個(gè)高信任的區(qū)域)。最終目標(biāo)是提供受控連通性在不同水平的信任區(qū)域通過(guò)安全政策的運(yùn)行和連通性模型之間根據(jù)最少特權(quán)原則例如：TCP/IPPort135~139是MicrosoftWindows的【網(wǎng)上鄰居】所使用的。如果電腦有使用【網(wǎng)上鄰居】的【分享資料夾】，又沒(méi)使用任何防火墻相關(guān)的防護(hù)措施的話，就等于把自己的【分享資料夾】公開(kāi)到Internet，供不特定的任何人有機(jī)會(huì)瀏覽目錄內(nèi)的檔案。且早期版本的Windows有【網(wǎng)上鄰居】系統(tǒng)溢位的無(wú)密碼保護(hù)的漏洞（這里是指【分享資料夾】有設(shè)密碼，但可經(jīng)由此系統(tǒng)漏洞，達(dá)到無(wú)須密碼便能瀏覽資料夾的需求）。1.1.1防火墻類(lèi)型：個(gè)人防火墻：個(gè)人防火墻，通常是在一部電腦上具有封包過(guò)濾功能的軟件，如ZoneAlarm及WindowsXPSP2后內(nèi)建的防火墻程式。而專(zhuān)用的防火墻通常做成網(wǎng)絡(luò)設(shè)備，或是擁有2個(gè)以上網(wǎng)絡(luò)接口的電腦。以作用的TCP/IP堆棧區(qū)分，主要分為網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻兩種，但也有些防火墻是同時(shí)運(yùn)作于網(wǎng)絡(luò)層及應(yīng)用層。網(wǎng)絡(luò)層防火墻：網(wǎng)絡(luò)層防火墻可視為一種IP封包過(guò)濾器，運(yùn)作在底層的TCP/IP協(xié)定堆棧上。我們可以以列舉的方式，只允許符合特定規(guī)則的封包通過(guò)，其余的一概禁止穿越防火墻。這些規(guī)則通?？梢越?jīng)由管理員定義或修改，不過(guò)某些防火墻設(shè)備可能只能套用內(nèi)建的規(guī)則。我們也能以另一種較寬松的角度來(lái)制定防火墻規(guī)則，只要封包不符合任何一項(xiàng)“否定規(guī)則”就予以放行?，F(xiàn)在的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備大多已內(nèi)建防火墻功能。較新的防火墻能利用封包的多樣屬性來(lái)進(jìn)行過(guò)濾，例如：來(lái)源IP地址、來(lái)源埠號(hào)、目的IP地址或埠號(hào)、服務(wù)類(lèi)型(如WWW或是FTP)。也能經(jīng)由通訊協(xié)定、TTL值、來(lái)源的網(wǎng)域名稱(chēng)或網(wǎng)段...等屬性來(lái)進(jìn)行過(guò)濾。應(yīng)用層防火墻：防火墻的視察軟件接口范例，紀(jì)錄IP進(jìn)出情況與對(duì)應(yīng)事件應(yīng)用層防火墻是在TCP/IP堆棧的“應(yīng)用層”上運(yùn)作，使用瀏覽器時(shí)所產(chǎn)生的資料流或是使用FTP時(shí)的資料流都是屬于這一層。應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程式的所有封包，并且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類(lèi)的防火墻可以完全阻絕外部的資料流進(jìn)到受保護(hù)的機(jī)器里。防火墻借由監(jiān)測(cè)所有的封包并找出不符規(guī)則的屬性，可以防范電腦蠕蟲(chóng)或是木馬程式的快速蔓延。不過(guò)就實(shí)作而言，這個(gè)方法既煩且雜（因軟件種類(lèi)極其繁多），所以大部分的防火墻都不會(huì)考慮以這種方法設(shè)計(jì)。XML防火墻是一種新型態(tài)的應(yīng)用層防火墻。1.1.2代理服務(wù)：代理服務(wù)（Proxy）設(shè)備（可能是一臺(tái)專(zhuān)屬的硬件，或只是普通電腦上的一套軟件）也能像應(yīng)用程式一樣回應(yīng)輸入封包(例如連線要求)，同時(shí)封鎖其他的封包，達(dá)到類(lèi)似于防火墻的效果。代理會(huì)使從外部網(wǎng)絡(luò)竄改一個(gè)內(nèi)部系統(tǒng)更加困難，且只要對(duì)于代理有良好的設(shè)定，即使內(nèi)部系統(tǒng)出現(xiàn)問(wèn)題也不一定會(huì)造成安全上的漏洞。相反地，入侵者也許劫持一個(gè)公開(kāi)可及的系統(tǒng)和使用它作為代理人為他們自己的目的；代理人偽裝作為那個(gè)系統(tǒng)對(duì)其它內(nèi)部機(jī)器。當(dāng)對(duì)內(nèi)部地址空間的用途加強(qiáng)安全，破壞狂也許仍然使用方法譬如IP欺騙（IPspoofing）試圖通過(guò)小包對(duì)目標(biāo)網(wǎng)絡(luò)。防火墻經(jīng)常有網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)的功能，并且主機(jī)被保護(hù)在防火墻之后共同地使用所謂的“私人地址空間”，定義在RFC1918。防火墻的適當(dāng)?shù)呐渲靡蠹记珊椭腔?，它要求管理員對(duì)網(wǎng)絡(luò)協(xié)議和電腦安全有深入的了解，因小差錯(cuò)可使防火墻不能作為安全工具。1.1.3防火墻架設(shè)結(jié)構(gòu)：堡壘主機(jī)式防火墻：此防火墻需有兩片網(wǎng)絡(luò)卡，一片與互聯(lián)網(wǎng)連接，另一片與內(nèi)部網(wǎng)絡(luò)連接，如此互聯(lián)網(wǎng)與內(nèi)部網(wǎng)絡(luò)的通路，無(wú)法直接接通，所有封包都需要透過(guò)堡壘主機(jī)轉(zhuǎn)送。雙閘式防火墻：此防火墻除了堡壘主機(jī)式防火墻的兩片網(wǎng)絡(luò)卡設(shè)計(jì)外，另有安裝一稱(chēng)為應(yīng)用服務(wù)轉(zhuǎn)送器的軟件，所有網(wǎng)絡(luò)封包都須經(jīng)過(guò)此軟件檢查，此軟件將過(guò)濾掉不被系統(tǒng)所允許的封包。屏障單機(jī)式防火墻：此防火墻的硬件設(shè)備除需要主機(jī)外，還需要另一路由器，路由器需具有封包過(guò)濾的功能，主機(jī)則負(fù)責(zé)過(guò)濾及處理網(wǎng)絡(luò)服務(wù)要求的封包，當(dāng)互聯(lián)網(wǎng)的封包進(jìn)入屏障單機(jī)式防火墻時(shí)，路由器會(huì)先檢查此封包是否滿(mǎn)足過(guò)濾規(guī)則，再將過(guò)濾成功的封包，轉(zhuǎn)送到主機(jī)做網(wǎng)絡(luò)服務(wù)層的檢查與轉(zhuǎn)送。屏障雙閘式防火墻：將屏障單機(jī)式防火墻的主機(jī)換成，雙閘式防火墻。屏障子網(wǎng)域式防火墻：此防火墻借由多臺(tái)主機(jī)與兩個(gè)路由器組成，電腦分成兩個(gè)區(qū)塊，屏障子網(wǎng)域與內(nèi)部網(wǎng)絡(luò)，封包經(jīng)由以下路徑，第一個(gè)路由器->屏障子網(wǎng)域->第二路由器->內(nèi)部網(wǎng)絡(luò)，此設(shè)計(jì)因有階段式的過(guò)濾功能，因此兩個(gè)路由器可以有不同的過(guò)濾規(guī)則，讓網(wǎng)絡(luò)封包使用更有效率。若一封包通過(guò)第一過(guò)濾器封包，會(huì)先在屏障子網(wǎng)域做服務(wù)處理，若要做更深入內(nèi)部網(wǎng)絡(luò)的服務(wù)，則要通過(guò)第二路由器的過(guò)濾。1.1.4防火墻的缺點(diǎn)：正常狀況下，所有互聯(lián)網(wǎng)的封包軟件都應(yīng)經(jīng)過(guò)防火墻的過(guò)濾，這將造成網(wǎng)絡(luò)交通的瓶頸。例如在攻擊性封包出現(xiàn)時(shí)，攻擊者會(huì)不時(shí)寄出封包，讓防火墻疲于過(guò)濾封包，而使一些合法封包軟件亦無(wú)法正常進(jìn)出防火墻。防火墻雖然可以過(guò)濾互聯(lián)網(wǎng)的封包，但卻無(wú)法過(guò)濾內(nèi)部網(wǎng)絡(luò)的封包。因此若有人從內(nèi)部網(wǎng)絡(luò)攻擊時(shí)，防火墻是毫無(wú)用武之地的。而電腦本身操作系統(tǒng)亦可能一些系統(tǒng)漏洞，使入侵者可以利用這些系統(tǒng)漏洞來(lái)繞過(guò)防火墻的過(guò)濾，進(jìn)而入侵電腦。防火墻無(wú)法有效阻擋病毒的攻擊，尤其是隱藏在資料中的病毒。接下來(lái)介紹路由器防火墻。1.2路由器防火墻：路由器通常支持一個(gè)或者多個(gè)防火墻功能；它們可被劃分為用于Internet連接的低端設(shè)備和傳統(tǒng)的高端路由器。低端路由器提供了用于阻止和允許特定IP地址和端口號(hào)的基本防火墻功能，并使用NAT來(lái)隱藏內(nèi)部IP地址。它們通常將防火墻功能提供為標(biāo)準(zhǔn)的、為阻止來(lái)自Internet的入侵進(jìn)行了優(yōu)化的功能；雖然不需要配置，但是對(duì)它們進(jìn)行進(jìn)一步配置可進(jìn)一步優(yōu)化它們的性能。高端路由器可配置為通過(guò)阻止較為明顯的入侵（如ping）以及通過(guò)使用ACL實(shí)現(xiàn)其他IP地址和端口限制，來(lái)加強(qiáng)訪問(wèn)權(quán)限。也可提供其他的防火墻功能，這些功能在某些路由器中提供了靜態(tài)數(shù)據(jù)包篩選。在高端路由器中，以較低的成本提供了與硬件防火墻設(shè)備相似的防火墻功能，但是吞吐量較低。接下來(lái)分別介紹一下TP-LINK路由器和思科路由器關(guān)于防火墻的設(shè)定。2TP-link路由器防火墻設(shè)置2.1路由器防火墻應(yīng)用舉例—IP地址過(guò)濾的使用IP地址過(guò)濾用于通過(guò)IP地址設(shè)置內(nèi)網(wǎng)主機(jī)對(duì)外網(wǎng)的訪問(wèn)權(quán)限，適用于這樣的需求：在某個(gè)時(shí)間段，禁止/允許內(nèi)網(wǎng)某個(gè)IP（段）所有或部分端口和外網(wǎng)IP的所有或部分端口的通信。開(kāi)啟IP地址過(guò)濾功能時(shí)，必須要開(kāi)啟防火墻總開(kāi)關(guān)，并明確IP地址過(guò)濾的缺省過(guò)濾規(guī)則（設(shè)置過(guò)程中若有不明確處，可點(diǎn)擊當(dāng)前頁(yè)面的“幫助”按鈕查看幫助信息）：下面將通過(guò)兩個(gè)例子說(shuō)明IP地址過(guò)濾的使用例一：預(yù)期目的：不允許內(nèi)網(wǎng)00-02的IP地址訪問(wèn)外網(wǎng)所有IP地址；允許03完全不受限制的訪問(wèn)外網(wǎng)的所有IP地址。設(shè)置方法如下：1．選擇缺省過(guò)濾規(guī)則為：凡是不符合已設(shè)IP地址過(guò)濾規(guī)則的數(shù)據(jù)包，禁止通過(guò)本路由器：2．添加IP地址過(guò)濾新條目：允許內(nèi)網(wǎng)03完全不受限制的訪問(wèn)外網(wǎng)的所有IP地址因默認(rèn)規(guī)則為“禁止不符合IP過(guò)濾規(guī)則的數(shù)據(jù)包通過(guò)路由器”，所以?xún)?nèi)網(wǎng)電腦IP地址段：00-02不需要進(jìn)行添加，默認(rèn)禁止其通過(guò)。3．保存后生成如下條目，即能達(dá)到預(yù)期目的：例二：預(yù)期目的：內(nèi)網(wǎng)00-02的IP地址在任何時(shí)候都只能瀏覽外網(wǎng)網(wǎng)頁(yè)；03從上午8點(diǎn)到下午6點(diǎn)只允在外網(wǎng)2郵件服務(wù)器上收發(fā)郵件，其余時(shí)間不能和對(duì)外網(wǎng)通信。瀏覽網(wǎng)頁(yè)需使用到80端口（HTTP協(xié)議），收發(fā)電子郵件使用25（SMTP）與110（POP），同時(shí)域名服務(wù)器端口號(hào)53（DNS）設(shè)置方法如下：1．選擇缺省過(guò)濾規(guī)則為：凡是不符合已設(shè)IP地址過(guò)濾規(guī)則的數(shù)據(jù)包，禁止通過(guò)本路由器：2．設(shè)置生成如下條目后即能達(dá)到預(yù)期目的：3思科路由器防火墻設(shè)置思科路由器防火墻的設(shè)定全部是基于命令行來(lái)設(shè)定的，下面簡(jiǎn)單介紹一下相關(guān)設(shè)定的命令行。enable進(jìn)入特權(quán)用戶(hù)模式configt進(jìn)入全局配置模式ipdhcpexcluded-address0從內(nèi)部DHCP地址池中排除前10個(gè)IP地址ipdhcppoolInternal-DHCP創(chuàng)建一個(gè)稱(chēng)為“InternalDHCP”的DHCP池importall將外部的DHCP設(shè)置從ISP導(dǎo)入到“InternalDHCP”池中network定義這個(gè)DHCP池運(yùn)行的網(wǎng)絡(luò)default-router為“InternalDHCP”池設(shè)置默認(rèn)網(wǎng)關(guān)ipinspectnamecbactcp檢查向外發(fā)出的數(shù)據(jù)通信，以便于準(zhǔn)許對(duì)內(nèi)的響應(yīng)TCP通信ipinspectnamecbacudp檢查向外發(fā)出的數(shù)據(jù)通信，以便于準(zhǔn)許對(duì)內(nèi)的響應(yīng)UDP通信interfacef0/0進(jìn)入接口f0/0，F(xiàn)0/0在這里即是內(nèi)部的局域網(wǎng)接口ipaddress將內(nèi)部的局域網(wǎng)接口IP設(shè)置為，子網(wǎng)掩碼為24位。ipnatinside將此接口指定為網(wǎng)絡(luò)地址轉(zhuǎn)換的內(nèi)部接口interfacee0/0進(jìn)入接口e0/0.E0/0在這里即是外部的局域網(wǎng)接口。ipaddressdhcp設(shè)置外部局域網(wǎng)接口的IP使用DHCP，DHCP由ISP提供。ipaccess-groupCBACin打開(kāi)對(duì)內(nèi)的狀態(tài)數(shù)據(jù)包檢查ipinspectcbacout打開(kāi)對(duì)內(nèi)的狀態(tài)數(shù)據(jù)包檢查，這點(diǎn)對(duì)于響應(yīng)對(duì)內(nèi)通信極為關(guān)鍵。ipnatoutside將這個(gè)接口指定為網(wǎng)絡(luò)地址轉(zhuǎn)換的內(nèi)部接口mac-addressffff.ffff.ffff可選，允許用戶(hù)進(jìn)行MAC地址欺騙。有一些ISP會(huì)鎖定MAC地址。ipnatinsidesourcelistNATACLinterfacee0/0overload它將所有的IP地址從NATACLACL轉(zhuǎn)換到外部的接口和IP地址ipaccess-listextendedCBAC定義一個(gè)稱(chēng)為CBAC的擴(kuò)展ACL，用于對(duì)內(nèi)的防火墻規(guī)則permitudpanyeqbootpsanyeqbootpc準(zhǔn)許對(duì)內(nèi)的DHCP。如果不用這個(gè)功能，用戶(hù)的ISP就不能為其分配一個(gè)DHCPIP地址。permitgreanyany如果不這樣的話，外發(fā)的PPTPVPN無(wú)法工作permiticmpanyanyecho準(zhǔn)許ping入.注意，如果你想要保持秘密，請(qǐng)不要使用此功能。permiticmpanyanyecho-reply準(zhǔn)許ping出permiticmpanyanytraceroute準(zhǔn)許traceroutedenyipanyanylog如果你想記錄所拒絕的進(jìn)入企圖功能，這條命令就很有用。ipaccess-listextendedNATACL定義一個(gè)稱(chēng)為NATACL的擴(kuò)展ACL，用于實(shí)現(xiàn)NATpermitip55any準(zhǔn)許/24到達(dá)已經(jīng)進(jìn)行了網(wǎng)絡(luò)地址轉(zhuǎn)換的任何地方。exit退出NATACLACLexit退出全局配置模式wrmem將配置改變寫(xiě)往永久性閃存4TP-LINK路由器防火墻與思科路由器防火墻設(shè)置區(qū)別首先從上文的介紹中可以看出，TP-link路由器與思科路由器的防火墻關(guān)于設(shè)定的方法就存在著不同。TP-link路由器的設(shè)置基于圖形界面，類(lèi)似于WindowsServer上防火墻的設(shè)置方式，相比較而言更為簡(jiǎn)單，便于操作，看起來(lái)也更為直觀。思科路由器的設(shè)置方式則完全不同。首先，思科路由器的設(shè)置方式基于命令行，操作起來(lái)較為復(fù)雜，類(lèi)似于linux系統(tǒng)的命令行模式，不易于查看，命令行的輸入格式以及內(nèi)容需要查看后才可正確輸入。但是對(duì)比TP-link而言，思科路由器的防火墻功能更加強(qiáng)大，也更多一些，如果操作熟練的話可以更好的保護(hù)自己的網(wǎng)絡(luò)和計(jì)算機(jī)?？傮w而言，TP-link路由器更加適合初學(xué)者的使用，因?yàn)槠浜?jiǎn)單方便，易于設(shè)置；思科路由器則適合技術(shù)過(guò)關(guān)的人使用，可以最大發(fā)揮思科路由器的作用，也能更好的保護(hù)自己的計(jì)算機(jī)。5安全路由器與防火墻的區(qū)別目前市面上的路由器基本都帶有簡(jiǎn)單的防火墻功能，不論是消費(fèi)級(jí)還是企業(yè)級(jí)，可以實(shí)現(xiàn)一些諸如包過(guò)濾，IP過(guò)濾這樣的功能。所以有些用戶(hù)就開(kāi)始質(zhì)疑硬件防火墻的存在價(jià)值。那么我們就來(lái)詳細(xì)的比較一下這兩設(shè)備有什么差別。5.1背景路由器的產(chǎn)生是基于對(duì)網(wǎng)絡(luò)數(shù)據(jù)包路由而產(chǎn)生的。路由器需要完成的是將不同網(wǎng)段的數(shù)據(jù)包進(jìn)行有效的路由管理，路由器所關(guān)心的是：能否將不同的網(wǎng)段的數(shù)據(jù)包進(jìn)行路由從而進(jìn)行通訊。防火墻是產(chǎn)生于人們對(duì)于安全性的需求。數(shù)據(jù)包是否可以正確的到達(dá)、到達(dá)的時(shí)間、方向等不是防火墻關(guān)心的重點(diǎn)，重點(diǎn)是這個(gè)數(shù)據(jù)包是否應(yīng)該通過(guò)、通過(guò)后是否會(huì)對(duì)網(wǎng)絡(luò)造成危害。5.2目的路由器的根本目的是：保持網(wǎng)絡(luò)和數(shù)據(jù)的“通”。防火墻根本的的目的是：保證任何非允許的數(shù)據(jù)包“不通”。5.3核心技術(shù)路由器核心的ACL列表是基于簡(jiǎn)單的包過(guò)濾，屬于OSI第三層過(guò)濾。從防火墻技術(shù)實(shí)現(xiàn)的角度來(lái)說(shuō)，防火墻是基于狀態(tài)包過(guò)濾的應(yīng)用級(jí)信息流過(guò)濾。內(nèi)網(wǎng)的一臺(tái)服務(wù)器，通過(guò)路由器對(duì)內(nèi)網(wǎng)提供服務(wù)，假設(shè)提供服務(wù)的端口為T(mén)CP80。為了保證安全性，在路由器上需要配置成：只允許客戶(hù)端訪問(wèn)服務(wù)器的TCP80端口，其他拒絕。這樣的設(shè)置存在的安全漏洞如下：5.3.1IP地址欺騙（使連接非正常復(fù)位）5.3.2TCP欺騙（會(huì)話重放和劫持）存在上述隱患的原因是，路由器不能監(jiān)測(cè)TCP的狀態(tài)。如果在內(nèi)網(wǎng)的客戶(hù)端和路由器之間放上防火墻，由于防火墻能夠檢測(cè)TCP的狀態(tài)，并且可以重新隨機(jī)生成TCP的序列號(hào)，則可以徹底消除這樣的漏洞。同時(shí)，有些防火墻帶有一次性口令認(rèn)證客戶(hù)端功能，能夠?qū)崿F(xiàn)在對(duì)應(yīng)用完全透明的情況下，實(shí)現(xiàn)對(duì)用戶(hù)的訪問(wèn)控制，其認(rèn)證支持標(biāo)準(zhǔn)的Radius協(xié)議和本地認(rèn)證數(shù)據(jù)庫(kù)，可以完全與第三方的認(rèn)證服務(wù)器進(jìn)行互操作，并能夠?qū)崿F(xiàn)角色的劃分。5.3.3安全策略路由器的默認(rèn)配置對(duì)安全性的考慮不夠周全，需要做高級(jí)高級(jí)配置才能達(dá)到一些防范攻擊的作用，而且企業(yè)級(jí)路由器基本都是基于命令模式進(jìn)行配置，其針對(duì)安全性的規(guī)則的部分比較復(fù)雜，配置出錯(cuò)的概率較高。有些防火墻的默認(rèn)配置既可以防止各種攻擊，達(dá)到既用既安全，更人性化的防火墻都是使用圖形界面進(jìn)行配置的，配置簡(jiǎn)單、出錯(cuò)率低。5.3.4對(duì)性能的影響路由器的設(shè)計(jì)初衷是用來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)包的，而不是專(zhuān)門(mén)設(shè)計(jì)作為全特性防火墻的，所以在數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)運(yùn)算量非常大。如果再進(jìn)行包過(guò)濾，對(duì)路由器的CPU和內(nèi)存或產(chǎn)生很大的影響，這就是為什么路由器開(kāi)啟防火墻后，數(shù)據(jù)轉(zhuǎn)發(fā)率降低的原因。而且路由器由于其硬件成本比較高，其高性能配置時(shí)硬件的成本都比較大。防火墻則不用作數(shù)據(jù)轉(zhuǎn)發(fā)的工作，只要判斷該包是否符合要求，是則通過(guò)，否則不通過(guò)，其軟件也為數(shù)據(jù)包的過(guò)濾進(jìn)行了專(zhuān)門(mén)的優(yōu)化，其主要模塊運(yùn)行在操作系統(tǒng)的內(nèi)核模式下，設(shè)計(jì)之時(shí)特別考慮了安全問(wèn)題，其進(jìn)行數(shù)據(jù)包過(guò)濾的性能非常高。由于路由器是簡(jiǎn)單的包過(guò)濾，包過(guò)濾的規(guī)則條數(shù)的增加，NAT規(guī)則的條數(shù)的增加，對(duì)路由器性能的影響都相應(yīng)的增加，而防火墻采用的是狀態(tài)包過(guò)濾，規(guī)則條數(shù)，NAT的規(guī)則數(shù)對(duì)性能的影響接近于零。5.3.5