防火墻技術（培訓課件）

第3章防火墻技術3.1防火墻的基本概述3.2防火墻的作用3.3防火墻的分類3.4防火墻的安全標準3.5在網(wǎng)絡中配置防火墻3.6防火墻的訪問控制策略3.7防火墻的選擇原則3.8防火墻技術的展望3.9防火墻實例——天網(wǎng)防火墻簡介3.10本章小結練習題隨著計算機網(wǎng)絡廣泛應用于政治、軍事、經(jīng)濟和科學技術各個領域，數(shù)據(jù)在存儲和傳輸過程中可能被竊聽、暴露或篡改，網(wǎng)絡系統(tǒng)和應用軟件也可能遭受黑客的惡意程序的攻擊而使網(wǎng)絡癱瘓。因此，計算機網(wǎng)絡的安全非常重要。在計算網(wǎng)絡的安全中，保護網(wǎng)絡數(shù)據(jù)和程序等資源，以免受到有意或無意地破壞或越權修改與占用，稱為訪問控制技術。實現(xiàn)訪問控制技術的最好辦法就是有一個好的安全策略，在這個安全策略上使用防火墻技術。為實現(xiàn)網(wǎng)絡安全，必須了解防火墻技術的體系結構，同時掌握常見的防火墻設備的配置方法。本章的主要內(nèi)容有：防火墻的定義；防火墻的功能與作用；防火墻的類型；防火墻的配置；防火墻的實現(xiàn)策略；防火墻的選擇原則；天網(wǎng)個人防火墻的使用。3.1防火墻的基本概述

3.1.1什么是防火墻古時候，人們常在寓所之間砌起一道磚墻，一旦火災發(fā)生，它能夠防止火勢蔓延到別的寓所?，F(xiàn)在，如果一個網(wǎng)絡接到了Internet上面，它的用戶就可以訪問外部世界并與之通信。但同時，外部世界也同樣可以訪問該網(wǎng)絡并與之交互。為安全起見，可以在該網(wǎng)絡和Internet之間插入一個中介系統(tǒng)，豎起一道安全屏障。這道屏障的作用是阻斷來自外部通過網(wǎng)絡對本網(wǎng)絡的威脅和入侵，提供扼守本網(wǎng)絡的安全和審計的惟一關卡，它的作用與古時候的防火磚墻有類似之處，因此，把這個屏障就叫做“防火墻”，如圖3.1所示。在網(wǎng)絡中，防火墻是一種用來加強網(wǎng)絡之間訪問控制的特殊網(wǎng)絡互聯(lián)設備，如路由器、網(wǎng)關等。它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略進行檢查，以決定網(wǎng)絡之間的通信是否被允許。其中被保護的網(wǎng)絡稱為內(nèi)部網(wǎng)絡，另一方則稱為外部網(wǎng)絡或公用網(wǎng)絡。它能有效地控制內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的訪問及數(shù)據(jù)傳送，從而達到保護內(nèi)部網(wǎng)絡的信息不受外部非授權用戶的訪問和過濾不良信息的目的。防火墻是一個或一組在兩個網(wǎng)絡之間執(zhí)行訪問控制策略的系統(tǒng)，包括硬件和軟件，目的是保護網(wǎng)絡不被可疑人侵擾。本質上，它遵從的是一種允許或阻止業(yè)務來往的網(wǎng)絡通信安全機制，也就是提供可控的過濾網(wǎng)絡通信，只允許授權的通信。圖3.1通常，防火墻就是位于內(nèi)部網(wǎng)或Web站點與Internet之間的一個路由器或一臺計算機，又稱為堡壘主機。其目的如同一個安全門，為門內(nèi)的部門提供安全，控制那些可被允許出入該受保護環(huán)境的人或物。就像工作在前門的安全衛(wèi)士，控制并檢查站點的訪問者。3.1.2防火墻的功能防火墻是由管理員為保護自己的網(wǎng)絡免遭外界非授權訪問但又允許與Internet聯(lián)接而發(fā)展起來的。從網(wǎng)際角度，防火墻可以看成是安裝在兩個網(wǎng)絡之間的一道柵欄，根據(jù)安全計劃和安全策略中的定義來保護其后面的網(wǎng)絡。由軟件和硬件組成的防火墻應該具有以下功能：(1)所有進出網(wǎng)絡的通信流都應該通過防火墻；(2)所有穿過防火墻的通信流都必須有安全策略和計劃的確認和授權；(3)理論上說，防火墻是穿不透的。利用防火墻能保護站點不被任意聯(lián)接，甚至能建立跟蹤工具，幫助總結并記錄有關正在進行的聯(lián)接資源、服務器提供的通信量以及試圖闖入者的任何企圖?？傊?，防火墻是阻止外面的人對你的網(wǎng)絡進行訪問的任何設備，此設備通常是軟件和硬件的組合體，它通常根據(jù)一些規(guī)則來挑選想要或不想要的地址。隨著Internet上越來越多的用戶要訪問Web，運行例如Telnet、FTP和InternetMail之類的服務，系統(tǒng)管理者和LAN管理者必須能夠在提供訪問的同時，保護他們的內(nèi)部網(wǎng)，不給闖入者留有可乘之機。需要防火墻防范的3種基本進攻。①間諜：試圖偷走敏感信息的黑客、入侵者和闖入者。②盜竊：盜竊對象包括數(shù)據(jù)、Web表格、磁盤空間、CPU資源、聯(lián)接等。③破壞系統(tǒng)：通過路由器或主機/服務器蓄意破壞文件系統(tǒng)或阻止授權用戶訪問內(nèi)部網(wǎng)(外部網(wǎng))和服務器。這里防火墻的作用是保護Web站點和公司的內(nèi)部網(wǎng)，使之免遭Internet上各種危險的侵犯。典型的防火墻建立在一個服務器/主機機器上，亦稱“堡壘”，是一個多邊協(xié)議路由器。這個堡壘有兩個網(wǎng)絡聯(lián)接：一邊與內(nèi)部網(wǎng)相聯(lián)，另一邊與Internet相聯(lián)。它的主要作用除了防止未經(jīng)授權的或來自對Internet訪問的用戶外，還應包括為安全管理提供詳細的系統(tǒng)活動的記錄。在有的配置中，這個堡壘主機經(jīng)常作為一個公共Web服務器或一個FTP或E-mail服務器使用。通過在防火墻上運行的專門HTTP服務器，可使用“代理”服務器，以訪問防火墻另一邊的Web服務器。防火墻的基本目的之一就是防止黑客侵擾站點。網(wǎng)絡站點經(jīng)常暴露于無數(shù)威脅之中，而防火墻可以幫助防止外部聯(lián)接。此外，還應小心局域網(wǎng)內(nèi)的非法MODEM聯(lián)接，特別是當Web服務器在受保護的局域內(nèi)時。當Web站點置于內(nèi)部網(wǎng)中時，也要提防內(nèi)部襲擊。對于這種情況，防火墻幾乎無用。例如，若一個心懷不滿的雇員拔掉Web服務器的插頭，將其關閉，防火墻將對此無能為力。防火墻不是萬無一失的，其目的只是加強安全性，而不是保證安全。3.2防火墻的作用Internet的迅速發(fā)展為人們發(fā)布和檢索信息提供了方便，但它也使污染和破壞信息變得更容易。人們?yōu)榱吮Ｗo數(shù)據(jù)和資源的安全，創(chuàng)建了防火墻。

3.2.1配置防火墻的目的

1.數(shù)據(jù)安全的特征防火墻從本質上來說是一種保護裝置，用來保護網(wǎng)絡數(shù)據(jù)、資源和用戶的聲譽。數(shù)據(jù)——用戶保存在計算機里的信息，需要保護的數(shù)據(jù)有3個典型特征：保密性：是指用戶不想讓別人知道自己的信息;完整性：是指用戶不想讓別人修改自己的信息;可用性：是指用戶希望自己能夠使用信息。資源——用戶計算機內(nèi)的數(shù)據(jù)、文件等。聲譽——計算機本身并不存在什么聲譽問題，問題在于一個入侵者會冒充別人的身份出現(xiàn)在Internet上，做一些對別人有害的事情或者冒充別人的身份在網(wǎng)上進行消費，這些費用會由正常用戶來負責清算。國內(nèi)外的資料表明，入侵者一般有這樣幾種類型：尋歡作樂者、破壞者和間諜。2.防火墻的目的防火墻原是建筑物大廈里用來防止火災蔓延的隔斷墻。從理論上講，Internet防火墻服務的原理與其類似，它用來防止Internet上的各類危險傳播到內(nèi)部的網(wǎng)絡內(nèi)。事實上，防火墻服務用于多個目的：限定人們從一個特別的節(jié)點進入；防止入侵者接近你的防御設施；限定人們從一個特別的節(jié)點離開；有效的阻止破壞者對正常用戶的計算機系統(tǒng)進行破壞。Internet防火墻常常被安裝在內(nèi)部網(wǎng)絡和Internet的連接節(jié)點上，如圖3.1所示。所有來自Internet的信息或從內(nèi)部網(wǎng)絡發(fā)出的信息都必須穿過防火墻，因此，防火墻能夠確保諸如電子郵件、文件傳輸、遠程登錄或特定的系統(tǒng)問信息交換的安全。從邏輯上講，防火墻是分離器、限制器和分析器；從物理角度看，各個防火墻的物理實現(xiàn)方式可以有所不同，它們通常是由一組硬件設備(路由器、主機)和軟件的多種組合。3.2.2防火墻的優(yōu)點防火墻能夠做什么呢?下面來討論這個問題。

1.防火墻能強化安全策略因為在Internet上每天都有上百萬的人瀏覽和交換信息，所以不可避免地會出現(xiàn)個別品德不良或違反Internet規(guī)則的人。防火墻是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行網(wǎng)絡的安全策略，僅僅允許經(jīng)許可的、符合規(guī)則的請求通過。

2.防火墻能有效地記錄Internet上的活動因為所有進出內(nèi)部網(wǎng)信息都必須通過防火墻，所以防火墻非常適用收集網(wǎng)絡信息。作為網(wǎng)間訪問的惟一通路，防火墻能夠記錄內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間發(fā)生的所有事件。3.防火墻可以實現(xiàn)網(wǎng)段控制防火墻能夠用來隔開網(wǎng)絡中的某一個網(wǎng)段，這樣它就能夠有效地控制這個網(wǎng)段中的問題在整個網(wǎng)絡中的傳播。4.防火墻是一個安全策略的檢查站所有進出網(wǎng)絡的信息都必須通過防火墻，這樣防火墻便成為一個安全檢查點，把所有可疑的訪問拒之門外。3.2.3防火墻的特性一個好的防火墻系統(tǒng)應具有以下3方面的特性：所有在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)必須通過防火墻；只有被授權的合法數(shù)據(jù)即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)可以通過防火墻；防火墻本身不受各種攻擊的影響。同時，防火墻具有的基本準則是：(1)過濾不安全服務基于這個準則，防火墻應封鎖所有信息流，然后對希望提供的安全服務逐項開放，把不安全的服務或可能有安全隱患的服務一律扼殺在萌芽之中。這是一種非常有效而實用的方法，可以形成十分安全的環(huán)境，因為只有經(jīng)過仔細挑選的服務才能允許被用戶使用。(2)過濾非法用戶和訪問特殊站點基于這個準則，防火墻應先允許所有的用戶和站點對內(nèi)部網(wǎng)絡進行訪問，然后網(wǎng)絡管理員按照IP地址對未授權的用戶或不信任的站點進行逐項屏蔽。這種方法構成了一種更為靈活的應用環(huán)境，網(wǎng)絡管理員可以針對不同的服務面向不同的用戶開放，也就是能自由地設置各個用戶的不同訪問權限。3.2.4防火墻的缺點前面敘述了防火墻的優(yōu)點，但它也存在著一些缺點。

1.防火墻不能防范惡意的知情者防火墻可以禁止用戶通過網(wǎng)絡傳輸機密信息，但用戶可以不通過網(wǎng)絡，比如將數(shù)據(jù)復制到磁盤或磁帶上，然后放在公文包中帶出去。如果入侵者是在防火墻內(nèi)部，那么它也是無能為力的。內(nèi)部用戶可以不通過防火墻而偷竊數(shù)據(jù)、破壞硬件和軟件等等。對于內(nèi)部的威脅只能通過加強管理來防范，如主機安全防范和用戶教育等。2.防火墻不能防范不通過它的連接防火墻能夠有效地防止通過它進行信息傳輸，但它不能防止不通過它的信息傳輸。例如，如果允許對防火墻后面的內(nèi)部系統(tǒng)進行撥號訪問，那么防火墻絕對沒有辦法阻止侵入者進行撥號入侵。3.防火墻不能防備全部的威脅防火墻被用來防備已知的威脅，一個很好的防火墻設計方案可以防備新的威脅，但沒有一個防火墻能自動地防御所有新的威脅。4.防火墻不能防范病毒防火墻不能防范網(wǎng)絡上或PC機中的病毒。雖然許多防火墻可以掃描所有通過它的信息，以決定是否允許它通過，但這種掃描是針對源地址、目標地址和端口號，而不是數(shù)據(jù)的具體內(nèi)容。即使是先進的數(shù)據(jù)包過濾系統(tǒng)，也難以防范病毒，因為病毒的種類太多，而且病毒可以通過許多種手段隱藏在數(shù)據(jù)中。防火墻要檢測隨機數(shù)據(jù)中的病毒十分困難，它要求：(1)確認數(shù)據(jù)包是程序的一部分；(2)確定程序的功能；(3)確定病毒引起的改變。事實上，大多數(shù)防火墻采用不同的方式來保護不同類型的機器。當數(shù)據(jù)在網(wǎng)絡上進行傳輸時，要被打包并經(jīng)常被壓縮，這樣便給病毒帶來了可乘之機。無論防火墻是多么安全，用戶只能在防火墻后面清除病毒。3.3防火墻的分類目前，根據(jù)防火墻在ISO/OSI模型中的邏輯位置和網(wǎng)絡中的物理位置及其所具備的功能，可以將其分為兩大類：基本型防火墻和復合型防火墻?；拘头阑饓τ邪^濾路由器和應用型防火墻。復合防火墻將以上兩種基本型防火墻結合使用，主要包括主機屏蔽防火墻和子網(wǎng)屏蔽防火墻。下面對這4種常見的防火墻進行論述。3.3.1包過濾路由器包過濾路由器(packetfilters)在一般路由器的基礎上增加了一些新的安全控制功能，是一個檢查通過它的數(shù)據(jù)包的路由器，包過濾路由器的標準由網(wǎng)絡管理員在網(wǎng)絡訪問控制表(accesscontrollist)中設定，以檢查包的源地址、目的地址及每個IP包的端口。它是在7層協(xié)議的下3層中實現(xiàn)的，包的類型可以攔截和登錄，因此，此類防火墻易于實現(xiàn)對用戶透明的訪問，且費用較低，如圖3.2所示。但包過濾路由器無法有效地區(qū)分同一IP地址的不同用戶，因此安全性較差。圖3.2防火墻常常就是一個具備包過濾功能的簡單路由器，支持Internet安全。這是使Internet聯(lián)接更加安全的一種簡單方法，因為包過濾是路由器的固有屬性。包是網(wǎng)絡上信息流動的單位。在網(wǎng)上傳輸?shù)奈募话阍诎l(fā)出端被劃分成一串數(shù)據(jù)包，經(jīng)過網(wǎng)上的中間站點，最終傳到目的地，然后這些數(shù)據(jù)包中的數(shù)據(jù)又重新組成原來的文件。每個數(shù)據(jù)包有兩個部分：數(shù)據(jù)部分和包頭。包頭中含有源地址和目標地址等信息。包過濾一直是一種簡單而有效的方法，通過攔截數(shù)據(jù)包，讀出并拒絕那些不符合標準的包頭，過濾掉不應入站的信息。包過濾器又稱為篩選路由器，它通過將包頭信息和管理員設定的規(guī)則表進行比較，如果有一條規(guī)則不允許發(fā)送某個包，路由器將它丟棄。包過濾規(guī)則一般基于部分的或全部的包頭信息，例如對于TCP包頭信息為：IP協(xié)議類型、IP源地址、IP目標地址、IP選擇域的內(nèi)容、TCP源端口號、TCP目標端口號和TCPACK標識，其中TCPACK標識指出這個包是否是聯(lián)接中的第一個包，是否是對另一個包的響應。包過濾的一個重要的局限是它不能分辨好的和壞的用戶，只能區(qū)分好的數(shù)據(jù)包和壞的數(shù)據(jù)包。包過濾只能工作在有黑白分明安全策略的網(wǎng)中，即內(nèi)部人是好的，外部人是可疑的。不幸的是，包過濾不能有效到足以保證站點的安全。站點受到許多新的協(xié)議的威脅，它們能毫不費力地通過那些過濾器。例如，對于FTP協(xié)議，包過濾就不十分有效，因為為完成數(shù)據(jù)傳輸，F(xiàn)TP允許聯(lián)接外部服務器并使聯(lián)接返回到端口20。這甚至成為一條規(guī)則附加于路由器之上，即內(nèi)部網(wǎng)絡機器上的端口20可用于探查外部情況。黑客們很容易“欺騙”這些路由器。而防火墻則使這些“欺騙”變得困難，并且?guī)缀醪豢赡軐崿F(xiàn)。在決定實施防火墻計劃之前，先要決定使用哪種類型的防火墻及其設計。3.3.2應用型防火墻應用型防火墻(applicationgateway，又稱雙宿主網(wǎng)關或應用層網(wǎng)關)的物理位置與包過濾路由器一樣，但它的邏輯位置在OSI7層協(xié)議的應用層上，所以主要采用協(xié)議代理服務(proxyservices)。就是在運行防火墻軟件的堡壘主機(bastionhost)上運行代理服務程序Proxy。應用型防火墻不允許網(wǎng)絡間的直接業(yè)務聯(lián)系，而是以堡壘主機作為數(shù)據(jù)轉發(fā)的中轉站。堡壘主機是一個具有兩個網(wǎng)絡界面的主機，每一個網(wǎng)絡界面與它所對應的網(wǎng)絡進行通信。它既能作為服務器接收外來請求，又能作為客戶轉發(fā)請求。如果認為信息是安全的，那么代理服務就會將信息轉發(fā)到相應的主機上，用戶只能夠使用代理服務器支持的服務。在業(yè)務進行時，堡壘主機監(jiān)控全過程并完成詳細的日志(log)和審計(audit)，這就大大地提高了網(wǎng)絡的安全性。應用型防火墻易于建立和維護，造價較低，比包過濾路由器更安全，但缺少透明性。應用型防火墻控制對應用程序的訪問，即允許訪問某些應用程序而阻止訪問其他應用程序。采用的方法是在應用層網(wǎng)關上安裝代理(proxy)軟件，每個代理模塊分別針對不同的應用。例如，遠程登錄代理TelnetProxy負責Telnet在防火墻上的轉發(fā)，文件傳輸代理FTPproxy負責FTP，等等。管理員可以根據(jù)需要安裝相應的代理，用以控制對應應用程序的訪問。各個代理模塊相互無關，即使某個代理模塊的工作發(fā)生問題，只需將它拆卸，不會影響其他代理模塊的正常工作。從而保證了防火墻的安全性。管理員通過配置訪問控制表中的規(guī)則，決定內(nèi)、外部網(wǎng)絡的哪些用戶可以使用應用層網(wǎng)關中的那個代理模塊連接到那個目的站點。實際上，應用型防火墻是運行服務器代理軟件的計算機，通常叫做“堡壘主機”(bastionhost)。由于它采用了一系列安全措施，因而能抵御各種攻擊。(1)應用層網(wǎng)關運行的是一個安全的操作系統(tǒng)，避免了一般操作系統(tǒng)的脆弱性。(2)除安裝代理模塊外，還安裝了用戶認證模塊，能對用戶的身份進行認證。一般采用客戶機／服務器方式，根據(jù)用戶所在網(wǎng)絡的安全級別采用不同的認證方法。可卸掉一切多余的服務。(3)應用層網(wǎng)關除安裝代理模塊外，還維持自己的用戶庫和對象庫。用戶庫保存了用戶名、用戶的認證方式和用戶的管理級別等信息。對象庫則保存有管理員定義的主機名、主機組、網(wǎng)絡和網(wǎng)關等信息。(4)應用網(wǎng)關能記錄通過它的一些信息，如什么樣的用戶在什么時間連接了什么站點。這樣就為識別網(wǎng)絡間諜提供了有價值的信息。代理工作時，用戶首先與代理服務器建立連接，然后將目的站點告知代理，對于合法的請求，代理以應用層網(wǎng)關的身份與目的站建立連接，而代理則在這兩個連接上轉發(fā)數(shù)據(jù)。由以上所述可見，應用型防火墻，能針對各種服務進行全面控制，支持身份認證，提供詳細的審計功能和方便的日志分析工具，比分組過濾路由器更容易配置和測試。但是不透明，要求用戶改變使用習慣。3.3.3主機屏蔽防火墻包過濾路由器雖有較好的透明性，但無法有效地區(qū)分同一IP地址的不同用戶；應用型防火墻可以提供詳細的日志及身份驗證，但又缺少透明性。因此，在實際應用中，往往將兩種防火墻技術結合起來，以取長補短，主機屏蔽防火墻(screenedhostfirewall)就是其中的一種。主機屏蔽防火墻是由一個只需單個網(wǎng)絡端口的應用型防火墻和一個包過濾路由器組成。將它物理地連接在網(wǎng)絡總線上，它的邏輯功能仍工作在應用層上，所有業(yè)務通過它代理服務。Intranet不能直接通過路由器和Internet相聯(lián)系，數(shù)據(jù)包要通過路由器和堡壘主機兩道防線。這個系統(tǒng)的第一個安全設施是過濾路由器，對到來的數(shù)據(jù)包而言，首先要經(jīng)過包過濾路由器的過濾，過濾后的數(shù)據(jù)包被轉發(fā)到堡壘主機上，然后由堡壘主機上應用服務代理對這些數(shù)據(jù)包進行分析，將合法的信息轉發(fā)到Intranet的主機上。外出的數(shù)據(jù)包首先經(jīng)過堡壘主機上的應用服務代理檢查，然后被轉發(fā)到包過濾路由器，最后由包過濾路由器轉發(fā)到外部網(wǎng)絡上。主機屏蔽防火墻設置了兩層安全保護，因此相對比較安全。另外，主機屏蔽防火墻也容易配置，但它對路由器的路由表要求較高。3.3.4子網(wǎng)屏蔽防火墻子網(wǎng)屏蔽防火墻(screenedsubnetfirewall)的保護作用比主機屏蔽防火墻更進了一步，它在被保護的Intranet與Internet之間加入了一個由兩個包過濾路由器和一臺堡壘機組成的子網(wǎng)。被保護的Intranet與Internet不能直接通信，而是通過各自的路由器和堡壘主機打交道。兩臺路由器也不能直接交換信息。子網(wǎng)屏蔽防火墻是最為安全的一種防火墻體系結構。它具有主機屏蔽防火墻的所有優(yōu)點，并且比之更加優(yōu)越。它與主機屏蔽防火墻不同，如果堡壘主機受到破壞的話，入侵者只能訪問到子網(wǎng)。由于子網(wǎng)和Intranet之間還存在一個包過濾路由器，因此，入侵者只能有限地訪問Intranet。雖然子網(wǎng)屏蔽防火墻很優(yōu)越，但實現(xiàn)的代價也很高。它不易配置且增加了堡壘主機轉發(fā)數(shù)據(jù)的復雜性，同時，網(wǎng)絡的訪問速度也要減慢，其費用也明顯高于以上幾種防火墻。3.4防火墻的安全標準在設計防火墻時，除了安全策略以外，還要確定防火墻的類型和拓撲結構。一般來說，防火墻被設置在可信賴的內(nèi)部網(wǎng)絡和不可信賴的外部網(wǎng)絡之間。防火墻相當于一個控流器，可用來監(jiān)視或拒絕應用層的通信業(yè)務，防火墻也可以在網(wǎng)絡層和傳輸層之間運行，在這種情況下，防火墻檢查進入和離去的報文分組的IP和TCP頭部，根據(jù)預先設計的報文分組過濾規(guī)則來拒絕或允許報文分組通過。防火墻技術發(fā)展很快，但是現(xiàn)在標準尚不健全，導致各大防火墻產(chǎn)品供應商生產(chǎn)的防火墻產(chǎn)品兼容性差，給不同廠商的防火墻產(chǎn)品的互聯(lián)帶來了困難。為了解決這個問題，目前已提出了兩個標準。(1)RSA數(shù)據(jù)安全公司與一些防火墻生產(chǎn)廠商(如SunMicrosystem公司、Checkpoint公司、TIS公司等)以及一些TCP／IP協(xié)議開發(fā)商(如FTP公司等)提出了Secure／WAN(S／WAN)標準。它能使在IP層上由支持數(shù)據(jù)加密技術的不同廠家生產(chǎn)的防火墻和TCP／IP協(xié)議具有互操作性，從而解決了建立虛擬專用網(wǎng)(VPN)的一個主要障礙，此標準包含以下兩個部分：防火墻中采用的信息加密技術一致，即加密算法、安全協(xié)議一致，使得遵循此標準生產(chǎn)的防火墻產(chǎn)品能夠實現(xiàn)無縫互聯(lián)，但又不失去加密功能。安全控制策略的規(guī)范性、邏輯上的正確合理性，避免了由于各大防火墻廠商推出的防火墻產(chǎn)品在安全策略上的漏洞而對整個內(nèi)部保護網(wǎng)絡產(chǎn)生的危害。(2)美國國家計算機安全協(xié)會NCSA(nationalcomputersecurityassociation)成立的防火墻開發(fā)商(FWPD,firewallproductdeveloper)聯(lián)盟制訂的防火墻測試標準。3.5在網(wǎng)絡中配置防火墻防火墻的配置是非常重要的。必須保證網(wǎng)絡支持的協(xié)議能夠通過防火墻。尤其是使得使用和TCP端口53的域名系統(tǒng)協(xié)議(domainnamesystemprotocol)能夠通過防火墻。否則的話，組織內(nèi)部的機器就不能解析防火墻外的機器的名字。同樣，如果想讓防火墻內(nèi)外機器能夠通信的話，也得保證防火墻外的機器能夠訪問相應的DNS服務器，這樣他們才能解析防火墻內(nèi)的主機地址。實現(xiàn)防火墻的一個通常的辦法是拒絕絕大部分的從防火墻外發(fā)起的到防火墻內(nèi)的機器的連接。當然特定的機器除外，這種機器是被保證嚴格安全的。必須嚴格限制從防火墻內(nèi)發(fā)起的到防火墻外的連接，必須對這種連接特別小心。必須明白誰會對網(wǎng)絡構成威脅，以及什么會對你構成威脅。禁止從內(nèi)部發(fā)起的連接即意味著內(nèi)部網(wǎng)連接到的主機可能就是潛在的威脅。當然如果防火墻允許任何協(xié)議通過的話，一個惡意的內(nèi)部人員很容易攻破防火墻。防火墻作為網(wǎng)絡安全的一種防護手段，有多種實現(xiàn)方式。建立合理的防護系統(tǒng)，配置有效的防火墻應遵循如下4個基本步驟。(1)風險分析；(2)需求分析；(3)確立安全政策；(4)選擇準確的防護手段，并使之與安全政策保持一致。3.5.1包過濾路由器的配置與實現(xiàn)包(分組)過濾路由器是最簡單也是最常見的防火墻，它位于內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間，除具有路由功能外，再裝上分組過濾軟件，利用分組過濾規(guī)則完成基本的防火墻功能。這種配置的優(yōu)點：(1)容易實現(xiàn)，費用少，如果被保護網(wǎng)絡與外界之間已經(jīng)有一個獨立的路由器，那么只需簡單地加一個分組過濾軟件便可保護整個網(wǎng)絡。(2)分組過濾在網(wǎng)絡層實現(xiàn)，不要求改動應用程序，也不要求用戶學習任何新的東西，用戶感覺不到過濾服務器的存在，因而使用方便。其缺點是：(1)沒有或有很少的日志記錄能力，因此網(wǎng)絡管理員很難確定系統(tǒng)是否正在被入侵或已經(jīng)被入侵了。(2)規(guī)則表隨著應用的深化會很快變得很大而且復雜，這樣不僅規(guī)則難以測試，而且規(guī)則結構出現(xiàn)漏洞的可能性也會增加。(3)這種防火墻的最大弱點是依靠一個單一的部件來保護系統(tǒng)，一旦部件出現(xiàn)問題，會使網(wǎng)絡的大門敞開，而用戶可能還不知道。當前，幾乎所有的分組過濾裝置(篩選路由器或分組過濾網(wǎng)關)都按如下方式操作：(1)對于分組過濾裝置的有關端口必須設置分組過濾準則，也稱為分組過濾規(guī)則。(2)當一個分組到達過濾端口時，將對該分組的頭部進行分析。大多數(shù)分組過濾裝置只檢查IP、TCP或UDP頭部內(nèi)的字段。(3)分組過濾規(guī)則按一定的順序存貯。當一個分組到達時，將按分組規(guī)則的存貯順序依次運用每條規(guī)則對分組進行檢查。(4)如果一條規(guī)則阻塞傳遞或接收一個分組，則不允許該分組通過。(5)如果一條規(guī)則允許傳遞或接收一個分組，則允許該分組通過。(6)如果一個分組不滿足任何規(guī)則，則該分組被阻塞。從規(guī)則(4)和(5)，可以看到將規(guī)則按適當?shù)捻樞蚺帕惺欠浅Ｖ匾?。在配置分組過濾規(guī)則時一個常犯的錯誤就是將分組過濾規(guī)則按錯誤的順序排列。如果一個分組過濾規(guī)則排序有錯，就有可能拒絕進行某些合法的訪問，而又允許訪問本想拒絕的服務。規(guī)則(6)遵循守以下原則：未被明確允許的就將被禁止。這是一個在設計安全可靠的網(wǎng)絡時應該遵循的失效安全原則；與之相對的是一種寬容的原則。即：沒有被明確禁止的就是允許的。如果采用后一種思想來設計分組過濾規(guī)則，就必須仔細考慮分組過濾規(guī)則沒有包括的每一種可能的情況來確保網(wǎng)絡的安全。當一個新的服務被加入到網(wǎng)絡中時，可以很容易地遇到?jīng)]有規(guī)則與之相匹配的情況。在這種情況下，不是先阻塞該服務，從而聽取用戶因為合法的服務被阻塞而抱怨，然后再允許該服務，也可以以網(wǎng)絡安全風險為代價來允許用戶自由地訪問該服務，直到制定了相應的安全規(guī)則為止。3.5.2應用型防火墻的配置與實現(xiàn)應用型防火墻又稱雙宿主網(wǎng)關，使用雙宿主主機實現(xiàn)。雙宿主網(wǎng)關僅用一個代理服務器，代理服務器就是安裝于雙宿主主機的代理服務器軟件。雙宿主主機是一臺有兩塊接口卡(NIC)的計算機，每一塊接口卡有一個IP地址，如圖3.3所示。如果Internet上的一臺計算機想與Intranet上的一個工作站通信，它必須與雙宿主主機上能“看到”的IP地址聯(lián)系，代理服務器軟件通過另一塊網(wǎng)卡(NIC)啟動到對方網(wǎng)絡的連接。應該指出的是，在建立雙宿主主機時，應該關閉操作系統(tǒng)的路由能力，否則從一塊網(wǎng)卡(NIC)到另一塊網(wǎng)卡的通信會繞過代理服務器軟件，而使雙宿主網(wǎng)關失去“防火”作用。SmartWall網(wǎng)關就是一個雙宿主主機。圖3.3雙宿主網(wǎng)關的優(yōu)點：網(wǎng)關將受保護網(wǎng)絡與外界完全隔離。代理服務器提供日志，有助于發(fā)現(xiàn)入侵。由于它本身是一臺主機，可以用于諸如身份驗證服務器及代理服務器，使其具有多種功能。由于域名系統(tǒng)(DNS)的信息不會通過受保護系統(tǒng)傳到外界，所以站點系統(tǒng)的名字和IP地址對Internet是隱蔽的。雙宿主網(wǎng)關不足之處：每項服務必須使用專門設計的代理服務器，即使較新的代理服務器(如AltaVistaFirewall)雖然能處理幾種服務，也不能同時服務。如果防火墻只采用雙宿主網(wǎng)關一個部件，一旦該部件出問題，將使網(wǎng)絡安全受到危害。如果重新安裝操作系統(tǒng)而忘記關掉路由器，將失去安全性。3.5.3主機屏蔽防火墻的配置與實現(xiàn)主機屏蔽防火墻由分組過濾路由器和應用層網(wǎng)關組成。在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間建立了兩道安全屏障，既實現(xiàn)了網(wǎng)絡層安全(包過濾)，又實現(xiàn)了應用層安全(代理服務)。來自Internet的所有通信都直接到過濾路由器，它根據(jù)所設置的規(guī)則過濾這些通信。在多數(shù)情況下與應用層網(wǎng)關之外機器的通信都將被拒絕。網(wǎng)關的代理服務器軟件用自己的規(guī)則，將被允許的通信傳送到受保護的網(wǎng)絡上。在這種情況下，應用層網(wǎng)關只有一塊網(wǎng)絡接口卡，因此它不是雙宿主網(wǎng)關，如圖3.4所示。圖3.4主機屏蔽防火墻比雙宿主機防火墻更靈活，它可以設置成使過濾路由器將某些通信直接傳到Intranet的站點，而不是傳到應用層網(wǎng)關。而且包過濾路由器的規(guī)則比網(wǎng)絡過濾簡單，這是因為多數(shù)或所有通信將直接到應用層網(wǎng)關。此外，它具有雙重保護，安全性更高。但是，要求對兩個部件認真配置以便能協(xié)同工作，例如，將路由器設置成使所有通信路由到代理服務器。即使包過濾規(guī)則較簡單，配置防火墻的工作也會很復雜。另外，系統(tǒng)的靈活性會導致走捷徑而破壞安全。例如，用戶可能試圖避開代理服務器直接與路由器建立聯(lián)系。3.5.4子網(wǎng)屏蔽防火墻的配置與實現(xiàn)子網(wǎng)屏蔽防火墻是在主機屏蔽防火墻配置上再加一個路由器，形成一個被稱為非軍事區(qū)的子網(wǎng)，這個子網(wǎng)還可能被用于信息服務器和其他要求嚴格控制的系統(tǒng)，從而形成三道防線，如圖3.5所示。外部過濾路由器和應用層網(wǎng)關與在主機屏蔽防火墻中的功能相同。內(nèi)部過濾路由器在應用層網(wǎng)關與受保護網(wǎng)絡之間提供附加保護，萬一入侵者通過了外部路由器和應用網(wǎng)關，內(nèi)部路由器還可起到最后一級防御。因此，一個入侵者要進入受保護的網(wǎng)絡比主機過濾防火墻更加困難。但是，它要求的設備和軟件模塊最多，其配置最貴且相當復雜。圖3.53.5.5防火墻與Web服務器之間的配置策略防火墻將極大地增強內(nèi)部網(wǎng)和Web站點的安全。根據(jù)不同的需要，防火墻在網(wǎng)中的配置有很多方式。根據(jù)防火墻和Web服務器所處的位置，總的可以分為3種配置：Web服務器置于防火墻之內(nèi)、Web服務器置于防火墻之外和Web服務器置于防火墻之上。

1.Web服務器置于防火墻之內(nèi)圖3.6是防火墻作用的圖示。在此模式中，Web服務器置于防火墻之內(nèi)。圖3.6將Web服務器裝在防火墻內(nèi)的好處是它得到了安全保護，不容易被黑客闖入，但不易被外界所用。當Web站點主要用于宣傳企業(yè)形象時，顯然這不是好的配置，這時應當將Web服務器放在防火墻之外。2.Web服務器置于防火墻之外圖3.7是Web服務器置于防火墻之外的配置圖示。圖3.7事實上，為保證組織內(nèi)部網(wǎng)絡的安全，將Web服務器完全置于防火墻之外是比較合適的。在這種模式中，Web服務器不受保護，但內(nèi)部網(wǎng)則處于保護之下，即使黑客闖進了受保護的Web站點，內(nèi)部網(wǎng)絡仍是安全的。代理支持在此十分重要，特別是在這種配置中，防火墻對Web站點的保護幾乎不起作用。3.Web服務器置于防火墻之上一些管理者試圖在防火墻機器上運行Web服務器，以此增強Web站點的安全性。這種配置的缺點是，一旦服務器有一點毛病，整個組織和Web站點就全部處于危險之中。圖3.8是此種配置的圖示。圖3.8這種基本配置有多種變化，包括利用代理服務器、雙重防火墻、利用成對的“入”、“出”服務器提供對公眾信息的訪問及內(nèi)部網(wǎng)絡對私人文檔的訪問。一些防火墻的結構不允許將Web服務器設置其外。在這種情況下將不得不打通防火墻?？梢赃@樣做：(1)允許防火墻傳遞對端口80的請求，訪問請求或被限制到Web站點或從Web站點返回(假定你正使用“screenedhost”型防火墻)。(2)可在防火墻機器上安裝代理服務器，但需要一個“雙宿主網(wǎng)關”類型的防火墻。來自Web服務器的所有訪問請求在被代理服務器截獲之后才傳給服務器。對訪問請求的回答直接返回給請求者。3.6防火墻的訪問控制策略訪問控制策略就是說明允許使用用戶網(wǎng)絡設備進行的訪問類型。例如，用戶防火墻的策略可以是“內(nèi)部用戶可以訪問InternetWeb站點和FTP站點或發(fā)送SMTP電子郵件，但只允許來自Internet的SMTP郵件進入內(nèi)部網(wǎng)絡”。內(nèi)容清楚的訪問控制策略有助于保證正確選擇防火墻產(chǎn)品。一個內(nèi)部網(wǎng)路的不同部分也可能使用訪問控制策略。例如，用戶可能具有WAN連接，以支持商業(yè)伙伴的活動。這樣，用戶可能希望限制通過此連接進行訪問的范圍，以保證它們確實被用于工作目的。訪問控制策略規(guī)定了網(wǎng)絡不同部分允許的數(shù)據(jù)流向，還會指定哪些類型的傳輸是允許的，哪些傳輸將被阻塞。在指定訪問控制策略時，用戶可以使用許多不同的參數(shù)說明傳輸流。3.7防火墻的選擇原則設計和選用防火墻首先要明確哪些數(shù)據(jù)是必須保護的，這些數(shù)據(jù)的被侵入會導致什么樣的后果及網(wǎng)絡不同區(qū)域需要什么等級的安全級別。不管采用原始設計還是使用現(xiàn)成的防火墻產(chǎn)品，對于防火墻的安全標準，首先得根據(jù)安全級別確定。其次設計或選用防火墻必須與網(wǎng)絡接口匹配。防火墻可以是軟件或硬件模塊，并能集成于網(wǎng)橋、路由器、網(wǎng)關等設備之中。面對市場上數(shù)十種產(chǎn)品，如何選擇最適合于用戶的產(chǎn)品呢?這應當從安全策略開始考慮。面對市場上數(shù)十種產(chǎn)品，如何選擇最適合于用戶的產(chǎn)品呢?這應當從安全策略開始考慮。3.7.1防火墻自身安全性的考慮大多數(shù)人在選擇防火墻時都將注意力放在防火墻如何控制連接以及防火墻支持多少種服務上，但往往忽略了一點，防火墻也是網(wǎng)絡上的主機設備，也可能存在安全問題。防火墻如果不能確保自身安全，則防火墻的控制功能再強，也終究不能完成保護內(nèi)部網(wǎng)絡的任務。大部分防火墻都安裝在一般的操作系統(tǒng)上，如UNIX、NT系統(tǒng)等。在防火墻主機上執(zhí)行的除了防火墻軟件外，所有的程序、系統(tǒng)核心，也大多來自于操作系統(tǒng)本身的原有程序。當防火墻上所執(zhí)行的軟件出現(xiàn)安全漏洞時，防火墻本身也將受到威脅。此時，任何的防火墻控制機制

都可能失效，因為當一個黑客取得了防火墻上的控制權以后，黑客幾乎可以為所欲為地修改防火墻上的存取規(guī)則，進而侵入更多的系統(tǒng)。因此，防火墻自身仍應有相當高的安全保護。3.7.2防火墻應考慮的特殊需求對于企業(yè)安全政策的某些特殊需求不是每一個防火墻都能提供的，這是選擇防火墻需要考慮的因素之一，常見的需求如下所示。(1)IP轉換(IPaddresstranslation)進行IP轉換有兩個好處：其一是隱藏內(nèi)部網(wǎng)絡真正的IP，這可以使黑客無法直接攻擊內(nèi)部網(wǎng)絡，也是增強防火墻自身安全性問題的主要因素；另一個好處是可以讓內(nèi)部使用保留的IP，這對許多IP不足的企業(yè)是有益的。(2)雙重DNS當內(nèi)部網(wǎng)絡使用沒有注冊的IP地址或是防火墻進行IP轉換時，DNS也必須經(jīng)過轉換。因為，同樣一個主機在內(nèi)部的IP與給予外界的IP將會不同，有的防火墻會提供雙重DNS，有的則必須在不同主機上各安裝一個DNS。(3)虛擬企業(yè)網(wǎng)絡(VPN)VPN可以在防火墻與防火墻之間或移動的Client間對所有網(wǎng)絡傳輸?shù)膬?nèi)容加密，建立一個虛擬通道，讓兩者間感覺是在同一個網(wǎng)絡上，可以安全且不受拘束地互相存取。這對總公司與分公司之間或公司與外出的員工之間，需要直接聯(lián)系又不愿花費大量金錢，申請專線或用長途電話撥號連接時，將會非常有用。(4)掃毒功能大部分防火墻都可以與防病毒防火墻搭配實現(xiàn)掃毒功能。有的防火墻則可以直接集成掃毒功能，差別只是掃毒工作是由防火墻完成或是由另一臺專用計算機完成。(5)特殊控制需求有時候企業(yè)會有特別的控制需求，如限制特定使用者才能發(fā)送Email，F(xiàn)TP只能使用GET(下載)文件而不能使用PUT(上載)文件，限制同時上網(wǎng)人數(shù)、使用時間或BlockJava、ActiveX等，應依需求不同而定。3.7.3防火墻選擇須知當在規(guī)劃網(wǎng)絡時，不能不考慮整體網(wǎng)絡的安全性。而談到網(wǎng)絡安全，就不能忽略防火墻的功能。防火墻產(chǎn)品往往有上千種，如何在其中選擇最符合需要的產(chǎn)品，是用戶最關心的事。在選購防火墻軟件時，應該考慮以下幾點：(1)一個好的防火墻應該是一個整體網(wǎng)絡的保護者一個好的防火墻應該以整體網(wǎng)絡保護者自居，它所保護的對象應該是全部的Intranet，并不僅是那些通過防火墻的使用者。(2)一個好的防火墻必須能彌補其他操作系統(tǒng)之不足一個好的防火墻必須是建立在操作系統(tǒng)之前而不是在操作系統(tǒng)之上，所以操作系統(tǒng)有的漏洞可能并不會影響到一個好的防火墻系統(tǒng)所提供的安全性。由于硬件平臺的普及以及執(zhí)行效率的因素，大部分企業(yè)均會把對外提供各種服務的服務器分散至許多操作平臺上，但在無法保證所有主機安全的情況下，選擇防火墻作為整體安全的保護者是非常明智的。這正說明了操作系統(tǒng)提供安全級別并不一定會直接對整體安全造成影響，因為一個好的防火墻必須能彌補操作系統(tǒng)的不足。(3)一個好的防火墻應該為使用者提供不同平臺的選擇由于防火墻并非完全由硬件構成，所以軟件(操作系統(tǒng))所提供的功能以及執(zhí)行效率一定會影響到整體的表現(xiàn)，而使用者的操作意愿及熟悉程度也是必須考慮的重點。因此一個好的防火墻不但本身要有良好的執(zhí)行效率，也應該提供多平臺的執(zhí)行方式供使用者選擇，畢竟使用者才是完全的控制者。使用者應該選擇—套符合現(xiàn)有環(huán)境需求的軟件，而非為了軟件的限制而改變現(xiàn)有環(huán)境。(4)一個好的防火墻應能向使用者提供完善的售后服務由于有新的產(chǎn)品出現(xiàn)，就會有人研究新的破解方法。所以，一個好的防火墻提供者必須有一個龐大的組織作為使用者的安全后盾，也應該有眾多的使用者所建立的口碑為防火墻作見證。防火墻安裝和投入使用后，并非萬事大吉。要想充分發(fā)揮它的安全防護作用，必須對它進行跟蹤和維護，要與商家保持密切的聯(lián)系，時刻注視商家的動態(tài)。因為商家一旦發(fā)現(xiàn)其產(chǎn)品存在安全漏洞，那么會盡快發(fā)布補救產(chǎn)品，此時應盡快確認真?zhèn)?防止特洛伊木馬等病毒)，并對防火墻軟件進行更新。3.8防火墻技術的展望防火墻技術作為目前用來實現(xiàn)網(wǎng)絡安全的一種手段，主要是用來拒絕未經(jīng)授權的用戶訪問網(wǎng)絡、存取敏感數(shù)據(jù)，同時允許合法用戶不受妨礙地訪問網(wǎng)絡，充分地共享網(wǎng)絡資源。如果使用得當，可以在很大程度上提高網(wǎng)絡的安全性能，但是并不能百分之百地解決網(wǎng)絡上的信息安全問題。比如防火墻雖然能對外部網(wǎng)絡的攻擊進行有效的防護，但對來自內(nèi)部網(wǎng)絡的攻擊卻無能為力。事實上，據(jù)統(tǒng)計，60%以上的網(wǎng)絡安全問題來自內(nèi)部網(wǎng)絡，而且在網(wǎng)絡程序和網(wǎng)絡管理系統(tǒng)中也可能存在缺陷。因此網(wǎng)絡安全單靠防火墻是不夠的，還需要考慮其他技術和非技術的因素，如信息加密技術、制訂法規(guī)、提高網(wǎng)絡管理使用人員的安全意識等?，F(xiàn)在網(wǎng)絡防火墻技術在不斷地發(fā)展，值得研究的課題很多，例如，如何對一個防火墻產(chǎn)品進行危險評估；如何對網(wǎng)絡中傳輸?shù)拿舾袛?shù)據(jù)進行加密，數(shù)據(jù)應在網(wǎng)絡哪一層加密，采用傳統(tǒng)密碼體制還是公鑰密碼體制；如何在網(wǎng)絡協(xié)議中增加鑒別機制對通信雙方的身份進行鑒別，防火墻算法設計，知識工程和專家系統(tǒng)在防火墻安全策略研究中的應用；如何減少對網(wǎng)絡性能的影響，設計開放的與硬件平臺和軟件平臺無關的防火墻產(chǎn)品等等。3.8.1防火墻發(fā)展趨勢考慮到Internet發(fā)展的迅猛勢頭和防火墻產(chǎn)品的更新步伐，要全面展望防火墻技術的發(fā)展幾乎是不可能的。但是，從產(chǎn)品及功能上，卻又可以看出一些動向和趨勢，下面諸點可能是下一步的走向和選擇。防火墻將從目前對子網(wǎng)或內(nèi)部網(wǎng)管理方式向遠程上網(wǎng)集中管理方式發(fā)展。過濾深度不斷加強，從目前的地址、服務過濾，發(fā)展到URL(頁面)過濾，關鍵字過濾和對ActiveX、Java等的過濾，并逐漸有病毒掃除功能。利用防火墻建立專用網(wǎng)(VPN將在較長一段時間內(nèi)，仍然是用戶使用的主流)。IP加密需求越來越強，安全協(xié)議的開發(fā)是一大熱點。單向防火墻(又叫網(wǎng)絡二極管)將作為一種產(chǎn)品門類而出現(xiàn)。對網(wǎng)絡攻擊的檢測和各地告警將成為防火墻的重要功能。安全管理工具不斷完善，特別是可疑活動的日志分析工具等將成為防火墻產(chǎn)品中的一部分。3.8.2防火墻需求的變化根據(jù)上述趨勢，選擇防火墻的標準將集中在以下幾個方面：易于管理性；應用透明性；鑒別與加密功能；操作環(huán)境和硬件要求；VPN的功能；接口的數(shù)量；成本。3.9防火墻實例——天網(wǎng)防火墻簡介

3.9.1天網(wǎng)防火墻簡介天網(wǎng)防火墻(SkyNet-FireWall)個人版(簡稱為天網(wǎng)防火墻)是一個由天網(wǎng)安全實驗室制作的給個人電腦使用的網(wǎng)絡安全程序。它根據(jù)系統(tǒng)管理者設定的安全規(guī)則(securityrules)把守網(wǎng)絡，提供強大的訪問控制、身份認證、應用選通、網(wǎng)絡地址轉換(networkaddresstranslation)、信息過濾、虛擬專網(wǎng)(VPN)、流量控制、虛擬網(wǎng)橋等功能。它可以幫個人用戶抵擋網(wǎng)絡入侵和攻擊，防止信息泄露，并可與天網(wǎng)安全實驗室的網(wǎng)站(WWW.SKY.NET.CN)相配合，根據(jù)可疑的攻擊信息，來找到攻擊者。天網(wǎng)防火墻把網(wǎng)絡分為本地網(wǎng)和互聯(lián)網(wǎng)，可以針對來自不同網(wǎng)絡的信息，來設置不同的安全方案，它適合于任何撥號上網(wǎng)的用戶，也適合通過網(wǎng)絡共享軟件上網(wǎng)的用戶。目前最新的版本是2.4.6測試版本。天網(wǎng)防火墻可在天網(wǎng)安全陣線下載()，在其他專業(yè)下載網(wǎng)站也可以找到天網(wǎng)防火墻。目前天網(wǎng)防火墻已經(jīng)得到了“中國公安部信息安全產(chǎn)品認證”和“中國國家信息安全測評認證中心信息安全產(chǎn)品認證”。3.9.2天網(wǎng)防火墻下載安裝天網(wǎng)防火墻安裝非常簡單，2.4.6測試版本默認文件名為skynet2.46.exe，下載保存完畢后，然后直接運行安裝文件skynet2.46.exe即可(如果裝有老版本的天網(wǎng)防火墻，請先卸截)。在安裝過程時，顯示歡迎界面，如圖3.9所示，下一步是選擇安裝的路徑，“天網(wǎng)”默認的安裝路徑是C：\ProgramFiles\skynet\firewall文件夾，也可以通過單擊右邊的“瀏覽”按鈕來自行設定安裝的路徑，如圖3.10所示。在設定好安裝的路徑后程序會提示建立程序組快捷方式的位置，只要選擇“下一步”就可以了。接下來是一個復制文件的過程，在復制完成后系統(tǒng)會提示必須重新啟動計算機，安裝好的程序才會生效。安裝完成后，按提示重新啟動計算機即可。圖3.9圖3.10安裝注意事項：(1)天網(wǎng)防火墻適用于Widows98/ME/2000/NTSP6操作系統(tǒng)平臺。(2)如果安裝了舊版本的天網(wǎng)防火墻，應先卸載掉。(3)安裝軟件無法寫入或更新使用中的文件，安裝前先關閉所有打開的軟件(包括本公司出品的其他軟件)。(4)安裝軟件時，將復制相關文件至計算機中，可能會被要求重新啟動再次安裝。若安裝程序在安裝中出現(xiàn)錯誤，可能是在計算機的系統(tǒng)文件中已存在名字相同的文件，且此文件正處在其他程序使用中，可以選擇“忽略”錯誤以跳過這些文件的安裝，程序仍可進行安裝。(5)安裝時若出現(xiàn)是否取代舊文件，視系統(tǒng)的具體情形盡量選擇保留較新的文件。3.9.3天網(wǎng)防火墻運行重新啟動計算機后，安裝軟件將新增“天網(wǎng)防火墻個人版”程序組，執(zhí)行這一程序組下的“天網(wǎng)防火墻個人版”。在第一次運行天網(wǎng)防火墻個人版時，會彈出一個注冊碼窗口，“單擊這里免費獲取注冊號！”選項可到天網(wǎng)安全陣線上注冊，用戶將獲得注冊碼，如圖3.11所示。一般天網(wǎng)防火墻運行后會自動縮為托盤上的一個小圖標。圖3.113.9.4使用天網(wǎng)防火墻運行天網(wǎng)防火墻后可以看到一款非常漂亮簡潔的界面，如圖3.12所示。圖3.12這時，可以根據(jù)自己安全需要設置天網(wǎng)防火墻，天網(wǎng)防火墻提供了應用程序規(guī)則設置、自定義IP規(guī)則設置、系統(tǒng)設置、安全級別設置等功能。1.應用程序規(guī)則設置新版天網(wǎng)防火墻對應用程序數(shù)據(jù)包增加了進行底層分析攔截功能，它可以控制應用程序發(fā)送和接收數(shù)據(jù)包的類型、通訊端口，并且決定攔截還是通過，這是目前其他很多軟件防火墻不具有的功能。圖3.13在打開天網(wǎng)防火墻的情況下，啟動的任何應用程序只要有通訊數(shù)據(jù)包發(fā)送和接收存在，都會被天網(wǎng)防火墻先截獲分析，并彈出警告信息窗口，如圖3.13所示，如果不選中“以后都允許”，那么天網(wǎng)防火墻在以后會繼續(xù)截獲該應用程序的數(shù)據(jù)包，并且彈出警告窗口。如果選中“以后都允許”選項，該程序將自動加入到應用程序列表中，天網(wǎng)個人版防火墻將默認不會再攔截該程序發(fā)送和接收的數(shù)據(jù)包，但可以通過“應用程序設置”來設置更為復雜的數(shù)據(jù)包過濾方式。應用程序規(guī)則的設置界面如圖3.14所示。圖3.14單擊該面板每一個程序的選項按鈕，即可設置應用程序的數(shù)據(jù)通過規(guī)則，如圖3.15所示。圖3.15可以設置該應用程序禁止使用TCP或者UDP協(xié)議傳輸，以及設置端口過濾，讓應用程序只能通過固定幾個通信端口或者一個通信端口范圍接收和傳輸數(shù)據(jù)，當操作這些設置時，可以選擇詢問和禁止操作。對應用程序發(fā)送數(shù)據(jù)包的監(jiān)察可以使用戶了解到系統(tǒng)有哪些程序正在進行通信，如現(xiàn)在有一些共享軟件會在運行的時候從設定好的服務器取一些廣告，還有一些惡意的程序會把用戶個人隱私信息發(fā)送出去，如微軟最新要推出WindowsXP操作系統(tǒng)就會把用戶計算機的一些信息發(fā)送到微軟的數(shù)據(jù)庫里面以防止盜版情況，通過天網(wǎng)防火墻可以禁止這些程序數(shù)據(jù)通訊操作。另外，木馬也是一樣的，天網(wǎng)防火墻可以覺察到攻擊者對木馬的控制通訊，這也是新版天網(wǎng)個人版防火墻添加的最令人驚喜的強大功能之一。2.IP規(guī)則設置程序規(guī)則設置是針對每一個應用程序的，而IP規(guī)則設置是針對整個系統(tǒng)的，IP規(guī)則針對整個系統(tǒng)的數(shù)據(jù)包監(jiān)測，IP規(guī)則設置的界面如圖3.16所示。圖3.16防御ICMP攻擊：選擇時，即別人無法用PING的方法來確定用戶的存在。但不影響用戶去PING別人。由于ICMP協(xié)議現(xiàn)在也被用來作為藍屏攻擊的一種方法，而且該協(xié)議對于普通用戶來說，是很少使用到的。防御IGMP攻擊：IGMP是用于傳播的一種協(xié)議，對于Windows的用戶是沒有什么用途的，但現(xiàn)在也被用來作為藍屏攻擊的一種方法，建議選擇此設置，不會對用戶造成影響。TCP數(shù)據(jù)包監(jiān)視：選擇時，可以監(jiān)視機器上所有的TCP端口服務。這是一種對付特洛依木馬客戶端程序的有效方法，因為這些程序也是一種服務程序，如果關閉了TCP端口的服務功能，外部幾乎不可能

與這些程序進行通訊。而且，對于普通用戶來說，在互聯(lián)網(wǎng)上只是用于WWW瀏覽，關閉此功能不會影響用戶的操作。但要注意，如果用戶的機器要執(zhí)行一些服務程序，如FTPSERVER，HTTPSERVER時，一定不要關閉此功能，而且，如果用戶用ICQ來接受文件，也一定要將該功能設置正常，否則，用戶將無法收到別人的文件。另外，選擇監(jiān)視TCP數(shù)據(jù)包，也可以防止許多端口掃描程序的掃描。UDP數(shù)據(jù)包監(jiān)視：選擇時，可以監(jiān)視機器上所有的UDP服務功能。不過通過UDP方式來進行藍屏攻擊比較少見，但有可能會被用來進行激活特洛依木馬的客戶端程序。注意，如果采用了UDP數(shù)據(jù)包發(fā)送的ICQ和OICQ，就不可以選擇阻止該項目，否則，將無法收到別人的ICQ信息。對于規(guī)則的條目，也可以進行排序、刪除、修改等操作，修改操作的按鈕是圖3.16中左起第2個按鈕，操作的界面如圖3.17所示。圖3.17安全規(guī)則的設置是系統(tǒng)最重要的，也是最復雜的地方。如果不熟悉網(wǎng)絡，最好不要調(diào)整它，可以直接使用防火墻默認設計的規(guī)則。如果用戶熟悉網(wǎng)絡，就可以非常靈活地設計適合自己使用的規(guī)則。簡單地說，規(guī)則是一系列的比較條件和一個對數(shù)據(jù)包的動作，就是根據(jù)數(shù)據(jù)包的每一個部分來與設置的條件比較，當符合條件時，就可以確定對該包是放行或者進行阻擋。通過合理地設置規(guī)則就可以把有害的數(shù)據(jù)包阻擋在用戶的機器之外。這個設置界面由3個部分組成：(1)工具條可以單擊上面的按鈕來導入、增加、修改和刪除規(guī)則。由于規(guī)則判斷是由上而下的，還可以通過單擊“規(guī)則上下移動”按鈕調(diào)整規(guī)則的順序(注意：只有相同協(xié)議的規(guī)則才可以調(diào)整相互順序)，當調(diào)整好順序后，可以單擊保存按鈕保存修改的配置。當規(guī)則增加或修改后，為了讓這些規(guī)則生效，還要單擊“應用新規(guī)則”按鈕。(注意：在測試版沒有增加功能)(2)規(guī)則列表這里列出了所有的規(guī)則名稱，該規(guī)則所對應的數(shù)據(jù)包的方向，該規(guī)則所控制的協(xié)議，本機端口，對方地址和對方端口，以及當數(shù)據(jù)包滿足本規(guī)則時所采取的策略。在列表的左邊為該規(guī)則是否有效的標志，如果標記為鉤(√)表示修改規(guī)則有效，否則表示無效。當改變這些標志后，請注意單擊“保存”按鈕。(3)規(guī)則說明然后單擊“導入”按鈕，將規(guī)則加入到防火墻中。單擊“增加”按鈕或選擇一條規(guī)則后單擊“修改”按鈕，就會激活編輯窗口。首先輸入規(guī)則的“名稱”和“說明”，以便于查找和閱讀。然后，選擇該規(guī)則是對進入的數(shù)據(jù)包還是輸出的數(shù)據(jù)包有效?！皩Ψ絀P地址”用于確定選擇數(shù)據(jù)包從那里來或是去哪里，這里有幾點說明：“任何地址”是指數(shù)據(jù)包從任何地方來都適合本規(guī)則，“局域網(wǎng)網(wǎng)絡地址”是指數(shù)據(jù)包來自和發(fā)向局域網(wǎng)，“指定地址”是指可以自己輸入一個地址，“指定的網(wǎng)絡地址”是指可以自己輸入一個網(wǎng)絡和掩碼。除了輸入選擇上面內(nèi)容，還要輸入該規(guī)則所對應的協(xié)議，其中IP協(xié)議不用填寫內(nèi)容。注意，如果輸入了IP協(xié)議的規(guī)則，一定要保證IP協(xié)議規(guī)則的最后一條的內(nèi)容是“對方地址：任何地址；動作：繼續(xù)下一規(guī)則”。TCP協(xié)議要填入本機的端口范圍和對方的端口范圍，如果只是指定一個端口，那么可以在起始端口處錄入該端口，結束處錄入0。如果不想指定任何端口，只要在起始端口都錄入0。TCP標志比較復雜，可以查閱其他資料，如果不選擇任何標志，那么將不會對標志作檢查。ICMP規(guī)定要填入類型和代碼。如果輸入255，則表示任何類型和代碼都符合本規(guī)則，不用填寫內(nèi)容。當一個數(shù)據(jù)包滿足上面的條件時，就可以對該數(shù)據(jù)包采取行動了?！巴ㄐ小保缸屧摂?shù)據(jù)包暢通無阻的進入或出去?！皵r截”，指讓該