計算機網(wǎng)絡(luò)安全教程 第4版 課件 ch4 防火墻技術(shù)

第4章防火墻技術(shù)

內(nèi)容提要：

防火墻概述

防火墻的體系結(jié)構(gòu)

防火墻技術(shù)

防火墻的安全防護技術(shù)

防火墻應(yīng)用示例

個人防火墻

防火墻技術(shù)發(fā)展動態(tài)和趨勢4.1防火墻概述防火墻是一種將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開的方法，是提供信息安全服務(wù)、實現(xiàn)網(wǎng)絡(luò)和信息系統(tǒng)安全的重要基礎(chǔ)設(shè)施，主要用于限制被保護的內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間進行的信息存取及信息傳遞等操作。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，可有效地監(jiān)控內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的任何活動，保證內(nèi)部網(wǎng)絡(luò)的安全。防火墻是位于被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個或一組系統(tǒng)，包括硬件和軟件，構(gòu)成一道屏障，以防止發(fā)生對被保護網(wǎng)絡(luò)的不可預(yù)測的、潛在破壞性的侵擾。防火墻配置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間,它遵循的是一種允許或阻止業(yè)務(wù)來往的網(wǎng)絡(luò)通信安全機制，只允許授權(quán)的通信，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況。4.1.1防火墻的概念

無論何種類型防火墻，從總體上看，都應(yīng)具有以下五大基本功能：4.1.2防火墻的功能過濾進、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的業(yè)務(wù)；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡(luò)攻擊的檢測和告警。防火墻的局限性主要體現(xiàn)在以下方面：：4.1.3防火墻的局限性網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開放性和靈活性為代價防火墻只是整個網(wǎng)絡(luò)安全防護體系的一部分，而且防火墻并非萬無一失

防火墻的發(fā)展簡史

第一代防火墻——采用了包過濾（Packetfilter）技術(shù)。第二代防火墻——電路層防火墻第三代防火墻——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)第四代防火墻——1992年，基于動態(tài)包過濾（Dynamicpacketfilter）技術(shù)第五代防火墻——自適應(yīng)代理（Adaptiveproxy）技術(shù)

防火墻的五大基本功能

過濾進、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的業(yè)務(wù)；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡(luò)攻擊的檢測和告警。4.2防火墻體系結(jié)構(gòu)

防火墻可以在OSI七層中的五層設(shè)置。防火墻從功能上分，通常由以下幾部分組成。防火墻的體系結(jié)構(gòu)目前，防火墻的體系結(jié)構(gòu)一般有以下幾種：（1）雙重宿主主機體系結(jié)構(gòu)；（2）屏蔽主機體系結(jié)構(gòu)；（3）屏蔽子網(wǎng)體系結(jié)構(gòu)。4.2.1雙重宿主主機體系結(jié)構(gòu)

圍繞具有雙重宿主的主機計算機而構(gòu)筑；計算機至少有兩個網(wǎng)絡(luò)接口；計算機充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器；防火墻內(nèi)部的系統(tǒng)能與雙重宿主主機通信；防火墻外部的系統(tǒng)能與雙重宿主主機通信；防火墻內(nèi)部的系不能與外部系統(tǒng)直接通信。

雙重宿主主機體系結(jié)構(gòu)

4.2.2屏蔽主機體系結(jié)構(gòu)

提供安全保護的堡壘主機僅僅與被保護的內(nèi)部網(wǎng)絡(luò)相連；是外部網(wǎng)絡(luò)上的主機連接內(nèi)部網(wǎng)絡(luò)的橋梁；堡壘主機需要擁有高等級的安全；還使用一個單獨的過濾路由器來提供主要安全；路由器中有數(shù)據(jù)包過濾策略。屏蔽主機體系結(jié)構(gòu)

4.2.3屏蔽子網(wǎng)體系結(jié)構(gòu)

1．周邊網(wǎng)絡(luò)周邊網(wǎng)絡(luò)是另一個安全層,是在外部網(wǎng)絡(luò)與被保護的內(nèi)部網(wǎng)絡(luò)之間的附加網(wǎng)絡(luò),提供一個附加的保護層防止內(nèi)部信息流的暴露.2．堡壘主機堡壘主機為內(nèi)部網(wǎng)絡(luò)服務(wù)的功能有：（1）接收外來的電子郵件（SMTP），再分發(fā)給相應(yīng)的站點；（2）接收外來的FTP連接，再轉(zhuǎn)接到內(nèi)部網(wǎng)的匿名FTP服務(wù)器；（3）接收外來的對有關(guān)內(nèi)部網(wǎng)站點的域名服務(wù)（DNS）查詢。堡壘主機向外的服務(wù)功能按以下方法實施：（1）在路由器上設(shè)置數(shù)據(jù)包過濾來允許內(nèi)部的客戶端直接訪問外部的服務(wù)器。（2）設(shè)置代理服務(wù)器在堡壘主機上運行，允許內(nèi)部網(wǎng)的用戶間接地訪問外部網(wǎng)的服務(wù)器。也可以設(shè)置數(shù)據(jù)包過濾，允許內(nèi)部網(wǎng)的用戶與堡壘主機上的代理服務(wù)器進行交互，但是禁止內(nèi)部網(wǎng)的用戶直接與外部網(wǎng)進行通信。3．內(nèi)部路由器保護內(nèi)部的網(wǎng)絡(luò)使之免受外部網(wǎng)和周邊網(wǎng)的侵犯，內(nèi)部路由器完成防火墻的大部分數(shù)據(jù)包過濾工作。

4．外部路由器保護周邊網(wǎng)和內(nèi)部網(wǎng)使之免受來自外部網(wǎng)絡(luò)的侵犯，通常只執(zhí)行非常少的數(shù)據(jù)包過濾。外部路由器一般由外界提供。4.2.4防火墻體系結(jié)構(gòu)的組合形式

（1）使用多堡壘主機；（2）合并內(nèi)部路由器與外部路由器；（3）合并堡壘主機與外部路由器；（4）合并堡壘主機與內(nèi)部路由器；（5）使用多臺內(nèi)部路由器；（6）使用多臺外部路由器；（7）使用多個周邊網(wǎng)絡(luò)；（8）使用雙重宿主主機與屏蔽子網(wǎng)。

4.3

防火墻技術(shù)

從工作原理角度看，防火墻主要可以分為網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻。這兩種類型防火墻的具體實現(xiàn)技術(shù)主要有包過濾技術(shù)、代理服務(wù)技術(shù)、狀態(tài)檢測技術(shù)、NAT技術(shù)等。4.3.1

包過濾防火墻

包過濾防火墻工作在網(wǎng)絡(luò)層利用訪問控制列表（ACL）對數(shù)據(jù)包進行過濾過濾依據(jù)是TCP/IP數(shù)據(jù)包：源地址和目的地址源端口和目的端口優(yōu)點是效率比較高，對用戶透明缺點是難于配置、監(jiān)控和管理,無法有效地區(qū)分同一IP地址的不同用戶

數(shù)據(jù)包過濾的主要依據(jù)有：（1）數(shù)據(jù)包的源地址；（2）數(shù)據(jù)包的目的地址；（3）數(shù)據(jù)包的協(xié)議類型（TCP、UDP、ICMP等）；（4）TCP或UDP的源端口；（5）TCP或UDP的目的端口；（6）ICMP消息類型；包過濾系統(tǒng)能進行以下情況的操作：（1）不讓任何用戶從外部網(wǎng)用Telnet登錄；（2）允許任何用戶使用SMTP往內(nèi)部網(wǎng)發(fā)電子郵件；（3）只允許某臺機器通過NNTP往內(nèi)部網(wǎng)發(fā)新聞。不能進行以下情況的操作：（1）允許某個用戶從外部網(wǎng)用Telnet登錄而不允許其他用戶進行這種操作。（2）允許用戶傳送一些文件而不允許用戶傳送其他文件。（1）包過濾標準必須由包過濾設(shè)備端口存儲起來，這些包過濾標準叫包過濾規(guī)則。（2）當(dāng)包到達端口時，對包的報頭進行語法分析，大部分的包過濾設(shè)備只檢查IP、TCP或UDP報頭中的字段，不檢查數(shù)據(jù)的內(nèi)容。（3）包過濾器規(guī)則以特殊的方式存儲。（4）如果一條規(guī)則阻止包傳輸或接收，此包便不允許通過。（5）如果一條規(guī)則允許包傳輸或接收，該包可以繼續(xù)處理。（6）如果一個包不滿足任何一條規(guī)則，該包被丟棄。

包過濾器操作包過濾器操作包過濾路由器的配置時要注意的問題

（l）協(xié)議的雙向性。（2）“往內(nèi)”與“往外”的含義。（3）“默認允許”與“默認拒絕”。

注意:（1）過濾規(guī)則的排列順序是非常重要的。（2）應(yīng)該遵循自動防止故障的原理：未明確表示允許的便被禁止。

包過濾防火墻的缺陷

（1）不能徹底防止地址欺騙。（2）無法執(zhí)行某些安全策略（3）安全性較差（4）一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾（5）管理功能弱

4.3.2

代理服務(wù)技術(shù)代理服務(wù)（Proxy）是一種較新型的防火墻技術(shù)，它分為：應(yīng)用層網(wǎng)關(guān)電路層網(wǎng)關(guān)。所謂代理服務(wù)器，是指代表客戶處理連接請求的程序。當(dāng)代理服務(wù)器得到一個客戶的連接意圖時，它將核實客戶請求，并用特定的安全化的Proxy應(yīng)用程序來處理連接請求，將處理后的請求傳遞到真實的服務(wù)器上，然后接受服務(wù)器應(yīng)答，并做進一步處理后，將答復(fù)交給發(fā)出請求的最終客戶。代理的工作方式

代理防火墻工作于應(yīng)用層；針對特定的應(yīng)用層協(xié)議；代理服務(wù)器（ProxyServer）作為內(nèi)部網(wǎng)絡(luò)客戶端的服務(wù)器，攔截住所有請求，也向客戶端轉(zhuǎn)發(fā)響應(yīng)；代理客戶機（ProxyClient）負責(zé)代表內(nèi)部客戶端向外部服務(wù)器發(fā)出請求，當(dāng)然也向代理服務(wù)器轉(zhuǎn)發(fā)響應(yīng)；

應(yīng)用層網(wǎng)關(guān)型防火墻

應(yīng)用層網(wǎng)關(guān)防火墻

傳統(tǒng)代理型防火墻；核心技術(shù)就是代理服務(wù)器技術(shù)；基于軟件實現(xiàn)，通常安裝在專用工作站系統(tǒng)上；參與到一個TCP連接的全過程；在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能；優(yōu)點就是安全，是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點；最大缺點就是速度相對比較慢。應(yīng)用層網(wǎng)關(guān)型防火墻

電路層網(wǎng)關(guān)防火墻

通過電路層網(wǎng)關(guān)中繼TCP連接一般采用自適應(yīng)代理技術(shù)有兩個基本要素：自適應(yīng)代理服務(wù)器（AdaptiveProxyServer）動態(tài)包過濾器（DynamicPacketFilter）電路層網(wǎng)關(guān)防火墻

代理技術(shù)的優(yōu)點（1）代理易于配置（2）代理能生成各項記錄（3）代理能靈活、完全地控制進出流量、內(nèi)容（4）代理能過濾數(shù)據(jù)內(nèi)容（5）代理能為用戶提供透明的加密機制（6）代理可以方便地與其他安全手段集成代理技術(shù)的缺點:（1）代理速度較路由器慢；（2）代理對用戶不透明；（3）對于每項服務(wù)代理可能要求不同的服務(wù)器；（4）代理服務(wù)不能保證免受所有協(xié)議弱點的限制；（5）代理不能改進底層協(xié)議的安全性。

4.3.3狀態(tài)檢測技術(shù)基于狀態(tài)檢測技術(shù)的防火墻是由CheckPoint軟件技術(shù)有限公司率先提出的，也稱為動態(tài)包過濾防火墻。基于狀態(tài)檢測技術(shù)的防火墻通過一個在網(wǎng)關(guān)處執(zhí)行網(wǎng)絡(luò)安全策略的檢測引擎而獲得非常好的安全特性。檢測引擎維護一個動態(tài)的狀態(tài)信息表并對后續(xù)的數(shù)據(jù)包進行檢查，一旦發(fā)現(xiàn)某個連接的參數(shù)有意外變化，則立即將其終止。狀態(tài)檢測技術(shù)的工作原理狀態(tài)檢測防火墻監(jiān)視和跟蹤每一個有效連接的狀態(tài)，并根據(jù)這些信息決定是否允許網(wǎng)絡(luò)數(shù)據(jù)包通過防火墻。狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別。狀態(tài)檢測防火墻可提供的額外服務(wù)狀態(tài)檢測防火墻可提供的額外服務(wù)如下：將某些類型的連接重定向到審核服務(wù)中去。例如，到專用Web服務(wù)器的連接，在Web服務(wù)器連接被允許之前，可能被發(fā)到審核服務(wù)器（用一次性口令來使用）。拒絕攜帶某些數(shù)據(jù)的網(wǎng)絡(luò)通信，如帶有附加可執(zhí)行程序的傳入電子消息，或包含ActiveX程序的Web頁面。狀態(tài)檢測技術(shù)跟蹤連接狀態(tài)的方式（1）TCP包通常情況下，防火墻丟棄所有外部的連接企圖，除非已經(jīng)建立起某條特定規(guī)則來處理它們。對內(nèi)部主機試圖連到外部主機的數(shù)據(jù)包，防火墻標記該連接包，允許響應(yīng)及隨后在兩個系統(tǒng)之間的數(shù)據(jù)包通過，直到連接結(jié)束為止。在這種方式下，傳入的包只有在它是響應(yīng)一個已建立的連接時，才會被允許通過。（2）UDP包對傳入的包，若它所使用的地址和UDP包攜帶的協(xié)議與傳出的連接請求匹配，該包就被允許通過。傳入的UDP包不允許通過，除非它是響應(yīng)傳出的請求或已經(jīng)建立了指定的規(guī)則來處理它。防火墻仔細地跟蹤傳出的請求，記錄下所使用的地址、協(xié)議和包的類型，然后對照保存過的信息核對傳入的包，以確保這些包是被請求的。對其他種類的包，情況和UDP包類似。狀態(tài)檢測技術(shù)的特點狀態(tài)檢測防火墻結(jié)合了包過濾防火墻和代理服務(wù)器防火墻的長處，能夠根據(jù)協(xié)議、端口，以及源地址、目的地址的具體情況決定數(shù)據(jù)包是否允許通過。狀態(tài)檢測防火墻具有如下優(yōu)點：（1）高安全性（2）高效性（3）可伸縮性和易擴展性（4）應(yīng)用范圍廣狀態(tài)檢測防火墻的不足主要體現(xiàn)在對大量狀態(tài)信息的處理過程可能會造成網(wǎng)絡(luò)連接的遲滯。4.3.4

NAT技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation，NAT），它是一個Internet工程任務(wù)組（InternetEngineeringTaskForce,IETF）的標準，允許一個整體機構(gòu)以一個公用IP地址出現(xiàn)在互聯(lián)網(wǎng)上。顧名思義，它是一種把內(nèi)部私有IP地址翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。NAT技術(shù)的工作原理NAT就是在局域網(wǎng)內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，而當(dāng)內(nèi)部節(jié)點要與外部網(wǎng)絡(luò)進行通信時，就在網(wǎng)關(guān)處將內(nèi)部地址替換成公用地址，從而在外部公網(wǎng)上正常使用，NAT可以使多臺計算機共享互聯(lián)網(wǎng)連接，這一功能很好地解決了公共IP地址緊缺的問題。NAT屏蔽了內(nèi)部網(wǎng)絡(luò)，所有內(nèi)部網(wǎng)絡(luò)計算機對于公共網(wǎng)絡(luò)來說是不可見的，而內(nèi)部網(wǎng)絡(luò)計算機用戶通常不會意識到NAT的存在。NAT技術(shù)的類型NAT有三種類型：靜態(tài)NAT（StaticNAT）動態(tài)地址NAT（PooledNAT）網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Port-LevelNAT）。NAT技術(shù)的特點NAT技術(shù)的優(yōu)點：所有內(nèi)部的IP地址對外面來說是隱蔽的?？梢允拐麄€內(nèi)部網(wǎng)絡(luò)共享一個IP地址。可以啟用基本的包過濾防火墻安全機制。4.4

防火墻的安全防護技術(shù)

從設(shè)計到配置再到維護都做得很好的防火墻幾乎是不可滲透的。事實上大多數(shù)的攻擊者知道這一點，因而他們往往通過發(fā)掘信任關(guān)系和最薄弱環(huán)節(jié)上的安全脆弱點來繞過防火墻，或者經(jīng)由撥號賬號實施攻擊來避開防火墻。4.4.1

防止防火墻標識被獲取幾乎每種防火墻都會有其獨特的電子特征。也就是說，憑借端口掃描和標識獲取等技巧，攻擊者能夠有效地確定目標網(wǎng)絡(luò)上幾乎每個防火墻的類型、版本和規(guī)則。這種標識之所以重要，是因為一旦標識出目標網(wǎng)絡(luò)的防火墻，攻擊者就能確定它們的脆弱點所在，從而嘗試攻擊它們。為了防止通過直接掃描獲取防火墻標識，可以在防火墻前面的路由器上阻塞這些端口，也可以修改缺省標志。為了防止攻擊者使用nmap技巧查找路由器和防火墻的ACL規(guī)則，應(yīng)該禁止路由器響應(yīng)類型為3代碼為13的ICMP分組的能力。4.4.2

防止穿透防火墻進行掃描防止利用原始分組傳送進行穿透防火墻掃描的策略是阻塞類型為3代碼為13的ICMP消息防止利用源端口掃描進行穿透防火墻掃描的策略是切換到一個基于狀態(tài)或應(yīng)用的代理防火墻，從而對進、出的連接作更好的控制。4.5防火墻應(yīng)用示例

最近幾年，國內(nèi)許多公司紛紛推出國產(chǎn)防火墻產(chǎn)品，其中比較知名的有天融信“獵豹”系列防火墻、啟明星辰防火墻、聯(lián)想網(wǎng)御防火墻等。下面對“獵豹III”系列中的TG-470C防火墻的使用進行簡單介紹。4.5.1

TG-470C防火墻系統(tǒng)組成TG-470C防火墻系統(tǒng)由一套專用硬件設(shè)備（Firewall）搭載其自主知識產(chǎn)權(quán)的安全操作系統(tǒng)—TOS（TopsecOperatingSystem）及一次性用戶口令客戶端軟件（otp.exe）組成。防火墻在網(wǎng)絡(luò)環(huán)境中的邏輯位置依據(jù)安全要求來確定，物理位置根據(jù)網(wǎng)絡(luò)的實際情況確定。目前常用的配置方式是采用WEBUI。4.5.2

WEBUI方式配置示例用戶要求（1）內(nèi)網(wǎng)area_eth2區(qū)域的文檔組（/24）可以上網(wǎng)；允許項目組領(lǐng)導(dǎo)（和）上網(wǎng)，禁止項目組普通員工上網(wǎng)。（2）外網(wǎng)和area_eth0區(qū)域的機器不能訪問研發(fā)部門內(nèi)網(wǎng)；（3）僅允許外網(wǎng)用戶訪問area_eth0區(qū)域的WEB服務(wù)器：真實IP為，虛擬IP為43。內(nèi)網(wǎng)用戶不允許訪問WEB服務(wù)器。配置要點（1）設(shè)置地址對象。（2）設(shè)置區(qū)域?qū)ο蟮娜笔≡L問權(quán)限：area_eth0、area_eth2為禁止訪問，area_eth1為允許訪問。（3）定義源地址轉(zhuǎn)換規(guī)則，保證內(nèi)網(wǎng)用戶能夠訪問外網(wǎng)；定義目的地址轉(zhuǎn)換規(guī)則，使得外網(wǎng)用戶可以訪問area_eth0區(qū)域的WEB服務(wù)器。（4）定義訪問控制規(guī)則，禁止項目組除領(lǐng)導(dǎo)外的普通員工上網(wǎng)；（5）定義訪問控制規(guī)則，允許用戶訪問area_eth0區(qū)域的WEB服務(wù)器。配置步驟1）定義主機、子網(wǎng)地址對象。配置步驟2）定義區(qū)域資源的訪問權(quán)限（整個區(qū)域是否允許訪問）。配置步驟3）選擇防火墻>地址轉(zhuǎn)換，定義地址轉(zhuǎn)換規(guī)則。配置步驟4）選擇菜單防火墻>訪問控制，點擊“添加策略”定義訪問控制規(guī)則。a）配置規(guī)則允許訪問WEB服務(wù)器。由于Web服務(wù)器所在的area_eth0區(qū)域禁止訪問，所以要允許用戶訪問Web服務(wù)器，需要定義訪問控制規(guī)則。配置步驟4）選擇菜單防火墻>訪問控制，點擊“添加策略”定義訪問控制規(guī)則。b）禁止項目組領(lǐng)導(dǎo)以外的普通員工訪問外網(wǎng)。由于外網(wǎng)區(qū)域area_eth1允許訪問，所以需要添加禁止訪問外網(wǎng)的規(guī)則。4.6個人防火墻

個人防火墻是在單臺計算機使用的防火墻軟件，它不但可以監(jiān)視計算機在網(wǎng)絡(luò)上的通信狀況，而且同時注重發(fā)現(xiàn)網(wǎng)絡(luò)中存在的威脅，以做出相應(yīng)的判斷，并根據(jù)其所設(shè)計的安全規(guī)則加以匹配，以防止網(wǎng)絡(luò)有害數(shù)據(jù)的攻擊和破壞。4.6.1

個人防火墻概述個人防火墻是一個運行在單臺計算機上的軟件，它可以截取進出計算機的TCP/IP網(wǎng)絡(luò)連接數(shù)據(jù)包，并使用預(yù)先定義的規(guī)則允許或禁止其連接?？梢詫€人防火墻想象成在用戶計算機上建立了一個虛擬網(wǎng)絡(luò)接口。不再是計算機的操作系統(tǒng)直接通過網(wǎng)卡進行通信，而是以操作系統(tǒng)通過和個人防火墻對話，仔細檢查網(wǎng)絡(luò)通信，然后再通過網(wǎng)卡通信。4.6.2

個人防火墻的主要功能作為一個完整的個人防火墻系統(tǒng)，一般應(yīng)包含以下功能：IP數(shù)據(jù)包過濾功能安全規(guī)則的修訂功能對特定網(wǎng)絡(luò)攻擊數(shù)據(jù)包的攔截功能應(yīng)用程序網(wǎng)絡(luò)訪問控制功能網(wǎng)絡(luò)快速切斷/恢復(fù)功能日志記錄功能網(wǎng)絡(luò)攻擊的報警功能產(chǎn)品自身安全功能4.6.3

個人防火墻的特點1．個人防火墻的優(yōu)點（1）增加了保護級別，不需要額外的硬件資源。（2）個人防火墻除了可以抵擋外來攻擊的同時，還可以抵擋內(nèi)部的攻擊。（3）個人防火墻是對公共網(wǎng)絡(luò)中的單個系統(tǒng)提供了保護，能夠為用戶隱蔽暴露在網(wǎng)絡(luò)上的信息，比如IP地址之類的信息等。4.6.3

個人防火墻的特點2．個人防火墻的缺點（1）個人防火墻對公共網(wǎng)絡(luò)只有一個物理接口，導(dǎo)致個人防火墻本身容易受到威脅。（2）個人防火墻在運行時需要占用個人計算機的內(nèi)存、CPU時間等資源。（3）個人防火墻只能對單機提供保護，不能保護網(wǎng)絡(luò)系統(tǒng)。4.6.4主流個人防火墻簡介個人防火墻領(lǐng)域除了專業(yè)的個人防火墻軟件廠商的產(chǎn)品外，許多傳統(tǒng)的反病毒軟件廠商也開始推出自己的個人防火墻產(chǎn)品。典型產(chǎn)品有：ZoneAlarmPro、NortonPersonalFirewall、McAfeeDesktopFirewall、金山網(wǎng)鏢、瑞星個人防火墻、360安全衛(wèi)士等。360木馬防火墻使用簡介360木馬防火墻沒有獨立的安裝和運行程序，是集成在360安全衛(wèi)士中的360家族軟件中的重要組成部分之一。360安全衛(wèi)士是一款免費使用的安全軟件，且界面清晰、操作簡單，使得其迅速占據(jù)了國內(nèi)個人安全軟件的最大份額，而綁定其中的360木馬防火墻也成為了國內(nèi)使用最多的個人防火墻。（1）