防火墙与网络隔离技术课件.ppt

第四章防火墙与网络隔离技术第四章防火墙与网络隔离技术第第4 4章章 防火墙与网络隔离技术防火墙与网络隔离技术传统情况下，当构筑和使用木结构房屋的时候，为防传统情况下，当构筑和使用木结构房屋的时候，为防传统情况下，当构筑和使用木结构房屋的时候，为防传统情况下，当构筑和使用木结构房屋的时候，为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物被称为防火墙。如今，周围作为屏障，这种防护构筑物被称为防火墙。如今，周围作为屏障，这种防护构筑物被称为防火墙。如今，周围作为屏障，这种防护构筑物被称为防火墙。如今，人们借助这个概念，使用人们借助这个概念，使用人们借助这个概念，使用人们借助这个概念，使用“防火墙防火墙防火墙防火墙”来保护敏感的数来保护敏感的数来保护敏感的数来保护敏感的数据不被窃取和篡改，不过，这些防火墙是由先进的计据不被窃取和篡改，不过，这些防火墙是由先进的计据不被窃取和篡改，不过，这些防火墙是由先进的计据不被窃取和篡改，不过，这些防火墙是由先进的计算机系统构成的。防火墙尤如一道护栏隔在被保护的算机系统构成的。防火墙尤如一道护栏隔在被保护的算机系统构成的。防火墙尤如一道护栏隔在被保护的算机系统构成的。防火墙尤如一道护栏隔在被保护的内部网与不安全的非信任网络之间，用来保护计算机内部网与不安全的非信任网络之间，用来保护计算机内部网与不安全的非信任网络之间，用来保护计算机内部网与不安全的非信任网络之间，用来保护计算机网络免受非授权人员的骚扰与黑客的入侵。网络免受非授权人员的骚扰与黑客的入侵。网络免受非授权人员的骚扰与黑客的入侵。网络免受非授权人员的骚扰与黑客的入侵。第第4 4章章 防火墙与网络隔离技术防火墙与网络隔离技术4.1 4.1 防火墙技术及防火墙技术及防火墙技术及防火墙技术及WindowsWindows防火墙配置防火墙配置防火墙配置防火墙配置4.2 4.2 网络隔离技术与网闸应用网络隔离技术与网闸应用网络隔离技术与网闸应用网络隔离技术与网闸应用4.1 防火墙技术及防火墙技术及Windows防火墙配置防火墙配置防火墙可以是非常简单的过滤器，也可能是精心防火墙可以是非常简单的过滤器，也可能是精心防火墙可以是非常简单的过滤器，也可能是精心防火墙可以是非常简单的过滤器，也可能是精心配置的网关，但它们的原理是一样的，都是监测配置的网关，但它们的原理是一样的，都是监测配置的网关，但它们的原理是一样的，都是监测配置的网关，但它们的原理是一样的，都是监测并过滤所有内部网和外部网之间的信息交换。防并过滤所有内部网和外部网之间的信息交换。防并过滤所有内部网和外部网之间的信息交换。防并过滤所有内部网和外部网之间的信息交换。防火墙通常是运行在一台单独计算机之上的一个特火墙通常是运行在一台单独计算机之上的一个特火墙通常是运行在一台单独计算机之上的一个特火墙通常是运行在一台单独计算机之上的一个特别的服务软件，它可以识别并屏蔽非法的请求，别的服务软件，它可以识别并屏蔽非法的请求，别的服务软件，它可以识别并屏蔽非法的请求，别的服务软件，它可以识别并屏蔽非法的请求，保护内部网络敏感的数据不被偷窃和破坏，并记保护内部网络敏感的数据不被偷窃和破坏，并记保护内部网络敏感的数据不被偷窃和破坏，并记保护内部网络敏感的数据不被偷窃和破坏，并记录内外通讯的有关状态信息日志，如通讯发生的录内外通讯的有关状态信息日志，如通讯发生的录内外通讯的有关状态信息日志，如通讯发生的录内外通讯的有关状态信息日志，如通讯发生的时间和进行的操作等。时间和进行的操作等。时间和进行的操作等。时间和进行的操作等。4.1 防火墙技术及防火墙技术及Windows防火墙配置防火墙配置防火墙技术是一种有效的网络安全机制，它主要防火墙技术是一种有效的网络安全机制，它主要防火墙技术是一种有效的网络安全机制，它主要防火墙技术是一种有效的网络安全机制，它主要用于确定哪些内部服务允许外部访问，以及允许用于确定哪些内部服务允许外部访问，以及允许用于确定哪些内部服务允许外部访问，以及允许用于确定哪些内部服务允许外部访问，以及允许哪些外部服务访问内部服务。其基本准则就是：哪些外部服务访问内部服务。其基本准则就是：哪些外部服务访问内部服务。其基本准则就是：哪些外部服务访问内部服务。其基本准则就是：一切未被允许的就是禁止的；一切未被禁止的就一切未被允许的就是禁止的；一切未被禁止的就一切未被允许的就是禁止的；一切未被禁止的就一切未被允许的就是禁止的；一切未被禁止的就是允许的。是允许的。是允许的。是允许的。4.1.1 防火墙技术防火墙技术防火墙是建立在现代通信网络技术和信息安全技防火墙是建立在现代通信网络技术和信息安全技防火墙是建立在现代通信网络技术和信息安全技防火墙是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，并越来越多地应用术基础上的应用性安全技术，并越来越多地应用术基础上的应用性安全技术，并越来越多地应用术基础上的应用性安全技术，并越来越多地应用于专用与公用网络的互联环境之中。于专用与公用网络的互联环境之中。于专用与公用网络的互联环境之中。于专用与公用网络的互联环境之中。4.1.1 防火墙技术防火墙技术1.1.防火墙的作用防火墙的作用防火墙的作用防火墙的作用防火墙应该是不同网络或网络安全域之间信息的唯一防火墙应该是不同网络或网络安全域之间信息的唯一防火墙应该是不同网络或网络安全域之间信息的唯一防火墙应该是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全策略控制出入口，能根据企业的安全策略控制出入口，能根据企业的安全策略控制出入口，能根据企业的安全策略控制 (允许、拒绝、允许、拒绝、允许、拒绝、允许、拒绝、监测监测监测监测)出入网络的信息流，且本身具有较强的抗攻击出入网络的信息流，且本身具有较强的抗攻击出入网络的信息流，且本身具有较强的抗攻击出入网络的信息流，且本身具有较强的抗攻击能力，是提供信息安全服务，实现网络和信息安全的能力，是提供信息安全服务，实现网络和信息安全的能力，是提供信息安全服务，实现网络和信息安全的能力，是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限基础设施。在逻辑上，防火墙是一个分离器，一个限基础设施。在逻辑上，防火墙是一个分离器，一个限基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效地监控着内部网和因制器，也是一个分析器，它有效地监控着内部网和因制器，也是一个分析器，它有效地监控着内部网和因制器，也是一个分析器，它有效地监控着内部网和因特网之间的任何活动，保证了内部网络的安全。如图特网之间的任何活动，保证了内部网络的安全。如图特网之间的任何活动，保证了内部网络的安全。如图特网之间的任何活动，保证了内部网络的安全。如图4.14.1所示。所示。所示。所示。图图图图4.1 4.1 防火墙示意图防火墙示意图防火墙示意图防火墙示意图4.1.1 防火墙技术防火墙技术(1)(1)防火墙是网络安全的屏障。由于只有经过精心防火墙是网络安全的屏障。由于只有经过精心防火墙是网络安全的屏障。由于只有经过精心防火墙是网络安全的屏障。由于只有经过精心选择的应用协议才能通过防火墙，所以防火墙选择的应用协议才能通过防火墙，所以防火墙选择的应用协议才能通过防火墙，所以防火墙选择的应用协议才能通过防火墙，所以防火墙 (作为阻塞点、控制点作为阻塞点、控制点作为阻塞点、控制点作为阻塞点、控制点)能极大地提高内部网络的能极大地提高内部网络的能极大地提高内部网络的能极大地提高内部网络的安全性，并通过过滤不安全的服务而降低风险，安全性，并通过过滤不安全的服务而降低风险，安全性，并通过过滤不安全的服务而降低风险，安全性，并通过过滤不安全的服务而降低风险，使网络环境变得更安全。防火墙同时可以保护网使网络环境变得更安全。防火墙同时可以保护网使网络环境变得更安全。防火墙同时可以保护网使网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击，如络免受基于路由的攻击，如络免受基于路由的攻击，如络免受基于路由的攻击，如IPIP选项中的源路由攻选项中的源路由攻选项中的源路由攻选项中的源路由攻击和击和击和击和ICMPICMP重定向中的重定向路径等。重定向中的重定向路径等。重定向中的重定向路径等。重定向中的重定向路径等。4.1.1 防火墙技术防火墙技术(2)(2)防火墙可以强化网络安全策略。通过以防火墙防火墙可以强化网络安全策略。通过以防火墙防火墙可以强化网络安全策略。通过以防火墙防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置，能将所有安全软件为中心的安全方案配置，能将所有安全软件为中心的安全方案配置，能将所有安全软件为中心的安全方案配置，能将所有安全软件 (如如如如口令、加密、身份认证、审计等口令、加密、身份认证、审计等口令、加密、身份认证、审计等口令、加密、身份认证、审计等)配置在防火墙配置在防火墙配置在防火墙配置在防火墙上。与将网络安全问题分散到各个主机上相比，上。与将网络安全问题分散到各个主机上相比，上。与将网络安全问题分散到各个主机上相比，上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问防火墙的集中安全管理更经济。例如在网络访问防火墙的集中安全管理更经济。例如在网络访问防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统时，一次一密口令系统时，一次一密口令系统时，一次一密口令系统(即每一次加密都使用一个即每一次加密都使用一个即每一次加密都使用一个即每一次加密都使用一个不同的密钥不同的密钥不同的密钥不同的密钥)和其他的身份认证系统完全可以集中和其他的身份认证系统完全可以集中和其他的身份认证系统完全可以集中和其他的身份认证系统完全可以集中于防火墙一身。于防火墙一身。于防火墙一身。于防火墙一身。4.1.1 防火墙技术防火墙技术(3)(3)对网络存取和访问进行监控审计。如果所有的对网络存取和访问进行监控审计。如果所有的对网络存取和访问进行监控审计。如果所有的对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这访问都经过防火墙，那么，防火墙就能记录下这访问都经过防火墙，那么，防火墙就能记录下这访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用些访问并做出日志记录，同时也能提供网络使用些访问并做出日志记录，同时也能提供网络使用些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能情况的统计数据。当发生可疑动作时，防火墙能情况的统计数据。当发生可疑动作时，防火墙能情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻进行适当的报警，并提供网络是否受到监测和攻进行适当的报警，并提供网络是否受到监测和攻进行适当的报警，并提供网络是否受到监测和攻击的详细信息。击的详细信息。击的详细信息。击的详细信息。4.1.1 防火墙技术防火墙技术另外，收集一个网络的使用和误用情况也是非常另外，收集一个网络的使用和误用情况也是非常另外，收集一个网络的使用和误用情况也是非常另外，收集一个网络的使用和误用情况也是非常重要的，这样可以清楚防火墙是否能够抵挡攻击重要的，这样可以清楚防火墙是否能够抵挡攻击重要的，这样可以清楚防火墙是否能够抵挡攻击重要的，这样可以清楚防火墙是否能够抵挡攻击者的探测和攻击，清楚防火墙的控制是否充分。者的探测和攻击，清楚防火墙的控制是否充分。者的探测和攻击，清楚防火墙的控制是否充分。者的探测和攻击，清楚防火墙的控制是否充分。而网络使用统计对网络需求分析和威胁分析等而而网络使用统计对网络需求分析和威胁分析等而而网络使用统计对网络需求分析和威胁分析等而而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。言也是非常重要的。言也是非常重要的。言也是非常重要的。4.1.1 防火墙技术防火墙技术(4)(4)防止内部信息的外泄。通过利用防火墙对内部防止内部信息的外泄。通过利用防火墙对内部防止内部信息的外泄。通过利用防火墙对内部防止内部信息的外泄。通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从网络的划分，可实现内部网重点网段的隔离，从网络的划分，可实现内部网重点网段的隔离，从网络的划分，可实现内部网重点网段的隔离，从而限制局部重点或敏感网络安全问题对全局网络而限制局部重点或敏感网络安全问题对全局网络而限制局部重点或敏感网络安全问题对全局网络而限制局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的造成的影响。再者，隐私是内部网络非常关心的造成的影响。再者，隐私是内部网络非常关心的造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包问题，一个内部网络中不引人注意的细节可能包问题，一个内部网络中不引人注意的细节可能包问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，含了有关安全的线索而引起外部攻击者的兴趣，含了有关安全的线索而引起外部攻击者的兴趣，含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴露了内部网络的某些安全漏洞。甚至因此而暴露了内部网络的某些安全漏洞。甚至因此而暴露了内部网络的某些安全漏洞。甚至因此而暴露了内部网络的某些安全漏洞。4.1.1 防火墙技术防火墙技术使用防火墙就可以隐蔽那些透漏内部细节的例如使用防火墙就可以隐蔽那些透漏内部细节的例如使用防火墙就可以隐蔽那些透漏内部细节的例如使用防火墙就可以隐蔽那些透漏内部细节的例如Finger(Finger(用来查询使用者的资料用来查询使用者的资料用来查询使用者的资料用来查询使用者的资料)，DNS(DNS(域名系域名系域名系域名系统统统统)等服务。等服务。等服务。等服务。FingerFinger显示了主机的所有用户的注册显示了主机的所有用户的注册显示了主机的所有用户的注册显示了主机的所有用户的注册名、真名、最后登录时间和使用名、真名、最后登录时间和使用名、真名、最后登录时间和使用名、真名、最后登录时间和使用shellshell类型等。但类型等。但类型等。但类型等。但是是是是FingerFinger显示的信息非常容易被攻击者所获悉。显示的信息非常容易被攻击者所获悉。显示的信息非常容易被攻击者所获悉。显示的信息非常容易被攻击者所获悉。4.1.1 防火墙技术防火墙技术攻击者可以由此而知道一个系统使用的频繁程度，攻击者可以由此而知道一个系统使用的频繁程度，攻击者可以由此而知道一个系统使用的频繁程度，攻击者可以由此而知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是这个系统是否有用户正在连线上网，这个系统是这个系统是否有用户正在连线上网，这个系统是这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻否在被攻击时引起注意等等。防火墙可以同样阻否在被攻击时引起注意等等。防火墙可以同样阻否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的塞有关内部网络中的塞有关内部网络中的塞有关内部网络中的DNSDNS信息，这样一台主机的信息，这样一台主机的信息，这样一台主机的信息，这样一台主机的域名和域名和域名和域名和IPIP地址就不会被外界所了解。除了安全作地址就不会被外界所了解。除了安全作地址就不会被外界所了解。除了安全作地址就不会被外界所了解。除了安全作用，防火墙还支持具有因特网服务特性的企业内用，防火墙还支持具有因特网服务特性的企业内用，防火墙还支持具有因特网服务特性的企业内用，防火墙还支持具有因特网服务特性的企业内部网络技术体系部网络技术体系部网络技术体系部网络技术体系VPN(VPN(虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络)。4.1.1 防火墙技术防火墙技术2.2.防火墙的种类防火墙的种类防火墙的种类防火墙的种类根据防范的方式和侧重点的不同，防火墙技术可根据防范的方式和侧重点的不同，防火墙技术可根据防范的方式和侧重点的不同，防火墙技术可根据防范的方式和侧重点的不同，防火墙技术可分成很多类型，但总体来讲还是两大类：分组过分成很多类型，但总体来讲还是两大类：分组过分成很多类型，但总体来讲还是两大类：分组过分成很多类型，但总体来讲还是两大类：分组过滤和应用代理。滤和应用代理。滤和应用代理。滤和应用代理。4.1.1 防火墙技术防火墙技术(1)(1)包过滤或分组过滤技术包过滤或分组过滤技术包过滤或分组过滤技术包过滤或分组过滤技术 (Packet filtering)(Packet filtering)。作。作。作。作用于网络层和传输层，通常安装在路由器上，对用于网络层和传输层，通常安装在路由器上，对用于网络层和传输层，通常安装在路由器上，对用于网络层和传输层，通常安装在路由器上，对数据进行选择，它根据分组包头源地址，目的地数据进行选择，它根据分组包头源地址，目的地数据进行选择，它根据分组包头源地址，目的地数据进行选择，它根据分组包头源地址，目的地址和端口号、协议类型址和端口号、协议类型址和端口号、协议类型址和端口号、协议类型 (TCP/UDP/ICMP/IP(TCP/UDP/ICMP/IP tunnel)tunnel)等标志，确定是否允许数据包通过。只有等标志，确定是否允许数据包通过。只有等标志，确定是否允许数据包通过。只有等标志，确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地满足过滤逻辑的数据包才被转发到相应的目的地满足过滤逻辑的数据包才被转发到相应的目的地满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。出口端，其余数据包则被从数据流中丢弃。出口端，其余数据包则被从数据流中丢弃。出口端，其余数据包则被从数据流中丢弃。4.1.1 防火墙技术防火墙技术(2)(2)代理服务技术。也叫应用代理代理服务技术。也叫应用代理代理服务技术。也叫应用代理代理服务技术。也叫应用代理 (Application(Application Proxy)Proxy)和应用网关和应用网关和应用网关和应用网关 (Application Gateway)(Application Gateway)，它作，它作，它作，它作用在应用层，其特点是完全用在应用层，其特点是完全用在应用层，其特点是完全用在应用层，其特点是完全“阻隔阻隔阻隔阻隔”了网络通信了网络通信了网络通信了网络通信流，通过对每种应用服务编制专门的代理程序，流，通过对每种应用服务编制专门的代理程序，流，通过对每种应用服务编制专门的代理程序，流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。与包过滤实现监视和控制应用层通信流的作用。与包过滤实现监视和控制应用层通信流的作用。与包过滤实现监视和控制应用层通信流的作用。与包过滤防火墙不同之处在于内部网和外部网之间不存在防火墙不同之处在于内部网和外部网之间不存在防火墙不同之处在于内部网和外部网之间不存在防火墙不同之处在于内部网和外部网之间不存在直接连接，同时提供审计和日志服务。实际中的直接连接，同时提供审计和日志服务。实际中的直接连接，同时提供审计和日志服务。实际中的直接连接，同时提供审计和日志服务。实际中的应用网关通常由专用工作站实现。如图应用网关通常由专用工作站实现。如图应用网关通常由专用工作站实现。如图应用网关通常由专用工作站实现。如图4.24.2所示。所示。所示。所示。图图图图4.2 4.2 应用代理型防火墙应用代理型防火墙应用代理型防火墙应用代理型防火墙4.1.1 防火墙技术防火墙技术应用代理型防火墙是内部网与外部网的隔离点，应用代理型防火墙是内部网与外部网的隔离点，应用代理型防火墙是内部网与外部网的隔离点，应用代理型防火墙是内部网与外部网的隔离点，工作在工作在工作在工作在OSIOSI模型的最高层，掌握着应用系统中可模型的最高层，掌握着应用系统中可模型的最高层，掌握着应用系统中可模型的最高层，掌握着应用系统中可用作安全决策的全部信息，起着监视和隔绝应用用作安全决策的全部信息，起着监视和隔绝应用用作安全决策的全部信息，起着监视和隔绝应用用作安全决策的全部信息，起着监视和隔绝应用层通信流的作用。同时也常结合过滤器的功能。层通信流的作用。同时也常结合过滤器的功能。层通信流的作用。同时也常结合过滤器的功能。层通信流的作用。同时也常结合过滤器的功能。4.1.1 防火墙技术防火墙技术(3)(3)复合型技术。针对更高安全性的要求，常把基复合型技术。针对更高安全性的要求，常把基复合型技术。针对更高安全性的要求，常把基复合型技术。针对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，于包过滤的方法与基于应用代理的方法结合起来，于包过滤的方法与基于应用代理的方法结合起来，于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。所用主机称为堡垒主机，形成复合型防火墙产品。所用主机称为堡垒主机，形成复合型防火墙产品。所用主机称为堡垒主机，形成复合型防火墙产品。所用主机称为堡垒主机，负责提供代理服务。这种结合通常有屏蔽主机和负责提供代理服务。这种结合通常有屏蔽主机和负责提供代理服务。这种结合通常有屏蔽主机和负责提供代理服务。这种结合通常有屏蔽主机和屏蔽子网这两种防火墙体系结构方案。屏蔽子网这两种防火墙体系结构方案。屏蔽子网这两种防火墙体系结构方案。屏蔽子网这两种防火墙体系结构方案。4.1.1 防火墙技术防火墙技术在屏蔽主机防火墙体系结构中在屏蔽主机防火墙体系结构中在屏蔽主机防火墙体系结构中在屏蔽主机防火墙体系结构中 (图图图图4.3)4.3)，包过滤路，包过滤路，包过滤路，包过滤路由器或防火墙与因特网相连，同时一个堡垒主机由器或防火墙与因特网相连，同时一个堡垒主机由器或防火墙与因特网相连，同时一个堡垒主机由器或防火墙与因特网相连，同时一个堡垒主机安装在内部网络，通过在包过滤路由器或防火墙安装在内部网络，通过在包过滤路由器或防火墙安装在内部网络，通过在包过滤路由器或防火墙安装在内部网络，通过在包过滤路由器或防火墙上过滤规则的设置，使堡垒主机成为因特网上其上过滤规则的设置，使堡垒主机成为因特网上其上过滤规则的设置，使堡垒主机成为因特网上其上过滤规则的设置，使堡垒主机成为因特网上其他节点所能到达的唯一节点，确保内部网络不受他节点所能到达的唯一节点，确保内部网络不受他节点所能到达的唯一节点，确保内部网络不受他节点所能到达的唯一节点，确保内部网络不受未授权外部用户的攻击。未授权外部用户的攻击。未授权外部用户的攻击。未授权外部用户的攻击。图图图图4.3 4.3 屏蔽主机防火墙屏蔽主机防火墙屏蔽主机防火墙屏蔽主机防火墙4.1.1 防火墙技术防火墙技术在屏蔽子网防火墙体系结构中在屏蔽子网防火墙体系结构中在屏蔽子网防火墙体系结构中在屏蔽子网防火墙体系结构中 (图图图图4.4)4.4)，堡垒主机，堡垒主机，堡垒主机，堡垒主机放在一个子网放在一个子网放在一个子网放在一个子网 (非军事区，非军事区，非军事区，非军事区，DMZ)DMZ)内，两个包过滤内，两个包过滤内，两个包过滤内，两个包过滤路由器放在这一子网的两端，使这一子网与因特路由器放在这一子网的两端，使这一子网与因特路由器放在这一子网的两端，使这一子网与因特路由器放在这一子网的两端，使这一子网与因特网及内部网分离，堡垒主机和包过滤路由器共同网及内部网分离，堡垒主机和包过滤路由器共同网及内部网分离，堡垒主机和包过滤路由器共同网及内部网分离，堡垒主机和包过滤路由器共同构成了整个防火墙的安全基础。构成了整个防火墙的安全基础。构成了整个防火墙的安全基础。构成了整个防火墙的安全基础。图图图图4.4 4.4 屏蔽子网防火墙屏蔽子网防火墙屏蔽子网防火墙屏蔽子网防火墙4.1.1 防火墙技术防火墙技术(4)(4)审计技术。通过对网络上发生的各种访问过程审计技术。通过对网络上发生的各种访问过程审计技术。通过对网络上发生的各种访问过程审计技术。通过对网络上发生的各种访问过程进行记录和产生日志，并对日志进行统计分析，进行记录和产生日志，并对日志进行统计分析，进行记录和产生日志，并对日志进行统计分析，进行记录和产生日志，并对日志进行统计分析，从而对资源使用情况进行分析，对异常现象进行从而对资源使用情况进行分析，对异常现象进行从而对资源使用情况进行分析，对异常现象进行从而对资源使用情况进行分析，对异常现象进行追踪监视。追踪监视。追踪监视。追踪监视。4.1.1 防火墙技术防火墙技术3.3.防火墙操作系统防火墙操作系统防火墙操作系统防火墙操作系统防火墙应该建立在安全的操作系统之上，而安全防火墙应该建立在安全的操作系统之上，而安全防火墙应该建立在安全的操作系统之上，而安全防火墙应该建立在安全的操作系统之上，而安全的操作系统来自对专用操作系统的安全加固和改的操作系统来自对专用操作系统的安全加固和改的操作系统来自对专用操作系统的安全加固和改的操作系统来自对专用操作系统的安全加固和改造。从现有的诸多产品看，对安全操作系统内核造。从现有的诸多产品看，对安全操作系统内核造。从现有的诸多产品看，对安全操作系统内核造。从现有的诸多产品看，对安全操作系统内核的固化与改造主要从以下几方面进行：的固化与改造主要从以下几方面进行：的固化与改造主要从以下几方面进行：的固化与改造主要从以下几方面进行：1)1)取消危险的系统调用。取消危险的系统调用。取消危险的系统调用。取消危险的系统调用。2)2)限制命令的执行权限。限制命令的执行权限。限制命令的执行权限。限制命令的执行权限。4.1.1 防火墙技术防火墙技术 3)3)取消取消取消取消IPIP的转发功能。的转发功能。的转发功能。的转发功能。4)4)检查每个分组的接口。检查每个分组的接口。检查每个分组的接口。检查每个分组的接口。5)5)采用随机连接序号。采用随机连接序号。采用随机连接序号。采用随机连接序号。6)6)驻留分组过滤模块。驻留分组过滤模块。驻留分组过滤模块。驻留分组过滤模块。7)7)取消动态路由功能。取消动态路由功能。取消动态路由功能。取消动态路由功能。8)8)采用多个安全内核等。采用多个安全内核等。采用多个安全内核等。采用多个安全内核等。4.1.1 防火墙技术防火墙技术作为一种安全防护设备，防火墙在网络中自然是作为一种安全防护设备，防火墙在网络中自然是作为一种安全防护设备，防火墙在网络中自然是作为一种安全防护设备，防火墙在网络中自然是众多攻击者的目标，故抗攻击能力也是防火墙的众多攻击者的目标，故抗攻击能力也是防火墙的众多攻击者的目标，故抗攻击能力也是防火墙的众多攻击者的目标，故抗攻击能力也是防火墙的必备功能。必备功能。必备功能。必备功能。4.1.1 防火墙技术防火墙技术防火墙也有局限性，存在着一些防火墙不能防范防火墙也有局限性，存在着一些防火墙不能防范防火墙也有局限性，存在着一些防火墙不能防范防火墙也有局限性，存在着一些防火墙不能防范的安全威胁，如防火墙不能防范不经过防火墙的的安全威胁，如防火墙不能防范不经过防火墙的的安全威胁，如防火墙不能防范不经过防火墙的的安全威胁，如防火墙不能防范不经过防火墙的攻击攻击攻击攻击 (例如，如果允许从受保护的网络内部向外例如，如果允许从受保护的网络内部向外例如，如果允许从受保护的网络内部向外例如，如果允许从受保护的网络内部向外拨号，一些用户就可能形成与因特网的直接连接拨号，一些用户就可能形成与因特网的直接连接拨号，一些用户就可能形成与因特网的直接连接拨号，一些用户就可能形成与因特网的直接连接)。另外，防火墙很难防范来自于网络内部的攻击。另外，防火墙很难防范来自于网络内部的攻击。另外，防火墙很难防范来自于网络内部的攻击。另外，防火墙很难防范来自于网络内部的攻击以及病毒的威胁等。以及病毒的威胁等。以及病毒的威胁等。以及病毒的威胁等。4.1.2 防火墙的功能指标防火墙的功能指标防火墙的功能指标主要包括：防火墙的功能指标主要包括：防火墙的功能指标主要包括：防火墙的功能指标主要包括：1)1)产品类型。从产品和技术发展来看，防火墙分为基产品类型。从产品和技术发展来看，防火墙分为基产品类型。从产品和技术发展来看，防火墙分为基产品类型。从产品和技术发展来看，防火墙分为基于路由器的包过滤防火墙、基于通用操作系统的防火于路由器的包过滤防火墙、基于通用操作系统的防火于路由器的包过滤防火墙、基于通用操作系统的防火于路由器的包过滤防火墙、基于通用操作系统的防火墙和基于专用安全操作系统的防火墙。墙和基于专用安全操作系统的防火墙。墙和基于专用安全操作系统的防火墙。墙和基于专用安全操作系统的防火墙。2)2)局域网局域网局域网局域网 (LAN)(LAN)接口。指防火墙所能保护的网络类型，接口。指防火墙所能保护的网络类型，接口。指防火墙所能保护的网络类型，接口。指防火墙所能保护的网络类型，如以太网、快速以太网、千兆以太网、如以太网、快速以太网、千兆以太网、如以太网、快速以太网、千兆以太网、如以太网、快速以太网、千兆以太网、ATMATM、令牌环、令牌环、令牌环、令牌环及及及及FDDIFDDI等。等。等。等。4.1.2 防火墙的功能指标防火墙的功能指标 支持的最大支持的最大支持的最大支持的最大LANLAN接口数：指防火墙所支持的局域网络接口数：指防火墙所支持的局域网络接口数：指防火墙所支持的局域网络接口数：指防火墙所支持的局域网络接口数目，也是其能够保护的不同内网数目。接口数目，也是其能够保护的不同内网数目。接口数目，也是其能够保护的不同内网数目。接口数目，也是其能够保护的不同内网数目。服务器平台：防火墙所运行的操作系统平台服务器平台：防火墙所运行的操作系统平台服务器平台：防火墙所运行的操作系统平台服务器平台：防火墙所运行的操作系统平台 (如如如如 LinuxLinux、UNIXUNIX、Windows 2000/XPWindows 2000/XP、专用安全操作系统等、专用安全操作系统等、专用安全操作系统等、专用安全操作系统等)。3)3)协议支持。除支持协议支持。除支持协议支持。除支持协议支持。除支持IPIP协议之外，又支持协议之外，又支持协议之外，又支持协议之外，又支持AppleTalkAppleTalk、DECnetDECnet、IPXIPX及及及及NETBEUINETBEUI等非等非等非等非IPIP协议。此外还有建协议。此外还有建协议。此外还有建协议。此外还有建立立立立VPNVPN通道的协议、可以在通道的协议、可以在通道的协议、可以在通道的协议、可以在VPNVPN中使用的协议等。中使用的协议等。中使用的协议等。中使用的协议等。4.1.2 防火墙的功能指标防火墙的功能指标 4)4)加密支持。加密支持。加密支持。加密支持。VPNVPN中支持的加密算法，例如数据加密中支持的加密算法，例如数据加密中支持的加密算法，例如数据加密中支持的加密算法，例如数据加密标准标准标准标准DESDES、3DES3DES、RC4RC4以及国内专用的加密算法等。以及国内专用的加密算法等。以及国内专用的加密算法等。以及国内专用的加密算法等。此外还有加密的其他用途，如身份认证、报文完整性此外还有加密的其他用途，如身份认证、报文完整性此外还有加密的其他用途，如身份认证、报文完整性此外还有加密的其他用途，如身份认证、报文完整性认证，密钥分配等，以及是否提供硬件加密方法等。认证，密钥分配等，以及是否提供硬件加密方法等。认证，密钥分配等，以及是否提供硬件加密方法等。认证，密钥分配等，以及是否提供硬件加密方法等。4.1.2 防火墙的功能指标防火墙的功能指标 5)5)认证支持。指防火墙支持的身份认证协议，以及是认证支持。指防火墙支持的身份认证协议，以及是认证支持。指防火墙支持的身份认证协议，以及是认证支持。指防火墙支持的身份认证协议，以及是否支持数字证书等。一般情况下具有一个或多个认证否支持数字证书等。一般情况下具有一个或多个认证否支持数字证书等。一般情况下具有一个或多个认证否支持数字证书等。一般情况下具有一个或多个认证方案，如方案，如方案，如方案，如RADIUSRADIUS、KerberosKerberos、TACACS/TACACS+TACACS/TACACS+、口令方式、数字证书等。防火墙能够为本地或远程用口令方式、数字证书等。防火墙能够为本地或远程用口令方式、数字证书等。防火墙能够为本地或远程用口令方式、数字证书等。防火墙能够为本地或远程用户提供经过认证与授权的对网络资源的访问，防火墙户提供经过认证与授权的对网络资源的访问，防火墙户提供经过认证与授权的对网络资源的访问，防火墙户提供经过认证与授权的对网络资源的访问，防火墙管理员必须决定客户以何种方式通过认证。管理员必须决定客户以何种方式通过认证。管理员必须决定客户以何种方式通过认证。管理员必须决定客户以何种方式通过认证。4.1.2 防火墙的功能指标防火墙的功能指标 6)6)访问控制。包过滤防火墙的过滤规则集由若干条规访问控制。包过滤防火墙的过滤规则集由若干条规访问控制。包过滤防火墙的过滤规则集由若干条规访问控制。包过滤防火墙的过滤规则集由若干条规则组成，它应涵盖对所有出入防火墙的数据包的处理则组成，它应涵盖对所有出入防火墙的数据包的处理则组成，它应涵盖对所有出入防火墙的数据包的处理则组成，它应涵盖对所有出入防火墙的数据包的处理方法，对于没有明确定义的数据包，应该有一个缺省方法，对于没有明确定义的数据包，应该有一个缺省方法，对于没有明确定义的数据包，应该有一个缺省方法，对于没有明确定义的数据包，应该有一个缺省处理方法；过滤规则应易于理解，易于编辑修改；同处理方法；过滤规则应易于理解，易于编辑修改；同处理方法；过滤规则应易于理解，易于编辑修改；同处理方法；过滤规则应易于理解，易于编辑修改；同时应具备一致性检测机制，防止冲突。时应具备一致性检测机制，防止冲突。时应具备一致性检测机制，防止冲突。时应具备一致性检测机制，防止冲突。4.1.2 防火墙的功能指标防火墙的功能指标 应考虑防火墙是否支持应用层代理，如应考虑防火墙是否支持应用层代理，如应考虑防火墙是否支持应用层代理，如应考虑防火墙是否支持应用层代理，如HTTPHTTP、FTPFTP、TELNETTELNET、SNMPSNMP等；是否支持传输层代理服务；是等；是否支持传输层代理服务；是等；是否支持传输层代理服务；是等；是否支持传输层代理服务；是否支持否支持否支持否支持FTPFTP文件类型过滤，允许文件类型过滤，允许文件类型过滤，允许文件类型过滤，允许FTPFTP命令防止某些类命令防止某些类命令防止某些类命令防止某些类型文件通过防火墙；用户操作的代理类型，如型文件通过防火墙；用户操作的代理类型，如型文件通过防火墙；用户操作的代理类型，如型文件通过防火墙；用户操作的代理类型，如HTTPHTTP、POP3POP3；支持网络地址转换；支持网络地址转换；支持网络地址转换；支持网络地址转换 (NAT)(NAT)；是否支持硬件口；是否支持硬件口；是否支持硬件口；是否支持硬件口令、智能卡等。令、智能卡等。令、智能卡等。令、智能卡等。4.1.2 防火墙的功能指标防火墙的功能指标 7)7)防御功能。是否支持防病毒功能，是否支持信息内防御功能。是否支持防病毒功能，是否支持信息内防御功能。是否支持防病毒功能，是否支持信息内防御功能。是否支持防病毒功能，是否支持信息内容过滤，能防御的容过滤，能防御的容过滤，能防御的容过滤，能防御的DoSDoS攻击类型；以及阻止攻击类型；以及阻止攻击类型；以及阻止攻击类型；以及阻止ActiveXActiveX、JavaJava、CookiesCookies、JavascriptJavascript侵入等。侵入等。侵入等。侵入等。8)8)安全特性。是否支持安全特性。是否支持安全特性。是否支持安全特性。是否支持ICMP(ICMP(网间控制报文协议网间控制报文协议网间控制报文协议网间控制报文协议)