第5章 防火墻應用技術

1、第第5章章 防火墻應用技術防火墻應用技術 主講：耿杰主講：耿杰 二二. .技能目標技能目標： 1.掌握防火墻掌握防火墻 的概念、功能的概念、功能 特點及安全性特點及安全性 2.掌握設置天網(wǎng)掌握設置天網(wǎng) 個人防火墻保護個人防火墻保護 系統(tǒng)安全的應用系統(tǒng)安全的應用 三三. .知識鏈接知識鏈接： 1 防火墻概念與防火墻概念與 作用作用 23 常用防火墻系常用防火墻系 統(tǒng)簡介統(tǒng)簡介 防火墻技術的防火墻技術的 分類分類 常見防火墻系常見防火墻系 統(tǒng)結構統(tǒng)結構 課堂討論：課堂討論： 你使用過防火墻沒有你使用過防火墻沒有?你用過的防火墻是什你用過的防火墻是什 么公司的么公司的?你感覺防火墻有什么好處你感覺防

2、火墻有什么好處?。 三三. .知識鏈接知識鏈接： 【案例【案例1】微軟計劃下周發(fā)布八個補丁，其中五個修復嚴重漏洞微軟計劃下周發(fā)布八個補丁，其中五個修復嚴重漏洞 2008年年4月月7日，微軟稱，它計劃在日，微軟稱，它計劃在4月月8日（美國當?shù)貢r間）發(fā)日（美國當?shù)貢r間）發(fā) 布八個安全補丁。其中五個嚴重等級的安全補丁是修復布八個安全補丁。其中五個嚴重等級的安全補丁是修復 windows和和ie瀏覽器中的遠程執(zhí)行代碼安全漏洞。黑客利用這些瀏覽器中的遠程執(zhí)行代碼安全漏洞。黑客利用這些 安全漏洞能夠控制用戶的計算機。安全漏洞能夠控制用戶的計算機。 這些安全補丁適用于這些安全補丁適用于windows vis

3、ta、windows xp、windows 2000、windowsserver2003和和windows server2008等操作系等操作系 統(tǒng)軟件以及統(tǒng)軟件以及ie瀏覽器。用戶在安裝這些補丁之后需要重新啟動計瀏覽器。用戶在安裝這些補丁之后需要重新啟動計 算機。算機。 微軟還計劃修復兩個微軟還計劃修復兩個“重要重要”等級的安全漏洞。這些安全漏洞能等級的安全漏洞。這些安全漏洞能 夠讓夠讓windows受到欺騙或者用戶非法提升權限的攻擊。利用這受到欺騙或者用戶非法提升權限的攻擊。利用這 些安全漏洞能夠在些安全漏洞能夠在office軟件中遠程執(zhí)行代碼。軟件中遠程執(zhí)行代碼。 51 防火墻技術應用基

4、礎防火墻技術應用基礎 三三. .知識鏈接知識鏈接： 防火墻防火墻(firewall)是一種能將內部網(wǎng)和是一種能將內部網(wǎng)和 公眾網(wǎng)分開的方法。它能限制被保護的公眾網(wǎng)分開的方法。它能限制被保護的 網(wǎng)絡與互聯(lián)網(wǎng)絡及其他網(wǎng)絡之間進行的網(wǎng)絡與互聯(lián)網(wǎng)絡及其他網(wǎng)絡之間進行的 信息存取、傳遞等操作。在構建安全的信息存取、傳遞等操作。在構建安全的 網(wǎng)絡環(huán)境過程中，防火墻作為第一道安網(wǎng)絡環(huán)境過程中，防火墻作為第一道安 全防線，正受到越來越多用戶關注。全防線，正受到越來越多用戶關注。 三三. .知識鏈接知識鏈接： 【知識知識1】防火墻概念與作用防火墻概念與作用 1防火墻概念防火墻概念 “防火墻防火墻”原來是指在建筑

5、物中用來隔離不同的房間，防止火原來是指在建筑物中用來隔離不同的房間，防止火 災蔓延的隔斷墻，現(xiàn)在，人們引用這個概念，把用于保護計算災蔓延的隔斷墻，現(xiàn)在，人們引用這個概念，把用于保護計算 機網(wǎng)絡中敏感數(shù)據(jù)不被竊取和篡改的計算機軟硬系統(tǒng)叫做機網(wǎng)絡中敏感數(shù)據(jù)不被竊取和篡改的計算機軟硬系統(tǒng)叫做“防防 火墻火墻”。 防火墻是設置在不同網(wǎng)絡（如可信任的企業(yè)內部網(wǎng)和不可信任防火墻是設置在不同網(wǎng)絡（如可信任的企業(yè)內部網(wǎng)和不可信任 的公共網(wǎng)）或網(wǎng)絡安全域之間的一系列部件的組合。它可通過的公共網(wǎng)）或網(wǎng)絡安全域之間的一系列部件的組合。它可通過 監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽監(jiān)測、限制、更改跨

6、越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽 網(wǎng)絡內部的信息、結構和運行狀況，以此來實現(xiàn)網(wǎng)絡的安全保網(wǎng)絡內部的信息、結構和運行狀況，以此來實現(xiàn)網(wǎng)絡的安全保 護。護。 三三. .知識鏈接知識鏈接： 防火墻實際上是一種訪問控制技術，它在一個被認防火墻實際上是一種訪問控制技術，它在一個被認 為是安全和可信的內部網(wǎng)絡和一個被認為是不那么為是安全和可信的內部網(wǎng)絡和一個被認為是不那么 安全和可信的外部網(wǎng)絡之間設置障礙，阻止對信息安全和可信的外部網(wǎng)絡之間設置障礙，阻止對信息 資源的非法訪問，也可以阻止保密信息從受保護網(wǎng)資源的非法訪問，也可以阻止保密信息從受保護網(wǎng) 絡上被非法輸出。它能允許你絡上被非法輸出。它能允許你

7、“同意同意”的人和數(shù)據(jù)的人和數(shù)據(jù) 進入你的網(wǎng)絡，同時將你進入你的網(wǎng)絡，同時將你“不同意不同意”的人和數(shù)據(jù)拒的人和數(shù)據(jù)拒 之網(wǎng)外。換句話說，如果不通過防火墻，可信網(wǎng)絡之網(wǎng)外。換句話說，如果不通過防火墻，可信網(wǎng)絡 內部和外部的人就無法進行通信。內部和外部的人就無法進行通信。 三三. .知識鏈接知識鏈接： 防火墻是一類防范措施的總稱，不是一個單獨的計算機程序或設備。防火墻是一類防范措施的總稱，不是一個單獨的計算機程序或設備。 在物理上，它通常是一組硬件設備和軟件的多種組合。防火墻是不同在物理上，它通常是一組硬件設備和軟件的多種組合。防火墻是不同 網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)一定的安全

8、政策控網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)一定的安全政策控 制出入網(wǎng)絡的信息流。防火墻本身具有較強的抗攻擊能力，是提供信制出入網(wǎng)絡的信息流。防火墻本身具有較強的抗攻擊能力，是提供信 息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。圖息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。圖5-1為防火墻示意為防火墻示意 圖：圖： 三三. .知識鏈接知識鏈接： 提示：防火墻可分為軟件防火墻和硬件防火墻。提示：防火墻可分為軟件防火墻和硬件防火墻。 2防火墻的作用防火墻的作用 防火墻一方面對經(jīng)過它的網(wǎng)絡通信進行掃描，過濾掉一些可能攻擊內部網(wǎng)絡的數(shù)據(jù)。另防火墻一方面對經(jīng)過它的網(wǎng)絡通信進行掃描，過濾掉一些可能攻擊內

9、部網(wǎng)絡的數(shù)據(jù)。另 一方面防火墻可以關閉不使用的端口，能禁止特定端口聽通信，封鎖特洛伊木馬。它可一方面防火墻可以關閉不使用的端口，能禁止特定端口聽通信，封鎖特洛伊木馬。它可 以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。具體來說，防火墻以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。具體來說，防火墻 的作用主要體現(xiàn)在以下幾個方面：的作用主要體現(xiàn)在以下幾個方面： 1）防火墻是網(wǎng)絡安全的屏障）防火墻是網(wǎng)絡安全的屏障 一個防火墻（作為阻塞點、控制點）能極大地提高一個內部網(wǎng)絡的安全性，并通過過濾一個防火墻（作為阻塞點、控制點）能極大地提高一個內部網(wǎng)絡的安全性，并通過過濾 不安全

10、的服務而降低風險。不安全的服務而降低風險。 2）防火墻可以強化網(wǎng)絡安全策略）防火墻可以強化網(wǎng)絡安全策略 通過以防火墻為中心的安全方案配置通過以防火墻為中心的安全方案配置,能將所有安全軟件能將所有安全軟件(如口令、密碼、身份認證、審計如口令、密碼、身份認證、審計 等等)配置在防火墻上。配置在防火墻上。 3）網(wǎng)絡存取和訪問監(jiān)控審計）網(wǎng)絡存取和訪問監(jiān)控審計 4）防止內部信息的外泄）防止內部信息的外泄 5）防火墻支持具有）防火墻支持具有internet 服務特性的企業(yè)內部網(wǎng)絡技術體系服務特性的企業(yè)內部網(wǎng)絡技術體系vpn 三三. .知識鏈接知識鏈接： 【知識知識2】常用防火墻系統(tǒng)簡介常用防火墻系統(tǒng)簡介

11、1天網(wǎng)防火墻天網(wǎng)防火墻 天網(wǎng)防火墻是國內第一款針對個人用戶的軟件防火墻，擁有強大的訪問控制、信息過濾天網(wǎng)防火墻是國內第一款針對個人用戶的軟件防火墻，擁有強大的訪問控制、信息過濾 和自定義規(guī)則設置等功能，通過對不同的網(wǎng)絡環(huán)境靈活選擇適當?shù)陌踩桨福梢杂行Ш妥远x規(guī)則設置等功能，通過對不同的網(wǎng)絡環(huán)境靈活選擇適當?shù)陌踩桨福梢杂行?抵御木馬、后門病毒、黑客攻擊以及抵御木馬、后門病毒、黑客攻擊以及ie、系統(tǒng)漏洞等安全隱患帶來的威脅。最新版本的、系統(tǒng)漏洞等安全隱患帶來的威脅。最新版本的 包過濾引擎內核，數(shù)據(jù)處理速度更快，占用系統(tǒng)資源極低，能在正常上網(wǎng)的同時最大限包過濾引擎內核，數(shù)據(jù)處理速度更快，占用

12、系統(tǒng)資源極低，能在正常上網(wǎng)的同時最大限 度地保障您機器的安全，是個人上網(wǎng)用戶防止個人文件和私密信息泄露的必備安全軟件。度地保障您機器的安全，是個人上網(wǎng)用戶防止個人文件和私密信息泄露的必備安全軟件。 天網(wǎng)防火墻主要特色：天網(wǎng)防火墻主要特色： 1）嚴密的實時監(jiān)控。監(jiān)控來自外部的安全威脅，過濾所有未授權連接，時刻保護用戶的）嚴密的實時監(jiān)控。監(jiān)控來自外部的安全威脅，過濾所有未授權連接，時刻保護用戶的 系統(tǒng)安全。系統(tǒng)安全。 2）靈活的安全規(guī)則。防火墻規(guī)則可方便地增加、刪除和修改，并根據(jù)自身網(wǎng)絡環(huán)境設置）靈活的安全規(guī)則。防火墻規(guī)則可方便地增加、刪除和修改，并根據(jù)自身網(wǎng)絡環(huán)境設置 合適的安全規(guī)則。合適的安全

13、規(guī)則。 3）應用程序規(guī)則設置。拒絕未經(jīng)授權的內部程序連接網(wǎng)絡，防止木馬病毒泄露秘密信息。）應用程序規(guī)則設置。拒絕未經(jīng)授權的內部程序連接網(wǎng)絡，防止木馬病毒泄露秘密信息。 4）詳細的訪問記錄和完善的報警系統(tǒng)。遇到安全威脅即發(fā)出報警并記錄該威脅的詳細信）詳細的訪問記錄和完善的報警系統(tǒng)。遇到安全威脅即發(fā)出報警并記錄該威脅的詳細信 息，讓您在第一時間了解系統(tǒng)安全狀態(tài)。息，讓您在第一時間了解系統(tǒng)安全狀態(tài)。 5）獨創(chuàng)的擴展安全級別。針對新出現(xiàn)的病毒木馬，官方定期為用戶更新防御規(guī)則，保證）獨創(chuàng)的擴展安全級別。針對新出現(xiàn)的病毒木馬，官方定期為用戶更新防御規(guī)則，保證 您的防火墻能夠隨時抵御新的威脅。您的防火墻能夠

14、隨時抵御新的威脅。 6）完善的密碼保護措施。凡查看、修改或者關閉防火墻，均需提供密碼，防止病毒、黑）完善的密碼保護措施。凡查看、修改或者關閉防火墻，均需提供密碼，防止病毒、黑 客或他人修改用戶的防火墻設置?？突蛩诵薷挠脩舻姆阑饓υO置。 三三. .知識鏈接知識鏈接： 2瑞星防火墻瑞星防火墻2008版簡介版簡介 瑞星個人防火墻瑞星個人防火墻2008版，加強了未知木馬識別、多帳戶管理版，加強了未知木馬識別、多帳戶管理 （家長控制）、（家長控制）、ie瀏覽器監(jiān)控等功能，在專業(yè)性和易用性上有瀏覽器監(jiān)控等功能，在專業(yè)性和易用性上有 了很大的提高，與瑞星殺毒軟件了很大的提高，與瑞星殺毒軟件2008相配合，

15、可以有更好的防相配合，可以有更好的防 護效果。瑞星防火墻護效果。瑞星防火墻2008版主要特色：版主要特色： 1）防火墻多賬號管理，方便用戶管理自己的電腦）防火墻多賬號管理，方便用戶管理自己的電腦 2）未知木馬識別，防范未知木馬的攻擊）未知木馬識別，防范未知木馬的攻擊 3）ie功能調用攔截，使功能調用攔截，使ie瀏覽器不被病毒利用瀏覽器不被病毒利用 4）提供強大的反釣魚、防木馬病毒網(wǎng)站功能）提供強大的反釣魚、防木馬病毒網(wǎng)站功能 5）模塊檢查功能，阻止木馬通過網(wǎng)絡發(fā)送信息）模塊檢查功能，阻止木馬通過網(wǎng)絡發(fā)送信息 三三. .知識鏈接知識鏈接： 【案例案例1】天網(wǎng)防火墻系統(tǒng)設置天網(wǎng)防火墻系統(tǒng)設置 操作

16、步驟操作步驟: : 第1步：在安裝好天網(wǎng)防火墻之后,打開【天網(wǎng)防火墻個人版】窗口,如圖 5-2所示. 操作步驟操作步驟: : 第2步：如果右擊桌面右下角【天網(wǎng)防火墻】圖標,并在彈出的快捷菜單中選擇 【退出】選項,則可退出【天網(wǎng)防火墻個人版】程序。 第3步：單擊主窗口中的【應用程序規(guī)則】按紐,即可打開【應用程序規(guī)則】對 話框,從中可以設置允許()、提示(?)、禁止（）三種方式來判斷是否允許訪問網(wǎng) 絡資源,如圖5-3所示。 操作步驟操作步驟: : 第4步：選擇其中一個程序(如”qq游戲”)，單擊【刪除】按鈕，既可打開【天網(wǎng)防 火墻提示信息】對話框，如圖5-4所示。 操作步驟操作步驟: : 第5步：

17、單擊【確定】按紐之后,將禁止qq游戲使用網(wǎng)絡資源，如果此時再運行qq游 戲，將打開【天網(wǎng)防火墻警告信息】對話框，如圖5-5所示。只有取消勾選【該程序 以后都按照這次的操作運行】復選框并單擊【允許】按紐，該qq游戲程序才可以使用 網(wǎng)絡資源。 操作步驟操作步驟: : 第6步：在【應用程序規(guī)則】對話框選擇一項并雙擊【選項】按紐，即可打開【應 用程序規(guī)則高級設置】對話框，如圖5-6所示。 操作步驟操作步驟: : 第7步：如果選取了“端口范圍”單選按紐，從中即可設定該程序訪問網(wǎng)絡的端口 范圍（本對話框中內容表示firefox程序只能使用01024之間的端口），如圖5-7所 示。 操作步驟操作步驟: :

18、第8步：選擇【端口列表】單選按鈕，在右側列表框處列出了該程序可使用的端 口，如圖5-8所示。 操作步驟操作步驟: : 第9步：在【應用程序規(guī)則】對話框單擊【ip規(guī)則管理】按紐，即可打開【自定義ip 規(guī)則】對話框，單擊其中任一項，即可在列表框中出現(xiàn)對該規(guī)則的描述，如圖5-9所示。 操作步驟操作步驟: : 第10步：在【應用程序規(guī)則】對話框單擊【系統(tǒng)設置】按紐并勾選“啟動”選項組 中的“開機后自動啟動防火墻”復選框，則以后每次啟動計算機時，都將自動運行 天網(wǎng)防火墻。如果單擊【重置】按紐，則會打開【天網(wǎng)防火墻提示信息】對話框， 如圖5-10所示。單擊【確定】按紐，即可刪除所有后來加入的新規(guī)則，而所有

19、被修 改的規(guī)則都將變成初始的默認設置。 操作步驟操作步驟: : 第11步：單擊【向導】按紐，即可打開【天網(wǎng)防火墻設置向導】對話框，如圖5-11 所示。 操作步驟操作步驟: : 第12步：單擊【下一步】按紐，即可進入【安全級別設置】對話框，從 中選擇所要使用的安全級別，如圖5-12所示。 操作步驟操作步驟: : 第13步：單擊【下一步】按紐，即可進入【常用應用程序設置】對話 框，在其中可以選擇防火墻允許訪問網(wǎng)絡的程序。 第14步：單擊【下一步】按紐，即可進入【局域網(wǎng)信息設置】對話框 。其中勾選【開機的時候自動啟動防火墻】復選框，即可讓防火墻在開機 的時候自動開始對電腦進行保護。在“我的局域網(wǎng)的地

20、址是”文本框中， 只要輸入要設定ip地址即可。 第15步：在完成設置之后，單擊【結束】按紐，即可完成對天網(wǎng)防火 墻的系統(tǒng)設置。 操作步驟操作步驟: : （2）限制不必要的用戶數(shù)量 去掉所有的duplicate user帳戶、測試用帳戶、共享帳 號和普通部門帳號等。用戶組策略設置之不理相應權限， 并且經(jīng)常檢查系統(tǒng)的帳戶，刪除已經(jīng)不再使用的帳戶。 這些帳戶很多時候都是黑客們入侵系統(tǒng)的突破口，系統(tǒng) 的帳戶越多，黑客們得到的合法用戶權限的可能性一般 也就越大。國內的windows nt/2000主機，如果系統(tǒng)帳 戶超過10個，一般都能找出一二個弱口令帳戶。 （3）創(chuàng)建兩個管理員用帳號 創(chuàng)建一個只有一般

21、權限的帳號用來收信以及處理一些 日常事物，另一個擁有administrators權限的帳戶只在需 要的時候使用。 操作步驟操作步驟: : （4）系統(tǒng)administrator帳號改名 windows2000的administrator帳戶改名可以有效地防 止攻擊。只是不要使用admin之類的名字，這樣改了等 于沒改，盡量把它偽裝成普通用戶。 （5）創(chuàng)建一個陷阱帳號 創(chuàng)建一個名為”administrator”的本地帳戶，把它的權 限設置成最低，什么事也干不了的那種，并且加上一個 超過10位的超級復雜密碼。這樣可以增加那些入侵的難 度，即使口令被破解，入侵者也會無所作為，并且可以 借此發(fā)現(xiàn)它們的入

22、侵企圖。 操作步驟操作步驟: : 第2步：密碼管理 （1）使用安全密碼 一個好的密碼對于一個網(wǎng)絡是非常重要的，但是它是最容易被忽 略的。 一些管理員創(chuàng)建帳號的時候往往習慣用公司名、計算機名、 或者一些很容易猜中的東西作為用戶名，然后又把這些帳戶的密碼 設置得很簡單，比如“welcome”、“iloveyou”、“l(fā)etmein”或者和 用戶名相同等。這樣的帳戶應該要求用戶在第一次登錄的時候更改 成復雜的密碼，還要注意經(jīng)常更改密碼。安全期內無法破解出來的 密碼就是好密碼，也就是說，如果人家得到了密碼文檔，必須花43 天或者更長的時間才能破解出來，而密碼策略可能是42天必須更改 密碼。 （2）設置

23、屏幕保護密碼 設置屏幕保護密碼也是防止內部人員破壞服務器的一個安全屏障。 還有一點，所有系統(tǒng)用戶使用的機器也最好加上屏幕保護密碼。 操作步驟操作步驟: : 第3步：合理設置瀏覽器的安全屬性 （1）防止microsoft activex攻擊 在ie中打開【工具】的【internet選項】，在【安全】 選項中選擇【i nternet】區(qū)域，將代表安全等級滑動 條上移到合適位置，推薦設為high，然后手工使用 【自定義級別】按鈕，禁止activex的活動。 （2）合理選擇網(wǎng)站的安全等級 慎用可信站點，只有非?？煽康恼军c才能列為可信站 點。在瀏覽器中選擇【工具】菜單，然后在【internet選 項】的

24、【高級】菜單項中設置好安全屬性。 三三. .知識鏈接知識鏈接： 【知識知識1】防火墻技術的分類防火墻技術的分類 防火墻是近十幾年發(fā)展起來的一種保護計算機網(wǎng)絡安防火墻是近十幾年發(fā)展起來的一種保護計算機網(wǎng)絡安 全的技術性措施，它是一個用以阻止網(wǎng)絡中的黑客訪全的技術性措施，它是一個用以阻止網(wǎng)絡中的黑客訪 問某個機構網(wǎng)絡的屏障，在網(wǎng)絡邊界上通過建立起來問某個機構網(wǎng)絡的屏障，在網(wǎng)絡邊界上通過建立起來 的相應網(wǎng)絡監(jiān)控系統(tǒng)來隔離內部和外部網(wǎng)絡，以阻擋的相應網(wǎng)絡監(jiān)控系統(tǒng)來隔離內部和外部網(wǎng)絡，以阻擋 外部網(wǎng)絡的侵入。目前的防火墻主要有以下外部網(wǎng)絡的侵入。目前的防火墻主要有以下2大類：包大類：包 過防火墻和代理防

25、火墻。過防火墻和代理防火墻。 1包過濾防火墻技術包過濾防火墻技術 數(shù)據(jù)包過濾（數(shù)據(jù)包過濾（facket filtering ） 技術是防火墻為系技術是防火墻為系 統(tǒng)提供安全保障的主要技術，它依據(jù)系統(tǒng)內事先設定統(tǒng)提供安全保障的主要技術，它依據(jù)系統(tǒng)內事先設定 的過濾邏輯，通過設備對進出網(wǎng)絡的數(shù)據(jù)流進行有選的過濾邏輯，通過設備對進出網(wǎng)絡的數(shù)據(jù)流進行有選 擇的控制與操作。擇的控制與操作。 52 防火墻技術應用防火墻技術應用 三三. .知識鏈接知識鏈接： 數(shù)據(jù)包過濾技術作為防火墻的應用有數(shù)據(jù)包過濾技術作為防火墻的應用有3種。第一種是路由設備在完種。第一種是路由設備在完 成路由選擇和數(shù)據(jù)轉發(fā)的同時進行包過

26、濾。第成路由選擇和數(shù)據(jù)轉發(fā)的同時進行包過濾。第2種是在工作站上使種是在工作站上使 用軟件進行包過濾。第用軟件進行包過濾。第3種是在一種稱為屏蔽路由器的路由設備上種是在一種稱為屏蔽路由器的路由設備上 啟動包過濾功能。目前較常用的方式是第一種。用戶可以設定一啟動包過濾功能。目前較常用的方式是第一種。用戶可以設定一 系列的規(guī)則，指定允許哪些類型的數(shù)據(jù)包可以流入或流出內部網(wǎng)系列的規(guī)則，指定允許哪些類型的數(shù)據(jù)包可以流入或流出內部網(wǎng) 絡，哪些類型的數(shù)據(jù)包的傳輸應該被攔截。絡，哪些類型的數(shù)據(jù)包的傳輸應該被攔截。 包過濾作用在網(wǎng)絡層和傳輸層，以包過濾作用在網(wǎng)絡層和傳輸層，以ip包信息為基礎，對通過防火包信息為

27、基礎，對通過防火 墻的墻的ip包的源包的源,目的地址，目的地址，tcp/udp的端口標識符及的端口標識符及icmp等進行等進行 檢查。規(guī)定了哪些網(wǎng)絡節(jié)點何時可通過防火墻訪問外部網(wǎng)絡，哪檢查。規(guī)定了哪些網(wǎng)絡節(jié)點何時可通過防火墻訪問外部網(wǎng)絡，哪 些網(wǎng)絡節(jié)點可訪問內部網(wǎng)絡。或者哪些用戶只能使用些網(wǎng)絡節(jié)點可訪問內部網(wǎng)絡。或者哪些用戶只能使用e-mail，而，而 不能使用不能使用telnet和和ftp，哪些用戶只能使用，哪些用戶只能使用telnet,而不能使用而不能使用 ftp等等.可以利用安全策略形式語言描述安全配置規(guī)則，并進行一可以利用安全策略形式語言描述安全配置規(guī)則，并進行一 致性檢查，達到靈活方

28、便配置安全策略的目的。致性檢查，達到靈活方便配置安全策略的目的。 52 防火墻技術應用防火墻技術應用 三三. .知識鏈接知識鏈接： 2代理防火墻技術代理防火墻技術 代理防火墻的主要是因為代理服務器（代理防火墻的主要是因為代理服務器（proxy server）。代理服務器是）。代理服務器是 指代理內部網(wǎng)絡用戶與外部網(wǎng)絡服務器進行信息交換的程序。它可以將指代理內部網(wǎng)絡用戶與外部網(wǎng)絡服務器進行信息交換的程序。它可以將 內部用戶的請求確認后送達外部服務器，同時將外部服務器的響應再送內部用戶的請求確認后送達外部服務器，同時將外部服務器的響應再送 給用戶。這種技術經(jīng)常被用于在給用戶。這種技術經(jīng)常被用于在w

29、eb服務器上高速緩存信息，扮演著服務器上高速緩存信息，扮演著 web客戶和客戶和web服務器之間的中介角色。它主要保存服務器之間的中介角色。它主要保存internet上最常用上最常用 和最近訪問過的內容，可為用戶提供更快的訪問速度，并且提高了網(wǎng)絡和最近訪問過的內容，可為用戶提供更快的訪問速度，并且提高了網(wǎng)絡 安全性。由于代理服務器在外部網(wǎng)絡向內部網(wǎng)絡申請服務時發(fā)揮了中間安全性。由于代理服務器在外部網(wǎng)絡向內部網(wǎng)絡申請服務時發(fā)揮了中間 轉接和隔離的作用，因此又把它叫做代理防火墻。轉接和隔離的作用，因此又把它叫做代理防火墻。 代理防火墻作用在應用層，用來提供應用層服務的控制，其特點是完全代理防火墻作

30、用在應用層，用來提供應用層服務的控制，其特點是完全 阻隔了網(wǎng)絡通信流，通過對每種應用服務編制專門的代理程序。實現(xiàn)監(jiān)阻隔了網(wǎng)絡通信流，通過對每種應用服務編制專門的代理程序。實現(xiàn)監(jiān) 視和控制應用層通信流的作用。所以代理防火墻又被稱為應用代理或應視和控制應用層通信流的作用。所以代理防火墻又被稱為應用代理或應 用層網(wǎng)關型防火墻。用層網(wǎng)關型防火墻。 提示：在實際應用中，很少把以上一種技術當作單獨的安全解決方案，提示：在實際應用中，很少把以上一種技術當作單獨的安全解決方案， 通常是與其他防火墻技術柔和使用，共同組成防火墻系統(tǒng)。通常是與其他防火墻技術柔和使用，共同組成防火墻系統(tǒng)。 52 防火墻技術應用防火墻

31、技術應用 三三. .知識鏈接知識鏈接： 【知識知識2】常見防火墻系統(tǒng)結構常見防火墻系統(tǒng)結構 出于對更高安全性的要求，通常的防火墻系統(tǒng)是多種解決不同問題的技術的有機出于對更高安全性的要求，通常的防火墻系統(tǒng)是多種解決不同問題的技術的有機 組合。例如，把基于包過濾的方法與基于應用代理的方法結合起來。就形成復合組合。例如，把基于包過濾的方法與基于應用代理的方法結合起來。就形成復合 型防火墻產(chǎn)品。目前常見的配置有以下幾種：型防火墻產(chǎn)品。目前常見的配置有以下幾種： 1屏蔽路由器屏蔽路由器 屏蔽路由器是防火墻最基本的構件，是最簡單也是最常見的防火墻。屏蔽路由器屏蔽路由器是防火墻最基本的構件，是最簡單也是最常

32、見的防火墻。屏蔽路由器 作為內外連接的唯一通道，要求所有的報文都必須在此通過檢查。路由器上可以作為內外連接的唯一通道，要求所有的報文都必須在此通過檢查。路由器上可以 安裝基于安裝基于ip層的報文過濾軟件，實現(xiàn)報文過濾功能。許多路由器本身帶有報文過層的報文過濾軟件，實現(xiàn)報文過濾功能。許多路由器本身帶有報文過 濾配置選項，但一般比較簡單。濾配置選項，但一般比較簡單。 這種配置的優(yōu)點是：容易實現(xiàn)、費用少，并且對用戶的要求較少，使用方便。其這種配置的優(yōu)點是：容易實現(xiàn)、費用少，并且對用戶的要求較少，使用方便。其 缺點是：缺點是： 日志記錄能力不強，規(guī)則表龐大、復雜，整個系統(tǒng)依靠單一的部件來進行保護，日志

33、記錄能力不強，規(guī)則表龐大、復雜，整個系統(tǒng)依靠單一的部件來進行保護， 一旦被攻擊，系統(tǒng)管理員很難確定系統(tǒng)是否正在被入侵或已經(jīng)被入侵了。一旦被攻擊，系統(tǒng)管理員很難確定系統(tǒng)是否正在被入侵或已經(jīng)被入侵了。 三三. .知識鏈接知識鏈接： 2雙宿主主機網(wǎng)關雙宿主主機網(wǎng)關 雙宿主主機是一臺安裝有有兩塊網(wǎng)卡的計算機，每塊網(wǎng)卡有各自的雙宿主主機是一臺安裝有有兩塊網(wǎng)卡的計算機，每塊網(wǎng)卡有各自的ip地地 址，并分別與受保護網(wǎng)和外部網(wǎng)相連。如果外部網(wǎng)絡上的計算機想與內址，并分別與受保護網(wǎng)和外部網(wǎng)相連。如果外部網(wǎng)絡上的計算機想與內 部網(wǎng)絡上的計算機進行通信，它就必須與雙宿主主機上與外部相連的部網(wǎng)絡上的計算機進行通信，它

34、就必須與雙宿主主機上與外部相連的ip 地址聯(lián)系，代理服務器軟件再通過另一塊網(wǎng)卡與內部網(wǎng)絡相連接。如圖地址聯(lián)系，代理服務器軟件再通過另一塊網(wǎng)卡與內部網(wǎng)絡相連接。如圖 5-13所示。所示。 三三. .知識鏈接知識鏈接： 3屏蔽主機網(wǎng)關屏蔽主機網(wǎng)關 屏蔽主機網(wǎng)關由屏蔽路由器和應用網(wǎng)關組成，屏蔽路由器的作用屏蔽主機網(wǎng)關由屏蔽路由器和應用網(wǎng)關組成，屏蔽路由器的作用 是包過濾，應用網(wǎng)關的作用是代理服務。這樣，在內部網(wǎng)絡和外是包過濾，應用網(wǎng)關的作用是代理服務。這樣，在內部網(wǎng)絡和外 部網(wǎng)絡之間建立了兩道安全屏障，既實現(xiàn)了網(wǎng)絡層安全，又實現(xiàn)部網(wǎng)絡之間建立了兩道安全屏障，既實現(xiàn)了網(wǎng)絡層安全，又實現(xiàn) 了應用層安全。

35、如圖了應用層安全。如圖5-14所示。所示。 三三. .知識鏈接知識鏈接： 4屏蔽子網(wǎng)屏蔽子網(wǎng) 屏蔽子網(wǎng)系統(tǒng)結構是在屏蔽主機網(wǎng)關的基礎上再加上一個屏蔽路屏蔽子網(wǎng)系統(tǒng)結構是在屏蔽主機網(wǎng)關的基礎上再加上一個屏蔽路 由器，兩個路由器放在子網(wǎng)的兩端，三者形成了一個被稱為由器，兩個路由器放在子網(wǎng)的兩端，三者形成了一個被稱為“非非 軍事區(qū)軍事區(qū)”的子網(wǎng)。如圖的子網(wǎng)。如圖5-15所示。所示。 三三. .知識鏈接知識鏈接： 【案例案例2】應用天網(wǎng)防火墻防范木馬應用天網(wǎng)防火墻防范木馬 操作步驟操作步驟: : 在全面了解天網(wǎng)防火墻的設置之后， 再來講述一下其防范木馬的主要情況。對 于木馬程序第一次運行的情況，可采用

36、如 下防御方法： 第1步：如果在天網(wǎng)防火墻運行時， 木馬服務器程序要打開網(wǎng)絡端口，此時會 彈出【天網(wǎng)防火墻警告信息】對話框，即 可很容易檢測到自己運行的程序是否被綁 定了木馬。 操作步驟操作步驟: : 第2步：如果要想防止某程序使用網(wǎng) 絡資源，則單擊【天網(wǎng)防火墻警告信息】 信息提示框中的【禁止】按紐即可，這樣， 攻擊者就無法通過木馬服務器程序來對被 攻擊者的機器進行遠程控制了。而對于那 些已經(jīng)被植入木馬到計算機中的用戶，則 可以采用如下的防御方法。 操作步驟操作步驟: : 第3步：在天網(wǎng)防火墻主窗口中單擊【增加規(guī)則】按紐，即可打 開【增加ip規(guī)則】對話框，在【規(guī)則】選項組的“名稱”文本框中 輸

37、入“禁止冰河木馬的侵入”，在“說明文本框中輸入“記錄冰河 木馬入侵，方法是記錄7626端口的訪問情況，在發(fā)現(xiàn)有冰河木馬 入侵的時候，同時發(fā)聲”。在【數(shù)據(jù)包方向】下拉列表框中選擇 【接收】選項，再在【對方ip地址】下拉列表框中選擇“任何地址” 項，如圖5-16所示。 操作步驟操作步驟: : 第4步：在【數(shù)據(jù)包協(xié)議類型】下拉列表框中選擇“tcp”選項之后，即可出現(xiàn) tcp類型框，在【本地端口】選項組中設定端口為從7626到7626，如圖5-17所示。在 【數(shù)據(jù)包協(xié)議類型】下拉列表框中選擇udp項之后，將出現(xiàn)udp類型框，在【本地端 口】選項組中設定端口為從7626到7626，如圖5-18所示。 這

38、兩處（tcp/udp）的設置主要是為了監(jiān)聽7626端口而進行的，因為冰河木 馬服務器程序就是使用這個端口與客戶端程序進行通信的。 操作步驟操作步驟: : 第5步：在【當滿足上面條件時】下拉列表框中選擇【通行】選項之后，再在 【同時還】中勾選【記錄】復選框和【發(fā)聲】復選框，如圖5-19所示。此時，在自定 義ip規(guī)則列表框中就可以看到已經(jīng)出現(xiàn)【禁止冰河木馬的侵入】規(guī)則了，如圖5-20所 示。 操作步驟操作步驟: : 經(jīng)過上述設置之后，只要有其他計算機想 通過冰河客戶端程序控制本地計算機，本地計 算機可出現(xiàn)“！”在【天網(wǎng)防火墻】圖標上下 不斷閃爍，并同時還發(fā)出警報聲音。單擊【日 志】按紐之后，天網(wǎng)防

39、火墻可顯示是哪些ip通過 木馬訪問本地計算機的提示信息。 操作步驟操作步驟: : 【案例3】應用天網(wǎng)防火墻開放bt端口 【案例說明】 bt使用的端口為68816889端口這九個端口，而防火墻的默認設置是不允許訪問 這些端口的，它只允許bt軟件訪問網(wǎng)絡，所以有時在一定程度上影響了bt下載速度。 下面打開68816889端口。 【操作步驟】 第1步：在在天網(wǎng)防火墻主窗口中單擊【增加規(guī)則】按紐后，按如下圖5-21設置 ，點擊確定完成新規(guī)則的建立，新規(guī)則命名為bt。 操作步驟操作步驟: : 【案例4】打開21和80端口 很多人都使用了ftp服務器軟件和web服務器，放火墻不僅限制本機訪問外部的服 務器

40、，也限制外部計算機訪問本機。為了web和ftp服務器能正常使用，我們就必須設 置防火墻 【操作步驟】 第1步：按圖5-22設置打開web服務80端口的ip規(guī)則。 操作步驟操作步驟: : 第2步：點擊確定，并使其生效。 第3步：按圖5-23設置打開ftp服務21端口的ip規(guī)則。 v9防火墻技術的發(fā)展趨勢防火墻技術的發(fā)展趨勢 v防火墻技術在經(jīng)歷了從靜態(tài)過濾到狀態(tài)檢測防火墻技術在經(jīng)歷了從靜態(tài)過濾到狀態(tài)檢測 過濾，從網(wǎng)絡層分析到應用層分析的演變后，過濾，從網(wǎng)絡層分析到應用層分析的演變后， 發(fā)展方向會更多地集中在對特定網(wǎng)絡服務和發(fā)展方向會更多地集中在對特定網(wǎng)絡服務和 協(xié)議的分析處理，以及與其他網(wǎng)絡安全設

41、備協(xié)議的分析處理，以及與其他網(wǎng)絡安全設備 的配合與協(xié)作上面。的配合與協(xié)作上面。 v 9防火墻技術的發(fā)展趨勢防火墻技術的發(fā)展趨勢 v 防火墻技術在經(jīng)歷了從靜態(tài)過濾到狀態(tài)檢測過濾防火墻技術在經(jīng)歷了從靜態(tài)過濾到狀態(tài)檢測過濾 v 1深度包檢測深度包檢測 v 傳統(tǒng)的包過濾防火墻主要工作于網(wǎng)絡層，分析的是數(shù)據(jù)報的報頭信息，傳統(tǒng)的包過濾防火墻主要工作于網(wǎng)絡層，分析的是數(shù)據(jù)報的報頭信息， 不對數(shù)據(jù)報內容做分析。由于網(wǎng)絡服務和協(xié)議趨于多樣化和復雜化，不對數(shù)據(jù)報內容做分析。由于網(wǎng)絡服務和協(xié)議趨于多樣化和復雜化， 單純根據(jù)報頭信息已不能提供很好的安全性與可用性。應用網(wǎng)關使用單純根據(jù)報頭信息已不能提供很好的安全性與可

42、用性。應用網(wǎng)關使用 的代理技術可以將分析做到應用層，針對不同的應用協(xié)議做出控制。的代理技術可以將分析做到應用層，針對不同的應用協(xié)議做出控制。 但是代理程序一般著眼于但是代理程序一般著眼于“代理代理”服務，缺乏安全性考慮和可擴展性服務，缺乏安全性考慮和可擴展性 考慮。而且代理程序一般工作在操作系統(tǒng)的用戶級，在大負荷網(wǎng)絡環(huán)考慮。而且代理程序一般工作在操作系統(tǒng)的用戶級，在大負荷網(wǎng)絡環(huán) 境下很容易不堪重負，成為網(wǎng)絡的信息處理瓶頸。境下很容易不堪重負，成為網(wǎng)絡的信息處理瓶頸。 v 深度包檢測是指對數(shù)據(jù)報的分析深人到內存，充分理解各種應用協(xié)議深度包檢測是指對數(shù)據(jù)報的分析深人到內存，充分理解各種應用協(xié)議 的

43、流程以及脆弱性所在，以做出針對性的檢測和保護。實際上在狀態(tài)的流程以及脆弱性所在，以做出針對性的檢測和保護。實際上在狀態(tài) 檢測包過濾中已經(jīng)用到了一些深皮包檢測技術，比如對檢測包過濾中已經(jīng)用到了一些深皮包檢測技術，比如對ftp協(xié)議做狀協(xié)議做狀 態(tài)檢測時，就需要分析到態(tài)檢測時，就需要分析到port命令數(shù)據(jù)報的內容。，從網(wǎng)絡層分析命令數(shù)據(jù)報的內容。，從網(wǎng)絡層分析 到應用層分析的演變后，發(fā)展方向會更多地集中在對特定網(wǎng)絡服務和到應用層分析的演變后，發(fā)展方向會更多地集中在對特定網(wǎng)絡服務和 協(xié)議的分析處理，以及與其他網(wǎng)絡安全設備的配合與協(xié)作上面。協(xié)議的分析處理，以及與其他網(wǎng)絡安全設備的配合與協(xié)作上面。 v 深

44、度包檢測將成為防火墻發(fā)展的下一個階段。例如最具破壞性深度包檢測將成為防火墻發(fā)展的下一個階段。例如最具破壞性 的網(wǎng)絡攻擊如紅色代碼和尼姆達都利用了應用存在的漏洞，這的網(wǎng)絡攻擊如紅色代碼和尼姆達都利用了應用存在的漏洞，這 加大了對應用防火墻的需求。說到保護系統(tǒng)免受類似尼姆達的加大了對應用防火墻的需求。說到保護系統(tǒng)免受類似尼姆達的 攻擊，眾多的應用代理收效甚微。在未來，只依靠代理或狀態(tài)攻擊，眾多的應用代理收效甚微。在未來，只依靠代理或狀態(tài) 包檢測防火墻的企業(yè)遭到應用層攻擊破壞的幾率將大大增加。包檢測防火墻的企業(yè)遭到應用層攻擊破壞的幾率將大大增加。 代理系統(tǒng)對阻擋將來的攻擊并非至關重要。將來防火墻需要

45、更代理系統(tǒng)對阻擋將來的攻擊并非至關重要。將來防火墻需要更 加深入監(jiān)控信息包流，查出惡意行為，并加以阻擋。市場上的加深入監(jiān)控信息包流，查出惡意行為，并加以阻擋。市場上的 包檢測解決方案必須增添功能包檢測解決方案必須增添功能(如特征檢測如特征檢測)尋找己知攻擊，并尋找己知攻擊，并 知道什么是知道什么是“正常正?！绷髁苛髁?基于行為的系統(tǒng)基于行為的系統(tǒng))，以及什么是阻擋，以及什么是阻擋 協(xié)議的異常行為。協(xié)議的異常行為。 v 從防火墻廠商的動態(tài)來觀察，也有跡象表明，防火墻的這個發(fā)從防火墻廠商的動態(tài)來觀察，也有跡象表明，防火墻的這個發(fā) 展階段已經(jīng)到來。展階段已經(jīng)到來。 v2網(wǎng)絡安全產(chǎn)品的系統(tǒng)化網(wǎng)絡安全產(chǎn)

46、品的系統(tǒng)化 v現(xiàn)在有一種提法，叫做現(xiàn)在有一種提法，叫做“建立以防火墻為核心的網(wǎng)絡安全體系建立以防火墻為核心的網(wǎng)絡安全體系”，主要是依據(jù)，主要是依據(jù) 目前網(wǎng)絡安全產(chǎn)品的不斷推出和防火墻在實際使用中表現(xiàn)出的越來越大的局限目前網(wǎng)絡安全產(chǎn)品的不斷推出和防火墻在實際使用中表現(xiàn)出的越來越大的局限 性而提出的。性而提出的。 v一般情況下，由于內外網(wǎng)交界的位置非常關鍵，因此為了降低網(wǎng)絡傳輸延遲，一般情況下，由于內外網(wǎng)交界的位置非常關鍵，因此為了降低網(wǎng)絡傳輸延遲， 只有不得不置于這個位置的設備只有不得不置于這個位置的設備(如防火墻如防火墻)才會放置在這里才會放置在這里(一般必需的還有一般必需的還有 病毒檢測設備

47、等等病毒檢測設備等等)，其他設備如入侵檢測系統(tǒng)只能置于旁路位置。而在實際，其他設備如入侵檢測系統(tǒng)只能置于旁路位置。而在實際 使用中，人侵檢測系統(tǒng)的任務不僅在于檢測，很多時候在發(fā)現(xiàn)入侵行為以后，使用中，人侵檢測系統(tǒng)的任務不僅在于檢測，很多時候在發(fā)現(xiàn)入侵行為以后， 也需要入侵檢測系統(tǒng)本身對人侵行為及時遏止。顯然，處于旁路偵聽的入侵檢也需要入侵檢測系統(tǒng)本身對人侵行為及時遏止。顯然，處于旁路偵聽的入侵檢 測系統(tǒng)天法獨立完成這個任務，同時主線路又不能串接太多類似設備。在這種測系統(tǒng)天法獨立完成這個任務，同時主線路又不能串接太多類似設備。在這種 情況下，防火墻和入侵檢測、病毒檢測等相關安全產(chǎn)品聯(lián)合起來，充分

48、發(fā)揮各情況下，防火墻和入侵檢測、病毒檢測等相關安全產(chǎn)品聯(lián)合起來，充分發(fā)揮各 自的長處，協(xié)同配合，共同建立一個有效的安全防范體系，系統(tǒng)網(wǎng)絡的安全性自的長處，協(xié)同配合，共同建立一個有效的安全防范體系，系統(tǒng)網(wǎng)絡的安全性 得以明顯提升。得以明顯提升。 v日前主要有兩種解決辦法。一種是把入侵檢測、病毒檢測部分直接做到防火墻日前主要有兩種解決辦法。一種是把入侵檢測、病毒檢測部分直接做到防火墻 中，使防火墻具有中，使防火墻具有(簡單的簡單的)入侵檢測和病毒檢測設備的功能；另一種方法是各入侵檢測和病毒檢測設備的功能；另一種方法是各 個產(chǎn)品分立，但是通過某種通信方式形成一個整體，即相關檢測系統(tǒng)專用于某個產(chǎn)品分立

49、，但是通過某種通信方式形成一個整體，即相關檢測系統(tǒng)專用于某 一類安全事件的檢測，一旦發(fā)現(xiàn)安全事件，則立即通知防火墻，由防火墻完成一類安全事件的檢測，一旦發(fā)現(xiàn)安全事件，則立即通知防火墻，由防火墻完成 過濾和報告。第一種方法似乎前途不明確，因為人侵檢測本身也是一個非常復過濾和報告。第一種方法似乎前途不明確，因為人侵檢測本身也是一個非常復 雜的系統(tǒng)，即使成為防火墻的一部分，這樣一個防火墻的效率也會大受影響，雜的系統(tǒng)，即使成為防火墻的一部分，這樣一個防火墻的效率也會大受影響， 很容易降低網(wǎng)絡轉發(fā)性能。第二種方法是當前防火墻產(chǎn)品和入侵檢測產(chǎn)品廣泛很容易降低網(wǎng)絡轉發(fā)性能。第二種方法是當前防火墻產(chǎn)品和入侵檢測產(chǎn)品廣泛 使用的方法，也出現(xiàn)了一些用于安全產(chǎn)品之間協(xié)同工作的聯(lián)動模式及協(xié)議如使用的方法，也出現(xiàn)了一些用于安全產(chǎn)品之間協(xié)同工作的聯(lián)動模式及協(xié)議如 checkpomt定義的定義的opsec標準。但是現(xiàn)在存在的問題就是入侵檢測的誤報標準。但是現(xiàn)在存在的問題就是入侵檢測的誤報 很容易使防火墻輕易就將一些本來是合法的通信攔截掉。這種情況是因為在開很容易使防火墻輕易就將一些本來是合法的通信攔截掉。這種情況是因為在開 放網(wǎng)絡中偽造源地址是非常容易的事情，而入侵檢測在檢測到攻擊行為時會通放網(wǎng)絡中偽造源地址是非常容易的事情，而入侵檢