典型防火墻產(chǎn)品與防火墻技術(shù)發(fā)展

5.5.1典型防火墻產(chǎn)品1、國內(nèi)個人防火墻軟件中經(jīng)典之作天網(wǎng)防火墻個人防火墻軟件在防火墻中是最低廉、最簡單易用、最易于安裝的一種面向個人用戶的防御工具。盡管這樣但個人防火墻軟件仍可以有效地防御大多數(shù)黑客的攻擊。下面介紹一下天網(wǎng)個人防火墻軟件，它是國內(nèi)個人防火墻軟件的代表之一。天網(wǎng)個人防火墻是國內(nèi)一款頗為有效的防火墻，它是由天網(wǎng)安全實驗室推出的。適用平臺：Windows98、Windows2000。對于初級用戶幾乎不用做任何專業(yè)設(shè)置，就可以有效的發(fā)揮作用。對于高級用戶，天網(wǎng)允許進(jìn)行他們自己的設(shè)置。用戶可以對指定的協(xié)議、端口、IP地址進(jìn)行過濾，完全監(jiān)控所有的網(wǎng)絡(luò)數(shù)據(jù)?？傊炀W(wǎng)防火墻具有訪問控制、身份認(rèn)證、應(yīng)用選通、網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation）、信息過濾、虛擬專網(wǎng)（VPN）、流量控制、虛擬網(wǎng)橋等功能。天網(wǎng)個人防火墻屬于軟件防火墻系列，因此安裝相當(dāng)簡單，用戶只需運(yùn)行安裝文件，按提示操作即可。天網(wǎng)啟動后，縮為一個盾牌形圖標(biāo)，如圖5.25所示。雙擊該圖標(biāo)，顯示天網(wǎng)的主界面，如圖5.26所示。圖5.26天網(wǎng)防火墻主界面（1）系統(tǒng)設(shè)置圖5.27系統(tǒng)設(shè)置主界面選中開機(jī)后自動啟動防火墻，天網(wǎng)個人版防火墻將在操作系統(tǒng)啟動的時候自動啟動，否則天網(wǎng)防火墻需要手工啟動。單擊“防火墻自定義規(guī)則重置”按鈕，防火墻將彈出如下窗口。圖5.28天網(wǎng)防火墻提示信息界面如果選擇“確定”按鈕，天網(wǎng)防火墻將會把防火墻的安全規(guī)則全部恢復(fù)為初始設(shè)置，用戶對安全規(guī)則的修改和加入的規(guī)則將會全部被清除掉，例如：將重新設(shè)置在局域網(wǎng)內(nèi)的地址；用戶設(shè)定的天網(wǎng)防火墻預(yù)警的聲音也將被取消。（2）安全級別設(shè)置天網(wǎng)防火墻安全級別分為高、中、低三級，默認(rèn)的安全等級為中，其中安全設(shè)置如下：低：所有應(yīng)用程序初次訪問網(wǎng)絡(luò)時都將被詢問，已經(jīng)被認(rèn)可的程序則按照設(shè)置的相應(yīng)規(guī)則運(yùn)作。計算機(jī)將完全信任內(nèi)部網(wǎng)絡(luò)，允許內(nèi)部網(wǎng)絡(luò)的機(jī)器訪問提供的各種服務(wù)（文件、打印機(jī)共享服務(wù)）但禁止網(wǎng)絡(luò)網(wǎng)絡(luò)的機(jī)器訪問這些服務(wù)。中：所有應(yīng)用程序初次訪問網(wǎng)絡(luò)時都將被詢問，已經(jīng)被認(rèn)可的程序則按照設(shè)置的相應(yīng)規(guī)則運(yùn)作。禁止內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的機(jī)器訪問提供的網(wǎng)絡(luò)共享服務(wù)（文件、打印機(jī)共享服務(wù)），內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)路上的機(jī)器將無法看到天網(wǎng)防火墻所安裝的主機(jī)。高：所有應(yīng)用程序初次訪問網(wǎng)絡(luò)時都將詢問，已經(jīng)被認(rèn)可的程序則按照設(shè)置的相應(yīng)規(guī)則運(yùn)作。禁止內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的機(jī)器訪問提供的網(wǎng)絡(luò)共享服務(wù)（文件、打印機(jī)共享服務(wù)），內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)上的機(jī)器將無法看到本機(jī)。除了是由已經(jīng)被認(rèn)可的程序打開的端口，系統(tǒng)會屏蔽掉向外部開放的所有端口。（3）斷開/接通網(wǎng)絡(luò)如果按下斷開/接通網(wǎng)絡(luò)按鈕，那么主機(jī)就將完全與網(wǎng)絡(luò)斷開了，就好象拔下了網(wǎng)線一樣。（4）程序規(guī)則設(shè)置天網(wǎng)防火墻具有對應(yīng)用程序數(shù)據(jù)包進(jìn)行底層分析攔截功能，可以控制應(yīng)用程序發(fā)送和接收數(shù)據(jù)包的類型、通訊端口，并且決定攔截還是通過。在天網(wǎng)個人版防火墻打開的情況下，啟動的任何應(yīng)用程序只要有通訊數(shù)據(jù)包發(fā)送和接收存在，都會先被天網(wǎng)個人版防火墻先截獲分析，并彈出窗口，如下圖：圖5.29天網(wǎng)防火墻信息攔截界面如果你不選中以后都允許，那么天網(wǎng)防火墻在以后會繼續(xù)截獲該應(yīng)用程序的數(shù)據(jù)包，并且彈出警告窗口。如果你如果選中以后都允許選項，該程序?qū)⒆约尤氲綉?yīng)用程序列表中，天網(wǎng)版防火墻將默認(rèn)不會再攔截該程序發(fā)送和接受的數(shù)據(jù)包，但你可以通過應(yīng)用程序設(shè)置來設(shè)置更為復(fù)雜的數(shù)據(jù)包過濾方式。應(yīng)用程序規(guī)則的設(shè)置界面如下圖所示：單擊該面板每一個程序的選項按鈕即可設(shè)置應(yīng)用程序的數(shù)據(jù)通過規(guī)則，如下圖:可以設(shè)設(shè)置該該應(yīng)用用程序序禁止止使用用TCP或或者UDP協(xié)議議傳輸輸，以以及設(shè)設(shè)置端端口過過濾，，讓應(yīng)應(yīng)用程程序只只能通通過固固定幾幾個通通訊端端口或或者一一個通通訊端端口范范圍接接收和和傳輸輸數(shù)據(jù)據(jù)，完完成這這些設(shè)設(shè)置后后，可可以選選擇詢詢問和和禁止止操作作。對對應(yīng)用用程序序發(fā)送送數(shù)據(jù)據(jù)包的的監(jiān)察察可以以確認(rèn)認(rèn)系統(tǒng)統(tǒng)有那那些程程序正正在進(jìn)進(jìn)行通通訊。。通過過這種種對數(shù)數(shù)據(jù)包包的監(jiān)監(jiān)察防防火墻墻可以以監(jiān)視視到攻攻擊者者對木木馬的的控制制通訊訊，防防止木木馬程程序向向外網(wǎng)網(wǎng)發(fā)送送非法法信息息。（5））IP規(guī)則則設(shè)置置IP規(guī)規(guī)則設(shè)設(shè)置是是針對對整個個系統(tǒng)統(tǒng)的數(shù)數(shù)據(jù)包包監(jiān)測測，IP規(guī)規(guī)則設(shè)設(shè)置的的界面面如下下：工具欄欄上的的按鈕鈕主要要有導(dǎo)導(dǎo)入，，增加加，修修改，，刪除除按鈕鈕等。。由于于規(guī)則則判斷斷是由由上而而下的的，可可以通通過點點擊調(diào)調(diào)"規(guī)規(guī)則上上下移移動"按鈕鈕調(diào)整整規(guī)則則的順順序"。另另外，，只有有相同同協(xié)議議的規(guī)規(guī)則才才可以以調(diào)整整相互互順序序），，當(dāng)調(diào)調(diào)整好好順序序后，，可按按保存存按鈕鈕保存存你的的修改改。當(dāng)當(dāng)規(guī)則則增加加或修修改后后，為為了使使新設(shè)設(shè)定的的規(guī)則則生效效，需需要單單擊"應(yīng)用用新規(guī)規(guī)則"按鈕鈕。上圖中中IP規(guī)則則部分分列出出了規(guī)規(guī)則的的名稱稱，該該規(guī)則則所對對應(yīng)的的數(shù)據(jù)據(jù)包的的方向向，該該規(guī)則則所控控制的的協(xié)議議，本本機(jī)端端口，，對方方地址址和對對方端端口，，以及及當(dāng)數(shù)數(shù)據(jù)包包滿足足本規(guī)規(guī)則時時所采采取的的策略略。在在列表表的左左邊為為該規(guī)規(guī)則是是否有有效的的標(biāo)志志，如如果標(biāo)標(biāo)記為為鉤表表示改改規(guī)則則有效效，否否則表表示無無效。。當(dāng)你你改變變某些些設(shè)置置后，，請按按保存存按鈕鈕，以以便使使設(shè)置置生效效。天網(wǎng)防防火墻墻本身身已經(jīng)經(jīng)默認(rèn)認(rèn)設(shè)置置好了了相當(dāng)當(dāng)?shù)陌舶踩壖墑e，，一般般用戶戶，并并不需需要自自行更更改。。例如如：防御ICMP攻攻擊：：即別別人無無法用用PING的的方方法來來確定定你的的存在在。但但不影影響你你去PING別別人。。防御IGMP攻攻擊：：IGMP是用用于傳傳播的的一種種協(xié)議議。TCP數(shù)據(jù)據(jù)包監(jiān)監(jiān)視：：監(jiān)視視你機(jī)機(jī)器上上所有有的TCP端口口服務(wù)務(wù)。這這是一一種對對付木木馬程程序的的主要要方法法。用戶可可以通通過點點擊增增加按按鈕或或選擇擇一條條規(guī)則則后按按修改改按鈕鈕，激激活編編輯窗窗口，，以便便用戶戶進(jìn)一一步設(shè)設(shè)置適適合自自己的的規(guī)則則。輸入規(guī)規(guī)則的的"名名稱"和"說明明"，，以便便于查查找和和閱讀讀。選擇該該規(guī)則則是對對進(jìn)入入的數(shù)數(shù)據(jù)包包還是是輸出出的數(shù)數(shù)據(jù)包包有效效。對對方的的ip地址址，用用于確確定選選擇數(shù)數(shù)據(jù)包包從那那里來來或是是去哪哪里。。任何何地址址是指指可以以接收收從任任何地地方發(fā)發(fā)來的的數(shù)據(jù)據(jù)包；；局域域網(wǎng)網(wǎng)網(wǎng)絡(luò)地地址是是指數(shù)數(shù)據(jù)包包來自自和發(fā)發(fā)向局局域網(wǎng)網(wǎng)；指指定地地址是是用戶戶輸入入的地地址，，指定定的網(wǎng)網(wǎng)絡(luò)區(qū)區(qū)域是是你可可以自自己輸輸入一一個網(wǎng)網(wǎng)絡(luò)和和掩碼碼。還還要錄錄入該該規(guī)則則所對對應(yīng)的的協(xié)議議，在在這里里請注注意，，如果果錄入入了IP協(xié)協(xié)議的的規(guī)則則，一一點要要保證證IP協(xié)議議規(guī)則則的最最后一一條的的內(nèi)容容是：：“對對方方地址址：任任何地地址；；動動作：：繼續(xù)續(xù)下一一規(guī)則則””。TCP協(xié)協(xié)議要要填入入本機(jī)機(jī)的端端口范范圍和和對方方的端端口范范圍，，如果果只是是指定定一個個端口口，那那么可可以在在起始始端口口處鍵鍵入該該端口口，結(jié)結(jié)束處處，鍵鍵入0。如如果不不想指指定任任何端端口，，只要要在起起始端端口都都鍵入入0。。ICMP規(guī)規(guī)則要要填入入類型型和代代碼。。如果果輸入入255，，表示示任何何類型型和代代碼都都符合合本規(guī)規(guī)則。。當(dāng)一一個數(shù)數(shù)據(jù)包包滿足足上面面的條條件時時，你你就可可以對對該包包采取取操作作了：："通通行"指讓讓該數(shù)數(shù)據(jù)包包可以以正常常通過過；"攔截截"指指讓該該數(shù)據(jù)據(jù)包無無法通通過；；"繼繼續(xù)下下一規(guī)規(guī)則"指不不對該該數(shù)據(jù)據(jù)包作作任何何處理理，由由該規(guī)規(guī)則的的下一一條規(guī)規(guī)則來來確定定對該該包的的處理理操作作。在在執(zhí)行行這些些規(guī)則則的同同時，，還可可以定定義是是否記記錄這這次規(guī)規(guī)則的的處理理和這這次規(guī)規(guī)則的的處理理的數(shù)數(shù)據(jù)包包的主主要內(nèi)內(nèi)容，，并可可以設(shè)設(shè)置"天網(wǎng)網(wǎng)防火火墻"托盤盤圖標(biāo)標(biāo)是否否閃爍爍來"警告告"，，或發(fā)發(fā)出聲聲音來來進(jìn)行行提示示。建立規(guī)規(guī)則的的原則則：防火墻墻的規(guī)規(guī)則檢檢查順順序與與列表表順序序是一一致的的。如果只只想對對內(nèi)部部網(wǎng)絡(luò)絡(luò)開放放某些些端口口或協(xié)協(xié)議（（但對對外部部網(wǎng)絡(luò)絡(luò)關(guān)閉閉）時時，可可對內(nèi)內(nèi)部網(wǎng)網(wǎng)絡(luò)的的規(guī)則則采用用允許許"局局域網(wǎng)網(wǎng)網(wǎng)絡(luò)絡(luò)地址址"的的某端端口、、協(xié)議議的數(shù)數(shù)據(jù)包包"通通行"的規(guī)規(guī)則，，然后后用"任何何地址址"的的某端端口、、協(xié)議議的規(guī)規(guī)則"攔截截"，，就可可實現(xiàn)現(xiàn)你的的目的的。如果錄錄入了了IP協(xié)議議的規(guī)規(guī)則，，一定定要保保證IP協(xié)議議規(guī)則則的最最后一一條的的內(nèi)容容是：：對方方地址址為任任何地地址，，動作作是““繼續(xù)續(xù)下一一規(guī)則則"，，否則則會其其他協(xié)協(xié)議的的規(guī)則則會執(zhí)執(zhí)行不不到。。不要濫用"記錄"功功能，一個個定義不好好的規(guī)則加加上記錄功功能，會產(chǎn)產(chǎn)生大量沒沒有任何意意義的日志志，并浪費(fèi)費(fèi)大量的系系統(tǒng)資源。。（6）日日志查看看天網(wǎng)防火火墻將會會把所有有不合規(guī)規(guī)則的數(shù)數(shù)據(jù)包攔攔截并且且記錄下下來，如如果你選選擇了監(jiān)監(jiān)視TCP和UDP數(shù)數(shù)據(jù)包，，那你發(fā)發(fā)送和接接受的每每個數(shù)據(jù)據(jù)包也將將被記錄錄下來。。每條記記錄從左左到右分分別是發(fā)發(fā)送/接接受時間間、發(fā)送送IP地地址、數(shù)數(shù)據(jù)包類類型、本本機(jī)通訊訊端口，，對方通通訊端口口，標(biāo)志志位但不是所所有的被被攔截的的數(shù)據(jù)包包都意味味著有人人在攻擊擊你，有有些正常常的數(shù)據(jù)據(jù)包可能能由于你你設(shè)置的的安全級級別過高高而不符符合安全全規(guī)則，，也會被被天網(wǎng)防防火墻攔攔截下來來并且報報警，如如你設(shè)置置了禁止止別人Ping你的主主機(jī)，如如果有人人向你的的主機(jī)發(fā)發(fā)送Ping命命令，天天網(wǎng)防火火墻也會會把這些些發(fā)來的的ICMP數(shù)據(jù)據(jù)攔截下下來記錄錄在日志志上并且且報警。。安全日日志可以以導(dǎo)出和和被刪除除，其上上面左右右兩個按按鈕分別別為存為為文件和和清空日日志的按按鈕。另外，天天網(wǎng)網(wǎng)站站可以為為天網(wǎng)防防火墻注注冊用戶戶提供在在線的系系統(tǒng)檢測測服務(wù)。。如下圖圖。具體體包括的的項目和和功能如如下。信息泄露露檢測：：檢測系系統(tǒng)是否否存在信信息泄漏漏的危險險性。如如果你的的電腦系系統(tǒng)存在在安全漏漏洞，檢檢測系統(tǒng)統(tǒng)會顯示示出你的的計算機(jī)機(jī)名，甚甚至?xí)z檢測出你你的共享享文件目目錄和打打印機(jī)的的名稱，，并把共共享目錄錄里的具具體內(nèi)容容列出來來。系統(tǒng)安全全性檢測測：如果果系統(tǒng)存存在漏洞洞，很可可能會成成為網(wǎng)絡(luò)絡(luò)上的攻攻擊對象象。該項項檢測的的目的就就是驗證證系統(tǒng)是是否存在在這樣的的漏洞。。同時還還提供了了電腦網(wǎng)網(wǎng)絡(luò)安全全軟件，，可以幫幫助用戶戶填補(bǔ)這這些漏洞洞。網(wǎng)絡(luò)端口口掃描：：掃描你你的系統(tǒng)統(tǒng)是否存存在開放放的易于于被攻擊擊的網(wǎng)絡(luò)絡(luò)端口。。DdosSlave掃描描，在黑黑客攻擊擊的事件件中，許許多接入入互聯(lián)網(wǎng)網(wǎng)的計算算機(jī)被黑黑客利用用來作為為攻擊其其他網(wǎng)站站或計算算機(jī)的跳跳板（又又被稱為為“肉雞雞”）。。因為這這些主機(jī)機(jī)被黑客客植入DDOS攻擊的的代理程程序，所所以黑客客控制這這些代理理程序來來對外攻攻擊。DDOSSlave掃描是是檢查您您的系統(tǒng)統(tǒng)里是否否存在這這種代理理程序。。檢檢測和和掃描服服務(wù)是通通過天網(wǎng)網(wǎng)網(wǎng)站對對主機(jī)進(jìn)進(jìn)行掃描描實現(xiàn)的的，完成成后將給給出一個個完整的的報告和和適當(dāng)?shù)牡慕ㄗh。。圖5.37天網(wǎng)網(wǎng)網(wǎng)站安安全漏洞洞報告界界面2、操作作系統(tǒng)集集成的防防火墻--啟用用winxp中自帶帶的防火火墻操作系統(tǒng)統(tǒng)WINDOWSXP本身身就具有有Internet連連接防火火墻（ICF）），即充充當(dāng)網(wǎng)絡(luò)絡(luò)與外部部世界之之間的保保衛(wèi)邊界界的安全全系統(tǒng)。。Internet連連接防火火墻（ICF））是用來來限制哪哪些信息息可以小小型辦公公網(wǎng)絡(luò)或或個人主主機(jī)進(jìn)入入Internet（（外部網(wǎng)網(wǎng)絡(luò)）以以及從Internet進(jìn)入入小型辦辦公網(wǎng)絡(luò)絡(luò)或個人人主機(jī)的的一種工工具軟件件。如果果網(wǎng)絡(luò)使使用Internet連接共共享（ICS））來為多多臺計算算機(jī)提供供Internet訪訪問能力力，在共共享的Internet連接接中啟用用ICF。當(dāng)然然ICS和ICF也可可以單獨(dú)獨(dú)啟用。。工作原理理：ICF被被視為狀狀態(tài)防火火墻，狀狀態(tài)防火火墻可監(jiān)監(jiān)視通過過其路徑徑的所有有通訊，，并且檢檢查所處處理的每每個消息息的源和和目標(biāo)地地址。ICF保保留了所所有源自自ICF計算機(jī)機(jī)的通訊訊表。在在單獨(dú)的的主機(jī)中中，ICF將跟跟蹤源自自該計算算機(jī)的通通信。與與ICS一起使使用時，，ICF將跟蹤蹤所有源源自ICF/ICS計計算機(jī)的的通信和和所有源源自專用用網(wǎng)絡(luò)計計算機(jī)的的通信。。所有Internet傳入入通信都都會針對對于該表表中的各各項進(jìn)行行比較。。只有當(dāng)表表中有匹匹配項時時，才允允許將傳傳入Internet通信傳傳送給網(wǎng)網(wǎng)絡(luò)中的的計算機(jī)機(jī)。源自自外部源源ICF計算機(jī)機(jī)的通訊訊（如Internet）將將被防火火墻阻止止，除非非在“服服務(wù)”選選項卡上上設(shè)置允允許該通通訊通過過。ICF不會會向你發(fā)發(fā)送活動動通知，，而是靜靜態(tài)地阻阻止未經(jīng)經(jīng)請求的的通訊，，防止像像端口掃掃描這樣樣的常見見黑客襲襲擊。ICF和和個人主主機(jī)或小小型辦公公室通訊訊不應(yīng)該該在所有有沒有直直接連接接到Internet的連接接上啟用用Internet連連接防火火墻。如如果在ICS客客戶計算算機(jī)的網(wǎng)網(wǎng)絡(luò)適配配器上啟啟用防火火墻，則則將干擾擾該主機(jī)機(jī)和網(wǎng)絡(luò)絡(luò)上的所所有其他他主機(jī)之之間的某某些通訊訊。ICF也具具有日志志功能能能夠記錄錄被許可可的和被被拒絕的的通信。。（1）配配置防火火墻1.啟用用或禁用用Internet連連接防火火墻。圖5.38網(wǎng)絡(luò)絡(luò)鄰居屬屬性窗口口方法：打打開“網(wǎng)網(wǎng)絡(luò)連接接”，單單擊要保保護(hù)的撥撥號、LAN或或高速Internet連接接，然后后在“本本地連接接屬性””→““高級””→“設(shè)設(shè)置”下下，選擇擇下面的的一項：：圖5.39防火火墻設(shè)置置窗口若要啟用用Internet連連接防火火墻，選選中“通通過限制制或阻止止來自Internet的對對此計算算機(jī)的訪訪問來保保護(hù)我的的計算機(jī)機(jī)和網(wǎng)絡(luò)絡(luò)”復(fù)選選框。若若要禁用用Internet連連接防火火墻，請請清除此此復(fù)選框框。2）安全全日志的的設(shè)置當(dāng)選擇““登錄放放棄的數(shù)數(shù)據(jù)包””復(fù)選框框時，每每次通信信嘗試通通過防火火墻卻被被檢測和和拒絕的的信息都都被ICF收集集。例如如，如果果Internet控控制消息息協(xié)議沒沒有設(shè)置置成允許許傳入的的回顯請請求，如如Ping和Tracert命令發(fā)發(fā)出的請請求，防防火墻將將接收到到來自外外部網(wǎng)絡(luò)絡(luò)的回顯顯請求，，但防火火墻會根根據(jù)用戶戶設(shè)置的的規(guī)則放放棄回顯顯的數(shù)據(jù)據(jù)并記錄錄日志。。Ping和Tracert都采用用的是網(wǎng)網(wǎng)際消息息協(xié)議（（ICMP）。。通過ICMP協(xié)協(xié)議，可可以使采采用IP通訊的的主機(jī)和和路由器器報告通通信錯誤誤并交換換受限控控制和狀狀態(tài)信息息。在下下列情況況中通常常自動發(fā)發(fā)送ICM消息息：IP數(shù)據(jù)報報無法訪訪問目標(biāo)標(biāo)、IP路由器器（網(wǎng)關(guān)關(guān)）無法法按當(dāng)前前的傳輸輸速率轉(zhuǎn)轉(zhuǎn)發(fā)數(shù)據(jù)據(jù)報、IP路由由器將發(fā)發(fā)送主機(jī)機(jī)重定向向為使用用更好的的到達(dá)目目標(biāo)的路路由。啟啟用或禁禁用Internet控制消消息協(xié)議議：打開開“網(wǎng)絡(luò)絡(luò)連接””。單單擊已啟啟用Internet連接防防火墻的的連接，，然后在在“本地地連接屬屬性”→→“高級級”→““設(shè)置置”→““高級””→→““ICMP設(shè)設(shè)置”選選項卡上上，選中中希望響響應(yīng)的請請求信息息類型旁旁邊的復(fù)復(fù)選框。。圖5.41ICMP設(shè)置置窗口當(dāng)你選擇擇“登錄錄成功的的外傳連連接”復(fù)復(fù)選框時時，將收收集每個個成功通通過防火火墻的連連接信息息。例如如，當(dāng)網(wǎng)網(wǎng)絡(luò)上的的任何人人使用InternetExplorer成功功實現(xiàn)與與某個網(wǎng)網(wǎng)站的連連接時，，將記入入日志。。生成的的安全日日志使用用的是W3C擴(kuò)擴(kuò)展日志志文件格格式。啟用或禁禁用安全全日志記記錄選項項：打開開“網(wǎng)絡(luò)絡(luò)連接””，單擊擊要在其其上啟用用Internet連連接防火火墻（ICF））的連接接，然后后在“網(wǎng)網(wǎng)絡(luò)任務(wù)務(wù)”→““更改該該連接的的設(shè)置””→“高高級”→→“設(shè)置置”→““安全日日志記錄錄”→““記錄選選項”下下，選擇擇下面的的一項或或兩項：：圖5.42安全全日志設(shè)設(shè)置窗口口若要啟用用對不成成功的入入站連接接嘗試的的記錄，，請選中中“記錄錄丟棄的的數(shù)據(jù)包包”復(fù)選選框，否否則禁用用。更改安全全日志文文件的路路徑和文文件名的的方法：：打開““網(wǎng)絡(luò)連連接”，，選擇要要在其上上啟用Internet連接接防火墻墻的連接接，然后后在“本本地連接接屬性””→“高高級”→→“設(shè)設(shè)置”→→“高級級”→““安全記記錄設(shè)置置”→““日志文文件選項項”中，，瀏覽要要放置日日志文件件的位置置。圖5.43修修改安全全日志窗窗口更改安全全日志文文件大小小需要用用戶打開開已啟用用Internet連連接防火火墻的連連接，然然后在““本地連連接屬性性”→““高級””→““設(shè)置””→“高高級”→→“安全全記錄設(shè)設(shè)置”→→“日志志文件選選項”““大小限限制”中中，使用用箭頭按按鈕調(diào)整整大小限限制。1）屏蔽蔽內(nèi)部網(wǎng)網(wǎng)絡(luò)拓?fù)鋼浣Y(jié)構(gòu)為了防止止黑客的的侵入，，應(yīng)采用用動態(tài)地地址映射射隔離內(nèi)內(nèi)部網(wǎng)絡(luò)絡(luò)，屏蔽蔽內(nèi)部網(wǎng)網(wǎng)絡(luò)拓?fù)鋼浣Y(jié)構(gòu)。。對PIXFirewall做如如下配置置:–4）防范范內(nèi)部網(wǎng)網(wǎng)絡(luò)的非非法IP和MAC地址址由于采用用盜用他他人的IP地址址和MAC地址址的方法法，可以以達(dá)到隱隱藏非法法訪問的的目的。。使用PIXFirewall的的ARP命令可可以將內(nèi)內(nèi)部主機(jī)機(jī)的IP和它的的MAC地址綁綁定，來來防止篡篡改和盜盜用IP地址現(xiàn)現(xiàn)象。例例如，我我們要將將主機(jī)的的IP地與與它的MAC地地址00a8.3e41.2bc7綁定，，可進(jìn)行行如下配配置：結(jié)合以上上四種配配置，CiscoPIXFirewall可可以實現(xiàn)現(xiàn)對IP包過濾濾，屏蔽蔽內(nèi)部網(wǎng)網(wǎng)絡(luò)和對對網(wǎng)絡(luò)資資源加以以的控制制，并有有效地防防范IP地址的的盜用和和篡改。。從而較較好地實實現(xiàn)了一一個完整整的防火火墻系統(tǒng)統(tǒng)。4、國外外著名防防火墻產(chǎn)產(chǎn)品--CheckPoint公司司的FireWall-1網(wǎng)網(wǎng)絡(luò)安全全防火墻墻據(jù)IDC的最近近統(tǒng)計，，CheckPoint公司司的FireWall-1防防火墻在在市場占占有率上上已超過過32%。CheckPointFireWall-1產(chǎn)品品包括以以下模塊塊：狀態(tài)檢檢測模模塊（（InspectionModule））：提提供訪訪問控控制、、客戶戶機(jī)認(rèn)認(rèn)證、、會話話認(rèn)證證、地地址翻翻譯和和審計計功能能；防火墻墻模塊塊（FireWallModule）：：包含含一個個狀態(tài)態(tài)檢測測模塊塊，另另外提提供用用戶認(rèn)認(rèn)證、、內(nèi)容容安全全和多多防火火墻同同步功功能；；管理模模塊（（ManagementModule））：對對一個個或多多個安安全策策略執(zhí)執(zhí)行點點（安安裝了了FireWall-1的某某個模模塊，，如狀狀態(tài)檢檢測模模塊、、防火火墻模模塊或或路由由器安安全管管理模模塊等等的系系統(tǒng)））提供供集中中的、、圖形形化的的安全全管理理功能能；連接控控制（（ConnectControl））：為為提供供相同同服務(wù)務(wù)的多多個應(yīng)應(yīng)用服服務(wù)器器提供供負(fù)載載平衡衡功能能；路由器器安全全管理理模塊塊（RouterSecurityManagement））：提提供通通過防防火墻墻管理理工作作站配配置、、維護(hù)護(hù)3Com，Cisco，Bay等路路由器器的安安全規(guī)規(guī)則；；FireWall-1采采用CheckPoint公公司的的狀態(tài)態(tài)檢測測（StatefulInspection）專專利技技術(shù)，，以不不同的的服務(wù)務(wù)區(qū)分分應(yīng)用用類型型。FireWall-1狀狀態(tài)檢檢測模模塊分分析所所有的的包通通訊層層，汲汲取相相關(guān)的的通信信和應(yīng)應(yīng)用程程序的的狀態(tài)態(tài)信息息。狀狀態(tài)檢檢測模模塊截截獲、、分析析并處處理所所有試試圖通通過防防火墻墻的數(shù)數(shù)據(jù)包包，保保證網(wǎng)網(wǎng)絡(luò)的的高度度安全全和數(shù)數(shù)據(jù)完完整。。網(wǎng)絡(luò)絡(luò)和各各種應(yīng)應(yīng)用的的通信信狀態(tài)態(tài)動態(tài)態(tài)存儲儲、更更新到到動態(tài)態(tài)狀態(tài)態(tài)表中中，結(jié)結(jié)合預(yù)預(yù)定義義好的的規(guī)則則，實實現(xiàn)安安全策策略管管理。。圖5.44FireWall-1網(wǎng)網(wǎng)絡(luò)結(jié)結(jié)構(gòu)示示意圖圖狀態(tài)檢檢測模模塊檢檢驗IP地地址、、端口口以及及其它它需要要的信信息以以決定定通信信包是是否滿滿足安安全策策略。。狀狀態(tài)態(tài)檢測測模塊塊把相相關(guān)的的狀態(tài)態(tài)和狀狀態(tài)之之間的的關(guān)聯(lián)聯(lián)信息息存儲儲到動動態(tài)連連接表表中并并隨時時更新新，通通過這這些數(shù)數(shù)據(jù)，，F(xiàn)ireWall-1可以以檢測測到后后繼的的通信信。狀狀態(tài)檢檢測技技術(shù)對對應(yīng)用用程序序透明明，不不需要要針對對每個個服務(wù)務(wù)設(shè)置置單獨(dú)獨(dú)的代代理，，使其其具有有更高高的安安全性性、高高性能能、更更好的的伸縮縮性和和擴(kuò)展展性，，可以以很容容易把把用戶戶的新新應(yīng)用用添加加到保保護(hù)的的服務(wù)務(wù)中去去。通通過策策略編編輯器器制定定的規(guī)規(guī)則存存為一一個用用INSPECT寫寫成的的腳本本文件件，經(jīng)經(jīng)過編編譯生生成代代碼并并被加加載到到安裝裝有狀狀態(tài)檢檢測模模塊的的系統(tǒng)統(tǒng)上。。CheckPoint采采用了了OPSEC了了。OPSEC允許許用戶戶通過過一個個開放放的、、可擴(kuò)擴(kuò)展的的框架架集成成、管管理所所有的的網(wǎng)絡(luò)絡(luò)安全全產(chǎn)品品。OPSEC把FireWall-1嵌嵌入到到已有有的網(wǎng)網(wǎng)絡(luò)平平臺（（如Unix、、NT服務(wù)務(wù)器、、路由由器、、交換換機(jī)以以及防防火墻墻產(chǎn)品品），，或把把其它它安全全產(chǎn)品品無縫縫集成成到FireWall-1中中，提提供開開放的的、可可擴(kuò)展展的安安全框框架。。FireWall-1允允許企企業(yè)定定義并并執(zhí)行行統(tǒng)一一的防防火墻墻中央央管理理安全全策略略。企企業(yè)的的防火火墻安安全策策略都都存放放在防防火墻墻管理理模塊塊的一一個規(guī)規(guī)則庫庫里。。規(guī)則則庫里里存放放的是是一些些有序序的規(guī)規(guī)則，，每條條規(guī)則則分別別指定定了源源地址址、目目的地地址、、服務(wù)務(wù)類型型（HTTP、、FTP、、TELNET等））、針針對該該連接接的安安全措措施（（放行行、拒拒絕、、丟棄棄或者者是需需要通通過認(rèn)認(rèn)證等等）、、需要要采取取的行行動（（日志志記錄錄、報報警等等）、、以及及安全全策略略執(zhí)行行點（（是在在防火火墻網(wǎng)網(wǎng)關(guān)還還是在在路由由器或或者其其它保保護(hù)對對象上上上實實施該該規(guī)則則）。。管理理員通通過管管理主主機(jī)管管理該該規(guī)則則庫，，建立立、維維護(hù)安安全策策略，，加載載安全全規(guī)則則到裝裝載了了防火火墻或或狀態(tài)態(tài)檢測測模塊塊的系系統(tǒng)上上。他他們之之間的的通信信必須須先經(jīng)經(jīng)過認(rèn)認(rèn)證，，然后后通過過加密密信道道傳輸輸。遠(yuǎn)程用戶和和撥號用戶戶可以經(jīng)過過FireWall-1的認(rèn)認(rèn)證后，訪訪問內(nèi)部網(wǎng)網(wǎng)絡(luò)資源。。在不修改改本地服務(wù)務(wù)器或客戶戶應(yīng)用程序序的情況下下，對試圖圖訪問內(nèi)部部服務(wù)器的的用戶進(jìn)行行身份認(rèn)證證。認(rèn)證服服務(wù)集成在在安全策略略中，通過過圖形用戶戶界面集中中管理，通通過日志管管理器監(jiān)視視、跟蹤認(rèn)認(rèn)證會話。。

FireWall-1提提供三種認(rèn)認(rèn)證方法：：用戶認(rèn)證證（UserAuthentication），針對對特定服務(wù)務(wù)提供的基基于用戶的的透明的身身份認(rèn)證，，服務(wù)限于于FTP、、TELNET、HTTP、、HTTPS、RLOGIN；客戶機(jī)機(jī)認(rèn)證（ClientAuthentication），基于于客戶機(jī)IP的認(rèn)證證，對訪問問的協(xié)議不不做直接的的限制，客客戶機(jī)認(rèn)證證不是透明明的，需要要用戶先登登錄到防火火墻認(rèn)證IP和用戶戶身份之后后，才允許許訪問應(yīng)用用服務(wù)器；；會話認(rèn)證證（SessionAuthentication））：提供基基于服務(wù)會會話的的透透明認(rèn)證，，與IP無無關(guān)，采用用會話認(rèn)證證的客戶機(jī)機(jī)必須安裝裝一個會話話認(rèn)證代理理，訪問不不同的服務(wù)務(wù)時必須單單獨(dú)認(rèn)證。。FireWall-1支持三三種不同的的NAT模模式：靜態(tài)態(tài)源地址NAT、目目的地址NAT：動動態(tài)地址NAT。FireWall-1的連接接控制模塊塊提供了負(fù)負(fù)載平衡功功能，在提提供相同服服務(wù)的多個個應(yīng)用服務(wù)務(wù)器之間實實現(xiàn)負(fù)載分分擔(dān)，目前前FireWall-1支持持的負(fù)載均均衡算法：：ServerLoad（（由服務(wù)器器提供負(fù)載載均衡算法法，需要在在應(yīng)用服務(wù)務(wù)器端安裝裝負(fù)載測量量引擎）；；RoundTrip（利利用ping命令測測定防火墻墻到各個應(yīng)應(yīng)用服務(wù)器器之間的循循回時間，，選用循回回時間最小小者響應(yīng)用用戶請求））；RoundRobin（根據(jù)記記錄表中的的情況，簡簡單地指定定下一個應(yīng)應(yīng)用服務(wù)器器響應(yīng)）；；Random（隨隨機(jī)選取應(yīng)應(yīng)用服務(wù)器器響應(yīng)）；；Domain（按按照域名最最近的原則則，指定最最近的應(yīng)用用服務(wù)器響響應(yīng)）。5.5.2防火火墻的發(fā)展展趨勢目前，防火火墻技術(shù)隨隨著新技術(shù)術(shù)的發(fā)展，，綜合使用用包過濾技技術(shù)、代理理服務(wù)技術(shù)術(shù)和其他一一些新技術(shù)術(shù)的防火墻墻真是今后后防火墻發(fā)發(fā)展的趨勢勢。目前出出現(xiàn)幾個新新型的防火火墻技術(shù)：：1、包過濾濾系統(tǒng)向著著更具柔性性和多功能能的方向發(fā)發(fā)展。比如如動態(tài)包過過濾系統(tǒng)，，在CheckPointFirewall一1中的的包過濾規(guī)規(guī)則可由路路由器靈活活、快速地地設(shè)置。一一個輸出的的UDP數(shù)數(shù)據(jù)包可以以引起對應(yīng)應(yīng)的允許應(yīng)應(yīng)答UDP創(chuàng)立一個個臨時的包包過濾規(guī)則則，允許其其對應(yīng)的UDP包進(jìn)進(jìn)入內(nèi)部網(wǎng)。2、從外部部向內(nèi)看起起來像是代代理服務(wù)，，而由內(nèi)部部向外看像像一個包過過濾系統(tǒng)的的綜合性防防火墻結(jié)構(gòu)構(gòu)。這些產(chǎn)產(chǎn)品通過對對大量內(nèi)部部網(wǎng)絡(luò)的外外向連接請請求采用計計賬系統(tǒng)和和包的批次次修改方式式，對防火火墻的內(nèi)外外提供相關(guān)關(guān)的偽像。。3、分布式式防火墻技技術(shù)。新型型的分布式式防火墻由由中心定義義策略，但但由各個分分布在網(wǎng)絡(luò)絡(luò)中的端點點實施這些些制定的策策略。實現(xiàn)現(xiàn)的三個主主要步驟：：確定哪些些連接可以以被允許或或那些連接接被禁止的的策略語言言、系統(tǒng)管管理工具和和IP安全全協(xié)議。策策略語言言有很多種種，如KeyNote就是一一種通用的的策略語言言。實現(xiàn)分分布式防火火墻的關(guān)鍵鍵是標(biāo)志內(nèi)內(nèi)部的主機(jī)機(jī)，不應(yīng)該該再采用傳傳統(tǒng)防火墻墻所用的對對物理上的的端口進(jìn)行行標(biāo)志的辦辦法。以IP地址來來標(biāo)志內(nèi)部部主機(jī)是一一種可供選選擇的方法法，但安全全性不高，，所以更傾傾向于使用用IP安全全協(xié)議中的的密碼憑證證來標(biāo)志各各臺主機(jī)，，這種新技技術(shù)為主機(jī)機(jī)提供了可可靠的、唯唯一的標(biāo)志志，并且與與網(wǎng)絡(luò)的物物理拓?fù)錈o無關(guān)。分布布式防火墻墻服務(wù)器系系統(tǒng)管理工工具用于將將形成的策策略文件分分發(fā)給被防防火墻保護(hù)護(hù)的所有主主機(jī)，應(yīng)該該注意的是是這里所指指的防火墻墻并不是傳傳統(tǒng)意義上上的物理防防火墻，而而是邏輯上上的分布式式防火墻。。IP安全全協(xié)議是一一種對TCP/IP協(xié)議族的的網(wǎng)絡(luò)層進(jìn)進(jìn)行加密保保護(hù)的機(jī)制制，包括AH和ESP，分別別對IP包包頭和整