計算機網(wǎng)絡(luò)安全-06防火墻技術(shù)

第6章防火墻技術(shù)本章主要內(nèi)容：6.1防火墻簡介6.2防火墻的類型6.3防火墻配置6.4防火墻系統(tǒng)6.5防火墻的選購和使用6.6防火墻產(chǎn)品介紹2/1/20231網(wǎng)絡(luò)安全概述知識點防火墻的概念\功能特點和安全性防火墻的分類防火墻的配置和防火墻系統(tǒng)防火墻的選購、安裝和維護2/1/20232網(wǎng)絡(luò)安全概述難點

防火墻系統(tǒng)

2/1/20233網(wǎng)絡(luò)安全概述要求熟練掌握以下內(nèi)容：●防火墻的概念、功能特點和安全性●防火墻分類、配置●防火墻的選購、安裝和維護了解以下內(nèi)容：●防火墻系統(tǒng)和防火墻產(chǎn)品2/1/20234網(wǎng)絡(luò)安全概述提起防火墻，大家比較熟悉，大凡有計算機的人都用過。所以對這個名字并不陌生，“防火墻”這個術(shù)語來自建筑結(jié)構(gòu)中的安全術(shù)語，過去人們常在寓所之間建起一道磚墻，一旦某個單元起火，它就能夠防止火勢蔓延到其他單元起到防火的作用。現(xiàn)在的防火墻和古代寓意已不同。本章將從防火墻的主要功能、基本類型及其體系結(jié)構(gòu)等方面介紹防火墻的有關(guān)知識。2/1/20235網(wǎng)絡(luò)安全概述6.1防火墻簡介防火墻的概念防火墻的功能特點防火墻的安全性設(shè)計2/1/20236網(wǎng)絡(luò)安全概述6.1.1防火墻的概念防火墻原意是古典建筑在房屋之間的一道墻。當房屋還處于木制結(jié)構(gòu)的時侯，人們將石塊堆砌在房屋周圍用來防止火災(zāi)的發(fā)生。這種墻被稱之為防火墻。RichKosinski(InternetSecurity公司總裁）指出防火墻是一種訪問控制技術(shù)，在某個機構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對信息資源的非法訪問。換句話說，防火墻是一道門檻，控制進/出兩個方向的通信。防火墻是一種廣泛應(yīng)用的一種技術(shù),是控制兩個不同安全策略的網(wǎng)絡(luò)之間互訪，從而防止不同安全域之間的相互危害。防火墻定義為置于兩個網(wǎng)絡(luò)之間的保障網(wǎng)絡(luò)安全的一組構(gòu)件或一個系統(tǒng)。用于加強網(wǎng)絡(luò)間的訪問控制，防止外部用戶非法使用內(nèi)部網(wǎng)的資源，保護內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取，安全、管理、速度是防火墻的三大要素。防火墻在系統(tǒng)中的位置如圖6-1所示。2/1/20237網(wǎng)絡(luò)安全概述6.1.1防火墻的概念防火墻可以嵌入到某種硬件產(chǎn)品中，以硬件設(shè)備形式出現(xiàn)，即硬件防火墻。它也可以是一種軟件產(chǎn)品，即軟件防火墻。

內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)防火墻2/1/20238網(wǎng)絡(luò)安全概述6.1.2防火墻的功能特點防火墻是位于兩個信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間）的軟件或硬件設(shè)備的組合，它對兩個網(wǎng)絡(luò)之間的通信進行控制，通過強制實施統(tǒng)一的安全策略，防止對重要信息資源的非法存取和訪問以達到保護系統(tǒng)安全的目的。防火墻主要功能有：1.防止易受攻擊的服務(wù)防火墻能過濾不安全的服務(wù)。防火墻能防止非授權(quán)用戶進入內(nèi)部網(wǎng)絡(luò)。大大提高了企業(yè)內(nèi)部網(wǎng)的安全性。2/1/20239網(wǎng)絡(luò)安全概述6.1.2防火墻的功能特點2.防火墻對內(nèi)部實現(xiàn)了集中的安全管理對一個企業(yè)而言，使用防火墻比不使用防火墻可能更加經(jīng)濟一些。這是因為如果使用了防火墻可以對軟件、附件統(tǒng)一到防火墻上集中管理。如果不使用防火墻，軟件分散到個主機上單獨管理。3.控制訪問網(wǎng)點利用防火墻對內(nèi)部網(wǎng)段的劃分，可以實現(xiàn)重點網(wǎng)段分離，限制安全問題的擴散。4.對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計可以方便監(jiān)視網(wǎng)絡(luò)的安全并及時報警.所有訪問都經(jīng)過防火墻，因此它是審計和記錄網(wǎng)絡(luò)的訪問和使用的理想位置。2/1/202310網(wǎng)絡(luò)安全概述6.1.2防火墻的功能特點5.提供網(wǎng)絡(luò)地址翻譯NAT功能，可以實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換利用NAT技術(shù)可以緩解地址資源短缺，隱藏內(nèi)部網(wǎng)的結(jié)構(gòu)。Internet防火墻可以作為部署NAT(NetworkAddressTranslator，網(wǎng)絡(luò)地址變換）的邏輯地址。因此防火墻可以保護及隱藏內(nèi)部網(wǎng)絡(luò)資源并減少由于架設(shè)網(wǎng)絡(luò)防火墻所引起的IP地址變動，方便網(wǎng)絡(luò)管理，緩解地址空間短缺的問題.2/1/202311網(wǎng)絡(luò)安全概述6.1.3防火墻的安全性設(shè)計1．防火墻經(jīng)典安全模型防火墻技術(shù)的思想源于經(jīng)典安全，經(jīng)典模型策略是為了保護計算機安全。該安全模型是一個抽象，用來定義實體和實體之間是如何允許進行交互的。經(jīng)典安全模型中包括識別和驗證、訪問控制、審計三大部件，通過參考監(jiān)視器的參考和授權(quán)功能來控制主題針對對象的訪問。參考監(jiān)視器提供兩個功能：第一功能是參考功能，用于評價由主體發(fā)出的訪問請求，而參考監(jiān)視器使用一個授權(quán)數(shù)據(jù)庫來決定是否接受或拒絕收到的請求；而第二個功能就是控制對授權(quán)數(shù)據(jù)庫改變的授權(quán)功能，通過改變授權(quán)數(shù)據(jù)庫的配置來改變主體的訪問權(quán)限。識別和驗證部件的作用就是確定主體的身份。訪問控制部件的作用就是控制主體的訪問對象，由參考監(jiān)視器、授權(quán)數(shù)據(jù)庫構(gòu)成；而審計部件的功能就是監(jiān)測訪問控制的具體執(zhí)行情況，由審計子系統(tǒng)構(gòu)成。2/1/202312網(wǎng)絡(luò)安全概述6.1.3防火墻的安全性設(shè)計2.用戶認證對于防火墻來說，認證主要是對防火墻用戶的認證和防火墻管理員的認證。3.域名服務(wù)防火墻可以對內(nèi)部網(wǎng)內(nèi)外用戶提供修改名字的服務(wù)功能。防火墻不能將內(nèi)部網(wǎng)內(nèi)主機的IP地址泄露出去。因此，對于來自Internet主機的請求，防火墻應(yīng)當分辨內(nèi)部網(wǎng)內(nèi)所有到防火墻IP地址的主機的名字；而對于來自內(nèi)部網(wǎng)內(nèi)的主機的請求，防火墻提供尋址名字，以分辨Internet上的主機。2/1/202313網(wǎng)絡(luò)安全概述6.1.3防火墻的安全性設(shè)計4.IP層的安全IP層的安全包括兩個功能：認證和保密。認證機構(gòu)保證接收的數(shù)據(jù)組就是由數(shù)據(jù)組報頭中所識別出的作為該數(shù)據(jù)組的源所發(fā)送的。此外，認證機構(gòu)還要保證該書劇組在傳送中未被篡改。保密性保證通信節(jié)點對所傳消息進行加密，防止第三者竊聽。5.郵件處理電子郵件是內(nèi)部網(wǎng)絡(luò)與Internet連通的一項主要業(yè)務(wù)。是互聯(lián)網(wǎng)上用戶之間交換信息時廣泛采用的手段。一般采用簡單郵件傳輸協(xié)議SMTP。這些郵件都要通過防火墻驗證通行，在內(nèi)部網(wǎng)上設(shè)置一個郵件網(wǎng)關(guān)，通過他與防火墻連通，在與internet上用戶連通。2/1/202314網(wǎng)絡(luò)安全概述6.2防火墻的類型防火墻的概念防火墻的功能特點防火墻的安全性設(shè)計2/1/202315網(wǎng)絡(luò)安全概述6.2防火墻的類型

6.2.1包過濾防火墻2/1/202316網(wǎng)絡(luò)安全概述6.2.1包過濾防火墻1.包過濾防火墻的工作原理包過濾防火墻的信息過濾規(guī)則是以其所收到的數(shù)據(jù)包頭信息為基礎(chǔ)，包頭信息中包括IP源地址，IP目標端地址、封裝協(xié)議類型等。當一個數(shù)據(jù)包滿足過濾規(guī)則，則允許此數(shù)據(jù)包通過，否則拒絕此包通過，起到了保護內(nèi)部網(wǎng)絡(luò)的作用。靜態(tài)包過濾防火墻工作在TCP/IP協(xié)議的IP層，如圖6-2所示。包過濾的內(nèi)容有：2/1/202317網(wǎng)絡(luò)安全概述6.2.1包過濾防火墻數(shù)據(jù)包協(xié)議類型：TCP、UDP、ICMP、IGMP等；源、目的IP地址；源、目的端口：FTP、HTTP、DNS等；IP選項：源路由、記錄路由等；TCP選項：SYN、ACK、FIN、RST等；其他協(xié)議選項：ICMP、ECHO等；數(shù)據(jù)包流向：in或out；數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)接口：eth0、eth1。2/1/202318網(wǎng)絡(luò)安全概述6.2.1包過濾防火墻2.包過濾操作過程（1）包過濾規(guī)則必須被存儲作為包過濾設(shè)備的端口上。（2）當數(shù)據(jù)包在端口到達時，包頭被提取。同時包過濾設(shè)備檢查IP，TCP，UDP等包頭中的域。（3）包過濾規(guī)則以特定的次序被存儲，每一規(guī)則按照被存儲的次序作用于包。（4）如果一條規(guī)則阻止傳輸，包就被棄掉。（5）如果一條規(guī)則允許傳輸，包就被通過。（6）如果一個包不滿足任意規(guī)則，它就被棄掉。

2/1/202319網(wǎng)絡(luò)安全概述6.2.1包過濾防火墻3.包過濾防火墻優(yōu)缺點包過濾防火墻優(yōu)點是包過濾防火墻邏輯簡單，性能優(yōu)越，計算量小，很容易用硬件實現(xiàn)。對網(wǎng)絡(luò)性能影響小，它的工作與應(yīng)用層無關(guān)，不需要對客戶端計算機進行專門的配置，易于安裝和使用。通過NAT，可以對外部用戶屏蔽內(nèi)部IP。包過濾防火墻缺點是安全要求不充分，無法識別應(yīng)用層協(xié)議，不能防止地址欺騙；允許外部客戶和和內(nèi)部主機直接相連，不提供用戶鑒別機制，無法約束入侵者由內(nèi)部主機到防火墻服務(wù)帶來安全隱患；處理包內(nèi)信息能力有限，通常不能提供其他功能；由于支持眾多網(wǎng)絡(luò)，很難對規(guī)則的有效性進行測試。2/1/202320網(wǎng)絡(luò)安全概述6.2.1包過濾防火墻3.包過濾防火墻優(yōu)缺點包過濾防火墻優(yōu)點是包過濾防火墻邏輯簡單，性能優(yōu)越，計算量小，很容易用硬件實現(xiàn)。對網(wǎng)絡(luò)性能影響小，它的工作與應(yīng)用層無關(guān)，不需要對客戶端計算機進行專門的配置，易于安裝和使用。通過NAT，可以對外部用戶屏蔽內(nèi)部IP。包過濾防火墻缺點是安全要求不充分，無法識別應(yīng)用層協(xié)議，不能防止地址欺騙；允許外部客戶和和內(nèi)部主機直接相連，不提供用戶鑒別機制，無法約束入侵者由內(nèi)部主機到防火墻服務(wù)帶來安全隱患；處理包內(nèi)信息能力有限，通常不能提供其他功能；由于支持眾多網(wǎng)絡(luò)，很難對規(guī)則的有效性進行測試。2/1/202321網(wǎng)絡(luò)安全概述6.2.2代理服務(wù)器防火墻2.代理型防火墻的優(yōu)缺點代理防火墻的優(yōu)點：代理服務(wù)可以識別并實施高層協(xié)議，如http,ftp；可提供部分傳輸層、全部應(yīng)用層和部分會話層的信息；用于禁止訪問特定的網(wǎng)絡(luò)服務(wù)，并允許其他服務(wù)；能處理數(shù)據(jù)包；不允許外部和內(nèi)部主機間直接通信，代理服務(wù)可轉(zhuǎn)送和屏蔽內(nèi)部服務(wù)；代理服務(wù)具有良好的日志紀錄，可以有效的追蹤。代理型防火墻的缺點：不可以在防火墻服務(wù)器上開設(shè)本級的網(wǎng)絡(luò)服務(wù)；代理服務(wù)有延遲；需要為通過防火墻的每個協(xié)議添加一個新的代理；應(yīng)用級防火墻不提供udp,rpc特殊協(xié)議的代理；代理防火墻培植起來比較麻煩；以來操作系統(tǒng)和應(yīng)用協(xié)議；代理需要附加口令和驗證，從而造成延遲；最大的缺點就是速度比較慢，會成為內(nèi)外網(wǎng)絡(luò)之間的瓶頸。2/1/202322網(wǎng)絡(luò)安全概述6.2.3狀態(tài)檢測防火墻1.狀態(tài)檢測防火墻工作原理狀態(tài)檢測防火墻是基于動態(tài)包過濾技術(shù)，又稱動態(tài)包過濾技術(shù)，采用一個網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全引擎，即監(jiān)測模塊。監(jiān)測模塊工作在網(wǎng)絡(luò)層和鏈路層之間，對網(wǎng)絡(luò)通信各層實時監(jiān)測分析，提取相關(guān)的通信和狀態(tài)信息，并動態(tài)存儲和更新連接表中的狀態(tài)，為下一通信檢查積累數(shù)據(jù)。狀態(tài)檢測技術(shù)是包過濾技術(shù)的延伸，使用各種狀態(tài)表（statetables）來追蹤活躍的TCP會話。由用戶定義的訪問控制列表（ACL）決定允許建立哪些會話（session），只有與活躍會話相關(guān)聯(lián)的數(shù)據(jù)才能穿過防火墻。狀態(tài)檢測防火墻工作示意圖如圖6-4所示。2/1/202323網(wǎng)絡(luò)安全概述6.2.3狀態(tài)檢測防火墻狀態(tài)檢測技術(shù)防火墻是對包過濾技術(shù)、電路層網(wǎng)關(guān)和代理服務(wù)技術(shù)的折中，它的速度和靈活性沒有包過濾機制好，但比代理服務(wù)技術(shù)好。它的應(yīng)用級安全不如代理服務(wù)技術(shù)強，但又比包過濾的機制的高。這種結(jié)合是對包過濾技術(shù)和代理服務(wù)技術(shù)的折中。

2/1/202324網(wǎng)絡(luò)安全概述6.2.3狀態(tài)檢測防火墻2.狀態(tài)檢測防火墻的優(yōu)缺點狀態(tài)檢測防火墻優(yōu)點：為基于無連接的協(xié)議和動態(tài)分配協(xié)議的應(yīng)用提供安全支持，減少了端口的開放時間，能支持所有服務(wù)。狀態(tài)檢測防火墻缺點：允許外部客戶和內(nèi)部主機直接相連，不提供用戶鑒別。2/1/202325網(wǎng)絡(luò)安全概述6.3防火墻配置WinRoutePro(版本W(wǎng)inRoutePro4.2.5)是一個集路由器、DHCP服務(wù)器、DNS服務(wù)器、NAT、防火墻于一身的代理服務(wù)器軟件，同時它還是一個可以應(yīng)用于局域網(wǎng)內(nèi)部的郵件服務(wù)器軟件。WinRoute由三個管理工具組成：1、WinRoute引擎；2、WinRoute引擎監(jiān)視器；3、WinRoute管理程序。其中WinRoute引擎執(zhí)行所有路由和地址分析操作（包括信息包過濾、端口映射等等），WinRoute引擎監(jiān)視器用來開始和停止你的WinRoute引擎。WinRoute引擎監(jiān)視器監(jiān)聽WinRoute引擎是否處于激活狀態(tài)，它會在系統(tǒng)的桌面下角任務(wù)欄上顯示出藍白色的圖標。2/1/202326網(wǎng)絡(luò)安全概述6.3.1服務(wù)器置于防火墻之內(nèi)1.防火墻布局布置防火墻的主機安裝兩個網(wǎng)絡(luò)接口卡，分別為eth0和ethl。其中，eth0連接在外網(wǎng)，其IP地址為6；ethl連接在內(nèi)網(wǎng)，其IP地址為0。Web服務(wù)器主機位于內(nèi)網(wǎng)，其IP地址為，如圖6-6所示。通過防火墻的NAT功能和端口映射功能，可以使外網(wǎng)的Web客戶機對6的Web訪問請求轉(zhuǎn)給，從而外網(wǎng)的Web客戶機就可以正常訪問內(nèi)網(wǎng)中的Web服務(wù)器。2/1/202327網(wǎng)絡(luò)安全概述6.3.1服務(wù)器置于防火墻之內(nèi)2．配置過程在網(wǎng)絡(luò)上下載WinRoutePro4.2.5,執(zhí)行setup，安裝完畢，重啟電腦后，開始運行WinRoute。在系統(tǒng)的桌面下角任務(wù)欄上顯示出一個小圓型的藍白色圖標如圖6-7所示，這表示W(wǎng)inRoute引擎正在運行。如是有紅圓型的圖標則表明WinRoute處于停止。在圖標上簡單點擊鼠標右鍵，在彈出菜單項選擇“StartWinRouteEngine”。

2/1/202328網(wǎng)絡(luò)安全概述6.3.1服務(wù)器置于防火墻之內(nèi)啟動后顯示圖6-8所示對話框，設(shè)置winroute主機的ip地址，用戶名，如果輸入admin則不必輸入密碼，點擊“OK”。1）設(shè)置NAT

設(shè)置NAT的步驟如下：(1)在WinRoute運行界面KerioWinRouteAdministration窗口中選擇Settings-interfaceTable命令，打開Interfaces/NAT對話框，如圖6-10所示。

2/1/202329網(wǎng)絡(luò)安全概述6.3.1服務(wù)器置于防火墻之內(nèi)

(2)選擇內(nèi)部網(wǎng)絡(luò)接口，即選擇IP地址為0的網(wǎng)卡，單擊Properties按鈕，彈出InterfacePropertioes對話框，在Settings選項區(qū)中，選中PerformNATwiththeIPaddressofthisinterfaceonallcommunicationpassing復(fù)選框，對所有經(jīng)過該接口的通信執(zhí)行NAT。如圖6-11所示。2/1/202330網(wǎng)絡(luò)安全概述6.3.1服務(wù)器置于防火墻之內(nèi)本框中輸入目的IP地址，也就是本地網(wǎng)絡(luò)中對外提供服務(wù)的服務(wù)器的IP地址，這里輸入;在DestinationPort文本框中輸入目的端口號，即本地網(wǎng)絡(luò)中服務(wù)器提供服務(wù)的端口，通常與監(jiān)聽的端口是一致的，這里輸入80。以上設(shè)置如圖6-12所示。單擊OK按鈕，返回到如圖6-13所示的對話框。在該對話框中可以根據(jù)情況對新添加的映射項列表進行修改和刪除。

2/1/202331網(wǎng)絡(luò)安全概述6.3.2服務(wù)器置于防火墻之外防火墻只能對內(nèi)網(wǎng)的主機提供一定的保護功能。如果將Web服務(wù)器放置在防火墻之外，防火墻就不會對該服務(wù)器有任何的防護作用。因此，在防火墻主機上也不需要有任何的設(shè)置了。

2/1/202332網(wǎng)絡(luò)安全概述6.3.3服務(wù)器置于防火墻之上布置防火墻的主機安裝兩個網(wǎng)絡(luò)接口，分別為eth0和eth1。其中，eth0連接在外網(wǎng)，其IP地址為6;eth1連接在內(nèi)網(wǎng)，其IP地址為。將Web服務(wù)器綁定在內(nèi)網(wǎng)的接口卡上，如圖6-15所示。將Web服務(wù)器放置在防火墻上，可以按照如下的策略來設(shè)置。2/1/202333網(wǎng)絡(luò)安全概述6.3.3服務(wù)器置于防火墻之上布置防火墻的主機安裝兩個網(wǎng)絡(luò)接口，分別為eth0和eth1。其中，eth0連接在外網(wǎng)，其IP地址為6;eth1連接在內(nèi)網(wǎng)，其IP地址為。將Web服務(wù)器綁定在內(nèi)網(wǎng)的接口卡上，如圖6-15所示。將Web服務(wù)器放置在防火墻上，可以按照如下的策略來設(shè)置。2/1/202334網(wǎng)絡(luò)安全概述6.3.3服務(wù)器置于防火墻之上1.在IIS上設(shè)置Web服務(wù)器的綁定地址和監(jiān)聽端口右擊“我的電腦”圖標，在彈出的快捷菜單中選擇“管理”命令，打開“計算機管理”窗口。在左邊窗口中依依展開“服務(wù)和應(yīng)用程序”-“Internet信息服務(wù)(IIS)管理器”-“網(wǎng)站”，選擇需要設(shè)置的網(wǎng)站，這里選擇默認網(wǎng)站。單擊右鍵，在彈出的快捷菜單中選擇“屬性”命令，打開“默認屬性”對話框。在“網(wǎng)站標識”選項區(qū)中的“IP地址”文本框中輸入綁定的網(wǎng)絡(luò)接口地址，這里輸入0，在“TCP端口”文本框中輸入80，如圖6-16所示。單擊“確定”按鈕，完成Web服務(wù)器的配置。2/1/202335網(wǎng)絡(luò)安全概述6.3.3服務(wù)器置于防火墻之上2.設(shè)置防火墻在WinRoute防火墻上運行Internet服務(wù)器，比如Web服務(wù)器等，由于WinRoute的偵測模塊在數(shù)據(jù)包到達任何一個應(yīng)用程序之前就進行了NAT操作，因此，應(yīng)該像訪問內(nèi)部網(wǎng)絡(luò)中的Web服務(wù)器一樣設(shè)置端口映射。如果沒有對外部接口啟用NAT功能，就可以直接使用該WinRoute服務(wù)器的外部地址或公用域名來訪問。具體配置如下：在如圖6-17所示的EditItem對話框中，從Protocol下拉列表框中選擇TCP選項；在ListenIP下拉列表框中選擇<Unspecifled>選項；在ListenPort文本框中輸入80；在Desti—nation1P文本框中輸入192.168.O.10；在DestinationPort文本框中輸入80。注意：將Web服務(wù)器布置在防火墻之上的做法是不值得推薦的，因為一旦堡壘主機被攻破，Web服務(wù)器就完全暴露在黑客的攻擊之下了。2/1/202336網(wǎng)絡(luò)安全概述6.4防火墻系統(tǒng)屏蔽主機（ScreenedHost）防火墻屏蔽子網(wǎng)（ScreenedSubnet）防火墻2/1/202337網(wǎng)絡(luò)安全概述6.4.1屏蔽主機防火墻

屏蔽主機網(wǎng)關(guān)結(jié)構(gòu)中堡壘機與內(nèi)部網(wǎng)相連，用篩選路由器連接到外部網(wǎng)上，篩選路由器作為第一道防線，堡壘機作為第二道防線。這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。該防火墻系統(tǒng)提供的安全等級比前面兩種防火墻系統(tǒng)要高，主要用于企業(yè)小型或中型網(wǎng)絡(luò)。屏蔽主機模式(ScreenedHostFirewall)由包過濾器和堡壘主機組成，堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上，確保內(nèi)部網(wǎng)絡(luò)不受外部攻擊。屏蔽主機模式分為單宿堡壘主機和雙宿堡壘主機。2/1/202338網(wǎng)絡(luò)安全概述6.4.1屏蔽主機防火墻單宿堡壘主機由一個包過濾路由器連接外部網(wǎng)絡(luò)，同時一個堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上。堡壘主機只有一個網(wǎng)卡，與內(nèi)部網(wǎng)絡(luò)連接如圖6-17所示。雙宿堡壘主機型與單宿堡壘主機型的區(qū)別是，堡壘主機有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡(luò)，一塊連接包過濾路由器，如圖6-18所示。雙宿堡壘主機在應(yīng)用層提供代理服務(wù)，與單宿型相比更加安全。2/1/202339網(wǎng)絡(luò)安全概述6.4.1屏蔽主機防火墻在實際的網(wǎng)絡(luò)管理中，有時某些主機提供特別的服務(wù)，比如銀行的服務(wù)器，需要進行特別的安全保護，使外網(wǎng)的主機無法知道它的存在。這時，就可以使用防火墻來屏蔽該主機(假設(shè)IP地址為0)。具體的辦法就是，將網(wǎng)絡(luò)數(shù)據(jù)包中凡是源地址為0的進人防火墻的數(shù)據(jù)包和目的地址為0的從防火墻外出的數(shù)據(jù)包都丟棄?？梢栽赪inRoute防火墻中添加如下的規(guī)則，實現(xiàn)對內(nèi)部主機192.168.O.50的屏蔽。

2/1/202340網(wǎng)絡(luò)安全概述6.4.1屏蔽主機防火墻1．設(shè)置丟棄進入的數(shù)據(jù)包規(guī)則打開KerioWinRouteAdministration窗口，選擇Settings-Advanced-PacketFilter命令，彈出PacketFilter對話框。單擊Incoming選項卡，選中內(nèi)部網(wǎng)絡(luò)接口。這里選擇ethl。單擊Add按鈕，彈出EditItem對話框。在EditItem對話框中，從Protocol下拉列表框中選擇TCP選項；在Source選項區(qū)Type下拉列表框中選擇Host選項，在隨后出現(xiàn)的IPAddress文本框中輸入要屏蔽的主機的IP，這里輸人0；在TCPFlags選項區(qū)中選中OnlyestablishingTCPcon-nections復(fù)選框；在Action選項區(qū)中，選中Drop單選按鈕；在LogPacket選項區(qū)中，將兩個復(fù)選框全部選中；其他的選項保持默認值，如圖6-20所示。

2/1/202341網(wǎng)絡(luò)安全概述6.4.1屏蔽主機防火墻

采用同樣的方法設(shè)置主機的UDP進入數(shù)據(jù)包屏蔽規(guī)則。在EditItem對話框中，從Protocol下拉列表框中選擇UDP選項；在Source選項區(qū)中，在Type下拉列表框中選擇Host選項，在隨后出現(xiàn)的IPAddress文本框中輸入192.168.O.50；在Action選項區(qū)中，選中Drop單選按鈕；在Log．Packet選項區(qū)中，兩個復(fù)選框全部選中。設(shè)置完主機的TCP和UDP進入數(shù)據(jù)包屏蔽規(guī)則后，單擊OK按鈕，返回到PacketFilter對話框中，如圖6-21所示。單擊“確定”按鈕完成設(shè)置。

2/1/202342網(wǎng)絡(luò)安全概述6.4.1屏蔽主機防火墻2．設(shè)置丟棄外出的數(shù)據(jù)包規(guī)則

設(shè)置丟棄外出的數(shù)據(jù)包規(guī)則的在PacketFilter對話框中，單擊Outgoing選項卡，其他步驟和設(shè)置丟棄進入的數(shù)據(jù)包規(guī)則類似。

2/1/202343網(wǎng)絡(luò)安全概述6.4.2屏蔽子網(wǎng)防火墻屏蔽子網(wǎng)結(jié)構(gòu)，如圖6-24所示，采用了兩個包過濾防火墻和一個堡壘主機，建立隔離的子網(wǎng)，就是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)，這個子網(wǎng)可有堡壘主機等公用服務(wù)器組成，用兩臺篩選路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)進行通信，從而進一步實現(xiàn)屏蔽主機的安全性。

2/1/202344網(wǎng)絡(luò)安全概述6.5防火墻的選購和使用6.5.1防火墻的選購策略6.5.2防火墻的安裝6.5.3防火墻的維護

2/1/202345網(wǎng)絡(luò)安全概述6.5.1防火墻的選購策略1．防火墻自身的安全性防火墻自身的安全性主要體現(xiàn)在自身設(shè)計和管理兩個方面。設(shè)計的安全性關(guān)鍵在于操作系統(tǒng)，只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)的安全性。而應(yīng)用系統(tǒng)的安全是以操作系統(tǒng)的安全為基礎(chǔ)的，同時防火墻自身的安全實現(xiàn)也直接影響整體系統(tǒng)的安全性。

2/1/202346網(wǎng)絡(luò)安全概述6.5.1防火墻的選購策略2．系統(tǒng)的穩(wěn)定性目前，由于種種原因，有些防火墻尚未最后定型或經(jīng)過嚴格的大量測試就被推向了市場，其穩(wěn)定性可想而知。防火墻的穩(wěn)定性可以通過幾種方法判斷：從權(quán)威的測評認證機構(gòu)獲得。例如，你可以通過與其它產(chǎn)品相比，考察某種產(chǎn)品是否獲得更多的國家權(quán)威機構(gòu)的認證、推薦和入網(wǎng)證明（書），來間接了解其穩(wěn)定性。實際調(diào)查，這是最有效的辦法：考察這種防火墻是否已經(jīng)有了使用單位、其用戶量如何，特別是用戶們對于該防火墻的評價。自己試用。在自己的網(wǎng)絡(luò)上進行一段時間的試用（一個月左右）。廠商開發(fā)研制的歷史。一般來說，如果沒有兩年以上的開發(fā)經(jīng)歷，很難保證產(chǎn)品的穩(wěn)定性。

2/1/202347網(wǎng)絡(luò)安全概述6.5.1防火墻的選購策略3．是否高效高性能是防火墻的一個重要指標，它直接體現(xiàn)了防火墻的可用性。如果由于使用防火墻而帶來了網(wǎng)絡(luò)性能較大幅度的下降，就意味著安全代價過高。4．是否可靠可靠性對防火墻類訪問控制設(shè)備來說尤為重要，直接影響受控網(wǎng)絡(luò)的可用性。所以要求設(shè)備本身部件的強健性，這要求有較高的生產(chǎn)標準和設(shè)計冗余度。

2/1/202348網(wǎng)絡(luò)安全概述6.5.1防火墻的選購策略5．是否功能靈活對通信行為的有效控制，要求防火墻設(shè)備有一系列不同級別，滿足不同用戶的各類安全控制需求的產(chǎn)品。6．是否配置方便支持透明通信的防火墻，在安裝時不需要對原網(wǎng)絡(luò)配置做任何改動，所做的工作只相當于接一個網(wǎng)橋或Hub。

2/1/202349網(wǎng)絡(luò)安全概述6.5.1防火墻的選購策略7．是否管理簡便對于防火墻類訪問控制設(shè)備，不但要調(diào)整由于安全事件導(dǎo)致的安全控制注意，還要不斷地的調(diào)整業(yè)務(wù)系統(tǒng)訪問控制，這些都要求防火墻的管理在充分考慮安全需要的前提下，必須提供方便靈活的管理方式和方法，這通常體現(xiàn)為管理途徑、管理工具和管理權(quán)限。8．是否可擴展、可升級用戶的網(wǎng)絡(luò)不是一成不變的，和防病毒產(chǎn)品類似，防火墻也必須不斷地進行升級，此時支持軟件升級就很重要了。如果不支持軟件升級的話，為了抵御新的攻擊手段，用戶就必須進行硬件上的更換，而在更換期間網(wǎng)絡(luò)是不設(shè)防的，同時用戶也要為此花費更多的錢。

2/1/202350網(wǎng)絡(luò)安全概述6.5.2防火墻的安裝1.安裝防火墻前應(yīng)該進行的工作對不同類型的防火墻，安裝的難易程度有所差別。但為了完成企業(yè)內(nèi)部網(wǎng)的防火墻的安裝，網(wǎng)管人員必須制定詳細的計劃和進行精心的安排。對于內(nèi)行來說，可能花費的時間和精力會少些，對于新手，可能要話費很長時間來進行精心的準備。

2/1/202351網(wǎng)絡(luò)安全概述6.5.2防火墻的安裝2.防火墻的安裝方法安裝防火墻最簡單的方法是使用可編程路由器作為包過濾，此法是目前用的最普遍的的網(wǎng)絡(luò)互聯(lián)安全結(jié)構(gòu)。路由器根據(jù)源/目的地址或包頭部的信息，有選擇的使數(shù)據(jù)包通過或阻塞。安裝防火墻的另一種方法是把防火墻安裝在一臺雙端口的主機系統(tǒng)中，連接內(nèi)部網(wǎng)絡(luò)。而不管是內(nèi)部網(wǎng)絡(luò)還是外部網(wǎng)絡(luò)均可訪問這臺主機，但內(nèi)部網(wǎng)上的主機不能直接進行通信。

2/1/202352網(wǎng)絡(luò)安全概述6.5.2防火墻的安裝還有一種方法是把防火墻安裝在一個公共子網(wǎng)中，其作用相當于一臺雙端口的主機。采用應(yīng)用與線路入口及信息包過濾來安裝防火墻也是常用的方法之一。所謂應(yīng)用與線路的入口，就是把所有的包都按地址送給入口上的用戶級應(yīng)用程序，入口在兩點間傳送這些包。對于多數(shù)應(yīng)用入口，需要一個附加的包過濾機制來控制、篩選入口和網(wǎng)絡(luò)之間的信息流。典型的配置包括兩個路由器，其中之一作為設(shè)防主站，起兩者間的應(yīng)用入口的作用。而應(yīng)用入口對用戶、對應(yīng)用程序、對運行的入口主站均不透明。對用戶而言，必須對他們使用的每一個應(yīng)用程序安裝一個特定的客戶機應(yīng)用程序，而帶入口的每一個應(yīng)用程序均是一段獨立的專用軟件，需要一組自己的管理工具和許可才行。

2/1/202353網(wǎng)絡(luò)安全概述6.5.3防火墻的維護1.建立防火墻的安全策略安全策略也可以稱為訪問上的控制策略。它包含了訪問上的控制以及組織內(nèi)其他資源使用的種種規(guī)定。訪問控制包含了哪些資源可以被訪問，如讀取、刪除、下載等行為的規(guī)范，以及哪些人擁有這些權(quán)力等信息。2.對網(wǎng)絡(luò)維護人員培訓(xùn)必須對網(wǎng)管人員經(jīng)過一定的業(yè)務(wù)培訓(xùn)，使他們對自己的計算機網(wǎng)絡(luò)，包括防火墻的內(nèi)部結(jié)構(gòu)配置要清楚。

2/1/202354網(wǎng)絡(luò)安全概述6.5.3防火墻的維護3.實施定期安全檢查網(wǎng)管人員要實施定期的掃描和檢查，發(fā)現(xiàn)系統(tǒng)結(jié)構(gòu)出了問題能及時排除和恢復(fù)。4．網(wǎng)絡(luò)服務(wù)訪問策略網(wǎng)絡(luò)服務(wù)訪問策略主要用于定義在網(wǎng)絡(luò)中答應(yīng)的或禁止的網(wǎng)絡(luò)服務(wù)，還包括對撥號訪問以及PPP(點對點協(xié)議)連接的限制。這是因為對一種網(wǎng)絡(luò)服務(wù)的限制可能會促使用戶使用其他的方法，所以其他的途徑也應(yīng)受到保護。比如，假如一個防火墻阻止用戶使用Telnet服務(wù)訪問因特網(wǎng)，一些人可能會使用撥號連接來獲得這些服務(wù)，這樣就可能會使網(wǎng)絡(luò)受到攻擊。

2/1/202355網(wǎng)絡(luò)安全概述6.5.3防火墻的維護5.保證通信線路暢通網(wǎng)管人員要保證系統(tǒng)監(jiān)控計防火墻之間的通信線路暢通無阻，以便對安全問題進行報警、恢復(fù)、處理其他安裝信息等。

2/1/202356網(wǎng)絡(luò)安全概述6.6防火墻產(chǎn)品介紹（最新版本）6.5.1CheckPointFirewall-1FireWall-1是CheckPoint公司推出的一個基于策略的網(wǎng)絡(luò)安全解決方案，它對訪問控制、授權(quán)、加密、網(wǎng)絡(luò)地址轉(zhuǎn)換、內(nèi)容安全服務(wù)和服務(wù)器負載平衡提供集中的管理。FireWall-1使得企業(yè)可以在提供完全的、透明的互聯(lián)服務(wù)的情況下定義和實施統(tǒng)一的全面的安全策略。下面對CheckPointFireWall-1防火墻的主要技術(shù)特點及其相關(guān)技術(shù)做一介紹。

2/1/202357網(wǎng)絡(luò)安全概述6.6防火墻產(chǎn)品介紹（最新版本）1.狀態(tài)監(jiān)測技術(shù)FireWall-1使用了CheckPoint的專利技術(shù)—狀態(tài)監(jiān)測技術(shù)（StatefulInspectionTechnology），狀態(tài)監(jiān)測技術(shù)保證了高級別的網(wǎng)絡(luò)安全和性能，一個功能強大的監(jiān)測模塊檢查每一個通過網(wǎng)絡(luò)的關(guān)鍵處（如Internet網(wǎng)關(guān)、服務(wù)器、工作站、路由器或交換機）的包，并能阻止所有非法的通信企圖，只有遵循企業(yè)安全策略的包才能進入網(wǎng)絡(luò)。1）FireWall-1監(jiān)測模塊FireWall-1監(jiān)測模塊在OSI七層模型中所處的位置，并簡單描述了它的工作流程。狀態(tài)監(jiān)測模塊截獲、分析并處理所有試圖通過防火墻的數(shù)據(jù)包，據(jù)此判斷該通信是否符合安全策略，以保證網(wǎng)絡(luò)的高度安全和數(shù)據(jù)完整。一旦某個通信違反安全策略，安全警報器就會拒絕該通信，并作記錄，向系統(tǒng)管理器報告網(wǎng)絡(luò)狀態(tài)。如圖6-35所示。

2/1/202358網(wǎng)絡(luò)安全概述6.6防火墻產(chǎn)品介紹（最新版本）2）全面的狀態(tài)記錄FireWall-1檢查從整個七層模型的每層傳送來的數(shù)據(jù)，并分析其中狀態(tài)信息，以監(jiān)測所有狀態(tài)，并將網(wǎng)絡(luò)和各種應(yīng)用的通信狀態(tài)動態(tài)存儲、更新到動態(tài)狀態(tài)表中，結(jié)合預(yù)定義好的規(guī)則，實現(xiàn)安全策略。安全策略是用FireWall-1的圖形用戶界面來定義的。根據(jù)安全策略，F(xiàn)ireWall-1生成一個INSPECT語言寫成的腳本文件，這個腳本被編譯后，加載到安裝有狀態(tài)監(jiān)測模塊的系統(tǒng)上，腳本文件是ASCII文件，可以編輯，以滿足用戶特定的安全要求。監(jiān)測模塊檢查IP地址、端口號以及其他決定其是否符合企業(yè)安全策略的信息。監(jiān)測模塊保存和更新動態(tài)連接表中的狀態(tài)和內(nèi)容信息，這些表不斷更新，為FireWall-1檢查后繼的通信提供積累的先驗數(shù)據(jù)。

2/1/202359網(wǎng)絡(luò)安全概述6.6防火墻產(chǎn)品介紹（最新版本）2.FireWall-1的體系結(jié)構(gòu)與組成FireWall-1具有可伸縮性、模塊化的體系結(jié)構(gòu)，采用的是集中控制下的分布式客戶機/服務(wù)器結(jié)構(gòu)，性能好，配置靈活。企業(yè)網(wǎng)安裝了FireWall-1后，可以用一個工作站對多個網(wǎng)關(guān)和服務(wù)器的安全策略進行配置和管理。企業(yè)安全策略只須在中心管理控制臺定義一次，并被自動下載到網(wǎng)絡(luò)的多個安全策略執(zhí)行點上，而不需逐一配制。FireWall-1由圖形用戶接口（GUI）、管理模塊（ManagementModule）和防火墻模塊(FireWallModule)三部分組成。

2/1/202360網(wǎng)絡(luò)安全概述6.6防火墻產(chǎn)品介紹（最新版本）1）圖形用戶接口FireWall-1直觀的圖形用戶界面為集中管理、執(zhí)行企業(yè)安全策略提供了強有力的工具。FireWall-1的圖形用戶接口包括安全策略編輯器、日志管理器和系統(tǒng)狀態(tài)查看器。安全策略編輯器維護被保護對象，維護規(guī)則庫，添加、編輯、刪除規(guī)則，加載規(guī)則到已安裝了狀態(tài)檢測模塊的系統(tǒng)上。日志管理器提供可視化的對所有通過防火墻網(wǎng)關(guān)的連接的跟蹤、監(jiān)視和統(tǒng)計信息，提供實時報警和入侵檢測及阻斷功能。系統(tǒng)狀態(tài)查看器提供實時的系統(tǒng)狀態(tài)、審計和報警功能。

2/1/202361網(wǎng)絡(luò)安全概述6.6防火墻產(chǎn)品介紹（最新版本）2)管理模塊管理模塊對一個或多個安全策略執(zhí)行點提供集中的、圖形化的安全管理功能。安全策略存在管理服務(wù)器上，管理服務(wù)器維護FireWall-1的數(shù)據(jù)庫，包括網(wǎng)絡(luò)實體的定義、用戶的定義、安全策略和所有防火墻軟件執(zhí)行點的日志文件。圖形用戶接口和管理服務(wù)器可以同時裝在一臺機器上，也可以采用客戶機/服務(wù)器的結(jié)構(gòu)。

2/1/202362網(wǎng)絡(luò)安全概述6.6防火墻產(chǎn)品介紹（最新版本）3）防火墻模塊FireWall-1可以在不修改本地服務(wù)器或客戶應(yīng)用程序的情況下，對試圖訪問內(nèi)部服務(wù)器的用戶進行身份認證。通過圖形用戶界面集中管理，通過日志管理器監(jiān)視、跟蹤認證會話。安全服務(wù)器為FTP、HTTP、TELNET和RLOGIN用戶提供認證。FireWall-1還有一個獨創(chuàng)功能，即客戶認證。還具有NAT的功能。FireWall-1允許企業(yè)定義并執(zhí)行統(tǒng)一的防火墻中央管理安全策略。企業(yè)的防火墻安全策略都存放在防火墻管理模塊的一個規(guī)則庫里。規(guī)則庫里存放的是一些有序的規(guī)則，每條規(guī)則分別指定了源地址、目的地址、服務(wù)類型（HTTP、FTP、TELNET等）、針對該連接的安全措施（放行、拒絕、丟棄或者是需要通過認證等）、需要采取的行動（日志記錄、報警等）、以及安全策略執(zhí)行點（是在防火墻網(wǎng)關(guān)還是在路由器或者其它保護對象上上實施該規(guī)則）。FireWall-1管理員通過一個防火墻管理工作站管理該規(guī)則庫，建立、維護安全策略，加載安全規(guī)則到裝載了防火墻或狀態(tài)監(jiān)測模塊的系統(tǒng)上。這些系統(tǒng)和管理工作站之