網(wǎng)絡(luò)安全導(dǎo)論 課件 第十二章 防火墻

2024/5/31

第十二章

防火墻2024/5/31討論議題1、防火墻的概念2、防火墻的分類3、防火墻系統(tǒng)模型4、防火墻的發(fā)展5、創(chuàng)建防火墻的步驟6、防火墻產(chǎn)品與使用方法簡(jiǎn)介2024/5/311、防火墻的概念2024/5/31防火墻定義防火墻是位于兩個(gè)(或多個(gè))網(wǎng)絡(luò)間，實(shí)施網(wǎng)間訪問(wèn)控制策略的一組組件的集合，它滿足以下條件：

內(nèi)部和外部之間的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過(guò)防火墻只有符合安全政策的數(shù)據(jù)流才能通過(guò)防火墻防火墻自身應(yīng)對(duì)滲透(peneration)免疫2024/5/31ServicecontrolDeterminesthetypesofInternetservicesthatcanbeaccessed,inboundoroutboundDirectioncontrolDeterminesthedirectioninwhichparticularservicerequestsareallowedtoflowUsercontrolControlsaccesstoaserviceaccordingtowhichuserisattemptingtoaccessitBehaviorcontrolControlshowparticularservicesareused(e.g.filtere-mail)Fourgeneraltechniquesforfirewalls2024/5/31為什么需要防火墻保護(hù)內(nèi)部不受來(lái)自Internet的攻擊為了創(chuàng)建安全域?yàn)榱嗽鰪?qiáng)機(jī)構(gòu)安全策略2024/5/31對(duì)防火墻的基本要求保障內(nèi)部網(wǎng)安全保證內(nèi)部網(wǎng)同外部網(wǎng)的連通2024/5/31內(nèi)部網(wǎng)特點(diǎn)組成結(jié)構(gòu)復(fù)雜各節(jié)點(diǎn)通常自主管理信任邊界復(fù)雜，缺乏有效管理有顯著的內(nèi)外區(qū)別機(jī)構(gòu)有整體的安全需求最薄弱環(huán)節(jié)原則2024/5/31防火墻技術(shù)帶來(lái)的好處強(qiáng)化安全策略有效地記錄Internet上的活動(dòng)隔離不同網(wǎng)絡(luò)，限制安全問(wèn)題擴(kuò)散是一個(gè)安全策略的檢查站為了提高安全性，限制或關(guān)閉了一些有用但存在安全缺陷的網(wǎng)絡(luò)服務(wù)，給用戶帶來(lái)使用的不便。防火墻不能對(duì)繞過(guò)防火墻的攻擊提供保護(hù)，如撥號(hào)上網(wǎng)等。不能對(duì)內(nèi)部威脅提供防護(hù)支持。受性能限制，防火墻對(duì)病毒傳輸保護(hù)能力弱。防火墻對(duì)用戶不完全透明，可能帶來(lái)傳輸延遲、性能瓶頸及單點(diǎn)失效。防火墻不能有效地防范數(shù)據(jù)內(nèi)容驅(qū)動(dòng)式攻擊。作為一種被動(dòng)的防護(hù)手段，防火墻不能自動(dòng)防范因特網(wǎng)上不斷出現(xiàn)的新的威脅和攻擊。防火墻的局限性2024/5/312、防火墻分類2024/5/312、防火墻分類包過(guò)濾應(yīng)用代理狀態(tài)檢測(cè)2024/5/31防火墻與OSI/RM模型應(yīng)用層網(wǎng)關(guān)級(jí)表示層會(huì)話層傳輸層電路級(jí)網(wǎng)絡(luò)層路由器級(jí)鏈路層網(wǎng)橋級(jí)物理層中繼器級(jí)OSI/RM防火墻2024/5/31包過(guò)濾防火墻包過(guò)濾防火墻的工作原理采用這種技術(shù)的防火墻產(chǎn)品，通過(guò)在網(wǎng)絡(luò)中的適當(dāng)位置對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾，根據(jù)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所有的TCP端口號(hào)和TCP鏈路狀態(tài)等要素，然后依據(jù)一組預(yù)定義的規(guī)則，以允許合乎邏輯的數(shù)據(jù)包通過(guò)防火墻進(jìn)入到內(nèi)部網(wǎng)絡(luò)，而將不合乎邏輯的數(shù)據(jù)包加以刪除。包過(guò)濾防火墻的工作機(jī)制2024/5/31靜態(tài)包過(guò)濾根據(jù)流經(jīng)該設(shè)備的數(shù)據(jù)包地址信息，決定是否允許該數(shù)據(jù)包通過(guò)判斷依據(jù)有(只考慮IP包)：數(shù)據(jù)包協(xié)議類型：TCP、UDP、ICMP、IGMP等源、目的IP地址源、目的端口：FTP、HTTP、DNS等IP選項(xiàng)：源路由、記錄路由等TCP選項(xiàng)：SYN、ACK、FIN、RST等其它協(xié)議選項(xiàng)：ICMPECHO、ICMPECHOREPLY等數(shù)據(jù)包流向：in或out數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)接口：eth0、eth1對(duì)每個(gè)經(jīng)過(guò)的IP包應(yīng)用安全規(guī)則集合檢查，決定是轉(zhuǎn)發(fā)或者丟棄該包過(guò)濾包是雙向的過(guò)濾規(guī)則基于與IP或TCP包頭中字段的匹配（如四元組：源IP地址、目的IP地址、源端口、目的端口）兩種缺省策略（丟棄或允許）包過(guò)濾防火墻工作流程2024/5/31包過(guò)濾示例堡壘主機(jī)內(nèi)部網(wǎng)外部網(wǎng)絡(luò)在上圖所示配置中，內(nèi)部網(wǎng)地址為：/24，堡壘主機(jī)內(nèi)網(wǎng)卡eth1地址為：，外網(wǎng)卡eth0地址為：3DNS地址為：要求允許內(nèi)部網(wǎng)所有主機(jī)能訪問(wèn)外網(wǎng)WWW、FTP服務(wù)，外部網(wǎng)不能訪問(wèn)內(nèi)部主機(jī)2024/5/31包過(guò)濾示例(續(xù))Setinternal=/24Denyipfrom$internaltoanyinviaeth0Denyipfromnot$internaltoanyinviaeth1Allowudpfrom$internaltoanydnsAllowudpfromanydnsto$internalAllowtcpfromanytoanyestablishedAllowtcpfrom$internaltoanywwwinviaeth1Allowtcpfrom$internaltoanyftpinviaeth1Allowtcpfromanyftp-datato$internalinviaeth0Denyipfromanytoany包過(guò)濾規(guī)則設(shè)置實(shí)例2024/5/31動(dòng)態(tài)包過(guò)濾與狀態(tài)檢查技術(shù)動(dòng)態(tài)包過(guò)濾：可以實(shí)現(xiàn)指定用戶數(shù)據(jù)流臨時(shí)通過(guò)防火墻，一般結(jié)合身份認(rèn)證機(jī)制實(shí)現(xiàn)．可動(dòng)態(tài)生成/刪除規(guī)則Checkpoint一項(xiàng)稱為“StatefulInspection”的技術(shù)根據(jù)維護(hù)的網(wǎng)絡(luò)會(huì)話連接信息來(lái)實(shí)現(xiàn)．2024/5/31包過(guò)濾技術(shù)的一些實(shí)現(xiàn)商業(yè)版防火墻產(chǎn)品個(gè)人防火墻路由器OpenSourceSoftwareIpfilter(FreeBSD、OpenBSD、Solaris，…)Ipfw(FreeBSD)Ipchains(Linux2.0.x/2.2.x)Iptables(Linux2.4.x)針對(duì)包過(guò)濾防火墻的攻擊IP欺騙：攻擊者偽造內(nèi)部網(wǎng)絡(luò)主機(jī)或授信網(wǎng)絡(luò)主機(jī)的IP地址，從而通過(guò)防火墻檢查。可以通過(guò)數(shù)據(jù)包流向分析丟棄冒充內(nèi)部主機(jī)的數(shù)據(jù)包，但包過(guò)濾防火墻無(wú)法對(duì)付冒充授信外部主機(jī)的攻擊。源路由選擇規(guī)范：知曉路由器網(wǎng)關(guān)設(shè)置的人員可以定義源主機(jī)到達(dá)網(wǎng)絡(luò)目的地的路徑使相關(guān)數(shù)據(jù)包繞過(guò)防火墻。應(yīng)對(duì)這種攻擊的辦法是檢查每個(gè)包，如果發(fā)現(xiàn)啟用了源路由規(guī)范，則丟棄該包。微型碎片攻擊：攻擊者將IP數(shù)據(jù)包拆分成更小的包并推送其通過(guò)防火墻，寄希望于僅第一個(gè)拆分包會(huì)受到檢查，而其它包不經(jīng)檢查而通過(guò)。對(duì)付辦法是丟棄啟用了IP分片的說(shuō)有數(shù)據(jù)包。2024/5/31優(yōu)點(diǎn)：簡(jiǎn)單對(duì)用戶透明高速缺點(diǎn)：對(duì)于利用特定應(yīng)用的攻擊，防火墻無(wú)法防范配置安全規(guī)則比較困難缺少鑒別，不支持高級(jí)用戶認(rèn)證日志功能有限包過(guò)濾防火墻2024/5/31代理防火墻的原理：代理防火墻運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間，它對(duì)于客戶來(lái)說(shuō)像是一臺(tái)真的服務(wù)器一樣，而對(duì)于外界的服務(wù)器來(lái)說(shuō)，它又是一臺(tái)客戶機(jī)。當(dāng)代理服務(wù)器接收到用戶的請(qǐng)求后，會(huì)檢查用戶請(qǐng)求的站點(diǎn)是否符合公司的要求，如果公司允許用戶訪問(wèn)該站點(diǎn)的話，代理服務(wù)器會(huì)像一個(gè)客戶一樣，去那個(gè)站點(diǎn)取回所需信息再轉(zhuǎn)發(fā)給客戶。代理防火墻2024/5/31應(yīng)用程序網(wǎng)關(guān)(代理服務(wù)器)客

戶網(wǎng)

關(guān)服務(wù)器網(wǎng)關(guān)理解應(yīng)用協(xié)議，可以實(shí)施更細(xì)粒度的訪問(wèn)控制對(duì)每一類應(yīng)用，都需要一個(gè)專門的代理靈活性不夠發(fā)送請(qǐng)求轉(zhuǎn)發(fā)請(qǐng)求請(qǐng)求響應(yīng)轉(zhuǎn)發(fā)響應(yīng)應(yīng)用級(jí)網(wǎng)關(guān)（代理服務(wù)器）應(yīng)用級(jí)網(wǎng)關(guān)的工作機(jī)制2024/5/31應(yīng)用程序網(wǎng)關(guān)的一些實(shí)現(xiàn)商業(yè)版防火墻產(chǎn)品商業(yè)版代理(cache)服務(wù)器OpenSourceTISFWTK(Firewalltoolkit)ApacheSquid優(yōu)點(diǎn)：網(wǎng)關(guān)理解應(yīng)用協(xié)議，可以實(shí)施更細(xì)粒度的訪問(wèn)控制，因此比包過(guò)濾更安全易于配置，界面友好不允許內(nèi)外網(wǎng)主機(jī)的直接連接只需要詳細(xì)檢查幾個(gè)允許的應(yīng)用程序?qū)M(jìn)出數(shù)據(jù)進(jìn)行日志和審計(jì)比較容易缺點(diǎn)：額外的處理負(fù)載，處理速度比包過(guò)濾慢對(duì)每一類應(yīng)用，都需要一個(gè)專門的代理靈活性不夠應(yīng)用級(jí)網(wǎng)關(guān)2024/5/31應(yīng)用層網(wǎng)關(guān)實(shí)現(xiàn)編寫(xiě)代理軟件代理軟件一方面是服務(wù)器軟件但是它所提供的服務(wù)可以是簡(jiǎn)單的轉(zhuǎn)發(fā)功能另一方面也是客戶軟件對(duì)于外面真正的服務(wù)器來(lái)說(shuō)，是客戶軟件針對(duì)每一個(gè)服務(wù)都需要編寫(xiě)模塊或者單獨(dú)的程序?qū)崿F(xiàn)一個(gè)標(biāo)準(zhǔn)的框架，以容納各種不同類型的服務(wù)軟件實(shí)現(xiàn)的可擴(kuò)展性和可重用性客戶軟件軟件需要定制或者改寫(xiě)對(duì)于最終用戶的透明性？協(xié)議對(duì)于應(yīng)用層網(wǎng)關(guān)的處理協(xié)議設(shè)計(jì)時(shí)考慮到中間代理的存在，特別是在考慮安全性，比如數(shù)據(jù)完整性的時(shí)候2024/5/31兩種防火墻技術(shù)

返回本節(jié)2024/5/31狀態(tài)監(jiān)視器防火墻（1）狀態(tài)監(jiān)視器防火墻的工作原理這種防火墻安全特性非常好，它采用了一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎，稱之為檢測(cè)模塊。檢測(cè)模塊在不影響網(wǎng)絡(luò)正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測(cè)，抽取部分?jǐn)?shù)據(jù)，即狀態(tài)信息，并動(dòng)態(tài)地保存起來(lái)作為以后指定安全決策的參考。2024/5/31狀態(tài)監(jiān)視器防火墻的優(yōu)缺點(diǎn)狀態(tài)監(jiān)視器的優(yōu)點(diǎn)：檢測(cè)模塊支持多種協(xié)議和應(yīng)用程序，并可以很容易地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。它會(huì)監(jiān)測(cè)RPC和UDP之類的端口信息，而包過(guò)濾和代理網(wǎng)關(guān)都不支持此類端口。性能堅(jiān)固狀態(tài)監(jiān)視器的缺點(diǎn)：配置非常復(fù)雜。會(huì)降低網(wǎng)絡(luò)的速度。2024/5/31復(fù)合式防火墻常見(jiàn)是代理服務(wù)器和狀態(tài)分析技術(shù)的組合具有對(duì)一切連接嘗試進(jìn)行過(guò)濾的功能；提取和管理多種狀態(tài)信息的功能；智能化做出安全控制和流量控制的決策；提供高性能的服務(wù)和靈活的適應(yīng)性；具有網(wǎng)絡(luò)內(nèi)外完全透明的特性。2024/5/31３、防火墻系統(tǒng)模型2024/5/31篩選路由器優(yōu)點(diǎn)：簡(jiǎn)單缺點(diǎn)：不具備監(jiān)視和日志功能，不隱藏內(nèi)部網(wǎng)絡(luò)信息。2024/5/31單宿主堡壘主機(jī)模型單宿主堡壘主機(jī)（屏蔽主機(jī)防火墻）模型由包過(guò)濾路由器和堡壘主機(jī)組成。該防火墻系統(tǒng)提供的安全等級(jí)比包過(guò)濾防火墻系統(tǒng)要高，因?yàn)樗鼘?shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過(guò)濾）和應(yīng)用層安全（代理服務(wù)）。所以入侵者在破壞內(nèi)部網(wǎng)絡(luò)的安全性之前，必須首先滲透兩種不同的安全系統(tǒng)。2024/5/31雙宿主堡壘主機(jī)模型雙宿主堡壘主機(jī)模型（屏蔽防火墻系統(tǒng)）可以構(gòu)造更加安全的防火墻系統(tǒng)。雙宿主堡壘主機(jī)有兩種網(wǎng)絡(luò)接口但是主機(jī)在兩個(gè)端口之間直接轉(zhuǎn)發(fā)信息的功能被關(guān)掉了。在物理結(jié)構(gòu)上強(qiáng)行將所有去往內(nèi)部網(wǎng)絡(luò)的信息經(jīng)過(guò)堡壘主機(jī)。2024/5/31屏蔽子網(wǎng)模型屏蔽子網(wǎng)模型用了兩個(gè)包過(guò)濾路由器和一個(gè)堡壘主機(jī)。它是最安全的防火墻系統(tǒng)之一，因?yàn)樵诙x了“中立區(qū)”(DMZ，DemilitarizedZone)網(wǎng)絡(luò)后，它支持網(wǎng)絡(luò)層和應(yīng)用層安全功能。網(wǎng)絡(luò)管理員將堡壘主機(jī)、信息服務(wù)器、Modem組，以及其它公用服務(wù)器放在DMZ網(wǎng)絡(luò)中。如果黑客想突破該防火墻那么必須攻破以上三個(gè)單獨(dú)的設(shè)備。2024/5/31屏蔽子網(wǎng)模式內(nèi)部路由器內(nèi)部網(wǎng)外部網(wǎng)絡(luò)堡壘主機(jī)外部路由器DMZ區(qū)周邊網(wǎng)2024/5/31其他結(jié)構(gòu)使用多堡壘主機(jī)合并內(nèi)部路由器與外部路由器合并堡壘主機(jī)與外部路由器合并堡壘主機(jī)與內(nèi)部路由器使用多臺(tái)內(nèi)部路由器使用多臺(tái)外部路由器使用多個(gè)周邊網(wǎng)絡(luò)使用雙重宿主主機(jī)與屏蔽子網(wǎng)2024/5/314、防火墻的發(fā)展2024/5/31防火墻的發(fā)展簡(jiǎn)史 第一代防火墻：采用了包過(guò)濾（PacketFilter）技術(shù)。第二、三代防火墻：1989年，推出了電路層防火墻，和應(yīng)用層防火墻的初步結(jié)構(gòu)。第四代防火墻：1992年，開(kāi)發(fā)出了基于動(dòng)態(tài)包過(guò)濾技術(shù)的第四代防火墻。第五代防火墻：1998年，NAI公司推出了一種自適應(yīng)代理技術(shù)，可以稱之為第五代防火墻。2024/5/31防火墻的發(fā)展應(yīng)用層網(wǎng)關(guān)的進(jìn)一步發(fā)展認(rèn)證機(jī)制智能代理與其他技術(shù)的集成比如NAT、VPN(IPSec)、IDS，以及一些認(rèn)證和訪問(wèn)控制技術(shù)防火墻自身的安全性和穩(wěn)定性分布式防火墻2024/5/31第四代防火墻，具有安全操作系統(tǒng)的防火墻產(chǎn)品。1．雙端口或三端口的結(jié)構(gòu)

新一代防火墻產(chǎn)品具有兩個(gè)或三個(gè)獨(dú)立的網(wǎng)卡，內(nèi)外兩個(gè)網(wǎng)卡可不作IP轉(zhuǎn)化而串接于內(nèi)部網(wǎng)與外部網(wǎng)之間，另一個(gè)網(wǎng)卡可專用于對(duì)服務(wù)器的安全保護(hù)。

2．多級(jí)的過(guò)濾技術(shù)為保證系統(tǒng)的安全性和防護(hù)水平，第四代防火墻采用了三級(jí)過(guò)濾措施，并輔以鑒別手段。在分組過(guò)濾一級(jí)，能過(guò)濾掉所有的源路由分組和假冒的IP源地址；在應(yīng)用級(jí)網(wǎng)關(guān)一級(jí)，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測(cè)Internet提供的所用通用服務(wù)；在電路網(wǎng)關(guān)一級(jí)，實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)的透明連接，并對(duì)服務(wù)的通行實(shí)行嚴(yán)格控制。第四代防火墻技術(shù)2024/5/313．Internet網(wǎng)關(guān)技術(shù)由于是直接串連在網(wǎng)絡(luò)之中，第四代防火墻必須支持用戶在Internet互連的所有服務(wù)，同時(shí)還要防止與Internet服務(wù)有關(guān)的安全漏洞。故它要能以多種安全的應(yīng)用服務(wù)器（包括FTP、Finger、mail、Ident、News、WWW等）來(lái)實(shí)現(xiàn)網(wǎng)關(guān)功能。為確保服務(wù)器的安全性，對(duì)所有的文件和命令均要利用“改變根系統(tǒng)調(diào)用（chroot）”作物理上的隔離。2024/5/314.VPN技術(shù)

VPN可以在防火墻與防火墻或移動(dòng)的客戶端之間對(duì)所有網(wǎng)絡(luò)傳輸?shù)膬?nèi)容加密，建立一個(gè)虛擬通道，讓兩者感覺(jué)是在同一個(gè)網(wǎng)絡(luò)上，可以安全且不受拘束地互相存取。5．網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）第四代防火墻利用NAT技術(shù)能透明地對(duì)所有內(nèi)部地址作轉(zhuǎn)換，使外部網(wǎng)絡(luò)無(wú)法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時(shí)允許內(nèi)部網(wǎng)絡(luò)使用自己編的IP地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個(gè)主機(jī)的通信，確保每個(gè)分組送往正確的地址。2024/5/316．審計(jì)和告警第四代防火墻產(chǎn)品的審計(jì)和告警功能十分健全，日志文件包括：一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問(wèn)、告警條件、管理日志、進(jìn)站代理、FTP代理、出站代理、郵件服務(wù)器、域名服務(wù)器等。告警功能會(huì)守住每一個(gè)TCP或UDP探尋，并能以發(fā)出郵件、聲響等多種方式報(bào)警。2024/5/317．用戶鑒別與加密為了降低防火墻產(chǎn)品在Telnet、FTP等服務(wù)和遠(yuǎn)程管理上的安全風(fēng)險(xiǎn)，鑒別功能必不可少，第四代防火墻采用一次性使用的口令字系統(tǒng)來(lái)作為用戶的鑒別手段，并實(shí)現(xiàn)了對(duì)郵件的加密。8．用戶定制服務(wù)為滿足特定用戶的特定需求，第四代防火墻在提供眾多服務(wù)的同時(shí)，還為用戶定制提供支持，這類選項(xiàng)有：通用TCP，出站UDP、FTP、SMTP等類，如果某一用戶需要建立一個(gè)數(shù)據(jù)庫(kù)的代理，便可利用這些支持，方便設(shè)置。2024/5/31分布式防火墻傳統(tǒng)防火墻技術(shù)的幾個(gè)問(wèn)題依賴于防火墻一端可信，另一端是潛在的敵人Internet的發(fā)展使從外部穿過(guò)防火墻訪問(wèn)內(nèi)部網(wǎng)的需求增加了一些內(nèi)部主機(jī)需要更多的權(quán)限只依賴于端-端加密并不能完全解決問(wèn)題過(guò)于依賴物理拓?fù)浣Y(jié)構(gòu)考慮到下面幾個(gè)事實(shí)個(gè)人防火墻已得到了廣泛的應(yīng)用操作系統(tǒng)大多已提供了許多在傳統(tǒng)意義上還屬于防火墻的手段IPv6以及IPSec技術(shù)的發(fā)展防火墻這一概念還不能拋棄2024/5/31分布式防火墻(續(xù)一)思路主要工作防護(hù)工作在主機(jī)端打破傳統(tǒng)防火墻的物理拓?fù)浣Y(jié)構(gòu)，不單純依靠物理位置來(lái)劃分內(nèi)外由安全策略來(lái)劃分內(nèi)外網(wǎng)具體方法：依賴于下面三點(diǎn)策略描述語(yǔ)言：說(shuō)明什么連接允許，什么連接不允許一系列系統(tǒng)管理工具：用于將策略發(fā)布到每一主機(jī)處，以保證機(jī)構(gòu)的安全I(xiàn)PSec技術(shù)及其他高層安全協(xié)議2024/5/31分布式防火墻

2024/5/315、創(chuàng)建防火墻的步驟2024/5/31制定安全策略

搭建安全體系結(jié)構(gòu)

制定規(guī)則順序

落實(shí)規(guī)則集

更換控制

測(cè)試工作2024/5/31測(cè)試工作原因:安裝之后應(yīng)測(cè)試是否正常網(wǎng)絡(luò)環(huán)境變化時(shí)應(yīng)重新配置和測(cè)試周期性測(cè)試確保正常工作測(cè)試方法端口檢查在線檢測(cè)日志審核配置測(cè)試2024/5/316、防火墻產(chǎn)品與使用方法簡(jiǎn)介2024/5/31防火墻主流產(chǎn)品介紹CiscoSecurePIX防火墻華為3ComQuidway?SecPath系列防火墻天融信NGFW4000系列防火墻CheckpointFire-wall-1sonicWall的SonicWall2024/5/31默認(rèn)情況下，所有的防火墻都是按以下兩種情況配置的：拒絕所有的流量，這需要在你的網(wǎng)絡(luò)中特殊指定能夠進(jìn)入和出去的流量的一些類型。允許所有的流量，這種情況需要你特殊指定要拒絕的流量的類型。防火墻的配置過(guò)程中的三個(gè)基本原則：簡(jiǎn)單實(shí)用全面深入內(nèi)外兼顧防火墻基本配置原則2024/5/31通過(guò)三種方式：本地控制臺(tái)端口遠(yuǎn)程TelnetSSH（SecureShell）天融信NGFW4000的應(yīng)用與配置2024/5/31新建連接的對(duì)話框

本地控制臺(tái)端口用一根CONSOLE線纜連接防火墻的CONSOLE接口與PC（或筆記本）的串口。在Windows操作系統(tǒng)中，選擇開(kāi)始->程序->附件->通訊->