【正文】 詳細(xì)的技術(shù)參數(shù)及性能要求見如下文檔（1）包過濾防火墻 也叫分組過濾防火墻。根據(jù)分組包的源、目的地址，端口號(hào)及協(xié)議類型、標(biāo)志位確定是否允許分組包通過。 【優(yōu)點(diǎn)】 ● 高效、透明 【缺點(diǎn)】 ● 不能防范部分的黑客IP欺騙類攻擊 ● 不能跟蹤TCP連接的狀態(tài) ● 不支持應(yīng)用層協(xié)議 ● 對(duì)管理員要求高 【判斷依據(jù)】 ● 數(shù)據(jù)包協(xié)議類型：TCP、UDP、ICMP、IGMP等 ● 源、目的IP地址 ● 源、目的端口：FTP、HTTP、DNS等 ● IP選項(xiàng)：源路由選項(xiàng)等 ● TCP選項(xiàng)：SYN、ACK、FIN、RST等 ● 其它協(xié)議選項(xiàng)：ICMP ECHO、ICMP ECHO REPLY等 ● 數(shù)據(jù)包流向：in或out ● 數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)接口：eth0、eth1 包過濾防火墻應(yīng)用實(shí)例： （2）應(yīng)用網(wǎng)關(guān)防火墻 也叫應(yīng)用代理防火墻。每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程，或一個(gè)后臺(tái)運(yùn)行的服務(wù)程序；對(duì)每個(gè)新的應(yīng)用必須添加針對(duì)此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)。 【優(yōu)點(diǎn)】 ●安全性高 ●提供應(yīng)用層的安全 ●可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征，對(duì)數(shù)據(jù)包的檢測(cè)能力比較強(qiáng) 【缺點(diǎn)】 ● 性能差 ● 伸縮性差 ● 只支持有限的應(yīng)用 ● 不透明 ● 難于配置 ● 處理速度較慢 一個(gè)Telnet代理的例子： （3）狀態(tài)檢測(cè)防火墻 又稱動(dòng)態(tài)包過濾防火墻。對(duì)于新建立的應(yīng)用連接，狀態(tài)檢測(cè)型防火墻先檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過；記錄下該連接的相關(guān)信息，生成狀態(tài)表；對(duì)該連接的后續(xù)數(shù)據(jù)包，只要是符合狀態(tài)表，就可以通過。目前的狀態(tài)檢測(cè)技術(shù)僅可用于TCP/IP網(wǎng)絡(luò)。 狀態(tài)檢測(cè)防火墻處理示意圖： 【優(yōu)點(diǎn)】 ●連接狀態(tài)可以簡(jiǎn)化規(guī)則的設(shè)置 ●提供了完整的對(duì)傳輸層的控制能力 ●使防火墻性能得到較大的提高，特別是大流量的處理能力 ●根據(jù)從所有層中提取的與狀態(tài)相關(guān)信息來做出安全決策，使得安全性也得到進(jìn)一步的提高 【缺點(diǎn)】 ● 對(duì)應(yīng)用層檢測(cè)不夠深入傳統(tǒng)火墻的弱點(diǎn) 傳統(tǒng)的包過濾和狀態(tài)檢測(cè)防火墻弱點(diǎn)如下： ● 沒有深度包檢測(cè)來發(fā)現(xiàn)惡意代碼 ● 不進(jìn)行包重組 ● 惡意程序可以通過信任端口建立隧道穿過去 ● 傳統(tǒng)的部署方法僅僅是網(wǎng)絡(luò)邊緣，不能防御內(nèi)部攻擊分組過深度檢測(cè)防火墻 ● 深度檢測(cè)技術(shù)深入檢查通過防火墻的每個(gè)數(shù)據(jù)包及其應(yīng)用載荷 ● 以基于指紋匹配、啟發(fā)式技術(shù)、異常檢測(cè)以及統(tǒng)計(jì)學(xué)分析等技術(shù)的規(guī)則集，決定如何處理數(shù)據(jù)包 ● 可以更有效的辨識(shí)和防護(hù)緩沖區(qū)溢出攻擊、拒絕服務(wù)攻擊、各種欺騙性技術(shù)以及蠕蟲病毒 復(fù)合型防火墻 在未來的網(wǎng)絡(luò)環(huán)境下，傳統(tǒng)的基于x86體系結(jié)構(gòu)的工控機(jī)防火墻已不能滿足寬帶網(wǎng)絡(luò)高吞吐量、低時(shí)延的要求，而網(wǎng)絡(luò)處理器（Network Processor）和專用集成電路（ASIC）技術(shù)被以為是未來千兆防火墻的主要方向。（1）X86架構(gòu)：最初的千兆防火墻是基于X86架構(gòu)。X86架構(gòu)采用通用CPU和PCI總線接口，具有很高的靈活性和可擴(kuò)展性，過去一直是防火墻開發(fā)的主要平臺(tái)。其產(chǎn)品功能主要由軟件實(shí)現(xiàn)，可以根據(jù)用戶的實(shí)際需要而做相應(yīng)調(diào)整，增加或減少功能模塊，產(chǎn)品比較靈活，功能十分豐富。但其性能發(fā)展卻受到體系結(jié)構(gòu)的制約，作為通用的計(jì)算平臺(tái)，x86的結(jié)構(gòu)層次較多，不易優(yōu)化，且往往會(huì)受到PCI總線的帶寬限制。雖然PCI總線接口理論上 能達(dá)到接近2Gbps的吞吐量，但是通用CPU的處理能力有限，盡管防火墻軟件部分可以盡可能地優(yōu)化，很難達(dá)到千兆速率。同時(shí)很多X86架構(gòu)的防火墻是基于定制的通用操作系統(tǒng)，安全性很大程度上取決于通用操作系統(tǒng)自身的安全性，可能會(huì)存在安全漏洞。（2）ASIC架構(gòu)：相比之下，ASIC防火墻通過專門設(shè)計(jì)的ASIC芯片邏輯進(jìn)行硬件加速處理。ASIC通過把指令或計(jì)算邏輯固化到芯片中，獲得了很高的處理能力，因而明顯提升了防火墻的性能。新一代的高可編程ASIC采用了更靈活的設(shè)計(jì)，能夠通過軟件改變應(yīng)用邏輯，具有更廣泛的適應(yīng)能力。但是，ASIC的缺點(diǎn)也同樣明顯，它的靈活性和擴(kuò)展性不夠，開發(fā)費(fèi)用高，開發(fā)周期太長(zhǎng)，一般耗時(shí)接近2年。雖然研發(fā)成本較高，靈活性受限制、無法支持太多的功能，但其性能具有先天的優(yōu)勢(shì)，非常適合應(yīng)用于模式簡(jiǎn)單、對(duì)吞吐量和時(shí)延指標(biāo)要求較高的電信級(jí)大流量的處理。目前，NetScreen在ASIC防火墻領(lǐng)域占有優(yōu)勢(shì)地位，而我國(guó)的首信也推出了我國(guó)基于自主技術(shù)的ASIC千兆防火墻產(chǎn)品。（3）NP架構(gòu)：NP可以說是介于兩者之間的技術(shù)，NP是專門為網(wǎng)絡(luò)設(shè)備處理網(wǎng)絡(luò)流量而設(shè)計(jì)的處理器，其體系結(jié)構(gòu)和指令集對(duì)于防火墻常用的包過濾、轉(zhuǎn)發(fā)等算法和操作都進(jìn)行了專門的優(yōu)化，可以高效地完成TCP/IP棧的常用操作，并對(duì)網(wǎng)絡(luò)流量進(jìn)行快速的并發(fā)處理。硬件結(jié)構(gòu)設(shè)計(jì)也大多采用高速的接口技術(shù)和總線規(guī)范，具有較高的 I/O能力。它可以構(gòu)建一種硬件加速的完全可編程的架構(gòu)，這種架構(gòu)的軟硬件都易于升級(jí)，軟件可以支持新的標(biāo)準(zhǔn)和協(xié)議，硬件設(shè)計(jì)支持更高網(wǎng)絡(luò)速度，從而使產(chǎn)品的生命周期更長(zhǎng)。由于防火墻處理的就是網(wǎng)絡(luò)數(shù)據(jù)包，所以基于NP架構(gòu)的防火墻與X86架構(gòu)的防火墻相比，性能得到了很大的提高。NP通過專門的指令集和配套的軟件開發(fā)系統(tǒng)，提供強(qiáng)大的編程能力，因而便于開發(fā)應(yīng)用，支持可擴(kuò)展的服務(wù)，而且研制周期短，成本較低。但是，相比于X86架 構(gòu)，由于應(yīng)用開發(fā)、功能擴(kuò)展受到NP的配套軟件的限制，基于NP技術(shù)的防火墻的靈活性要差一些。由于依賴軟件環(huán)境，所以在性能方面NP不如ASIC。NP 開發(fā)的難度和靈活性都介于ASIC和x86構(gòu)架之間，應(yīng)該說，NP是X86架構(gòu)和ASIC之間的一個(gè)折衷。目前NP的主要提供商是Intel和 Motorola，國(guó)內(nèi)基于NP技術(shù)開發(fā)千兆防火墻的廠商最多，聯(lián)想、紫光比威等都有相關(guān)產(chǎn)品推出。從上面可以看出，X86架構(gòu)、NP和ASIC各有優(yōu)缺點(diǎn)。X86架構(gòu)靈活性最高，新功能、新模塊擴(kuò)展容易，但性能肯定滿足不了千兆需要。ASIC性能最高，千兆、萬兆吞吐速率均可實(shí)現(xiàn)，但靈活性最低，定型后再擴(kuò)展十分困難。NP則介于兩者之間，性能可滿足千兆需要，同時(shí)也具有一定的靈活性。三種架構(gòu)綜合比較：架構(gòu)類型X86NPASIC靈活性高中低擴(kuò)展性高中低開放性中高低穩(wěn)定性低中高性能最高2Gbps千兆可達(dá)萬兆網(wǎng)絡(luò)防火墻至少應(yīng)當(dāng)提供3個(gè)網(wǎng)絡(luò)接口，分別用于連接內(nèi)網(wǎng)、外網(wǎng)和DMZ區(qū)域。如果能夠提供更多數(shù)量的端口，則還可以借助虛擬防火墻實(shí)現(xiàn)多路網(wǎng)絡(luò)連接。而接口速率則關(guān)系到網(wǎng)絡(luò)防火墻所能提供的最高傳輸速率，為了避免可能的網(wǎng)絡(luò)瓶頸，防火墻的接口速率應(yīng)當(dāng)為百兆、千兆或萬兆。網(wǎng)絡(luò)端口：LAN口，WAN口，DMZ口控制端口：console口，RJ45端口或USB接口（1）防火墻的基本功能：防火墻系統(tǒng)可以說是網(wǎng)絡(luò)的第一道防線，因此一個(gè)企業(yè)在決定使用防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)的安全時(shí)，它首先需要了解一個(gè)防火墻系統(tǒng)應(yīng)具備的基本功能，這是用戶選擇防火墻產(chǎn)品的依據(jù)和前提。一個(gè)成熟的硬件防火墻產(chǎn)品應(yīng)具有以下功能： 防火墻的設(shè)計(jì)策略應(yīng)遵循安全防范的基本原則——“除非明確允許，否則就禁止”； 防火墻本身支持安全策略，而不是添加上去的；如果組織機(jī)構(gòu)的安全策略發(fā)生改變，可以加入新的服務(wù)；有先進(jìn)的認(rèn)證手段或有掛鉤程序，可以安裝先進(jìn)的認(rèn)證方法；如果需要，可以運(yùn)用過濾技術(shù)允許和禁止服務(wù)；可以使用FTP和Telnet等服務(wù)代理，以便先進(jìn)的認(rèn)證手段可以被安裝和運(yùn)行在防火墻上；擁有界面友好、易于編程的IP過濾語言，并可以根據(jù)數(shù)據(jù)包的性質(zhì)進(jìn)行包過濾，數(shù)據(jù)包的性質(zhì)有目標(biāo)和源IP地址、協(xié)議類型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站網(wǎng)絡(luò)接口等。 如果用戶需要NNTP（網(wǎng)絡(luò)消息傳輸協(xié)議）、XWindow、HTTP和Gopher等服務(wù)，防火墻應(yīng)該包含相應(yīng)的代理服務(wù)程序。防火墻也應(yīng)具有集中郵件的功能，以減少SMTP服務(wù)器和外界服務(wù)器的直接連接，并可以集中處理整個(gè)站點(diǎn)的電子郵件。防火墻應(yīng)允許公眾對(duì)站點(diǎn)的訪問，應(yīng)把信息服務(wù)器和其他內(nèi)部服務(wù)器分開。 防火墻應(yīng)該能夠集中和過濾撥入訪問，并可以記錄網(wǎng)絡(luò)流量和可疑的活動(dòng)。此外，為了使日志具有可讀性，防火墻應(yīng)具有精簡(jiǎn)日志的能力。雖然沒有必要讓防火墻的操作系統(tǒng)和公司內(nèi)部使用的操作系統(tǒng)一樣，但在防火墻上運(yùn)行一個(gè)管理員熟悉的操作系統(tǒng)會(huì)使管理變得簡(jiǎn)單。防火墻的強(qiáng)度和正確性應(yīng)該可被驗(yàn)證，設(shè)計(jì)盡量簡(jiǎn)單，以便管理員理解和維護(hù)。防火墻和相應(yīng)的操作系統(tǒng)應(yīng)該用補(bǔ)丁程序進(jìn)行升級(jí)且升級(jí)必須定期進(jìn)行。 正像前面提到的那樣，Internet每時(shí)每刻都在發(fā)生著變化，新的易攻擊點(diǎn)隨時(shí)可能會(huì)產(chǎn)生。當(dāng)新的危險(xiǎn)出現(xiàn)時(shí)，新的服務(wù)和升級(jí)工作可能會(huì)對(duì)防火墻的安裝產(chǎn)生潛在的阻力，因此防火墻的可適應(yīng)性是很重要的。（2）企業(yè)的特殊要求：企業(yè)安全政策中往往有些特殊需求不是每一個(gè)防火墻都會(huì)提供的，這方面常會(huì)成為選擇防火墻的考慮因素之一。常見的需求有網(wǎng)絡(luò)地址轉(zhuǎn)換功能(NAT)，雙重DNS、虛擬專用網(wǎng)絡(luò)、掃毒功能、特殊控制需求等。（3）與用戶網(wǎng)絡(luò)結(jié)合：包括管理的難易度、自身的安全性、完善的售后服務(wù)、完整的安全檢查、結(jié)合用戶情況等。 防火墻拓?fù)湮恢?● 專用（內(nèi)部）和公共（外部）網(wǎng)絡(luò)之間 ● 網(wǎng)絡(luò)的出口和入口處 ● 專用網(wǎng)絡(luò)內(nèi)部：關(guān)鍵的網(wǎng)段，如數(shù)據(jù)中心 防火墻區(qū)域 ● Trust（內(nèi)部） ● Untrust（外部，Internet） ● DMZ（Demilitarized Zone，非武裝軍事區(qū)）入侵檢測(cè)IDS入侵檢測(cè)系統(tǒng)(IDS)可以被定義為對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別和相應(yīng)處理的系統(tǒng)。包括系統(tǒng)外部的入侵和內(nèi)部用戶的非授權(quán)行為,是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem，簡(jiǎn)稱IDS) 入侵檢測(cè)系統(tǒng) 評(píng)價(jià)入侵檢測(cè)系統(tǒng)性能的標(biāo)準(zhǔn)（1）準(zhǔn)確性(Accuracy)：指入侵檢測(cè)系統(tǒng)能正確地檢測(cè)出系統(tǒng)入侵活動(dòng)，否則會(huì)造成虛警現(xiàn)象。（2）處理性能（Performance）：指一個(gè)入侵檢測(cè)系統(tǒng)處理系統(tǒng)審計(jì)數(shù)據(jù)的速度。（3）完備性(Compliteness)：指入侵檢測(cè)系統(tǒng)能夠檢測(cè)出所有攻擊行為的能力。（相對(duì)困難）（4）容錯(cuò)性（FaultTolerance）：入侵檢測(cè)系統(tǒng)自身必須能夠抵御對(duì)它自身的攻擊，特別是拒絕服務(wù)攻擊（DenialOfService）。（5）及時(shí)性(Timeliness)：及時(shí)性要求入侵檢測(cè)系統(tǒng)必須盡快地分析數(shù)據(jù)并把分析結(jié)果傳播出去，以使系統(tǒng)安全管理者能夠在入侵攻擊尚未造成更大危害以前做出反應(yīng)，阻止攻擊者顛覆審計(jì)系統(tǒng)甚至入侵檢測(cè)系統(tǒng)的企圖。它不僅要求處理速度快，而且要求傳播、反應(yīng)檢測(cè)結(jié)果信息的時(shí)間盡可能少。或者用另一種評(píng)價(jià)方法評(píng)價(jià)：（1）有效性：指研究檢測(cè)機(jī)制的檢測(cè)精確度和系統(tǒng)報(bào)警的可信度。（2）效率：從檢測(cè)機(jī)制處理數(shù)據(jù)的速度以及經(jīng)濟(jì)角度來考慮，側(cè)重檢測(cè)機(jī)制性能價(jià)格比的改進(jìn)。（3）虛警（false positive）：把系統(tǒng)的“正常行為”作為“異常行為”進(jìn)行報(bào)警（4）漏警(false negative)：如果檢測(cè)系統(tǒng)對(duì)部分針對(duì)系統(tǒng)的入侵活動(dòng)不能識(shí)別、報(bào)警，稱為系統(tǒng)漏警。（5）檢測(cè)率：指被監(jiān)控系統(tǒng)受到入侵攻擊時(shí)，檢測(cè)系統(tǒng)能夠正確報(bào)警的概率。（6）虛警率：指檢測(cè)系統(tǒng)