【正文】 60。，過濾路由器為用戶提供了一種透明的服務，用戶不用改變客戶端程序活高便自己的行為。（或極少的費用），因為因為這些特點都包含在標準的路由器軟件中。由于 Inter訪問一般都是在 WAN接口上提供，因此在流量始終并定義較少過濾器時對路由器的性能幾乎沒有影響。，所以不必對用戶進行特殊的培訓和在每臺主機上安裝特定的軟件。包過濾防火墻具有根本的缺陷： 1．不能防范黑客攻擊。包過濾防火墻的工作基于一個前提，就是知道哪些 IP是可信網(wǎng)絡，哪些是不可信網(wǎng)絡的 IP地址。但是隨著遠程辦公等新應用的出現(xiàn)，不可能區(qū)分出可信網(wǎng)絡與不可信網(wǎng)絡的界限，對于黑客來說，只需將源 IP包改成合法 IP即可輕松通過包過濾防火墻，進入內(nèi)網(wǎng)，而任何一個初級水平的黑客都能進行 IP地址欺騙。 即只能阻止一種類型的 IP欺騙，外部主機偽裝內(nèi)部主機的 IP，對于外部主機偽裝其他可信任的外部主機的 IP卻不可阻止。 2．不支持應用層協(xié)議。包過濾防火墻無能為力，因為它不認識數(shù)據(jù)包中的應用層協(xié)議，訪問控制粒度太粗糙。 ，定義數(shù)據(jù)包過濾器會比較復雜，因為網(wǎng)絡管理員需要對各種Inter服務、包頭格式以及每個域的意義有非常深入的理解，才能將過濾規(guī)則集盡量定義完善。4．不能處理新的安全威脅。它不能跟蹤 TCP狀態(tài)，所以對 TCP層的控制有漏洞。如當它配置了僅允許從內(nèi)到外的TCP訪問時，一些以 TCP應答包的形式從外部對內(nèi)網(wǎng)進行的攻擊仍可以穿透防火墻 。等等。綜上可見，包過濾防火墻技術(shù)面太過初級，難以履行保護內(nèi)網(wǎng)安全的職責。防火墻的 核心技術(shù)? 代理技術(shù) –應用代理徹底隔斷內(nèi)網(wǎng)與外網(wǎng)的直接通信，內(nèi)網(wǎng)用戶對外網(wǎng)的訪問變成防火墻對外網(wǎng)的訪問，然后再由防火墻轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶。所有通信都必須經(jīng)應用層代理軟件轉(zhuǎn)發(fā)，訪問者任何時候都不能與服務器建立直接的 TCP連接，應用層的協(xié)議會話過程必須符合代理的安全策略要求。? 優(yōu)點是可以檢查應用層、傳輸層和網(wǎng)絡層的協(xié)議特征，對數(shù)據(jù)包的檢測能力比較強。 缺點也非常突出，主要有：l難于配置。由于每個應用都要求單獨的代理進程，這就要求網(wǎng)管能理解每項應用協(xié)議的弱點，并能合理的配置安全策略，由于配置繁瑣，難于理解，容易出現(xiàn)配置失誤，最終影響內(nèi)網(wǎng)的安全防范能力。 l處理速度非常慢。斷掉所有的連接，由防火墻重新建立連接，理論上可以使應用代理防火墻具有極高的安全性。但是實際應用中并不可行，因為對于內(nèi)網(wǎng)的每個 Web訪問請求，應用代理都需要開一個單獨的代理進程，它要保護內(nèi)網(wǎng)的 Web服務器、數(shù)據(jù)庫服務器、文件服務器、郵件服務器，及業(yè)務程序等，就需要建立一個個的服務代理，以處理客戶端的訪問請求。這樣，應用代理的處理延遲會很大，內(nèi)網(wǎng)用戶的正常 Web訪問不能及時得到響應。防火墻的 核心技術(shù)? 狀態(tài)檢測包過濾技術(shù)– 狀態(tài)檢測摒棄了包過濾僅考查數(shù)據(jù)包的 IP地址等幾個參數(shù)，而不關心數(shù)據(jù)包連接狀態(tài)變化的缺點，在防火墻的核心部分建立狀態(tài)連接表，并將進出網(wǎng)絡的數(shù)據(jù)當成一個個的會話，利用狀態(tài)表跟蹤每一個會話狀態(tài)。狀態(tài)監(jiān)測對每一個包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會話所處的狀態(tài)，因此提供了完整的對傳輸層的控制能力 。? 優(yōu) 點： 由于不需要對每個數(shù)據(jù)包進行規(guī)則檢查，而是一個連接的后續(xù)數(shù)據(jù)包（通常是大量的數(shù)據(jù)包）通過散列算法，直接進行狀態(tài)檢查，從而使得性能得到了較大提高；而且，由于狀態(tài)表是動態(tài)的，因而可以有選擇地、動態(tài)地開通 1024號以上的端口，使得安全性得到進一步地提高。l復合型防火墻技術(shù)防火墻的 核心技術(shù)由于希望防火墻在功能上能進行融合，保證完善的應用。許多廠家提出了混合型飯防火請的概念。他們認為混合型防火墻應該是動態(tài)包過濾和透明代理的有機結(jié)合，可以做到用戶無需知道給他提供服務的到底是用了哪些技術(shù)，而防火墻根據(jù)不同的服務要求提供用戶的使用要求和安全策略。而且為了保證性能只有必須使用應用代理才能實現(xiàn)的功能才使用代理。該防火墻結(jié)合了包過濾防火墻和應用級防火墻的特點。它同包過濾防火墻一樣能夠通過 ip地址和端口號，過濾進出的數(shù)據(jù)包，也能夠檢查 syn和 ack標記和序列數(shù)字是否邏輯有序。另一方面，它也能象應用級防火墻一樣，在應用層上檢查數(shù)據(jù)包的內(nèi)容，查看這些內(nèi)容是否能符合既定的網(wǎng)絡安全規(guī)則。目前在市場上技術(shù)領先的防火墻大多屬于混合型防火墻，因為該防火墻對于用戶透明，在應用層上加密數(shù)據(jù)，不需要修改客戶端的程序，也不需對每個需要在防火墻上打開的服務額外增加代理 。l核檢測防火墻技術(shù)防火墻的 核心技術(shù)包過濾防火墻工作原理圖狀態(tài)檢測防火墻工作原理圖代理 防火墻工作原理圖復 /混合型防火墻工作原理圖核檢測 防火墻工作原理圖檢查整個會話第六代 智能防火墻的特點 ? 智能訪問控制技術(shù)? 安全防御內(nèi)核 ? 三維訪問控制技術(shù)? 高可用性技術(shù) ? 廣泛的應用支持? 自主可控的安全操作系統(tǒng) ? 強大的管理、健康和審計功能 　防火墻的功能? 防火墻是網(wǎng)絡安全的屏障 ? 防火墻可以強化網(wǎng)絡安全策略 ? 對網(wǎng)絡存取和訪問進行監(jiān)控審計? 防止內(nèi)部信息的外泄 57　防火墻的局限性? 防火墻防外不防內(nèi)? 防火墻難以管理和配置，容易造成安全漏洞? 防火墻不能防范繞過防火墻的攻擊 ? 防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊 58　實用防火墻技術(shù)? 　 網(wǎng)絡地址轉(zhuǎn)換（ NAT）? NAT英文全稱是 NetworkAddressTranslation，它是一個IETF標準，是用于將一個地址域（如：專用 Intra）映射到另一個地址域（如： Inter）的標準方法。 59網(wǎng)絡地址轉(zhuǎn)換（ NAT）? NAT功能通常被集成到路由器、 Modem、防火墻、 ISDN路由器或者單獨的 NAT設備中，當然，現(xiàn)在比較流行的操作系統(tǒng)或其他軟件（主要是代理軟件，如 WINROUTE），大多也有著 NAT的功能。 ? NAT有三種類型：靜態(tài) NAT(Static NAT)、 NAT池(Pooled NAT)、網(wǎng)絡地址端口轉(zhuǎn)換 NAPT（ Port－ Level NAT）。– 靜態(tài) NAT設置起來最為簡單和最容易實現(xiàn)的一種，內(nèi)部網(wǎng)絡中的每個主機都被永久映射成外部網(wǎng)絡中的某個合法的地址 。– NAT池則是在外部網(wǎng)絡中定義了一系列的合法地址，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡 。– NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡的一個 IP地址的不同端口上。 60網(wǎng)絡地址轉(zhuǎn)換（ NAT）? 即應用網(wǎng)關技術(shù)? 當外部某臺主機試圖訪問受保護網(wǎng)絡時，必須先在防火墻上經(jīng)過身份認證。通過身份認證后，防火墻運行一個專門為該網(wǎng)絡設計的程序，把外部主機與內(nèi)部主機連接。在這個過程中，防火墻可以限制用戶訪問的主機、訪問時間及訪問的方式。同樣，受保護網(wǎng)絡內(nèi)部用戶訪問外部網(wǎng)時也需先登錄到防火墻上，通過驗證后，才可訪問。 62? 回路級代理服務器即通常意義的代理服務器 ，它適用于多個協(xié)議，但不能解釋應用協(xié)議，需要通過其他方式來獲得信息，所以，回路級代理服務器通常要求修改過的用戶程序。? 套接字服務器（ Sockets Server）就是回路級代理服務器。套接字 (Sockets)是一種網(wǎng)絡應用層的國際標準。當受保護網(wǎng)絡客戶機需要與外部網(wǎng)交互信息時， 在防火墻上的套服務器檢查客戶的 User ID、 IP源地址和 IP目的地址，經(jīng)過確認后，套服務器才與外部的服務器建立連接。 對用戶來說，受保護網(wǎng)與外部網(wǎng)的信息交換是透明的，感覺不到防火墻的存在，那是因為網(wǎng)絡用戶不需要登錄到防火墻上。但是客戶端的應用軟件必須支持 “Socketsified API” ，受保護網(wǎng)絡用戶訪問公共網(wǎng)所使用的 IP地址也都是防火墻的 IP地址。63IP通道（ IPTunnels）? 如果一個公司的多個子公司之間距離比較遠，為了互相之間能夠通過Inter通信，這時，可以在他們之間建立 IPTunnels來防止信息被黑客截取，同時一旦 通道建立，所有在這個通道上傳輸?shù)臄?shù)據(jù)包都被自動的加密，從而在 Inter上形成一個虛擬的企業(yè)網(wǎng)。這實際是 VPN的一種應用，用于構(gòu)建 extra。64隔離域名服務器? 這種技術(shù)是 通過防火墻將受保護網(wǎng)絡的域名服務器與外部網(wǎng)的域名服務器隔離，使外部網(wǎng)的域名服務器只能看到防火墻的 IP地址，無法了解內(nèi)部受保護網(wǎng)絡的具體情況，這樣可以保證受保護網(wǎng)絡的 IP地址不被外部網(wǎng)絡獲悉。65電子郵件轉(zhuǎn)發(fā)技術(shù)? 當防火墻采用上面所提到的幾種技術(shù)使得外部網(wǎng)絡只知道防火墻的 IP地址和域名時，從外部網(wǎng)絡發(fā)來的郵件，就只能送到防火墻上。這時防火墻對郵件進行檢查，只有當發(fā)送郵件的源主機是被允許通過的，防火墻才對郵件的目的地址進行轉(zhuǎn)換，送到內(nèi)部的郵件服務器，由其進行轉(zhuǎn)發(fā)。66? 企業(yè)防火墻的選購? 企業(yè)防火墻的配置? 個人防火墻的選購? 個人防火墻的配置67防火墻產(chǎn)品的選擇：l靈活的訪問控制功能（是否具備基于 IP報頭， TCP報頭、基于用戶、基于時間、基于流量的訪問控制功能）l完善的應用代理功能（是否是有 HTTP、 FTP、ＳＭＴＰ等常用協(xié)議的代理功能）l狀態(tài)檢測功能（對異常行為進行檢測）l多種附加功能（ＮＡＴ，身份驗證、計費、入侵檢測、審計、 VPN等功能）l靈活的組網(wǎng)方式（透明模式、路由模式、混合模式）l靈活的安全策略l等等2．企業(yè)的特殊要求 ? 網(wǎng)絡地址轉(zhuǎn)換功能 (NAT) ? 雙重 DNS ? 虛擬專用網(wǎng)絡 (VPN)： VPN可以在防火墻與防火墻或移動的客戶端之間對所有網(wǎng)絡傳輸?shù)膬?nèi)容加密，建立一個虛擬通道，讓兩者感覺是在同一個網(wǎng)絡上，可以安全且不受拘束地互相存取。 ? 掃毒功能? 特殊控制需求 ：如限制特定使用者才能發(fā)送 Email， FTP只能下載文件不能上傳文件，限制同時上網(wǎng)人數(shù)，限制使用時間或阻塞 Java、 ActiveX控件等，依需求不同而定。3．與用戶網(wǎng)絡結(jié)合? 管理的難易度 不能達到完全的控制之外，設定工作困難、須具備完整的知識以及不易除錯等管理問題，更是一般企業(yè)不愿意使用的主要原因。? 自身的安全性 防火墻也是網(wǎng)絡上的主機之一，防火墻如果不能確保自身安全，則防火墻的控制功能再強，也終究不能完全保護內(nèi)部網(wǎng)絡。 ? 完整的安全檢查 — 防火墻還應該向使用者提供相對完整的安全檢查功能 ? 結(jié)合用戶情況– 網(wǎng)絡受威脅的程度；若入侵者闖入網(wǎng)絡，將要受到的潛在的損失；– 其他已經(jīng)用來保護網(wǎng)絡及其資源的安全措施；– 由于硬件或軟件失效，或防火墻遭到 “拒絕服務攻擊 ”，而導致用戶不能訪問Inter，造成的整個機構(gòu)的損失；– 機構(gòu)所希望提供給 Inter的服務，希望能從 Inter得到的服務以及可以同時通過防火墻的用戶數(shù)目；– 網(wǎng)絡是否有經(jīng)驗豐富的管理員；今后可能的要求，如要求增加通過防火墻的網(wǎng)絡活動或要求新的 Inter服務。 　 個人防火墻的選購? 什么是個人防火墻? 個人版防火墻是安裝在你的 PC機系統(tǒng)里的一段 代碼墻 把你的電腦和 inter分隔開。它檢查到達防火墻兩端的所有數(shù)據(jù)包，無論是進入還是發(fā)出，從而決定該攔截這個包還是將其放行。也就是說， 在不妨礙你正常上網(wǎng)瀏覽的同時，阻止 INTERNET上的其他用戶對你的計算機進行的非法訪問。天網(wǎng)個人防火墻? 天網(wǎng)個人防火墻用戶也可以到 費下載測試版。該網(wǎng)站提供安全檢測服務，免費為用戶檢測計算機系統(tǒng)的安全情況，并做出相應的指導。提供的幫助文件與在線使用手冊內(nèi)容豐富。? 特點： 軟件提供多種預先設置的安全策略 ， 用戶可以自行選擇安全級別，也支持用戶自定義應用程序的安全規(guī)則、系統(tǒng)的安全策略，或自行對內(nèi)部網(wǎng)絡指定另外的安全策略。? 優(yōu)點： 軟件運行時占用的系統(tǒng)資源較少，提供特洛伊木馬和入侵檢測功能。? 缺點： 軟件的可升級性較差，穩(wěn)定性也一般。藍盾防火墻個人版? 藍盾曾在 2023年中美網(wǎng)絡攻擊事件中揚名，當時有網(wǎng)站報稱使用該品牌的網(wǎng)站防火墻后，未受黑客攻擊。? 特點： “藍盾防火墻個人版 ”使用智能防御系統(tǒng)，可以有效地攔截各種探測、攻擊手段，支持用戶自定義安全規(guī)則，具有強大的反追蹤功能。當受到攻擊和探測時，能追蹤攻擊方計算機名、用戶名、 MAC IP地址等。? 缺點： 軟件的使用界面一般，設置與管理功能較少，不具備擴展性與升級能力，幫助文件和使用手冊也不夠詳細 。 諾頓個人防火墻? “諾頓個人防火墻 ”是 “諾頓互連網(wǎng)特警 ”的一個部分，它曾在國外的評比中獲得最佳個人安全防護系統(tǒng)的榮譽。? 特點： 該軟件性能穩(wěn)定，提供自動識別程序，幫助用戶設置計算機系統(tǒng)上應用程序的安全規(guī)則，允許用戶為不同的網(wǎng)絡區(qū)域指定安全策略，方便的在線升級功能，可以使諾頓個人防火墻更好地檢測特洛伊木馬和黑客入侵。? 優(yōu)點 :軟件的設置與管理方便，警報與幫助文件以及使用手冊內(nèi)容詳細。一旦受到某個 IP地址的攻擊，會在 30分鐘內(nèi)自動禁止所有來自該地址的連接請求，使對方無法試圖使用其他方式攻擊。? 缺點： 軟件占用的系統(tǒng)資源較大，而且由于需要對應用程序逐一指定安全規(guī)則，容易對用戶造成困擾。CheckIt?