【正文】 ， 因為它非常方便 ?；ヂ?lián)網(wǎng)上所有的路由器發(fā)現(xiàn)源或目標地址含有這些私有網(wǎng)絡 ID時都會自動丟棄。 把未注冊 IP地址映射成合法地址 ， 就可以對 Inter進行訪問 。 (16)最小特權(quán) （ Least Privilege） 在運行和維護系統(tǒng)中，盡可能地減少用戶的特權(quán)，但同時也要使用戶有足夠的權(quán)限來做事，這樣就會減少特權(quán)被濫用的機會。 (14)Inter控制報文協(xié)議 （ ICMP） ICMP的全稱是 Inter Control Message Protocol（ 網(wǎng)間報文控制協(xié)議 ） ，它是 IP不可分割的一部分 ， 用來提供錯誤報告 。 (11)隧道路由器 （ Tunneling Router） 它是一種特殊的路由器 ， 可以對數(shù)據(jù)包進行加密 ， 讓數(shù)據(jù)能通過非信任網(wǎng) ， 如 Inter， 然后在另一端用同樣的路由器進行解密 。 (9)代理服務器 （ Proxy Server） 代理服務器就像中間人 ， 是一種代表客戶和服務器通信的程序 ， 一般在應用層實現(xiàn) 。 當數(shù)據(jù)包要經(jīng)過這些設備時 ， 這些設備可以檢查 IP數(shù)據(jù)包的相應選項 ， 根據(jù)既定的規(guī)則來決定是否允許數(shù)據(jù)包通過 。 通常情況下 ， 堡壘主機上運行一些通用的網(wǎng)絡操作系統(tǒng) 、 并存放一些不重要或已過期的機密文件 。應用級網(wǎng)關(guān)能夠理解應用層上的協(xié)議，能夠做一些復雜的訪問控制。 (2)電路級網(wǎng)關(guān) （ Circuit Level Gateway） 電路級網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務器與不受信任的主機間的 TCP握手信息 ， 這樣來決定該會話是否合法 ， 電路級網(wǎng)關(guān)是在 OSI模型中會話層上來過濾數(shù)據(jù)包 。通過對所有流量的檢查，限制從外部發(fā)動的攻擊。并且對于公網(wǎng)隱藏了你內(nèi)部系統(tǒng)的一些信息以增加保密性。 通過在防火墻上實現(xiàn)日志服務 ， 安全管理員可以監(jiān)視所有從外部網(wǎng)或互聯(lián)網(wǎng)的訪問 。 通過強制所有進出流量都通過這些檢查點 ， 網(wǎng)絡管理員可以集中在一個地方來實現(xiàn)安全目的 。 (2)創(chuàng)建一個阻塞點 防火墻在一個公司私有網(wǎng)絡和子網(wǎng)間建立一個檢查點 。在網(wǎng)絡的世界里，要由防火墻過濾的就是承載通信數(shù)據(jù)的通信包。 防火墻是在兩個網(wǎng)絡間實現(xiàn)訪問控制的一個或一組軟硬件系統(tǒng) 。自然，這種墻因此而得名 “ 防火墻 （ FireWall） ” ?，F(xiàn)在，如果一個網(wǎng)絡連接了 Inter，它的用戶就可以訪問外部世界并與之通信，同時，外部世界也同樣可以訪問該網(wǎng)絡并與之交互。 防火墻的最主要功能就是屏蔽或允許指定的數(shù)據(jù)通信 ， 而該功能的實現(xiàn)又主要是依靠一套訪問控制策略 ， 由訪問控制策略來決定通信的合法性 。 (1)實現(xiàn)一個公司的安全策略 防火墻的主要意圖是強制執(zhí)行你的安全策略 。 這種實現(xiàn)要求所有的流量都要通過這個檢查點 。 如果沒有這樣一個供監(jiān)視和控制信息的檢查點 ， 系統(tǒng)或安全管理員則要在很多地方來進行監(jiān)測 。 一個好的日志策略是實現(xiàn)適當網(wǎng)絡安全的有效工具之一 。當遠程結(jié)點試圖偵測你的網(wǎng)絡時，他們僅僅能看到防火墻。 3. 基本術(shù)語 (1)網(wǎng)關(guān) (Gateway) 網(wǎng)關(guān)是在兩臺設備之間提供轉(zhuǎn)發(fā)服務的系統(tǒng) 。 另外 ， 電路級網(wǎng)關(guān)還提供一個重要的安全功能：網(wǎng)絡地址翻譯 (NAT)將所有公司內(nèi)部的 IP地址映射到一個 “ 安全 ” 的 IP地址 ， 這個地址是由防火墻使用的 。 (4)堡壘主機 （ Bastion Host） 堡壘主機應是在 Inter高度暴露的 ， 也是網(wǎng)絡中最容易受到侵入的主機 。 (5)雙宿主機 （ Dual Homed Host） 現(xiàn)代的防火墻系統(tǒng)大多是雙宿主機 ， 即有兩個網(wǎng)絡接口的計算機系統(tǒng) ， 其中一個接口連接內(nèi)部網(wǎng) ， 另一個接口連接外部網(wǎng) 。 (7)屏蔽路由器 （ Screened Router） 屏蔽路由器也叫過濾路由器，是一種可以根據(jù)過濾原則對數(shù)據(jù)包進行阻塞和轉(zhuǎn)發(fā)的路由器，現(xiàn)在有很多路由器都具備包過濾的功能。 典型的代理接受用戶的請求 ， 然后根據(jù)事先定義好的規(guī)則 ， 決定用戶或用戶的 IP地址是否有權(quán)使用代理服務器 ，然后代表客戶建立一個與服務器之間的連接 。 (12)虛擬專用網(wǎng)（ Virtual Private Network， VPN） 一種聯(lián)接兩個遠程局域網(wǎng)的方式，聯(lián)接要通過非信任網(wǎng)，如 Inter，所以一般通過隧道路由器或 VPN網(wǎng)關(guān)來實現(xiàn)互聯(lián)。 一旦發(fā)現(xiàn)各種錯誤類型就將其返回原主機 ， 最常見的 ping命令就是基于 ICMP的 。內(nèi)部人員濫用特權(quán)很可能在防火墻上打開一個安全缺口，這是很危險的，很多的入侵是由此引發(fā)的。 對于NAT的另一個名字是 IP地址隱藏 。 (18)非軍事化區(qū)域 (DMZ) DMZ是一個小型網(wǎng)絡存在于公司的內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間 。 這種實施的缺點在于存在于 DMZ區(qū)域的任何服務都不會得到防火墻的安全保護 。 (20)阻塞路由器 阻塞路由器也叫內(nèi)部路由器，用以保護內(nèi)部的網(wǎng)絡使之免受 Inter和周邊網(wǎng)的侵犯。限制堡壘主機和內(nèi)部網(wǎng)之間服務的理由是減少由此而導致來自堡壘主機侵襲的機器的數(shù)量。 當你實施一個防火墻策略時 ， 這三種防火墻類型可能都需要 。 這種技術(shù)有效地反擊 IP欺騙的攻擊 。 結(jié)合使用這些用戶賬號數(shù)據(jù)庫和代理服務器自定義的選項來進行認證 。因為你要在防火墻上創(chuàng)建一個阻塞點，潛在的黑客必須要先穿過它。防火墻兩種最普通的活動是中斷 TCP/IP連接和自動發(fā)出警告。 應用層表示層物理層會話層傳輸層網(wǎng)絡層數(shù)據(jù)鏈路層OSI/RM網(wǎng)關(guān)級中繼器級電路級路由器級網(wǎng)橋級防火墻防 火 墻 系 統(tǒng) 非 安 全 區(qū) 域內(nèi)部網(wǎng) 外部網(wǎng)安 全 區(qū) 域 防火墻是一種非常有效的網(wǎng)絡安全模型 ， 通過它可以隔離內(nèi)外網(wǎng)絡 ，以達到網(wǎng)絡中安全區(qū)域的連接 ， 同時不妨礙人們對風險區(qū)域的訪問 。 l 只有被授權(quán)的合法數(shù)據(jù) ， 即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù) ， 可以通過防火墻 。 l 人機界面友好 、 配置使用方便 ， 易管理 。 保證通過 Inter進行虛擬私人網(wǎng)絡和商務活動不受損壞； l 戶端認證 。 1989年 ， 貝爾實驗室的 Dave Presotto和Howard Trickey推出了第二代防火墻 ， 即電路層防火墻 ， 同時提出了第三代防火墻 —— 應用層防火墻 （ 代理防火墻 ） 的初步結(jié)構(gòu) 。 高級應用代理 （ Advanced Application Proxy） 的研究 ， 克服速度和安全性之間的矛盾 ， 可以稱之為第五代防火墻 。 它實際上是控制內(nèi)部網(wǎng)絡上的主機可直接訪問外部網(wǎng)絡 ，而外部網(wǎng)絡上的主機對內(nèi)部網(wǎng)絡的訪問則要受到限制 。 每個 IP包的字段都被檢查 ， 例如源地址 、 目的地址 、 協(xié)議 、 端口等 。 因為所有的通信必須通過防火墻 ， 繞過是困難的 。 然而 ， 在市場上 ， 許多新版本的防火墻對這個缺點正在作改進 ， 如開發(fā)者實現(xiàn)了基于圖形化用戶界面 (GUI)的配置和更直接的規(guī)則定義 。 “ 包過濾 ” 技術(shù)是用關(guān)鍵詞進行 “ 包內(nèi)容 ” 的檢查和過濾的 ， 因之 ， 對于 “ 圖片 ” 信息 ， 防火墻是不能對其內(nèi)容進行 “ 過濾 ” 檢查的 。 其核心是運用防火墻主機上的代理服務器進程 ， 代理網(wǎng)絡用戶完成 TCP/IP功能 ， 實際上是為特定網(wǎng)絡應用而連接兩個網(wǎng)絡的網(wǎng)關(guān) ， 且對不同的應用 （ 如 E－ mail、 FTP、 Tel、 WWW等 ） 都應用一個不同的代理 。 網(wǎng)絡內(nèi)部的用戶不直接與外部的服務器通信 ， 所以服務器不能直接訪問內(nèi)部網(wǎng)的任何一部分 。要求認證的方式由只為已知的用戶建立連接的這種限制，為 安全性提供了額外的保證。 大多數(shù)代理 防火墻 能夠記錄所有的 連接 ， 包括地址和持續(xù)時間 。 電路層網(wǎng)關(guān) 電路層網(wǎng)關(guān) （ Circuit Gateway） 在網(wǎng)絡的傳輸層上實施訪問策略 ，是在內(nèi) 、 外網(wǎng)絡主機之間建立一個虛擬電路進行通信 ， 相當于在防火墻上直接開了個口子進行傳輸 ， 不象應用層防火墻那樣能嚴密控制應用層的信息 。但是，作為電路級網(wǎng)關(guān)也存在著一些缺陷，因為該網(wǎng)關(guān)是在會話層工作的，就無法檢查應用層級的數(shù)據(jù)包。 應用級網(wǎng)關(guān)能夠檢查進出的數(shù)據(jù)包 ， 通過網(wǎng)關(guān)復制傳遞數(shù)據(jù) ， 防止在受信任服務器和客戶機與不受信任的主機間直接建立聯(lián)系 。 應用級網(wǎng)關(guān)有較好的訪問控制，是目前最安全的防火墻技術(shù)，但實現(xiàn)困難，而且有的應用級網(wǎng)關(guān)缺乏 “ 透明度 ” 。 包過濾 防火墻 對一個數(shù)據(jù)包是允許還是拒絕，完全取決于包自身所包含的內(nèi)容，如源地址、目的地址、端口號等。而未被請求的傳入通信被截斷。 跟蹤 連接 狀態(tài)的方式取決于包通過 防火墻 的類型： l TCP包：當建立起一個 TCP連接 時，通過的第一個包被標有包的 SYN標志。這種信息的缺乏使得 防火墻 確定包的合法性很困難，因為沒有打開的連接可利用，以測試傳入的包是否應被允許通過。 l 具有識別帶有欺騙性源 IP地址包的能力。 l 基于應用程序信息驗證一個包狀態(tài)的能力，例如允許一個先前認證過的 連接 繼續(xù)與被授予的服務通信。特別是，硬件速度越快，這個問題就越不易察覺，而且防火墻的制造商一直致力于提高他們產(chǎn)品的速度。 當從公共網(wǎng)絡傳來一個未經(jīng)請求的 連接 時， NAT有一套規(guī)則來決定如何處理它。 (3)負載平衡翻譯 一個 IP地址和端口被翻譯為同等配置的多個服務器 ， 當請求到達時 ， 防火墻將按照一個算法來平衡所有聯(lián)接到內(nèi)部的服務器 ， 這樣向一個合法 IP地址請求 ，實際上是有多臺服務器在提供服務 。 如果因為某種原因公共 IP地址資源比較短缺的話 ， NAT可以使整個內(nèi)部網(wǎng)絡共享一個 IP地址 。雖然可以保障內(nèi)部網(wǎng)絡的 安全 ，但它也有一定的局限性。 一旦安裝上個人防火墻 ， 就可以把它設置成 “ 學習模式 ” ， 這樣的話 ， 對遇到的每一種新的網(wǎng)絡通信 ， 個人防火墻都會提示用戶一次 ， 詢問如何處理這種通信 。 (1)優(yōu)點 增加了保護級別 ， 不需要額外的硬件資源 。這樣一來，個人 防火墻 本身容易受到威脅，或者說是具有這樣一個弱點，網(wǎng)絡通信可以繞過防火墻的規(guī)則進行。把一個人的相貌轉(zhuǎn)換為圖像，對圖像的每一個像素進行記憶，然后進行匹配檢查。 (1)防攻擊技術(shù) 智能防火墻能智能識別惡意數(shù)據(jù)流量 ， 并有效地阻斷惡意數(shù)據(jù)攻擊 。 對目前已知的掃描工具如 ISS， SSS， NMAP等掃描工具 ， 智能防火墻可以防止被掃描 。 (4)入侵防御技術(shù) 智能防火墻為了解決準許放行包的安全性 ， 對準許放行的數(shù)據(jù)進行入侵檢測 ， 并提供入侵防御保護 。這些方法對消除 TCP/IP協(xié)議的缺陷和應用協(xié)議的漏洞所帶來的威脅，效果顯著。 基于對行為的識別 ， 可以根據(jù)什么人 、 什么時間 、 什么地點 、 什么行為來執(zhí)行訪問控制 ， 大大增強了防火墻的安全性 ， 更聰明更智能 。 支持監(jiān)控防火墻的狀態(tài) ， 并實時報警 。 除傳統(tǒng)防火墻的應用外 ， 智能防火墻還有以下特殊應用場合 。 阻斷病毒的惡意傳播 。 傳統(tǒng)的防火墻只防外不防內(nèi) ， 導致內(nèi)部局域網(wǎng)速度慢 ， 惡意病毒和木馬盛行 。 提供強大的身份認證授權(quán)和審計管理。 l 防火墻應能抵抗網(wǎng)絡黑客的攻擊 ， 并可對網(wǎng)絡通信進行監(jiān)控和審計 。應支持 Email、 FTP、 Tel和 WWW等服務 。 l 一切未被禁止的訪問就是允許的 。 網(wǎng)絡安全的第一策略是拒絕一切未許可的服務 ， 即由防火墻逐項刪除未許可的服務后 ， 再轉(zhuǎn)發(fā)信息 。 管理工作要根據(jù)拓撲結(jié)構(gòu)的改變或安全策略的變化 ，對防火墻進行硬件與軟件的修改和升級 。 正確認識和使用防火墻 ， 確保網(wǎng)絡的安全使用 ， 研究防火墻的局限性和脆弱性是十分必要的 。 l 防火墻軟件不能保證沒有漏洞 。 l 防火墻無法區(qū)分惡意命令還是善意命令 。 l 防火墻的安全性與多功能成反比 。 防火墻的安全性是建立在對數(shù)據(jù)的檢查之上 ， 檢查越細越安全 ， 但檢查越細速度越慢 。 防火墻準許某項服務 ， 卻不能保證該服務的安全性 。 l 無法防護內(nèi)部網(wǎng)絡用戶的攻擊 。 l Inter防火墻不能完全防止傳送已感染病毒的軟件或文件 。 沒有經(jīng)過防火墻的數(shù)據(jù) ， 防火墻無法檢查 。 防火墻是一個安全設備 ， 但防火墻本身必須存在于一個安全的地方 。 l 防火墻不能防止數(shù)據(jù)驅(qū)動式的攻擊 。 l 防火墻不能防止本身的安全漏洞的威脅 。 其中最主要的應包括用戶名 、 口令 、 用戶所屬的工作組 、 用戶在系統(tǒng)中的權(quán)限和資源存在許可 。 通常授予用戶的權(quán)限有以下幾種： l通過網(wǎng)絡聯(lián)接計算機； l 備份文件和目錄 ， 此權(quán)限要高于文件和目錄許可； l 設置計算機內(nèi)部系統(tǒng)時