【正文】 ， 因?yàn)樗浅７奖?。互聯(lián)網(wǎng)上所有的路由器發(fā)現(xiàn)源或目標(biāo)地址含有這些私有網(wǎng)絡(luò) ID時(shí)都會(huì)自動(dòng)丟棄。 把未注冊(cè) IP地址映射成合法地址 ， 就可以對(duì) Inter進(jìn)行訪問(wèn) 。 (16)最小特權(quán) （ Least Privilege） 在運(yùn)行和維護(hù)系統(tǒng)中，盡可能地減少用戶的特權(quán)，但同時(shí)也要使用戶有足夠的權(quán)限來(lái)做事，這樣就會(huì)減少特權(quán)被濫用的機(jī)會(huì)。 (14)Inter控制報(bào)文協(xié)議 （ ICMP） ICMP的全稱是 Inter Control Message Protocol（ 網(wǎng)間報(bào)文控制協(xié)議 ） ，它是 IP不可分割的一部分 ， 用來(lái)提供錯(cuò)誤報(bào)告 。 (11)隧道路由器 （ Tunneling Router） 它是一種特殊的路由器 ， 可以對(duì)數(shù)據(jù)包進(jìn)行加密 ， 讓數(shù)據(jù)能通過(guò)非信任網(wǎng) ， 如 Inter， 然后在另一端用同樣的路由器進(jìn)行解密 。 (9)代理服務(wù)器 （ Proxy Server） 代理服務(wù)器就像中間人 ， 是一種代表客戶和服務(wù)器通信的程序 ， 一般在應(yīng)用層實(shí)現(xiàn) 。 當(dāng)數(shù)據(jù)包要經(jīng)過(guò)這些設(shè)備時(shí) ， 這些設(shè)備可以檢查 IP數(shù)據(jù)包的相應(yīng)選項(xiàng) ， 根據(jù)既定的規(guī)則來(lái)決定是否允許數(shù)據(jù)包通過(guò) 。 通常情況下 ， 堡壘主機(jī)上運(yùn)行一些通用的網(wǎng)絡(luò)操作系統(tǒng) 、 并存放一些不重要或已過(guò)期的機(jī)密文件 。應(yīng)用級(jí)網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議，能夠做一些復(fù)雜的訪問(wèn)控制。 (2)電路級(jí)網(wǎng)關(guān) （ Circuit Level Gateway） 電路級(jí)網(wǎng)關(guān)用來(lái)監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的 TCP握手信息 ， 這樣來(lái)決定該會(huì)話是否合法 ， 電路級(jí)網(wǎng)關(guān)是在 OSI模型中會(huì)話層上來(lái)過(guò)濾數(shù)據(jù)包 。通過(guò)對(duì)所有流量的檢查，限制從外部發(fā)動(dòng)的攻擊。并且對(duì)于公網(wǎng)隱藏了你內(nèi)部系統(tǒng)的一些信息以增加保密性。 通過(guò)在防火墻上實(shí)現(xiàn)日志服務(wù) ， 安全管理員可以監(jiān)視所有從外部網(wǎng)或互聯(lián)網(wǎng)的訪問(wèn) 。 通過(guò)強(qiáng)制所有進(jìn)出流量都通過(guò)這些檢查點(diǎn) ， 網(wǎng)絡(luò)管理員可以集中在一個(gè)地方來(lái)實(shí)現(xiàn)安全目的 。 (2)創(chuàng)建一個(gè)阻塞點(diǎn) 防火墻在一個(gè)公司私有網(wǎng)絡(luò)和子網(wǎng)間建立一個(gè)檢查點(diǎn) 。在網(wǎng)絡(luò)的世界里，要由防火墻過(guò)濾的就是承載通信數(shù)據(jù)的通信包。 防火墻是在兩個(gè)網(wǎng)絡(luò)間實(shí)現(xiàn)訪問(wèn)控制的一個(gè)或一組軟硬件系統(tǒng) 。自然，這種墻因此而得名 “ 防火墻 （ FireWall） ” ?，F(xiàn)在，如果一個(gè)網(wǎng)絡(luò)連接了 Inter，它的用戶就可以訪問(wèn)外部世界并與之通信，同時(shí)，外部世界也同樣可以訪問(wèn)該網(wǎng)絡(luò)并與之交互。 防火墻的最主要功能就是屏蔽或允許指定的數(shù)據(jù)通信 ， 而該功能的實(shí)現(xiàn)又主要是依靠一套訪問(wèn)控制策略 ， 由訪問(wèn)控制策略來(lái)決定通信的合法性 。 (1)實(shí)現(xiàn)一個(gè)公司的安全策略 防火墻的主要意圖是強(qiáng)制執(zhí)行你的安全策略 。 這種實(shí)現(xiàn)要求所有的流量都要通過(guò)這個(gè)檢查點(diǎn) 。 如果沒(méi)有這樣一個(gè)供監(jiān)視和控制信息的檢查點(diǎn) ， 系統(tǒng)或安全管理員則要在很多地方來(lái)進(jìn)行監(jiān)測(cè) 。 一個(gè)好的日志策略是實(shí)現(xiàn)適當(dāng)網(wǎng)絡(luò)安全的有效工具之一 。當(dāng)遠(yuǎn)程結(jié)點(diǎn)試圖偵測(cè)你的網(wǎng)絡(luò)時(shí)，他們僅僅能看到防火墻。 3. 基本術(shù)語(yǔ) (1)網(wǎng)關(guān) (Gateway) 網(wǎng)關(guān)是在兩臺(tái)設(shè)備之間提供轉(zhuǎn)發(fā)服務(wù)的系統(tǒng) 。 另外 ， 電路級(jí)網(wǎng)關(guān)還提供一個(gè)重要的安全功能：網(wǎng)絡(luò)地址翻譯 (NAT)將所有公司內(nèi)部的 IP地址映射到一個(gè) “ 安全 ” 的 IP地址 ， 這個(gè)地址是由防火墻使用的 。 (4)堡壘主機(jī) （ Bastion Host） 堡壘主機(jī)應(yīng)是在 Inter高度暴露的 ， 也是網(wǎng)絡(luò)中最容易受到侵入的主機(jī) 。 (5)雙宿主機(jī) （ Dual Homed Host） 現(xiàn)代的防火墻系統(tǒng)大多是雙宿主機(jī) ， 即有兩個(gè)網(wǎng)絡(luò)接口的計(jì)算機(jī)系統(tǒng) ， 其中一個(gè)接口連接內(nèi)部網(wǎng) ， 另一個(gè)接口連接外部網(wǎng) 。 (7)屏蔽路由器 （ Screened Router） 屏蔽路由器也叫過(guò)濾路由器，是一種可以根據(jù)過(guò)濾原則對(duì)數(shù)據(jù)包進(jìn)行阻塞和轉(zhuǎn)發(fā)的路由器，現(xiàn)在有很多路由器都具備包過(guò)濾的功能。 典型的代理接受用戶的請(qǐng)求 ， 然后根據(jù)事先定義好的規(guī)則 ， 決定用戶或用戶的 IP地址是否有權(quán)使用代理服務(wù)器 ，然后代表客戶建立一個(gè)與服務(wù)器之間的連接 。 (12)虛擬專用網(wǎng)（ Virtual Private Network， VPN） 一種聯(lián)接兩個(gè)遠(yuǎn)程局域網(wǎng)的方式，聯(lián)接要通過(guò)非信任網(wǎng)，如 Inter，所以一般通過(guò)隧道路由器或 VPN網(wǎng)關(guān)來(lái)實(shí)現(xiàn)互聯(lián)。 一旦發(fā)現(xiàn)各種錯(cuò)誤類型就將其返回原主機(jī) ， 最常見(jiàn)的 ping命令就是基于 ICMP的 。內(nèi)部人員濫用特權(quán)很可能在防火墻上打開(kāi)一個(gè)安全缺口，這是很危險(xiǎn)的，很多的入侵是由此引發(fā)的。 對(duì)于NAT的另一個(gè)名字是 IP地址隱藏 。 (18)非軍事化區(qū)域 (DMZ) DMZ是一個(gè)小型網(wǎng)絡(luò)存在于公司的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間 。 這種實(shí)施的缺點(diǎn)在于存在于 DMZ區(qū)域的任何服務(wù)都不會(huì)得到防火墻的安全保護(hù) 。 (20)阻塞路由器 阻塞路由器也叫內(nèi)部路由器，用以保護(hù)內(nèi)部的網(wǎng)絡(luò)使之免受 Inter和周邊網(wǎng)的侵犯。限制堡壘主機(jī)和內(nèi)部網(wǎng)之間服務(wù)的理由是減少由此而導(dǎo)致來(lái)自堡壘主機(jī)侵襲的機(jī)器的數(shù)量。 當(dāng)你實(shí)施一個(gè)防火墻策略時(shí) ， 這三種防火墻類型可能都需要 。 這種技術(shù)有效地反擊 IP欺騙的攻擊 。 結(jié)合使用這些用戶賬號(hào)數(shù)據(jù)庫(kù)和代理服務(wù)器自定義的選項(xiàng)來(lái)進(jìn)行認(rèn)證 。因?yàn)槟阋诜阑饓ι蟿?chuàng)建一個(gè)阻塞點(diǎn)，潛在的黑客必須要先穿過(guò)它。防火墻兩種最普通的活動(dòng)是中斷 TCP/IP連接和自動(dòng)發(fā)出警告。 應(yīng)用層表示層物理層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層OSI/RM網(wǎng)關(guān)級(jí)中繼器級(jí)電路級(jí)路由器級(jí)網(wǎng)橋級(jí)防火墻防 火 墻 系 統(tǒng) 非 安 全 區(qū) 域內(nèi)部網(wǎng) 外部網(wǎng)安 全 區(qū) 域 防火墻是一種非常有效的網(wǎng)絡(luò)安全模型 ， 通過(guò)它可以隔離內(nèi)外網(wǎng)絡(luò) ，以達(dá)到網(wǎng)絡(luò)中安全區(qū)域的連接 ， 同時(shí)不妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問(wèn) 。 l 只有被授權(quán)的合法數(shù)據(jù) ， 即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù) ， 可以通過(guò)防火墻 。 l 人機(jī)界面友好 、 配置使用方便 ， 易管理 。 保證通過(guò) Inter進(jìn)行虛擬私人網(wǎng)絡(luò)和商務(wù)活動(dòng)不受損壞； l 戶端認(rèn)證 。 1989年 ， 貝爾實(shí)驗(yàn)室的 Dave Presotto和Howard Trickey推出了第二代防火墻 ， 即電路層防火墻 ， 同時(shí)提出了第三代防火墻 —— 應(yīng)用層防火墻 （ 代理防火墻 ） 的初步結(jié)構(gòu) 。 高級(jí)應(yīng)用代理 （ Advanced Application Proxy） 的研究 ， 克服速度和安全性之間的矛盾 ， 可以稱之為第五代防火墻 。 它實(shí)際上是控制內(nèi)部網(wǎng)絡(luò)上的主機(jī)可直接訪問(wèn)外部網(wǎng)絡(luò) ，而外部網(wǎng)絡(luò)上的主機(jī)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)則要受到限制 。 每個(gè) IP包的字段都被檢查 ， 例如源地址 、 目的地址 、 協(xié)議 、 端口等 。 因?yàn)樗械耐ㄐ疟仨毻ㄟ^(guò)防火墻 ， 繞過(guò)是困難的 。 然而 ， 在市場(chǎng)上 ， 許多新版本的防火墻對(duì)這個(gè)缺點(diǎn)正在作改進(jìn) ， 如開(kāi)發(fā)者實(shí)現(xiàn)了基于圖形化用戶界面 (GUI)的配置和更直接的規(guī)則定義 。 “ 包過(guò)濾 ” 技術(shù)是用關(guān)鍵詞進(jìn)行 “ 包內(nèi)容 ” 的檢查和過(guò)濾的 ， 因之 ， 對(duì)于 “ 圖片 ” 信息 ， 防火墻是不能對(duì)其內(nèi)容進(jìn)行 “ 過(guò)濾 ” 檢查的 。 其核心是運(yùn)用防火墻主機(jī)上的代理服務(wù)器進(jìn)程 ， 代理網(wǎng)絡(luò)用戶完成 TCP/IP功能 ， 實(shí)際上是為特定網(wǎng)絡(luò)應(yīng)用而連接兩個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān) ， 且對(duì)不同的應(yīng)用 （ 如 E－ mail、 FTP、 Tel、 WWW等 ） 都應(yīng)用一個(gè)不同的代理 。 網(wǎng)絡(luò)內(nèi)部的用戶不直接與外部的服務(wù)器通信 ， 所以服務(wù)器不能直接訪問(wèn)內(nèi)部網(wǎng)的任何一部分 。要求認(rèn)證的方式由只為已知的用戶建立連接的這種限制，為 安全性提供了額外的保證。 大多數(shù)代理 防火墻 能夠記錄所有的 連接 ， 包括地址和持續(xù)時(shí)間 。 電路層網(wǎng)關(guān) 電路層網(wǎng)關(guān) （ Circuit Gateway） 在網(wǎng)絡(luò)的傳輸層上實(shí)施訪問(wèn)策略 ，是在內(nèi) 、 外網(wǎng)絡(luò)主機(jī)之間建立一個(gè)虛擬電路進(jìn)行通信 ， 相當(dāng)于在防火墻上直接開(kāi)了個(gè)口子進(jìn)行傳輸 ， 不象應(yīng)用層防火墻那樣能?chē)?yán)密控制應(yīng)用層的信息 。但是，作為電路級(jí)網(wǎng)關(guān)也存在著一些缺陷，因?yàn)樵摼W(wǎng)關(guān)是在會(huì)話層工作的，就無(wú)法檢查應(yīng)用層級(jí)的數(shù)據(jù)包。 應(yīng)用級(jí)網(wǎng)關(guān)能夠檢查進(jìn)出的數(shù)據(jù)包 ， 通過(guò)網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù) ， 防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系 。 應(yīng)用級(jí)網(wǎng)關(guān)有較好的訪問(wèn)控制，是目前最安全的防火墻技術(shù)，但實(shí)現(xiàn)困難，而且有的應(yīng)用級(jí)網(wǎng)關(guān)缺乏 “ 透明度 ” 。 包過(guò)濾 防火墻 對(duì)一個(gè)數(shù)據(jù)包是允許還是拒絕，完全取決于包自身所包含的內(nèi)容，如源地址、目的地址、端口號(hào)等。而未被請(qǐng)求的傳入通信被截?cái)唷? 跟蹤 連接 狀態(tài)的方式取決于包通過(guò) 防火墻 的類型： l TCP包：當(dāng)建立起一個(gè) TCP連接 時(shí)，通過(guò)的第一個(gè)包被標(biāo)有包的 SYN標(biāo)志。這種信息的缺乏使得 防火墻 確定包的合法性很困難，因?yàn)闆](méi)有打開(kāi)的連接可利用，以測(cè)試傳入的包是否應(yīng)被允許通過(guò)。 l 具有識(shí)別帶有欺騙性源 IP地址包的能力。 l 基于應(yīng)用程序信息驗(yàn)證一個(gè)包狀態(tài)的能力，例如允許一個(gè)先前認(rèn)證過(guò)的 連接 繼續(xù)與被授予的服務(wù)通信。特別是，硬件速度越快，這個(gè)問(wèn)題就越不易察覺(jué)，而且防火墻的制造商一直致力于提高他們產(chǎn)品的速度。 當(dāng)從公共網(wǎng)絡(luò)傳來(lái)一個(gè)未經(jīng)請(qǐng)求的 連接 時(shí)， NAT有一套規(guī)則來(lái)決定如何處理它。 (3)負(fù)載平衡翻譯 一個(gè) IP地址和端口被翻譯為同等配置的多個(gè)服務(wù)器 ， 當(dāng)請(qǐng)求到達(dá)時(shí) ， 防火墻將按照一個(gè)算法來(lái)平衡所有聯(lián)接到內(nèi)部的服務(wù)器 ， 這樣向一個(gè)合法 IP地址請(qǐng)求 ，實(shí)際上是有多臺(tái)服務(wù)器在提供服務(wù) 。 如果因?yàn)槟撤N原因公共 IP地址資源比較短缺的話 ， NAT可以使整個(gè)內(nèi)部網(wǎng)絡(luò)共享一個(gè) IP地址 。雖然可以保障內(nèi)部網(wǎng)絡(luò)的 安全 ，但它也有一定的局限性。 一旦安裝上個(gè)人防火墻 ， 就可以把它設(shè)置成 “ 學(xué)習(xí)模式 ” ， 這樣的話 ， 對(duì)遇到的每一種新的網(wǎng)絡(luò)通信 ， 個(gè)人防火墻都會(huì)提示用戶一次 ， 詢問(wèn)如何處理這種通信 。 (1)優(yōu)點(diǎn) 增加了保護(hù)級(jí)別 ， 不需要額外的硬件資源 。這樣一來(lái)，個(gè)人 防火墻 本身容易受到威脅，或者說(shuō)是具有這樣一個(gè)弱點(diǎn)，網(wǎng)絡(luò)通信可以繞過(guò)防火墻的規(guī)則進(jìn)行。把一個(gè)人的相貌轉(zhuǎn)換為圖像，對(duì)圖像的每一個(gè)像素進(jìn)行記憶，然后進(jìn)行匹配檢查。 (1)防攻擊技術(shù) 智能防火墻能智能識(shí)別惡意數(shù)據(jù)流量 ， 并有效地阻斷惡意數(shù)據(jù)攻擊 。 對(duì)目前已知的掃描工具如 ISS， SSS， NMAP等掃描工具 ， 智能防火墻可以防止被掃描 。 (4)入侵防御技術(shù) 智能防火墻為了解決準(zhǔn)許放行包的安全性 ， 對(duì)準(zhǔn)許放行的數(shù)據(jù)進(jìn)行入侵檢測(cè) ， 并提供入侵防御保護(hù) 。這些方法對(duì)消除 TCP/IP協(xié)議的缺陷和應(yīng)用協(xié)議的漏洞所帶來(lái)的威脅，效果顯著。 基于對(duì)行為的識(shí)別 ， 可以根據(jù)什么人 、 什么時(shí)間 、 什么地點(diǎn) 、 什么行為來(lái)執(zhí)行訪問(wèn)控制 ， 大大增強(qiáng)了防火墻的安全性 ， 更聰明更智能 。 支持監(jiān)控防火墻的狀態(tài) ， 并實(shí)時(shí)報(bào)警 。 除傳統(tǒng)防火墻的應(yīng)用外 ， 智能防火墻還有以下特殊應(yīng)用場(chǎng)合 。 阻斷病毒的惡意傳播 。 傳統(tǒng)的防火墻只防外不防內(nèi) ， 導(dǎo)致內(nèi)部局域網(wǎng)速度慢 ， 惡意病毒和木馬盛行 。 提供強(qiáng)大的身份認(rèn)證授權(quán)和審計(jì)管理。 l 防火墻應(yīng)能抵抗網(wǎng)絡(luò)黑客的攻擊 ， 并可對(duì)網(wǎng)絡(luò)通信進(jìn)行監(jiān)控和審計(jì) 。應(yīng)支持 Email、 FTP、 Tel和 WWW等服務(wù) 。 l 一切未被禁止的訪問(wèn)就是允許的 。 網(wǎng)絡(luò)安全的第一策略是拒絕一切未許可的服務(wù) ， 即由防火墻逐項(xiàng)刪除未許可的服務(wù)后 ， 再轉(zhuǎn)發(fā)信息 。 管理工作要根據(jù)拓?fù)浣Y(jié)構(gòu)的改變或安全策略的變化 ，對(duì)防火墻進(jìn)行硬件與軟件的修改和升級(jí) 。 正確認(rèn)識(shí)和使用防火墻 ， 確保網(wǎng)絡(luò)的安全使用 ， 研究防火墻的局限性和脆弱性是十分必要的 。 l 防火墻軟件不能保證沒(méi)有漏洞 。 l 防火墻無(wú)法區(qū)分惡意命令還是善意命令 。 l 防火墻的安全性與多功能成反比 。 防火墻的安全性是建立在對(duì)數(shù)據(jù)的檢查之上 ， 檢查越細(xì)越安全 ， 但檢查越細(xì)速度越慢 。 防火墻準(zhǔn)許某項(xiàng)服務(wù) ， 卻不能保證該服務(wù)的安全性 。 l 無(wú)法防護(hù)內(nèi)部網(wǎng)絡(luò)用戶的攻擊 。 l Inter防火墻不能完全防止傳送已感染病毒的軟件或文件 。 沒(méi)有經(jīng)過(guò)防火墻的數(shù)據(jù) ， 防火墻無(wú)法檢查 。 防火墻是一個(gè)安全設(shè)備 ， 但防火墻本身必須存在于一個(gè)安全的地方 。 l 防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊 。 l 防火墻不能防止本身的安全漏洞的威脅 。 其中最主要的應(yīng)包括用戶名 、 口令 、 用戶所屬的工作組 、 用戶在系統(tǒng)中的權(quán)限和資源存在許可 。 通常授予用戶的權(quán)限有以下幾種： l通過(guò)網(wǎng)絡(luò)聯(lián)接計(jì)算機(jī)； l 備份文件和目錄 ， 此權(quán)限要高于文件和目錄許可； l 設(shè)置計(jì)算機(jī)內(nèi)部系統(tǒng)時(shí)