【正文】 墻的主要技 術(shù) 3． 5． 1 第四代防火墻的主要技術(shù)與功能 第四代防火墻本身就是一個操作系統(tǒng)，因而在安全性上較之第三代防火墻有質(zhì)的提高。 1． 雙端口或三端口的結(jié)構(gòu) ： 新一代防火墻產(chǎn)品具有兩個或三個獨立的網(wǎng)卡，內(nèi)外兩個網(wǎng)卡可不作IP轉(zhuǎn)化而串接于內(nèi)部網(wǎng)與外部網(wǎng)之間，另一個網(wǎng)卡可專用于對服務器的安全保護。 在分組過濾一級，能過濾掉所有的源路由分組和假冒的 IP源地址； 在應用網(wǎng)關(guān)一級，能利用 FTP、 SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測 Inter提供的所有通用服務； 在電路網(wǎng)關(guān)一級，實現(xiàn)內(nèi)部主機與外部站點的透明連接，并對服務的通行實行嚴格控制。 7． 安全服務器網(wǎng)絡(luò)（ SSN） ： 第四代防火墻采用分別保護的策略保護對外服務器。 9． 用戶定制服務 ： 第四代防火墻在提供眾多服務的同時，還為用戶定制提供支持，這類選項有：通用TCP，出站 UDP、 FTP、 SMTP等類。 3． 5． 2 第四代防火墻技術(shù)的實現(xiàn)方法 在第四代防火墻產(chǎn)品的設(shè)計與開發(fā)中，其安全內(nèi)核、代理系統(tǒng)、多級過濾、安全服務器和鑒別與加密是關(guān)鍵所在。 4. 安全服務器的設(shè)計： 安全服務器的設(shè)計有兩個要點：第一，所有 SSN的流量都要隔離處理，即從內(nèi)部網(wǎng)和外部網(wǎng)而來的路由信息流在機制上是分離的；第二， SSN的作用類似于兩個網(wǎng)絡(luò)，它看上去像是內(nèi)部網(wǎng)，因為它對外透明，同時又像是外部網(wǎng)絡(luò)，因為它從內(nèi)部網(wǎng)絡(luò)對外訪問的方式十分有限。 2． 抗特洛伊木馬攻擊 ： 第四代防火墻是建立在安全的操作系統(tǒng)之上的，其安全內(nèi)核中不能執(zhí)行下載的程序，故而可防止特洛伊木馬的發(fā)生。此外，攻擊者還常常利用一些常用口令字直接登錄。 3． 6 防火墻發(fā)展 的新方向 3． 6． 1 透明接入技術(shù) 透明模式，顧名思義，首要的特點就是對用戶是透明的（ Transparent），即用戶意識不到防火墻的存在。當內(nèi)部用戶需要使用透明代理訪問外部資源時，用戶不需要進行設(shè)置，代理服務器會建立透明的通道，讓用戶直接與外界通信，這樣極大地方便了用戶的使用。從用戶的角度看， A和 B的連接是直接的，而實際上 A是通過代理服務器 C和 B建立連接的。 透明代理避免了設(shè)置或使用中可能出現(xiàn)的錯誤 ， 降低了防火墻使用時固有的安全風險和出錯概率 ， 方便用戶使用 。 2．分布式防火墻的主要特點 分布式防火墻負責對網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點之間的安全防護，所以“分布式防火墻”是一個完整的系統(tǒng)，而不是單一的產(chǎn)品。 （ 3）類似于個人防火墻 （ 4）適用于服務器托管 3．分布式防火墻的主要優(yōu)勢 在新的安全體系結(jié)構(gòu)下，分布式防火墻代表新一代防火墻技術(shù)的潮流，它可以在網(wǎng)絡(luò)的任何交界和節(jié)點處設(shè)置屏障，從而形成了一個多層次、多協(xié)議，內(nèi)外皆防的全方位安全體系。 （ 4）實施主機策略： 對網(wǎng)絡(luò)中的各節(jié)點可以起到更安全的防護。 （ 1）策略語言： 以 IP地址來標志內(nèi)部主機是一種可供選擇的方法，但它的安全性不高，所以更傾向于使用 IP安全協(xié)議中的密碼憑證來標志各臺主機，它為主機提供了可靠的、唯一的標志，并且與網(wǎng)絡(luò)的物理拓撲無關(guān)。 分布式防火墻工作 過程： 因為采用了軟件形式（有的采用了軟件＋硬件形式），所以功能配置更加靈活，具備充分的智能管理能力，總的來說可以體現(xiàn)在以下幾個方面： 5．分布式防火墻的主要功能 （ 1） Inter訪問控制 （ 2）應用訪問控制 （ 3）網(wǎng)絡(luò)狀態(tài)監(jiān)控 （ 4）黑客攻擊的防御 （ 5）日志管理 （ 6）系統(tǒng)工具 3． 6． 3 以防火墻為核心的網(wǎng)絡(luò)信 息安全體系 網(wǎng)絡(luò)安全是一個綜合的概念，它不僅包括網(wǎng)絡(luò)安全產(chǎn)品，而且還涉及整個企業(yè)的管理機制、流程方面的問題，因此是一復雜的系統(tǒng)工程。如果站點是一個機密性機構(gòu)，但對某些人提供入站的 FTP服務，則需要有強大認證功能的防火墻；如果站點聯(lián)接到 Inter上只是為了接收電子郵件，那么可以不需要防火墻。 （ 4） CiscoPIXFirewall： PIX的處理性能是最好的 ， 而且使用 NAT時不影響其性能 。 ? 常見的企業(yè)級防火墻： （ 1） 天網(wǎng)防火墻 （ 2） 藍盾防火墻個人版 （ 3） 瑞星個人防火墻 （ 4） “ 反黑王 ” （ 5） 美國賽門鐵克 （ Symantec） 公司的諾頓（ Norton） 防火墻 （ 6） 金山網(wǎng)鏢 3． 8 本章小結(jié) 本章首先介紹了訪問控制的基本常識 ， 然后著重介紹了防火墻的相關(guān)知識 。通過限制與網(wǎng)絡(luò)或某一特定區(qū)域的通信，以達到防止非法用戶侵犯 Inter和公用網(wǎng)絡(luò)的目的。 演講完畢，謝謝觀看！ 。 實現(xiàn)防火墻的主要技術(shù)有：數(shù)據(jù)包過濾路由器、應用雙宿主網(wǎng)關(guān)的代理服務、主機屏蔽防火墻和子網(wǎng)屏蔽防火墻等。 作為近年來新興的保護計算機網(wǎng)絡(luò)安全技術(shù)性措施，防火墻是一種隔離控制技術(shù)，在某個機構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對信息資源的非法訪問，也可以使用防火墻阻止專利信息從公司的網(wǎng)絡(luò)上被非法輸出。 （ 5） Netscreen：它使用專用的 ASIC提供高性能的防火墻 ， 既便宜又易于安裝 。 除了 NAT外 ， 它具有用戶認證功能 。 ? 誤區(qū)：什么樣的防火墻是安全的防火墻、單靠防火墻是否能否保證網(wǎng)絡(luò)的安全、如何構(gòu)建以防火墻為核心的網(wǎng)絡(luò)安全體系等，下面就針對這些問題做簡要的分析和介紹。 （ 3） IP安全協(xié)議： 是一種對 TCP/IP協(xié)議族的網(wǎng)絡(luò)層進行加密保護的機制，包括 AH和 ESP，分別對 IP包頭和整個 IP包進行認證，可以防止各類主機攻擊。 4．分布式防火墻的基本原理 分布式防火墻仍然由中心定義策略，但由各個分布在網(wǎng)絡(luò)中的端點實施這些制定的策略。 （ 2）提高了系統(tǒng)性能： 消除了結(jié)構(gòu)性瓶頸問題，提高了系統(tǒng)性能。 主機防火墻對分布式防火墻體系結(jié)構(gòu)的突出貢獻是，使安全策略不僅僅停留在網(wǎng)絡(luò)與網(wǎng)絡(luò)之間，而是把安全策略推廣延伸到每個網(wǎng)絡(luò)末端。但兩者之間也有本質(zhì)的區(qū)別：工作于透明模式的防火墻使用了透明代理的技術(shù)，但透明代理并不是透明模式的全部，防火墻在非透明模式中也可以使用透明代理。由于這些連接過程是自動的，不需要客戶端手工配置代理服務器，甚至用戶根本不知道代理服務器的存在，因而對用戶來說是透明的。當 A對 B有連接請求時，TCP連接請求被防火墻截取并加以監(jiān)控。 透明模式的防火墻就好象是一臺網(wǎng)橋 (非透明的防火墻好象一臺路由器 )，網(wǎng)絡(luò)設(shè)備 (包括主機、路由器、工作站等 )和所有計算機的設(shè)置（包括 IP地址和網(wǎng)關(guān)）無須改變，同時解析所有通過它的數(shù)據(jù)包，既增加了網(wǎng)絡(luò)的安全性，又降低了用戶管理的復雜程度。 第四代防火墻采用了地址轉(zhuǎn)換技術(shù)，將內(nèi)部網(wǎng)絡(luò)隱蔽起來，使網(wǎng)絡(luò)安全分析工具無法從