【正文】 略，來保證只有經(jīng)過授權(quán)的流量才可以通過防火墻； 3）防火墻本身必須建立在安全操作系統(tǒng)的基礎(chǔ)上。 3． 防火墻的局限性 （ 1）限制有用的網(wǎng)絡(luò)服務(wù)。 1． 數(shù)據(jù)包過濾路由器 ?防火墻常見的有三種類型：數(shù)據(jù)包過濾路由器、應(yīng)用層網(wǎng)關(guān)、電路層網(wǎng)關(guān)。 ① 設(shè)置步驟 ?必須制定一個安全策略； ?必須正式規(guī)定允許的包類型、包字段的邏輯表達(dá)； ?必須用防火墻支持的語法重寫表達(dá)式。代理是企圖在應(yīng)用層實現(xiàn)防火墻的功能，代理的主要特點是有狀態(tài)性。 ③ 代理工作在客戶機(jī)和真實服務(wù)器之間，完全控制會話，所以可以提供很詳細(xì)的日志和安全審計功能。 ⑤ 應(yīng)用層網(wǎng)關(guān)要求用戶改變自己的行為，或者在訪問代理服務(wù)的每個系統(tǒng)上安裝特殊的軟件。它適用于多個協(xié)議，但它不能識別在同一個協(xié)議棧上運(yùn)行的不同的應(yīng)用。堡壘主機(jī)上運(yùn)行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。 通常， 一個防火墻執(zhí)行兩個通用網(wǎng)絡(luò)服務(wù)訪問策略中的一個：允許從內(nèi)部站點訪問 Inter而不允許從 Inter訪問內(nèi)部站點；只允許從 Inter訪問特定的系統(tǒng)，如信息服務(wù)器和電子郵件服務(wù)器。執(zhí)行第二種策略的防火墻在默認(rèn)情況下禁止所有的服務(wù)，除非管理員對某種服務(wù)明確表示允許。 3． 4 防火墻攻 擊策略 從黑客攻擊防火墻的過程上看， 防火墻攻擊策略大概可以分為三類： 3． 4． 1 掃描防火墻策略 掃描防火墻策略的方法是探測在目標(biāo)網(wǎng)絡(luò)上安裝的是何種防火墻系統(tǒng)并且找出此防火墻系統(tǒng)允許哪些服務(wù)，通常稱之為對防火墻的探測攻擊。防火墻不能干涉還沒有到達(dá)防火墻的包，如果這個包是攻擊防火墻的，只有已經(jīng)發(fā)生了攻擊，防火墻才可以對抗，根本不能防止。 4． 多級的過濾技術(shù) ： 第四代防火墻采用了三級過濾措施，并輔以鑒別手段。 8． 用戶鑒別與加密 ： 為了降低在 Tel、 FTP等服務(wù)和遠(yuǎn)程管理上的風(fēng)險，第四代防火墻采用一次性使用的口令字系統(tǒng)作為用戶的鑒別手段，并實現(xiàn)了對郵件的加密。 3. 分組過濾器的設(shè)計 ： 作為防火墻的核心部件之一，過濾器的設(shè)計要盡量做到減少對防火墻的訪問。 嗅探監(jiān)測網(wǎng)絡(luò)通信、截獲用戶傳給服務(wù)器的口令字，記錄下來后使用；解密指采用強(qiáng)力攻擊，猜測或截獲含有加密口令字的文件，并設(shè)法解密。 防火墻使用透明代理技術(shù)，這些代理服務(wù)對用戶也是透明的，用戶意識不到防火墻的存在，便可完成內(nèi)外網(wǎng)絡(luò)的通訊。 防火墻使用透明代理技術(shù) ， 還可以使防火墻的服務(wù)端口無法探測到 ， 也就無法對防火墻進(jìn)行攻擊 ， 大大提高了防火墻的安全性與抗攻擊性 。 （ 2）嵌入操作系統(tǒng)內(nèi)核： 為自身的安全和徹底堵住操作系統(tǒng)的漏洞，主機(jī)防火墻的安全監(jiān)測核心引擎要以嵌入操作系統(tǒng)內(nèi)核的形態(tài)運(yùn)行，直接接管網(wǎng)卡，在把所有數(shù)據(jù)包進(jìn)行檢查后再提交操作系統(tǒng)。它依賴于三個主要的概念：說明哪一類連接可以被允許禁止的策略語言、一種系統(tǒng)管理工具和 IP安全協(xié)議。 1．高速安全的防火墻基礎(chǔ)平臺是網(wǎng)絡(luò)安全的 保障 2．構(gòu)建以防火墻為核心的集成安全方案 3．網(wǎng)絡(luò)安全產(chǎn)品不但是產(chǎn)品而是服務(wù) 3． 7 防火墻選擇 原則與常見 產(chǎn)品 3． 7． 1 防火墻選擇原則 防火墻的選擇應(yīng)根據(jù)網(wǎng)站的特點來選擇合適的防火墻。 （ 6） NetGuardGuardian： 盡管它的界面簡單 ， 其權(quán)限控制功能優(yōu)于 Netscreen。 防火墻的具體實現(xiàn)產(chǎn)品有很多 ， 本章介紹多種企業(yè)級和個人版防火墻 。換言之：防火墻是一道門檻，控制進(jìn)出兩個方向的通信。 （ 2） AXENTRaptor： 總體來說是代理型防火墻中是最好的 。 ?首先由制定防火墻接入控制策略的中心通過編譯器將策略語言訴描述轉(zhuǎn)換成內(nèi)部格式，形成策略文件； ?然后中心采用系統(tǒng)管理工具把策略文件分發(fā)給各臺 “內(nèi)部 ”主機(jī)； “內(nèi)部 ”主機(jī)將從兩方面來判定是否接受收到的包，一方面是根據(jù) IP安全協(xié)議，另一方面是根據(jù)服務(wù)器端的策略文件。 （ 3）系統(tǒng)的擴(kuò)展性： 分布式防火墻隨系統(tǒng)擴(kuò)充提供了安全防護(hù)無限擴(kuò)充的能力。 3． 6． 2 分布式防火墻技術(shù) 1．分布式防火墻的產(chǎn)生背景 因為傳統(tǒng)的防火墻設(shè)置在網(wǎng)絡(luò)邊界，在內(nèi)部企業(yè)網(wǎng)和外部互聯(lián)網(wǎng)之間構(gòu)成一個屏障，進(jìn)行網(wǎng)絡(luò)存取控制，所以也稱為邊界防火墻（ PerimeterFirewall），它存在以下不足之處： （ 1）網(wǎng)絡(luò)應(yīng)用受到結(jié)構(gòu)性限制 （ 2）內(nèi)部安全隱患依然存在 （ 3）效率較低和故障率高 分布式防火墻能克服這些缺點，它不僅能夠保留傳統(tǒng)邊界式防火墻的所以優(yōu)點，而且又能克服前面所說的那些缺點，在目前來說它是最為完善的一種防火墻技術(shù)。截取后當(dāng)發(fā)現(xiàn)連接需要使用代理服務(wù)器時， A和 C之間首先建立連接，然后防火墻建立相應(yīng)的代理服務(wù)通道與目標(biāo) B建立連接，由此通過代理服務(wù)器建立 A和目標(biāo)地址 B的數(shù)據(jù)傳輸途徑。 5． 抗郵件詐騙攻擊 ：郵件詐騙也是越來越突出的攻擊方式，第四代防火墻不接收任何郵件，故難以采用這種方式對它攻擊。 1． 抗 IP假冒攻擊 ： IP假冒是指一個非法的主機(jī)假冒內(nèi)部的主機(jī)地址，騙取服務(wù)器的“信任”，從而達(dá)到對網(wǎng)絡(luò)的攻擊目的。 此外，第四代防火墻還在網(wǎng)絡(luò)診斷、數(shù)據(jù)備份與保全等方面具有特色。 在域名服務(wù)方面，第四代防火墻采用兩種獨立的域名服務(wù)器：一種是內(nèi)部 DNS服務(wù)器，主要處理內(nèi)部網(wǎng)絡(luò)的 DNS信息；另一種是外部 DNS服務(wù)器，專門用于處理機(jī)構(gòu)內(nèi)部向 Inter提供的部分 DNS信息。 防火墻技術(shù)的發(fā)展經(jīng)歷了基于路由器的防火墻、用戶化的防火墻工具套、建立在通用操作系統(tǒng)上的防火墻、具有安全操作系統(tǒng)的防火墻四個階段。 尋找、利用防火墻系統(tǒng)實現(xiàn)和設(shè)計上的安全漏洞，從而有針對性地發(fā)動攻擊。 加密技術(shù)實際上是一種對要經(jīng)由公共網(wǎng)絡(luò)傳送的信息進(jìn)行編碼的方法，它是確保數(shù)據(jù)安全的最有效方法。在制定這種策略之前，必須了解這種防火墻的性能以及缺點、 TCP／ IP本身所具有的易受攻擊性和危險性。 ?這種配置的危險僅包括堡壘主機(jī)、子網(wǎng)主機(jī)及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。屏蔽路由器作為內(nèi)外連接的惟一通道，要求所有的報文都必須在此通過檢查。如果防火墻遭到損害，所有它后面的網(wǎng)絡(luò)都面臨危險。 ?應(yīng)用層代理的缺點： ① 有限的聯(lián)接性。 應(yīng)用層網(wǎng)關(guān)上 的代理服務(wù)事實上分為一個客戶代理和一個服務(wù)器代理， Tel是一個 Tel的服務(wù)器守護(hù)進(jìn)程，當(dāng)它偵聽到一個連接到來之后，它首先要進(jìn)行相應(yīng)的身份認(rèn)證，并根據(jù)安全策略來決定是否中轉(zhuǎn)連接。 缺省 狀態(tài) * * * * 拒絕 雙向 C 允許聯(lián)接 * * * * 允許 出 B 不信任 25 E m ai l * M 拒絕 進(jìn) A 注釋 目的端口 目的地址 源端口 源 地址 動作 方向