【正文】 都通過這些檢查點(diǎn) ， 網(wǎng)絡(luò)管理員可以集中在一個(gè)地方來實(shí)現(xiàn)安全目的 。在網(wǎng)絡(luò)的世界里，要由防火墻過濾的就是承載通信數(shù)據(jù)的通信包。自然，這種墻因此而得名 “ 防火墻 （ FireWall） ” 。 防火墻的最主要功能就是屏蔽或允許指定的數(shù)據(jù)通信 ， 而該功能的實(shí)現(xiàn)又主要是依靠一套訪問控制策略 ， 由訪問控制策略來決定通信的合法性 。 這種實(shí)現(xiàn)要求所有的流量都要通過這個(gè)檢查點(diǎn) 。 一個(gè)好的日志策略是實(shí)現(xiàn)適當(dāng)網(wǎng)絡(luò)安全的有效工具之一 。 3. 基本術(shù)語 (1)網(wǎng)關(guān) (Gateway) 網(wǎng)關(guān)是在兩臺(tái)設(shè)備之間提供轉(zhuǎn)發(fā)服務(wù)的系統(tǒng) 。 (4)堡壘主機(jī) （ Bastion Host） 堡壘主機(jī)應(yīng)是在 Inter高度暴露的 ， 也是網(wǎng)絡(luò)中最容易受到侵入的主機(jī) 。 (7)屏蔽路由器 （ Screened Router） 屏蔽路由器也叫過濾路由器，是一種可以根據(jù)過濾原則對(duì)數(shù)據(jù)包進(jìn)行阻塞和轉(zhuǎn)發(fā)的路由器，現(xiàn)在有很多路由器都具備包過濾的功能。 (12)虛擬專用網(wǎng)（ Virtual Private Network， VPN） 一種聯(lián)接兩個(gè)遠(yuǎn)程局域網(wǎng)的方式，聯(lián)接要通過非信任網(wǎng)，如 Inter，所以一般通過隧道路由器或 VPN網(wǎng)關(guān)來實(shí)現(xiàn)互聯(lián)。內(nèi)部人員濫用特權(quán)很可能在防火墻上打開一個(gè)安全缺口，這是很危險(xiǎn)的，很多的入侵是由此引發(fā)的。 (18)非軍事化區(qū)域 (DMZ) DMZ是一個(gè)小型網(wǎng)絡(luò)存在于公司的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間 。 (20)阻塞路由器 阻塞路由器也叫內(nèi)部路由器，用以保護(hù)內(nèi)部的網(wǎng)絡(luò)使之免受 Inter和周邊網(wǎng)的侵犯。 當(dāng)你實(shí)施一個(gè)防火墻策略時(shí) ， 這三種防火墻類型可能都需要 。 結(jié)合使用這些用戶賬號(hào)數(shù)據(jù)庫和代理服務(wù)器自定義的選項(xiàng)來進(jìn)行認(rèn)證 。防火墻兩種最普通的活動(dòng)是中斷 TCP/IP連接和自動(dòng)發(fā)出警告。 l 只有被授權(quán)的合法數(shù)據(jù) ， 即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù) ， 可以通過防火墻 。 保證通過 Inter進(jìn)行虛擬私人網(wǎng)絡(luò)和商務(wù)活動(dòng)不受損壞； l 戶端認(rèn)證 。 高級(jí)應(yīng)用代理 （ Advanced Application Proxy） 的研究 ， 克服速度和安全性之間的矛盾 ， 可以稱之為第五代防火墻 。 每個(gè) IP包的字段都被檢查 ， 例如源地址 、 目的地址 、 協(xié)議 、 端口等 。 然而 ， 在市場上 ， 許多新版本的防火墻對(duì)這個(gè)缺點(diǎn)正在作改進(jìn) ， 如開發(fā)者實(shí)現(xiàn)了基于圖形化用戶界面 (GUI)的配置和更直接的規(guī)則定義 。 其核心是運(yùn)用防火墻主機(jī)上的代理服務(wù)器進(jìn)程 ， 代理網(wǎng)絡(luò)用戶完成 TCP/IP功能 ， 實(shí)際上是為特定網(wǎng)絡(luò)應(yīng)用而連接兩個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān) ， 且對(duì)不同的應(yīng)用 （ 如 E－ mail、 FTP、 Tel、 WWW等 ） 都應(yīng)用一個(gè)不同的代理 。要求認(rèn)證的方式由只為已知的用戶建立連接的這種限制，為 安全性提供了額外的保證。 電路層網(wǎng)關(guān) 電路層網(wǎng)關(guān) （ Circuit Gateway） 在網(wǎng)絡(luò)的傳輸層上實(shí)施訪問策略 ，是在內(nèi) 、 外網(wǎng)絡(luò)主機(jī)之間建立一個(gè)虛擬電路進(jìn)行通信 ， 相當(dāng)于在防火墻上直接開了個(gè)口子進(jìn)行傳輸 ， 不象應(yīng)用層防火墻那樣能嚴(yán)密控制應(yīng)用層的信息 。 應(yīng)用級(jí)網(wǎng)關(guān)能夠檢查進(jìn)出的數(shù)據(jù)包 ， 通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù) ， 防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系 。 包過濾 防火墻 對(duì)一個(gè)數(shù)據(jù)包是允許還是拒絕，完全取決于包自身所包含的內(nèi)容，如源地址、目的地址、端口號(hào)等。 跟蹤 連接 狀態(tài)的方式取決于包通過 防火墻 的類型： l TCP包：當(dāng)建立起一個(gè) TCP連接 時(shí)，通過的第一個(gè)包被標(biāo)有包的 SYN標(biāo)志。 l 具有識(shí)別帶有欺騙性源 IP地址包的能力。特別是，硬件速度越快，這個(gè)問題就越不易察覺，而且防火墻的制造商一直致力于提高他們產(chǎn)品的速度。 (3)負(fù)載平衡翻譯 一個(gè) IP地址和端口被翻譯為同等配置的多個(gè)服務(wù)器 ， 當(dāng)請(qǐng)求到達(dá)時(shí) ， 防火墻將按照一個(gè)算法來平衡所有聯(lián)接到內(nèi)部的服務(wù)器 ， 這樣向一個(gè)合法 IP地址請(qǐng)求 ，實(shí)際上是有多臺(tái)服務(wù)器在提供服務(wù) 。雖然可以保障內(nèi)部網(wǎng)絡(luò)的 安全 ，但它也有一定的局限性。 (1)優(yōu)點(diǎn) 增加了保護(hù)級(jí)別 ， 不需要額外的硬件資源 。把一個(gè)人的相貌轉(zhuǎn)換為圖像，對(duì)圖像的每一個(gè)像素進(jìn)行記憶，然后進(jìn)行匹配檢查。 對(duì)目前已知的掃描工具如 ISS， SSS， NMAP等掃描工具 ， 智能防火墻可以防止被掃描 。這些方法對(duì)消除 TCP/IP協(xié)議的缺陷和應(yīng)用協(xié)議的漏洞所帶來的威脅，效果顯著。 支持監(jiān)控防火墻的狀態(tài) ， 并實(shí)時(shí)報(bào)警 。 阻斷病毒的惡意傳播 。 提供強(qiáng)大的身份認(rèn)證授權(quán)和審計(jì)管理。應(yīng)支持 Email、 FTP、 Tel和 WWW等服務(wù) 。 網(wǎng)絡(luò)安全的第一策略是拒絕一切未許可的服務(wù) ， 即由防火墻逐項(xiàng)刪除未許可的服務(wù)后 ， 再轉(zhuǎn)發(fā)信息 。 正確認(rèn)識(shí)和使用防火墻 ， 確保網(wǎng)絡(luò)的安全使用 ， 研究防火墻的局限性和脆弱性是十分必要的 。 l 防火墻無法區(qū)分惡意命令還是善意命令 。 防火墻的安全性是建立在對(duì)數(shù)據(jù)的檢查之上 ， 檢查越細(xì)越安全 ， 但檢查越細(xì)速度越慢 。 l 無法防護(hù)內(nèi)部網(wǎng)絡(luò)用戶的攻擊 。 沒有經(jīng)過防火墻的數(shù)據(jù) ， 防火墻無法檢查 。 l 防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊 。 其中最主要的應(yīng)包括用戶名 、 口令 、 用戶所屬的工作組 、 用戶在系統(tǒng)中的權(quán)限和資源存在許可 。 兩個(gè)域信任關(guān)系的建立可以允許一個(gè)域中建立的用戶存取整個(gè)網(wǎng)絡(luò)中的資源 。包過濾策略如下： l包過濾控制點(diǎn)； l 包過濾操作過程； l 包過濾原則； l 防止兩類不安全設(shè)計(jì)的措施； l特定協(xié)議包的過濾 。其次，不同網(wǎng)絡(luò)的密鑰管理協(xié)議可能不盡相同，這就導(dǎo)致用同樣的協(xié)議來建立異網(wǎng)通信密鑰和內(nèi)部通信密鑰會(huì)非常困難，增加了密鑰管理機(jī)制的復(fù)雜性，很難實(shí)現(xiàn)密鑰使用上的方便性。 對(duì)于一個(gè)充滿危險(xiǎn)的網(wǎng)絡(luò) ， 過濾路由器提供了一種方法 ， 用這種方法可以阻塞某些主機(jī)和網(wǎng)絡(luò)連入內(nèi)部網(wǎng)絡(luò) ， 也可以用它來限制內(nèi)部人員對(duì)一些危險(xiǎn)和色情站點(diǎn)的訪問 ?？梢詳M定一個(gè)要接受的設(shè)備和服務(wù)的清單，一個(gè)不接受的設(shè)備和服務(wù)的清單，組成訪問控制表。 規(guī)則按從前到后的順序匹配，字段中的 “ *” 代表任意值，沒有被過濾器規(guī)則明確允許的包將被拒絕。 規(guī)則 M是默認(rèn)項(xiàng)，它實(shí)現(xiàn)的準(zhǔn)則是 “ 沒有明確允許就表示禁止 ” 。 因此為了保證高層的安全 ， 防 火墻必須能夠訪問 、 分析和利用以下幾種信息： l 通信信息：所有應(yīng)用層的數(shù)據(jù)包的信息； l 通信狀態(tài)：以前的通信狀態(tài)信息； l 來自應(yīng)用狀態(tài)：其他應(yīng)用的狀態(tài)信息； l信息處理：基于以上所有元素表達(dá)式的估算。 天網(wǎng)防火墻個(gè)人版是個(gè)人電腦使用的網(wǎng)絡(luò)安全程序 ， 根據(jù)管理者設(shè)定的安全規(guī)則把守網(wǎng)絡(luò) ， 提供強(qiáng)大的訪問控制 、 信息過濾等功能 ， 幫助你抵擋網(wǎng)絡(luò)入侵和攻擊 ， 防止信息泄露 。進(jìn)入 “ 局域網(wǎng)信息設(shè)置 ” 對(duì)話框。 單擊 “ 確定 ” 按鈕 ， 得到如圖 810所示的對(duì)話框 。 在此對(duì)話框中，可對(duì) IP地址有關(guān)規(guī)則進(jìn)行設(shè)置。 該規(guī)則配置如下 （ eth0為防火墻外部網(wǎng)絡(luò)接口網(wǎng)卡 ） ： set internal=deny ip from $internal to any in via eth0 deny ip from not $internal to any in via eth1 allow udp from $internal to any dns allow udp from any dns to $internal allow tcp from any to any established allow tcp from $internal to any in via eth1 allow tcp from $unternal to any ftp in via eth1 allow tcp from any ftpdata to $Internal in via eth0 allow ip from any to any IP過濾 、 Port過濾 、 NAT… 狀態(tài)監(jiān)測(cè)防火墻的配置技術(shù) 1． 狀態(tài)監(jiān)測(cè)防火墻的基本功能 靜態(tài)包過濾防火墻的過濾技術(shù)的一個(gè)致命缺陷在于 ， 為了能實(shí)現(xiàn)期望的通信 ， 防火墻必須保持部份端口永久性地開放 ， 這就給攻擊防火墻留下了安全隱患 。 該規(guī)則配置如下： set internal= deny ip from $internal to any in via eth0 deny ip from not $internal to any in via eth1 allow $internal access any dns by udp keep state allow $internal access any by tcp keep state allow $internal access any ftp by tcp keep state allow ip from any to any 。 動(dòng)態(tài)包過濾技術(shù)的主要特點(diǎn)是 ， 能在數(shù)據(jù)包通過打開的端口到達(dá)目的地后 ， 防火墻能及時(shí)關(guān)閉相應(yīng)的端口 。 單擊 “ 應(yīng)用程序使用情況 ” 按鈕，可查看應(yīng)用程序訪問本機(jī)的記錄情況；單擊 “ 日志 ” 按鈕，可查看防火墻的工作日志；單擊“ 接通 /斷開網(wǎng)絡(luò) ” 按鈕，可將本機(jī)與網(wǎng)絡(luò)重新連接或斷開。 (1)防火墻的啟動(dòng) 在 Windows 98/2021/XP桌面上 ， 單擊 “ 開始－程序－天網(wǎng)防火墻－天網(wǎng)防火墻個(gè)人版 ” ， 天網(wǎng)防火墻個(gè)人版即啟動(dòng) ， 得到如圖 829所示的屏幕 。 選擇 “ 我的電腦在局域網(wǎng)中使用 ” 選項(xiàng)，系統(tǒng)自動(dòng)將本機(jī)的地址填入 “ 我在局域網(wǎng)中的地址是 ” 欄目中，若 IP地址沒有填入，則單擊 “ 刷新 ” 按鈕。 在這一小節(jié)中 ， 我們以 “ 天網(wǎng)防火墻個(gè)人版 ”為藍(lán)本 ， 介紹天網(wǎng)防火墻的安裝 、 配置與應(yīng)用技術(shù) 。就是將一個(gè) IP地址用另一個(gè) IP地址代替。 電路級(jí)網(wǎng)關(guān) （ Circuit Level Gateway） 也是一種代理 ，但是只能是建立起一個(gè)回路 ， 對(duì)數(shù)據(jù)包只起轉(zhuǎn)發(fā)的作用 。這與一般原則是一致的：沒有明確 “ 允許 ” 的就是被 “ 禁止 ”的。 l 必須正式規(guī)定允許的包類型 、 包字段的邏輯表達(dá) 。 數(shù)據(jù)包過濾可以控制站點(diǎn)與站點(diǎn) 、 站點(diǎn)與網(wǎng)絡(luò) 、 網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的相互訪問 ， 但不能控制傳輸?shù)臄?shù)據(jù)內(nèi)容 ， 因?yàn)閿?shù)據(jù)內(nèi)容是應(yīng)用層數(shù)據(jù) ， 不是包過濾系統(tǒng)所能辨認(rèn)的 ， 數(shù)據(jù)包過濾允許在某個(gè)地方為整個(gè)網(wǎng)絡(luò)提供特別的保護(hù) 。針對(duì) Inter的層次結(jié)構(gòu)，密鑰中心的設(shè)置應(yīng)具有相適應(yīng)的層次。最著名的公開密鑰體制是 RSA體制和 ELGamal體制等。典型的應(yīng)用就是遠(yuǎn)程訪問，它們之間并不相互信任，遠(yuǎn)程用戶只可以在被信任域中使用。 用戶權(quán)限一般有兩類：第一類是對(duì)執(zhí)行特定任務(wù)用戶的授權(quán)可應(yīng)用于整個(gè)系統(tǒng)；第二類是對(duì)特定對(duì)象 （ 如目錄 、 文件和打印機(jī)等 ） 的規(guī)定 ， 這些規(guī)定限制用戶能否或以何種方式存取對(duì)象 。 l 防火墻不能防止內(nèi)部的泄密行為 。 防火墻是一個(gè)被動(dòng)的安全策略執(zhí)行設(shè)備 ， 就像門衛(wèi)一樣 ， 要根據(jù)政策規(guī)定來執(zhí)行安全檢查 ， 而不能自作主張 。 l Inter防火墻無法防范通過防火墻以外的其他途徑的攻擊 。 防火墻的功能越多 ， 對(duì) CPU和內(nèi)存的消耗越大 ， 功能越多 ， 檢查的越多 ， 速度越慢 。 l 防火墻無法區(qū)分惡意流量和善意流量 。 l 防火墻的硬件不能保證不失效 。 (3)確定包過濾規(guī)則 一般以處理 IP數(shù)據(jù)包包頭信息為基礎(chǔ) ， 包括過濾規(guī)則 、 過濾方式 、 源和目的端口號(hào)及協(xié)議類型等 ， 它決定算法執(zhí)行時(shí)順序 ， 因此正確的排列順序至關(guān)重要 。 在防火墻設(shè)計(jì)中 ， 安全策略是防火墻的靈魂和基礎(chǔ) 。也為網(wǎng)絡(luò)取證提供防抵賴的功能。 由于智能防火墻是從流量異常來判斷病毒的傳播 ，避免了每一次新病毒的爆發(fā)所帶來的災(zāi)難 。 智能防火墻提供對(duì)日志的監(jiān)控，自動(dòng)處理，人工或自動(dòng)導(dǎo)出，數(shù)據(jù)庫導(dǎo)入，查看，查詢，顯示，報(bào)警等功能。 新一代的智能防火墻自身的安全性較傳統(tǒng)的防火墻有很大的提高 ， 在特權(quán)最小化 、 系統(tǒng)最小化 、 內(nèi)核安全 、 系統(tǒng)加固 、 系統(tǒng)優(yōu)化和網(wǎng)絡(luò)性能最大化方面 ， 與傳統(tǒng)防火墻相比 ， 有質(zhì)的飛躍 。 (3)防欺騙技術(shù) 智能防火墻提供基于 MAC的訪問控制機(jī)制，可以防止 MAC欺騙和 IP欺騙，支持 MAC過濾，支持 IP過濾。這就是智能識(shí)別。 (2)缺點(diǎn) 個(gè)人 防火墻 主要的缺點(diǎn)就是對(duì)公共網(wǎng)絡(luò)只有一個(gè)物理接口。 個(gè)人防火墻 個(gè)人防火墻是一種能夠保護(hù)個(gè)人計(jì)算機(jī)系統(tǒng)安全的軟件 ， 它可以直接在用戶的計(jì)