【正文】 3） 代理服務(wù)器通常擁有高速緩存，緩存中保存了用戶最近訪問(wèn)過(guò)的站點(diǎn)內(nèi)容。 ? （ 2） 防火墻在進(jìn)行檢查時(shí)，首先從過(guò)濾規(guī)則表中的第 1個(gè)條目開始逐條進(jìn)行，所以過(guò)濾規(guī)則表中條目的先后順序非常重要。 《 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù) 》 ?4．防火墻不能防范內(nèi)部用戶的惡意破壞 ? 據(jù)相關(guān)資料統(tǒng)計(jì)，目前局域網(wǎng)中有 80%以上的網(wǎng)絡(luò)破壞行為是由內(nèi)部用戶所為，如在局域網(wǎng)中竊取其他主機(jī)上的數(shù)據(jù)、對(duì)其他主機(jī)進(jìn)行網(wǎng)絡(luò)攻擊、散布計(jì)算機(jī)病毒等。 圖 81 防火墻在網(wǎng)絡(luò)中的位置 《 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù) 》 使用了防火墻后的網(wǎng)絡(luò)組成 ? 防火墻是構(gòu)建可信賴網(wǎng)絡(luò)域的安全產(chǎn)品。 通過(guò)安全策略來(lái)控制不同網(wǎng)絡(luò)或網(wǎng)絡(luò)不同安全域之間的通信，只有本地安全策略授權(quán)的通信才允許通過(guò)； ? 防火墻本身是免疫的，即防火墻本身具有較強(qiáng)的抗攻擊能力。如圖 82所示，當(dāng)一個(gè)網(wǎng)絡(luò)在加入了防火墻后，防火墻將成為不同安全域之間的一個(gè)屏障，原來(lái)具有相同安全等級(jí)的主機(jī)或區(qū)域?qū)?huì)因?yàn)榉阑饓Φ慕槿攵l(fā)生變化 . 《 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù) 》 圖 82 使用防火墻后的網(wǎng)絡(luò)組成 《 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù) 》 ?1． 信賴域和非信賴域 ? 當(dāng)局域網(wǎng)通過(guò)防火墻接入公共網(wǎng)絡(luò)時(shí)，以防火墻為節(jié)點(diǎn)將網(wǎng)絡(luò)分為內(nèi)、外兩部分，其中內(nèi)部的局域網(wǎng)稱為信賴域，而外部的公共網(wǎng)絡(luò)（如 Inter）稱為非信賴域。這些行為都不通過(guò)位于局域網(wǎng)出口處的防火墻，防火墻對(duì)其無(wú)能為力。 ? （ 3）由于包過(guò)濾防火墻工作在 OSI參考模型的網(wǎng)絡(luò)層和傳輸層，所以包過(guò)濾防火墻對(duì)通過(guò)的數(shù)據(jù)包的速度影響不大，實(shí)現(xiàn)成本較低。 ? （ 4） 代理防火墻的缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響，系統(tǒng)的處理效率會(huì)有所下降，因?yàn)榇硇头阑饓?duì)數(shù)據(jù)包進(jìn)行內(nèi)部結(jié)構(gòu)的分析和處理，這會(huì)導(dǎo)致數(shù)據(jù)包的吞吐能力降低（低于包過(guò)濾防火墻）。如果某一個(gè)數(shù)據(jù)包（如 “IP分組 B1”）在進(jìn)入防火墻時(shí)，規(guī)則表拒絕它通過(guò)，則防火墻直接丟棄該數(shù)據(jù)包，與該數(shù)據(jù)包相關(guān)的后續(xù)數(shù)據(jù)包（如 “IP分組 B2”、“IP分組 B3”等）同樣會(huì)被拒絕通過(guò)。 《 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù) 》 分布式防火墻 ?1. 傳統(tǒng)防火墻的不足 ? 雖然本章前面介紹的幾類傳統(tǒng)防火仍然是現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)安全防范的支柱，但在安全要求較高的大型網(wǎng)絡(luò)中存在一些不足，主要表現(xiàn)如下： ?（ 1） 結(jié)構(gòu)性限制。 ?（ 2）主機(jī)防火墻。 《 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù) 》 ?5． 分布式防火墻產(chǎn)品 ? 雖然分布式防火墻技術(shù)的提出相對(duì)較晚，但相應(yīng)的產(chǎn)品非常豐富。 ? 4． 郵件過(guò)濾功能 《 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù) 》 個(gè)人防火墻的現(xiàn)狀及發(fā)展 ?個(gè)人防火墻為接入到 Inter的個(gè)人計(jì)算機(jī)提供了所需要的安全保護(hù)，主要包括： ? ?（ 2） 與防病毒軟件集成，并實(shí)現(xiàn)與防病毒軟件之間的安全聯(lián)動(dòng)。 ?（ 3） IE功能調(diào)用攔截。 ?配置模式的顯示為 pixfirewall(config)。 ?Pix525(config)interface ether0 auto （ auto選項(xiàng)表示該接口為自適應(yīng)） ?Pix525(config)interface ether1 100full （ 100full選項(xiàng)表示該接口為 100Mbit/s全雙工） ?如果要關(guān)閉該接口，可以使用以下的命令： ?Pix525(config)interface ether1 100full shutdown （ shutdown選項(xiàng)表示關(guān)閉這個(gè)接口，若啟用接口去掉 shutdown ） 《 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù) 》 ?3． 配置內(nèi)外網(wǎng)接口的 IP地址（ ip address） ?根據(jù)系統(tǒng)規(guī)劃，由于 PIX防火墻還擔(dān)負(fù)著路由器的功能，所以必須給相應(yīng)的連接外網(wǎng)和內(nèi)網(wǎng)的接口配置 IP地址。下面舉例說(shuō)明global命令的功能和使用方法。 0表示 。 ?protocol 表示連接協(xié)議，比如 TCP、 UDP、ICMP等。 ?Pix525(config)static (inside, outside) ?Pix525(config)conduit permit tcp host eq any 《 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù) 》 ?3. 啟用或禁止協(xié)議（ fixup） ?fixup命令作用是啟用或禁止某一協(xié)議，從而決定某一個(gè)服務(wù)或協(xié)議是否允許通過(guò) PIX防火墻。下面舉列進(jìn)行說(shuō)明： ?例 13 啟用 FTP協(xié)議，并指定 FTP服務(wù)的端口號(hào)為21。對(duì)于任意主機(jī)，可以使用 any表示。 《 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù) 》 ?由于在通常情況下， internal_interface_name內(nèi)部網(wǎng)絡(luò)的接口名稱一般為 inside，而 external_interface_name外部網(wǎng)絡(luò)接口的名稱為 outside，所以 static命令也常寫成如下格式： ?static (inside， outside) outside_ip_address inside_ ip_address 《 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù) 》 ?例 7 內(nèi)部主機(jī) PIX防火墻建立的每個(gè)請(qǐng)求連接，都被轉(zhuǎn)換成公網(wǎng)的。 ?Pix525(config)global (outside) 1 ~ ?例 4 當(dāng)內(nèi)網(wǎng)要訪問(wèn)外網(wǎng)時(shí)，訪問(wèn)外網(wǎng)的所有主機(jī)統(tǒng)一使用 IP地址。 《 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù) 》 ?Pix525(config)interface ether0 （進(jìn)入接口 ether0的配置狀態(tài)） ?Pix525(configif)ip address outside ?Pix525(config)interface ether1 （進(jìn)入接口 ether1的配置狀態(tài)） ?Pix525(configif)ip address ins